نـقـاش امر غريب وخطير فعلة VMware اثناء التحديث

prooonet · 14 نوفمبر 2019

السلام عليكم ورحنة الله وبركاتة

الموضوع

بخصوص VMware للانظمة الوهمية , امس طلب مني التحديث واحببت اخذ نسخة من ملف التصيب
اثناء التحديث وكنت اراقب ملف التمب بالصدفة وشي غريب لم اتوقعها من هذا البرنامج نهائيا وهو
انه يقوم بنقل الملفات الموجودة في الانظمة الوهمية في ملف التمب اثناء التحديث وكنت واضع ملفات
في احدى الانظمة من نوع vbs ومعروف انه هذه الملفات في منها ديدان تعمل تلقائيا من ضغط دبل
كلك فالموضوع خطير جدا خصوصا لمن يجرب عينات يجب الحذر تعتبر ثغرة خطيرة بالبرنامج
لم اجرب برنامج Virtualbox هل يقوم بنفس المشكلة فيحتاج منكم التجارب او ساحاول التجربة
لاحقا لاني لا ارغب بالبرنامج افضل VMware عليه لكن اذا الموضوع خاص بالامان راح اجبر
نفسي على استخدامة

MesterPerfect · 14 نوفمبر 2019

وعليكم السَلام ورحمة الله وبركاته
بصراحة لم أجرب الترقية بهذه الطريقة
فبسبب تحديد الجيجات عندينا في مصر يفضل تحميل التحديث أو أحدث إصدار من البرنامج وتثبيته بشكل عادي
هل جربت أخي تكتب للموقع الرسمي الخاص بهم لتسألهم عن السبب
وما هو إصدار الvm الذي كنت تحاول ترقيته
وبإنتظار باقي الأخوة للفائدة
تحياتي لك

prooonet · 14 نوفمبر 2019

اهلا اخي للاسف لم اجرب التخاطب معهم لكن اشوف الافضل لترقية
هو مسح البرنامج القديم وتثبيت جديد لانة في الترقية الامر خطير

kimo7 · 14 نوفمبر 2019

السلام عليكم
- اصلا ملفات نظام الوهمي موجودة في الويندوز الاصلي
لكن معزولة تمام ( بيئة افتراضية ) و موجودة في الملف vmdk .
اما ملفات ذات الامتداد vbs هو امتداد يستخدم ليمثل مخطوط أساسي افتراضي
و يمكن يحتوي اكواد خبيثة ترفق مع البريد الالكتروني .

MesterPerfect · 14 نوفمبر 2019

prooonet قال:
اهلا اخي للاسف لم اجرب التخاطب معهم لكن اشوف الافضل لترقية
هو مسح البرنامج القديم وتثبيت جديد لانة في الترقية الامر خطير

حتى لو لم تقم بحذفه أخي
أعتقد إذا حاولت تثبيت إصدار فوق إصدار فسيقوم بالترقية
والله أعلم

MesterPerfect · 14 نوفمبر 2019

kimo7 قال:
السلام عليكم
- اصلا ملفات نظام الوهمي موجودة في الويندوز الاصلي
لكن معزولة تمام ( بيئة افتراضية ) و موجودة في الملف vmdk .
اما ملفات ذات الامتداد vbs هو امتداد يستخدم ليمثل مخطوط أساسي افتراضي
و يمكن يحتوي اكواد خبيثة ترفق مع البريد الالكتروني .

وعليكم السَلام ورحمة الله وبركاته
ما يقصده الأخ @prooonet هو أن الvm أثناء الترقية ينقل الملفات الموجودة داخل البيئة المعزولة إلى الtemp
ومن هذه الملفات ديدان وملفات vbs خاصة بالأخ نفسه وهو يقوم بتجربتها على النظام الوهمي
والخطورة تكمن في تشغيل أحد تلك الملفات بالخطأ أثناء التجربة
تحياتي لك أخي

prooonet · 14 نوفمبر 2019

kimo7 قال:
السلام عليكم
- اصلا ملفات نظام الوهمي موجودة في الويندوز الاصلي
لكن معزولة تمام ( بيئة افتراضية ) و موجودة في الملف vmdk .
اما ملفات ذات الامتداد vbs هو امتداد يستخدم ليمثل مخطوط أساسي افتراضي
و يمكن يحتوي اكواد خبيثة ترفق مع البريد الالكتروني .

وعليكم السلام
نعم اخي لكن اقصد اثناء التحديث ينقل الملفات الموجودة داخل الوهمي الى ملف temp
بصيغها الاصلية بطريقة غير مشفرة واذا كان منها ملف vbs دودة سينقلها لنظام الحقيقي
اثناء الترقية وراح تعمل من نفسها لكن انا اثناء الترقية لم اطفأ الانظمة مخليها على وضع
suspend هل البرنامج عمل هذه الحركة لاني مخلي الانظمة على هذا الوضع يحتاج تجربة
المهم انه طريقتة في نقل الملفات خاطئة المفروض يشفرها مثل مايعمل اثناء تشغيل النظام
الوهمي وبعدها ينقلها ويحدث ماينقلها بهذه الطريقة الغبية

MesterPerfect قال:
حتى لو لم تقم بحذفه أخي
أعتقد إذا حاولت تثبيت إصدار فوق إصدار فسيقوم بالترقية
والله أعلم

نعم اخي الحل في اعتقادي ازالة الاصدار القديم وتركيب الجديد بعد الازالة

MesterPerfect قال:
وعليكم السَلام ورحمة الله وبركاته
ما يقصده الأخ @prooonet هو أن الvm أثناء الترقية ينقل الملفات الموجودة داخل البيئة المعزولة إلى الtemp
ومن هذه الملفات ديدان وملفات vbs خاصة بالأخ نفسه وهو يقوم بتجربتها على النظام الوهمي
والخطورة تكمن في تشغيل أحد تلك الملفات بالخطأ أثناء التجربة
تحياتي لك أخي

نعم هذا ما اقصد ويوجد ملفات vbs يعلمها الاخوان ومن جرب
العينات تعمل من تلقاء نفسها من غير تشغيل بمجرب فك الضغط

prooonet · 14 نوفمبر 2019

الموضوع يحتاج رسالة جيدة تشرح الموضوع لشركة راح احاول اكتب رسال
لكن لغتي قليلة ماتصلح لرسائل

من يستطيع عمل رسالة ويرسلها لشركة
يكون امر جيد لتحديث البرنامج وتصحيح هذا الخطا

MesterPerfect · 14 نوفمبر 2019

prooonet قال:
الموضوع يحتاج رسالة جيدة تشرح الموضوع لشركة راح احاول اكتب رسال
لكن لغتي قليلة ماتصلح لرسائل من يستطيع عمل رسالة ويرسلها لشركة
يكون امر جيد لتحديث البرنامج وتصحيح هذا الخطا

ما هو الإصدار الذي استخدمته أخي وظهرت فيه المشكلة
سأحاول أن أكتب لهم ولكن أظن سيعترضو بسبب عدم شرائي للبرنامج ههههه
أو ستكون إستجابتهم ضعيفة شوي

prooonet · 14 نوفمبر 2019

MesterPerfect قال:
ما هو الإصدار الذي استخدمته أخي وظهرت فيه المشكلة
سأحاول أن أكتب لهم ولكن أظن سيعترضو بسبب عدم شرائي للبرنامج ههههه
أو ستكون إستجابتهم ضعيفة شوي

هذا ما كنت افكر فيه كنت اخاف يسالوني عن الرخصة المستخدمة وهي غير اصلية
وبعدها يردون علي تتشرط وانت مو شاري

اعتقد الاصدار القديم كان رقمة
15.5.0 بعد التحديث اصبح 15.5.1

MesterPerfect · 14 نوفمبر 2019

prooonet قال:
هذا ما كنت افكر فيه كنت اخاف يسالوني عن الرخصة المستخدمة وهي غير اصلية
وبعدها يردون علي تتشرط وانت مو شاري اعتقد الاصدار القديم كان رقمة
15.5.0 بعد التحديث اصبح 15.5.1

هههههه بالضبط هذا ما يُتوقع منهم
بس هذه مشكلة عامة لو هي كما نرا لذا يجب حلها سواء أكان لدينا رخصة أو لا
وأيضا ننتظر قليلا بعض الوقت أخوتنا المشرفين أصحاب الخبرة الأكبر ربما لديهم تفسير لهذا
@pokee @badr-aldeen @محمد دسوقى1980 @باسل القرش

badr-aldeen · 14 نوفمبر 2019

انا إلى الآن لم أفهم ماعلاقة التترقية بالملفات الموجودة في ملف المؤقت
كما ذكر لك الاخوة ملفات نظام التشغيل للنظام الوهمي محفوظة بداخل ملف vmdk وهو عبارة عن قرص وهمي
البرنامج يستخدم المسار
%userprofile%\AppData\Local\Temp\vmware-%username%\VMwareDnD
لحفظ الملفات التي تم نقلها عن طريق المجلد المشترك بين النظام الوهمي والنظام المستضيف
حتى أثناء وضع الجهاز الوهمي بحالة الاستعداد يتم حفظ الذاكرة الوهمية بملف منفصل بصيغة vmss
داخل مجلد النظام الوهمي

السؤال لماذا وجدت فقط ملف vbs داخل مجلد الملفات المؤقتة
حسب كلامك يجب أن تجد جميع ملفات نظام التشغيل الوهمي وليس فقط هذا الملف

عموما البرنامج يتم تطويره وسد الثغرات فيه ولا أدري هل الملف ظهر بسبب نقلك له من الجهاز المستضيف إلى الوهمي
أم أنه ظهر بسبب امر اخر قد تكون ثغرة

للإضافة ميزة unity mode على الرغم من كونها ميزة إلا أنها تترك بعض أثار البرامج الموجودة في الجهاز الوهمي داخل الجهاز المستضيف
ولذلك أقوم بتعطيلها من داخل ملف vmx لكل نظام وهمي

أرجو إعادة شرح مشكلتك بصورة أدق حتى لو وجدت المشكلة فعلا نحاول أن نرفعها للمطورين او على الأقل نقوم بطرح المشكلة في المنتدى الخاص بهم

prooonet · 14 نوفمبر 2019

badr-aldeen قال:
انا إلى الآن لم أفهم ماعلاقة التترقية بالملفات الموجودة في ملف المؤقت
كما ذكر لك الاخوة ملفات نظام التشغيل للنظام الوهمي محفوظة بداخل ملف vmdk وهو عبارة عن قرص وهمي
البرنامج يستخدم المسار
%userprofile%\AppData\Local\Temp\vmware-%username%\VMwareDnD
لحفظ الملفات التي تم نقلها عن طريق المجلد المشترك بين النظام الوهمي والنظام المستضيف
حتى أثناء وضع الجهاز الوهمي بحالة الاستعداد يتم حفظ الذاكرة الوهمية بملف منفصل بصيغة vmss
داخل مجلد النظام الوهمي

السؤال لماذا وجدت فقط ملف vbs داخل مجلد الملفات المؤقتة
حسب كلامك يجب أن تجد جميع ملفات نظام التشغيل الوهمي وليس فقط هذا الملف

عموما البرنامج يتم تطويره وسد الثغرات فيه ولا أدري هل الملف ظهر بسبب نقلك له من الجهاز المستضيف إلى الوهمي
أم أنه ظهر بسبب امر اخر قد تكون ثغرة

للإضافة ميزة unity mode على الرغم من كونها ميزة إلا أنها تترك بعض أثار البرامج الموجودة في الجهاز الوهمي داخل الجهاز المستضيف
ولذلك أقوم بتعطيلها من داخل ملف vmx لكل نظام وهمي

أرجو إعادة شرح مشكلتك بصورة أدق حتى لو وجدت المشكلة فعلا نحاول أن نرفعها للمطورين او على الأقل نقوم بطرح المشكلة في المنتدى الخاص بهم

نعم اخي افهم انه البرنامج يضع ملفات الانظمة بصيغ مشفرة vmdk لكن انا اثناء الترقية وجدت ليس فقط ملفات vbs
وجدت بعض الملفات المحفوضة في سطح المكتب منها ملفات rar exe vbs bat وضعتها في مجلدات قام بنقل المجلد
بكامل محتوياتة في temp اثناء الترقية وبعد انتهاء التثبيت مسح المجلدات, ووضعها بصيغها الصحيحية لكن لا اعلم
لم يقم بنفل بعض الملفات يمكن على حسب رايي وتحليلي انه اذا تم تحميل اي ملف جديد في النظام الوهمي ولم يتم اغلاق
النظام لحفظ التغييرات وتم وضع النظام على وضع الاستعداد وتم الترقية ينقل الملفات الجديدة فقط هذا الي لاحظتة
وهم خطأ المفروض الشركة من الناحية الامنية تجبرك قبل الترقية باطفاء جميع الانظمة لعدم نقل اي ملفات خطيرة في temp
وبعدها يتم التحديث او نقلها بطريقة مشفرة بصيغة vmdk مثلا مثل مايعمل اثناء التشغيل البرنامج الان امن بالتشغيل
وغير امن بالتحديث ومن يرغب بالتجربة يحدث ويراقب ملف temp وسيرى بنفسه

باسل القرش · 14 نوفمبر 2019

هلا ياغالى
موضوع مهم جدا ويمكن ان يكون ثغره فى البرنامج
ولكن عن راى الشخصى يجب اخذ عينه من الملفات المشتبه فيها للفحصها على فيرس توتال
لوجدود شبه من عدمه
ام ان التحديث يقوم بأخد صوره من النظام الاساسى للنظام الوهمى للدعم التشغيل
نرجو من صاحب الموضوع رفع بعض العينات لفحصها

prooonet · 14 نوفمبر 2019

باسل القرش قال:
هلا ياغالى
موضوع مهم جدا ويمكن ان يكون ثغره فى البرنامج
ولكن عن راى الشخصى يجب اخذ عينه من الملفات المشتبه فيها للفحصها على فيرس توتال
لوجدود شبه من عدمه
ام ان التحديث يقوم بأخد صوره من النظام الاساسى للنظام الوهمى للدعم التشغيل
نرجو من صاحب الموضوع رفع بعض العينات لفحصها

هلا فيك اخي نعم تعتبر ثغرة بالبرنامج خطيرة والملفات المنقولة هي ملفات سليمة
انا صنعتها لكن فرضا لو كانت ديدان وفايروسات لشخص يجرب عينات راح ينقلها
تسرح وتمرح بالنظام الاساسي مثل ديدان ملفات vbs اثناء الترقية وراح تعمل تلقائيا
بمجرد النقل

badr-aldeen · 14 نوفمبر 2019

prooonet قال:
نعم اخي افهم انه البرنامج يضع ملفات الانظمة بصيغ مشفرة vmdk لكن انا اثناء الترقية وجدت ليس فقط ملفات vbs
وجدت بعض الملفات المحفوضة في سطح المكتب منها ملفات rar exe vbs bat وضعتها في مجلدات قام بنقل المجلد
بكامل محتوياتة في temp اثناء الترقية وبعد انتهاء التثبيت مسح المجلدات, ووضعها بصيغها الصحيحية لكن لا اعلم
لم يقم بنفل بعض الملفات يمكن على حسب رايي وتحليلي انه اذا تم تحميل اي ملف جديد في النظام الوهمي ولم يتم اغلاق
النظام لحفظ التغييرات وتم وضع النظام على وضع الاستعداد وتم الترقية ينقل الملفات الجديدة فقط هذا الي لاحظتة
وهم خطأ المفروض الشركة من الناحية الامنية تجبرك قبل الترقية باطفاء جميع الانظمة لعدم نقل اي ملفات خطيرة في temp
وبعدها يتم التحديث او نقلها بطريقة مشفرة بصيغة vmdk مثلا مثل مايعمل اثناء التشغيل البرنامج الان امن بالتشغيل
وغير امن بالتحديث ومن يرغب بالتجربة يحدث ويراقب ملف temp وسيرى بنفسه

قمت بالتحديث من قليل وراقبت جميع المجلدات الخاصة ب vmware مع مجلد temp ولم أجد أي ملف من ملفات الأنظمة الوهمية التي في وضع الإسبات
مع التذكير مرة اخرى أن أي نظام وهمي يدخل حالة الإسبات يتم تجميع ذاكرته في ملف داخل المجلد الخاص بالنظام الوهمي

prooonet · 14 نوفمبر 2019

badr-aldeen قال:
قمت بالتحديث من قليل وراقبت جميع المجلدات الخاصة ب vmware مع مجلد temp ولم أجد أي ملف من ملفات الأنظمة الوهمية التي في وضع الإسبات
مع التذكير مرة اخرى أن أي نظام وهمي يدخل حالة الإسبات يتم تجميع ذاكرته في ملف داخل المجلد الخاص بالنظام الوهمي

للاسف لا استطيع الان اعادة الخطوة لانه متعبة تحتاج الغاء تثبيت
وتركيب الاصدار السابق واعادة تحديث وتصوير فيديو لكن في المرة
القادمة وقت مايطلب التحديث سوف اقوم بتصويرة لتاكيد هو يضعها
ملفات مرقمة ترقيم عشوائي اثناء التحديث داخلها تحتوي على المجلدات
والملفات المقصودة على العموم يجب اخذ الحيطة الى حين التجربة
مني ومنكم مرة اخرى

زيزوومي VIP

توقيع : prooonet

إداري سابق

توقيع : MesterPerfectMesterPerfect is verified member.

زيزوومي VIP

توقيع : prooonet

زيزوومي VIP

إداري سابق

توقيع : MesterPerfectMesterPerfect is verified member.

إداري سابق

توقيع : MesterPerfectMesterPerfect is verified member.

زيزوومي VIP

توقيع : prooonet

زيزوومي VIP

توقيع : prooonet

إداري سابق

توقيع : MesterPerfectMesterPerfect is verified member.

زيزوومي VIP

توقيع : prooonet

إداري سابق

توقيع : MesterPerfectMesterPerfect is verified member.

إداري سابق

توقيع : badr-aldeenbadr-aldeen is verified member.

زيزوومي VIP

توقيع : prooonet

مدير عام مساعد

توقيع : باسل القرشباسل القرش is verified member.

زيزوومي VIP

توقيع : prooonet

إداري سابق

توقيع : badr-aldeenbadr-aldeen is verified member.

زيزوومي VIP

توقيع : prooonet

توقيع : MesterPerfect

توقيع : MesterPerfect

توقيع : MesterPerfect

توقيع : MesterPerfect

توقيع : MesterPerfect

توقيع : badr-aldeen

توقيع : باسل القرش

توقيع : badr-aldeen