runscanner رن سكنر (( اسرار الاداة والتعامل معها ))

الحالة
مغلق و غير مفتوح للمزيد من الردود.
البارون

البارون

زيزوومى فضى
إنضم
1 مارس 2008
المشاركات
13,588
مستوى التفاعل
506
النقاط
920
غير متصل
بسم الله الرحمن الرحيم

والصلاة على سيد الخلق اجمعين سيدنا محمد وعلى اله وصحبة اجمعين

اللهم لاعلم لنا الا ماعلمتنا

الموضوع بهذا الطرح والشرح الاحترافي والسهل هو هنا فقط وعلى منتديات زيزووم للامن والحماية

ولن تجده بهذي التفاصيل والامثله والشروحات الا هنا في هالمنتدى المتخصص


تحذير //

1_ لاانصحك بحذف القيم بدون ادراك مالذي تفعله او مالذي ستقوم بحذفه


2_لا انصحك بحذف القيم دع التوجيه يتم لك بواسطة خبير في الاداة لان الاداة كما هي مفيده ايضا قد تضر بالنظام اذا استخدمت بشكل خطاء




لمن اراد فقط عمل تقرير من هنا




يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي





الهدف من طرحي للشرح


كثر التحليل الخاطيء واستخدام الاداة بشكل عشوائي




===========================================​



الشرح على عدة اجزاء​



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي




يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

توقيع : البارون
استخدام الاداة كمستكشف للنظام وتفاصيله

اولا واجهة وخصائص الاداة


472ddf032fe60f474b7c74923d4176c7.png



الان سننتقل للادوات الاضافية (( لان موضوع حذف الملفات المشبوهه يحتاج الى تفاصيل اكثر وشرح ادق ))


=====================================
الان ننتقل الى الايقونة all autostart items

والغايه هي استكشاف النظام والاطلاع على خصائصه


b91f800592fde3a2e04d1076c11eecbd.png




الان ننتقل الى process killer (( ويهتم بالعمليات التي تجري في الجهاز ))

وهذي الخاصيه مهمة جدا وخطرة جدا

شرح الفيديو هنا واضح فيه كل شيء بالنسبه للعمليات هذي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي






3ae3ea2838546e63b1f6b5edd971df77.png





9cd8a16dd42dd276d45854ae24f08c4f.png


c40cc61823132565d9f9c23190f99177.png


0db13a13516bb8a2ac20b5a5c02281e9.png
 
توقيع : البارون
فحص القيم ورفعها على موقع فايروس توتل virustotal

الجزاء الثاني


طبعا للاخوان اللي يبون يفهمون مبداء عمل الاداة وفعاليتها هنا درس لن تجدوه الا في هالمنتدى بحكم الاحترافيه في الطرح



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


يعني بامكانك فحص جهازك ورفع الملفات والتاكد من سلامتها من عدمه ولكن لا انصحك بالحذف بدون استشارة خبير​


مثلا​

هذا تقرير جهازي​

لا حظ الملف المحدد​


92ec3edba5880df10556bd99c8060ba0.png


قمت برفعه على موقع فايروس توتل عن طريق اداة الرن سكنر​

طلع تقريره خطير​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



هل لازم احذفه من جهازي​

الجواب // لا (( لان هذا كراك الاوفيس وبرامج الحماية تراه ملف مشبوه وخطير ))​
 
توقيع : البارون
ماهي قيمة CLSID وكيفية التعامل معها

قيمة تربك وتحير الكثير من المستخدمين​


CLSID not found

اولا ماهي هذه القيمة هي عبارة عن ملفات تضاف للريجستري بواسطة المستخدم يدويا او بواسطة بعض البرامج​


مثال​

تقرير من جهازي​

1c04bb27fabfda9d9aea0437f6558c4d.png


شوف القيمة المحدده ويتضح من استكشافها انها تعود لبرنامج PowerISO​


ولتاكد اذهب الى اي ملف وبالفارة يمين ولاحظ ان البرنامج عمل اضافة لنفسة في القائمة بالنقر على زر الفارة الايمن​


c8c472a227b578eee87b25eb0a4623ac.png





كيف اكتشف ان الاضافة تابعه لل PowerISO​

باحدى ثلاث طرق​

الاولى​

ساقوم بفتح الاضافة لا جدها مضافه في ريجستري الوندوز​

تابع الصورة لفتح القيمة في الريجستري​



373f4325f3badebf2ac7bbad7959c591.png


ثم اذا اردت التاكد اكثر تابع الصورة التاليه​


31319847ea6cff4a18e0a665b02efb23.png


وللتاكد من الاضافة ومكان البرنامج ومساره شوف الصورة القادمة​

92a716ed1e763f5e2ad48e90d1f4eeb6.png




الطريقة الثانية​


للتاكد من الملف هي بالبحث عنه في قوقل​


تابع الصورة​


ecf612ef38564a6960fb7642d24788df.png




النتيجه على موقع threatexpert

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي





الطريقة الثالثة​


باستخدام معلومات القيمة الخاصة بالاضافة (( مستحيل ملف لبرنامج واحد يحمل قيمتين مختلفين بلغة واحده ))​


يعني بشرح اسهل // برنامج PowerISO الاصدار 4.1 الملف له قيمه واحده باللغة الانجليزية وقيمه واحده باللغة العربية وهكذا​

فمستحيل البرنامج نفس الاصدار ونفس اللغة وتختلف قيمة الملف في جهاز وجهاز اخر​

يعني قيمة الاضافة عندي للاصدار 4.1 العربي هي​

967B2D40-8B7D-4127-9049​

وفي اي جهاز فيه نفس البرنامج وباللغة العربيه لازم تكون القيمة نفسها​


كيفية الحصول على القيمة الخاصة بالاضافة​

تابع الصورة​

4953a6519e3b07c714197b9ef4751271.png


ثم افتح المفكرة واعمل لصق او ctrl+v​

مثلا انا ظهرت عندي هالمعلومات​

يهمني المحدد في الصورة وهي القيمة الخاصة بالاضافة​


2a7f2fddf884cfe17c7f3636ab71eeec.png



ساقوم بنسخها والبحث عنها في قوقل

وهنا نتيجة البحث​

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

=​

ستجد ان القيمة نظيفة في موقع threatexpert وغيره الكثير
 
توقيع : البارون
القيم المشبوهه او المجهولة وطرق التعامل معها

طيب كيف استكشف او اعرف ملف سليم ولا لا لا توجد له شركة ولا يحمل توقيع او بصمة رقميه​

وهل حذفه يضر ولا لا​

هنا تاتي مسألة الخبرة والاستشارة لا تحذف قيمة لا تعرفها لمجرد الشك والاشتباه​


التطبيق بمثال​

من التقرير هنا سنرى الصورة​


90b5526633e617ad567181c0573ec51e.png


انا هنا امام خيارين​


اما البحث في قوقل كما في هذه الصورة​


ecf612ef38564a6960fb7642d24788df.png


وساجد ان النتيجه غامضة وغير مفهوم لي (( هل الملف امن ام لا ))​


================================​

انا اتبع هذي الطريقة​

4953a6519e3b07c714197b9ef4751271.png


ولا حظ اش ظهر لي كنتيجه​

4d0cb9b41c1f0ff28ac58c77e3212f7b.png


ساهتم باشياء معينه من التقرير اللي ظهر لي بالمفكرة وهي (( لاحظ النص الملون ))​


الوصف (( رح انسخ وصف الملف وابحث عن في قوقل ))


Description: srvany.exe


ورح اروح لموقع threatexpert وارى تحليل الملف

هنا

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



الملف 50% مشبوه وهو قيمة محيرة (( يعني ماهو اكيد ضار ولا اكيد سليم ))




اين يضع الملف نفسه (( نقطه في غاية الاهميه عندنا هنا في مجلد C:\Windows\system32 )) صراحة يخوف موقع الملف



Path: C:\Windows\system32\srvany.exe



مسار الريجستري الخاص بالملف (( انا هنا خلاص عرفت الملف يعود لاي برنامج فليس هناك اي داعي لحذف الملف او البحث عنه ))

Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService


لماذا // لان الملف يعود لكراك الاوفيس KMService


شوف النتيجة هنا :d::d:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي




واخيرا الحمد لله الذي تتم بنعمته الصالحات

اللهم اللعن بشار وزبانيته اللهم عليك بهم وبمن ناصرهم اللهم احصهم عددا واقتلهم بددا ولا تذر منهم احدا وشتتهم وفرق كلمتهم وقلوبهم وجمد الدماء في عروقهم

لا تنسوني من صالح الدعاء

والسلام عليكم ورحمة الله وبركاته
 
توقيع : البارون
ماشاء الله
الله يعطيك العافية
شرح واضح ومفهوم
جزاك الله خير

5/5
 
مبدع اخي البارون دووماً

اعجز عن شكرك حقا

فـكلمة شكر لاتوفيك حقك

كان يفتقد هذا الركن شرح الرن سكنر

وها انت اضفته لنا

الله يوفقك ويجزاك كل خير

5\5

ودي وتقديري
 
توقيع : stoooooop
الله يجزاكم خير اخواني ويشرف قدركم ويصلح حالنا وحالكم

واي ملاحظة او سؤال لا تترددوا
 
توقيع : البارون
الله يجزاك خير ويرحم والديك​
 
توقيع : abukhaled
استاذنا البارون

الله يجزاك الف خير ويرحم والديك
 
جزاك الله الف خير يالغالي
شرحك ممتاز كفيت ووفيت مافيه منك اي قصور
ودي
 
توقيع : النــاريــ
الله يجزآك كل خير آخوي البآرون

كفيت ووفيت

شرح استفدت منه بصرآحه
3.gif
3.gif
 
توقيع : .: fahad10 :.
تسلم يالغلا بارك الله فيك

موضوع جداً رائع

يُثبت 72 ساعة ..
 
توقيع : د. أفاست
كفيت ووفيت
شرح جميل بأسط الطرق
انا من سنتين وانا استخدم الاداة في اصلاح الجهاز
اداة عجيبة وقوية :king:
تحيا
 
توقيع : صقر مطير
الله يجزاكم خير على المرور الطيب والثناء الاطيب اسأل الله ان يرفع قدركم ويثيبكم الجنة

ودي وتقديري للجميع
 
توقيع : البارون
بارك الله فيك

5/5
 
توقيع : M.$py.M
ماشاء الله تبارك الله ,

شرح قمة من الأبدااااع و التفصيل , استفيت من شرحك للبرنامج كثيير


رفع الله قدرك وسدد الله خطااك
 
بارك الله فيك
وجعله في ميزان حسناتك مضاعفا ً ليوم الدين


5/5
 
توقيع : الخفـوق
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى