محتويات مقالاتي صحيفة البوابة مختلفون دروبلاي المواطن موقع ثقة موقع نادي العرب بيتونيا اونلاين التقنية الموسوعة العامة new capital compounds الصفحة العربية عرضية الموسوعة شدات ببجي سراج نشرات شبكة زاجل أركان المعتمر لحجز فنادق مكة والمدينة مركز تحميل اتفراج تي في

تشفيرة ( ملف لاختبار برامج الحمايه ) تشفيره بتاريخ 20/10/2020

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏أكتوبر 20, 2020.

  1. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته

    اتمنى ان يكون الجميع فى تمام الصحه والعافيه


    تشفيره جديده بتاريخ 20/10/2020

    كلمه مهمه لمجرب العينه

    كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم

    فهذا القسم مخصص للتجارب على ملفات ضارة مختلفة الأنواع

    ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة بما سوف يجربه

    والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم وتجريبه على جهازه

    والإدارة تخلي مسؤوليتها بهذا الشأن

    من الافضل اجراء التجربه على الوضع الافتراضى لبرنامج الحمايه لديك

    لان ليس هناك اى فائده من ضبطه على اليدوى وتجربه العينه لان الوضع اليدوى انت الذى تتحكم فيه فلا جدوى من تجربه وضع انت تتحكم فيه

    دع البرنامج على وضعه واختبر الملف لترى هل ستصدى للملف ام لا

    لا اقيد احد باعدادات معينه وكل شخص حر فى اعداداته

    ولكن افضل ان تجرب الملف على وضع الشركه للبرنامج

    لانى كما ذكرت ليس هناك اى فائده من وضع نتائج على اليدوى انت الذى تتحكم بها

    ولا ننسى الهدف الاساسى من اختبار العينات

    وهو للتعلم وتطوير الزات فى فهم الرسائل التى تظهر برامج الحمايه فى تعاملاتها مع الملفات الخبيثه

    ايضا يجب تجميد الجهاز ببرنامج shadow defender او deep freeze لضمان سلامه الجهاز او التجربه على الوهمى

    مع العلم ان العينه ليست تدميريه وانما نوع من انواع ملفات التجسس


    ملاحظات مهمه

    - فى حاله التشغيل : العينه تعمل تحت بيئه ويندوز 10 فقط

    - العينه ليست للتدرب على الفك وانما موجهه لاختبار برامج الحمايه بشكل خاص ( الدفاع الاستباقى + الجدار وجميع الطبقات الاخرى )

    - العينه تعمل تحت بيئه X86 + تعمل تحت البيئه الوهميه بدون مشاكل

    - لا حاجه لرفع العينه على فايرس توتل فالعينه للاختبار وليست للتقييم


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    تحياتى للجميع

    اخوكم ومحبكم دوما

    مصطفى & Black007

     
    White Man ،boody007 ،AE_θξR و 8آخرون معجبون بهذا.
  2. MesterPerfect

    MesterPerfect مراقب عام طـــاقم الإدارة ★ نجم المنتدى ★ نجم الشهر عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏نوفمبر 5, 2016
    المشاركات:
    13,257
    الإعجابات :
    15,142
    نقاط الجائزة:
    3,420
    الجنس:
    ذكر
    الإقامة:
    sohag, Egypt
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    وعليكم السَلام ورحمة الله وبركاته
    هلا بك أخي مصطفى وبعيناتك

    جربت التحميل وفك الضغط والكسبر لم يفعل شيء
    ضغط على المجلد واخترت فحص وأيضا لم يفعل شيء

    upload_2020-10-20_8-20-40.png

    نشغل الملف بقة

    upload_2020-10-20_8-22-53.png

    الكسبر لم يفعل شيء أيضا
    هل هناك شيء يجب عمله لختبار العينة
     
    elmasry2006 ،boody007 و black007 معجبون بهذا.
  3. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    تمام اكتب الكود كى يبدا عمل الملف

    ستختفى شاشه الكود وسيعمل الملف فى الخلفيه فى صمت

    اذا لم يظهر لك اى اشعار من الكاسبر فقد تم التخطى

    ملحوظه ( الكود متغير فى كل مره تشغل فيها الملف من جديد )

    تابع عمل الملف فى الخلفيه باستخادم اى برنامج مراقبه العمليه مثل process explorer او process hacker )

    تحديدا هذا التبويب

    [​IMG]

    Tcp Listening تعني أنه ينتظر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )

    Tcp Established تعني أن الإتصال جاري بين الطرفين ( كل شئ تمام )

    Tcp Close_Wait تعنى تم إنشاء الإتصال ولكن لم يتم الرد من الجانب الإخر ( الإتصال غير مكتمل )

    Tcp Syn_Send تعنى تم الإرسال ولكن لم يتم الرد من الجانب الأخر ( جهاز المخترق )
     
    أعجب بهذه المشاركة wikihow
  4. wikihow

    wikihow زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 6, 2013
    المشاركات:
    1,019
    الإعجابات :
    1,980
    نقاط الجائزة:
    1,395
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    السلام عليكم ورحمه الله وبركاته
    ما هو السلوك المشبوه الذى يفعله الملف لكى يمنعه برنامج الحمايه؟
    اعتقد ان البرنامج يراه كملف عادى يقوم بالاتصال بالانترنت ولم يتم تصنيفه بعد لذلك تبعا ل الاعدادات الافتراضيه للكاسبر
    يذهب الى قائمه "low restricted" الخاصه بالتطبيقات الغير معروفة مع بعض الصلاحيات المحدوده كما يمكن تعديل الصلاحيات من طرف المستخدم مثل عدم السماح بالوصول للانترنت لهذه القائمه
    وسيكون اعداد مفيد جدا فى هذه الحالة.
    بالنسبه لبرنامج Wisevector
    [​IMG]
     
    آخر تعديل: ‏أكتوبر 20, 2020
    boody007, elmasry2006, padova و 1 شخص آخر معجبون بهذا.
  5. osama101

    osama101 زيزوومى فعال

    إنضم إلينا في:
    ‏أغسطس 29, 2012
    المشاركات:
    158
    الإعجابات :
    686
    نقاط الجائزة:
    300
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    السلام عليكم
    التجربه على avast
     

    الملفات المرفقة:

    • Capture.PNG
      Capture.PNG
      حجم الملف:
      11.9 ك. ب
      المشاهدات:
      21
    boody007 و black007 معجبون بهذا.
  6. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    مبدئيا تصنيف هذه العينه رات RAT ( remote access trojan اى تصنف كملف اختراق

    استغلال جهاز الضحيه بشكل كامل

    بعض السلوكيات المشبوهه

    1- التجسس على الكام

    2- سحب جميع الباسورد المخزن من المتصفح

    3- مشاهده سطح المكتب الخاص بالمستخدم

    4- استغلال الضحيه كبروكسى

    5- التجسس على المايك الخاص بالمستخدم

    6- التعدين على جهاز الضحيه

    والقائمه تطول

    الكاسبر يقول على موقعه فى قاعده Low Restricted

    Applications that do not have a digital signature from a trusted vendor and are not listed in the Kaspersky Lab database of trusted applications.
    These applications have certain restrictions on accessing other processes, controlling the system, and accessing the network without user's consent. These applications will request permission for most actions from the use

    ربما يكون كلامهم صحيح نسبيا

    لكن اذا حاولت ان تطبق هذا الكلام على ارض الواقع فستجد انه عكس ذلك

    كيف ذلك

    عندما يتم اختراق شخص ما فان الصلاحيات الممنوحه للهاكر على جهاز المستخدم بتكون صلاحيات محدوده بالاعتماد على صلاحيات المسجل دخول على الجهاز لذلك يتم منح صلاحيات محدوده للملف

    لكن اذا حاولنا ان نقوم بتعديل الجلسه صلاحيات اعلى وهنا تسمى العمليه privilege escalation اى ترقيه الصلاحيات لكى يتم التحكم الكامل فى جهاز الضحيه بصلاحيات ادمن وليس يوزر عادى

    الكاسبر يقول ان اى تعديلات ستتم سيسال المستخدم على ذلك وفى الحقيقه الوضع يكون عكس ذلك فترقيه الصلاحيات الجلسه لا تظهر للمستخدم العادى اصلا فى الوضع الطبيعى فى الحالات العاديه

    حسننا بالنسبه للملف الذى امامنا ففعلا يتبع نفس الاسلوب وياخذ نفس صلاحيات المستخدم المسجل دخول ولكن تم برمجه هذا الرات ( على حسب نوع الرات المبرمج ) ان يقوم باستخدام باك دور يستعمل صلاحيات الادمن بدون الترقيه الى صلاحيات

    بعض الراتات بها الخاصيه التى سبق وشرحتها سابقا وهى يتم الاختراق بجلسه مستخدم ويتم الترقيه بعدها

    الراتات من هذا النوع تكون ذلكيه لعدم لفت انتباه سلوك عمل الملف لكى لا شتبه به برنامج الحمايه

    لكن اذا لاحظنا هنا فى الملف ستجد انه معه عده مكتبات من نوع DLL سابقا كان الوضع سهل قليلا فى التخطى حتى جائت ميكروسوفت وصنعت بما يعرف بال AMSI

    يمكن الطلاع عليها هنا

    https://docs.microsoft.com/en-us/windows/win32/amsi/how-amsi-helps

    وبدات برامج الحمايه فى وضع او اتباع نفس نهج هذا الاسلوب بل ويتم ترقيعه

    وان قلنا ان برامج الحمايه كانت تسبق ميكروسوفت بخطوه بدات باعتماد مصطلح machine learning فى فهم طريقه وعمل اسلوب الملفات الخبيثه واكبر مثال تصنيف قواعد الكاسبر بهذا الشكل

    فقد قمت باستغلال مكتبه وتم تخطى AMSI الخاص بالكاسبر

    لاحظ هذه الصوره من جهازى من عده تجارب كان اجريها على الملفات وماذا كان يفعل الكاسبر معها

    [​IMG]

    [​IMG]

    [​IMG]


    اذا حتى وان تم وضع الملف تحت صلاحيات محدوده لعدم وجوده فى قاعده بيانات الكاسبر وتصنيفه على انه ملف جديد فسيتم استغلال الضحيه طلما انك لا تقوم بالعبث فى ملفات النظام ( اتلافها )
     
    osama101 ،boody007 و wikihow معجبون بهذا.
  7. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    مع اقصى اعداد بتفعيل وضع hard end mode

    للعلم AMSI مع الافاست مختلف تماما عن الكاسبر وجارى ايجاد حل لها من قبلى للتخطى

    لان حتى الان لم استطيع التخلص من الافاست

    لم اجرب على باقى الحمايات وتركت الموضوع لكم

    (222n)(222n)(222n)(222n)
     
    wikihow ،boody007 و osama101 معجبون بهذا.
  8. osama101

    osama101 زيزوومى فعال

    إنضم إلينا في:
    ‏أغسطس 29, 2012
    المشاركات:
    158
    الإعجابات :
    686
    نقاط الجائزة:
    300
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    تجربتى على eset
    تم الاكتشاف بالفحص
     

    الملفات المرفقة:

    • Capture.PNG
      Capture.PNG
      حجم الملف:
      2.4 ك. ب
      المشاهدات:
      22
    elmasry2006 و black007 معجبون بهذا.
  9. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    لا اعرف وضع runtime مع النود كيف يكون خصوصا فى وجود AMSI كيف سيكون بدون المحرك

    الايست مازال يعيش فى العصور المظلمه استخدام محرك

    افضل خاصيه ابتكرها ايست حتى الان هى advanced memory scanner

    غيرها لم اجد ولا شى يحسب له ( بستثناء Hips )
     
    boody007 و osama101 معجبون بهذا.
  10. wikihow

    wikihow زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 6, 2013
    المشاركات:
    1,019
    الإعجابات :
    1,980
    نقاط الجائزة:
    1,395
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    شكرا على التوضيح والشرح المبسط .
    الملف لو صدر منه اى سلوك مشبوه "لتجسس على الكام و****" برنامج الحمايه هيتفرج عليه ؟؟!!!!!!
    جربت اخى تنفذ اى سلوك بدون مشاكل ؟
     
    أعجب بهذه المشاركة black007
  11. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7

    حتى اكون صادق معك

    صراحه لم تكون التجربه كامله من قبلى وانى اعتبرها ناقصه لعمل تنفيذ اى سلوك مشوبه كما اشرنا

    الجزء الاصعب دائما يكون اثناء استخراج الملف وتشغيله اى فى حاله runtime

    اتذكر عندما كنت استخدم مشروع metasploit وحاوله ان اقوم بعمل dump لجميع ملفات المستخدمين لاقوم باستخراج الباسوردات الممخزنه على جهاز وكان مثبت الكاسبر لم تنجح العمليه او لم تكتمل وظهر خطا عندى

    لم احدد وقتها هل تم امساك الملف بسبب اننى حاولت استخدام سلوك مشبوه او بسبب لان الملف كان خام وقتها ولم يتم تشفيره كما يجب

    لكن اعدك بفديو ساحاول عمله على الكاسبر واقوم بتجربه جميع السلوكيات المتاحه وساخبرك بالنتيجه

    هنا او على الخاص للافاده
     
    أعجب بهذه المشاركة wikihow
  12. wikihow

    wikihow زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 6, 2013
    المشاركات:
    1,019
    الإعجابات :
    1,980
    نقاط الجائزة:
    1,395
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    (222y)(222y)(222y)(222y)
    تم الاطلاع عليه (222y)
    "But what if the obfuscator is so trivial that it looks like many well-behaved scripts? A signature for it would generate an unacceptable number of false positives. Here's a sample stager script that's too benign to detect on its own.ً" "script inserted remotely and called we're downloading a web page, and invoking some content from it. Here's the equivalent in Visual Basic script."
    فالجزء ده صعب تعمله قاعده لكشفه ؟
    ممكن طريفة التشفير هى الحل للتجاوز, وهنا هيكون صعب يتعمله قاعده للرصد ؟
     
    آخر تعديل: ‏أكتوبر 20, 2020
  13. tiktoshi

    tiktoshi زيزوومي VIP ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏يوليو 14, 2014
    المشاركات:
    3,927
    الإعجابات :
    17,740
    نقاط الجائزة:
    1,495
    الإقامة:
    الجزائر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows 7
    الافيرا عند فك الضغط TR/Dropper.MSIL.Gen
     
    boody007 و elmasry2006 معجبون بهذا.
  14. اليوناني

    اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    17,506
    الإعجابات :
    27,140
    نقاط الجائزة:
    9,035
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    قمت بالتجربة على

    Kaspersky Security Cloud

    صاحبنا نايم

    2020-10-22_223121.png

     
    boody007 و elmasry2006 معجبون بهذا.
  15. Abo Raneem

    Abo Raneem زيزوومى مميز

    إنضم إلينا في:
    ‏ابريل 30, 2008
    المشاركات:
    621
    الإعجابات :
    107
    نقاط الجائزة:
    550
    الإقامة:
    AL-RASS
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم لم أجرب ولن أجرب ولكن مستمع كثيرا وأنا أقرأ خبراتكم شكرا لكم جميعا وأخص بالشكر أستاذي black007 فعلا مواضيعك تحتاج كاسة شاي وهيا استمتع وشكرا للشباب المتفاعلين ولكم مني أحلى وردة
     
    QADER-86-BH و black007 معجبون بهذا.
  16. tiktoshi

    tiktoshi زيزوومي VIP ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏يوليو 14, 2014
    المشاركات:
    3,927
    الإعجابات :
    17,740
    نقاط الجائزة:
    1,495
    الإقامة:
    الجزائر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows 7
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    أعجب بهذه المشاركة black007
  17. black007

    black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ فريق فحص زيزووم للحماية نجم الشهر كبار الشخصيات

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,595
    الإعجابات :
    24,097
    نقاط الجائزة:
    2,870
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    من التسميه واضح انه يستخدم محرك الافيرا
     
    أعجب بهذه المشاركة tiktoshi

مشاركة هذه الصفحة

جاري تحميل الصفحة...