1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

نـقـاش اختبار اختراق PayLoad Useing MSbuild مع Dr.Web Security Space

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏يونيو 17, 2018.

حالة الموضوع:
مغلق
  1. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,600
    الإعجابات :
    24,168
    نقاط الجائزة:
    2,970
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7



    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته

    اتمنى ان يكون الجميع فى تمام الصحه والعافيه

    وكل عام وانت بالف خير

    فديو بسيط يختبر تشغيل ملف PayLoad اختراق

    امام Dr.Web Security Space

    احب اقول شى مهم جدا وهو انا هذا البرنامج ارفع له القبعه وخصوصا الفايروول firewall الخاص به

    من اصعب البرامج الاتوماتيكيه التى واجهتها فى تعامل الجدار مع الملفات والسبب ستعرفوه فى الفديو

    اترككم مع المشاهده

    يفضل المشاهده بجوده عاليه

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    الفديو اهداء لصديقنا العزيز الغائب @samerira

    الفديو ببساطه يشرح وصول PayLoad بشكل ما لدى جهاز الضحيه وتشغيله

    النتيجه كما هى العاده اذا كان PayLoad غير مشفر سيتم كشف الملف فور تشغيله سواء بالفحص او التشغيل

    مع الوضع فى الاعتبار ان البرنامج محدث + الاعدادات افتراضيه غير معدله

    اتمنى يكون الفديو بسيط وشرح الاختبار بشكل واضح

    ملاحظه ( تم ارسال الملف للشركه للتحليل لعلها تمنع هذا النوع من التهديدات )

    تحياتى للجميع

    اخوكم ومحبكم دوما

    مصطفى & Black007
     
    ALI 145 ،hitman samir12 ،samerira و 7آخرون معجبون بهذا.
  2. ahmedibrahim

    ahmedibrahim زيزوومى ذهبى

    إنضم إلينا في:
    ‏فبراير 14, 2013
    المشاركات:
    1,203
    الإعجابات :
    2,779
    نقاط الجائزة:
    1,020
    الجنس:
    ذكر
    الإقامة:
    Alexandria - Egypt
    برامج الحماية:
    Trend Micro
    نظام التشغيل:
    Windows 10
    يعنى كده دكتور ويب وضعه ايه بين باقى البرامج
     
    أعجب بهذه المشاركة black007
  3. buust

    buust داعم للمنتدى داعــــم للمنتـــــدى

    إنضم إلينا في:
    ‏ديسمبر 7, 2017
    المشاركات:
    364
    الإعجابات :
    797
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Dammam
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 10
    تحياتي لك اخي الغالي وكل عام وانت بخير
    الله يعطيك العافية ماقصرت على الابداع
    ممكن تست Comodo Internet Security
    :wink:
     
    أعجب بهذه المشاركة black007
  4. Dz_zYz0

    Dz_zYz0 زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 14, 2013
    المشاركات:
    2,391
    الإعجابات :
    5,555
    نقاط الجائزة:
    1,295
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    امممممممم

    ماقصة الفايروال و اوامر الcmd اخ مصطفى ؟
     
    أعجب بهذه المشاركة black007
  5. MagicianMiDo32

    MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    9,197
    الإعجابات :
    26,991
    نقاط الجائزة:
    5,150
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    ماشاء الله
    تم التخطي
    بجد فكرة MSBuild قوية انتا عملت ايه بالظبت
    وازاي خليته يعمل كومبايل ويشغل بدون انتاج ملفات اخرى
     
    أعجب بهذه المشاركة black007
  6. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :.

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    4,060
    الإعجابات :
    11,300
    نقاط الجائزة:
    1,900
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    اخرى
    نظام التشغيل:
    windows 11
    كل عام وعيد ونحن واحبابنا واياكم بخير

    تجربه من الوزن الثقيل لا اعلم لماذا مستخدميه قليل رغم عروضه المجانيه وعدم اعتراف ويندوز10 به كبرنامج
     
    أعجب بهذه المشاركة black007
  7. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,600
    الإعجابات :
    24,168
    نقاط الجائزة:
    2,970
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    وضع الدكتور ويب جيد فقط فى الجدار لانه من اذكى الجدار الناريه المتصله مع البرامج بشكل عام

    دفاع الدكتور ويب اثناء التشغيل لا باس به ويفى بالغرض

    هممممم

    تحدى صعب وقد قبله (222y)(222y)(222y)

    هل تريد ان اقوم بالتخطى بنفس الملف ام باستخدام فكره جديده

    للعلم اغلب برامج الحمايه تقوم بوضع قواعد اساسيه خاصه بملفات ميكروسوفت الاساسيه زاتيه التنفيذ

    اقصد القابله للتنفيذ حتى لا تسبب للمستخدم مشاكل

    whitelist يتم وضع فيها كل الملفات الموثوقه من قبل برنامج الحمايه التابعه لاغلب البرامج المشهوره والموثوقه لدى الشركه

    القصه باختصار

    ان الجدار على الوضع الاتوماتيكى كما وضحت فى الفديو وكما بينت فى قائمه البرامج التى سمح لها البرنامج بالاتصال وانشاء قواعد لها

    هو ان فى الحاله الاولى التى جربت فيها الملف صد الملف وقال انه غير موقع رقميا وكما الحال مع اى ملف مجهول وهذا دعانى الى التفكير

    هل اذا وقعت الملف هل سيكشفه (222n)(222n)(222n)

    لذلك قمت بتجربه استخدام اسلوبى المفضل powershell وكما ظهر فى الملف ايضا ان الجدار الذكى صنف الملف انه يحاول ان يعمل من خلال برنامج موقع رقميا كما اظهرت فى الفديو

    ولكنه اخبرنى برساله ان powershell يريد ان يعمل من خلال ملف مجهول وايضا اظهر رساله بمنع او اتصال الملف

    اخير فى النهايه استخدام msbuild الذى وكما ذكرت لصدقى العزيز buust ان هناك ملفات ضمن القائمه البيضاء لبرامج الحمايه لا تعترض عليها برامج الحمايه

    + توضيح بسيط msbuild هو المشغل الاساسى فى مكتبه net framework باى اصدار كان لذلك برامج الحمايه تصنف كما ذكرت برامج موثوقه

    اومر ال CMD هى محض فقط اوامر انفذ بها الكود ( توثيق الملف المنفذ ) ;222);222);222);222)

    الفكره بسيطه

    اعمل مشروع جديد عادى جدا بال #C

    حط متغير من نوع byte لل shellcode

    وضيف مكتبتين مهمين جدا

    using Microsoft.Build.Framework;
    using Microsoft.Build.Utilities;

    وبدل لمه تعمل كوميل للملف

    اثناء تشغيل الملف خليه يعمل كومبايل ويشتغل من خلال msbuild اى وضيعه debug mode

    :222D:222D:222D

    فكره خبيثه ( طبعا ملف cmd هو المشغل لكل ده ) ;222);222);222);222)


    البرنامج ليس له شعبيه ومن البرامج المهضوم حقها لكنه اصنفه من اذكى البرامج فى الجدار

    وهذه ليست مبالغه حيث اننى عانيت كثير مع هذا الجدار لكن فى النهايه تبقى حمايه وقابل للكسر

    عليك فقط تفكر دائما خارج الصندوق

    ----------------

    حابب اوضح شى مهم جدا وهو هناك فرق بين الحقن فى ملف موثوق والتشغيل من خلال ملف موثوق

    الامر يعتمد على انى استعين بمكتبه اساسيه فى الويندوز

    وليس حقنى للكود داخلها لان اغلب برامج الحمايه تكشف الحقن مهما كان

    المصيبه الكبرى التى احاول تنفيزها هى اضافه بيتات byte الشل كود shellcode ( الملف الخبيث مع برنامج اخر ) ليس دمج معتاد عادى

    بل اضافه الملف ك byte ولا يمكن كشف هذا النوع على الرغم من تغيير الهاش للملف

    نفس الفكره التى اتبعها اشخاص مجهولون عندما تم حقن ملفات ccleaner ببيلود اختراق

    :222eek::222eek::222eek::222eek:

    ;222);222);222);222)
     
    buust, Dz_zYz0, MagicianMiDo32 و 1 شخص آخر معجبون بهذا.
  8. أحمد البدارنة

    أحمد البدارنة .: خبير تحليل ملفات :.

    إنضم إلينا في:
    ‏مارس 25, 2013
    المشاركات:
    5,685
    الإعجابات :
    20,832
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    السلام عليكم ورحمة الله وبركاته

    يعطيك العافيه تجربه مميزه في انتظار الاختبار على comodo
     
    MagicianMiDo32 ،buust و black007 معجبون بهذا.
  9. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,600
    الإعجابات :
    24,168
    نقاط الجائزة:
    2,970
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    :222D:222D:222D:222D222:)222:)222:)222:)222:)

    ستكون اول حاضر عندما ستشهد اختباره

    الوضع الافتراضى بالكامل

    من الملاحظ ان الوضع الافتراضى للبرنامج غير مفعل فيه Hips من اعدادات الشركه

    كملاحظه اولى فور التجربه
     
    أحمد البدارنة و buust معجبون بهذا.
  10. MagicianMiDo32

    MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    9,197
    الإعجابات :
    26,991
    نقاط الجائزة:
    5,150
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    فكرة عسل :222D

    بس بيتهيالي لما تحاول حقن بايتات الملف نفسه التوقيع الرقمي بيضرب invalid
    فكدا بنخسر اهم ميزة احنا عاوزينها والبرنامج بيبقى بالنسبة للأنتي فيرس كأنه ملف عادي

    انما العيال ولاد الابالسة بتوع السي كلينر هكروا شبكة الشركة الأصلية وبدلوا البرنامج بنسخة تانية ملغمة
    والموظفين عملوا بيلد ووقعوا النسخة الملغمة رقميا وتم طرحها للتحميل
    لأن في الشركات الكبيرة بيكون هناك اكثر من فريق شغالين على نفس النسخة من البرنامج
    والتعديل الي بيقوم بيه احدهم بيحصل عند الكل ,,زي git كدا
    فممكن محدش خد باله فعلا ان النسخة اتبدلت
    دا على حسب تحليلي , لأن ملقتش معلومات مفصلة قوي عن الموضوع
    upload_2018-6-18_21-44-53.png
    https://www.upi.com/Top_News/World-...to-CCleaner-antivirus-software/8151505741767/

    بس انا عندي فكرة تانية
    هيا اننا نبحث عن برنامج قديم , يكون به ثغرة bufferoverflow
    ويكون موقع رقميا والتوقيع الرقمي بتاعه صالح
    ونقنع الضحية انه يسطبه ويشغل الشيل كود بتاعنا
    يعني مثلا نسخة قديمة بها ثغرة من برنامج vlc
    الضحية هيحمله ويشغل ملف الفيديو بتاعنا الي هو جواه شيل كود
    كدا هنحقن البرنامج في الذاكرة دون ان نلمس الـ image الخاصة بيه على الهارد ودون استخدام الران بي
    وبالتالي سيظل التوقيع الرقمي صالح و سنتخطى المكافح

    طبعا الخيارات كثيرة في هذة الفكرة , يعني ممكن نختار ملف ملهوش واجهة ونستخدم الـ sfx لدمجه مع الشيل كود و اوامر cmd لتشغيله
    cmd.exe vulnerableapp.exe shellcode.mp3
     
    black007 و buust معجبون بهذا.
  11. أحمد البدارنة

    أحمد البدارنة .: خبير تحليل ملفات :.

    إنضم إلينا في:
    ‏مارس 25, 2013
    المشاركات:
    5,685
    الإعجابات :
    20,832
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    نعم غير مفعل + السماح للاتصال غير المعروفه بالمرور من غير اعتراض للاسف.
     
    أعجب بهذه المشاركة MagicianMiDo32
  12. ALI 145

    ALI 145 زيزوومي ماسى

    إنضم إلينا في:
    ‏ديسمبر 29, 2014
    المشاركات:
    1,380
    الإعجابات :
    3,942
    نقاط الجائزة:
    1,095
    الجنس:
    ذكر
    الإقامة:
    Mercure
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    السلام عليكم .. شكرا أخي مصطفى تجربة جميلة .. جدار الدكتور ويب حساس وجدار حقيقي وذو فعالية على الإفتراضي ليس كجدران بقية البرامج برامج الحماية جدارها هو شكلي فقط على الإفتراضي يسمح بمرور %90 من الإتصالات الخبيثة على الإفتراضي .. خصوصا لو كان إتصال أو حاضن إتصال موثوق و موقع لن يتحرك أبدا كأنه ميت .. ؟!!
     
  13. samerira

    samerira زيزوومي ماسى

    إنضم إلينا في:
    ‏مارس 4, 2011
    المشاركات:
    1,134
    الإعجابات :
    5,055
    نقاط الجائزة:
    1,095
    الجنس:
    ذكر
    الإقامة:
    Sun Den
    برامج الحماية:
    Dr.Web
    نظام التشغيل:
    Windows 7
    السلام عليكم ورحمة الله.. يا اخي مصطفى هديتكم تلكم ملغومة فبغض النظر عن عدكم صاحبي ومنذ سنين انصرمت واعتز بكم واتيه بكم فخرا فانا لا اخفيكم زعلي.. كما لم يتسنى لي التأكد من نوعية الاختراق بسبب عدم جودة الفديو.. هل فعلا تم الوصول الى الملفات او كشف ملفات السر في المتصفحات وانا متأكد انه لا يمكنك من الوصول الى القرص او تعديل او حذف الملفات بشكل تلقائي بسبب وحدة الحماية الوقائية في د.ويب ام ماذا جرى مع وجود افضل برنامج حماية في العالم وعبر طريقتكم تلك كما وصلني يمكنكم تخطي كل برامج الحماية والانظمة الامنية التي تعمل من خلال جهازكم حصرا اما عن بعد فيستحيل ذلك.. الامر قد يحتاجني الى تأني حتى اقطع الشك باليقين وساعرج متى يتيح لي الوقت في المرور على بقية سلسلتكم.. كما ان السماح للاتصال من خلال د.ويب حتى عبر ملف موقع رقميا لمرة واحدة حتى بشكل متسلسل سيخلق قاعدة اتصال واحدة فقط تكون يدوية بشكل كلي من دون تذكر قاعدة الاجراء فهل فتحت منفذ 443.. لي عودة معكم بحول الله تعالى لكني اعدكم حتما ان اكتب موضوع ارد فيه عليكم وابين فيه للقاصي والداني وعبر تجارب واختبارات حقيقية عن افضلية جناح د.ويب الفضائي وساقدمه لكم بعده هدية مع تقديري لجهودكم الحثيثة وتفانيكم في الارتقاء بجمهورية زيزووم
     
    التميمي14 ،MagicianMiDo32 و black007 معجبون بهذا.
  14. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,600
    الإعجابات :
    24,168
    نقاط الجائزة:
    2,970
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    وعليكم السلام واهلا بصديقى الغائب سامر

    بخصوص ما تفضلت به انا فى انتظارك لتجربه كل شى بنفسك

    لقد اوضحت بفضل المشاهده بجوده عاليه لتتضح لك الصوره

    دائما ما اقوم بالاختبار على الوضع الافتراضى للشركه الذى يستخدمه المستخدم العادى وليس المعدل

    وقد اوضحت ان الجدار النارى هو من وقف فى طريقى فقط

    وقد قمت بتجاوزه بملف سليم يثق فيه Dr.Web وجميع الملفات الاخرى كانت محض تجربه فقط لبيان ان وحدات البرنامج تعمل

    اما بخصوص قولك انه لا يمكن الاختراق عن بعد

    فسامحنى فى هذه ايضا الاتصال خارج الشبكه الذى اقوم بقه لان اذا لم اكن اخترق خارج الشبكه ما كان ظهر الاى بى الحقيقى الخاص

    ويظهر فقط الاى بى المحلى

    بانتظارك للدخول لتجرب حتى كل شى بنفسك وهى دعوه شخصيه لكى تزور فيها جهازى المتواضع وتشاهد كل شى بنفسك على الطبيعه

    تحياتى وتقديرى
     
    التميمي14 ،MagicianMiDo32 و samerira معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...