تعرف على HIPS و كيف يمكن تخطيه عن طريق الهوك HOOK

[الخفـوق]

بارك الله فيك أخي مصطفى

>>
من البرامج اللي ترصد عمليات الهوك ( الكاسبر / الكومودو / الحصان )

 

[ahmedibrahim]

شكرا لك اخ احمد الصراحه لم اقرر بعد التواصل مع اى شركه من شركات الحمايه
ولكن كده كده الباتشات بترحلهم للتحليل والفحص ولكن للاسف بيضيف الملف لقاعده البيانات الخاصه بهم دون حتى قرائه ما بدخله او طريقه عمله
يبحثون فقط عن الكود الخبيث المسبب للعمليه باكملها

اخ مصطفى لذلك انا كتبت هذا الكلام

شركات الحمايه تحصل على الباتشات وتسجلها فى قاعده البيانات فقط لااكثر من ذلك فهم لايقومون بتحليل سلوكها وهذه مشكله لذلك لافائده من ضمها للقواعد لانه ببساطه هيتعمل غيرها كثير جدا

 

[الخفـوق]

^
التحليل يكون للاصابات القويه الشائعه

 

[hitman samir12]

بسم الله
السلام عليكم جميعا

عند دخولى اليوم لتصفح مواضيع المنتدى لفت انتباهى احدى الاسئله التى موجوده فى هذا الموضع

http://forum.zyzoom.net/threads/233893/

هو السوال هل يمكن تخطى اّليه (HIPS) ؟

واغلب الردود كانت من منظور خبرتكم من التعامل مع البرامج لكن الاجابه على هذا السواء تحتاج الى موضوع كامل حيث لا يمكن اختصارها فى رد واحد

لذلك احببت عمل موضوع كامل يشرح ما هو الهبس وكيف يعمل وما هى طريقه تخطيه
------------------------------

ما هو الهبس بشكل سريع

------------------------------

الهبس هو طبقه من طبقات الحمايه

تقوم على مبدأ مراقبة التحركات المشبوهة بناء على قواعد معينة (rules) موجودة مسبقاً داخل البرنامج
-----------------------------------------

للتعرف على الهوك لابد لنا للاطلاع على بعض الامور
--------------------------------------

طريقه عمل الروت كت ROOTKIT

-------------------------------------
مبدأ عمل الروت كت هو التلاعب في استدعاءات الدوال البرمجية

توضيح اولا لكى يفهمه كل من يقراء ما اقصده قبل شرح طريقه عمل الروت كت

اغلب النشاطات التي تقوم بها في جهازك الحاسب الآلي هي تنقسم الى عملية استعداء لدالة ما ثم عملية معالجة
بمعنى

مثال 1
--------
عند الضغط على برنامج معين دبل كلك .
مايحدث فى الخفاء عند الضغط دبل كلك هو ان برنامج Explorer.exe يقوم باستعداء دالة تدعى CreateProcessW ويمرر لها مسار البرنامج , وهي دالة لتشغيل بروسيس جديدةماينتج عن ذلك ظاهريا هو فتح البرنامج وبدء عمله

مثال 2
-------
عند فتح برنامج regedit.exe محرر الرجستري والقيام بانشاء قيمة جديدة بالرجستري كأن تختار اسمها IDM مثلا
مايحدث فعليا هو استعداء لدالة RegSetValueExW وتمرير لها اسم القيمة المراد انشاؤها

الان كيف يعمل الروت كت
-----------------------------

طريقه عمل الروت كت تعتمد على اخفاء نفسها داخل الجهاز المستهدف بحيث قد يكون هناك باتش اختراق واتصال جاري حاليا بين الهاكر والضحية ولكن في اثناء الفحص والتحليل في برامج البروسيس وتحليل الاتصالات لا نجد اي وجود الى هذا الباتش
ولكنه فى الحقيقه هو موجود بشكل مخفي !!
كيف ذلك ببساطه عن طريق تخطى الداله

مثال توضيحى
----------------

على فرض لدى احد برامج البروسيس لمراقبه الملفات
وظيفته اظهار العمليات الحالية في التاسك مناجر
كما ذكرت في مثال 1 و 2 ان آلية عمل كل برنامج ترجع الى عملية استعداء وعملية معالجة
الأن برنامج البروسيس كيف له ان يسرد لك العمليات الحالية ؟؟
عن طريق استدعاء داله CreateToolhelp32Snapshot وتقوم هذي الدالة بالتقاط شوت او صورة عن العمليات الجارية حالية وترجع له بالمعلومات عن هذه العمليات ومن ثم يقوم برنامج البروسيس بعملية المعالجة لهذه البيانات اي يقوم بسردها لك بشكل جيد ونافذة ملونة والعملية تتم بشكل متكرر وسريع
-----------------------------------------

بعد معرفته طريقه عمل الروت كيت نبدا بتعريف الهوك HOOK
--------------------------------------------------------------------

فى المثال التوضيحى قلنا ان الية عمل برنامج البروسيس وقد عرفنا ماهي الدالة التي يعتمد عليها في سرد البيانات
على فرد اننا قمنا بمنعه بالكامل من استخدام دالة CreateToolhelp32Snapshot ماذا سيحدث سوف لن يظهر لك اي عملية
كلام جميل جدا طيب كيف لنا ان نمنعه من استخدام تلك الدالة ؟ او نمنع اي برنامج من استخدام دالة معينة ؟

اولا

يجب أن نعلم بأن النظام الويندوز ينقسم إلى :
Ring3 : Usermode
Ring2
Ring1
Ring0 : kernelmode
الـ Ring3 وهو رينج اليوزر مود هي الطبقة اللتي نعمل عليها وكل الاستدعائات السابقة كانت عليها
لكن لماذا تم تقسيم النظام بهذا الشكل ؟

نواة النظام هى (ntoskrnl.exe) لو تعاملنا معها بشكل مباشر فأي خطأ قد يخل بالنظام كامل ويتسبب في سقوطه لذلك تم تقسيم النظام بهذا الشكل فالأخطاء في الرينج 3 لن تتسبب في إطاحة النظام بأكمله

مفهوم الهوك : هو عباره عن تحويل داله او عند طلب داله معينه يتم تنفيذ داله اخرى

مثال لتبسيط الشرح
-----------------------

يتم تنفيز هذا الهوك على مستوى الكرنل مود Ring0 وليس اليوزر مود Ring3

لدينا دالة ShellExecuteA عنوانها كان 0x0006 وهي دالة لتشغيل ملف
نقوم بتحويل عنوان هذه الدالة الى عنوان اخر وليكن 0x0007 وهو عنوان لدالة اخرى او فنكشن خاص بنا
لذا عند طلب دالة ShellExecuteA سوف يتم تحويله الى شيء اخر مختلف

اسلوب الهوك السابق هو عملية صعبة جدا ولكى تحاول برمجه هوك معين يجب ان تكون على داريه واحترافيه تامه باحدى لغات البرمجه C++ لانك ستقوم بكتابه الهوك داخل رنج الكرنل Ring0

هناك اسلوب اخر ونستطيع تنفيذه من اليوزر المود Ring3 اي لا نحتاج الى صلاحيات
وهو عن طريق حقن ملف دل DLL بالبرنامج المستهدف يقوم بالسيطرة على استعداء الدوال اللي تحدث به

-----------------------------------------------

ناتى الان الى التعرف على Window API وما هى
--------------------------------------------------------

API هى نواة معدة من قبل نظام مايكروسوفت
و هي اختصار ل application programming interfaces و هذا النظام يتيح لنا التواصل مع نواة النظام
و عمل صلة بين برامجنا و النظام

هناك مايسمى باسلوب MS Detours
ويقصد بـ Detours تحويلات اي هي عملية الهوك
يقوم بعملية جمب وتحويل جميع الاستعداءات على الدالة المستهدفة الى فنكشن خاص بنا
ومايكروسوفت شرحت هذا الاسلوب ليس بغية منها لتطوير الفيروسات على العكس تماما فعملية الهوك لها استخدامات شرعية كثير مثل ان يقوم المبرمج بتتبع اخطاء برنامجه عند فشل دالة ما
---------------------------------------------------------

هذا كان شرح مبسط وبشكل سريع وسهل عن الهوك وطريقه عمله

ملحوظه اود قولها الهوك لكى تتقنه يجب ان تكون خبير الى محترف برمجه وتتفرع اساليب الهوك بشكل كامل ولكن تم شرحها بشكل مبسط لتسهيل على الجميع فهمها

جزئيه اخرى احب اضيفها قبل نهايه الموضوع وهى مكلمله للموضوع

كيف تقوم برامج الحمايه والجدران الناريه بالتقاط الملفات الخبيثه (الباتشات و الفيروسات )
-----------------------------------------------------------------------------------------------------

برامج الحماية الشهيرة والجدران النارية تقوم بالتقاط الفيروسات عند الدخول على الجهاز ومحاولة التعديل عليه والكتابة
عن طريق الهوك ايضا
يكون هناك درايفر خاص للحماية يعمل في مستوى الكيرنل يقوم بعمل هوك على الدوال اللتي قد تكون مشبوهة نوعا ما

مثلا عند عمل برنامج يقوم باستدعاء دالة CreateProcessA لكي يقوم يتشغيل ملف اخر بالتأكيد العملية لن تمر بهذا السلاسة بحيث ان الحماية تكون على علم بذلك الاستعداء ومن ثم تقوم بتفحص الملف الهدف اللي سوف يتم تشغيله وايضا تقوم بعملية مسح على الملف الفاعل الذي يقوم بعملية التشغيل او اللذي قام بالاستعداء وبعد ذلك اذا لم يكون هناك اي شبهات يتم السماح لهذه الدالة بالمرور واستكمال العمل

هذا ما يحدث خلف الكواليس عند عمل باتش معين من الباتشات ونحن لا نعلم عنها شى

-----------------------------------------

فى النهايه اتمنى ان تكونو استفدتم من الدرس الذى لم يكن فى بالى طرحه لولى الاخ Dr.protection

جازاه الله خير ولتبسيط على الجميع عن مفهوم هذا الامر

تحياتى للجميع واتمنى اكون وفقت فى الشرح وتبسيط الامور بشكل سلس

محبكم دوما مصطفى Black007

ياريت لو تعمل دروس مثل هاته على مصطلحات الحماية وتشرح كل مصطلح ماهوا وكيفية عمله وكيف يتم اختراقه

 

[txoo2]

شرح رائع ولاكنه للمحترفين حيث انك ذكرت الكثير من الدوال وكل داله منهم تحتاج شرح لوحدها
واحنا ناس بساط علي قد حالنا

 

[عين الطيف]

هل حضرتك متأكد ان كل ال Hips يمكن تخطيه يعني مثلا بالنسبة للنود اكيد مش هيمانع بس بالنسبة للكومودو ممكن يطول شوية وممكن يصمد دوما ؟؟

في انتظار تشفيرة من حضرتك

 

[عين الطيف]

شرح رائع ولاكنه للمحترفين حيث انك ذكرت الكثير من الدوال وكل داله منهم تحتاج شرح لوحدها
واحنا ناس بساط علي قد حالنا

فعلا كنت أشعر إن في جمل مش بالعربي

 

[dahman_kz]

شرح وتحليل ومعلومات رائعة .. بـارك الله فيك اخي الغالي مصطفى .

 

[txoo2]

فعلا كنت أشعر إن في جمل مش بالعربي

انا بحب الشرح الي 1 2 3 4 5 6 ونطبق وكلو تمام وبعد كدا انشاء الله يلقي محاضره فرنسيه مليش دعوه

اخ مصطفى لذلك انا كتبت هذا الكلام

شركات الحمايه تحصل على الباتشات وتسجلها فى قاعده البيانات فقط لااكثر من ذلك فهم لايقومون بتحليل سلوكها وهذه مشكله لذلك لافائده من ضمها للقواعد لانه ببساطه هيتعمل غيرها كثير جدا

انا بحمد ربنا ان العرب معملوش برنامج حمايه ههههههههه

 

[hitman samir12]

انا بحب الشرح الي 1 2 3 4 5 6 ونطبق وكلو تمام وبعد كدا انشاء الله يلقي محاضره فرنسيه مليش دعوه


انا بحمد ربنا ان العرب معملوش برنامج حمايه ههههههههه

لا داعي لمثل هاته الردود
هاته الامور بالنسبة له تعد سهلة جدا وكانه يشرب مائا ولكن بالنسبة للبعض تبدوا لهم وكانهم يمضغون صخورا---

 

[النموشيالنموشي is verified member.]

بارك الله فيك
و نفع بك أخي الكريم

 

[صدى الصمت]

جزيل الشكر اخي الغالي .. معلومات قيمة وشرح وافي
جزاك الله خيرا ... دعواتي بالتوفيق

​

 

[Ahmad frij]

ما شاء الله موضوع وافي

 

[black007]

شكرا اخ مصطفى مو شرط تعمل شرح لجميع طرق تخطي يكفي شرح طريقة واحدة في كل مرة طبعا لما تكون فاضي
حتى يستفيد اعضاء من خبرتك وانا اولهم وبالنسبة لتشفيراتك انت تعتمد على لغة برمجة واحدة ام عدة لغات

شرفنى مرورك على الموضوع وان شاء الله اشرح الخواص باسلوب سهل يفهمه الجميع دون تعقيد
بالنسبه للتشفير فاعتمد على لغتين اساسيتين الدوت نت والسى شارب اقدر اعمل بيهم اى حاجه

شكرا على المعلومات .. يامصطفى

وشىء اخر تخطى الهيبس بيكون بعمل هوك على دوال NT API وديه اللى الكاسبر بيعملها فحص كل 5 ثوانى .. والدوال ديه تقريبا مسؤوله عن كل شىء فى الويندز .. حتى فتح الصوره ..

كتير من الناس تعتقد ان الهيبس يقرأ السطور البرمجيه .. وده اعتقاد خاطىء الهيبس بيراقب دوال NT API

كلام سليم يابو حميد طبعا سر المهنه اكيد مش هيطلع برضه مش كده

ياريت لو تعمل دروس مثل هاته على مصطلحات الحماية وتشرح كل مصطلح ماهوا وكيفية عمله وكيف يتم اختراقه

ان شاء الله اخى الكريم استطيع عمل موضوع فى كل مره يتكلم عن جزئيه مختلفهع تستخدمها برامج الحمايه

شرح رائع ولاكنه للمحترفين حيث انك ذكرت الكثير من الدوال وكل داله منهم تحتاج شرح لوحدها
واحنا ناس بساط علي قد حالنا

لمن يرد التعمق اكثر عليه الاطلاع للمعرفه اكثر بسط الامور لكى يفهمه الجميع

هل حضرتك متأكد ان كل ال Hips يمكن تخطيه يعني مثلا بالنسبة للنود اكيد مش هيمانع بس بالنسبة للكومودو ممكن يطول شوية وممكن يصمد دوما ؟؟

في انتظار تشفيرة من حضرتك

نعم يمكن تخطى اى هبس فى العالم ولكن يعتمد على المبرمج الذى يقوم بعمل الهوك على الداله

فعلا كنت أشعر إن في جمل مش بالعربي

وهذه لانها مسطلحات لا استطيع ان اترجمها الى العربيه

شرح وتحليل ومعلومات رائعة .. بـارك الله فيك اخي الغالي مصطفى .

شرفنى مرورك ياغالى واتمنى تكون استفدت

انا بحب الشرح الي 1 2 3 4 5 6 ونطبق وكلو تمام وبعد كدا انشاء الله يلقي محاضره فرنسيه مليش دعوه


انا بحمد ربنا ان العرب معملوش برنامج حمايه ههههههههه

يسمع من بقوك ربنا بس القى محاضره مره واحده للاسف اخاف بعض الشى عندما اقوم بالشرح امام عدد كبير من الناس بالشكل الحقيقى اكون متردد بعض الشى
ذكرتنى مره عندما كنت فى مشروع التخرج واشرح جزئيه من المشروع كنت متوتر جدا ولكن الحمد الله عدت على خير وجبت تقدير جيدا جدا

بارك الله فيك
و نفع بك أخي الكريم

شكرل لمرورك اخى الكريم واتمنى تكون استفدت

جزيل الشكر اخي الغالي .. معلومات قيمة وشرح وافي
جزاك الله خيرا ... دعواتي بالتوفيق

​

شكرل لمرورك اخى الكريم واتمنى تكون استفدت

ما شاء الله موضوع وافي

شكرل لمرورك اخى الكريم واتمنى تكون استفدت

 

[kimo7]

موضوع ممتاز ،وشرح يرتقي الى مستوى الاحترافية ، بس اخي الهوك hook هل يمكنه اجتياز مثل سونار النورتن او ids في البتدفندر .

 

[black007]

موضوع ممتاز ،وشرح يرتقي الى مستوى الاحترافية ، بس اخي الهوك hook هل يمكنه اجتياز مثل سونار النورتن او ids في البتدفندر .

نعم يمكن التجاوز بسهوله الفكره كلها فى الداله التى ستقوم بعمل الهوك عليها

لان اغلب التقنيات فى برامج الحمايه وبرامج الحمايه نفسها محميه من عمل الهوك على دواله

لذلك ليس من السهل قتل العمليات الحمايات كما كان يعتقد البعض بان كود بسيط يمكنه قتل برنامج حمايه شامل

وهنا تبرز كما ذكرت فائده الهوك وقوته

 

[العبد الفقير إلى اللهالعبد الفقير إلى الله is verified member.]

تقبل الله منك اخي الكريم

 

[hamede]

من اسوء الأمور هنا في زيزووم

انك أحيانا تريد ان تضغط 100 "اعجبني "

في بعض المواضيع

و لا تجد الا زر واحد فقط

و هذا احساسي الان

اشكرك يا مصطفي

 

[chihab eddine]

مخي تشوشط يا ناس رح أعيد حتى أفهم

كيف قدرت تعبر و تكتب كل هاذ الجبل

مشكور و جزاك الله خيرا أخي الغالي

 

[toufik888]

الكاسبر حبر على ورق لايرد كل هجمات ويسمح لها بالمرور الاقوية وشائعة يمنعها