شـرح خاص بـ اداة تنظيف الكمودو​
op-comodo-cleaning_new.png
أولاً نقوم بتحميل أداة التنظيف الشهيـرة الخاصة بالكمودو​
32 بت .. التحميل من

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

64 بت .. التحميـل من

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

بعد التحميل قم بفك ظغط الملف .. بآستخدام الوينرار أو غيره ..
شـرح الاستخدام من الـ Command-Line-Interface
أولاً نشغل الدوس كمسؤؤل ..​
ثانياً .. آمـر تشغيل الملف

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
..
الان مثال تعيين مجلد الاداة .. الذي يحتوي على ملف CCE.exe وهو مسار العمـل ..

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


وقبل وضع الكود أعلاه .. قم بمراعاة أين مسار الملف ..


نتابع .. باقي الاوامر الهامـة

مشاهدة المرفق 18465

أمـر فتح المساعدة الـ Help ..

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



نفـس الامر السابق
حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
help- = الامر المرسل " هنا .. فتح صفحـة المساعدة "
مثال ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


وبعد تنفيذ الامر سيقوم بفتح هذا الموقع {

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

}

نتابع باقي الاوامر الهامـة

مشاهدة المرفق 18465

أمر عمل تحديث لقاعدة البيانات Update


يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
u- = آلامر المرسل " هنا .. التحديث "
..
الان مثال تعيين مجلد الاداة .. الذي يحتوي على ملف CCE.exe وهو مسار العمـل ..

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


تلقائياً ستبدأ الاداة بالعمل " و قد تقوم بعمل تحديث "
وقبل وضع الكود أعلاه .. قم بمراعاة أين مسار الملف ..
صورة للتطبيق ;

مشاهدة المرفق 18466


مشاهدة المرفق 18465

أوامر الفحـص ;

تشغيل الفحص " الذكي "

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
-smart = الامر المرسل " هنا .. الفحـص الذكي "
مثال :

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


..

أمر الفحـص المخصص ;

الامر هـو الاكثر تعقيداً :D
ولكن سنشرحه ..

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


حيث يوجد هنـا خصائص و أوامر معينة وهذه توضيحاتهـا ;
File path = مسار الملف
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
scan parameter = خصائص ووظائف ميعنة يمكنك آضافتها .. سآوضحهـا لاحقاً أكثـر ..

..

مثال ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


حيـث هنـا ليس مثال كامل بالتحديث و إنما فيه أمور مثل
scan attribute = من خصائص الفحـص
scan option = من إعدادت الفحص
drive letter = البارتشين مثل : C
file path = مسار الملـف ..
..
الان توضيح خواص الفحـص .. وهي موجودة في الفحص المخصص :D
وهذه الصورة فيهـا كل شيئ ممكن آختياره من خواص الفحـص ..

مشاهدة المرفق 18468

إعدادت الفحص مشابهة للخواص وهذه صورة كاملة توضحه الممكن آختياره;

مشاهدة المرفق 18469

..

والان بعد الاطلاع على الخواص و الاعدادت يمكنك وضع الامر لعمل فحص مخصص ب الاعدادت و الخواص التي تريدهـا
..
أمثلـة ;

لعمل فحص للذاكرة عند بدء التشغيل و الملفات المخفية في القرص C و المناطق الحرجة و ملفات البووت
فالامر يجب إن يكون ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


..

أمر لفحص الملف ; 'C:\Program Files'

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


أتمنى أكون وضحـت الفكرة و للمزيد { تفضل

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

}

نتابع آخر آمر

مشاهدة المرفق 18465

آمر الفحص الكامل للنظام ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

حيث
File path = مسار الملف الذي يخص أداة الكمودو
executable = الملف التنفيذي الخاص بآداة التنظيف و غالباً يكون إسمه CCE
s- = آلامر المرسل " هنا .. الفحـص "

مثال ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


..

لتشغيل الفحص " العدائي .."
حيث سيقوم الكمودو بعمل فحص و عمل كل اللازم لتنظيف الفيروسات المكتشفة " مثل عمل ريستارت .."

كل ما عليك آضافته هـو

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

إلى آمر الفحص الكامل , الموضح اعلاه ..
مثال ;

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


مشاهدة المرفق 18465

تـم بحمد الله
بالتوفيق للجميع

مشاهدة المرفق 18471
 

توقيع : .: OMAR :.
نعود إلـى عالم التصميم :D

لتواصل معنا.png


ئ11.png
:P
 
توقيع : .: OMAR :.
89412277.gif
 
توقيع : .: OMAR :.
مدونتي موثوقة من شركة الكاسبرسكاي o_O :ROFLMAO:

image7
 
توقيع : .: OMAR :.
النسخ الاحدث لنورتن تحمل رقم Norton 2013 20.4.0.40

العربية :

انتي فايروس :

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



سكيورتي :

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



نورتن 360 :

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



وبقية اللغات يتم التعديل بنفس الرابط من AR الى FR للغة الفرنسيه
ومن AR الى EN للانجليزيه

..

مسروقة من الغآلي بروتكشين :love:
 
توقيع : .: OMAR :.
من كنوز زيزوووم القديمة .. و أحببت إعادة نشرها هنا :D
- فهم آلية عمل الفيروسات والبرامج الخبيثه & عمل التقارير وتحليلها

أهم أمرين في تصميم الفايروس هما
1 - انتقاله وانتشاره ( وهذا لا يعنينا لأن الاصابه حدثت بالفعل :er: )
2 - ضمان بدء تشغيله تلقائيا مع بدء تحميل النظام , في كل مره يتم تشغيل الجهاز ( وهذا هو المهم لنا )

كيف يبدأ تشغيل الفايروس تلقائيا مع بدء تحميل النظام ؟

إما ان الفايروس يكون دامج نفسه بملفات النظام التشغيليه
وفي هذه الحاله ... لا تقارير هايجاك ولا كمبو فيكس ولا خرابيط :d: يقدر يفيدنا
اللهم ... التقارير بواسطة برامج الحماية
وحاليا هذه النوعيه ... نادره

أو ان الفايروس مستقل :p: وله ملفاته الخاصه
بحيث يبدأ تشغيله كـ خدمه للنظام وتكون تلقائيا التشغيل ..
او من مفتاح في مسجل النظام
او احد مجلدات بدء التشغيل Startup


مميزات " ملفات " الفيروسات والبرامج الخبيثه المستقله :q:
1 - بدون شهاده رقميه
2 - في الغالب تحمل اسماء لملفات النظام المشهوره ( وليست بمساراتها الاصليه )
3 - تاريخ انشائها على الجهاز المصاب .. يكون حديث نوعا ما ( اسبوع او قل )
4 - غالبا تكون مخفيه

zyzoom-7d82d6ffec.gif



طرق الكشف عن الفيروسات والبرامج الخبيثه ( عمل التقارير وتحليلها )

اولاا / باستخدام برامج الحمايه ( لكشف جميع انواع الفيروسات والبرامج الخبيثه ما عدا الباتشات المشفره )
نستخدم برامج الحمايه في الفحص وعمل التقارير ... وخصوصا البورتابل منها
كـ مكافي مثلا وباستخدام طريقة الفحص عند الطلب On-Demand Scanner
ولماذا المكافي بالذات ... لقوته في التخلص من الفيروسات النشطه بالذاكره
اصلااح ما تفسده هذه الفيروسات لمسجل النظام ... والأهم ميزته الرهيبه
بالتخلص من الفايروس المتعدد ( الذي عند حذفه بالطرق التقليديه يرجع مره أخرى :?: )


>>>>>>> طب يابني :d: قبل ما تسترسل بكلاام :cr: مواقع الفحص مالها ... ما تنفع !! ؟؟

في وقتنا الحالي ... كثير من الفيروسات .. تعمل على منع تصفح مواقع الحمايه :u:
وحتى بعضها يعمل بلوك عليها ويمنع عمل تحديث للويندوز


ايووه ... نعود لمحور حديثنا :hh:
مثلاا عندي جهاز مصاب ... وتم استخدام المكافي لفحصه وعمل تقرير له
راح يظهر لي التقرير بهذا الشكل

i44365_mcafee-report.png


شفتو ... وش قد السالفه سهله :d: وكل اشي جاهز بدون تحليل وبدون وجع راس :hh:


zyzoom-7d82d6ffec.gif



ثانيا / استخدام ادوات عمل التقارير ( لكشف الباتشات المشفره )

راح نتعلم على استخدام اكثر من اداه ... وان هضمتوهن :hh: راح تكونو مبدعين بالكشف عن الباتشات المشفره
لكن يجب ان يكون عندكم خبره لاباس بها بأسماء ملفات البرامج العامه وملفات النظام
او باستخدام هذه المواقع ... لمعرفة الملفات السليمه ( ملفات برامج عامه او نظام التشغيل )

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي




ومن أهم الادوات لعمل تقارير للكشف عن الباتشات المشفره
الاداة / Silent Runners.vbs
مثلاا / عندي جهاز مصاب بباتش مشفر ... وبعد عمل تقرير باداة Silent Runners.vbs
وفي قسم بدء التشغيل ... ظهر لي التالي

i44377_runners.png


وبعد التأكد من قائمة الملفات والتي تظهر ببدء التشغيل للنظام
ظهر لي مدخل واحد .. يحتوي على ملف غريب وهو
C:\WINDOWS\system32:allg.exe

وبعد تحليله بموقع فايروس توتل ... ظهر لي انه باتش
وأهم شئ .. حجمه صغير جدا ومخفي على شكل streams

zyzoom-7d82d6ffec.gif


الاداة / Runscanner
اداة مفيده جدا ... لعمل عدة تقارير ... ومن أهمها في مجال كشف الباتشات المشفره
عمل تقرير لملفات بدء التشغيل مع التوضيح .. هل الملف يحمل توقيع رقمي او لاا
ويفيدنا هذا بتقليل قائمة الملفات التي نحللها ...

وهنا مثال على نفس الباتش السابق

i44654_runscanner.png


ومن التقرير نلااحظ التالي /
له مفتاح بدء تشغيل
الملف مخفي
الملف لا يحتوي على توقيع رقمي

بعد الملااحظات السابقه ... ازداد الشك بان الملف مشبووه جدا :hh:
وتوجد بالاداة خاصية فحص الملفات مباشره بموقع فايروس توتال
كلك يمين على القيمه التي فيها هذا الملف .. واختر Upload file to VirusTotal
وراح ينرفع الملف ... ولحظات ويظهر لك التقرير

i44664_runscanner-1.png



zyzoom-7d82d6ffec.gif


تحليل الملف لمعرفة سلوكه
طيب واذا الهكرز عفن شوي :d: ومشفره على جميع برامج الحماية
في هذه الحالة ... نقوم بتحليل نفس الملف :?: ونرى هل صحيح باتش او ملف سليم
من خلاال سلوك الملف عند تشغيله وماذا يعمل بالنظام
.... وهنا مثال على نفس الباتش السابق
نفتح هذا الموقع

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


ونرفع الملف ... وننتظر حتى ينتهي الموقع من تحليله
ويظهر لنا التقرير ... كما هو واضح هنا

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



وش يقول التقرير :hh:
الملف ... ينشئ مفتاح بمسجل النظام ( هذا طبيعي لأغلب البرمج )
الملف ... ينشئ قيمة لذلك المفتاح والملف ومساره مخفي ( هذا مو طبيعي :eek:k: )
الملف ... يحذف نفسه بعد التشغيل ( طبيعي وبنفس الوقت موطبيعي :?: )
الملف ... يحقن نفسه في الانترنت اكسبلورر ( لا والله مو طبيعي :d: )
ويقول بالنهايه ان هذا الملف .. يسلك سلوك الباتش Backdoor.Win32..PoisonIvy.Gen


.







.

( انتهى الدرس ... وسوف نبدأ بالتطبيق :hh: )
 
توقيع : .: OMAR :.
^

تكلمة للدرس أعلاه .. التطبيق ;


إستخدام المكافي باحتراف :d: لكشف عن الفيروسات والبرامج الخبيثه ولعمل التقارير فقط


البرامج والملفات المطلوبه للتطبيق

1 - المكافي للفحص من سطر الاوامر بالسكان انجن 5.4

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



2 - ملف تحديثات المكافي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



ولمعرفة الملف المطلوب نعمل كما بهذه الصوره

i44884_mcafee.png


3 - برنامج الونرار

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



4 - فايروس للتطبيق عليه ( يصلك على الخاص بخدمة الدليفري :d: )


zyzoom-7d82d6ffec.gif



السيناريو والحوار :hh:

1 - نقوم بتشغيل ملف الفايروس

2 - نقوم بتثبيت برنامج الونرار ( لمن لا يوجد لديه البرنامج )

3 - نستخرج الملفات من vwin540e.zip

4 - نستخرج الملفات من ملف التحديثات

5 - ننسخ جميع الملفات المستخرجه من ملف التحديثات ... ونلصقها
على الملفات المستخرجه من الملف vwin540e.zip ونقبل رسالة الاستبدال

6 - نقوم بتغيير اسم ملف الفحص scan.exe الى مثلاا run.exe ( حتى لا تكتشفه الفيروسات )

7 - نحدد جميع الملفات وبالماوس كلك يمين ونختار Add to archive

i44890_rar1.png



8 - نقوم بالتأشير على Create SFX archive و Create solid archive

i44892_rar2.png



9 - نفتح التبويب Advanced ونظغط على SFX options

i44893_rar3.png


10 - نحدد مكان استخراج الملفات ... وهنا مثلا C:\xxxc
ونضع ايضا امر التنفيذ بعد استخراج الملفات
ومثل ما ذكرنا سابقاا ... تم تغيير اسم ملف الفحص الى run.exe
والامر لعمل الفحص لجميع المحركات وعمل تقرير بالعمليه
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
نضعه في Run after extraction

i44894_rar4.png



11 - نفتح التبويب Modes ونؤشر على Hide all

i44899_rar5.png


12 - نفتح التبويب Update ونؤشر كما بالصوره
وبعدها نضغط OK

i44900_rar6.png



13 - نضغط على OK حتى يتم انشاء الملف المضغوط

zyzoom-7d82d6ffec.gif


شرح اوامر اداة المكافي ... والموجود بالخطوه - 11 -

run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
run.exe
ملف الفحص

adl
الفحص في جميع محركات الاقراص

all
فحص جميع الملفات

sub
الفحص بالمجلدات وما بداخلها من مجلدات وملفات

mime
تفعيل الفحص في الملفات نوع mime

streams
الفحص في الستريمز لنظام ملفات ntfs

allole
تفعيل الفحص في الملفات نوع allole

append
اضافة التقرير لتقرير سابق

report c:\mcafee.txt
عمل تقرير باسم mcafee.txt وحفظه بمحرك الاقراص سي

nobreak
منع الفيروسات من ايقاف عملية الفحص

zyzoom-7d82d6ffec.gif


وبالطريقة السابقه نعمل ... اداة المكافي كـ بورتابل
واهم شئ انها ... تشتغل حتى ولو ان الدوس ممنوع تشغيله بواسطة احد الفيروسات




...


أتمنى إن تكونوا آستفدتم .. :rolleyes:

ولا تنسوا الدعاء لـ الاخ الغآلي زيزووووم .. :love:
 
توقيع : .: OMAR :.
أتصفح أحد المنتديات التي أتصفحها بشكل دوري .. و أشارك بهـا << :p

..

فأجد أحد طرح مشكلة في قسم الصيانة .. فطلبوا منه عمل فحص مالويربايتس .. والنتيجة كااانت ;

untitled.png



صدقوني ... نصف أجهزة العرب .. تكون مصابة بهذا الشكل المرعب .. ههههههههه

خخخخخخخخخخخخخ

تحياتي
 
توقيع : .: OMAR :.
شكراً لكم اخواني الغاليين ع التقييم و الاعجاب ..
إسئل الله إن يرفع قدركم و يحرم وجهكم عن النار ..
 
توقيع : .: OMAR :.
جاري العمل على مجموعة شروحات آحترافية .. إن شاء الله قريباً << بلاش هياط يا إبني
:D
 
توقيع : .: OMAR :.
شرح بسيط لـ أسطوانة النود ..
حملها أولاً من هنا :

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



بعد الاقلاع من الاسطوانة أظغط Enter عند شاشة الدوس السوداء .. لتبدأ الاسطوانة ب العمل :

19051
19052
19053
19054
19055
19056

ولـ إطفائها عن طريق زر الـ x
:D

..

تحياتي للجميع
 
توقيع : .: OMAR :.
خاص لـ إرفاق الملفات :D
 

المرفقات

توقيع : .: OMAR :.
طيب , نبدأ في دورة بسيطة سريعة ... تحميل كل الادوات اللازمة لعمل تجارب العينات :sneaky:
"-نسخة محدثة-"​
..​
آنتظروووووني​
:D
 
توقيع : .: OMAR :.
^
الادوات المطلوبة :​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

..​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

..​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

..​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

أكيد يوجد غيرهاا الكثير من الادوات , ولكننا سنكتفي بهذه للوقت الحالي :D
يتبع ..
 
توقيع : .: OMAR :.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



خلاص ! , س أتواصل مع الاخوة الاداريين و مشرفي قسم الحماية :p
لكي نجدد الموضوع هنا :http://forum.zyzoom.net/threads/115068/
موضوع رائع جداً و مفيد . و مر عليه الزمن و أغلب روابطه عطبت .. لذلك يستحق التجديد
قريباً إن شاء الله
..
وأعتذر عن الغياب في الفترة الماضيـة .. بسبب تقطع آتصال الانترنت
والله الموفق .. :love:
 
توقيع : .: OMAR :.
7000 الاف آعجاب​
sunglasses2.gif
eyelove.gif
uzi.gif
biggrinparty.gif
3.gif
 
توقيع : .: OMAR :.
مشروع : # تعريب بايدو أنتي فيروس_​
2013-07-06_155045.webp
 
توقيع : .: OMAR :.

أسأل الله الذي
أهل الهلال
وأرسى الجبال
أن يبلغك رمضان
وأنت في أحسن حال
رمضان كريم​
وكل عام وأنتم بخيـر​
 
توقيع : .: OMAR :.
"إذا سلمت من الوحش فلا تحاول اصطياده"
 
توقيع : .: OMAR :.
(لا تجادل بليغاً ولا سفيهاً .. فالبليغ يغلبك والسفيه يؤذيك)
 
توقيع : .: OMAR :.
عودة
أعلى