نـقـاش X2 اختبار اختراق PayLoad Useing Msi Installer And Other مع Tencent PC + Arcabit Internet Security

المصدر: X2 اختبار اختراق PayLoad Useing Msi Installer And Other مع Tencent PC + Arcabit Internet Security
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

اتمنى ان يكون الجميع فى تمام الصحه والعافيه

عدنا معكم من جديد

وبناء على رغبه الاعضاء فى الاختبار على برامج محدد ( ساستمر النشر تباعا ان شاء الله )

هذه المره اختبرت برنامجين دفعه واحد لتلبيه طلبات الاعضاء بشكل اسرع

للاعضاء الكرام دائما انتظر ان ترى مقطرحك فى الفديو القادم

ابقى على الموعد

فديو بسيط يختبر تشغيل ملف PayLoad اختراق

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

يفضل المشاهده بجوده عاليه

الفديو اهداء لصديقنا العزيز @التميمي14

البرنامج متدنى فى الحمايه الاستباقيه + لا يحتوى على جدار نارى

ليس لانه يعتمد على السحاب يغطى نقص الجدار

+ بطء فى اكتشاف الملفات لان اذا قمت بعمل فحص للنظام سيعطى تنبيه

فى الغالب الحمايه فى الوقت الحقيقى لا تعمل بشكل جيد

السبب واضح فى الفديو

--------------------------------------

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

يفضل المشاهده بجوده عاليه

الفديو اهداء لصديقنا العزيز @Dz_zYz0

البرنامج ياتى بشكل افتراضى بلغه البولنديه حتى بعد تغيير اللغه اثناء تثبيت البرنامج

فانه يظل يعمل باللغه البولنديه حتى يتم تغييرها من اعدادات البرنامج

بشكل عام البرنامج جيد الى حد ما لكن مشكله الجدار لديه غير موجود تقريبا وفى الغالب يعتمد على جدار الويندوز

حاله كحال اغلب برامج الحمايه الاخرى التى تعتمد بشكل اساسى على جدار الويندوز

---------------

ملاحظه ( تم ارسال الملف للشركه للتحليل لعلها تمنع هذا النوع من التهديدات )

كانت هذه تجربه قاسيه نوع ما لتلك البرامج

ملاحظه مهمه حابب اوضحها ( الملفات المجربه على البرامج هى ملفات حقيقيه يمكنها ان تصيب اى مستخدم )

لذلك الامر ليس صعب على برامج الحمايه ان تبزل ما فى وسعها اكثر من ذلك لان بهذا المستوى لا نسميها شركات حمايه

شركات الحمايه تركز على امور وتهمل امور اخرى

من خلال ملاحظتى على البرنامجين فكل منهم لا يصلح ان يكون برنامج حمايه اساسى على الجهاز

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى & Black007

 

بارك الله فيك أخي الغالي مصطفي
مجهود اكثر من رائع
نريد العودة الي تجاربك وتشفيرات الرائعة مآآرايك

 

مجود مميز اخى مصطفى بارك الله فيك

 

مجهود رائع جدا والله لا اقولها مجامله لك اخي مصطفى انت مبدع ونحن با ابداعك نستمتع

تلبيتك لطلبنا شرف لنا والحقيقه ذهلت من ضعف التيسنت وتجربتي له ليست مقياس لانه على عينات فحص فقط وايضا روابط ويب كحماية
لكن بتجربتك اعلاه اقتنعت بضعفه ولا يفتى ومالك بالمدينه

انا استخدمته للتجربه ايام فقط وتم حذفه

دمت بخير وبنتظار سلسلة التجارب الكاشفه القاهره لبرامج الحماية

 

جميل جداً مجهود اكثر من رائع

اخي الكريم واتمنى منك كذلك ان تضع برنامج VIPRE Advanced Security في قائمتك حتى تبين لنا قوته لانه من برامج الحماية التي تنصح بها مايكروسوفت وبعض المواقع

 

واصل يا مبدع لا اعلم هل تم التجريب من قبل على جدار الكومودو المنفصل وعلى كاسبر انترنت سيكيورتي ان لم يتم التجريب عليهما فارجو ان يكونا البرنامجان التاليان على لائحتك

 

رائع ومبدع اخى مصطفى

اتمنى لو قمت باختبار برنامج Trendmicro internet security 2018

 

متميز دايئما و مبدع
في انتظار بشغف لمعرفة الضحية التالية من برامج الجماية
​

 

@black007 هو يا اخ مصطفى لو تم التغيير على الاعدادت الي الماكس هل معظم البرامج تكتشف ملفك البايلود ؟

و بالنسبة للاركابيت هل بسبب جداره تم الاختراق ام ماذا ؟

 

اعتقد يا اخي المبدع مصطفى ان تيسنت هو المتسبب بعد حذفه ظهرت رساله من الويندوز10 تطالب ب ....


http://forum.zyzoom.net/threads/308885/

 

شكرا لك صديقى العزيز احمد

للاسف لا يمكن ذلك لعده اسباب واكثرها

اصبحت للاسف غير دائما التواجد لل متابعه طوال الليوم بعد نشر التشفيره ( سابقا كانى عندى وقت فراغ ) لمتابعه التشفيره

حتى نهايه اليوم تقريبا من وقت نشر التشفيره

لكن حاليا فقط من 3 الى 4 ساعات على الاكثر اكون متواجد داخل المنتدى وذلك بسبب ظروف اخرى

سواء كانت العمل او دراسات حره لزياده لزياده المهاره الشخصيه

فكره الفديوهات الاختبار هى فكره جيده نوع ما بل وايضا تركز على اغلب البرامج الاخرى المغموره التى لا نراها فى المنتدى تقريبا ويستخدمها شريحه شبه غير موجوده من المستخدمين

لذلك احببت تسليت الضوء عليها لمعرفه هل تستحق الاقتناء ام لا

تحياتى وتقديرى لك صديقى العزيز محمد

للاسف البرنامج اصفه بانه بدائى جدا جدا واعتماده بشكل كامل على السحاب لا يبرر له ان يكون برنامج حمايه

ارشحه فقط فى حاله الفحص عند الطلب ستكون كافيه

بخصوص المشكله معك البرنامج يعانى من ثبات ما لان حدث معى بعد تثبيتى له ظل عالق فى محرك البت دفندر بعد تحدثه الى تاريخ قديمه

وكلما حاولت تحديثه لا يقبل

فاضطررت الى حزفه وتثبيته من جديد لكى يعمل بشكل جيد

شكلك فاهم يانصه

تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @buust لذلك جارى تحضيره لا ياخذ حقه من الاختبار

ياااااااااه صديقى العزيز سمير اين اختفيت يارجل

اشتقنا لك كثير

بخصوص الكمودو فسبق وتم الاختبار عليه وكان من اصعب البرامج التى واجهتها

للعلم نسخه الكمودو انترنت سيكيورتى لا تختلف عن نسخه الجدار النارى المنفصل فقط النسخه الكامل مضاف لها محرك الكمودو انما نفس الوحدات البرنامج كامل

بخصوص الكاسبر ( للمره الثالثه التى يطالبنى بيها مشجعين الكاسبر بالاختبار عليه )

حتى مشجعين eset ايضا يترقبون دوره هو الاخر لكن لا اريد ان احبط احد فمنذ بدايه هذه السلسله قمت باستثنائهم من الاختبار لانى ذكرت ذلك سابقا

اريد التركيز على البرامج الاخرى المغموره التى لا يستخدمها احد لنعرف هل هى مهجوره من قبل العملاء ام انها برامج لا تستحق الاقتناء

لكن بما ان الشعب يريد التجربه على كل من الكاسبر و ESET حسننا سافكر فى الامر ولكن سيكونوا فى اخر القائمه

تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @عاشق النود لذلك جارى تحضيره لا ياخذ حقه من الاختبار

ليست كلها

الفكره تكمن فى ان ملفات payload تختلف بشكل تام عن برامج الرات العاديه فى طريقه واسلوب وكتابه الكود

الاختلافات تكون

1- اللغه البرمجيه مختلفه
2- طريقه التشفير مختلفه
3- استخدام حقن متقن جدا ولا يمكن كشفه عكس برامج الرات العاديه
4- طريقه الاتصال وهنا اقصد السوكت المكتوب بيه payload عن الرات مختلف كليا

فحتى مع اعدادات الماكس فى برامج الحمايه لن يتم كشف هذا النوع من الاختراق لانه فى الاصل اختراق متقدم عكس برامج الرات العاديه

التى فى الاصل لديها مفتاح اتصال لعمل connect بين الكلاينت و السرفر

واكبر دليل على ذلك عندما اختبرت خاصيه Hardened Mode فى الافاست التى مهما حاولت ان اتجاوزها بالرات العادى لن استطيع

لان برمجه payload تسمح لى بالحقن فى عمليات موثوقه بل واستغلاها بدون كشف

 

ماشاء الله اخي دوما شرحك شرح اساتذة
ههههههه حاسس انك تقول لي ما تفعله الان هو مجرد فاتح للشهية

 

تحليلك صح ياكبير

الميتربرتر عباره عن فتح قناه اتصال بدون سوكت اتصال

لاحظ هذه الصوره التقطها من عندى



عندما تحاول ان تقوم بتشغيل ملف ما ويعترض عليه المكافح سواء باى وحده من وحدات برنامج الحمايه لاحظ هنا ما يحاول ان يبعته سشن الميتربرتر

ولا اعرف ان كان بامكانه فعل ذلك مع مكتبة الميتربريتر ام لا لم اجرب بصراحة

بيكشفها وعن تجربه حتى لو مشفر الملف كويس ( طريقه التشفير هى العامل فى النقطه دى )

ودى رساله منه لمه تشغل ملف bat ومن خلاله الى powershell



الكلام ده والملف مشفر base64

النود واضح انه بيعمل هوك فعلا على CopyMemory

تحليل منطقى جدا

النود من اذكى البرامج فى فحص الممورى ( الواد الى شغال هناك عبقرى فعلا انه قدر يكتب داله زى دى بانها توقف كل واى نوع ملف خبيث يحاول يحقن نفسه فى الزاكره )

 

احم

اخ مصطفى @black007 ماذا لو جربت الباي لود على

malwarebytes anitmalware

لان به طيقة الant-exploit

و نشوف هل هي كما يقولون ام انه لا يخرج من دائرة second opinion scanner

 

اعتقد ان مشكلة المالوير المرتبط و الذي يستعمل script تحقن عن طريق powershell
مازالت مشكلة قائمة و برامج الحماية بالتعاون مع ميكروسوفت تحاول ايقافها بما تسميه AMSI
AntiMalware Scan Interface
باقي البرامج المختبرة هنا مازلت لم ار فيها هذه الميزة
و هذا ما استطاع النود و كاسبرسكي استعمالها جيدا (سانشر صور لاحقا)
ايضا كما ذكرتم النود ذكي جدا في مسح الذاكرة
اضف الى ذلك كاسبرسكي فانه يستعمل تكنولوجي جديدة نسبيا لميكروسوفت تسمى بعزل القلب
Core isolation using device security
و هي بالاساس معمولة ل windows Defender
لن عندما تنشط ال virtualization من اعددادات البيوس يقوم كاسبرسكي بادارتها في الويندوز ،و هو يقوم
بعزل قلب النظام و العمليات الحساسة و التي يمكن استغلالها لحق ال payload و لذلك اعتقد مع استخدام الاثنين مع بعض
سيكون هناك بعض التحدي (نسخة كاسبرسكي 2019 - ويندوز 10 تحديث ابريل)
لكني متاكد ايضا انه لن يستعصي عليك
و بالتالي فانا اتمنى ان تقوم بالتجربة على windows defender على ويندوز 10 اخر تحديث
ودمتم بخير ​

 

تحياتي لداهيه زيزووم اخي مصطفى


نتمنى ان تعرج على نسخه مكافي التي لها سنه تحقق نتائج في av

McAfee® LiveSafe™

black007@

http://forum.zyzoom.net/threads/308800/#post-4099170