28-12-2020, 04:56 PM
السلام عليكم و رحمة الله
بما اننا نستهلك البرامج المقرصنة، صادفنا رسائل تنبيه عند تحميل ملفات من النت، اما من مواقع التحميل او من برامج الحماية...
طبعا، هذه الرسائل اعتمد ظهورها على خوارزميات تحقق...
لكن، ما رأيك انت (كمهندس عكسي يحب تفكيك الأشياء
) و كيف تتعامل 
مع الملف المصنف او الغير مصنف ؟
قبل الرد، اطلع اخي اولا على هاتين المشاركتين و ان استطعت قم اخي بعملية التحليل لتتأكد بنفسك:
سلوك موقع الرفع المشهور : mediafire
1- https://www.at4re.net/f/thread-679.html بتم فيها تصنيف و منع تحميل اداة الفريق...
2- https://www.at4re.net/f/thread-2293.html يتم فيها سماح التحميل مع ان الملف predator X V1.0 مصاب بأحد اخطر البرامج الضارة في وقته (لحسن الحظ انه برنامج ضار قديم و معروف)، يصيب الملفات التنفيذية.
الأداة predator X V1.0 تستعمل في غش الألعاب (و يقال بما انها تستعمل في تهكير الألعاب فمن الطبيعي ان يتم تصنيفها) نعم هذا الكلام صحيح لكن الأداة مصابة فعلا (حللتها بنفسي و كل العملية الخبيثة موجودة في آخر قسم SECTION في الملف التنفيذي) هذا القسم يحتوي على شيل كود زائد الملف التنفيذي المدموج الذي يتم تنفيذه اولا...
الملف المدموج مضغوط بالضاغط ASPACK بعد فكك ضغطه سوف تجد كل الأوامر الخبيثة واضحة...
التلويث يتم عبر اضافة في الملفات التنفيذية المستهدفة قسم جديد بخصائص تسمح له التنفيذ (شيل كود + ملف ضار مضغوط يتم انزاله (عن طريق الشيل كود) في مجلد الــ TEMP ينفذ مرة واحدة فقط بانشاء Thread ثم يحذف) و هكذا مع كل ملف تنفيذي يتم استهدافه...
للعلم: فكرة اقناع الضحية بان ما سوف يشغله في جهازه هو فقط False positive خدعة تم استعمالها لاصابة اجهزة و جلب الضحايا...
فقط قاعدة واحدة سارية المفعول (صفر ثقة
) لانك مهندس عكسي و من المفروض ان تتأكد من سلوك الأشياء بعد فكها او تسهل عليك العملية ببناء مختبر افتراضي...
بما اننا نستهلك البرامج المقرصنة، صادفنا رسائل تنبيه عند تحميل ملفات من النت، اما من مواقع التحميل او من برامج الحماية...
طبعا، هذه الرسائل اعتمد ظهورها على خوارزميات تحقق...
لكن، ما رأيك انت (كمهندس عكسي يحب تفكيك الأشياء
) و كيف تتعامل مع الملف المصنف او الغير مصنف ؟قبل الرد، اطلع اخي اولا على هاتين المشاركتين و ان استطعت قم اخي بعملية التحليل لتتأكد بنفسك:
سلوك موقع الرفع المشهور : mediafire
1- https://www.at4re.net/f/thread-679.html بتم فيها تصنيف و منع تحميل اداة الفريق...
2- https://www.at4re.net/f/thread-2293.html يتم فيها سماح التحميل مع ان الملف predator X V1.0 مصاب بأحد اخطر البرامج الضارة في وقته (لحسن الحظ انه برنامج ضار قديم و معروف)، يصيب الملفات التنفيذية.
الأداة predator X V1.0 تستعمل في غش الألعاب (و يقال بما انها تستعمل في تهكير الألعاب فمن الطبيعي ان يتم تصنيفها) نعم هذا الكلام صحيح لكن الأداة مصابة فعلا (حللتها بنفسي و كل العملية الخبيثة موجودة في آخر قسم SECTION في الملف التنفيذي) هذا القسم يحتوي على شيل كود زائد الملف التنفيذي المدموج الذي يتم تنفيذه اولا...
الملف المدموج مضغوط بالضاغط ASPACK بعد فكك ضغطه سوف تجد كل الأوامر الخبيثة واضحة...
التلويث يتم عبر اضافة في الملفات التنفيذية المستهدفة قسم جديد بخصائص تسمح له التنفيذ (شيل كود + ملف ضار مضغوط يتم انزاله (عن طريق الشيل كود) في مجلد الــ TEMP ينفذ مرة واحدة فقط بانشاء Thread ثم يحذف) و هكذا مع كل ملف تنفيذي يتم استهدافه...
للعلم: فكرة اقناع الضحية بان ما سوف يشغله في جهازه هو فقط False positive خدعة تم استعمالها لاصابة اجهزة و جلب الضحايا...
فقط قاعدة واحدة سارية المفعول (صفر ثقة
) لانك مهندس عكسي و من المفروض ان تتأكد من سلوك الأشياء بعد فكها او تسهل عليك العملية ببناء مختبر افتراضي...
software analysis addict