NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

تم تحميل الصفحة في 0,4751717 ثانية
NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه
إنضم
4 مايو 2012
المشاركات
1,170
الإعجابات
1,706
النقاط
0
الإقامة
[email protected]


السلام عليكم

كيفكم

أعلم لقد غبت قليلا

إن شاء الله قريبا سأعود رسميا

القادم أحلى :15:


*******************************************

بعد صدور النسخة الجديدة من برنامج الإختراق نج 6

( تحية للمبرمج صراحة و باختصار له عقل مميز )

قمت ببعض التحليل البسيط له

لكشف سرفه و التخلص منه

( أمل ان لا يرى الموضوع :29: لأنه لو يريد تصعيب الكشف سيصعب )

( لاكن لن يجعله مستحيلا :15: )

نلاحظ اختلاف عن النسخ السابقة



هنا التتبيث أصبح اختياري

حسنا الحالة الأولى إذا كان التثبيث في السرف (90 % من الحالات أضن )

نلاحظ أن المجلدات التي سينسخ لها السرف هي : 5 و موضحة في الصورة أعلاه

أي أنك ستدخل لتلك المجلدات
طريقة الدخول :



حيث الأمر مسهل فقط أكتب كود المسار

عند الدخول إبحث عن برنامج و تجد بالقرب منه ملف له نفس الإسم و بامتداد .tmp
مثال
Dev-point.exe
dev-point.exe.tmp

فذاك هو السرف :28:

مثال



في الصورة لم يضهر الإمتداد لأنني فتحته بالمفكرة و أصبح للإمتداد tmp مشغل افتراضي .

----------------------------------------

و أيضا في الرجستري تقريبا لم يتغير شي :



( ههههههههههههه نسيت نفسي و بدأت ألخبط في الصورة بيكاسو :15: )

فإسم المفتاح هو الهاش و النقطتان في الأخير تكشفه

إذن ذاك هو السرف و المسار واضح أمامنا .






و أيضا التتبيث في مجلد بدأ التشغيل




************************

الحالة التانية لو لم يتم اختيار التثبيت

سنستعمل
Process Hacker



http://processhacker.sourceforge.net


كما في الصورة





في الأول نفحص من explorer إلى الأخير


فيضهر جليا برسس السرف المهم إترك الفأرة فوق كل برسس مدة زمنية بسيطة و ستضهر نافذة

الذي يهمنا هو Process is managed (.NET)


يعني أن السرف يستعمل حزمة دوت نت


و هذه هي التي تهمنا لان السرف مبرمج ب دوت نت


الان الإحتمالات قلت و سنفحص فقط التي لها دوت نت


إضغط مرتين على إسم البرسس





ستضهر هذه النافذة


3 أشياء مهمة



- المسار و لذخول إليه نضغة على تلك الأيقونة و نقوم بالفحص السابق لكشفه


- مدة التي اشتغل بها لتعرف هل بدأ مع بدأ التشغيل أو ...


- برسس المسؤول عن تشغيله


قارن ال PID للبرسسات



هنا البرسس المسؤول عنه غادر



إذا تبين أنه سرف nj


سنحذفه ببساطة


أولا سنجمده في حالة كانت BSOD



ثم نحذفه من الرجستر و مجلد بدأ التشغيل كما ذكرنا سابقا


في الرجستري سيكون واضح لأن المسار أمامنا



ثم نعيد تشغيل الجهاز


السرف لن يشتغل لأننا حذفنا تتبيثه


ثم نحذفه من مساره


إذا وجدنا انه يعمل إذن يوجد تثبيت أخر له فقط إبحث في الرجستري


و تابع





http://www.dev-point.com/vb/t376168.html




أول شي عطل الهوست للملغم في جهازك




--------------------------


تحياتي


و اسف عن الغياب


إن شاء الله سأعود قريبا


و سأكمل دورة الأتوات


:38:



 

iCureFx

ExpErt DeveloPer
rankrankrankrank
إنضم
21 سبتمبر 2013
المشاركات
1,852
الإعجابات
1,863
النقاط
113
الإقامة
Bahrain
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

اخي والله دورتك اعجبتني كثيراً يا ريت تكملها

جاري التقييم ان امكن

+

مرحباُ بعودتك :42:
 

iCureFx

ExpErt DeveloPer
rankrankrankrank
إنضم
21 سبتمبر 2013
المشاركات
1,852
الإعجابات
1,863
النقاط
113
الإقامة
Bahrain
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

تم التقييم :42:
 
إنضم
11 مارس 2011
المشاركات
561
الإعجابات
263
النقاط
63
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

شرح روعةةةةةة يعطيك االعافية
 
إنضم
26 أكتوبر 2012
المشاركات
823
الإعجابات
494
النقاط
63
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

شكرا لك اخي

فقظ برنامجيين كافيين لمعرفته وكشفه وحدفه :15:
CCleaner لمعرفة ملف السرفر مباشرة وحدفه
procexp لقتله :15:
 

Unk Net

ExpErt DeveloPer
rankrankrankrankrankrank
إنضم
25 أكتوبر 2012
المشاركات
3,412
الإعجابات
2,364
النقاط
113
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

رائعة و ممتاز :10:
 
إنضم
21 سبتمبر 2013
المشاركات
117
الإعجابات
62
النقاط
0
العمر
26
الإقامة
[ 3raQ - BaGhDaD ]
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

عاشت يمــــــــــــــــــــــــــــــــناكـ
آستمر في مواضيعك المميزة
موفق
:30:
 
إنضم
24 سبتمبر 2013
المشاركات
151
الإعجابات
82
النقاط
0
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

موضوع متعوب فيه و تستحق ال [+++]
:15:
 
إنضم
30 سبتمبر 2013
المشاركات
11
الإعجابات
8
النقاط
0
رد: NJ-RAT النسخة السادسة ما الجديد و كيف نكشفه

مبدع وربي
استمر ع الابداع المتواصل^^
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل