• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

دكة الشايب / زيزوووم ....... حياكم حبايبي

الحالة
مغلق و غير مفتوح للمزيد من الردود.
طيب مافيه موقع لتحميل
wdf01000.sys ؟ حصلت مواقع لتحميل صيغ dll بس هالصيغة جنتني ماحصلتها , مسببة لي أزمة في جهازي و السبب أنها مو فيه !
 

توقيع : miss toto
الأشـهب قال:
وأنا معاكم سجلوني :b:​


بس عندي سؤال قبل ما يبدأ الدرس "سؤال خارجي"
كيف أظهر البينات التالية في نسخه أيزو

MD5
SHA1
CRC32

يعني مثلاً أنا اعرف القيم حق النسخة الخام لويندوز
والحين عندي نسخة أيزو لويندوز كيف اظهر القيمة السابقة لي أقوم بمقارنتها
مع القيم التى عندي !!
ومتابعة للسؤال نفسه
في الأونة الأخيرة الأخ زيزوم عند طرح اي اداة جديدة كان يضع البصمة للملف MD5
كيف يقوم بإستخراج البصمة لأي أداة !!
اخوي زيزوم لو في برنامج يقوم بهذا حتى لو بدون شرح مو مشكلة علشان ما نأخر الدرس :p:
ياريت الرابط بس وانا اتعلم عليه بطرقي الخاصة " علوم الأشهب " :q:

بالتوفيق
^_^
أنقر للتوسيع...
>> ممكن اتدخل :q:

اخوي عمااد تفضل :u:

i43988_ouomu-u-o-sup1-u-u-osu-.jpg


وهذا الرابط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


حتى الصورة يعطيك لها ملف بصمة :d:
 
توقيع : جااك سباارو
توقيع : الأشـهب
miss toto قال:
طيب مافيه موقع لتحميل
wdf01000.sys ؟ حصلت مواقع لتحميل صيغ dll بس هالصيغة جنتني ماحصلتها , مسببة لي أزمة في جهازي و السبب أنها مو فيه !
أنقر للتوسيع...
اهااا
انت صاحبة الموضوع اللي بالمشاكل :d:
هذا ملف والله بحثت عنه ومالقيته لك
اتوقع هو ينزل عن طريق اسطوانة تعريف الجوال او النوكيا بي سي
والله اعلم
 
جااك سباارو قال:
>> ممكن اتدخل :q:

اخوي عمااد تفضل :u:

i43988_ouomu-u-o-sup1-u-u-osu-.jpg


وهذا الرابط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


حتى الصورة يعطيك لها ملف بصمة :d:
أنقر للتوسيع...
سبقتك فيه :bleh:
لا هنت
الأشـهب قال:
لاهنت اخوي نور :q:
بارك الله فيك
هذا هو المطلوب :d:


^_^
أنقر للتوسيع...
ولا انت
:king:
 
جااك سباارو قال:
>> ممكن اتدخل :q:

اخوي عمااد تفضل :u:

i43988_ouomu-u-o-sup1-u-u-osu-.jpg


وهذا الرابط
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


حتى الصورة يعطيك لها ملف بصمة :d:
أنقر للتوسيع...

فديتك يالغلاااا
بارك الله فيكم على الفزعة يالنشامى :q:
مشكورين كتير كتير وغمرتوني بلطفكن <<<<<< هذا شكر بلهجتي السورية :d:

^_^
 
توقيع : الأشـهب
MAAX قال:
اهااا
انت صاحبة الموضوع اللي بالمشاكل :d:
هذا ملف والله بحثت عنه ومالقيته لك
اتوقع هو ينزل عن طريق اسطوانة تعريف الجوال او النوكيا بي سي
والله اعلم
أنقر للتوسيع...

أيوا :no:
المشكلة أني جالسة أفر في المواقع الأجنبية فيه ناس نفس مشكلتي كلها بسبب تحديث نوكيا بي سي الأخير
المشكلة جالسة أسوي كل الطرق ولافيه فايدة :f:

الجهاز مو راضي يتعرف ويثبت الجوال :er:
 
توقيع : miss toto
miss toto قال:
أيوا :no:
المشكلة أني جالسة أفر في المواقع الأجنبية فيه ناس نفس مشكلتي كلها بسبب تحديث نوكيا بي سي الأخير
المشكلة جالسة أسوي كل الطرق ولافيه فايدة :f:

الجهاز مو راضي يتعرف ويثبت الجوال :er:
أنقر للتوسيع...
طيب ارجعي للتحديث القديم
 
MAAX قال:
سبقتك فيه :bleh:
لا هنت
أنقر للتوسيع...
اي هذا مو اي واحد يطلب وما يتنفذ له هذا الاستاذ عماد :bleh:
زيادة الخير خيرين :hh:

الأشـهب قال:
فديتك يالغلاااا
بارك الله فيكم على الفزعة يالنشامى :q:
مشكورين كتير كتير وغمرتوني بلطفكن <<<<<< هذا شكر بلهجتي السورية :d:​


^_^
أنقر للتوسيع...
يفداك اعداك استاذ عماد :king:
وهـ فديت اهل الشام كلياتهم :b:
 
توقيع : جااك سباارو
شباب رايح اجيب شورما الي بده يقول الي والحساب بعدين >> واذا اشتريت وماحدى قال بده لابقول هات لي ( او اعطيني شوي ) ترى اطقه طق :mad: هيني رايح
24469_17141.jpg

MHrtRK12271520.jpg
 
توقيع : format
طيب سؤال : رسالة لم يتجاوز البرنامج ويندوز لوقو ( متكاسلة أكتب أنقلش ) تتوقعون هي سبب تلف البرنامج ؟!
 
توقيع : miss toto
MAAX قال:
طيب ارجعي للتحديث القديم
أنقر للتوسيع...

رجعت وحذفت وثبت بس مدري وش فيه مو راضي :f:
جالسة أحمل الآن درايفر أتوقع له دور لأني مالقيته في مدير الأجهزة
 
توقيع : miss toto
السلام عليكم

مناقشات مفيدة جداً

الأشـهب قال:
يا مال العافية .... :b:

يعني بالمختصر قمت بسحب ملفات التعريب من نسخة الكاسبر 2010

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\Skin\loc\ar

وقمت بتبديلها بملفات لغة الأداة التى على هذا المسار

Virus Removal Tool\avptool_setup\skin\loc\en

وقمت بسحب محتويات المجلد bases من نسخة كاسبر 2010

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Bases

وايضا استبدالها بمحتويات المجلد bases الذي على هذا المسار

Virus Removal Tool\avptool_setup\bases

يعني مثل ما قلت بأول كلامي علوم تخبيص :q:

:king:
أنقر للتوسيع...

بارك الله فيك أخي الأشهب ...

بالمناسبة هل بإمكان أي أحد رفع ملفات التعريب هنا ؟!

لأن لدي KIS en :q:

شكراً جزيلاً
 
توقيع : الزري2
تسجيل دخول /
يسعد صباحكم / مساؤكم بكل خير

وبحول الله سوف نبدأ بالدوره الترويحيه :d: لصيانة الجهاز من الفيروسات والبرامج الخبيثه
وعذرا :b: لن يتم الرد والتعقيب على تعليقاتكم ... حتى انهي الدوره ان شاء الله​
 
توقيع : ramay

\\\ جدول الدوره \\\
الدرس الأول :
- فهم آلية عمل الفيروسات والبرامج الخبيثه & عمل التقارير وتحليلها

الدرس الثاني :
- طرق التخلص من الفيروسات والبرامج الخبيثه

الدرس الثالث :
- عمليات ما بعد التخلص من الفيروسات والبرامج الخبيثه​
 
زيزوووم قال:
تسجيل دخول /​


يسعد صباحكم / مساؤكم بكل خير​

وبحول الله سوف نبدأ بالدوره الترويحيه :d: لصيانة الجهاز من الفيروسات والبرامج الخبيثه​

وعذرا :b: لن يتم الرد والتعقيب على تعليقاتكم ... حتى انهي الدوره ان شاء الله​
أنقر للتوسيع...
أنا واحد أتيت ولا في أحد جاي قبلي حتى ما أتعقب من أستاذ زيزوم:king:
 
توقيع : ramay
وصبأأأحكـ أســ ع ـــــد

متآآآآبــ ع بصمــت

مع الأستآآذ " زيــزوووم "


:y::y::y:
 
الدرس الأول :
- فهم آلية عمل الفيروسات والبرامج الخبيثه & عمل التقارير وتحليلها

أهم أمرين في تصميم الفايروس هما
1 - انتقاله وانتشاره ( وهذا لا يعنينا لأن الاصابه حدثت بالفعل :er: )
2 - ضمان بدء تشغيله تلقائيا مع بدء تحميل النظام , في كل مره يتم تشغيل الجهاز ( وهذا هو المهم لنا )

كيف يبدأ تشغيل الفايروس تلقائيا مع بدء تحميل النظام ؟

إما ان الفايروس يكون دامج نفسه بملفات النظام التشغيليه
وفي هذه الحاله ... لا تقارير هايجاك ولا كمبو فيكس ولا خرابيط :d: يقدر يفيدنا
اللهم ... التقارير بواسطة برامج الحماية
وحاليا هذه النوعيه ... نادره

أو ان الفايروس مستقل :p: وله ملفاته الخاصه
بحيث يبدأ تشغيله كـ خدمه للنظام وتكون تلقائيا التشغيل ..
او من مفتاح في مسجل النظام
او احد مجلدات بدء التشغيل Startup


مميزات " ملفات " الفيروسات والبرامج الخبيثه المستقله :q:
1 - بدون شهاده رقميه
2 - في الغالب تحمل اسماء لملفات النظام المشهوره ( وليست بمساراتها الاصليه )
3 - تاريخ انشائها على الجهاز المصاب .. يكون حديث نوعا ما ( اسبوع او قل )
4 - غالبا تكون مخفيه

zyzoom-7d82d6ffec.gif



طرق الكشف عن الفيروسات والبرامج الخبيثه ( عمل التقارير وتحليلها )

اولاا / باستخدام برامج الحمايه ( لكشف جميع انواع الفيروسات والبرامج الخبيثه ما عدا الباتشات المشفره )
نستخدم برامج الحمايه في الفحص وعمل التقارير ... وخصوصا البورتابل منها
كـ مكافي مثلا وباستخدام طريقة الفحص عند الطلب On-Demand Scanner
ولماذا المكافي بالذات ... لقوته في التخلص من الفيروسات النشطه بالذاكره
اصلااح ما تفسده هذه الفيروسات لمسجل النظام ... والأهم ميزته الرهيبه
بالتخلص من الفايروس المتعدد ( الذي عند حذفه بالطرق التقليديه يرجع مره أخرى :?: )


>>>>>>> طب يابني :d: قبل ما تسترسل بكلاام :cr: مواقع الفحص مالها ... ما تنفع !! ؟؟

في وقتنا الحالي ... كثير من الفيروسات .. تعمل على منع تصفح مواقع الحمايه :u:
وحتى بعضها يعمل بلوك عليها ويمنع عمل تحديث للويندوز


ايووه ... نعود لمحور حديثنا :hh:
مثلاا عندي جهاز مصاب ... وتم استخدام المكافي لفحصه وعمل تقرير له
راح يظهر لي التقرير بهذا الشكل

i44365_mcafee-report.png


شفتو ... وش قد السالفه سهله :d: وكل اشي جاهز بدون تحليل وبدون وجع راس :hh:


zyzoom-7d82d6ffec.gif



ثانيا / استخدام ادوات عمل التقارير ( لكشف الباتشات المشفره )

راح نتعلم على استخدام اكثر من اداه ... وان هضمتوهن :hh: راح تكونو مبدعين بالكشف عن الباتشات المشفره
لكن يجب ان يكون عندكم خبره لاباس بها بأسماء ملفات البرامج العامه وملفات النظام
او باستخدام هذه المواقع ... لمعرفة الملفات السليمه ( ملفات برامج عامه او نظام التشغيل )
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ومن أهم الادوات لعمل تقارير للكشف عن الباتشات المشفره
الاداة / Silent Runners.vbs
مثلاا / عندي جهاز مصاب بباتش مشفر ... وبعد عمل تقرير باداة Silent Runners.vbs
وفي قسم بدء التشغيل ... ظهر لي التالي

i44377_runners.png


وبعد التأكد من قائمة الملفات والتي تظهر ببدء التشغيل للنظام
ظهر لي مدخل واحد .. يحتوي على ملف غريب وهو
C:\WINDOWS\system32:allg.exe

وبعد تحليله بموقع فايروس توتل ... ظهر لي انه باتش
وأهم شئ .. حجمه صغير جدا ومخفي على شكل streams

zyzoom-7d82d6ffec.gif


الاداة / Runscanner
اداة مفيده جدا ... لعمل عدة تقارير ... ومن أهمها في مجال كشف الباتشات المشفره
عمل تقرير لملفات بدء التشغيل مع التوضيح .. هل الملف يحمل توقيع رقمي او لاا
ويفيدنا هذا بتقليل قائمة الملفات التي نحللها ...

وهنا مثال على نفس الباتش السابق

i44654_runscanner.png


ومن التقرير نلااحظ التالي /
له مفتاح بدء تشغيل
الملف مخفي
الملف لا يحتوي على توقيع رقمي

بعد الملااحظات السابقه ... ازداد الشك بان الملف مشبووه جدا :hh:
وتوجد بالاداة خاصية فحص الملفات مباشره بموقع فايروس توتال
كلك يمين على القيمه التي فيها هذا الملف .. واختر Upload file to VirusTotal
وراح ينرفع الملف ... ولحظات ويظهر لك التقرير

i44664_runscanner-1.png



zyzoom-7d82d6ffec.gif


تحليل الملف لمعرفة سلوكه
طيب واذا الهكرز عفن شوي :d: ومشفره على جميع برامج الحماية
في هذه الحالة ... نقوم بتحليل نفس الملف :?: ونرى هل صحيح باتش او ملف سليم
من خلاال سلوك الملف عند تشغيله وماذا يعمل بالنظام
.... وهنا مثال على نفس الباتش السابق
نفتح هذا الموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ونرفع الملف ... وننتظر حتى ينتهي الموقع من تحليله
ويظهر لنا التقرير ... كما هو واضح هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وش يقول التقرير :hh:
الملف ... ينشئ مفتاح بمسجل النظام ( هذا طبيعي لأغلب البرمج )
الملف ... ينشئ قيمة لذلك المفتاح والملف ومساره مخفي ( هذا مو طبيعي :ok: )
الملف ... يحذف نفسه بعد التشغيل ( طبيعي وبنفس الوقت موطبيعي :?: )
الملف ... يحقن نفسه في الانترنت اكسبلورر ( لا والله مو طبيعي :d: )
ويقول بالنهايه ان هذا الملف .. يسلك سلوك الباتش Backdoor.Win32..PoisonIvy.Gen


.







.

( انتهى الدرس ... وسوف نبدأ بالتطبيق :hh: )

 
يعطيك العافية على الدرس الرائع اخي وفقك الله ننتظر ما تبقى
 
توقيع : اللؤلؤ المكنون
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى