بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله تعالى وبركاته
كيف حالكم الاخوة الكرام
والله انا اعتذر منكم لانو لي فترة طويلة لم انزل مواضيع وذالك لعدة اسباب
* اخر موضوع كان لي اتهمني حشرات الفحص بالتلغيم
* ضروف العمل ......
* سبب اخر ايضا حقيقة والله اني كسول ولا احب الكتابة
والله انا قررت عمل هذا الدرس لانو في الايام الاخيرة كثر الهرج والخلط والعبث والاطفال في هذا المنتديات العربية
والله انا لما اقرا بعض شروحات تشفير الاخوة راسي يؤلمني من كثرة الخلط
=========================
في درسي الاول حول التشفير والذي ثبت
استهدفت طرق التشفير العشوائي التي لا تعتمد على اساس تحديد القيمة المكشوفة من ثم تصفيرها او التعديل عليها
والله الدرس جاب نتيجة طيبة في البداية لكن الان
الاحظ طرق عشوائية بديلة ضهرت
ساعطيكم مثال
المرة السابقة رايت شخص في المنتدى واضع قيم مكشوفة لسرفره لكل الحمايات
وواضع عنوان طريقة تشفير سرفر بويزن من الكل.......
!!!!!!
والشيء المحير انو لا احد قام بتوجيهه او نصحه حتى بعض المشرفين يمرون مرور الكرام ويقولون كفوؤ كفوؤ
حاولت انا ان انبهه فبدا بالاستهزاء هههه لا علينا ........[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
ردي له هو هذا الدرس لعله يشفى من سذاجته [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
=======================================
السلام عليكم ورحمة الله تعالى وبركاته
كيف حالكم الاخوة الكرام
والله انا اعتذر منكم لانو لي فترة طويلة لم انزل مواضيع وذالك لعدة اسباب
* اخر موضوع كان لي اتهمني حشرات الفحص بالتلغيم
* ضروف العمل ......
* سبب اخر ايضا حقيقة والله اني كسول ولا احب الكتابة
والله انا قررت عمل هذا الدرس لانو في الايام الاخيرة كثر الهرج والخلط والعبث والاطفال في هذا المنتديات العربية
والله انا لما اقرا بعض شروحات تشفير الاخوة راسي يؤلمني من كثرة الخلط
=========================
في درسي الاول حول التشفير والذي ثبت
استهدفت طرق التشفير العشوائي التي لا تعتمد على اساس تحديد القيمة المكشوفة من ثم تصفيرها او التعديل عليها
والله الدرس جاب نتيجة طيبة في البداية لكن الان
الاحظ طرق عشوائية بديلة ضهرت
ساعطيكم مثال
المرة السابقة رايت شخص في المنتدى واضع قيم مكشوفة لسرفره لكل الحمايات
وواضع عنوان طريقة تشفير سرفر بويزن من الكل.......
!!!!!!
والشيء المحير انو لا احد قام بتوجيهه او نصحه حتى بعض المشرفين يمرون مرور الكرام ويقولون كفوؤ كفوؤ
حاولت انا ان انبهه فبدا بالاستهزاء هههه لا علينا ........[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
ردي له هو هذا الدرس لعله يشفى من سذاجته [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
=======================================
بسم الله بداية الدرس
في درسي هذا قلت انو اعطي القليل من الكثير
1peu 2 tout
انا اعطيكم الافكار وانشاء الله نراكم ابطال وتنتقدون كل من ياتكم بالافكار الخاطئة
قبل ان تقول انا مشفر افهم
طريقة كشف الحماية للباتش او السرفر
تكشف الحماية السرفر على مستويين ..او نقول هناك معيارين لكشف الحماية للسرفر
* المستوى الاول ...الكشف على مستوى البروسيسور process or assambly
* المستوى الثاني الكشف على مستوى انضمة العد hexadecimal
قبل شرح اي نقطة من هذه يجب عليكم معرفة بعض المسلمات او البديهيات
والتي كما لحضت الكثير الكثير يتجاهلها
1. لا تكون الاوفسات المكشوفة من الحماية متشابهة في جميع السرفرات
2. الحماية لا تركز على قيمة واحدة في عملية الكشف راح اشرحها لاحقا
3. كل انتيفايرس لديه نضام وهمي مساعد في عملية الكشف VM
4. عند فحص برنامج معين تقوم الحماية بفحص الاول على مستوى القرص الصلب والثاني على مستوى الذاكرة
5. كل انتيفايرس لديه قاعدة بيانات كبيرة جدا تراقب الذاكرة لها اتصال دائم بالشركة الام
===========================
==========================
معالجة الحماية للبرنامج الملوث عند نزوله في الجهاز
سوف احاول الان شرح اوتوماتكية الكشف
عند استقبال برنامج به بريمج خبيث وقبل تنفيذه وعند فحصه تقوم الحماية بفحص جميع البايتات التي يحتويها البرنامج بايت بايت ومطابقتها بمعطيات التي تحتويها قاعدة البيانات
وتحتوي هذه القاعدة على
جميع البيانات التي تم جمعها من برامج ضغط وتشفير كثييرة يتم تحديثها باستمرار من قبل الشركة الام
وعند وجود تطابق في قيم معينة ترن الحماية اما عند وجود تشابه في القيم تقوم الحماية بارسال تقرير يحلل من قبل الشركة
لحد الان هذا فحص اولي
الخطوة الثانية . تقوم الحماية بفتح البرنامج في الجهاز الوهمي vm
يسال البعض ماهو vm؟؟؟؟؟
ان لاحضت ان الحماية تسبب في بطىء الجهاز وهذا لانك عندما تثبت برنامج حماية يقوم بتكوين نضام داخل نضامك.
ويعتبر هذا الاخير وهميا وله نفس خصائص النضام الحقيقي ويتميز باحتوائه لذاكرة وهمية
حيث تقوم الحماية بعملية تنفيذ هذا البرنامج في النضام الوهمي ثم تقوم بفحصه ومراقبته على مستوى الذاكرة دون ان يتاثر جهازك
عند تنفيذ اي برنامج تحول برمجته الى لغة الاسمبلي ليستطيع البروسيس فهمه وتشغيله وهنا تكمن قوة برامج الحماية .....
اي انه اي تشفيرة سطحية ببرامج تشفير او ضغط ...عند تنفيذ البرنامج تعود لصيغتها الاصلية وهي لغة الاسمبلي
مثال التشفير ببرنامج اتوات ... عند الفحص ببعض الحمايات يعطيك نتيجة كلين على مستوى القرص الصلب عند فتحه يكتشف بسهولة على مستوى الذاكرة
========================
نرجع الان الى مستويات كشف الفيروسات
========================
اولا الكشف على مستوى البروسيس
نعلم ان كل البرامج بشتى لغات برمجتها C++ OR DELPHI OR PHP OR VISUAL BASIC ....ETC
عندما تنفذ في الجهاز يتم تحويلها على مستوى الميمواري الى الغة الام وهي الاسمبلي
اللغة الوحيدة والتي يفهمها البروسيسور هي لغة التجميع
ويقوم البروسيس بمعالجة اي برنامج على اساس نقطة الادخال او بداية البرنامج
كما قلنا سابقا لكل حماية قاعدة بيانات كبيرة تحتوي على العديد من التشفيرات والاكواد المضللة للحماية والتي غالبا ما تاتي في بدايات البرامج الخبيثة
اي عندما يفحص السرفر على مستوى الذاكرة تقوم الحماية مباشرة بالذهاب الى OPE
وتبدا بعملية مقارنة اكواد البرنامج بمعطيات قاعدة البيانات
التطابق يؤدي بطبيعة الحال الى كشف السرفر
وبالمناسبة اريد ان اقول للبعض الذين لا يؤمنون بتشفير بالاسمبلي ويقولون انه تشفير سطحي ههه
انو التشفير بالاسمبلي يعالج مباشرة الصيغة النهائية للسرفر على مستوى البروسيس
اي انك اذا شفرت سرفرك على مستوى الذاكرة او البروسيس فانت ضربت الهدف مباشرة
يعني اذا صعب عليك فهم اكواد الديبغر ..ليس بالضرورة ان تذم هذه الطريقة .....
والله انا اتحير على بعض الاخوة الذين ياتون باكواد من المنتديات الاجنبية ههه
بطبيعة الحال الاجانب يعطيك الكود بعد انكشافه واذا انكشف الكود من حماية واحدة ...اكبر اجل لدوامه هو8ايام وينكشف من الكل ويصبح وسيلة تساعد الحماية في الكشف عن القيمة الخبيثة والاخوة ليومنا هذا مازالو ينزلو في اكواد العصر الحجري
هههههههه [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
حبيت اقول لكم كلمة تعلم كتابة الاكواد افضل من تعلم نقلها بين المنتديات ....
والي يكتب كود يحتفظ به لنفسه كي يدوم[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
على كل حال انا اعطيت فكرة خفيفة عن هذا الجانب ولن اتعمق اكثر في هذا الجانب لانه يعتبر برايفت
خخخخخخخ
ولانو هدفي هو معالجة مهزلة فهم البعض للتشفير بالهكس
=============================
اما الكارثة العضمى وهي
كشف السرفر على مستوى نضام العد
هههههههههه
راح اسالكم سؤال والله انا اعلم ان كبار المشفرين العرب لا يعلمون جوابه
القيمة اذا كشفت في السرفر هل تبقى مكشوفة للابد ؟ او فقط لمدة معينة وتصبح قيمة عادية ؟؟؟
مع كل احتراماتي اذا لم تكن تعلم الجواب لا تنزل مواضيع تشفير ثانية وتعلم اسس التشفير قبل ان تشفر
مع اني اعلم ان الاغلبية لا يعلم الجواب راح اقوم باجوبة افتراضية
* اذا قلتم نعم القيمة تبقى مكشوفة للابد هههههههههههه
والله كارثة معناه انو كل قيم السرفر مكشوفة حاليا
اي ان كل مرةتنكشف 10 قيم راح يجي وقت اين تنكشف جميع القيم وتصبح اي قيمة تكتبها في السرفر تعتبر مكشوفة وراح يحدث اختلاط في البرامج حيث ان الحماية ستعالج كل البرامج التي لها نفس الاوفيسات المكشوفة على انها فيروسات وهذا مستحيل
هههههه ...شيء سخيف جدا
* اذا قلتم لا اعطوني التعليل .....؟؟؟
هل القيمة تكشف دوريا او شهريا او عند غروب الشمس ثم ترجع وتصبح عادية بعد بزوغها ,,؟؟[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
المهم كفانا مزاحا وتابعو معي الدرس....
لا علينا ..والله انا ساعطيكم مبدا الكشف ...لكن امل ان لا ارى مواضيع تشفير جوفاء وليس لها معنى
فقط تزيد من تضليل المبتدئين وابعادهم عن الطريق الصحيح
..الاخوة الذين يقولون غير القيمة كذا وكذا .. يتشفر السرفر
واخرون يقولون القيم المكشوفة من الافيرا هي كذا وكذا ....
ههههه
ساعطيكم لمحة عن طرقي في التشفير ...وارجو ان لا تعيدو خطاء كهذا
فوالله من يقول شيء كهذا كانه لا يعرف ما معنى التشفير
اولا الحماية عندما تقوم بعملية معالجة السرفر او البرنامج الملوث
تقوم بفرزه بدقة عالية بايت بايت ...ومقارنة بياناته بالبيانات المتوفرة في قاعدة البيانات كما ذكرنا سابقا
اما الاساس في عملية المقارنة فهو ليس الاوفست بحد ذاته كما يضن الاخوة
والله الامر مو بهذه السهولة والبساطة
فالحماية تاخذ سلسلة من القيم او الاوفسات تكون متقاربة او متباعدة المكان. يتميز بها التصنيف المكشوف
مع الاخذ بعين الاعتبار
مكان الاوفست وقيمة الاوفست وحجم البرنامج الملوث او السرفر .... لنسمي هذه السلسلة من القيم مثلا الترتيبات
* البعض يسالني لماذا يا اخي الحجم ؟؟؟؟؟
ممم... الحجم يا اخي له دور كبير في معرفة مكان حقن السرفر اذا كان برنامج ملوث
ومعرفة مكان ثنائيات الترتيبة المكشوفة بالضبط وهذا في السرفر او الباتش
هي عملية معقدة جدا لكن راح اقلك كلمة
معرفة الحجم يقضي على مشكلة التوافق في امكنةالثنائيات المكونة للترتيبة المكشوفة ........
وضبط المسافة بين مختلف هذه الثنائيات
نعطي مثال على الترتيبات المكشوفة
(22.E4) (1054.b1) (1254.a7) (2015.00) (3471.00) (3548.B2)
هذه عبارة عن ترتيبة مكشوفة وهي سلسلة من الثنائيات تمثل كل ثنائية مكان وقيمة الاوفست
وتغير او تعديل اي ثنائية من هذه الثنائيات راح تصبح الترتيبة غير مكشوفة وبالتالي تشفير الفايرس
اعرف ان الامور بدات تختلط لذا ساعطيكم مثال
هذه الصورة تمثل التصنيفات المكشوفة من السيمونتاك بالتواريخ
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
ممم
تلاحظ ان الشركة وضعت لك جدول يشمل جميع بيانات القيم المكشوفة
راح نحلل قليلا بطبيعة الحال كل تصنيف من الجدول له حصة كبيرة جدا في قاعدة بيانات الحماية
لنتعمق قليلا ونرى مضمون هذه القاعدة
مثال التصنيف
packed generic . 254
يحتوي هذا التصنيف على مجموعة كبيرة من الترتيبات والتي تطابق هذا التصنيف
نحن شرحنا ما معنى الترتيبات في السابق
لاحضو معيالصورة التالية
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
انا عملت جدول تبسيطي لشرح قاعدة البيانات لدى الحمايات
وانا وضحت في الجدول التصنيف
packed generic 254
اوضحت ايضا معيار البروسيسور للكشف وتوضع فيه جميع بدايات البرامج الخبيثة بلغة الاسمبلي
بطبيعة الحال مع مراعاة نقاط الادخال
وتوضع فيه ايضا جميع اكواد المضللة للحماية والمكشوفة بتحديث دائم من الشركة الام
اما القسم الثاني وهو الكشف حسب معيار نضام العد
انا ضربت مثال باعطاء 4 ترتيبات وهمية
لنفرض ان وجود اي ترتيبة من هذه الترتيبات في البرنامج الحماية ترن بوجود قيمة خبيثة
تحت التصنيف السابق ذكره
نحن نريد تشفير هذا السرفرفتعديلنا لقيمة اي اوفست من هذه الثنائيات راح ينتج عنه تشفير السرفر باكمله
هذا ان لم يكن تعديلنا الجديد مطابق لترتيبة اخرى مكشوفة من تصنيف اخر
لنضرب مثال احيانا عندما نقوم بعمليات تشفير ونغير قيمة محددة يتشفر السرفر من التصنيف الاول
ويضهر لنا تصنيف جديد معناه ان القيمة بعد التعديل انتجت لنا ترتيبة جديدة مكشوفة من طرف الحماية بتصنيف اخر
لذا انصح بتغيير مكان التعديل اي نختار ثنائية اخرى من نفس الترتيبة ونقوم بالتعديل عليها
..تقريبا وصلنا لنهاية الدرس ...لكن يجي واحد يسالني
كيف نستخرج الترتيبة المكشوفة من السرفر؟؟؟؟؟
الجواب
شاهد الفيديو في الاسفل
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[فقط الاعضاء المسجلين هم من يمكنهم رؤية الروابط. اضغط هنا للتسجيل]
====================================
القيم جين
بالمناسبة عندي ملاحضة على القيم جين والتي اغلبكم فاهمها بصورة خاطئة اتعلمون لماذا القيم الجين لا تتشفر عند تغييرها ؟
لانها اوفست ياخذ القيمة 00 وتكون قيمة تابعة لترتيبة مكشوفة ..اي ان تشفيرها مرتبط بتشفير قيمة اي ثنائية اخرى تابعة لنفس الترتيبة
ان لاحضتم في الجدول انا مبينها باللون الاحمر
شيء اخر رايت ان الاغلبية من الاخوة يؤمنون بمسلمات في علم التشفير لا اساس لها من الصحة
مثلا الشخص الذي يقول القيمة جين تعالج بحذفها ثم ادخالها بنفس القيمة اي 00
هههههه
والله ان ذكرت كلمة كهذه في منتديات اجنبية ستصبح اضحوكة [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
القيمة بالهكس =00 انت تحذفها ثم تعيد ادخالها بالهكس 00 اي بنفس القيمة
؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
فقط قولولي كيف ستتشفر القيمة ؟؟؟؟
مع كل احترامي لا اجد تفسيرا لمثل هذا الكلام الفارغ والذي تطور نتيجة عدم النقاش
او طرح اسئلة او ملاحضات وها نحن ماشاء الله اصبحنا نعتمد هذه الاعتقادات كنضريات ثابتة
المهم لاحضو معي ليس هناك عملية اسمها الحذف ثم التصفير في نضام
hexadecimal
الهكس هو الهكس
b2=b2 F7=F7 00=00
حتى وان حذفتها مليون مرة
اي انو الحذف ثم التصفير هو نفسه التصفير المباشر فقط زائد تعب هه
راح اقلكم الاخوة لماذا يضنون انو الحذف والتصفير هو طريقة ناجحة من للتشفير من القيم جين
لانهم يفتحون الهكس و يعملون بخاصية select block
اي انهم يحذفون عددا من الاوفست ويعيدون ادخاله بقيمة اصفار
ثم بعد ذالك يفحصون السرفر يجدوه تشفر ثم يجزمون بان القيمة جين تشفرت عن طريق الحذف والتصفير
بينما في حقيقة الامر ان السبب الحقيقي في تشفير هذه القيمة هو في عملية التصفير عدلو على قيمة اخرى في نفس ترتيبة القيمة جين
وبالتالي نتج عن هذه العملية تشفير الترتيبة كلها بما في ذالك القيمة جين
كما قلنا القيمة جين لا تتشفرفي حد ذاتها وانما هي تعتمد على قيم اخرى في نفس الترتيبةوهنا تكمن قوتها
راح اقلكم نضرية ممكن الذين يفهمون في التشفير راح يستوعبوها
القيمة generic والتي تاخذ الاوفست 00 هي عبارة عن قيمة مكشوفة منحيث المكان لا القيمة
معناه القيمة مهما تغيرها راح تبقى مكشوفة ..لانو مكانها مكشوف طبقا للترتيبة ومراعاة
للثنائيات الاخرى
اذا كان سرفر يحتوي على قيمة 00 ومكشوفة او بعض الحالات من القيم جين كما تسمونها
فالطريقة التي انا مسويها في الفيديو لا تنجح في استخراج الترتيبة المكشوفة
التشفير عن طريق خاصية select block بالهكس يكون فعالا ويعطي نتيجة افضل وهناك طرق اخرى اسهل وادق لاستخراج الترتيبات التي تحتوى على هذا النوع من القيم اذا وفقني الله راح انزلها في اقوى دورة عربية لتعليم التشفير السليم
ملاحضة ليس جميع القيم جين تاخذ الاوفست 00
قيم ثنائية الاوفست
هي عبارة عن ترتيبة مكشوفة من الحماية يعتمد تشفيرها على التعديل في ثنائيتين معا من نفس الترتيبة
غالبا ما تاتي هتين الثنائيتين اقصد الاوفست متجاورة
تقريبا هذه اخطر القيم في وقتنا الحالي
ايضا نقطة مهمة
هدف الحماية
هدف الحماية في يومنا هذا هو جعل الترتيبات المكشوفة تحتوي على اكبر عدد ممكن من ثنائيات تشمل قيم برمجية تنفيذية وذات اوفست 00 اقصد قيم جين كما يسميها البعض
وذالك لكي يستحيل تغييرها او التعديل عليها ..... وتكون عائقا امام المشفرين
بالاضافة الى قيم ثنائية الاوفست
ونلالحظ ان هذه التقنية تعتمدها شركة الافيرا بصفة كبيرة
ايضا شركة النود 32
===========================
اما عن السرفرات الكلين التي انتم تشفوها كل يوم هههههه
اقلكم لا احد يرعبكم ...العرب كلهم مبتدئين والله الكلين الحقيقي عمل يتطلب وقت وجهد في تحميل برامج الحماية.
وجميع السرفرات التي تشاهدونها في المنتديات هي ناتجة اما عن التهريب من المنتديات الاجنبية او عن التشفير ببرامج التشفير المهربة من المنتديات الاجنبية الا من رحم ربك
اي انو المنتديات الاجنبية تطرح برامج تشفير بعد انكشافها من حماية او اثنين
ياتي الاخوة يطبقون التشفيرة على سرفرخارجي قابل للتشفير تبقى 3 او ا4 حمايات يدعسوها بالهكس وغالبا تكون القيمة المكشوفة نفسها بالنسبة للحمايات
اي انك تدعس حماية يطلع السرفر كلين
مع احترامي للكل ....ليس كل من ياتي بالكلين هو مشفر
اي شخص مبتديء يستطيع عملها فقط يحتاج لدراية ببعض المواقع الاجنبية + خبرة قليلة بالهكس
ملاحضة
في شرحي هذا تعمدت عدم ادخال كلمات باللغة الاجنبية او معقدة و لم ادخل في التفاصيل الدقيقة لان الموضوع يحتاج لكتاب كامل لشرحه وحاولت تبسيط الدرس لاقصى درجة ممكنة لاعطاء ولو فكرة سطحية عن التشفير السليم
لان هدفي الاساسي هو الحاق الفكرة للمبتدئين
حتى يشغلو مخاخهم قليلا ..ويبدون اراءهم في دروس من يسمون انفسهم المحترفين هههه
والله ليس من عادتي لعب دور البطولة في المنتديات العربية....[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
معضم مواضيعي مطروحة في المنتديات الاجنبية
واحيانا احب مشاركة الاخوة في المنتديات العربية
واتمنى ان نصبح مثل الاجانب في النقاش العلمي الجاد
للاسف هنا عندما يطرح شخص موضوع يجب على الجميع ان يشكره ويوافقه الراي وان ناقشه احد او اعطاه فكرة يتهيؤ لصاحب الموضوع كانه رفع سيفا في وجهه هههه[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
وتبدا معارك الكلام الفارغ
الشكر شيء محمود ..لكن النقاش الجاد والتوجيه شيء احمد واعضم
اهداء لكل الاشخاص الذين هم على باب دخول علم التشفير
لم اقل مبتدئين لاننا نعتبر الكل مبتدئين امام هذا العلم الكبير هه
منكم الاستفادة ودعاء بالرحمة لوالدي
والسلام عليكم
في درسي هذا قلت انو اعطي القليل من الكثير
1peu 2 tout
انا اعطيكم الافكار وانشاء الله نراكم ابطال وتنتقدون كل من ياتكم بالافكار الخاطئة
قبل ان تقول انا مشفر افهم
طريقة كشف الحماية للباتش او السرفر
تكشف الحماية السرفر على مستويين ..او نقول هناك معيارين لكشف الحماية للسرفر
* المستوى الاول ...الكشف على مستوى البروسيسور process or assambly
* المستوى الثاني الكشف على مستوى انضمة العد hexadecimal
قبل شرح اي نقطة من هذه يجب عليكم معرفة بعض المسلمات او البديهيات
والتي كما لحضت الكثير الكثير يتجاهلها
1. لا تكون الاوفسات المكشوفة من الحماية متشابهة في جميع السرفرات
2. الحماية لا تركز على قيمة واحدة في عملية الكشف راح اشرحها لاحقا
3. كل انتيفايرس لديه نضام وهمي مساعد في عملية الكشف VM
4. عند فحص برنامج معين تقوم الحماية بفحص الاول على مستوى القرص الصلب والثاني على مستوى الذاكرة
5. كل انتيفايرس لديه قاعدة بيانات كبيرة جدا تراقب الذاكرة لها اتصال دائم بالشركة الام
===========================
==========================
معالجة الحماية للبرنامج الملوث عند نزوله في الجهاز
سوف احاول الان شرح اوتوماتكية الكشف
عند استقبال برنامج به بريمج خبيث وقبل تنفيذه وعند فحصه تقوم الحماية بفحص جميع البايتات التي يحتويها البرنامج بايت بايت ومطابقتها بمعطيات التي تحتويها قاعدة البيانات
وتحتوي هذه القاعدة على
جميع البيانات التي تم جمعها من برامج ضغط وتشفير كثييرة يتم تحديثها باستمرار من قبل الشركة الام
وعند وجود تطابق في قيم معينة ترن الحماية اما عند وجود تشابه في القيم تقوم الحماية بارسال تقرير يحلل من قبل الشركة
لحد الان هذا فحص اولي
الخطوة الثانية . تقوم الحماية بفتح البرنامج في الجهاز الوهمي vm
يسال البعض ماهو vm؟؟؟؟؟
ان لاحضت ان الحماية تسبب في بطىء الجهاز وهذا لانك عندما تثبت برنامج حماية يقوم بتكوين نضام داخل نضامك.
ويعتبر هذا الاخير وهميا وله نفس خصائص النضام الحقيقي ويتميز باحتوائه لذاكرة وهمية
حيث تقوم الحماية بعملية تنفيذ هذا البرنامج في النضام الوهمي ثم تقوم بفحصه ومراقبته على مستوى الذاكرة دون ان يتاثر جهازك
عند تنفيذ اي برنامج تحول برمجته الى لغة الاسمبلي ليستطيع البروسيس فهمه وتشغيله وهنا تكمن قوة برامج الحماية .....
اي انه اي تشفيرة سطحية ببرامج تشفير او ضغط ...عند تنفيذ البرنامج تعود لصيغتها الاصلية وهي لغة الاسمبلي
مثال التشفير ببرنامج اتوات ... عند الفحص ببعض الحمايات يعطيك نتيجة كلين على مستوى القرص الصلب عند فتحه يكتشف بسهولة على مستوى الذاكرة
========================
نرجع الان الى مستويات كشف الفيروسات
========================
اولا الكشف على مستوى البروسيس
نعلم ان كل البرامج بشتى لغات برمجتها C++ OR DELPHI OR PHP OR VISUAL BASIC ....ETC
عندما تنفذ في الجهاز يتم تحويلها على مستوى الميمواري الى الغة الام وهي الاسمبلي
اللغة الوحيدة والتي يفهمها البروسيسور هي لغة التجميع
ويقوم البروسيس بمعالجة اي برنامج على اساس نقطة الادخال او بداية البرنامج
كما قلنا سابقا لكل حماية قاعدة بيانات كبيرة تحتوي على العديد من التشفيرات والاكواد المضللة للحماية والتي غالبا ما تاتي في بدايات البرامج الخبيثة
اي عندما يفحص السرفر على مستوى الذاكرة تقوم الحماية مباشرة بالذهاب الى OPE
وتبدا بعملية مقارنة اكواد البرنامج بمعطيات قاعدة البيانات
التطابق يؤدي بطبيعة الحال الى كشف السرفر
وبالمناسبة اريد ان اقول للبعض الذين لا يؤمنون بتشفير بالاسمبلي ويقولون انه تشفير سطحي ههه
انو التشفير بالاسمبلي يعالج مباشرة الصيغة النهائية للسرفر على مستوى البروسيس
اي انك اذا شفرت سرفرك على مستوى الذاكرة او البروسيس فانت ضربت الهدف مباشرة
يعني اذا صعب عليك فهم اكواد الديبغر ..ليس بالضرورة ان تذم هذه الطريقة .....
والله انا اتحير على بعض الاخوة الذين ياتون باكواد من المنتديات الاجنبية ههه
بطبيعة الحال الاجانب يعطيك الكود بعد انكشافه واذا انكشف الكود من حماية واحدة ...اكبر اجل لدوامه هو8ايام وينكشف من الكل ويصبح وسيلة تساعد الحماية في الكشف عن القيمة الخبيثة والاخوة ليومنا هذا مازالو ينزلو في اكواد العصر الحجري
هههههههه [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
حبيت اقول لكم كلمة تعلم كتابة الاكواد افضل من تعلم نقلها بين المنتديات ....
والي يكتب كود يحتفظ به لنفسه كي يدوم[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
على كل حال انا اعطيت فكرة خفيفة عن هذا الجانب ولن اتعمق اكثر في هذا الجانب لانه يعتبر برايفت
خخخخخخخ
ولانو هدفي هو معالجة مهزلة فهم البعض للتشفير بالهكس
=============================
اما الكارثة العضمى وهي
كشف السرفر على مستوى نضام العد
هههههههههه
راح اسالكم سؤال والله انا اعلم ان كبار المشفرين العرب لا يعلمون جوابه
القيمة اذا كشفت في السرفر هل تبقى مكشوفة للابد ؟ او فقط لمدة معينة وتصبح قيمة عادية ؟؟؟
مع كل احتراماتي اذا لم تكن تعلم الجواب لا تنزل مواضيع تشفير ثانية وتعلم اسس التشفير قبل ان تشفر
مع اني اعلم ان الاغلبية لا يعلم الجواب راح اقوم باجوبة افتراضية
* اذا قلتم نعم القيمة تبقى مكشوفة للابد هههههههههههه
والله كارثة معناه انو كل قيم السرفر مكشوفة حاليا
اي ان كل مرةتنكشف 10 قيم راح يجي وقت اين تنكشف جميع القيم وتصبح اي قيمة تكتبها في السرفر تعتبر مكشوفة وراح يحدث اختلاط في البرامج حيث ان الحماية ستعالج كل البرامج التي لها نفس الاوفيسات المكشوفة على انها فيروسات وهذا مستحيل
هههههه ...شيء سخيف جدا
* اذا قلتم لا اعطوني التعليل .....؟؟؟
هل القيمة تكشف دوريا او شهريا او عند غروب الشمس ثم ترجع وتصبح عادية بعد بزوغها ,,؟؟[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
المهم كفانا مزاحا وتابعو معي الدرس....
لا علينا ..والله انا ساعطيكم مبدا الكشف ...لكن امل ان لا ارى مواضيع تشفير جوفاء وليس لها معنى
فقط تزيد من تضليل المبتدئين وابعادهم عن الطريق الصحيح
..الاخوة الذين يقولون غير القيمة كذا وكذا .. يتشفر السرفر
واخرون يقولون القيم المكشوفة من الافيرا هي كذا وكذا ....
ههههه
ساعطيكم لمحة عن طرقي في التشفير ...وارجو ان لا تعيدو خطاء كهذا
فوالله من يقول شيء كهذا كانه لا يعرف ما معنى التشفير
اولا الحماية عندما تقوم بعملية معالجة السرفر او البرنامج الملوث
تقوم بفرزه بدقة عالية بايت بايت ...ومقارنة بياناته بالبيانات المتوفرة في قاعدة البيانات كما ذكرنا سابقا
اما الاساس في عملية المقارنة فهو ليس الاوفست بحد ذاته كما يضن الاخوة
والله الامر مو بهذه السهولة والبساطة
فالحماية تاخذ سلسلة من القيم او الاوفسات تكون متقاربة او متباعدة المكان. يتميز بها التصنيف المكشوف
مع الاخذ بعين الاعتبار
مكان الاوفست وقيمة الاوفست وحجم البرنامج الملوث او السرفر .... لنسمي هذه السلسلة من القيم مثلا الترتيبات
* البعض يسالني لماذا يا اخي الحجم ؟؟؟؟؟
ممم... الحجم يا اخي له دور كبير في معرفة مكان حقن السرفر اذا كان برنامج ملوث
ومعرفة مكان ثنائيات الترتيبة المكشوفة بالضبط وهذا في السرفر او الباتش
هي عملية معقدة جدا لكن راح اقلك كلمة
معرفة الحجم يقضي على مشكلة التوافق في امكنةالثنائيات المكونة للترتيبة المكشوفة ........
وضبط المسافة بين مختلف هذه الثنائيات
نعطي مثال على الترتيبات المكشوفة
(22.E4) (1054.b1) (1254.a7) (2015.00) (3471.00) (3548.B2)
هذه عبارة عن ترتيبة مكشوفة وهي سلسلة من الثنائيات تمثل كل ثنائية مكان وقيمة الاوفست
وتغير او تعديل اي ثنائية من هذه الثنائيات راح تصبح الترتيبة غير مكشوفة وبالتالي تشفير الفايرس
اعرف ان الامور بدات تختلط لذا ساعطيكم مثال
هذه الصورة تمثل التصنيفات المكشوفة من السيمونتاك بالتواريخ
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
ممم
تلاحظ ان الشركة وضعت لك جدول يشمل جميع بيانات القيم المكشوفة
راح نحلل قليلا بطبيعة الحال كل تصنيف من الجدول له حصة كبيرة جدا في قاعدة بيانات الحماية
لنتعمق قليلا ونرى مضمون هذه القاعدة
مثال التصنيف
packed generic . 254
يحتوي هذا التصنيف على مجموعة كبيرة من الترتيبات والتي تطابق هذا التصنيف
نحن شرحنا ما معنى الترتيبات في السابق
لاحضو معيالصورة التالية
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
انا عملت جدول تبسيطي لشرح قاعدة البيانات لدى الحمايات
وانا وضحت في الجدول التصنيف
packed generic 254
اوضحت ايضا معيار البروسيسور للكشف وتوضع فيه جميع بدايات البرامج الخبيثة بلغة الاسمبلي
بطبيعة الحال مع مراعاة نقاط الادخال
وتوضع فيه ايضا جميع اكواد المضللة للحماية والمكشوفة بتحديث دائم من الشركة الام
اما القسم الثاني وهو الكشف حسب معيار نضام العد
انا ضربت مثال باعطاء 4 ترتيبات وهمية
لنفرض ان وجود اي ترتيبة من هذه الترتيبات في البرنامج الحماية ترن بوجود قيمة خبيثة
تحت التصنيف السابق ذكره
نحن نريد تشفير هذا السرفرفتعديلنا لقيمة اي اوفست من هذه الثنائيات راح ينتج عنه تشفير السرفر باكمله
هذا ان لم يكن تعديلنا الجديد مطابق لترتيبة اخرى مكشوفة من تصنيف اخر
لنضرب مثال احيانا عندما نقوم بعمليات تشفير ونغير قيمة محددة يتشفر السرفر من التصنيف الاول
ويضهر لنا تصنيف جديد معناه ان القيمة بعد التعديل انتجت لنا ترتيبة جديدة مكشوفة من طرف الحماية بتصنيف اخر
لذا انصح بتغيير مكان التعديل اي نختار ثنائية اخرى من نفس الترتيبة ونقوم بالتعديل عليها
..تقريبا وصلنا لنهاية الدرس ...لكن يجي واحد يسالني
كيف نستخرج الترتيبة المكشوفة من السرفر؟؟؟؟؟
الجواب
شاهد الفيديو في الاسفل
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
[فقط الاعضاء المسجلين هم من يمكنهم رؤية الروابط. اضغط هنا للتسجيل]
====================================
القيم جين
بالمناسبة عندي ملاحضة على القيم جين والتي اغلبكم فاهمها بصورة خاطئة اتعلمون لماذا القيم الجين لا تتشفر عند تغييرها ؟
لانها اوفست ياخذ القيمة 00 وتكون قيمة تابعة لترتيبة مكشوفة ..اي ان تشفيرها مرتبط بتشفير قيمة اي ثنائية اخرى تابعة لنفس الترتيبة
ان لاحضتم في الجدول انا مبينها باللون الاحمر
شيء اخر رايت ان الاغلبية من الاخوة يؤمنون بمسلمات في علم التشفير لا اساس لها من الصحة
مثلا الشخص الذي يقول القيمة جين تعالج بحذفها ثم ادخالها بنفس القيمة اي 00
هههههه
والله ان ذكرت كلمة كهذه في منتديات اجنبية ستصبح اضحوكة [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
القيمة بالهكس =00 انت تحذفها ثم تعيد ادخالها بالهكس 00 اي بنفس القيمة
؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
فقط قولولي كيف ستتشفر القيمة ؟؟؟؟
مع كل احترامي لا اجد تفسيرا لمثل هذا الكلام الفارغ والذي تطور نتيجة عدم النقاش
او طرح اسئلة او ملاحضات وها نحن ماشاء الله اصبحنا نعتمد هذه الاعتقادات كنضريات ثابتة
المهم لاحضو معي ليس هناك عملية اسمها الحذف ثم التصفير في نضام
hexadecimal
الهكس هو الهكس
b2=b2 F7=F7 00=00
حتى وان حذفتها مليون مرة
اي انو الحذف ثم التصفير هو نفسه التصفير المباشر فقط زائد تعب هه
راح اقلكم الاخوة لماذا يضنون انو الحذف والتصفير هو طريقة ناجحة من للتشفير من القيم جين
لانهم يفتحون الهكس و يعملون بخاصية select block
اي انهم يحذفون عددا من الاوفست ويعيدون ادخاله بقيمة اصفار
ثم بعد ذالك يفحصون السرفر يجدوه تشفر ثم يجزمون بان القيمة جين تشفرت عن طريق الحذف والتصفير
بينما في حقيقة الامر ان السبب الحقيقي في تشفير هذه القيمة هو في عملية التصفير عدلو على قيمة اخرى في نفس ترتيبة القيمة جين
وبالتالي نتج عن هذه العملية تشفير الترتيبة كلها بما في ذالك القيمة جين
كما قلنا القيمة جين لا تتشفرفي حد ذاتها وانما هي تعتمد على قيم اخرى في نفس الترتيبةوهنا تكمن قوتها
راح اقلكم نضرية ممكن الذين يفهمون في التشفير راح يستوعبوها
القيمة generic والتي تاخذ الاوفست 00 هي عبارة عن قيمة مكشوفة منحيث المكان لا القيمة
معناه القيمة مهما تغيرها راح تبقى مكشوفة ..لانو مكانها مكشوف طبقا للترتيبة ومراعاة
للثنائيات الاخرى
اذا كان سرفر يحتوي على قيمة 00 ومكشوفة او بعض الحالات من القيم جين كما تسمونها
فالطريقة التي انا مسويها في الفيديو لا تنجح في استخراج الترتيبة المكشوفة
التشفير عن طريق خاصية select block بالهكس يكون فعالا ويعطي نتيجة افضل وهناك طرق اخرى اسهل وادق لاستخراج الترتيبات التي تحتوى على هذا النوع من القيم اذا وفقني الله راح انزلها في اقوى دورة عربية لتعليم التشفير السليم
ملاحضة ليس جميع القيم جين تاخذ الاوفست 00
قيم ثنائية الاوفست
هي عبارة عن ترتيبة مكشوفة من الحماية يعتمد تشفيرها على التعديل في ثنائيتين معا من نفس الترتيبة
غالبا ما تاتي هتين الثنائيتين اقصد الاوفست متجاورة
تقريبا هذه اخطر القيم في وقتنا الحالي
ايضا نقطة مهمة
هدف الحماية
هدف الحماية في يومنا هذا هو جعل الترتيبات المكشوفة تحتوي على اكبر عدد ممكن من ثنائيات تشمل قيم برمجية تنفيذية وذات اوفست 00 اقصد قيم جين كما يسميها البعض
وذالك لكي يستحيل تغييرها او التعديل عليها ..... وتكون عائقا امام المشفرين
بالاضافة الى قيم ثنائية الاوفست
ونلالحظ ان هذه التقنية تعتمدها شركة الافيرا بصفة كبيرة
ايضا شركة النود 32
===========================
اما عن السرفرات الكلين التي انتم تشفوها كل يوم هههههه
اقلكم لا احد يرعبكم ...العرب كلهم مبتدئين والله الكلين الحقيقي عمل يتطلب وقت وجهد في تحميل برامج الحماية.
وجميع السرفرات التي تشاهدونها في المنتديات هي ناتجة اما عن التهريب من المنتديات الاجنبية او عن التشفير ببرامج التشفير المهربة من المنتديات الاجنبية الا من رحم ربك
اي انو المنتديات الاجنبية تطرح برامج تشفير بعد انكشافها من حماية او اثنين
ياتي الاخوة يطبقون التشفيرة على سرفرخارجي قابل للتشفير تبقى 3 او ا4 حمايات يدعسوها بالهكس وغالبا تكون القيمة المكشوفة نفسها بالنسبة للحمايات
اي انك تدعس حماية يطلع السرفر كلين
مع احترامي للكل ....ليس كل من ياتي بالكلين هو مشفر
اي شخص مبتديء يستطيع عملها فقط يحتاج لدراية ببعض المواقع الاجنبية + خبرة قليلة بالهكس
ملاحضة
في شرحي هذا تعمدت عدم ادخال كلمات باللغة الاجنبية او معقدة و لم ادخل في التفاصيل الدقيقة لان الموضوع يحتاج لكتاب كامل لشرحه وحاولت تبسيط الدرس لاقصى درجة ممكنة لاعطاء ولو فكرة سطحية عن التشفير السليم
لان هدفي الاساسي هو الحاق الفكرة للمبتدئين
حتى يشغلو مخاخهم قليلا ..ويبدون اراءهم في دروس من يسمون انفسهم المحترفين هههه
والله ليس من عادتي لعب دور البطولة في المنتديات العربية....[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
معضم مواضيعي مطروحة في المنتديات الاجنبية
واحيانا احب مشاركة الاخوة في المنتديات العربية
واتمنى ان نصبح مثل الاجانب في النقاش العلمي الجاد
للاسف هنا عندما يطرح شخص موضوع يجب على الجميع ان يشكره ويوافقه الراي وان ناقشه احد او اعطاه فكرة يتهيؤ لصاحب الموضوع كانه رفع سيفا في وجهه هههه[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
وتبدا معارك الكلام الفارغ
الشكر شيء محمود ..لكن النقاش الجاد والتوجيه شيء احمد واعضم
اهداء لكل الاشخاص الذين هم على باب دخول علم التشفير
لم اقل مبتدئين لاننا نعتبر الكل مبتدئين امام هذا العلم الكبير هه
منكم الاستفادة ودعاء بالرحمة لوالدي
والسلام عليكم
عدل سابقا من قبل boukaissi في الجمعة أبريل 30, 2010 1:35 am عدل 1 مرات