1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

.. تخطى الأونلاين أرمر والدفنس بلس للكمودو ب Zeroaccess rootkit ..

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة haitham653, بتاريخ ‏ديسمبر 11, 2011.

حالة الموضوع:
مغلق
  1. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10

    لاحظ هذه الصورة

    محاولة تنصيب البتدفندر مع انه برنامج موثوق ويحمل توقيع رقمي صحيح

    الا ان الكاسبر رصد عملية تحميل درايفر فى منطقة ال kernel

    وحذرنا عنها

    الكاسبر سكي يراقب جميع النشاطات المشبوهة حتى للبرامج التي تحمل توقيع رقمي
    من خلال وحدة الدفاع الاستباقى
    Proactive Defense

    [​IMG]


    لاحظ بعد تنصيب الدرايفر بحثنا عنه ولم نجده فى النظام

    [​IMG] [​IMG]



     
  2. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    اخي وجدي اعلم انك تستطيع رفع اعدادات الكمودو كيفما تشاء ويستطيع البرنامج ان يرصد كل حركة

    ولكن فى المقابل

    ستصبح رسائلة كثيرة ولن يستطيع ان يتعامل معه الا الخبير؟؟؟

    لو ازلنا علامة الصح عن واجهة com المحمية للبرامج الموثوقة
    سيرصد الكمودو عملية تنصيب اي درايفر او حقن لملف dll من اي برنامج موثوق
     
  3. ' فـلسفـه ..

    ' فـلسفـه .. ™CoMoDo's ,,

    إنضم إلينا في:
    ‏سبتمبر 8, 2011
    المشاركات:
    3,589
    الإعجابات :
    3,248
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مُعتزل
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    :king:
    اخوي بغدأد
    اولاً الله يكثر من امثالك فعلاً انسان راقي
    في التعامل
    وعلم من اعلام الزيزوم
    خبير يتكلم ب ادله وتجارب حييه ولا يسعى ابداً ل اخذ الامور
    ب حساسيه
    ولأ يشد من حده النقاش وان كان هو على حق
    يتناقش معك ب روح حلوه جداً تتلذذ وانت تقراْء عباراته الجميله و البعيده كل البعد
    عن التعجرف / والتكبر وما الى ذالك من امور تجعل من
    عقل اي عالم
    " صغير ك حبةة القمح "
    مالم يتسم العالم ب التواضع !!
    فلا علم له
    :openmouth:k:
    اثبت ب ان كلأمي خاطئ وبان الرأي السائد عن تقنيه السونار
    واستخدامهاً ل السحاب

    وان ليس من " شروط " عملها ان يكون خلال الاتصال ب الانترنت فقط !
    وهذا الكلام خاطئ خاطئ
    والفيديو هو خير دليل ل اثبتات ذالك
    ،
    ولكن عندي سؤال بارك الله فيك
    متى يأتي دور السونار في اتخاذ اجراء الاتصال ب الانترنت
    ام انه لايحتاج ولا يطلب ابداً اي اتصال ب الانترنت في عمله !
    [​IMG]
    بارك الله فيك وتستاهل احلى تقييم شخصي
    ودي واحترامي ل شخصك الكريم
    بارك الله فيك
    :king:

    [​IMG]
     
  4. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    بالنسبة للخبير

    لا يوجد فرق بين الكمودو الاصدار 3 والاصدار 5

    التحديث الذي قامت به الكمودو من اجل المستخدم العادي فقط وليس للخبير؟؟


     
  5. ' فـلسفـه ..

    ' فـلسفـه .. ™CoMoDo's ,,

    إنضم إلينا في:
    ‏سبتمبر 8, 2011
    المشاركات:
    3,589
    الإعجابات :
    3,248
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مُعتزل
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    لن تجده لان الدرايفر الخاص ب الديفندر
    " مخفي "
    ولن تستطيع رصده الا من خلال برنامج مختص في ذالك
    هذا ليس ب كلامي بل ب كلام
    " هيثم "
    في احد ردوده المتعلقه ب الكرنل0 الخاص
    ب البيتديفندر
    :smile:
     
  6. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    القصد ان الكاسبر سيرصد اي عملية تنصيب درايفر فى منطقة الكيرنل من اي برنامج حتى لو كان يحمل توقيع رقمي وقد ذكرت البتدفندر على سبيل المثال

    رسالة الكاسبر تعني ان البتدفندر يريد ان يحمل Hidden Driver وبعد تنصيبة الكاسبرسكي لن يستطيع ان يرصد تحركاته او يتحكم به

    وهذا صحيح لان درايفر البتدفندر سيتم تنصيبه فى منطقة الكيرنل مثل الروتكيت تماما


    الروتكيت فى هذا الموضوع يحمل نفس الفكرة

    ملف يحمل توقيع رقمي من ادوبي يريد ان حقن النظام بدرايفر يعمل من الكيرنل

    المفروض ان يرصده الكاسبر وبكل سهولة

    هنا الفكرة
     
  7. SniPer-Dz

    SniPer-Dz عضو شرف

    إنضم إلينا في:
    ‏ابريل 28, 2008
    المشاركات:
    5,515
    الإعجابات :
    8,938
    نقاط الجائزة:
    1,295
    الجنس:
    ذكر
    الإقامة:
    الجـــزائـــــر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    دائما طيب يا الغالي
    ادام الله لك نعمة الصحة و العافية

    :b:

    =========================

    السونار محلل سلوك يعمل بوجود و بغياب الاتصال
    و لا يتطلب اتصال لتحديد هوية ملف ما

    [​IMG]
     
  8. SniPer-Dz

    SniPer-Dz عضو شرف

    إنضم إلينا في:
    ‏ابريل 28, 2008
    المشاركات:
    5,515
    الإعجابات :
    8,938
    نقاط الجائزة:
    1,295
    الجنس:
    ذكر
    الإقامة:
    الجـــزائـــــر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    الكاسبر هو الوحيد الذي اعطى الملف تسمية دقيقة جدا

    [​IMG]

    ================================================

    بالتوفيق للجميع
    و
    اعتذر من الغالي هيثم عن الخروج على صلب الموضوع


     
    1 person likes this.
  9. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ما فى مشكلة اخي بغداد وشكرا على المعلومات المفيدة التي طرحتها
     
  10. mr_lover-55

    mr_lover-55 زيزوومى مميز

    إنضم إلينا في:
    ‏فبراير 21, 2011
    المشاركات:
    744
    الإعجابات :
    317
    نقاط الجائزة:
    570
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Mac OS
    جزاك الله خير اخي بغداد على المعلومه الهامه لسونار النورتن فانت صححت معلومه اتوقع الكل كان يعتقد انا النت له علاقه بالسونار والنورتن فعلا برنامج جباار

    الله يديك العافيه اخي العزيز تحياتي لك
     
  11. wajdi abu lail

    wajdi abu lail زيزوومى ذهبى

    إنضم إلينا في:
    ‏مايو 5, 2009
    المشاركات:
    4,493
    الإعجابات :
    1,152
    نقاط الجائزة:
    1,020
    الجنس:
    ذكر
    الإقامة:
    فلسطين وأفتخر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    صدقت السونار لا علاقه له بالانترنت فهو يمثل للنورتن محلل السلوك في الوقت الحقيقي عند تشغيل الملفات على النظام
    تماما كمحلل سلوك الكومودو او اون لاين ارمور على سبيل المثال
    لو تم فصل الانترنت سيبقى محلل السلوك يعمل بشكل مستقل ولا علاقه للانترنت به

    يعتقد بعض الاشخاص ان السونار له علاقه بالانترنت من تسميته
    Symantec Online Network for Advanced Response
    نظرا لوجود كلمة اون لاين و network فقط

    يقوم السونار بمراقبة 500 سلوك يشبه سلوك الملوير :q:
    فمثلا لو تم تشغيل ملف على انه برنامج ولم يقم بانشاء اختصار الى سطح المكتب ولم يدخل قائمة ازالة واضافة البرامج يقوم بحذفه لانه سلوك قريب من الملوير
    او قام ملف بحقن ملف اخر موثوق وهكذا وكل هذه السلوكيات لا تحتاج الى انترنت لمراقبتها
    خوارزمية في البرنامج مستقله تكفي بذلك
     
  12. ' فـلسفـه ..

    ' فـلسفـه .. ™CoMoDo's ,,

    إنضم إلينا في:
    ‏سبتمبر 8, 2011
    المشاركات:
    3,589
    الإعجابات :
    3,248
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مُعتزل
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10

    :king:+10
    أن أمكن

     
  13. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات :
    14,177
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى

    هلا اخي الفاضل سنايبر , :smile:

    بالطبع السونار يعمل في غياب اتصال الانترنت و الا لما كان محلل سلوك اصلا

    لكنه يعتمد في عمله على الانسايت لتقييم الملف

    هذا النص من شركة سيمانتيك ::

    Make sure that Insight lookups are enabled
    SONAR uses reputation data in addition to heuristics to make detections. If you disable Insight lookups, SONAR makes detections by using heuristics only. The rate of false positives might increase, and the protection that SONAR provides is limited.
    .


    http://www.symantec.com/business/support/index?page=content&id=HOWTO55215

     
  14. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    هام جدا

    الهدف من فتح هذا الموضوع ليس التشكيك بقوة الكمودو

    ولكن لايصال فكرة هامة جدا وهي؟؟

    هل الكمودو يناسب جميع الفئات من المستخدمين؟؟؟


    من وجهي نظري الخبير لن يفرق معه اي برنامج هيبس ؟؟

    ولكن هل الكمودو يناسب المستخدم العادي او البسيط؟؟؟


    فى السنوات الاخيرة عمدت شركة الكمودو الى تعديل كبير فى منتجها والهدف هو جعل البرنامج اكثر سلاسة ومرونة وسهولة فى الاستخدام

    طبعا هذا الشي فرق كثيرا مع المستخدم المتوسط الخبرة او العادي
    اما الخبير اصدار 2.5 والاصدار السادس نفس الشي؟؟

    لنعد لبيت القصيد التطور الذي حصل فى الكمود لجعل البرنامج اكثر مرونة وسهولة كان على حساب امور كثيرة من ضمنها اصبح مهزوز وعلى حافة السقوط بالنسبة للمستخدم العادي

    فمثلا الكاسبر سكي والانلاين ارمر يراقبان نشاطات البرامج الموثوقة ويتم رصدت اي نشاط مشبوة على الفور حتي لو كان البرنامج يحمل توقيع وستظهر رسالة باللون الاحمر

    ماذا فعلت الكمودو على العكس

    لجعل البرنامج اكثر سلاسة ومرونة وضعت شركة الكمودو ثغرة قاتلة فى البرنامج :hh:

    وهي استثاء اي ملف تنصيب موثوق؟؟؟

    المصيبة ان الكمودو يعتمد على القائمة البيضاء لدية بالنسبة للبرامج الموثوقة وهنالك برامج فى القائمة البيضاء لا تحمل توقيع رقمي؟؟؟

    [​IMG]

    هذه الخاصية تابعة لساندبكس الكمودو

    الهدف منها عدم تشغيل البرامج الموثوقة فى الساندبكس فقط

    اذا عطلتها سيقوم الكمودو بتشغيل البرامج الموثوقة داخل الساندبكس

    -----------------------------------------------------------

    فلو مستخدم عادي حمل برنامج محقون بروتكيت وهذا البرنامج كان فى القائمة البيضاء سيتم تنصيب الروتكيت وتجاوز الكمودو والكمودو نايم

    وبعدها لن ينفع جدار الكمودو ولا جميع وحداته لان الروتكيت اصاب منطقة الكيرنل وسيقلع قبل اقلاع الوندوز؟؟؟ على سبيل المثال؟؟؟

    لانه سيعمل خارج الساندبكس وسيعطيه تصريح مطلق فى النظام

    [​IMG]

    طبعا تعطيل الساندبكس ورفع الااعدادات سيعدنا الى الوراء الى الاصدار 3
    وسيقوم المستخدم العادي بكل تاكيد بتصيب نسخة وندوز جديدة- لانه سيتلف النظام - خلال اسبوعين؟؟


    المشكلة الثانية التي حصلت اصبحت الاخطاء البرمجية كثيرة بينما فى الماضي كانت المشكلة فقط فى صعوبة التعامل مع اوامره للمستخدم

    فمثلا عند تعطيل الساندبكس يختلف اداء البرنامج وهذا بشهادة اعضاء زيزوم؟؟
    ---------------------------------------------------------


    على العموم قد يسأل احدهم سؤال؟؟

    ايهما افضل؟؟ بالنسبة للمستخدم المتقدم او الخبير؟؟

    الكاسبرسكي سيكيورتي , اونلاين ارمر او الكمودو

    عندي تجربة - علمية ومنطقية - ستكشف المستور , ترقوبوها فى موضوعي القادم لنري من سيتفوق

    فى امان الله


     
  15. fahd

    fahd زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 5, 2007
    المشاركات:
    5,591
    الإعجابات :
    3,298
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    k.s.a
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    وش رايكم بهذا الحل ؟


    [​IMG]
     
  16. wajdi abu lail

    wajdi abu lail زيزوومى ذهبى

    إنضم إلينا في:
    ‏مايو 5, 2009
    المشاركات:
    4,493
    الإعجابات :
    1,152
    نقاط الجائزة:
    1,020
    الجنس:
    ذكر
    الإقامة:
    فلسطين وأفتخر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
  17. fahd

    fahd زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 5, 2007
    المشاركات:
    5,591
    الإعجابات :
    3,298
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    k.s.a
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى

    والله ماشفت ردك هذا
    عدد الصفحات كثير
    ومتابعتي ليست جيدة
    :sunglasses:

    شرف لي أن يجي في بالي حل سبق وأن جاء في بال خبير مثلك أخوي : وجدي

    :openmouth:k::openmouth:k:
     
  18. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10

    اخي فهد هذه الخاصية تابعة لساندبكس الكمودو

    الهدف منها عدم تشغيل البرامج الموثوقة فى الساندبكس فقط

    اذا عطلتها سيقوم الكمودو بتشغيل البرامج الموثوقة داخل الساندبكس


    يعني اذا عطلت الساندبكس لن تستفيد منها


     
  19. ' فـلسفـه ..

    ' فـلسفـه .. ™CoMoDo's ,,

    إنضم إلينا في:
    ‏سبتمبر 8, 2011
    المشاركات:
    3,589
    الإعجابات :
    3,248
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مُعتزل
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    كلأم جميل ومنطقي
    ب استطاعة مستخدم الكومودو العبث ب اعداداته
    لسد مثل هذه الهفوات
    انا ب طبيعه الحال واعتقد الكثير لم يستخدم اي برنامج حمايه وجعله
    على
    اعداداته الافتراضيه أبداً !
    ب النسبه للـ الكومودو
    :king:
    ـ
    وزير الدفاع
    Defnse +
    ( الحمايه الاستباقيه )
    وضع الساند بوكس على محدود او غير موثوق
    مثل ما تفضل اخوي
    وجدي
    ازاله علامه ( الصح ) من الوثوق تلقائياً في الملفات من المنصباة الموثوقه
    ،
    الانتي فايروس
    رفعه على اعلى الاعدادات ومنها
    الهيوريستك
    جعل اتخاذ الاجراء
    ( يدوي )
    الجدار النأري
    وضع الجدار على خيار
    " الاعدادات المخصصه "
    رفع درجه التنبيه من المنخفضه الى المتوسطه
    تفعيل خيار عمل تحليل المنهج ل الاتصالات
    الصادره و الوارده
    معالجة منافذ التخفي وجعلها على الخيار الثاني
    الي هو
    تنبيهي على الاتصالات الوارده وجعل منافذي متخفيه على اساس كل حاله
    :u:
    ب العربي راح تنشئ قواعد خاصه فيك
    وسيتم تنبيهك عن اي اتصال وارد
    على سبيل المثال
    الوندوز مسنجر احد ارسل لك اتصال
    ( مكالمه فيديو / كام / مشاركه ملفات/ او صور/ الخ )
    راح ينبهك الجدار ويستأذنك ب القبول او الرفض
    مع خيار صغير تحت مكتوب عليه !
    تذكر اجابتي
    :smile:
     
  20. haitham653

    haitham653 زيزوومى مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,482
    الإعجابات :
    165
    نقاط الجائزة:
    650
    الجنس:
    ذكر
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    سؤال لخبراء الكمودو؟؟؟


    هل الكمودو قادر على رصد عملية تنصيب اي درايفر فى منطقة ال Kernel

    Kernel Mode Driver load

    هل يستطيع الكمودو او الدفنس بلس ان يرصد او يوقف هذه العملية؟؟

    فى الحقيقة لا اعلم؟؟
    :i::i::i:


    هل احد يمتلك الاجابة؟؟؟
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...