• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

باكدور للتشغيل والتحليل (ليس للفحص)

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,502
الحالة
مغلق و غير مفتوح للمزيد من الردود.
بنادول قال:
بارك الله فيك يا غالي على التوضيح

رغم علمي يقينآ أني لن أتوصل لشئ فأنت الأستاذ ونحن طلابك

ما أنا إلا مجرد متعلم أحاول أن أحمي نفسي ومن حولي من أخطار النت
أنقر للتوسيع...
بارك الله فيك اخي

كلنا هنا نتعلم وونتبادل ما نتعلمه(المنتديات فيها نتبادل الخبرات)

الامر الذي اشير اليه ليس لغزا او صعبا فقط يحتاج للتركيز بالصوره
 

توقيع : m0d!s@r7@n
اين برامج الهيبس
اتوقع انها تكشف طريقه عمل الباكدور
 
توقيع : m0d!s@r7@n
السلام عليكم

بحسب الفحص بموقع Joe Sandbox فلا يوجد فرق بين الملفان

مع العلم بإن التحليل يشير إن الملفين مشتبه بهم كـ باك دور

رابط تحليل ملف portmon.exe من ( هنا )
رابط تحليل ملف zyzoomnew.exe من ( هنا )

:: تحياتي ::
 
توقيع : Abdulmuhaimen
modysarhan قال:
اين برامج الهيبس
اتوقع انها تكشف طريقه عمل الباكدور
أنقر للتوسيع...


اسف اخى على التأخير ... لم الاحظ الموضوع .. عذرا منك ..

فكرتها رائعه .. خصوصا ان الجدار فقط هو من يتحرك ... بالنسبه ليا تشفيره قويه لان لو مستخدم ضعيف سيوافق على الاتصال مباشره .. فتنبيهات محلل السلوك لا تظهر الى بعد الاتصال اولا ..

تبدو كما لو انك تصنع تشفيره موقع رقميا ... ولكن نصفها فقط هو من وقُع رقميا ... والاخر اظهر به الانتى فيرس تنبيه

tid8.png



... ياريت بعد كده تعمل لينا اشاره فى الموضوع فى او رد ... للاشخاص دائمى التجربه .. عشان ننتبه بسرعه للتشفيره .. ونكون اسرع .. فى التحليل ..

اخونا مصطفى يلفت نظرنا برسالته ... انت ايضا .. ابقى اعملنا اشاره او رساله ... عشان نتجمع سريع ... بالتوفيق لك دوما وبانتظار جديدك
 
توقيع : Mя.Soul
Mohimen قال:
السلام عليكم

بحسب الفحص بموقع Joe Sandbox فلا يوجد فرق بين الملفان

مع العلم بإن التحليل يشير إن الملفين مشتبه بهم كـ باك دور

رابط تحليل ملف portmon.exe من ( هنا )
رابط تحليل ملف zyzoomnew.exe من ( هنا )

:: تحياتي ::
أنقر للتوسيع...
دا اللغز بالملف
خصائص الملفين متشابهان الا ان احدهم باكدور والاخر ملف سلبم لا شك فيه -من تطوير وتوقيع الميكروسوفت نفسها
الذي يدل علي ان الملفين مختلفان تماما الهاش مختلف ونتيجه فحص الملفين علي الفايروس توتال مختلف كما ذكرته انفا
 
توقيع : m0d!s@r7@n
ahmed antivirus قال:
اسف اخى على التأخير ... لم الاحظ الموضوع .. عذرا منك ..

فكرتها رائعه .. خصوصا ان الجدار فقط هو من يتحرك ... بالنسبه ليا تشفيره قويه لان لو مستخدم ضعيف سيوافق على الاتصال مباشره .. فتنبيهات محلل السلوك لا تظهر الى بعد الاتصال اولا ..

أنقر للتوسيع...
اقتربت كثيرا من كشف الطريقه التي يعمل بها الباكدور (ملاحظه متمرس)
 
توقيع : m0d!s@r7@n
ازيك يا غالي كيف حالك

الاحصان والارمور

مكشوف من الحصان
Jr1Ez.png


تم اغلاق الحماية والتشغيل

التقطة الارمور بالرسالة الحمراء
F7X68.png

عملت سماح بدون تقيد
بالرغم من ذلك قام بتقيدة وحجب السلوكيات
واظهر الاتصال فقط
NtF9G.png

بلوك وانتهي
 
توقيع : pro george
الاداة الاصلية عند تشغيلها
تم السماح لها بالعمل بدون تنبيه لانها في الوايت ليست بتاع الارمور
بلا اتصال
UvLcS.png
 
توقيع : pro george
pro george قال:
ازيك يا غالي كيف حالك

الاحصان والارمور

مكشوف من الحصان
Jr1Ez.png


تم اغلاق الحماية والتشغيل

التقطة الارمور بالرسالة الحمراء
F7X68.png

عملت سماح بدون تقيد
بالرغم من ذلك قام بتقيدة وحجب السلوكيات
واظهر الاتصال فقط
NtF9G.png

بلوك وانتهي
أنقر للتوسيع...
pro george قال:
الاداة الاصلية عند تشغيلها
تم السماح لها بالعمل بدون تنبيه لانها في الوايت ليست بتاع الارمور
بلا اتصال
UvLcS.png
أنقر للتوسيع...
(y)
انت الوحيد اللي شغلت الملفين
دليل ان الملفان مختلفان تماما الاول يقوم بالاتصال والثاني لانه سليم لا اتصال له
الم يسترعي انتباهك الملف الذي يقوم بالاتصال;)
 
توقيع : m0d!s@r7@n
modysarhan قال:
(y)
انت الوحيد اللي شغلت الملفين
دليل ان الملفان مختلفان تماما الاول يقوم بالاتصال والثاني لانه سليم لا اتصال له
الم يسترعي انتباهك الملف الذي يقوم بالاتصال;)
أنقر للتوسيع...
في حاجة كمان الملفان عند تشغيلهم يعطيك الرسالة
بتاعة الموافقةagree
ليحسسك ان الملف موثوق
والملف من شركة
 
توقيع : pro george
Mohimen قال:
السلام عليكم

بحسب الفحص بموقع Joe Sandbox فلا يوجد فرق بين الملفان

مع العلم بإن التحليل يشير إن الملفين مشتبه بهم كـ باك دور

رابط تحليل ملف portmon.exe من ( هنا )
رابط تحليل ملف zyzoomnew.exe من ( هنا )

:: تحياتي ::
أنقر للتوسيع...
الموقع هذا اسطوري ويستخدم تقنيات حديثه جدا للفحص الا انه يحتاج لبعض الخبره

هنا الموقع كشف حقيقه الملف وما يقوم به بالفعل
1.webp


هذا نتيجه فحص الملف الباكدور قارن بينه وبين الملف السليم

2.webp


ارجو ان تكونوا لاحظتم الفرق بين عمل الملفين بالذاكره:D(y)
 
توقيع : m0d!s@r7@n
الطريقه التي يعمل بها هذا الباكدور

اولا هذا النوع من الباكدور يتم عمله بطريقه تسمي طريقه الترقيع

وهي عباره عن حقن شل كود في ملف تنفيذي

لعمل باكدور بهذه الطريقه عده طرق

الطريقه المستخدمه هنا باستبدال قيم الاكواد الموجوده بالملف التنفيذي (مثل بالصوره) باكواد الشل كود نفسه

slide-31-638.webp


هذه الطريقه لها العديد من المزايا اهمها انها تجعل ملف الباكدور له نفس مواصفات وخصائص الملف الاصلي حتي طريقه العمل تتشابه تفريبا ولا يمكن ملاحظتها بسهوله

اذا لاحظنا تجارب الاخوه هنا -الذين رصدوا اتصال الملف كم في تجربه اخونا احمد

tid8.webp


اذا دققنا النظر بالملف الذي يقوم بالتصال سنجده الملف الاصلي -كان الباكور ليس موجودا اصلا ولا توجد طريقه سواء دمج او تلغيم او الخ تجعل الملف الاصلي هو من يقوم بالاتصال (ولذا قلت ان هذه الطريقه غايه في الاحتراف)

الامر الثاني هو كيف يعمل الباكدور نفسه

قلنا انه عباره عن شل كود محقون بالملف التنفيذي ويعمل من خلال الحقن المباشر في ذاكره الجهاز لذا لن تجد له اي اثر الا اذا قمت بفحص عمليات الملف بالذاكره كما هنا

1.webp

اذا لاحظنا العمليه الاولي للملف بذاكره الجهاز نجدها من نوع virtualalloc وهذه هي الطريقه التي يحقن بها الشل كود نفسه بالذاكره ولاحظوا اخواني تحت بند protection نجدمكتوب هنا ان الملف يقوم بعمليه execute لانه يصل للذاكره علي هيئه مضغوطه ويقوم باستخراج الاكواد بالذاكره نفسها وهذا ما يسمي الحقن بالذاكره

الي ان نلتقي بمواضيع جديده وطرق حصريه
 
توقيع : m0d!s@r7@n
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى