الهكرز الداء****وهنا الدواء.(تعاريف الفيروسات وقيم هيكسHex)

بسم الله الرحمن الرحيم

الحمد لله رب العالمين والصلاة والسلام على سيد الخلق محمد صلى الله عليه وسلم وبعد,,

أولاً: الموضوع عبارة عن موضوع نظري فقط .. وهو لإثراء المعلومة لا غير ..

---



قبل كل شيء يعتبر الموضوع هذا مكمل لموضوع الحماية الذي تطرقنا إليه في العدد الأول لمجلة البرامج ( هنا ).. لذلك يا حبذا لو ترجعون إليه.



بسم الله نبدأ..

كنا دائما نذكر مصطلح ( تواقيع رقمية للفيروسات) أو ( تعريفات الفيروسات ) أو ( قيم هيكس للفيروسات ).. وعلاقتها ببرامج الحماية وبالتالي أهميتها بالنسبة لهذه البرامج.

ولكن ألم يفكر أحدكم يوما برؤية هذه التواقيع ..!

- لكن هنا تأتي ملاحظة... ليست الفيروسات وحدها لها قيم هيكس .. بل أن كل ملف تنفيذي له قيم فعالة منها.

وعلى سبيل التطبيق سوف أقوم هنا بتحرير قيم هيكس لأحد الملفات التفيذية الصغيرة الحجم وهو عبارة عن ملف ( داونلودر) .. والداونلودر هو ملف صغير الحجم ( 1-5KB) يستخدمه الهاكر .. بطريقة إرساله إلى جهاز الضحية مع تنفيذه وعند التنفيذ يقوم هذا الملف الصغير بفتح بورت في جهاز الضحية ومن خلال هذا البورت يتم تنزيل ملف سيرفر لبرنامج إختراق... وبالتالي السيطرة على جهازه.( ويختلف عن الآبلودر في كون أن الداونلودر يقوم بإنزال سيرفر برنامج الاختراق من أحد السيفرات الخاصة غالبا بالمواقع المجانية ... بينما الآبلودر يستخدم جهاز الهكر كسيرفر)

الآن سأحرر قيم ( تواقيع) هيكس لملف الداونلودر( ولن أذكر نوعه بسب قوانين المنتدى) بمرحلتين وسنأتي على ذكر السبب:

المرحلة الأولى:



نلاحظ هنا كما في الصورة ( اللي أتمنى إنها تكون واضحة) المربع الأحمر المشار إليه بالرقم (1) يمثل قيم ( تواقيع هيكس) لملف الدوانلودر( لاحظ أن اللست لا تظهر بأكملها يعني هناك قيم كثيرة لا تظهر ..أما بالنسبة للمربع المشار إليه بالرقم (2) فهي أيضا نفس التواقيع ولكن مكتوبة بلغة رقمية أخرى... وهذه هي التواقيع اللي من خلالها يتعرف برنامج الحماية على الفيروسات.. وذلك عن طريق اختيار قيمة وحيدة على الأقل من بين آلاف القيم ( ولكل شركة حماية توقيع خاص بها تختاره للفيرس)..
وبعد البحث والتجريب أكتشفت أن القيمة ( التوقيع الذي إختارته شركة الكاسبر للملف هذا – في هذا الشهر- هي القيمة (0004) .. حاول البحث عنها.



المرحلة الثانية:

دقق النظر في القيمة المحددة باللون الأحمر في هذه الصورة وقارنها في الصورة السابقة... ماذا وجدت؟

تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس ... مع ملاحظة أن الشركات الأخرى لا يؤثر فيها هذا التغير إلا إذا اختارت نفس التوقيع الخاص بالكاسبر.

( لاحظ أن شركة الكاسبر تقوم بتغير تواقيع الفيروسات التي تختارها كل شهر .. وذلك تجنبا للتشفير .... ميزة رائعة بالفعل).



من كل هذا نستنتج أن برامج الأنتي فيرس تقوم بعملية التحديث لسببين رئيسيين هما:

- التعرف على تواقيع الفيروسات الجديدة وتحديث قاعدة البيانات بها.

- مثل ما يفعل الدب الروسي ( كاسبر) لتغير تواقيعه التي يختارها للفيروسات.

(( أي سؤال عن الموضوع أو استفسار .. إن شاء الله ما راح أقصر معاكم فيه إذا كان عندي جواب له طبعا))



إن شــــــــــاء الله تستفيدون من الموضوع
وبالتوفيق.

Hex وما أدراك ما الـ Hex ....


اووووووووه بحر كبير جدا

... كنت أغش في الالعاب من خلاله :naughty2:

---------------

كما انه يعتبر شيء أساسي في التشفير .. هذا قبل ما تتطور الحماية .. كنا نستعمل Hex Editor كي نخفي السرفر عن أعين McAfee .. لكن الكاسبر كان يكشفه .. لذلك كما أتذكر كنا نضيف على سرفر ملف ثاني "صور ، فلم ... الخ"
لكن الان هيهات هيهات ان لا يكتشفه ...

----------------
لا ننسى انا قيم الهكس هذه تضم Icon الملف وكل الاشياء التي يقووم بها الملف .. لذلك فمن السهل اصطياد اي فيرس اذا كان Anti Virus قوي من هذه الجهة وأخص بالذكر KasperSky والمكافي ...
------------------
وشكرا .. يا مبدعة المنتدى http://www.w6w.net/album/30/w6w20050...76fff23c80.gif

أسلام عليكم
عندي سوئال هل الأختراق يأتي عن طريق الإيميل
او الأختراق الجهاز يأتي عند تحميل الملف فقط

اقتباس:

---

المشاركة الأصلية كتبت بواسطة دارك ماستر

أسلام عليكم
عندي سوئال هل الأختراق يأتي عن طريق الإيميل
او الأختراق الجهاز يأتي عند تحميل الملف فقط

---

خخخخ... ولا من أي وحده ذكرتها :أفكر:

الاختراق ياتي عن طريق فتحك لملف اسمه "الخادم" يخدم الذي يريد ان يخترق جهازك -- وطبعا أشياء ثانية .. وانت تعلم ان هذه الاشياء ممنوعه في المنتدى :31:

يااااااااااا الله عوده أكثر من رائعه منك يا رائعه ;)

_,,_

بس غريبه انا حسبتك ولد من قبل :31:

(( على فكره انا كان عندي عضويه قديييييمه و شفت كل مشاركاتك من قبل و كنت دلخ :31: بس عملت هذي العضويه الجديده :biggthump ))

,,

و انا راح اقرأ الموضوع كامل الان و يمكن يدور في راسي حاجه و بناقشك فيها :biggthump

^___~

مشكور اخوي على الموضوع

اقتباس:

---

المشاركة الأصلية كتبت بواسطة nokia11911

مشكور اخوي على الموضوع

---

خذ العبره من افضل الأعضاء :31:
المهم
=======================================================

اقتباس:

---

تجد أن هذه القيمة هي التي كانت (0004) ... بمعنى آخر قمت أنا وغيرت القيمة (0004) وخليتها (0000) ( وهذا ما يسمى بالتشفير)... ولآن تذكر أن هذه القيمة هي القيمة التي اختارتها شركة الكاسبر.. لذلك بعد تغير القيمة لن يستطيع الكاسبر كشف هذا الفيرس

---

يا عفريته :05: والله انك مو سهله
,,
بس انا بقولك طريقتك هذي في التشفير مالها اهميه أو صعبه او تقدري تستغني عنها و ذالك لأنه فيه برامج تشفر الفايروس عن معظم البرامج و كمان برامج التشفير هذي لها تحديث :05: يعني مافي مفر من البلاوي :afraid:
,,
طيب ممكن تقولي لي كيف عرفتي التوقيع الرقمي للكاسبر تجاه هذا الملف ؟؟ و بغيت هذا محلل الـHex لو سمحتي :05:
,,
و طبعا انتي ظاهره على AZPC تحبون الحواسه في الكمبيوتر
:09:

السلام عليكم

مرحبا بعودتك للمواضيع يا اختنا Anti.Hack ..

مثل ماتعودنا منك مواضيع مميزة ، وحماية من الفايروسات بطرقها الذكية ومعلومات أكثر نستفيد منها

وجزاك الله كل خير على هذا الجهد

بالتوفيق

مشكوره اختي Anti.Hack على الشرح الاكثر من رااائع http://smilies.sofrayt.com/fsc/clap.gif

ونقدر نستخرج معلومات عن الشخص الذي ارسل الباتش http://smilies.sofrayt.com/^/aiw/biggrin.gif

AZPC

يشرفني تكون أول من يرد على الموضوع ... تغش ها... عفوا يا رونق المنتدى.

دارك ماستر

رد عليك الهكور



ĐarK ҒorceS ŁeadeR

( يااااااااااا الله عوده أكثر من رائعه منك يا رائعه)

تسلم .. أنت اللي رائع

((على فكره انا كان عندي عضويه قديييييمه و شفت كل مشاركاتك من قبل و كنت دلخ بس عملت هذي العضويه الجديده))

ههه يقول عن نفسه دلخ خخخ... أنت اللي كنت ( ملفات سرية؟)

((بس انا بقولك طريقتك هذي في التشفير مالها أهميه أو صعبه))

هذي ما طريقتي .. هذي طريقة معروفة عند الهكرز .. بالعكس لها أهمية كبيرة .. وبالفعل هي ما سهلة

((تقدري تستغني عنها و ذالك لأنه فيه برامج تشفر الفايروس عن معظم البرامج))

أنا أقدر أستغني عنها لكن الهكرز لا ما ممكن... وبالنسبة للبرامج اللي ذكرتها هي أساسا تقوم بواحدة من الاثنين

الاولى : تغير تواقيع الفيرس .. يعني نفس اللي شرحته.

الثانية: تضغط الفيرس . . أو جزء منه دون الضرر به.. مما يؤدي لتغير توقيعه.. طبعا لأنك لما تضغط ملف بالـ UPX أو FSG راح يتغير توقيعه.( كذلك دمج الملف يغير توقيعه – وهو مدموج لكن عند تنفيذه يرجع)

وبعدين ما كل الفيروسات لها برامج تشفير يعني الهكرز هما اللي يشفروها بأنفسهم.

((طيب ممكن تقولي لي كيف عرفتي التوقيع الرقمي للكاسبر تجاه هذا الملف ؟؟))

هذا أصعب ما في الأمر.. أنا إخترت ملف صغير الحجم لسبب وهو.. أنه قيمه راح تكون ما كثيرة مقارنة بالملفات الكبيرة.. بعدين جربت أغير كل مرة 3 خانات من التواقيع .. لحد ما طلعت القيمة المطلوبة.. طبعا لما أجرب واجهت أحيانا انه الملف يتعطل عن العمل وأحيانا لا يتأثر ويظل مكشوف .. الخ

((و بغيت هذا محلل الـHex لو سمحتي))

في المرفقات .. لكنه محرر أبسط من اللي في الشرح.

((و طبعا انتي ظاهره على AZPC تحبون الحواسه في الكمبيوتر))

هذا اللئيم AZPC سارق كل الأضواء خخ.



nokia11911

عفوا وتسلم على مرورك.

Dark night

وعليكم السلام ورحمة الله وبركاته ..

((مرحبا بعودتك للمواضيع يا اختنا Anti.Hack ..))

عدنا ( سبيس تون خخ)

((مثل ماتعودنا منك مواضيع مميزة ، وحماية من الفايروسات بطرقها الذكية ومعلومات أكثر نستفيد منها))

ومثل ما تعودت أنا على ردودك المميزة دائما تشجعني وتحمسني للمزيد

((وجزاك الله كل خير على هذا الجهد))

الله يجزي الجميع بالخير ... وتسلم حبوب على مرورك.



Cador-Knight

((مشكوره اختي Anti.Hack على الشرح الاكثر من رااائع))

عفوااااا أخي وتسلم على مرورك الرائع

((ونقدر نستخرج معلومات عن الشخص الذي ارسل الباتش))

يا سلام عليك.. نقطة نسيت أن أذكرها... بالفعل كما ذكرت نستطيع نستخرج أيميل وباسوورد الهاكرز بالنسبة للسيرفر.. هذا اذا كان السيرفر يحتوي على هذه المعلومات ( لا ينطبق على الدونلودر).. وتسلم على ردك الرائع.

فقط أردت أن أضيف شيء مهم .. وهو البرنامج الذي كنت أحرر به كي أشفر السرفرات (سابقا طبعا !! الان كل شيء مكشووف -__-)

هذا هو أرجو أن تستفيدو منه : Hex Workshop 4.23
على فكره !! لو غيرت رقم واحد فقط من أرقام Hex أحذرك لأت البرنامج كله سيفشل في الاقلاع !!!

السلام عليكم

الحمد الله .. كل تفسيراتك التي ضرحتيها في الموضوع .. صحيحة

فأشكرك من كل قلبي على هذا الموضوع الــ اعجز عن اذكار جميل لانه احلى واحسن واجمل من الجميل .. :biggthump

واخيراً : اتمنى لك التوفيق
:ciao:

اقتباس:

---

في المرفقات .. لكنه محرر أبسط من اللي في الشرح.

---

شووكرن جزييلن :D

اقتباس:

---

هذا أصعب ما في الأمر.. أنا إخترت ملف صغير الحجم لسبب وهو.. أنه قيمه راح تكون ما كثيرة مقارنة بالملفات الكبيرة.. بعدين جربت أغير كل مرة 3 خانات من التواقيع .. لحد ما طلعت القيمة المطلوبة.. طبعا لما أجرب واجهت أحيانا انه الملف يتعطل عن العمل وأحيانا لا يتأثر ويظل مكشوف .. الخ

---

:ds022: حلوه بس لا تعيدينها

اقتباس:

---

هذا اللئيم AZPC سارق كل الأضواء خخ.

---

:ds022: من يقول سرق الأضواء :ds022: هذا الا خكري يدخل الفايروسات و التروجانات في جهازه :p اقول الله يعقل :ds022: و بعدين ((اللي ما يعرف الصقر يشويه))

,,

اما عضويتي القديمه فما كنت اشارك بها ابدا و ما اظن تعرفينها :biggthump

اقتباس:

---

((فقط أردت أن أضيف شيء مهم .. وهو البرنامج الذي كنت أحرر به كي أشفر السرفرات (سابقا طبعا !!الان كل شيء مكشووف -__-)

---

اقتباس:

---

هذا هو أرجو أن تستفيدو منه : Hex Workshop 4.23
علىفكره !! لو غيرت رقم واحد فقط من أرقام Hex أحذرك لأت البرنامج كله سيفشل فيالاقلاع((!!!

---

تسلم يا AZPC وما تقصر... بس حبيت أعلق على (اللي باللون الأحمر)..

كيف الحين كل شئ مكشوف؟ مع العلم انك إذا لقيت التوقيع الصحيح مستحيل انه برنامج الحماية يكشف السيرفر.. إلا اذا كنت تقصد البرامج الشديدة التعقيد اللي تقوم بالاخفاء الدقيق عن اعين الانتي فيروس نيابة عن الهاكرز باستخدام ملف صغير يطلق عليه STUB يقوم بعمل مايشبه SHELL لخداع الانتي فيروس.

اقتباس:

---

السلامعليكم

الحمدالله .. كل تفسيراتك التي ضرحتيها في الموضوع .. صحيحة

فأشكرك من كلقلبي على هذا الموضوع الــ اعجز عن اذكار جميل لانه احلى واحسن واجمل من الجميل ..

واخيراً : اتمنى لك التوفيق

---

وعليكم السلام ورحمة الله وبركاته... حللو منك التدقيق.. وأتمنى أي أحد يلقى خطأ أو ماشابه ينبهني..

عفوا وتسلم والله يخليك يا جميل أنت... موفق ان شاء الله.

الموضوع صعب علينا نحن المبتدئين في هذا المجال

ولكن اردت ان اسأل كلنا واجهنا مشكلة وجود الملفات التنفيذية الصغيرة عند البحث على كراكات البرامج الجديدة (Keygen أو patch) ، ومعظم هذه الكراكات جديدة لن يتعرف عليها antivirus فهل هناك طرقة لمعرفة ان هذا keygen ليس ملف تنفيذي لاحد الفيروسات


شكرا على الموضوع