تشفيرة تشفيره جديده بتاريخ 10/10/2015

[black007]

,وهذا الدليل القاطع على ان هذة الطبقة مرتبطة أصلا بالمحرك

أذا شفرت الملف عن المحرك وقسمت البايت

طارت هذة الطبقة


لا أرى شيئا تفلح فيه شركة النود أكثر من قرطسة المستخدمين وتحليل
العينات بسرررعة !

أذا كان هذا الملف قد أرسل لك في أي مكان آخر ولم يتم وضعه في المنتدى لكان جهازك الآن بين قبضة الهاكر والنود واقف يتفرج مثل أبو الهول


يجب اضافة محلل سلوك للنود وإلا فهو مجرد خردة

محركه قوي ولكن التشفير عن المحرك سهل

عندئذ يكون النود بلا قيمة


ود ,

برائيك كيف كان ستصرف التراست فى وضعه الافتراضى وعلى قواعده الافتراضيه

هل سيفضل ام سيتصدى ؟؟

 

[ALI 145]

,وهذا الدليل القاطع على ان هذة الطبقة مرتبطة أصلا بالمحرك

أذا شفرت الملف عن المحرك وقسمت البايت

طارت هذة الطبقة


لا أرى شيئا تفلح فيه شركة النود أكثر من قرطسة المستخدمين وتحليل
العينات بسرررعة !

أذا كان هذا الملف قد أرسل لك في أي مكان آخر ولم يتم وضعه في المنتدى لكان جهازك الآن بين قبضة الهاكر والنود واقف يتفرج مثل أبو الهول


يجب اضافة محلل سلوك للنود وإلا فهو مجرد خردة

محركه قوي ولكن التشفير عن المحرك سهل

عندئذ يكون النود بلا قيمة


ود ,

كلام رائع بارك الله فيك

و ids أيضا لازمه الكثير من التطوير لأن ids هو قلب وروح جدار الحماية ids النود مجرد إسم لا أكثر

عندما يتم تخطى المحرك هنا يأتي دور محلل السلوك​

 

[MagicianMiDo32]

لا تلوم الشركه كثيرا فكثير من الشركات نفس الوضع

واذا فعلت باقى خواص البرنامج اصبح يعمل بجد

ناهيك عن الهبس الذى يحتاج الى اعاده هيكله من جديد

اقصد الوضع الخام



ايوا الى هو انهى واحد

الmpress دا
صح

التاني فاضي مفهوش حاجة

شوية دوال وخلاص
الي هو بيتعمله invoke
في الأول

 

[MagicianMiDo32]

برائيك كيف كان ستصرف التراست فى وضعه الافتراضى وعلى قواعده الافتراضيه

هل سيفضل ام سيتصدى ؟؟

بصراحة انا قطعت علاقتي بالتراست دا خالص ولنفس السبب
الشركة

متأكد انه سيتصدى للملف

أصلا حاجب السلوك في النسخة 2015 صاي ينبه على كل شيئ حتى ملفات البرنامج نفسه في بعض الأحيان
لكنه لا يعمل على انظمة 64 بت مع انها الاكثر انتشارا لانها المعتمدة من قبل كل الشركات المصنعة للحواسيب
كذلك لايستطيع حجب السكربتات

 

[MagicianMiDo32]

كلام رائع بارك الله فيك

و ids أيضا لازمه الكثير من التطوير لأن ids هو قلب وروح جدار الحماية ids النود مجرد إسم لا أكثر

عندما يتم تخطى المحرك هنا يأتي دور محلل السلوك​

وفيك أخي الغالي

 

[black007]

الmpress دا
صح

التاني فاضي مفهوش حاجة

شوية دوال وخلاص
الي هو بيتعمله invoke
في الأول

good analysis

ولكن الكود الاول ليس دوال وهميه وانما حقيقه

 

[black007]

اذا نستطيع القول ان البرامج التى تحتوى على محلل سلوك هى التى ستفوز فى هذه الجوله

ونقول هنا المرشح هو الحصان

بما انه بشكل افتراضى يصد هذا الامر واقضد هنا تحليل السلوك بشكل افتراضى وليس معدل

ولكن يفتقر الى اشياء كثيره

 

[ALI 145]

اذا نستطيع القول ان البرامج التى تحتوى على محلل سلوك هى التى ستفوز فى هذه الجوله

ونقول هنا المرشح هو الحصان

بما انه بشكل افتراضى يصد هذا الامر واقضد هنا تحليل السلوك بشكل افتراضى وليس معدل

ولكن يفتقر الى اشياء كثيره

وما رأيك اخي مصطفى في محلل سلوك الكمودو فهو يمتلك محلل سلوك جبار ؟؟

هل يستطيع صد مثل هذه التشفيرات بمحلل سلوكه



​

 

[black007]

وما رأيك اخي مصطفى في محلل سلوك الكمودو فهو يمتلك محلل سلوك جبار ؟؟

هل يستطيع صد مثل هذه التشفيرات بمحلل سلوكه



​

بعيدا عن الساند بوكس الخاص به

الذى اصبح وخلينا اقول متطور جدا عما كان فى السابق

يمكن ان نقول نعم يمكنه الصد

لكن للتاكد تحتاج الى تجربه فعليه

فيجب على محلل السلوك هنا ونتحدث عن محلل السلوك الذكى

يجب عليه ان يفرق بين البرامج السليمه والبرامج الخبيثه عن طريق ردود افعال الملف نفسه

فاغلب ردود افعال باتشات الاختراق معروفه مسبقا

طيب تعال نعكس العمليه

ماذا اذا قمنا بخداع محلل السلوك ما الذى سيفعله وقتها

وخلينى اتحفظ عن كيفيه خداع محلل السلوك لانى ليس محور حديثى

ونتحدث هنا بشكل كامل كوضع افتراضى وانى لم اتناقش فى الوضع اليدوى

برائيك اخى على ماذا يحدث وقتها

 

[ALI 145]

بعيدا عن الساند بوكس الخاص به

الذى اصبح وخلينا اقول متطور جدا عما كان فى السابق

يمكن ان نقول نعم يمكنه الصد

لكن للتاكد تحتاج الى تجربه فعليه

فيجب على محلل السلوك هنا ونتحدث عن محلل السلوك الذكى

يجب عليه ان يفرق بين البرامج السليمه والبرامج الخبيثه عن طريق ردود افعال الملف نفسه

فاغلب ردود افعال باتشات الاختراق معروفه مسبقا

طيب تعال نعكس العمليه

ماذا اذا قمنا بخداع محلل السلوك ما الذى سيفعله وقتها

وخلينى اتحفظ عن كيفيه خداع محلل السلوك لانى ليس محور حديثى

ونتحدث هنا بشكل كامل كوضع افتراضى وانى لم اتناقش فى الوضع اليدوى

برائيك اخى على ماذا يحدث وقتها

صحيح أخي مصطفى التجربة خير برهان ويجب ان تكون على الإفتراضي

لأنك دائما تنوه على تجربة البرامج على الإفتراضي وهاذ صحيح تماما لأن كل المواقع العالمية تختبر برامج الحماية على الإفتراضي وليس على اليدوي

وهنا يأتي دور المشفر وخبرته في التشفير لأن لو كانت التشفيرة موجهة للكمودو على الإفتراضي

والمشفر على دراية تامة بطبقات الكمودو وطريقة عملها يمكن خداعه وتخطيه تماما

وسيقف الكمودو عاجر أمام المشفر ودهاء الذكاء لدى المشفر

في أغلب الأحيان ذكاء المشفر يكون أذكى من طبقات الحماية في برامج الحماية طبعا على الإفتراضي

وشكرا لك أخي مصطفى على التوضيح
​

 

[أبو رمش]

هل الملف يقوم بحقن WerFfault + svchost !

 

[black007]

هل الملف يقوم بحقن WerFfault + svchost !

يس

 

[hitman samir12]

لاداعي لتجريب الكاسبر فالنتيجة معلومة مسبقا تجاوز على التلقائي والصد على اليدوي يصبح فعلا قلعة حماية على اليدوي

 

[أبو رمش]

 

[black007]

مشاهدة المرفق 99193

اتعرف اخى ابو رمش

وقت تجربتى على الدفندر 2015 لن تصدق ما حدث

كنت اشفر ملف وجربته على الدفندر فاذا به يمسك ملف الويندوز بهذا المسار تحديدها

C:\Windows\System32\svchost.exe

وليس الملف المشفر

وقتها توقفت لحظه وضحكت

ومن بعدها اكملت عملى على الملف النهائى

على الرغم من ان برنامج الدفندر جيد الا انه يحتاج الى ان يكون واقعى اكثر

 

[أبو رمش]

طيب ما تفسير هذا الرسالة و بالذات أثنا تشغيل الملف !
مع أنه اعطاني أكثر من عشر رسائل للعينة بالسماح أو الرفض و عملت لها سماح و بعدها ظهر لي هذا الاتصال و اتصال أخر يبدأ 197

 

[HitmanPro]

كيهو بالفحص

 

[kimo7]

NIS

[hide]بالتشغيل تحرك السونار
عمل استثاء

مشاهدة المرفق 99164

تحرك الجدار الناري

مشاهدة المرفق 99165

حجب الاتصال ولم اجرب مرة الاستثناء

سورس

مشاهدة المرفق 99166 [/hide]

@التميمي14

الشيخ نورتن ممتاز بالسونار و الاهم انه اصبح يعتمد على السحاب في السمعة و التحليل . والجدار رائع .

 

[kimo7]

كيهو بالفحص

مشاهدة المرفق 99195

الاكتشاف بمحرك الافيرا .

 

[black007]

طيب ما تفسير هذا الرسالة و بالذات أثنا تشغيل الملف !
مع أنه اعطاني أكثر من عشر رسائل للعينة بالسماح أو الرفض و عملت لها سماح و بعدها ظهر لي هذا الاتصال و اتصال أخر يبدأ 197

الاى بى الذى يظهر فى الصوره التى اوضحتها

يخص الملف الاصلى الى هو WerFfault + svchost

وهو تابع لميكروسوفت

ليس هناك اى تمويه فى الاتصال ويتم الاتصال بى بشكل مباشر عبر الاى بى الخاص بى 197