• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة عينه بتاريخ 30/4/2017

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

الباس

[hide]infected[/hide]

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع
 

توقيع : black007
شكرا أخي مصطفى على حرسك لتعليم الناس
إنسان طيب ويحب الخير لكل الناس ولا يبخل بأي شيء يعرفه هاذ هو مصطفى اللذي عهدناه
جزاك الله كل خير .
 
توقيع : ALI 145
بارك الله فيك أخي الحبي مصطفى
 
توقيع : SASA G
أولا شكرا على المجهودات في الطرح والمتابعة ...
العينة ملغومة بسيرفر Xtreme Rat .. مع وجود تخطيات *_^
يتم الحقن في عملية النظام "svchost" في قائمة iexplore.exe
تحت اسم "Chrome"
p_486656tg5.png


+
p_486n0qw94.png


مع وحود تثبيتات في الريجيستري
p_4868z31y6.png


بشكل أوضح !!!
p_486e5iii2.png


بعض الاستدعاءات ...
p_486cd58x1.png


معلومات الاتصال
dnsduck10.duckdns.org
8080
181.58.21.184

البرنامج المستخدم OllyDbg
القيم المستخدمة للحصول على معلومات الاتصال
LockResource
RegCreateKeyW
CopyFileW

بالتوفيق ...
 
يعطيك العافيه اخي الغالي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


فكره رائعه ومفيده للاعضاء

فالعينه الاولى كانت فيها صعوبه على المبتدئين امثالي

والعينه هذي اصعب في التحليل

فياليت يكون التدرج في المستوى افضل

وارجو ان تستمر في طرح مثل هذي المواضيع الهامه

التى تساعد الاعضاء في فحص الملفات المشبوهه بأنفسهم

ودي وتقديري لك
 
توقيع : mshaz1000mshaz1000 is verified member.
C-Man قال:
أولا شكرا على المجهودات في الطرح والمتابعة ...
العينة ملغومة بسيرفر Xtreme Rat .. مع وجود تخطيات *_^
يتم الحقن في عملية النظام "svchost" في قائمة iexplore.exe
تحت اسم "Chrome"
p_486656tg5.png


+
p_486n0qw94.png


مع وحود تثبيتات في الريجيستري
p_4868z31y6.png


بشكل أوضح !!!
p_486e5iii2.png


بعض الاستدعاءات ...
p_486cd58x1.png


معلومات الاتصال
dnsduck10.duckdns.org
8080
181.58.21.184

البرنامج المستخدم OllyDbg
القيم المستخدمة للحصول على معلومات الاتصال
LockResource
RegCreateKeyW
CopyFileW

بالتوفيق ...
أنقر للتوسيع...

البيانات صحيحه

احسنت يا غالى

ما شاء الله عليك

يعجبنى جدا تحليل

والدوال المستخدمه تستخدم بنسه بكبيره فى قنص اغلب الدوال فى المنقحات

ايضا كان يمكنك استخدام داله CreateProcessW لتقوم بقنص داله الحقن كانت ستفيدك بشكل كبير جدا

اتمنى منك الاستمرار فى ذلك حتى يستفيد الجميع

تحياتى وتقديرى

mshaz1000 قال:
يعطيك العافيه اخي الغالي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


فكره رائعه ومفيده للاعضاء

فالعينه الاولى كانت فيها صعوبه على المبتدئين امثالي

والعينه هذي اصعب في التحليل

فياليت يكون التدرج في المستوى افضل

وارجو ان تستمر في طرح مثل هذي المواضيع الهامه

التى تساعد الاعضاء في فحص الملفات المشبوهه بأنفسهم

ودي وتقديري لك
أنقر للتوسيع...


الفكره تتمركز فى ان كل ما يصادفنى اقوم بوضعه وليس ترتيب مسبق

فكره توضيح التحليل هى حاول ان تصل الى البيانات بنفسك

بالفعل سيصعب عليك اولا ولكن مع تطبيق الشرح المرفق من قبل الاعضاء لكيفيه الوصول الى الملفات سيكون سهل ان شاء الله

وفى كل مره ستتعلم بنفسك وستكتسب معلومات جديده حتى تتكون فكره عامه عن التحليل

بالتوفيق
 
توقيع : black007
تحية متبادلة ياطيب ..
ونتمنى أن يستفيد الاخوة فهذا هو الهدف الأول والاخير ..
نــعم صحيح !!! الدالة سقطت مني سهوا ... كانت ستفيد بالتأكيد ^_^
شكرا على الاضافة ...
 
  • Like
التفاعلات: ihere
كنت اريد المشاركة ولكن هناك مشكلة بجهازي
لاني درست كشف التلغيم نظري واريد ان اطبقه عملي
لقد اعجبني منتدي زيزووم كثيرا خاصة قسم نقاشات واختبارات برامج الحماية
انا جديد في مجال الفحص هل من نصيحة ؟؟
 
توقيع : Denamit
C-Man قال:
أولا شكرا على المجهودات في الطرح والمتابعة ...
العينة ملغومة بسيرفر Xtreme Rat .. مع وجود تخطيات *_^
يتم الحقن في عملية النظام "svchost" في قائمة iexplore.exe
تحت اسم "Chrome"
p_486656tg5.png


+
p_486n0qw94.png


مع وحود تثبيتات في الريجيستري
p_4868z31y6.png


بشكل أوضح !!!
p_486e5iii2.png


بعض الاستدعاءات ...
p_486cd58x1.png


معلومات الاتصال
dnsduck10.duckdns.org
8080
181.58.21.184

البرنامج المستخدم OllyDbg
القيم المستخدمة للحصول على معلومات الاتصال
LockResource
RegCreateKeyW
CopyFileW

بالتوفيق ...
أنقر للتوسيع...
ارجو اخي ذكر البرامج المستخدمة في تحليلك للتلغيمة
 
توقيع : Denamit
Denamit قال:
ارجو اخي ذكر البرامج المستخدمة في تحليلك للتلغيمة
أنقر للتوسيع...

اهلا ومرحبا بك فى منتدى زيزووم

على امل منا ان تستفيد بما نحاول طرحه وايضا تفيد

سيكون هناك كثيره للتطبيق

البرانامج الذى استخدمه الاخ الغالى هو برنامج المنقح الشهير ollydbg مع الاستعانه ببعض الدوال التى سهلت له الامر

لكن عليك ان تقوم ببناء بيئه وهميه لان عندما تقوم باستخدام المنقحات يتم تشغيل العينه داخل المنقح فى الوقت الحقيقى

مع وضع نقاط توقف تحددها مع الدوال التى تريد الاستعانه بها

فعليك ان تنتبه جيدا لهذا الامر

لذلك اقطرح بعض الادوات فى اول الموضوع

ايضا عليك ان تحدد طريقه تحليلك هل ستستخدم الطريقه الدينامكيكه ( تقوم بتشغيل العينه فى الوقت الحقيقى وتتبع سلوك الملف )

ام ستستخدم الطريقه الاستاتيكيه ( تقوم بقرائه تعليمات الملف دون الحاجه الى تشغيل العينه فى الوقت الحقيقى )

بالتوفيق
 
توقيع : black007
سلام الله عليكم اخي العزيز
لقد حللت العينة ( حسب خبراتي الضئيلة والضعيفة )
ووجدت :
.اضافة ملف في القرص الصلب
IYfyD03.png

في المسار التالي : c:\windows\prefetch

. اضافة الملفات التالية في الرجيستري
a2ujJOh.png


ولكن قابلتني مشكلة صغيرة ان برنامج ollydbg لا يعمل حتي النسخة البورتبال
I9jgZs0.png

فأستعنت ببرنامج Hex Workshop
MYmHGNa.png

فلم افهم شي اخي العزيز :(
هذا كل ماستطعت التوصل اليه
وسؤال : هل يوجد بديل اخر لollydbg ؟
 

المرفقات

  • upload_2017-5-4_18-33-1.webp
    upload_2017-5-4_18-33-1.webp
    29.6 KB · المشاهدات: 10
توقيع : Denamit
black007 قال:
اهلا ومرحبا بك فى منتدى زيزووم

على امل منا ان تستفيد بما نحاول طرحه وايضا تفيد

سيكون هناك كثيره للتطبيق

البرانامج الذى استخدمه الاخ الغالى هو برنامج المنقح الشهير ollydbg مع الاستعانه ببعض الدوال التى سهلت له الامر

لكن عليك ان تقوم ببناء بيئه وهميه لان عندما تقوم باستخدام المنقحات يتم تشغيل العينه داخل المنقح فى الوقت الحقيقى

مع وضع نقاط توقف تحددها مع الدوال التى تريد الاستعانه بها

فعليك ان تنتبه جيدا لهذا الامر

لذلك اقطرح بعض الادوات فى اول الموضوع

ايضا عليك ان تحدد طريقه تحليلك هل ستستخدم الطريقه الدينامكيكه ( تقوم بتشغيل العينه فى الوقت الحقيقى وتتبع سلوك الملف )

ام ستستخدم الطريقه الاستاتيكيه ( تقوم بقرائه تعليمات الملف دون الحاجه الى تشغيل العينه فى الوقت الحقيقى )

بالتوفيق
أنقر للتوسيع...

اريد ان اتعلم الطريقتين اخي ( اريد ان استغني استغناء تام عن برامج الحماية )
وان اكون محترف كشف الفيروسات والتلغيم والدمج
 
توقيع : Denamit
Denamit قال:
سلام الله عليكم اخي العزيز
لقد حللت العينة ( حسب خبراتي الضئيلة والضعيفة )
ووجدت :
.اضافة ملف في القرص الصلب
IYfyD03.png

في المسار التالي : c:\windows\prefetch

. اضافة الملفات التالية في الرجيستري
a2ujJOh.png


ولكن قابلتني مشكلة صغيرة ان برنامج ollydbg لا يعمل حتي النسخة البورتبال
I9jgZs0.png

فأستعنت ببرنامج Hex Workshop
MYmHGNa.png

فلم افهم شي اخي العزيز :disappointed:
هذا كل ماستطعت التوصل اليه
وسؤال : هل يوجد بديل اخر لollydbg ؟
أنقر للتوسيع...

Denamit قال:
اريد ان اتعلم الطريقتين اخي ( اريد ان استغني استغناء تام عن برامج الحماية )
وان اكون محترف كشف الفيروسات والتلغيم والدمج
أنقر للتوسيع...

اهلا بيك مره اخرى

اولا لا داعى لاستخدام النسخه البورتابول من ollydbg لانها موجوده على الموقع الرسمى ويمكنك تحميلها من هنا بدون اى مشاكل من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ايضا قم بالاطلاع على هذا الموضوع ستجد انى قمت بعمل شرح فلاشى متحرك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


لعينه شبيهه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بخصوص الطريقتين عليك اولا ان تعرف اساسيات مهمه

ساعطيك بعض النقاط على الرغم من انى بصدد كتابه دوره شامله ولم انتهى منها بعد فى التحليل الشامل للملفات الخبيثه

ولاحظ شى مهم الدوره ليست اسمها كشف دمج وتلغيم وانما تسمى دور تحليل الملفات الخبيثه

وهو هو المصطلح الحقيقى لها

لا اعرف من اين اتى تلك العباره كشف الدمج والتلغيم

ربما هذه العباره تطلق فقط على سرفرات برامج الرات فقط ودمجها مع ملفات اخرى لذلك الكل يتجه لها

ولكن ما ساتطرق له هو تحليل الملفات الخبيثه بشتى انوعها وليس فقط تحليل برامج الرات فقط

تاكد من انك هنا ليس كالمنتديات الاخرى التى تركز اكثر تركيزها على برامج محدد بحد زاتها وانما ستتعلم

تقنيات واساليب علميه التى تستخدمها المختبرات العالميه فى التحليل وليس بضع ادوات فقط تعرف فائدتها

ولكن اولا عليك ان تعرف تركيب الملفات التنفيزيه PE بشكل موسع اكثر

عليك اولا ان تدرس لغه المستوى المنخفض الاسمبلى

تدرس كل شى بشكل علمى و ليس كما ذكرت اعلاه درس من هنا ودرس من هناك

او استخدام الاداه الفلانيه بدون ان تعرف ماهيتها اصلا وكيف تعمل

ارجو ان تكون فهمت وجه نظرى

اذا اردت التعلم بشكل صحيح فعلا

انصحك ان تقوم بقرائه الكتاب الرائع

فهو ما سيضعك على اول الطريق للتحليل

Practical Malware Analysis

او انتظرنى ان شاء الله حتى انتهى من الدوره التى اكتبها لانها طويله بعض الشى

وفيها قمت بالاستعانه بالكتاب الذى اقطرحته لك

بدل وايضا قمت بالزياده عليه من خبرتى المتواضعه فى التحليل
 
توقيع : black007
black007 قال:
اهلا بيك مره اخرى

اولا لا داعى لاستخدام النسخه البورتابول من ollydbg لانها موجوده على الموقع الرسمى ويمكنك تحميلها من هنا بدون اى مشاكل من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ايضا قم بالاطلاع على هذا الموضوع ستجد انى قمت بعمل شرح فلاشى متحرك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


لعينه شبيهه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بخصوص الطريقتين عليك اولا ان تعرف اساسيات مهمه

ساعطيك بعض النقاط على الرغم من انى بصدد كتابه دوره شامله ولم انتهى منها بعد فى التحليل الشامل للملفات الخبيثه

ولاحظ شى مهم الدوره ليست اسمها كشف دمج وتلغيم وانما تسمى دور تحليل الملفات الخبيثه

وهو هو المصطلح الحقيقى لها

لا اعرف من اين اتى تلك العباره كشف الدمج والتلغيم

ربما هذه العباره تطلق فقط على سرفرات برامج الرات فقط ودمجها مع ملفات اخرى لذلك الكل يتجه لها

ولكن ما ساتطرق له هو تحليل الملفات الخبيثه بشتى انوعها وليس فقط تحليل برامج الرات فقط

تاكد من انك هنا ليس كالمنتديات الاخرى التى تركز اكثر تركيزها على برامج محدد بحد زاتها وانما ستتعلم

تقنيات واساليب علميه التى تستخدمها المختبرات العالميه فى التحليل وليس بضع ادوات فقط تعرف فائدتها

ولكن اولا عليك ان تعرف تركيب الملفات التنفيزيه PE بشكل موسع اكثر

عليك اولا ان تدرس لغه المستوى المنخفض الاسمبلى

تدرس كل شى بشكل علمى و ليس كما ذكرت اعلاه درس من هنا ودرس من هناك

او استخدام الاداه الفلانيه بدون ان تعرف ماهيتها اصلا وكيف تعمل

ارجو ان تكون فهمت وجه نظرى

اذا اردت التعلم بشكل صحيح فعلا

انصحك ان تقوم بقرائه الكتاب الرائع

فهو ما سيضعك على اول الطريق للتحليل

Practical Malware Analysis

او انتظرنى ان شاء الله حتى انتهى من الدوره التى اكتبها لانها طويله بعض الشى

وفيها قمت بالاستعانه بالكتاب الذى اقطرحته لك

بدل وايضا قمت بالزياده عليه من خبرتى المتواضعه فى التحليل
أنقر للتوسيع...

شكرا ليك علي الرد انا عارف ان الموضوع هياخد منك وقت كبير علشان تعمله
ويارب يوفقك وتخلصه
وانا في انتظار الدورة
كتاب Practical Malware Analysis كتاب جميل ولكني لست جيدا في الانجليزي (المادة الوحيدة اللي عملتلي عقده :) )
( وانا بالفعل كنت هقدم الكتاب ده علي موقع خم**ت لواحد يترجمه بس اعتزلي عن ضيق وقته وكثرت الطلبات )
ولقد فهمت مقصدك اخي
وتابعت مقالة لك بأسم دوره Malware Dynamic Analysis
ومتشوق لنزول الدورة التي ستقدمها
شكرا ليك
 
توقيع : Denamit
الله يسعد الجميع ويوفقهم لكل خير ...
أمتعتونا و أفادتونا بطرحكم المميز ...
 
توقيع : أبو رمش
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى