• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة تشفيره بتاريخ 22/6/2017

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

تشفيره جديده بتاريخ 22/6/2017

كلمه مهمه لمجرب العينه

من الافضل اجراء التجربه على الوضع الافتراضى لبرنامج الحمايه لديك

لان ليس هناك اى فائده من ضبطه على اليدوى وتجربه العينه لان الوضع اليدوى انت الذى تتحكم فيه فلا جدوى من تجربه وضع انت تتحكم فيه

دع البرنامج على وضعه واختبر الملف لترى هل ستصدى للملف ام لا

لا اقيد احد باعدادات معينه وكل شخص حر فى اعداداته

ولكن افضل ان تجرب الملف على وضع الشركه للبرنامج

لانى كما ذكرت ليس هناك اى فائده من وضع نتائج على اليدوى انت الذى تتحكم بها

ولا ننسى الهدف الاساسى من اختبار العينات

وهو للتعلم وتطوير الزات فى فهم الرسائل التى تظهر برامج الحمايه فى تعاملاتها مع الملفات الخبيثه

ايضا يجب تجميد الجهاز ببرنامج shadow defender او deep freeze لضمان سلامه الجهاز او التجربه على الوهمى

مع العلم ان العينه ليست تدميريه وانما نوع من انواع ملفات التجسس

ملاحظات مهمه

- فى حاله التشغيل : اترك الملف يعمل لمده دقيقتين لتاكيد عمل الملف بشكل سليم

- العينه ليست للتدرب على الفك وانما موجهه لاختبار برامج الحمايه بشكل خاص ( الدفاع الاستباقى + الجدار وجميع الطبقات الاخرى ) لكن لا باس فى محاوله الفك :222D:222D:222D

- العينه تعمل تحت بيئه X86 + تعمل تحت البيئه الوهميه بدون مشاكل

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


الباس

infected

[/hide]

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى Black007
 

توقيع : black007
:222D

logo-duia.png
 
توقيع : prooonet
توقيع : black007
Windows Defender اكتشف العينة بعد فك الضغط ومسكها
ولكاسبر نايم على التلقائي تم التشغيل ولايوجد اي حركة
المرة الجاية راح اعمل له فيديو استهزأ فيه قليلا وارسلة
لشركة لعلى وعسى تتحرك وتاخذ موقف في برنامجها :222D
 
توقيع : prooonet
توقيع : prooonet
prooonet قال:
Windows Defender اكتشف العينة بعد فك الضغط ومسكها
ولكاسبر نايم على التلقائي تم التشغيل ولايوجد اي حركة
المرة الجاية راح اعمل له فيديو استهزأ فيه قليلا وارسلة
لشركة لعلى وعسى تتحرك وتاخذ موقف في برنامجها :222D
أنقر للتوسيع...

سبب اكتشاف الويندوز دفندر لان الملف محمى بحمايه قويه بعض الشى ولا يمكن فكها غير باداه خاصه

prooonet قال:
تقصد بالوضع الساكن ؟
أنقر للتوسيع...

سواء كان الديناميكى او الاستاتيكى

المهم حاول الوصول بنفسك ستتعلم الكثير

التشفيره غير معقده بالمره

بضع اسطر بسيطه

;222);222);222)222:)222:)222:)
 
توقيع : black007
قمت بتشغيل العينة ورصدت الاتصال بالوضع الديناميكي بواسطة الاستعانة بعدة برامج :sunglasses:
 
توقيع : prooonet
prooonet قال:
قمت بتشغيل العينة ورصدت الاتصال بالوضع الديناميكي بواسطة الاستعانة بعدة برامج :sunglasses:
أنقر للتوسيع...

حسننا اذا برائيك كيف تستطيع ان تفرق بين الاتصال الصحيح والمزيف اذا وضعت لك ملف به عده اتصالات مختلفه

:222D:222D:222D
 
توقيع : black007
ساحاول بعد الفطور ولو فكرة الاستعانة بالتنقيح من غير خبرة
برمجية ميؤس منها لكن سوف ارى ممكن اتوصل الى نتيجة
 
توقيع : prooonet
black007 قال:
حسننا اذا برائيك كيف تستطيع ان تفرق بين الاتصال الصحيح والمزيف اذا وضعت لك ملف به عده اتصالات مختلفه

:222D:222D:222D
أنقر للتوسيع...

تحتاج الى تجربة اريد عينة لتاكد :222D
 
توقيع : prooonet
comodo fw custom settings
كالعاده مع الملفات المجهوله تم العزل ومنع الاتصال بهذا العنوان !
cfw.webp

الوضع الافتراضى هو وضع يدوى بالنسبه لهذا البرنامج .
 
توقيع : wikihow
شكرا لك اخى مصطفى لكن هذا ما يحدث يظهر هذه النافذه ويتم الاتصال للملف بالانترنت لكن عند غلق النافذه ينتهى الاتصال ولا يتصل مره اخرى
 

المرفقات

  • xxxx.webp
    xxxx.webp
    29 KB · المشاهدات: 15
black007 قال:
حسننا اذا برائيك كيف تستطيع ان تفرق بين الاتصال الصحيح والمزيف اذا وضعت لك ملف به عده اتصالات مختلفه

:222D:222D:222D
أنقر للتوسيع...

اعتقد اولا راح اتتبع رقم الايبي وهو يخص من وثانيا
راح اعتمد على استقرار الايبي مع حالات الاتصال هذه
established---listening---syn-rcvd وربط الهوست
مع حالة الاستقرار لكن احتاج تجارب . في العينة
السابقة الخاصة بي nanocore كانت تحتوي على
اتصالين واحد داخلي وواحد خارجي كنت استغرب
من وجود الاتصال الداخلي ولعجيب انه وجدت الرقم
127.0.0.1 اثناء البحث بالمنقح ولم اجد الايبي الحقيقي
فكانت حركة عجيبة اعتقد المصمم تعمد عدم اخفاء
الايبي الداخلي ليزيل الشكوك اثناء البحث بالمنقح 222o_O
واتذكر اني ارسلت العينة الى موقع threatexpert
ولم يرصد اتصال خارجي فاثبت الموقع فشلة وفيه
عدة مشاكل بالرفع حاليا ارى موقع اخر افضل منه
بكثير لفحص الملفات والاتصالات الخارجية وتحليل
الملف وسلوكياتة ومسار نزول ملفاته سوف اضع
اسمه لاحقا بعد الاستشارة لانه لو الكل اعتمد عليه
ممكن من اول نزول لموضوع تشفيرات جديدة يتم
رفع الملفات عليه وانا حاليا لا ارفع ملفات العينات
عليه ولا على اي موقع اقوم باستخراج البيانات
بنفسي بطريقة تشغيل الملف وترصد الاتصالات
 
توقيع : prooonet
وحالة الاتصال هنا في هذه العينة كانت syn_sent لايوجد تجاوب من المستقبل
 
توقيع : prooonet
akramstar قال:
comodo fw custom settings
كالعاده مع الملفات المجهوله تم العزل ومنع الاتصال بهذا العنوان !
مشاهدة المرفق 138191
الوضع الافتراضى هو وضع يدوى بالنسبه لهذا البرنامج .
أنقر للتوسيع...

هممممممم

طيب دعنى اسالك سوال جميل جدا

اذا كنت من محبين الالعاب الاونلين جيم كيف سيتعامل وقتها الفايروول مع الملف المتصل بايبهات مختلفه من انحاء العالم ؟؟

هل ستم الحجب ايضا ؟؟؟

ساترك لك الاجابه

لان ليس من الطبيعى ان يتم حجب اى بى مجهول الهويه لانه الملف بالنسبه له جديد

يحتاج البرنامج يكون عنده زكاء اكثر من ذلك

osama101 قال:
شكرا لك اخى مصطفى لكن هذا ما يحدث يظهر هذه النافذه ويتم الاتصال للملف بالانترنت لكن عند غلق النافذه ينتهى الاتصال ولا يتصل مره اخرى
أنقر للتوسيع...

نجاح تخطى البت دفندر الا ترى معى انه وحده AVC لم تتحرك ولم يظهر لك اى اشعارات

لا تقلق الملف ليس معطوب

اى ملف اقوم بصناعته اتاكد منه جيدا انه يعمل بشكل سليم قبل وضعه

اعتزر ايضا لعدم المتابعه

المشكله تكمن فى عدد المجربين الان

فللاسف لا اعرف ما الوقت المناسب لتواجد الجميع حتى متابعه حاله اتصال الملف ونجاح التخطى

ايضا اتعرف حتى الان لم ارى اى نتيجه لاى برنامج حمايه

ولا اعرف ما السبب

ربما يكون الخوف من وضع فشل برنامج ما وعند اطلاع احد اخر على الموضوع يجد العضو ان البرنامجه لم يستطيع التصدى للملف

لكن اذا تم التصدى من اول مره ستجد ان الجميع دخل يضع النتائج لبرنامجه

للعلم العينه مرفوعه على فايرس توتل هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اول رفع للعينه كان بتاريخ

2017-06-22 18:12:17 UTC ( 7 hours, 1 minute ago )

اى بعد 3 ساعات من اعتماد التشفيره

وحتى الان ايضا لم نرى اى تجربه لاى برنامج حمايه

ستجد التجارب بعد اكتشاف العينه لاثبات نجاح البرامج الحمايه فى التصدى

شخصيا اذا الوضع سيستمر على هذا الحال فافضل وضع النتائج بالفيدو بنفسى بدل من وضع العينه بشكل مابشر

وسيتم نشر العينه للتحليل فقط

ولكن فضلت وضع العينه حتى لا يقول البعض انى مغرور وانى انشر فديوهات لاثبت للجميع انى اتخطى الحمايه كما يفعل البعض وهى فى الاصل للاختبار

وايضا حتى لا اتهم اتهام اخرى فى انى اقوم بفبركه الفديوهات لاثبت لاحد ان البرنامج الفلانى غير جيد

اعرف ان الجميع ربما يكون مشغول او غير متواجد ولكل منا ظروفه

لاحظ هو عندما تجد العينه غير مكشوف لا تجد احد هنا فى الموضوع

وعندما تجد عينه مكشوفه تجد ان كل البرامج شاركت

لنفس السبب الذى ذكرته فى الاعلى وهو يخاف ان يفضح برنامجه انه فشل اما ملف ما

على الرغم اننا قلنا سابقا ان العينه للاختبار ونساعد فى تطوير البرامج بشكل غير مباشر

ربما كان عملنا غير مجدى ولكننا نحاول على قدر معرفتنا البسيطه

تحياتى وتقديرى

prooonet قال:
اعتقد اولا راح اتتبع رقم الايبي وهو يخص من وثانيا
راح اعتمد على استقرار الايبي مع حالات الاتصال هذه
established---listening---syn-rcvd وربط الهوست
مع حالة الاستقرار لكن احتاج تجارب . في العينة
السابقة الخاصة بي nanocore كانت تحتوي على
اتصالين واحد داخلي وواحد خارجي كنت استغرب
من وجود الاتصال الداخلي ولعجيب انه وجدت الرقم
127.0.0.1 اثناء البحث بالمنقح ولم اجد الايبي الحقيقي
فكانت حركة عجيبة اعتقد المصمم تعمد عدم اخفاء
الايبي الداخلي ليزيل الشكوك اثناء البحث بالمنقح 222o_O
واتذكر اني ارسلت العينة الى موقع threatexpert
ولم يرصد اتصال خارجي فاثبت الموقع فشلة وفيه
عدة مشاكل بالرفع حاليا ارى موقع اخر افضل منه
بكثير لفحص الملفات والاتصالات الخارجية وتحليل
الملف وسلوكياتة ومسار نزول ملفاته سوف اضع
اسمه لاحقا بعد الاستشارة لانه لو الكل اعتمد عليه
ممكن من اول نزول لموضوع تشفيرات جديدة يتم
رفع الملفات عليه وانا حاليا لا ارفع ملفات العينات
عليه ولا على اي موقع اقوم باستخراج البيانات
بنفسي بطريقة تشغيل الملف وترصد الاتصالات
أنقر للتوسيع...

prooonet قال:
وحالة الاتصال هنا في هذه العينة كانت syn_sent لايوجد تجاوب من المستقبل
أنقر للتوسيع...

طيب ماذا اذا كانت جميع الاتصالات تخصنى ولكنها كلها لا تتصل بى

واغلبها مزيف وواحد فقط هو الذى يتصل بى ؟؟؟؟

وركز جيدا انها تخصنى ولكنها مزيفه

سادع الافتراضات جانبا وساقوم بعمل تشفيره الان وساجهزها فور دخولك
 
توقيع : black007
black007 قال:
طيب ماذا اذا كانت جميع الاتصالات تخصنى ولكنها كلها لا تتصل بى

واغلبها مزيف وواحد فقط هو الذى يتصل بى ؟؟؟؟

وركز جيدا انها تخصنى ولكنها مزيفه

سادع الافتراضات جانبا وساقوم بعمل تشفيره الان وساجهزها فور دخولك
أنقر للتوسيع...

ساعتمد على اول تغيير لحالة الاتصال من بعد SYN_SENT لاي ايبي واشتبه فيه واتتبعه
لكن احتاج تجربة حية انتظر منك هذه العينة لاجرب لانه لم اجرب الا عينة واحدة تحمل
اتصال داخلي واتصال خارجي فلاتحتاج التشكيك


06cc21c96a9f732.png
 
توقيع : prooonet
سوف انتظر هذه العينة لاكن الان سوف اضطر لذهاب وسوف اعود في وقت لاحق في امان الله
 
توقيع : prooonet
وعليكم السلام ورحمة الله وبركاتة

اهلن اخي :)

مع اشرس الحمايات ~~~~)) Kaspersky Endpoint Security 10

بعد فك الضغط :
تم الرصد :/

1.webp
 
توقيع : متعس
prooonet قال:
Windows Defender اكتشف العينة بعد فك الضغط ومسكها
ولكاسبر نايم على التلقائي تم التشغيل ولايوجد اي حركة
المرة الجاية راح اعمل له فيديو استهزأ فيه قليلا وارسلة
لشركة لعلى وعسى تتحرك وتاخذ موقف في برنامجها :222D
أنقر للتوسيع...

كيف حالك يااخي
,, الكاسبر ليس نائم يااخي عندي :) بمجرد فك الضغط تم الرصد
بارك الله فيكم انظر هنا..
1.webp
 
توقيع : متعس
متعس قال:
وعليكم السلام ورحمة الله وبركاتة

اهلن اخي :)

مع اشرس الحمايات ~~~~)) Kaspersky Endpoint Security 10

بعد فك الضغط :
تم الرصد :/

مشاهدة المرفق 138221
أنقر للتوسيع...

متعس قال:
كيف حالك يااخي
,, الكاسبر ليس نائم يااخي عندي :) بمجرد فك الضغط تم الرصد
بارك الله فيكم انظر هنا..مشاهدة المرفق 138222
أنقر للتوسيع...

حضرتك جاى متاخر راجع ردى السابق

العينه مرفوعه منذ مده على التوتل

222:)222:)222:)
 
توقيع : black007
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى