• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

اداة Fiddler4 المميزة لكشف الهوست والاتصالات

الحالة
مغلق و غير مفتوح للمزيد من الردود.
Ahmed_Albosife

Ahmed_Albosife

زيزوومى محترف
إنضم
19 سبتمبر 2014
المشاركات
499
مستوى التفاعل
2,210
النقاط
770
الإقامة
طرابلس
غير متصل
السلام عليكم ورحمة الله
في هذا الموضوع ان شاء الله سنتطرق الي اداة مميزة اعجبتني سهولتها ودقتها في كشف الاتصالات
الاداة تعمل كبروكسي للاتصال لذلك اذا كان الملف الخبيث يستعمل بروكسي للاتصال لن تعمل الاداة
ايضا لها استعمالات اخري ليست من اختصاصنا
مايهمنا في هذه الاداة هو قدرتها علي كشف الهوست الذي تستعمله الملفات الخبيثة للاتصال

اسم الاداة
Fiddler4
رابط التحميل
[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]
طريقة عمل الاداة

بعد انتهاء التنصيب نقوم بفتح الاداة

هذه واجهة الاداة

ten33956.png

بعد تشغيل العينة (قمت بتشغيل تشفيرة الاخ مصطفي الاخيرة )
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يتم رصد الاتصال مباشرة ....
[hide]
cek34799.png
[/hide]

نمرر الشريط السفلي الي اليمين ومن اجل معرفة ماهي العملية التي قامت باالاتصال

[hide]
nju34799.png
[/hide]

وكما قلنا الاداة لها العديد من الاستعمالات الاخري ولكن مايهمنا هو جلب الهوست الذي تستعمله العينات
وايضا يمكنك من خلالها مراقبة كل الاتصالات التي تتم علي الجهاز ومعرفة نوع الكوكيز التي يتم وضعها باالمتصفح
الي نصل الي نهاية هذا الموضوع البسيط
مع تحيات اخوكم احمد

والسلام عليكم ورحمة الله
 

توقيع : Ahmed_Albosife
شكرا على الاداة بارك الله فيك
 
توقيع : prooonet
بارك الله فيك اخى احمد
ويعطيك الف عافية
 
توقيع : ALmehob
اداه رائعه وجيده فى كشف الاتصالات الخارجيه للملفات الخبيثه

ولا ننسى ايضا الاداه الاسطوره apatedns

لان فكره عملها نفس فكره عمل الاداه التى تفضلت بشرحها

لكن سيصبح الامر صعب اذا كان هذا malware يقوم باكثر من عمليه اتصال فى نفس الوقت

اذا سيصبح الامر صعب وقتها ولان تستطيع التفريق بين الهوست الصحيح والزائف ;222);222)222:)222:)
 
توقيع : black007
black007 قال:
اداه رائعه وجيده فى كشف الاتصالات الخارجيه للملفات الخبيثه

ولا ننسى ايضا الاداه الاسطوره apatedns

لان فكره عملها نفس فكره عمل الاداه التى تفضلت بشرحها

لكن سيصبح الامر صعب اذا كان هذا malware يقوم باكثر من عمليه اتصال فى نفس الوقت

اذا سيصبح الامر صعب وقتها ولان تستطيع التفريق بين الهوست الصحيح والزائف ;222);222)222:)222:)
أنقر للتوسيع...
-------------------------
نعم اخي ..يصبح من الصعب التفريق بينهما ...ولكن الاتصالات الزائفة التي يقوم بها الملف ..هل يتم من خلالها ارسال واستقبال حزم الي الانترنت
بمعني اخر انظر الي هذه الصورة
yga38490.png


اريد سؤالك هل يتم هذا الامر في الاتصالات الزائفة ام لا ؟ ام انه يحصل في الاتصالات الحقيقية فقط والتي يكون بها ارسال واستلام للبيانات

:)
 
توقيع : Ahmed_Albosife
توقيع : Ahmed_Albosife
توقيع : Ahmed_Albosife
Ahmed_Albosife قال:
-------------------------
نعم اخي ..يصبح من الصعب التفريق بينهما ...ولكن الاتصالات الزائفة التي يقوم بها الملف ..هل يتم من خلالها ارسال واستقبال حزم الي الانترنت
بمعني اخر انظر الي هذه الصورة
yga38490.png


اريد سؤالك هل يتم هذا الامر في الاتصالات الزائفة ام لا ؟ ام انه يحصل في الاتصالات الحقيقية فقط والتي يكون بها ارسال واستلام للبيانات

:)
أنقر للتوسيع...

همممممممممممممم

نقاش ممتع جدا

يمكن للاتصالات الزائفه ان تقوم بارسال واستقبال البيانات

وفى هذه الحاله اصبح الامر اصعب واصعب

لكن لدى فكره رائعه جدا جدا تستطيع بها ان تفرق بين الاتصال الزائف والحقيقى

وهى التتبع

ساعطيك مثال

عندما اقوم بتحليل malware ما و اجد اتصالات كثيره لهذا malware اقوم باتباع نهج معين وهو البورت

نعم البورت المنفز الذى يخرج من خلاله الاتصال وايضا كم عدد مرات الاتصال الذى يحاول البرنامج malware انشائها

فالغب انواع malware وهذا راجع خلينى اقول محدوديه وليس غباء من صانع malware انه يقوم باستخدام بورت عشوائى

هنا ستكشف عمليه هذا malware واتصاله الصحيح دون تعب

لكن يصبح الامر صعب اذا كنت تتعامل مع انواع malware تقوم بالاتصال عن طريق بورتات مفتوحه فعلا

وهنا نهج اخر اتبعه فى الوصول للاتصال الصحيح

تحياتى لك
 
توقيع : black007
ألف شكر لك أخي الكريم على هذا الطرح ...
 
توقيع : أبو رمش
black007 قال:
همممممممممممممم

نقاش ممتع جدا

يمكن للاتصالات الزائفه ان تقوم بارسال واستقبال البيانات

وفى هذه الحاله اصبح الامر اصعب واصعب

لكن لدى فكره رائعه جدا جدا تستطيع بها ان تفرق بين الاتصال الزائف والحقيقى

وهى التتبع

ساعطيك مثال

عندما اقوم بتحليل malware ما و اجد اتصالات كثيره لهذا malware اقوم باتباع نهج معين وهو البورت

نعم البورت المنفز الذى يخرج من خلاله الاتصال وايضا كم عدد مرات الاتصال الذى يحاول البرنامج malware انشائها

فالغب انواع malware وهذا راجع خلينى اقول محدوديه وليس غباء من صانع malware انه يقوم باستخدام بورت عشوائى

هنا ستكشف عمليه هذا malware واتصاله الصحيح دون تعب

لكن يصبح الامر صعب اذا كنت تتعامل مع انواع malware تقوم بالاتصال عن طريق بورتات مفتوحه فعلا

وهنا نهج اخر اتبعه فى الوصول للاتصال الصحيح

تحياتى لك
أنقر للتوسيع...
جيد فهمت قصدك اخي مصطفي
+
هل تكون كل هذه الاتصالات بنفس الايبي المقترن باالهوست

لانني رأيت في اكثر من عينة وجود اتصالات كثيرة وتختلف في الايبي ..

فمن خلال الايبي ربما يمكننا تحديد الاتصال الصحيح ...+

الاتصال الصحيح هو الوحيد علي مااظن الذي يبقي الي ان يتم قتل العملية اما البقية فااظن انها تنتهي قبله ولكن في بعض الاحيان يتم قطع الاتصال بعد مرور وقت قصير مما يزيد الامر صعوبة
 
توقيع : Ahmed_Albosife
بارك الله فيك
اضافة مميزة للمنتدى
 
توقيع : mha1m
توقيع : Ahmed_Albosife
توقيع : Ahmed_Albosife
Ahmed_Albosife قال:
جيد فهمت قصدك اخي مصطفي
+
هل تكون كل هذه الاتصالات بنفس الايبي المقترن باالهوست

لانني رأيت في اكثر من عينة وجود اتصالات كثيرة وتختلف في الايبي ..

فمن خلال الايبي ربما يمكننا تحديد الاتصال الصحيح ...+

الاتصال الصحيح هو الوحيد علي مااظن الذي يبقي الي ان يتم قتل العملية اما البقية فااظن انها تنتهي قبله ولكن في بعض الاحيان يتم قطع الاتصال بعد مرور وقت قصير مما يزيد الامر صعوبة
أنقر للتوسيع...

كلامك صحيح فى جزء والجزء الاخر خطا

لماذا

الجزئيه الصحيح ان الاتصالات الزائفه فعلا تكون باى بى مختلف عن الاى بى الهدف وليس واحد

الجزئيه الخطا ان الاتصالات الزائفه لا تنتهى ولكن تظل تتصل لحين تشتيتك بشكل كامل

لان هناك انواع malware تقوم بانشاء اتصالات ولا تنتهى

تعيد وتكرر فى نفس الاتصال اكثر من مره

وتولد اتصالات جديده من الاتصالات الفرعيه

الاتصال الصحيح يظل يعمل دون حراك هذا راجع الى تفكير صانع هذا malware انه اذا ارد عدم كشف اتصاله وسط الكم الهائل من الاتصالات الزائفه

يقف ثابت بدون حراك وحتى لا يعطيك ارسال واستقبال بالبيانات لحين ان يرى ماذا ستفعل وقتها

وقتها انت ستنشغل بالاتصالات الاخرى التى ترسل وتستقبل البيانات

وهيكون صعب عليك التحديد مره اخرى
 
توقيع : black007
توقيع : Ahmed_Albosife
black007 قال:
كلامك صحيح فى جزء والجزء الاخر خطا

لماذا

الجزئيه الصحيح ان الاتصالات الزائفه فعلا تكون باى بى مختلف عن الاى بى الهدف وليس واحد

الجزئيه الخطا ان الاتصالات الزائفه لا تنتهى ولكن تظل تتصل لحين تشتيتك بشكل كامل

لان هناك انواع malware تقوم بانشاء اتصالات ولا تنتهى

تعيد وتكرر فى نفس الاتصال اكثر من مره

وتولد اتصالات جديده من الاتصالات الفرعيه

الاتصال الصحيح يظل يعمل دون حراك هذا راجع الى تفكير صانع هذا malware انه اذا ارد عدم كشف اتصاله وسط الكم الهائل من الاتصالات الزائفه

يقف ثابت بدون حراك وحتى لا يعطيك ارسال واستقبال بالبيانات لحين ان يرى ماذا ستفعل وقتها

وقتها انت ستنشغل بالاتصالات الاخرى التى ترسل وتستقبل البيانات

وهيكون صعب عليك التحديد مره اخرى
أنقر للتوسيع...
نعم اخي معك حق ,,ولكن في النهاية وبعد التدقيق التركيز في الاتصالات سيتم التعرف علي الاتصال الحقيقي
+
لو امكن اذا كنت ستطرح تشفيرة جديدة قم بجعلها تتصل اتصالات عشوائية كثيرة حتي نحكم علي هذه الاداة بشكل افضل
طبعا لو كان لديك وقت لذلك

يسلمو اخي مصطفي علي هذا النقاش الرائع

(222y);222)
 
توقيع : Ahmed_Albosife
black007 قال:
اداه رائعه وجيده فى كشف الاتصالات الخارجيه للملفات الخبيثه

ولا ننسى ايضا الاداه الاسطوره apatedns

لان فكره عملها نفس فكره عمل الاداه التى تفضلت بشرحها

لكن سيصبح الامر صعب اذا كان هذا malware يقوم باكثر من عمليه اتصال فى نفس الوقت

اذا سيصبح الامر صعب وقتها ولان تستطيع التفريق بين الهوست الصحيح والزائف ;222);222)222:)222:)
أنقر للتوسيع...
اختلافها ان الاتصال يمر عبرها على خلاف الـ apatedns
اذا كان الغرض رصد الهوست بدون السماح للاتصال .. في هذه الحاله يجب عمل بلوك لاتصال الاداه اولا ... او سيتصل المالوير عبرها بدون تنبيه من الجدار
 
Ahmed_Albosife قال:
نعم اخي معك حق ,,ولكن في النهاية وبعد التدقيق التركيز في الاتصالات سيتم التعرف علي الاتصال الحقيقي
+
لو امكن اذا كنت ستطرح تشفيرة جديدة قم بجعلها تتصل اتصالات عشوائية كثيرة حتي نحكم علي هذه الاداة بشكل افضل
طبعا لو كان لديك وقت لذلك

يسلمو اخي مصطفي علي هذا النقاش الرائع

(222y);222)
أنقر للتوسيع...

ما فى اى مشاكل ان شاء الله

سبق وطرحت عده تشفيرات كانت تحتوى فعلا على اتصالات زائفه كثيره

وكان يحتار فيها الاعضاء للوصول الى الهوست الصحيح ولانى كانت اصعب عليهم الامر لانى كنت استخدم فعلا بورت معروف وهو بورت 80

اذا فى هذه الحاله سيصعب عليك الامر اكثر واكثر

لاكن لا يهم ان شاء الله فى التشفيره القادمه سالبى طلبك

والشكر لك انت اخى احمد على شرح الاداه ولست انا

تحياتى لك ولكل الاعضاء الكرام
 
توقيع : black007
qysr قال:
اختلافها ان الاتصال يمر عبرها على خلاف الـ apatedns
اذا كان الغرض رصد الهوست بدون السماح للاتصال .. في هذه الحاله يجب عمل بلوك لاتصال الاداه اولا ... او سيتصل المالوير عبرها بدون تنبيه من الجدار
أنقر للتوسيع...
ممكن توضيح لهذه النقطة اخي ياسر 222:)
 
توقيع : Ahmed_Albosife
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى