الحالة
موضوع مغلق

dirol

عضو مشارك
#1
عند تحميل ملف ما او برنامج ما وفحصه ببرنامج الانتي فايروس مثل Avast Pro
وبرنامج Malwarebytes وبرنامج ad-aware وبرنامج Spybot
وفلنفرض اننا نفحصه بالموقع الشهير www.virustotal.com
ولنفرض جميع النتائج تظهر خلو الملف او البرنامج من اي خطر .

بعد إستخدام جميع ما سبق:
هل هذا يضمن ان الملف او البرنامج سليم 100%؟
أي هل من الممكن ان يحتوي هذا الملف او البرنامج على اداة ما للتجسس عليك او إختراق جهازك ولم تستطيع البرامج السابقة ان تلتقطها ؟

وشكراً :617:
 

التعديل الأخير بواسطة المشرف:

visionary7

عضو ماسـي
#2
رد: سؤال للمبرمجين والفنيين :+؟

نعم من الممكن ان يكون الملف مازال مصابـــا باى نوع من الفيروسات

حتى بعد الكشف عنة بموقع فحص الفيروسات

وهذا بسبب ان اى انتى فايرس لة تواقيع مختلفة للفيروسات عن الاخر

وهذا ما يجعل الكاسبر يشتبة فى وجود فيرس ولكن النود يعتبر المف نظيف وهكذا

اتمنى انى اكون جاوبتك على استفسارك
 

Mr.Computer

عضوية الشرف
#3
رد: سؤال للمبرمجين والفنيين :+؟

إذا كان الأنتى فيروس اصدار حديث وبآخر التحديثات وقد تم فحصه بأكثر من برنامج بنفس الصفة ،، إذن لا مشكلة فى الملف وتوكل الله ،، ولكن يبقى هامش خطورة بسيط لأنه لا يوجد أمن 100% وما في ايدينا من وسائل للحماية والكشف غير البرامج المتوفرة
بالتوفيق

تم تعديل العنوان ليدل على محتوى الموضوع ،، فضلا مرعاة ذلك مستقبلاً ،،

 

abujuhina

(اللَّهُمَّ ارحمهُ واعفُ عنهُ)
#4
رد: سؤال للمبرمجين والفنيين :+؟

لا يوجد برنامج يكتشف جميع الفيروسات وملفات التجسس والا لأصبح سعره بمئات الألوف

ويستثنى من ذلك الفيروسات القديمة المتعارف عليها من كافة انظمة الحماية

وبعد الكشف على الملف بالبرامج السابقة ربما يكتشف النود32 او الكاسبرسكاي وجود فيروس

وربما العكس وكل يوم تخرج فيروسات جديدة أقوى وأعنف من سابقاتها

وأيضا ليس كل ملف مشبوه لا يعتبر فيروس فهناك ملفات كثيرة تعتبر فيروسات عند بعض برامج الحماية

وهي ليست سوى ملفات تشغيلية لبعض البرامج
 

dirol

عضو مشارك
#5
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

شكرا جزيلاً على المعلومات المفيدة :)
 

Blackstar_tech

الوسـام الماسـي
#6
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

معلومة يالغلااا لاحظ هذة المعادلة البسيطة
فيرس جديد >> اصدار تحديث >> القدرة علي المعالجة و الحذف .
و يجب عليك استخدام برنامج ذو محرك بحث قوي و لا يكثر من
خاصية False detection تحياتي لك
 

dirol

عضو مشارك
#7
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

ولكن إذا كان البرنامج يحتوي على شيء مثل دعم الإتصال والتحكم بالجهاز من دون كونه فايروس؟ مثل اداة لإتصال ؟ اي انه ليس فيروس إنما اداة
هل هذا ممكن؟ ويعطي صاحب البرنامج اولوية للتحكم بالجهاز عن بعد ...مثل Remote Controlling ؟ --:
 

sayd_ahmad

عضو ماسـي
#8
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

أخي ألغالي اعمل لنفسك جهاز وهمى على النظام لديك وقم بتنزيل البرنامج ألتالي عليه لتقم باختبار البرامج والأدوات المشكوك بها وقم باستعمال هذا البرنامج

برنامج قوى للحماية ألشاملة F-Secure Internet Security and Anti-Virus 2010

فهوا من أقو البرامج في مجال ألحماية
وهذا البرنامج يخبرك بكل المنافذ ألمفتوحة لديل ويقوم بتحديث النظام لديك ويقوم بسد الثغرات لديك

هو يحسن الوضع الأمني. مع تقنيه مبتكرة وذكية الكشف عن المحرك ،

يمكن للطبيب WinMend بنظامه الفعال كشف وتحديد نقاط الضعف الأمنية في النظام ، وتحديد

نقاط الضعف في برامج تطبيقات الطرف الثالث ، ومنع تشغيل برامج بدء التشغيل خبيثة وأحصنة

طروادة ، BHOs وعمليات وخدمات النظام إلى حد كبير تحسين نظام الضمان. وهو ينص أيضا

على مستوى الخبراء مسح النظام خيار لمسح التهديدات الأمنية المحتملة في النظام ، ويحمي

النظام من تسلل برامج التجسس ، وأحصنة طروادة ادواري ، والفيروسات ، ويزيل مخاطر أمن النظام.



SystemDoctor
رابط من موقع البرنامج احدث أصدار




1.5.3

http://www.winmend.com/pad/download/WinMend-System-Doctor.exe
السريل
40045-71386-36053-58644-53644

40463-44135-88777-32288-97066

10221-27680-52541-86889-50462

60743-71730-35337-72644-53066

80857-46184-37363-98042-23364
وهذا البرنامج يتعامل بشكل مباشر مع النظام لاكتشاف معظم التغييرات التي حدثت في الـkernel space مع امكانية استرجاع البيانات الاصلية او التعديل اليدوي عليها .
ميزات البرنامج :-

Processes
جرد للعمليات التي تعمل مع اظهار العناصر المهمة لكل عملية مثل الـProcess Id و الـParent pid و الـImageBase و الـEntryPoint و الـVirtualSize و عنوان الـPEB وعنوان الـEPROCESS , أيضا يمكنه اظهار العمليات المختفية بأغلب الطرق المشهورة مثل hxdef و futo و phide_ex .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Terminate from user-mode : هذه الخاصية لمحاولة اغلاق البرامج مع مستوى المستخدم user-mode وهي غير فعالة مع البرامج التي تحمي نفسها .

Force-Terminate : يتم استخدام طرق خاصة لاغلاق البرنامج بالقوة .



Terminate from kernel-mode : هذه الخاصية لمحاولة اخلاق البرامج من مستوى النظام kernel-mode وهي فعالة مع اغلب البرامج حتى التي تحمي نفسها مثل KAV-RkU بينما تفشل في اغلاق برامج اخرى مثل IceSword . Debug : هذا الامر لتشغيل المنقح debugger وربطه مع العملية المختارة . Enum Modules : هذا الامر لجرد المكتبات Dlls التي تم تحميلها من قبل المعلية المختارة . Read Memory : هذا الامر يتيج لك عمل disassemble لذاكرة البرنامج لرؤية اكواد الاسمبلي الخاصة به + امكانية التعديل على الكود . Dump to file : لعمل dump لذاكرة البرنامج .​


Dynamic-link Libraries
جرد لمفات الـDll المحملة مع عملية معينة + عرض معلومات الـImageBase والـEntryPoint والـSize والـPath .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Inject Library : لحقن ملف dll الى العملية المختارة .


Unload Library : لتحرير ملف الـdll المختار مع العملية . Dump to file : لعمل dump لذاكرة الـdll الى ملف خارجي. Goto EntryPoint : لعمل disassemble للـEntryPoint الخاص بالـdll .​


Kernel-mode Drivers
لجرد الدرايفرز التي تم تحميلها الى النظام + عرض المعلومات الاساسية عنها .. أيضا يمكن اكتشاف اغلب الدرايفرات المخفية .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Dump to file : لعمل dump للاجزاء المتاحة من الدرايفر .. اغلب الدرايفرز يكون بها اقسام discardable والتي يتم تحرير ذاكرتها بعد تحميل الدرايفر وتنفيذ دالة الـDriverEntry .
Goto EntryPoint : لعمل disassemble للـEntryPoint اذا كان مازال متاحاً .


System Service Descriptor Table
لمشاهدة جدول خدمات النظام ومعرفة أي خدمة تم اقتناصها ومكانية استعادة عنوان الخدمة الأصلي او تعديله يدوياً .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Restore Selected : لاستعادة عنوان الخدمة المختارة .


Restore All : لاستعادة عناوين جميع الخدمات . Change Selected : تتيح لك تغيير عنوان الخدمة المختارة يدوياً . Goto Current/Real Address : لعمل disassemble لعنوان الخدمة الحالي او الحقيقي (ان كانت مقتنصة) .​


System Service Descriptor Table Shadow
لمشاهدة جدول خدمات النظام الخاص بالـGUI ومعرفة أي خدمة تم اقتناصها ومكانية استعادة عنوان الخدمة الأصلي او تعديله يدوياً .

يمكن اجراء نفس العمليات التي على SSDT على هذا الجدول.


Interrupts Descriptor Table
لمشاهدة جميع المقاطعات لكل بروسيسور على حدة مع اظهار المعلومات المهمة لكل مقاطعة + امكانية معرفة واستعادة الـhandler الحقيقي لكل مقاطعة .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Change offset : لتغيير عنوان الـhandler الخاص بالمقاطعة المختارة .


Change Selector : لتغيير قيمة الـSelector الخاص بالمقاطعة المختارة . Restore : لاستعادة قيمة عنوان الـhandler الاصلي للمقاطعة المختارة . Goto Address : لعمل disassemble لاجراء الـhandler الخاص بالمقاطعة .​

Kernel-mode hooks
هذه احد اهم خواص البرنامج وهي فحص المكونات الهامة للنظام مثل الكرنل نفسه (ntoskrnl.exe) و الـFile System Drivers و الـnetworking drivers , واكتشاف التغييرات التي حدثت على كود الـdriver سواء عن طريق inline hooks او EAT hooks او IAT hooks . في النسخ القامدة من البرنامج سيتم اضافة انواع اخرى من الـhooks ليتم اكتشافها .


تم تصغير الصورة بنسبة 81% (كانت 800 x 577) - انقر على الصورة لعرضها بحجمها الحقيقي



Restore Selected : لاسترجاع البايتات الاصلية التي تم تغييرها او استعادة العنوان الاصلي للـEAT/IAT الذي تم تغييره.

Restore All : لاسترجاع البايتات الاصلية لكل التغييرات التي تم اكتشافها. Goto : للذهاب الى العنوان الذي تم تغيير البايتات فيه وعمل disassemble.​


Code Disassembler
للقراءة والكتابة وعمل disassemble لجزء معين من الذاكرة الافتراضية لعملية معينة او حتى لذاكرة النظام kernel-space , يتم الاعتماد على محرك OllyDbg الخاص بعمل disassemble + محاولة جعل مظهره مثل واجهة olly المألوفة , ايضا يتم تحليل الـsymbols .
يتم استخدام اجراءات خاصة للقراءة والكتابة بدون الاعتماد اطلاقاً على دوال API مثل Read/WriteProcessMemory , وذلك لتجاوز بعض الحمايات التي تقوم باقتناص دالتي NtReadProcessMemory او NtWriteProcessMemory , أيضا يتم تجاوز الـhook على دالتي KeStackAttachProcess و KeAttachProcess من مستوى النظام والتي تمنع الحاق الـthread بعملية معينة لغرض القراءة من ذاكرتها الافتراضية .


Copy Address/Hex/Command : لنسخ العنوان المختار او قيم الهكس او تعليمة الاسمبلي .


Binary -> Copy Masm/C/Pascal : لنسخ قيم الهكس الخاصة بالتعليمة الى احدى صيغ الـbyte array في مترجم masm او السي او الباسكال.


Binary -> Edit : للسماح لك بتعديل الذاكرة يدويا عن طريق الهكس. Binary -> Fill with Zeros/Nops : لاستبدال الامر المختار بأصفار او nops . Asseble + Write : لعمل assemble للتعليمة المختارة الحالية . Follow intermediate Constant : اذا كان هناك const او intermediate خاص بالتعليمة يتم قراءته والذهاب اليه مباشرة - مثل عناوين القفزات والنداءات. Goto : لعمل disasm لعنوان اخر.​


Debug View
لاقتناص رسائل الـdebug التي يتم ارسالها الى الـkernel-debugger .. هذه الرسائل معروفة ومهمة لأي كاتب درايفر , هذه الخاصية معطلة افتراضياً لانها تسبب احيانا بعض المشاكل , لتشغيلها قم بتشغيل البرنامج مع الباراميتر debugv .


البرنامج هو

uniextract15


بعد تثبيت البرنامج ستجد له خيارات في يمين الماوس

لفك السيت اب اضغط على ملف السيت اب للبرنامج بيمين الماوس


ستظهر لديك شاشه للدوس تعمل تلقائيا لفك ضغط السيت اب

انتظر قليلا تختفي الشاشه ويظهر لديك ملف جديد

هذا هو ملف البرنامج بعد فك الضغط






الان تستطيع تجربة البرنامج واذا عجبك البرنامج يمكن الاكتفاء باستخدامه

من هنا.. او تقوم بتثبيت البرنامج على جهازك



ملاحظه : البرنامج لا يستطيع فك كل انواع السيت اب لكنه يتعامل مع الغالبيه العظمي

من البرامج ( 90% ) من البرامج يمكن التعامل معها بواسطته

التحميل

http://depositfiles.com/en/files/7116964

أو
http://www.4shared.com/file/58433096...extract15.html
أو
http://mediafire.com/files/71862354/uniextract15.exe.

 

ابو منصر العمودى

الوسـام الماسـي
#9
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

اخى اعمل على نظام اكس بى ونظام ويندوز7 ونظام سيرفر 64بت وكلها انظمة 64بت ولااستخدم اى انتى فيروس واستخدم مالوار انتى مالوار 1.46 وهو يوفى بالغرض وزياده
 

dirol

عضو مشارك
#11
رد: سؤال بخصوص التأكد من تمام خلو الملفات من الفيروسات ؟

جزيل الشكر للإخوة الكرام على المساعدة :*
 
الحالة
موضوع مغلق

أعلى