ملف محقون بطريقه غريبه للفحص والتشغيل

[m0d!s@r7@n]

-بالاونه الاخيره ظهرت اداه حقن يقول مبرمجها انها من نوع فريد فاحببت ان اشارككم تجربتها

-قمت باستخدام الاداه في حقن ملف موثوق وهو اداه autoruns الخاصه بالميكروسوفت ببايلود افتراضي غير مشفر (الاداه تاتي مع 4 بايلود افتراضيا 1 غير مشفر و3 مشفر )

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

-الملف بعد الحقن بين يديكم لاجراء فحصكم وتجاربكم عليه

-الملف لا ادري هل مكشوف من بعض الحمايات ام لا وهل ستنجح الاداه في جعل بايلود غير مشفر يتخطي برامج الحمايه ام لا

-الملف لاختبار مكافح الفيروسات وليس للجدار الناري اذ البايلود غير مربوط باتصال

للتحميل

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

الباس : infected

 

[pro george]

عيناتك مطورة

جاري التجربة

 

[m0d!s@r7@n]

عيناتك مطورة

جاري التجربة

ما اتصور انه يتخطي الكاسبر لانه متميز للغايه في هذه النوعيه من الملفات

 

[hamede]

 

[pro george]

الكاسبر

عند فك الضغط

تم الكشف بالهيروستتك

تم اغلاق File anti-virus

وقام الكاسبر بحجبة

ووجدت وضعة في Untrusted
تم نقلة للتقيد المنخفض

ولم التقط اي سلوك مريب
فقط يقوم باستدعاء عملية الالة الحاسبة وينهي نفسة

هذا ما وجدتة والله اعلم

 

[التميمي14]

لضيق الوقت المعذره بادراج صور لكن جميع البرامج بتوقيعي بالاضافه للنود لم تكتشفه كفحص فقط لم اجرب تشغيل الملف

 

[m0d!s@r7@n]

الكاسبر

عند فك الضغط
مشاهدة المرفق 56119

تم الكشف بالهيروستتك
مشاهدة المرفق 56120

تم اغلاق File anti-virus

وقام الكاسبر بحجبة
مشاهدة المرفق 56121
ووجدت وضعة في Untrusted
تم نقلة للتقيد المنخفض
مشاهدة المرفق 56122

ولم التقط اي سلوك مريب
فقط يقوم باستدعاء عملية الالة الحاسبة وينهي نفسة
مشاهدة المرفق 56123

هذا ما وجدتة والله اعلم

كنت اعلم ان الكاسبر سيكشفه

باختصار اذا الاله ااحاسبه اشتغلت فقد تم التخطي

 

[pro george]

كنت اعلم ان الكاسبر سيكشفه

باختصار اذا الاله ااحاسبه اشتغلت فقد تم التخطي

ولكن اعذرني

ما المشبوة في تشغيل الالة الحاسبة

وما هو هذف الملف

 

[m0d!s@r7@n]

ولكن اعذرني

ما المشبوة في تشغيل الالة الحاسبة

وما هو هذف الملف

البايلود يقوم بالحقن في الاله الحاسبه

الهدف من الملف هو قدره برامج الحمايه علي كشف عمليه الحقن للبايلود

 

[pro george]

البايلود يقوم بالحقن في الاله الحاسبه

الهدف من الملف هو قدره برامج الحمايه علي كشف عمليه الحقن للبايلود

ولكن يجب قبل البايلود ان يكون هناك vulnerability في الوندوز كي تستطيع عمل Explot وتحميل البايلود

 

[qysr]

النود طبعا في سابع نومه و فتحت الآله الحاسبه في امان الله

Checked for Autoruns security software presence
Checked for debuggers
Checked for Process Explorer software presence
Checked for registry software presence
Code injection in process: C:\WINDOWS\system32\calc.exe
Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-790525478-1957994488-1708537768-1003MUTEX.DefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: SHIMLIB_LOG_MUTEX
Created process: null, calc.exe, null
Traces of AutoStart registry key

 

[PrinceOfPersia]

تقنية غريبة... بس الحمدلله الكاسبرسكاي بالمرصاد

 

[MagicianMiDo32]

البايلود يقوم بالحقن في الاله الحاسبه

الهدف من الملف هو قدره برامج الحمايه علي كشف عمليه الحقن للبايلود

وما الهدف من الحقن في ملف صلاحياته عادية !!
أختبار قدرة البرامج على منع الحقن سيكون محدودا نوعا ما
لأن بعض البرامج تحمي ملفات محددة من الحقن فقط
وتسمح بالباقي
بالتوفيق ياغالي & جاري التجربة بأذن الله

 

[m0d!s@r7@n]

ولكن يجب قبل البايلود ان يكون هناك vulnerability في الوندوز كي تستطيع عمل Explot وتحميل البايلود

هذا بايلود وليس استغلال ثغره يا بطل

 

[m0d!s@r7@n]

لضيق الوقت المعذره بادراج صور لكن جميع البرامج بتوقيعي بالاضافه للنود لم تكتشفه كفحص فقط لم اجرب تشغيل الملف

ما في مشكله من التجربه فالبايلود افتراضي ( لا يتصل)

 

[m0d!s@r7@n]

النود طبعا في سابع نومه و فتحت الآله الحاسبه في امان الله

Checked for Autoruns security software presence
Checked for debuggers
Checked for Process Explorer software presence
Checked for registry software presence
Code injection in process: C:\WINDOWS\system32\calc.exe
Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-790525478-1957994488-1708537768-1003MUTEX.DefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-790525478-1957994488-1708537768-1003
Created a mutex named: SHIMLIB_LOG_MUTEX
Created process: null, calc.exe, null
Traces of AutoStart registry key

ما شاء الله تخطي النود

 

[pro george]

هذا بايلود وليس استغلال ثغره يا بطل

يبدو ان الامر اختلط علي
طب لماذا اخترت الالة يمكنك استخدام ملف حساس

 

[m0d!s@r7@n]

وما الهدف من الحقن في ملف صلاحياته عادية !!
أختبار قدرة البرامج على منع الحقن سيكون محدودا نوعا ما
لأن بعض البرامج تحمي ملفات محددة من الحقن فقط
وتسمح بالباقي
بالتوفيق ياغالي & جاري التجربة بأذن الله

العكس يا غالي هو ما يحدث حيث ان الاله الحاسبه هي من تاخذ صلاحيات البايلود وليس العكس والبايلود المستخدم هنا هو الميتربريتر وما ادراك ما الميتر

وعلي كل ليس الغرض من الملف الصلاحيات وانما اثبات كغاءه الاداه في ااحقن

 

[nizarawi]

قمت بالتجربة على النظام الاساسي

الارمور اعطى الرسالة التالية

قمت بسماح اشتغلت الحاسبة والملف الاساسي انغلق تم اغلقت الحاسبة

 

[Abdelkarim]

ثم تخطي الدكتور ويب و ظهرت الحاسبة