• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

.. تخطى الأونلاين أرمر والدفنس بلس للكمودو ب Zeroaccess rootkit ..

الحالة
مغلق و غير مفتوح للمزيد من الردود.
amiral3azab قال:
في الاعدادات الافتراضيه للكومودو ان كان الملف موثوق او يحمل توقيع رقمي فان جميع الملفات التي يحتويها سيتم الوثوق بها !
ماذا لو ازلنا هذا الخيار هل سنحصل على نفس النتيجه ؟؟

4baeeb2fadc18c9bd99a950639c1e43f.png

أنقر للتوسيع...


لاحظ هذه الصورة

محاولة تنصيب البتدفندر مع انه برنامج موثوق ويحمل توقيع رقمي صحيح

الا ان الكاسبر رصد عملية تحميل درايفر فى منطقة ال kernel

وحذرنا عنها

الكاسبر سكي يراقب جميع النشاطات المشبوهة حتى للبرامج التي تحمل توقيع رقمي
من خلال وحدة الدفاع الاستباقى
Proactive Defense

461536f91f5e6afd2174300cf3400093.jpg



لاحظ بعد تنصيب الدرايفر بحثنا عنه ولم نجده فى النظام

4817b8434c7058d5f50cfa4e07b82e1e.jpg
40a75b3fc5e7f300fccc394f381db210.jpg




 

توقيع : haitham653
amiral3azab قال:
ان كنت تريد ذلك فهذا هو الحل :d:

f67b15d244c19d22a05ad55989d3eed3.png


بهذا الاعداد اينما تضع اشارة صح داخل المربع سيتم السؤال عنه في جميع البرامج الموثوقه والموقعه رقميا


أنقر للتوسيع...
اخي وجدي اعلم انك تستطيع رفع اعدادات الكمودو كيفما تشاء ويستطيع البرنامج ان يرصد كل حركة

ولكن فى المقابل

ستصبح رسائلة كثيرة ولن يستطيع ان يتعامل معه الا الخبير؟؟؟

لو ازلنا علامة الصح عن واجهة com المحمية للبرامج الموثوقة
سيرصد الكمودو عملية تنصيب اي درايفر او حقن لملف dll من اي برنامج موثوق
 
توقيع : haitham653
SniPer-Dz قال:






و عليك السلام و رحمة الله و بركاته
اخوي حمد
ما ذكرته في ردك هذا خطا فادح و الكثير من الاعضاء يشاركونك هذه الفكرة الخاطئة
على العموم هذا ما ارآه شائعا في اغلب الردود و المواضيع التي تتكلم عن النورتون
و قد سبق و ان طرحت سؤالا عن علاقة السونار بالسحاب في احد مواضيع الغالي بيان
و لكن و للاسف لم يجب احد عن سؤالي

======================================

السونار وحدة حماية في النورتون مستقلة عن السحاب و ليس من شروط عمله الاتصال
بالانترنت و من هنا فيديو بحجم واحد ميجا يوضح تجربتي على الملفين بدون اتصال

Sonar.rar

يرجى الاطلاع عليه من كل من يعتقد ان السونار لا يعمل الا بوجود اتصال

==========================================

الملفات لا تزال غير مكتشفة من النورتون الا عن طريق السونار
و الشركة لم تدرج التوقيع لكلا الملفين حتى الان و رغم مرور مدة
معتبرة منذ ظهورها و رغم انها مكتشفة تقريبا من كل برامج الحماية
على فايروس توتال الا ان السيمانتيك لا تبالي فاحد الملفات غير مكتشف
نهائيا و الثاني مكتشف بالقيمة

WS.Reputation

و هذا في غالب الاحيان يكون للملفات الغير مصنفة و الغير مكتشفة بالتوقيع
او السحاب

=============================

ودي و تقديري للجميع


3.gif





[/BACKGROUND]




أنقر للتوسيع...
:king:
اخوي بغدأد
اولاً الله يكثر من امثالك فعلاً انسان راقي في التعامل
وعلم من اعلام الزيزوم
خبير يتكلم ب ادله وتجارب حييه ولا يسعى ابداً ل اخذ الامور
ب حساسيه
ولأ يشد من حده النقاش وان كان هو على حق
يتناقش معك ب روح حلوه جداً تتلذذ وانت تقراْء عباراته الجميله و البعيده كل البعد
عن التعجرف / والتكبر وما الى ذالك من امور تجعل من
عقل اي عالم
" صغير ك حبةة القمح "
مالم يتسم العالم ب التواضع !!
فلا علم له
:ok:
اثبت ب ان كلأمي خاطئ وبان الرأي السائد عن تقنيه السونار
واستخدامهاً ل السحاب
وان ليس من " شروط " عملها ان يكون خلال الاتصال ب الانترنت فقط !
وهذا الكلام خاطئ خاطئ
والفيديو هو خير دليل ل اثبتات ذالك
،
ولكن عندي سؤال بارك الله فيك
متى يأتي دور السونار في اتخاذ اجراء الاتصال ب الانترنت
ام انه لايحتاج ولا يطلب ابداً اي اتصال ب الانترنت في عمله !
3.gif

بارك الله فيك وتستاهل احلى تقييم شخصي
ودي واحترامي ل شخصك الكريم
بارك الله فيك
:king:
3.gif
 
توقيع : ' فـلسفـه ..
بالنسبة للخبير

لا يوجد فرق بين الكمودو الاصدار 3 والاصدار 5

التحديث الذي قامت به الكمودو من اجل المستخدم العادي فقط وليس للخبير؟؟


 
توقيع : haitham653
haitham653 قال:
لاحظ هذه الصورة

محاولة تنصيب البتدفندر مع انه برنامج موثوق ويحمل توقيع رقمي صحيح

الا ان الكاسبر رصد عملية تحميل درايفر فى منطقة ال kernel

وحذرنا عنها

الكاسبر سكي يراقب جميع النشاطات المشبوهة حتى للبرامج التي تحمل توقيع رقمي
من خلال وحدة الدفاع الاستباقى
Proactive Defense

461536f91f5e6afd2174300cf3400093.jpg



لاحظ بعد تنصيب الدرايفر بحثنا عنه ولم نجده فى النظام

4817b8434c7058d5f50cfa4e07b82e1e.jpg
40a75b3fc5e7f300fccc394f381db210.jpg




أنقر للتوسيع...
لن تجده لان الدرايفر الخاص ب الديفندر
" مخفي "
ولن تستطيع رصده الا من خلال برنامج مختص في ذالك
هذا ليس ب كلامي بل ب كلام
" هيثم "
في احد ردوده المتعلقه ب الكرنل0 الخاص
ب البيتديفندر
:smile:
 
توقيع : ' فـلسفـه ..
' فـلسفـه .. قال:
لن تجده لان الدرايفر الخاص ب الديفندر
" مخفي "
ولن تستطيع رصده الا من خلال برنامج مختص في ذالك
هذا ليس ب كلامي بل ب كلام
" هيثم "
في احد ردوده المتعلقه ب الكرنل0 الخاص
ب البيتديفندر
:smile:
أنقر للتوسيع...
القصد ان الكاسبر سيرصد اي عملية تنصيب درايفر فى منطقة الكيرنل من اي برنامج حتى لو كان يحمل توقيع رقمي وقد ذكرت البتدفندر على سبيل المثال

رسالة الكاسبر تعني ان البتدفندر يريد ان يحمل Hidden Driver وبعد تنصيبة الكاسبرسكي لن يستطيع ان يرصد تحركاته او يتحكم به

وهذا صحيح لان درايفر البتدفندر سيتم تنصيبه فى منطقة الكيرنل مثل الروتكيت تماما


الروتكيت فى هذا الموضوع يحمل نفس الفكرة

ملف يحمل توقيع رقمي من ادوبي يريد ان حقن النظام بدرايفر يعمل من الكيرنل

المفروض ان يرصده الكاسبر وبكل سهولة

هنا الفكرة
 
توقيع : haitham653
' فـلسفـه .. قال:
ولكن عندي سؤال بارك الله فيك
متى يأتي دور السونار في اتخاذ اجراء الاتصال ب الانترنت
ام انه لايحتاج ولا يطلب ابداً اي اتصال ب الانترنت في عمله !
أنقر للتوسيع...
دائما طيب يا الغالي
ادام الله لك نعمة الصحة و العافية

:b:

=========================

السونار محلل سلوك يعمل بوجود و بغياب الاتصال
و لا يتطلب اتصال لتحديد هوية ملف ما

3.gif

 
توقيع : SniPer-Dz
الكاسبر هو الوحيد الذي اعطى الملف تسمية دقيقة جدا

0680d0e00bad12cd229da7a5a7016eee.png


================================================

بالتوفيق للجميع
و
اعتذر من الغالي هيثم عن الخروج على صلب الموضوع


 
توقيع : SniPer-Dz
SniPer-Dz قال:
الكاسبر هو الوحيد الذي اعطى الملف تسمية دقيقة جدا

0680d0e00bad12cd229da7a5a7016eee.png


================================================

بالتوفيق للجميع
و
اعتذر من الغالي هيثم عن الخروج على صلب الموضوع


أنقر للتوسيع...

ما فى مشكلة اخي بغداد وشكرا على المعلومات المفيدة التي طرحتها
 
توقيع : haitham653
SniPer-Dz قال:






و عليك السلام و رحمة الله و بركاته
اخوي حمد
ما ذكرته في ردك هذا خطا فادح و الكثير من الاعضاء يشاركونك هذه الفكرة الخاطئة
على العموم هذا ما ارآه شائعا في اغلب الردود و المواضيع التي تتكلم عن النورتون
و قد سبق و ان طرحت سؤالا عن علاقة السونار بالسحاب في احد مواضيع الغالي بيان
و لكن و للاسف لم يجب احد عن سؤالي

======================================

السونار وحدة حماية في النورتون مستقلة عن السحاب و ليس من شروط عمله الاتصال
بالانترنت و من هنا فيديو بحجم واحد ميجا يوضح تجربتي على الملفين بدون اتصال

Sonar.rar

يرجى الاطلاع عليه من كل من يعتقد ان السونار لا يعمل الا بوجود اتصال

==========================================

الملفات لا تزال غير مكتشفة من النورتون الا عن طريق السونار
و الشركة لم تدرج التوقيع لكلا الملفين حتى الان و رغم مرور مدة
معتبرة منذ ظهورها و رغم انها مكتشفة تقريبا من كل برامج الحماية
على فايروس توتال الا ان السيمانتيك لا تبالي فاحد الملفات غير مكتشف
نهائيا و الثاني مكتشف بالقيمة

WS.Reputation

و هذا في غالب الاحيان يكون للملفات الغير مصنفة و الغير مكتشفة بالتوقيع
او السحاب

=============================

ودي و تقديري للجميع


3.gif





[/BACKGROUND]






أنقر للتوسيع...

جزاك الله خير اخي بغداد على المعلومه الهامه لسونار النورتن فانت صححت معلومه اتوقع الكل كان يعتقد انا النت له علاقه بالسونار والنورتن فعلا برنامج جباار

الله يديك العافيه اخي العزيز تحياتي لك
 
توقيع : mr_lover-55
SniPer-Dz قال:
دائما طيب يا الغالي
ادام الله لك نعمة الصحة و العافية

:b:

=========================

السونار محلل سلوك يعمل بوجود و بغياب الاتصال
و لا يتطلب اتصال لتحديد هوية ملف ما

3.gif

أنقر للتوسيع...
صدقت السونار لا علاقه له بالانترنت فهو يمثل للنورتن محلل السلوك في الوقت الحقيقي عند تشغيل الملفات على النظام
تماما كمحلل سلوك الكومودو او اون لاين ارمور على سبيل المثال
لو تم فصل الانترنت سيبقى محلل السلوك يعمل بشكل مستقل ولا علاقه للانترنت به

يعتقد بعض الاشخاص ان السونار له علاقه بالانترنت من تسميته
Symantec Online Network for Advanced Response
نظرا لوجود كلمة اون لاين و network فقط

يقوم السونار بمراقبة 500 سلوك يشبه سلوك الملوير :q:
فمثلا لو تم تشغيل ملف على انه برنامج ولم يقم بانشاء اختصار الى سطح المكتب ولم يدخل قائمة ازالة واضافة البرامج يقوم بحذفه لانه سلوك قريب من الملوير
او قام ملف بحقن ملف اخر موثوق وهكذا وكل هذه السلوكيات لا تحتاج الى انترنت لمراقبتها
خوارزمية في البرنامج مستقله تكفي بذلك
 
توقيع : wajdi abu lail
SniPer-Dz قال:
دائما طيب يا الغالي
ادام الله لك نعمة الصحة و العافية

:b:

=========================

السونار محلل سلوك يعمل بوجود و بغياب الاتصال
و لا يتطلب اتصال لتحديد هوية ملف ما

3.gif

أنقر للتوسيع...

:king:+10
أن أمكن
 
توقيع : ' فـلسفـه ..
SniPer-Dz قال:






و عليك السلام و رحمة الله و بركاته
اخوي حمد
ما ذكرته في ردك هذا خطا فادح و الكثير من الاعضاء يشاركونك هذه الفكرة الخاطئة
على العموم هذا ما ارآه شائعا في اغلب الردود و المواضيع التي تتكلم عن النورتون
و قد سبق و ان طرحت سؤالا عن علاقة السونار بالسحاب في احد مواضيع الغالي بيان
و لكن و للاسف لم يجب احد عن سؤالي

======================================

السونار وحدة حماية في النورتون مستقلة عن السحاب و ليس من شروط عمله الاتصال
بالانترنت و من هنا فيديو بحجم واحد ميجا يوضح تجربتي على الملفين بدون اتصال

Sonar.rar

يرجى الاطلاع عليه من كل من يعتقد ان السونار لا يعمل الا بوجود اتصال

==========================================

الملفات لا تزال غير مكتشفة من النورتون الا عن طريق السونار
و الشركة لم تدرج التوقيع لكلا الملفين حتى الان و رغم مرور مدة
معتبرة منذ ظهورها و رغم انها مكتشفة تقريبا من كل برامج الحماية
على فايروس توتال الا ان السيمانتيك لا تبالي فاحد الملفات غير مكتشف
نهائيا و الثاني مكتشف بالقيمة

WS.Reputation

و هذا في غالب الاحيان يكون للملفات الغير مصنفة و الغير مكتشفة بالتوقيع
او السحاب

=============================

ودي و تقديري للجميع


3.gif





[/BACKGROUND]




أنقر للتوسيع...


هلا اخي الفاضل سنايبر , :smile:

بالطبع السونار يعمل في غياب اتصال الانترنت و الا لما كان محلل سلوك اصلا

لكنه يعتمد في عمله على الانسايت لتقييم الملف

هذا النص من شركة سيمانتيك ::

Make sure that Insight lookups are enabled
SONAR uses reputation data in addition to heuristics to make detections. If you disable Insight lookups, SONAR makes detections by using heuristics only. The rate of false positives might increase, and the protection that SONAR provides is limited.
.

http://www.symantec.com/business/support/index?page=content&id=HOWTO55215

 
هام جدا

الهدف من فتح هذا الموضوع ليس التشكيك بقوة الكمودو

ولكن لايصال فكرة هامة جدا وهي؟؟

هل الكمودو يناسب جميع الفئات من المستخدمين؟؟؟


من وجهي نظري الخبير لن يفرق معه اي برنامج هيبس ؟؟

ولكن هل الكمودو يناسب المستخدم العادي او البسيط؟؟؟


فى السنوات الاخيرة عمدت شركة الكمودو الى تعديل كبير فى منتجها والهدف هو جعل البرنامج اكثر سلاسة ومرونة وسهولة فى الاستخدام

طبعا هذا الشي فرق كثيرا مع المستخدم المتوسط الخبرة او العادي
اما الخبير اصدار 2.5 والاصدار السادس نفس الشي؟؟

لنعد لبيت القصيد التطور الذي حصل فى الكمود لجعل البرنامج اكثر مرونة وسهولة كان على حساب امور كثيرة من ضمنها اصبح مهزوز وعلى حافة السقوط بالنسبة للمستخدم العادي

فمثلا الكاسبر سكي والانلاين ارمر يراقبان نشاطات البرامج الموثوقة ويتم رصدت اي نشاط مشبوة على الفور حتي لو كان البرنامج يحمل توقيع وستظهر رسالة باللون الاحمر

ماذا فعلت الكمودو على العكس

لجعل البرنامج اكثر سلاسة ومرونة وضعت شركة الكمودو ثغرة قاتلة فى البرنامج :hh:

وهي استثاء اي ملف تنصيب موثوق؟؟؟

المصيبة ان الكمودو يعتمد على القائمة البيضاء لدية بالنسبة للبرامج الموثوقة وهنالك برامج فى القائمة البيضاء لا تحمل توقيع رقمي؟؟؟

ac4d333ffe87ebd0bc0b4ca46bd33575.jpg


هذه الخاصية تابعة لساندبكس الكمودو

الهدف منها عدم تشغيل البرامج الموثوقة فى الساندبكس فقط

اذا عطلتها سيقوم الكمودو بتشغيل البرامج الموثوقة داخل الساندبكس

-----------------------------------------------------------

فلو مستخدم عادي حمل برنامج محقون بروتكيت وهذا البرنامج كان فى القائمة البيضاء سيتم تنصيب الروتكيت وتجاوز الكمودو والكمودو نايم

وبعدها لن ينفع جدار الكمودو ولا جميع وحداته لان الروتكيت اصاب منطقة الكيرنل وسيقلع قبل اقلاع الوندوز؟؟؟ على سبيل المثال؟؟؟

لانه سيعمل خارج الساندبكس وسيعطيه تصريح مطلق فى النظام

c115ac31bde5863d68ed543d003341d3.jpg


طبعا تعطيل الساندبكس ورفع الااعدادات سيعدنا الى الوراء الى الاصدار 3
وسيقوم المستخدم العادي بكل تاكيد بتصيب نسخة وندوز جديدة- لانه سيتلف النظام - خلال اسبوعين؟؟


المشكلة الثانية التي حصلت اصبحت الاخطاء البرمجية كثيرة بينما فى الماضي كانت المشكلة فقط فى صعوبة التعامل مع اوامره للمستخدم

فمثلا عند تعطيل الساندبكس يختلف اداء البرنامج وهذا بشهادة اعضاء زيزوم؟؟
---------------------------------------------------------


على العموم قد يسأل احدهم سؤال؟؟

ايهما افضل؟؟ بالنسبة للمستخدم المتقدم او الخبير؟؟

الكاسبرسكي سيكيورتي , اونلاين ارمر او الكمودو

عندي تجربة - علمية ومنطقية - ستكشف المستور , ترقوبوها فى موضوعي القادم لنري من سيتفوق

فى امان الله


 
توقيع : haitham653
وش رايكم بهذا الحل ؟


d5dbe2d86436dadfbcad0afa15c49657.jpg

 
توقيع : fahd
توقيع : wajdi abu lail
amiral3azab قال:
في الاعدادات الافتراضيه للكومودو ان كان الملف موثوق او يحمل توقيع رقمي فان جميع الملفات التي يحتويها سيتم الوثوق بها !
ماذا لو ازلنا هذا الخيار هل سنحصل على نفس النتيجه ؟؟

4baeeb2fadc18c9bd99a950639c1e43f.png

أنقر للتوسيع...

والله ماشفت ردك هذا
عدد الصفحات كثير
ومتابعتي ليست جيدة
:cool:

شرف لي أن يجي في بالي حل سبق وأن جاء في بال خبير مثلك أخوي : وجدي

:ok::ok:
 
توقيع : fahd
fahd قال:
وش رايكم بهذا الحل ؟


d5dbe2d86436dadfbcad0afa15c49657.jpg

أنقر للتوسيع...


اخي فهد هذه الخاصية تابعة لساندبكس الكمودو

الهدف منها عدم تشغيل البرامج الموثوقة فى الساندبكس فقط

اذا عطلتها سيقوم الكمودو بتشغيل البرامج الموثوقة داخل الساندبكس


يعني اذا عطلت الساندبكس لن تستفيد منها


 
توقيع : haitham653
كلأم جميل ومنطقي
ب استطاعة مستخدم الكومودو العبث ب اعداداته
لسد مثل هذه الهفوات
انا ب طبيعه الحال واعتقد الكثير لم يستخدم اي برنامج حمايه وجعله
على
اعداداته الافتراضيه أبداً !
ب النسبه للـ الكومودو
:king:
ـ
وزير الدفاع
Defnse +
( الحمايه الاستباقيه )
وضع الساند بوكس على محدود او غير موثوق
مثل ما تفضل اخوي
وجدي
ازاله علامه ( الصح ) من الوثوق تلقائياً في الملفات من المنصباة الموثوقه
،
الانتي فايروس
رفعه على اعلى الاعدادات ومنها
الهيوريستك
جعل اتخاذ الاجراء
( يدوي )
الجدار النأري
وضع الجدار على خيار
" الاعدادات المخصصه "
رفع درجه التنبيه من المنخفضه الى المتوسطه
تفعيل خيار عمل تحليل المنهج ل الاتصالات
الصادره و الوارده
معالجة منافذ التخفي وجعلها على الخيار الثاني
الي هو
تنبيهي على الاتصالات الوارده وجعل منافذي متخفيه على اساس كل حاله
:u:
ب العربي راح تنشئ قواعد خاصه فيك
وسيتم تنبيهك عن اي اتصال وارد
على سبيل المثال
الوندوز مسنجر احد ارسل لك اتصال
( مكالمه فيديو / كام / مشاركه ملفات/ او صور/ الخ )
راح ينبهك الجدار ويستأذنك ب القبول او الرفض
مع خيار صغير تحت مكتوب عليه !
تذكر اجابتي
:smile:
 
توقيع : ' فـلسفـه ..
سؤال لخبراء الكمودو؟؟؟


هل الكمودو قادر على رصد عملية تنصيب اي درايفر فى منطقة ال Kernel

Kernel Mode Driver load

هل يستطيع الكمودو او الدفنس بلس ان يرصد او يوقف هذه العملية؟؟

فى الحقيقة لا اعلم؟؟
:i::i::i:


هل احد يمتلك الاجابة؟؟؟
 
توقيع : haitham653
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى