• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

باكدور للفحص والتشغيل

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 770
الحالة
مغلق و غير مفتوح للمزيد من الردود.
m0d!s@r7@n

m0d!s@r7@n

عضو شرف (خبير فحص الملفات)( خبراء زيزووم)
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
24 مارس 2013
المشاركات
3,452
مستوى التفاعل
15,533
النقاط
1,220
الإقامة
مصر
غير متصل
45440


-عوده بعد غياب مع ملفات الباكدور

-معنا ملفان باكدور لهما نفس الخصائص والاختلاف بينهما فقط في طريقه عمل compile للملف

-الملف مربوط باي بي داخلي (لا خطر من التجربه)

-الملف له مده صلاحيه للتشغيل فقط 7 ايام وبعدها يعطب

-بقيه خصائص الملف لكم لتكتشفوها

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/URL][/hide]

الباسورد (infected)

47126
 

توقيع : m0d!s@r7@n
تسلم مشرفنا الحبيب

معلش سؤال نفسي اسئله من زمان

مافائدة الباص ورد فك الضغط ؟؟؟!!!!
 
لو مافيه باس و البرنامج كاشف الملف راح يحظر صفحة التحميل ....
 
توقيع : أبو رمش
البت ديفندر بالفحص لاشيء
لكن اثناء التشغيل تلاعب به البت ديفندر كأس العالم بين طبقاته الفولاذيه وقام حذف ملف والملف الأخر غير قادر على التشغيل اترككم مع الصور
1.webp
2.webp
3.webp
4.webp
5.webp
 
توقيع : awake
توقيع : william
يا سلام يا دكتور فتحي

كانت وجشاني ملفاتك

وكنت لسة هكلمك علشان ملف جديد

جاري التحليل
 
توقيع : pro george
الكاسبر بالفحص لا شئ

بالتشغيل الملفان لا يعملن

جربت كل شئ

ولكن لا يعملان

:(
2.webp

3.webp

والكاسبر واضع الملفان في التقيد المنخفض

القواعد
4.webp

5.webp
 
توقيع : pro george
تم تحليلة يدويا


الملف مبرمج بلغة البايثون

ينشئ ملف في هذا المسار
C:\DOCUME~1\User\LOCALS~1\Temp\zyzoom1.exe
 
توقيع : pro george
تشكر اخي فتحي ... الملفان بعد التشغيل يعطيان رسالة خطأ
و عملهما متشابه تقريبا ... عدا ان احدهما يقوم تقريبا بالتحقق من وجود الاف سيكيور على الجهاز

ملف zyzoom :

كود: 
Detailed report of suspicious malware actions:

Checked for debuggers
Checked for F-Secure security software presence
Code injection in process: C:\Windows\System32\WerFault.exe
Created a mutex named: Global\f6f7c52b-f5ec-11e3-ae33-000c29b48a0c
Created a mutex named: Local\WERReportingForProcess928
Created process: C:\Windows\system32\WerFault.exe, C:\Windows\system32\WerFault.exe -u -p 928 -s 200, C:\Windows\system32
Detected keylogger functionality
Detected privilege modification
Detected process privilege elevation
Enumerated running processes
Got input locale identifiers
Got system default language ID
Queried DNS: isatap.localdomain

ملف zyzoom1 :

كود: 
Detailed report of suspicious malware actions:

Checked for debuggers
Code injection in process: C:\Windows\System32\WerFault.exe
Created a mutex named: Global\b6f3bb96-f5ed-11e3-ae33-000c29b48a0c
Created a mutex named: Local\WERReportingForProcess3752
Created process: C:\Windows\system32\WerFault.exe, C:\Windows\system32\WerFault.exe -u -p 3752 -s 228, C:\Windows\system32
Detected keylogger functionality
Detected privilege modification
Detected process privilege elevation
Enumerated running processes
Got input locale identifiers
Got system default language ID
Queried DNS: isatap.localdomain
 
qysr قال:
تشكر اخي فتحي ... الملفان بعد التشغيل يعطيان رسالة خطأ
و عملهما متشابه تقريبا ... عدا ان احدهما يقوم تقريبا بالتحقق من وجود الاف سيكيور على الجهاز

ملف zyzoom :

كود: 
Detailed report of suspicious malware actions:

Checked for debuggers
Checked for F-Secure security software presence
Code injection in process: C:\Windows\System32\WerFault.exe
Created a mutex named: Global\f6f7c52b-f5ec-11e3-ae33-000c29b48a0c
Created a mutex named: Local\WERReportingForProcess928
Created process: C:\Windows\system32\WerFault.exe, C:\Windows\system32\WerFault.exe -u -p 928 -s 200, C:\Windows\system32
Detected keylogger functionality
Detected privilege modification
Detected process privilege elevation
Enumerated running processes
Got input locale identifiers
Got system default language ID
Queried DNS: isatap.localdomain

ملف zyzoom1 :

كود: 
Detailed report of suspicious malware actions:

Checked for debuggers
Code injection in process: C:\Windows\System32\WerFault.exe
Created a mutex named: Global\b6f3bb96-f5ed-11e3-ae33-000c29b48a0c
Created a mutex named: Local\WERReportingForProcess3752
Created process: C:\Windows\system32\WerFault.exe, C:\Windows\system32\WerFault.exe -u -p 3752 -s 228, C:\Windows\system32
Detected keylogger functionality
Detected privilege modification
Detected process privilege elevation
Enumerated running processes
Got input locale identifiers
Got system default language ID
Queried DNS: isatap.localdomain
أنقر للتوسيع...
التقرير هذا رائع

كما واضح بالتقرير هنا ان الاختراق يتم من خلال الحقن في العمليه WerFault.exe وهي العمليه الخاصه بتقارير الخطا وارسالها للميكروسوفت بمعني ان عندما تقوم بتشغيل ملف الاختراق سيظهر لك رساله الخطا لتظن ان الملف لم يعمل وبالتالي تقوم بارسال تقرير الخطا للميكروسوفت وهنا يحدث الاختراق:D
 
توقيع : m0d!s@r7@n
توقيع : m0d!s@r7@n
لم يحدثة شئ
 
توقيع : pro george
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى