تخطي الحماية الذاتية للكاسبر سكاي

تم تحميل الصفحة في 1,9521399 ثانية
تخطي الحماية الذاتية للكاسبر سكاي
إنضم
13 مارس 2013
المشاركات
2,820
الإعجابات
3,081
النقاط
113
اهلا سيمون :D
لي اكثر من عام لم ابرمج في الكرنل :/
على كل حال الكاسبر لن يقتل من خلال SSDT UnHook لانه يستخدم Callbacks بحيث لما تنشا هنادل لبروسس الكاسبر ينزع صلاحية PROCESS_TERMINATE والبتالي يمنع قتله ونفس الشيء يستخدم في انظمة 64 بت
للاسف لم اتعامل مع callbacks من قبل لانها تتطلب توقيع ودائما دالة ObRegisterCallBacks ترجع STATUS_ACCESS_DENIED
لكن على ما اظن يمكن تخطي هذا الهوك عبر ايجاد دالة Callback ثم التعديل عليها بوضع RET لكي لا يتم تنفيذها تماما
(فكرة نظرية فقط لم اجربها)
 
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
اهلا سيمون :D
لي اكثر من عام لم ابرمج في الكرنل :/
على كل حال الكاسبر لن يقتل من خلال SSDT UnHook لانه يستخدم Callbacks بحيث لما تنشا هنادل لبروسس الكاسبر ينزع صلاحية PROCESS_TERMINATE والبتالي يمنع قتله ونفس الشيء يستخدم في انظمة 64 بت
للاسف لم اتعامل مع callbacks من قبل لانها تتطلب توقيع ودائما دالة ObRegisterCallBacks ترجع STATUS_ACCESS_DENIED
لكن على ما اظن يمكن تخطي هذا الهوك عبر ايجاد دالة Callback ثم التعديل عليها بوضع RET لكي لا يتم تنفيذها تماما
(فكرة نظرية فقط لم اجربها)
هذا الكلام يلي عليه علامات و تفكير بمكانه ,, لكننا بانتظار التطبيق العملي :D
 
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
كاضافة تشجيعية تم تطبيق المبدأ نفسه بطريقة اخرى على انتي فايروس الافاست و النتيجة كانت ممتازة

للمشاهدة و محاولة العثور على طرف الخيط :


بالتوفيق
 
إنضم
18 مايو 2016
المشاركات
163
الإعجابات
170
النقاط
43
عودة موفقة استاذ سيمون اشتقنة الى مواضيعك الشيقة و الحماسية
 

Thaer;

موقوف لمخالفة الشروط
rankrankrankrank
إنضم
19 مايو 2016
المشاركات
1,517
الإعجابات
1,265
النقاط
130
السلام عليكم ورحمة الله وبركاته
دخلت الموضوع واعجبني صراحة مع اني لست من هواة الاختراق
وكذلك لا استخدم الحمايات تقريباً لي سنين او ثلاث سنوات
ولكن ما اقدر اقول الا عظم الله اجر الحمايات هههه
تم جلدها وسحلها ولم يتبقى شي بعد هألأهانه
شكراً لك ياسيمون على الموضوع الجميل
وياليت يكون كنقاش بدون وضع الحلول حتى الاعضاء تفكر شوي ويكون النقاش له قيمة وفائدة
اكرر شكري لك
 
إنضم
29 أغسطس 2010
المشاركات
7,525
الإعجابات
6,875
النقاط
113
العمر
99
الإقامة
الرياض
كاضافة تشجيعية تم تطبيق المبدأ نفسه بطريقة اخرى على انتي فايروس الافاست و النتيجة كانت ممتازة

للمشاهدة و محاولة العثور على طرف الخيط :


بالتوفيق
طريقه قاتله لم يعد للتخطي مكان بعد قتل الحمايات
بهذي الطريقه الاختراق بسيرفر خام
الله عليك ياسيمون
-------- لا انصح بطرح الطريقه كاملة ---------
لانه الحمايات تنتظر سيمون العبقري
(دع لنفسك خاصيه يبحث عنها الاخرون)


هذا كله من أثر المحاشي والكبب :)
 
إنضم
1 نوفمبر 2009
المشاركات
1,987
الإعجابات
555
النقاط
113
الإقامة
$RECYCLE.BIN
أهلا بعودتك سيمون
~مع أنني أيضا كنت غائب لمدة سنتين ههههه~
فعلا طرحك متميز يا غالي~ ان شاء الله نشوف المنافسة على الحل
ويكفي الجائزة تكون عيدية:D
 
إنضم
23 مارس 2013
المشاركات
2,007
الإعجابات
2,960
النقاط
203
العمر
22
الإقامة
المملكة المغربية
ما اروع ان اشاهد اسمك مرتبط بموضوع جديد فى المنتدى ,
لك وحشه يا غالى و اهلا بعودتك التى افرحتنى جدا

كل الود لك يا سيمون
نفس شعوري هههههه تبا اظن اني احلم
الشخص الذي حفزني للدخول الى برمجيات .net
 
إنضم
13 مارس 2013
المشاركات
2,820
الإعجابات
3,081
النقاط
113
بعد تفكير وجدت 4 طرقت لازالة Callbacks Hook
1- جلب مقبض ال callback (والذي هو عنوان ستركشر CALLBACK_ENTRY ) ثم تمريره الى دالة ObUnRegisterCallbacks (اظن انها تحتاج توقيع) لكن تقع مشكلة لما الدريفر يرد الغاء الكولباك بنفسه (لانه ملغى من قبل)
2- جلب ادرس Callback ثم التعديل عليه بوضع وضع RET فيه
3-تحميل كول باك جديد بنفس اسم كولباك الكاسبر لكي يعمل overwrite عليه (تحتاج توقيع)
4- عمل كول باك جديد واعطاء اي هنادل لفتح بروسس الحماية صلاحية قتل البروسس ; بما ان كولباك الحماية حمل اولا فهو ينفذ اولا والذي يقوم بزع صلاحيات القتل ثم ياتي الكول باك الذي عملناه فيعطي للهاندل تلك الصلاحيات (تحتاج توقيع)
---
للاسف لم استطع التطبيق لان الطريقة الاولى و الثانية تتطلب جلب ادرس ستركشر CALLBACK_ENTRY (,وهذا ما انتظر منك ان تشرحه ) اما الطريقة الثالثة و الرابعة تتطلب توقيع رقمي :/

-----
وللعلم هذه الطرق لن تنفع ابدا في عمليات التشفير والتخطي
لان الحماية لن تتركك ابدا تحمل درايفر الى الكرنل بسهولة واصلا الوندوز يطلب توقيع رقمي لها مما يجعل امكانية تطبيقها صعبة جدا
 
إنضم
29 أغسطس 2010
المشاركات
7,525
الإعجابات
6,875
النقاط
113
العمر
99
الإقامة
الرياض
بعد تفكير وجدت 4 طرقت لازالة Callbacks Hook
1- جلب مقبض ال callback (والذي هو عنوان ستركشر CALLBACK_ENTRY ) ثم تمريره الى دالة ObUnRegisterCallbacks (اظن انها تحتاج توقيع) لكن تقع مشكلة لما الدريفر يرد الغاء الكولباك بنفسه (لانه ملغى من قبل)
2- جلب ادرس Callback ثم التعديل عليه بوضع وضع RET فيه
3-تحميل كول باك جديد بنفس اسم كولباك الكاسبر لكي يعمل overwrite عليه (تحتاج توقيع)
4- عمل كول باك جديد واعطاء اي هنادل لفتح بروسس الحماية صلاحية قتل البروسس ; بما ان كولباك الحماية حمل اولا فهو ينفذ اولا والذي يقوم بزع صلاحيات القتل ثم ياتي الكول باك الذي عملناه فيعطي للهاندل تلك الصلاحيات (تحتاج توقيع)
---
للاسف لم استطع التطبيق لان الطريقة الاولى و الثانية تتطلب جلب ادرس ستركشر CALLBACK_ENTRY (,وهذا ما انتظر منك ان تشرحه ) اما الطريقة الثالثة و الرابعة تتطلب توقيع رقمي :/

-----
وللعلم هذه الطرق لن تنفع ابدا في عمليات التشفير والتخطي
لان الحماية لن تتركك ابدا تحمل درايفر الى الكرنل بسهولة واصلا الوندوز يطلب توقيع رقمي لها مما يجعل امكانية تطبيقها صعبة جدا
احترم ردك لكن اللي شفناه من سيمون انه تم قتل الحمايه يعني الجهاز ليس به اي شي يحميه

وهذا يعني ان الجهاز يتقبل اي سيرفر ولو غير مشفر

ياريت ياملك Killer سيمون
تجرب على نفس قتل الحمايه اي واجده كاسبر او افاست
ان تعمل تشغيل للسيرفر ولنفترض انه بعد قتل العمليه يتم تشغيل سيرفر نجرات خام أو تحميل من رابط ايهم افضل جربها
حتى يعلم الجميع انه بقتل الحمايه يقدر اي سيرفر بالدخول للجهاز

هذا رأيي الشخصي
وأقدر رأي الجميع
 
إنضم
8 سبتمبر 2013
المشاركات
7,645
الإعجابات
11,448
النقاط
168
الإقامة
IRAQ\JORDAN
احترم ردك لكن اللي شفناه من سيمون انه تم قتل الحمايه يعني الجهاز ليس به اي شي يحميه

وهذا يعني ان الجهاز يتقبل اي سيرفر ولو غير مشفر

ياريت ياملك Killer سيمون
تجرب على نفس قتل الحمايه اي واجده كاسبر او افاست
ان تعمل تشغيل للسيرفر ولنفترض انه بعد قتل العمليه يتم تشغيل سيرفر نجرات خام أو تحميل من رابط ايهم افضل جربها
حتى يعلم الجميع انه بقتل الحمايه يقدر اي سيرفر بالدخول للجهاز

هذا رأيي الشخصي
وأقدر رأي الجميع
اخي عمر كلام الاخ العزيز ~ I V D Z ~ واضح
اصلاً الطريقة الي شرحها هو ليست سهلة ابداً و أيضاً على الاكثر هي موجودة في حساب الحماية نفسها و اعتقد ان الحماية نفسها تصعب الأمر

اما طريقة الاخ سيمون فهي مختلفة اصلاً لم يكشفها برنامج الحماية حتى يحمي نفسه منها .. بالعربي طريقة مش معلومة لبرنامج الحماية ( غير تقليدية )

طيب كلامك حول مسئلة تشغيل سيرفر خام بدون ما ينكشف ... على طريقة الاخ سيمون .. نعم مما لا شك فيه .. و يجب ان يكون Downloader اذا كنت ناوي تستغلها في الاختراق


من كل قلبي ... اتمنى ان اتعلمها .. و من كل قلبي اتمنى ان لا يتم طرحها .
 
إنضم
29 أغسطس 2010
المشاركات
7,525
الإعجابات
6,875
النقاط
113
العمر
99
الإقامة
الرياض
اخي عمر كلام الاخ العزيز ~ I V D Z ~ واضح
اصلاً الطريقة الي شرحها هو ليست سهلة ابداً و أيضاً على الاكثر هي موجودة في حساب الحماية نفسها و اعتقد ان الحماية نفسها تصعب الأمر

اما طريقة الاخ سيمون فهي مختلفة اصلاً لم يكشفها برنامج الحماية حتى يحمي نفسه منها .. بالعربي طريقة مش معلومة لبرنامج الحماية ( غير تقليدية )

طيب كلامك حول مسئلة تشغيل سيرفر خام بدون ما ينكشف ... على طريقة الاخ سيمون .. نعم مما لا شك فيه .. و يجب ان يكون Downloader اذا كنت ناوي تستغلها في الاختراق


من كل قلبي ... اتمنى ان اتعلمها .. و من كل قلبي اتمنى ان لا يتم طرحها .
شكرا للتوضيح يا أمير

كلام كبار
ومن كل قلبي اتمنى ان لا يتم طرحها

(سيتم توزيعها عن طريق الفيس الخاص بسيمون)
دعايه فقط :)
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 1 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل