منتديات داونلودز2


العودة   منتديات داونلودز2 > >

الهاكر و الحماية تحميل جميع برامج الهاكر و الحماية

اقوى عروض الويندوز و اللينكس VPS مقدمة من شبكة داونلودز2 !@!

اكونت سيرفر ويندوز اسطورى ( 8 كور بروسيسور + 32 جيجا رام + كونكشن 1 جيجا ) فقط بـ 50 جنيهأ !@!



درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضروبة لإزالة الإصابة

السلام عليكم سنأخذ في هذا الدرس برنامج Seed 1.1 لكي نطبق عليه هذا البرنامج عبارة عن تروجان صغير الحجم للاختراق

إنشاء موضوع جديد  إضافة رد
 
أدوات الموضوع انواع عرض الموضوع
قديم 12-23-2006, 07:11 PM   #1 (permalink)
عضو ذهبى
 




 
mario على طريق التميز

Exclamation





السلام عليكم

سنأخذ في هذا الدرس برنامج Seed 1.1 لكي نطبق عليه



هذا البرنامج عبارة عن تروجان صغير الحجم للاختراق المبدئي













سنقوم بعملين هما:

تحليل خادم البرنامج واكتشاف خوارزمية تشفير بياناته،

و تتبع واكتشاف الأماكن التي يقوم الخادم بضربها في الريجستري ومجلدات النظام



أولاً: تحليل الخادم وفهم آلية تشفيره

سنحتاج هنا لمحرر ست عشري HexWorkshop

وهو موجود في المكتبة



سنقوم الآن بتكوين خادم بالبيانات التالية











DNS/IP : ASG

Port: 5656

Filename: Virus.exe

Start up name: Virus



سنحفظ الخادم باسم Test.exe

وسيكون غير مضغوط وبحجم 12.5 كيلوبايت

الآن نقوم بتحريره ببرنامج Hex Workshop

وسنبحث عن ASG أو 5656 اللذين يمثلان الآي بي والمنفذ عن طريقCtrl+F

سيعطينا محرر الهيكس رسالة بعدم وجود المطلوب!

بمعنى أن البيانات في الخادم مشفرة بخوارزمية معينة

الآن سنقوم بمحاولة فك التشفير بتكوين خادم جديد بالبيانات التالية:

DNS/IP : BSG

Port: 5656

Filename: Virus.exe

Start up name: Virus



ونسميه Test2.exe

نقوم بتحريره بمحرر الهيكس ومن ثم نضغط Ctrl+K ليظهر بريمج مقارنة









نقوم باختيار الخادمين Test.exe و Test2.exe ليقوم البرنامج بالمقارنة

بين قيم كل منهما، وسنحصل على فرق واحد كالتالي:







الفرق الوحيد هو أن قيمة النص E في الخادم Test تغيرت إلى F في الخادم Test2

هذا راجع إلى أننا غيرنا عنوان الآي بي في الخادم الأول من ASG إلى BSG في الخادم

الثاني، بمعنى أن حرف A يمثل E في الخادم المشفر، والحرف B يمثل F أيضا..

وبنفس الطريقة يمكن إيجاد كل الرموز والحروف المشفرة ومن ثم استخراج قاعدة لها

والقائمة التالية تمثل الخوارزمية المتبعة:

a=e

b=f

c=g

d='

e=a

f=b

g=c

h=l

i=m

j=n

k=o

l=h

m=i

n=j

o=k

p=t

q=u

r=v

s=w

t=p

u=q

v=r

w=s

x=|

y=}

z=~

1=5

2=6

3=7

4=0

5=1

6=2

7=3

8=<

9==



ويمكن اكتشاف رقم المنفذ بنفس الطريقة، وتسهيلا سنلاحظ أن النص الذي يأتي بعد

Ds يمثل الآي بي ، pt يمثل المنفذ

No-IP = ds

Port = pt

وبالضغط على Ctrl+F يمكن البحث عن ds و pt بسهولة مع مراعاة تغيير نوع البحث إلى Text

مع ملاحظة أن التشفير يفك تلقائيا أثناء تنفيذ الخادم وذلك في الذاكرة، لذلك ظهرت برامج كثيرة

تقوم بتحليل العمليات التي تقيم في الذاكرة مثل برنامج OllyDbg







ثانيا: مراقبة ملف الخادم واكتشاف الأماكن التي ينسخ نفسه فيها



أ. مجلدات النظام

بنفس الطريقة سنقوم بتكوين خادم بالبيانات التالية

DNS/IP : 127.0.0.1

Port: 5656

Filename: Virus.exe

Start up name: Virus

ونسميه ASG.exe

الآن سنحتاج لبرنامج Filemon وهو مرفق.

نقوم بتشغيله ونذهب الى التالي









ومن ثم نضيف الآتي







نضغط ok ولا نغلق البرنامج

الآن نذهب للخادم ونقوم بتشغيله ولا تخف سنزيله بسهولة بعد ذلك

وسيقوم برنامج Filemon بمراقبة الملف في كل عمليته تقريبا









سيقوم البرنامج بتظليل عملية Create وهي إنشاء نسخة من الخادم في أي

مجلد آخر وسنلاحظ أن البرنامج تعرف على عملية إنشاء ناجحة في المسار

C:\WINDOWS\system32

باسم Virus.exe

ببساطة اذهب للملف (نقر مزدوج على المسار) وقم بحذفه

إزالة هذا الملف يعني إزالة الخادم إن لم يضع قيم في الرجستري

أو يحقن نفسه بتقنية روت كيت





ب. قيم الريجستري



سنحتاج لبرنامج Regmon وهو شبيه جدا بأخيه Filemon (مرفق)



وبنفس الطريقة تماما نقوم بتحديد الملف الذي سوف يُراقب







نلاحظ أن أخطر الطلبات هي ؤceatekey و setvalue

تأكد كتابة الطلبات بالحروف الصغيرة





__________________




mario غير متواجد حالياً   رد مع اقتباس
قديم 12-24-2006, 03:11 AM   #2 (permalink)
عضو شرف !!
 




 
pirate_1012 على طريق التميز

افتراضي





pirate_1012 غير متواجد حالياً   رد مع اقتباس
إنشاء موضوع جديد  إضافة رد

مواقع النشر (المفضلة)

جديد مواضيع قسم الهاكر و الحماية

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are معطلة
Pingbacks are معطلة
Refbacks are معطلة



الساعة الآن 03:14 PM


منتديات داونلودز2

RSS RSS 2.0 XML MAP HTML
 

 

   Downloadiz2.Com - Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd