منتديات المجاوشي

منتديات المجاوشي (http://www.vb.mjawshy.net/index.php)
-   Arabic Rss (http://www.vb.mjawshy.net/forumdisplay.php?f=41)
-   -   كيف تحول الكاسبر الى قلعة حصينة (http://www.vb.mjawshy.net/showthread.php?t=94875)

RSS 11-01-2010 07:13 PM

كيف تحول الكاسبر الى قلعة حصينة
 
بسم الله الرحمن الرحيم

السلام عليكم

الكل يعلم ان الكاسبر واحد من اقوى برامج الحماية في العالم ومع ذلك فلا يوجد شي كامل فالكمال لله وحدة , بالرغم من هذه القوة الا ان هنالك ثغرات في البرنامج وخصوصا في الجدار الناري , مثلا عند تنصيب الكاسبر على جهاز نظيف نعم البرنامج يوفر لك حماية قوية 100% والاصابة بالفيروسات ان لم تكن مستحيلة فهي شبه مستحيلة , والسسبب بسيط ان الكاسبر لديه 4 مناطق للتعامل مع البرامج Trusted Area للبرامج الموثوقة , Low Resticted Area للبرامج التي ليس معها شهادة توثيق ولكن سلوكها شبيه او نفس البرامج الموثوقة طبعا البرامج في هذه المنطقة لها صلاحيات اقل من Trusted Area , المنطقة الثالثة High Restricted Area و هي برامج ليس معها شهادة توثيق وهي تريد ان تعدل على ملفات النظام هذه البرامج على الاغلب فيروسات او ملفات تجسس طبعا صلاحيات البرامج في هذة المنظقة محدودة جدا, المنطقة الاخيرة Blocked Area وهي لبرامج ليس معها شهادة توثيق وبداخلها كود خطير يشبه تواقيع الفيروسات , البرامج في هذة المنطقةلا تعمل ابدا..

ومن هنا تكمن قوة الكاسبر لكن نقطة الضعف تكمن في الجدار الناري والسبب انه يعطي صلاحيات مطلقة للبرامج الموثوقة فمثلا لو قمنا بتنصيب الكاسبر على جهاز مصاب بباتش , بعض الباتشات تقوم بحقن ملف svchost.exe بملفات dll وذلك للتحايل على برامج الحماية والاتصال عن طريق الويندوز للانترنت فالويندوز يستخدم svchost للاتصال بالانترنت ولن تستطيع منع svchost من الاتصال لانك لو منعته فلن تستطيع الدخول الى الانترنت , الحل !!؟؟ تحديد صلاحيات ملفات النظام وعلى راسها svchost.exe حتى نسد الطريق على باتشات الهكرز..

اليوم سنتعلم كيف نسد الطريق على ملفات التجسس وعلى راسها باتشات الهكرز فحتى لو اصبت بباتش مشفر او ملف تجسس خطير فعلى الاغلب لن يعمل ...
طبعا هذة الطريقة متبعة في معظم البنوك في العالم وقد تعلمتها من طبيعة عملي ؟!!

سنقوم بالتعديل على Digital Identity وذلك عن طريق حماية 3 قيم في الريجستري وهي:

1-Prevent installation of new CLSIDs/Anti-spyware Maximum Protection

HKEY_CLASSES_ROOT\CLSID

2-Prevent installation of new APPIDs/Anti-spyware Maximum Protection
HKEY_CLASSES_ROOT\AppID


3-Prevent installation of new TYPELIBs/Anti-spyware Maximum
Protection

HKEY_CLASSES_ROOT\TypeLib

الشرح في الصور للمجموعة الاولى Prevent installation of new CLSIDs

كرر نفس الشي على المجموعة الثانية و الثالثة...


http://www.zyzoomup.com/vbuser/out.p...turewiz051.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz052.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz053.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz054.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz055.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz056.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz057.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz058.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz059.jpg
http://www.zyzoomup.com/vbuser/out.p...turewiz060.jpg


غدا نكمل ان شاء الله













أكثر...


الساعة الآن 08:52 PM

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. منتديات بلاك بيري mjawshy.net
المجاوشي للتقنية المتقدمة