نـقـاش تجربة الامسيسوفت و طبقاته على عينة طازجة

[Dz_zYz0]

السلام عليكم ورحمة الله وبركاته

اخواني عساكم بالف عافية

قمت بتجربة صغيرة متواضعة على برنامج الحصان و على طبقاته كل على حدى على عينة و كانت النتايج كما موضحة في الفيديو اسفله و اترك التعليق لكم .... متابعة شيقة

https://streamable.com/riq1e

[hide]

https://www.gulf-up.com/downloadf-1521930751811-zip.html

pass : 11

[/hide]

 

[ALmehob]

وعليكم السلام
الكاسبر سمول بفك الضغط

 

[Dz_zYz0]

وعليكم السلام
الكاسبر سمول بفك الضغط

ما تعليقك على الفيديو اخي الكريم ؟

********

عطل وحدة الانتي فيرس
و جرب التشغيل

 

[Dz_zYz0]

اين باقي الاخوة الاعضاء من النقاش . منتدى بحجم زيزوم نجد في كل موضوع اكثرمن 70 مشاهدة و فقط 3 او 4 ردود
من بين اكثرمن180 الف عضو بمعدل 250 ولوج يومي .... صراحة الامر يثني من العزيمة و يبقي المياه اكثر ركودا
اين انتم يا جماعة من المشاركة

 

[black007]

همممممممممم

تعال نحلل الفديو جزء جزء

اولا من الوضاح ان العينه عباره عن رانسيوم وير

1- العينه بالكامل مكشوفه من المحرك الى هو محرك البت دفندر كلام سليم

2- تم تعطيل surf protection التى هى متمثل فى المحرك وايضا تعطيل behavior blocker والابقاء على file guard والتشغيل وكانت النتيجه حجب الملف

بعدها قمت بتعطيل file guard وتفعيل behavior blocker وتم عمل الملف بدون كشفه

بعدها قمت بتفعيل كل من file guard و behavior blocker وتم صد الملف

الملاحظ فى الفديو ان طبقه anti ransomware مفعله منذ البدايه

الاستنتاج النهائى

طبقه file guard هى المسئوله عن حجب الملف بالكامل

وكما ذكرنا فى الاعلى ان العينه عباره عن رانسيوم وير والتى تقوم بالتعديل على عدده ملفات محدده فى النظام لكى تعمل

والبرنامج بدوره يحمى تلك الملفات لذلك تم حمايه تشفير الملفات

طبقه behavior blocker المتمثله فى محلل السلوك لم تبدى اى رده فعل مع الملف على الرغم من انها كان من المفترض عليها قراه سلوك الملف من البدايه وفشلت فى التصدى

شكرا على التجربه بالفديو

( هههههه قمت باعاده الفديو من 3 الى اربع مرات لعدم تركيزى فيه بتمعن )

 

[wikihow]

السلام عليكم ورحمه الله وبركاته
العينه قديمه فبدون تحديث قاعده البيانات واصدار قديم تم عزلها عن طريق المحرك fileguard
العينه ايضا قام محلل السلوك بشكل تلقائى بعزلها behaviour blocker ربما يجب ان تجرب تشغيلها بدون استخدام sandbox او ترك العينه لتاخد وقتها فى التشغيل

محتوى مخفي: المحرك + Behaviour blocker

[hide]

[/hide]

البرنامج اداءه اكثر من رائع ومحلل سلوكه ممتاز وسيتم تطوير محلل السلوك اكثر قريبا .
تحياتى اخى الكريم وجزاك الله خيرا على التجربه.

 

[Dz_zYz0]

همممممممممم

تعال نحلل الفديو جزء جزء

اولا من الوضاح ان العينه عباره عن رانسيوم وير

1- العينه بالكامل مكشوفه من المحرك الى هو محرك البت دفندر كلام سليم

2- تم تعطيل surf protection التى هى متمثل فى المحرك وايضا تعطيل behavior blocker والابقاء على file guard والتشغيل وكانت النتيجه حجب الملف

بعدها قمت بتعطيل file guard وتفعيل behavior blocker وتم عمل الملف بدون كشفه

بعدها قمت بتفعيل كل من file guard و behavior blocker وتم صد الملف

الملاحظ فى الفديو ان طبقه anti ransomware مفعله منذ البدايه

الاستنتاج النهائى

طبقه file guard هى المسئوله عن حجب الملف بالكامل

وكما ذكرنا فى الاعلى ان العينه عباره عن رانسيوم وير والتى تقوم بالتعديل على عدده ملفات محدده فى النظام لكى تعمل

والبرنامج بدوره يحمى تلك الملفات لذلك تم حمايه تشفير الملفات

طبقه behavior blocker المتمثله فى محلل السلوك لم تبدى اى رده فعل مع الملف على الرغم من انها كان من المفترض عليها قراه سلوك الملف من البدايه وفشلت فى التصدى

شكرا على التجربه بالفديو

( هههههه قمت باعاده الفديو من 3 الى اربع مرات لعدم تركيزى فيه بتمعن )

هههههه لم اكثر من التفاصيل لجعل الامر يبدو مشوقا للجميع للمشاركة

همممممممممم

تعال نحلل الفديو جزء جزء

اولا من الوضاح ان العينه عباره عن رانسيوم وير

1- العينه بالكامل مكشوفه من المحرك الى هو محرك البت دفندر كلام سليم

2- تم تعطيل surf protection التى هى متمثل فى المحرك وايضا تعطيل behavior blocker والابقاء على file guard والتشغيل وكانت النتيجه حجب الملف

بعدها قمت بتعطيل file guard وتفعيل behavior blocker وتم عمل الملف بدون كشفه

بعدها قمت بتفعيل كل من file guard و behavior blocker وتم صد الملف

الملاحظ فى الفديو ان طبقه anti ransomware مفعله منذ البدايه

الاستنتاج النهائى

طبقه file guard هى المسئوله عن حجب الملف بالكامل

وكما ذكرنا فى الاعلى ان العينه عباره عن رانسيوم وير والتى تقوم بالتعديل على عدده ملفات محدده فى النظام لكى تعمل

والبرنامج بدوره يحمى تلك الملفات لذلك تم حمايه تشفير الملفات

طبقه behavior blocker المتمثله فى محلل السلوك لم تبدى اى رده فعل مع الملف على الرغم من انها كان من المفترض عليها قراه سلوك الملف من البدايه وفشلت فى التصدى

شكرا على التجربه بالفديو

( هههههه قمت باعاده الفديو من 3 الى اربع مرات لعدم تركيزى فيه بتمعن )

هههههه لم اكثر من التفاصيل لجعل الامر يبدو مشوقا للجميع للمشاركة

تحليلك دوما في محله وفعلا كان الهدف منى معرفة سرعة و ردة فعل طبقة الBB مع طبقة الرانسوم و كذلك منافستها امام زيمانا بالباندورا

ةلكن النتيجة جاءت مخيبة للامال و جاري استفزاز الماموتو من خلال عينات اخرى بحول الله

شكرا على المرور اخي

 

[Dz_zYz0]

السلام عليكم ورحمه الله وبركاته
العينه قديمه فبدون تحديث قاعده البيانات واصدار قديم تم عزلها عن طريق المحرك fileguard
العينه ايضا قام محلل السلوك بشكل تلقائى بعزلها behaviour blocker ربما يجب ان تجرب تشغيلها بدون استخدام sandbox او ترك العينه لتاخد وقتها فى التشغيل

محتوى مخفي: المحرك + Behaviour blocker

[hide]

[/hide]

البرنامج اداءه اكثر من رائع ومحلل سلوكه ممتاز وسيتم تطوير محلل السلوك اكثر قريبا .
تحياتى اخى الكريم وجزاك الله خيرا على التجربه.

شكرا على الرد اخي الكريم

العينة جديدة و تركت الملف لمدة معتبرة ينشط كما ان ساندبوكس لا يقلل من عمل العينة

الغريب نتيجة الاصدار القديم ممكن اخي صور اخرى للbb و هو يكتشفها ؟

 

[wikihow]

ممكن اخي صور اخرى للbb و هو يكتشفها ؟

اتفضل اخى

محتوى مخفي: Emsisoft live

[hide]

[/hide]

 

[black007]

اتفضل اخى

محتوى مخفي: Emsisoft live

[hide]

[/hide]

وهذه النتيجه تجعلنا نشك هل الساند بكون هو السبب

همممم ربما لان هناك بعض انواع الرانسيوم محميه ضدد الساند بوكس

لذلك يجب فى تجربه الحقيقيه وضع ملفات على سطح المكتب وترك العينه تعمل بكامل حريتها

لان الان يعتبر التجربه صحيحتين

سواء بالفديو او هذه

والامر يعتبر محير حيث ان فى الفديو طبقه behavior blocker لم تظهر اى رده فعل

بينما هنا ظهر اشعار من بانها سلوك مشبوه

البرنامج اما بيهيس او هناك خطب ما فى الموضوع

العينه تم انشائها بتاريخ 4/3/2018

تم رفعها على التوتل بتاريخ 23/3/2018

لذلك تعتبر جديده نسبيا

 

[wikihow]

العينه تم انشائها بتاريخ 4/3/2018

تم رفعها على التوتل بتاريخ 23/3/2018

محلل السلوك لا شك فيه قام بصد العينه ربما العينه لديها خاصيه detect للساند بوكس ولا تعمل ربما الساند بوكس قد عمل على منع العينه من العمل بفعل الصلاحيات الخاصه به .

 

[black007]

محلل السلوك لا شك فيه قام بصد العينه ربما العينه لديها خاصيه detect للساند بوكس ولا تعمل ربما الساند بوكس قد عمل على منع العينه من العمل بفعل الصلاحيات الخاصه به .

وهذا ما كنت اشك فيه من البدايه

اصبحت الان ملفات الرانسيوم تاخذ حزرها بشكل جيد

اذا اعتبرنها انها رانسيوم مبرمج فعليا لفعل التخريب لذلك سيعمل حسابه ان هناك ساند بوكس يمكن تخطيه

لقد اطلعت سابقا على hook درايف خاص تم برمجته من قبل شخص ما بمكن تخطى الساند بوكس اذكر كان من ring3 ولست متاكد

ولكن فى جميع الاحوال افضل التجربه بشكل حقيقى على النظام مع الاخذ بكافه الاحتياطات اللازمه

 

[Dz_zYz0]

محلل السلوك لا شك فيه قام بصد العينه ربما العينه لديها خاصيه detect للساند بوكس ولا تعمل ربما الساند بوكس قد عمل على منع العينه من العمل بفعل الصلاحيات الخاصه به .

وهذا ما كنت اشك فيه من البدايه

اصبحت الان ملفات الرانسيوم تاخذ حزرها بشكل جيد

اذا اعتبرنها انها رانسيوم مبرمج فعليا لفعل التخريب لذلك سيعمل حسابه ان هناك ساند بوكس يمكن تخطيه

لقد اطلعت سابقا على hook درايف خاص تم برمجته من قبل شخص ما بمكن تخطى الساند بوكس اذكر كان من ring3 ولست متاكد

ولكن فى جميع الاحوال افضل التجربه بشكل حقيقى على النظام مع الاخذ بكافه الاحتياطات اللازمه

لنفرض ان صلاحيات السانبوكس ربما ثبطت عمل العينة . لكن امام هاته الفرضية هنا سؤال: كيف استطاع زيمانا اكتشاف العينة و زيمانا لديه محلل سلوك سحابي الباندورا قام باكتشاف العينة مباشرة في حين ان الماماتو تاخر . فان فعلا الصلاحيات هي السبب اليس من المفروض ان باندورا الزيمانا ايضا لا يمكنها الاكتشاف مثله مثل الماماتو ..ما راي ضيفي الموضوع ؟

 

[awake]

تمام

 

[black007]

لنفرض ان صلاحيات السانبوكس ربما ثبطت عمل العينة . لكن امام هاته الفرضية هنا سؤال: كيف استطاع زيمانا اكتشاف العينة و زيمانا لديه محلل سلوك سحابي الباندورا قام باكتشاف العينة مباشرة في حين ان الماماتو تاخر . فان فعلا الصلاحيات هي السبب اليس من المفروض ان باندورا الزيمانا ايضا لا يمكنها الاكتشاف مثله مثل الماماتو ..ما راي ضيفي الموضوع ؟

التجربه الصراحه محيره جدا

فكل منكم التجربه لديه صحيحه وغريبه

فتجربتك تذكر ان عند تفعيل behavior blocker لم يكتشف الملف

وتجربت الاخ اكرم ايضا صحيحه وعند تفعيلها اكتشف الملف

ما يجعل الامر محير وغير مفهوم

الفاصل بينكهم شيئين اولا نسخه الويندوز المختبر عليها + الساند بوكس

اذا قلنا ان النسخه المختبر عليها من الممكن انها تكون نقطه ضعف بسبب الملف نفسه لان الملف ربما يستغل ثغره ما فى الويندوز وليس فقط تشفير الملفات

فالسر هنا هو مع الساند بوكس بحجب او بمنع الملف ( بتقييد كامل للملف او لا )

لقد قمت باختبار العينه بنفسى بدون برنامج حمايه داخل نسخه الويندوز 7 بدون برنامج حمايه وكانت النتيجه كالتالى

ليس هناك رده فعل من الملف غير فقط زراعه ملف فقط باسم عشواء داخل المسار C:\Users\You user\AppData\Roaming\Microsoft\

فاغلب ملفات الرانسيوم وير تقوم بزراعه ملفات شكل عشواء

فى ليست ملف مستقل بزاته اى ملف ليس ملف واحد فقط وانما الرانسيوم لديه عده ملفات يقوم بزراعته فى النظام بل ويعتمد على الاخرى لكى يعمل ( مكتبات اصلا موجوده فى الويندوز )

اى نستنج اى ملفات الرانسيوم كل منها لديه جزء محدد ليقوم بعمل مهمه ما

مجرد افتراض

طبيعه عمل محلل الزيمانا ربما تتبع نهج ايست الذى ذكرته سابقا فى المناقشه الذى جرت بينى وبين صديقى العزيز ميدو

http://forum.zyzoom.net/threads/302353/

انها تقوم بقرائه اللودر الخاص بالملف فقط وتترك باقى الملف بالكامل

اى اذا قمت بحزف المشغل الاساسى الذى يتم بداخله كل الاكواد اصبحت باقى الملفات الاخرى التابعه للملف الخبيث ليس منها اى فائده لان تم مسح اللودر المسؤل عن تفعيلها او تشغيلها

اتمنى تكون وجده النظر

وهذا يعتبر التفسير لما يحدث من تضارب النتائج

بالنظر الى ان كلا التجربتين صحيحتين

 

[Dz_zYz0]

التجربه الصراحه محيره جدا

فكل منكم التجربه لديه صحيحه وغريبه

فتجربتك تذكر ان عند تفعيل behavior blocker لم يكتشف الملف

وتجربت الاخ اكرم ايضا صحيحه وعند تفعيلها اكتشف الملف

ما يجعل الامر محير وغير مفهوم

الفاصل بينكهم شيئين اولا نسخه الويندوز المختبر عليها + الساند بوكس

اذا قلنا ان النسخه المختبر عليها من الممكن انها تكون نقطه ضعف بسبب الملف نفسه لان الملف ربما يستغل ثغره ما فى الويندوز وليس فقط تشفير الملفات

فالسر هنا هو مع الساند بوكس بحجب او بمنع الملف ( بتقييد كامل للملف او لا )

لقد قمت باختبار العينه بنفسى بدون برنامج حمايه داخل نسخه الويندوز 7 بدون برنامج حمايه وكانت النتيجه كالتالى

ليس هناك رده فعل من الملف غير فقط زراعه ملف فقط باسم عشواء داخل المسار C:\Users\You user\AppData\Roaming\Microsoft\

فاغلب ملفات الرانسيوم وير تقوم بزراعه ملفات شكل عشواء

فى ليست ملف مستقل بزاته اى ملف ليس ملف واحد فقط وانما الرانسيوم لديه عده ملفات يقوم بزراعته فى النظام بل ويعتمد على الاخرى لكى يعمل ( مكتبات اصلا موجوده فى الويندوز )

اى نستنج اى ملفات الرانسيوم كل منها لديه جزء محدد ليقوم بعمل مهمه ما

مجرد افتراض

طبيعه عمل محلل الزيمانا ربما تتبع نهج ايست الذى ذكرته سابقا فى المناقشه الذى جرت بينى وبين صديقى العزيز ميدو

http://forum.zyzoom.net/threads/302353/

انها تقوم بقرائه اللودر الخاص بالملف فقط وتترك باقى الملف بالكامل

اى اذا قمت بحزف المشغل الاساسى الذى يتم بداخله كل الاكواد اصبحت باقى الملفات الاخرى التابعه للملف الخبيث ليس منها اى فائده لان تم مسح اللودر المسؤل عن تفعيلها او تشغيلها

اتمنى تكون وجده النظر

وهذا يعتبر التفسير لما يحدث من تضارب النتائج

بالنظر الى ان كلا التجربتين صحيحتين

اعتماد نظام افتراضي افضل لنتائج منطقية وتجربة الاخ اكرم منطقية اكثر بما ان الساندبوكس هو وعاء احتواء اكثر منه وعاء تجربة .... قمت بمراجعة محادثتك مع الاخ ميدو و لكن لا زمل لها وقت لفهم المصطلحات هههههههههه

استعمال اللودر تختص بالرنسوم فقط ام تدخل في كل برمجة لاي ملف خبيث ؟

و هل يمكننا ادراج اكتشاف اللودر ضمن المحلل ام المحرك ؟

منور الموضوع مجدد يا اخ مصطفى

 

[black007]

اعتماد نظام افتراضي افضل لنتائج منطقية وتجربة الاخ اكرم منطقية اكثر بما ان الساندبوكس هو وعاء احتواء اكثر منه وعاء تجربة .... قمت بمراجعة محادثتك مع الاخ ميدو و لكن لا زمل لها وقت لفهم المصطلحات هههههههههه

استعمال اللودر تختص بالرنسوم فقط ام تدخل في كل برمجة لاي ملف خبيث ؟

و هل يمكننا ادراج اكتشاف اللودر ضمن المحلل ام المحرك ؟

منور الموضوع مجدد يا اخ مصطفى

اللودر هو مشغل اى ملف ساحاول شرح الفكره لك بشكل مفصل

الصيغ التنفيزيه فى الويندوز ما اكثر هذه الصيغه النتفيزيه تعتمد على شى يسمى برمجيا

sub main وهو ما نسميه نحن اللودر اى اى شى تحت هذه التعليمه يستم تنفيزه من قبل البرنامج

وباقى اجزاء الملف الاخرى لا يمكن تنفيزها طلما هذه التعليمه غير موجوده او مكشوفه وهى تقع فى جزء ما فى الملف اوفست محدد ويمكن قرائته عن طريق الهكس HEX

فى الحقيقه ان هذا يعتبر جزء مصغر من اللودر لان بدايه عمل الملف فى الاصل تبدا بما يدعى MZ و ان sub main هى تخص الملفات المشفره برميجا فقط

اعزرنى على عدم الاستقفاضه فى هذه النقطه

لان عليك ان تدرسه تركيب الملفات التنفيزيه وكيف تعمل

ساحول ان اشرح لك بشكل سريع ما هو تركيب الملف التنفيزى دون الدخول فى تفاصيل على الرغم من ان عليك ان تدرس فعليا تركيب الملفات التنفيزيه لتعرف كيف تعمل

مصطلح "PE" هو اختصار الى "Portable Excutable" اي برنامج مستقل قابل للتنفيذ دون الحاجة الى تنصيبة ويعمل على كل أنظمة الوندوز بغض النظر عن نوع المعالج المستخدم

الصورة التاليه تبين أجزاء البرامج بصيغة "PE"

يبدأ هيكل البرنامج بDOS Header الفائدة منة انة في حال تم تشغيل الملف من نظام الـ MS-DOS سيتعرف نظام الدوس على الملف على انة ملف MS-DOSبعد ذلك يستمر الى Dos Stubاي نسخة عن البرنامج الاصلي بصيغة الدوسثم يأتي PE Header وهو الجزء الذي يحتوي معلومات التشغيل للبرنامج

المعلومات الحقيقية التي يتم تنفيذها من قبل نظام التشغيل في البرامج التي بصيغة "PE" تقسم الى "Blocks" وتسمى "Sections"انواع هذة الــ "Sections" تماما مثل الملفات اللي في الهارد ديسك تلقى ملفات للقراءة فقط وملفات ممكن تعدل عليها "Writeable" وملفات قابلة للتنفيذ "Executable" هذة الـ "Sections" ايضا تصنف الى "Writable,data,Executable,Read only" وتفرز على هذا الاساس فالمعلومات التي للقرأءة فقط توضع في "Section" واحد وهكذا

كيف يتم تنفيذ البرنامج في الذاكرة

1- عند تشغيل البرنامج يقوم الـ"PE Loader" الخاص بنظام التشغيل بقراءة الـ "DOS Header" اذا كان هناك "PE Header" سخبره بذلك فيقوم الــ"PE Loader" بالقفز الى "PE Header" ليبدأ التنفيذ

2- الـ"PE Header" يعطي معلومات اساسية عن تنفيذ البرنامج و الـ "Sections" الموجودة في البرنامج ويوجها الــ"PE Loader" لتنفيذ الــ "Sections"

3- ينتقل الـ"PE Loader" الى الـ " Sections" على التوالي ويقوم بتخصيص عنواين لها في الذاكرة ليتم تنفيذها وايضا يعطي لها نفس الخواص في الذاكرة من حيث "Read only writeable "

4- ثم يقوم الـ "PE Loader" بتنفيذ ما يسمى بالـ "Import Table" الذي يحمل معلومات الملفات المساعدة لتنفيذ البرنامج اي ملفات الــ "DLL"

-------------------

الامر ليس مقتصر فقط على الملفات الخبيثه بشتى انواعا وانما مطبق على كل البرامج والملفات والصيغ الاخرى التى تعمل تحت بيئه ويندوز

الامر طبعا مختلف من انظمه تشغيل اخرى لكن دعنا لا نخلط الامور ببعضها

بخصوص سوالك هل يمكننا ادراج اكتشاف اللودر ضمن المحلل ام المحرك ؟

بالنسبه لمحلل السلولك هذا راجع الى طبيعه عمل الملف بمعنى

ان الملفات التى يتم تشفيرها برمجيا ( راجع هذه المشاركه )

يتم اجزاء التفكيك لها وقرائه نقاط الادخال عن طريق بعض الدوال فيها دوال برمجيه

ويمكن كشفها عن طريق سلوكها كما يفعل النود ( التهديد فى الزاكره ) لان يقوم بقرائه اللود الخاص بالملف المشفر برمجيا

دون النظر الى باقى اجزاء التشفيره

اما بالنسبه للتوقيع فالامر مختلف كليا

حيث ان فى التوقيع بشكل عام يعتمد على قرائه الملف وهو خام وليس مشفره ( كتابه قيمه فريده من نوعها ) لاكتشاف الملف

ولا تقل لى ان برامج الحمايه تعتمد على هاشات الملف وان هذه التقنيه قديمه جدا فى التعرف على الملفات

لان من السهل جدا الان التلاعب بالملفات واعاده بنائها فى ظل كل شى لدينا اصبح مفتوح المصدر ( وخصوصا الملفات الخبيثه )

اذا اردت ان تعرف كيف تقوم برامج الحمايه بكتابقه توقيع محدد ببرامجها

تفضل هذا مقال صغير عن

https://securityintelligence.com/signature-based-detection-with-yara/

اتمنى ان اكون وضحت شى ولو بسيط

بالتوفيق

 

[black007]

تفضل ايضا الموقع الرسمى المشروع مفتوح المصدر

https://yara.readthedocs.io/en/v3.7.0/

اذا ارد ان تتعمق اكثر وتقم ببناء برنامج حمايه خاص بك يعتمد على توقيع انت كتبتها بنفسك

بالتوفيق

 

[Dz_zYz0]

تفضل ايضا الموقع الرسمى المشروع مفتوح المصدر

https://yara.readthedocs.io/en/v3.7.0/

اذا ارد ان تتعمق اكثر وتقم ببناء برنامج حمايه خاص بك يعتمد على توقيع انت كتبتها بنفسك

بالتوفيق

دوما عامر يا اخ مصطفي بالشرح و التحليل ..ربنا يقويك ويزيدك

ههههه برنامج حماية ايه لا كفاية لحد هنا دا نا جاني صداع و4 كبيات قهوة عمال ما فهمت المصطلحات

و كمان لازم لي دروس خصوصية من عندك

تحياتي مرة اخرى اخي دوما مستمتع بمشاركاتك