-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع haitham653
- تاريخ البدء
- الحالة
"الشبح"
زيزوومى متألق
غير متصل
wajdi abu lail
زيزوومى ذهبى
- إنضم
- 5 مايو 2009
- المشاركات
- 4,499
- مستوى التفاعل
- 1,156
- النقاط
- 1,020
- الإقامة
- فلسطين وأفتخر
- الموقع الالكتروني
- www.facebook.com
غير متصل
اخي هيثم هذه الرساله من اون لاين ارمور لا تفيد اي عملية حقن او ماشابه
العمليه هي مجرد قراءه فقط بدون التعديل او الحقن باختصار هي مجرد محاولة وصول وقراءه
رسائل اون لاين ارمور التي تفيد الحقن تحتوي على معاني " تعديل وتجميع واختراق رمز " اما هذه طبيعيه جدا
العمليه هي مجرد قراءه فقط بدون التعديل او الحقن باختصار هي مجرد محاولة وصول وقراءه
رسائل اون لاين ارمور التي تفيد الحقن تحتوي على معاني " تعديل وتجميع واختراق رمز " اما هذه طبيعيه جدا
توقيع : wajdi abu lail
سهران يا ليل
زيزوومي VIP
- إنضم
- 11 يناير 2012
- المشاركات
- 6,503
- مستوى التفاعل
- 4,603
- النقاط
- 1,220
غير متصل
توقيع : سهران يا ليل
haitham653
زيزوومى مبدع
غير متصل
اولا اتمنى لك النجاح والتوفيق بالثانوية العامة, قبل ان توضح بعض الامور تاكد انك تعرف عن ماذا تتكلم او المعلومة التي تريد تصحيحها خاطئة او المعلومة التي تريد طرحها صحيحية بدون الاعتماد على وكيبيدبا .....
1- للوصول الى Kernel , الطريقة الشائعة والمشهورة عن طريق نقل درايفر خاص .sys وليس ملف dll الى مجلد الدرايفر
C:\Windows\System32\drivers
طبعا هذه الطريقة مشهورة وشائعة وقديمة جدا وهي خطرة فعلا لكن نسبة نجاحها قليلة جدا اقل من 5% لان هذا المسار مراقب من جميع برمج الحماية او من خلال برامج الهيبس يمكن رصد عملية تحميل اي درايفر..
2- الطريقة الثانية وهي الطريقة الفتاكة والتي اسقطت كثير من برامج الحماية وهي عن طريق ملف dll ?!!! كيف ؟!!
تحميل ملف dll الى هذا المسار C:\Windows\System32 او C:\Windows مع العلم ان تقنيا يمكن تنصيب ملف dll في اي مسار في النظام ومؤخرا نسبة عالية من البرمجيات الخبيثة تقوم بتحميل dll في مجلد ال Temp للتحايل على برامج الحماية ؟!
النقطة الثانية من يستدعي kernel32.dll وntdll.dll عادة
كما قلت سابقا الروتكيت النظامي يقوم بذلك واقصد به برامج الحماية او برامج المراقبة النظامية الهدف من هذه العملية اخفاء نشاطات الملف او تتبع سير ملفات اخري من يحدد ذلك الملف المتصل بkernel32.dll سواء تنفيذي او dll حسب سطر الاوامر في البرنامج المتصل ب kernel32.dll
لم اسمع يوما بمشغل صوتيات يستدعي kernel32.dll
طبعا برامج الحماية تلجأ لهذه الطريقة لاخفاء عملياتها عن باقي الملفات التي تعمل في الذاكرة وتتبع ملفات النظام او ملفات معينة , ايضا الروتكيت والفيروسات تقوم بنفس العمل حتي تخفي نشاطها واعمالها عن بافي ملفات الذاكرة والتحميل بشكل خفي من الانترنت.....
الخلاصة يمكن لاي ملف dll من اي مكان في النظام ان يصل الى منطقة ال Kernel حسب سطر الاوامر داخل الملف !!! وهنا تكمن قوة المبرمج وبهذه الطريقة تم تكسير روؤس الكبار مثل....الكاسبر سكي وغيره !!!
النقطة الاخيرة التحميل عن طريق svchost من يقوم بذلك بربك ؟؟؟
البرنامج النظامي سيحمل بصورة مباشرة من النت لماذا سيعمل Hook على svchost ويتصل بالنت ؟؟؟
السبب حتي يتحايل على برنامج الحماية لان الوندوز يتصل بالنت عن طريق svchost
من سيقوم بذلك ياعزيزي فقط الفيروسات .....
لاحظ ماذا حصل بعد تحذير الاونلاين ارمر
سمحت له ان يتصل بالاترنت
انظر ماذا حصل !!!
قام بتحميل ملفات بطريقة خفية
ايضا سلوك البرنامج يشبة الباك دور !!!
السؤال الذكي ماذا حمل الانترنت !!!!
اراكم في المشاركة القادمة
1- للوصول الى Kernel , الطريقة الشائعة والمشهورة عن طريق نقل درايفر خاص .sys وليس ملف dll الى مجلد الدرايفر
C:\Windows\System32\drivers
طبعا هذه الطريقة مشهورة وشائعة وقديمة جدا وهي خطرة فعلا لكن نسبة نجاحها قليلة جدا اقل من 5% لان هذا المسار مراقب من جميع برمج الحماية او من خلال برامج الهيبس يمكن رصد عملية تحميل اي درايفر..
2- الطريقة الثانية وهي الطريقة الفتاكة والتي اسقطت كثير من برامج الحماية وهي عن طريق ملف dll ?!!! كيف ؟!!
تحميل ملف dll الى هذا المسار C:\Windows\System32 او C:\Windows مع العلم ان تقنيا يمكن تنصيب ملف dll في اي مسار في النظام ومؤخرا نسبة عالية من البرمجيات الخبيثة تقوم بتحميل dll في مجلد ال Temp للتحايل على برامج الحماية ؟!
النقطة الثانية من يستدعي kernel32.dll وntdll.dll عادة
كما قلت سابقا الروتكيت النظامي يقوم بذلك واقصد به برامج الحماية او برامج المراقبة النظامية الهدف من هذه العملية اخفاء نشاطات الملف او تتبع سير ملفات اخري من يحدد ذلك الملف المتصل بkernel32.dll سواء تنفيذي او dll حسب سطر الاوامر في البرنامج المتصل ب kernel32.dll
لم اسمع يوما بمشغل صوتيات يستدعي kernel32.dll
طبعا برامج الحماية تلجأ لهذه الطريقة لاخفاء عملياتها عن باقي الملفات التي تعمل في الذاكرة وتتبع ملفات النظام او ملفات معينة , ايضا الروتكيت والفيروسات تقوم بنفس العمل حتي تخفي نشاطها واعمالها عن بافي ملفات الذاكرة والتحميل بشكل خفي من الانترنت.....
الخلاصة يمكن لاي ملف dll من اي مكان في النظام ان يصل الى منطقة ال Kernel حسب سطر الاوامر داخل الملف !!! وهنا تكمن قوة المبرمج وبهذه الطريقة تم تكسير روؤس الكبار مثل....الكاسبر سكي وغيره !!!
النقطة الاخيرة التحميل عن طريق svchost من يقوم بذلك بربك ؟؟؟
البرنامج النظامي سيحمل بصورة مباشرة من النت لماذا سيعمل Hook على svchost ويتصل بالنت ؟؟؟
السبب حتي يتحايل على برنامج الحماية لان الوندوز يتصل بالنت عن طريق svchost
من سيقوم بذلك ياعزيزي فقط الفيروسات .....
لاحظ ماذا حصل بعد تحذير الاونلاين ارمر
سمحت له ان يتصل بالاترنت
انظر ماذا حصل !!!
قام بتحميل ملفات بطريقة خفية
ايضا سلوك البرنامج يشبة الباك دور !!!
السؤال الذكي ماذا حمل الانترنت !!!!
اراكم في المشاركة القادمة
توقيع : haitham653
غير متصل
غير متصل
التجربة مع الملف: (18:28)
False_RootKit_Haitham653.rar
الخلاصة: برنامج دعائي (Adware)...
شكرا لـ (أونلاين ارمور) للمساعدة على التحليل...
ملاحظة: يجب مشاهدة الفيديو كاملًا وبدقة لفهم ما يحدث
ملاحظة2: الإتصالات الكثيرة التي ظهرت في TCPEye، هي اتصالات محلية، 127.0.0.1
وتظهر بعضها yones-pc لإظهار إن الاتصال إلى الكمبيوتر نفسه، وهي ناتجة عن ملف الفلاش الآمن
ملاحظة3: بالنسبة لتسجيل البرنامج بالريجستري، عفوًا، تسجيل التولبار في انترنت اكسبلور مع ملفات dll
وليس تسجيل البرنامج كما ذكرت في الفيديو
False_RootKit_Haitham653.rar
الخلاصة: برنامج دعائي (Adware)...
شكرا لـ (أونلاين ارمور) للمساعدة على التحليل...
ملاحظة: يجب مشاهدة الفيديو كاملًا وبدقة لفهم ما يحدث
ملاحظة2: الإتصالات الكثيرة التي ظهرت في TCPEye، هي اتصالات محلية، 127.0.0.1
وتظهر بعضها yones-pc لإظهار إن الاتصال إلى الكمبيوتر نفسه، وهي ناتجة عن ملف الفلاش الآمن
ملاحظة3: بالنسبة لتسجيل البرنامج بالريجستري، عفوًا، تسجيل التولبار في انترنت اكسبلور مع ملفات dll
وليس تسجيل البرنامج كما ذكرت في الفيديو
توقيع : yones7x
haitham653
زيزوومى مبدع
غير متصل
مع احترامي الشديد لتجربتك
لم اراها بعد
قمت بتحليل الملف بشكل كامل وهو عبارة screen logger
سارفع النتيجة بعد قليل
لم اراها بعد
قمت بتحليل الملف بشكل كامل وهو عبارة screen logger
سارفع النتيجة بعد قليل
توقيع : haitham653
غير متصل
+ (إضافة على الفيديو)
الاتصال بالموقع أثناء تشغيل ملف ytld.exe عن طريق ملف setup.exe، كان من أجل التحقق من التحديثات...
(update.loadtubes.com GET /checkVersion.txt HTTP/1.1)
المصدر << مطابق لفيديو التجربة والحمدلله
وستلاحظون وجود ملف chechVersion.txt في التجربة
كما أن لهذا الملف الدعائي (Adware) موقع رسمي آخر، يظهر موقع يوتيوب مظلل برسالة يتطلب تنصيب الفلاش
وعند تحميل الملف يتم تنصيب التولبار والملف الدعائي في جهازك بحيث يتصل بـ loadtubes.com
وتقوم أنت كمستخدم بتحميل الصوتيات منه، هذا غير التولبار، ... الخ
الاتصال بالموقع أثناء تشغيل ملف ytld.exe عن طريق ملف setup.exe، كان من أجل التحقق من التحديثات...
(update.loadtubes.com GET /checkVersion.txt HTTP/1.1)
المصدر << مطابق لفيديو التجربة والحمدلله
وستلاحظون وجود ملف chechVersion.txt في التجربة
كما أن لهذا الملف الدعائي (Adware) موقع رسمي آخر، يظهر موقع يوتيوب مظلل برسالة يتطلب تنصيب الفلاش
وعند تحميل الملف يتم تنصيب التولبار والملف الدعائي في جهازك بحيث يتصل بـ loadtubes.com
وتقوم أنت كمستخدم بتحميل الصوتيات منه، هذا غير التولبار، ... الخ
توقيع : yones7x
haitham653
زيزوومى مبدع
غير متصل
السلام عليكم
الموقع الذي طرح العينة ذكر انها ملف فلاش مزور
Fake Flash
طبعا قمت اليوم باستخراج محتويات الملف
وهي كالاتي
كما تلاحظون يوجد ملف فلاش يحمل توقيع رقمي مزور او مسروق
التولبار هنا
قمت بتشغيل ملف الفلاش بشكل منفصل install.exe
عند تشغيلة اظهر الاونلاين ارمر رسائل كثيرة جميعها عمليات مشبوهه ولكن من باب الاختصار هذه رسالة لتصوير الشاشة
هذه صورة المنافذ التي يستخدمها الروتكيت ومن ضمنها ملفات النظامsvchost
عند تشغيل الملف الخارجي install_flashplayer11x64.exe هو في الحقيقة قام بتشغيل ملف الفلاش install.exe
عند التشغيل اول مرة الاونلاين ارمر اكتشف عملية التصوير
والبتدفندر اوقف الملف بدون تدخل المستخدم بوضع Auto Pilot من خلال الجدار الناري للبتدفندر
باقي البرامج وعلى راسها الكاسبرسكي والكمودو تم اختراقها وتم تصوير الشاشة بلحظة تشغيل
install_flashplayer11x64.exe
تحية كبيرة للاونلاين ارمر وللبتدفندر
فيديو التجربة
OA_Beats_ Fake Flash.rar
الموقع الذي طرح العينة ذكر انها ملف فلاش مزور
Fake Flash
طبعا قمت اليوم باستخراج محتويات الملف
وهي كالاتي
كما تلاحظون يوجد ملف فلاش يحمل توقيع رقمي مزور او مسروق
التولبار هنا
قمت بتشغيل ملف الفلاش بشكل منفصل install.exe
عند تشغيلة اظهر الاونلاين ارمر رسائل كثيرة جميعها عمليات مشبوهه ولكن من باب الاختصار هذه رسالة لتصوير الشاشة
هذه صورة المنافذ التي يستخدمها الروتكيت ومن ضمنها ملفات النظامsvchost
عند تشغيل الملف الخارجي install_flashplayer11x64.exe هو في الحقيقة قام بتشغيل ملف الفلاش install.exe
عند التشغيل اول مرة الاونلاين ارمر اكتشف عملية التصوير
والبتدفندر اوقف الملف بدون تدخل المستخدم بوضع Auto Pilot من خلال الجدار الناري للبتدفندر
باقي البرامج وعلى راسها الكاسبرسكي والكمودو تم اختراقها وتم تصوير الشاشة بلحظة تشغيل
install_flashplayer11x64.exe
تحية كبيرة للاونلاين ارمر وللبتدفندر
فيديو التجربة
OA_Beats_ Fake Flash.rar
توقيع : haitham653
haitham653
زيزوومى مبدع
غير متصل
السلام عليكم
الموقع الذي طرح العينة ذكر انها ملف فلاش مزور
Fake Flash
طبعا قمت اليوم باستخراج محتويات الملف
وهي كالاتي
كما تلاحظون يوجد ملف فلاش يحمل توقيع رقمي مزور او مسروق
التولبار هنا
قمت بتشغيل ملف الفلاش بشكل منفصل install.exe
عند تشغيلة اظهر الاونلاين ارمر رسائل كثيرة جميعها عمليات مشبوهه ولكن من باب الاختصار هذه رسالة لتصوير الشاشة
هذه صورة المنافذ التي يستخدمها الروتكيت ومن ضمنها ملفات النظامsvchost
عند تشغيل الملف الخارجي install_flashplayer11x64.exe هو في الحقيقة قام بتشغيل ملف الفلاش install.exe
عند التشغيل اول مرة الاونلاين ارمر اكتشف عملية التصوير
والبتدفندر اوقف الملف بدون تدخل المستخدم بوضع Auto Pilot من خلال الجدار الناري للبتدفندر
باقي البرامج وعلى راسها الكاسبرسكي والكمودو تم اختراقها وتم تصوير الشاشة بلحظة تشغيل
install_flashplayer11x64.exe
تحية كبيرة للاونلاين ارمر وللبتدفندر
فيديو التجربة
OA_Beats_ Fake Flash.rar
راجعوا موضوعي بخصوص جدار الكاسبر سكي , تذكرون اني قلت المنفذ 135 DNS OVER TCP مغلق من قبل جدار الكاسبر بالوضع الافتراضي هذا احد المنافذ كما يظهر في رسائل الاونلاين ارمر المخترقة طبعا انا من سمح له بالاتصال !!!
توقيع : haitham653
مصرى ولى الفخر
زيزوومي ماسى
- إنضم
- 24 أكتوبر 2011
- المشاركات
- 2,111
- مستوى التفاعل
- 3,250
- النقاط
- 1,120
غير متصل
العزيز هيثم...شكرا على مثابرتك وتجربتك الاكثر من رائعة
هل البيدفندر لاكتشاف مثل هذة النوعية من المحاطر بتفعيل خاصية IDS على الوضع الاقصى ام الوضع الافتراضى الاقل
هل البيدفندر لاكتشاف مثل هذة النوعية من المحاطر بتفعيل خاصية IDS على الوضع الاقصى ام الوضع الافتراضى الاقل
k:توقيع : مصرى ولى الفخر
qysr
زيزوومي VIP
- إنضم
- 26 نوفمبر 2008
- المشاركات
- 3,415
- مستوى التفاعل
- 14,177
- النقاط
- 1,220
غير متصل
والبتدفندر اوقف الملف بدون تدخل المستخدم بوضع Auto Pilot من خلال الجدار الناري للبتدفندر
باقي البرامج وعلى راسها الكاسبرسكي والكمودو تم اختراقها وتم تصوير الشاشة بلحظة تشغيل
فقط كملاحظة اخي هيثم خاصية ids غير مفعلة بالاعدادات الافتراضية للبيتديفيندر !!
الاصح ان اكتشاف البيتديفندر (ان صح ام لم يصح) فقد تم تحت اعدادات معدلة ,,
"الشبح"
زيزوومى متألق
غير متصل
haitham653
زيزوومى مبدع
غير متصل
الكمودو فقط مكتشف ملف الفلاش الي يحمل توقيع مزور
https://www.virustotal.com/file/427...9bb81e5419b0492f40351cefd6d1e66b2f5/analysis/
من يريد يشاهد هذا الفيديو
Fake Flash.rar
https://www.virustotal.com/file/427...9bb81e5419b0492f40351cefd6d1e66b2f5/analysis/
من يريد يشاهد هذا الفيديو
Fake Flash.rar
توقيع : haitham653
مصرى ولى الفخر
زيزوومي ماسى
- إنضم
- 24 أكتوبر 2011
- المشاركات
- 2,111
- مستوى التفاعل
- 3,250
- النقاط
- 1,120
غير متصل
توقيع : مصرى ولى الفخر
الوحدآآني
زيزوومى محترف
غير متصل
- الحالة