-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع زيزوووم
- تاريخ البدء
- 69,944
- الحالة
format
زيزوومي ماسى
غير متصل
انت شخص رائع جدا جدا >>>الدرس الأول :
- فهم آلية عمل الفيروسات والبرامج الخبيثه & عمل التقارير وتحليلها
أهم أمرين في تصميم الفايروس هما
1 - انتقاله وانتشاره ( وهذا لا يعنينا لأن الاصابه حدثت بالفعل :er: )
2 - ضمان بدء تشغيله تلقائيا مع بدء تحميل النظام , في كل مره يتم تشغيل الجهاز ( وهذا هو المهم لنا )
كيف يبدأ تشغيل الفايروس تلقائيا مع بدء تحميل النظام ؟
إما ان الفايروس يكون دامج نفسه بملفات النظام التشغيليه
وفي هذه الحاله ... لا تقارير هايجاك ولا كمبو فيكس ولا خرابيط :d: يقدر يفيدنا
اللهم ... التقارير بواسطة برامج الحماية
وحاليا هذه النوعيه ... نادره
أو ان الفايروس مستقل: وله ملفاته الخاصه
بحيث يبدأ تشغيله كـ خدمه للنظام وتكون تلقائيا التشغيل ..
او من مفتاح في مسجل النظام
او احد مجلدات بدء التشغيل Startup
مميزات " ملفات " الفيروسات والبرامج الخبيثه المستقله :q:
1 - بدون شهاده رقميه
2 - في الغالب تحمل اسماء لملفات النظام المشهوره ( وليست بمساراتها الاصليه )
3 - تاريخ انشائها على الجهاز المصاب .. يكون حديث نوعا ما ( اسبوع او قل )
4 - غالبا تكون مخفيه
طرق الكشف عن الفيروسات والبرامج الخبيثه ( عمل التقارير وتحليلها )
اولاا / باستخدام برامج الحمايه ( لكشف جميع انواع الفيروسات والبرامج الخبيثه ما عدا الباتشات المشفره )
نستخدم برامج الحمايه في الفحص وعمل التقارير ... وخصوصا البورتابل منها
كـ مكافي مثلا وباستخدام طريقة الفحص عند الطلب On-Demand Scanner
ولماذا المكافي بالذات ... لقوته في التخلص من الفيروسات النشطه بالذاكره
اصلااح ما تفسده هذه الفيروسات لمسجل النظام ... والأهم ميزته الرهيبه
بالتخلص من الفايروس المتعدد ( الذي عند حذفه بالطرق التقليديه يرجع مره أخرى :?: )
>>>>>>> طب يابني :d: قبل ما تسترسل بكلاام :cr: مواقع الفحص مالها ... ما تنفع !! ؟؟
في وقتنا الحالي ... كثير من الفيروسات .. تعمل على منع تصفح مواقع الحمايه :u:
وحتى بعضها يعمل بلوك عليها ويمنع عمل تحديث للويندوز
ايووه ... نعود لمحور حديثنا :hh:
مثلاا عندي جهاز مصاب ... وتم استخدام المكافي لفحصه وعمل تقرير له
راح يظهر لي التقرير بهذا الشكل
شفتو ... وش قد السالفه سهله :d: وكل اشي جاهز بدون تحليل وبدون وجع راس :hh:
ثانيا / استخدام ادوات عمل التقارير ( لكشف الباتشات المشفره )
راح نتعلم على استخدام اكثر من اداه ... وان هضمتوهن :hh: راح تكونو مبدعين بالكشف عن الباتشات المشفره
لكن يجب ان يكون عندكم خبره لاباس بها بأسماء ملفات البرامج العامه وملفات النظام
او باستخدام هذه المواقع ... لمعرفة الملفات السليمه ( ملفات برامج عامه او نظام التشغيل )
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ومن أهم الادوات لعمل تقارير للكشف عن الباتشات المشفره
الاداة / Silent Runners.vbs
مثلاا / عندي جهاز مصاب بباتش مشفر ... وبعد عمل تقرير باداة Silent Runners.vbs
وفي قسم بدء التشغيل ... ظهر لي التالي
وبعد التأكد من قائمة الملفات والتي تظهر ببدء التشغيل للنظام
ظهر لي مدخل واحد .. يحتوي على ملف غريب وهو
C:\WINDOWS\system32:allg.exe
وبعد تحليله بموقع فايروس توتل ... ظهر لي انه باتش
وأهم شئ .. حجمه صغير جدا ومخفي على شكل streams
طيب واذا الهكرز عفن شوي :d: ومشفره على جميع برامج الحماية
في هذه الحالة ... نقوم بتحليل نفس الملف :?: ونرى هل صحيح باتش او ملف سليم
من خلاال سلوك الملف عند تشغيله وماذا يعمل بالنظام
.... وهنا مثال على نفس الباتش السابق
نفتح هذا الموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ونرفع الملف ... وننتظر حتى ينتهي الموقع من تحليله
ويظهر لنا التقرير ... كما هو واضح هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
وش يقول التقرير :hh:
الملف ... ينشئ مفتاح بمسجل النظام ( هذا طبيعي لأغلب البرمج )
الملف ... ينشئ قيمة لذلك المفتاح والملف ومساره مخفي ( هذا مو طبيعي
الملف ... يحذف نفسه بعد التشغيل ( طبيعي وبنفس الوقت موطبيعي :?: )
الملف ... يحقن نفسه في الانترنت اكسبلورر ( لا والله مو طبيعي :d: )
ويقول بالنهايه ان هذا الملف .. يسلك سلوك الباتش Backdoor.Win32..PoisonIvy.Gen
واصل ابداعك >>>
:hh::hh::q::hh::hh:
PIdProcess NameImage
Name0x298IEXPLORE.EXEC:\Program Files\Internet Explorer\iexplore.exe:hh::hh:
k::hh::hh::hh::hh::hh::hh::hh:
:hh::hh::hh::hh::hh:تستخدم البيوزون للاختراق :hh:Backdoor.Win32..PoisonIvy.Gen:hh: المصيبه راح يمسكه الافيرا لانه متخصص بقيمة Gen >>> حلو التصنيف يcomodo
:hh::hh::hh::hh::hh::hh::hh::hh::u::hh::hh::hh::hh::hh::hh::hh:
وشرح اروع تقبل تحياتي يازيزووم استاذنكم طالع على الجامعة
توقيع : format
اللؤلؤ المكنون
زيزوومى مميز
غير متصل
انت شخص رائع جدا جدا >>>
واصل ابداعك >>>
:hh::hh::q::hh::hh:
PIdProcess NameImage
Name0x298IEXPLORE.EXEC:\Program Files\Internet Explorer\iexplore.exe:hh::hh:
:hh::hh::hh::hh::hh:
تستخدم البيوزون للاختراق :hh:Backdoor.Win32..PoisonIvy.Gen:hh: المصيبه راح يمسكه الافيرا لانه متخصص بقيمة Gen >>> حلو التصنيف يcomodo
:hh::hh::hh::hh::hh::hh::hh::hh::u::hh::hh::hh::hh::hh::hh::hh:
وشرح اروع تقبل تحياتي يازيزووم استاذنكم طالع على الجامعة
:hh::hh::hh::hh::hh:
طيب واللي عنده الكاسبر ايش يسوي:er::er:
توقيع : اللؤلؤ المكنون
ramay
زيزوومى مبدع
غير متصل
وش يقول التقرير :hh:
الملف ... ينشئ مفتاح بمسجل النظام ( هذا طبيعي لأغلب البرمج )
الملف ... ينشئ قيمة لذلك المفتاح والملف ومساره مخفي ( هذا مو طبيعي
الملف ... يحذف نفسه بعد التشغيل ( طبيعي وبنفس الوقت موطبيعي :?: )
الملف ... يحقن نفسه في الانترنت اكسبلورر ( لا والله مو طبيعي :d: )
ويقول بالنهايه ان هذا الملف .. يسلك سلوك الباتش backdoor.win32..poisonivy.gen
بارك الله فيك زيزوم لكن لم أعرف كيف أنه مسار مفتاح مخفي وكيف تبين لك أنه يحذف نفسه وووو في تقرير
أتمنى توضيح لي جزاك الله خيرا
توقيع : ramay
اللؤلؤ المكنون
زيزوومى مميز
غير متصل
:hh::hh::hh::hh::hh::q::q:
توقيع : اللؤلؤ المكنون
format
زيزوومي ماسى
غير متصل
تسجيل دخول /
يسعد صباحكم / مساؤكم بكل خير
تم اضافة ... فقرة عمل تقرير باستخدام الاداة Runscanner
ارجووو ... القراءه بتمعن :d:
وان شاء الله نبدأ التطبيق ... من غدا
<<<<<<<<<<<<< مزحووم الليله :er::er:
ويفضل ان يكون عندك برنامج الويندوز الافتراضي
حتى نجرب الفيروسات والباتشات كـ تطبيق عملي
يسعد صباحكم / مساؤكم بكل خير
تم اضافة ... فقرة عمل تقرير باستخدام الاداة Runscanner
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
ارجووو ... القراءه بتمعن :d:
وان شاء الله نبدأ التطبيق ... من غدا
<<<<<<<<<<<<< مزحووم الليله :er::er:
ويفضل ان يكون عندك برنامج الويندوز الافتراضي
حتى نجرب الفيروسات والباتشات كـ تطبيق عملي
ويبارك فيك ياغالي ..
رابط التقرير موجود
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
اطلع عليه ... وشوف القيمه التاليه
Values Created
راح تجد الملف بهذه الصيغه >>> system32:allg.exe
معناته انه مخفي كـ Streams
اما يحذف نفسه وباقي وووو :q:
واضحه بالتقرير ...
وسوف نمر عليها بالتفصيل ان شاء الله ... عند التطبيق العملي على الباتشات المشفره
format
زيزوومي ماسى
غير متصل
KoNaMi
زيزوومى فضى
غير متصل
(مجرد انسان)
زيزوومى محترف
غير متصل
متابع بصمت للدورة الزيزومية :y:
والله يجـ ع ـل ما تقدمه في ميزان حسناتك
:king:
والله يجـ ع ـل ما تقدمه في ميزان حسناتك
:king:
توقيع : (مجرد انسان)
*Sweet girl*
زيزوومى مميز
غير متصل
توقيع : *Sweet girl*
ahmadkalmad
زيزوومى متألق
غير متصل
موضوع رائع شكرا
:king:
:king:
توقيع : ahmadkalmad
التطبيق على الدرس الأول
إستخدام المكافي باحتراف :d: لكشف عن الفيروسات والبرامج الخبيثه ولعمل التقارير فقط
البرامج والملفات المطلوبه للتطبيق
1 - المكافي للفحص من سطر الاوامر بالسكان انجن 5.4
2 - ملف تحديثات المكافي
ولمعرفة الملف المطلوب نعمل كما بهذه الصوره
3 - برنامج الونرار
4 - فايروس للتطبيق عليه ( يصلك على الخاص بخدمة الدليفري :d: )
السيناريو والحوار :hh:
1 - نقوم بتشغيل ملف الفايروس
2 - نقوم بتثبيت برنامج الونرار ( لمن لا يوجد لديه البرنامج )
3 - نستخرج الملفات من vwin540e.zip
4 - نستخرج الملفات من ملف التحديثات
5 - ننسخ جميع الملفات المستخرجه من ملف التحديثات ... ونلصقها
على الملفات المستخرجه من الملف vwin540e.zip ونقبل رسالة الاستبدال
6 - نقوم بتغيير اسم ملف الفحص scan.exe الى مثلاا run.exe ( حتى لا تكتشفه الفيروسات )
7 - نحدد جميع الملفات وبالماوس كلك يمين ونختار Add to archive
8 - نقوم بالتأشير على Create SFX archive و Create solid archive
9 - نفتح التبويب Advanced ونظغط على SFX options
10 - نحدد مكان استخراج الملفات ... وهنا مثلا C:\xxxc
ونضع ايضا امر التنفيذ بعد استخراج الملفات
ومثل ما ذكرنا سابقاا ... تم تغيير اسم ملف الفحص الى run.exe
والامر لعمل الفحص لجميع المحركات وعمل تقرير بالعمليه
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
نضعه في Run after extraction
11 - نفتح التبويب Modes ونؤشر على Hide all
12 - نفتح التبويب Update ونؤشر كما بالصوره
وبعدها نضغط OK
13 - نضغط على OK حتى يتم انشاء الملف المضغوط
شرح اوامر اداة المكافي ... والموجود بالخطوه - 11 -
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
run.exe
ملف الفحص
adl
الفحص في جميع محركات الاقراص
all
فحص جميع الملفات
sub
الفحص بالمجلدات وما بداخلها من مجلدات وملفات
mime
تفعيل الفحص في الملفات نوع mime
streams
الفحص في الستريمز لنظام ملفات ntfs
allole
تفعيل الفحص في الملفات نوع allole
append
اضافة التقرير لتقرير سابق
report c:\mcafee.txt
عمل تقرير باسم mcafee.txt وحفظه بمحرك الاقراص سي
nobreak
منع الفيروسات من ايقاف عملية الفحص
وبالطريقة السابقه نعمل ... اداة المكافي كـ بورتابل
واهم شئ انها ... تشتغل حتى ولو ان الدوس ممنوع تشغيله بواسطة احد الفيروسات
إستخدام المكافي باحتراف :d: لكشف عن الفيروسات والبرامج الخبيثه ولعمل التقارير فقط
البرامج والملفات المطلوبه للتطبيق
1 - المكافي للفحص من سطر الاوامر بالسكان انجن 5.4
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
2 - ملف تحديثات المكافي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
ولمعرفة الملف المطلوب نعمل كما بهذه الصوره
3 - برنامج الونرار
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
4 - فايروس للتطبيق عليه ( يصلك على الخاص بخدمة الدليفري :d: )
السيناريو والحوار :hh:
1 - نقوم بتشغيل ملف الفايروس
2 - نقوم بتثبيت برنامج الونرار ( لمن لا يوجد لديه البرنامج )
3 - نستخرج الملفات من vwin540e.zip
4 - نستخرج الملفات من ملف التحديثات
5 - ننسخ جميع الملفات المستخرجه من ملف التحديثات ... ونلصقها
على الملفات المستخرجه من الملف vwin540e.zip ونقبل رسالة الاستبدال
6 - نقوم بتغيير اسم ملف الفحص scan.exe الى مثلاا run.exe ( حتى لا تكتشفه الفيروسات )
7 - نحدد جميع الملفات وبالماوس كلك يمين ونختار Add to archive
8 - نقوم بالتأشير على Create SFX archive و Create solid archive
9 - نفتح التبويب Advanced ونظغط على SFX options
10 - نحدد مكان استخراج الملفات ... وهنا مثلا C:\xxxc
ونضع ايضا امر التنفيذ بعد استخراج الملفات
ومثل ما ذكرنا سابقاا ... تم تغيير اسم ملف الفحص الى run.exe
والامر لعمل الفحص لجميع المحركات وعمل تقرير بالعمليه
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
نضعه في Run after extraction
11 - نفتح التبويب Modes ونؤشر على Hide all
12 - نفتح التبويب Update ونؤشر كما بالصوره
وبعدها نضغط OK
13 - نضغط على OK حتى يتم انشاء الملف المضغوط
شرح اوامر اداة المكافي ... والموجود بالخطوه - 11 -
run.exe /adl /all /sub /mime /streams /allole /append /report c:\mcafee.txt /nobreak
run.exe
ملف الفحص
adl
الفحص في جميع محركات الاقراص
all
فحص جميع الملفات
sub
الفحص بالمجلدات وما بداخلها من مجلدات وملفات
mime
تفعيل الفحص في الملفات نوع mime
streams
الفحص في الستريمز لنظام ملفات ntfs
allole
تفعيل الفحص في الملفات نوع allole
append
اضافة التقرير لتقرير سابق
report c:\mcafee.txt
عمل تقرير باسم mcafee.txt وحفظه بمحرك الاقراص سي
nobreak
منع الفيروسات من ايقاف عملية الفحص
وبالطريقة السابقه نعمل ... اداة المكافي كـ بورتابل
واهم شئ انها ... تشتغل حتى ولو ان الدوس ممنوع تشغيله بواسطة احد الفيروسات
Future Tank X-1
زيزوومى محترف
غير متصل
سويت نفس الحركه بس في الـDr.Web << اكثر تعقيد :d:
توقيع : Future Tank X-1
اللؤلؤ المكنون
زيزوومى مميز
غير متصل
كلام جمييييييييييل ولكن الناس اللي حلاتي ما عندها هكر يخترقها:hh::hh::hh: لذلك نحفظ الدرس عندنا ومتى ما حسينا بالخطر نطبق الدرس أكيييييييد بيكون مفيييدk:k:k:
ولكن هل احذف الكاسبر 2010:cr: واثبت المكافي افضل من وجهة نظرك يا شيخنا
أرجو مساعدتي في هذا والجواب وما هو أفضل برنامج حماية من وجهة نظرك بشكل عام إذا كنت تحتفظ بهذا لنفسك لبعض الأمور أرسل لي على الخاص والله بدعي لك لأني مطفش نفسي كل فترة أجرب برنامج وإلى ذحين ما توصلت إلى نتيجة جيدة فلنستفيد منكم أهل الخبرة
وبكون لك شااااكر
k:k:k:ولكن هل احذف الكاسبر 2010:cr: واثبت المكافي افضل من وجهة نظرك يا شيخنا
أرجو مساعدتي في هذا والجواب وما هو أفضل برنامج حماية من وجهة نظرك بشكل عام إذا كنت تحتفظ بهذا لنفسك لبعض الأمور أرسل لي على الخاص والله بدعي لك لأني مطفش نفسي كل فترة أجرب برنامج وإلى ذحين ما توصلت إلى نتيجة جيدة فلنستفيد منكم أهل الخبرة
وبكون لك شااااكر
توقيع : اللؤلؤ المكنون
- الحالة