فيروس خطير لاختبار برامج الحمايه لديكم

[كمال احمد]

السلام عليكم ورحمة الله وبركاته

هذا التطبيق الخبيث هو ف الاصل من نوع Batch File إي انه من الملفات الدفاعية ( بعد فك الضغط عن الملف الاصلي )

وبعد تحليل بسيط للملف من خلال تحليله بواسطة المفكرة ( Notepad ) أتضح مايلي :

.:: ما يقوم به التطبيق الخبيث ::.

- إنشاء ملف بسم 1001 داخل المسار التالي
C:\Windows\System32\1001

- يتم إنشاء كلاً من
sd.bat
warnusr.vbs

داخل المسار المذكور أعلاه

وظيفة الملف الاول هو عمل Restart للجهاز , مع إظهار Message مرعبة ومزعجة في نفس الوقت

أما الملف الثاني يقوم بإظهار Message تحذرية تقول لك
بإن مايكروسوفت وجدت موخراً فيروسات ضارة في جهازك , هذة الـ Message تظهر 20 مرة في حالة الرفض

- يقوم بتعير الوقت والتاريخ ليوم 01/01/2000 والساعة 12:00 ظهراً

- يقوم إيضا بقتل العملية Explorer , وهي العملية المسئولة عن ظهور سطح المكتب

- يقوم أيضا بنسخ الملف sd.bat للمسار
Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat
حتى يظل يعمل مع كل عملية إقلاع للجهاز

تشغيل الملف الذاتي هذة الطريقة لا تعمل مع انظمة Windows الحديثة ( 7 , 8 , 8.1 )
لختلف مسار ملف الـ Startup فيها

:: تحياتي ::
​

جزاك الله خيرا عالتوضيح

 

[hitman samir12]

اقصد تغيير الوقت والتاريخ نفسه الخاص بالجهاز يدوي واعادتهم الي التوقيت الصحيح

وسؤال اخر مادخل المتصفحات فهي تعمل بشكل سليم

اذا كان التاريخ غير مضبوط تحدث اخطاء عند الدخول للصفحات خاصه المواقع التي تدعم بروتوكولات التشفير

ممتاز كل كلماتك اتعلم منها اشياء
بارك الله لك ولوالديك
وزادك علما مما علمك

 

[ahmedibrahim]

اى اصدار من التريند ميكرو تستخدم لانى دخلت الموقع وجدت عدة اصدارات ولم الاحظ وجود فايروول فى اصدار منهم

انا استخدم ترند ميكرو انتيفيروس بلس 2015

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[COMANDOS]

هذا الفيرس اللعين دمر الهارد بتاعي بالكامل وقومت بالفورمات وتقسيم الهارد كله للخلاص منه , لاني قمت بزالة الافيرا وتنصيب الكاسبر وعملت اسكان ولن يفلح الامر , ثم قمت بعمل اداة الكاسبر لحذف الفيروسات فانقطعت الكهرباء ساعتين متواصلين لأول مرة بعد 8 ايام علي التوالي بدون انقطاع مع انهم قالو في الاخبار ان الكهرباء لن تنقطع وانحلت المشكلة بس طبعا هذا شئ مستحيل لان نكسة وكارثة الكهرباء في مصر لن تنحل حتي قيام الساعة

فقومت بعمل تقسيم وفورمات كامل للهارد وهناك ملفات مهمة ضاعت وماعرفت اجبها تاني بس الحمد لله علي كل حال

ونصبت طبعا ويندوز جديد

ومن هذا المنطلق العظيم أعلن عن عدم مشاركتي لتجارب العينات مرة اخري وكفا الي ذلك من خراب

ودمتم بود ​

 

[أحمد البدارنة]

الفايروس لا يعمل جيدا أخ فتحي لا يجد ملفات vbs

 

[ahmedibrahim]

هذا الفيرس اللعين دمر الهارد بتاعي بالكامل وقومت بالفورمات وتقسيم الهارد كله للخلاص منه , لاني قمت بزالة الافيرا وتنصيب الكاسبر وعملت اسكان ولن يفلح الامر , ثم قمت بعمل اداة الكاسبر لحذف الفيروسات فانقطعت الكهرباء ساعتين متواصلين لأول مرة بعد 8 ايام علي التوالي بدون انقطاع مع انهم قالو في الاخبار ان الكهرباء لن تنقطع وانحلت المشكلة بس طبعا هذا شئ مستحيل لان نكسة وكارثة الكهرباء في مصر لن تنحل حتي قيام الساعة

فقومت بعمل تقسيم وفورمات كامل للهارد وهناك ملفات مهمة ضاعت وماعرفت اجبها تاني بس الحمد لله علي كل حال

ونصبت طبعا ويندوز جديد

ومن هذا المنطلق العظيم أعلن عن عدم مشاركتي لتجارب العينات مرة اخري وكفا الي ذلك من خراب

ودمتم بود ​

معلش قدر الله وماشاء فعل

لو ليك ملفات مهمه جرب برامج استعاده الملفات زى
Getdatabak

هيرجعها لك ان شاء الله

 

[hitman samir12]

هذا الفيرس اللعين دمر الهارد بتاعي بالكامل وقومت بالفورمات وتقسيم الهارد كله للخلاص منه , لاني قمت بزالة الافيرا وتنصيب الكاسبر وعملت اسكان ولن يفلح الامر , ثم قمت بعمل اداة الكاسبر لحذف الفيروسات فانقطعت الكهرباء ساعتين متواصلين لأول مرة بعد 8 ايام علي التوالي بدون انقطاع مع انهم قالو في الاخبار ان الكهرباء لن تنقطع وانحلت المشكلة بس طبعا هذا شئ مستحيل لان نكسة وكارثة الكهرباء في مصر لن تنحل حتي قيام الساعة

فقومت بعمل تقسيم وفورمات كامل للهارد وهناك ملفات مهمة ضاعت وماعرفت اجبها تاني بس الحمد لله علي كل حال

ونصبت طبعا ويندوز جديد

ومن هذا المنطلق العظيم أعلن عن عدم مشاركتي لتجارب العينات مرة اخري وكفا الي ذلك من خراب

ودمتم بود ​

اخي الخطاء منك انت لانك لم تجرب على الوهمي او تقوم بتجميد النظام
ولا يقوم احد بتجريب العبنات على الحقيقي الا المجنون

وانت اعلم مني بما قد تفعله مثل هاته الملفات بالنظام

 

[COMANDOS]

معلش قدر الله وماشاء فعل

لو ليك ملفات مهمه جرب برامج استعاده الملفات زى
Getdatabak

هيرجعها لك ان شاء الله

الحمد لله علي كل حال انا فعلا جربت برنامج لاسترجاع الملفات لكن معملش حاجة ورجعلي ملفات قديمة بايظة كمان يعني مش كاملة

اخي الخطاء منك انت لانك لم تجرب على الوهمي او تقوم بتجميد النظام
ولا يقوم احد بتجريب العبنات على الحقيقي الا المجنون

وانت اعلم مني بما قد تفعله مثل هاته الملفات بالنظام

يااخي الغالي هناك فئة من الناس الانترنت بالنسبة لها عبارة عن تصفحات مواقع و داون لود وشات وحسب وانتهي الامر علي ذلك , وانا من هؤلاء البشر ,, لا نعلم النظام الوهمي اصلا ولا ندري طريقة عمله ولا نعلم تجميد النظام ولا ندري طريقة عمله !

الخطأ فعلا خطأي من البداية لاني كنت انزل فيروسات علي الجهاز لاختبر برامج الحماية لدي !! وانا تعلمت الحمد لله لان مافيش حد عاقل ينزل فيروسات تضر جهازه ليختبر بها برامج الحماية الا خبراء الحماية فقط

 

[hitman samir12]

الحمد لله علي كل حال انا فعلا جربت برنامج لاسترجاع الملفات لكن معملش حاجة ورجعلي ملفات قديمة بايظة كمان يعني مش كاملة




يااخي الغالي هناك فئة من الناس الانترنت بالنسبة لها عبارة عن تصفحات مواقع و داون لود وشات وحسب وانتهي الامر علي ذلك , وانا من هؤلاء البشر ,, لا نعلم النظام الوهمي اصلا ولا ندري طريقة عمله ولا نعلم تجميد النظام ولا ندري طريقة عمله !

الخطأ فعلا خطأي من البداية لاني كنت انزل فيروسات علي الجهاز لاختبر برامج الحماية لدي !! وانا تعلمت الحمد لله لان مافيش حد عاقل ينزل فيروسات تضر جهازه ليختبر بها برامج الحماية الا خبراء الحماية فقط

ممتاز

ماذا تريد ان تتعلم

تجميد النظام او النظام الوهمي وساعلمك انا وهو سهل جدا

 

[COMANDOS]

ممتاز

ماذا تريد ان تتعلم

تجميد النظام او النظام الوهمي وساعلمك انا وهو سهل جدا

ياليت لو الاتنين تشرحهملي علي الخاص حتي لا نخرج عن هذا الموضوع

 

[hitman samir12]

ياليت لو الاتنين تشرحهملي علي الخاص حتي لا نخرج عن هذا الموضوع

غدا ان شاء الله
تبدا الدروس

 

[MagicianMiDo32]

ESET Smart SecurityMalwarebytes Anti-MalwareStart Emsisoft Emergency Kit
VirusTotal

ما هذه التقنية أخي - معذرة لم أسطب أفاست منذ عشرات السنوات

عبارة عن عائلة تواقيع عامة تقوم باكتشاف الملفات عند تشبه بعض التواقيع وهي قوية في أكتشاف الملفات المشفرة

نعم اشتغل الملف
مشاهدة المرفق 65323
لكن ما جرى بعد اعادة التشغيل ... يظهر فقط حساب جديد باسم microsoft support مغلق بكلمة سر
مشاهدة المرفق 65324
و عند اختيار الحساب العادي يشتغل الويندوز بشكل طبيعي
مشاهدة المرفق 65325
التجربه تمت على الوهمي و نفس الامر يحدث حتى بدون برنامج الحمايه

طريقة مميزة للإخترق \\ فتح حساب مستخدم بعيد
عن طريق الميتا سبلويت - على ما أظن

السلام عليكم ورحمة الله وبركاته

هذا التطبيق الخبيث هو ف الاصل من نوع Batch File إي انه من الملفات الدفاعية ( بعد فك الضغط عن الملف الاصلي )

وبعد تحليل بسيط للملف من خلال تحليله بواسطة المفكرة ( Notepad ) أتضح مايلي :

.:: ما يقوم به التطبيق الخبيث ::.

- إنشاء ملف بسم 1001 داخل المسار التالي
C:\Windows\System32\1001

- يتم إنشاء كلاً من
sd.bat
warnusr.vbs

داخل المسار المذكور أعلاه

وظيفة الملف الاول هو عمل Restart للجهاز , مع إظهار Message مرعبة ومزعجة في نفس الوقت

أما الملف الثاني يقوم بإظهار Message تحذرية تقول لك
بإن مايكروسوفت وجدت موخراً فيروسات ضارة في جهازك , هذة الـ Message تظهر 20 مرة في حالة الرفض

- يقوم بتعير الوقت والتاريخ ليوم 01/01/2000 والساعة 12:00 ظهراً

- يقوم إيضا بقتل العملية Explorer , وهي العملية المسئولة عن ظهور سطح المكتب

- يقوم أيضا بنسخ الملف sd.bat للمسار
Documents and Settings\All Users\Start Menu\Programs\Startup\sd.bat
حتى يظل يعمل مع كل عملية إقلاع للجهاز

تشغيل الملف الذاتي هذة الطريقة لا تعمل مع انظمة Windows الحديثة ( 7 , 8 , 8.1 )
لختلف مسار ملف الـ Startup فيها

:: تحياتي ::
​

هذا الفيرس اللعين دمر الهارد بتاعي بالكامل وقومت بالفورمات وتقسيم الهارد كله للخلاص منه , لاني قمت بزالة الافيرا وتنصيب الكاسبر وعملت اسكان ولن يفلح الامر , ثم قمت بعمل اداة الكاسبر لحذف الفيروسات فانقطعت الكهرباء ساعتين متواصلين لأول مرة بعد 8 ايام علي التوالي بدون انقطاع مع انهم قالو في الاخبار ان الكهرباء لن تنقطع وانحلت المشكلة بس طبعا هذا شئ مستحيل لان نكسة وكارثة الكهرباء في مصر لن تنحل حتي قيام الساعة

فقومت بعمل تقسيم وفورمات كامل للهارد وهناك ملفات مهمة ضاعت وماعرفت اجبها تاني بس الحمد لله علي كل حال

ونصبت طبعا ويندوز جديد

ومن هذا المنطلق العظيم أعلن عن عدم مشاركتي لتجارب العينات مرة اخري وكفا الي ذلك من خراب

ودمتم بود ​

أبوس ايدك ياسطى خليك معانا
وأنا حَ اساعدك في أي حا جة
كلنا حصل معانا نفس الأمر
ودا الي خلانا نحب الحماية
ولو قريت في سيرة أي خبير حماية عالمي
ح تلاقي أن حب المجال دا لأنه اتصاب بفيروس
=> نحن نتعلم من الفشل أكثر من النجاح والحماقة الكبرى ألاتكون لك حماقات

 

[toufik888]

الكاسبر حذفه ومباشرة للحجز

 

[أبو رمش]

كذلك البتد فيندر ..

 

[COMANDOS]

عبارة عن عائلة تواقيع عامة تقوم باكتشاف الملفات عند تشبه بعض التواقيع وهي قوية في أكتشاف الملفات المشفرة


طريقة مميزة للإخترق \\ فتح حساب مستخدم بعيد
عن طريق الميتا سبلويت - على ما أظن




أبوس ايدك ياسطى خليك معانا
وأنا حَ اساعدك في أي حا جة
كلنا حصل معانا نفس الأمر
ودا الي خلانا نحب الحماية
ولو قريت في سيرة أي خبير حماية عالمي
ح تلاقي أن حب المجال دا لأنه اتصاب بفيروس
=> نحن نتعلم من الفشل أكثر من النجاح والحماقة الكبرى ألاتكون لك حماقات

ههههههههههههههههههههههههههه اطمن انا معاكووو
انا اتعلمت تجميد النظام

ودلوقتي بدخل علي العينات بقلب جامد

والبركة في اخونا هيتمان

 

[samerira]

أبوس ايدك ياسطى خليك معانا
وأنا حَ اساعدك في أي حا جة
كلنا حصل معانا نفس الأمر
ودا الي خلانا نحب الحماية
ولو قريت في سيرة أي خبير حماية عالمي
ح تلاقي أن حب المجال دا لأنه اتصاب بفيروس
=> نحن نتعلم من الفشل أكثر من النجاح والحماقة الكبرى ألاتكون لك حماقات

السلام عليكم اخي ميدو 1000
الف مرحبا والف سهلا والف تحية
تعرف اصبح لي ثلاثة ايام وربما اكثر
اضع يدي على خدي
منتظرا من ينقر اعجبني على اي مشاركة لي او تعليق
اذ تجبس وتسمر الرقم على 999
فقلت لن اشارك باي تعليق او حتى مداخلة خاصة
حتى أمكن من الف نقطة
وصاحب الاعجاب الالف يكون له في رقبتي معروف
وفوت من جراء ذلك على نفسي مسابقة تصميم غلاف مجلة زيزووم الخامس
لا اعلم كيف اعتذر للأخت الكريمة رويدا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بامانة اختنا حريصة جدا بدرجة تشعرك بالخجل
جشمناها عناء التوجيه في استخدام الفوتوشوب
من دون طائل المشاركة
صدقا انا اشعر بالاحراج الشديد
مالي إليك وسيلة إلا الرجا وجميل عفوك ثم أني مسلم
ومن ثم فكرت اخي ميدو محدثا نفسي من عساه ان يكون
لم اتوقعك مطلقا
ولا تتصور مقدار سعادتي وعظيم مسرتي بكم
فالطيور على اشكالها تقع
ينظر معي ميدو هذه قطة فقدت الذاكرة وظنت نفسها غير شيء

اراجع معكم اخي ميدو التالي
عنوان الموضوع المقدم من الاخ فتحي تحت عنوان
فيروس خطير لاختبار برامج الحماية لديكم
كان الملف الاول الى حد ما يشير الى المضمون
ويطابق العنوان
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
Trojan.DownLoader
بواقع 49 تحميل
والذي في ضوئه جاءت تجربتي
والتي من خلالها ضغطت اخي ميدو على الاعجاب الالف
والى هذه اللحظة والملف لا يشكل ضررا ماديا على المستخدم
اذ يضم سلوك مشبوه يمكن كشفه بيسر
اسواء من قاموس الفايروسات او الهيوريستك
وتتابعت ردود الاخوة بين مستعرض لكفاءة الجناح الامني
او المستفسر عن تقنية وهكذا
ويبدو ان الدكتور امتعض من امر ما
او ربما ساءه نجاح برنامج حماية بعينه
حتى جاء[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
مسجلا عدد التحميلات 19
[hide]وكلا الملفين برقم سري مشترك virus[/hide]
وقد اورد الاخ فتحي ما مفاده
ملف الموضوع عباره عن داونلودر للفيروس نفسه
لمن يجد مشكله في تشغيل الفيروس من خلال الداونلودر
هنا رابط للفيروس نفسه ولكن احترس عند التجربة
الملف الاول غير الملف الثاني
كما لم يبين الاخ فتحي آلية عمل الفيروس
فكلمة احترس من التجربة كلمة مضللة
ينضوي تحت لوائها الاف الاحتمالات
اقربها للظن ان يماثل الملف الاول بدرجة الخطورة
فالملف الثاني عبارة عن ملف بات
يحاول تثبيت نفسه في بدء التشغيل
ولا يحاول اي اتصال كما في الملف الاول
مجرد ملف دفعي يضم اوامر لتدمير النظام

اذ ان جميع ملفات bat او vbs تضم سلوك تعديل واضافة وحذف لقيم الرجيستري
والتعديل على ملفات والمجلدات
وبصورة عامة ان الملفات الدفعية التي يكون فيها اوامر تدمير وربما يتم دمجها مع برامج موثوقة
تجد غالبا ما يكون التقييد في برامج الحماية اليدوية فقط بصورة سؤال بالسماح او المنع
اي الركون الى حسن معلومات المستخدم الذي غالبا ما يسأم فتكون النتيجة في معظم الحالات كارثية

وانا اعد اختبارات برامج الحماية المخصصة للملفات الدفعية لعبة
اذ لا وجود لهذه الاحتمالية في البرية كما يطلق عليها
وان التحدي في الاجنحة الامنية يمثل في الكشف عن اشباه الفيروسات
كأحصنة طروادة التي تمثل 90 بالمائة من الاصابات الشائعة
ومعظمها تكون بدافع الاختراق وانتهاك الخصوصية
وهذه البرمجيات الخبيثة لا تشعر حتى بوجودها
ولا تسبب باي مشاكل مادية او فيزيائية للنظام

وهذه الاختبارات في قسم النقاشات والاختبارات عن الملفات الدفعية والاختراق تماثل فيروس autorun
الذي يستغل وظائف وامكانيات ويندوز نفسها اذ يتم تنفيذ تعليمات بمجرد فتح الفيروس
اذ يعول هذا الفيروس على ميزة وفرتها ميكروسوفت في نظامها
فهي ثغرة وخلل في نظام العمل ويندوز وليس في برنامج الحماية
والحل المقدم من ويندوز فرض قيود وتحديد صلاحيات المستخدمين
عن طريق User Account Control التي تسمح بالتحكم في كل أجزاء ووظائف الويندوز
من حيث الاتاحة أو الحجب
‏‏اذ تقوم ميزة UAC بالمساعدة على منع تنفيذ التغييرات
عن طريق مطالبة المستخدم بالإذن أو كلمة مرور المسؤول‌ قبل تنفيذ الإجراءات
فهي قد تساعد على منع البرامج الضارة وبرامج التجسس من التثبيت
أو إجراء تغييرات على الكمبيوتر من دون إذن

فالخلاصة الملف عبارة عن سكربت او مخطوطة من الأوامر التنفيذية لا تستطيع تشغيل نفسها
تستغل مجموعة من تطبيقات مايكروسوفت cmd
لتعمل كحاضن تمكنها من التنفيذ والدوس هو منفذ الاوامر

الحماية في هذه الحالة تتم بتعطيل cmd
او اللجوء الى برنامج حماية يضم هيبس
كما في الاونلاين والكمودو والكاسبر وسواها على اليدوي
مثل النورتن والحصان
وفي حالات اخرى يتوجب ازالة تفعيل خيار التوثيق الرقمي في برامج الحماية وتفعيل الكشف اليدوي
وفي هذه الطريقة فقط يمكن الكشف عن أي عملية حقن النظام
ويتم تقييد تشغيل العينة وسؤال المستخدم عن أي سلوك

يبدو للوهلة الاولى ان برنامج الحماية التي تضم هيبس انها تنجح في تجاوز ملفات البات
لكن مساويء الهيبس اكثر من منافعه ومنها
انخفاض كفاءة مكافحة الجذور الخفية التي تعمل في وضع النواة
عدد طلبات كبير بالنسبة للمستخدم
يجب ان يتمتع المستخدم بمعرفة ودراية لمباديء تشغيل نظام العمل
عجزه عن التصدي او مكافحة نشاط البرمجيات الخبيثة في اجهزة الحاسوب الشخصية المصابة
فضلا عن مشاكل لا حصر لها في انظمة 64 بت
كما يقدم رسائل على كل شيء
فهي تقنية قديمة لا فائدة منها ومعظم المستخدمين يفشلون في التعامل مع هذه الرسائل
كما ان الجدران النارية التي تضم هيبس ضعيفة في منع عمليات الاختراق الداخلية والخارجية
وهي غير الباتشات
والمشكلة في الكشف عن اجراءات التطبيقات بدل من توقيعها كما في انظمة منع اختراق الاجهزة HIPS
اذ في كثير من الأحيان برامج مشروعة وموثوقة بها تمام
قد تتصرف بشكل مريب قليلا وهذا مما يؤدي إلى وصفها من HIPS
بعدها تهديدات محتملة تصدر عن برامج ضارة وهو ما يسمى ايجابيات كاذبة
هي مشكلة حقيقية لبرامج HIPS
كذلك ينبغي لأجل توثيق الايجابيات الكاذبة
توافر خطوط مساندة مثل تقديم الملف للتحليل وطلب استشارة مجانية
لهذا يبقى النظام بحالة جيدة فقط ركونا او استنادا الى حسن تصرف المستخدم للتنبيه المنبثق
حتى إذا كان برنامج HIPS حدد تهديدا بشكل صحيح
يمكن للمستخدم الموافقة دون قصد على عمل خاطيء ويمكن اصابة الجهاز وهو احتمال وارد جدا

وكما يبدو في ادناه احدى التنبيهات المنبثقة من كاسبير

في ضوء ما تقدم
يعدل الموضوع الى اختبار كفاءة نظام العمل ويندوز
بدلا من اختبار كفاءة برامج الحماية

في الثاني كما اعلمت اخي محب السنة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

في اثر مداخلة خاصة معه
عن ملف scareware قد عرضه لغرض دحض كفاءة د.ويب
وحتى يمكن اكتشاف مثل هذه الملفات
يسعى الى تطوير اي مستوى من تقنيات الكشف برأيكم في برامج الحماية التلقائية
والاستفسار موجه للاخ الغالي المحب
وحتما استثني الهيبس الذي هو عبارة عن نافذة حوارية بدائية
فالملف خامل لا يضم اي نشاط
وليس روتكيت يصل الى مناطق حرجة من النظام ويخفي نفسه
ولا هو ملف دفعي يستغل cmd كحاضن له
ولا تروجان ينسخ نفسه في ملفات system 32 ويفتح منفذ في جدار الحماية
ولا فيروس ينسخ نفسه في كل مكان ولا هو كود يعتمد على مكتبة ادارة النظام

على الرغم من عد ملف محب السنة مزعج غير ضار
وهو تحفة فنية من حيث دقة البرمجة
يصنف من ضمن برامج الرعب scareware وهو من عائلة ransomware
وانا شكرت الاخ المحب كثيرا واعلمته بان الملف هديتي في العيد

فالملف يقيد عمل الشاشة ويحدده ضمن احداثيات تجعلك غير قادر على الوصول
الى معظم واجهات وظائف النظام المهمة او حتى الادوات الامنية
د.ويب وقف عاجزا بالكامل على الوضع الافتراضي
اذ لا يمكن كشفه بواسطة التواقيع
كما لا يضم الملف سلوك مشبوه من تعديل او حذف من المناطق المحمية او قيم الرجيستري
او حذف الملفات وصولا الى سقوط النظام الخاص بك
حتى يمكن كشفه بواسطة محللات السلوك الارشادية
او حتى اتصال عكسي يعمل على سرقة بيانات حيوية
فيمكن ايقافه او كشفه بوساطة جدار الحماية
اما على اليدوي يمكن ايقافه لكن لا تحسب نقطة لصالح برنامج الحماية
وتتوافر انواع من التشفير والتشويش ومستويات من الضغط
تجعل نسبة كشف الملف الضار من برامج الحماية ضعيف جدا
لكن يمكن تطوير ملف محب السنة فيقوم بتشفير ملفات القرص الصلب مثلا
لكن لا اظن يستطيع اغلاق العمليات اذ حتما سيكتشفه برامج الحماية
انا كان عندي تسمية مختلفة للملف
اعده اداة ادارة عن بعد
يمكن تطويره واستغلاله للسيطرة على نظام الضحية عن بعد
وهو يماثل نوعا ما سلوك معظم احصنة طروادة
يمكن دمجه او بصورة عامة تطويره للوصول الى الموارد الاخرى على وفق احتياجات المهاجم

بلى اتمم معكم اخي ميدو ولكم في منهج الاخ محب السنة اسوة حسنة
بينما كان ملف الثاني للأخ فتحي ضار ومؤذي عن قصد او غير قصد
وهو لا يدرج من ضمن الفيروسات كذلك

وكذلك في ضوء ما تقدم
يغير الاسم في الموضوع المقدم
الى ملف بات لكن اي بات
يتوافر لدينا بات الموت من تصميمك اخي ميدو
وبات الصاعقة اظن لجورج
فلا يتسنى لنا سوى تسمية الملف الضار بات مان
فيكون الموضوع تحت اسم
بات مان خطير لاختبار كفاءة نظام العمل ويندوز

اشكرك جزيلا للمرة الالف اخي في الله ميدو
للإعجاب الالف
كما اشكرك على تنبيهك للموضوع
ما زلت فرحا انسا بالرقم الف
وانوه نحن هنا لسنا الاخوة الاعداء كما جاء في رواية نيكوس كازانتزاكي
اسجل عدم اعجابي بالموضوع
ولا اقبل بحدوث ضرر أسواء مادي ام معنوي للمستخدم
ايا كان وتحت اي مسمى
وكأني بصمتي موافق على وقوع الضرر والضرار العمد
وكان حريا بالإدارة اتخاذ سلسلة اجراءات احترازية
ومنها المنع الوقتي على الاقل بوصفه تنبيه لمدة معينة من الزمن
عن ادراج عينات تعد وتصنف بانها عالية الخطورة كالملفات الدفعية
وفي ادناها الزام صاحب العينة ان يدرج معلومات كافية
يبيين في اثرها درجة خطورة الملف على بيانات المستخدم بالتفصيل
مع ان يكون رسم الموضوع مطابق للفحوى لا يخالفه او يناقضه
كما لا يستدرج المستخدم الى عينتين بالتتابع بينهما فاصل زمني
يمكن كشف العينة الاولى بالتواقيع
او من خلال احتواء الملف على سلوك مشبوه وبالتالي يمكن كشفه والتصدي له
في حين تجيء العينة الثانية ليست على غرار الاولى
تستدرج المستخدم الى قتل نظامه وخسارة بياناته بارادته
واذا يجد الاخ فتحي باسا وحرجا في الاعتذار من الاخ كوماندوز
انا اعتذر بالاصالة عن نفسي وبالنيابة عنه وعن الحاضرين
اخي الكريم كوماندوز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

نحن نعتذر منكم واسفين جدا على خسارتكم لبياناتكم
وجرى الامر بحسن نية ومن دون قصد
فنحن ومن دون استثناء دافع وعلة حضورنا الاول
هو لتبادل الخبرات واستحصال السعادة
وتوسيع خيارات الفرح
ولا وجود لمبتديء او محترف بل جميعنا طلاب علم
وخير الناس انفعهم للناس

مع الشكر والتقدير

 

[qysr]

ولا اقبل بحدوث ضرر أسواء مادي ام معنوي للمستخدم
ايا كان وتحت اي مسمى
وكأني بصمتي موافق على وقوع الضرر والضرار العمد
وكان حريا بالإدارة اتخاذ سلسلة اجراءات احترازية
ومنها المنع الوقتي على الاقل بوصفه تنبيه لمدة معينة من الزمن
عن ادراج عينات تعد وتصنف بانها عالية الخطورة كالملفات الدفعية

اكيد لك الحق اخي سامر في اعجابك او عدم اعجابك بأي موضوع لا خلاف
لكن اخي بالنسبه لما ذكرته في الاقتباس غير صحيح ... لا يقع لوم على احد في اي عينه يتم طرحها هنا على الاضرار المحتمله
و بالتأكيد تعلم اخي ان هذه النوعيه من العينات يتم طرحها في العديد من المواقع المختصه باختبارات الحمايه
و هذه المواقع تخلي مسئوليتها بتنبيه موجود سلفا
مثل التنبيه الموجود في اعلى هذا القسم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[samerira]

اكيد لك الحق اخي سامر في اعجابك او عدم اعجابك بأي موضوع لا خلاف
لكن اخي بالنسبه لما ذكرته في الاقتباس غير صحيح ... لا يقع لوم على احد في اي عينه يتم طرحها هنا على الاضرار المحتمله
و بالتأكيد تعلم اخي ان هذه النوعيه من العينات يتم طرحها في العديد من المواقع المختصه باختبارات الحمايه
و هذه المواقع تخلي مسئوليتها بتنبيه موجود سلفا
مثل التنبيه الموجود في اعلى هذا القسم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وعليكم السلام اخي قيصر
بلى احسنت احسن الله اليك يتسنى لنا عدم اعجابي في موضوع
يستدرج المستخدم الى تلف بياناته وايقاع الضرر بجهازه
فهذه النوعية من الملفات لا يمكن كشفها من قبل معظم برامج الحماية
فقط تبدو لكم رسائل منبثقة بوهيمية لا تقدم ولا تأخر
كما ان كل الصدق في مقالي السالف
اذ يقع اللوم على الادارة اولا ومن ثم الاعضاء المخضرمين
فضلا عما سواهم حتى لو كان في جعبته مشاركة واحدة
وانا اعده بالنسبة لي تفريط بعدي فردا من عائلة كبيرة
لي ما لهم وعلي ما عليهم في الحقوق والواجبات
ونحن كأعضاء الجسد الواحد
عز علي جدا ما اصاب الاخ كوماندوز
حتى اخذ يجامل البعض على حساب نفسه
كما من النادر جدا ان تقع على ملفات دفعية شائعة في المنتديات المعنية بالاختبارات
وكما نوهت سابقا كان التقصير جليا
اسواء في اعطاء عنوان الموضوع حقه
حتى يشير الى المضمون
فضلا عن جر المستخدم الى عينتين غير متماثلتين في السلوك
اما ما جاء عنكم بصدد التنبيه الوارد عن الادارة الكريمة
فهو تنويه معنوي
فلا يصح عقلا برب الاسرة ان يأتي مثلا بسلاح خطر في بيته
ومن ثم يعلق لافتة مفادها ان احذروا
ويعد المسؤول عن العائلة في مقامنا هنا زيزووم
بانها غير مسؤولة عن اولادها عما يصيبهم من خطر
فالإدارة مطالبة بسد الذرائع
لا تأتوا بمنكر ومن ثم تحاسبوا الناس على ما تم من جراء تناوله
وانا اطالبكم بوضع اجراءات صارمة
ومن اهمها منع طرح الملفات الدفعية في الاختبارات
او في الادنى اعطائها حقها في الشرح عن الاضرار المحتملة
والملفات الدفعية في جميع الحالات لا تشير الى كفاءة الاطقم الامنية
كما لا يحق لشخص ما من الادارة
من منع اي عضو على اختلاف مستوياتهم
في المشاركة من اجراء الاختبارات في هذا القسم
مما يؤدي الى وقوع الضرر عاجلا ام آجلا
وحقيقة امر محير
هل الاعتذار من الاخ صاحب الضرر خطب جسيم الى هذا الحد
حتى يطيب خاطره ويرضى
فالاعتذار ليس عجزا بل فعل كريم واسلوب يدل على خلق راقي
ويشير الى الشجاعة واحترام الذات
مع الاستعداد لتحمل المسؤولية الاعتبارية من دون خلق اعذار او لوم المقابل
حتى تسود روح المودة والمحبة والتسامح بيننا
مع اني ارى العكس هنا مع الاسف
بأمانة انا اطالب وبشدة وكما نوهت اخي قيصر
بضرورة التعديل على الضوابط والمعايير في طرح العينات

مع الشكر والتقدير

 

[محمد احمد شحاته ابراهيم]

السلام عليكم اخي ميدو 1000
الف مرحبا والف سهلا والف تحية
تعرف اصبح لي ثلاثة ايام وربما اكثر
اضع يدي على خدي
منتظرا من ينقر اعجبني على اي مشاركة لي او تعليق
اذ تجبس وتسمر الرقم على 999
فقلت لن اشارك باي تعليق او حتى مداخلة خاصة
حتى أمكن من الف نقطة
وصاحب الاعجاب الالف يكون له في رقبتي معروف
وفوت من جراء ذلك على نفسي مسابقة تصميم غلاف مجلة زيزووم الخامس
لا اعلم كيف اعتذر للأخت الكريمة رويدا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بامانة اختنا حريصة جدا بدرجة تشعرك بالخجل
جشمناها عناء التوجيه في استخدام الفوتوشوب
من دون طائل المشاركة
صدقا انا اشعر بالاحراج الشديد
مالي إليك وسيلة إلا الرجا وجميل عفوك ثم أني مسلم
ومن ثم فكرت اخي ميدو محدثا نفسي من عساه ان يكون
لم اتوقعك مطلقا
ولا تتصور مقدار سعادتي وعظيم مسرتي بكم
فالطيور على اشكالها تقع
ينظر معي ميدو هذه قطة فقدت الذاكرة وظنت نفسها غير شيء

اراجع معكم اخي ميدو التالي
عنوان الموضوع المقدم من الاخ فتحي تحت عنوان
فيروس خطير لاختبار برامج الحماية لديكم
كان الملف الاول الى حد ما يشير الى المضمون
ويطابق العنوان
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
Trojan.DownLoader
بواقع 49 تحميل
والذي في ضوئه جاءت تجربتي
والتي من خلالها ضغطت اخي ميدو على الاعجاب الالف
والى هذه اللحظة والملف لا يشكل ضررا ماديا على المستخدم
اذ يضم سلوك مشبوه يمكن كشفه بيسر
اسواء من قاموس الفايروسات او الهيوريستك
وتتابعت ردود الاخوة بين مستعرض لكفاءة الجناح الامني
او المستفسر عن تقنية وهكذا
ويبدو ان الدكتور امتعض من امر ما
او ربما ساءه نجاح برنامج حماية بعينه
حتى جاء[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
مسجلا عدد التحميلات 19
[hide]وكلا الملفين برقم سري مشترك virus[/hide]
وقد اورد الاخ فتحي ما مفاده
ملف الموضوع عباره عن داونلودر للفيروس نفسه
لمن يجد مشكله في تشغيل الفيروس من خلال الداونلودر
هنا رابط للفيروس نفسه ولكن احترس عند التجربة
الملف الاول غير الملف الثاني
كما لم يبين الاخ فتحي آلية عمل الفيروس
فكلمة احترس من التجربة كلمة مضللة
ينضوي تحت لوائها الاف الاحتمالات
اقربها للظن ان يماثل الملف الاول بدرجة الخطورة
فالملف الثاني عبارة عن ملف بات
يحاول تثبيت نفسه في بدء التشغيل
ولا يحاول اي اتصال كما في الملف الاول
مجرد ملف دفعي يضم اوامر لتدمير النظام

اذ ان جميع ملفات bat او vbs تضم سلوك تعديل واضافة وحذف لقيم الرجيستري
والتعديل على ملفات والمجلدات
وبصورة عامة ان الملفات الدفعية التي يكون فيها اوامر تدمير وربما يتم دمجها مع برامج موثوقة
تجد غالبا ما يكون التقييد في برامج الحماية اليدوية فقط بصورة سؤال بالسماح او المنع
اي الركون الى حسن معلومات المستخدم الذي غالبا ما يسأم فتكون النتيجة في معظم الحالات كارثية

وانا اعد اختبارات برامج الحماية المخصصة للملفات الدفعية لعبة
اذ لا وجود لهذه الاحتمالية في البرية كما يطلق عليها
وان التحدي في الاجنحة الامنية يمثل في الكشف عن اشباه الفيروسات
كأحصنة طروادة التي تمثل 90 بالمائة من الاصابات الشائعة
ومعظمها تكون بدافع الاختراق وانتهاك الخصوصية
وهذه البرمجيات الخبيثة لا تشعر حتى بوجودها
ولا تسبب باي مشاكل مادية او فيزيائية للنظام

وهذه الاختبارات في قسم النقاشات والاختبارات عن الملفات الدفعية والاختراق تماثل فيروس autorun
الذي يستغل وظائف وامكانيات ويندوز نفسها اذ يتم تنفيذ تعليمات بمجرد فتح الفيروس
اذ يعول هذا الفيروس على ميزة وفرتها ميكروسوفت في نظامها
فهي ثغرة وخلل في نظام العمل ويندوز وليس في برنامج الحماية
والحل المقدم من ويندوز فرض قيود وتحديد صلاحيات المستخدمين
عن طريق User Account Control التي تسمح بالتحكم في كل أجزاء ووظائف الويندوز
من حيث الاتاحة أو الحجب
‏‏اذ تقوم ميزة UAC بالمساعدة على منع تنفيذ التغييرات
عن طريق مطالبة المستخدم بالإذن أو كلمة مرور المسؤول‌ قبل تنفيذ الإجراءات
فهي قد تساعد على منع البرامج الضارة وبرامج التجسس من التثبيت
أو إجراء تغييرات على الكمبيوتر من دون إذن

فالخلاصة الملف عبارة عن سكربت او مخطوطة من الأوامر التنفيذية لا تستطيع تشغيل نفسها
تستغل مجموعة من تطبيقات مايكروسوفت cmd
لتعمل كحاضن تمكنها من التنفيذ والدوس هو منفذ الاوامر

الحماية في هذه الحالة تتم بتعطيل cmd
او اللجوء الى برنامج حماية يضم هيبس
كما في الاونلاين والكمودو والكاسبر وسواها على اليدوي
مثل النورتن والحصان
وفي حالات اخرى يتوجب ازالة تفعيل خيار التوثيق الرقمي في برامج الحماية وتفعيل الكشف اليدوي
وفي هذه الطريقة فقط يمكن الكشف عن أي عملية حقن النظام
ويتم تقييد تشغيل العينة وسؤال المستخدم عن أي سلوك

يبدو للوهلة الاولى ان برنامج الحماية التي تضم هيبس انها تنجح في تجاوز ملفات البات
لكن مساويء الهيبس اكثر من منافعه ومنها
انخفاض كفاءة مكافحة الجذور الخفية التي تعمل في وضع النواة
عدد طلبات كبير بالنسبة للمستخدم
يجب ان يتمتع المستخدم بمعرفة ودراية لمباديء تشغيل نظام العمل
عجزه عن التصدي او مكافحة نشاط البرمجيات الخبيثة في اجهزة الحاسوب الشخصية المصابة
فضلا عن مشاكل لا حصر لها في انظمة 64 بت
كما يقدم رسائل على كل شيء
فهي تقنية قديمة لا فائدة منها ومعظم المستخدمين يفشلون في التعامل مع هذه الرسائل
كما ان الجدران النارية التي تضم هيبس ضعيفة في منع عمليات الاختراق الداخلية والخارجية
وهي غير الباتشات
والمشكلة في الكشف عن اجراءات التطبيقات بدل من توقيعها كما في انظمة منع اختراق الاجهزة HIPS
اذ في كثير من الأحيان برامج مشروعة وموثوقة بها تمام
قد تتصرف بشكل مريب قليلا وهذا مما يؤدي إلى وصفها من HIPS
بعدها تهديدات محتملة تصدر عن برامج ضارة وهو ما يسمى ايجابيات كاذبة
هي مشكلة حقيقية لبرامج HIPS
كذلك ينبغي لأجل توثيق الايجابيات الكاذبة
توافر خطوط مساندة مثل تقديم الملف للتحليل وطلب استشارة مجانية
لهذا يبقى النظام بحالة جيدة فقط ركونا او استنادا الى حسن تصرف المستخدم للتنبيه المنبثق
حتى إذا كان برنامج HIPS حدد تهديدا بشكل صحيح
يمكن للمستخدم الموافقة دون قصد على عمل خاطيء ويمكن اصابة الجهاز وهو احتمال وارد جدا

وكما يبدو في ادناه احدى التنبيهات المنبثقة من كاسبير

في ضوء ما تقدم
يعدل الموضوع الى اختبار كفاءة نظام العمل ويندوز
بدلا من اختبار كفاءة برامج الحماية

في الثاني كما اعلمت اخي محب السنة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

في اثر مداخلة خاصة معه
عن ملف scareware قد عرضه لغرض دحض كفاءة د.ويب
وحتى يمكن اكتشاف مثل هذه الملفات
يسعى الى تطوير اي مستوى من تقنيات الكشف برأيكم في برامج الحماية التلقائية
والاستفسار موجه للاخ الغالي المحب
وحتما استثني الهيبس الذي هو عبارة عن نافذة حوارية بدائية
فالملف ليس روتكيت يصل الى مناطق حرجة من النظام ويخفي نفسه
ولا هو ملف دفعي يستغل cmd كحاضن له
ولا تروجان ينسخ نفسه في ملفات system 32 ويفتح منفذ في جدار الحماية
ولا فيروس ينسخ نفسه في كل مكانولا هو كود يعتمد على مكتبة ادارة النظام

على الرغم من عد ملف محب السنة مزعج غير ضار
وهو تحفة فنية من حيث دقة البرمجة
يصنف من ضمن برامج الرعب scareware وهو من عائلة ransomware
وانا شكرت الاخ المحب كثيرا واعلمته بان الملف هديتي في العيد

فالملف يقيد عمل الشاشة ويحدده ضمن احداثيات تجعلك غير قادر على الوصول
الى معظم واجهات وظائف النظام المهمة او حتى الادوات الامنية
د.ويب وقف عاجزا بالكامل على الوضع الافتراضي
اذ لا يمكن كشفه بواسطة التواقيع
كما لا يضم الملف سلوك مشبوه من تعديل او حذف من المناطق المحمية او قيم الرجيستري
او حذف الملفات وصولا الى سقوط النظام الخاص بك
حتى يمكن كشفه بواسطة محللات السلوك الارشادية
او حتى اتصال عكسي يعمل على سرقة بيانات حيوية
فيمكن ايقافه او كشفه بوساطة جدار الحماية
اما على اليدوي يمكن ايقافه لكن لا تحسب نقطة لصالح برنامج الحماية
هذا النوع من التشفير يجعل نسبة كشفه من برامج الحماية ضعيف جدا
لكن يمكن تطوير ملف محب السنة فيقوم بتشفير ملفات القرص الصلب مثلا
لكن لا اظن يستطيع اغلاق العمليات اذ حتما سيكتشفه برامج الحماية
انا كان عندي تسمية مختلفة للملف
اعده اداة ادارة عن بعد
يمكن تطويره واستغلاله للسيطرة على نظام الضحية عن بعد
وهو يماثل نوعا ما سلوك معظم احصنة طروادة
يمكن دمجه او بصورة عامة تطويره للوصول الى الموارد الاخرى على وفق احتياجات المهاجم

بلى اتمم معكم اخي ميدو ولكم في منهج الاخ محب السنة اسوة حسنة
بينما كان ملف الثاني للأخ فتحي ضار ومؤذي عن قصد او غير قصد
وهو لا يدرج من ضمن الفيروسات كذلك

وكذلك في ضوء ما تقدم
يغير الاسم في الموضوع المقدم
الى ملف بات لكن اي بات
يتوافر لدينا بات الموت من تصميمك اخي ميدو
وبات الصاعقة اظن لجورج
فلا يتسنى لنا سوى تسمية الملف الضار بات مان
فيكون الموضوع تحت اسم
بات مان خطير لاختبار كفاءة نظام العمل ويندوز

اشكرك جزيلا للمرة الالف اخي في الله ميدو
للإعجاب الالف
كما اشكرك على تنبيهك للموضوع
ما زلت فرحا انسا بالرقم الف
وانوه نحن هنا لسنا الاخوة الاعداء كما جاء في رواية نيكوس كازانتزاكي
اسجل عدم اعجابي بالموضوع
ولا اقبل بحدوث ضرر أسواء مادي ام معنوي للمستخدم
ايا كان وتحت اي مسمى
وكأني بصمتي موافق على وقوع الضرر والضرار العمد
وكان حريا بالإدارة اتخاذ سلسلة اجراءات احترازية
ومنها المنع الوقتي على الاقل بوصفه تنبيه لمدة معينة من الزمن
عن ادراج عينات تعد وتصنف بانها عالية الخطورة كالملفات الدفعية
وفي ادناها الزام صاحب العينة ان يدرج معلومات كافية
يبيين في اثرها درجة خطورة الملف على بيانات المستخدم بالتفصيل
مع ان يكون رسم الموضوع مطابق للفحوى لا يخالفه او يناقضه
كما لا يستدرج المستخدم الى عينتين بالتتابع بينهما فاصل زمني
يمكن كشف العينة الاولى بالتواقيع
او من خلال احتواء الملف على سلوك مشبوه وبالتالي يمكن كشفه والتصدي له
في حين تجيء العينة الثانية ليست على غرار الاولى
تستدرج المستخدم الى قتل نظامه وخسارة بياناته بارادته
واذا يجد الاخ فتحي باسا وحرجا في الاعتذار من الاخ كوماندوز
انا اعتذر بالاصالة عن نفسي وبالنيابة عنه وعن الحاضرين
اخي الكريم كوماندوز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

نحن نعتذر منكم واسفين جدا على خسارتكم لبياناتكم
وجرى الامر بحسن نية ومن دون قصد
فنحن ومن دون استثناء دافع وعلة حضورنا الاول
هو لتبادل الخبرات ولاسعادكم
ولتوسيع خيارات الفرح
ولا وجود لمبتديء او محترف بل جميعنا طلاب علم
وخير الناس انفعهم للناس

مع الشكر والتقدير

السلام عليكم اخي ميدو 1000
الف مرحبا والف سهلا والف تحية
تعرف اصبح لي ثلاثة ايام وربما اكثر
اضع يدي على خدي
منتظرا من ينقر اعجبني على اي مشاركة لي او تعليق
اذ تجبس وتسمر الرقم على 999
فقلت لن اشارك باي تعليق او حتى مداخلة خاصة
حتى أمكن من الف نقطة
وصاحب الاعجاب الالف يكون له في رقبتي معروف
وفوت من جراء ذلك على نفسي مسابقة تصميم غلاف مجلة زيزووم الخامس
لا اعلم كيف اعتذر للأخت الكريمة رويدا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بامانة اختنا حريصة جدا بدرجة تشعرك بالخجل
جشمناها عناء التوجيه في استخدام الفوتوشوب
من دون طائل المشاركة
صدقا انا اشعر بالاحراج الشديد
مالي إليك وسيلة إلا الرجا وجميل عفوك ثم أني مسلم
ومن ثم فكرت اخي ميدو محدثا نفسي من عساه ان يكون
لم اتوقعك مطلقا
ولا تتصور مقدار سعادتي وعظيم مسرتي بكم
فالطيور على اشكالها تقع
ينظر معي ميدو هذه قطة فقدت الذاكرة وظنت نفسها غير شيء

اراجع معكم اخي ميدو التالي
عنوان الموضوع المقدم من الاخ فتحي تحت عنوان
فيروس خطير لاختبار برامج الحماية لديكم
كان الملف الاول الى حد ما يشير الى المضمون
ويطابق العنوان
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
Trojan.DownLoader
بواقع 49 تحميل
والذي في ضوئه جاءت تجربتي
والتي من خلالها ضغطت اخي ميدو على الاعجاب الالف
والى هذه اللحظة والملف لا يشكل ضررا ماديا على المستخدم
اذ يضم سلوك مشبوه يمكن كشفه بيسر
اسواء من قاموس الفايروسات او الهيوريستك
وتتابعت ردود الاخوة بين مستعرض لكفاءة الجناح الامني
او المستفسر عن تقنية وهكذا
ويبدو ان الدكتور امتعض من امر ما
او ربما ساءه نجاح برنامج حماية بعينه
حتى جاء[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
مسجلا عدد التحميلات 19
[hide]وكلا الملفين برقم سري مشترك virus[/hide]
وقد اورد الاخ فتحي ما مفاده
ملف الموضوع عباره عن داونلودر للفيروس نفسه
لمن يجد مشكله في تشغيل الفيروس من خلال الداونلودر
هنا رابط للفيروس نفسه ولكن احترس عند التجربة
الملف الاول غير الملف الثاني
كما لم يبين الاخ فتحي آلية عمل الفيروس
فكلمة احترس من التجربة كلمة مضللة
ينضوي تحت لوائها الاف الاحتمالات
اقربها للظن ان يماثل الملف الاول بدرجة الخطورة
فالملف الثاني عبارة عن ملف بات
يحاول تثبيت نفسه في بدء التشغيل
ولا يحاول اي اتصال كما في الملف الاول
مجرد ملف دفعي يضم اوامر لتدمير النظام

اذ ان جميع ملفات bat او vbs تضم سلوك تعديل واضافة وحذف لقيم الرجيستري
والتعديل على ملفات والمجلدات
وبصورة عامة ان الملفات الدفعية التي يكون فيها اوامر تدمير وربما يتم دمجها مع برامج موثوقة
تجد غالبا ما يكون التقييد في برامج الحماية اليدوية فقط بصورة سؤال بالسماح او المنع
اي الركون الى حسن معلومات المستخدم الذي غالبا ما يسأم فتكون النتيجة في معظم الحالات كارثية

وانا اعد اختبارات برامج الحماية المخصصة للملفات الدفعية لعبة
اذ لا وجود لهذه الاحتمالية في البرية كما يطلق عليها
وان التحدي في الاجنحة الامنية يمثل في الكشف عن اشباه الفيروسات
كأحصنة طروادة التي تمثل 90 بالمائة من الاصابات الشائعة
ومعظمها تكون بدافع الاختراق وانتهاك الخصوصية
وهذه البرمجيات الخبيثة لا تشعر حتى بوجودها
ولا تسبب باي مشاكل مادية او فيزيائية للنظام

وهذه الاختبارات في قسم النقاشات والاختبارات عن الملفات الدفعية والاختراق تماثل فيروس autorun
الذي يستغل وظائف وامكانيات ويندوز نفسها اذ يتم تنفيذ تعليمات بمجرد فتح الفيروس
اذ يعول هذا الفيروس على ميزة وفرتها ميكروسوفت في نظامها
فهي ثغرة وخلل في نظام العمل ويندوز وليس في برنامج الحماية
والحل المقدم من ويندوز فرض قيود وتحديد صلاحيات المستخدمين
عن طريق User Account Control التي تسمح بالتحكم في كل أجزاء ووظائف الويندوز
من حيث الاتاحة أو الحجب
‏‏اذ تقوم ميزة UAC بالمساعدة على منع تنفيذ التغييرات
عن طريق مطالبة المستخدم بالإذن أو كلمة مرور المسؤول‌ قبل تنفيذ الإجراءات
فهي قد تساعد على منع البرامج الضارة وبرامج التجسس من التثبيت
أو إجراء تغييرات على الكمبيوتر من دون إذن

فالخلاصة الملف عبارة عن سكربت او مخطوطة من الأوامر التنفيذية لا تستطيع تشغيل نفسها
تستغل مجموعة من تطبيقات مايكروسوفت cmd
لتعمل كحاضن تمكنها من التنفيذ والدوس هو منفذ الاوامر

الحماية في هذه الحالة تتم بتعطيل cmd
او اللجوء الى برنامج حماية يضم هيبس
كما في الاونلاين والكمودو والكاسبر وسواها على اليدوي
مثل النورتن والحصان
وفي حالات اخرى يتوجب ازالة تفعيل خيار التوثيق الرقمي في برامج الحماية وتفعيل الكشف اليدوي
وفي هذه الطريقة فقط يمكن الكشف عن أي عملية حقن النظام
ويتم تقييد تشغيل العينة وسؤال المستخدم عن أي سلوك

يبدو للوهلة الاولى ان برنامج الحماية التي تضم هيبس انها تنجح في تجاوز ملفات البات
لكن مساويء الهيبس اكثر من منافعه ومنها
انخفاض كفاءة مكافحة الجذور الخفية التي تعمل في وضع النواة
عدد طلبات كبير بالنسبة للمستخدم
يجب ان يتمتع المستخدم بمعرفة ودراية لمباديء تشغيل نظام العمل
عجزه عن التصدي او مكافحة نشاط البرمجيات الخبيثة في اجهزة الحاسوب الشخصية المصابة
فضلا عن مشاكل لا حصر لها في انظمة 64 بت
كما يقدم رسائل على كل شيء
فهي تقنية قديمة لا فائدة منها ومعظم المستخدمين يفشلون في التعامل مع هذه الرسائل
كما ان الجدران النارية التي تضم هيبس ضعيفة في منع عمليات الاختراق الداخلية والخارجية
وهي غير الباتشات
والمشكلة في الكشف عن اجراءات التطبيقات بدل من توقيعها كما في انظمة منع اختراق الاجهزة HIPS
اذ في كثير من الأحيان برامج مشروعة وموثوقة بها تمام
قد تتصرف بشكل مريب قليلا وهذا مما يؤدي إلى وصفها من HIPS
بعدها تهديدات محتملة تصدر عن برامج ضارة وهو ما يسمى ايجابيات كاذبة
هي مشكلة حقيقية لبرامج HIPS
كذلك ينبغي لأجل توثيق الايجابيات الكاذبة
توافر خطوط مساندة مثل تقديم الملف للتحليل وطلب استشارة مجانية
لهذا يبقى النظام بحالة جيدة فقط ركونا او استنادا الى حسن تصرف المستخدم للتنبيه المنبثق
حتى إذا كان برنامج HIPS حدد تهديدا بشكل صحيح
يمكن للمستخدم الموافقة دون قصد على عمل خاطيء ويمكن اصابة الجهاز وهو احتمال وارد جدا

وكما يبدو في ادناه احدى التنبيهات المنبثقة من كاسبير

في ضوء ما تقدم
يعدل الموضوع الى اختبار كفاءة نظام العمل ويندوز
بدلا من اختبار كفاءة برامج الحماية

في الثاني كما اعلمت اخي محب السنة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

في اثر مداخلة خاصة معه
عن ملف scareware قد عرضه لغرض دحض كفاءة د.ويب
وحتى يمكن اكتشاف مثل هذه الملفات
يسعى الى تطوير اي مستوى من تقنيات الكشف برأيكم في برامج الحماية التلقائية
والاستفسار موجه للاخ الغالي المحب
وحتما استثني الهيبس الذي هو عبارة عن نافذة حوارية بدائية
فالملف ليس روتكيت يصل الى مناطق حرجة من النظام ويخفي نفسه
ولا هو ملف دفعي يستغل cmd كحاضن له
ولا تروجان ينسخ نفسه في ملفات system 32 ويفتح منفذ في جدار الحماية
ولا فيروس ينسخ نفسه في كل مكانولا هو كود يعتمد على مكتبة ادارة النظام

على الرغم من عد ملف محب السنة مزعج غير ضار
وهو تحفة فنية من حيث دقة البرمجة
يصنف من ضمن برامج الرعب scareware وهو من عائلة ransomware
وانا شكرت الاخ المحب كثيرا واعلمته بان الملف هديتي في العيد

فالملف يقيد عمل الشاشة ويحدده ضمن احداثيات تجعلك غير قادر على الوصول
الى معظم واجهات وظائف النظام المهمة او حتى الادوات الامنية
د.ويب وقف عاجزا بالكامل على الوضع الافتراضي
اذ لا يمكن كشفه بواسطة التواقيع
كما لا يضم الملف سلوك مشبوه من تعديل او حذف من المناطق المحمية او قيم الرجيستري
او حذف الملفات وصولا الى سقوط النظام الخاص بك
حتى يمكن كشفه بواسطة محللات السلوك الارشادية
او حتى اتصال عكسي يعمل على سرقة بيانات حيوية
فيمكن ايقافه او كشفه بوساطة جدار الحماية
اما على اليدوي يمكن ايقافه لكن لا تحسب نقطة لصالح برنامج الحماية
هذا النوع من التشفير يجعل نسبة كشفه من برامج الحماية ضعيف جدا
لكن يمكن تطوير ملف محب السنة فيقوم بتشفير ملفات القرص الصلب مثلا
لكن لا اظن يستطيع اغلاق العمليات اذ حتما سيكتشفه برامج الحماية
انا كان عندي تسمية مختلفة للملف
اعده اداة ادارة عن بعد
يمكن تطويره واستغلاله للسيطرة على نظام الضحية عن بعد
وهو يماثل نوعا ما سلوك معظم احصنة طروادة
يمكن دمجه او بصورة عامة تطويره للوصول الى الموارد الاخرى على وفق احتياجات المهاجم

بلى اتمم معكم اخي ميدو ولكم في منهج الاخ محب السنة اسوة حسنة
بينما كان ملف الثاني للأخ فتحي ضار ومؤذي عن قصد او غير قصد
وهو لا يدرج من ضمن الفيروسات كذلك

وكذلك في ضوء ما تقدم
يغير الاسم في الموضوع المقدم
الى ملف بات لكن اي بات
يتوافر لدينا بات الموت من تصميمك اخي ميدو
وبات الصاعقة اظن لجورج
فلا يتسنى لنا سوى تسمية الملف الضار بات مان
فيكون الموضوع تحت اسم
بات مان خطير لاختبار كفاءة نظام العمل ويندوز

اشكرك جزيلا للمرة الالف اخي في الله ميدو
للإعجاب الالف
كما اشكرك على تنبيهك للموضوع
ما زلت فرحا انسا بالرقم الف
وانوه نحن هنا لسنا الاخوة الاعداء كما جاء في رواية نيكوس كازانتزاكي
اسجل عدم اعجابي بالموضوع
ولا اقبل بحدوث ضرر أسواء مادي ام معنوي للمستخدم
ايا كان وتحت اي مسمى
وكأني بصمتي موافق على وقوع الضرر والضرار العمد
وكان حريا بالإدارة اتخاذ سلسلة اجراءات احترازية
ومنها المنع الوقتي على الاقل بوصفه تنبيه لمدة معينة من الزمن
عن ادراج عينات تعد وتصنف بانها عالية الخطورة كالملفات الدفعية
وفي ادناها الزام صاحب العينة ان يدرج معلومات كافية
يبيين في اثرها درجة خطورة الملف على بيانات المستخدم بالتفصيل
مع ان يكون رسم الموضوع مطابق للفحوى لا يخالفه او يناقضه
كما لا يستدرج المستخدم الى عينتين بالتتابع بينهما فاصل زمني
يمكن كشف العينة الاولى بالتواقيع
او من خلال احتواء الملف على سلوك مشبوه وبالتالي يمكن كشفه والتصدي له
في حين تجيء العينة الثانية ليست على غرار الاولى
تستدرج المستخدم الى قتل نظامه وخسارة بياناته بارادته
واذا يجد الاخ فتحي باسا وحرجا في الاعتذار من الاخ كوماندوز
انا اعتذر بالاصالة عن نفسي وبالنيابة عنه وعن الحاضرين
اخي الكريم كوماندوز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

نحن نعتذر منكم واسفين جدا على خسارتكم لبياناتكم
وجرى الامر بحسن نية ومن دون قصد
فنحن ومن دون استثناء دافع وعلة حضورنا الاول
هو لتبادل الخبرات ولاسعادكم
ولتوسيع خيارات الفرح
ولا وجود لمبتديء او محترف بل جميعنا طلاب علم
وخير الناس انفعهم للناس

مع الشكر والتقدير

استاذ /سامر
ان جميع مشاركاتك وردودك هى دروس فى الحماية يستفيد منها الجميع فانت من خبراء الحماية بحق فارجو منك ان ترد فى جميع مواضيع الحماية ليستفيد الجميع ولا تنتظر ا يدعوك احدللمشاركة لتقوم برد جديد وتقبل تحياتى

 

[عين الطيف]

مثل التنبيه الموجود في اعلى هذا القسم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي