التحدي الثاني بمســابقة فحص الملفات ► 2 ◄

[m0d!s@r7@n]

►◄: أحبابنا ,أعضاء المنتدى الأعزاء :►◄


أسعد الله يومكم بكل خير ووفقكم لما يحب ويرضى وأسأل الله أن يمن علينا بالخير واليمن والبركة

يـــســـعـــدنــا أنـ نــقــدمـ لــكــمـ


التحدي الثاني من

▼
▼

▼
▼

والتي تهدف الى إستثمار الجهود المبذوله من الإخوه الأعضاء بالقسم في مزيد من العطاء والبذل

في جو تنافسي خلاق والعمل علي إظهار مواهبكم وتطويرها


يرجى الإطلاع علي شروط المسابقه قبل الإشتراك


▼
▼

▼
▼

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

▲▼ المطــــلوب ▼▲

جلب بيانات الملف التاليه

- مســـار نزول السيرفر

- البـورت والهـوست للسيرفر او الاي بي او عنوان الاستضافه نفسها

تنبيه

بيانات الملف حقيقيه

الملف عباره عن بوت نت قوي لذا التجربه تكون علي الوهمي مع حذف جميع الحسابات

الملف يتخطي الشادو دفندر و برامج كشف الهوست المشهوره

◄◄ لتحميل ملف المسابقه ►►


▼

▼

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

▼

▼

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

▲▼ الباســـورد ▼▲


هذا المحتوى يظهر للاعضاء المسجلين فقط:

[hide]botnetest[/hide]

►► طريقة تسليم بيانات ملف المسابقه ◄◄


- من يصل للبيانات الصحيحه يراسل أحد الأعضاء المسؤلين عن المسابقه

من أجل الحلول أو الإستفسارات


▼

▼

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ـــــــــــــــــــــــــــــ
ــــــــــــــــ


نرجوا الإلتزام من الجميع

ومن يخالف شروط وقوانين المسابقه

سيتم إخراجه من المسابقه نهائياً

وفي حالة تكرار المخالفة لـ 3 مرات سيتم حرمانه من الموسم التالي

شكر واجب لاخينا Mя.Soul المبدع صاحب ملف المسابقه

لاختنا الفاضله روايدا صاحبه تصميم وتنسيق الموضوع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[m0d!s@r7@n]

لا احد يتعجل الجواب

التاني في الفحص لتصل لنتيجه صحيحه

بالتوفيق للجميع

 

[m0d!s@r7@n]

انتهي الوقت المسموح لتلقي الاجابات وسيتم الاعلان عن الفائزين بعد قليل

مبروك لجميع الفائزين ونشكر جميع من شارك وحظ اوفر المره القادمه

 

[m0d!s@r7@n]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

___________
اولا السر بمكان الوصول لبداية تشغيل الملف المقصود من المسابقة :

فسيظهر لنا بين عمليات الاكسبلورر تشغيل الملف :

الان ننتظر قليلا من الصبر لان الملف لن يبدا بالاتصال مباشرة .... فسيظهر تنبيه من جدار الحماية بان الملف السابق يريد الاتصال :

[hide]

[/hide]


و هذا هو المطلوب ... مسار الملف مع البورت و الايبي و عنوان المتلقي للاتصال

و كل عام و انتم بخير

 

[m0d!s@r7@n]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.:: الادوات المستخدمة في التحليل ::.

هيبس النود - ESET Hips
Toolwiz Care
Resource Monitor

الملف Terakstor.exe يقوم بإنشاء عدة ملفات

C:\Windows\Cursors\Legend.exe
C:\Program Files\Windows Manager\winmgr.exe
C:\Windows\System32\Microsoft.com
C:\Windows\SysWOW64\en-US\Forms.exe
C:\Windows\System\Native.exe
C:\Windows\Speech\Silverlight.exe

.:: خدعة الملف هو الضغط على زر _ ::.

أترككم الان مع الصور

التطبيق الخبيث Terakstor.exe يحاول إنشاء تطبيق أخر بسم Legend.exe في المسار الواضح في الصورة

التطبيق الخبيث Terakstor.exe يحاول تشغيل تطبيق أخر بسم Legend.exe في المسار الواضح في الصورة

جدار النود ESET Firewall يرصد هذا الاتصال

[hide]

[/hide]


التطبيق الخبيث Legend.exe يحاول إنشاء المسار الواضح في الصورة

هنا تم إنشاء التطبيق الخبيث winmgr.exe في المسار
C:\Program Files\Windows Manager\winmgr.exe
وهو من سيحاول الاتصال في الصورة الثالية
[hide]

[/hide]


التطبيق الخبيث يحاول تعطيل برنامج الحماية ESET من خلال الكتابة عليه
لكن الحماية الذاتية Self-defense حالت دون ذلك

التطبيق الخبيث winmgr.exe يحاول الكتابة على نفسه

للاسف جدار النود لم يتمكن من رصد الاتصال المهم
مما جعلني أستخدم برنامج Resource Monitor لكشف الاتصال

كما هو واضح في الصورة

[hide]Host = n.host-shield.co
[/hide][hide]

[/hide]

ملاحظة : التجربة تمت في وجود النظام الحقيقي مع خاصة تجميد النظام
باستخدام برنامج Toolwiz Care

إلى هنا أكون قد أنتهيت من الشرح

 

[m0d!s@r7@n]

Amr Saad

طريقة الوصول للحل :-

من خلال الأرمور .. عند الضغط على زر Minmize
يحاول انشاء ملف فى المسار الموضح بإسم Legend

بعد ذلك يحاول الاتصال بالانترنت

[hide]

[/hide]

بعد ذلك سيحاول إنشاء ملفين أخرين ويضيف نفسه ويضيف الملفات التى قام بإنشائها إلى بدء التشغيل
احد هذه الملفات سيحاول الاتصال بالانترنت { winmgr } . لكنه غير نشط

الملف الذى سيحاول الاتصال بالانترنت

[hide]

[/hide]


الاتصال المطلوب :-

من خلال الأرمور :

[hide]

[/hide]

من خلال برنامج Net tools

[hide]

[/hide]

 

[m0d!s@r7@n]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد تجارب كثيرة تم اكتشاف الاتصال الخاص بالاستضافة نفسها

مسار نزول السيرفر

بعد الضغط سماح لمرات متتالية يضهر الاتصال وهذا هو البورت والايبي للاتصال

[hide]

[/hide]

الملف واسمه

 

[m0d!s@r7@n]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

* تم الكشف ببرنامج Online armor 7


* بعد عمل الحقن بملف المسابقة تبقي كشف الملف الأساسي المسؤل عن الإتصال وتمت تجربة زر about ولم يكن هو المطلوب بل كان زر تصغير البرنامج :

- هنا في الفيديو بعد تصغير البرنامج ظهر اتصال الملف المطلوب Winmgr.exe :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

- وفي الفيديو رسائل خطأ بسبب تكرار التجربة وعدم الرسترة .

- فيديو تتمة للفيديو الأول وفيه أيضا بعض التوضيح واتصال ملف winmgr المزيف :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

* بعض الصور التي ظهرت بعد ملف Winmgr.exe :

* اتصال الملف :

[hide]

[/hide]

* ارتباط الملفين مـعا : لذا لهم نفس ال IP :

* ملف Microsoft :

* اتصال مبدئي لعمل الملف ( قبل النهائي ) :
[hide]

[/hide]

* ثم تكرار ظهور الرسالة التالية وهي الأخيرة وهي توضح ملف المسار الأصلي :

* بعد عزل الاتصالات في الجدار الناري الا من اتصال الملف المطلوب :

[hide]

[/hide]

* وهو نفس ip ملف legend ولكن مسار الملف لم يكن المسار الأصلي :

[hide]

[/hide]

 

[m0d!s@r7@n]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الهوست:
n.host-shield.co
البورت
80

مسار النزول
C:\Windows\Cursors\Legend.exe

C:\ProgramData\Windows Manager\winmgr.exe

أضافة الريجستري

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الحماية
.NET Reactor
Base64
تحمل من النت

الشرح (انصح الجميع بمشاهدته)
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]