مشاهده نسخه کامل
: روشی پیشرفته برای تست نرم افزارهای امنیتی سیستم
سلام به همه دوستان عزیز
برای آن دسته از دوستانی که علاقمند به تست سیستم امنیتی خودشان در سطح پیشرفته هستند نرم افزار جالبی را
معرفی میکنم.البته قبل از شروع باید اخطار کنم که این آزمون از کدهای مخرب واقعی استفاده می کند که می تواند
برای سیستم شما اشکالات زیادی ایجاد کند و بنا به اظهار سازنده آن باید احتمال نیاز به فرمت هارد را نیز در نظر بگیرید :blink:
در هر حالت قبل از هر کاری اطلاعات موجود در لینک زیر را بخوانید:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
یا
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] security%2Fdfk-threat-simulator-v2.asp
سپس فایل زیر را داونلود کنید:
DFK Threat Stimulator v2 ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
ممکن است حین داونلود ویا قبل از اجرا ضد ویروس اخطار دهد در این صورت یا از خیر اجرای برنامه بگذرید و یا قبل از
اجرای برنامه آنتی ویروس را غیر فعال کنید و هنگام اجرا آن را دوباره فعال کنید.پس از اجرا برنامه مزبور ابتدا برنامه های
امنیتی سیستم شما را غیر فعال کرده و بعد انواع مختلفی از برنامه های مخرب را روی سیستم اجرا می کند ( از
نصب تروجان , Keylogger ,روت کیت گرفته تا ایجاد اکانتهای قلابی روی سیستم با اختیارات کامل و حتی ارسال اطلاعات
به اینترنت :wac: )
برای آنیستال برنامه باید فایل DFKTS v2 را اجرا کرده وسپس سیستم را ریستارت کنید و دوباره آن را اجرا کنید.بهتر است
پس از آن سیستم خودتان را با آنتی ویروس اسکن کنید .(البته اگر هنوز به آنتی ویروس خودتان اعتماد دارید :cool: )
باز هم بگویم اگر تجربه کافی برای اینکار را ندارید بهتر است از خیر امتحان آن بگذرید.دوستانی که آن را اجرا می کنند
نتیجه را گزارش کنند تا دیگر دوستان نیز استفاده کنند خود من هم نتیجه را در پست بعدی اعلام می کنم.
موفق باشید.
با سلام دوباره
سیستمهای امنیتی فعال بر روی سیستم من عبارتند از :
Kaspersky Anti-Virus 6.0.1.411 MP1
Webroot Spy Sweeper 5.2.3
Zone Alarm Pro 6.5.737
هر سه آنها در حالت Real Time فعال بوده و تنظیمات امنیتی هر سه در بالاترین سطح قرار داده شده است ( البته File Anti-Virus
کاسپرسکی در سطح Recommended قرار دارد ) حین داونلود و قبل از اجرا هیچکدام از آنها اخطاری صادر نکردند حتی اسکن دستی
iPod-commercial.exe با کاسپرسکی نیز نتیجه ای نداشت ولی با اجرای فایل مزبور برنامه بالا نیامده و کاسپرسکی جلوی
اجرای آن را گرفت و سیستم دچار Freeze های کوتاه مدت مکرر شد و من ناچار پس از پانزده دقیقه سیستم را
ریستارت کردم ولی پس از بالا آمدن ویندوز سیستم کاملا پاک بوده و هیچ نشانه ای از آلودگی در مکانهای اشاره
شده در راهنما وجود نداشت.اینبار من قبل از اجرا خاصیت Real Time Protection کاسپر را از کار انداختم و فایل را
اجرا کردم و سپس آنرا مجددا فعال کردم سرویس Program Control زون آلارم هنگام اجرای فایل مذکور اخطار نداد
ولی پس از اجرا اخطار داد که برنامه مذکور اقدام به غیر فعال کردن کاسپرسکی کرده است که من گزینه Deny را
انتخاب کردم در این بین برنامه سه فایل
winllogon.exe و projector.exe و xmlscript.exe را در پوشه Temp ایجاد کرده بود که هر سه در Task Manager قابل
مشاهده بودند و میشد به راحتی آنها را غیر فعال کرد علت آن هم این بود که کاسپرسکی بلافاصله پس از نصب
روت کیت Vanquish را شناسایی و مجموعا هفت کد مخرب را با اسامی زیر شناسایی و پاک کرد:
Trojan program Trojan-PSW.Win32.XShadow.b
virus Worm.Win32.VB.dy
malware Exploit.Win32.MS06-030
Trojan program Trojan-Spy.Win32.KeyLogger.le
Trojan program Trojan-Downloader.Win32.Small.drq
Trojan program Trojan.Win32.KillAV.ip
Trojan program Trojan-PSW.Win32.XShadow.b
پس از آن علارغم فعال بودن iPod-commercial.exe و نمایش صفحه Loading... اتفاق دیگری نیفتاد و هیچکدام از
نرم افزارهای امنیتی من از کار نیفتادند و در حالت اجرا باقی ماندند و من به طور دستی iPod-commercial.exe را از
کار انداختم. کاسپرسکی کار خود را خوب انجام داد و دو تای دیگر هم به خوبی در مقابل غیر فعال شدن مقاومت کردند.
تنها چیزی که برای من جای تعجب داشت این بود که کاسپرسکی هر هفت مورد را با سرویس File Anti-Virus خود شناسایی
کرد و سرویس PDM پلک هم نزد ظاهرا در اینگونه موارد اولویت با File Anti-Virus است.
چشم انتظار نتایج مربوط به سایر آنتی ویروسها هم هستیم تا یک مقایسه عملی بین آنها صورت گیرد.
vtnجان برنامه جالبی گذاشتی البته من برای اولین باره که این تاپیکو دیدم .علت اینکه کاسپر در هنگامی که این فایلو اسکن میکنیم اونو نمی شناسه بخاطر اینه که این فایل با پکر های زیادی وبا مهارت خاصی پک شده وفقط هنگام اجرا فایل وآنپک شدنشه که قابل شناسایی میشه البته برای آنتی ویروسهایی که سیستم هوریستیک اونا به فایلهایی که به تعداد زیاد پک شده اند حساس است مثل نود, آواست ویا آنتی ویر قبل از اجرا فایل قابل شناسایی میباشه.
Persian.Boy
16-06-2007, 19:26
vtn جان ممنون بابت این تستی که ارائه دادید. سر فرصت حتما من هم اون رو بر روی آنتی ویروسهایی که
بصورت نصب شده دارم امتحان میکنم. اما قبل از هر چیزی این رو بگم که این فایل توسط آنتی ویروسهای زیر
بعنوان فایل آلوده به Malware و Trojan شناسایی میشود.
َAntivir
Avast
BitDefender
eSafe
Ewido Anti Spyware
NOD32
Panda
Sunbelt
Webwasher-Gateway
این آنتی ویروسهای بالا که نام بردم فایل آلوده رو قبل از آنپک شدنش تشخیص میدن.
vtn جان ممنون بابت این تستی که ارائه دادید. سر فرصت حتما من هم اون رو بر روی آنتی ویروسهایی که
بصورت نصب شده دارم امتحان میکنم. اما قبل از هر چیزی این رو بگم که این فایل توسط آنتی ویروسهای زیر
بعنوان فایل آلوده به Malware و Trojan شناسایی میشود.
َAntivir
Avast
BitDefender
eSafe
Ewido Anti Spyware
NOD32
Panda
Sunbelt
Webwasher-Gateway
این آنتی ویروسهای بالا که نام بردم فایل آلوده رو قبل از آنپک شدنش تشخیص میدن.
سلام عزیز
ممنون از توجهتان , البته آنتی ویروسهایی که نام برده اید اگر دقت کنید ( و در شکل زیر به وضوح دیده می شود ) تقریبا هیچکدام فایل الوده را شناسایی نکرده اند بلکه به پکری که برای پک به کار رفته است واکنش نشان داده اند در واقع اکثر این آنتی ویروسها خاصیت Unpack جالبی ندارند و به طور کلی تمام فایلهایی را که با پکرهای ناشناخته پک شده اند به عنوان فایل آلوده احتمالی شناسایی می کنند هر چند این روش در اکثر مواقع موثر است ولی در اصل یک مثبت کاذب حساب می شود در هر حالت اگر خواستی از این تست روی این گونه آنتی ویروسها استفاده کنی باید قبل از اجرا Real Time PROTECTION آنها را غیر فعال و بلافاصله پس از اجرای فایل آن را فعال کنی یعنی همان کاری که من با کاسپر انجام دادم.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Vtn عزیز
لینک دانلود برنامه خرابه
toadstool
17-06-2007, 16:30
من برنامه رو دانلود كردم و فقط موقع Scan دستي AVG Internet Security اونو به اسم
Trojan.Small شناخت ولي جرات نكردم اجراش كنم
Vtn عزیز
لینک دانلود برنامه خرابه
تست را برایتان در رپیدشیر اپلود کردم ولی در به کار بردن آن احتیاط کنید.
toadstool
18-06-2007, 02:03
VTN جان من فايل رو اجرا كردم
قبل از اون بگم ويندوز من XP SP1 هست و در حال حاضر فقط AVG Internet Security 7.5 ( آپديت شده) :5:
روي ويندوزم نصبه
همون طور كه گفتم موقع اسكن دستي اين تروجان يافت شد
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ولي من ignore كردم بعد فايل رو اجرا كردم و اين هم نتيجش :20:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
كه باز هم گذاشتم ويروس كارش رو ادامه بده :5:
ولي بعد از اون حدود 15 دقيقه كه در اين مدت فقط صفحه زير باز بود و مرتب خطهاش داشت پر ميشد
ويروس هيچ عمل خاصي انجام نداد :46:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و مشخص بود كه سيستم در حالت IDLE هست
من هرچه صبر كردم :13: اتفاقي نيفتاد و اون صفحه رو بستم
و هيچ گونه فايل مشكوكي در Task Manager يافت نشد
و وقتي سيستم رو اسكن كردم رد پايي از ويروس نبود :27: :31:
VTN جان من فايل رو اجرا كردم
قبل از اون بگم ويندوز من XP SP1 هست و در حال حاضر فقط AVG Internet Security 7.5 ( آپديت شده) :5:
روي ويندوزم نصبه
همون طور كه گفتم موقع اسكن دستي اين تروجان يافت شد
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ولي من ignore كردم بعد فايل رو اجرا كردم و اين هم نتيجش :20:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
كه باز هم گذاشتم ويروس كارش رو ادامه بده :5:
ولي بعد از اون حدود 15 دقيقه كه در اين مدت فقط صفحه زير باز بود و مرتب خطهاش داشت پر ميشد
ويروس هيچ عمل خاصي انجام نداد :46:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و مشخص بود كه سيستم در حالت IDLE هست
من هرچه صبر كردم :13: اتفاقي نيفتاد و اون صفحه رو بستم
و هيچ گونه فايل مشكوكي در Task Manager يافت نشد
و وقتي سيستم رو اسكن كردم رد پايي از ويروس نبود :27: :31:
سلام دوست عزیز
ظاهرا AVG هم کارش را به خوبی انجام داده است ولی چون فقط یکی از چند فایلی را که پس از اجرای iPod-commercial.exe
در پوشه Temp ویندوز ایجاد می شود شناسایی کرده است ( پس از اجرای این فایل 5 فایل در پوشه Temp ایجاد
می شود به اسامی projector.exe ,xmlscript.exe , frmsystem.exe , winllogon.exe , playmovie.exe که هر
کدام کار خاصی می کنند ) من توصیه می کنم سری به پوشه Temp بزنی ببینی اثری از اینها هست یا نه , اگر نبود
که خیالت راحت باشد ولی اگر هر کدام از آنها را دیدی ممکن است سیستمت آلوده شده باشد چون این برنامه طوری
طراحی شده است که مانند ویروسهای واقعی کار خود را در خفا انجام دهد. باید برنامه پاک کننده همراه با این تست
را با روشی که در پست اول گفتم اجرا کنی.
toadstool
18-06-2007, 11:39
VTN جان از اين فايلهايي كه گفتي 3 تاش رو پيدا كردم
playmovie.exe frmsystem.exe xmlscript.exe تو همون فولدر Temp بود
ولي چيزي توي Task manager و حتي Tuneup Process Manager پيدا نكردم
راستي اين Remover هم كه به نظر نمي ياد كاره خاصي بكنه
__Genius__
18-06-2007, 12:42
سلام ...
من دیشب متاسفانه چون محیط آزمایشگاهم دچار مشکل شده بود به ناچار به صورت real این کار رو انجام دادم ...
فیلمی شده بود دیشب تو کامپیوتر من ...
و بابت این تاپیک کلی از vtn جان تشکر میکنم ...
دیشب من spyware doctor و norton داشتم ...
به محض اینکه فایل رو فعال کردم spyware doctor پیغام داد چند فایل رو پیدا کرده ....
بعد هم با نورتون اسکن کردم چند فایل رو پیدا کرد ....
خدایا یادم نیست نوزتون بود یا AVG Rootkit killer یه روت کیت تشخیص داد .... نمیدونم اسمش چی بود ...
از همشون عکس گرفتم موقع حمله کلا 12 تا عکس گرفتم نمیدونم کجا گذاشتم ولی به محض اینکه پیدا کردم میذارم یا همین الان محیط آزمایشگاه رو راه میندازم تست میکنم .
موفق باشین و تشکر بابت تاپیک .
کارهایی که هر کدام از این پنج فایل انجام می دهند :
1.اولین فایلی که آغاز به کار می کند projector.exe است که اقدام به غیر فعال کردن برنامه های امنیتی سیستم می
کند و در صورت امکان frmsystem.exe را جایگزین آنها می کند و حتی ممکن است آیکون برنامه امنیتی مزبور را
شبیه سازی کند تا کاربر متوجه غیرفعال شدن برنامه مزبور نشود. سپس winllogon.exe و بعد playmovie.exe را
راه می اندازد.
2.فایل بعدی xmlscript.exe است که یک شبیه ساز کیبورد و ماوس است و در غیرفعال کردن نرم افزارهای امنیتی به
projector.exe کمک می کند .یعنی اگر برنامه امنیتی در مقابل projector.exe مقاومت کرد xmlscript.exe کارهایی را
که برای غیرفعال کردن نرم افزار امنیتی مذکور لازم است طوری شبیه سازی می کند که سیستم تصور می کند خود کاربر
اقدام به این کار کرده است.
3.فایل بعدی frmsystem.exe یک اکانت دارای پسورد با اختیارات Administrator به نام DFKTS ایجاد می کند و از این
طریق سیستم را به طور کامل در اختیار مهاجم قرار می دهد.
4.winllogon.exe باقیمانده نرم افزارهای امنیتی را از کار می اندازد .
5.بالاخره وقتی مهاجم از شر نرم افزارهای امنیتی مزاحم خلاص شد و سیستم را در چنگ خود گرفت فایل
playmovie.exe وارد عمل می شود که حاوی چندین کد مخرب به نامهای :
Vanquish rootkit (vanquish.exe & vanquish.dll), Windows denial of service exploit (Win32e.exe), QuickTime denial of service exploit (Win32e.mov), Nopey trojan (Win32t.exe), Eicar test virus (Win32v.com), WhenU spyware (Win32s.exe), an alternate data stream (Eicar attached to calc.exe), Thermite leaktest (Win32l.exe), SpyEx 1.0 keylogger (Win32k.exe)
می باشد و آنها را روی سیستم آزاد می کند تا هرچه دلشان بخواهد به سر سیستم بیاورند.
متاسفانه این تست مربوط بله سال 2005 است و پس از آن آپدیت نشده است و بنابراین ممکن است فایلهای مذکور
در مقابل نسخه جدید نرم افزارهای امنیتی دچار مشکل شوند به ویژه قسمت اول که مربوط به غیر فعال کردن برنامه های
امنیتی است ممکن است روی نسخه جدید این برنامه ها کاری از پیش نبرد.ولی با توجه به کارهایی که این برنامه
فسقلی انجام می دهد می توان فهمید که ویروسهای امروزی چقدر پیچیده و خطرناک هستند .
VTN جان از اين فايلهايي كه گفتي 3 تاش رو پيدا كردم
playmovie.exe frmsystem.exe xmlscript.exe تو همون فولدر Temp بود
ولي چيزي توي Task manager و حتي Tuneup Process Manager پيدا نكردم
راستي اين Remover هم كه به نظر نمي ياد كاره خاصي بكنه
دوست من اگر این فایلها در پوشه Temp باشند احتمال آلودگی وجود دارد و چون این برنامه از یک روت کیت برای پنهان
کردن خود و فایلهایش استفاده می کند شما نمی توانید در Task Manager چیزی مشاهده کنید و آنتی ویروس هم در
اسکن چیزی پیدا نمی کند .کار اصلی این Remover از کار انداختن این روت کیت است .بنابراین فکر می کنم برای
اطمینان خاطر بیشتر آن را اجرا کن و بعد سیستمت را با AVG به طور کامل اسکن کن.
D o l f i n
18-06-2007, 18:11
من که نتونستم دانلود کنم اگه یه جا دیگه آپلود بشه ممنون میشم
من که نتونستم دانلود کنم اگه یه جا دیگه آپلود بشه ممنون میشم
دوست من
لینک قبلا مشکل داشت که من آن را دوباره در رپید شیر آپلود کرده ام و اکنون کار می کند ولی باز اگر در داونلود مشکل
داشتی بگو تا جای دیگر آپلود کنم.
__Genius__
18-06-2007, 18:45
vtn جان سایت خاصی در رابطه با threat simulator سراغ دارین ؟
vtn جان سایت خاصی در رابطه با threat simulator سراغ دارین ؟
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
vBulletin , Copyright ©2000-2025, Jelsoft Enterprises Ltd.