VIVO Administrators
الجنس : المشاركات : 41 التقييم : 0 العمر : 28 الوسام :
| موضوع: صناعة الفايروسات من الدرس الاول حتى الدرس العاشر الإثنين فبراير 06, 2012 12:24 am | |
| صناعة الفيروسات الاحترافية الحمد لله والصلة والسلام على سيدنا محمد عبده ورسوله وبعد نشكر ادارتنا الكريمة على فتح مجال الاستقلاليه لقسم الفايروسات نظرا لرؤيتهم الصائبه تجاه ذلك المجال الهام وبعد: الكثير من الهاكرز بالرغم من قدرتهم الرائعه فى اقتحام الأجهزه والمواقع والمنتديات والشبكات واخيرا المنتديات
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
الا ان هؤلاء الهاكرز يفتقدون الى تصنيع الفيروسات وان حاولوا فيحاولوا عن طريق اتباع الاوامر المركبه فقط *.bat لكن الان اصبحت تلك الطرق رديئه غير مؤثره وان فلحت فانها تفلح فى بعض الانظمة دون الاخرى ويكون الملف فايروس وليس دودة انتشار واعتقد ان جميع الاخوه يعرفون الفرق بين الدودة والفايروس لكنها ملخص الكلام فى هذا الِأن كالتالى: الدودة: هى ذلك الملف التنفيذى القادر على نسخ نفسه داخل جهاز الضحيه منتهزا الفرصه فى الانتقال عبر الاميلات والمواقع لاصابة عدد اكثر من الضحايا ويعتبر نمو الدودة هنا فى الاجهزه والشبكه العنكوبتيه بنمو متوالية هندسية اى نسخ الضعف ثم نسخ وانتشار ضعف الضعف ثم نسخ وانتشار ضعف القيمة السابقه مثلا ملف يصبح ملفين ثم يصبح 4 ثم 16 ثم 32 وهكذا الدودة وظيفتها فقط ابلاغ رسالة محددة دون ادنى تأثير داخل الاجهزه المصابة اما الفايروس :هو ذلك الملف المختبأ داخل جهاز الضحيه والذى يحمل امر تخريب او عدة اوامر تخريبية للأجهزه ومستوى النسخ له ضئيل والانتشار فقط عن طريق تبادل الملفات والبرامج الملوثه به ام حصان طروادة فهو الملف الذى يحوى ملف اخر متطفل داخله للخداع والمنتهز لوقت ما لتنفيز اوامر التخريب والهاكات اى ان طروادة عباره عن فايروس او باتش مقنع لخداع الضحيه
كان هذا هو الفرق الواضح بين هذه الطفيليات الالكترونية
********************
عوامل نجاح الفايروس او الدودة هناك عوامل يجب ان تتوفر فى فايروسك او دودتك لكى تغزو به الضحيه دون ادنى شك منه ومنها عوامل ظاهريه وعوامل برمجيه العوامل الظاهريه:حجم الفايروس لا يزيد حجمه عن 100 او 150 كيلو بايت وبالطبع يفضل ان يكون حجمه اصغر :امتداد الفايروس استخدام اى برامج دمج لتغير الامتداد فاشلة فقط الامتداد التنفيذى والخداع والذى يكون عن طريق ايقونة الفايروس مثلا يعنى صورة تاخذ ايقونة الصوره ملف كتابى تأخذ ايقونة الورد او حتى ام بى 3 تاخذ ايقونته لكن بالطبع الامتداد ثابت exe انا استخدام دائما ايقونة الفولدر ونظام الشورت كت للخداع وسوف اشرح تلك النقطه لاحقا يفضل ان يرفع فايروسك مضغوط وينزيب او رير لان الكثير من مواقع الرفع ترفض الملفات ذات الامتداد التنفيذى ونلجأ للرفع عند وضع وظيفة وقتيه لتحميل الفايروس نفسه من موقع مثال لهذا فايروس يقوم بارسال رابط له عبر الفيس بوك حيث يكون الارسال او توماتيكى دون تدخل الضحيه ويكون ارسال متكرر او محدد بفترة زمنيه يفضل ان تكون نافذة الفايروس شاكلة اسمه بمعنى صوره يظهر صوره وهكذا لكن الافضل ان تبرمج فايروسك على فتح برنامج الاكد سى مثلا وهذا فقط حتى لاتزيد من حجم فايروسك اى يفضل ان يكون الفايروس مخفى الظهور سواء برساله او نافذه مستقلة حتى لاتثير اهتمام الضحيه مقال اخر بسيط انا اريد ان اصمم فايروس على هيئة مقال ما 1-ضع فى الحسبان ان تكون الايقونة مثلا ايقونة النوت باد او الورد 2- يفتح الفايروس الورد مثلا متبوعا برسالة خطأ من فايروسك لاقناع الضحيه ان الملف لم يتم نقله بصوره صحيحه ولكن هذه الخطوه لاتحدث الا مره واحده فقط عند محاولة فتح الملف نفسه ولاتظهر عند مثلا تشغيل الفايروس نفسه عند فتح الجهاز فلايجوز ان تظهر الورد وراسلة الخطأ فى كل مره يعيد فيها الضحيه تشغيل جهازه لانه يتاكد من التكرار فايروس اما حدوثها لمره واحده فقط فهو مقنع جدا 3- يكون تنفيذ الاوامر مرتبط بوقت ما من بعد تشغيل الفايروس اى يكون الضحيه مشغول بشىء اخر عند تنفيذ الفايروس لمهامه 4- ان يكون فايروسك مدفوسا داخل فولدرات الضحيه فانا مثلا ابحث عن فولدرات الموسيقى والالعاب ثم ينسخ الفايروس فيها نفسه وهذا طبعا لان هذه الفولدرات هى اكثر الفولدرات المتبادلة بين المستخدمين كانت هذه اهمعوامل نجاح فايروسك او دودتك وبدون عناء لكن هناك عوامل سحرية اخرى سوف اسردها فى الدرس الاحق باذن الله والمطلوب اخوانى فقط هو القراءه والفهم فقط لفايروس سالجا ( فايروس كوبى) فهذا الفايروس مازال نشطا حتى الان وللقراءه اكتب فقط فى جوجل copy.exe salga worm او اكتب perlovga worm
هذه الاسماء كانت للدوده العربية الشرسه التى صممتها و نشرتها فى عام 2004 والتى صنفت فى عام 2010 بانها اقوى ثالث دودة على مستوى العالم ويكفى ان اقول اننى والحمد لله من صمم فايروس copy.exe الذى انتشر بشكل مهوول فقط اسال عن بارباروسا فى عهد موب وهتلر جده بهذا الفايروس كنت احد مشرفى قسم الفايروسات فى موقع القراصنه العرب فقط ابحث فى الموقع عن اسم العضو parparosa
ونستكمل باذن الله فى الدرس اللاحق مع تحيات parparosa
u3GKUMsd
النسخ والاستنساخ هذه العمليه هى الاهم كما تحدثنا لاى دودة نعم يوجد فرق بين النسخ والاستنساخ فالاولى:هى نسخ الدودة لنفسها بالضبط دون اى تغير فى المهام التى سوف تقوم بها النسخ مباشرة اما الاستنساخ: فهو تخليق الدودة دودة اخرى تشبها كثيرا فى ولها نفس نواة البرمجه لكن هناك مهام مختلفة لها عند تنشيطها مثال للفهم عندنا مثلا ورم تدعى بلاببلا ورم اذا قامت بنسخ نفسها بالضبط فى الشكل والحجم والمهام والخصائص تكون هذه العملية هى النسخ اما اذا قامت الدودة بلابلا ورم بنسخ نسخه منها مختلفه عنها فى اى شىء من السابق ذكره كما انها تخلق ملف اخر مثل ملف اوتو رن فهذا هو الاستنساخ بمعنى اخر (النسخ المخلق) والاخيره هى اخطر عمليه وتحدث وحينئذ تدعى الدودة بالدوده المفيرسه وهى الاخطر على الاطلاق حيث تبذل مضاد الفايروسات كل جهدها فى كشف الملفات ذات التماثل فقط من الدوده دون التوجه الى اى ملفات اخرى مختلفه فى الجهاز ومثال لذلك ورم copy.exe هذا الملف خلقته دودتى سالجا ورم فى عام 2004 وبعد الانتشار الواسع اتمسك ملف الدودة نفسها ولقى اى ملف مخلق اخر مثل الملف الذى كان يدعى copy.exe حيث نشط الاخير فى عام 2007 والحمد لله كان خطيرا جدا وخلق هو الاخر ملفين temp.exe والذى نشط هو الاخر فى عام 2010 وحتى الان مازالت تقدم الدوده خدماتها لى والحمد لله تعالى ملخص الكلام الاستنساخ هو الاخطر من النسخ ولكل واحد منهم صورته بالتفصيل وهى كالتالى اولا النسخ
نسخة ورم نسخه بالضبط مثل الدوده الام حيث بحثت الام عن كل فولدرات الجهاز وقامت بالنسخ داخلها لذلك اقول كلما كانت الدودة اقل حجما كلما كانت ناجحه حيث لا يلاحظ الضحيه عملية النسخ الكبيره داخل جهازه عندما يعطى الضحيه بعض فولدرات الالعاب لمستخدم اخر انتقلت الورم هنا منتظره التنشيط لذلك اهم شىء فى هذه النسخ عوامل الجذب للتنشيط مثل الاسم والايقونة ومدى احتياج الضحيه الجديده للملف المسمى باسم نسخه الورم الجديده
p2p خاصية ضرب الشبكة بعدما نسخنا الدودة فى كل الفولدرات التى من الممكن ان يتبادلها المستخدم مع اصدقائه مثل الموسيقى والافلام واللعاب نقوم بعمل نسخة لضرب الشبكة وهذا مثلا فى الدى درايف حيث النسخ من بعد الاكس بى تمنع الشير الاوتوماتيك من السى فيفضل لذلك شير فولدر من الدى او الاى على الاكثر ( لاحظ معظم اوروبا تقسمالهارد فقط الى سى ودى اما امريكا تقسمه سى ودى واى على الاكثر اكثر من ذلك يكون التقسيم مثلا اربعة او خمسه درايف يكون فى اسيا والشرق الاوسط على ان تكون داخل فولدر ثم نقوم ببرمجة هذا الفولدر على ان يشير نفسه فى الشبكة اما صامت او برسالة الى كل اجهزة الشبكه فهذا له عامل السحر فى تحرير فايروسك للشبكة وهى الطريقة الافضل على الاطلاق
والان سوف اشرح نقطه منفصله بس حتى لاانساها نظرا لاهميتها القصوى ان كنت تريد الضرب بفايروس ما 1- يرفع بصيغة ملف مضغوط زيب او رير 2- الرفع يكون على اكثر من سيرفر ويفضل طبعا ان يكون موقع شخصى دائم 4- افضل انا الرفع على 4shared.com والميجا ابلود ولو حتى لفتره مؤقته 3- ابعد عن تلغيم المواقع الاباحيه اصغر مستخدم فى العالم لن يحمل ملف زيب او رير من موقع اباحى 4- تكون رسالة الترغيب فى التحميل مقنعة وان كانت على الخاص يكون افضل طبعا 5- تشفير الفايروس قبل اطلاقه مهم جدا وانا افضل ان تكون هى من تخصص المبرمج الفايروس فقط وان يكون تشفير غير قابل للتفاوض انا كنت ضاغط فايروس سالجا بواسطة mew.11 6- بالطبع التلغيم فى الفيس بوك ممتاز وكذلك التويتر لكن حاول دائما ان تجدد وصلة التحميل كل كام يوم وان يكون التلغيم فى المجموعات الغير مشهوره ويفضل ان تكون مجموعه من عدد صغير من المستخدمين تحس بعدم خبرة الادمين فيها واترك تمويه الفايروس والاقناع بانه ملف على مبرمج الفايروس
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] الان نتابع الدرس الرابع اخوانى وهناك كدة اسئلة اولا 1- لماذا تصنع الفايروسات والديدان **** يمكن ان نقول ان السبب الاقوى هو حرب نفسية داخل المبرمج مخلوطة بأمور تحدى داخليه حول مايحيط به من ظروف واستغلال مالدية من خبرات فى توظيفها لاعلان تحديه وهذا هو السبب ايضا للكثير من الهاكرز **** اغلب الفايروسات تصنع بواسطة شركات الانتى فايروس نفسها ليس الا لكى ترسل للمستخدمين رسالة توضح مدى احتياج المستخدمين لبرامج الانتى فايروس نفسها ****اخر المقبوض عليهم من مبرمجين الفايروسات هو مبرمج فايروس ميليسيا والذى كان خلفا بسيطا لفايروس الحب الشهير والقبض عليه جاء من قبل فتاه كانت تعمل راقصه احبها هذا المبرمج وكتب رسالة توضح ولعه الشديد لهذا الحب وارسلها للجميع وهذا كان بلغة الفى بى اس المثال الماضى مثال واضح للسب الرئيسى فى عمل تلك الفايروسات
ملحوظه اخوانى لاتستعلجوا على الاكواد فابسط شىء فى هذا العالم هو نسخ الكود وتطبيقه الا ان الموضوع اكبر من ذلك شويه وهو شرح المفاهيم المخفيه عن هذا المجال السبب التانى لصناعة الفايروسات هو ترصد بعض الناس لبعض المجتمعات الالكترونية فقط من اجل الترفيه والاستمتاع فى حيرة الاخرين اما السبب الثالث فهو الحروب والاستعدادات لاى حروب محتمله والتاكد ان ضرب اجهزة كمبيوتر العدو تعنى انه مهزوم لامحالة وهناك مثال واضح لهذا الكلام فى تلك الاونة وهو ارسال فايروس اسرائيلى الا الشبكة العنكبوتيه الى الايبيهات الايرانية فقط دون غيرها وفتح ثغره وتخزينها لمرور اى ملف محتمل فى اى وقت ما لاستهداف الملف النووى الايرانى
السبب الاخير وهو الجهاد الالكترونى وانا اعتقد انه مثال حى وقوى للجهاد الالكترونى البسيط لكن القوى فى است~صال ثقة الغير مسلمين بانفسهم
والان بعد ماعرفنا اسباب عمل الفايروسات وعوامل نجاح الفايروسات وانواع هذه البرامج وخصائصها نأتى الى تحليل نظام ملف الفايروس الناجح 1- هدف الملف (ايصال رسالة - تخريب نظام) 2- خطة الهجوم الاستراتيجى للفايروس اى كيف يقتحم الفايروس جهاز الضحيه بنجاح واهم عوامل نجاحها فى رائى هى خطة الخداع والسرية بمعنى محمود صنع فايروس وارسلة الى محمد وقال له هذا فولدر لمجموعه من صور رحلتى الاخيره واعطى هذا البرنامج ايقونة الفولدرات عالية الجوده بحيث لايميزها محمد عن فولدرات جهازه شوف اذا فتح محمد الفولدر ولم يحدث اى شىء امامه فسوف يتاكد انه فايروس ويبدا فى محاولة كشف خصائص الملف ولن يستقبل من اى شىء اخر ولكن ان برمجت فايروسك بحيث مثلا يطلق رسالة خطأ نظاميه مثلا على الصور داخل الفولدر تحتاج لبرنامج ما يجب تحميله اولا لكن انا نفسى ماذا افعل مع محمد اولا جهز فولدر كبير داخله مجموعة صور وداخل نفس الفولدر انشىء ثلاثة فولدرات اخرى فى الاوائل ايضا مجموعة صور وفى الاخير اضع الفايروس ايضا مجموعة صور اخرى لكنها خارج الفولدر الاخير وفى الفولدر الاساسى اضع شورت كت لتشغيل مسار الفايروس فى الفولدر الفرعى ملحوظه الشورت قت لايظهر خصائص فايروسك بالمره بمعنى ان كان يحمل ايقونة صوره فيكون الشورت كت ايضا يحمل ايقونة صوره لكنها دون مقدرة الاستعلام عن خصائصها نظام التلغيم الاخير هو نظام الخداع الاستراتيجى للفايروس طبعا هناك الكثير من خطط الخداع والتى باذن الله سوف يتسع مجال ادراكها بعد قرائة هذه الدروس اما عن نظام الهجوم الاستراتيجى كان فى مثال محمود ومحمد كالتالى باذن الله تعالى عندما ضغط محمد على الشورت كت شغل الفايروس برنامج الويندوز فيور مثلا او الاكاد سى فقط يشغله وبرمج انت رسالة بعد التشغيل للااكد مثلا تقوم ان هذه الصوره غير مكتملة النسخ وعندما يقرائها محمد لن يشك اطلاقا انه فايروس ويغلق البرنامج العارض للصور وبالطبع يغلق الرسالة وعند غلقه لهم يعتقد انه بكده خلاص مافى شىء وهذه هى اللمسه السحرية التى تحدثت عنها فى الدروس السابقة وهى الاقناع نستكمل خطة الهجوم وهى كالتالى 1- لاينفذ الفايروس او الدودة مهامه مباشرة الا فقط مهام النسخ له والتى لايجب ان تكرر فى كل مره يعيد فيها الضحيه تشغيل الجهاز حتى لايحس ببطىء الجهاز بتاعه طبعا النسخ فى اربعة او خمسة فولدرات مختلفه وبالطبع وقبل اى شىء يسجل الفايروس نفسه فى الريجسترى حتى يعمل عند فتح الجهاز 2- بعد مرور يوم او اتنين يبدأ الفايروس فى مهمة الهجوم بعد ان سكن فى الذاكره متخفيا اكثر من يومين لاحظ الانجليز يغيروا الويندوز كل شهرين والامريكان كل اسبوعين والعرب من 4 الى ستة اشهر واسيا المتقدمة كل شهر وبعد يومين يقوم الفايروس بممهامه ان كان دودة كالتالى الدودة تبحث عن بعض الفولدرات اولا مثل اى فولدر يحتوى على كلمة game او اى فولدر يحتوى على كلمة film او اى فولدر يحتوى على كلمة disks او اى فولدر يحتوى على programs
ثم يقوم الفايروس او الدودة بزرع نفسه داخل هذه الفولدرات وسط ملفات هذا الفولدر اعتقد انكم فهمتم قصدى من هذا الجزء فى خطة الهجوم الاستراتيجى للدوده والهدف من ذلك هو استغلال ان تلك الفولدرات هى اكثر انواع الفولدرات التى يحدث لها تبادل على الفلاشات والسى ديهات وتتنقل بين اليوزرز سريعا الخطوه السابقة هى الخطوه الاولى فقط ويختلف تنفيذها باختلاف خبرة مبرمج الدودة فانا وعن نفسى اخلى الدودة فى عدة ايام تبحث عن فولدر الافلام والاللعاب فقط وتنسخ بداخلها ثم اجعلها فى عدة ايام اخرى تبحث عن فولدرات البرامج وهكذا حتى لاتشغل الدودة مساحة كبيره من الذاكره و يحس الضحيه ان فى شىء خطىء ارجو قراءة الدرس الاول والثانى والثالث لفهم النقطه الاخيره اكثر وبعد اسبوع مثلا تبحث عن اى فولدر به كلمة share وهذا للنسخ بجانب الملفات المشاركة فى الشبكة المحليه نت ورك وهذا يعنى فقط تنظيم عمل الدودة فقط للسبب السابق ليس الا
واستكمل فى الدرس التالى
سلام
الدرس الخامس ومن خطة الهجوم ايضا ان الفايروس فقط يعمل لاول مره ينسخ من نفسه نسخه مخفيه هى الفايروس الذى يعمل كل شىء نريده بمعنى انه ان مسح الضحيه الملف عادى خالص يمسح ففعلا الملف مغلق وادى مهمته على اكمل وجه وهى نسخ النسخه الاساسية والتى تحوى كل الاوامر السابقه
ومن خطط الهجوم ايضا هى ان يشير الفايروس او الدودة نفسه على الشبكة (نت ورك) ويعطى رسالة تظهر لجميع مستخدمين الشبكه بتفقد هذا الملف او نسخه من الجهاز صاحب الرساله
وايضا من خطط الهجوم هو ان يقوم الفايروس بتحميل ملف اخر الفايروس الاساسى من شبكة الانتر نت اوتوماكيا وبدون ان يحس وهذا طبعا باكواد برمجيه ( لاتستعجلو) وبالتالى يكون الملف الاول يدعى droper
هناك خطط هجوميه قديمة ويمكن لاى مضاد ان يكشفها بسهولة مثل جمع الفايروس او الدوده لكل الاميلات المتواجده فى الاوت لوك بتاع الضحيه فى رساله اوتوماتيكيه مبرمجه ويرسل الفايروس نفسه الى تلك الاميلا كاتاش منت فى هذه الرسائل وطبعا تكون كانها من اميل صديقهم الضحيه اما عن الطريقة الحديثة للارسال عبر الاميلات فتكون عن طريق مايدعى server self engine للدودة او الفايروس وهذا عن طريق كود cdo هناك ايضا خطط كثيره جدا مبتكره لااتذكرها الان لكنها ممكنه ملحوظه هامة جدا:" هناك احتياطات يجب توافرها لكل مستخدم فى نشر فايروس او دودة ما وهى عمل لف ودوران حول الاى بى بحيث لا يمكن تحديد الاى بى بتاعه والطريقة نفسها سوف اعرضها لاحقا
الدرس السادس فى صناعة الفايروسات العالميه هذا الدرس يتابع عمليات الخداع والسرية للفايروسات وهذا جاء طبعا بعد شرح خطط الهجوم للفايروس او الدودة فى الدروس السابقه ومن العمليات السريه للفايروس او الدوده 1- عمل بينج على موقع ما حتى اذا كثر عدد الضحايا واشتغل عندهم الدوده وهم على النت فتأكد ان الموقع سوف يقع ولن يكن له قومه اخرى الا بعد كشف المضادات هذا الفايروس 2- جمع معلومات خطيه للضحيه مثل التكستات بتاعه وملفات الورد وصوره وارسالها الى المبرمج مباشرة بعد الاصابه بالفايروس 3-جمع معلومات نظاميه عن الضحيه مثل الاى بى بتاعه والنظام الذى يعمل به 4- ان يكون الفايروس مبرمج بكود كى لوجر يسجل كل دقه على الكيبورد عند الضحيه ويرسلها تماما مثل الباتشات بتاع البرامج بتاع الهاكرز وبالطبع يمكن لهذا الفايروس ان يجمع كلمات السر للضحيه ويرسلها الى اميل المبرمج مثلا
كا العمليات السابقة الاربعه تعتبر عمليات سريه للفايروس ومن الممكن ان يحويها الفايروس او لا وانا افضل لا وهناك خطه انا والحمد لله اكتشفتها سوف اشرحها فى الدرس السابع
الدرس السابع السلام عليكم اخوانى انا لااضع هذا الموضوع فقط للقراءه بل للفهم واكرر كانت خطورة موقع القراصنه العرب فى فيروساته ففى عام 2004 كل فتره كان فى فيروس عربى ينطلق من موقعنا الى ضرب الاجهزه فى العالم ومن مبرمجى هذه الفايروسات اخى الغالى احمدى لقد كان مشرفا فى احد مواقع القرصنه تطبيق البرامج ليس فيه اى لذه فهى فقط فرحه اما برمجة البرنامج فهى منتهى اللذه فما بالك ان كنت مبرمجا فايروس او دودة ما قريبا سوف اقوم بنشر دودة فقط غير مدمره لاى شىء فقط رساله تأييد للمجلس العسكرى لمصر وانتظار مصر باذن الله فى افضل صورها الاقتصادية والسياسية فى ظل الحكومات المنتخبه بديمقراطيه حقيقيه وكل هذا فى كنف المجلس العسكرى لمصر فهو الاب الاول والاخير فى مصر كما ان الدودة تدعو لزيارة مصر. وباذن الله من مدرج الفيس بوك سوف تنطلق هذه الدودة وارجع الان الى موضوعنا فى تصنيع الفيروسات دائما النسخه الاولى من فايروسك بالطبع تكون غير مكتشفه وبالرغم انك لم تطلق سوى عشرات النسخ فقط فتجد انها تم رصدها ووضعها فى ليستة المضادات الفيروسيه ههههههههههه حرب قائمة بين المضادات ومطورى الفيروسات واكرر هذه الحرب ناتجة عن تشجيع المضادات ومؤسساتها لمبرمجين الفيروسات علشان يشتغلو اكثر المهم ماذا تتخيل ان يكون سبب اكتشاف فيروسك بدرى الاسباب واضحه جدا او لا مدرج انطلاق فايروسك فى الاصل مراقب فمثلا اذا كنت حابب تطلق فايروسك فلاتطلقه فى موقع تشك انه مراقب ومثال لذلك ان محمد صنع فايروس فعليه قبل نشره الاستاذان من الاداره حتى يحموا فايروسه والمنطلق من موقعنا السبب الثانى هو انك بالفعل مراقب من قبل شبكة مضادات ما انا كنت مراقب من شبكة استراليه لتصنيع المضادات والحل فى تلك المشكله سهل جدا جدا جدا وهو تغير الاى بى بتاعك بس بطريقه احترافيه ليس ببرنامج فقط والسلام ويجب ان يكون تجولك فى نشر الفايروس من صفحة الموقع الذى يفتحه هذا البرنامج الذى يغير الاى بى بتاعك هناك برنامج يدعى HOTSPOT وهو الافضل على الاطلاق بعد تثبيته يفتح لك صفحة ويب فيها تأكيد الاتصال منها تدخل على على موقع whois ip مثال ادخل على جوجل وابحث فى هذا الشان او ابحث فى شان what is my ip تجد ان الاى بى بتاعك قد تغير والان تاتى خطوة الاحتراف وهى كالاتى باذن الله تعالى: بعد تغير الاى بى بتاعك من الفكره السابقه سوف تدخل على موقعه اسمه hidemyass.com ومنه ادخل صفحته واختار قائمة اخفاء الاى بى كده انت خليت شبكة الاموقع بتاع hide لايعرفك بالفعل وخليت شبكة برنامج hotspot هى ايضا لاتعرفك ومن موقع ومن موقع hide ادخل على المواقع المراد تلغيمها وايضا حاول ان تغير الاى بى ذاتيا كل خمسة دقائق عن طريق برنامج لتغير الاى بى ذاتيا بكدة انت صنعت شبكة قويه جدا جدا ضد المراقبه وافضل ان تجربوا هذا الشأن فى اقرب فرصه حتى استكمل الدرس الثامن من صناعة الفيروسات هذا الدرس دسم وليس بسيط كما يعتقد البعض بل انه من اهم دروس هذه السلسله ومنه ينجح او يفشل فايروسك سلام الدرس التاسع (ايضا نظرى وهو عن كيفية اصطياد المضادات لفايروسك او دودتك )
السلام عليكم اخوانى كيف يستطيع ان يمسك النورتون مكافى افيرا كاسبر... اصطياد فايروسك المتواضع فهو ملف كام بايت فقط هل الشركة تبحث عن هذا الملف فى كل شبكة الانترنت العالميه ( ملحوظه هذا الموضوع مفتوح للنقاش حيث ان اغلب معلوماته من صديق صينى عمل من قبل فى احد شركات المضادات ةوعندما قارنت كلامه بمقالات علميه اجنبيه وجدت فعلا هذا الكلام صحيح وفيه يبحر الافيرا فى مجال الشبكه المعلوماتيه ويعمل مع جهازك كشبكه واحده طبعا عندما يكون جهازك اون لاين يقوم الافيرا بجهازك كسيرفر مثلا اما السيلانت والنسخ الاصليه فى الشركة المهم عمر مثلا اصيب بفايل لم يكتشفه الافيرا من قبل وولجل الحظ هو اصلا جهازه محمى بنسخة افيرا لم تحدث منذ فتره فماذا يفعل عمر يحدث المضاد اون لاين فينزل المضاد الجديد من الفايلات المضادة والاكواد ضد الفايروسات الجديده