شبكة الجزائر البيضاء

إبــــــــــــــــــــــــــــــــــداع وتــــــــــــــــمـــــــــــــــــيــــــــــــــــــــــــــــــــز http://dzair.forumalgerie.net
 
غرفة الدردشة  الرئيسيةالرئيسية  البوابةالبوابة  س .و .جس .و .ج  التسجيلالتسجيل  دخولدخول  بحـثبحـث  

شاطر | 
 

 درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضرو

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
Boy crazy
عضــو هـــام
عضــو هـــام




الــــدولــــة :
الـــهوايـــــة :
الــمـهنـــــة :
الـــجـنـــــس : ذكر
الـــمـــــزاج :
المتصفـــــح :



عدد المساهمات : 1075
نقاط الإمتيازات : 10395
تاريخ الميــلاد : 24/06/1997
تاريخ التسجيـل : 16/05/2011
أمــنيــتــــي : La solitude me tue ...... quand je suis dans l'unité de ma situation et j'ai besoin de ceux qui m'a

مُساهمةموضوع: درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضرو   6/20/2011, 00:55



السلام عليكم
سنأخذ في هذا الدرس برنامج Seed 1.1 لكي نطبق عليه

هذا البرنامج عبارة عن تروجان صغير الحجم للاختراق المبدئي

سنقوم بعملين هما:
تحليل خادم البرنامج واكتشاف خوارزمية تشفير بياناته،
و تتبع واكتشاف الأماكن التي يقوم الخادم بضربها في الريجستري ومجلدات النظام

أولاً: تحليل الخادم وفهم آلية تشفيره
سنحتاج هنا لمحرر ست عشري HexWorkshop
وهو موجود في المكتبة

سنقوم الآن بتكوين خادم بالبيانات التالية


DNS/IP : ASG
Port: 5656
Filename: Virus.exe
Start up name: Virus

سنحفظ الخادم باسم Test.exe
وسيكون غير مضغوط وبحجم 12.5 كيلوبايت
الآن نقوم بتحريره ببرنامج Hex Workshop
وسنبحث عن ASG أو 5656 اللذين يمثلان الآي بي والمنفذ عن طريقCtrl+F
سيعطينا محرر الهيكس رسالة بعدم وجود المطلوب!
بمعنى أن البيانات في الخادم مشفرة بخوارزمية معينة
الآن سنقوم بمحاولة فك التشفير بتكوين خادم جديد بالبيانات التالية:
DNS/IP : BSG
Port: 5656
Filename: Virus.exe
Start up name: Virus

ونسميه Test2.exe
نقوم بتحريره بمحرر الهيكس ومن ثم نضغط Ctrl+K ليظهر بريمج مقارنة

نقوم باختيار الخادمين Test.exe و Test2.exe ليقوم البرنامج بالمقارنة

الفرق الوحيد هو أن قيمة النص E في الخادم Test تغيرت إلى F في الخادم Test2
هذا راجع إلى أننا غيرنا عنوان الآي بي في الخادم الأول من ASG إلى BSG في الخادم
الثاني، بمعنى أن حرف A يمثل E في الخادم المشفر، والحرف B يمثل F أيضا..
وبنفس الطريقة يمكن إيجاد كل الرموز والحروف المشفرة ومن ثم استخراج قاعدة لها
والقائمة التالية تمثل الخوارزمية المتبعة:
a=e
b=f
c=g
d='
e=a
f=b
g=c
h=l
i=m
j=n
k=o
l=h
m=i
n=j
o=k
p=t
q=u
r=v
s=w
t=p
u=q
v=r
w=s
x=|
y=}
z=~
1=5
2=6
3=7
4=0
5=1
6=2
7=3
8=<
9==

ويمكن اكتشاف رقم المنفذ بنفس الطريقة، وتسهيلا سنلاحظ أن النص الذي يأتي بعد
Ds يمثل الآي بي ، pt يمثل المنفذ
No-IP = ds
Port = pt
وبالضغط على Ctrl+F يمكن البحث عن ds و pt بسهولة مع مراعاة تغيير نوع البحث إلى Text
مع ملاحظة أن التشفير يفك تلقائيا أثناء تنفيذ الخادم وذلك في الذاكرة، لذلك ظهرت برامج كثيرة
تقوم بتحليل العمليات التي تقيم في الذاكرة مثل برنامج OllyDbg
ثانيا: مراقبة ملف الخادم واكتشاف الأماكن التي ينسخ نفسه فيها

أ. مجلدات النظام
بنفس الطريقة سنقوم بتكوين خادم بالبيانات التالية
DNS/IP : 127.0.0.1
Port: 5656
Filename: Virus.exe
Start up name: Virus
ونسميه ASG.exe
الآن سنحتاج لبرنامج Filemon وهو مرفق.
نقوم بتشغيله ونذهب الى التالي

ومن ثم نضيف الآتي

نضغط ok ولا نغلق البرنامج
الآن نذهب للخادم ونقوم بتشغيله ولا تخف سنزيله بسهولة بعد ذلك
وسيقوم برنامج Filemon بمراقبة الملف في كل عمليته تقريبا


سيقوم البرنامج بتظليل عملية Create وهي إنشاء نسخة من الخادم في أي
مجلد آخر وسنلاحظ أن البرنامج تعرف على عملية إنشاء ناجحة في المسار
C:\WINDOWS\system32
باسم Virus.exe
ببساطة اذهب للملف (نقر مزدوج على المسار) وقم بحذفه
إزالة هذا الملف يعني إزالة الخادم إن لم يضع قيم في الرجستري
أو يحقن نفسه بتقنية روت كيت

ب. قيم الريجستري

سنحتاج لبرنامج Regmon وهو شبيه جدا بأخيه Filemon (مرفق)

وبنفس الطريقة تماما نقوم بتحديد الملف الذي سوف يُراقب

نلاحظ أن أخطر الطلبات هي ؤceatekey و setvalue
تأكد كتابة الطلبات بالحروف الصغيرة


نذهب للمسار ونقوم بحذف القيم المنشأة

اخوكم الهاكر

dj hack younes
الرجوع الى أعلى الصفحة اذهب الى الأسفل
badibadi
عضــو محتــرف
عضــو محتــرف




الــــدولــــة :
الـــهوايـــــة :
الــمـهنـــــة :
الـــجـنـــــس : ذكر
الـــمـــــزاج :
المتصفـــــح :



عدد المساهمات : 826
نقاط الإمتيازات : 7428
تاريخ التسجيـل : 18/04/2011
أمــنيــتــــي : يقول المتقولون على الإسلام: إن الإسلام يجعل الرجل قواماً على المرأة (الرجال قوامون على النساء) ، قد

مُساهمةموضوع: رد: درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضرو   7/5/2011, 23:44

مشكوووووووووووووووووووووووووووور


الرجوع الى أعلى الصفحة اذهب الى الأسفل
Boy crazy
عضــو هـــام
عضــو هـــام




الــــدولــــة :
الـــهوايـــــة :
الــمـهنـــــة :
الـــجـنـــــس : ذكر
الـــمـــــزاج :
المتصفـــــح :



عدد المساهمات : 1075
نقاط الإمتيازات : 10395
تاريخ الميــلاد : 24/06/1997
تاريخ التسجيـل : 16/05/2011
أمــنيــتــــي : La solitude me tue ...... quand je suis dans l'unité de ma situation et j'ai besoin de ceux qui m'a

مُساهمةموضوع: رد: درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضرو   7/10/2011, 20:52

مشكووووووووووووور على الردووووووووووووووووووووود


الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
درس في تحليل تشفير بيانات برامج التجسس وتتبع الأماكن المضرو
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
شبكة الجزائر البيضاء :: عالم الأنترنت :: قسم محاربة اليهود-
انتقل الى:  
روابــــــط سريعـــــة
https://i66.servimg.com/u/f66/13/86/30/41/stick-10.png الكمبيوتر والأنترنت https://i66.servimg.com/u/f66/13/86/30/41/stick-10.pngالتصاميم والجرافيك https://i66.servimg.com/u/f66/13/86/30/41/stick-10.png الصحة والعلوم
https://i66.servimg.com/u/f66/13/86/30/41/stick-10.png منوعة ثقافية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى البرامج الكاملة والنادرة
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى الفيديــو والصوتيــات
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngقســــــــم أجــهــــزة الإستقبـــال
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى برامــــج الحمايــــــــــة
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngقسم الهجوم على اليهـــــــــــود
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى تطوير المنتديــــــــــــات
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى التصميم والجرافيك العام
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى برامج وملحقات الفوتوشوب
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى السويتش والفـــــــلاش
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى التصميـــم ثلاثي الابعاد
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى التصميــــم  بالبرامج الأخرى
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngشارك معنا في تطوير المنتـــدى
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى المجلة الطبية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى الأعشاب الطبية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى الأدوية الشعبية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى العلوم الإنسانية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى العلوم المعيارية
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngمنتدى الطالب الجامعي
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngرمضان كريم
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.png نتائج البكالوريا 2012
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngقسم التوظيف والمسابقات
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngقسم القصص والروايات
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.pngإضحك من القلب
https://i66.servimg.com/u/f66/13/86/30/41/plus-l10.png نتائج التكوين عن بعد


هذه الرسالة تفيد أنك غير مسجل .

و يسعدنا كثيرا انضمامك لنا ...

للتسجيل اضغط هـنـا


 جميع الحقوق محفوظة لشبكة الجزائر البيضاء                                               احصائيات   إتصل بنا   اعلي