• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الحالة
مغلق و غير مفتوح للمزيد من الردود.

haitham653

زيزوومى مبدع
إنضم
11 سبتمبر 2008
المشاركات
1,484
مستوى التفاعل
166
النقاط
650
الإقامة
Jordan
غير متصل
السلام عليكم


اليوم اقدم لكم روتكيت مدمج مع فلاش بلير

الفيروس باختصار هو Kernel Level Screen logger

وهو ينتمي الى عائلة الروتكيت


يقوم بتسجيل الشاشة screen logger ومن ثم يخترق النظام من منطقة الكيرنل حتى لا ينكشف امرة

ويرسل البيانات عن طريق svchost الى جهاز المخترق !!!!

الوندوز يستخدم svchost للاتصال بالنت اي الجدار الناري لن يرصدة بل سيرصد svchost وهو ملف امن !!


هام جدا لاتجرب على نظام حقيقي جربت منذ الصباح اكثر من 7 ادوات ولا واحدة رصدت حركاته و اكتشافه صعب ولا ينفع معه الا الفورمات



التجربة الاولى


Online Armor

يريد ان يأخذ صورة للشاشة Screen Logger

e2583049f8886e3ca57bd23e2c9e732b.jpg


تحميل ملف dll في ال Temp


c1fbd764f24875c9b5c6ab086996e189.jpg



حقن النظام ب Payload او ما يعرف ب API hook

الهدف اصابة منطقة Kernel

51a9d659d01b6f12aad66b6b67c4c2a9.jpg


d84d4e92e1090a7008ac998b68587f47.jpg


بعد ذلك تمت السيطرة بشكل مطلق على svchost

5334c42ce86ccdbbb3a9be7bc37f3362.jpg



اتصال لانترنت من ملفات ال Temp

db0059b491452cd8bd0b925da0d8017c.jpg



طبعا بعد انتهاء العملية تمت السيطرة على النظام والروتكيت سيتصل عن طريقsvchost

طبعا علامة اصابة النظام

1665ae3ef55230fba347396addd2446b.jpg



العلامة الكاملة للاونلاين ارمر

فيديو التجربة

OA.rar


التجربة الثانية

Bitdefender Internet Security 2011

البعض قد يسال لماذا 2011

نصبته بالامس للقيام ببعض التجارب وكان محدث فقمت بتجربته اليوم

الروتكيت محمي بكلمة سر حتى لا تكتشفه برامج الحماية

a09b06d1f587738519c38174f21bd211.jpg


238c5414c18bfecfebed7659cc191428.jpg


لحظة التشغيل البتدفندر قضى عليه بضربة واحدة من خلال وحدة

Intrusion Detection System

be03896b5a05e96311b273ccfd8ce934.jpg


علامة كاملة للبتدفندر

فيديو التجربة

BDavi.rar

Bitdefender Internet Security 2013

في وضع Auto Pilot

اوقف الروتكيت بدون اي سؤال

de10b6ed7e80c07ba50e26f544dbd64c.jpg
9f252b82231072463eef10d30db0ca28.jpg


فيديو التجربة

BD2013.rar

هذه التجربة هدية لمن يقول ان جدار البتدفندر ضعيف​


التجربة الثالثة

كاسبرسكي انترنت سيكيورتي 2013

بالوضع الافتراضي

73c9b8243b8f075a2197c1e3a2f9bd5b.jpg




اذا اخترت Yes I trust It

سيتم اختراق النظام بنجاح

اذا اخترت Restrict

سيوقف الملف

فيديو التجربة

KIS.rar


الكاسبرسكي بالوضع اليدوي

لم ينجح في رصد الكيلوجر

لم يرصد عمليات ال Kernel

انذارات كثيرة ومبهمة نوعا ما حتى المستخدم المحترف قد يصاب

باعتقادي الكاسبر فشل بالوضعين ولكن ساعطيه 50%

فيديو التجربة

KIS2.rar

التجربة الرابعة

ايست سمارت سيكيورتي 5

باقصى الاعدادات

فشل بامتياز مع مرتبة الشرف

Eset.rar


التجربة الخامسة

كمودو انترنت سيكيوروتي

جربت الكمودو في جميع الاعدادات الفرق كان في رصد الاتصال في النت فقط على العموم

670a43dec603eaa6c160e42aaad790b9.jpg


رسالة الكمودو Unlimited Access to your Computer اي ان البرنامج يريد ان يحصل على تصريح مطلق

ويقصد الكمودو هنا انه اذا سمحت للملف قد لا يستطيع الكمودو رصد حركاته في النظام

الخلاصة اذا تم تشغيله في الساندبكس فان الروتكيت لم يعمل !!!!

اذا اخترت Allow راحت عليك وسيتم اختراق النظام

العملية الاخرى التى رصدها الكمودو بعد رفع الاعدادات محاولة الاتصال بالنت

e589e15f21a5ab2e2356573d5ab5c783.jpg


حتى الاتصال لا يبدو خطيرا من تحذير الكمودو !!!

ايضا لم يرصد الكيلوجر ولم يرصد عمليات الكيرنل مثل الاونلاين ارمر !!!

السؤال المهم هل Unlimited Access to your Computer تظهر كثيرا وكيف يتعامل معها عادة مستخدمي الكمودو !!!

باعتقادي الكمودو بنفس مستوى الكاسبر مع افضلية بسيطة لصالح الكمودو لانه حذرك من الملف قد يسيطر على النظام !!!

فيديو التجربة

comodo.rar



التجربة السادسة

نورتون انترنت سيكيورتي 2013

فشل مع مرتبة الشرف

فيديو التجربة

Norton 2013.rar


التجربة السابعة

زيمانا انتي لوجر

فشل بامتياز مع مرتبة الشرف

السبب


يستطيع ان يحمي الشاشة في الوضع العادي فقط User Mode

لا يستطيع ان يحمي الشاشة اذا كانت عملية التصوير من ال Kernel Mode

لذلك تم تخطيه بسهولة


فيديو التجربة

Zemana A.L.rar


هام جدا : للاسف هنالك الكثير من المتعصبين الذين يجادلون بغير المنطق , انا لست متحيزا لاي برنامج بل قمت بعمل التجارب

وقمت بوضع جميع الاحتمالات والخيارت حتى يستفيد القارئ الكريم ..... وارسلت الملف لمن طلبه فاين التحيز ؟!!

الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافح على التعامل مع الروتكيت من خلال حماية منطقة الكيرنل !!!

البعض يعتقد انه اذا شغل اي ملف بوجود برنامج هيبس فانه قادر على رصد جميع حركات الملف وهذا اعتقاد خاطئ !!

الهدف الثاني اظهار مرونة المكافح وقدرتة على الحماية او منع الاصابة من نقطة الصفر....





تنويه

ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها

Adware او Riskware

Adware - Wikipedia, the free encyclopedia

Riskware - Wikipedia, the free encyclopedia

رابط الفحص على فيروس توتال

https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/


 

توقيع : haitham653
السلام عليكم
اخيرا تجربة رائعة ..اخى هيثم هو دة نفس التروجان فى هذا الموضوع
http://www.zyzoom.org/vb/zyzoom280015.html

انا جربتة على الحقيقى والكاسبر اعطانى نفس الرسالة وعملت سمامح وفحصت بالهيتمان والمالوير واداة الحصان..ولم تظهر اى اصابة​
 
توقيع : مصرى ولى الفخر
الحمدلله يا اخوان اقتنعتو بالتروجان من موضوعي
 
السلام عليكم
اخيرا تجربة رائعة ..اخى هيثم هو دة نفس التروجان فى هذا الموضوع
http://www.zyzoom.org/vb/zyzoom280015.html

انا جربتة على الحقيقى والكاسبر اعطانى نفس الرسالة وعملت سمامح وفحصت بالهيتمان والمالوير واداة الحصان..ولم تظهر اى اصابة​

الروتكيت يصيب منطقة الكيرنل افحص بما تشاء من الادوات والبرامج يستحيل حذفة الا اذا قامت شركة حماية بصنع اداة خاصة له...راجع رسائل الاونلاين ارمر

الكاسبر بالوضع اليدوي حذرني من اتصال svchost وفي الحقيقة هو اتصال للروتكيت عن طريق svchost

تشغيل ملف تحديث الفلاش يعني انه تم اختراق النظام وبنجاح 100%
 
توقيع : haitham653
الروتكيت يصيب منطقة الكيرنل افحص بما تشاء من الادوات والبرامج يستحيل حذفة الا اذا قامت شركة حماية بصنع اداة خاصة له...راجع رسائل الاونلاين ارمر

الكاسبر بالوضع اليدوي حذرني من اتصال svchost وفي الحقيقة هو اتصال للروتكيت عن طريق svchost

تشغيل ملف تحديث الفلاش يعني انه تم اختراق النظام وبنجاح 100%

:hh:
الله يطمنك...يعنى انا كدا خلاص بقيت شاب مخترق....طب الحل اية...
:u:​
 
توقيع : مصرى ولى الفخر
توقيع : MR.Avira
الحمدلله يا اخوان اقتنعتو بالتروجان من موضوعي

يااخى العفو لم يكذبك احد...بارك الله فيك انت والاخ هيثم
 
توقيع : مصرى ولى الفخر
:u:

لكن ماذا عن برامج الحماية التى تمتلك خاصية Kernel Level

:u:


منطقة ال Kernel او Kerenl Mode Ring 0 هذه المنطقة محرمة ولا يستطيع اي برنامج من منطقة

ال User Mode Ring 3 ان يصل اليها وان حاول ستظهر شاشة زرقاء , مايكروسفت صممت نظام التشغيل بهذه الطريقة

لحمايتة من الفيروسات او الاختراق بشكل عام ولكن......

يوجد مبرمجين خبراء وعلماء في انظمة التشغيل , نجحوا في الوصول الى ال Kernel Mode من ال User Mode

وبدون مشاكل.....

من برامج الحماية التي تحتوى على Kernel Level Protection

الاونلاين ارمر والبتدفندر

الكاسبر سكي لا يحمي منطقة الكيرنل !!!!!

لا يمتلك هذه التقنية لذلك اختراقة ممكن !!

اي برنامج يحتوى على Kernel Protection

باعتقادي سيكون قادر على صد الروتكيت

ولكن هذا ليس بالسهل من يمتلك هذه التقنية يعرف الكثير عن اسرار نظام التشغيل وقد يتفوق على مايكروسوفت نفسها
 
توقيع : haitham653
انا جربته علي الحقيقي و البولغارد لم يكتشفه ماذا افعل ........
 
توقيع : onizoka
طيب بغض النظر ..هو فين محرك الكاسبر العملاق ومحرك الروتكيت الجبار...وتطوير خاصية exploit preventation
كل دة كلام بس
 
توقيع : مصرى ولى الفخر
مشكور جدا اخي هيثم علي التجارب الرائعه
لكن هل ممكن تطبق التجربه علي البلجارد الجديد 2013 لاني من مستخدمي البيدفيندر 2013 والتجارب النمساويه تثبت ان البلجارد تفوق علي البيدفيندر وكنت افكر الي التغيير الي البلجارد
 
مشكور جدا اخي هيثم علي التجارب الرائعه
لكن هل ممكن تطبق التجربه علي البلجارد الجديد 2013 لاني من مستخدمي البيدفيندر 2013 والتجارب النمساويه تثبت ان البلجارد تفوق علي البيدفيندر وكنت افكر الي التغيير الي البلجارد

يأخي انا جربته عليه وانزلت الصور في موضوع العينة ...و ما اكتشف شيئ :q: :q::mad: :mad:
 
توقيع : onizoka
هل الكومودو يمتلك هذه الخاصية
 
انصح من جربه على الحقيقي ان لا يفتح ايمله لانه يحتوي على Screen Logger اي سيسرق كل شي من النظام

وكونه يعمل من منطقة Kernel فهو يمتلك اعلى تصريح بالنظام ولا يمكن رصده او ايقافه

الحل الاسلم هو الفورمات..............​
 
توقيع : haitham653
الكاسبر سكي حتى بالوضع اليدوي اي خيار غير

Restrict او Block

سيخترق النظام ويصيب منطقة ال Kernel لان الكاسبر لا يحمي هذه المنطقة​
 
توقيع : haitham653
انصح من جربه على الحقيقي ان لا يفتح ايمله لانه يحتوي على Screen Logger اي سيسرق كل شي من النظام

وكونه يعمل من منطقة Kernel فهو يمتلك اعلى تصريح بالنظام ولا يمكن رصده او ايقافه

الحل الاسلم هو الفورمات..............​

اكيد تقصد فورمات السى ..وتنصيب ويندوز جديد...مش فورمات للهارد كلة..
:cr:​
 
توقيع : مصرى ولى الفخر
كارثة ....غيرت القرص الصلب وانا علي وندوز8 واقوم بتغير كلمات المرور خخخخخخ لماذا لم تقولو روتكيت خطير
 
توقيع : onizoka
اكيد تقصد فورمات السى ..وتنصيب ويندوز جديد...مش فورمات للهارد كلة..
:cr:​

نعم لل C ولكن بعد تنصيب الوندوز الجديد لا تفتح اي بارتشن على الجهاز غير ال C قم بتصيب البتدفندر وقم بتحديثة وعمل فل سكان للنظام كاملا و بعد الانتهاء من الفحص افتح اي بارتيشن عادي...


 
توقيع : haitham653
هل اصلاح الوندوز وحده فقط يقوم بإتلاف الروتكيت؟؟

ان كان الإصلاح يقوم بالمهمـة فهذا أفضـل
 
توقيع : SeCuRiTy-DZ
ساجرب الكمودو​
 
توقيع : haitham653
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى