• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

باكدور مميز

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,669
الحالة
مغلق و غير مفتوح للمزيد من الردود.
على فكره النظام عباره عن عمليات ( مثل الاب والام )
تندرج من تحتها البرامج ( الخدمات )

وبالكاسبر نقدر نروح للأب ونقول اي تحرك لاي برنامج تحتك ( حتى لو كان موثوق ) راح يرصده
وهذي مثل رصد ماقبل التشغيل انا اطبقها عشان ينبهني النظام ان البرنامج الفلاني راح يشتغل

ف انقر على مسار البرنامج لرفعه فايروس توتال + من نفس النافذ (نافذة تنبيه الكاسبر ) ادخل للصلاحيات

ف يتكتف ( تكتيف البرنامج ) قبل حتى التشغيل


...

طبعا ً العمليه ( الاب ) راح تتعامل بشكلين ( ان كنت مفعل الوثوق بالتواقيع او لا ) وهنا يجي ابداع الكاسبر


...
 

توقيع : الخفـوق
alaa8iniesta قال:
Private Firewall

التعديل علي الريجستري المحمي

iGElMb.png



سلووك حقن .. بوصف البرنامج

iSqjyA.png




ثم الاتصال ..

P7pEk2.png



;)
أنقر للتوسيع...

Network injection

مُكتشف من وحدة NIPS
Network Instruction Prevention System

,,وهي تشبه الهيبس في عملها~

تعتمد على تحليل سلوكيات الوصول الى الشَّبكة ~

لكنها لاتعترض الاتصال وتُفلتره مثل الفايروول |~

يَعني مَلف يُريد فَتح بُورت في الجهاز~

دا سُلوك

لكن لحد دلوقتي المَلف مش أتصل بالنت ~

مُكن يكون بيفتح بُورت عَلشان يخلي تروجان تاني أو ملف تاني يتصل بالهكر~

طيب في الحآلة دي ~

الـNIPS حَـ تقول :-

أكتشاف ملف يحاول فَتح بورت في الجهاز (حَ تكتشف الملف الاول الي فتح البروت لكن مش حـ َتكتشف الملف الي بيتصل بالنت )

أنما الفايروول :-

أكتشاف مَلف يُحاول الأتصال بالأنترنت (حَ تكتشف الملف الثاني الي الملف الأول فتح له البورت )


|الملف الأول |=============> يحاول فتح بورت في الجهاز ( NIPS)

|الملف الثاني| ============> يتصل بالنت من البورت الي فتحه الملف الأول (FIREWALL)

جامد أأنيستا (y):sneaky:

~
 
توقيع : MagicianMiDo32
الخفـوق قال:
على فكره النظام عباره عن عمليات ( مثل الاب والام )
تندرج من تحتها البرامج ( الخدمات )

وبالكاسبر نقدر نروح للأب ونقول اي تحرك لاي برنامج تحتك ( حتى لو كان موثوق ) راح يرصده
وهذي مثل رصد ماقبل التشغيل انا اطبقها عشان ينبهني النظام ان البرنامج الفلاني راح يشتغل

ف انقر على مسار البرنامج لرفعه فايروس توتال + من نفس النافذ (نافذة تنبيه الكاسبر ) ادخل للصلاحيات

ف يتكتف ( تكتيف البرنامج ) قبل حتى التشغيل


...

طبعا ً العمليه ( الاب ) راح تتعامل بشكلين ( ان كنت مفعل الوثوق بالتواقيع او لا ) وهنا يجي ابداع الكاسبر


...
أنقر للتوسيع...
(y)
الكَاسبر يَكتَشف المَلفات حَتى ان كان أَحد طَرفي السُّلوك موثوقاً :love:

يعني مَثلا مَلف مَوثوق وَليكن مَثلا wscript.exe

يُشغل ملفات الـ VPS (عملية أستضافة)

ملف الـ wscript.exe يَقرأ الملف بـٍ أمتداد .vbs

.,,وَيُنفذ الأوامر المَكتوبة بِداخله

طيب لَو كانت تِلك الأوامر خطرة :censored:

سّـ يُنفذها طَبعاً:eek:

لَكنه ملف موثوق ! ملف نظام

موجود في مجلد الـ System32 ياراجل :eek:

لَكنه خطير ببساطة
أو أنه في تلك الحالة أصبح خطيراً
يُنفذ أكواداً خَطِرة ~

بّرامج الحماية الغلبانة ستعتبره موثوق (n)

لَكن الكآآسبر

خذ البلوك وأرتاح أن البلوك طريق النجاح:sneaky:


طَعاً هذا مجرد تَوضيح للأعضاء الغاليين :D

ليسَ صَحيحاً 100%

ماتقصده هُو فتح خدمة داخل عَملية مَوثوقة ~

مثلا بعض البرامج تفتح خدمة أو جلسة أتصال أنترنت في ملف الـ SVChost.exe

للأتصال بالهكر

;)

وهذا ماتقصده :Dصح اخي :oops:


~
 
توقيع : MagicianMiDo32
^
يقرأ سطر سطر
ولاي عمليه بدون استنفار النظام باكمله
اللعب يكون بوضع صح عند الوثوق بالتواقيع اللي هي في حال تثبيت برنامج موثوق ـ بالرغم انه راح يعمل فحص سريع وتحليل عند كل تشغيل للملف
للاطمئنان على سلامته من التعديل لان اثناء تثبيت البرنامج اكيد المستخدم اما ينقله للموثوق حتى يقدر يكمل شغله ( بالبرامج الاخرى ) اما بالكاسبر حظر الخطر
وامكانية التثبيت

ف لو وضعنا اي برنامج اخر ( فيه رصد قوي ) بحالة ذعر ( راح يعمل ازعاج ) اما الكاسبر ف يعطي الخيارات التاليه :

1- يشاركك الرأي عند السلوك الضار ( موافقه / رفض )
2- ينفذ الخيار الصح ( مع السلوكيات الضاره ) ودقته في هذا الامر 100 / 100 لانه يعتمد على وصول الملف لمناطق ( حرجه بالنظام )

( اعدادات النظام / ملفات النظام / ستارت اب النظام / كرنل / ملفات الانتي فايروس وبرامج اخرى يمكن للمستخدم اضافتها ) :)

3- يطبق الحمايه بشكل صامت ( مع امكانية ارفاق تقرير لاي سلوك ) او تقرير كامل من مراحل التشغيل الاولى الخفيه الى مراحل التعديل :)


...

باختصار
كل المطلوب موجود :)
 
توقيع : الخفـوق
medo32 قال:
(y)
الكَاسبر يَكتَشف المَلفات حَتى ان كان أَحد طَرفي السُّلوك موثوقاً :love:

يعني مَثلا مَلف مَوثوق وَليكن مَثلا wscript.exe
يُشغل ملفات الـ VPS (عملية أستضافة)
ملف الـ wscript.exe يَقرأ الملف بـٍ أمتداد .vbs
.,,وَيُنفذ الأوامر المَكتوبة بِداخله
طيب لَو كانت تِلك الأوامر خطرة :censored:

سّـ يُنفذها طَبعاً:eek:
لَكنه ملف موثوق ! ملف نظام

موجود في مجلد الـ System32 ياراجل :eek:

لَكنه خطير ببساطة
أو أنه في تلك الحالة أصبح خطيراً
يُنفذ أكواداً خَطِرة ~

بّرامج الحماية الغلبانة ستعتبره موثوق (n)

لَكن الكآآسبر
خذ البلوك وأرتاح أن البلوك طريق النجاح:sneaky:

طَعاً هذا مجرد تَوضيح للأعضاء الغاليين :D

ليسَ صَحيحاً 100%

ماتقصده هُو فتح خدمة داخل عَملية مَوثوقة ~

مثلا بعض البرامج تفتح خدمة أو جلسة أتصال أنترنت في ملف الـ SVChost.exe
للأتصال بالهكر

;)

وهذا ماتقصده :Dصح اخي :oops:

~
أنقر للتوسيع...


باختصار تمت التجربه
واثبت نجاحه اخي محمد

فكرة الالتباس اللي ذكرتها ممكن تحصل مع برنامج فيه رصد ( مرحلة الوثوق بالكاسبر متطوره ) يعني ان تم نقله لايعني التدقيق عليه من التعديل

لان ممكن بعد تثبيت البرنامج ممكن اشغل ملف ثاني يستغله :) ف الكاسبر يعمل فحص من اجزاء الثانيه ( للتأكد من انه ما تعدل )
هذه الفكره ببرنامج اخر وهي تنبيهي عند التعديل على الملف ( على ما اظن بالحصان )


برضو بالحصان فيه مراحل كشف القراءه والتشغيل للبرامج

ان شاء المولى راح اضع مسارات النظام الحرجه من الكاسبر للحصان
وراح تشوفون قوة هيبس الارمور ...

الارمور ( خام )
ولو تدخلون قسم حماية الرجستري راح تلقونه ولاكأن فيه تطوير ( يذكرني بالنود ) كنت اطمح بالاصدار الجديد ان يتم اضافة مسارات حرجه للنظام


احنا نعمل نفس الفكره


بس اللي يبقى ان الارمور مافيه تنظيف ( بس به مجتمع :) ) ومجتمع تشغيل ( يعني عند تشغيل اي ملف يشوف بالسحاب نسبة اللي شغلوه ) ويتم الحظر
بنسبة مئويه :)

يعني جاي بالطريق الارمور والحصان


مثل ماذكرت ينقصه التنظيف مابعد الاصابه
وهذا حلها جدا ً جدا ً بسيط :) وهو استخدام اداة الكاسبر المنقوله او الدكتور ويب ( حتى نعمل فحص للذاكره ) للبرامج اللي تشتغل مع تطهير ((( مع تطهير للاصابه ))
 
توقيع : الخفـوق
شوف اخي محمد
بالكاسبر طبقة دفاع استباقي ( يتضمنها ) مسارات خاصه بالنظام و سلوكيات
ان قام اي ملف بانتهاجها يعمل له حظر وتنبيه ( هنا حظر تلقائي ـ او يدوي ) حسب مايحب المستخدم :)

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


هذي تجربة اخونا يونس ( الفايروس النووووووي )
حتى ينفذ ملف المبدع يونس لازم يكون عنده صلاحيات
ف طبقات الكاسبر كشفت هالسلوك وقالت ستوب :)

ولو تم التشغيل
الرول باك يعمل حذف لكل القيم والملفات اللي انشأها الملف

يعني كأننا اعدنا تشغيل الجهاز المحمد بالشادو دفندر

اللي بالصوره انه يضع قيمه بالنظام طبعا ً هذا سلوك مريب ( Creat Reg )

بس اللي يشغله راح تطلع له انه بياخذ " صلاحيات " :sneaky:
 
التعديل الأخير:
توقيع : الخفـوق
الخفـوق قال:
^
يقرأ سطر سطر
ولاي عمليه بدون استنفار النظام باكمله
اللعب يكون بوضع صح عند الوثوق بالتواقيع اللي هي في حال تثبيت برنامج موثوق ـ بالرغم انه راح يعمل فحص سريع وتحليل عند كل تشغيل للملف
للاطمئنان على سلامته من التعديل لان اثناء تثبيت البرنامج اكيد المستخدم اما ينقله للموثوق حتى يقدر يكمل شغله ( بالبرامج الاخرى ) اما بالكاسبر حظر الخطر
وامكانية التثبيت

ف لو وضعنا اي برنامج اخر ( فيه رصد قوي ) بحالة ذعر ( راح يعمل ازعاج ) اما الكاسبر ف يعطي الخيارات التاليه :

1- يشاركك الرأي عند السلوك الضار ( موافقه / رفض )
2- ينفذ الخيار الصح ( مع السلوكيات الضاره ) ودقته في هذا الامر 100 / 100 لانه يعتمد على وصول الملف لمناطق ( حرجه بالنظام )

( اعدادات النظام / ملفات النظام / ستارت اب النظام / كرنل / ملفات الانتي فايروس وبرامج اخرى يمكن للمستخدم اضافتها ) :)

3- يطبق الحمايه بشكل صامت ( مع امكانية ارفاق تقرير لاي سلوك ) او تقرير كامل من مراحل التشغيل الاولى الخفيه الى مراحل التعديل :)


...

باختصار
كل المطلوب موجود :)
أنقر للتوسيع...

الخفـوق قال:
باختصار تمت التجربه
واثبت نجاحه اخي محمد

فكرة الالتباس اللي ذكرتها ممكن تحصل مع برنامج فيه رصد ( مرحلة الوثوق بالكاسبر متطوره ) يعني ان تم نقله لايعني التدقيق عليه من التعديل

لان ممكن بعد تثبيت البرنامج ممكن اشغل ملف ثاني يستغله :) ف الكاسبر يعمل فحص من اجزاء الثانيه ( للتأكد من انه ما تعدل )
هذه الفكره ببرنامج اخر وهي تنبيهي عند التعديل على الملف ( على ما اظن بالحصان )


برضو بالحصان فيه مراحل كشف القراءه والتشغيل للبرامج

ان شاء المولى راح اضع مسارات النظام الحرجه من الكاسبر للحصان
وراح تشوفون قوة هيبس الارمور ...

الارمور ( خام )
ولو تدخلون قسم حماية الرجستري راح تلقونه ولاكأن فيه تطوير ( يذكرني بالنود ) كنت اطمح بالاصدار الجديد ان يتم اضافة مسارات حرجه للنظام


احنا نعمل نفس الفكره


بس اللي يبقى ان الارمور مافيه تنظيف ( بس به مجتمع :) ) ومجتمع تشغيل ( يعني عند تشغيل اي ملف يشوف بالسحاب نسبة اللي شغلوه ) ويتم الحظر
بنسبة مئويه :)

يعني جاي بالطريق الارمور والحصان


مثل ماذكرت ينقصه التنظيف مابعد الاصابه
وهذا حلها جدا ً جدا ً بسيط :) وهو استخدام اداة الكاسبر المنقوله او الدكتور ويب ( حتى نعمل فحص للذاكره ) للبرامج اللي تشتغل مع تطهير ((( مع تطهير للاصابه ))
أنقر للتوسيع...

الخفـوق قال:
شوف اخي محمد
بالكاسبر طبقة دفاع استباقي ( يتضمنها ) مسارات خاصه بالنظام و سلوكيات
ان قام اي ملف بانتهاجها يعمل له حظر وتنبيه ( هنا حظر تلقائي ـ او يدوي ) حسب مايحب المستخدم :)

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


هذي تجربة اخونا يونس ( الفايروس النووووووي )
حتى ينفذ ملف المبدع يونس لازم يكون عنده صلاحيات
ف طبقات الكاسبر كشفت هالسلوك وقالت ستوب :)

ولو تم التشغيل
الرول باك يعمل حذف لكل القيم والملفات اللي انشأها الملف

يعني كأننا اعدنا تشغيل الجهاز المحمد بالشادو دفندر

اللي بالصوره انه يضع قيمه بالنظام طبعا ً هذا سلوك مريب ( Creat Reg )

بس اللي يشغله راح تطلع له انه بياخذ " صلاحيات " :sneaky:
أنقر للتوسيع...

مآآ كُنت أَقصده أنَّ الكآآسبر يَملك تُكنولوجيبا ذكية يَستطيع بها التصدي للفيروسات

فَيروس الاخ يُونس الذي لم يُحالفني الحظ ان أَستمتع به :(
كان يَعتمد على تَمرير الصَّلاحيات من مَلف يَملك صَلاحيات عالية الى مَلف آخر

فِكرته كانت مَبنية عَلى مُشاركة طَرحتُها في مَوضوع مُسبق

طَلبت من الاخ @ahmed antivirus أن يَصنع لي عَينة بِمواصفات مُحددة ~

فَيظهر أنه كان عَلى تَواصل مَعَ الاخ يونس
فـَ اشتركا في صنعها~
المَلف Final أسقَطَ الكآآآسبر بكل اَوضاعه !!

وما استغربته هو من أين حَصَلَت سكربتة الأوتوأت على الصَّلاحيات ليمررها للملف Knight

~
 
توقيع : MagicianMiDo32
^
تَقارير المكآآفي اوضحت أَنَّ تحميل مَكتبات الربط الديناميكي المذكورة تّمنح المَلفـ صلاحيات عالية ~
لَكنـ الأَخ يونس أَوضح أنه لاعلاقة لذلك بشيئـ ...
وأن الأوتوات من أكثر لغات البرمجة المحدودة !

لنتأكد من ذلكـ

أي أحد لديه AutoIt IDE V3 فَـ ليبرمج لنا ملف بسيط ويجعله exe لـِ نّتأَكد عن طريقه من صحة هذة المقولة ~

والله أَعلم

~
 
توقيع : MagicianMiDo32
:)

هو عمل هايد ( Hide Windows ) وهذي تحتاج لصلاحيات
ف لو عملناها عن طريق ادوات ( Effect ) لنوافذ الوندوز ( راح يتطلب مننا التشغيل بصلاحية مدير ) حتى لو نقل ملف من سطح المكتب ل داخل مجلدات النظام
حتى لو كان المستخدم بحساب ( مدير )

حتى قيم الرووت بالرجستري ( يُمنع على المستخدم الادمن ) التعديل عليها
ولو شفنا LIst المسموح لهم لاضافة اسم المستخدم ليتمكن من التعديل ف ماراح يسمح له النظام

بس عن طريق ادوات اخرى يتمكن المستخدم بكل قوه وتمكن

..

هو عمل هايد
وليس هجوم او Kill

الاكتشاف كان ( السيستم واتشر )
والسلوك اللي انتهجته الاداه ( هو يتطلب صلاحيات بشكل غير مباشر )

هذا اللي ادى اكتشاف الاداه بشكل مسبق ( طلب احدى العلميات المحظوره من مدافع النظام ) :)

ولو فككنا ملف الاتوات لوجد به اوامر هي من احدى خصائص الكاسبر بس بشرط ان الملفات اللي تنتج نضعها ( وضع القراءه بالاسك للمستخدم ) :)

وهذا لايعتبر عمل ضار
لانها اوامر لادوات مسجله ( النقر الخفي بدل اليدوي)

نفس فكرة تسجيل خطوات نكست نكست لملفات الستب :)
 
توقيع : الخفـوق
تخطى الكاسبر والحمايات أسهل من اللى انتوا كاتبينوا دا يا جماعه .. على أنى مش فاهم اى حاجه ..

بس فكره الملف بتاع الاتويت .. ان الباتش بتاعى مدموج مع سكربت الاتوايت .. القادر على ترجمه محتوى الملف .au3 الى صيغه تنفيذيه يقرأها الويندز .. وملف الــ .au3 يحتوى على

أوامر لتشغيل الباتش الخاص بى .. وبالتالى عمل الباتش من ملف غير مفهوم من الويندز تم ترجمته من ملف موثوق وهو سكربت الاتوايت .. كفكره تشغيل دوده من wscript.exe

@الخفـوق

@medo32
 
توقيع : Mя.Soul
بص أحج أحمد
انا فصفصته حتة حتة وليا مشاركة
دلوقتي ح أشغله ع الحقيقي وعاوزك تهكرني يماو
علشان اشوف الصلاحيات

~
 
توقيع : MagicianMiDo32
دا ملف الصلاحيات

كود: 
#NoTrayIcon
#RequireAdmin
Sleep(20000)
Run(@ScriptDir&"\knight.exe")


كود بسيط
 
توقيع : MagicianMiDo32
medo32 قال:
دا ملف الصلاحيات

كود: 
#NoTrayIcon
#RequireAdmin
Sleep(20000)
Run(@ScriptDir&"\knight.exe")


كود بسيط
أنقر للتوسيع...


متحطش أكواد تانيه ..
 
توقيع : Mя.Soul
بس ~
كل حاجة وضحت ~

~
 
توقيع : MagicianMiDo32
توقيع : MagicianMiDo32
أنزال ملفات :-

C:\Users\Medo\AppData\Roaming\Windows\Start

~
 
توقيع : MagicianMiDo32
توقيع : MagicianMiDo32
طَبعاً هو مجرد Script launcher

لـِ ذلكـ لاتوجد اية سلوكيات خطيرة ~
~
 
توقيع : MagicianMiDo32
توقيع : MagicianMiDo32
^__^

بالعكس اخي محمد يوجد نشاطات ( تعديل )
و هي كما في الصوره اللي ارفقتها من تحليل موقع انيبوس

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ولو نلاحظ ان الكاسبر راح يكشفها
عند التشغيل :)
 
توقيع : الخفـوق
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى