نـقـاش امر غريب وخطير فعلة VMware اثناء التحديث

المصدر: امر غريب وخطير فعلة VMware اثناء التحديث
في منتدى : منتدى نقاشات واختبارات برامج الحماية

السلام عليكم ورحنة الله وبركاتة

الموضوع

بخصوص VMware للانظمة الوهمية , امس طلب مني التحديث واحببت اخذ نسخة من ملف التصيب
اثناء التحديث وكنت اراقب ملف التمب بالصدفة وشي غريب لم اتوقعها من هذا البرنامج نهائيا وهو
انه يقوم بنقل الملفات الموجودة في الانظمة الوهمية في ملف التمب اثناء التحديث وكنت واضع ملفات
في احدى الانظمة من نوع vbs ومعروف انه هذه الملفات في منها ديدان تعمل تلقائيا من ضغط دبل
كلك فالموضوع خطير جدا خصوصا لمن يجرب عينات يجب الحذر تعتبر ثغرة خطيرة بالبرنامج
لم اجرب برنامج Virtualbox هل يقوم بنفس المشكلة فيحتاج منكم التجارب او ساحاول التجربة
لاحقا لاني لا ارغب بالبرنامج افضل VMware عليه لكن اذا الموضوع خاص بالامان راح اجبر
نفسي على استخدامة

 

وعليكم السَلام ورحمة الله وبركاته
بصراحة لم أجرب الترقية بهذه الطريقة
فبسبب تحديد الجيجات عندينا في مصر يفضل تحميل التحديث أو أحدث إصدار من البرنامج وتثبيته بشكل عادي
هل جربت أخي تكتب للموقع الرسمي الخاص بهم لتسألهم عن السبب
وما هو إصدار الvm الذي كنت تحاول ترقيته
وبإنتظار باقي الأخوة للفائدة
تحياتي لك

 

اهلا اخي للاسف لم اجرب التخاطب معهم لكن اشوف الافضل لترقية
هو مسح البرنامج القديم وتثبيت جديد لانة في الترقية الامر خطير

 

السلام عليكم
- اصلا ملفات نظام الوهمي موجودة في الويندوز الاصلي
لكن معزولة تمام ( بيئة افتراضية ) و موجودة في الملف vmdk .
اما ملفات ذات الامتداد vbs هو امتداد يستخدم ليمثل مخطوط أساسي افتراضي
و يمكن يحتوي اكواد خبيثة ترفق مع البريد الالكتروني .



​

 

حتى لو لم تقم بحذفه أخي
أعتقد إذا حاولت تثبيت إصدار فوق إصدار فسيقوم بالترقية
والله أعلم

 

وعليكم السَلام ورحمة الله وبركاته
ما يقصده الأخ @prooonet هو أن الvm أثناء الترقية ينقل الملفات الموجودة داخل البيئة المعزولة إلى الtemp
ومن هذه الملفات ديدان وملفات vbs خاصة بالأخ نفسه وهو يقوم بتجربتها على النظام الوهمي
والخطورة تكمن في تشغيل أحد تلك الملفات بالخطأ أثناء التجربة
تحياتي لك أخي

 

وعليكم السلام
نعم اخي لكن اقصد اثناء التحديث ينقل الملفات الموجودة داخل الوهمي الى ملف temp
بصيغها الاصلية بطريقة غير مشفرة واذا كان منها ملف vbs دودة سينقلها لنظام الحقيقي
اثناء الترقية وراح تعمل من نفسها لكن انا اثناء الترقية لم اطفأ الانظمة مخليها على وضع
suspend هل البرنامج عمل هذه الحركة لاني مخلي الانظمة على هذا الوضع يحتاج تجربة
المهم انه طريقتة في نقل الملفات خاطئة المفروض يشفرها مثل مايعمل اثناء تشغيل النظام
الوهمي وبعدها ينقلها ويحدث ماينقلها بهذه الطريقة الغبية

نعم اخي الحل في اعتقادي ازالة الاصدار القديم وتركيب الجديد بعد الازالة

نعم هذا ما اقصد ويوجد ملفات vbs يعلمها الاخوان ومن جرب
العينات تعمل من تلقاء نفسها من غير تشغيل بمجرب فك الضغط

 

الموضوع يحتاج رسالة جيدة تشرح الموضوع لشركة راح احاول اكتب رسال
لكن لغتي قليلة ماتصلح لرسائل من يستطيع عمل رسالة ويرسلها لشركة
يكون امر جيد لتحديث البرنامج وتصحيح هذا الخطا

 

ما هو الإصدار الذي استخدمته أخي وظهرت فيه المشكلة
سأحاول أن أكتب لهم ولكن أظن سيعترضو بسبب عدم شرائي للبرنامج ههههه
أو ستكون إستجابتهم ضعيفة شوي

 

هذا ما كنت افكر فيه كنت اخاف يسالوني عن الرخصة المستخدمة وهي غير اصلية
وبعدها يردون علي تتشرط وانت مو شاري اعتقد الاصدار القديم كان رقمة
15.5.0 بعد التحديث اصبح 15.5.1

 

هههههه بالضبط هذا ما يُتوقع منهم
بس هذه مشكلة عامة لو هي كما نرا لذا يجب حلها سواء أكان لدينا رخصة أو لا
وأيضا ننتظر قليلا بعض الوقت أخوتنا المشرفين أصحاب الخبرة الأكبر ربما لديهم تفسير لهذا
@pokee @badr-aldeen @محمد دسوقى1980 @باسل القرش

 

انا إلى الآن لم أفهم ماعلاقة التترقية بالملفات الموجودة في ملف المؤقت
كما ذكر لك الاخوة ملفات نظام التشغيل للنظام الوهمي محفوظة بداخل ملف vmdk وهو عبارة عن قرص وهمي
البرنامج يستخدم المسار
%userprofile%\AppData\Local\Temp\vmware-%username%\VMwareDnD
لحفظ الملفات التي تم نقلها عن طريق المجلد المشترك بين النظام الوهمي والنظام المستضيف
حتى أثناء وضع الجهاز الوهمي بحالة الاستعداد يتم حفظ الذاكرة الوهمية بملف منفصل بصيغة vmss
داخل مجلد النظام الوهمي

السؤال لماذا وجدت فقط ملف vbs داخل مجلد الملفات المؤقتة
حسب كلامك يجب أن تجد جميع ملفات نظام التشغيل الوهمي وليس فقط هذا الملف

عموما البرنامج يتم تطويره وسد الثغرات فيه ولا أدري هل الملف ظهر بسبب نقلك له من الجهاز المستضيف إلى الوهمي
أم أنه ظهر بسبب امر اخر قد تكون ثغرة

للإضافة ميزة unity mode على الرغم من كونها ميزة إلا أنها تترك بعض أثار البرامج الموجودة في الجهاز الوهمي داخل الجهاز المستضيف
ولذلك أقوم بتعطيلها من داخل ملف vmx لكل نظام وهمي


أرجو إعادة شرح مشكلتك بصورة أدق حتى لو وجدت المشكلة فعلا نحاول أن نرفعها للمطورين او على الأقل نقوم بطرح المشكلة في المنتدى الخاص بهم

 

نعم اخي افهم انه البرنامج يضع ملفات الانظمة بصيغ مشفرة vmdk لكن انا اثناء الترقية وجدت ليس فقط ملفات vbs
وجدت بعض الملفات المحفوضة في سطح المكتب منها ملفات rar exe vbs bat وضعتها في مجلدات قام بنقل المجلد
بكامل محتوياتة في temp اثناء الترقية وبعد انتهاء التثبيت مسح المجلدات, ووضعها بصيغها الصحيحية لكن لا اعلم
لم يقم بنفل بعض الملفات يمكن على حسب رايي وتحليلي انه اذا تم تحميل اي ملف جديد في النظام الوهمي ولم يتم اغلاق
النظام لحفظ التغييرات وتم وضع النظام على وضع الاستعداد وتم الترقية ينقل الملفات الجديدة فقط هذا الي لاحظتة
وهم خطأ المفروض الشركة من الناحية الامنية تجبرك قبل الترقية باطفاء جميع الانظمة لعدم نقل اي ملفات خطيرة في temp
وبعدها يتم التحديث او نقلها بطريقة مشفرة بصيغة vmdk مثلا مثل مايعمل اثناء التشغيل البرنامج الان امن بالتشغيل
وغير امن بالتحديث ومن يرغب بالتجربة يحدث ويراقب ملف temp وسيرى بنفسه

 

هلا فيك اخي نعم تعتبر ثغرة بالبرنامج خطيرة والملفات المنقولة هي ملفات سليمة
انا صنعتها لكن فرضا لو كانت ديدان وفايروسات لشخص يجرب عينات راح ينقلها
تسرح وتمرح بالنظام الاساسي مثل ديدان ملفات vbs اثناء الترقية وراح تعمل تلقائيا
بمجرد النقل

 

قمت بالتحديث من قليل وراقبت جميع المجلدات الخاصة ب vmware مع مجلد temp ولم أجد أي ملف من ملفات الأنظمة الوهمية التي في وضع الإسبات
مع التذكير مرة اخرى أن أي نظام وهمي يدخل حالة الإسبات يتم تجميع ذاكرته في ملف داخل المجلد الخاص بالنظام الوهمي

 

للاسف لا استطيع الان اعادة الخطوة لانه متعبة تحتاج الغاء تثبيت
وتركيب الاصدار السابق واعادة تحديث وتصوير فيديو لكن في المرة
القادمة وقت مايطلب التحديث سوف اقوم بتصويرة لتاكيد هو يضعها
ملفات مرقمة ترقيم عشوائي اثناء التحديث داخلها تحتوي على المجلدات
والملفات المقصودة على العموم يجب اخذ الحيطة الى حين التجربة
مني ومنكم مرة اخرى