تشفيرة رانسوم وير متطور جداً لتجربته بالتشغيل بتاريخ اليوم 17 -2 -2025

توقيع : tiktoshitiktoshi is verified member.
A7mdroid قال:
اخي رامي حتى عينة ( البلاك دي ) ( الموضوع السابق نفس الشي )

Screenshot-2025-02-17-163915.png


معلومه
حتى لو ارفقت الملف لن يشتغل ( كما حصل في الموضوع الاخوه اغلبهم انتظر انتظر ولم يحصل شي )
لسببين
العينه تدرس مكان التشغيل ( :) )
وتطلب ملف dll للبايثون ( البايثون والترمينال وحتى بعض الخصائص ) تحتاج تفعيلها من الميزات


لان الانظمه القديمه عامله اعتبار هذا الشي للمستخدم العادي

>> العينات تعمل Detect لدوال الوهمي اخي ... 🤣

كمان بتعمل ( بينق حتى تشوف ان كان هناك اتصال )



انا معاك يا رامي
بس حبيت اوصل لك الفكره الملف لايعمل بسبب كشفه لنظام الوهمي
العينه السابقه لهذا الموضوع ملف الستب يستعلم عن مسار الخاص بالنظام الوهمي
الملف ينتظر مده بعدها يعمل بينق حتى يتاكد من الاتصال ( عن طريق بنق متصفح ايدج )

\REGISTRY\MACHINE\HARDWARE\ACPI\DSDT\VBOX__
فما بيظهرش اي شي للمستخدمين
+ ملف دلل ناقص بالصوره

من يملك برنامج حمايه ( كاسبر او نود ) يضع قاعده يتعامل بها مع الملفات الغير رسميه الا وهي عدم الوصول للاستعلام عن الوهمي ...
أنقر للتوسيع...
اهو المسار دة بقى علشان لو الملف اترفع على فايرس توتال VBOX ملهوش علاقة خالص بالوهمى بتاعنا
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
اهو المسار دة بقى علشان لو الملف اترفع على فايرس توتال VBOX ملهوش علاقة خالص بالوهمى بتاعنا
أنقر للتوسيع...
استعلام داخل الجهاز يا رامي .......... شوف بص ( هاردوير ) مش website .....

\REGISTRY\MACHINE\HARDWARE\ACPI\DSDT\VBOX__
 
A7mdroid قال:
☺️

اي برنامج حمايه
يمتلك طبقة حماية رجستري نجعله يبلغنا

لما
ننشئ قاعده ( قراءه ، واخرى كتابه ) لاي مسار في الرجستري
كذلك ( نشاط تعديل قيم الرجستري ) حيتكشف كل الكلام اللي انا قلته ومع اي رانسوم للابد.... اصلا ده النهج للمستخدم العادي ( انه يشغل ويثبت لايعدل ع قيم )

يعني
لو تم التشغيل على حساب ويندوز مستخدم عادي مش ادمن ( مش حيقدر يشغل او الملف يشتغل )
لان الملف بحاجه ( تعديل قيم رجستري )

الرانسوم او اي ملف ضار ينتهي
ان منعناه من التعديل ...

اي ملف نحمله ( ليس من الضروري انه يستعلم عن البرامج المثبته او ايستعلم عن بيانات البيوس او هل تم تثبيت وهمي من خلال الدوال او قيم )


🙂
أنقر للتوسيع...
ما احنا علشان كدة بنعمل العينات دى
اننا نظبط عينات يعدل على الريجسترى او يحقن فى العمليات ويعمل دة فى تعتيم عن برنامج الحماية ،، او مثلا يحقن فى فى عملية موثوقة زى EXPLORER او مثلا SVCHOST علشان يقدر يعمل الحاجات دى بإسم العملية والانتى فايرس ميشكش فيه
ودة هو اللى بيبقى اختبار محلل سلوك برامج الحماية
 
توقيع : Ramy BadraanRamy Badraan is verified member.
A7mdroid قال:
استعلام داخل الجهاز يا رامي .......... شوف بص ( هاردوير ) مش website .....

\REGISTRY\MACHINE\HARDWARE\ACPI\DSDT\VBOX__
أنقر للتوسيع...
يا عم صلى على النبى
هو البرنامج لما يترفع على فايرس توتال مش بيبقى على جهاز سيرفر ،، يعنى يعتبر على كمبيوتر ازاى يبقى ويب سايت
الملف اصلا فى حد ابن حلال اعوز بالله منه رفعه على فايرس توتال
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
بص دة البيهيفيور بتاعه او سلوكه ،، هتلاقى فايرس توتال مش قادر يقرى السلوك بتاعه او يحلله
بسبب الطبقات دى
حتى هتلاقى محركات الفحص مكتشفة انه Win64.Themida
Themida دة البرنامج اللى بنضيف بيه طبقات التشفير
انا اصلا قبل كدة اتخنقت من حوار الرفع على فايرس توتال وكنت واخد قرار منزلش عينات تانى ،، بس ضغط الاخوة عليا علشان ارجع انزل عينات خلانى اولا اعمل توقيع على العينات كلها بإسم زيزووم او بإسمى علشان نحفظ حقوقها علشان قبل كدة منتدى صينى سرق عينة بتاعتى من هنا ونزلها عنده @tiktoshi مش واخد بالك انت يا توشكا؟؟ :tearsofjoy: :tearsofjoy:
وثانيا بحثت لغاية ما قدرت اوصل لطريقة تشفير تحميها من فايرس توتال ودلوقتى زى ما انت شايف العينة تترفع على فايرس توتال زى ما متترفعش عادى مش بتفرق فى اكتشاف العينة
 
توقيع : Ramy BadraanRamy Badraan is verified member.
برامج الحمايه تتعامل مع مستخدم لما يشغل ملف غير رسمي يشغله بصلاحيات مستخدم (ضيف )
او يشغله داخل حساب ( ضيف )

اللي من صلاحيات الضيف ... يشغل يثبت برنامج ................ لكن مايقدر يعدل على مسارات نظام وقيم رجستري فما يحصل اي ضرر


لكن الكل يشغل كأدمن .......... وتعال شوف ولايضيف لبرنامج الحمايه انو ( راقب القيم اللي بتتقرا او تتعدل في الرجستري )

طبعا ً برنامج الحمايه اللي ما يمتلك طبقة ( حماية رجستري ) يحاول يثبت اي برنامج يكمل المهمه مع برنامج حمايته
 
Ramy Badraan قال:
يا عم صلى على النبى
هو البرنامج لما يترفع على فايرس توتال مش بيبقى على جهاز سيرفر ،، يعنى يعتبر على كمبيوتر ازاى يبقى ويب سايت
الملف اصلا فى حد ابن حلال اعوز بالله منه رفعه على فايرس توتال
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
بص دة البيهيفيور بتاعه او سلوكه ،، هتلاقى فايرس توتال مش قادر يقرى السلوك بتاعه او يحلله
بسبب الطبقات دى
حتى هتلاقى محركات الفحص مكتشفة انه Win64.Themida
Themida دة البرنامج اللى بنضيف بيه طبقات التشفير
أنقر للتوسيع...


الحل وزع الملف اول يوم على ست اشخاص موثوقين كل واحد يستلم برنامج

ان تم رفعه فمنهم

وبلاش حماية ع اي ملف ولا حتى upx
 
A7mdroid قال:
برامج الحمايه تتعامل مع مستخدم لما يشغل ملف غير رسمي يشغله بصلاحيات مستخدم (ضيف )
او يشغله داخل حساب ( ضيف )

اللي من صلاحيات الضيف ... يشغل يثبت برنامج ................ لكن مايقدر يعدل على مسارات نظام وقيم رجستري فما يحصل اي ضرر


لكن الكل يشغل كأدمن .......... وتعال شوف ولايضيف لبرنامج الحمايه انو ( راقب القيم اللي بتتقرا او تتعدل في الرجستري )

طبعا ً برنامج الحمايه اللي ما يمتلك طبقة ( حماية رجستري ) يحاول يثبت اي برنامج يكمل المهمه مع برنامج حمايته
أنقر للتوسيع...
هو برنامج الانتى فايرس بيحمى الريجسترى لكن مش بيعملها تجميد
يعنى بيسمح انها تتعدل عادى ،، ما هو لو مش بيسمح انت مش هتعرف تسطب اى برنامج على الكمبيوتر :tearsofjoy: :tearsofjoy:
احنا بقى غالبا بندمج العينة فى برنامج موثوق او بندمجها فى عملية من عمليات الويندوز علشان لما تعدل فى الريجسترى الانتى فايرس ميشكش فيها
ارجع لاراء الخبراء فى المنتدى ومواضيعهم التعليمية وهتفهم اكتر لو مهتم
 
توقيع : Ramy BadraanRamy Badraan is verified member.
اوكي تغيرت الواجهه
والمفرووض تمت عملية التشفير
A7mdroid قال:
تسلم

الاعدادات ـ البروتكشن ـ اعدادات الحمايه ـ Add Exception ( اضافة استثناء ) عند الحمايه المتقدمه مش فاكر لاني زمان


صورها لي لو سمحت
أنقر للتوسيع...
اوكي حبيب راح اصورلك
انت تؤمر
بس استنى علي
لانه على النظام الوهمي
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
هههههههههه حبيبى يا عم خالد
معلش انا عارف انى مزعل بت ديفندر اليومين دول
أنقر للتوسيع...
دنته يا راجل مبهدل الكل يا عم الامبراطور:222cool:
 
A7mdroid قال:
تسلم

الاعدادات ـ البروتكشن ـ اعدادات الحمايه ـ Add Exception ( اضافة استثناء ) عند الحمايه المتقدمه مش فاكر لاني زمان


صورها لي لو سمحت
أنقر للتوسيع...
ايه يا عمنا
ما الملف اشتغل عند عم خالد اهو من غير ما يكون مثبت بايثون عنده :222D:222D
وكمان مشغله على الوهمى اهو عادى
مش واخد بالك انت يا عماد @A7mdroid
 
توقيع : Ramy BadraanRamy Badraan is verified member.
توقيع : Ramy BadraanRamy Badraan is verified member.
khaled_jtv قال:
دنته يا راجل مبهدل الكل يا عم الامبراطور:222cool:
أنقر للتوسيع...
لن يحصل شي يا خالد ان منعت اي اداه او برنامج من التعديل على قسم الرجستري عندك

لما تثبت برنامج يروح لمسارات معروفه ( مسار البرامج الانستول و مسار الان انستول و مسار الرن حتى يقلع )

لكن يروح يستعلم عن البرامج المثبته او يعمل ( تعديل ) هذي من شطارة المستخدم مع برنامج حمايه بطبقة رجستري ( ريد و كريت .. نو مودفاي )
 
A7mdroid قال:
لن يحصل شي يا خالد ان منعت اي اداه او برنامج من التعديل على قسم الرجستري عندك

لما تثبت برنامج يروح لمسارات معروفه ( مسار البرامج الانستول و مسار الان انستول و مسار الرن حتى يقلع )

لكن يروح يستعلم عن البرامج المثبته او يعمل ( تعديل ) هذي من شطارة المستخدم مع برنامج حمايه بطبقة رجستري ( ريد و كريت .. نو مودفاي )
أنقر للتوسيع...
لا ما القسم دة معمول علشان نختبر برامج الحماية وهى على الوضع الافتراضى
علشان المستخدم العادى اللى مش محترف يقدر يختار برنامج حماية يعتمد عليه بدون ما يكون مضطر يعمل اى اعدادات
انما لو على اليدوى اخونا @احمد المخاتره اتفرج على اللى بيعمله مع الكاسبر وايسيت على اليدوى
مفيش نملة بتعدى منهم
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
لا ما القسم دة معمول علشان نختبر برامج الحماية وهى على الوضع الافتراضى
علشان المستخدم العادى اللى مش محترف يقدر يختار برنامج حماية يعتمد عليه بدون ما يكون مضطر يعمل اى اعدادات
انما لو على اليدوى اخونا @احمد المخاتره اتفرج على اللى بيعمله مع الكاسبر وايسيت على اليدوى
مفيش نملة بتعدى منهم
أنقر للتوسيع...

برافو عليك
وندي الحل للمستخدم

برامج حماية تقول للمستخدم احمي مناطق السيستم بالرجستري اسمح لي بس بمسار رسمي ( انستل)

ليه مايحصل من شركه الحمايه ؟

لان المستخدم لما يشغل ملف غير رسمي ... يايكون مستخدم بصلاحيات ( امنه ـ ضيف ) او يشغل الملف نفسه بصلاحيات ضيف فما يحصل نشاط الملف الضار
 
A7mdroid قال:
برافو عليك
وندي الحل للمستخدم

برامج حماية تقول للمستخدم احمي مناطق السيستم بالرجستري اسمح لي بس بمسار رسمي ( انستل)

ليه مايحصل من شركه الحمايه ؟

لان المستخدم لما يشغل ملف غير رسمي ... يايكون مستخدم بصلاحيات ( امنه ـ ضيف ) او يشغل الملف نفسه بصلاحيات ضيف فما يحصل نشاط الملف الضار
أنقر للتوسيع...
لا خالص
عندك نورتون بيه طبعاً وعائلته الكريمة مش محتاج تلعب فى اعداداته اصلا ولا هو بينصحك تعدل فيه
والملف دة يقدرش يتخطاه وفى الاختبارات هنا هتلاقى نورتون على الافتراضى على اغلب العينات أسد
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
لا خالص
عندك نورتون بيه طبعاً وعائلته الكريمة مش محتاج تلعب فى اعداداته اصلا ولا هو بينصحك تعدل فيه
والملف دة يقدرش يتخطاه وفى الاختبارات هنا هتلاقى نورتون على الافتراضى على اغلب العينات أسد
أنقر للتوسيع...

ممكن بس زي ما بيقولوا ( انام بين القبور .......... )

ليه اترك البرنامج يعبث او يوصل لمناطق لا علاقة لها ب install او اي امر طبيعي يحتاجه من كل شغلته تثبيت برامج وتصفح ؟

النورتن ان تلف او تعطل حتكون كارثه

لكن بحساب محدود الصلاحيات بصلاحيات مقبوله محظور فيها العبث بالرجستري .. الدنيا حتكون بخير

حتى لو المستخدم اغلق النورتن لضعف الرامات عنده ... ☺️
 
A7mdroid قال:
ممكن بس زي ما بيقولوا ( انام بين القبور .......... )

ليه اترك البرنامج يعبث او يوصل لمناطق لا علاقة لها ب install او اي امر طبيعي يحتاجه من كل شغلته تثبيت برامج وتصفح ؟

النورتن ان تلف او تعطل حتكون كارثه

لكن بحساب محدود الصلاحيات بصلاحيات مقبوله محظور فيها العبث بالرجستري .. الدنيا حتكون بخير

حتى لو المستخدم اغلق النورتن لضعف الرامات عنده ... ☺️
أنقر للتوسيع...
الكلام دة ملهوش علاقة اصلا بالعينات وباختبار البرامج
عموما ان شاء الله والف الف مبروك :222D

1739805184233.webp
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
احنا تلاميذك يا عم خالد
أنقر للتوسيع...
استغفر الله انت المعلم وهاد اختصاصك
انا يا دوب هاوي
على العموم تاخرت على ابو حميد
معلش كان عندي شغله
الان بصورلك ولا تزعل
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى