كيف تحول الكاسبر الى قلعة حصينة

haitham653 · 1 نوفمبر 2010

بسم الله الرحمن الرحيم

السلام عليكم

الكل يعلم ان الكاسبر واحد من اقوى برامج الحماية في العالم ومع ذلك فلا يوجد شي كامل فالكمال لله وحدة , بالرغم من هذه القوة الا ان هنالك ثغرات في البرنامج وخصوصا في الجدار الناري , مثلا عند تنصيب الكاسبر على جهاز نظيف نعم البرنامج يوفر لك حماية قوية 100% والاصابة بالفيروسات ان لم تكن مستحيلة فهي شبه مستحيلة , والسسبب بسيط ان الكاسبر لديه 4 مناطق للتعامل مع البرامج Trusted Area للبرامج الموثوقة , Low Resticted Area للبرامج التي ليس معها شهادة توثيق ولكن سلوكها شبيه او نفس البرامج الموثوقة طبعا البرامج في هذه المنطقة لها صلاحيات اقل من Trusted Area , المنطقة الثالثة High Restricted Area و هي برامج ليس معها شهادة توثيق وهي تريد ان تعدل على ملفات النظام هذه البرامج على الاغلب فيروسات او ملفات تجسس طبعا صلاحيات البرامج في هذة المنظقة محدودة جدا, المنطقة الاخيرة Blocked Area وهي لبرامج ليس معها شهادة توثيق وبداخلها كود خطير يشبه تواقيع الفيروسات , البرامج في هذة المنطقةلا تعمل ابدا..

ومن هنا تكمن قوة الكاسبر لكن نقطة الضعف تكمن في الجدار الناري والسبب انه يعطي صلاحيات مطلقة للبرامج الموثوقة فمثلا لو قمنا بتنصيب الكاسبر على جهاز مصاب بباتش , بعض الباتشات تقوم بحقن ملف svchost.exe بملفات dll وذلك للتحايل على برامج الحماية والاتصال عن طريق الويندوز للانترنت فالويندوز يستخدم svchost للاتصال بالانترنت ولن تستطيع منع svchost من الاتصال لانك لو منعته فلن تستطيع الدخول الى الانترنت , الحل !!؟؟ تحديد صلاحيات ملفات النظام وعلى راسها svchost.exe حتى نسد الطريق على باتشات الهكرز..

اليوم سنتعلم كيف نسد الطريق على ملفات التجسس وعلى راسها باتشات الهكرز فحتى لو اصبت بباتش مشفر او ملف تجسس خطير فعلى الاغلب لن يعمل ...
طبعا هذة الطريقة متبعة في معظم البنوك في العالم وقد تعلمتها من طبيعة عملي ؟!!

سنقوم بالتعديل على Digital Identity وذلك عن طريق حماية 3 قيم في الريجستري وهي:

1-Prevent installation of new CLSIDs/Anti-spyware Maximum Protection

HKEY_CLASSES_ROOT\CLSID

2-Prevent installation of new APPIDs/Anti-spyware Maximum Protection
HKEY_CLASSES_ROOT\AppID

3-Prevent installation of new TYPELIBs/Anti-spyware Maximum
Protection

HKEY_CLASSES_ROOT\TypeLib

الشرح في الصور للمجموعة الاولى Prevent installation of new CLSIDs

كرر نفس الشي على المجموعة الثانية و الثالثة...

غدا نكمل ان شاء الله

hamede · 1 نوفمبر 2010

رائع اخى

رجاء شرح اكثر:b:

PrinceOfPersia · 1 نوفمبر 2010

ماشاء الله
بارك الله فيك وفي علمك

إلى الأمام ونحن معك بأمر الله
أحلى تقييم

Ghanam · 1 نوفمبر 2010

شكراااا للشرح
وبانتظار البقية

البريد الوارد · 1 نوفمبر 2010

بالإنتظار
بارك الله فيك

saleme · 1 نوفمبر 2010

يعطيك الف عافيه

^_^

ramy rabie · 2 نوفمبر 2010

بارك الله فيك أخي هيثم
تمـ التقييم
شخصي + موضوعي
بأنتظار تكمله الموضوع
ودي وتقديري ,,

SniPer-Dz · 2 نوفمبر 2010

مشكور بارك الله فيك

الجذع · 2 نوفمبر 2010

طيب ينفع على الويندز 7 ..

,,

ahmad123422 · 2 نوفمبر 2010

بارك الله فيك

saky_nice · 2 نوفمبر 2010

تسلم ايدك على المجهور الرائع

haitham653 · 2 نوفمبر 2010

شكرا لكم جميعا اخواني الاغراء

haitham653 · 2 نوفمبر 2010

الجذع قال:
طيب ينفع على الويندز 7 ..

,,

نعم اخي العزيز ينفع ع ال seven و ال xp المثال المشروح اعلاه على seven

aboshmla · 2 نوفمبر 2010

ما شاء الله بارك الله فيك اخي

hisooka · 2 نوفمبر 2010

بارك الله فيك على مجهودك

haitham653 · 3 نوفمبر 2010

بسم الله الرحمن الرحيم [/FONT]

السلام عليكم[/FONT]

سنكمل اليوم بمشيئة الله[/FONT] وعذرا على التأخير...[/FONT]

سنتعلم اليوم 3 امور اساسية للحد من خطر الفيروسات ,فالكاسبر مصمم اصلا للحد من الفيروسات ضمن بيئة نظيفة اي الكاسبر قوي جدا على ويندوز نظيف ولكن ماذا لو تم تنصيب الكاسبر جهاز مصاب او ممتلئ بالفيروسات ؟[/FONT]!!![/FONT]

سنتعلم اليوم كيف نشل حركة هذه الفيروسات بدون الانتي فيروس من خلال 3 امور مهمة وهي:[/FONT]

1- [/FONT]منع الفيروس من نسخ نفسه داخل النظام..[/FONT].[/FONT]
2- [/FONT]من الروتكيت وديدان البريد الالكتروني من الاتصال بالانترنت..[/FONT].[/FONT]
3- [/FONT]منع احصنة طروادة من اعادة تشغيل الجهاز[/FONT]..[/FONT]

اولا: كيف نمنع الفيروسات من نسخ نفسها؟[/FONT]

سنقوم بحماية[/FONT] svchost.exe فهذا الملف هو المسؤل عن عمليات النسخ داخل الويندوز copy & paste[/FONT] باختصار سنمنع svchost من اي يقوم بتشغيل غير ملفات النظام وبذلك سنمنع اي فيروس من نسخ نفسه سواء كان مكتشف ام غير مكتشف..[/FONT]

1- Prevent svchost executing non-Windows files[/FONT]

الملف فى هذا المسار[/FONT]
C:\Windows\System32\svchost[/FONT]

ثانيا: ماذا لو اصبنا بروتكيت او worms , [/FONT]فمعروف ان الروتكيت عبارة عن Hidden Service وهو [/FONT]يختفي في النظام ولا يظهر في التاسك منجر وله صلاحيات مطلقة في النظام ولكن نقطة الضعف هي عندما يريد ان يتصل بالانترنت هو او ديدان البريد الالكتروني [/FONT]فهو او هي ستلجأ الي طريقة واحدة حتى لا تكتشفه برامج الحماية وهي[/FONT] الاتصال عن طريق ftp.exe ومن دون هذا الملف لا تستطيع ان تبعث Remote او تحمل فيروسات من النت [/FONT]( ساشرح لاحقا لماذا؟) ..[/FONT]

2- Prevent mass mailing worms from sending mail /remote[/FONT]

الملف في هذا المسار[/FONT]
C:\Windows\System32\ftp[/FONT]

ثالثا: سنمنع احصنة طروادة من اعادة تشغيل الويندوز وذلك عن طريق حماية winlogon.exe فهذا الملف هو المسؤل عن عملية اعادة التشغيل..[/FONT]

3- Protect against unauthorized shutdown [/FONT]

الملف في هذا المسار[/FONT]
C:\Windows\System32\winlogon[/FONT]

والان كيف سنطبق ذلك على الكاسبر, اولا اريد ان انوه الى نقطة svchost و winlogon محميين من قبل الكاسبر فهما موجودين في ال Protected Application هذه الحماية تنفع اذا كان الويندوز نظيف لكن في حال اصيب في فيروس او نصبت الكاسبر على جهاز مصاب اصلا فسوف يتعامل مع الفيروس على انه ملف سليم؟!! ما العمل ؟؟[/FONT]

هنالك منطقة قوية بالكاسبر وهي محمية بشدة وهي منطقة system files وهي محمية و مراقبة بشدة والسبب وجود ملفات الاقلاع والملفات الاساسية لعمل النظام , سنستغل هذه الميزة ونقوم باضافة النقاط الثلاث الى تلك المنطقة , تابعوا الشرح بالصور ...[/FONT]