• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الحالة
مغلق و غير مفتوح للمزيد من الردود.

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★ نجم المنتدى ★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,179
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله

السلام عليكم جميعا


درس اليوم سنتحدث فيه عن الهيرو ستيك

ايضا سنتكلم عن ما يدعى بنقاط الادخال والرن بى RunPe & EntryPoint

وسنتكلم ايضا عن وحده محلل السلوك فى البت دفندر AVC وسر قوتها فى كشف اغلب التهديدات وباتشات الاختراق
نبدا

-------------------------------------------------

الهيروستك
-----------
الهيروستك عبارة عن تقنية تستخدم مجموعة قواعد
وأدلة ترشدها إلى تحديد واكتشاف الفيروسات بعد أن تفشل قاعدة بيانات برنامج الحماية من العثور على توقيع له
فعند إصابة ملف ما بفيروس مجهول

الهوية عندها ستفشل عملية المطابقة بينه وبين قاعدة بيانات برنامج الحمايه التي لا تحتوي على توقيع لذلك الفيروس وبالتالي لا بد هنا من تدخل تقنية الهيوريستك لاكتشاف الفيروس وتنظيف الملف منه فورا

كيف يقوم الهيروستيك بالتفرقه بين الملف السليم والملف الكاذب
-----------------------------------------------------------------
هناك العديد من ملفات النظام التي تقوم بالعمل في الذاكرة وانتظار تشغيل الملف من هناك وعلى
الرغم من شرعية هذه الملفات إلا أن مكافح الفيروسات عن طريق تقنية الهيوريستك سيقوم باكتشاف
ذلك الملف على أنه Backdoor بسبب سلوكه ذاك

فإذا كان الحال كذلك فإن هناك الكثير من الملفات النظام الشرعية سيتم اكتشافها بواسطة الهيوريستك
على أنها تهديدات .. فما العمل

لكي يتم تجنب الإيجابيات الكاذبة عن طريق الهيروستيك لابد من وضع قواعد معينة دقيقة لكل ملف
نقاط معينة إن قام بها الملف حسبت عليه تلك النقاط وهكذا يتم جمع النقاط للملف حتى نتاكد ومن خلال هذه النقاط
نحكم على مدى احتمالية الملف كونه مصاب أم لا


مثال توضيحى
--------------
على فرض أن خبراء الحمايه وضعوا القواعد التالية لهيوريستك محرك بحث أحد برامج الحماية
إن كان الملف المفحوص مشفر يعطي علامة واحدة
إن قام بفتح بورت وانتظار اتصال يعطي علامتان
إن قام بالكتابة على ملف موجود يعطى ثلاث علامات
إن قام بالكتابة في الريجستري يعطى علامة واحدة
وبالتالي فمن خلال هذه القواعد سيتم التقليل من حدوث الإيجابيات الكاذبة بشكل كبير وذلك بعد وضع قواعد لتلك الكشوفات


فالقواعد يمكن أن توضع كالتالي على سبيل المثال
----------------------------------------------------
الملفات التي تحقق نقاطا من 1 - 3 مثلا يتم اكتشافها على أنها probably unknown
الملفات التي تحقق نقاطا 4-5 مثلا يتم اكتشافها على أنها probably a variant of
الملفات التي تحقق نقاطا 6-7 مثلا يتم اكتشافها على أنها a variant of

ويجب ان يعرف الجميع أن الكشوفات عن طريق قاعدة البيانات يجب ان يكون أكيد مصرح على اسم الفيروس فألفاظ
Probably //Unknown //A variant //Probably a variant //Suspicious
كلها لا تدل على حصول المطابقة مع قاعدة البيانات

----------------------------------------------------------

الرن بى ونقاط الادخال RunPe & EntryPoint
-----------------------------------------------
الرن بى RunPe
----------------
الرن بي هو تنفيذ بايتات bytes الملف المطلوب في ذاكرة ملف آخر

مثال للتوضيح
--------------
لدينا بايتات الباتش مشفره بأحد الخوارزميات الباتش حتى الآن لم يتم تشغيله لذلك لاتوجد أي عملية ضارة تجعل برنامج الحماية يعطي إنذار عليها
فالرن بي يقوم بحقن وتشغيل نفسه فى عملية نظيفة مثل Explorer.exe عن طريقة دالة CreateProcess لماذا نستخدم هذه الدالة لأننا في تشغيل هذا الملف لانريده أن يعمل بل نريد أن يتم تحميله للذاكرة بوضيعة الخمول أو
حتى الان الباتش لم يعمل هو ما زال فى وضعيه الخمول ومحمل فى الزاكره
ولتشغيل الباتش يجب ان نجلب امر التشغيل من ذاكرة العملية لكى يعمل وبعد جلب امر التشغيل من الذاكره
يأتي دور تفريغ الذاكرة الإفتراضية للعملية وذلك لنجعلها فارغة مهيئة لكتابة بايتات bytes الباتش الخاص بنا فيها
بعد تفريغ ذاكرة العملية لازال علينا تفريغ مساحة كافية فيها لكتابة بايتات bytes السيرفر أو الملف المطلوب
بعد أن تم تهييئ ذاكرة العملية تماما يقوم الآن الباتش بفك تشفير بايتاتbytes نفسه او الملف المطلوب ان كان مشفر بأحد الخوارزميات

ويبدا الباتش بكتابه نفسه ويبدا فى العمل دون ان تشعر بيه الحمايات بعد ان قام بحقن نفسه بالكامل فى الزاكره من خلال ملف سليم

------------------------------------------------------

نقاط الادخال EntryPoint
--------------------------
هى جزء من الرن بى ولكن على شكل اصغر حيث انها ايضا تقوم ولكن بشكل مصغر
بتشغيل ملف الباتش من الزاكره ولكن بدون حقن
طريقه عمل نقاط الادخال هى نفسها الرن بى مع اختلاف فى بنيه الكود نفسه
لذلك تجد ان نقاط الادخال اقوى بكثير من الرن بى عند التشفير بها وذلك لان كود نقاط الادخال لا يحقن نفسه بل يعمل مباشرا بدون اى حقن

-------------------------------------------

وحده AVC وسر قوتها فى كشف الملفات المجهوله
---------------------------------------------------
كما تعرفنا على تقنتى عمل كل من نقاط الادخال والرن بى اصبح من السهل الان ان تعرف كيف تعمل وحده AVC فى برنامج البت دفندر

وحده AVC هى اختصار الى Active Virus Control وهى وحده من نوع ال Advanced Heuristic تفحص الملفات التنفيذية لحظة التشغيل وتراقب جميع الملفات النشطة التي تعمل في الذاكرة
الملفات المشبوهة يتم ارسال رقم الهاش الى مختبر السحاب فان لم يكن مسجل لدى مختبر السحاب يتم تحميل الملف التنفيذي مباشرة وفحصة بمختبر السحاب فان كان فيروس يتم الكشف عنه مباشرة ويتم اضافته لاحقا للتواقيع
لذلك تجد ان البت دفندر سريع وعنيف جدا مع الملفات الجديده التى هى غير موجوده لديه عن طريق السحاب
على الرغم من انها قويه الا انها تكتشف كثير من الملفات عند تشغيلها على انها خبيثه خصوصا الباتشات والكراكات
وتعتبر اقوى وحده محلل سلوك موجوده حتى الان

-------------------------------------------------------

كيف يمكن تخطى هذه الوحده AVC
------------------------------------

عن طريق نقاط الادخال لان كما شرحت سابقا ان EntryPoint لا تقوم بحقن اى ملفات فى الذلكره ولكن ليس شرط تخطى اى باتش مشفر بنقاط الادخال هذه الوحده الا اذا اعتمدت التشفيره على عده عوامل ولان اتطرق الى هذه النقطه
-------------------------------------------------

الى هنا ينتهى درس اليوم
اتمنى ان يكون الجميع قد استفاد من الموضوع
واتمنى ان اكون وفقت فى الشرح والتبسيط قدر الامكان لكى يفهمه الجميع بدون تعقيد
تحياتى للجميع
محبكم دوما مصطفى Black007
 

توقيع : black007
اتشرف بان اكون اول من يرد على هذا الموضوع الرائع من عضو اروع
لما لا تدمج الدروس في موضوع واحد ماعلى العضو الى الضغط على رابط الموضوع او المشاركة اللتي فيها الدرس
 
توقيع : hitman samir12

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


اشكرك اخى الكريم ولكن اترك الامر للاداره تقوم بالتنظيم لان باخذا وقت كبير فى كتابه الموضوع وسرده بهذا الشكل

فلذلك لا اهتم كثير بموضوع التنسيق و ان كنت اقوم ببعض التنسيق لكى لا تتداخل الامور ببعضها
 
توقيع : black007
ما شاء الله
مجهود رائع أخي مصطفى الله يعطيك العافيه
وإن شاء الله مع الوقت تعمل فهرس لهذه الدروس القيمه مع تثبيته بالقسم لتعم الفائده بشكل أكبر
متابعه لكل أعمالك
تقديري لشخصك المميز
= =
 
توقيع : روايدا

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


شكرا لكى اختى الكريمه واتمنى تكون قد استفدتى من الموضوع انتى وكل الاخوه هنا فى المنتدى

لتحقيق اكبر قدر من الفهم لدى الاعضاء لكى نفهم كيف تعمل تلك التقنيات
 
توقيع : black007
بارك الله فيك أخي مصطفى
ابدعت بالطرح والتوضيح
في ميزان حسناتك
 
توقيع : الخفـوق
بارك الله فيك أخي على هذا الموضوع
سينتفع به الأعضاء وخاصة من لا زال لديه خلط في هذه التقنيات
وجزاك الله على كل ما تقدمه لهذا المنتدى
ـــــــــــــــ
وعودة ميممونة للأخت رويدا
 
توقيع : mojahid
ما شاء الله تبارك الله كعادتك متميز يا متميز
 
توقيع : Mr. Abdul Bari
مبدع اخي مصطفي

واصل يا بطل وبانتظار ابداعاتك

لي وجهه نظر بخصوص ما يعرف بالدفاع الاستباقي لبرامج الحمايه كنت اود من فتره مناقشتها ولكن لم تاتي فرصه مواتيه لذلك

كما اوضح الاخ الغالي مصطفي ان الهيروستك الخاص ببرامج الحمايه يعمل وفق اليه معينه وهذه الاليه تعتمد علي قواعد تعرف بمؤشرات الاشتباه وكما ذكر اخونا مصطفي ان لكل مؤشر قيمه معينه ويتم تصنيف الملفات تبعا لقيمها

علي اي شئ تعتمد برامج الحمايه في وضع هذه القواعد ( مؤشرات الاشتباه)
تعتمد في ذلك علي خبرتها وسابق تعاملها مع الملفات الخبيثه حيث تحلل الملفات وتلاحظ ما تقوم به الملفات ثم تقوم بالتصنيف ووضع القيمه وفق معايير معينه

السؤال هنا

ماذا لو هناك ملف خبيث يقوم بتنفيذ نشاطات لم تعهدها برامج الحمايه من قبل اي غير متواجد له قيم بمؤشرات الاشتباه

بالطبع ستقف برامج الحمايه عاجزه امامه واحيانا لسنوات عديده

وهذا احد الاسباب التي دعت بعض الخبراء لان يصرحوا بان برامج الحمايه ليست برامج حمايه استباقيه proactive وانما حمايه تفاعليه reactive
تقبل مروري
وشكرا لشخصك المميز
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


شكرا لمروك دكتور فتحى وبالفعل اذا ظهر اى نشاطات مشبوه فى ملف لم يكون سلوكه مدرج ضمن القواعد الموضوع

فهنا ستقف اغلب البرامج عاجزه عن اتخاز القرار اللازم

وربما تتجه هذه المره للتحليل الملف بالشكل اليدوى ليتم حسم الامر
 
توقيع : black007
بارك الله فيك استاد مصطفى ... في ميزان حسانتك ان شاء الله
 
توقيع : صدى الصمت
واصل يا بطل إبداعاتك (y)

دائما تتحفنا بما هو جديد وقيم أخي مصطفى , بارك الله فيك وجعلها الله في ميزان حسناتك إن شاء الله

واجهة نظري : أرى إن أكثر البرامج المعتمدة على تقنية الهيوريستك في الكشف هي شركة الـ ESET

فاثناء فحص الملف يقوم البرنامج بتشغيل التطبيق في بيئة واهمية ويتم عندها

تسجيل معدلات الاشتباه لمعرفة إن كان تطبيق مشتبه به أو لا

هذة التقنية تصطاد أكثر من 60% من التطبيقات المشبوهة بينما 40% أو أقل يتم الكشف عن طريقة قاعدة البيانات

ورغم إنه ولما لهذة التقنية من عواقب سلبية في إرتفاع معدلات الاندرات الكاذبة ... الا إن الشركة السلوفاكية أستطاعت أن تكون منتجاتها من أقل البرامج كشف للانذرات الكاذبة

وهذا يعود حسب وجهة نظري للتالي :

1- كتابة تواقيع دقيقة جداً لدرجة الاحتراف
2- دقة تحديد قواعد الاشتباه لدى الشركة السلوفاكية ESET

:: تحياتي ::

 
توقيع : Abdulmuhaimen

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



نعم اقوى الهيروستيك موجود على الساحه الان هو من الشركه السلوفاكيه ESET

ولكن لحظه لا تخلط بين مفهوم البيئه الوهميه ومفهوم الهيروستيك

فلكل منه طريقه مختلفه عن الاخر
 
توقيع : black007
السلام عليكم ورحمة الله
لن ازيد شئيا عما قاله الاخوة فعلا دروس مفيدة تستحق التثبيت والتجميع خاصة ان تمت اضافة بعض الصور للموضوع
منك نستفيد استاذنا مصطفى واصل ابداعك..

-----------
الفحص بالهيروستيك من اهم الاداوت المعتمدة من برامج الحماية ويعد كطبقة اضافية تساعد في كشف التلغيم
لكن مشكلته انه يعتمد على قاعدة البيانات السحابية للفيروسات لذلك فقد يسقط بسهولة وقد يكتشف اكتشافات خاطئا
او ما يسمى بالاشتباه الخاطئ كالاشتباه في الكركات والباتشات السليمة وهذا ما يحدث مع البيتديفندر
واظن حسب ما تناقلته بعض المواقع ان هناك تقنية جديدة ستعتمدها شركة الكاسبرسكي في الاصدار القادم 2016
تحياتي .
 
توقيع : imadeddine wissam

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


لذلك اوضحت فى جزئيه من الموضوع كيف يقوم الهيروستيك بالتفرقه بين الملف السليم والملف الكاذب

وعلى الرغم من ذلك يظل هناك اكتشافات خطا للهيروستيك

وعلى حسب كل شركه فى تطوير الهيروستيك الخاص بها وتطورها له بحيث تقلل قدر الامكان من الاكتشافات الخطاء لذلك اوذح مثال توضيحى
 
توقيع : black007

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

لذلك قام البعض بعمل مشروع مفتوح المصدر في محاوله لسد الفجوه تحت مسمي openioc والمشروع له موقع بنفس الاسم
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


جارى الاطلاع والاستفاده من المعلومات المطروحه
 
توقيع : black007

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


اولا مشكور على الموضوع الرائع في ميزان حسناتك
هناك انوع من الهيروستك والهيروستك التى في النود Static وهي موجودة في الانتي فايروس اما viruscope , ws , avs

فهي Dynamic والفرق شاسع بين الاثنين الاول يحلل بعض الاكواد في التطبيق قبل التشغيل والثاني اثناء التشغيل
 
مبدع كعادتك في نقطة بالنسبة للهيروستك هل الدي موجود في جدران نارية منفصلة و الدي موجود في مكافحات فيروسات لهم نفس الية العمل ام مختلفة

هناك بعض مكافحات التي تحتوي على محلل سلوك بعد ان تكتشف بأن ملف خبيث توقف عمله واحينا بعض من عمليات التي يقوم بها لكن ملف اصلي لا يقوم

بحدفه او على اقل يقوم بحجزه فما هو السبب في نظرك
 
موضوع رائع جدا ومهم جدا واريد ان اعرف افضل ثلاث برامج تملك هيروستك قوي واقل نسبه اكتشافات خاطئه
لكون جهازي ملئ بالباتشات والكراكات
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى