تخطي الحماية الذاتية للكاسبر سكاي

تم تحميل الصفحة في 1,9141681 ثانية
تخطي الحماية الذاتية للكاسبر سكاي
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
بعد تفكير وجدت 4 طرقت لازالة Callbacks Hook
1- جلب مقبض ال callback (والذي هو عنوان ستركشر CALLBACK_ENTRY ) ثم تمريره الى دالة ObUnRegisterCallbacks (اظن انها تحتاج توقيع) لكن تقع مشكلة لما الدريفر يرد الغاء الكولباك بنفسه (لانه ملغى من قبل)
2- جلب ادرس Callback ثم التعديل عليه بوضع وضع RET فيه
3-تحميل كول باك جديد بنفس اسم كولباك الكاسبر لكي يعمل overwrite عليه (تحتاج توقيع)
4- عمل كول باك جديد واعطاء اي هنادل لفتح بروسس الحماية صلاحية قتل البروسس ; بما ان كولباك الحماية حمل اولا فهو ينفذ اولا والذي يقوم بزع صلاحيات القتل ثم ياتي الكول باك الذي عملناه فيعطي للهاندل تلك الصلاحيات (تحتاج توقيع)
---
للاسف لم استطع التطبيق لان الطريقة الاولى و الثانية تتطلب جلب ادرس ستركشر CALLBACK_ENTRY (,وهذا ما انتظر منك ان تشرحه ) اما الطريقة الثالثة و الرابعة تتطلب توقيع رقمي :/

-----
وللعلم هذه الطرق لن تنفع ابدا في عمليات التشفير والتخطي
لان الحماية لن تتركك ابدا تحمل درايفر الى الكرنل بسهولة واصلا الوندوز يطلب توقيع رقمي لها مما يجعل امكانية تطبيقها صعبة جدا

كلامك صحيح تماماً و لكن يمكن ببعض الحيل تحميل الدرايفر و لن يقوم الانتي بفعل اي شيء و يمكن بعدها فعل اي شيء :)
 

Th Dodger

Beginner Developer
rankrank
إنضم
9 يناير 2010
المشاركات
236
الإعجابات
115
النقاط
43
شكراً لمديحك و لكن و كما تعلم نحن لسنا الا نقطة في بحر العلم
سيمون ! بعد زمان يا صديقي
بتتذكرني ولا نسيتني ؟
بعدك بحلب ولا سافرت ؟
اشتقنالك
لو عندك شي نتواصل عليه خبرني .. انا بألمانيا
 
إنضم
13 مارس 2013
المشاركات
2,820
الإعجابات
3,081
النقاط
113
تم تطبيق الطريقة الثانية لانها الاسهل بـ WinDbg :D
وبنفس الطريقة يمكن قتل اي انتي فيروس
اخي عمر كلام الاخ العزيز ~ I V D Z ~ واضح
اصلاً الطريقة الي شرحها هو ليست سهلة ابداً و أيضاً على الاكثر هي موجودة في حساب الحماية نفسها و اعتقد ان الحماية نفسها تصعب الأمر
اما طريقة الاخ سيمون فهي مختلفة اصلاً لم يكشفها برنامج الحماية حتى يحمي نفسه منها .. بالعربي طريقة مش معلومة لبرنامج الحماية ( غير تقليدية )
سيمون استعمل الطريقة 1 في الفيديو الاول و استعمل الطريقة 2 في الفيديو الثاني (والتي استعملتها)
 

Linus Torvalds

موقوف لمخالفة الشروط
rankrank
إنضم
23 سبتمبر 2015
المشاركات
194
الإعجابات
146
النقاط
43
بعد تفكير وجدت 4 طرقت لازالة Callbacks Hook
1- جلب مقبض ال callback (والذي هو عنوان ستركشر CALLBACK_ENTRY ) ثم تمريره الى دالة ObUnRegisterCallbacks (اظن انها تحتاج توقيع) لكن تقع مشكلة لما الدريفر يرد الغاء الكولباك بنفسه (لانه ملغى من قبل)
2- جلب ادرس Callback ثم التعديل عليه بوضع وضع RET فيه
3-تحميل كول باك جديد بنفس اسم كولباك الكاسبر لكي يعمل overwrite عليه (تحتاج توقيع)
4- عمل كول باك جديد واعطاء اي هنادل لفتح بروسس الحماية صلاحية قتل البروسس ; بما ان كولباك الحماية حمل اولا فهو ينفذ اولا والذي يقوم بزع صلاحيات القتل ثم ياتي الكول باك الذي عملناه فيعطي للهاندل تلك الصلاحيات (تحتاج توقيع)
---
للاسف لم استطع التطبيق لان الطريقة الاولى و الثانية تتطلب جلب ادرس ستركشر CALLBACK_ENTRY (,وهذا ما انتظر منك ان تشرحه ) اما الطريقة الثالثة و الرابعة تتطلب توقيع رقمي :/

-----
وللعلم هذه الطرق لن تنفع ابدا في عمليات التشفير والتخطي
لان الحماية لن تتركك ابدا تحمل درايفر الى الكرنل بسهولة واصلا الوندوز يطلب توقيع رقمي لها مما يجعل امكانية تطبيقها صعبة جدا

ممكن تعطينا مصادر ولو اجنبيه توضح التعامل مع مكتبات الويندوز
مثل جلب هاندل عنوان ستراكشر كما ذكرت
ويكون فيها تطبيق .net
 
إنضم
8 سبتمبر 2013
المشاركات
7,658
الإعجابات
11,469
النقاط
168
الإقامة
Live.IQ(JO => JO.AMMAN)
تم تطبيق الطريقة الثانية لانها الاسهل بـ WinDbg :D
وبنفس الطريقة يمكن قتل اي انتي فيروس

سيمون استعمل الطريقة 1 في الفيديو الاول و استعمل الطريقة 2 في الفيديو الثاني (والتي استعملتها)
اخي ~ I V D Z ~ انا متابعك منذ وجود الاخ سيمون في الماضي
و اعرف تماماً موطن اهتمامك و كنت متأكد ان مسئلة حل التحدي بالنسبة لك مسئلة وقت لا اكثر ..

اخجل ان اكتب لك اي كلمة من الكلام الذي يعتبر تقييم لحلك .. لم استغرب حلك التحدي صراحة
مجال اهتمامك سابقاً و الان .. هو windows API و الافضل انك متقدم فيه
 

زيد كريم

مُميّز نُقطة حِماية الأجهزة
rankrankrank
إنضم
1 أغسطس 2012
المشاركات
668
الإعجابات
491
النقاط
173
الإقامة
العراق
سؤال يا اخواني
بما انه تم حل التحدي من ~ I V D Z ~

السؤال يطرح نفسه
هل ممكن يستخدم على ضحايا
وكيف
والا فقط على الجهاز قتل يدوي كما فعل
~ I V D Z ~
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,243
الإعجابات
8,242
النقاط
113
الإقامة
الجزائر
يبدوت انك استعملت
KPP Destroyer
لتحميل درايفر غير موقع رقمياا و تخطي حماية
Kernel Patch Protection
------------
المشكلة الحماية سبقتك للجهاز و دمج كل تلك الحيل معاا سيجعل درايفر مشبوه جداا و برمجته معقدة جداا
 
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
يبدوت انك استعملت
KPP Destroyer
لتحميل درايفر غير موقع رقمياا و تخطي حماية
Kernel Patch Protection
------------
المشكلة الحماية سبقتك للجهاز و دمج كل تلك الحيل معاا سيجعل درايفر مشبوه جداا و برمجته معقدة جداا
لا تقلق ليس الحل الوحيد و بالاضافة درايفر الانتي فايروس غير مشمول بال KPP :)
 
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
تم تطبيق الطريقة الثانية لانها الاسهل بـ WinDbg :D
وبنفس الطريقة يمكن قتل اي انتي فيروس

سيمون استعمل الطريقة 1 في الفيديو الاول و استعمل الطريقة 2 في الفيديو الثاني (والتي استعملتها)
عمل جميل احسنت :)
 
إنضم
10 مارس 2011
المشاركات
9,125
الإعجابات
11,898
النقاط
113
الإقامة
Zaregoto
يبدوت انك استعملت
KPP Destroyer
لتحميل درايفر غير موقع رقمياا و تخطي حماية
Kernel Patch Protection
------------
المشكلة الحماية سبقتك للجهاز و دمج كل تلك الحيل معاا سيجعل درايفر مشبوه جداا و برمجته معقدة جداا
و اضيف مرة اخرى اني لم اقم باي عملية patch للنظام اي ان وقت تطبيق الثغرة كان ال Patch Guard يعمل بشكل تام :)
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,243
الإعجابات
8,242
النقاط
113
الإقامة
الجزائر
و اضيف مرة اخرى اني لم اقم باي عملية patch للنظام اي ان وقت تطبيق الثغرة كان ال Patch Guard يعمل بشكل تام :)
في x64 يجب ان يكون درايفر موقع رقمياا ليحمل . كيف حملته بدون توقيع ؟؟
 
الإعجابات: owtbo
إنضم
13 مارس 2013
المشاركات
2,820
الإعجابات
3,081
النقاط
113
ممكن تعطينا مصادر ولو اجنبيه توضح التعامل مع مكتبات الويندوز
مثل جلب هاندل عنوان ستراكشر كما ذكرت
ويكون فيها تطبيق .net
الموضوع لا يتكلم عن دوال الوندز بالهوكات في الكرنل
ابحث قليلا في جوجل عن البرمجة في الكرنل وسوف تفهم الشرح

اخي ~ I V D Z ~ انا متابعك منذ وجود الاخ سيمون في الماضي
و اعرف تماماً موطن اهتمامك و كنت متأكد ان مسئلة حل التحدي بالنسبة لك مسئلة وقت لا اكثر ..

اخجل ان اكتب لك اي كلمة من الكلام الذي يعتبر تقييم لحلك .. لم استغرب حلك التحدي صراحة
مجال اهتمامك سابقاً و الان .. هو windows API و الافضل انك متقدم فيه
شكرا على مديحك اخي

في x64 يجب ان يكون درايفر موقع رقمياا ليحمل . كيف حملته بدون توقيع ؟؟
سيمون كان يتحدث انه في انظمة 64 بت يوجد patch guard والذي يحمي الكتابة على SSDT لكتابة الهوكات يعني ان الهوك ليس SSDT بل callbacks
على كل , انا لم احمل درايفر بل استعملت Windbg الذي يحتوي على درايفر موقع بالطبع
:D
سؤال يا اخواني
بما انه تم حل التحدي من ~ I V D Z ~
السؤال يطرح نفسه
هل ممكن يستخدم على ضحايا
وكيف
والا فقط على الجهاز قتل يدوي كما فعل
~ I V D Z ~
نعم يمكن ذلك بعد تعلم البرمجة في الكرنل و تطبيق الشرح برمجيا ثم عمل درايفر 64 بت و 32 بت و ايجاد ثغرة لتخطي حماية التوقع الرقمي و ايجاد حل لتحميل الدرايفر الى الكرنل بعد تجاوز الانتي فيروس
 

H O U D I N I

.:: Legends DeveloPer ::.
rankrankrankrankrankrank
إنضم
14 أغسطس 2010
المشاركات
5,243
الإعجابات
8,242
النقاط
113
الإقامة
الجزائر
الموضوع لا يتكلم عن دوال الوندز بالهوكات في الكرنل
ابحث قليلا في جوجل عن البرمجة في الكرنل وسوف تفهم الشرح


شكرا على مديحك اخي


سيمون كان يتحدث انه في انظمة 64 بت يوجد patch guard والذي يحمي الكتابة على SSDT لكتابة الهوكات يعني ان الهوك ليس SSDT بل callbacks
على كل , انا لم احمل درايفر بل استعملت Windbg الذي يحتوي على درايفر موقع بالطبع
:D

نعم يمكن ذلك بعد تعلم البرمجة في الكرنل و تطبيق الشرح برمجيا ثم عمل درايفر 64 بت و 32 بت و ايجاد ثغرة لتخطي حماية التوقع الرقمي و ايجاد حل لتحميل الدرايفر الى الكرنل بعد تجاوز الانتي فيروس
ضننت انه هنالك تعديل بالكرنل ب kpp destroy لتحميل درايفر غير موقع و تدمير ال callback

الامور تستوجب ممارسه للفهم الاكثر
و من يريد خوض نصيحه تعلم ال winapi باليوزر جيدا اولا فالفرق ليس كبير
 

MN ANA

Beginner Developer
rank
إنضم
8 يناير 2015
المشاركات
7
الإعجابات
3
النقاط
3
الإقامة
YEMEN
الاخ سيمون أو اي عضو
لو انا بخرج عن الموضوع بس اريد فكره او طريقة تشغيل server تحت بئية network
ليعمل مع رنبي c++ او الدلفي
وكيف عمل دريفر
انا معجب جداً بفكارك وجميع اعضاء الديف بيونت مثل الاخ هوديني الخ ...
 
إنضم
28 سبتمبر 2013
المشاركات
166
الإعجابات
86
النقاط
28
فعلا مثير للاهتمام .
مثل هذه الثغرات و عناء ايجادها يصعب بقائها و استغلالها طويلا و ذلك لكثرة المبلغين عنها للكاسبر قصد الشهرة او المال و ايضا الكاسبر و اتباعهم دائما يتبعون اخر المستجدات في جميع منتديات الاختراق
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل