>
IPB

مرحبا بالضيف ( دخول | التسجيل )



« الموضوع: ثقل في الجهاز والتحديثات لا تعمل » ( الكاتب : أبو سليمان | آخر مشاركة : أبو سليمان | عدد المشاركات : 1 | عدد القراءات : 58)     ::     « الموضوع: كيف أتخلص من RECYCLER » ( الكاتب : خالد معاذ | آخر مشاركة : osama_b | عدد المشاركات : 1 | عدد القراءات : 46)     ::     « الموضوع: طلب مساعدة عاجل » ( الكاتب : riyadm63 | آخر مشاركة : riyadm63 | عدد المشاركات : 2 | عدد القراءات : 74)     ::     « الموضوع: استشارة بخصوص الرام لجهاز i7 » ( الكاتب : -_HuSoft_- | آخر مشاركة : عصام سرقيوة | عدد المشاركات : 1 | عدد القراءات : 71)     ::     « الموضوع: مشكلة مع Internet Download Manager سبب اعادة تشغيل الجهاز » ( الكاتب : زياد | آخر مشاركة : kosay | عدد المشاركات : 4 | عدد القراءات : 127)     ::     « الموضوع: لا أستطيع فتح بعض الملفات » ( الكاتب : المحب لله | آخر مشاركة : عصام سرقيوة | عدد المشاركات : 1 | عدد القراءات : 108)     ::     « الموضوع: الوايرلس » ( الكاتب : هناء | آخر مشاركة : عصام سرقيوة | عدد المشاركات : 4 | عدد القراءات : 173)     ::     « الموضوع: جزء من ارباح موقع ون كارد يذهب لقتل الفلسطينيين » ( الكاتب : خالد فخر الدين | آخر مشاركة : خالد فخر الدين | عدد المشاركات : 0 | عدد القراءات : 95)     ::     « الموضوع: السلام عليكم » ( الكاتب : ابو الجدايل | آخر مشاركة : عصام سرقيوة | عدد المشاركات : 1 | عدد القراءات : 133)     ::     « الموضوع: مشكلة في الفلاش ميموري » ( الكاتب : نبز | آخر مشاركة : kosay | عدد المشاركات : 1 | عدد القراءات : 159)     ::    


تخلص من 99.99% من الفايروسات في دقائق مجاناً
2 الصفحات V  < 1 2  
 Reply to this topicStart new topic
إحذر البرامج المضادة للفايروسات!!!
AMFS
المشاركة Nov 5 2010, 05:03 PM
مشاركة #11


عضو جديد
صورة المجموعة

المجموعة: الأعضاء
المشاركات: 1
التسجيل: 4-November 10
رقم العضوية: 17,215
مشكوررررر اخي
معجب فيك والبرامج والادوات الي حاططها

تم تحرير المشاركة بواسطة AMFS: Nov 5 2010, 05:05 PM
Go to the top of the page
 
+Quote Post
 
مستر آدفيرتايزر
المشاركة Nov 5 2010, 05:03 PM
مشاركة #


(¯°مشـرف الدعايـة والإعـلان°¯)

 قل لا للقرصنة



Go to the top of the page
 
Quote Post
 
عصام سرقيوة
المشاركة Sep 18 2011, 06:26 PM
مشاركة #12


المدير العام
صورة المجموعة

المجموعة: الإدارة العامة
المشاركات: 6,869
التسجيل: 13-May 06
البلد: درنة - ليبيا
رقم العضوية: 3
السلام عليكم

إليكم مثال جديد لأهمية الحذر من البرامج المضادة للفايروسات...

في أواخر التسعينييات من القرن الماضي، غزا أجهزة الكمبيوتر في العالم فايروس أطلق عليه فيما بعد اسم Shifter.1295 . وقد ظل هذا الفايروس مخفي وغير مكتشف من قبل كل مضادات الفايروسات المتوفرة في ذلك الحين لمدة عام كامل بعد أول يوم قابلته فيه. كان ذلك الفايروس موجه لنظام DOS طبعاً ولكنه يعمل حتى على أنظمة ويندوز المتوفرة في ذلك الحين باعتبارها كانت وما زالت مجرد قشرة تعزل المستخدم عن شاشة دوس السوداء الكئيبة وليست أنظمة تشغيل بما تحمله الكلمة من معنى.

عندما اكتشفته لأول مرة كنت أقوم ببرمجة مشروع تخرجي على جهازي الشخصي وكنت استخدم FoxBase لبناء منظومة محاسبية للإدارة المالية للمعهد العالي الذي أدرس فيه. لاحظت تصرفات غريبة مثل فقد البيانات وتعليق الجهاز، وأذكر أنني دونت ملاحظاتي واستنتاجاتي على ورقة قدمتها للأستاذ المشرف على مشروعي (وهو في نفس الوقت رئيس قسم الحاسب) وهو الدكتور عبد الرازق محمد قاسم (سوري الجنسية). ولم يزد الدكتور على أن صادق على استنتاجاتي بوجود فايروس في جهازي لأنه يثق فيّ ثقة عمياء كما أنه ليس متخصصاً في تحيليل الفايروسات.

عندما يستقر ذلك الفايروس داخل الجهاز يحمل نفسه في الذاكرة ويظل قابعاً هناك بتقنية TSR أو Terminate and Stay Resident المعتمدة آنذاك في نظام دوس، ويراقب ما يتم تشغيله من برامج. بمجرد أن تقوم بتشغيل أي برنامج أو فتح ملف تنفيذي لتعديله سواء كان من نوع EXE أو COM فإنه يلتصق بذلك الملف ويصبح مندمجاً معه، بحيث يكون ذلك الملف حاملاً للمرض، وتشغيله على جهاز آخر يصيب ذلك الجهاز بالفايروس. يقوم الفايروس بإلصاق نفسه بالملف الذي يصيبه ويزيد حجم الملف بناء على ذلك الالتصاق بما يساوي 1295 بايت (وهو سبب تسميته بذلك الرقم). وهو في ذلك يتبع نظام تحري الفراغات داخل الملف فيكتب نفسه على أجزاء متفرقة من الملف إلا أن العامل المشترك هو إضافة 1295 بايت لطول الملف وهو المفتاح الذي أمكنني من كشفه. وأطلقت عليه يومها اسم EvilEye (عين الحاسد).

حيث أنه لم يكن من مضاد فايروسات يكتشف أو يزيل هذا الفايروس في ذلك الوقت، وحيث أنني كنت في أوج المرحلة الأخيرة من الدراسة والتحضير لمشروع التخرج ولم يكن بوسعي التوقف أو أنتظار برامج الحماية العالمية حتى تأتي بحل لهذا الفايروس، قررت أن أصمم برنامج لإزالته، وبالمناسبة كان ذلك البرنامج هو أول علاقة لي ببرمجة أدوات إزالة الفايروسات، وكان الأولى بمشروع تخرجي أن يكون حول ذلك الفايروس وليس حول منظومة روتينية ليس فيها أي إبداع كغالب إنتاج المبرمجين العرب للأسف. وأكاد أجزم أنه لولا غزو ذلك الفايروس لجهازي في ذلك الوقت لتحول خط مسيرتي في البرمجة من الفايروسات إلى منظومات قواعد البيانات. البرنامج مازال في حوزتي للآن وهو يزيل الفايروس بكفاءة (Disinfect) ولكنه على أية حال لم يعد ذا نفع الآن لأن الفايروس أنقرض بانقراض نظام دوس وويندوز 95 وأخواتها.

الشاهد هنا هو أنه بعد تصميمي لهذا البرنامج بأشهر عديدة توصل نورتون إلى اكتشاف الفايروس وأطلق عليه اسم Shifter.1295 وذاع صيت الفايروس بهذا الاسم لذيوع صيت نورتون بينما لم يهتم أحد لاسم مكتشفه الأصلي ومصمم برنامج إزالته (وهو العبد الفقير إلى الله) وهذا طبعاً راجع لشهرة نورتون بالمقارنة مع برنامجي. وبعد أن حصلت على نسخة نورتون المحدثة بتوقيع ذلك الفايروس قررت طبعاً أن أجربه على جهاز مصاب وكان الجهاز مثبت عليه ويندوز 95، وهكذا كان، وللمفاجأة، وبعد انتهاء الفحص وإعادة التشغيل تعطل الجهاز وفشل إقلاع النظام. بينما لم يتعطل الجهاز ولم يفشل إقلاع النظام حين عالجته ببرنامجي الخاص بل تم تنظيف الجهاز بكل كفاءة وعاد كما كان.

قضيت ساعات لمحاولة معرفة السبب، واكتشفت السبب، وكان السبب راجع لهفوة ولكنها هفوة شنيعة ارتكبها نورتون. وإليكم ما حدث:

عندما يحاول ذلك الفايروس إصابة ملف تنفيذي فإنه يقوم بفتحه أولاً لمعرفة إن كان من نوع EXE أم من نوع COM وتختلف بناء على نتيجة الفحص طريقة الإصابة، بحيث أن طريقة الإصابة (Infect) وبالتالي طريقة العلاج (Disinfect) تختلف، وهذا ما دعاني لوضع روتينين أساسيين في برنامجي لمعالجة الملفات أحدهما لملفات EXE والثاني لملفات COM وكذلك فعل نورتون، فقد وضع روتينين للعلاج وأطلق اسم Shifter.1295 على الفايروس الذي يصيب ملفات COM واسم Shifter.1295.x على الفايروس الذي يصيب ملفات EXE وحيث أن كلانا اتبع نفس الطريقة إلا أن ما كان يحريني هو لماذا فشل نورتون ونجحت أنا؟

السبب هو تلك الهفوة والتي مرجعها شركة مايكروسوفت ولم تمر عليّ مرور الكرام ولكنها مرت على نورتون مرور الكرام. من المعروف أن ملف التشغيل الرئيسي الذي يعتمد عليه نظام DOS وكذلك ويندوز 95 وأخواتها هو الملف COMMAND.COM هذا الملف يبدو من اسمه ولاحقته أنه من نوع COM وبالتالي ينبغي علاجه بتطبيق روتين Shifter.1295 وليس Shifter.1295.x وهذا ما خدع نورتون وسبب فشل برنامجه في معالجة النظام. الحقيقة وخلافاً لما هو واضح من اسم الملف فإن ملف COMMAND.COM هو ملف تنفيذي من نوع EXE بسبب حجمه وطريقته في التنفيذ والتحميل للذاكرة، إلا أن نورتون لم تخطر بباله هذه الفكرة فكان يعالج هذه الملف بروتين ملفات COM وهو روتين مختلف تماماً وكأنه يعالج ملف مصاب بفايروس عن طريق توقيع فايروس آخر مما كان يؤدي إلى تدمير هذا الملف، وحيث أن هذا الملف هو أهم ملفات النظام فإن النظام يفشل في الإقلاع.

الكارثة أن نورتون وحتى تاريخ كتابة هذه السطور ما زال يخطئ ويطبق روتين ملفات COM على ملف COMMAND.COM ولولا أن نظام دوس أنقرض وأن ذلك الفايروس انقرض لاستمرت المأساة...

تحياتي


--------------------

لديك مشكلة تقنية؟ رجاء لا تراسلني
على الخاص، أكتب بالمنتدى للفائدة.
Go to the top of the page
 
+Quote Post
 
kosay
المشاركة Sep 18 2011, 07:55 PM
مشاركة #13


مشرف منتدى الأمن والحماية والدعم الفني
صورة المجموعة

المجموعة: المشرفون
المشاركات: 1,808
التسجيل: 14-December 08
البلد: السويداء / سوريا
رقم العضوية: 5,605
أولا مبروك الستايل الجديد
فعلا تقع بعض الأخطاء و سأسرد قصة صارت معي
مرة أتاني رفيق عنده كاسبرسكي و يشكو أن الجهاز لما يشتغل لما يضع الباسورد للدخول يعيد افقلاع و ما نفع معا شي و بالحقيقة ما كان في حل إلا Backup للجهاز المحمول
ثم بعد يوم أو يومين أتاني صديق للشخص يسكن بنفس غرفة الشاب و لديه مشكلة فما كان مني الا استخدمت myRT فاكتشفت ملفا mySecret.exe في مجلد النظام قامت بحذفه و لما أعدنا الفحص بالوضع الأمن لم يدخل للوضع الأمن !!! مع أنه غير مخرب
أعدنا الدخول للوضع العادي و نفس المشكلة الأولى لما يضع كلمة السر للويندوز يعيد الإقلاع فتذكرت أن الإثنين لهما نفس المشكلة و يسكنان معا بغرفة واحدة (يعني يستعملان فلاشات مشتركة)
أدخلت قرص انفاذ للأفيرا و و قمت باسترجاع الملفات من حافظة myRTVualt و تغير الاسم ثم قمت باعادة التشغيل فاشتغل النظام
بتحليل الملف كانت النتيجة أن الفيروس يضع نفسه بدل Winlogon.exe في سجل النظام و هو يقوم بتشغيل الملف winlogon.exe فبحذفه لوحده يفشل النظام بالدخول و يجب تغيير الريجستري
كانت القصة أن الكاسبرسكي يكتشفه بالاكتشاف الذكي له و يحذفه (ولا يغير القيم بالريجستري) فكانت النتيجة مع الشخص الأول أنه نصب الكاسبر و قام بعملية فحص و اكتشف الفيروس و حذفه و لما أعاد افقلاع لم ينجح بالدخول للنظام
المشكلة أنني جربت الفيروس على الأفيرا و اكتشفه بالاكتشاف الذكي أيضا إلا أن اصلاح النظام فيه كان أيضا بشكل خاطئ (يحذف الفيروس و يترك اعدادات الريجستري خاطئة)
راسلت الأفيرا بالبداية قالوا إنه مكتشف بالإكتشاف الذكي فرددت بشرح مفصل للحادثة فكان الرد شكر و أنه تمت اضافته لقاعدة بياناتهم باسم TR/Crypt.PEPM.Gen ولا اعرف إن تم تصحيح الخطأ بالباقي أم لا


--------------------
Go to the top of the page
 
+Quote Post
 
« الموضوع السابق · خربشات مبرمج عربي · الموضوع التالي »
 

2 الصفحات V  < 1 2
Reply to this topicStart new topic
> 1 عدد القراء الحاليين لهذا الموضوع (1 الزوار 0 المتخفين)
0 الأعضاء:
 

 

طريقة العرض: عادي · تحويل للنمط : تدريجي · تحويل للنمط : ملخص

أخبرني بجديد هذا الموضوع · إرسال الموضوع لصديق · طباعة الموضوع · الإشتراك في هذا المنتدى


- نسخة خفيفة الوقت الآن: 24th May 2013 - 11:00 AM

GazaSoft
Powered By IP.Board © 2013  IPS, Inc
Licensed to: Sergiwa Software