التحدي الثاني بمســابقة فحص الملفات ► 2 ◄

m0d!s@r7@n · ‏سبتمبر 30, 2014

المصدر: التحدي الثاني بمســابقة فحص الملفات ► 2 ◄
في منتدى : منتدى نقاشات واختبارات برامج الحماية

►◄: أحبابنا ,أعضاء المنتدى الأعزاء :►◄

أسعد الله يومكم بكل خير ووفقكم لما يحب ويرضى وأسأل الله أن يمن علينا بالخير واليمن والبركة

يـــســـعـــدنــا أنـ نــقــدمـ لــكــمـ

التحدي الثاني من

▼
▼

▼
▼

والتي تهدف الى إستثمار الجهود المبذوله من الإخوه الأعضاء بالقسم في مزيد من العطاء والبذل

في جو تنافسي خلاق والعمل علي إظهار مواهبكم وتطويرها

يرجى الإطلاع علي شروط المسابقه قبل الإشتراك

▼
▼

▼
▼

مسابقه زيزوووم لفحص الملفات

▲▼ المطــــلوب ▼▲

جلب بيانات الملف التاليه

- مســـار نزول السيرفر

- البـورت والهـوست للسيرفر او الاي بي او عنوان الاستضافه نفسها

تنبيه

بيانات الملف حقيقيه

الملف عباره عن بوت نت قوي لذا التجربه تكون علي الوهمي مع حذف جميع الحسابات

الملف يتخطي الشادو دفندر و برامج كشف الهوست المشهوره

◄◄ لتحميل ملف المسابقه ►►

▼

▼

▼

▼

▲▼ الباســـورد ▼▲

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

►► طريقة تسليم بيانات ملف المسابقه ◄◄

- من يصل للبيانات الصحيحه يراسل أحد الأعضاء المسؤلين عن المسابقه

من أجل الحلول أو الإستفسارات

▼

▼

qysr

m0d!s@r7@n

ـــــــــــــــــــــــــــــ
ــــــــــــــــ

نرجوا الإلتزام من الجميع

ومن يخالف شروط وقوانين المسابقه

سيتم إخراجه من المسابقه نهائياً

وفي حالة تكرار المخالفة لـ 3 مرات سيتم حرمانه من الموسم التالي

شكر واجب لاخينا Mя.Soul المبدع صاحب ملف المسابقه

لاختنا الفاضله روايدا صاحبه تصميم وتنسيق الموضوع

m0d!s@r7@n · ‏أكتوبر 1, 2014

لا احد يتعجل الجواب

التاني في الفحص لتصل لنتيجه صحيحه

بالتوفيق للجميع

m0d!s@r7@n · ‏أكتوبر 10, 2014

انتهي الوقت المسموح لتلقي الاجابات وسيتم الاعلان عن الفائزين بعد قليل

مبروك لجميع الفائزين ونشكر جميع من شارك وحظ اوفر المره القادمه

m0d!s@r7@n · ‏أكتوبر 11, 2014

Mazn_TNT

___________
اولا السر بمكان الوصول لبداية تشغيل الملف المقصود من المسابقة :

فسيظهر لنا بين عمليات الاكسبلورر تشغيل الملف :

الان ننتظر قليلا من الصبر لان الملف لن يبدا بالاتصال مباشرة .... فسيظهر تنبيه من جدار الحماية بان الملف السابق يريد الاتصال :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

و هذا هو المطلوب ... مسار الملف مع البورت و الايبي و عنوان المتلقي للاتصال

و كل عام و انتم بخير

m0d!s@r7@n · ‏أكتوبر 11, 2014

Abdulmuhaimen

.:: الادوات المستخدمة في التحليل ::.

هيبس النود - ESET Hips
Toolwiz Care
Resource Monitor

الملف Terakstor.exe يقوم بإنشاء عدة ملفات

C:\Windows\Cursors\Legend.exe
C:\Program Files\Windows Manager\winmgr.exe
C:\Windows\System32\Microsoft.com
C:\Windows\SysWOW64\en-US\Forms.exe
C:\Windows\System\Native.exe
C:\Windows\Speech\Silverlight.exe

.:: خدعة الملف هو الضغط على زر _ ::.

أترككم الان مع الصور

التطبيق الخبيث Terakstor.exe يحاول إنشاء تطبيق أخر بسم Legend.exe في المسار الواضح في الصورة

التطبيق الخبيث Terakstor.exe يحاول تشغيل تطبيق أخر بسم Legend.exe في المسار الواضح في الصورة

جدار النود ESET Firewall يرصد هذا الاتصال

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

التطبيق الخبيث Legend.exe يحاول إنشاء المسار الواضح في الصورة

هنا تم إنشاء التطبيق الخبيث winmgr.exe في المسار
C:\Program Files\Windows Manager\winmgr.exe
وهو من سيحاول الاتصال في الصورة الثالية

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

التطبيق الخبيث يحاول تعطيل برنامج الحماية ESET من خلال الكتابة عليه
لكن الحماية الذاتية Self-defense حالت دون ذلك

التطبيق الخبيث winmgr.exe يحاول الكتابة على نفسه

للاسف جدار النود لم يتمكن من رصد الاتصال المهم
مما جعلني أستخدم برنامج Resource Monitor لكشف الاتصال

كما هو واضح في الصورة

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملاحظة : التجربة تمت في وجود النظام الحقيقي مع خاصة تجميد النظام
باستخدام برنامج Toolwiz Care

إلى هنا أكون قد أنتهيت من الشرح

m0d!s@r7@n · ‏أكتوبر 11, 2014

Amr Saad

طريقة الوصول للحل :-

من خلال الأرمور .. عند الضغط على زر Minmize
يحاول انشاء ملف فى المسار الموضح بإسم Legend

بعد ذلك يحاول الاتصال بالانترنت

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

بعد ذلك سيحاول إنشاء ملفين أخرين ويضيف نفسه ويضيف الملفات التى قام بإنشائها إلى بدء التشغيل
احد هذه الملفات سيحاول الاتصال بالانترنت { winmgr } . لكنه غير نشط

الملف الذى سيحاول الاتصال بالانترنت

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

الاتصال المطلوب :-

من خلال الأرمور :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

من خلال برنامج Net tools

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

m0d!s@r7@n · ‏أكتوبر 11, 2014

hitman samir12

بعد تجارب كثيرة تم اكتشاف الاتصال الخاص بالاستضافة نفسها

مسار نزول السيرفر

بعد الضغط سماح لمرات متتالية يضهر الاتصال وهذا هو البورت والايبي للاتصال

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

الملف واسمه

m0d!s@r7@n · ‏أكتوبر 11, 2014

عين الطيف

* تم الكشف ببرنامج Online armor 7

* بعد عمل الحقن بملف المسابقة تبقي كشف الملف الأساسي المسؤل عن الإتصال وتمت تجربة زر about ولم يكن هو المطلوب بل كان زر تصغير البرنامج :

- هنا في الفيديو بعد تصغير البرنامج ظهر اتصال الملف المطلوب Winmgr.exe :

http://www.mediafire.com/download/31bsx2u9v3sdl13/شسيي 00_01_55-00_02_35.avi

- وفي الفيديو رسائل خطأ بسبب تكرار التجربة وعدم الرسترة .

- فيديو تتمة للفيديو الأول وفيه أيضا بعض التوضيح واتصال ملف winmgr المزيف :

http://www.mediafire.com/download/i2asj9fnitk1d71/شسي 00_00_00-00_02_45.avi

* بعض الصور التي ظهرت بعد ملف Winmgr.exe :

* اتصال الملف :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

* ارتباط الملفين مـعا : لذا لهم نفس ال IP :

* ملف Microsoft :

* اتصال مبدئي لعمل الملف ( قبل النهائي ) :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

* ثم تكرار ظهور الرسالة التالية وهي الأخيرة وهي توضح ملف المسار الأصلي :

* بعد عزل الاتصالات في الجدار الناري الا من اتصال الملف المطلوب :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

* وهو نفس ip ملف legend ولكن مسار الملف لم يكن المسار الأصلي :

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

m0d!s@r7@n · ‏أكتوبر 11, 2014

medo32

الهوست:
n.host-shield.co
البورت
80

مسار النزول
C:\Windows\Cursors\Legend.exe

C:\ProgramData\Windows Manager\winmgr.exe

أضافة الريجستري

الحماية
.NET Reactor
Base64
تحمل من النت

الشرح (انصح الجميع بمشاهدته)

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

تسجيل الدخول

التحدي الثاني بمســابقة فحص الملفات ► 2 ◄

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

مشاركة هذه الصفحة

تسجيل الدخول

التحدي الثاني بمســابقة فحص الملفات ► 2 ◄

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

m0d!s@r7@n عضو شرف (خبير فحص الملفات) ★ نجم المنتدى ★

مشاركة هذه الصفحة

عمليات بحث مفيدة