• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

فيروس Ransom لإغلاق الشاشة بتقنية ذكية (لكسر الروتين)

  • بادئ الموضوع بادئ الموضوع yones7x
  • تاريخ البدء تاريخ البدء
  • المشاهدات 6,349
الحالة
مغلق و غير مفتوح للمزيد من الردود.
yones7x قال:
الملف صار له فترة للأسف
وتم رفعه للفيروس توتال

لهذا اكتشافه أصبح الآن أسهل بكثير


غريبة !


أنت قمت بضغط Reset بشكل إجباري للويندوز

قم -فضلًا وليس أمرًا- بإعادة تشغيله بطريقة صحيحة !


شكرًا لمرورك الطيب

عقبال اتعلم c++، صدقني لأسوي لك فيروسات للينوكس (y)


:D
أنقر للتوسيع...
بالفعل اخي عندك حق أعتذر:cry: تأخر قليلا ثم عمل

بعد ان أعرف كيفية الحقن في الستارت أب سأحاول معرفة السبب
أكرر أعتذاري ثانيا:oops:
 

توقيع : MagicianMiDo32
هيه
كشفت الخدعة
وااااااااااو
لم تخطر على بالي
حتى انني حذفتها من تقارير المكافي:eek:
سـ أضع الحل غدا بأذن الله:LOL:
 
توقيع : MagicianMiDo32
من السهل كشف السورس و دالك ب
exe2aut
 
the gost rider قال:
من السهل كشف السورس و دالك ب
exe2aut
أنقر للتوسيع...
:p
نعم كشف السورس سهل
لكن نحن في منتدى حماية ديناميكي وليس برمجي
نريد معرفة كيف يتم تنفيذه وليس ماهو (y)
 
توقيع : MagicianMiDo32
medo32 قال:
:p
نعم كشف السورس سهل
لكن نحن في منتدى حماية ديناميكي وليس برمجي
نريد معرفة كيف يتم تنفيذه وليس ماهو (y)
أنقر للتوسيع...
لان يونس لم يشفرة :)
 
أحمد البدارنة قال:
لان يونس لم يشفرة :)
أنقر للتوسيع...
أعرف أخي ولو شفره هناك أدوات لكشف التشفير
نريد ان نعرف كيف يضع نفسه في الستارت أب دون أن تكشفه برامج الحماية
تقريبا السبب هو الحقن في بيانات البيرفيكت او في الانديكس
 
توقيع : MagicianMiDo32
الافاست يتألق مش مصدف نفسي :)

LzLXnD.png
 
توقيع : tarkanbounce
توقيع : MagicianMiDo32
medo32 قال:
أعرف أخي ولو شفره هناك أدوات لكشف التشفير
نريد ان نعرف كيف يضع نفسه في الستارت أب دون أن تكشفه برامج الحماية
أنقر للتوسيع...
من خلال قيمه تضاف للرجستري في مسار run مثل البرامج اللي تعمل مع بدء التشغيل
 
توقيع : m0d!s@r7@n
قمت بتجربة البرنامج على النظام الاساسي بوجود الارمور

يتم انشاء ملف باسم mscorsvw تم يضيف قيمة رجستري في بدء التشغيل

عندما تكتب اوك يقوم بحدف القيمة من بدء التشغيل

ما يجب التساؤل عنه هو سلوك اخفاء النوافد غير مكتشف نهائيا
 
m0d!s@r7@n قال:
من خلال قيمه تضاف للرجستري في مسار run مثل البرامج اللي تعمل مع بدء التشغيل
أنقر للتوسيع...
لا ليس كذلك
لوفعل ذلك لكشفته كل برامج الحماية
هذا سلوك من عصر الديناصورات هههه, D:

---
هناك علاقة بين عمل reset للوهمي وتوقف الفيروس
حيث يشابه عمل reset حدوث انقطاع في الكهرباء وعودتها
وهناك أشياء تحصل عند أنقطاع الكهرباء :) أحدها متعلق بالفيروس !
 
توقيع : MagicianMiDo32
medo32 قال:
لا ليس كذلك
لوفعل ذلك لكشفته كل برامج الحماية
هذا سلوك من عصر الديناصورات هههه, D:

---
هناك علاقة بين عمل reset للوهمي وتوقف الفيروس
حيث يشابه عمل reset حدوث انقطاع في الكهرباء وعودتها
وهناك أشياء تحصل عند أنقطاع الكهرباء :) أحدها متعلق بالفيروس !
أنقر للتوسيع...
دا مش تخمين يا بطل
دا اللي موجود بالسورس كود للملف
واضافه قيمه بدء تشغيل للرجستري امر طبيعي موجود في كثير من البرامج التي تعمل مع بدء التشغيل واي طريقه اخري غير ذلك تكون مشبوهه
 
توقيع : m0d!s@r7@n
m0d!s@r7@n قال:
دا مش تخمين يا بطل
دا اللي موجود بالسورس كود للملف
واضافه قيمه بدء تشغيل للرجستري امر طبيعي موجود في كثير من البرامج التي تعمل مع بدء التشغيل واي طريقه اخري غير ذلك تكون مشبوهه
أنقر للتوسيع...
ما أنا عارف لكن مش بيضيفها بالطريقة المباشرة الي أحنا عارفينها
الريجستري المقصود هو
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

أكيد برنامج الحماية لازم يقفشه !
لكن لأ !!!
وبعدين لسة اللغز الثالث
ليه بيتعطل لما تعمل reset؟

عموما أنا لسة بجرب و ح اضيف مراقبة على المفاتيح دي وأشوف
 
توقيع : MagicianMiDo32
medo32 قال:
م هو اترفع على الفيرس توتال
الأكتشاف بالساندبوكس أم المحرك ؟؟؟ :)
:love::love::love::love::love::love::love:
أنقر للتوسيع...

محرك لان مش بستخدم غير المجانى
 
توقيع : tarkanbounce
Abdelkarim قال:
و اخيرا
مشاهدة المرفق 55888 مشاهدة المرفق 55889 مشاهدة المرفق 55890
أنقر للتوسيع...
أحمد البدارنة قال:
بعد التجربة على الكمودو X32 و X64 اتضح ان المشكلة في الاصدار X64 لان اول تجربة لي كانت على الاصدار X64

وكانت النتيجة هكذا

in windows 7 x32 bypass in sandbox partially only
in windows 7 x64 bypass in sandbox (partially,limited,Restricted and Untrusted
أنقر للتوسيع...
nizarawi قال:
قمت بتجربة البرنامج على النظام الاساسي بوجود الارمور

يتم انشاء ملف باسم mscorsvw تم يضيف قيمة رجستري في بدء التشغيل

عندما تكتب اوك يقوم بحدف القيمة من بدء التشغيل

ما يجب التساؤل عنه هو سلوك اخفاء النوافد غير مكتشف نهائيا
أنقر للتوسيع...
 
توقيع : MagicianMiDo32
توقيع : pro george
pro george قال:
رابط لمنتدي اخر

اية يا حج

امسح الرابط وحط صورة
أنقر للتوسيع...
هههه , منتديات الدعم مسموحه ومن المدير العام ابوفاطمة :P
 
توقيع : pro george
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى