|₪|:: خططي ، أفكاري ، خرباشاتي . بِگُلـِ بَسَاَطة ، هـێ ،، مُـڍۉڼتِـێ في عالمي الآخر زيزوووم ::|₪|

مشاهدة المرفق 18464 ​

​

شـرح خاص بـ اداة تنظيف الكمودو​

مشاهدة المرفق 18470 :|: CoMoDo :|: مشاهدة المرفق 18470 ​

​

​

​

مشاهدة المرفق 18465 ​

​

أولاً نقوم بتحميل أداة التنظيف الشهيـرة الخاصة بالكمودو​

​

32 بت .. التحميل من هنا​

​

64 بت .. التحميـل من هنا​

​

بعد التحميل قم بفك ظغط الملف .. بآستخدام الوينرار أو غيره ..​

​

مشاهدة المرفق 18465 ​

​

شـرح الاستخدام من الـ Command-Line-Interface​

​

أولاً نشغل الدوس كمسؤؤل ..​

​

ثانياً .. آمـر تشغيل الملف​

​

كود:

 <file path>/ <executable>

حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
..
الان مثال تعيين مجلد الاداة .. الذي يحتوي على ملف CCE.exe وهو مسار العمـل ..

كود:

C:\Comodo\CCE\CCE

وقبل وضع الكود أعلاه .. قم بمراعاة أين مسار الملف ..


نتابع .. باقي الاوامر الهامـة

مشاهدة المرفق 18465

أمـر فتح المساعدة الـ Help ..

كود:

<file path> / <executable> -help
 

نفـس الامر السابق
حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
help- = الامر المرسل " هنا .. فتح صفحـة المساعدة "
مثال ;

كود:

C:\Comodo\CCE\CCE -help

وبعد تنفيذ الامر سيقوم بفتح هذا الموقع { CoModO Help }

نتابع باقي الاوامر الهامـة

مشاهدة المرفق 18465

أمر عمل تحديث لقاعدة البيانات Update

كود:

 <file path>/ <executable> -u

حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
u- = آلامر المرسل " هنا .. التحديث "
..
الان مثال تعيين مجلد الاداة .. الذي يحتوي على ملف CCE.exe وهو مسار العمـل ..

كود:

C:\Comodo\CCE\CCE -u

تلقائياً ستبدأ الاداة بالعمل " و قد تقوم بعمل تحديث "
وقبل وضع الكود أعلاه .. قم بمراعاة أين مسار الملف ..
صورة للتطبيق ;

مشاهدة المرفق 18466


مشاهدة المرفق 18465

أوامر الفحـص ;

تشغيل الفحص " الذكي "

كود:

<file path>/ <executable> -smart
 

حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
-smart = الامر المرسل " هنا .. الفحـص الذكي "
مثال :

كود:

C:\Comodo\CCE\CCE - smart

..

أمر الفحـص المخصص ;

الامر هـو الاكثر تعقيداً
ولكن سنشرحه ..

كود:

<file path>/ <executable> -scan parameter1 - scan parameter2 -scan parameter3...

حيث يوجد هنـا خصائص و أوامر معينة وهذه توضيحاتهـا ;
File path = مسار الملف
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
scan parameter = خصائص ووظائف ميعنة يمكنك آضافتها .. سآوضحهـا لاحقاً أكثـر ..

..

مثال ;

كود:

C:\Comodo\CCE\CCE -s “<scan attribute1>;<scan attribute1>” -o “<scan option1>;<scan option1>” -d “<drive letter>” -p “<file path>” -shift

حيـث هنـا ليس مثال كامل بالتحديث و إنما فيه أمور مثل
scan attribute = من خصائص الفحـص
scan option = من إعدادت الفحص
drive letter = البارتشين مثل : C
file path = مسار الملـف ..
..
الان توضيح خواص الفحـص .. وهي موجودة في الفحص المخصص
وهذه الصورة فيهـا كل شيئ ممكن آختياره من خواص الفحـص ..

مشاهدة المرفق 18468

إعدادت الفحص مشابهة للخواص وهذه صورة كاملة توضحه الممكن آختياره;

مشاهدة المرفق 18469

..

والان بعد الاطلاع على الخواص و الاعدادت يمكنك وضع الامر لعمل فحص مخصص ب الاعدادت و الخواص التي تريدهـا
..
أمثلـة ;

لعمل فحص للذاكرة عند بدء التشغيل و الملفات المخفية في القرص C و المناطق الحرجة و ملفات البووت
فالامر يجب إن يكون ;

كود:

C:\Comodo\CCE\CCE  -s"m;c;f;r" -d "c"

..

أمر لفحص الملف ; 'C:\Program Files'

كود:

C:\Comodo\CCE\CCE -s -p “C:\Program Files”

أتمنى أكون وضحـت الفكرة و للمزيد { تفضل هنـا }

نتابع آخر آمر

مشاهدة المرفق 18465

آمر الفحص الكامل للنظام ;

كود:

<file path>/ <executable> -s

حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
s- = آلامر المرسل " هنا .. الفحـص "

مثال ;

كود:

C:\Comodo\CCE\CCE -s
 

..

لتشغيل الفحص " العدائي .."
حيث سيقوم الكمودو بعمل فحص و عمل كل اللازم لتنظيف الفيروسات المكتشفة " مثل عمل ريستارت .."

كل ما عليك آضافته هـو

كود:

-shift

إلى آمر الفحص الكامل , الموضح اعلاه ..
مثال ;

كود:

C:\Comodo\CCE\CCE -s -shift

مشاهدة المرفق 18465

تـم بحمد الله
بالتوفيق للجميع

مشاهدة المرفق 18471

 

نعود إلـى عالم التصميم

​

​

​

​

​

 

​

 

مدونتي موثوقة من شركة الكاسبرسكاي

 

النسخ الاحدث لنورتن تحمل رقم Norton 2013 20.4.0.40

العربية :

انتي فايروس :
http://buy-download.norton.com/downloads/2013/20.4/NISNAV/AR/NAV-ESD-20-4-0-40-AR.exe

سكيورتي :
http://buy-download.norton.com/downloads/2013/20.4/NISNAV/AR/NIS-ESD-20-4-0-40-AR.exe

نورتن 360 :
http://buy-download.norton.com/downloads/2013/20.4/N360/AR/N360-ESD-20-4-0-40-AR.exe

وبقية اللغات يتم التعديل بنفس الرابط من AR الى FR للغة الفرنسيه
ومن AR الى EN للانجليزيه

..

مسروقة من الغآلي بروتكشين

 

من كنوز زيزوووم القديمة .. و أحببت إعادة نشرها هنا ​

​

- فهم آلية عمل الفيروسات والبرامج الخبيثه & عمل التقارير وتحليلها

أهم أمرين في تصميم الفايروس هما
1 - انتقاله وانتشاره ( وهذا لا يعنينا لأن الاصابه حدثت بالفعل :er: )
2 - ضمان بدء تشغيله تلقائيا مع بدء تحميل النظام , في كل مره يتم تشغيل الجهاز ( وهذا هو المهم لنا )

كيف يبدأ تشغيل الفايروس تلقائيا مع بدء تحميل النظام ؟

إما ان الفايروس يكون دامج نفسه بملفات النظام التشغيليه
وفي هذه الحاله ... لا تقارير هايجاك ولا كمبو فيكس ولا خرابيط :d: يقدر يفيدنا
اللهم ... التقارير بواسطة برامج الحماية
وحاليا هذه النوعيه ... نادره

أو ان الفايروس مستقل : وله ملفاته الخاصه
بحيث يبدأ تشغيله كـ خدمه للنظام وتكون تلقائيا التشغيل ..
او من مفتاح في مسجل النظام
او احد مجلدات بدء التشغيل Startup


مميزات " ملفات " الفيروسات والبرامج الخبيثه المستقله :q:
1 - بدون شهاده رقميه
2 - في الغالب تحمل اسماء لملفات النظام المشهوره ( وليست بمساراتها الاصليه )
3 - تاريخ انشائها على الجهاز المصاب .. يكون حديث نوعا ما ( اسبوع او قل )
4 - غالبا تكون مخفيه




طرق الكشف عن الفيروسات والبرامج الخبيثه ( عمل التقارير وتحليلها )

اولاا / باستخدام برامج الحمايه ( لكشف جميع انواع الفيروسات والبرامج الخبيثه ما عدا الباتشات المشفره )
نستخدم برامج الحمايه في الفحص وعمل التقارير ... وخصوصا البورتابل منها
كـ مكافي مثلا وباستخدام طريقة الفحص عند الطلب On-Demand Scanner
ولماذا المكافي بالذات ... لقوته في التخلص من الفيروسات النشطه بالذاكره
اصلااح ما تفسده هذه الفيروسات لمسجل النظام ... والأهم ميزته الرهيبه
بالتخلص من الفايروس المتعدد ( الذي عند حذفه بالطرق التقليديه يرجع مره أخرى :?: )


>>>>>>> طب يابني :d: قبل ما تسترسل بكلاام :cr: مواقع الفحص مالها ... ما تنفع !! ؟؟

في وقتنا الحالي ... كثير من الفيروسات .. تعمل على منع تصفح مواقع الحمايه :u:
وحتى بعضها يعمل بلوك عليها ويمنع عمل تحديث للويندوز


ايووه ... نعود لمحور حديثنا :hh:
مثلاا عندي جهاز مصاب ... وتم استخدام المكافي لفحصه وعمل تقرير له
راح يظهر لي التقرير بهذا الشكل



شفتو ... وش قد السالفه سهله :d: وكل اشي جاهز بدون تحليل وبدون وجع راس :hh:





ثانيا / استخدام ادوات عمل التقارير ( لكشف الباتشات المشفره )

راح نتعلم على استخدام اكثر من اداه ... وان هضمتوهن :hh: راح تكونو مبدعين بالكشف عن الباتشات المشفره
لكن يجب ان يكون عندكم خبره لاباس بها بأسماء ملفات البرامج العامه وملفات النظام
او باستخدام هذه المواقع ... لمعرفة الملفات السليمه ( ملفات برامج عامه او نظام التشغيل )
http://www.processlibrary.com/
http://www.bleepingcomputer.com/startups/


ومن أهم الادوات لعمل تقارير للكشف عن الباتشات المشفره
الاداة / Silent Runners.vbs
مثلاا / عندي جهاز مصاب بباتش مشفر ... وبعد عمل تقرير باداة Silent Runners.vbs
وفي قسم بدء التشغيل ... ظهر لي التالي



وبعد التأكد من قائمة الملفات والتي تظهر ببدء التشغيل للنظام
ظهر لي مدخل واحد .. يحتوي على ملف غريب وهو
C:\WINDOWS\system32:allg.exe

وبعد تحليله بموقع فايروس توتل ... ظهر لي انه باتش
وأهم شئ .. حجمه صغير جدا ومخفي على شكل streams



الاداة / Runscanner
اداة مفيده جدا ... لعمل عدة تقارير ... ومن أهمها في مجال كشف الباتشات المشفره
عمل تقرير لملفات بدء التشغيل مع التوضيح .. هل الملف يحمل توقيع رقمي او لاا
ويفيدنا هذا بتقليل قائمة الملفات التي نحللها ...

وهنا مثال على نفس الباتش السابق



ومن التقرير نلااحظ التالي /
له مفتاح بدء تشغيل
الملف مخفي
الملف لا يحتوي على توقيع رقمي

بعد الملااحظات السابقه ... ازداد الشك بان الملف مشبووه جدا :hh:
وتوجد بالاداة خاصية فحص الملفات مباشره بموقع فايروس توتال
كلك يمين على القيمه التي فيها هذا الملف .. واختر Upload file to VirusTotal
وراح ينرفع الملف ... ولحظات ويظهر لك التقرير






تحليل الملف لمعرفة سلوكه
طيب واذا الهكرز عفن شوي :d: ومشفره على جميع برامج الحماية
في هذه الحالة ... نقوم بتحليل نفس الملف :?: ونرى هل صحيح باتش او ملف سليم
من خلاال سلوك الملف عند تشغيله وماذا يعمل بالنظام
.... وهنا مثال على نفس الباتش السابق
نفتح هذا الموقع
http://camas.comodo.com
ونرفع الملف ... وننتظر حتى ينتهي الموقع من تحليله
ويظهر لنا التقرير ... كما هو واضح هنا
http://camas.comodo.com/cgi-bin/sub...15fbaf7b23dd17b6fbf0058d313cbf7ef2ca839c2a044

وش يقول التقرير :hh:
الملف ... ينشئ مفتاح بمسجل النظام ( هذا طبيعي لأغلب البرمج )
الملف ... ينشئ قيمة لذلك المفتاح والملف ومساره مخفي ( هذا مو طبيعي k: )
الملف ... يحذف نفسه بعد التشغيل ( طبيعي وبنفس الوقت موطبيعي :?: )
الملف ... يحقن نفسه في الانترنت اكسبلورر ( لا والله مو طبيعي :d: )
ويقول بالنهايه ان هذا الملف .. يسلك سلوك الباتش Backdoor.Win32..PoisonIvy.Gen


.







.

( انتهى الدرس ... وسوف نبدأ بالتطبيق :hh: )

 

^

تكلمة للدرس أعلاه .. التطبيق ;


إستخدام المكافي باحتراف :d: لكشف عن الفيروسات والبرامج الخبيثه ولعمل التقارير فقط


البرامج والملفات المطلوبه للتطبيق

1 - المكافي للفحص من سطر الاوامر بالسكان انجن 5.4
http://download.nai.com/products/evaluation/virusscan/english/cmdline/intel/v5400/vwin540e.zip

2 - ملف تحديثات المكافي
ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x/

ولمعرفة الملف المطلوب نعمل كما بهذه الصوره



3 - برنامج الونرار
http://www.rarlab.com/rar/wrar390.exe

4 - فايروس للتطبيق عليه ( يصلك على الخاص بخدمة الدليفري :d: )





السيناريو والحوار :hh:

1 - نقوم بتشغيل ملف الفايروس

2 - نقوم بتثبيت برنامج الونرار ( لمن لا يوجد لديه البرنامج )

3 - نستخرج الملفات من vwin540e.zip

4 - نستخرج الملفات من ملف التحديثات

5 - ننسخ جميع الملفات المستخرجه من ملف التحديثات ... ونلصقها
على الملفات المستخرجه من الملف vwin540e.zip ونقبل رسالة الاستبدال

6 - نقوم بتغيير اسم ملف الفحص scan.exe الى مثلاا run.exe ( حتى لا تكتشفه الفيروسات )

7 - نحدد جميع الملفات وبالماوس كلك يمين ونختار Add to archive




8 - نقوم بالتأشير على Create SFX archive و Create solid archive




9 - نفتح التبويب Advanced ونظغط على SFX options



10 - نحدد مكان استخراج الملفات ... وهنا مثلا C:\xxxc
ونضع ايضا امر التنفيذ بعد استخراج الملفات
ومثل ما ذكرنا سابقاا ... تم تغيير اسم ملف الفحص الى run.exe
والامر لعمل الفحص لجميع المحركات وعمل تقرير بالعمليه
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
نضعه في Run after extraction




11 - نفتح التبويب Modes ونؤشر على Hide all



12 - نفتح التبويب Update ونؤشر كما بالصوره
وبعدها نضغط OK




13 - نضغط على OK حتى يتم انشاء الملف المضغوط



شرح اوامر اداة المكافي ... والموجود بالخطوه - 11 -

run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
run.exe
ملف الفحص

adl
الفحص في جميع محركات الاقراص

all
فحص جميع الملفات

sub
الفحص بالمجلدات وما بداخلها من مجلدات وملفات

mime
تفعيل الفحص في الملفات نوع mime

streams
الفحص في الستريمز لنظام ملفات ntfs

allole
تفعيل الفحص في الملفات نوع allole

append
اضافة التقرير لتقرير سابق

report c:\mcafee.txt
عمل تقرير باسم mcafee.txt وحفظه بمحرك الاقراص سي

nobreak
منع الفيروسات من ايقاف عملية الفحص



وبالطريقة السابقه نعمل ... اداة المكافي كـ بورتابل
واهم شئ انها ... تشتغل حتى ولو ان الدوس ممنوع تشغيله بواسطة احد الفيروسات




...


أتمنى إن تكونوا آستفدتم ..

ولا تنسوا الدعاء لـ الاخ الغآلي زيزووووم ..

 

أتصفح أحد المنتديات التي أتصفحها بشكل دوري .. و أشارك بهـا <<

..

فأجد أحد طرح مشكلة في قسم الصيانة .. فطلبوا منه عمل فحص مالويربايتس .. والنتيجة كااانت ;




صدقوني ... نصف أجهزة العرب .. تكون مصابة بهذا الشكل المرعب .. ههههههههه

خخخخخخخخخخخخخ

تحياتي

 

شكراً لكم اخواني الغاليين ع التقييم و الاعجاب ..​

إسئل الله إن يرفع قدركم و يحرم وجهكم عن النار ..​

 

جاري العمل على مجموعة شروحات آحترافية .. إن شاء الله قريباً << بلاش هياط يا إبني

 

شرح بسيط لـ أسطوانة النود ..
حملها أولاً من هنا : https://www.box.com/shared/static/okm6oz5lze3a7cgnnh7j.rar

بعد الاقلاع من الاسطوانة أظغط Enter عند شاشة الدوس السوداء .. لتبدأ الاسطوانة ب العمل : ​

​

​

​

​

​

​

​

ولـ إطفائها عن طريق زر الـ x ​

​

​

..​

تحياتي للجميع​

 

خاص لـ إرفاق الملفات

 

طيب , نبدأ في دورة بسيطة سريعة ... تحميل كل الادوات اللازمة لعمل تجارب العينات ​

"-نسخة محدثة-"​

..​

آنتظروووووني​

​

 

^

الادوات المطلوبة :​

VirtualBox ​

..​

Malwarebytes Anti-Malware ​

..​

Hitman Pro ​

..​

RegShot ​

أكيد يوجد غيرهاا الكثير من الادوات , ولكننا سنكتفي بهذه للوقت الحالي ​

​

يتبع ..​

​

 

خلاص ! , س أتواصل مع الاخوة الاداريين و مشرفي قسم الحماية
لكي نجدد الموضوع هنا :http://forum.zyzoom.net/threads/115068/
موضوع رائع جداً و مفيد . و مر عليه الزمن و أغلب روابطه عطبت .. لذلك يستحق التجديد
قريباً إن شاء الله
..
وأعتذر عن الغياب في الفترة الماضيـة .. بسبب تقطع آتصال الانترنت
والله الموفق ..

 

7000 الاف آعجاب ​

​

​

​

​

​

 

مشروع : # تعريب بايدو أنتي فيروس_​

​

​

 

أسأل الله الذي
أهل الهلال
وأرسى الجبال
أن يبلغك رمضان
وأنت في أحسن حال​

​

رمضان كريم ​

وكل عام وأنتم بخيـر​

 

"إذا سلمت من الوحش فلا تحاول اصطياده"​

 

(لا تجادل بليغاً ولا سفيهاً .. فالبليغ يغلبك والسفيه يؤذيك)​