Anti.Hack
18-06-2005, 08:56 PM
بسم الله الرحمن الرحيم
الحمد لله رب العالمين والصلاة والسلام على سيد الخلق محمد صلى الله عليه وسلم وبعد,,
أولاً: الموضوع عبارة عن موضوع نظري فقط .. وهو لإثراء المعلومة لا غير ..
---
قبل كل شيء يعتبر الموضوع هذا مكمل لموضوع الحماية الذي تطرقنا إليه في العدد الأول لمجلة البرامج ( هنا (http://www.montada.com/showthread.php?t=380182) ).. لذلك يا حبذا لو ترجعون إليه.
بسم الله نبدأ..
كنا دائما نذكر مصطلح ( تواقيع رقمية للفيروسات) أو ( تعريفات الفيروسات ) أو ( قيم هيكس للفيروسات ).. وعلاقتها ببرامج الحماية وبالتالي أهميتها بالنسبة لهذه البرامج.
ولكن ألم يفكر أحدكم يوما برؤية هذه التواقيع ..!
- لكن هنا تأتي ملاحظة... ليست الفيروسات وحدها لها قيم هيكس .. بل أن كل ملف تنفيذي له قيم فعالة منها.
وعلى سبيل التطبيق سوف أقوم هنا بتحرير قيم هيكس لأحد الملفات التفيذية الصغيرة الحجم وهو عبارة عن ملف ( داونلودر) .. والداونلودر هو ملف صغير الحجم ( 1-5KB) يستخدمه الهاكر .. بطريقة إرساله إلى جهاز الضحية مع تنفيذه وعند التنفيذ يقوم هذا الملف الصغير بفتح بورت في جهاز الضحية ومن خلال هذا البورت يتم تنزيل ملف سيرفر لبرنامج إختراق... وبالتالي السيطرة على جهازه.( ويختلف عن الآبلودر في كون أن الداونلودر يقوم بإنزال سيرفر برنامج الاختراق من أحد السيفرات الخاصة غالبا بالمواقع المجانية ... بينما الآبلودر يستخدم جهاز الهكر كسيرفر)
الآن سأحرر قيم ( تواقيع) هيكس لملف الداونلودر( ولن أذكر نوعه بسب قوانين المنتدى) بمرحلتين وسنأتي على ذكر السبب:
208695
208696
المرحلة الأولى:
208697
نلاحظ هنا كما في الصورة ( اللي أتمنى إنها تكون واضحة) المربع الأحمر المشار إليه بالرقم (1) يمثل قيم ( تواقيع هيكس) لملف الدوانلودر( لاحظ أن اللست لا تظهر بأكملها يعني هناك قيم كثيرة لا تظهر ..أما بالنسبة للمربع المشار إليه بالرقم (2) فهي أيضا نفس التواقيع ولكن مكتوبة بلغة رقمية أخرى... وهذه هي التواقيع اللي من خلالها يتعرف برنامج الحماية على الفيروسات.. وذلك عن طريق اختيار قيمة وحيدة على الأقل من بين آلاف القيم ( ولكل شركة حماية توقيع خاص بها تختاره للفيرس)..
وبعد البحث والتجريب أكتشفت أن القيمة ( التوقيع الذي إختارته شركة الكاسبر للملف هذا – في هذا الشهر- هي القيمة (0004) .. حاول البحث عنها.
المرحلة الثانية:
208698
دقق النظر في القيمة المحددة باللون الأحمر في هذه الصورة وقارنها في الصورة السابقة... ماذا وجدت؟
تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس ... مع ملاحظة أن الشركات الأخرى لا يؤثر فيها هذا التغير إلا إذا اختارت نفس التوقيع الخاص بالكاسبر.
( لاحظ أن شركة الكاسبر تقوم بتغير تواقيع الفيروسات التي تختارها كل شهر .. وذلك تجنبا للتشفير .... ميزة رائعة بالفعل).
من كل هذا نستنتج أن برامج الأنتي فيرس تقوم بعملية التحديث لسببين رئيسيين هما:
- التعرف على تواقيع الفيروسات الجديدة وتحديث قاعدة البيانات بها.
- مثل ما يفعل الدب الروسي ( كاسبر) لتغير تواقيعه التي يختارها للفيروسات.
(( أي سؤال عن الموضوع أو استفسار .. إن شاء الله ما راح أقصر معاكم فيه إذا كان عندي جواب له طبعا))
إن شــــــــــاء الله تستفيدون من الموضوع
وبالتوفيق.
الحمد لله رب العالمين والصلاة والسلام على سيد الخلق محمد صلى الله عليه وسلم وبعد,,
أولاً: الموضوع عبارة عن موضوع نظري فقط .. وهو لإثراء المعلومة لا غير ..
---
قبل كل شيء يعتبر الموضوع هذا مكمل لموضوع الحماية الذي تطرقنا إليه في العدد الأول لمجلة البرامج ( هنا (http://www.montada.com/showthread.php?t=380182) ).. لذلك يا حبذا لو ترجعون إليه.
بسم الله نبدأ..
كنا دائما نذكر مصطلح ( تواقيع رقمية للفيروسات) أو ( تعريفات الفيروسات ) أو ( قيم هيكس للفيروسات ).. وعلاقتها ببرامج الحماية وبالتالي أهميتها بالنسبة لهذه البرامج.
ولكن ألم يفكر أحدكم يوما برؤية هذه التواقيع ..!
- لكن هنا تأتي ملاحظة... ليست الفيروسات وحدها لها قيم هيكس .. بل أن كل ملف تنفيذي له قيم فعالة منها.
وعلى سبيل التطبيق سوف أقوم هنا بتحرير قيم هيكس لأحد الملفات التفيذية الصغيرة الحجم وهو عبارة عن ملف ( داونلودر) .. والداونلودر هو ملف صغير الحجم ( 1-5KB) يستخدمه الهاكر .. بطريقة إرساله إلى جهاز الضحية مع تنفيذه وعند التنفيذ يقوم هذا الملف الصغير بفتح بورت في جهاز الضحية ومن خلال هذا البورت يتم تنزيل ملف سيرفر لبرنامج إختراق... وبالتالي السيطرة على جهازه.( ويختلف عن الآبلودر في كون أن الداونلودر يقوم بإنزال سيرفر برنامج الاختراق من أحد السيفرات الخاصة غالبا بالمواقع المجانية ... بينما الآبلودر يستخدم جهاز الهكر كسيرفر)
الآن سأحرر قيم ( تواقيع) هيكس لملف الداونلودر( ولن أذكر نوعه بسب قوانين المنتدى) بمرحلتين وسنأتي على ذكر السبب:
208695
208696
المرحلة الأولى:
208697
نلاحظ هنا كما في الصورة ( اللي أتمنى إنها تكون واضحة) المربع الأحمر المشار إليه بالرقم (1) يمثل قيم ( تواقيع هيكس) لملف الدوانلودر( لاحظ أن اللست لا تظهر بأكملها يعني هناك قيم كثيرة لا تظهر ..أما بالنسبة للمربع المشار إليه بالرقم (2) فهي أيضا نفس التواقيع ولكن مكتوبة بلغة رقمية أخرى... وهذه هي التواقيع اللي من خلالها يتعرف برنامج الحماية على الفيروسات.. وذلك عن طريق اختيار قيمة وحيدة على الأقل من بين آلاف القيم ( ولكل شركة حماية توقيع خاص بها تختاره للفيرس)..
وبعد البحث والتجريب أكتشفت أن القيمة ( التوقيع الذي إختارته شركة الكاسبر للملف هذا – في هذا الشهر- هي القيمة (0004) .. حاول البحث عنها.
المرحلة الثانية:
208698
دقق النظر في القيمة المحددة باللون الأحمر في هذه الصورة وقارنها في الصورة السابقة... ماذا وجدت؟
تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس ... مع ملاحظة أن الشركات الأخرى لا يؤثر فيها هذا التغير إلا إذا اختارت نفس التوقيع الخاص بالكاسبر.
( لاحظ أن شركة الكاسبر تقوم بتغير تواقيع الفيروسات التي تختارها كل شهر .. وذلك تجنبا للتشفير .... ميزة رائعة بالفعل).
من كل هذا نستنتج أن برامج الأنتي فيرس تقوم بعملية التحديث لسببين رئيسيين هما:
- التعرف على تواقيع الفيروسات الجديدة وتحديث قاعدة البيانات بها.
- مثل ما يفعل الدب الروسي ( كاسبر) لتغير تواقيعه التي يختارها للفيروسات.
(( أي سؤال عن الموضوع أو استفسار .. إن شاء الله ما راح أقصر معاكم فيه إذا كان عندي جواب له طبعا))
إن شــــــــــاء الله تستفيدون من الموضوع
وبالتوفيق.