روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

[haitham653]

اكتفي بهذا القدر واراكم غدا .....

في امان الله​

 

[ثعلب الجزائري]

ارسل الملف لو سمحت اخي هيثم

 

[yones7x]

راجع التقييم , الروتكيت طرح على احد مواقع الفيروسات المعروفة ظهر اليوم​

ممتاز، سأحاول تحليله

لا أطلب أي فايروس، إلا إذا كان مميز :bleh:

 

["الشبح"]

............

 

[' فـلسفـه ..]

بارك الله فيك على التجارب اللتي لا ارا في تقييماتك لها اي انصـــــاف ابداً !!
الكومودو نجح 100% !وليس كما ذكرت انت ؟؟؟
يكفي ان التنبيه يخبرك
ب ان التطبيق لا يمتلك توقيع رقمي ! ويريد صلاحياتت غير محدوده في الحاسوب
ان لم تكن متأكداً !! ينصحك الكومودو و بشده
بِ ان تقوم بِ الضغط على خيار ’ ساند بوكس ’ وسيتم تشغيله في بيئة الساند بوكس الوهميه !

ونجح 100% في شله شلل رباعي !
:q:
ايضاً عندي تعليق على تجربتك على الكومودو
تقول ان تنبيه الجدار لا يدل على خطوره الاتصال !

ياخي يكفي انه ذكر لك
ان التطبيق الفلاني يحاول يتصل هو غير مميز ب معنى اتصال غير امن ؟
خطوره متوسطه !!
:i:
~
ايضاً عندي ملاحظه على رفعك ل اعدادات الكومودو صحيح تغييره من وضع السكيورتي الى وضع الامن الوقائي
هو اعدادات عاليه ولكنك نسيت خطوه مهمه ل رصد تحركاته ب تقنيةة الهيبس ؟
الا وهي تعطيل الساند بوكس و الاعتماد في ذالك على تنبيهات محلل السلوك هيبس المتعدده !
لك ان تعيد التجربه مع رفع الاعدادات و تعطيل الساند بوكس ساعاتها سترصد ما اردت رصده

~
ايضاً الكاسبر كان واضح نسبياً واعطاك معدل الخطور مرتفع !

كيف تسمح و تثق في هذا التطبيق اللذي تم تصنيف خطورته كَ مرتفعه !
الاصابه ستكون موجوده بلا شك كما ستكون موجوده ايضاً في البيتديفندر 2011
اذا سمحت لهذا التطبيق ب العمل ؟؟؟
:hh:
~
على كلن جاري تجربة الفلاش مع رفع اعدادات الكومودو كماً اردتها انا
من يمتلك الفلاش ارجو ان يرسله في السريع العاجل
:q:
​

 

[مصرى ولى الفخر]

السلام عليكم
اولا اخى هيثم برجاء المساواة فى نفس الخطوات حتى يكون الحكم عادل ..فعلا البتدفندر عند تشغيل وحدة IDS يشتبة كثيرا حتى فى برامج نظيفة مثل المديل بلير...اعمل سماح ونرى قوتة الحقيقة

ثانيا اخى فلسفة الكومودو مكتشفة على فايروس توتال كيف لم يشكفة وحدة الانتى فيروس عند تجربتة+تك ارسال

https://www.virustotal.com/file/825...c24cdff9bb95009c119c65e6/analysis/1347942966/
​

 

[Deadeye]

اتفق 100% مع فلسفة

بعتقادي البرنامجين الوحيدين اللي نجحوا و بدرجة عالية البتديفندر و الكومودو

لاحظ رسالة الكومودو الاولى يكفي انه نبهك ان الملف سيحصل على صلاحيات مطلقة و الملف غير معروف

+

الكومودو نصح في نهاية الرسالة بتشغيله في الساندبوكس!

و اي مستخدم ولو ضعيف-متوسط الخبرة سيصك الملف اما بلوك او ساندبوكس و انتهى الامر ..

============

بالنسبة للبتديفندر واضح انه اكتشف الملف اكتشاف صريح و الدليل حتى بوضع الطيار الالي نجح في كشف الملف

============

بالنسبة للاونلاين ارمور ..

واضح ان الروتكيت صعب الاكتشاف, حتى رسائل الاونلاين ارمور صعبة بعض الشئ بستثناء الرسالة الاولى قالها صراحة الارمور Screen Logger Detected و الرسالة الثالثة الخاصة بحقن منطقة الكيرنيل

============

الكاسبرسكي لا اعلم اذا كان نجح او فشل, يعتمد على المستخدم و الغريب انه معروف لدى مجتمع الكاسبر بأكثر من 100,000 مستخدم

============

النود و النورتن 2013 فشل للاسف :no:​

 

[mr_lover-55]

اتفق 100% مع فلسفة

بعتقادي البرنامجين الوحيدين اللي نجحوا و بدرجة عالية البتديفندر و الكومودو

لاحظ رسالة الكومودو الاولى يكفي انه نبهك ان الملف سيحصل على صلاحيات مطلقة و الملف غير معروف

+

الكومودو نصح في نهاية الرسالة بتشغيله في الساندبوكس!

و اي مستخدم ولو ضعيف-متوسط الخبرة سيصك الملف اما بلوك او ساندبوكس و انتهى الامر ..

============

بالنسبة للبتديفندر واضح انه اكتشف الملف اكتشاف صريح و الدليل حتى بوضع الطيار الالي نجح في كشف الملف

============

بالنسبة للاونلاين ارمور ..

واضح ان الروتكيت صعب الاكتشاف, حتى رسائل الاونلاين ارمور صعبة بعض الشئ بستثناء الرسالة الاولى قالها صراحة الارمور Screen Logger Detected و الرسالة الثالثة الخاصة بحقن منطقة الكيرنيل

============

الكاسبرسكي لا اعلم اذا كان نجح او فشل, يعتمد على المستخدم و الغريب انه معروف لدى مجتمع الكاسبر بأكثر من 100,000 مستخدم

============

النود و النورتن 2013 فشل للاسف :no:​

:king:

 

["الشبح"]

...........

 

[haitham653]

:f:

يا أخي هيثم ؟ والله كانت ثقتي فيك كبيرة :no: ولكنك سقطت من عيني يا للأسف

لقد قلت ان الكاسبرسكي على اليدوي فشل ؟




+++


:q:

كدت أصدق قولك ولكن فضولي للتجربة كشف انك غير موضوعي نهائيا

تحركات الملف install_flashplayer11x64.exe عند الكاسبرسكي يدوي واضحة ومكشوفة ومستحيل اي مستخدم لا يلاحظها

1/ زرع قيمة بداية تشغيل من الملف install_flashplayer11x64.exe

2/ تعديل للوصول الى معلومات المستخدم من البرنامج install_flashplayer11x64.exe

3/ تعديل على ملفات رجستري محمية تمس مباشرة بأمن النظام يقوم بها الملف المشبوه install_flashplayer11x64.exe

4/ إتصال مخفي عبر dns يحاول القيام به الملف install_flashplayer11x64.exe لارسال بيانات

5/ محاولة اتصال tcp بالسرفر البعيد من قبل البرنامج install_flashplayer11x64.exe

/////////////////////////

//////////////////////////

فيديو التجربة كاملة على كاسبرسكي 2013

Download Video 00007.wmv

الرسائل تكاد تقارب مستوى الاونلاين ارمور الإحترافي وكلها تتبع الملف المشبوه وعملياته في النظام والرجستري

وخاصة في الرسالتين الأخيرتين من الجدار الناري حول الحزم الخارجة من الشبكة

فرجاء قليل من المهنية و المصداقية :q: تفيد بها نفسك وبقية الأعضاء

فالأعضاء اذكياء كفاية لكشف التلاعب بالنتائج

الجميع يعلم انك تريد ترجيح كفة البيديفندر ولكن ليس بهذه الطريقة - لا تبخصوا البرامج حقها



والسلام عليكم



​

أخي العزيز للاسف كيف تدعوني الى شي لم تلتزم به انت اصلا هذا عيب كبير ولا يجوز !!

والمصيبة الاكبر اتهمتني زورا !!!!

راجع كلامي بالتفصيل وركز قليلا ستفهم ماذا قلت !!!

اذا شغلت الملف باي وضع بالكاسبر سكي ولم تختار Restrict او Block

فان النظام سيخترق وسيصاب 100%

اين عملية ال Screen logger في الكاسبر سكي !!

اين العمليات على مستوى الكيرنل في الكاسبرسكي ؟؟

- تنصيب ملف dll في ال Temp

- التحكم في kernel 32.dll

- حقن svchost عن طريق kerenl32.dll الذي اصبح الروتكيت يتحكم به من خلال ملف ال dll الموجود في ال Temp



انا لم اخترع شي من عندي ببساطة قارنت بين رسائل الاونلاين ارمر

والكاسبرسكي هنالك عمليات خطرة وحيوية لم يرصدها الكاسبر


راجع رسائل الاونلاين ارمر واحكم بنفسك

جرب واذهب في الكاسبر الي Low Restricted Area ستجد هنالك ملفات ابحث عنها لن تجدها في النظام

اي اختفت في النظام لانها تمتلك صلاحيات اعلى من الكاسبر !!!!

انا لست متحيزا لبرنامج معين جربت اكثر من 6 او 7 برامج حماية لا تحتوي على هيبس تم تخطيها جميعا

المتحيز هو الذي يدافع دفاع اعمى وكان برنامج الحماية ملك له .....

لافضل ان نعد للعشرة قبل التسرع في الاحكام

وسامح الله الجميع
​

 

[wajdi abu lail]

ارسل لاريك نجاح الكاسبر الباهر بالاعدادات الرائعه وعلى 2012
​

 

[haitham653]

بارك الله فيك على التجارب اللتي لا ارا في تقييماتك لها اي انصـــــاف ابداً !!
الكومودو نجح 100% !وليس كما ذكرت انت ؟؟؟
يكفي ان التنبيه يخبرك
ب ان التطبيق لا يمتلك توقيع رقمي ! ويريد صلاحياتت غير محدوده في الحاسوب
ان لم تكن متأكداً !! ينصحك الكومودو و بشده
بِ ان تقوم بِ الضغط على خيار ’ ساند بوكس ’ وسيتم تشغيله في بيئة الساند بوكس الوهميه !

ونجح 100% في شله شلل رباعي !
:q:
ايضاً عندي تعليق على تجربتك على الكومودو
تقول ان تنبيه الجدار لا يدل على خطوره الاتصال !

ياخي يكفي انه ذكر لك
ان التطبيق الفلاني يحاول يتصل هو غير مميز ب معنى اتصال غير امن ؟
خطوره متوسطه !!
:i:
~
ايضاً عندي ملاحظه على رفعك ل اعدادات الكومودو صحيح تغييره من وضع السكيورتي الى وضع الامن الوقائي
هو اعدادات عاليه ولكنك نسيت خطوه مهمه ل رصد تحركاته ب تقنيةة الهيبس ؟
الا وهي تعطيل الساند بوكس و الاعتماد في ذالك على تنبيهات محلل السلوك هيبس المتعدده !
لك ان تعيد التجربه مع رفع الاعدادات و تعطيل الساند بوكس ساعاتها سترصد ما اردت رصده

~
ايضاً الكاسبر كان واضح نسبياً واعطاك معدل الخطور مرتفع !

كيف تسمح و تثق في هذا التطبيق اللذي تم تصنيف خطورته كَ مرتفعه !
الاصابه ستكون موجوده بلا شك كما ستكون موجوده ايضاً في البيتديفندر 2011
اذا سمحت لهذا التطبيق ب العمل ؟؟؟
:hh:
~
على كلن جاري تجربة الفلاش مع رفع اعدادات الكومودو كماً اردتها انا
من يمتلك الفلاش ارجو ان يرسله في السريع العاجل
:q:
​

اخي لم اقل انه فشل راجع كلامي , قلت له افضليه لانه حذرني من انا الملف يريد ان يحصل على تصريح مطلق !!!

التصرف الطبيعي والامن حجر الملف ولكن انا جربت وقمت بتشغيله لارى هل سيرصد عمليات الكيرنل والنتيجة لم

يرصدها مثل الاونلاين ارمر ومع ذلك لن اقول ان الكمودو فشل لان رسالته واضحة من الاصل....

قلت انه نفس الكاسبر اي ان الاثنين اذا سمحا للروتكيت بالعمل لن يرصدا عملية ال Screen logger وعمليات الكيرنل !!!:q:​

 

[haitham653]

ارسل لاريك نجاح الكاسبر الباهر بالاعدادات الرائعه وعلى 2012
​

تم راجع التقييم​

 

[haitham653]

ارسل الملف لو سمحت اخي هيثم

تم اخي عبد البصير وعذرا على التاخير راجع التقييم​

 

[thedarabid82]

السلام عليكم
ممكن اخي الملف لتجربة افاست
​

 

[Deadeye]

اخي لم اقل انه فشل راجع كلامي , قلت له افضليه لانه حذرني من انا الملف يريد ان يحصل على تصريح مطلق !!!

التصرف الطبيعي والامن حجر الملف ولكن انا جربت وقمت بتشغيله لارى هل سيرصد عمليات الكيرنل والنتيجة لم

يرصدها مثل الاونلاين ارمر ومع ذلك لن اقول ان الكمودو فشل لان رسالته واضحة من الاصل....

قلت انه نفس الكاسبر اي ان الاثنين اذا سمحا للروتكيت بالعمل لن يرصدا عملية ال Screen logger وعمليات الكيرنل !!!:q:​

لا مو نفس الكاسبر ..

الكومودو له الافضليه لانه, حذر من الملف بأنذار باللون الاحمر ووضح ان الملف يريد الحصول على صلاحيات مطلقة و نصح بتشغيله في الساندبوكس​

 

[CIVILIZATION]

بارك الله فيك على التجارب اللتي لا ارا في تقييماتك لها اي انصـــــاف ابداً !!

الكومودو نجح 100% !وليس كما ذكرت انت ؟؟؟
يكفي ان التنبيه يخبرك
ب ان التطبيق لا يمتلك توقيع رقمي ! ويريد صلاحياتت غير محدوده في الحاسوب
ان لم تكن متأكداً !! ينصحك الكومودو و بشده
بِ ان تقوم بِ الضغط على خيار ’ ساند بوكس ’ وسيتم تشغيله في بيئة الساند بوكس الوهميه ! ​

ونجح 100% في شله شلل رباعي !
:q:
ايضاً عندي تعليق على تجربتك على الكومودو
تقول ان تنبيه الجدار لا يدل على خطوره الاتصال !​

ياخي يكفي انه ذكر لك
ان التطبيق الفلاني يحاول يتصل هو غير مميز ب معنى اتصال غير امن ؟
خطوره متوسطه !!
:i:
~
ايضاً عندي ملاحظه على رفعك ل اعدادات الكومودو صحيح تغييره من وضع السكيورتي الى وضع الامن الوقائي
هو اعدادات عاليه ولكنك نسيت خطوه مهمه ل رصد تحركاته ب تقنيةة الهيبس ؟
الا وهي تعطيل الساند بوكس و الاعتماد في ذالك على تنبيهات محلل السلوك هيبس المتعدده !
لك ان تعيد التجربه مع رفع الاعدادات و تعطيل الساند بوكس ساعاتها سترصد ما اردت رصده

~
ايضاً الكاسبر كان واضح نسبياً واعطاك معدل الخطور مرتفع !​

كيف تسمح و تثق في هذا التطبيق اللذي تم تصنيف خطورته كَ مرتفعه !
الاصابه ستكون موجوده بلا شك كما ستكون موجوده ايضاً في البيتديفندر 2011
اذا سمحت لهذا التطبيق ب العمل ؟؟؟
اظن واضحه . صح ؟
(( ولا تلقوا بايديكم الى التهلكه ))

:hh:
~
على كلن جاري تجربة الفلاش مع رفع اعدادات الكومودو كماً اردتها انا
من يمتلك الفلاش ارجو ان يرسله في السريع العاجل
:q:​

الصورة ابلغ من الكلام اخي العزيز هيثم

ويرجى التأكد من الكلام والتحليل قبل ان ترمى الادلة والتحيلات عرض الحايط ، وكل واحد محترف في برنامج حماية معينة هو الادرى ببرنامجه .

ومثل ما يقولون بالعامية :

" اهل مكة أدرى بشعابها "


تحياتي ,,,

 

[METAD]

كلام هيثم وحمد واضج جدا لماذا الاتهامات هيثم يقول ان الكومودو نجح في التصدي ركزو نجح لكن هو اختار عمل سمتح ليرى ان كان الكومودو سيكون قادر على رصد تحركات الملف او لا والنتيجة لا
رد حمد كان التالي عطل الساند بوكس وسيظهر لك ماتريد من عمليات رصد للملف
أرجو يا أخ هيثم ان تعيد التجربة مع تعطيل الساند بوكس وكذلك ارسال الملف الى حمد
وشكرا على هذه التجأرب التي اعادت للقسم النشاط والحيوية

 

[فيصل556]

وعليكم السلام
ارسل
​

 

[' فـلسفـه ..]

السلام عليكم
اولا اخى هيثم برجاء المساواة فى نفس الخطوات حتى يكون الحكم عادل ..فعلا البتدفندر عند تشغيل وحدة IDS يشتبة كثيرا حتى فى برامج نظيفة مثل المديل بلير...اعمل سماح ونرى قوتة الحقيقة

ثانيا اخى فلسفة الكومودو مكتشفة على فايروس توتال كيف لم يشكفة وحدة الانتى فيروس عند تجربتة+تك ارسال

https://www.virustotal.com/file/825...c24cdff9bb95009c119c65e6/analysis/1347942966/
​

تابع تجربتي اخر هذه المشاركه
k:
​

اخي لم اقل انه فشل راجع كلامي , قلت له افضليه لانه حذرني من انا الملف يريد ان يحصل على تصريح مطلق !!!

التصرف الطبيعي والامن حجر الملف
ولكن انا جربت وقمت بتشغيله لارى هل سيرصد عمليات الكيرنل والنتيجة لم
يرصدها مثل الاونلاين ارمر
ومع ذلك لن اقول ان الكمودو فشل لان رسالته واضحة من الاصل....

قلت انه نفس الكاسبر اي ان الاثنين اذا سمحا للروتكيت بالعمل لن يرصدا عملية ال Screen logger وعمليات الكيرنل !!!:q:​

ياخي وش تبي اكثر من تصرف الساند بوكس الطبيعي !
حجر الملف ان لم يكن في قائمة عزل الانتي فايروس فَ سيكون في قائمة الساند بوكس تتم شل سلوكياته و بشكل شنيع ايضاً وش تبي اكثر من كذاً !
ضف على ذالك انت قمت ب غلط غير متعمد !!
وهو عدم فحص الملف ب محرك الكومودو قبل التشغيل كما فعلت مع الكاسبر ؟
لو فحصت لكان كلام اخر :q:
وقلت لك في مشاركه سابقه اذا تبي تشوف تنبيهات الهيبس ؟
عطل الساند بوكس لكن واضح انك تكتب اكثر من ما تقراء

+
لا يا صديقي ليس نفس الكاسبر
تنبيه الكاسبر جاي ب اللون البرتقالي درجة خطوره متوسطه
ولكن الديسكربشن الي فوق يقول انه لا يحمل توقيع رقمي و ان معدل خطورة الملف عاليه !
لكن للاسف لا يقوم ب نصيحة المستخدم اي الخيارات يتخذ كما الكومودو !
:no:
لكن الكومودو النص صريح وولون
التنبيه احمر ؟ خطوره عاليه !
التطبيق لا يمتلك توقيع رقمي ويريد صلاحيات غير محدوده ؟ و ان لم تكن متأكداً !
ننصحك وبشده الضغط على خيار ساند بوكس !
:q:
الي مكتوب على جبهته ’ مستخدم قليل الخبره ’ راح يضغط على خيار الساند بوكس وهو مغمض
:hh:
تابع تجربتي في اخر المشاركه

​

وكل واحد محترف في برنامج حماية معينة هو الادرى ببرنامجه .

ومثل ما يقولون بالعامية :

" اهل مكة أدرى بشعابها "


تحياتي ,,,

k:
صدقت
​

كلام هيثم وحمد واضج جدا لماذا الاتهامات هيثم يقول ان الكومودو نجح في التصدي ركزو نجح لكن هو اختار عمل سمتح ليرى ان كان الكومودو سيكون قادر على رصد تحركات الملف او لا والنتيجة لا
رد حمد كان التالي عطل الساند بوكس وسيظهر لك ماتريد من عمليات رصد للملف
أرجو يا أخ هيثم ان تعيد التجربة مع تعطيل الساند بوكس وكذلك ارسال الملف الى حمد
وشكرا على هذه التجأرب التي اعادت للقسم النشاط والحيوية

:king:
تمتعوا ب هذه التجربه هاكذا يُستخدم الكومودو !

CoMoDo vs_flashplayer11x64 .rar

:$
السلوكيات لم تكتمل على الرغم من سماحي ل 99% منها ب استثناء تنبيه واحد ل الجدار الناري
وهو محاولة الاتصال الي وضعت انت صورتها هو من قمت بِ حظره فقط
باقي السلوكيات عملت لها سماح رغم خطورتها و النتيجه ب الفيديو !!؟
اعتقد !! سبب عدم اكتمال السلوكيات هو النواة المستخدمه في هذا التطبيق
install_flashplayer11x64.exe
وهي x64 بينما الويندوز اكس بي الي عملت عليه تجربه x32
:d:
ب انتظارك يا هيثم !!
​