أستغفر الله العظيم ... سبحان الله وبحمده



العودة   منتديات داماس > برامج الكمبيوتر والانترنت > برامج


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


05-09-2010, 02:13 AM
MAHMOED غير متصل
عضوية الشرف
رقم العضوية: 153278
تاريخ التسجيل: Aug 2008
الإقامة: فى كنف الاخوان
المشاركات: 5,019
إعجاب: 1,515
تلقى 2,132 إعجاب على 501 مشاركة
تلقى دعوات الى: 1744 موضوع
    #1  

لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws


مؤخرا تهديد جديد ثغرات Hijacking

احبابى فى الله

كل عام وانتم بخير

تقبل الله منا ومنكم الصيام

لقد ظهر مؤخرا وبما تحمله الكلمة من معنى تهديد جديد وهو ثغرات DLL Hijacking Flaws التي كانت تعتبرها Microsoft دات درجة تهديد منخفظة (خصوصا انها كانت تعتقد ان الاستغلال لن يتجاوز الحاسوب المحلي )فقد قام عدة اخصائي حماية وعلى راسهم HD Moore بالكشف عن طريقة لاستغلال هدا النوع من الثغرات التي كما اشرت سابقا لم يكن يحسب لها اي حساب واما الان فاصبحت تتصدر القائمة وبادن الله سوف احاول في هدا الموضوع المتواضع والدي كما اعتقد يطرح لاول مرة عربيا محاولة الكشف ولو عن جزء صغير من هدا التهديد الجديد فعلى بركة الله لننطلق.

معظمنا ومعظم من يتعامل مع البرمجة بصفة عامة يعرف ان البرامج الحديثة تعتمد على مكتبات Dll لاستوراد بعض الدوال منها فلاداعي لاعادة برمجة الدوال ادا كانت قد برمجت اصلا ففي هدا توفير في الوقت و المجهود وبما ان الدوال المستخدمة في البرمجة منتشرة في مكتبات Dll هده الاخيرة قد لا تكون دائما في جهاز المستخدم فان المبرمجين يظطرون الى حزم هده المكتبات مع برامجهم فلنفترض اننا انشئنا برنامج ما فهدا البرنامج بمجرد بداه يبدا بتحميل مكتبات Dll ودلك لانه يحتاج الى الدوال الموجودة فيها وعملية التحميل هده تتم بطريقتين اما بطريقة يدوية حيث يتم تزويد البرنامج بالمسار الكامل للمكتبة او بطريقة ديناميكية فالنظام يحاول حينها ايجاد هده المكتبات بطريقة اوتوماتيكية ودلك باستخدام تقنية SafeDllSearchMode او اعداد SafeDllSearchMode هو ان صح التعبير قائمة بالمناطق التي يجدر بالنظام البحث فيها عن مكتبات Dll لتحميلها وهده هي القائمة :
-الممجلد الدي تم تحميل البرنامج منه
-مجلد system
-مجلد 16-bit system هدل المجلد لا يستعمل من طرف اي برنامج ولكنه ومع دلك يتم البحث فيه
-مجلد windows
-المجلد الحالي
-المجلدات الموجودة في متغير path environment

لمعلومات اكثر يمكنكم اتباع هدا الرابط



http://msdn.microsoft.com/en-us/libr...=VS.85%29.aspx

وهنا يكمن خطر الطريقة الاوتوماتيكية لاننا ببساطة يمكننا ان نستغل التحميل الغير الامن للمكتبات لانه بالطبع هناك طرق لتخطي هدا المشكل ومعظمها يتعلق بالمبرمج فادا كان هناك تحميل غير امن لهده المكتبات فالمخترق يمكنه حينها تنفيد اكود على جهازك ودلك بتحميل المكتبة الخاصة به فمثلا يمكننا ان ننشئ مكتبة ضارة بنفس اسم المكتبة الدي طلبها البرنامج وبالتالي نضمن تنفيد الكود الخاص بنا بالطبع الاستغلال عادة يكون محليا ولكن HD Moore تطرق الى فكرة استخدام network share وبالتالي جعل الاستغلال عن بعد .

لناخد مثالا عن الاستغلال برنامج
Microsoft PowerPoint 2010

http://www.exploit-db.com/exploits/14723/

كود PHP:
 	 
#include <windows.h>
#define DLLIMPORT __declspec (dllexport)

DLLIMPORT void HrCreateConverter() { evil(); }

int evil()
{
  WinExec("calc", 0);
  exit(0);
  return 0;
}  
 
وفي صدد كتابتي لهدا الموضوع ظهرت ثغرة في

Firefox <= 3.6.8 في مكتبة dwmapi.dll




الكود اعلاه يمثل كود المكتبة الضارة

ولنرى الان سيناريو لعملية الاختراق (فيمكننا بالطبع في الكود اعلاه ان نقوم باي شيئ نريد) فالمخترق سوف يقوم بانشاء ملف ppt مثلا ثم يقوم بارفاق معه المكتبة المصابة وبمجرد ان يقوم البرنامج بطلب تحميل مكتبة pptimpconv.dll والتي تحميلها غير امن مما يجعلنا نخدع البرنامج ودلك بتحميل مكتبتنا الموجودة اعلاه لنلاحظ ظهور الالة الحاسبة على اي كما دكرت في الاول هدا مثال فقط وهدا جزء بسيط من خطر الثغرة خصوصا ان هده الاخيرة اصبحت الان من السهل الكشف عنها بواسطة اداة DLLHijackAuditKit.zip
مثلا



https://www.metasploit.com/redmine/p...ckAuditKit.zip

مما ينبهنا الى حقيقة اساسية وهو ان عصر DLL Hijacking قد بدا.





=====================
........................................ ..
................................
...............
....
.

المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
ما هو هجوم DNS Hijacking و كيف تعرف هل جهازك مخترق عبره ام لا stetofski برامج الحماية 3 02-08-2015 06:54 PM
شبيه aprilcoin افتتح مؤخرا بحد ادنى 0.001 BTC وربح 0.15% يوميا adoudou1972 الربح من الانترنت 0 18-07-2015 04:56 AM
جميع النسخ الأصلية لأنظمة الوندوز التي تم رفعها مؤخرا Abo fatema تحميل أنظمة التشغيل ويندوز وحزم التحديثات واللغات والتفعيل Loaders, Activator 90 08-06-2013 03:32 AM
اشعر مؤخرا برغبة ملحة و متكررة للتبول wadaa1 الطب البشري - العلاج بالأدوية و الأعشاب الطبية 18 18-11-2011 10:20 PM
اصيب جهازي المحمول مؤخرا بفايروس جاء عن طريق الماسنجر نور القمر صيانة الكمبيوتر وحلول الحاسب الألي - هاردوير 3 15-02-2009 11:48 AM
12-09-2010, 02:21 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,972
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #2  

وعليكم السلام

نعم اخي صحيح واخر ضعف في ملف
dwmapi.dll
كان في تطبيق ال
Adobe Flash Player IE version 10.1.x

حيث ان التطبيق غير كفؤ لمسارالمكتبه للملف الضعيف dwmapi.dll
بالنهاية يؤدي الى عرض كامل ل سطح المكتب بمجرد زيارة صفحة مدعم بها ال
Flash
لانه استقبل الملف ال dll على سطح مكتبه

طبعا ليس هو التطبيق الوحيد ولكن يوجد ما يقارب 50 تطبيقا يشملهم هذا الضعف

شكرا لك


انا لست عربي
لذا اعذرني اذا لم افهمك من البداية
شاركنا بتصميم سطح مكتبك


++ Off-Line ++

12-09-2010, 02:34 AM
هاني الكيالي غير متصل
مجموعة الإدارة
رقم العضوية: 120779
تاريخ التسجيل: Apr 2008
المشاركات: 8,096
إعجاب: 5,610
تلقى 1,943 إعجاب على 443 مشاركة
تلقى دعوات الى: 2483 موضوع
    #3  

اخي الحبيب الف شكرا على هذا الموضوع القيم والنافع



برنامج لجميع اوامرRUN محمول 180 KB
http://www.damasgate.com/vb/t155313/
احتراف تعريف كرت الشاشة والدرايف لي Windows 7 واى ويندوز موضوع حصري صنع في Damas
http://www.damasgate.com/vb/t194504/
لعبة همبركر على طريقة ماكدونالز من الروائع MB 18 PORTABLE HAMBURGER GAME روابط داماسية
http://www.damasgate.com/vb/t193439/
شرح ولمحة عن مختبر طب الاسنان وبرنامج 3D Dental Anatomy
http://www.damasgate.com/vb/t194204/
احترف صناعه عمل نسخه Windows XP معدلة بي اهم برامج التعديل nLite و WUCDCreator و Winntbb
http://www.damasgate.com/vb/t191021/
بسم الله الجبار القهار العزيز. طريقتي الخاصة لعمل Image for Windowsبدون
برامج Image

12-09-2010, 04:43 AM
YaZeeD غير متصل
عضو محترف
رقم العضوية: 310429
تاريخ التسجيل: Oct 2009
المشاركات: 556
إعجاب: 184
تلقى 94 إعجاب على 26 مشاركة
تلقى دعوات الى: 0 موضوع
    #4  

حسنًا ، هل يمكن اصلاحه ؟ او هناك طريقة للحماية من هذه الثغرة ؟ هنا ارى ان يتوجه الحديث
لطريقة حل هذه المشكلة بدل ايضاحها ، لأنها قد تستغل من قبل الهاكرز ، للمعلومية : انا لست خبيرًا بهذه الاشياء و لكن مجرد اقتراح مني


12-09-2010, 06:25 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,972
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #5  

وعليكم السلام
حسنًا ، هل يمكن اصلاحه ؟ او هناك طريقة للحماية من هذه الثغرة ؟ هنا ارى ان يتوجه الحديث
لطريقة حل هذه المشكلة بدل ايضاحها ،
1- ايضاح الضعف الخطوة الاولى لاصلاحها
2- كيف يمكن اصلاحه ؟

كما ذكرت هناك ما يقارب 50 تطبيق مهدد . لذلك الحل الجزئي هو ان تقوم بتحديث هذا التطبيق الى اصدار احدث ( ان توفر من الشركة المطورة ) - اذا لم يتوفر قم بحذفه مثلا , او انك يجب ان تقلق من ان تتعرض للخداع .

شكرا

12-09-2010, 03:25 PM
MAHMOED غير متصل
عضوية الشرف
رقم العضوية: 153278
تاريخ التسجيل: Aug 2008
الإقامة: فى كنف الاخوان
المشاركات: 5,019
إعجاب: 1,515
تلقى 2,132 إعجاب على 501 مشاركة
تلقى دعوات الى: 1744 موضوع
    #6  

اكمر كالله على التوضيح اخى اذكرالله

12-09-2010, 06:56 PM
sameh haron غير متصل
الوسـام الذهبي
رقم العضوية: 117106
تاريخ التسجيل: Apr 2008
المشاركات: 1,785
إعجاب: 358
تلقى 73 إعجاب على 33 مشاركة
تلقى دعوات الى: 1 موضوع
    #7  

وهل معنى هذا اخى العزيز محمود ان جهازى مخترق فعند تشغيل هذه اللعبة



تظهر لى هذه الرسالة ولا اعرف ما هى المشكلة



فهل من حل لهذا


لا تنسى ذكر الله
عاشت مصر لابناءها حره
وداعا لعصر الطغيان والاستبداد

13-09-2010, 02:18 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,972
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #8  

وعليكم السلام

تظهر لى هذه الرسالة ولا اعرف ما هى المشكلة
كلا . لا تقلق

صحيح ان ما تتحدث عنه ليس له علاقة عن الموضوع . لكن هذا يخبرك
عدم وجود ملف مكتبه

قم بوضعه وتحل المشكله

شكرا

13-09-2010, 06:52 PM
sameh haron غير متصل
الوسـام الذهبي
رقم العضوية: 117106
تاريخ التسجيل: Apr 2008
المشاركات: 1,785
إعجاب: 358
تلقى 73 إعجاب على 33 مشاركة
تلقى دعوات الى: 1 موضوع
    #9  

اشكرك اخى العزيز اذكر الله
ولكنى عندما فتحت مجلد اللعبة وجدت الملف موجود فعلا وقمت بنسخه ايضا الى c\windows\system32 ولكن دون جدوى لم تعمل اللعبة وظهرت نفس الرسالة

15-09-2010, 06:53 AM
MAHMOED غير متصل
عضوية الشرف
رقم العضوية: 153278
تاريخ التسجيل: Aug 2008
الإقامة: فى كنف الاخوان
المشاركات: 5,019
إعجاب: 1,515
تلقى 2,132 إعجاب على 501 مشاركة
تلقى دعوات الى: 1744 موضوع
    #10  

المشاركة الأصلية كتبت بواسطة sameh haron 
اشكرك اخى العزيز اذكر الله
ولكنى عندما فتحت مجلد اللعبة وجدت الملف موجود فعلا وقمت بنسخه ايضا الى c\windows\system32 ولكن دون جدوى لم تعمل اللعبة وظهرت نفس الرسالة
اعتقد ان المشكله فى اللعبه جرب تشغيلها على جهاز اخر

16-09-2010, 08:16 PM
sameh haron غير متصل
الوسـام الذهبي
رقم العضوية: 117106
تاريخ التسجيل: Apr 2008
المشاركات: 1,785
إعجاب: 358
تلقى 73 إعجاب على 33 مشاركة
تلقى دعوات الى: 1 موضوع
    #11  

المشاركة الأصلية كتبت بواسطة MAHMOED 
اعتقد ان المشكله فى اللعبه جرب تشغيلها على جهاز اخر
حدث بالفعل وان قمت بتجربتها على جهاز اخر ولم تظهر اى مشكلة

16-09-2010, 09:01 PM
zinker غير متصل
عضو فعال
رقم العضوية: 31661
تاريخ التسجيل: Jan 2006
المشاركات: 163
إعجاب: 116
تلقى 35 إعجاب على 17 مشاركة
تلقى دعوات الى: 0 موضوع
    #12  

الله يستر من الي جاي والله وعشنا وشفنا المكتبات صارت تهاجم !!!
ربنا يستر

الموضوع في غاية الاهمية والصراحة هيك ثغرات رح تحتاج وقت لحتى تقدر شركات المقاومة للفيروسات والتروجان ان تحلها :)

نصيحتي للكل انه يتفقد كل البورتات المفتوحة على جاهزوو وكم مقدار البيانات التي تخرج وتدخل عن طريق البروتات المعروفة ويقارن وساعتها رح يعرف اذا كان انصاب بالبلاوي التروجنية ولا لأ ....


17-09-2010, 03:13 AM
ramay غير متصل
عضو ماسـي
رقم العضوية: 133287
تاريخ التسجيل: Jun 2008
المشاركات: 1,040
إعجاب: 53
تلقى 32 إعجاب على 11 مشاركة
تلقى دعوات الى: 0 موضوع
    #13  

DLLHijackAuditKit.zip
بارك الله فيك ممكن شرح لهذه الادة وكيف نستعمله


موقع القرأن الكريم وفيه أيضا تلاوات نادرة لأحمد العجمي


 


لقد ظهر مؤخرا تهديد جديد وهو ثغرات DLL Hijacking Flaws

English

Powered by vBulletin® Version
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.