التحدي الأول بمســابقة فحص الملفات ► 1 ◄

المصدر: التحدي الأول بمســابقة فحص الملفات ► 1 ◄
في منتدى : منتدى نقاشات واختبارات برامج الحماية

►◄: أحبابنا ,أعضاء المنتدى الأعزاء :►◄


أسعد الله يومكم بكل خير ووفقكم لما يحب ويرضى وأسأل الله أن يمن علينا بالخير واليمن والبركة


يـــســـعـــدنــا أنـ نــقــدمـ لــكــمـ


التحدي الأول من

▼
▼

▼
▼






والتي تهدف الى إستثمار الجهود المبذوله من الإخوه الأعضاء بالقسم في مزيد من العطاء والبذل

في جو تنافسي خلاق والعمل علي إظهار مواهبكم وتطويرها


يرجى الإطلاع علي شروط المسابقه قبل الإشتراك

​

▼
▼​

▼
▼


مسابقه زيزوووم لفحص الملفات




▲▼ المطــــلوب ▼▲

جلب بيانات الملف التاليه

- مســـار نزول السيرفر

- البـورت والهـوست للسيرفر

تنبيه

بيانات الملف حقيقيه


◄◄ لتحميل ملف المسابقه ►►


▼

▼

​

▲▼ الباســـورد ▼▲

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

►► طريقة تسليم بيانات ملف المسابقه ◄◄


- من يصل للبيانات الصحيحه يراسل أحد الأعضاء المسؤلين عن المسابقه

من أجل الحلول أو الإستفسارات


▼


▼


qysr

m0d!s@r7@n


ـــــــــــــــــــــــــــــ
ــــــــــــــــ


نرجوا الإلتزام من الجميع

ومن يخالف شروط وقوانين المسابقه

سيتم إخراجه من المسابقه نهائياً

وفي حالة تكرار المخالفة لـ 3 مرات سيتم حرمانه من الموسم التالي




شكر واجب

لاخينا black007 المبدع صاحب ملف المسابقه

لاختنا الفاضله روايدا صاحبه تصميم وتنسيق الموضوع​

​

 

تم وضع باسورد الملف

بالتوفيق للجميع

 

الحين انتهي وقت المسابقه وسيتم الكشف عن الفائزين وطريقه كل من فاز في الوصول للبيانات

نبارك للفائزين وحظ اوفر للجميع بالمرات القادمه

 

اول الفائزين هو اخونا المحترف عبدالرحمن نبهان

وقد توصل للحل في وقت قياسي (احييه علي هذا)

هنا البيانات الصحيحه للملف

مسار نزول السيرفر

C:\windows\syswow64\drivers\en-us

اسم السيرفر
Gen

البـورت
80

الهوست للسيرفر

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

وهنا شرح لطريقه وصوله للحل

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

ثاني الفائزين هو اخونا المبدع Abdulmuhaimen

شرح طريقه وصوله للبيانات

.:: الادوات المستخدمة في التحليل ::.

* هيبس النود - ESET Hips

* APate DNS

.:: طريقة التحليل والكشف ::.

أثناء تشغيل الباتش ظهرت رسائل هيبس النود كالتالي

الباتش يحاول إنشاء تطبيق Hacked.exe في المسار الموضح في الصورة



ويحاول أيضا إنشاء تطبيق TempBooM.exe في المسار الموضح



التطبيق Hacked.exe يحاول إنشاء تطبيق TempRecycle.exe



نفس التطبيق TempRecycle.exe يحاول تشغيل نفسه



بعد ما شغل نفسه يحاول إنشاء تطبيق server.exe



.:: كيفية الوصول لخدعة الملف ::.

بعد الضغط على زر الـ About في تطبيق الـ Contest.exe

ظهرت نافدة الهيبس من جديد , من أجل تكوين تطبيق أخر Gen



بعد لحظات ... قام ESET Firewall بكشف محاولة للاتصال

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

طبعاً لم يستطيع تحديد الهوست Host فتم الاستعانة ببرنامج Apate DNS

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

أعتقد إن الهوست هو

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

الفائز الثالث مشرفنا المميز pro george

شرح وصوله للبيانات

الباتش يعمل عند تشغيل البرنامج كمسئول والضغط علي About

ينزل ملف بأسم Gen.exe

في هذا المسار

C:\Windows\SysWOW64\drivers\en-US\Gen.exe

تمام يقول بالاتصال

بهذا العنوان

Gen.exe (3244), MaryGerges, 51856, 77.113.162.197.in-addr.arpa, 80, TCP, Established,


ثم بطريقة ما يقوم بتحميل بيانات السيرفر من الانترنت

هذة طريقة مصطفي اعرفها

بعض التمويه ليشعرك ان الملف داونلودر

ولكنه يقوم فقط بتحميل بيناته

لكي لا يلحظه برنامج الحمايه

ثم يتم التشغيل

وبعد الانتظار قليلا والمراقبه

يتم تحويل الاتصال للهوست

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الان تم فتح فايروول الكاسبر لالتقاط الاتصال بشكل سليم

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

الفائز الرابع اخونا المبدع والمميز medo32 (صاحب الحل المميز )

عند فتح التشفيرة نلاحظ وجود 3 أزرار
الأول xلغلق النافذة
الثاني zyzoomوهو يحتوي على الملف الوهمي

الآن فلنستخدم برنامج .net reflector
نفتح هاندلر الزرين

نلاحظ هنا وجود استخراج لملف وهمي


للتأكد من ذلك نقوم بتشغيل التشفيرة كمسؤول "وسنعلل ذلك لاحقاً"

نلاحظ تنفيذ سيرفر وهمي بعد استدعائه

وبياناته كالآتي:-

الهوست:-
127.0.0.1
localhost
نلاحظ هنا أنه اي بي داخلي ؛
وبالتالي فهذا الملف خدعة

إنزال البيانات:-
C:\Windows\System32\drivers\en-US\
باسم hacked.exe
فينزل ملف في
C:\Users\%userprofile%\AppData\Local

باسم
TempBooM.exe
وهذا هو الإندكس الذي يصدر ضحكة شريرة

و ملف آخر
TempRecycle.exe


ويتم إنزال السيرفر الخدعة في :-
C:\Users\%userprofile%\AppData\Roaming

بإسم
server.exe

مشفر بالسمارت أسمبلي

وملف تهيئة خاص بالتشفير في
C:\Users\%userprofile%\AppData\Roaming\Microsoft\CLR Security Config\v2.0.50727.312\security.config.cch
بإسم
security.config.cch



وللحصول على تلك البيانات يمكنك استخدام مكافحك \\ كمكافي عندي ؛
أو أداة directory monitor
و
easy hook

نعود الى الآن الى الملف الرئيسئ بعد أن أكلنا تلك الخدعة

لننجرب لآن فتح سورس ملف about




نلاحظ هنا وجود عملية استخراج للبيانات
إذاً مسار النزول هو
C:\Windows\System32\drivers\en-US\

باسم
Gen.exe


طيب هنا اجابة االسؤآل
لم نشغل الملف كمسؤول؟
السبب أن مسار النزول هذا يحتاج إلى صلاحيات عالية لإضافة ملفات فيه ,
أيضاً حذاري من محاولة قتل العملية أو الحقن فيها حتى لاتظهر شاشة الموت الزرقاء


إذا الملغم هنا هو زر about

يقوم بتشغيل سيرفر الإختراق




طيب والهوست
سنستخدم برنامج tcp eye

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

إذا البورت
80
طيب والهوست
سنستخدم أداة adapter dns
وها هو

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

الفائز الخامس مراقبنا الغالي Amr Saad

السرفر باسم gen ومساره C:\Windows\System32\drivers\en-US

يتصل عن طريق البورت 80

الهوست هو

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

طريقة الوصول للبيانات :

تم معرفة جميع الملفات التى يتم انشائها ومساراتها من خلال الكاسبر والاونلاين أرمور
تم معرفة البورت من خلال ( الكاسبر / الاون لاين ارمور / وبرنامج NET TOOLS )
تم معرفة الهوست من خلال برنامج APEATDNS و SMARTSNIFF

 

نبارك مره اخري لجميع الفائزين وحظ اوفر للجميع في التحديات القادمه باذن الله