روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

[yones7x]

:i:​

انا لم افهم كيف سيعمل ملف dll لوحده​

على سبيل المثال روتكيت tdss تم دمجه في كيجن لتوليد المفاتيح كما في العاده كما يفعل زيد اكسس

وهذا هو الملف التنفيذي
الان يتم استخراج الروتكيت ونفرض ان اسمه csrssc.exe
وبمجرد التشغيل يقوم بتحميل درايفر لتثبيت نفسه في احد القطاعات وهذا الروتكيت مشهور في تحميل نفسه الى القطاع mbr
ونسمي هذا الدرايفر tdssserv.sys
بالاضافه الى تحميل ملفات dll لاستخدامها من قبل الملف الرئيسي كأسماء مثل
tdssserf.dll
TDSSoexh.dll​

ويقوم باضافة مفاتيج ريجيستري لبدء الخدمه مثل هذا​

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys ​

و يتم حقن بعض الواجهات API مثل IofCallDriver​

ان قامت اداه مثل TDSS KILLER بحذف ملف الدرايفر والملف التنفيذي وترك ملفات ال DLL

ستصبح وجودها كعدمها فكيف ستعمل :u:​

ملفات ال dll عباره عن ملحق للتطبيق​

كنت انتظر أن يشرحه هكذا هيثم :d:
كي اثني عليه :b:​

لكن إن شرحه شرح آخر
ارد عليه بهذا المصدر :bleh:
Rootkit.TDSS - from Wiki-Security, a source for malware detection and computer security​

شكرا لك أخي وجدي، فقد أخرجت ما في رأسي :king:​

 

[yones7x]

آمين

بس الاخ هيثم اعترف وقال هنا




فهو غيّر الموضوع فقط .. وما صار عنيد !
واسم القسم هنا [ نقاشات ] >> فهو حتى لو كان مصرّ .. أهم شي نستفيد ونعرف ما وراء هذا الملف

احنا عرفنا انه مو روتكيت
طيب ايش هذي الرسائل من الاونلاين أرمور :i:

===

وعلى فكرة كل الموضوع نقاش .. ليش يقلب جدال ؟

لم أقل إن هيثم يصر على رأي إنه روت كيت

اعرف إنه اعترف k:

ما أقصده هو ردوده قبل وبعد ذلك الاعتراف

يتكلم عن تقنيات الكاسبر المقتبسة من الماك وسيرفرات البيتدفندر الـ 8 ومهاجمة سيرفرات السحاب

وقصة الهولندي، والنسب المئوية للهكر في العالم، والهكر المحترفين في أمريكا وأوروبا

و و و...

فليطرح مصادر تؤكد كلامه، بدل أن يتلاعب بالعقول :u:

واعتذر إن بدر مني خطأ غير مقصود...

 

[iadobe]

تقول انه يتلاعب بالعقول ؟ اثبت انت انه كذاب ؟

هى هى يا أخ يونس’ تقدر تثبت ان هو مجبش الملف من صديق هولندى ؟


ايه عرفت علم الغيب انت ؟

 

[yones7x]

تقول انه يتلاعب بالعقول ؟ اثبت انت انه كذاب ؟

هى هى يا أخ يونس’ تقدر تثبت ان هو مجبش الملف من صديق هولندى ؟


ايه عرفت علم الغيب انت ؟

لا إله إلا الله، لا يعلم الغيب إلا هو

أعوذ بالله من الشيطان الرجيم، اللهم ابعد عنا الغضب وثبت قلوبنا على دينك

أنت تقول أن اثبت لك من أين اتى به وهو غير المهم، الملف هو الملف

إن شاء الله يجيبه من بنجلادش

لكن يجيب كلام من عنده، هذه ما أقبلها

مثل، حكاية الإحصائيات الهكرية الغريبة هذه :hh:

وإلا حكاية، الهجوم على السحاب، فليشرحها لي إن شاء

وإن أصاب الشرح صدقني لأثني عليه وغير أسلوبه إلى أسلوب متزن

المهم يكون الكلام واقعي

 

[أبو عائشهأبو عائشه is verified member.]

يا شماتة الشيعة فينا

تراهم يا مكثرهم واللي على راسه بطحه يتحسس عليها

على فكرة نحن لسنا سذج أو جهال حتى يتلاعب بعقولنا أو يضحك علينا بكل سهولة

الأعضاء في المنتدى ما شاء الله عليهم وصلوا لمرحلة لا بأس بها وليس للسهولة بمكان أن يضحك عليه فلينتبه لهذا

الخلاصة : من كان عنده دليل ويقنع به نأخذ به ولو كان عضو جديد بمشاركة واحدة​

 

[yones7x]

يا شماتة الشيعة فينا​

تراهم يا مكثرهم واللي على راسه بطحه يتحسس عليها​

على فكرة نحن لسنا سذج أو جهال حتى يتلاعب بعقولنا أو يضحك علينا بكل سهولة​

الأعضاء في المنتدى ما شاء الله عليهم وصلوا لمرحلة لا بأس بها وليس للسهولة بمكان أن يضحك عليه فلينتبه لهذا​

الخلاصة : من كان عنده دليل ويقنع به نأخذ به ولو كان عضو جديد بمشاركة واحدة​

انسى الخبراء والعقلاء وأنت منهم، فلا أخاف عليهم

لكن هناك من الأعضاء المبتدئين من يصدق

عموما أخي الكريم لا تدخل في تفاصيل كثيرة، لكي لا نخرج عن مسار الموضوع

دع هيثم يضع كلام وسأضع كلام

لا حرب ولا شيء :q:

 

[haitham653]

صراحة أول مرة اسمع بـ dll يشتغل، معلومة خطيرة اوي

الي اعرفه إن ملفات dll مكتبة، يضع فيها المبرمج بيانات يستخدمها ملف exe

وعادة ملف dll يحتوي على بيانات مهمة وربما فايروسات

لكن dll يشتغل كذا، أنت خطير اوي يا هيثم

اشرح لي كمان ازاي بيشتغل الـ dll الخطير ده ويصيب النظام؟

واش معنى إنه أعلى من كل الطبقات ما عدا الانتي فايروس؟

والكلام ده بتاع اعلى من الطبقات جاء من وين؟

اولا اخي الكريم لو راجعت كلامي بدقة كان ممكن فهمت على , انا قلت المبرمج يقوم بتنصيب برنامج نظيف على جهاز الضحية , يقوم هذا البرنامج بتحميل ملف dll من ال Hook Server ....

بعد ذلك يقوم البرنامج بتثبيت ملف ال dll في مسار معين حسب ما يريد ولكن المكان الاسلم والاكثر استخداما هو
C:\Windows\System32

خذ هذا المثال : ملف تنفيذي سيقوم بتحميل tdssuvxs.dll وسيقوم بتثبيته في النظام,وسيقوم بعدة اجراءات من اجل حقن ال dll في svchost.exe .

بهذه الطريقة يستطيع ملف ال dll ان يطلب اي شي من svchost.exe مثلا ممكن ان يطلب منه ان يتصل باي هاردوير على الجهاز ان يفتح السي دي روم او يصور بالكاميرا وا ان يسجل ضربات الكي بورد او ان يقوم بعمل فورمات لقرص معين اوالاتصال بالانترنت وتحميل اي شي من الانترنت او حجب مواقع معينة وهكذ حسب الاوامر التي كتبها المبرمج في ملف ال dll

بعض الاوامر قد تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32 لكي تنجح !!!!

بعض انواع ال dll خطير وفتاك , تتصل بال Hook Server ويقوم الهكرز بالتحكم Remotely بشكل مطلق وتام بجهاز الضحية , هذه العملية تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32

هو الان مختفي في النظام لانه يعمل من الكيرنل ف يستطيع ان يفعل ما يشاء ولن ترصده برامج الهيبس !!

الجدار الناري في هذه الحالة بالوضع اليدوي سيرصد اتصال svchost وسيخبرك انه اتصال امن ؟!!

مثال اخر على اصابة windows installer ب dll.dll هذا الاخير سيمنع النظام من تنصيب اي برنامج حماية بل انه قادر على حذف ملف التنصيب لاي برنامج معين هذا كله يعتمد على الاوامر التي وضعها المبرمج....

لو فرضنا ان الاصابة السابقة كانت للانترنت اكسبلورر وهذا وارد فعند الاتصال بالنت فان الجدار الناري سيرصد اتصال الانترنت اكسبلورر كما في هذا المثال بالاسفل وفي حالة الكاسبر سخبرك ان الاتصال امن ولكن برمجيات خبيثة يمكن ان تستخدم هذا الاتصال للحصول على تصريح في النظام ؟!!

هذا النوع من الاصابة عادة لا يمكن كشفة الا ببرامج واداوت خاصة وفي حالات نادرة ينجح الانتي فيروس في كشفه

بالنسبة لمحركات الانتي فيروس جميعها وبلا استثناء تعمل من ال Kernel Level وهذا الشي يعطيها ميزة كبيرة وهي القدرة على مراقبة النظام وحذف اي ملف بالنظام ؟!!!!

اترك الاونلاين ارمر جانبا , 90% من برامج الهيبس تعمل من ال User Mode Ring 3 والسبب ان اضافة وحدات حماية الي ال kernel level , سيثقل الجهاز وسيتطلب الامر ايضا تقنيات اضافية هذا غير صعوبة الاستخدام !!!

لذلك كثير من شركات الحماية ترى اضافة حماية للكيرنل شي صعب ومكلف وغير ضروري بل سيحعل برنامج الحماية غير عملى ولن يناسب جميع الفئات لذلك اكتفت بحماية منطقة ال User Mode والسبب الاهم والرئيسي وراء ذلك ان اي برنامج بريد ان يصل لل Kernel level سيعمل اولا في ال User Mode لذلك يمكن رصده ببرامج الهيبس او بالاحرى يمكن رصد المراحل الاولى لعملية تنصيب اي Kernel file.

نظريا هذا الكلام صحيح ولكن على ارض الواقع ستظهر مشاكل كبرى وحقيقية وهي ان هنالك اوامر كثيرة تتشارك بها تطبيقات امنه مع برامج خبيثة, مثلا ممكن تشغل كراك والكاسبر يخبرك انه يريد ان يحمل الى جهازك ملف dll هنالك احتمالان قد يكون نظيف وقد يكون خبيث ولا يمكن معرفة ذلك الا من برنامج هيبس يحتوى على kernel protection او فحص ال dll في مختبرات الحماية .....ولكن بوجود السحاب قد لا تعتبر هذه مشكلة كبيرة ؟!!!


الهدف من حقن dll مع ملف تنفيذي في الذاكرة بالدرجة الاولى هو الوصول الى منطقة الكيرنل والتحكم بالنظام فاذا نجح بذلك فلا يمكن لبرامج الهيبس ان ترصده لاحقا ...

المصيبة الكبرى ان بعض الهكرز المحترفين نجحوا مؤخرا - سنة تقريبا - في تطوير طرق جديدة وفتاكة لحقن ملف dll في ملف تنفيذي يعمل في الذاكرة وباستخدام 3 او 4 اوامر بسيطة تقوم بها برامج نظامية !!!

اي استفسار في الخدمة
​

 

[أبو عائشهأبو عائشه is verified member.]

سؤال للأخ هيثم : هل معنى هذا بأن البرامج المساعدة مع برنامج الحماية والتي تقوم بتشفير الكتابة كبرامج الكي لوجر بجميع أنواعها لن تنجح في ذلك وسيكون وجودها مثل عدمها ؟

أرجو التفضل بالإجابة​

 

[haitham653]

سؤال للأخ هيثم : هل معنى هذا بأن البرامج المساعدة مع برنامج الحماية والتي تقوم بتشفير الكتابة كبرامج الكي لوجر بجميع أنواعها لن تنجح في ذلك وسيكون وجودها مثل عدمها ؟

أرجو التفضل بالإجابة​

اذا تم تخطي النظام والسيطره عليه بروتكيت طبعا لن تنفع لان الروتكيت سيعمل مثله مثل برنامج التشفير
وسيتحكم باي هاردوير على جهازك ...

التشفير سوف ينجح مع برامج ال stealer

البتدفندر مميز بانه سيمنع ارسال بياناتك عبر الانترنت حتى لو اصيب النظام بروتكيت وتخطي البتدفندر فلن يستطيع ان يرسلها عبر الانترنت...الا اذا عطل البتدفندر وهذا مستحيل !!!​

 

[أبو عائشهأبو عائشه is verified member.]

اذا تم تخطي النظام والسيطره عليه بروتكيت طبعا لن تنفع لان الروتكيت سيعمل مثله مثل برنامج التشفير
وسيتحكم باي هاردوير على جهازك ...

التشفير سوف ينجح مع برامج ال stealer

البتدفندر مميز بانه سيمنع ارسال بياناتك عبر الانترنت حتى لو اصيب النظام بروتكيت وتخطي البتدفندر فلن يستطيع ان يرسلها عبر الانترنت...الا اذا عطل البتدفندر وهذا مستحيل !!!​

عفواً أخي هيثم : أليس برنامج البيتدفايندر برنامج شأنه شأن البرامج الأخرى يمكن السيطرة عليه وذلك بخطأ من المستخدم نفسه ؟
​

 

[haitham653]

اولا اخي الكريم لو راجعت كلامي بدقة كان ممكن فهمت على , انا قلت المبرمج يقوم بتنصيب برنامج نظيف على جهاز الضحية , يقوم هذا البرنامج بتحميل ملف dll من ال Hook Server ....

بعد ذلك يقوم البرنامج بتثبيت ملف ال dll في مسار معين حسب ما يريد ولكن المكان الاسلم والاكثر استخداما هو
C:\Windows\System32

خذ هذا المثال : ملف تنفيذي سيقوم بتحميل tdssuvxs.dll وسيقوم بتثبيته في النظام,وسيقوم بعدة اجراءات من اجل حقن ال dll في svchost.exe .

بهذه الطريقة يستطيع ملف ال dll ان يطلب اي شي من svchost.exe مثلا ممكن ان يطلب منه ان يتصل باي هاردوير على الجهاز ان يفتح السي دي روم او يصور بالكاميرا وا ان يسجل ضربات الكي بورد او ان يقوم بعمل فورمات لقرص معين اوالاتصال بالانترنت وتحميل اي شي من الانترنت او حجب مواقع معينة وهكذ حسب الاوامر التي كتبها المبرمج في ملف ال dll

بعض الاوامر قد تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32 لكي تنجح !!!!

بعض انواع ال dll خطير وفتاك , تتصل بال Hook Server ويقوم الهكرز بالتحكم Remotely بشكل مطلق وتام بجهاز الضحية , هذه العملية تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32

هو الان مختفي في النظام لانه يعمل من الكيرنل ف يستطيع ان يفعل ما يشاء ولن ترصده برامج الهيبس !!

الجدار الناري في هذه الحالة بالوضع اليدوي سيرصد اتصال svchost وسيخبرك انه اتصال امن ؟!!

مثال اخر على اصابة windows installer ب dll.dll هذا الاخير سيمنع النظام من تنصيب اي برنامج حماية بل انه قادر على حذف ملف التنصيب لاي برنامج معين هذا كله يعتمد على الاوامر التي وضعها المبرمج....

لو فرضنا ان الاصابة السابقة كانت للانترنت اكسبلورر وهذا وارد فعند الاتصال بالنت فان الجدار الناري سيرصد اتصال الانترنت اكسبلورر كما في هذا المثال بالاسفل وفي حالة الكاسبر سخبرك ان الاتصال امن ولكن برمجيات خبيثة يمكن ان تستخدم هذا الاتصال للحصول على تصريح في النظام ؟!!

هذا النوع من الاصابة عادة لا يمكن كشفة الا ببرامج واداوت خاصة وفي حالات نادرة ينجح الانتي فيروس في كشفه

بالنسبة لمحركات الانتي فيروس جميعها وبلا استثناء تعمل من ال Kernel Level وهذا الشي يعطيها ميزة كبيرة وهي القدرة على مراقبة النظام وحذف اي ملف بالنظام ؟!!!!

اترك الاونلاين ارمر جانبا , 90% من برامج الهيبس تعمل من ال User Mode Ring 3 والسبب ان اضافة وحدات حماية الي ال kernel level , سيثقل الجهاز وسيتطلب الامر ايضا تقنيات اضافية هذا غير صعوبة الاستخدام !!!

لذلك كثير من شركات الحماية ترى اضافة حماية للكيرنل شي صعب ومكلف وغير ضروري بل سيحعل برنامج الحماية غير عملى ولن يناسب جميع الفئات لذلك اكتفت بحماية منطقة ال User Mode والسبب الاهم والرئيسي وراء ذلك ان اي برنامج بريد ان يصل لل Kernel level سيعمل اولا في ال User Mode لذلك يمكن رصده ببرامج الهيبس او بالاحرى يمكن رصد المراحل الاولى لعملية تنصيب اي Kernel file.

نظريا هذا الكلام صحيح ولكن على ارض الواقع ستظهر مشاكل كبرى وحقيقية وهي ان هنالك اوامر كثيرة تتشارك بها تطبيقات امنه مع برامج خبيثة, مثلا ممكن تشغل كراك والكاسبر يخبرك انه يريد ان يحمل الى جهازك ملف dll هنالك احتمالان قد يكون نظيف وقد يكون خبيث ولا يمكن معرفة ذلك الا من برنامج هيبس يحتوى على kernel protection او فحص ال dll في مختبرات الحماية .....ولكن بوجود السحاب قد لا تعتبر هذه مشكلة كبيرة ؟!!!


الهدف من حقن dll مع ملف تنفيذي في الذاكرة بالدرجة الاولى هو الوصول الى منطقة الكيرنل والتحكم بالنظام فاذا نجح بذلك فلا يمكن لبرامج الهيبس ان ترصده لاحقا ...

المصيبة الكبرى ان بعض الهكرز المحترفين نجحوا مؤخرا - سنة تقريبا - في تطوير طرق جديدة وفتاكة لحقن ملف dll في ملف تنفيذي يعمل في الذاكرة وباستخدام 3 او 4 اوامر بسيطة تقوم بها برامج نظامية !!!

اي استفسار في الخدمة
​

ما الطريقة التي يحتاج اليها اي مبرمج محترف لتخطي اي نظام ؟!!!

1- ملف تنفيذي نظيف !!!
2- Hook Server يتصل من موقع امان !!
3- ملف dll .

الملف التنفيذي يتصل بال Hook Server ويقوم بتحميل ملف dll الى جهاز الضحية ويقوم بحقنه ب svchost.exe

او الطريقة الثانية وهي الفتاكة الملف التنفيذي يتصل بال Hook Server يقوم المبرمج بتحميل ملف ال dll الى جهاز الضحية وحقنة ب svchost من بعد Remotely

اذا قام المبرمج باغلاق السيرفر فانه لن يتم تحميل ملف ال dll ولن يشكل الملف التنفيذي اي تهديد !!​

 

[yones7x]

اولا اخي الكريم لو راجعت كلامي بدقة كان ممكن فهمت على , انا قلت المبرمج يقوم بتنصيب برنامج نظيف على جهاز الضحية , يقوم هذا البرنامج بتحميل ملف dll من ال Hook Server ....​

بعد ذلك يقوم البرنامج بتثبيت ملف ال dll في مسار معين حسب ما يريد ولكن المكان الاسلم والاكثر استخداما هو
C:\Windows\System32​

خذ هذا المثال : ملف تنفيذي سيقوم بتحميل tdssuvxs.dll وسيقوم بتثبيته في النظام,وسيقوم بعدة اجراءات من اجل حقن ال dll في svchost.exe .​

​

بهذه الطريقة يستطيع ملف ال dll ان يطلب اي شي من svchost.exe مثلا ممكن ان يطلب منه ان يتصل باي هاردوير على الجهاز ان يفتح السي دي روم او يصور بالكاميرا وا ان يسجل ضربات الكي بورد او ان يقوم بعمل فورمات لقرص معين اوالاتصال بالانترنت وتحميل اي شي من الانترنت او حجب مواقع معينة وهكذ حسب الاوامر التي كتبها المبرمج في ملف ال dll​

بعض الاوامر قد تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32 لكي تنجح !!!!​

بعض انواع ال dll خطير وفتاك , تتصل بال Hook Server ويقوم الهكرز بالتحكم Remotely بشكل مطلق وتام بجهاز الضحية , هذه العملية تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32 ​

هو الان مختفي في النظام لانه يعمل من الكيرنل ف يستطيع ان يفعل ما يشاء ولن ترصده برامج الهيبس !!​

الجدار الناري في هذه الحالة بالوضع اليدوي سيرصد اتصال svchost وسيخبرك انه اتصال امن ؟!!​

مثال اخر على اصابة windows installer ب dll.dll هذا الاخير سيمنع النظام من تنصيب اي برنامج حماية بل انه قادر على حذف ملف التنصيب لاي برنامج معين هذا كله يعتمد على الاوامر التي وضعها المبرمج....​

​

لو فرضنا ان الاصابة السابقة كانت للانترنت اكسبلورر وهذا وارد فعند الاتصال بالنت فان الجدار الناري سيرصد اتصال الانترنت اكسبلورر كما في هذا المثال بالاسفل وفي حالة الكاسبر سخبرك ان الاتصال امن ولكن برمجيات خبيثة يمكن ان تستخدم هذا الاتصال للحصول على تصريح في النظام ؟!!​

​

هذا النوع من الاصابة عادة لا يمكن كشفة الا ببرامج واداوت خاصة وفي حالات نادرة ينجح الانتي فيروس في كشفه​

بالنسبة لمحركات الانتي فيروس جميعها وبلا استثناء تعمل من ال Kernel Level وهذا الشي يعطيها ميزة كبيرة وهي القدرة على مراقبة النظام وحذف اي ملف بالنظام ؟!!!!​

اترك الاونلاين ارمر جانبا , 90% من برامج الهيبس تعمل من ال User Mode Ring 3 والسبب ان اضافة وحدات حماية الي ال kernel level , سيثقل الجهاز وسيتطلب الامر ايضا تقنيات اضافية هذا غير صعوبة الاستخدام !!!​

لذلك كثير من شركات الحماية ترى اضافة حماية للكيرنل شي صعب ومكلف وغير ضروري بل سيحعل برنامج الحماية غير عملى ولن يناسب جميع الفئات لذلك اكتفت بحماية منطقة ال User Mode والسبب الاهم والرئيسي وراء ذلك ان اي برنامج بريد ان يصل لل Kernel level سيعمل اولا في ال User Mode لذلك يمكن رصده ببرامج الهيبس او بالاحرى يمكن رصد المراحل الاولى لعملية تنصيب اي Kernel file.​

نظريا هذا الكلام صحيح ولكن على ارض الواقع ستظهر مشاكل كبرى وحقيقية وهي ان هنالك اوامر كثيرة تتشارك بها تطبيقات امنه مع برامج خبيثة, مثلا ممكن تشغل كراك والكاسبر يخبرك انه يريد ان يحمل الى جهازك ملف dll هنالك احتمالان قد يكون نظيف وقد يكون خبيث ولا يمكن معرفة ذلك الا من برنامج هيبس يحتوى على kernel protection او فحص ال dll في مختبرات الحماية .....ولكن بوجود السحاب قد لا تعتبر هذه مشكلة كبيرة ؟!!!​

الهدف من حقن dll مع ملف تنفيذي في الذاكرة بالدرجة الاولى هو الوصول الى منطقة الكيرنل والتحكم بالنظام فاذا نجح بذلك فلا يمكن لبرامج الهيبس ان ترصده لاحقا ...​

المصيبة الكبرى ان بعض الهكرز المحترفين نجحوا مؤخرا - سنة تقريبا - في تطوير طرق جديدة وفتاكة لحقن ملف dll في ملف تنفيذي يعمل في الذاكرة وباستخدام 3 او 4 اوامر بسيطة تقوم بها برامج نظامية !!! ​

اي استفسار في الخدمة​

الردود بالألوان:

ما هو الـ Hook Server؟

قصدك يتم استغلال dll في الاتصال عن طريق ملف exe، لأنه الـ dll مجرد مكتبة فيها معلومات مفيدة أو خطيرة
+ هذه وظائف ملف svchost.exe التي تتكلم عنها، ليست جميعها صحيحة
وظائف svchost مقتبسة من services.msc

1- svchost.exe -k AxInstSVGroup:
توفير التحقق من التحكم في حساب المستخدم لتثبيت عناصر تحكم ActiveX من إنترنت وتمكين إدارة تثبيت عنصر تحكم ActiveX وفقاً لإعدادات "نهج المجموعة". تم بدء تشغيل هذه الخدمة عند الطلب وسيتم تطبيقها وفقاً لإعدادات المستعرض الافتراضية في حالة تعطيل تثبيت عناصر تحكم ActiveX.

2- svchost.exe -k LocalServiceAndNoImpersonation:
مراقبة أدوات استشعار الأضواء المحيطة لاكتشاف التغييرات التي تحدث في الأضواء المحيطة وضبط درجة سطوع الشاشة. في حالة إيقاف هذه الخدمة أو تعطيلها، لن تكون درجة سطوع الشاشة ملائمة لحالات الضوء.

3- svchost.exe -k netsvcs:
Processes application compatibility cache requests for applications as they are launched

4- svchost.exe -k LocalServiceAndNoImpersonation:
‏‏تحدد هوية التطبيق وتتحقق منها. يؤدي تعطيل هذه الخدمة إلى منع فرض AppLocker.

5- svchost.exe -k netsvcs:
تسهيل عمل التطبيقات التفاعلية بامتيازات إدارية إضافية. إذا توقفت الخدمة، فسيتعذر على المستخدمين تشغيل التطبيقات ذات الامتيازات الإدارية الإضافية التي قد يحتاجونها لتنفيذ مهام مطلوبة.

6- svchost.exe -k netsvcs:
يتم توزيع طلبات تثبيت العمليات وإزالتها وتعدادها للبرامج عبر "نهج المجموعة". إذا تم تعطيل الخدمة، فيتعذر على المستخدمين تثبيت أو إزالة أو إجراء تعداد البرامج التي يتم توزيعها عبر "نهج المجموعة". إذا تم تعطيل هذه الخدمة، فيفشل بدء أي خدمات تعتمد عليها بشكل صريح.

7- svchost.exe -k netsvcs:
نقل الملفات في الخلفية باستخدام النطاق الترددي الخامل للشبكة. إذا تم تعطيل الخدمة، فإن أي تطبيق يعتمد على BITS، مثل Windows Update أو MSN Explorer يصبح غير قادر على تنزيل البرامج ومعلومات أخرى تلقائياً.

8- svchost.exe -k LocalServiceNoNetwork:
‏‏مشغل التصفية الرئيسي (BFE) هي الخدمة التي تقوم بإدارة جدار الحماية ونُهج أمان بروتوكول إنترنت (IPsec) وتقوم بتطبيق تصفية وضع المستخدم. إيقاف خدمة BFE أو تعطيلها سيقلل من أمان النظام بشكل مؤثر. وسيؤدي أيضًا إلى سلوك غير متوقع من إدارة IPsec وتطبيقات جدار الحماية.

9- svchost.exe -k netsvcs:
تستضيف خدمة BDESVC خدمة "تشفير المحركات باستخدام BitLocker". توفر "تشفير المحركات باستخدام BitLocker" بدء التشغيل الآمن لنظام التشغيل بالإضافة إلى التشفير الكامل لوحدة التخزين الخاصة بنظام التشغيل ووحدات التخزين الثابتة أو القابلة للإزالة. تسمح هذه الخدمة لـ BitLocker بمطالبة المستخدمين بالإجراءات المتنوعة الخاصة بوحدات التخزين عند التحميل وإلغاء تأمين وحدات التخزين تلقائياً بدون تدخل المستخدم. وتقوم بالإضافة إلى ذلك بتخزين معلومات الاسترداد على Active Directory، في حالة توافره، وتقوم عند الحاجة بالتأكد من استخدام أحدث شهادات الاسترداد. قد يؤدي إيقاف الخدمة أو تعطيلها إلى منع المستخدمين من الاستفادة من وظائف هذه الخدمة.

10- svchost.exe -k bthsvcs:
‏‏تدعم خدمة Bluetooth اكتشاف أجهزة Bluetooth عند بُعد والاقتران بها. قد يؤدي إيقاف هذه الخدمة أو تعطيلها إلى فشل تشغيل أجهزة Bluetooth التي تم تثبيتها مسبقاً ومنع اكتشاف الأجهزة الجديدة أو الاقتران بها.

11- svchost.exe -k PeerDist:
‏‏تقوم هذه الخدمة بتخزين محتوى الشبكة مؤقتاً من النظراء على الشبكة الفرعية المحلية.

12- svchost.exe -k netsvcs:
نسخ شهادات المستخدم والشهادات الجذر من البطاقات الذكية إلى مخزن شهادات المستخدم الحالية، والكشف عن وقت إدراج بطاقة ذكية في قارئ البطاقات الذكية، وفي حالة الضرورة، تثبيت برنامج التشغيل المصغر للتوصيل والتشغيل الخاص بالبطاقة الذكية.

13- svchost.exe -k LocalService:
يعتمد " خدمة نظام الإخطار بالأحداث" (SENS) التي توفر التوزيع التلقائي للأحداث بين مكونات "طراز كائن المكون" (COM). إذا تم إيقاف الخدمة، فستتوقف SENS عن العمل ولن تتمكن من إعطاء إخطارات تسجيل الدخول والخروج؛ وإذا تم تعطيلها، فسيتعذر بدء أي خدمة تعتمد عليها بشكل واضح.

14- svchost.exe -k netsvcs:
‏‏يتم الاحتفاظ بقائمة محدثة لأجهزة الكمبيوتر على الشبكة ويتم تزويد أجهزة الكمبيوتر المشار إليها كمستعرضات بهذه القائمة. إذا توقفت هذه الخدمة, فلن يتم تحديث هذه القائمة أو الاحتفاظ بها. وإذا تم تعطيل هذه الخدمة, لن يمكن تشغيل أية خدمات تعتمد عليها صراحة.

15- svchost.exe -k NetworkService:
‏‏توفر أربع خدمات إدارية: "خدمة قاعدة بيانات الكتالوج"، والتي تصادق على تواقيع ملفات Windows وتسمح بتثبيت برامج جديدة؛ و"خدمة الجذر المحمي"، والتي تضيف شهادات المرجع المصدق للجذر الموثوق به إلى هذا الكمبيوتر وتزيلها منه؛ و"خدمة التحديث التلقائي للشهادات الجذر"، وتعمل على استرداد الشهادات الجذر من Windows Update، وتمكين عدد من السيناريوهات مثل SSL، و"خدمة المفاتيح"، والتي تساعد في تسجيل هذا الكمبيوتر للشهادات. إذا تم إيقاف هذه الخدمة، فإن هذه الخدمات لن تعمل بالشكل الصحيح. وإذا تم تعطيل الخدمة، لن يمكن تشغيل الخدمات التي تعتمد عليها صراحة.

16- svchost.exe -k DcomLaunch:
تقوم خدمة DCOMLAUNCH بتشغيل كل من الخادمين COM و DCOM استجابة إلى طلبات تنشيط الكائن. في حالة توقف هذه الخدمة أو تعطيلها، فلن تعمل البرامج التي تستخدم COM أو DCOM بشكل صحيح. لذا فمن المستحسن بتشغيل خدمة DCOMLAUNCH.

17- svchost.exe -k LocalSystemNetworkRestricted:
توفير خدمات بدء تشغيل "إدارة نافذة سطح المكتب" والصيانة

18- svchost.exe -k LocalServiceNetworkRestricted:
تسجيل عناوين IP وسجلات DNS وتحديثها لهذا الكمبيوتر. سيؤدي إيقاف هذه الخدمة إلى عدم تلقي هذا الكمبيوتر لعناوين IP الديناميكية وتحديثات DNS. كما سيؤدي تعطيل هذه الخدمة إلى فشل تشغيل كافة الخدمات التي تعتمد عليها صراحة.

19- svchost.exe -k LocalServiceNoNetwork:
تعمل "خدمة نهج التشخيص" على تمكين اكتشاف مشاكل مكونات Windows وإصلاحها. سيؤدي إيقاف هذه الخدمة إلى تعطيل عمليات التشخيص.

20- svchost.exe -k LocalService:
‏‏يتم استخدام خدمة "مضيف نظام التشخيص" من قبل "خدمة نهج التشخيص" لاستضافة عمليات التشخيص التي يجب إجراؤها في سياق "الخدمة المحلية". سيؤدي إيقاف هذه الخدمة إلى تعطيل أي عمليات تشخيص تعتمد عليها.
(لها خدمتين، خاصة بالخدمات، وخاصة بالنظام)

21- svchost.exe -k defragsvc:
‏‏توفر إمكانية إلغاء تجزئة القرص.

22- svchost.exe -k LocalSystemNetworkRestricted:
الاحتفاظ بارتباطات بين ملفات NTFS داخل كمبيوتر أو عبر أجهزة كمبيوتر في الشبكة.

23- svchost.exe -k NetworkService:
تقوم خدمة عميل DNS (dnscache)‎ بتخزين أسماء "نظام أسماء المجالات (DNS)" تخزيناً مؤقتاً وتسجيل اسم الكمبيوتر بالكامل. إذا تم إيقاف الخدمة، فسيتم متابعة تحليل أسماء DNS. ومع ذلك، لن يتم تخزين نتائج الاستعلامات عن أسماء DNS تخزيناً مؤقتاً كما لن يتم تسجيل اسم الكمبيوتر. وإذا تم تعطيل هذه الخدمة، لن يمكن تشغيل الخدمات التي تعتمد عليها صراحة.

24- svchost.exe -k netsvcs:
‏‏توفر خدمة Extensible Authentication Protocol (EAP)‎ مصادقة الشبكة في مثل هذه السيناريوهات مثل 802.1x السلكي واللاسلكي، وVPN، وحماية الوصول إلى الشبكة (NAP). وتوفر خدمة EAP هذه أيضًا واجهات برمجة التطبيقات (APIs) التي يتم استخدامها من قبل عملاء الوصول إلى الشبكة، بما في ذلك العملاء اللاسلكيين وعملاء VPN، أثناء عملية المصادقة. وإذا قمت بتعطيل هذه الخدمة، فسيتم منع الكمبيوتر من الوصول إلى الشبكات التي تتطلب مصادقة EAP.

25- svchost.exe -k LocalService:
تستضيف خدمة FDPHOST موفري اكتشاف الشبكة لمكون اكتشاف الوظائف (FD). يقدم موفرو FD هؤلاء خدمات اكتشاف الشبكة لبروتوكول اكتشاف الخدمات البسيطة (SSDP) و‏‏بروتوكول اكتشاف خدمات ويب (WS-D). سيؤدي إيقاف خدمة FDPHOST أو تعطيلها إلى تعطيل اكتشاف الشبكة لهذه البروتوكولات عند استخدام FD. وعندما تكون هذه الخدمة غير متوفرة، سيتعذر على خدمات الشبكة التي تستخدم FD وتعتمد على بروتوكولات الاكتشاف هذه العثور على موارد أو خدمات الشبكة.

26- svchost.exe -k LocalServiceAndNoImpersonation:
نشر هذا الكمبيوتر والموارد المرفقة به على الشبكة بغرض اكتشاف خصائص كلٍ منهما. لن يتم نشر موارد الشبكة عند توقف هذه الخدمة، كما سيتعذر اكتشاف خصائص تلك الموارد بواسطة أجهزة الكمبيوتر الأخرى الموجودة على الشبكة.

27- svchost.exe -k netsvcs:
هذه الخدمة مسؤولة عن تطبيق الإعدادات التي قام المسؤولون بتكوينها للكمبيوتر والمستخدمين من خلال مكون "نهج المجموعة". وفي حالة إيقاف هذه الخدمة أو تعطيلها، فلن يتم تطبيق الإعدادات وسيتعذر إدارة التطبيقات والمكونات من خلال "نهج المجموعة". كما لن تعمل أية مكونات أو تطبيقات تعتمد على مكون "نهج المجموعة" في حالة إيقاف الخدمة أو تعطيلها.

28- svchost.exe -k netsvcs:
‏‏توفير شهادة X.509 وخدمات إدارة المفاتيح لعميل حماية الوصول إلى الشبكة (NAPAgent). وقد لا يعمل فرض التقنيات التي تستخدم شهادات X.509 بطريقة صحيحة بدون هذه الخدمة

29- svchost.exe -k LocalSystemNetworkRestricted:
تقوم هذه الخدمة بإجراء تغييرات الكمبيوتر المحلي المرتبطة بتكوين الكمبيوتر الخاص بمجموعة المشاركة المنزلية وصيانته. في حالة إيقاف هذه الخدمة أو تعطيلها، لن يعمل الكمبيوتر الخاص بك بشكل صحيح في مجموعة مشاركة منزلية وقد لا تعمل مجموعة المشاركة المنزلية بشكل صحيح. من المستحسن بقاء هذه الخدمة قيد التشغيل.

30- svchost.exe -k LocalServiceNetworkRestricted:
تقوم هذه الخدمة بتنفيذ مهام الشبكة المرتبطة بتكوين مجموعات المشاركة المنزلية وصيانتها. في حالة إيقاف هذه الخدمة أو تعطيلها، لن يتمكن الكمبيوتر من اكتشاف مجموعات المشاركة المنزلية الأخرى وقد لا تعمل مجموعة المشاركة المنزلية الخاصة بك بشكل صحيح. من المستحسن بقاء هذه الخدمة قيد التشغيل.

31- svchost.exe -k LocalSystemNetworkRestricted:
‏‏تمكين الوصول إلى الإدخال العام إلى "أجهزة الواجهات البشرية (HID)"، مما يؤدي إلى تنشيط استخدام أزرار التشغيل السريع المحددة مسبقًا والموجودة على لوحة المفاتيح، وعناصر التحكم عن بُعد، وأجهزة تعدد الوسائط الأخرى والاحتفاظ بها. وفي حالة توقف هذه الخدمة، لن تعمل أزرار التشغيل السريع التي يتم التحكم فيها من قِبل هذه الخدمة. وإذا تم تعطيل هذه الخدمة، فسيفشل تشغيل أية خدمات تعتمد على هذه الخدمة بطريقة واضحة.

32- svchost.exe -k netsvcs:
تستضيف خدمة IKEEXT وحدات الإدخال النمطية لـ "مفتاح إنترنت التبادلي (IKE)" و"بروتوكول إنترنت المصدق (AuthIP)". تستخدم وحدات الإدخال النمطية هذه للمصادقة وتبادل المفاتيح في أمان "بروتوكول إنترنت (IPsec)". يؤدي إيقاف خدمة IKEEXT أو تعطيلها إلى تعطيل تبادل مفاتيح IKE وAuthIP مع أجهزة الكمبيوتر النظيرة. وقد تم تكوين IPsec أيضًا لاستخدام IKE أو AuthIP ولذلك، فإن إيقاف خدمة IKEEXT أو تعطيلها يؤدي إلى حدوث عطل في IPsec، ويؤدي إلى اختراق أمان النظام. من المستحسن أيضًا تشغيل خدمة IKEEXT.

33- svchost.exe -k netsvcs:
Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.

34- svchost.exe -k NetSvcs:
يوفر الاتصال بالنفق باستخدام تقنيات تحويل IPv6 ‏(‎6to4 و ISATAP و Port Proxy و Teredo) و IP-HTTPS. إذا تم إيقاف هذه الخدمة، فلن يستفيد الكمبيوتر من ميزات الاتصال المحسن التي تقدمها هذه التقنيات.

35- svchost.exe -k NetworkServiceNetworkRestricted:
‏‏يقوم أمان بروتوكول إنترنت (IPsec) باعتماد مصادقة نظير مستوى الشبكة، ومصادقة مصدر البيانات، والحفاظ على تكامل وسرية البيانات (التشفير)، بالإضافة إلى إعادة تشغيل الحماية. تؤدي هذه الخدمة إلى فرض نُهج IPsec التي تم إنشاؤها من خلال الأداة الإضافية لنُهج أمان IP أو من خلال سطر الأوامر "netsh ipsec". إذا تم إيقاف هذه الخدمة، فقد تواجه مشاكل في إمكانية الاتصال بالشبكة إذا احتاج النهج تلك الاتصالات التي تستخدم IPsec. ولا تتوافر أيضاً الإدارة عن بُعد لجدار حماية Windows في حالة إيقاف هذه الخدمة.

وفيه الكثير < تعبت من النقل

لكن ليس من بينها سرقة الكيبورد وفتح الكاميرا والـCD Rom وغيره،

ولماذا تضع مايكروسوفت هذه الخواص التي ذكرتها في أداة آمنة مخصصة لخدمات ويندوز من اسمها (svchost)؟

هل مايكروسوفت حمقاء؟

يعني برامج الحماية لهذه الدرجة من الغباء لكي لا تستطيع كشف الاتصال
مرت عليها آلاف الفايروسات التي تستخدم svchost.exe كما تقول ولم تستطع مراقبتها
كلامك غير منطقي صراحة :q:

بدل الطرق الخنفشارية التي تذكرها، يمكن برمجة فايروس يمنع ذلك ملف msiexec.exe بالمرة
والـ dll، اكرر، مجرد مكتبة تخزن أغراض (إعدادات، واجهات، لغات، بيانات...)

ايش هذا الكلام الي تقوله، 90% من برامج الحماية لا تصل إلى Kernel :hh:
وعملية مكلفة ومدري شو :hh:
ايش رايك إن فيه عرب مثلي ومثلك يبرمجون أدوات صيانة تصل إلى Kernel وأغلبهم في منتدى الهندسة العكسية
فما بالك بشركات برامج حماية
+ فسر لنا لماذا تسبب بطء للنظام؟

أعطيني مصادر أو فيديويات تشير إلى الهكر الذين توصلوا للطرق الجديدة k:

 

[haitham653]

الردود بالألوان:

ما هو الـ Hook Server؟

قصدك يتم استغلال dll في الاتصال عن طريق ملف exe، لأنه الـ dll مجرد مكتبة فيها معلومات مفيدة أو خطيرة
+ هذه وظائف ملف svchost.exe التي تتكلم عنها، ليست جميعها صحيحة
وظائف svchost مقتبسة من services.msc


وفيه الكثير < تعبت من النقل

لكن ليس من بينها سرقة الكيبورد وفتح الكاميرا والـCD Rom وغيره،

ولماذا تضع مايكروسوفت هذه الخواص التي ذكرتها في أداة آمنة مخصصة لخدمات ويندوز من اسمها (svchost)؟

هل مايكروسوفت حمقاء؟

يعني برامج الحماية لهذه الدرجة من الغباء لكي لا تستطيع كشف الاتصال
مرت عليها آلاف الفايروسات التي تستخدم svchost.exe كما تقول ولم تستطع مراقبتها
كلامك غير منطقي صراحة :q:

بدل الطرق الخنفشارية التي تذكرها، يمكن برمجة فايروس يمنع ذلك ملف msiexec.exe بالمرة
والـ dll، اكرر، مجرد مكتبة تخزن أغراض (إعدادات، واجهات، لغات، بيانات...)

ايش هذا الكلام الي تقوله، 90% من برامج الحماية لا تصل إلى Kernel :hh:
وعملية مكلفة ومدري شو :hh:
ايش رايك إن فيه عرب مثلي ومثلك يبرمجون أدوات صيانة تصل إلى Kernel وأغلبهم في منتدى الهندسة العكسية
فما بالك بشركات برامج حماية
+ فسر لنا لماذا تسبب بطء للنظام؟

أعطيني مصادر أو فيديويات تشير إلى الهكر الذين توصلوا للطرق الجديدة k:

اخي ذكرت svchost على سبيل المثال وللعلم يمكن جعل ملف ال dll يعمل مع اكثر من برنامج تنفيذي في الذاكرة في نفس الوفت للحصول على privilege اعلى في النظام والمصيبة اذا الهكرز عمل درايفر sys ليعمل معهم سيفعل ما يشاء في النظام ؟!!!

وبالنسبة لبرامج الهيبس الكاسبر على سبيل المثال اذا كان الهيبس يحتوى على Kernel Protection : لماذا صنعت TDSS Killer ??

ولماذا اضافت تقنية جديدة automatic exploit prevention ?!!!

ثانيا اخي لا تقل كلام لم اقله قلت لك 90% من برامج الهيبس لا تحمي ال Kernel ,وذكرت لك معظم الاسباب المنطقية وذكرت ايضا ان جميع محركات الانتي فيروس تعمل من ال Kernel مع ذكر السبب ؟!!

وبالنسبة للادوات ؟ ادوات التنظيف او الفحص شي وانظمة المراقبة في وقت حقيقي شي اخر ؟!!!


وبعدين من قال ان شركات الحماية غبية لاحظ تحذير الكاسبر services.exe ملف امن يريد ان يتصل من الانترنت ولكن بعض البرامج الخطرة يمكن ان تستخدمه للحصول على تصريح اعلى في النظام

وقصده هنا ان يكون محقون ب dll


اذا كنت تريد مصادر او مراجع فهذه صعبة بعض الشي لاني لخصت لك دراسة 4 سنوات في الجامعة C.I.S وخبرة 8 او 9 سنوات !!!​

 

[wajdi abu lail]

اولا اخي الكريم لو راجعت كلامي بدقة كان ممكن فهمت على , انا قلت المبرمج يقوم بتنصيب برنامج نظيف على جهاز الضحية , يقوم هذا البرنامج بتحميل ملف dll من ال Hook Server ....

بعد ذلك يقوم البرنامج بتثبيت ملف ال dll في مسار معين حسب ما يريد ولكن المكان الاسلم والاكثر استخداما هو
C:\Windows\System32

خذ هذا المثال : ملف تنفيذي سيقوم بتحميل tdssuvxs.dll وسيقوم بتثبيته في النظام,وسيقوم بعدة اجراءات من اجل حقن ال dll في svchost.exe .

بهذه الطريقة يستطيع ملف ال dll ان يطلب اي شي من svchost.exe مثلا ممكن ان يطلب منه ان يتصل باي هاردوير على الجهاز ان يفتح السي دي روم او يصور بالكاميرا وا ان يسجل ضربات الكي بورد او ان يقوم بعمل فورمات لقرص معين اوالاتصال بالانترنت وتحميل اي شي من الانترنت او حجب مواقع معينة وهكذ حسب الاوامر التي كتبها المبرمج في ملف ال dll

بعض الاوامر قد تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32 لكي تنجح !!!!

بعض انواع ال dll خطير وفتاك , تتصل بال Hook Server ويقوم الهكرز بالتحكم Remotely بشكل مطلق وتام بجهاز الضحية , هذه العملية تتطلب تنصيب درايفر sys في هذا المسار C:\Windows\System32

هو الان مختفي في النظام لانه يعمل من الكيرنل ف يستطيع ان يفعل ما يشاء ولن ترصده برامج الهيبس !!

الجدار الناري في هذه الحالة بالوضع اليدوي سيرصد اتصال svchost وسيخبرك انه اتصال امن ؟!!

مثال اخر على اصابة windows installer ب dll.dll هذا الاخير سيمنع النظام من تنصيب اي برنامج حماية بل انه قادر على حذف ملف التنصيب لاي برنامج معين هذا كله يعتمد على الاوامر التي وضعها المبرمج....

لو فرضنا ان الاصابة السابقة كانت للانترنت اكسبلورر وهذا وارد فعند الاتصال بالنت فان الجدار الناري سيرصد اتصال الانترنت اكسبلورر كما في هذا المثال بالاسفل وفي حالة الكاسبر سخبرك ان الاتصال امن ولكن برمجيات خبيثة يمكن ان تستخدم هذا الاتصال للحصول على تصريح في النظام ؟!!

هذا النوع من الاصابة عادة لا يمكن كشفة الا ببرامج واداوت خاصة وفي حالات نادرة ينجح الانتي فيروس في كشفه

بالنسبة لمحركات الانتي فيروس جميعها وبلا استثناء تعمل من ال Kernel Level وهذا الشي يعطيها ميزة كبيرة وهي القدرة على مراقبة النظام وحذف اي ملف بالنظام ؟!!!!

اترك الاونلاين ارمر جانبا , 90% من برامج الهيبس تعمل من ال User Mode Ring 3 والسبب ان اضافة وحدات حماية الي ال kernel level , سيثقل الجهاز وسيتطلب الامر ايضا تقنيات اضافية هذا غير صعوبة الاستخدام !!!

لذلك كثير من شركات الحماية ترى اضافة حماية للكيرنل شي صعب ومكلف وغير ضروري بل سيحعل برنامج الحماية غير عملى ولن يناسب جميع الفئات لذلك اكتفت بحماية منطقة ال User Mode والسبب الاهم والرئيسي وراء ذلك ان اي برنامج بريد ان يصل لل Kernel level سيعمل اولا في ال User Mode لذلك يمكن رصده ببرامج الهيبس او بالاحرى يمكن رصد المراحل الاولى لعملية تنصيب اي Kernel file.

نظريا هذا الكلام صحيح ولكن على ارض الواقع ستظهر مشاكل كبرى وحقيقية وهي ان هنالك اوامر كثيرة تتشارك بها تطبيقات امنه مع برامج خبيثة, مثلا ممكن تشغل كراك والكاسبر يخبرك انه يريد ان يحمل الى جهازك ملف dll هنالك احتمالان قد يكون نظيف وقد يكون خبيث ولا يمكن معرفة ذلك الا من برنامج هيبس يحتوى على kernel protection او فحص ال dll في مختبرات الحماية .....ولكن بوجود السحاب قد لا تعتبر هذه مشكلة كبيرة ؟!!!


الهدف من حقن dll مع ملف تنفيذي في الذاكرة بالدرجة الاولى هو الوصول الى منطقة الكيرنل والتحكم بالنظام فاذا نجح بذلك فلا يمكن لبرامج الهيبس ان ترصده لاحقا ...

المصيبة الكبرى ان بعض الهكرز المحترفين نجحوا مؤخرا - سنة تقريبا - في تطوير طرق جديدة وفتاكة لحقن ملف dll في ملف تنفيذي يعمل في الذاكرة وباستخدام 3 او 4 اوامر بسيطة تقوم بها برامج نظامية !!!

اي استفسار في الخدمة
​

اخي هيثم كل ما ذكرته هنا هو بسيط مع برامج الهيبس ومحلل السلوك وبخاصه الكاسبر :d:
ذكرت حقن ال dll في svchost.exe
بما ان الامر يحتوي على حقن فالامر بسيط فلا يمكن او بنسبة 99% ان يتم حقن ملف نظام بوجود برنامج هيبس قوي
سيتم التنبيه عنه فورا وتثبيت ال dll ايضا سيتم رصده فليس من السهولة تحميل ملف من سيرفر وتثبيته وبرنامج الحمايه الذي يحتوي على تقنيات متطوره يسمح له بهذا البساطه !

اما التحكم في البرامج الذي ذكرته :نص رسالة الكاسبر يقول من الممكن استخدام هذا التطبيق الموثوق بواسطة تطبيق مقييد للقيام بعملية مميزه
هناك بعض البرامج عند حذفها تقوم بتشغيل المتصفح رغما عن المستخدم او هناك فيروسات تقوم بتشغيل المتصفح لموقع خبيث بشكل اجباري وخاصه ملفات الbat فالكاسبر هنا يرصد العمليه بمجرد المحاوله لتشغيله
اما ان قام بالاتصال بدون ان يعمل فهذا يعني ان هناك عملية حقن ونعود للكاسبر الذي يستطيع بسهوله اكتشاف عملية حقن المتصفح فهذه الطريقه لا تنجح مع هيبس الكاسبر ومحللات السلوك

اضافه لذلك ميزه مهمه جدا في الكاسبر حيث يعطي للمستخدم تسلسل تشغيل التطبيق ومن هنا تستطيع التمييز اي التطبيقات قام بتشغيل الاكسبلورر

نلاحظ في الرساله انك قمت بتشغيل المتصفح وليس عن طريق ملف اخر قام بتشغيله لذلك من الممكن السماح بامان لهذه الرساله :d: وهكذا

وان قام ملف غير موثوق بتشغيل ملف موثوق ليقوم بعمليه مشبوهه فالكاسبر يرصده بسهوله

لندخل في الواقع واعطينا روتكيت حقيقي يقوم بهذه الامور 100% بدون ادنى شك ويستطيع تجاوز حماية الكاسبر ومحللات السلوك كشربة الماء واكون ممنون لك :king:
​

 

[الوحدآآني]

صديقي هيثم قول اغلقوا الموضوع ! :d: وصلت لنا نتيجة الملف وتاكدنا منه

 

[MR.Avira]

هيثم ما جاوبت على سؤالى كيف يمكن تخطى برامج الهيبس كشربة الماء

 

[أبو عائشهأبو عائشه is verified member.]

أرجو التعليق فضلاً لا أمراً

في حالة خطأ المستخدم لأي برنامج كان سواء كاسبر سكاي أو بيتدفايندر أو غيره من البرامج الأخرى

هل سيتضرر النظام من ذلك ويصاب لأني حسبما فهمت من الأخ هيثم بأن البيتدفايندر له خاصية تختلف عن البرامج الأخرى أرجو تصحيح معلومتي وفهمي لو تكرمتم
​

 

[wajdi abu lail]

وبالنسبة لبرامج الهيبس الكاسبر على سبيل المثال اذا كان الهيبس يحتوى على Kernel Protection : لماذا صنعت TDSS Killer ??

​

:d::q: لماذا البت ديفيندر صنعت BitDefender TDSS/TDL4 Removal Tool

 

[haitham653]

اخي هيثم كل ما ذكرته هنا هو بسيط مع برامج الهيبس ومحلل السلوك وبخاصه الكاسبر :d:
ذكرت حقن ال dll في svchost.exe
بما ان الامر يحتوي على حقن فالامر بسيط فلا يمكن او بنسبة 99% ان يتم حقن ملف نظام بوجود برنامج هيبس قوي
سيتم التنبيه عنه فورا وتثبيت ال dll ايضا سيتم رصده فليس من السهولة تحميل ملف من سيرفر وتثبيته وبرنامج الحمايه الذي يحتوي على تقنيات متطوره يسمح له بهذا البساطه !

اما التحكم في البرامج الذي ذكرته :نص رسالة الكاسبر يقول من الممكن استخدام هذا التطبيق الموثوق بواسطة تطبيق مقييد للقيام بعملية مميزه
هناك بعض البرامج عند حذفها تقوم بتشغيل المتصفح رغما عن المستخدم او هناك فيروسات تقوم بتشغيل المتصفح لموقع خبيث بشكل اجباري وخاصه ملفات الbat فالكاسبر هنا يرصد العمليه بمجرد المحاوله لتشغيله
اما ان قام بالاتصال بدون ان يعمل فهذا يعني ان هناك عملية حقن ونعود للكاسبر الذي يستطيع بسهوله اكتشاف عملية حقن المتصفح فهذه الطريقه لا تنجح مع هيبس الكاسبر ومحللات السلوك

اضافه لذلك ميزه مهمه جدا في الكاسبر حيث يعطي للمستخدم تسلسل تشغيل التطبيق ومن هنا تستطيع التمييز اي التطبيقات قام بتشغيل الاكسبلورر

نلاحظ في الرساله انك قمت بتشغيل المتصفح وليس عن طريق ملف اخر قام بتشغيله لذلك من الممكن السماح بامان لهذه الرساله :d: وهكذا

لندخل في الواقع واعطينا روتكيت حقيقي يقوم بهذه الامور 100% بدون ادنى شك ويستطيع تجاوز حماية الكاسبر ومحللات السلوك كشربة الماء واكون ممنون لك :king:
​

عمليات الحقن وانواعها كثيرها ولا يمكن حصرها بخطوة او خطوتين !!!!

جربت كثيرا وفي الماضي انواع كثيرة من الروتكيت على الكاسبر سكي اخر رسالة كانت تظهر من الكاسبرسكي ملف تنفيذي يريد تحميل ملف dll في ال Temp اذا كنت اوافق و كان يتم حقن svchost وتحميل درايفر في منطقة ال Kernel دون ان يسالني سؤال ...

هل تعرف السبب لماذا لن ملف ال dll سيعمل مع 6 او 7 ملفات تنفيذية في النظام دفعة واحدة ؟!!

طبعا برمجة هاذا النوع ليس بالشي السهل !!

ساجرب لك روتكيت قديم وساريك ماذا سيفعل ؟!!

لو يوجد برنامج حماية قادر على كشف عمليات الحقن 100% لما صنعت شركات الحماية ادوات للكشف عن الحقن ولما استمرت في تطوير برامجها باختصار ...

لذلك معظم شركات الحماية كسايمنتك او مكافي والافيرا ايضا تعتبر اي ملف dll من برنامج غير موثوق او معروف كراك مثلا فيروس ويتك حذفه من باب الاحتياط ؟

​

 

[Deadeye]

:d::q: لماذا البت ديفيندر صنعت BitDefender TDSS/TDL4 Removal Tool

هذه الادوات هي مجانية للجميع >> لغير المستخدمين للبرنامج

تطلقها الشركة لفيروسات او روتكيت او اي نوع مستعصي

مثل هذه الادوات تكون مخصصة لكشف نوع واحد محدد من الفيروسات او البرمجيات الخبيثة و ازالته >> كخدمة مجانية

و الشركة بالطبع تنصحك بتنصيب برنامجهم الذي يحمي و بكفائة ضد هذا الفيروس او البرنامج الخبيث ​