روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة haitham653, بتاريخ ‏سبتمبر 18, 2012.

حالة الموضوع:
مغلق
  1. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7


    السلام عليكم


    اليوم اقدم لكم روتكيت مدمج مع فلاش بلير

    الفيروس باختصار هو Kernel Level Screen logger

    وهو ينتمي الى عائلة الروتكيت


    يقوم بتسجيل الشاشة screen logger ومن ثم يخترق النظام من منطقة الكيرنل حتى لا ينكشف امرة

    ويرسل البيانات عن طريق svchost الى جهاز المخترق !!!!

    الوندوز يستخدم svchost للاتصال بالنت اي الجدار الناري لن يرصدة بل سيرصد svchost وهو ملف امن !!


    هام جدا لاتجرب على نظام حقيقي جربت منذ الصباح اكثر من 7 ادوات ولا واحدة رصدت حركاته و اكتشافه صعب ولا ينفع معه الا الفورمات



    التجربة الاولى


    Online Armor

    يريد ان يأخذ صورة للشاشة Screen Logger

    [​IMG]

    تحميل ملف dll في ال Temp


    [​IMG]


    حقن النظام ب Payload او ما يعرف ب API hook

    الهدف اصابة منطقة Kernel

    [​IMG]

    [​IMG]

    بعد ذلك تمت السيطرة بشكل مطلق على svchost

    [​IMG]


    اتصال لانترنت من ملفات ال Temp

    [​IMG]


    طبعا بعد انتهاء العملية تمت السيطرة على النظام والروتكيت سيتصل عن طريقsvchost

    طبعا علامة اصابة النظام

    [​IMG]


    العلامة الكاملة للاونلاين ارمر

    فيديو التجربة

    OA.rar


    التجربة الثانية

    Bitdefender Internet Security 2011

    البعض قد يسال لماذا 2011

    نصبته بالامس للقيام ببعض التجارب وكان محدث فقمت بتجربته اليوم

    الروتكيت محمي بكلمة سر حتى لا تكتشفه برامج الحماية

    [​IMG]

    [​IMG]

    لحظة التشغيل البتدفندر قضى عليه بضربة واحدة من خلال وحدة

    Intrusion Detection System

    [​IMG]

    علامة كاملة للبتدفندر

    فيديو التجربة

    BDavi.rar

    Bitdefender Internet Security 2013

    في وضع Auto Pilot

    اوقف الروتكيت بدون اي سؤال

    [​IMG] [​IMG]

    فيديو التجربة

    BD2013.rar

    هذه التجربة هدية لمن يقول ان جدار البتدفندر ضعيف ​


    التجربة الثالثة

    كاسبرسكي انترنت سيكيورتي 2013

    بالوضع الافتراضي

    [​IMG]



    اذا اخترت Yes I trust It

    سيتم اختراق النظام بنجاح

    اذا اخترت Restrict

    سيوقف الملف

    فيديو التجربة

    KIS.rar


    الكاسبرسكي بالوضع اليدوي

    لم ينجح في رصد الكيلوجر

    لم يرصد عمليات ال Kernel

    انذارات كثيرة ومبهمة نوعا ما حتى المستخدم المحترف قد يصاب

    باعتقادي الكاسبر فشل بالوضعين ولكن ساعطيه 50%

    فيديو التجربة

    KIS2.rar

    التجربة الرابعة

    ايست سمارت سيكيورتي 5

    باقصى الاعدادات

    فشل بامتياز مع مرتبة الشرف

    Eset.rar


    التجربة الخامسة

    كمودو انترنت سيكيوروتي

    جربت الكمودو في جميع الاعدادات الفرق كان في رصد الاتصال في النت فقط على العموم

    [​IMG]

    رسالة الكمودو Unlimited Access to your Computer اي ان البرنامج يريد ان يحصل على تصريح مطلق

    ويقصد الكمودو هنا انه اذا سمحت للملف قد لا يستطيع الكمودو رصد حركاته في النظام

    الخلاصة اذا تم تشغيله في الساندبكس فان الروتكيت لم يعمل !!!!

    اذا اخترت Allow راحت عليك وسيتم اختراق النظام

    العملية الاخرى التى رصدها الكمودو بعد رفع الاعدادات محاولة الاتصال بالنت

    [​IMG]

    حتى الاتصال لا يبدو خطيرا من تحذير الكمودو !!!

    ايضا لم يرصد الكيلوجر ولم يرصد عمليات الكيرنل مثل الاونلاين ارمر !!!

    السؤال المهم هل Unlimited Access to your Computer تظهر كثيرا وكيف يتعامل معها عادة مستخدمي الكمودو !!!

    باعتقادي الكمودو بنفس مستوى الكاسبر مع افضلية بسيطة لصالح الكمودو لانه حذرك من الملف قد يسيطر على النظام !!!

    فيديو التجربة

    comodo.rar



    التجربة السادسة

    نورتون انترنت سيكيورتي 2013

    فشل مع مرتبة الشرف

    فيديو التجربة

    Norton 2013.rar


    التجربة السابعة

    زيمانا انتي لوجر

    فشل بامتياز مع مرتبة الشرف

    السبب


    يستطيع ان يحمي الشاشة في الوضع العادي فقط User Mode

    لا يستطيع ان يحمي الشاشة اذا كانت عملية التصوير من ال Kernel Mode

    لذلك تم تخطيه بسهولة


    فيديو التجربة

    Zemana A.L.rar


    هام جدا : للاسف هنالك الكثير من المتعصبين الذين يجادلون بغير المنطق , انا لست متحيزا لاي برنامج بل قمت بعمل التجارب

    وقمت بوضع جميع الاحتمالات والخيارت حتى يستفيد القارئ الكريم ..... وارسلت الملف لمن طلبه فاين التحيز ؟!!

    الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافح على التعامل مع الروتكيت من خلال حماية منطقة الكيرنل !!!

    البعض يعتقد انه اذا شغل اي ملف بوجود برنامج هيبس فانه قادر على رصد جميع حركات الملف وهذا اعتقاد خاطئ !!

    الهدف الثاني اظهار مرونة المكافح وقدرتة على الحماية او منع الاصابة من نقطة الصفر....





    تنويه

    ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها

    Adware او Riskware

    Adware - Wikipedia, the free encyclopedia

    Riskware - Wikipedia, the free encyclopedia

    رابط الفحص على فيروس توتال

    https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/


     
    DJ KROZ ،MagicianMiDo32 و عمر صابر معجبون بهذا.
  2. مصرى ولى الفخر

    مصرى ولى الفخر زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 24, 2011
    المشاركات:
    2,066
    الإعجابات المتلقاة:
    3,187
    نقاط الجائزة:
    1,120
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    السلام عليكم
    اخيرا تجربة رائعة ..اخى هيثم هو دة نفس التروجان فى هذا الموضوع
    http://www.zyzoom.org/vb/zyzoom280015.html

    انا جربتة على الحقيقى والكاسبر اعطانى نفس الرسالة وعملت سمامح وفحصت بالهيتمان والمالوير واداة الحصان..ولم تظهر اى اصابة​
     
  3. abdalla1234

    abdalla1234 زيزوومي مميز

    إنضم إلينا في:
    ‏فبراير 6, 2012
    المشاركات:
    544
    الإعجابات المتلقاة:
    280
    نقاط الجائزة:
    570
    الإقامة:
    UKRAIN
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 7
    الحمدلله يا اخوان اقتنعتو بالتروجان من موضوعي
     
  4. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    الروتكيت يصيب منطقة الكيرنل افحص بما تشاء من الادوات والبرامج يستحيل حذفة الا اذا قامت شركة حماية بصنع اداة خاصة له...راجع رسائل الاونلاين ارمر

    الكاسبر بالوضع اليدوي حذرني من اتصال svchost وفي الحقيقة هو اتصال للروتكيت عن طريق svchost

    تشغيل ملف تحديث الفلاش يعني انه تم اختراق النظام وبنجاح 100%
     
  5. مصرى ولى الفخر

    مصرى ولى الفخر زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 24, 2011
    المشاركات:
    2,066
    الإعجابات المتلقاة:
    3,187
    نقاط الجائزة:
    1,120
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    :hh:
    الله يطمنك...يعنى انا كدا خلاص بقيت شاب مخترق....طب الحل اية...
    :u:​
     
  6. MR.Avira

    MR.Avira زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 26, 2010
    المشاركات:
    1,214
    الإعجابات المتلقاة:
    317
    نقاط الجائزة:
    670
    الإقامة:
    Al Ain - UAE
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    :u:

    لكن ماذا عن برامج الحماية التى تمتلك خاصية Kernel Level

    :u:
     
  7. مصرى ولى الفخر

    مصرى ولى الفخر زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 24, 2011
    المشاركات:
    2,066
    الإعجابات المتلقاة:
    3,187
    نقاط الجائزة:
    1,120
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    يااخى العفو لم يكذبك احد...بارك الله فيك انت والاخ هيثم
     
  8. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7

    منطقة ال Kernel او Kerenl Mode Ring 0 هذه المنطقة محرمة ولا يستطيع اي برنامج من منطقة

    ال User Mode Ring 3 ان يصل اليها وان حاول ستظهر شاشة زرقاء , مايكروسفت صممت نظام التشغيل بهذه الطريقة

    لحمايتة من الفيروسات او الاختراق بشكل عام ولكن......

    يوجد مبرمجين خبراء وعلماء في انظمة التشغيل , نجحوا في الوصول الى ال Kernel Mode من ال User Mode

    وبدون مشاكل.....

    من برامج الحماية التي تحتوى على Kernel Level Protection

    الاونلاين ارمر والبتدفندر

    الكاسبر سكي لا يحمي منطقة الكيرنل !!!!!

    لا يمتلك هذه التقنية لذلك اختراقة ممكن !!

    اي برنامج يحتوى على Kernel Protection

    باعتقادي سيكون قادر على صد الروتكيت

    ولكن هذا ليس بالسهل من يمتلك هذه التقنية يعرف الكثير عن اسرار نظام التشغيل وقد يتفوق على مايكروسوفت نفسها
     
  9. onizoka

    onizoka زيزوومي مميز

    إنضم إلينا في:
    ‏فبراير 7, 2011
    المشاركات:
    521
    الإعجابات المتلقاة:
    241
    نقاط الجائزة:
    570
    الإقامة:
    zyzoom
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    انا جربته علي الحقيقي و البولغارد لم يكتشفه ماذا افعل ........
     
  10. مصرى ولى الفخر

    مصرى ولى الفخر زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 24, 2011
    المشاركات:
    2,066
    الإعجابات المتلقاة:
    3,187
    نقاط الجائزة:
    1,120
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    طيب بغض النظر ..هو فين محرك الكاسبر العملاق ومحرك الروتكيت الجبار...وتطوير خاصية exploit preventation
    كل دة كلام بس
     
  11. الماستر 1

    الماستر 1 زيزوومي مميز

    إنضم إلينا في:
    ‏مارس 27, 2011
    المشاركات:
    943
    الإعجابات المتلقاة:
    333
    نقاط الجائزة:
    570
    الإقامة:
    مصر الغاليه ام الدنيا
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    مشكور جدا اخي هيثم علي التجارب الرائعه
    لكن هل ممكن تطبق التجربه علي البلجارد الجديد 2013 لاني من مستخدمي البيدفيندر 2013 والتجارب النمساويه تثبت ان البلجارد تفوق علي البيدفيندر وكنت افكر الي التغيير الي البلجارد
     
  12. onizoka

    onizoka زيزوومي مميز

    إنضم إلينا في:
    ‏فبراير 7, 2011
    المشاركات:
    521
    الإعجابات المتلقاة:
    241
    نقاط الجائزة:
    570
    الإقامة:
    zyzoom
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    يأخي انا جربته عليه وانزلت الصور في موضوع العينة ...و ما اكتشف شيئ :q: :q::angry: :angry:
     
  13. abdalla1234

    abdalla1234 زيزوومي مميز

    إنضم إلينا في:
    ‏فبراير 6, 2012
    المشاركات:
    544
    الإعجابات المتلقاة:
    280
    نقاط الجائزة:
    570
    الإقامة:
    UKRAIN
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 7
    هل الكومودو يمتلك هذه الخاصية
     
  14. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    انصح من جربه على الحقيقي ان لا يفتح ايمله لانه يحتوي على Screen Logger اي سيسرق كل شي من النظام

    وكونه يعمل من منطقة Kernel فهو يمتلك اعلى تصريح بالنظام ولا يمكن رصده او ايقافه

    الحل الاسلم هو الفورمات..............​
     
  15. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    الكاسبر سكي حتى بالوضع اليدوي اي خيار غير

    Restrict او Block

    سيخترق النظام ويصيب منطقة ال Kernel لان الكاسبر لا يحمي هذه المنطقة ​
     
  16. مصرى ولى الفخر

    مصرى ولى الفخر زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 24, 2011
    المشاركات:
    2,066
    الإعجابات المتلقاة:
    3,187
    نقاط الجائزة:
    1,120
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    اكيد تقصد فورمات السى ..وتنصيب ويندوز جديد...مش فورمات للهارد كلة..
    :cr:​
     
  17. onizoka

    onizoka زيزوومي مميز

    إنضم إلينا في:
    ‏فبراير 7, 2011
    المشاركات:
    521
    الإعجابات المتلقاة:
    241
    نقاط الجائزة:
    570
    الإقامة:
    zyzoom
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    كارثة ....غيرت القرص الصلب وانا علي وندوز8 واقوم بتغير كلمات المرور خخخخخخ لماذا لم تقولو روتكيت خطير
     
  18. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    نعم لل C ولكن بعد تنصيب الوندوز الجديد لا تفتح اي بارتشن على الجهاز غير ال C قم بتصيب البتدفندر وقم بتحديثة وعمل فل سكان للنظام كاملا و بعد الانتهاء من الفحص افتح اي بارتيشن عادي...


     
  19. SeCuRiTy-DZ

    SeCuRiTy-DZ زيزوومي محترف

    إنضم إلينا في:
    ‏مارس 15, 2011
    المشاركات:
    2,780
    الإعجابات المتلقاة:
    477
    نقاط الجائزة:
    820
    الإقامة:
    أَنـْدْرُومِيـداَ
    برامج الحماية:
    avast
    نظام التشغيل:
    Linux
    هل اصلاح الوندوز وحده فقط يقوم بإتلاف الروتكيت؟؟

    ان كان الإصلاح يقوم بالمهمـة فهذا أفضـل
     
  20. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    ساجرب الكمودو​
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...