ايضا بهذا الملف ويحس انه دودة مثلا حيث وجد الاوت لوك يفتح اوتوامتيكيا ويرسل رسائل الى كل ليستته دون تدخله فاخذ يرجع الى مكان الفايل والذى وضع فيه ليمسحه فوجده لايمسح لانه بالطبع عمل فى الذاكره خلاص فدخل الى التاسك مانجر ووجده شغال فأوقف عمليات هذا الملف فقط عن طريق اسماء غريبه عليه وعندما قرا مثلا الوصف وجده سوفت وير وبعد ان اوقف عمر العمليات بتاع هذا الملف قال هو اشغل الاون لاين سكان لموقع الافيرا وهذا طبعا بعد ان دخل على جوجل مثلا وبحث عن الاسكان اون لاين ووجد موقع يدعم هذا الشان يسير على نهج اكواد الافيرا فعمل اسكان للملف الذى شك فيه فلم يتحدد انه فايروس او دودة فاخذ يشغله مره اخرى وشى الحال فهذا الفايل فتح موقع اباحى مثلا وبالفعل اخذا الفايل ينشر نفسه لاصحابه فى الاوت بك ( هذا مثال طبعا لدودة ما) ومشى الحال خلاص شايف انت اخى القصه التى حدثت قد يفوتها عمر خلاص لكن الاون لاين سكان لن يفوتها ابدا ابدا ابدا ابدا واخذ السلاينت للافيرا يحلل ويفك اكواد الملف فوجد انه مضغوط بالميو 11 ففك الضغط اولا طبعا هو السلاينت اصلا لديه كود الفك وبعد هذا اخذ السلاينت يبحث فى اكواد وسطور هذا الملف فوجد ان لديه سطر تكويد ارسال الاوت لوك فاخذ يقارن بينه وبين السطر طبعا المقارنه بيناريا يعنى تغير الاسماء لن يوقف الاكتشاف وبعدين ماذا احتكم المضاد الاون لاين الان ان هذا السطر يشبه تماما بالمقارنه كود وسطر مخزن فى قاعدة بيانته ووضع خط احمر تحت هذا الملف لكى يعمل مستقلا بعد ذلك فى التحليل البرمجى لهذا الملف وماذا فعلا اولا: اخذ يبحث عن لفظ او اسم مكرر فى الاكواد او حتى اميل او موقع اوحتى حدث ما المهم عمل له اسم ما ثانيا: وضع المضاد الكواد فى مجره واخذ يبحث عن اكواد النسخ والتى برمجيا عاديه جدا فلهذا اخذ يعمل فقط فى تخزين اسماء النسخ التى اسقطها او نسختها الدودة منها فى جهاز الضحيه واذخ يخزن فى بيانته كود النسخ العادى + هذه الاسماء لا اوافق عليه واعتبره فايروس ثالثا اخذ يطابق بين احداثه التى يحدثها الفايروس مثل مثلا رسالة خطا من النظام فاخذها صفة مرئية محدده لهذا الملف رابعا : خزن المضاد اكواد الفايروس هذا فى قاعدة بيانته حيث وجد ايضا ان الاحداث الغير مرئيه له اكثر من المرئيه وتعمل فى الذاكره دائما دون تدخل المستخدم لهذا الفايروس خامسا : وضع المضاد كود معاكس لكود النسخ وكود فتح المفاتيح فى الريجسترى حيث استبدلهما عنده باكواد مسح لهذه النسخ وكود اغلاق للمافاتيح التى فتحت وعمل كود اكبر منهم يعمل اذا وجد هذا الملف وطبعا بعد مقارنة الملف واكواده وانشأ بهذا ملف فى قواعده معاكس لهذا الملف كما ذكرنا مسبقا وخذنه فى موقع التحديث على الشبكه بالطبع اخوانى هذا مثال وطريقه واحده وهى نظريه اكثر منها برمجيه تحليليه فالدرس العاشر يشرح التضاد برمجيا باذن الله تعالى والله الموفق والمستعان سلام
الدرس العاشر ( تحليل برمجى لاكتشاف المضاد للفايروس)
اكتشاف المضادات للفيروسات برمجيا هام جدا لكى يفهم صانع الفايروس اول خط دفاعى تواجه فايروسه حيث: اولا : وكمثال هذا فايروس (جامبر 2013) تصميمىوهو فايروس ذكى جدا انا قائم عليه الان وهو بسيط جدا واى واحد ممكن يعمله وسوف انزله قريبا جدا خاصة انه راح يجنن الانتى فايروس ويهنجه حيث انه ينط فى فولدرات مخلقه ( طبعا ممكن تطويره لجعله ينط داخل فولدرات وسب فولدرات الضحيه نفسها وليس فولدرات مخلقه حتى لايكتشف الضحيه مكانه طبعا لكن انا بس ببسطه لانى سوف اعرض اكواده كمبدأ لفايروس ذكى جدا نطاط يحفز فتح الفيس بوك ويرسل وصله اوتوماتيكيه فى رسائل المستخدم التى يرسلها فى الفيس بوك عبر دالة send key الشهيره وكل هذا مقترن طبعا باداة التكرار حتى يبقى الفايروس يعمل علطول وسوف اجعله مثال لاكتشاف الافيرا له طبعا ده لو اذا اكتشفه
اولا هناك طبعاوهام سطر كودى لتشغيل الفايروس فى اول تشغيل الضحيه لجهازه فى كل مره الاغلبيه تكون عبر مفتاح الرن فى الريجسترى ( لاتقلق الاكواد لسه جايه بس خليك معايا) ادخل المضاد كود مضاد لهذا السطر وامر باغلاق هذا المفتاح وبنفس النهج اغلق مفتاح الكومند فى الريجسترى لحافظة الشاشه حيث يعمل الفايروس اوتوماتيكيا ايضا عند ما تشتغل ال screen saver هذه اول خطوة يفعلها الفايروس ثانيا بحث الافيرا عن سطر كودى يضعه الفايروس اما كاول سطر او اخر سطر حيث يجعل الفايروس يشتغل الورد (بمعنى word jumper injection ) فان كان موجود يمسح هذا الكود والذى نقله الفايروس للاوتو رن بتاع اى برنامج او حتى فى كود تشغيل الورد نفسه
ثالثا يبحث الفايروس عن كود نسخ ذاتى فانشا قاعدة بيانات محدثه له فى الاون لاين سكان وطبعا عكس فيه كود النسخ بكود مسح يعنى (copy * kill )
رابعا كود التدمير مشهور جدا ( انا لااحبذه ابدا) بحث عنه فى قاعدة بيانته وقارنه بكل سطر كودى داخل الانتى فلم يجده
ملحوظه حتى الان هذا فايروس وليس تروجان او دودة طبعا
خامسا يبحث الانتى عن صفه او رساله معينه او اميل او كلمة مكرره فى الاكواد حتى يضع اسم للفايروس غالبا يطلق فى الافيرا مبدأ بلفظ gen وهذا للفايروسات ملحوظه هذا اللفظ ايضا يطلق على الفايروسات المخلقه او الفايروسات الناتجه من تطوير فايروسات اخرى
سادسا ان وجد ان الفايروس يفتح رساله او برنامج او صوره او فتح موقع ما رساله عاديه ( يشغل الضحيه) ومن هنا يدخل عليه وهنا يدعى تروجان او حصان طروادة ويبدا تحويل لفظ gen الى لفظ tr/
سابعا يبحث عن كود فى الفايروس يجعل الفايروس يفتح بورت ما ليدخل منه فايروسات او باتشات اخرى ومن هنا اخذ صفة الباك دوور حتى الان اصبح الاسم tr/backdoor
ثامنا يبحث الفايروس عن كود نسخ مكرر باسماء مختلفه ويبحث عن كوود ارسال وصله او رساله او اميل مستهدفا الانتقال عبر الشبكه العنكوباتيه فاضاف كلمة worm و اصبح الاسم حتى الان tr/backdoor .worm
تاسعا بحث عن اللغه المبرمج بها فوجده مثلا vb فاضاف للاسم واصبح tr/backdoor.vb.worm
النقطه العاشره يبحث فى البيئه التى يعمل فيها الفايروس دائما فوجدها الويندوز دون اى نظام اخر ماكنتوش مثلا فاطلق فى الاسم لفظ w32 واصبح الاسم tr/backdoor.vb.w32.worm
النقطه الحادية عشر بحث عن كود تشير للشبكه او كود مرور دون الموافقه فى النت ورك ووصفه بانه ايضا tr/backdoor.vb.w32.net work.worm
اخيرا بحث عن لفظ فى الكود او اسم او اميل طبعا يكون غير مكرر كاسم مخزن من قبل فى قاعدة بيانات المضاد مثلا لفظ jumper وكان الكود حتى الان tr/backdoor.vb.w32.jumper.net work.worm واضاف وقائيا عامل تكرار a , b or c اصبح سطر الكود كالتالى tr/backdoor.vb.w32.jumper..a.net work.worm
وكفكرة البار كوود بالضبط يحول هذا الكود الى سطر مشفر وليكن مثلا
tbvb.w32.jumper.a .network .worm السطر الاخير هو السطر المخزن فى قاعدة بيانات المضاد اما الاسم العام حتى الان w32.jumper.a.worm واتصف انه software وليس توجيه الى او كود html او asmply
اخيرا تم الاكتشاف للفايروس w32.jumper.a.worm وهناك شركات تطلق الاسم العام مثلا jumper-A
وفى الدرس القادم سوف اشرح كيف ننتج من نسخة B وهذا هو الاصعب لكن الالذ للمبرمج
| |
|