[نقاش]هل يمكن اسقاط الهيبس علی اليدوي (كالكاسبر يدوي )دون استعمال تقنيات الاختراق المتقدم؟

[MagicianMiDo32]

بسم الله الرحمن الرحيم
سلام الله عليكم ورحمته وبركاته
.......................................
-----------------------------

في الآونة الاخيرة تقدمت تقنيات الحماية بخطوة ايجابية نتيجة الاحداث المعاصرة التي تتطلب رفع مستوی الأمن العام وليس الأمن الرقمي فحسب

في إحدی مواضيع المنتدی دار حوار بسيط حول امكانية تخطي الحمايات المكثفة دون اللجوء الی الاختراق المتقدم
بل باستعمال وتطوير تقنيات الاختراق العادية والشائعة

يعني
هل ممكن نتخترق دفاع الهيبس اليدوي ؟
مثلا الكاسبر علی اليدوي

يعني انا بحمل التشفيرة واشغلها ع الكاسبر يدوي دائما بيظهرلي سلوكيات كثيرة للملف

الفكرة ان احنا مش عاوزين الكاسبر يكتشف اي سلوك
ممكن دي

في نفس الوقت ممكن نستغل نقطة ضعف في برنامج الحماية لاسقاطه

ما رأيكم....

 

[forgotyou]

صعب جدا ان لم يكن مستحيل تخطيه على اليدوى الا اذا سمحت بكافه السلوكيات للملف

من حوالى 3 سنوات كده كان موجود ملف فى المنتدى اسمه بات الصاعقه جميع برامج الحمايه سقطت امامه بلا استثناء الا 4 برامج منهم الكاسبر وكان يدوى

على فكره سقط على الوضع الافتراضى نسيت اقولك البرامج هى جدار الكومودو جدار الارمور جدار الاوتبوست

 

[ALmehob]

وعليكم السلام ورحمة الله وبركاته
اهلآ اخى ميدو
صعب جدآ ان لم يكن مستحيل اسقاطه على اليدوى
وبالاخص هذه الوحش

 

[أبو رمش]

لا يوجد شي مستحيل !

 

[black007]

نقاش رائع جدا ياميدو

نعم يمكن عن طريق الهوك HOOK

تخطى الداله

وهنا ساقوم على عمل HOOK على عمليات الكاسبر بالكامل

ولكن هنا انا اريد اسقاط برنامج بحد زاته ومستهدف

ليس اختراق متقدم

ولكن اسقاط برنامج ( استقصاد يعنى )

بس محدش بيعمل كده غير واحد فاضى

مين الفاضى الى هيقعد يراقب دوال API فى الكاسبر ويقعد يعمل jump من داله للتانيه

ده موضوع مرهق جدا جدا

وزى مقولتلك ده واحد فاضى

فى موضوع انا كنت

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عمله بخصوص الهبس وتخطيه عن طريق الهوك

هنا الهوك الى انا هعمله هعمله على جميع دوال وعمليات الكاسبر

بس زى مقولتلك محدش بيعمل كده الا لو واحد فاضى مروهوش حاجه

 

[nizarawi]

نقاش رائع
اخي بلاك لا يمكن عمل هوك لدوال الكاسبر الا ادا عطلت حمايته الداتية
ان قام المستعمل بعمل كلمة مرور لحماية تغيير الاعدادات تصبح المهمة شبه مستحيلة

 

[MagicianMiDo32]

فعلا الموضوع صعب خصوصا من وجهة نظر الهكر فمفيش مشكلة عنده فجمع الضحايا لان كل الناس بتستخدم البرنامج ع الافتراضي
والي يعرف يتعامل مع البرنامج ع اليدوي اكيد هيعرف يتصرف في حالة اختراقة دا اذا تم اختراقه اصلا لانه طبعا هيكون حريص
لكن فايدة الامر انك ممكن تحصل علی وظيفة في شركة الحماية لما تسقط الب نامج بتاعهم في اقوی اعداداته
جدير بالذكر ان ملف بات الموت الي كتبته علشان يحذف كل حاجة في الجهاز تمكن من حذف بعض الملفات الاساسية وتعطيل النظام مع وجود الكاسبر ع اليدوي
معنی كدا ان فيه ملفات نظام اساسية غير محمية من الكاسبر يمكن استغلالها في الاختراق

 

[black007]

نقاش رائع
اخي بلاك لا يمكن عمل هوك لدوال الكاسبر الا ادا عطلت حمايته الداتية
ان قام المستعمل بعمل كلمة مرور لحماية تغيير الاعدادات تصبح المهمة شبه مستحيلة

اخى انت تتكلم وكانى ساعمل داخل رنج Ring3 : Usermode

ولكن الهوك ما ساقوم بعمله هو داخل رنج Ring0 : kernelmode

يعنى لست محتاج الى تعطيل الحمايه الزاتيه لبرنامج ما

لانى فى جميع الاحوال ساقوم بخطى حمايته الزاتيه

 

[black007]

فعلا الموضوع صعب خصوصا من وجهة نظر الهكر فمفيش مشكلة عنده فجمع الضحايا لان كل الناس بتستخدم البرنامج ع الافتراضي
والي يعرف يتعامل مع البرنامج ع اليدوي اكيد هيعرف يتصرف في حالة اختراقة دا اذا تم اختراقه اصلا لانه طبعا هيكون حريص
لكن فايدة الامر انك ممكن تحصل علی وظيفة في شركة الحماية لما تسقط الب نامج بتاعهم في اقوی اعداداته
جدير بالذكر ان ملف بات الموت الي كتبته علشان يحذف كل حاجة في الجهاز تمكن من حذف بعض الملفات الاساسية وتعطيل النظام مع وجود الكاسبر ع اليدوي
معنی كدا ان فيه ملفات نظام اساسية غير محمية من الكاسبر يمكن استغلالها في الاختراق

هههههه

ده الى عايز يدور على ظيفه فى احدى الشركات الحمايه الكبرى

بس عليه ان يكون محترف واقول محترف بمعنى احتراف برمجه واخص بالذكر اللغه ++C

وغيرها من اللغات الاخر

يعنى يجب ان يمتلك خبره فى اللغات البرمجيه المختلفه

لان سيساضفه كثير من الملفات فيجب ان يعرف مكانيكيه الملف الذى يتعامل معه

 

[MagicianMiDo32]

لأ هم بيشغلو الغاوي
تسدق كنتا انا وشوية شباب بنتكلم في منتدی عن التراست دخل المشرف بتاع التراست
طلب اي حد يجرب النسخة البيتا
يبقی بيتا تيستر يعني
كنت اخش ولا ايه رأيك

 

[black007]

لأ هم بيشغلو الغاوي
تسدق كنتا انا وشوية شباب بنتكلم في منتدی عن التراست دخل المشرف بتاع التراست
طلب اي حد يجرب النسخة البيتا
يبقی بيتا تيستر يعني
كنت اخش ولا ايه رأيك

انت بتهزر

كنت دخلت يابنى

صدقنى كنت هتتنقل نقله تانيه

وممكن تنضم support team بتعهم

خصوصا انك اشتغلت على البرنامج وعارف امكانياته كويس

فهتفدهم جامد

 

[MagicianMiDo32]

انت بتهزر

كنت دخلت يابنى

صدقنى كنت هتتنقل نقله تانيه

وممكن تنضم support team بتعهم

خصوصا انك اشتغلت على البرنامج وعارف امكانياته كويس

فهتفدهم جامد

مكنتش ح افيدهم ولا حاجة يعني أنا عارف افيدكم في المنتدی
هو الراجل اسمه ديميتري
علی فكرة ممكن اعمل كام فيديو كدا تجارب علی البرنامج وبحثين كدا
وممكن يضموك
لان البرامج الجديدة دي بيضمو اي حد

 

[nizarawi]

اخى انت تتكلم وكانى ساعمل داخل رنج Ring3 : Usermode

ولكن الهوك ما ساقوم بعمله هو داخل رنج Ring0 : kernelmode

يعنى لست محتاج الى تعطيل الحمايه الزاتيه لبرنامج ما

لانى فى جميع الاحوال ساقوم بخطى حمايته الزاتيه

حتى مع استعمال هوك من الرنج 0 , هل سيسمح الكاسبر لملف sys بلاشتغال بتلك السهولة

 

[black007]

حتى مع استعمال هوك من الرنج 0 , هل سيسمح الكاسبر لملف sys بلاشتغال بتلك السهولة

اخى هل تعرف ما هو الرنج 0 انه نواه الويندوز

وليس من السهل الوصل اصلا الى هذه الطبقه

يعنى اى عمليه يمكن تنفيزها والكاسبر لن يستطيع فعل اى شى

+

انى اول ما ساقم بفعله هو تعطيل الدفاع الزاتى للبرنامج اقصد الداله المسؤله عن الدفاع الزاته فيه ومن بعدها سابدا فى تخطى باقى الدوال واحده تلو الاخرى

وكما اوضحت لك

ان من يريد فعل ذلك سيرهق نفسه جدا لان الموضوع مش بسهوله التى تتخيلها

انت ستقوم باللعب على الدوال الاساسيه للبرنامج اى ستقوم بسقاط عمل فريق كامل

هل تستطيع فعلها وحدك

نعم يمكن ولكن كم من الوقت ستحتاج ؟؟؟

 

[yahiaahmad]

السلام علسكم رحمة الله وبركاته رغم اني مش فاهم اي حاجة في اي جاة خالص تماما اللي اعرفه انكم بتحاولوا تتخطوا حماية الكاسبر وان العملية معروفة الطريقة بس صعبة جدا وعايزة واحد انا بردك بقرأ الموضوع يمكن استفيد باي حاجة علشان ميتمش ابقي حريص كل الحرص م العلم اني منصب الكاسبر وعمله علي الافتراضي ببقي حريص وانا بلف علي النت

 

[MagicianMiDo32]

حتى مع استعمال هوك من الرنج 0 , هل سيسمح الكاسبر لملف sys بلاشتغال بتلك السهولة

اخى هل تعرف ما هو الرنج 0 انه نواه الويندوز

وليس من السهل الوصل اصلا الى هذه الطبقه

يعنى اى عمليه يمكن تنفيزها والكاسبر لن يستطيع فعل اى شى

+

انى اول ما ساقم بفعله هو تعطيل الدفاع الزاتى للبرنامج اقصد الداله المسؤله عن الدفاع الزاته فيه ومن بعدها سابدا فى تخطى باقى الدوال واحده تلو الاخرى

وكما اوضحت لك

ان من يريد فعل ذلك سيرهق نفسه جدا لان الموضوع مش بسهوله التى تتخيلها

انت ستقوم باللعب على الدوال الاساسيه للبرنامج اى ستقوم بسقاط عمل فريق كامل

هل تستطيع فعلها وحدك

نعم يمكن ولكن كم من الوقت ستحتاج ؟؟؟

صحيح يابلاك مستحيل الكاسبر يسمح بحقن درايفر sys في الكيرنل
وانتا لازم توصل لصلاحيات الكيرنيل علشان تعطل دوال الحماية
لكن فيه نقطتين مهمين
الآولی ان الكاسبر مبيحميش ملفات النظام بشكل موسع ودا عيب فيه
علی عكس بعض البرامج زي الآرمور والكومودو
والنقطة دي تم اثباتها بملف بات الموت الي تمكن من حذف ملفات مهمة في النظام
والكاسبر موجد علی اليدوي
فدا ممكن يسمحلنا نحقن في ملف نظام غير محمي من الكاسبر والوصول لصلاحياته بدوال api الي بتسمحلك تنفذ بعض العمليات في الرينج 0 منها بعض عمليات الحقن او استبدال العملية

النقطة التانية انه مش لازم نوصل للكرنل علشان نسقط الكاسبر
بمجرد الوصول لصلاحيات المسؤول مراقبة الكاسبر للملف ح تقل بدرجة تسمح بحدوث الاختراق
ودا حصل في باتش الاختراق النووي لاحمد ويونس
وممكن اطبقه تاني بسهولة ونتخطی الكاسبر
كمان كسر ملف موقع رقميا وكتابة اكواد خبيثة فيه ح يسقط الكاسبر زي ما حدث في احدی عينات المنتدی

 

[black007]

صحيح يابلاك مستحيل الكاسبر يسمح بحقن درايفر sys في الكيرنل
وانتا لازم توصل لصلاحيات الكيرنيل علشان تعطل دوال الحماية
لكن فيه نقطتين مهمين
الآولی ان الكاسبر مبيحميش ملفات النظام بشكل موسع ودا عيب فيه
علی عكس بعض البرامج زي الآرمور والكومودو
والنقطة دي تم اثباتها بملف بات الموت الي تمكن من حذف ملفات مهمة في النظام
والكاسبر موجد علی اليدوي
فدا ممكن يسمحلنا نحقن في ملف نظام غير محمي من الكاسبر والوصول لصلاحياته بدوال api الي بتسمحلك تنفذ بعض العمليات في الرينج 0 منها بعض عمليات الحقن او استبدال العملية

النقطة التانية انه مش لازم نوصل للكرنل علشان نسقط الكاسبر
بمجرد الوصول لصلاحيات المسؤول مراقبة الكاسبر للملف ح تقل بدرجة تسمح بحدوث الاختراق
ودا حصل في باتش الاختراق النووي لاحمد ويونس
وممكن اطبقه تاني بسهولة ونتخطی الكاسبر
كمان كسر ملف موقع رقميا وكتابة اكواد خبيثة فيه ح يسقط الكاسبر زي ما حدث في احدی عينات المنتدی

طب مانا قولت ياميدو انى هوصل للكرنل واول حاجه هعملها هى تعطيل الدفاع الزاتى للكاسبر

وقولت كل ده هيتم فى الرنج 0

بالنسبه لبات الموت فده انت هنا بتتكلم عن رنج 3 اليوزر مود

وزى مانت قولت انى فعلا فى عمليات كتير الكاسبر مبيحمهاش من ملفات النظام

بالنسبه للجزئيه التانيه

انت لو قريت الموضوع الى انا حطتلك الرابط بتاعه

كنت هتلاقى انى قايل ممكن نعمل هوك فى اليوزر مود

وده الى حصل فى ملف احمد ويونس ( انه حقن باتش اختراق فى عمليه موثوقه ) التى هى فى الاصل غير محميه من الكاسبر قما قلت

بالنسبه لجزئيه الملف موقع رقمى

فبها شك ممكن فعلا الملف يكون موقع رقمى لكن الكاسبر وهو على اليدوى بيسالك على الملف

انا الصراحه مشتغلتش على الكاسبر بالدرجه الكافيه علشان اتاكد من الجزئيه دى

لكن

الكاسبر اذا وجد ملف حتى وان كان موثوق وموقع رقمى يتصرف بسلوك غريب بيتم نقلهم من موثوق الى طبقه اقل

لتحديد حالته

 

[ALmehob]

طب مانا قولت ياميدو انى هوصل للكرنل واول حاجه هعملها هى تعطيل الدفاع الزاتى للكاسبر

عملت باسورد للاعدادات

 

[nizarawi]

تجربة لاحد المختبرات الروسية في محاولة فقط الوصول للرنج0 من خلال استخدام عدة طرق
لم نصل بعد لعمل هوك او ايقاف الحماية

المهمة مستحيلة

 

[black007]

تجربة لاحد المختبرات الروسية في محاولة فقط الوصول للرنج0 من خلال استخدام عدة طرق
لم نصل بعد لعمل هوك او ايقاف الحماية

مشاهدة المرفق 75085

المهمة مستحيلة

ممكن رابط الموضوع الاصلى

للاطلاع