المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : الهكرز الداء****وهنا الدواء.(تعاريف الفيروسات وقيم هيكسHex)


Anti.Hack
18-06-2005, 08:56 PM
بسم الله الرحمن الرحيم

الحمد لله رب العالمين والصلاة والسلام على سيد الخلق محمد صلى الله عليه وسلم وبعد,,

أولاً: الموضوع عبارة عن موضوع نظري فقط .. وهو لإثراء المعلومة لا غير ..

---



قبل كل شيء يعتبر الموضوع هذا مكمل لموضوع الحماية الذي تطرقنا إليه في العدد الأول لمجلة البرامج ( هنا (http://www.montada.com/showthread.php?t=380182) ).. لذلك يا حبذا لو ترجعون إليه.



بسم الله نبدأ..

كنا دائما نذكر مصطلح ( تواقيع رقمية للفيروسات) أو ( تعريفات الفيروسات ) أو ( قيم هيكس للفيروسات ).. وعلاقتها ببرامج الحماية وبالتالي أهميتها بالنسبة لهذه البرامج.

ولكن ألم يفكر أحدكم يوما برؤية هذه التواقيع ..!

- لكن هنا تأتي ملاحظة... ليست الفيروسات وحدها لها قيم هيكس .. بل أن كل ملف تنفيذي له قيم فعالة منها.

وعلى سبيل التطبيق سوف أقوم هنا بتحرير قيم هيكس لأحد الملفات التفيذية الصغيرة الحجم وهو عبارة عن ملف ( داونلودر) .. والداونلودر هو ملف صغير الحجم ( 1-5KB) يستخدمه الهاكر .. بطريقة إرساله إلى جهاز الضحية مع تنفيذه وعند التنفيذ يقوم هذا الملف الصغير بفتح بورت في جهاز الضحية ومن خلال هذا البورت يتم تنزيل ملف سيرفر لبرنامج إختراق... وبالتالي السيطرة على جهازه.( ويختلف عن الآبلودر في كون أن الداونلودر يقوم بإنزال سيرفر برنامج الاختراق من أحد السيفرات الخاصة غالبا بالمواقع المجانية ... بينما الآبلودر يستخدم جهاز الهكر كسيرفر)

الآن سأحرر قيم ( تواقيع) هيكس لملف الداونلودر( ولن أذكر نوعه بسب قوانين المنتدى) بمرحلتين وسنأتي على ذكر السبب:

208695




208696


المرحلة الأولى:

208697

نلاحظ هنا كما في الصورة ( اللي أتمنى إنها تكون واضحة) المربع الأحمر المشار إليه بالرقم (1) يمثل قيم ( تواقيع هيكس) لملف الدوانلودر( لاحظ أن اللست لا تظهر بأكملها يعني هناك قيم كثيرة لا تظهر ..أما بالنسبة للمربع المشار إليه بالرقم (2) فهي أيضا نفس التواقيع ولكن مكتوبة بلغة رقمية أخرى... وهذه هي التواقيع اللي من خلالها يتعرف برنامج الحماية على الفيروسات.. وذلك عن طريق اختيار قيمة وحيدة على الأقل من بين آلاف القيم ( ولكل شركة حماية توقيع خاص بها تختاره للفيرس)..
وبعد البحث والتجريب أكتشفت أن القيمة ( التوقيع الذي إختارته شركة الكاسبر للملف هذا – في هذا الشهر- هي القيمة (0004) .. حاول البحث عنها.



المرحلة الثانية:


208698


دقق النظر في القيمة المحددة باللون الأحمر في هذه الصورة وقارنها في الصورة السابقة... ماذا وجدت؟

تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس ... مع ملاحظة أن الشركات الأخرى لا يؤثر فيها هذا التغير إلا إذا اختارت نفس التوقيع الخاص بالكاسبر.

( لاحظ أن شركة الكاسبر تقوم بتغير تواقيع الفيروسات التي تختارها كل شهر .. وذلك تجنبا للتشفير .... ميزة رائعة بالفعل).



من كل هذا نستنتج أن برامج الأنتي فيرس تقوم بعملية التحديث لسببين رئيسيين هما:

- التعرف على تواقيع الفيروسات الجديدة وتحديث قاعدة البيانات بها.

- مثل ما يفعل الدب الروسي ( كاسبر) لتغير تواقيعه التي يختارها للفيروسات.

(( أي سؤال عن الموضوع أو استفسار .. إن شاء الله ما راح أقصر معاكم فيه إذا كان عندي جواب له طبعا))



إن شــــــــــاء الله تستفيدون من الموضوع
وبالتوفيق.
AZPC
18-06-2005, 09:19 PM
Hex وما أدراك ما الـ Hex ....


اووووووووه بحر كبير جدا

... كنت أغش في الالعاب من خلاله :naughty2:

---------------

كما انه يعتبر شيء أساسي في التشفير .. هذا قبل ما تتطور الحماية .. كنا نستعمل Hex Editor كي نخفي السرفر عن أعين McAfee .. لكن الكاسبر كان يكشفه .. لذلك كما أتذكر كنا نضيف على سرفر ملف ثاني "صور ، فلم ... الخ"
لكن الان هيهات هيهات ان لا يكتشفه ...

----------------
لا ننسى انا قيم الهكس هذه تضم Icon الملف وكل الاشياء التي يقووم بها الملف .. لذلك فمن السهل اصطياد اي فيرس اذا كان Anti Virus قوي من هذه الجهة وأخص بالذكر KasperSky والمكافي ...
------------------
وشكرا .. يا مبدعة المنتدى http://www.w6w.net/album/30/w6w200504111348476fff23c80.gif
البرافسور
18-06-2005, 11:25 PM
أسلام عليكم
عندي سوئال هل الأختراق يأتي عن طريق الإيميل
او الأختراق الجهاز يأتي عند تحميل الملف فقط
AZPC
19-06-2005, 12:41 AM
أسلام عليكم
عندي سوئال هل الأختراق يأتي عن طريق الإيميل
او الأختراق الجهاز يأتي عند تحميل الملف فقط


خخخخ... ولا من أي وحده ذكرتها :أفكر:

الاختراق ياتي عن طريق فتحك لملف اسمه "الخادم" يخدم الذي يريد ان يخترق جهازك -- وطبعا أشياء ثانية .. وانت تعلم ان هذه الاشياء ممنوعه في المنتدى :31:
Legendary Dakku
19-06-2005, 01:03 AM
يااااااااااا الله عوده أكثر من رائعه منك يا رائعه ;)

_,,_

بس غريبه انا حسبتك ولد من قبل :31:

(( على فكره انا كان عندي عضويه قديييييمه و شفت كل مشاركاتك من قبل و كنت دلخ :31: بس عملت هذي العضويه الجديده :biggthump ))

,,

و انا راح اقرأ الموضوع كامل الان و يمكن يدور في راسي حاجه و بناقشك فيها :biggthump

^___~
SUPER HUNTER
19-06-2005, 01:03 AM
مشكور اخوي على الموضوع
Legendary Dakku
19-06-2005, 01:32 AM
مشكور اخوي على الموضوع
خذ العبره من افضل الأعضاء :31:
المهم
=======================================================


تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس
يا عفريته :05: والله انك مو سهله
,,
بس انا بقولك طريقتك هذي في التشفير مالها اهميه أو صعبه او تقدري تستغني عنها و ذالك لأنه فيه برامج تشفر الفايروس عن معظم البرامج و كمان برامج التشفير هذي لها تحديث :05: يعني مافي مفر من البلاوي :afraid:
,,
طيب ممكن تقولي لي كيف عرفتي التوقيع الرقمي للكاسبر تجاه هذا الملف ؟؟ و بغيت هذا محلل الـHex لو سمحتي :05:
,,
و طبعا انتي ظاهره على AZPC تحبون الحواسه في الكمبيوتر
:09:
Dark Night
19-06-2005, 04:30 AM
السلام عليكم

مرحبا بعودتك للمواضيع يا اختنا Anti.Hack ..

مثل ماتعودنا منك مواضيع مميزة ، وحماية من الفايروسات بطرقها الذكية ومعلومات أكثر نستفيد منها

وجزاك الله كل خير على هذا الجهد

بالتوفيق
Cador-Knight
19-06-2005, 01:20 PM
مشكوره اختي Anti.Hack على الشرح الاكثر من رااائع http://smilies.sofrayt.com/fsc/clap.gif

ونقدر نستخرج معلومات عن الشخص الذي ارسل الباتش http://smilies.sofrayt.com/^/aiw/biggrin.gif
Anti.Hack
19-06-2005, 01:48 PM
AZPC

يشرفني تكون أول من يرد على الموضوع ... تغش ها... عفوا يا رونق المنتدى.

دارك ماستر

رد عليك الهكور



ĐarK ҒorceS ŁeadeR

( يااااااااااا الله عوده أكثر من رائعه منك يا رائعه)

تسلم .. أنت اللي رائع

((على فكره انا كان عندي عضويه قديييييمه و شفت كل مشاركاتك من قبل و كنت دلخ بس عملت هذي العضويه الجديده))

ههه يقول عن نفسه دلخ خخخ... أنت اللي كنت ( ملفات سرية؟)

((بس انا بقولك طريقتك هذي في التشفير مالها أهميه أو صعبه))

هذي ما طريقتي .. هذي طريقة معروفة عند الهكرز .. بالعكس لها أهمية كبيرة .. وبالفعل هي ما سهلة

((تقدري تستغني عنها و ذالك لأنه فيه برامج تشفر الفايروس عن معظم البرامج))

أنا أقدر أستغني عنها لكن الهكرز لا ما ممكن... وبالنسبة للبرامج اللي ذكرتها هي أساسا تقوم بواحدة من الاثنين

الاولى : تغير تواقيع الفيرس .. يعني نفس اللي شرحته.

الثانية: تضغط الفيرس . . أو جزء منه دون الضرر به.. مما يؤدي لتغير توقيعه.. طبعا لأنك لما تضغط ملف بالـ UPX أو FSG راح يتغير توقيعه.( كذلك دمج الملف يغير توقيعه – وهو مدموج لكن عند تنفيذه يرجع)

وبعدين ما كل الفيروسات لها برامج تشفير يعني الهكرز هما اللي يشفروها بأنفسهم.

((طيب ممكن تقولي لي كيف عرفتي التوقيع الرقمي للكاسبر تجاه هذا الملف ؟؟))

هذا أصعب ما في الأمر.. أنا إخترت ملف صغير الحجم لسبب وهو.. أنه قيمه راح تكون ما كثيرة مقارنة بالملفات الكبيرة.. بعدين جربت أغير كل مرة 3 خانات من التواقيع .. لحد ما طلعت القيمة المطلوبة.. طبعا لما أجرب واجهت أحيانا انه الملف يتعطل عن العمل وأحيانا لا يتأثر ويظل مكشوف .. الخ

((و بغيت هذا محلل الـHex لو سمحتي))

في المرفقات .. لكنه محرر أبسط من اللي في الشرح.

((و طبعا انتي ظاهره على AZPC تحبون الحواسه في الكمبيوتر))

هذا اللئيم AZPC سارق كل الأضواء خخ.



nokia11911

عفوا وتسلم على مرورك.

Dark night

وعليكم السلام ورحمة الله وبركاته ..

((مرحبا بعودتك للمواضيع يا اختنا Anti.Hack ..))

عدنا ( سبيس تون خخ)

((مثل ماتعودنا منك مواضيع مميزة ، وحماية من الفايروسات بطرقها الذكية ومعلومات أكثر نستفيد منها))

ومثل ما تعودت أنا على ردودك المميزة دائما تشجعني وتحمسني للمزيد

((وجزاك الله كل خير على هذا الجهد))

الله يجزي الجميع بالخير ... وتسلم حبوب على مرورك.



Cador-Knight

((مشكوره اختي Anti.Hack على الشرح الاكثر من رااائع))

عفوااااا أخي وتسلم على مرورك الرائع

((ونقدر نستخرج معلومات عن الشخص الذي ارسل الباتش))

يا سلام عليك.. نقطة نسيت أن أذكرها... بالفعل كما ذكرت نستطيع نستخرج أيميل وباسوورد الهاكرز بالنسبة للسيرفر.. هذا اذا كان السيرفر يحتوي على هذه المعلومات ( لا ينطبق على الدونلودر).. وتسلم على ردك الرائع.
AZPC
19-06-2005, 04:14 PM
فقط أردت أن أضيف شيء مهم .. وهو البرنامج الذي كنت أحرر به كي أشفر السرفرات (سابقا طبعا !! الان كل شيء مكشووف -__-)

هذا هو أرجو أن تستفيدو منه : Hex Workshop 4.23 (http://www.download.com/Hex-Workshop/3000-2352_4-10264932.html?tag=lst-0-1)
على فكره !! لو غيرت رقم واحد فقط من أرقام Hex أحذرك لأت البرنامج كله سيفشل في الاقلاع !!!
Mr.WaSiM
19-06-2005, 05:55 PM
السلام عليكم

الحمد الله .. كل تفسيراتك التي ضرحتيها في الموضوع .. صحيحة

فأشكرك من كل قلبي على هذا الموضوع الــ اعجز عن اذكار جميل لانه احلى واحسن واجمل من الجميل .. :biggthump

واخيراً : اتمنى لك التوفيق
:ciao:
Legendary Dakku
19-06-2005, 07:48 PM
في المرفقات .. لكنه محرر أبسط من اللي في الشرح.

شووكرن جزييلن :D


هذا أصعب ما في الأمر.. أنا إخترت ملف صغير الحجم لسبب وهو.. أنه قيمه راح تكون ما كثيرة مقارنة بالملفات الكبيرة.. بعدين جربت أغير كل مرة 3 خانات من التواقيع .. لحد ما طلعت القيمة المطلوبة.. طبعا لما أجرب واجهت أحيانا انه الملف يتعطل عن العمل وأحيانا لا يتأثر ويظل مكشوف .. الخ

:ds022: حلوه بس لا تعيدينها


هذا اللئيم AZPC سارق كل الأضواء خخ.

:ds022: من يقول سرق الأضواء :ds022: هذا الا خكري يدخل الفايروسات و التروجانات في جهازه :p اقول الله يعقل :ds022: و بعدين ((اللي ما يعرف الصقر يشويه))

,,

اما عضويتي القديمه فما كنت اشارك بها ابدا و ما اظن تعرفينها :biggthump
Anti.Hack
20-06-2005, 10:21 AM
((فقط أردت أن أضيف شيء مهم .. وهو البرنامج الذي كنت أحرر به كي أشفر السرفرات (سابقا طبعا !!الان كل شيء مكشووف -__-)

هذا هو أرجو أن تستفيدو منه : Hex Workshop 4.23 (http://www.download.com/Hex-Workshop/3000-2352_4-10264932.html?tag=lst-0-1)
علىفكره !! لو غيرت رقم واحد فقط من أرقام Hex أحذرك لأت البرنامج كله سيفشل فيالاقلاع((!!!



تسلم يا AZPC وما تقصر... بس حبيت أعلق على (اللي باللون الأحمر)..

كيف الحين كل شئ مكشوف؟ مع العلم انك إذا لقيت التوقيع الصحيح مستحيل انه برنامج الحماية يكشف السيرفر.. إلا اذا كنت تقصد البرامج الشديدة التعقيد اللي تقوم بالاخفاء الدقيق عن اعين الانتي فيروس نيابة عن الهاكرز باستخدام ملف صغير يطلق عليه STUB يقوم بعمل مايشبه SHELL لخداع الانتي فيروس.






السلامعليكم

الحمدالله .. كل تفسيراتك التي ضرحتيها في الموضوع .. صحيحة

فأشكرك من كلقلبي على هذا الموضوع الــ اعجز عن اذكار جميل لانه احلى واحسن واجمل من الجميل ..

واخيراً : اتمنى لك التوفيق

وعليكم السلام ورحمة الله وبركاته... حللو منك التدقيق.. وأتمنى أي أحد يلقى خطأ أو ماشابه ينبهني..

عفوا وتسلم والله يخليك يا جميل أنت... موفق ان شاء الله.
Pro/Engineer
21-06-2005, 11:09 PM
الموضوع صعب علينا نحن المبتدئين في هذا المجال

ولكن اردت ان اسأل كلنا واجهنا مشكلة وجود الملفات التنفيذية الصغيرة عند البحث على كراكات البرامج الجديدة (Keygen أو patch) ، ومعظم هذه الكراكات جديدة لن يتعرف عليها antivirus فهل هناك طرقة لمعرفة ان هذا keygen ليس ملف تنفيذي لاحد الفيروسات


شكرا على الموضوع
Anti.Hack
21-06-2005, 11:50 PM
ما الممارسة اخي المهندس المحترف تبي يكون سهل
بالنسبة لسؤالك شوف هالرابط
http://www.montada.com/showthread.php?t=343264
عفوا وشكرا لمرورك
Mr. KaJo
22-06-2005, 02:15 PM
مشكورة أختي Anti.Hack على الموضوع والمعلومات الاكثر من رائعة ...

ما قصرتي وننتظر منك كل جديد ومفيد .
القبقب^_^
22-06-2005, 03:37 PM
مشكووووووووووور أخوي على الموضوع وما قصرت:jester: :jester: