ليلة سقوط الـ Online Armor 6 (ثغرة خطيرة)

المصدر: ليلة سقوط الـ Online Armor 6 (ثغرة خطيرة)
في منتدى : منتدى نقاشات واختبارات برامج الحماية

السلام عليكم ورحمة الله وبركاته

تم اليوم ترويض الأونلاين ارمور والغدر به (إصدار 6.0.0.1736)

يشترط لنجاح الثغرة أن يكون الملف موثوق

وتم عمل تجربة مصورة

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

مدة الفيديو: 8:56

ملاحظة: حجم الفيديو بعد فك الضغط يعادل 1 غيغا، الرجاء التأكد من وجود مساحة بالقرص قبل الإستخراج

 

تم المشاهدة
بارك الله فيك
تجربة روعة

 

وعليكم السلام ورحمة الله
هلاا بيونس ,
رائع أخي يونس , يعطيك العافية ..
..
على ما أظن نوعاً ما ثغرة خطيرة .. و لكن أظنها غير عملية جداً أخي يونس .. فلفد لاحظت في التجربة الثانية إن ملفك حاول حقن عملية موثوقة و هي حركة ذكية و لكن الاونلان أرمور أوقفها ..

وفي الملف الاولى لاحظنا ماذا حصل لان الملف موثوق !
..
لكن أظن إنها لن تكون عملية جداً أخي ...

فيجب كما قلت إن يكون ملف موثوق , أو يحاول الملف العبث او حقن عملية موثوقة , ما سيقوم غالباً الاونلان آرمور في آكتشافها ,,
ولكن الخطر يكون في حال أحد المستخدمين إعطا الوثوق الكامل للملف في أول تحرك له :


هنا بالفعل يكون قد وقع المستخدم .. ولكن أغلب مستخدمي الاونلاين آرمور خبراء أو متوسطي الخبرة و سيتجنبون الامور المشابهة
وثغرة يجب إن تنتبه لها شركة الامسيسوفت
..
في النهاية ..
أكرر شكري لعملك الرائع أخي يونس
وإلى الامام ..
أطيب تحية

 

سلمت يمناك عزيزي يونس على هالتجربة الرائعة ،، بس ياترى ، هل اعدادات البرنامج على المستوى العالي حتى نقدر نحكم انه يمكن اسقاطه بسهولة ام انها على الافتراضي ولم يتم تغيير اي شي،،،،


في انتظار ثعلب خبير الاونلاين


تعجبني هذه التجارب دليل على ابداعات شبابنا العرب وثقافتهم وهالشي طبعا يرفع الراس


سلمت يمناك عزيزي وبيض الله وجهك ورفع قدرك وحرمه عن النار ،،،

 

و عليكم السلام ورحمة الله وبركاته​

​

رائع يا يونس ... و لكنها لا يعد ثغرة بحد ذاته و لم يتمكن من إسقاط البرنامج​

​

فقط نجح KOA.au3 في إغلاق عمليات البرنامج و إغلاق ايقونته بجانب الساعة وهذا شائع ​

​

إذا الملف موثوق و يقوم بهذه الأعمال هل أعطيه صلاحيات كاملة من العمل ؟ بالطبع لا​

​

إذن أنت أعطيت الملف KOA.exe الثقة المطلقة من خلال الضغط على Trust في قائمة البرامج بالاونلاين ارمور​

​

هنا سينقل الملف إلى قائمة الملفات الموثوقة التي يثق بها الاونلاين ارمور و يعطيها صلاحيات كاملة من العمل ؟ كيف​

​

لأنك أعطيته أعلى علامة في الثقة و هي علامة موثوق Trusted هنا يثق بالتطبيق مع الثقة بسلوكياته و فيما يقوم به ايضاً​

​

في هذه الحالة سيثق بكافة تحركات الملف موثوق سيدعه يعمل براحته و يقوم بأي عمل يريدها ​

​

بارك الله فيك أخي الغالي يونس و لكن الحق يقال يا غالي​

​

​

 

​

​

​

لا يا غالي عمر ليست عملية الحقن و إنما عملية التعديل على عملية موثوقة أخرى تابعة للملف الأصلي الذي يريد قتل الاونلاين ارمور !​

​

هنا رسالة عادية لأنها لا تحاول التعديل على النظام و إنما تحاول التعديل على عملية تابعة لها و هذا الامر يحدث بشكل طبيعي ​

​

يعني الامر هنا سليم و أن سمحت له بالتعديل و لكن تكون خطيرة إذا حاولت التعديل على عملية تابعة للنظام و ليس للملف الأصلي​

​

​

​

باختصار نسمح له بالتعديل و لكن أن حاول التعديل Modify على عملية تابعة للنظام System هنا قرار الصائب Block And Terminate ​

​

​

 

معقول سقوط Online Armor

 

وعليكم السلام ورحمة الله تعالى وبركاته ​

=======​

بارك الله فيك اخي يونس​

===​

التجربة الاولى نجاح تام للملف لكن على حد علمي صيغة AU3 لا تعمل الا اذا كان الاوتوات منصب على الجهاز ..اتمنى ان يجيبني مستخدمو الاوتوات ​

فإذا كانت تعمل بدون وجود الاوتوات على الجهاز فأنا اهنئك على نجاحك​

==​

التجربة الثالثة لا يمكن اعتبارها نجاح لأن المستخدم هو من اختار الوثوق بالملف​

​

 

​

وليس الاون لاين ارمور فقط من سَ يثق ب التطبيقات الموضوعه في قائمةة الملفات الموثوقه​

بل كل برامج الحمايه ولا اجدها ثغره ابداً​

ولكن التجربه الاولى ​

وهي تشغيل السكربت اللتي استطاعت ايقاف الارمور هي اللتي شدتني ولم تم دمج كود او اوامر خبيثه ل العبث ف الجهاز وتخريبه​

لكانت التجربه افضل ب كثير من مجرد ايقاف الارمور​

التجربه الثانيه وبعد التنبيه الثالث اللذي ب اللون الاحمرر ​

وهي عملية حقن و تحكم بِ الهدف و ب شكل​

و الاون لاين ارمور ينصح ب حظر السلوك وانت عملت سماح معللاً في المستند النصي​

​

​

​

وهذا خطأ فادح فكيف لي ان اسمح ب هذا السلوك من برنامج غير معروف !​

ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور​

​

 

كنت سأذكر هذا ولكن لم افعل كي لا يتم ااتهامي بالتعصب له ​

+​

بالنسبة للسطر الاخير من ردك ​

"ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور"​

​

حتى ملفات التنصيب غير المعروفة للأون لاين ارمور وهي "كثيرة" لاتقوم بالتعديل على ملف يشتغل بالذاكرة ​

​

حيث انني استخدم الاونلاين ارمور منذ ثلاث سنوات وشغلت الكثييييييير من ملفات التنصيب غير المعروفة للأونلاين ارمور ولم اثق بها عند التنصيب لم تقم ابدا بالتعديل على ملف يشتغل بالذاكرة ​

​

​

​

​

​

 

كالعادة أخي الكريم مبدع فيما تقدم ^ـ^

في التجربة الأولى هل استخدمت خدعة تحريك الماوس للموافقة على ايقاف تشغيل البرنامج ؟


الخدعة الثانية تكون على مسؤولية المستخدم لوضعه البرنامج كموثوق

أمر اخر لم أرى رسالة استخراج الملف installskybe.exe ! وأظن السبب الان وضع البرنامج على stander mode

في الأخير لكل برنامج نقطة ضعف ولا يوجد برنامج كامل

 

​

​

​

​

نحن نتكلم عن الاونلاين ارمور و ليس عن برامج حماية أخرى ​

​

سبقاً و أن وضحت هذه التنبيه في ردي السابق رقم 6 راجعها ​

​

و اقتبس منك أخي الكريم​

​

​

لا يوجد أي عملية الحقن هنا​

​

هذا السلوك عادي و طبيعي و ظاهر أنك تعتمد على لون الأحمر في الرسائل على أنها خطيرة ... ليس تماماً أخي​

​

العملية المجهولة (KOA.exe) يحاول تعديل Modify على عملية موثوقة(InstallSkype.exe) تابعة للملف القاتل و ليس للنظام System​

​

برأي رسالة نظيفة و اختيار يونس لقرار السماح القرار السليم لأنه لا يعقل أن نمنع الملف من أن يتحكم أو يعدل عملية موثوقة تابعة لها ​

​

​

​

 

إخواني الكرام،

المقصد من هذا الموضوع، إن الأونلاين ارمور تم إغلاقه من عملية موثوقة

والمفترض أن لا يتم إغلاقه أبدًا ولو من عملية موثوقة

وصلت الفكرة...

 

رد مطور online armor
Kill protection in general is rather useless, especially if you are using an Administrator account. There are dozens of ways to kill processes, no matter how hard they try to prevent being killed. So unless this method is actually being used by malware

 

بالمناسبة، من يريد تجربة الملف يرسل لي رسالة

بشرط أن يضع تجربته في الموضوع