للمره الرابعه سقوط ApateDNS ( تشفيره قويه ) بتاريخ 15/1/2015

[كمال احمد]

حاله حال الحصان رصد اتصال فقط

وش تبيه يسوي بعد ؟؟؟

 

[ALmehob]

حاله حال الحصان رصد اتصال فقط

رصده كويس يعنى كشف الاتصال وطلع الايبى ممتاز
يعنى ماذا اكثر من ذلك

 

[أبو رمش]

كثير من البرامج رصدت الاتصال !!

 

[Ahmad frij]

وش تبيه يسوي بعد ؟؟؟

رصده كويس يعنى كشف الاتصال وطلع الايبى ممتاز
يعنى ماذا اكثر من ذلك

اذا هجوم من جيوش الكاسبر لكن انا عندي جيشان جيش النود وجيش الحصان
امزح امزح
اقصد انه لم تتحرك وحده اخرى في البرنامج في هذه التشفيرة
مثلا الحصان في كل التشفيرات السابقة كان محلل السلوك والسحابة تتحرك لكن هنا الحصان كل ما قام به رصد الاتصال

 

[hitman samir12]

الكاسبر عندي رصد الاتصال
[hide]197.162.104.88
80[/hide]

 

[black007]

تقصد عن طريق اسم النافذة
ممكن نعدل على الابيت دس ان اس ونغير اسم الكلاس بتاعه لانه مفتوح المصدر
كمان انا عملت مشروع بالفيجوال بيسيك يغير اسم النافذة واسم العملية لمنع التخطي
طبعا بفضل مكتبة user32.dll

باك

منور يامعلم ميدو

طيب هو البرنامج بالفعل مفتوح المصدر ولكن الاخوه هنا

بيستخدموا البرنامج بشكل مباشر من الشركه

فالبعض منهم لا يعرف كيف يتعامل مع السورس كود ( هو خاص بالمبرمجين )

والبعض الاخر يخاف التنزيل والتعديل خوفا من ان يكون ملغوم

طبعا انا لا اعترض اطلاقا على الشباب هنا وهم حزرهم

ولكن لمن يحب ان يجرب والخوض اكثر ويتعمق فى مجال البرمجه

كله حسب الخبره

وجيد جدا منك انك قمت ببرمجه اداه تسهل بها على الشباب الامر

لذلك انتظرنى ان شاء يوم السبت المقبل كما اتفنا على نشر التشفيره الجديده

بها هذا التخطى واخبرنى ماذا حصل معك

كالعادة , مبدع أخي مصطفى

دائماً ما تتحفنا بإبداعتك

تمت التجربة على برنامج ESET Smart Security ما لفت أنتبهى هو إن الدومين قد يكون محظور عندنا في ليبيا

حتى بعد السماح ... لم يحدث إي شيء

فهل ظهر عندك أسم جهازي أخي مصطفى !!!

:: تحياتي ::​

منور اخى عبد المهيمن

فكما تفضل وقال لك الاخ ميدو ان الهوست هو خاص تبع الفايروول للمودم

وايضا هو مفعل عندى لذلك لم يتم رصد الهوست من النود وسيظهر لديك الاى بى الخاص بى فقط

[hide][/hide]

حلو اقتنصه الوحش كاسبر ياعينى
التطبيق والله مارضى يفتح معى ابدآ

اذا هجوم من جيوش الكاسبر لكن انا عندي جيشان جيش النود وجيش الحصان
امزح امزح
اقصد انه لم تتحرك وحده اخرى في البرنامج في هذه التشفيرة
مثلا الحصان في كل التشفيرات السابقة كان محلل السلوك والسحابة تتحرك لكن هنا الحصان كل ما قام به رصد الاتصال

الكاسبر عندي رصد الاتصال
197.162.104.88
80

كما تفضلتم

فقد رصد الكاسبر الاتصال فقط على الوضع اليدوى

وفى الوضع الافتراضى الله يكون فى عونه ومعه

فلا مجال للحديث هنا

لكن نريد ان نقول رساله

( حتى على الوضع الافتراضى بالنسبه لاقوى الحمايات يسقط البتد دفندر )

رغم التلقائيه التامه التى يتمتع بها

 

[MagicianMiDo32]

اذكر اني رفعت تقريبا اداة من برمجتي لحماية ادوات الفحص في موضوع قديم لي في المنتدی

 

[black007]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[tiktoshitiktoshi is verified member.]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ممنوع رفع على مواقع فحص
اصبر اخي مصطفى

 

[black007]

ممنوع رفع على مواقع فحص
اصبر اخي مصطفى

انا لم ارفع ذهبت لافحص الهاش الخاص بالملف وجدته مرفوع

لذلك وضعت الرد

رغم انى نبهت فى اول الموضوع الرفع يكون بعد 48 ساعه من الان

ولكن لا حياه لمن تنادى

ولا كانى قلت حاجه

 

[Abdulmuhaimen]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

غضبك مبرر أخي مصطفى , ومعاك كل الحق في ذلك

بينما نراك تتعب وتبتكر الطرق لمحاولة صناعة باتشات قوية وغير مكتشفة

في حين نجد إن هناك أعضاء تقوم برفع تلك العينات لمواقع الفحص والتى بدورها تقوم بإرسال تلك القيم للشركات الحماية

أخي مصطفى , حاول أن تجد حل لهذة المشكلة

كإن يقوم مثلا بخداع الموقع مثلاً في عملية الفحص أو قطع الاتصال عنه

​

 

[أبو رمش]

ما شاء الله تبارك الله أخي مصطفى عندك ضيوف واجد ..!!!

 

[Abdulmuhaimen]

ما شاء الله تبارك الله أخي مصطفى عندك ضيوف واجد ..!!!

أعتقد يا أخي أبو رمس ... إن الزوار هم

روسيا ... محللي شركة كاسبرسكي و الدكتور ويب
المانيا ... أفيرا و الجي داتا ​

 

[ALmehob]

انا لم ارفع ذهبت لافحص الهاش الخاص بالملف وجدته مرفوع

لذلك وضعت الرد

رغم انى نبهت فى اول الموضوع الرفع يكون بعد 48 ساعه من الان

ولكن لا حياه لمن تنادى

ولا كانى قلت حاجه

جماعة Avira
هم المتهمون بذلك

 

[qysr]

طيب شرح فكره التخطى + طريقه عمل الملف

التشفيره تم وضع كود التخطى داخل السورس قبل التشفير لذلك لن يستطيع احد الوصول الى الكود الا اذا وصل للسورس نفسه

واذا وصلت الى السورس لمن تستيطع ان تجد الكود لانك ستتوه داخل الاكواد الكثيره المكتوبه

فكره كود التخطى تعتمد على اذا وجدت عمليه اسم الملف ApateDNS تعمل سيقوم الملف بقتل نفسه

واذا قمت بتشغيل البرنامج للرصد بعد تشغيل الملف فلن يرصد شى ايضا وهذه هى عبقريه الكود

كيف اسطاع الاخواه الاحباء رصد على الرغم من تم ارفاق الكود

الفكره بشكل بسيط تعتمد على اسم العمليه وهذه ابسط عمليات التخطى البسيطه فذا تم اعاده تسميه اسم البرنامج

فالكود لن يعمل

ولكن هناك نوع اخر من التخطى وهو معقد قليلا

وساقوم ان شاء الله بوضعه فى التشفيره القادمه

يعتمد التخطى فيه عن طريق الكلاس نيم Class Name وهذه الطريقه فى التخطى اصعب كثيرا

حتى اذا غيرت اسم البرنامج فسيتم ايضا التخطى

معزرتا الموضوع برمجى بحت ولكن احببت الشرح ولو بشى بسيط حتى تكونى معى فى الصوره

انتظروا التشفيره القادمه بها ما شرحته عن طريق التخطى عن طريق Class Name

حابب انوه برضه الى شى مهم وهو يمكن تخطى هذا النوع وكشف الهوست ايضا حتى واذا قمت بتخطى Class Name

ساشرها فيدو حتى لا يتم التخطى منه

----------------------

ناتى الى كيف تخطى الملف محلل السلوك لدى اغلب البرامج

اذا قمتم بملاحظه عمل الملف من التاسك مانجر ستجدون انه يعمل على هيئه form

وليس هذا فقط فقط تم اضافه ادوات اخرى داخل المشروع بشكل كامل

لايهام اغلب الحمايات انه ملف سيلم

اذا كيف تمت التشفيره فى حد زاتها التشفيره نفسها تعتمد على خوارزميات تشفير GZIP ضغط وفك الضغط ولكن

كيف ذلك ايضا

استدعاء لعمليات الفك الضغط

وفى النهايه

التخطى المتين

دمتن بود

تشكر على التوضيح اخي مصطفى و بانتظار الفيديو
بالمناسبه لم يتم التخطي عندي الا اذا قمت بتشغيل apatedns قبل تشغيل الملف .. لم اقم بتغيير الاسم لكن اذا شغلت الاداه بعد تشغيل الملف عند رصد الاتصال تعمل بشكل طبيعي
بالنسبه لمنع تخطي ادوات المراقبه اعتقد اشهر طريقه طبعا باستخدام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لتعديل التفاصيل من الداخل
فرصه لعمل توضيح سريع لها ... بعد تثبيت الاداه كليك يمين على الملف :

نقوم بتغيير الكلمات هنا من

الى اي اسماء اخرى مثلا

ثم نضغط compile و نحفظ باي اسم exe.

و سنجد التفاصيل تغيرت من الداخل

اعتقد الطريقه تنجح مع اغلب انواع التخطيات لكن ليس جميعها
و بانتظار توضيحك القادم لمنع التخطي بشكل افضل و اكثر شمولا لتعم الفائده باذن الله

 

[أبو رمش]

بالنسبة لطريقة اكتشافي للهوست بالبرنامج المذكور قمت بتشغيل البرنامج بعد تشغيل الملف !
ملاحظة البرنامج نسخة محمولة ( بورتابل ) و ظهر لي الهوست بدون أن أقم بتغيير أي شي ..

 

[dvb2010]

اذا ممكن اخي مصطفى

كيفية تشفير سيرفر

.

 

[black007]

غضبك مبرر أخي مصطفى , ومعاك كل الحق في ذلك

بينما نراك تتعب وتبتكر الطرق لمحاولة صناعة باتشات قوية وغير مكتشفة

في حين نجد إن هناك أعضاء تقوم برفع تلك العينات لمواقع الفحص والتى بدورها تقوم بإرسال تلك القيم للشركات الحماية

أخي مصطفى , حاول أن تجد حل لهذة المشكلة

كإن يقوم مثلا بخداع الموقع مثلاً في عملية الفحص أو قطع الاتصال عنه

​

جارى العمل على فكره جدجده خاصى بى ان شاء الله تكون ناجه

ما شاء الله تبارك الله أخي مصطفى عندك ضيوف واجد ..!!!

أعتقد يا أخي أبو رمس ... إن الزوار هم

روسيا ... محللي شركة كاسبرسكي و الدكتور ويب
المانيا ... أفيرا و الجي داتا ​

جماعة Avira
هم المتهمون بذلك

دائما هذا العضو وهذا الاى بى بالزات ما يجرب باتشاتى المتواضعه كلما يتم الرفع على فايرس توتل

وعندما يفشل هذا الاى تحديدا يتم دخول واحد اخر غيره ولكن من امريكا وواعتقد اسمه فيكتور

يقوم بالتحليل من بعدها بقليل اجد تم الرصد من بعض برامج الحمايات التى لم تكن مكتشفه

تشكر على التوضيح اخي مصطفى و بانتظار الفيديو
بالمناسبه لم يتم التخطي عندي الا اذا قمت بتشغيل apatedns قبل تشغيل الملف .. لم اقم بتغيير الاسم لكن اذا شغلت الاداه بعد تشغيل الملف عند رصد الاتصال تعمل بشكل طبيعي
بالنسبه لمنع تخطي ادوات المراقبه اعتقد اشهر طريقه طبعا باستخدام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لتعديل التفاصيل من الداخل
فرصه لعمل توضيح سريع لها ... بعد تثبيت الاداه كليك يمين على الملف :

مشاهدة المرفق 73128
نقوم بتغيير الكلمات هنا من
مشاهدة المرفق 73129
الى اي اسماء اخرى مثلا
مشاهدة المرفق 73130
ثم نضغط compile و نحفظ باي اسم exe.
مشاهدة المرفق 73131
مشاهدة المرفق 73132
و سنجد التفاصيل تغيرت من الداخل
مشاهدة المرفق 73133

اعتقد الطريقه تنجح مع اغلب انواع التخطيات لكن ليس جميعها
و بانتظار توضيحك القادم لمنع التخطي بشكل افضل و اكثر شمولا لتعم الفائده باذن الله

شكرا لك اخى ياسر على هذا الشرح

ولكن اعزرنى مع احترامى لك هذا لا يؤثر ابدا او له علاقه بما قلته فى الرد الذى اوضحته

كل ما فعلته انك قمت بتغيير معلومات الاسمبلى الخاص بالملف

وهذا ليس ما كنت اقصد اطلاقا

فاسطيك ان اتلاعب بالملف ( التشفيره ) واضع معلومات اى ملف بالفعل موثوق فى ملف التشفيره

ولكن ليس هذا اطلاقا ما كنت اقصده

عموما ساقوم بشرح الطريقه حتى تتبين للجميع

Class Name

متعلقه ببرمجه الملف الداخليه وليس من السهل تغييرها بسهوله

تحياتى

 

[MagicianMiDo32]

تشكر على التوضيح اخي مصطفى و بانتظار الفيديو
بالمناسبه لم يتم التخطي عندي الا اذا قمت بتشغيل apatedns قبل تشغيل الملف .. لم اقم بتغيير الاسم لكن اذا شغلت الاداه بعد تشغيل الملف عند رصد الاتصال تعمل بشكل طبيعي
بالنسبه لمنع تخطي ادوات المراقبه اعتقد اشهر طريقه طبعا باستخدام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لتعديل التفاصيل من الداخل
فرصه لعمل توضيح سريع لها ... بعد تثبيت الاداه كليك يمين على الملف :

مشاهدة المرفق 73128
نقوم بتغيير الكلمات هنا من
مشاهدة المرفق 73129
الى اي اسماء اخرى مثلا
مشاهدة المرفق 73130
ثم نضغط compile و نحفظ باي اسم exe.
مشاهدة المرفق 73131
مشاهدة المرفق 73132
و سنجد التفاصيل تغيرت من الداخل
مشاهدة المرفق 73133

اعتقد الطريقه تنجح مع اغلب انواع التخطيات لكن ليس جميعها
و بانتظار توضيحك القادم لمنع التخطي بشكل افضل و اكثر شمولا لتعم الفائده باذن الله

كيف حالك اخي قيصرح
انتا هكذا غيرت اسم العملية لكن اسم الكلاس سيظل كما هو

 

[MagicianMiDo32]

جارى العمل على فكره جدجده خاصى بى ان شاء الله تكون ناجه








دائما هذا العضو وهذا الاى بى بالزات ما يجرب باتشاتى المتواضعه كلما يتم الرفع على فايرس توتل

وعندما يفشل هذا الاى تحديدا يتم دخول واحد اخر غيره ولكن من امريكا وواعتقد اسمه فيكتور

يقوم بالتحليل من بعدها بقليل اجد تم الرصد من بعض برامج الحمايات التى لم تكن مكتشفه



شكرا لك اخى ياسر على هذا الشرح

ولكن اعزرنى مع احترامى لك هذا لا يؤثر ابدا او له علاقه بما قلته فى الرد الذى اوضحته

كل ما فعلته انك قمت بتغيير معلومات الاسمبلى الخاص بالملف

وهذا ليس ما كنت اقصد اطلاقا

فاسطيك ان اتلاعب بالملف ( التشفيره ) واضع معلومات اى ملف بالفعل موثوق فى ملف التشفيره

ولكن ليس هذا اطلاقا ما كنت اقصده

عموما ساقوم بشرح الطريقه حتى تتبين للجميع

Class Name

متعلقه ببرمجه الملف الداخليه وليس من السهل تغييرها بسهوله

تحياتى

بالضوط نط ريفليقطور (دوت نت ريفليكتور)
وغير اسم الكلاس من كلك يمين