• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

اختبار EICAR علي الطريقه الزيزووميه

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,073
الحالة
مغلق و غير مفتوح للمزيد من الردود.
m0d!s@r7@n

m0d!s@r7@n

عضو شرف (خبير فحص الملفات)( خبراء زيزووم)
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
24 مارس 2013
المشاركات
3,452
مستوى التفاعل
15,533
النقاط
1,220
الإقامة
مصر
غير متصل
45440



-الجميع يعرف ملف EICAR الخاص باختبار برامج الحمايه وقد صار الملف مكشوفا من جميع برامج الحمايه تقريبا لذا

يستخدم الان لاختبار هل برنامج الحمايه يعمل ام لا

-اذن ما الجديد ؟

الجديد هنا في زيزووم حيث تم تطوير اداه تقوم بتوليد ملف EICAR في عده صيغ (exe -zip-pdf) متخطيه برامج الحمايه

مبرمج الاداه هو الخبير الامني الرائع Didier Stevens وله مدونه باسمه (من افضل المدونات الشخصيه ان لم تكن الافضل)

نتيجه فحص الاداه (الاداه لا ضرر منها اطلاقا كما هو معروف)

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


طريقه عمل الاداه

-بعد تحميل الملف قم بفك الضغط علي سطح المكتب بشرط ان يكون الملف داخل الفولدر

1.webp


-نفتح موجه الاوامر (شاشه الدوس) ونكتب بها امر cd + مسار الملف (copy\paste)

2.webp


اضغط انتر وتاكد انك داخل الفولدر

3.webp


نكتب هذه الاوامر (امر بعد اخر )ونضغط انتر بعد كل امر

- EICARgen.exe write

- EICARgen.exe zip

- EICARgen.exe pdf

لتحميل ملف الاختبار

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

الباس infected

بانتظار نتائج اختبارات برامج الحمايه لديكم
45442
 

توقيع : m0d!s@r7@n
بعد تنفيذ الخطوات .. ماهي لا لحظات وتم الاكتشاف


ygXNjm.jpg



الحجز

dC1GJ0.jpg


 
توقيع : alaa8iniesta
كاسبر :

1.webp


عند التشغيل :

2.webp



ثم حذف :

ثاثفا.webp


عند تشغيل ال pdf تم حذفه :

4.webp


ثم رسالة تفيد بالحذف لكن اختفت بسرعة :D
 
توقيع : عين الطيف
عند كتابة الامر الاخير تحرك ال avg
2014-09-11_103340.webp
2014-09-11_103358.webp
مشاهدة المرفق 62534

عند فحص الملفات
2014-09-11_104056.webp
2014-09-11_104126.webp

و تبقى ملف واحد في المجلد
2014-09-11_104135.webp
 
التحدي هو الا تسمح برامج الحمايه بانشاء الملفات اساسا وليس كشف الملفات بعد تكوينها
 
توقيع : m0d!s@r7@n
m0d!s@r7@n قال:
التحدي هو الا تسمح برامج الحمايه بانشاء الملفات اساسا وليس كشف الملفات بعد تكوينها
أنقر للتوسيع...
يعني فشل avg :confused::confused::confused::confused: بالمختصر المفيد
 
توقيع : m0d!s@r7@n
m0d!s@r7@n قال:
اذا سمح بتكوين الملفات دون ان ينبهك فقد نجحت الاداه في تخطيه
أنقر للتوسيع...
وهذا ما حذث فعلا
خسارة حتى بدات احب البرنامج
 
الاداة رائعه

وبها صلاحيات غير محدودة

لانها تأخذ ملفCMD كحاضن لتنفيذ الاوامر

وكمان موثوقه من الكاسبر
2014-09-11_163431.webp

تم تنفيذ الاولمر وقام الكاسبر بالتقاط الملف الاول
2014-09-11_162954.webp


والثاني
2014-09-11_163126.webp

=============
الان تم تطوير التجربه بما ان الملف CMD هو الحاضن تم نقله لقاعدة تقيد منخفض واعطاءة صلاحيات محدودة :sneaky:
2014-09-11_163731.webp

وبمجرد كتابه الاولمر ظهرت رسائل الهيبس :D يحاول Cmd كتابها اومر علي الملف :ROFLMAO:

2014-09-11_163303.webp
 
توقيع : pro george
البتد فيندر عند ادخال الامر الأول ..
5IValV.jpg

الامر الثاني ..
eR286r.jpg

الأمر الثالث ..
qA1u0C.jpg

ملف قام بحذفه تلقائيا واثنين قام بنقلهما إلى الحجر ..
j6mlp4.jpg

tR7NAz.jpg


 
توقيع : أبو رمش
شباب واضح اني عملت الطريقة غلط :D

لان الشرح مش راضي يتطبق معايا كويس لان بمجرد مابحط اي امر في كومند برومند بيختفي في ساعتها :eek:
 
تشكر اخي فتحي على متابعة كل جديد ..

الاول منعه النود مباشرة ,

2014-09-11_202750.webp


=============================

الثاني بالفحص ,

2014-09-11_202933.webp


=======================

الثالث للاسف لم يكتشف الا بالتشغيل :(

2014-09-11_203043.webp
 
* معذرة * ولكن مراقبنا : ال AVG حذف الملفات قبل التشغيل بمجرد كتابة الأوامر تم الامساك بهم فكيف فشل ؟؟ وكذلك بت ديفندر حذفهم قبل التشغيل وهذا تفوق أكيد !!
 
توقيع : عين الطيف
عين الطيف قال:
* معذرة * ولكن مراقبنا : ال AVG حذف الملفات قبل التشغيل بمجرد كتابة الأوامر تم الامساك بهم فكيف فشل ؟؟ وكذلك بت ديفندر حذفهم قبل التشغيل وهذا تفوق أكيد !!
أنقر للتوسيع...
avg لم يتحرك عند كتابة الامر الاول او الثاني
فقط عند كتابة الامر الثالث ثم الاكتشاف
 
:) ميضو جه
الأداة تعتمد على إستخراج ملفات بامتدادات مختلفة ثم وضع كود أسكي لملف ايكار بها
تعد مقياس لقدرة برنامج الحماية على كشف حقن الشيفرات الفيروسية الخطيرة
بحيث تختبر قدرتها على كشف الشيفرة الفيروسية قبل حقنها
حيث في بعض الأحيان لايكشف المكافح الفيروس نفسه لكن يكشف الشيفرة الفيروسية
لذلك عليه كشفها قبل حقنها لأنه قد لايمكن أزالتها او تنظيف الملف بعد الحقن
وباالتالي تصاب الملفات ويفشل المكافح في تنظيفها
طيب كيف استغل أنا كهكر هذة الجزئية ؟
عن طريق وضع تايمر قبل الحقن
لكن كيف يمكن تخطي برنامج الحماية ؟
أغلب برامج الحماية تضع عمق أقصى ووقت محدد لفحص الملف ,
وذلك لعدم الضغط على موارد الجهاز
طيب لو انتهى هذا الوقت \\ يتم ترك الملف وشأنه
ولو لم يتم كشف أي شيفرات خبيثة ضمن الكود بفحصه لوقت معين وعمق معين يتم تركه "فكرة التشفير على المحركات"
هذة الأمور تظهر أكثر مع المحركات السحابية لأنها تستغرق وقتا إضافيا للإتصال بالنت
طيب أداتنا هنا

جرب وضع الأداة في الـC
وأنشأ ملف نوت وأكتب به الآتي :-
كود: 
cd c:\

- EICARgen.exe write

- EICARgen.exe zip

- EICARgen.exe pdf

,و أسمه أي شيئ بشرط أن يكون الإمتدادbat
شغل وجرب
- الفكرة تكمن في تمكين المكافح من كشف شيفرة الأسكي قبل حقنها حيث يقوم ملف البات بتنفيذ الأوامر عوضا عنك
وبالتالي التوفير في الوقت قبل انتهاء مدة فحص عملية الأداة

~
 
توقيع : MagicianMiDo32
مرقبنا الغالي
m0d!s@r7@n : هل يمكن إعتبار هذا الاختبار وسيلة متقدمة لقياس قوة برنامج الحماية او مدي سرعة الاستجابة ؟؟ مثل هنا النود و البت ديفندر تفوقوا علي كاسبر من ناحية الحذف فورا انما كاسبر ترك الملفات كلها للتشغيل - ومثل تخطي الأمر الأول والثاني لل Avg - وللأسف لم يتوافر غير هذه البرامج لعدم اشترك الأعضاء -
- ولو أمكن وجود عدة أدوات مختلفة تعمل بطريقة أخري فنرجو من حضرتك ومن خبراء الحماية عمل موضوع منها مثلا عن : قياس قوة برنامج الحماية او مدي سرعة استجابته . (y) (y) تقبل مروري (y) (y)
 
توقيع : عين الطيف
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى