• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

دعوة للتعاون : ملاحظة من خلال تجربتي لعينه من عينات Ransomware

  • بادئ الموضوع بادئ الموضوع ihere
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,269
الحالة
مغلق و غير مفتوح للمزيد من الردود.
ihere

ihere

زيزوومي VIP
إنضم
1 يناير 2008
المشاركات
4,591
مستوى التفاعل
3,482
النقاط
1,600
الإقامة
الرياض
غير متصل
السلام عليكم ورحمة الله وبركاته

يا هلا وسهلا بأخواني :rose:

قبل فترة وأنا أتصفح قسم النقاشات وجدت موضوع لأخونا التميمي الله يسعده :whitedownpointing:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



وكان بودي أشارك في نفس الموضوع

وأذكر الملاحظة اللي لاحظتها من خلال تجربتي لنفس العينه اللي جربها أخوي Who Am I

ولاكن ترددت في وضع المشاركة لأن عنوان الموضوع هو دعوة لتجربة برنامج webroot

ومشاركتي تسلط الضوء على الـ Ransomware بعينه


----------


المهم سلمكم الله اللي لاحظته من خلال تجربتي للعينه

هو فشلها في تشفير الملفات اللي عليها صلاحيات سمات الكتابة

وكذلك لو نقلت الملفات إلى مجلد Recycle.Bin ف راح تفشل في تشفير الملفات

وعلى ما أعتقد بأن الأمر راجع لصلاحيات المجلدات

ف من خلال هذا الموضوع أتمنى نتشارك جميعاً في تجربة عينات عده

ونشغلها على النظام الوهمي مع وضع قيود على المجلدات ونشوف النتايج

وبودي كذلك للي يملك عينات من الـ Ransomware يحطها لنا مشكوراً

لأني بالحقيقة ما سبق وجربت أي عينه غير المذكورة في موضوع أخونا التميمي

واللي طرحها أخونا tiktoshi مشكوراً في موضوعه


وللإفادة اخواني هذولا الخيارين اللي نحددهم لوضع القيد على المجلد :whitedownpointing:


[hide]
p_38495oqw4.png
[/hide]


----------


وهنا نضع الملفات اللي نرغب بحمايتها :whitedownpointing:


[hide]
p_3846fezw3.png
[/hide]


----------


وهذا فيديو لوضع الصلاحيات على المجلد مع تشغيل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]


----------


وهذا فيديو آخر لوضع الملفات في مجلد سلة المهملات ثم تشغيل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]


همتكم يا شباب :rose:
 

توقيع : ihere
عليكم السلام
بعض برامج الحماية تضع قيود لبعض المجلدات .. فمثلا البتدفيندر يضع قيود على على بعض المجلدات مثل الصور والفيديو والمستندات التي يختارها المستخدم فتتكون محمية عن الرانسوم وير وم وكذلك أغلب برامج الحماية .
لكن الأهم كيف قوم بإرجاع الملفات بعد الإصابة بهذا الداء !
 
توقيع : أبو رمش
شكر لتجربتك اخى الغالى
اذا حابب بعض عينات Ransomware
[hide]تفضل
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الباس
infected[/hide]

بامكانى وضع الكثير من العينات من مختبرنا الخاص واغلبها مشفره من محركات الحمايه
الغريب فى الامر ان جميع العينات التى تاتينى تكون تتخطى الوهمى بجميع انواعه + تعمل فقط على اجهزه x64 دون غيرها لكن بالتنقيح يتم كشف كل شى ;222);222);222)
ولكن بما ان قوانين المنتدى يجب احترامها ففضلت عند وصولى ل 500 مشاركه يعطينا ويعطيك العمر كله :222D:222D:222Dهههه ربما بعد سنه من الان اقوم بنشرها
اكون قد اتممت 500 مشاركه بنجاح
 
توقيع : Who Am I
ihere قال:
السلام عليكم ورحمة الله وبركاته

يا هلا وسهلا بأخواني :rose:

قبل فترة وأنا أتصفح قسم النقاشات وجدت موضوع لأخونا التميمي الله يسعده :whitedownpointing:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



وكان بودي أشارك في نفس الموضوع

وأذكر الملاحظة اللي لاحظتها من خلال تجربتي لنفس العينه اللي جربها أخوي Who Am I

ولاكن ترددت في وضع المشاركة لأن عنوان الموضوع هو دعوة لتجربة برنامج webroot

ومشاركتي تسلط الضوء على الـ Ransomware بعينه


----------


المهم سلمكم الله اللي لاحظته من خلال تجربتي للعينه

هو فشلها في تشفير الملفات اللي عليها صلاحيات سمات الكتابة

وكذلك لو نقلت الملفات إلى مجلد Recycle.Bin ف راح تفشل في تشفير الملفات

وعلى ما أعتقد بأن الأمر راجع لصلاحيات المجلدات

ف من خلال هذا الموضوع أتمنى نتشارك جميعاً في تجربة عينات عده

ونشغلها على النظام الوهمي مع وضع قيود على المجلدات ونشوف النتايج

وبودي كذلك للي يملك عينات من الـ Ransomware يحطها لنا مشكوراً

لأني بالحقيقة ما سبق وجربت أي عينه غير المذكورة في موضوع أخونا التميمي

واللي طرحها أخونا tiktoshi مشكوراً في موضوعه


وللإفادة اخواني هذولا الخيارين اللي نحددهم لوضع القيد على المجلد :whitedownpointing:


[hide]
p_38495oqw4.png
[/hide]


----------


وهنا نضع الملفات اللي نرغب بحمايتها :whitedownpointing:


[hide]
p_3846fezw3.png
[/hide]


----------


وهذا فيديو لوضع الصلاحيات على المجلد مع تشغيل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]


----------


وهذا فيديو آخر لوضع الملفات في مجلد سلة المهملات ثم تشغيل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]


همتكم يا شباب :rose:
أنقر للتوسيع...

وعليكم السلام ورحمة الله وبركاتة


اشكرك اخي الحبيب ihere على الاشارة لي بموضوعك وانا متابع معكم وكنت اتمنى ان اشارك لكن طوال دخولي للنت وهنا لا اجرب على وهمي ولا املكه انما فحص فقط فلست محترف

اتركه لكم وللمحترفين امثالك والاخوان

متابع :rose:
 
توقيع : التميمي14
أبو رمش قال:
عليكم السلام
أنقر للتوسيع...
أبو رمش قال:
بعض برامج الحماية تضع قيود لبعض المجلدات .. فمثلا البتدفيندر يضع قيود على على بعض المجلدات مثل الصور والفيديو والمستندات التي يختارها المستخدم فتتكون محمية عن الرانسوم وير وم وكذلك أغلب برامج الحماية .
لكن الأهم كيف قوم بإرجاع الملفات بعد الإصابة بهذا الداء !
أنقر للتوسيع...


منور اخوي أبو رمش :rose:

واشكرك على الإضافة المفيدة

وبالحقيقة غايتي من فتح هذا الموضوع

لأن الملاحظة اللي لاحظتها من خلال تجربتي للعينه ممكن تفيدنا للتصدي بدون الاعتماد الكلي على برامج الحماية

يعني تقدر تقول حماية إضافية للمنع من الإصابه

وطموحي أني أتمكن من فك تشفير هذي العينات وغيرها

لاكن في الوقت الحالي ما أملك القدرة على هذا الشي


-----


Who Am I قال:
شكر لتجربتك اخى الغالى
اذا حابب بعض عينات Ransomware
[hide]تفضل [/hide]
أنقر للتوسيع...
Who Am I قال:
[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الباس
infected[/hide]

بامكانى وضع الكثير من العينات من مختبرنا الخاص واغلبها مشفره من محركات الحمايه
الغريب فى الامر ان جميع العينات التى تاتينى تكون تتخطى الوهمى بجميع انواعه + تعمل فقط على اجهزه x64 دون غيرها لكن بالتنقيح يتم كشف كل شى ;222);222);222)
ولكن بما ان قوانين المنتدى يجب احترامها ففضلت عند وصولى ل 500 مشاركه يعطينا ويعطيك العمر كله :222D:222D:222Dهههه ربما بعد سنه من الان اقوم بنشرها
اكون قد اتممت 500 مشاركه بنجاح
أنقر للتوسيع...


يا هلا وسهلا بأخونا Who Am I

ومشكور يا اخي على إضافتك لمزيد من العينات

والله يزيدك يا اخي من العلم والمعرفة ويجعلك من اوائل هالمختبر اللي تعمل فيه

ومن فضلك ياليت بس توضح لي وللي يقرأ هذا الموضوع من هالسطر اللي ذكرته :whitedownpointing:

الغريب فى الامر ان جميع العينات التى تاتينى تكون تتخطى الوهمى بجميع انواعه
أنقر للتوسيع...

هل قصدت اخي أن العينات أثناء تشغيلها

راح تتحقق من النظام اللي تعمل عليه وفي حال كان وهمي ما راح تنفذ آلية التشفير

أو راح تتخطى النظام الوهمي وتوصل للنظام الأساسي وتشفر ملفاته ؟

--

وبالنسبة للعينات اللي ارفقتها

3 عينات منهم فشلت في التشفير من خلال وضع القيود على المجلدات

ومن خلال نقل الملفات إلى مجلد سلة المهملات

والعينات هي :whitedownpointing:

p_385oq50o1.png



وبالإمكان ما نستخدم لا قيود ولا شي وفقط نغير امتداد الملفات إلى exe

وأتكلم تحديداً عن العينات اللي جربتها

بغض النظر عن العينات اللي تتلف نظام التشغيل وتوقفه عن العمل


-----


التميمي14 قال:
وعليكم السلام ورحمة الله وبركاتة


اشكرك اخي الحبيب ihere على الاشارة لي بموضوعك وانا متابع معكم وكنت اتمنى ان اشارك لكن طوال دخولي للنت وهنا لا اجرب على وهمي ولا املكه انما فحص فقط فلست محترف

اتركه لكم وللمحترفين امثالك والاخوان

متابع :rose:
أنقر للتوسيع...

يا هلا وسهلا بأخونا الخبير والمحترف التميمي

لا تستنقص من قدراتك اخي ف عن نفسي لست بأخبر

ما أقولها مجاملة ولا تواضعاً مني

والله يكثر من أمثالك يا طيب ونسعد بمتابعتك وبمشاركتك :rose:
 
توقيع : ihere
فك التشفير باعتقادي شي صعب جداً ولكن لا شي مستحيل !!
 
توقيع : أبو رمش
ihere قال:



يا هلا وسهلا بأخونا Who Am I

ومشكور يا اخي على إضافتك لمزيد من العينات

والله يزيدك يا اخي من العلم والمعرفة ويجعلك من اوائل هالمختبر اللي تعمل فيه

ومن فضلك ياليت بس توضح لي وللي يقرأ هذا الموضوع من هالسطر اللي ذكرته :whitedownpointing:



هل قصدت اخي أن العينات أثناء تشغيلها

راح تتحقق من النظام اللي تعمل عليه وفي حال كان وهمي ما راح تنفذ آلية التشفير

أو راح تتخطى النظام الوهمي وتوصل للنظام الأساسي وتشفر ملفاته ؟

--

وبالنسبة للعينات اللي ارفقتها

3 عينات منهم فشلت في التشفير من خلال وضع القيود على المجلدات

ومن خلال نقل الملفات إلى مجلد سلة المهملات

والعينات هي :whitedownpointing:

p_385oq50o1.png



وبالإمكان ما نستخدم لا قيود ولا شي وفقط نغير امتداد الملفات إلى exe

وأتكلم تحديداً عن العينات اللي جربتها

بغض النظر عن العينات اللي تتلف نظام التشغيل وتوقفه عن العمل


-----
أنقر للتوسيع...
شكرا لك اخى على زوق اخلاقك
بخصوص السطرد الذى تسائل عنه
فلامر ليس كذلك اخى انما الاجابه هى ان الملف يتحقق من النظام الذى يعمل عليه وفي حال كان وهمي لا ينفذ الامر المكلف به ولا يعمل من الاساس
ببعض التحليل المعمق مع اغلب العينات التى اتلقها رائيتها تتحق من النظام الوهمى عن طريقه مكتبهdll مهمه وهى system management هذه المكتبه يمكن اللعب كثير بها
الملف لا يكون عينه Ransomware وانما سرفر اختراق
فما يقابلنى فى المختبر يوما الملفات الاكثر الانتشار على الاطلاق هى 1- ملفات الاختراق بجميع انوعها سواء كان سرفر تحكم كامل او دوده او كيلوجر و 2- ياتى Ransomware
ما اثار اهتمى فعلا هو سوالك الثانى هل تستطيع الملفات الخبيثه ان تتخطى النظام الوهمى وتتسلل الى النظام الحقيقى ؟؟
..................
دعنى اوضح لك امر مهم وهو من خلال مسيرتى المتواضعه والتى اعتبرها تتخطى 3 سنوات فى تحليل الملفات الخبيثه
فاستطيع ان اجاوبك واقوك لك نعم يمكن ذلك ولكن كيف الطريقه اعفنى من الاجابه
هل صادفنى عينه من هذا النوع ؟؟ لا لم تصادفنى ولكن تحدث معى احدى الاصدقاء بها
اخيرا اذا حابب بعض العينات الاخرى للاختبار فقط اطلب وستجد ما تريد وستكون كلها غير مكشوف
فاغلب العينات التى تنشر هنا فى المنتدى عينات مستهلكه واقصد هنا مستهلكه اى يتم كشفها بسرعه او تكون مشوفه من الاصل من المحرك عن طريق عائله جديد
فيتم وضع لها التوقيع بشكل سريع
اخيرا ساترك لك سوال ادعك تفكر فيه ربما يكون محل جدال كبير جدا ( هل مختبرات الحمايه تصنع ملفات خبيثه ؟؟؟!!!! ) وما هو دليل اثباتك اذا كانت الاجابه بنعم او لا
 
توقيع : Who Am I
  • Like
التفاعلات: ihere
يا هلا بأخوي منور :rose:



Who Am I قال:
انما الاجابه هى ان الملف يتحقق من النظام الذى يعمل عليه وفي حال كان وهمي لا ينفذ الامر المكلف به ولا يعمل من الاساس
أنقر للتوسيع...

وهذا ما أردت معرفته الله يسعدك وشاكر لك على التوضيح

لأن بإعتقادي في فئة من القراء وأنا من ظمنهم بمجرد ما ينتبهون لسطر ( تخطي النظام الوهمي )

راح يظنون بناء على جملة ( تخطي برامج الحماية ) بأن الملف راح يتجاوز النظام الوهمي ويوصل للنظام الأساسي



---------------



Who Am I قال:
بعض التحليل المعمق مع اغلب العينات التى اتلقها رائيتها تتحق من النظام الوهمى عن طريقه مكتبهdll مهمه وهى system management
أنقر للتوسيع...

ومن باب الفائدة في عدة طرق أخرى أخي

في منها عن طريق الاعتماد على العمليات اللي تعمل في الذاكرة ( Processes )

بحيث يبحث عن عملية خاصة بالنظام الوهمي

وإذا كانت تعمل راح ينفذ الأمر المكلف فيه إما إغلاق أو شيء آخر

-----

وبالإمكان بعد نتحقق عن طريق المكتبات التالية :whitedownpointing:

Win32_DiskDrive

Win32_BIOS

Win32_Baseboard

وبشكل عام الطرق عده ومتنوعة



---------------



Who Am I قال:
دعنى اوضح لك امر مهم وهو من خلال مسيرتى المتواضعه والتى اعتبرها تتخطى 3 سنوات فى تحليل الملفات الخبيثه
فاستطيع ان اجاوبك واقوك لك نعم يمكن ذلك ولكن كيف الطريقه اعفنى من الاجابه
هل صادفنى عينه من هذا النوع ؟؟ لا لم تصادفنى ولكن تحدث معى احدى الاصدقاء بها
أنقر للتوسيع...

أتمنى لك التوفيق يا أخي في مسيرتك والله يزيدك من فضله

بالنسبة لطرق التخطي والوصول للنظام الأساسي أعتقد عن طريق استغلال نقاط ضعف البرنامج ( الثغرات )

ولاكن من يكتشف تلك الثغرات هل سيفرط فيها وينشرها بلا مقابل ؟ ما أظن :222D

فلذلك أعتقد بأن هذا السبب من عدم مصادفتك لتلك العينات وفقط تسمع عنها



---------------



Who Am I قال:
اخيرا اذا حابب بعض العينات الاخرى للاختبار فقط اطلب وستجد ما تريد وستكون كلها غير مكشوف
أنقر للتوسيع...

نبي سيرفرات إذا ما فيها كلافه :222D



---------------



Who Am I قال:
اخيرا ساترك لك سوال ادعك تفكر فيه ربما يكون محل جدال كبير جدا ( هل مختبرات الحمايه تصنع ملفات خبيثه ؟؟؟!!!! ) وما هو دليل اثباتك اذا كانت الاجابه بنعم او لا
أنقر للتوسيع...

هالسؤال يا أخي ما أستطيع أجاوب عليه مع الأسف

لأنك طلبت إثبات

بالفلسفة ما نقصر أما بالإثبات ما عندي والله :222D

فلذلك أعيد توجيه السؤال للسائل ولأخواننا اللي يشاهدون الموضوع
 
توقيع : ihere
السلام عليكم ورحمة الله
مشاء الله موضوع نقاشي جميل وشيق جدا
-----
اولا اعرفكم بنفسي
انا احمد من ليبيا مهتم بمجال تحليل الاصابات خصوصا اصابات تشفير الملفات
----
قمت بتحليل العديد منها ورأيت طريقة عملها وكيف يتم تشفير الملفات
عموما بخصوص نقاش الاخوة حول تجاوز النظام الوهمي من قبل بعض الاصابات يقصد بتجاوز النظام الوهمي فهذا اصبح شائع جدا هذه الايام
فعند تشغيل بعض العينات تقوم باالتحقق من بيئة العمل ببعض الطرق مثل لتحقق من العمليات التي تعمل باالنظام (دائما النظام الوهمي لديه عمليات خاصه به)
ففي حال وجودها لن يعمل الملف الخبيث
ايضا يمكن بعض لبعض الملفات التحقق من الريجستري للتحقق من بيئة العمل
اما بخصوص التسلل من الوهمي الي النظام الاساسي فهو نادر جدا جدا ولم اري مثال حي علي ذلك خصوصا مع اصابات التشفير

ولكن السؤال هنا كيف سيتم التسلل ؟
---
حسب وجهة نظري المتواضعه فاالامر لن يتم الا من خلال ثغرة في النظام الوهمي نفسه (البرنامج الذي يشغل النظام الوهمي)
فااذا قمنا بتحديث النظام الوهمي اولا بااول فلن نقلق من هذا الامر ..واذا بقيت الثغرة هنا يكون احتمال التسلل واردا
-----
واتمني من الاخ الذي لديه عينات جديدة امدادي بها لتحليلها والاستفادة منها
 
توقيع : Ahmed_Albosife
يمكن يمكن استرجاع الملفات التي تم تشفيرها عن طريق تعطيل الـ vssadmin.exe فهو المسؤول عن عن حذف الـ shadow volume اي النسخ السابقةللملفات
عن طريق الامر التالي vssadmin.exe Delete Shadows /All /Quiet
وهذا فيديو توضيحي من تصويري لكيفية استرجاع الملفات بعد تشفيرها (ولكن علينا تعطيل الـ vssadmin قبل الاصابة)
قمت بااصابة النظام واسترجعت بعض الملفات بعد تشفيرها
 
توقيع : Ahmed_Albosife


يا هلا وسهلا بأخونا أحمد :rose:

يشرفنا وجودك ومشاركتك في الموضوع ونشكرك على الفائدة القيمة اللي أفدتنا فيها


-----


Ahmed_Albosife قال:
عند تشغيل بعض العينات تقوم باالتحقق من بيئة العمل ببعض الطرق مثل لتحقق من العمليات التي تعمل باالنظام (دائما النظام الوهمي لديه عمليات خاصه به)
ففي حال وجودها لن يعمل الملف الخبيث
ايضا يمكن بعض لبعض الملفات التحقق من الريجستري للتحقق من بيئة العمل
أنقر للتوسيع...


أخوي أحمد

افتراضاً انشأنا ملفات وهمية تعمل مع بدء تشغيل النظام بأسماء تلك العمليات الخاصة بالنظام الوهمي

بإعتقادك :whiteleftpointing: هل ستفشل العينة في التشغيل

لو كانت تعتمد اساساً في البحث عن أسماء تلك العمليات للنظام الوهمي ؟

ونفس الفكرة لو انشأنا في النظام الأساسي نفس القيم الخاصة بالنظام الوهمي في الريجستري

هل تعتقد أيضاً بأن العينة ستتوهم بأنها في النظام الوهمي

وبالتالي تتوقف عن العمل ؟


-----


Ahmed_Albosife قال:
واتمني من الاخ الذي لديه عينات جديدة امدادي بها لتحليلها والاستفادة منها
أنقر للتوسيع...


+1

وأتمنى من أخونا Who Am I مشكوراً يزودنا بالسيرفرات أيضاً


-----


Ahmed_Albosife قال:
يمكن استرجاع الملفات التي تم تشفيرها عن طريق تعطيل الـ vssadmin.exe
أنقر للتوسيع...


هذي المعلومة جديدة علي

وأشكرك أخي أحمد على إفادتي فيها

 
توقيع : ihere
ihere قال:
يا هلا بأخوي منور :rose:





وهذا ما أردت معرفته الله يسعدك وشاكر لك على التوضيح

لأن بإعتقادي في فئة من القراء وأنا من ظمنهم بمجرد ما ينتبهون لسطر ( تخطي النظام الوهمي )

راح يظنون بناء على جملة ( تخطي برامج الحماية ) بأن الملف راح يتجاوز النظام الوهمي ويوصل للنظام الأساسي



---------------





ومن باب الفائدة في عدة طرق أخرى أخي

في منها عن طريق الاعتماد على العمليات اللي تعمل في الذاكرة ( Processes )

بحيث يبحث عن عملية خاصة بالنظام الوهمي

وإذا كانت تعمل راح ينفذ الأمر المكلف فيه إما إغلاق أو شيء آخر

-----

وبالإمكان بعد نتحقق عن طريق المكتبات التالية :whitedownpointing:

Win32_DiskDrive

Win32_BIOS

Win32_Baseboard

وبشكل عام الطرق عده ومتنوعة



---------------





أتمنى لك التوفيق يا أخي في مسيرتك والله يزيدك من فضله

بالنسبة لطرق التخطي والوصول للنظام الأساسي أعتقد عن طريق استغلال نقاط ضعف البرنامج ( الثغرات )

ولاكن من يكتشف تلك الثغرات هل سيفرط فيها وينشرها بلا مقابل ؟ ما أظن :222D

فلذلك أعتقد بأن هذا السبب من عدم مصادفتك لتلك العينات وفقط تسمع عنها



---------------





نبي سيرفرات إذا ما فيها كلافه :222D



---------------





هالسؤال يا أخي ما أستطيع أجاوب عليه مع الأسف

لأنك طلبت إثبات

بالفلسفة ما نقصر أما بالإثبات ما عندي والله :222D

فلذلك أعيد توجيه السؤال للسائل ولأخواننا اللي يشاهدون الموضوع
أنقر للتوسيع...

Ahmed_Albosife قال:
السلام عليكم ورحمة الله
مشاء الله موضوع نقاشي جميل وشيق جدا
-----
اولا اعرفكم بنفسي
انا احمد من ليبيا مهتم بمجال تحليل الاصابات خصوصا اصابات تشفير الملفات
----
قمت بتحليل العديد منها ورأيت طريقة عملها وكيف يتم تشفير الملفات
عموما بخصوص نقاش الاخوة حول تجاوز النظام الوهمي من قبل بعض الاصابات يقصد بتجاوز النظام الوهمي فهذا اصبح شائع جدا هذه الايام
فعند تشغيل بعض العينات تقوم باالتحقق من بيئة العمل ببعض الطرق مثل لتحقق من العمليات التي تعمل باالنظام (دائما النظام الوهمي لديه عمليات خاصه به)
ففي حال وجودها لن يعمل الملف الخبيث
ايضا يمكن بعض لبعض الملفات التحقق من الريجستري للتحقق من بيئة العمل
اما بخصوص التسلل من الوهمي الي النظام الاساسي فهو نادر جدا جدا ولم اري مثال حي علي ذلك خصوصا مع اصابات التشفير

ولكن السؤال هنا كيف سيتم التسلل ؟
---
حسب وجهة نظري المتواضعه فاالامر لن يتم الا من خلال ثغرة في النظام الوهمي نفسه (البرنامج الذي يشغل النظام الوهمي)
فااذا قمنا بتحديث النظام الوهمي اولا بااول فلن نقلق من هذا الامر ..واذا بقيت الثغرة هنا يكون احتمال التسلل واردا
-----
واتمني من الاخ الذي لديه عينات جديدة امدادي بها لتحليلها والاستفادة منها
أنقر للتوسيع...

سعيد جدا بالنقاش معكم شباب واتمنى يشارك باقى الشباب
بالنسبه للعينات ما فى مشكله يمكن توفير الكثير ولكن المشكله اين اضعها
لان قوانين المنتدى تمنع نشر العينات لمن هم اقل من 500 مشاركه + ايضا لم يتم بعد تفعيل الرسائل الخاصه بى بعد
وعلى الاغلب سيتم تفعيلها عند وصولى ل 50 مشاركه وانا مازلت بعيد حوالى 10 مشاركات من الان
بخصوص السوال هل مختبارات الحمايه تصنع ملفات خبيثه ساترك الاجابه الان للشباب وساجيب فى وقت لاحق
مازلت متابع للنقاش الممتع
 
توقيع : Who Am I
Who Am I قال:
بخصوص السوال هل مختبارات الحمايه تصنع ملفات خبيثه
أنقر للتوسيع...
أرجو توضيح السؤال أكثر يا أخي..
هل تسأل عن قدرة المختبرات على صناعتها؟ أم هل تسأل عن وقائع حقيقية قامت فيها مختبرات الحماية بإصابة ضحايا؟
.
أما بخصوص الخروج من الجهاز الوهمي, فكانت هناك ثغرة مشهورة تبع مشورع google project zero والتي كانت تستغل ثغرة برمجية موجودة في VMWare في خاصية استخدام الguest للطابعة الخاصة بالhost. فمن خلالها يستطيع المخترِق أن ينشر الفيروس على الhost
رابط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
!
 
توقيع : 0xAhmad
0xAhmad قال:
أرجو توضيح السؤال أكثر يا أخي..
هل تسأل عن قدرة المختبرات على صناعتها؟ أم هل تسأل عن وقائع حقيقية قامت فيها مختبرات الحماية بإصابة ضحايا؟
.
أما بخصوص الخروج من الجهاز الوهمي, فكانت هناك ثغرة مشهورة تبع مشورع google project zero والتي كانت تستغل ثغرة برمجية موجودة في VMWare في خاصية استخدام الguest للطابعة الخاصة بالhost. فمن خلالها يستطيع المخترِق أن ينشر الفيروس على الhost
رابط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
!
أنقر للتوسيع...

بخصوص السوال نعم السوال للاثنين
للعلم انا اعرف الاجابه مسبقا لكن اردت ان ارى ردود فعل الشباب بالامر + الاثبات اذا كانت فعلا حدث ام لا
بخصوص الثغره اعرف انها موجوده واطلعت عليها
راجع مشاركتى المتواضعه
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وقد ذكرت فيها نعم يمكن تخطى الوهمى ولكن كيف الطريقه فقد امتنعت عن الاجابه
 
توقيع : Who Am I
ihere قال:

يا هلا وسهلا بأخونا أحمد :rose:

يشرفنا وجودك ومشاركتك في الموضوع ونشكرك على الفائدة القيمة اللي أفدتنا فيها


-----





أخوي أحمد

افتراضاً انشأنا ملفات وهمية تعمل مع بدء تشغيل النظام بأسماء تلك العمليات الخاصة بالنظام الوهمي

بإعتقادك :whiteleftpointing: هل ستفشل العينة في التشغيل

لو كانت تعتمد اساساً في البحث عن أسماء تلك العمليات للنظام الوهمي ؟

ونفس الفكرة لو انشأنا في النظام الأساسي نفس القيم الخاصة بالنظام الوهمي في الريجستري

هل تعتقد أيضاً بأن العينة ستتوهم بأنها في النظام الوهمي

وبالتالي تتوقف عن العمل ؟


-----





+1

وأتمنى من أخونا Who Am I مشكوراً يزودنا بالسيرفرات أيضاً


-----





هذي المعلومة جديدة علي

وأشكرك أخي أحمد على إفادتي فيها

أنقر للتوسيع...
اهلا بك اخي الكريم باالطبع لا لن تفشل لانه يلزم اكثر من مجرد اسم للعملية
 
توقيع : Ahmed_Albosife
Who Am I قال:
سعيد جدا بالنقاش معكم شباب واتمنى يشارك باقى الشباب
بالنسبه للعينات ما فى مشكله يمكن توفير الكثير ولكن المشكله اين اضعها
لان قوانين المنتدى تمنع نشر العينات لمن هم اقل من 500 مشاركه + ايضا لم يتم بعد تفعيل الرسائل الخاصه بى بعد
وعلى الاغلب سيتم تفعيلها عند وصولى ل 50 مشاركه وانا مازلت بعيد حوالى 10 مشاركات من الان
بخصوص السوال هل مختبارات الحمايه تصنع ملفات خبيثه ساترك الاجابه الان للشباب وساجيب فى وقت لاحق
مازلت متابع للنقاش الممتع
أنقر للتوسيع...
شكرا لك اخي الكريم
يمكنك ارسالها لي حتي خارج المنتدي اذا اردت
فقط قل لي كيف اتواص معك
 
توقيع : Ahmed_Albosife
السلام عليكم ورحمة الله
اشكركم اخواني على النقاش القيم
ان شاء الله منكم نستفيد
 
  • Like
التفاعلات: ihere
السلام عليكم
تحليل بسيط لعينة حصلت عليها اليوم خاصة بااصابة craber
طبعا التحليل بسيط بـ olly ولكن النتيجه كانت جيده وتعرفت علي الية عمل الاصابة في مرحلتها الاولي
اولا هنا لدينا اجبار الويندو علي اعادة التشغيل من خلال اظهار رسالة الخطا لكي تكتمل عملية التشفير
p_388ei8cc1.png

هنا يتم وضع ملف في مجلد التمب


p_388tjqty2.png

ثم لدينا هنا اسفل الصورة ضع ملف dll وتشغيله عن طريق الامر LoadLibraryExW وبعدها تبدأ عملية التشفير
p_388i2u313.png
 
توقيع : Ahmed_Albosife
الله يجازيك اخي احمد على الاضافات
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى