• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

دعوة للنقاش : ما سر هذة الاكتشافات الغريبة من شركة ESET

  • بادئ الموضوع بادئ الموضوع Abdulmuhaimen
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,014
الحالة
مغلق و غير مفتوح للمزيد من الردود.
Abdulmuhaimen

Abdulmuhaimen

زيزوومي VIP
إنضم
18 يونيو 2008
المشاركات
1,066
مستوى التفاعل
2,795
النقاط
1,220
الإقامة
Tripoli - Libya
غير متصل
vWrfS.gif


أخواني أعضاء منتديات زيزوووم في الاونة الاخيرة لاحظت إن الشركة السلوفاكية ESET تكتشف بعض الباتشات والفيروسات

بصيغة غريبة جداً

Br3TX.png


وهو على هذة الصيغة

avarint of Generik.XXXXXXX

تري ما سبب هذة الكشوفات العامة

شيء غريب فعلاً خصوصاً إن الشركة معروفة بدقة التحليل و التسمية

هل يعود هذا لكثرة إستقبال العينات !!! أم ماهو سبب هذة الكشوفات العامة

الموضوع للنقاش ... بانتظاركم يا خبراء :cool:

:: تحياتي ::
 

توقيع : Abdulmuhaimen
بل من اجمل برنامج شفه في حياتيي سريغ جدا في الكشف وهل القيمة avarint of Generik
هي سبب في كشف الملفات بسرعة كيف ؟
الحين مثلا قمت بعمل تشفير لملف وكشفه النود عن طريق السحاب عطلول يعوفو ان هل الملف ضار يقومو سريع جدا جدا بوضع هل القيم avarint of Generik مثلا وفي نهايه الملف مخبرط kqjkj23k كا مرجع للتعامل معه فيما بعد (بصمه)
ويصبح الملف مكشوف بقيمه avarint of Generik kqjkj23k ويصبح كل المستخدمين محمين ومن ثم يقومو بعمل تحليل مشدد عليه حتى يعرفو اصله من فصله وفي يوم او يومان على حسب ينزل تحديث (باسم مدقق له) اجمل برنامج شفته في تحليل الملفات
 
اعتقد ان هذا الاكتشاف خاص بالهيروسيتك الجبار الخاص بمحرك النود والله اعلم
 
توقيع : tarkanbounce
هذه اكتشافات للملفات الضارة الجديدة
 
tarkanbounce قال:
اعتقد ان هذا الاكتشاف خاص بالهيروسيتك الجبار الخاص بمحرك النود والله اعلم
أنقر للتوسيع...

(y)(y)(y)
.. نعم اكتشافات بالهيروسيتك .. :confused: والسبب .. ولا أعتقد انها بالجديده أخدت بالى منها فى أحد التشفيره منذ فتره ليست بالقليله .. (n)

وتظهر هذا القيم بتنوع طرق التشفيروالادوات المساعده .. خصوصا ان هيروسيتك النود .. يحتوى على قيم كثيره جدا .. صراحه لان أعرف عددها لانى لم اجرب التشفير منه بالهيكس مسبقا .. (n)

ملاحظه مستنتجه .. وانا بشفر منه ) ان فى قيم فى النود خاصه بالمحرك .. لها قيم مشابه بالهيروستيك .. :sneaky: بمعنى مثلا اكتشاف Smart Assembly

احيانا .. يكون varint اى هيروستيكى ... واحيانا يكون Packed اى بالمحرك .. ( مجرد فكره ) وطبقها على العديد من القيم ..
 
توقيع : Mя.Soul
شباب أنا عارف إن هذة الكشوفات ضمن هيوريستك النود

وعارف إن هذة الكشوفات تستهدف التهديدات الناشئة الجديدة أي ماتعرف بالـ Zero Day Threats

ولكن السؤال الذي يطرح نفسه ...

لماذا لا تقول الشركة بعد كشف هذة التهديدات , بتحليلها ووضع كشف دقيق لها بدلاً من الكشوفات العامة

الملف له أكثر من 3 أيام ولازال مكشوف بالصيغة العامة بدلاً من وضع كشف دقيق له , على غير عادة الشركة​
 
توقيع : Abdulmuhaimen
Mohimen قال:
شباب أنا عارف إن هذة الكشوفات ضمن هيوريستك النود

وعارف إن هذة الكشوفات تستهدف التهديدات الناشئة الجديدة أي ماتعرف بالـ Zero Day Threats

ولكن السؤال الذي يطرح نفسه ...

لماذا لا تقول الشركة بعد كشف هذة التهديدات , بتحليلها ووضع كشف دقيق لها بدلاً من الكشوفات العامة

الملف له أكثر من 3 أيام ولازال مكشوف بالصيغة العامة بدلاً من وضع كشف دقيق له , على غير عادة الشركة​
أنقر للتوسيع...


الصراحه ... عمرى ما شوفت اكتشاف بالهيروستيك يتم وضعه ... فى قاعده التعريفات .. مثل الكاسبر اى اكتشاف بالهيروستيك ..Heur.Win32.Trojan .. يبقى كما هو

ولكـــــن بخصوص النود لا أعلم صــــــــراحه .. لو انت معتاد على ان يتم تغير القيم .. فأعطنا شىء يدل على هذا .. قبل وبعد .. ويمكن تكون المشكله بكثره العينات .. وضيق والوقت عندهم
 
توقيع : Mя.Soul
أخي أحمد هناك عينات يتم أكتشافها بالهيوريستك ولا تكاد تمضي ساعات الا وتجد توقيع رقمي باسمها

الامثلة عديدة ولكن للاسف غير موجودة عندي هذة اللحظة

أنت تتكلم مع مستخدم قديم للنود ... تحديداً مند ( نوفمبر 2005 ) :D

للمعلومية : كل ماتتحصل مختبرات الـ ESET على عينات متنوعة من فيروس معين , كلما ساهم ذلك في كتابة تواقيع

أخترافية , فبتوقيع أحترافي واحد يمكن له كشف عائلة الفيروس نفسه التى تم تصميم توقيع أحترافي له​
 
التعديل الأخير:
توقيع : Abdulmuhaimen
أخي الكريم ليس كل ملف مكتشف بالهيوريستك أو بالتواقيع العامة يتم وضع توقيع دقيق له من قبل
النود .. فهذا الأمر - أي التواقيع المحددة- توضع وفق معايير تتعلق بالفيروس (أهميته - انتشاره - الحمل
الذي يقوم به من حيث الأذى ..) ..أي نعم هناك كثير من الفيروسات يتحول اكتشافها من توقيع عام أو هيوريستك
إلى تواقيع محددة .. وخاصة تروجانات SpyZbot .. لكن في المقابل عديد من الفيروسات يبقى اكتشافها
عن طريق الهيوريستك كما هو .. فلا داعي لبذل الوقت والجهد لوضع تواقيع غير مبررة ..
 
توقيع : Gualano Marco
السلام عليكم
لست من مستخدمي هذا البرنامج ولا من محبيه
لكن اظن ان السبب هو ان الملف الموجود برمز xxxx يكون قيد التحليل :D
 
توقيع : imadeddine wissamimadeddine wissam is verified member.
MD DESIGN قال:
السلام عليكم
لست من مستخدمي هذا البرنامج ولا من محبيه
لكن اظن ان السبب هو ان الملف الموجود برمز xxxx يكون قيد التحليل :D
أنقر للتوسيع...

أخي MD DESIGN قيم xxxx هذة قيم أنا وضعتها وتعني قيم متغيرة

كمثال

avariant of Ginerik.ADEFGTC

avariant of Ginerik.CBAATJL

هنا تجد كشف عام ولكن باسماء مختلفة , لهذا وضعت XXXXXXX بدلاً منها كدلاالة على إن قيم الكشف العام متغيرة :)
 
توقيع : Abdulmuhaimen
اكتشاف هيوريستيك عام وغالبا ما يكون اكتشاف خاطىء " برمجيات قد تكون ضاره "
 
توقيع : wajdi abu lail
wajdi abu lail قال:
اكتشاف هيوريستيك عام وغالبا ما يكون اكتشاف خاطىء " برمجيات قد تكون ضاره "
أنقر للتوسيع...
بالنسبة للنود .. وحسب التجربة الطويلة .. الاكتشاف العام أو بالهيوريستك غالباً ما يكون
اكتشاف صحيح وليس خاطئ ..
 
توقيع : Gualano Marco
هذه الملفات توجد في الألعاب ومحرك النود اكتشفها لانها تحتوي على فيروسات بمواقع أنترنت وهمية
 
Gualano Marco قال:
بالنسبة للنود .. وحسب التجربة الطويلة .. الاكتشاف العام أو بالهيوريستك غالباً ما يكون
اكتشاف صحيح وليس خاطئ ..
أنقر للتوسيع...

الاكتشاف بالهيوريستيك avarint of Generik غالبا ما يكون خاطىء ونادرا ما نراه
اما avarint of win 32/xxxxx فهو غالبا ما يكون صحيح وكثيرا ما نراه
 
توقيع : wajdi abu lail
wajdi abu lail قال:
الاكتشاف بالهيوريستيك avarint of Generik غالبا ما يكون خاطىء ونادرا ما نراه
اما avarint of win 32/xxxxx فهو غالبا ما يكون صحيح وكثيرا ما نراه
أنقر للتوسيع...

(y)

لا كلام بعد هذا الكلام من الأخ الغالي وجدي

:)
 
توقيع : Pilent ReX
wajdi abu lail قال:
الاكتشاف بالهيوريستيك avarint of Generik غالبا ما يكون خاطىء ونادرا ما نراه
اما avarint of win 32/xxxxx فهو غالبا ما يكون صحيح وكثيرا ما نراه
أنقر للتوسيع...

دخلت أرد فوجدت اجابتك شافية ووافية (y)
وللعلم ..هذا البرنامج فقد مصداقيته معي منذ سنتين تقريبا
بعد أن كنت مولع به والشركة لم تعد تطور شيئ نافع به ولن أخوض في أسباب ،،
 
توقيع : (soly)
Gualano Marco قال:
بالنسبة للنود .. وحسب التجربة الطويلة .. الاكتشاف العام أو بالهيوريستك غالباً ما يكون
اكتشاف صحيح وليس خاطئ ..
أنقر للتوسيع...

بل يكون الملف يحاول تغيير طيبعنه مثل ما صدفت مع العديد من الملفات وليس خاطئء مثل ما قال الأخ ..... ناهيك عن الخطأ نحن نعرف أن العديد من الملفات أو البرامج الصغيرة تدرج على شكل فيروس في قائمة العديد من برامج الحماية فيمكن اشتثنائها .....

ولي 11 سنة وأنا استعمل هذا البرنامج

********* تحياااااااااااااتي ....... ;) (y) :whistle: (y) .......
 
توقيع : swissi
wajdi abu lail قال:
الاكتشاف بالهيوريستيك avarint of Generik غالبا ما يكون خاطىء ونادرا ما نراه
اما avarint of win 32/xxxxx فهو غالبا ما يكون صحيح وكثيرا ما نراه
أنقر للتوسيع...
عندما تقول خاطئ .. فإنك تعني إيجابية كاذبة .. وهذه الكشوفات ليس إيجابيات كاذبة .. بل
هي كشوفات دقيقة .. أما إن كنت تقصد التصنيف .. فلكل برنامج حماية خوارزمية معينة للتصنيف .. فعندما
تكون هناك برمجية خبيثة لها خصائص الديدان والتروجانات في نفس الوقت .. فهناك سعة
في التصنيف بين تروجان ودودة .. ولهذا نجد الاختلاف في تصنيف الفيروسات بين برامج الحماية .. حيث أن البرمجيات
التي قد تكون ضارة بالنسبة لمكافح ما قد تكون تروجان بالنسبة لمكافح آخر!
 
توقيع : Gualano Marco
صحراء قال:
دخلت أرد فوجدت اجابتك شافية ووافية (y)
وللعلم ..هذا البرنامج فقد مصداقيته معي منذ سنتين تقريبا
بعد أن كنت مولع به والشركة لم تعد تطور شيئ نافع به ولن أخوض في أسباب ،،
أنقر للتوسيع...
فقدان المصداقية أمر ليس بالهين ..!
هل عندك دليل على مصداق هذا الكلام؟
++ الآن نحن على المحك بين مصداقيتين (;))++
 
توقيع : Gualano Marco
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى