1. إستبعاد الملاحظة

تشفيرة تشفيره بتاريخ 4/2/2018

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏فبراير 4, 2018.

حالة الموضوع:
مغلق
  1. black007

    black007 كبير المراقبين (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية داعــــم للمنتـــــدى نجم المنتدى

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,518
    الإعجابات :
    23,784
    نقاط الجائزة:
    2,670
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    :222LOL::222LOL::222LOL::222LOL:

    لكن السبب الذى قام باكتشاف بهذا الاسم واضح

    وهو اعتمده على توقيع باسم smart assembly لذلك تم الكشف بهذا الاسم

    العيب فى من كتب التوقيع داخل البرنامج

    هناك مشاريع كثيره مفتوحه المصدر التى يمكن من خلالها بناء محرك فيروسات خاص بك بدون الاعتماد على محركات الشركات المشهوره ( افيرا / كاسبر / بت دفندر ) وغيرهم

    من ارد التعمق فى هذا الموضوع عليه بالبحث باسم yara signature

    بمكانك ان تقوم بعمل قاعده بيانات كبيره تقوم فيها بكتابه توقيع خاص الى اى برنامج تريده اعتمادا على هذا المبدا

    واذا كنت مبرمج شاطر تستطيع كتابه برنامج حمايه خاص بك وتقوم بتغزيته بتلك التوقيعات

    وهو ما نحن بصدده الان ( مثال الاخ tiktoshi ) البرنامج المشار له فى الاعلى

    لكن صاحب البرنامج او فريق البرنامج قام بكتابه التوقيع بشكل خطا بدون التعمق بشكل اكثر للتفرقه بين الملفات السليمه المشفره بواسطه smart assembly

    والملفات الخبيثه التى هى ايضا مشفره بنفس البرنامج smart assembly

    موضوع التوقيع الصراحه اعرف الكثير عنه وهناك كثير من المشاريع المفتوحه المصدر

    بمكاننا ان اصنع موضوع اشرح فيه كيف تقوم بكتابه توقيع لملف ما

    لكن ربما لن يفيد احد لانه سيكون موجه للاشخاص المتوسط والمحترف ولن يفهمه المبتدا لصعوبه قليلا فيه

    لانى ساتكلم عن قيمه عدديه قرائه الملف عن طريق hex لكتابه توقيع فريد من نوعه

    :222eek::222eek::222eek::222eek::222eek:
     
    Abdelkarim ،dvb2010 و tiktoshi معجبون بهذا.
  2. tiktoshi

    tiktoshi زيزوومي VIP نجم المنتدى

    إنضم إلينا في:
    ‏يوليو 14, 2014
    المشاركات:
    3,858
    الإعجابات :
    17,622
    نقاط الجائزة:
    1,495
    الجنس:
    ذكر
    الإقامة:
    الجزائر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows 7
    يمكن لواحد شاطر ان يعمل برنامج خاص به بستخدام توقيعات

    لكن هل يمكن للبرنامج ان يستخدم رقم هاش ملفات بدل توقيعات

    على ما اعتقد توجد برامج تعتمد على محركها بستخدام هاشات MD4 ملفات
     
    أعجب بهذه المشاركة Abdelkarim
  3. black007

    black007 كبير المراقبين (خبير فحص ملفات) طـــاقم الإدارة فريق فحص زيزووم للحماية داعــــم للمنتـــــدى نجم المنتدى

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,518
    الإعجابات :
    23,784
    نقاط الجائزة:
    2,670
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    لا يمكن الاعتماد على الهاش خصوصا فى محركات الفحص وسابقا كانت تعتمد شركات الحمايه على الهاش

    لكن تم الاستغناء عنها حيث ان سابقا كان عدد الملفات التى يتم انتاجها بسيط

    بينما الان هناك بال الالاف من الملفات التى تظهر بنفس الوقت لذلك فكره الاعتماد على الهاش غير مفيده

    لان اذا قمت بالتعديل على ملف انت تعرف مسبقا رقم الهاش الخاص به اى تعديل ولو حتى بسيط بيتغير رقم الهاش بالكامل وهنا ستفشل عمليه الفحص

    السبب الذى يجعلنا نقوم بقرائه الملف عن طريق hex

    للحصول على قيمه عدده فريده من نوعها لكى يتم كتابه التوقيع لها وهذا ما تفعله كبرى شركات الحمايه عندما تقوم بتحليل ملف ما

    طبعا بعد ازاله التشفير عن الملف الاصلى يتم تحليل الملف الاصل والبدايه بالبحث عن قيمه عدديه فريده من نوعها ويتم كتابتها داخل برنامجك

    حسننا اذا حاولنا تشفير الملف مره اخرى وقمنا بفحص الملف عن طريق برنامجنا سيتم امساك الملف الصلى رغم انه مشفر

    كيف حدث ذلك

    لان الملف الاصل نعم مشفر ولكن هناك قيمه ثابته فيه وهو من قمنا بقنصها ووضعها فى برنامجنا حتى وان استطعنا ان نشفر الملف الاصلى فهذه القيمه مازالت مكشوف

    لذلك يكشفها برنامجنا

    الفكره تعتبر بسيطه بالشكل الظاهرى

    لكن حصولك على قيمه عدديه فريده من نوعها مع الوضع فى الاعتبار ان تكون القيمه حيقيقه وثابته وليست متغيره

    تعتبر امر مرهق جدا بالنظر الى انك تريد ان تكتب توقيع لملف ما

    ارجو ان تكون الفكره وضحت الان

    (222n)(222n)(222n)(222n)
     
    Abdelkarim ،dvb2010 و tiktoshi معجبون بهذا.
  4. tiktoshi

    tiktoshi زيزوومي VIP نجم المنتدى

    إنضم إلينا في:
    ‏يوليو 14, 2014
    المشاركات:
    3,858
    الإعجابات :
    17,622
    نقاط الجائزة:
    1,495
    الجنس:
    ذكر
    الإقامة:
    الجزائر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows 7
    الفكرة وصلت بعد قراءة شكرا لك

    هل من تشفرة اقوى من تشفرة السابقة :sneaky:

    افيرا جاهز
     
    Abdelkarim و black007 معجبون بهذا.
  5. ali nasra

    ali nasra زيزوومي جديد

    إنضم إلينا في:
    ‏فبراير 5, 2018
    المشاركات:
    63
    الإعجابات :
    21
    نقاط الجائزة:
    90
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    شكرا لك.
     
    أعجب بهذه المشاركة Abdelkarim
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...