نـقـاش X2 اختبار اختراق PayLoad Useing Msi Installer And Other مع Tencent PC + Arcabit Internet Security

الحالة
مغلق و غير مفتوح للمزيد من الردود.
black007

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,183
النقاط
2,970
الإقامة
Egypt
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

اتمنى ان يكون الجميع فى تمام الصحه والعافيه

عدنا معكم من جديد

وبناء على رغبه الاعضاء فى الاختبار على برامج محدد ( ساستمر النشر تباعا ان شاء الله )

هذه المره اختبرت برنامجين دفعه واحد لتلبيه طلبات الاعضاء بشكل اسرع

للاعضاء الكرام دائما انتظر ان ترى مقطرحك فى الفديو القادم

ابقى على الموعد ;222);222);222);222)

فديو بسيط يختبر تشغيل ملف PayLoad اختراق

[hide]



[/hide]


يفضل المشاهده بجوده عاليه

الفديو اهداء لصديقنا العزيز @التميمي14

البرنامج متدنى فى الحمايه الاستباقيه + لا يحتوى على جدار نارى

ليس لانه يعتمد على السحاب يغطى نقص الجدار

+ بطء فى اكتشاف الملفات لان اذا قمت بعمل فحص للنظام سيعطى تنبيه

فى الغالب الحمايه فى الوقت الحقيقى لا تعمل بشكل جيد

السبب واضح فى الفديو

--------------------------------------

[hide]


[/hide]

يفضل المشاهده بجوده عاليه

الفديو اهداء لصديقنا العزيز @Dz_zYz0

البرنامج ياتى بشكل افتراضى بلغه البولنديه حتى بعد تغيير اللغه اثناء تثبيت البرنامج

فانه يظل يعمل باللغه البولنديه حتى يتم تغييرها من اعدادات البرنامج

بشكل عام البرنامج جيد الى حد ما لكن مشكله الجدار لديه غير موجود تقريبا وفى الغالب يعتمد على جدار الويندوز

حاله كحال اغلب برامج الحمايه الاخرى التى تعتمد بشكل اساسى على جدار الويندوز

---------------

ملاحظه ( تم ارسال الملف للشركه للتحليل لعلها تمنع هذا النوع من التهديدات )

كانت هذه تجربه قاسيه نوع ما لتلك البرامج

ملاحظه مهمه حابب اوضحها ( الملفات المجربه على البرامج هى ملفات حقيقيه يمكنها ان تصيب اى مستخدم )

لذلك الامر ليس صعب على برامج الحمايه ان تبزل ما فى وسعها اكثر من ذلك لان بهذا المستوى لا نسميها شركات حمايه

شركات الحمايه تركز على امور وتهمل امور اخرى

من خلال ملاحظتى على البرنامجين فكل منهم لا يصلح ان يكون برنامج حمايه اساسى على الجهاز

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى & Black007
 

توقيع : black007
بارك الله فيك أخي الغالي مصطفي
مجهود اكثر من رائع
نريد العودة الي تجاربك وتشفيرات الرائعة مآآرايك222:)
 
توقيع : ahmed@salah
جميل جد مجهود اكثر من رائع
اخي مصطفى
 
توقيع : buust
مجود مميز اخى مصطفى بارك الله فيك

:rose::star::rose:
 
توقيع : ABU_SomaiaABU_Somaia is verified member.
مجهود رائع جدا والله لا اقولها مجامله لك اخي مصطفى انت مبدع ونحن با ابداعك نستمتع

تلبيتك لطلبنا شرف لنا والحقيقه ذهلت من ضعف التيسنت وتجربتي له ليست مقياس لانه على عينات فحص فقط وايضا روابط ويب كحماية
لكن بتجربتك اعلاه اقتنعت بضعفه ولا يفتى ومالك بالمدينه

انا استخدمته للتجربه ايام فقط وتم حذفه

دمت بخير وبنتظار سلسلة التجارب الكاشفه القاهره لبرامج الحماية
 
توقيع : التميمي14
توقيع : MagicianMiDo32
2 بارك الله فيك.png
 
توقيع : m-m-s-s
جميل جداً مجهود اكثر من رائع

اخي الكريم واتمنى منك كذلك ان تضع برنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
في قائمتك حتى تبين لنا قوته لانه من برامج الحماية التي تنصح بها مايكروسوفت وبعض المواقع
 
توقيع : عاشق النود
واصل يا مبدع لا اعلم هل تم التجريب من قبل على جدار الكومودو المنفصل وعلى كاسبر انترنت سيكيورتي ان لم يتم التجريب عليهما فارجو ان يكونا البرنامجان التاليان على لائحتك
 
توقيع : hitman samir12
رائع ومبدع اخى مصطفى

اتمنى لو قمت باختبار برنامج Trendmicro internet security 2018
 
متميز دايئما و مبدع
في انتظار بشغف لمعرفة الضحية التالية من برامج الجماية
:sunglasses::rose:
 
توقيع : الضاكتور
@black007 هو يا اخ مصطفى لو تم التغيير على الاعدادت الي الماكس هل معظم البرامج تكتشف ملفك البايلود ؟

و بالنسبة للاركابيت هل بسبب جداره تم الاختراق ام ماذا ؟
 
توقيع : Dz_zYz0
اعتقد يا اخي المبدع مصطفى ان تيسنت هو المتسبب بعد حذفه ظهرت رساله من الويندوز10 تطالب ب ....


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : التميمي14
ahmed@salah قال:
بارك الله فيك أخي الغالي مصطفي
مجهود اكثر من رائع
نريد العودة الي تجاربك وتشفيرات الرائعة مآآرايك222:)
أنقر للتوسيع...

شكرا لك صديقى العزيز احمد

للاسف لا يمكن ذلك لعده اسباب واكثرها

اصبحت للاسف غير دائما التواجد لل متابعه طوال الليوم بعد نشر التشفيره ( سابقا كانى عندى وقت فراغ ) لمتابعه التشفيره

حتى نهايه اليوم تقريبا من وقت نشر التشفيره

لكن حاليا فقط من 3 الى 4 ساعات على الاكثر اكون متواجد داخل المنتدى وذلك بسبب ظروف اخرى

سواء كانت العمل او دراسات حره لزياده لزياده المهاره الشخصيه

فكره الفديوهات الاختبار هى فكره جيده نوع ما بل وايضا تركز على اغلب البرامج الاخرى المغموره التى لا نراها فى المنتدى تقريبا ويستخدمها شريحه شبه غير موجوده من المستخدمين

لذلك احببت تسليت الضوء عليها لمعرفه هل تستحق الاقتناء ام لا

التميمي14 قال:
مجهود رائع جدا والله لا اقولها مجامله لك اخي مصطفى انت مبدع ونحن با ابداعك نستمتع

تلبيتك لطلبنا شرف لنا والحقيقه ذهلت من ضعف التيسنت وتجربتي له ليست مقياس لانه على عينات فحص فقط وايضا روابط ويب كحماية
لكن بتجربتك اعلاه اقتنعت بضعفه ولا يفتى ومالك بالمدينه

انا استخدمته للتجربه ايام فقط وتم حذفه

دمت بخير وبنتظار سلسلة التجارب الكاشفه القاهره لبرامج الحماية
أنقر للتوسيع...

التميمي14 قال:
اعتقد يا اخي المبدع مصطفى ان تيسنت هو المتسبب بعد حذفه ظهرت رساله من الويندوز10 تطالب ب ....


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...

تحياتى وتقديرى لك صديقى العزيز محمد

للاسف البرنامج اصفه بانه بدائى جدا جدا واعتماده بشكل كامل على السحاب لا يبرر له ان يكون برنامج حمايه

ارشحه فقط فى حاله الفحص عند الطلب ستكون كافيه

بخصوص المشكله معك البرنامج يعانى من ثبات ما لان حدث معى بعد تثبيتى له ظل عالق فى محرك البت دفندر بعد تحدثه الى تاريخ قديمه

وكلما حاولت تحديثه لا يقبل

فاضطررت الى حزفه وتثبيته من جديد لكى يعمل بشكل جيد

MagicianMiDo32 قال:
ماشاء الله
تم الدعس
حاسس انك قاصدني انا
بانتظارك :222D
أنقر للتوسيع...

:222D:222D:222D:222D:222p:222p:222p:222p:222p

شكلك فاهم يانصه


عاشق النود قال:
جميل جداً مجهود اكثر من رائع

اخي الكريم واتمنى منك كذلك ان تضع برنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
في قائمتك حتى تبين لنا قوته لانه من برامج الحماية التي تنصح بها مايكروسوفت وبعض المواقع
أنقر للتوسيع...

تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @buust لذلك جارى تحضيره لا ياخذ حقه من الاختبار ;222);222);222)

hitman samir12 قال:
واصل يا مبدع لا اعلم هل تم التجريب من قبل على جدار الكومودو المنفصل وعلى كاسبر انترنت سيكيورتي ان لم يتم التجريب عليهما فارجو ان يكونا البرنامجان التاليان على لائحتك
أنقر للتوسيع...

ياااااااااه صديقى العزيز سمير اين اختفيت يارجل

اشتقنا لك كثير

بخصوص الكمودو فسبق وتم الاختبار عليه وكان من اصعب البرامج التى واجهتها

للعلم نسخه الكمودو انترنت سيكيورتى لا تختلف عن نسخه الجدار النارى المنفصل فقط النسخه الكامل مضاف لها محرك الكمودو انما نفس الوحدات البرنامج كامل

بخصوص الكاسبر ( 222:)222:)222:) للمره الثالثه التى يطالبنى بيها مشجعين الكاسبر بالاختبار عليه )

حتى مشجعين eset ايضا يترقبون دوره هو الاخر لكن لا اريد ان احبط احد فمنذ بدايه هذه السلسله قمت باستثنائهم من الاختبار لانى ذكرت ذلك سابقا

اريد التركيز على البرامج الاخرى المغموره التى لا يستخدمها احد لنعرف هل هى مهجوره من قبل العملاء ام انها برامج لا تستحق الاقتناء

لكن بما ان الشعب يريد :222LOL::222LOL::222LOL: التجربه على كل من الكاسبر و ESET حسننا سافكر فى الامر ولكن سيكونوا فى اخر القائمه

ahmedibrahim قال:
رائع ومبدع اخى مصطفى

اتمنى لو قمت باختبار برنامج Trendmicro internet security 2018
أنقر للتوسيع...

تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @عاشق النود لذلك جارى تحضيره لا ياخذ حقه من الاختبار ;222);222);222)

Dz_zYz0 قال:
@black007 هو يا اخ مصطفى لو تم التغيير على الاعدادت الي الماكس هل معظم البرامج تكتشف ملفك البايلود ؟

و بالنسبة للاركابيت هل بسبب جداره تم الاختراق ام ماذا ؟
أنقر للتوسيع...

ليست كلها

الفكره تكمن فى ان ملفات payload تختلف بشكل تام عن برامج الرات العاديه فى طريقه واسلوب وكتابه الكود

الاختلافات تكون

1- اللغه البرمجيه مختلفه
2- طريقه التشفير مختلفه
3- استخدام حقن متقن جدا ولا يمكن كشفه عكس برامج الرات العاديه
4- طريقه الاتصال وهنا اقصد السوكت المكتوب بيه payload عن الرات مختلف كليا

فحتى مع اعدادات الماكس فى برامج الحمايه لن يتم كشف هذا النوع من الاختراق لانه فى الاصل اختراق متقدم عكس برامج الرات العاديه

التى فى الاصل لديها مفتاح اتصال لعمل connect بين الكلاينت و السرفر

واكبر دليل على ذلك عندما اختبرت خاصيه Hardened Mode فى الافاست التى مهما حاولت ان اتجاوزها بالرات العادى لن استطيع

لان برمجه payload تسمح لى بالحقن فى عمليات موثوقه بل واستغلاها بدون كشف

(222y)(222y)(222y)(222y)
 
توقيع : black007
black007 قال:
شكرا لك صديقى العزيز احمد

للاسف لا يمكن ذلك لعده اسباب واكثرها

اصبحت للاسف غير دائما التواجد لل متابعه طوال الليوم بعد نشر التشفيره ( سابقا كانى عندى وقت فراغ ) لمتابعه التشفيره

حتى نهايه اليوم تقريبا من وقت نشر التشفيره

لكن حاليا فقط من 3 الى 4 ساعات على الاكثر اكون متواجد داخل المنتدى وذلك بسبب ظروف اخرى

سواء كانت العمل او دراسات حره لزياده لزياده المهاره الشخصيه

فكره الفديوهات الاختبار هى فكره جيده نوع ما بل وايضا تركز على اغلب البرامج الاخرى المغموره التى لا نراها فى المنتدى تقريبا ويستخدمها شريحه شبه غير موجوده من المستخدمين

لذلك احببت تسليت الضوء عليها لمعرفه هل تستحق الاقتناء ام لا





تحياتى وتقديرى لك صديقى العزيز محمد

للاسف البرنامج اصفه بانه بدائى جدا جدا واعتماده بشكل كامل على السحاب لا يبرر له ان يكون برنامج حمايه

ارشحه فقط فى حاله الفحص عند الطلب ستكون كافيه

بخصوص المشكله معك البرنامج يعانى من ثبات ما لان حدث معى بعد تثبيتى له ظل عالق فى محرك البت دفندر بعد تحدثه الى تاريخ قديمه

وكلما حاولت تحديثه لا يقبل

فاضطررت الى حزفه وتثبيته من جديد لكى يعمل بشكل جيد



:222D:222D:222D:222D:222p:222p:222p:222p:222p

شكلك فاهم يانصه




تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @buust لذلك جارى تحضيره لا ياخذ حقه من الاختبار ;222);222);222)



ياااااااااه صديقى العزيز سمير اين اختفيت يارجل

اشتقنا لك كثير

بخصوص الكمودو فسبق وتم الاختبار عليه وكان من اصعب البرامج التى واجهتها

للعلم نسخه الكمودو انترنت سيكيورتى لا تختلف عن نسخه الجدار النارى المنفصل فقط النسخه الكامل مضاف لها محرك الكمودو انما نفس الوحدات البرنامج كامل

بخصوص الكاسبر ( 222:)222:)222:) للمره الثالثه التى يطالبنى بيها مشجعين الكاسبر بالاختبار عليه )

حتى مشجعين eset ايضا يترقبون دوره هو الاخر لكن لا اريد ان احبط احد فمنذ بدايه هذه السلسله قمت باستثنائهم من الاختبار لانى ذكرت ذلك سابقا

اريد التركيز على البرامج الاخرى المغموره التى لا يستخدمها احد لنعرف هل هى مهجوره من قبل العملاء ام انها برامج لا تستحق الاقتناء

لكن بما ان الشعب يريد :222LOL::222LOL::222LOL: التجربه على كل من الكاسبر و ESET حسننا سافكر فى الامر ولكن سيكونوا فى اخر القائمه



تم اضافته للقائمه من قبل وقد اقطرحه صديقنا @عاشق النود لذلك جارى تحضيره لا ياخذ حقه من الاختبار ;222);222);222)



ليست كلها

الفكره تكمن فى ان ملفات payload تختلف بشكل تام عن برامج الرات العاديه فى طريقه واسلوب وكتابه الكود

الاختلافات تكون

1- اللغه البرمجيه مختلفه
2- طريقه التشفير مختلفه
3- استخدام حقن متقن جدا ولا يمكن كشفه عكس برامج الرات العاديه
4- طريقه الاتصال وهنا اقصد السوكت المكتوب بيه payload عن الرات مختلف كليا

فحتى مع اعدادات الماكس فى برامج الحمايه لن يتم كشف هذا النوع من الاختراق لانه فى الاصل اختراق متقدم عكس برامج الرات العاديه

التى فى الاصل لديها مفتاح اتصال لعمل connect بين الكلاينت و السرفر

واكبر دليل على ذلك عندما اختبرت خاصيه Hardened Mode فى الافاست التى مهما حاولت ان اتجاوزها بالرات العادى لن استطيع

لان برمجه payload تسمح لى بالحقن فى عمليات موثوقه بل واستغلاها بدون كشف

(222y)(222y)(222y)(222y)
أنقر للتوسيع...

ماشاء الله اخي دوما شرحك شرح اساتذة
ههههههه حاسس انك تقول لي ما تفعله الان هو مجرد فاتح للشهية
 
توقيع : Dz_zYz0
black007 قال:
ليست كلها

الفكره تكمن فى ان ملفات payload تختلف بشكل تام عن برامج الرات العاديه فى طريقه واسلوب وكتابه الكود

الاختلافات تكون

1- اللغه البرمجيه مختلفه
2- طريقه التشفير مختلفه
3- استخدام حقن متقن جدا ولا يمكن كشفه عكس برامج الرات العاديه
4- طريقه الاتصال وهنا اقصد السوكت المكتوب بيه payload عن الرات مختلف كليا

فحتى مع اعدادات الماكس فى برامج الحمايه لن يتم كشف هذا النوع من الاختراق لانه فى الاصل اختراق متقدم عكس برامج الرات العاديه

التى فى الاصل لديها مفتاح اتصال لعمل connect بين الكلاينت و السرفر

واكبر دليل على ذلك عندما اختبرت خاصيه Hardened Mode فى الافاست التى مهما حاولت ان اتجاوزها بالرات العادى لن استطيع

لان برمجه payload تسمح لى بالحقن فى عمليات موثوقه بل واستغلاها بدون كشف
أنقر للتوسيع...

فعلا أنا لاحظت ان محللات السلوك اصبحت تكشف برامج الرات عند الأتصال حتى لو غيرت مفتاح السوكت
والحل الوحيد لتخطيها هو تشفير السوكت نفسه ودوال الأتصال يعني مثلا تستخدم late binding , و late call وخدع التشفير بتاعتنا دي جوا السوكت نفسه
على ما يبدو ان محللات السلوك اصبحت تكشف سوكت الرات في الذاكرة

اما الميتربريتر فهو مختلف تماما
الملف الأصلي لايحتوي على سوكت مثل المصطلح عليه عندنا
بل مجرد داونلودر او stager فيه 3 دوال فقط
tcp connect , getbyte لجلب الـ stage من الميتاسبلويت في جهاز الهكر
virtual alloc , copy memory ,create thread لتشغيل الشل كود في الذاكرة, وبرامج الحماية تتغاضى عنها

والشل كود هنا يكون مكتبة الميتربريتر mtserv وبرامج الحماية يستحيل أن تكتشفها برماج الحماية لأنها في ذاكرة برنامج آخر مستحيل الوصول اليها (دون عمل dump للذاكرة في ذلك المكان)
الخلاصة ان الفرق بين الرات العادي والميتربريتر هو ان الرات العادي يكون السوكت الخاص به مكشوف تماما وموجود في الذاكرة ويستطيع المكافح قراءته عند تشغيل الرات
اما الميتربريتر فيتم تحميله في ذاكرة برنامج آخر شاملا السوكت
وكل ما يفعله برنامج الحماية هو فحص ذاكرة الملف الأصلي (الداونلودر او الستيجر ) عند تشغيله ويعطي انه سليم
فيقوم الستيجر هذا بتحرير مساحة من ذاكرته ووضع الميتربريتر بها ثم تشغيله, وطبعا برنامج الحماية ياكل عسل وطحينة

يعني مثل الذي نعمله نحن في الران بي (تقريبا هو هو ) ولكن يتم اكتشاف الحقن لدينا لأنه يكشف دوال الحقن التي تستخدمها يعني الران بي الأنها ظاهرة في الذاكرة وليس الرات نفسه
اما الميتربريتر فـ يمكنك كتابة stager كلين بكل سهولة
طبعا ماعدا النود فهو به خاصية لفحص الذاكرة بشكل عميق يعني بإمكانه حتى اكتشاف الرات بعد حقنه في الذاكرة
ولا اعرف ان كان بامكانه فعل ذلك مع مكتبة الميتربريتر ام لا لم اجرب بصراحة
لكن سوف اجربه ان شاء الله واعرف ذلك
والتجربة التي سأقوم بها هي انني سأصنع ستيجر كلين عن المحرك بالباورشيل مثلا
ثم اشغله بطريقتين مختلفتين
الأولى دون ان اكون فاتح هاندلر الميتاسبلويت لأرى ماذا سيفعل النود واتوقع الا يفعل شيئ
الثانية سأفتح الهاندلر واشغل الملف فيتم تمرير مكتبة الميتربريتر للذاكرة وحقنها في ذاكرة الستيجر
هنا اتوقع ان النود سوف يقوم باكتشاف بايتات المكتبة وايقافها

انا بصراحة في حاجة لتجربة عميقة مع النود لانه مش معقول انه يفحص ذاكرة جميع البرامج في الرام , لأنه هكذا سيقتل الجهاز قتل
فجميع برامج الحماية بلا استثناء تفحص الملف الموجود على الجهاز يعني الـ image الي هو بيسموه on Access scanner
فهو يفحص الـ images الموجودة على الهارد ديسك للعمليات الموجودة في الذاكرة وليس ذاكرة العمليات نفسها
,وتعتمد برامج الحماية على محللات السلوك ومراقبة الدوال التي يستدعيها الملف كي تحدد هل هو خبيث ام لا في حال فشل المحرك
لاكن النود وبشكل عجيب جدا كسر القاعدة الحاسوبية المشهورة وهي انك لاتستطيع الوصول الى ذاكرة برنامج مغلقة (طبعا هناك بعض الاستثناءات مثلا عمل dump للذاكرة)
ولكن من رابع المستحيلات ان النود يكون بيمشي على الذاكرة بتاعة كل عملية واحدة واحدة ويفحصها او يعملها دمب او attach معاها زي الشغل بتاعنا بتاع الهندسة العكسية و mimkatz ,والكلام دا ...
فأنا اتوقع انه يكون عامل حركة اسهل وأخبث من كدا
هي انه يكون عامل هوك على دالة CopyMemory ,ودي الي بتشيل بايتات الملف الخبيث لحقنها في الذاكرة
فعملية الحقن تتم على 3مراحل
الأولى عمل فراغ process hollowing في عملية الملف الضحية باستخدام virtual alloc
الثانية نسخ البايتات الخبيثة الى هذا الفراغ باستخدام CopyMemory
الثالثة وهي تشغيل thread هذا الملف الخبيث سواء مكان الثريد الأصلي أو في ثريد منفصل (مثل أداة shelter ) باستخدام create thread

طبعا انا كاتبها بشكل مبسط جدا لكن لغرض وصول المفهوم للاعضاء فقط

فلما النود يعمل هوك على الدالة الي بتشيل البايتات الخبيثة ويراقب باراميتراتها هيكون كدا ضرب عصفورين بحجر
الاول انه مش ملزم انه يفحص ذاكرة كل العمليات الموجودة في الجهاز
والتاني انه كدا بقى مسكك في مقتل لأنك مستحيل تحقن عملية بدون ما تستخدم الدالة دي

على فكرة في الدوت نت مش لازم تستدعي copy memory من الـ API زي ما كل سورسات الران بي الموجودة بتعمل
فيه دالة marshal.copy تقدر تنقل الذاكرة بيها , والـ unsafe mode في السي شارب ممكن يخليك تعمل شوية حركات كدا
بس اكيد الدالة دي اصلها copy memory ومعمولها wrap جوا اطار عمل دوت نت زي كل الدوال
فكدا كدا هنستدعي الدالة دي وكدا كدا الهوك موجود

لكن من يدري يمكن لو استخدمناها نتخطى النود , وانا شفت شباب عملو الحركة دي وكتبو ران بي كلين بس ولا واحد فيهم عرف ايه السبب او ايه الي حصل معاه بالظبت
يعني هي جات معاهم صدفة كدا وخلاص

طبعا يظل الحل المنطقي الوحيد والي عليه دليل هي طريقتك في تشفير البايتات الي هتتحقن اصلا
فحتى لو كان عامل هوك وخد البايتات فهي مش موجودة في المحرك عنده اصلا
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
فعلا أنا لاحظت ان محللات السلوك اصبحت تكشف برامج الرات عند الأتصال حتى لو غيرت مفتاح السوكت
والحل الوحيد لتخطيها هو تشفير السوكت نفسه ودوال الأتصال يعني مثلا تستخدم late binding , و late call وخدع التشفير بتاعتنا دي جوا السوكت نفسه
على ما يبدو ان محللات السلوك اصبحت تكشف سوكت الرات في الذاكرة

اما الميتربريتر فهو مختلف تماما
الملف الأصلي لايحتوي على سوكت مثل المصطلح عليه عندنا
بل مجرد داونلودر او stager فيه 3 دوال فقط
tcp connect , getbyte لجلب الـ stage من الميتاسبلويت في جهاز الهكر
virtual alloc , copy memory ,create thread لتشغيل الشل كود في الذاكرة, وبرامج الحماية تتغاضى عنها

والشل كود هنا يكون مكتبة الميتربريتر mtserv وبرامج الحماية يستحيل أن تكتشفها برماج الحماية لأنها في ذاكرة برنامج آخر مستحيل الوصول اليها (دون عمل dump للذاكرة في ذلك المكان)
الخلاصة ان الفرق بين الرات العادي والميتربريتر هو ان الرات العادي يكون السوكت الخاص به مكشوف تماما وموجود في الذاكرة ويستطيع المكافح قراءته عند تشغيل الرات
اما الميتربريتر فيتم تحميله في ذاكرة برنامج آخر شاملا السوكت
وكل ما يفعله برنامج الحماية هو فحص ذاكرة الملف الأصلي (الداونلودر او الستيجر ) عند تشغيله ويعطي انه سليم
فيقوم الستيجر هذا بتحرير مساحة من ذاكرته ووضع الميتربريتر بها ثم تشغيله, وطبعا برنامج الحماية ياكل عسل وطحينة

يعني مثل الذي نعمله نحن في الران بي (تقريبا هو هو ) ولكن يتم اكتشاف الحقن لدينا لأنه يكشف دوال الحقن التي تستخدمها يعني الران بي الأنها ظاهرة في الذاكرة وليس الرات نفسه
اما الميتربريتر فـ يمكنك كتابة stager كلين بكل سهولة
طبعا ماعدا النود فهو به خاصية لفحص الذاكرة بشكل عميق يعني بإمكانه حتى اكتشاف الرات بعد حقنه في الذاكرة
ولا اعرف ان كان بامكانه فعل ذلك مع مكتبة الميتربريتر ام لا لم اجرب بصراحة
لكن سوف اجربه ان شاء الله واعرف ذلك
والتجربة التي سأقوم بها هي انني سأصنع ستيجر كلين عن المحرك بالباورشيل مثلا
ثم اشغله بطريقتين مختلفتين
الأولى دون ان اكون فاتح هاندلر الميتاسبلويت لأرى ماذا سيفعل النود واتوقع الا يفعل شيئ
الثانية سأفتح الهاندلر واشغل الملف فيتم تمرير مكتبة الميتربريتر للذاكرة وحقنها في ذاكرة الستيجر
هنا اتوقع ان النود سوف يقوم باكتشاف بايتات المكتبة وايقافها

انا بصراحة في حاجة لتجربة عميقة مع النود لانه مش معقول انه يفحص ذاكرة جميع البرامج في الرام , لأنه هكذا سيقتل الجهاز قتل
فجميع برامج الحماية بلا استثناء تفحص الملف الموجود على الجهاز يعني الـ image الي هو بيسموه on Access scanner
فهو يفحص الـ images الموجودة على الهارد ديسك للعمليات الموجودة في الذاكرة وليس ذاكرة العمليات نفسها
,وتعتمد برامج الحماية على محللات السلوك ومراقبة الدوال التي يستدعيها الملف كي تحدد هل هو خبيث ام لا في حال فشل المحرك
لاكن النود وبشكل عجيب جدا كسر القاعدة الحاسوبية المشهورة وهي انك لاتستطيع الوصول الى ذاكرة برنامج مغلقة (طبعا هناك بعض الاستثناءات مثلا عمل dump للذاكرة)
ولكن من رابع المستحيلات ان النود يكون بيمشي على الذاكرة بتاعة كل عملية واحدة واحدة ويفحصها او يعملها دمب او attach معاها زي الشغل بتاعنا بتاع الهندسة العكسية و mimkatz ,والكلام دا ...
فأنا اتوقع انه يكون عامل حركة اسهل وأخبث من كدا
هي انه يكون عامل هوك على دالة CopyMemory ,ودي الي بتشيل بايتات الملف الخبيث لحقنها في الذاكرة
فعملية الحقن تتم على 3مراحل
الأولى عمل فراغ process hollowing في عملية الملف الضحية باستخدام virtual alloc
الثانية نسخ البايتات الخبيثة الى هذا الفراغ باستخدام CopyMemory
الثالثة وهي تشغيل thread هذا الملف الخبيث سواء مكان الثريد الأصلي أو في ثريد منفصل (مثل أداة shelter ) باستخدام create thread

طبعا انا كاتبها بشكل مبسط جدا لكن لغرض وصول المفهوم للاعضاء فقط

فلما النود يعمل هوك على الدالة الي بتشيل البايتات الخبيثة ويراقب باراميتراتها هيكون كدا ضرب عصفورين بحجر
الاول انه مش ملزم انه يفحص ذاكرة كل العمليات الموجودة في الجهاز
والتاني انه كدا بقى مسكك في مقتل لأنك مستحيل تحقن عملية بدون ما تستخدم الدالة دي

على فكرة في الدوت نت مش لازم تستدعي copy memory من الـ API زي ما كل سورسات الران بي الموجودة بتعمل
فيه دالة marshal.copy تقدر تنقل الذاكرة بيها , والـ unsafe mode في السي شارب ممكن يخليك تعمل شوية حركات كدا
بس اكيد الدالة دي اصلها copy memory ومعمولها wrap جوا اطار عمل دوت نت زي كل الدوال
فكدا كدا هنستدعي الدالة دي وكدا كدا الهوك موجود

لكن من يدري يمكن لو استخدمناها نتخطى النود , وانا شفت شباب عملو الحركة دي وكتبو ران بي كلين بس ولا واحد فيهم عرف ايه السبب او ايه الي حصل معاه بالظبت
يعني هي جات معاهم صدفة كدا وخلاص

طبعا يظل الحل المنطقي الوحيد والي عليه دليل هي طريقتك في تشفير البايتات الي هتتحقن اصلا
فحتى لو كان عامل هوك وخد البايتات فهي مش موجودة في المحرك عنده اصلا
أنقر للتوسيع...

تحليلك صح ياكبير

الميتربرتر عباره عن فتح قناه اتصال بدون سوكت اتصال

لاحظ هذه الصوره التقطها من عندى

p_911mb9451.png


عندما تحاول ان تقوم بتشغيل ملف ما ويعترض عليه المكافح سواء باى وحده من وحدات برنامج الحمايه لاحظ هنا ما يحاول ان يبعته سشن الميتربرتر

ولا اعرف ان كان بامكانه فعل ذلك مع مكتبة الميتربريتر ام لا لم اجرب بصراحة

بيكشفها وعن تجربه حتى لو مشفر الملف كويس ( طريقه التشفير هى العامل فى النقطه دى )

ودى رساله منه لمه تشغل ملف bat ومن خلاله الى powershell

p_911cb6gk2.png


الكلام ده والملف مشفر base64

النود واضح انه بيعمل هوك فعلا على CopyMemory

تحليل منطقى جدا

النود من اذكى البرامج فى فحص الممورى ( الواد الى شغال هناك عبقرى فعلا انه قدر يكتب داله زى دى بانها توقف كل واى نوع ملف خبيث يحاول يحقن نفسه فى الزاكره )

;222);222);222);222)
 
توقيع : black007
احم

اخ مصطفى @black007 ماذا لو جربت الباي لود :smilingimp: على

malwarebytes anitmalware

لان به طيقة الant-exploit

و نشوف هل هي كما يقولون ام انه لا يخرج من دائرة second opinion scanner
 
توقيع : Dz_zYz0
black007 قال:
النود من اذكى البرامج فى فحص الممورى ( الواد الى شغال هناك عبقرى فعلا انه قدر يكتب داله زى دى بانها توقف كل واى نوع ملف خبيث يحاول يحقن نفسه فى الزاكره )

;222);222);222);222)
أنقر للتوسيع...


اعتقد ان مشكلة المالوير المرتبط و الذي يستعمل script تحقن عن طريق powershell
مازالت مشكلة قائمة و برامج الحماية بالتعاون مع ميكروسوفت تحاول ايقافها بما تسميه AMSI
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

باقي البرامج المختبرة هنا مازلت لم ار فيها هذه الميزة
و هذا ما استطاع النود و كاسبرسكي استعمالها جيدا (سانشر صور لاحقا)
ايضا كما ذكرتم النود ذكي جدا في مسح الذاكرة
اضف الى ذلك كاسبرسكي فانه يستعمل تكنولوجي جديدة نسبيا لميكروسوفت تسمى بعزل القلب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و هي بالاساس معمولة ل windows Defender
لن عندما تنشط ال virtualization من اعددادات البيوس يقوم كاسبرسكي بادارتها في الويندوز ،و هو يقوم
بعزل قلب النظام و العمليات الحساسة و التي يمكن استغلالها لحق ال payload و لذلك اعتقد مع استخدام الاثنين مع بعض
سيكون هناك بعض التحدي (نسخة كاسبرسكي 2019 - ويندوز 10 تحديث ابريل)
لكني متاكد ايضا انه لن يستعصي عليك :sunglasses:
و بالتالي فانا اتمنى ان تقوم بالتجربة على windows defender على ويندوز 10 اخر تحديث
ودمتم بخير :rose:
 
توقيع : الضاكتور
التعديل الأخير:
توقيع : التميمي14
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى