روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

الحالة
مغلق و غير مفتوح للمزيد من الردود.
في الحقيقة بعثت الملف كاملا لمختبرات البتدفندر قبل يومبن ولم ياتني رد حتى الان !!!

قبل قليل انتبهت لامر البتدفندر حذف الملف بالكامل واعتبره فيروس ؟

install_flashplayer11x64.exe


75d0ba9e581d73892d8df30cf008e6dd.jpg


البعض راح يتفلسف ويقول ادوير ؟!!

تابعوا معي:


لذلك قمت باستخراج الملفات وفحصها واحد تلو الاخر في البتدفندر :


ملفات الادوير اعتبرها البتدفندر نظيفة وامنة

fbb8efda71ee56adcf6159632a6ef1e1.jpg



هذا هو التولبار الذي قالت الافيرا عنه ادوير البتدفندر اعتبره نظيف

a47efdb6d0d3c178b5d7c67cd85089b0.jpg


f95987f4cc9d2b56115246c8b1af8679.jpg


721965b07dcdf3849ecb22b41e876888.jpg


الملف الذي علية الاختلاف install لم يستطع البتدفندر فحصة لان الملفات محمية بكلمة مرور !!


a9c6645f0c5520c77ebc7a5b17898ab2.jpg
fa2feee293d890fa88228e3219323d60.jpg


الخلاصة

هذا فحص للملفات بعد استخارجها كاملة لا توجد ولا اصابة يوجد ملفات لم يستطع فحصها ؟!!

51e765cbddd11ae9fdc142c47fedfed3.jpg
86f2fa5c2c31f83a137656c13fd45c6d.jpg



فحص الملف كما هو في الصيغة التنفيذية قام بحذفه مباشرة ؟!!! لماذا ؟!!

413b6419e2ad2736036a964a891bfce6.jpg


طبعا الحذف بالتواقيع ؟!!!

اذا كانت الملفات سليمة ويوجد ملف واحد محمي بكلمة سر فلماذا تم خذف الملف بالكامل من الخارج ؟؟؟

الرد الطبيعي ان سلوكة مشبوه وخطر وعلى حد علمي حتى يوم امس لم تنجح البتدفندر في استخراج الملفات لانها

محمية بقوة


السؤال هل قامت مختبرات الافيرا حقا بفحص الملف ام مجرد ان وجدوا توقيع لادوبي قالوا عنه ملف سليم...


على العموم انا باتظار الرد بالتفصيل من امسي سوفت والبتدفندر
 

توقيع : haitham653
"الشبح" قال:
ولما لا تقرأ قوله عزوجل :

﴿ يَا أَيُّهَا الَّذِينَ آَمَنُوا إِنْ جَاءَكُمْ فَاسِقٌ بِنَبَأٍ فَتَبَيَّنُوا أَنْ تُصِيبُوا قَوْمًا بِجَهَالَةٍ فَتُصْبِحُوا عَلَى مَا فَعَلْتُمْ نَادِمِينَ)



نحن لم نفعل شيئا سوى التبين بعد ان تم ترويع الآمنين و اضطر البعض للفورمات و استبدال انظمتهم ؟؟؟؟

و قام صاحب الموضوع بإطلاق أحكام انتشرت في كثير من المنتديات الأخرى ؟؟؟ أليس هذا ظلما وتجنيا

افكار مغلوطة انتشرت بين الناس ؟؟؟ فمن يصححها الأن ؟؟؟؟ الذي يبيع الكاسبرسكي سيتكبد خسائر بسبب التضليل

66c8c92a33220643da1fed6535f46bc8.png


أليس الواجب علينا من وجهة نظر الدين - وانت اقحمت الدين - تبيان الحقيقة والتحقق من الخبر مهما كان ؟؟؟

اعتبر انني والأخوة مؤجورون لأننا ساعدنا البعض في فهم الحقيقة واحتسب اجرنا عند الله

البعض كان يمتلك البرامج التي قال عنها صاحب الموضوع : فشل مع مرتبة الشرف :f:

فهل عندما يشتري برنامجا جديدا بسبب هذا الموضوع (المبني على تحليل خاطئ ) ألن يكون قد ضيع ماله بدون سبب ؟


هذا و الحمد لله رب العالمين​
أنقر للتوسيع...

الحمد لله رب العالمين
اخواني الاعزاء
يقول العلامة الشيخ صالح الفوزان في تعريف الفاسق: الفاسق هو الذي يرتكب كبيرة من كبائر الذنوب كالزنا و السرقة و شرب الخمر (انتهى الاقتباس) . و عليه أخي الكريم فانني أرجو منك ان لا تستعمل هذه الاية الكريمة في موضع لا يليق بها . اذ انني و الله اربا بأخينا هيثم عن هذا الوصف . و اذا كنت لا تقصده فأرجو التوضيح و حذف مشاركتك التي لم تفد النقاش في شئ. اما ان هيثم قد أضر بأجهزة الاخوة من ناحية انهم اضطروا الى الفرمتة فهذا شأن الاخوة معه لا شأنك انت . ان هذا المنتدى هو للنقاش لا لقذف الناس و استعمال ايات الله فيما لا يليق. ان الفاسق هو الذي يريد الاضرار بالناس ليفسد حبل الود بين الاخوة و هو المقصود في ايات الله البينات وان اخانا هيثم لا يمكن ان يكون على هذه الشاكلة. ان ادارة المنتدى اليوم مطالبة بان تمنع ادخال الايات من الكتاب في مثل هكذا مناقشات حفاظا على كتاب الله تعالى. هدانا الله و اياكم الى الصواب
 
احمد ع ف ب قال:

الحمد لله رب العالمين
اخواني الاعزاء
يقول العلامة الشيخ صالح الفوزان في تعريف الفاسق: الفاسق هو الذي يرتكب كبيرة من كبائر الذنوب كالزنا و السرقة و شرب الخمر (انتهى الاقتباس) . و عليه أخي الكريم فانني أرجو منك ان لا تستعمل هذه الاية الكريمة في موضع لا يليق بها . اذ انني و الله اربا بأخينا هيثم عن هذا الوصف . و اذا كنت لا تقصده فأرجو التوضيح و حذف مشاركتك التي لم تفد النقاش في شئ. اما ان هيثم قد أضر بأجهزة الاخوة من ناحية انهم اضطروا الى الفرمتة فهذا شأن الاخوة معه لا شأنك انت . ان هذا المنتدى هو للنقاش لا لقذف الناس و استعمال ايات الله فيما لا يليق. ان الفاسق هو الذي يريد الاضرار بالناس ليفسد حبل الود بين الاخوة و هو المقصود في ايات الله البينات وان اخانا هيثم لا يمكن ان يكون على هذه الشاكلة. ان ادارة المنتدى اليوم مطالبة بان تمنع ادخال الايات من الكتاب في مثل هكذا مناقشات حفاظا على كتاب الله تعالى. هدانا الله و اياكم الى الصواب
أنقر للتوسيع...


:?:


لم اشاهد احتجاج لك لما كان اخ يشير الي كأهل الكتاب و الحساد ؟؟؟؟؟

ثم تهاجمني بغير حق ؟

ما ادراك اني لم افرمت جهازي ؟؟؟ وما حصل معي ؟؟؟

حسبي الله ونعم الوكيل

اتسائل لماذا اٌقحمت نفسي في موضوع منتهي

خلاص سامحونا احنا ظلمنا صاحب الموضوع وهو على حق في ما قاله

ولذلك سوف يتم حذف كا فة مشاركاتي في هذا الموضوع

مع الخروج من هذا الركن وعدم العودة اليه

مع اعتذاري الخالص لكل من اسأت اليه من قريب او بعيد

ومع طلب الصفح من الإدارة و الأعضاء

والسلام عليكم

////////تسجيل خروج ///////


 
توقيع : "الشبح"
"الشبح" قال:
:?:


لم اشاهد احتجاج لك لما كان اخ يشير الي كأهل الكتاب و الحساد ؟؟؟؟؟

ثم تهاجمني بغير حق ؟

ما ادراك اني لم افرمت جهازي ؟؟؟ وما حصل معي ؟؟؟

حسبي الله ونعم الوكيل

اتسائل لماذا اٌقحمت نفسي في موضوع منتهي

خلاص سامحونا احنا ظلمنا صاحب الموضوع وهو على حق في ما قاله

ولذلك سوف يتم حذف كا فة مشاركاتي في هذا الموضوع

مع الخروج من هذا الركن وعدم العودة اليه

مع اعتذاري الخالص لكل من اسأت اليه من قريب او بعيد

ومع طلب الصفح من الإدارة و الأعضاء

والسلام عليكم

////////تسجيل خروج ///////


أنقر للتوسيع...
الحمد لله تعالى
انا يا اخي الكريم لم اهاجمك . انا فقط علقت على استعمال ايات الله في مواضيع لا تليق بالايات الكريمة فضلا عن ان مناسبة الايات ليست لمثل هذه النقاشات . انا لم اهاجمك لكنني دعوت الله لي و لك بالهداية و الصلاح . ما بالك ترد على ذلك بغضب زائد؟!!! أخي الكريم : اهدأ و سامح ما استطعت الى ذلك سبيلا. ......أخوك المحب لك
 
اخواني جاء الرد المزلزل من مختبرات البت ديفيندر بعد 48 ساعه من المراسله
طلبت منهم تحليل الملف بشكل كامل وليس بمجرد فحص والنتيجه بالمختصر وبالطبع قمت باعادة تسمية الملف الى infected قبل ارساله

3aa9e7cb97cc66208e2f83e5879a2214.png


f6af5d2b4605710fa2dd48edefbd2cda.png


مختصر الرساله واضح
تحليل الملف قد اكتمل
النتيجه نظيف :d:



 
توقيع : wajdi abu lail
amiral3azab قال:
اخواني جاء الرد المزلزل من مختبرات البت ديفيندر بعد 48 ساعه من المراسله
طلبت منهم تحليل الملف بشكل كامل وليس بمجرد فحص والنتيجه بالمختصر وبالطبع قمت باعادة تسمية الملف الى infected قبل ارساله

3aa9e7cb97cc66208e2f83e5879a2214.png


f6af5d2b4605710fa2dd48edefbd2cda.png


مختصر الرساله واضح
تحليل الملف قد اكتمل
النتيجه نظيف :d:



أنقر للتوسيع...
:hh:
اطنخ تقييم شخصي ي وجدي
+10 ~
icon14.gif

sign out from the subject
:p:
 
توقيع : ' فـلسفـه ..
amiral3azab قال:
اخواني جاء الرد المزلزل من مختبرات البت ديفيندر بعد 48 ساعه من المراسله
طلبت منهم تحليل الملف بشكل كامل وليس بمجرد فحص والنتيجه بالمختصر وبالطبع قمت باعادة تسمية الملف الى infected قبل ارساله

3aa9e7cb97cc66208e2f83e5879a2214.png


f6af5d2b4605710fa2dd48edefbd2cda.png


مختصر الرساله واضح
تحليل الملف قد اكتمل
النتيجه نظيف :d:



أنقر للتوسيع...


بارك الله فيك اخي وجدي وحصل خير....

المشكلة لم ياتيني رد حتي اليوم من البتدفندر - ارسلته من 3 ايام على العموم !!!

المشكلة الرئيسية ان الملف محمي بكلمة مرور والا لفحصتة ببرنامج pe explorer ... وكان اتضحت الامور من اول يوم....فهنا المشكلة الرئيسية !!!

المشكلة الثانية رسائل الاونلاين ارمر واعتقد السبب الرئيسي النظام الوهمي 100% لذلك يفضل في التجارب تنصيب نسخة جديدة وعمل snapshot للرجوع اليها ذلك اسهل و افصل من من تنصيبه كل مرة....

ايضا جربت تشغيل الملف على النظام الحقيقي هنالك اختلاف كبير عن النظام الوهمي , اعتقد ان السبب اونلاين ارمر يحتوي علىKernel Protection لذلك حساسيته عالية والنظام الوهمي يختلف كثيرا عن النظام الحقيقي , باختصار الاونلاين ارمر لن يعمل بكفاءة على النظام الوهمي الا عند التنصيب لاول فقط...واحيانا لن يعمل !!!

طريقة عمل الملف :

ملف install.exe لا يعمل لوحدة لانه جزء من برنامج ادوبي فلاش لذلك عند تشغيله كانت تظهر رسالة خطأ وتفشل عملية التنصيب لانه يوجد ملفات ناقصة......


كل الفكرة في الموضوع انه يقوم بتنصيب تولبار tb.dll ويقوم باستخدام بعض المنافذ الخطرة اتوقع من باب التجربة فقط وتم وضع ملف الفلاش كنوع من التموية لا اكثر !!!!


الخوف فقط كان من ملف install,exe ان يطلع fake وطلع سليم :d:

ولكن مازلت عند وعدي ساحضر قريبا ان شاء الله روتكيت مزلزل - Zero Day Rootkit - بطرقي الخاصة وليس من الانترنت او مواقع تحميل الفيروسات..... :y:

بالتوفيق وشكرا للجميع وتحية خاصة لابو الليل :q: !!!!!!!!​
 
توقيع : haitham653
haitham653 قال:
بارك الله فيك اخي وجدي وحصل خير....

المشكلة لم ياتيني رد حتي اليوم من البتدفندر - ارسلته من 3 ايام على العموم !!!

المشكلة الرئيسية ان الملف محمي بكلمة مرور والا لفحصتة ببرنامج pe explorer ... وكان اتضحت الامور من اول يوم....فهنا المشكلة الرئيسية !!!

المشكلة الثانية رسائل الاونلاين ارمر واعتقد السبب الرئيسي النظام الوهمي 100% لذلك يفضل في التجارب تنصيب نسخة جديدة وعمل snapshot للرجوع اليها ذلك اسهل و افصل من من تنصيبه كل مرة....

ايضا جربت تشغيل الملف على النظام الحقيقي هنالك اختلاف كبير عن النظام الوهمي , اعتقد ان السبب اونلاين ارمر يحتوي علىKernel Protection لذلك حساسيته عالية والنظام الوهمي يختلف كثيرا عن النظام الحقيقي , باختصار الاونلاين ارمر لن يعمل بكفاءة على النظام الوهمي الا عند التنصيب لاول فقط...واحيانا لن يعمل !!!

طريقة عمل الملف :

ملف install.exe لا يعمل لوحدة لانه جزء من برنامج ادوبي فلاش لذلك عند تشغيله كانت تظهر رسالة خطأ وتفشل عملية التنصيب لانه يوجد ملفات ناقصة......


كل الفكرة في الموضوع انه يقوم بتنصيب تولبار tb.dll ويقوم باستخدام بعض المنافذ الخطرة اتوقع من باب التجربة فقط وتم وضع ملف الفلاش كنوع من التموية لا اكثر !!!!


الخوف فقط كان من ملف install,exe ان يطلع fake وطلع سليم :d:

ولكن مازلت عند وعدي ساحضر قريبا ان شاء الله روتكيت مزلزل - Zero Day Rootkit - بطرقي الخاصة وليس من الانترنت او مواقع تحميل الفيروسات..... :y:

بالتوفيق وشكرا للجميع وتحية خاصة لابو الليل :q: !!!!!!!!​
أنقر للتوسيع...

لقد ترددت في كتابة هذا التعليق ولكن ساقول وامري على الله !!

على العموم ما ذكرته بالاعلى هي وجه نظري واعتقد انها صحيحة !!!!!

السؤال لماذا طرحت الموضوع وقلت انه روتكيت !!!!

رابط العينة ارسله لي زميل لي مبرمج هولندي يعيش في هولندا واخبرني ان الملف روتكيت وسيطيح بجميع برامج الحماية ويستحيل كشفه من اي شركة حماية ؟!!!

كيف ؟؟؟

ببساطة لانه لا يحتوي على malicious code اي لا يحتوي على كود خبيث !!!

كيف ساقوم بالشرح !!!!

الطريقة الشائعة والمشهورة من شركات الحماية بالفحص فحص الملفات مباشرة ورؤية اذا ماكانت تحتوي على كود

خبيث ام لا , لذلك احد الطرق التي يلجأ اليها الهكرز هي التحايل على شركات وبرامج الحماية !!! كيف !!

اولا: يكون الملف نظيف ولايحتوي على اي كود خبيث ويتصل بعدة VPS امنة تابعة للهكرزاو المبرمج من بورتات امنة ..
طبعا يقوم بقراءة اولية للذاكرة للتعرف السريع على نوع النظام والحماية...

ثانيا : لاحقا يقوم المبرمج بتحميل برنامج بصورة خفية الى جهاز الضحية يقوم بقراءة جميع الملفات التي تعمل في الذاكرة وبالتالي يتم التعرف على نوع النظام ونوع الحماية ....ويرسل هذه البيانات الى احد ال VPS التابعة له...

الخطوة الثالثة: بناء على نوع النظام ونوع الحماية يقوم المبرمج بعمل فيروس خاص من اجل الاختراق لتخطي النظام وبرنامج الحماية المنصب على جهازك قد تحدث هذه العملية بعد ساعات بعد يوم بعد يومين لا اعرف لكنهم يتبعون طرق واستراتيجيات معينة في الهجوم....

من يستطيع القيام بذلك , هم فئة قليلة لا تتعدي ال 3 % او 5% من الهكرز هم خبراء في البرمجة وفي انظمة التشغيل وموجودون فقط في اوروبا والولايات المتحدة !!!


قام بارسال بيانات عبر الانترنت


349b99625b0bf3767b217c94ee754939.jpg



بعدها بعشر دقائق تلقي الرد


3d484ee6435e6e828757c11cf365fc54.jpg


ما علاقة ذلك بالتولبار ؟؟

مجرد وجهة نظر ولكن المتاكد منة ان شركات الحماية ليس قوية ومحصنة 100% هي بالدرجة الاولي مادية 100% ايضا كما هي تتطور ايضا طرق القرصنة تتطور وبشكل مخيف وهنالك طرق غير ذلك وكثيرة لتخطي اي نظام او برنامج حماية حيث ان شركات الحماية متاخرة خلف القرصنة وهي عادة من ترقع بعد الاصابة.... و المصيبة انها تتعرض للدعس كل كم شهر من اطفال الهكرز فما بالك بمبرمجين محترفين !!!!

على العموم من يقول ني اتلفت الاجهزة او تسببت بضرر اولا لم اطلب من اي احد ان يجرب على نظامه الحقيقي ثانيا الاخ المصري هو من سالني ماذا يفعل وانا نصحتة ان يفرمت الوندوز فقط من باب الاحتياط خوفا عليه - درهم وقاية خير من قنطار علاج - فقط لا غير ولا ضرر في تنصيب وندوز جديد من باب الاحتياط...

ومن تضرر نفسيا اعتذر منه واطلب منه السماح ......:b:

في امان الله

ملاحظة : VPS: Virtual Private Server
 
توقيع : haitham653
^
مـا قصرت ياغالي
وربي يزيدك من علمه:king:​
 
توقيع : الخفـوق
بارك الله فيكم أخي هيثم على التوضيح وزادكم الله من فضله
 
توقيع : أبو عائشهأبو عائشه is verified member.
مقاديرررر وتمضي حياتي . ...... . مشاوير بين هالمواضيع ~

بارك الله فيك ياهثيم وكلامك يبين الغموض اللي ورى هذا الموضوع والعينه الموجوده فيها والشباب ماقصروا ايضاً

بورك فيك

>>>يازين اغلاق الموضوع :d:
 
haitham653 قال:
لقد ترددت في كتابة هذا التعليق ولكن ساقول وامري على الله !!

على العموم ما ذكرته بالاعلى هي وجه نظري واعتقد انها صحيحة !!!!!

السؤال لماذا طرحت الموضوع وقلت انه روتكيت !!!!

رابط العينة ارسله لي زميل لي مبرمج هولندي يعيش في هولندا واخبرني ان الملف روتكيت وسيطيح بجميع برامج الحماية ويستحيل كشفه من اي شركة حماية ؟!!!

كيف ؟؟؟

ببساطة لانه لا يحتوي على malicious code اي لا يحتوي على كود خبيث !!!

كيف ساقوم بالشرح !!!!

الطريقة الشائعة والمشهورة من شركات الحماية بالفحص فحص الملفات مباشرة ورؤية اذا ماكانت تحتوي على كود

خبيث ام لا , لذلك احد الطرق التي يلجأ اليها الهكرز هي التحايل على شركات وبرامج الحماية !!! كيف !!

اولا: يكون الملف نظيف ولايحتوي على اي كود خبيث ويتصل بعدة VPS امنة تابعة للهكرزاو المبرمج من بورتات امنة ..
طبعا يقوم بقراءة اولية للذاكرة للتعرف السريع على نوع النظام والحماية...

ثانيا : لاحقا يقوم المبرمج بتحميل برنامج بصورة خفية الى جهاز الضحية يقوم بقراءة جميع الملفات التي تعمل في الذاكرة وبالتالي يتم التعرف على نوع النظام ونوع الحماية ....ويرسل هذه البيانات الى احد ال VPS التابعة له...

الخطوة الثالثة: بناء على نوع النظام ونوع الحماية يقوم المبرمج بعمل فيروس خاص من اجل الاختراق لتخطي النظام وبرنامج الحماية المنصب على جهازك قد تحدث هذه العملية بعد ساعات بعد يوم بعد يومين لا اعرف لكنهم يتبعون طرق واستراتيجيات معينة في الهجوم....

من يستطيع القيام بذلك , هم فئة قليلة لا تتعدي ال 3 % او 5% من الهكرز هم خبراء في البرمجة وفي انظمة التشغيل وموجودون فقط في اوروبا والولايات المتحدة !!!


قام بارسال بيانات عبر الانترنت


349b99625b0bf3767b217c94ee754939.jpg



بعدها بعشر دقائق تلقي الرد


3d484ee6435e6e828757c11cf365fc54.jpg


ما علاقة ذلك بالتولبار ؟؟

مجرد وجهة نظر ولكن المتاكد منة ان شركات الحماية ليس قوية ومحصنة 100% هي بالدرجة الاولي مادية 100% ايضا كما هي تتطور ايضا طرق القرصنة تتطور وبشكل مخيف وهنالك طرق غير ذلك وكثيرة لتخطي اي نظام او برنامج حماية حيث ان شركات الحماية متاخرة خلف القرصنة وهي عادة من ترقع بعد الاصابة.... و المصيبة انها تتعرض للدعس كل كم شهر من اطفال الهكرز فما بالك بمبرمجين محترفين !!!!

على العموم من يقول ني اتلفت الاجهزة او تسببت بضرر اولا لم اطلب من اي احد ان يجرب على نظامه الحقيقي ثانيا الاخ المصري هو من سالني ماذا يفعل وانا نصحتة ان يفرمت الوندوز فقط من باب الاحتياط خوفا عليه - درهم وقاية خير من قنطار علاج - فقط لا غير ولا ضرر في تنصيب وندوز جديد من باب الاحتياط...

ومن تضرر نفسيا اعتذر منه واطلب منه السماح ......:b:

في امان الله

ملاحظة : VPS: Virtual Private Server
أنقر للتوسيع...

كل كلامك اخي هيثم سليم 100/100 الحكايه لو كانت ارسال ملف لمختبر برامج الحمايه ويأتيك الرد بأن الملف سليم!!

كان قلنا لسى الدنيا بخير:king:

سلمت اخي هيثم وبأنتظار الروتيكت المزلزل :y:
 
توقيع : mr_lover-55
بارك الله في الجميع لما فيه الخير والهدي والرشاد

والله يصلح نياتنا وفساد أعمالنا
 
توقيع : أبو عائشهأبو عائشه is verified member.
مشكور اخي علي التوضيح وزادك الله من علمه واني ساقولها شهاده للحق ليس دفاعا عنك لاني لااعرفك ولكن كم من مره تم التنبيه ان التجارب يجب ان تكون من خبراء وليست علي الانظمه الحقيقيه ويجب علينا جميعا ان نحترم بعضنا البعض بعيدا عن اي شئ فنحن هنا لنستفيد من علم بعضنا البعض
 
بارك الله فيكم جميعا يا شباب موضوع جميل جدا وبارك الله فيك اخى هيثم تقيم كامل كاقل تقدير لشخصك الكريم
انا متابع الموضوع من اوله ولم اشارك فيه لانى عاهدت نفسى ان لا اعمل اى تجارب الا لو كان عندى وهمى او مثبت نظام تانى على الجهاز بجانب نظامى الاساسى الموضوع دة من اقوى المواضيع اللى شاهدتها فى زيزوم ومن اكتر المواضيع اللى استفدت منها
ومن افضل ما فى الموضوع ان برامج الحماية اللى قال عنها الاخ هيثم انها فشلت مع مرتبة الشرف هى فى الحقيقة البرامج التى نجحت بامتياز ولم تظهر اى ايجابية كاذبة
ننتظر مواضيع اقوى منك اخى هيثم ويكون فعلا روتكيت حقيقى
بارك الله فيك
 
توقيع : Ahmed_morad
Ahmed_morad قال:
بارك الله فيكم جميعا يا شباب موضوع جميل جدا وبارك الله فيك اخى هيثم تقيم كامل كاقل تقدير لشخصك الكريم
انا متابع الموضوع من اوله ولم اشارك فيه لانى عاهدت نفسى ان لا اعمل اى تجارب الا لو كان عندى وهمى او مثبت نظام تانى على الجهاز بجانب نظامى الاساسى الموضوع دة من اقوى المواضيع اللى شاهدتها فى زيزوم ومن اكتر المواضيع اللى استفدت منها
ومن افضل ما فى الموضوع ان برامج الحماية اللى قال عنها الاخ هيثم انها فشلت مع مرتبة الشرف هى فى الحقيقة البرامج التى نجحت بامتياز ولم تظهر اى ايجابية كاذبة
ننتظر مواضيع اقوى منك اخى هيثم ويكون فعلا روتكيت حقيقى
بارك الله فيك
أنقر للتوسيع...

بارك الله فيك اخي الكريم وفي باقي الاخوة الكرام.....

في الحقيقة جميع برامج الحماية المعروفة والمشهورة قوية وتوفر الحد الادني المطلوب للحماية!!!!

لكن المشكلة تكمن في المستخدم وسلوكه ؟!!!!

البعض يحب ان يجرب ويدخل الى مواقع مشبوهه او يحمل برامج مشبوهة , البعض الاخر يضع اكثر من برنامج حماية ويحصل تعارض وتجد ان برنامج الحماية لا يعمل بكفاءة او ردة فعلة بطيئة...

البعض الاخر يستخدم برامج معقدة او لا يستطيع التعامل معها وتجدة اما ان يتلف نظامة او يصاب بفيروسات بخطأ منه


الخلاصة كن مستخدم نظامي وابتعد عن مصادر التهديد ولا تحمل البرامج الا من موقعها الرسمي او من مواقع امنة معروفة وابتعد عن الكراكات والباتشات لانها 70% مصابة وان لم تكن مصابة فهي في الغالب تؤثر على كفاءة عمل النظام والاهم ابتعد عن المواقع المشبوهه...

سلوك المستخدم اهم 100 مرة من نوع برنامج الحماية

بالتوفيق للجميع ان شاء الله​
 
توقيع : haitham653
mr_lover-55 قال:
كل كلامك اخي هيثم سليم 100/100 الحكايه لو كانت ارسال ملف لمختبر برامج الحمايه ويأتيك الرد بأن الملف سليم!!


كان قلنا لسى الدنيا بخير:king:


سلمت اخي هيثم وبأنتظار الروتيكت المزلزل :y:
أنقر للتوسيع...


الدنيا لسه بخير و لا مجال للتقليل من قيمة تحليل المختبرات :smile:


لان الذين يقومون بالتحليل هناك هم خبراء على مستوى العالم


من احسن المختبرات لفحص مثل الملف في هذا الموضوع مختبر افيرا و ردهم سريع


و من افضل المختبرات في تحليل الكراكات والباتشات مختبر كاسبرسكي لانهم لا مشكلة لديهم مع الكراك في حد ذاته و يفحصون سلامة الملف فقط ,, و يردون في ظرف يوم غالبا


مثلا هذا كراك كان الكاسبر يكتشفه اكتشاف خاطئ على انه رانسوم !!


و لايوجد تفعيل للبرنامج سوى هذا الكراك


شككت انه نظيف فارسلته للكاسبر و شاهد الرد ::


ac93e3f98ae3d12968c0385a9f5d7c5c.png



نأسف هذه ايجابية خاطئة و ستعالج مع التحديث المقبل


و الآن انا استخدم الكراك و انا مطمئن :d:

 
haitham653 قال:
لقد ترددت في كتابة هذا التعليق ولكن ساقول وامري على الله !!

على العموم ما ذكرته بالاعلى هي وجه نظري واعتقد انها صحيحة !!!!!

السؤال لماذا طرحت الموضوع وقلت انه روتكيت !!!!

رابط العينة ارسله لي زميل لي مبرمج هولندي يعيش في هولندا واخبرني ان الملف روتكيت وسيطيح بجميع برامج الحماية ويستحيل كشفه من اي شركة حماية ؟!!!

كيف ؟؟؟

ببساطة لانه لا يحتوي على malicious code اي لا يحتوي على كود خبيث !!!

كيف ساقوم بالشرح !!!!

الطريقة الشائعة والمشهورة من شركات الحماية بالفحص فحص الملفات مباشرة ورؤية اذا ماكانت تحتوي على كود

خبيث ام لا , لذلك احد الطرق التي يلجأ اليها الهكرز هي التحايل على شركات وبرامج الحماية !!! كيف !!

اولا: يكون الملف نظيف ولايحتوي على اي كود خبيث ويتصل بعدة VPS امنة تابعة للهكرزاو المبرمج من بورتات امنة ..
طبعا يقوم بقراءة اولية للذاكرة للتعرف السريع على نوع النظام والحماية...

ثانيا : لاحقا يقوم المبرمج بتحميل برنامج بصورة خفية الى جهاز الضحية يقوم بقراءة جميع الملفات التي تعمل في الذاكرة وبالتالي يتم التعرف على نوع النظام ونوع الحماية ....ويرسل هذه البيانات الى احد ال VPS التابعة له...

الخطوة الثالثة: بناء على نوع النظام ونوع الحماية يقوم المبرمج بعمل فيروس خاص من اجل الاختراق لتخطي النظام وبرنامج الحماية المنصب على جهازك قد تحدث هذه العملية بعد ساعات بعد يوم بعد يومين لا اعرف لكنهم يتبعون طرق واستراتيجيات معينة في الهجوم....

من يستطيع القيام بذلك , هم فئة قليلة لا تتعدي ال 3 % او 5% من الهكرز هم خبراء في البرمجة وفي انظمة التشغيل وموجودون فقط في اوروبا والولايات المتحدة !!!


قام بارسال بيانات عبر الانترنت


349b99625b0bf3767b217c94ee754939.jpg



بعدها بعشر دقائق تلقي الرد


3d484ee6435e6e828757c11cf365fc54.jpg


ما علاقة ذلك بالتولبار ؟؟

مجرد وجهة نظر ولكن المتاكد منة ان شركات الحماية ليس قوية ومحصنة 100% هي بالدرجة الاولي مادية 100% ايضا كما هي تتطور ايضا طرق القرصنة تتطور وبشكل مخيف وهنالك طرق غير ذلك وكثيرة لتخطي اي نظام او برنامج حماية حيث ان شركات الحماية متاخرة خلف القرصنة وهي عادة من ترقع بعد الاصابة.... و المصيبة انها تتعرض للدعس كل كم شهر من اطفال الهكرز فما بالك بمبرمجين محترفين !!!!

على العموم من يقول ني اتلفت الاجهزة او تسببت بضرر اولا لم اطلب من اي احد ان يجرب على نظامه الحقيقي ثانيا الاخ المصري هو من سالني ماذا يفعل وانا نصحتة ان يفرمت الوندوز فقط من باب الاحتياط خوفا عليه - درهم وقاية خير من قنطار علاج - فقط لا غير ولا ضرر في تنصيب وندوز جديد من باب الاحتياط...

ومن تضرر نفسيا اعتذر منه واطلب منه السماح ......:b:

في امان الله

ملاحظة : VPS: Virtual Private Server
أنقر للتوسيع...

اخي هيثم هذا الملف لا علاقه له باي نوع من انواع الروتكيت واتحدى اي شخص يثبت ذلك بالبرهان
اذا كان الحصان الذهبي يستطيع تحليل سلوكه ورصده بسهوله كاي سلوك خبيث فهل تعجز شركات ومختبرات الحمايه عن هذا !!
كاسبر سكي لديها اكثر من 2000 خبير في مجال التحليل والامن
عند فحص الكود على سبيل المثال يتم فحص كل شيء فيه وليس فحص عادي كفحص الكود الخبيث فان لا يحتوي كود يتم الحكم عليه بانه فيروس !! بالطبع لا
على سبيل المثال trojan downloader لا يحتوي على اي كود خبيث لانه فقط يقوم بتحميل ملفات خبيثه من الانترنت
عندما يتم تحليل الكود يتم فحص العناوين التي يقوم بالاتصال فيها ومن تلك العناوين يتم تحليل الملفات الموجوده على سيرفر ذلك العنوان وبالتالي يحكم عليه بانه داون لودر وبهذه الطريقه يتم تمييز الملفات التي تقوم بتحميل المفاتيح مثلا على انها امنه لانها تتصل بعناوين ليست مصابه

ناتي لهذا الملف في الموضوع دعك من سلوك الحصان الذهبي فالملف ببساطه مكشوف من الجدران الناريه والعنوان الذي يتصل فيه واضح جدا وليس سيرفر مخفي او وهمي او ماشابه لاحظ لان رسائل الحصان لا تحتوي على معلومات اضافيه
يتصل على عنوان update.loadtube.com

اولا رسالة الحصان التي تفيد انه سبايوير او باك دور هذا لان الملف قام بالخفاء بتثبيت ملفات dll واضافه للمتصفحات وهذا ما تفعله ملفات التجسس او الادوير وكل هذا بالخفاء لان التولبار سيثبت بغير علم المستخدم مع مراعاة ان هناك متصفحات ستكشف الاضافه والحكم للمستخدم

52a94ca186ae3c09edd3ae47cd777e70.png


ثانيا رسالة الحصان الذهبي التي تفيد تحميل معلومات مخفية عن طريق الانترنت قام برصدها الكاسبر برساله واضحه جدا وهي ان الملف يرسل ويستقبل بيانات خفيه للانترنت عن طريق dns لكن العنوان ما هو !! واضح جدا في الرساله

e7502f7e7215bf78db398ef071134e63.png


هل هذا هو ال vps!!!

ثانيا يتصل على عناوين اخرى وتعتبر امنه

4edb8235f6dcd293b525b5c7ad361190.png


ccea0b089f1bde15b9fa5d01d1c01e89.png


b3b8d1c49d472e07e951df2cefff8bc6.png


كل ما في الامر ان الملف يتصل على عنوان لتحميل تولبار احدث وموجود على عنوان اخر ايضا

ab4ba78f2af7fc9fd1f5f0a4b51fc0f5.png


ما هذا الروتكيت الذي تتحدث عنه ويستطيع اي جدا ناري وحتى محلل سلوك الحصان ان يرصده !!

سلملي على صديقك الهولندي :q::d:








 
توقيع : wajdi abu lail
amiral3azab قال:
اخي هيثم هذا الملف لا علاقه له باي نوع من انواع الروتكيت واتحدى اي شخص يثبت ذلك بالبرهان
اذا كان الحصان الذهبي يستطيع تحليل سلوكه ورصده بسهوله كاي سلوك خبيث فهل تعجز شركات ومختبرات الحمايه عن هذا !!
كاسبر سكي لديها اكثر من 2000 خبير في مجال التحليل والامن
عند فحص الكود على سبيل المثال يتم فحص كل شيء فيه وليس فحص عادي كفحص الكود الخبيث فان لا يحتوي كود يتم الحكم عليه بانه فيروس !! بالطبع لا
على سبيل المثال trojan downloader لا يحتوي على اي كود خبيث لانه فقط يقوم بتحميل ملفات خبيثه من الانترنت
عندما يتم تحليل الكود يتم فحص العناوين التي يقوم بالاتصال فيها ومن تلك العناوين يتم تحليل الملفات الموجوده على سيرفر ذلك العنوان وبالتالي يحكم عليه بانه داون لودر وبهذه الطريقه يتم تمييز الملفات التي تقوم بتحميل المفاتيح مثلا على انها امنه لانها تتصل بعناوين ليست مصابه

ناتي لهذا الملف في الموضوع دعك من سلوك الحصان الذهبي فالملف ببساطه مكشوف من الجدران الناريه والعنوان الذي يتصل فيه واضح جدا وليس سيرفر مخفي او وهمي او ماشابه لاحظ لان رسائل الحصان لا تحتوي على معلومات اضافيه
يتصل على عنوان update.loadtube.com

اولا رسالة الحصان التي تفيد انه سبايوير او باك دور هذا لان الملف قام بالخفاء بتثبيت ملفات dll واضافه للمتصفحات وهذا ما تفعله ملفات التجسس او الادوير وكل هذا بالخفاء لان التولبار سيثبت بغير علم المستخدم مع مراعاة ان هناك متصفحات ستكشف الاضافه والحكم للمستخدم

52a94ca186ae3c09edd3ae47cd777e70.png


ثانيا رسالة الحصان الذهبي التي تفيد تحميل معلومات مخفية عن طريق الانترنت قام برصدها الكاسبر برساله واضحه جدا وهي ان الملف يرسل ويستقبل بيانات خفيه للانترنت عن طريق dns لكن العنوان ما هو !! واضح جدا في الرساله

e7502f7e7215bf78db398ef071134e63.png


هل هذا هو ال vps!!!

ثانيا يتصل على عناوين اخرى وتعتبر امنه

4edb8235f6dcd293b525b5c7ad361190.png


ccea0b089f1bde15b9fa5d01d1c01e89.png


b3b8d1c49d472e07e951df2cefff8bc6.png


كل ما في الامر ان الملف يتصل على عنوان لتحميل تولبار احدث وموجود على عنوان اخر ايضا

ab4ba78f2af7fc9fd1f5f0a4b51fc0f5.png


ما هذا الروتكيت الذي تتحدث عنه ويستطيع اي جدا ناري وحتى محلل سلوك الحصان ان يرصده !!

سلملي على صديقك الهولندي :q::d:








أنقر للتوسيع...


هلا اخوي وجدي راجع تعليقي السابق , قبل الاخير , انا اثق بنتائج المختبرات ولا املك الجرأة للتعليق على اي مختبر مهما كانت النتائج ولا اقول انه روتكيت ولكن ذكرت احد طرق القرصنة التي يلجأ اليها الهكرز المحترفين باستخدام ملف نظيف على سبيل المثال...فقط :q:

وبالنسبة للتولبار موجود مع الملفات tb.dll في نفس المجلد انا ذكرت الحصان على سبيل المثال فقط ؟!

و بارك الله فيك على مشاركتك الفعالة :smile:
 
توقيع : haitham653
سوف أنتظر الرد من أى شخص :

الأخ الكريم مصرى ولى الفخر ذكر أن تم حدوث مشاكل فى جهازه

والان تقولون الملف نظيف طيب كيف تم اصابه جهاز مصرى ولى الفخر ؟ سحر ؟
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى