السلام عليكم و الرحمة

الاخوة الكرام .. اخونا ابو ضاري

طلب برنامج Unhook registry

هو مش إلي بصراحة بس بدي إياه ضروري إذا أمكن

السلام عليكم و الرحمة

الاخوة الكرام .. اخونا ابو ضاري

طلب برنامج Unhook registry

هو مش إلي بصراحة بس بدي إياه ضروري إذا أمكن


هلا بك اخوي الكريم احمد ياريت تشرح لي وظيفة البرنامج عشان اقدر اجيبه لك او برنامج مشابه لطريقة عملة تحياتي لك اخوي الكريم


فمان الكريم

السلام عليكم و الرحمة

الاخوة الكرام .. اخونا ابو ضاري

طلب برنامج Unhook registry

هو مش إلي بصراحة بس بدي إياه ضروري إذا أمكن

السلام عليكم

اقرأ هذه المقاله اخوي أحمد و ان شاء الله تحل مشكلتك.


How to enable registry whe infected by virus
When your registry is being disabled:

First, maybe the administrator disabled it for some restriction purposes

Second, due to virus. Most of the virus disabled the regedit for you to unable to stop the execution of its program.

Here are the solutions for enabling the regedit again.

Use the gpedit.msc to enable the registry editor.
Step 1: Hit the window or click start button then press "r" or simply click the run

Step 2: type gpedit.msc

Step 3: Click on Administrative Templates

Step 4: Click the System and locate the Prevent access to registry editing tools and double click on it

Step 5: Select the enabled on the optionbutton the click apply.

This will make a policy to prevent access to the registry editing tools, The computer will automatically made the policy.

Step 6: After clicking on apply select the disabled in the option button then click the apply again then click ok button when finished.


The disabled button will make the policy into default, the computer will automatically configured it and becomes a default comfig which is the registry editor can be access by the user."

بالتوفيق

هلا بك اخوي احمد من رد اخوي فلان الله يعطيه العافية اتضح لي طلبك بخصوص Unhook registry انا راح بالي لشىء ثاني تماما:D في البداية عليك بمراقبة شاملة للنظام من اي عمليات اختطاف لكن في البداية لازم نتكلم عن مقدمة لعلميات الاخطتاف اللي تقوم فيها الفيروسات والمبرمجين او بمعني اصح المخربين لملفات النظام عمليات اختطاف الملفات وتكثر بالفيروسات تنقسم الى عدة أنواع منها:-


• تبديل الملفات على سبيل بعض من ملفات dll المهمة
• اختطاف وظائف ملفات الدي دي ال مثل (API/IAT hooking)
• تعديل في وظائف ملفات الدي دي ال مثل Raw cod
• وهذه من احد العمليات الشائعة وهي اختطاف في وظائف SDT/SST/KiSerivice Table
• اخطتاف مدخلات IDTL 2EH
• تعديل كود الكيرنيل Raw Code

DLL infection

وهذه الطريقة تعتمد على تبديل ملفات dll بملف dll
جديد على سبيل ملف dll المهم والخطير إلا وهو ntdll مع وظائف ودوال تحت مسمى اخر كسبيل المثال:-

ZwQuerySystemInformation

تحت اي اسم وتحت اي مسمى وظيفي آخر لخدع النظام


Raw Code

هنا يتم تغير كود الكير في مكان معين من pointers الىكود وضافة تعليمات jmp على سبيل المثال.


Thread injection

ويتم في هذه الطريقة استغلال عمليات شرعية لحقن عمليات في داخلها غير شرعية.

نحن نريد طريقة في اخفاء العمليات من دون أن تظهر في Cups scheduler الذي يعتمد على حالات مثل الخمول والتشغيل الخ. لنفكر سويا كيف لنا أن نقوم بعمل thread لا يكشف في مجدول النظام الحل هو انشاء thread مخفي مثل thread مخي ينتمي للنظام مثلا Win logon أو أي ملف يتبع للنظام




PE Format

وهو اختصار إلى Portable Executable ويقوم بدور تنظيم الببرامج و ملفاتdll وفقا لمجموعا من القوانين عندما نتكلم عن Portable Executable فأننا نقد هيئة من الملفات مشهورة تستخدم عبر منصات Win32


وكل PE loader يستخدم هذه الصيغة في منصات win32 حتى لو كان المعالج غير Intel أي معالجات غير أنتل مثل AMD .


هذه كانت مقدمة بسيطة كيف نراقب سلوك اختطاف الملفات او التحكم بالريجستري؟ نجيب على الشق الأول من السؤال كيف نراقب سلوك اختطاف الملفات عن طريق برنامج

RootKit Hook Analyzer

http://www.resplendence.com/images/hookAnalyzer.jpg

برنامج جدا ممتاز في عملية مراقبة ملفات النظام من اي اختطاف او محاولة اختطاف لقلب نظام الويندوز النابض الكيرنل او حتى محاولة اختطاف ملفات dll كما يحدث في برمجة الفيروسات والبرنامج مجاني تمام


التحميل:- من هنا (http://www.resplendence.com/download/hookanlz.exe)




نأتي لنقطة أخرى عند عملية hooking على نظامك فأغلب مبرمجين الفيروسات او البرامج التخريبية سيعطل لديك في النظام كثير من الازار منها أزرار ctrl+alt+del او حتى عند ارتفاع استهلاك المواردك الحل مع برنامج


AntiFreeze

http://www.resplendence.com/images/antifreeze_screen.gif




التحميل:- من هنا (http://www.resplendence.com/download/antiFreezeSetup.exe)


هو برنامج مهم وطواريء عند حدوث عمليات ارتفاع لود بشكل معلوم او عمليات اختطاف تؤدي الى ارتفاع اللود وتعطيل قدرة على النظام على استدعاء بعض اوامر الازرار




نأتي للنقطة الأخيرة كيف احمي الريجستري من عمليات اختطاف تستطيع ذلك بسهولة دون الحاجة الى عمل policy في النظام عن طريق برنامج قمت بطرحه سابقا من هنا

http://qatarshares.com/vb/showthread.php?t=104451&highlight=registry+firewall


فهو يقوم بعمل حماية شاملة على الريجستري حتى من انشاء قيم واي تغير يخبرك به برنامج جدا مهم في الحفاظ على الريجستري من عمليات الاختطاف تحياتي لك اخوي الكريم احمد


فمان الكريم

هلا بك اخوي احمد من رد اخوي فلان الله يعطيه العافية اتضح لي طلبك بخصوص Unhook registry انا راح بالي لشىء ثاني تماما:D في البداية عليك بمراقبة شاملة للنظام من اي عمليات اختطاف لكن في البداية لازم نتكلم عن مقدمة لعلميات الاخطتاف اللي تقوم فيها الفيروسات والمبرمجين او بمعني اصح المخربين لملفات النظام عمليات اختطاف الملفات وتكثر بالفيروسات تنقسم الى عدة أنواع منها:-


• تبديل الملفات على سبيل بعض من ملفات dll المهمة
• اختطاف وظائف ملفات الدي دي ال مثل (API/IAT hooking)
• تعديل في وظائف ملفات الدي دي ال مثل Raw cod
• وهذه من احد العمليات الشائعة وهي اختطاف في وظائف SDT/SST/KiSerivice Table
• اخطتاف مدخلات IDTL 2EH
• تعديل كود الكيرنيل Raw Code

DLL infection

وهذه الطريقة تعتمد على تبديل ملفات dll بملف dll
جديد على سبيل ملف dll المهم والخطير إلا وهو ntdll مع وظائف ودوال تحت مسمى اخر كسبيل المثال:-

ZwQuerySystemInformation

تحت اي اسم وتحت اي مسمى وظيفي آخر لخدع النظام


Raw Code

هنا يتم تغير كود الكير في مكان معين من pointers الىكود وضافة تعليمات jmp على سبيل المثال.


Thread injection

ويتم في هذه الطريقة استغلال عمليات شرعية لحقن عمليات في داخلها غير شرعية.

نحن نريد طريقة في اخفاء العمليات من دون أن تظهر في Cups scheduler الذي يعتمد على حالات مثل الخمول والتشغيل الخ. لنفكر سويا كيف لنا أن نقوم بعمل thread لا يكشف في مجدول النظام الحل هو انشاء thread مخفي مثل thread مخي ينتمي للنظام مثلا Win logon أو أي ملف يتبع للنظام




PE Format

وهو اختصار إلى Portable Executable ويقوم بدور تنظيم الببرامج و ملفاتdll وفقا لمجموعا من القوانين عندما نتكلم عن Portable Executable فأننا نقد هيئة من الملفات مشهورة تستخدم عبر منصات Win32


وكل PE loader يستخدم هذه الصيغة في منصات win32 حتى لو كان المعالج غير Intel أي معالجات غير أنتل مثل AMD .


هذه كانت مقدمة بسيطة كيف نراقب سلوك اختطاف الملفات او التحكم بالريجستري؟ نجيب على الشق الأول من السؤال كيف نراقب سلوك اختطاف الملفات عن طريق برنامج

RootKit Hook Analyzer

http://www.resplendence.com/images/hookAnalyzer.jpg

برنامج جدا ممتاز في عملية مراقبة ملفات النظام من اي اختطاف او محاولة اختطاف لقلب نظام الويندوز النابض الكيرنل او حتى محاولة اختطاف ملفات dll كما يحدث في برمجة الفيروسات والبرنامج مجاني تمام


التحميل:- من هنا (http://www.resplendence.com/download/hookanlz.exe)




نأتي لنقطة أخرى عند عملية hooking على نظامك فأغلب مبرمجين الفيروسات او البرامج التخريبية سيعطل لديك في النظام كثير من الازار منها أزرار ctrl+alt+del او حتى عند ارتفاع استهلاك المواردك الحل مع برنامج


AntiFreeze

http://www.resplendence.com/images/antifreeze_screen.gif




التحميل:- من هنا (http://www.resplendence.com/download/antiFreezeSetup.exe)


هو برنامج مهم وطواريء عند حدوث عمليات ارتفاع لود بشكل معلوم او عمليات اختطاف تؤدي الى ارتفاع اللود وتعطيل قدرة على النظام على استدعاء بعض اوامر الازرار




نأتي للنقطة الأخيرة كيف احمي الريجستري من عمليات اختطاف تستطيع ذلك بسهولة دون الحاجة الى عمل policy في النظام عن طريق برنامج قمت بطرحه سابقا من هنا

http://qatarshares.com/vb/showthread.php?t=104451&highlight=registry+firewall


فهو يقوم بعمل حماية شاملة على الريجستري حتى من انشاء قيم واي تغير يخبرك به برنامج جدا مهم في الحفاظ على الريجستري من عمليات الاختطاف تحياتي لك اخوي الكريم احمد


فمان الكريم



اخوووي ابو ضاري الله يبارك فيك يا رب .. و يجزيك ربي الف الف خير

السلام عليكم

اقرأ هذه المقاله اخوي أحمد و ان شاء الله تحل مشكلتك.


How to enable registry whe infected by virus
When your registry is being disabled:

First, maybe the administrator disabled it for some restriction purposes

Second, due to virus. Most of the virus disabled the regedit for you to unable to stop the execution of its program.

Here are the solutions for enabling the regedit again.

Use the gpedit.msc to enable the registry editor.
Step 1: Hit the window or click start button then press "r" or simply click the run

Step 2: type gpedit.msc

Step 3: Click on Administrative Templates

Step 4: Click the System and locate the Prevent access to registry editing tools and double click on it

Step 5: Select the enabled on the optionbutton the click apply.

This will make a policy to prevent access to the registry editing tools, The computer will automatically made the policy.

Step 6: After clicking on apply select the disabled in the option button then click the apply again then click ok button when finished.


The disabled button will make the policy into default, the computer will automatically configured it and becomes a default comfig which is the registry editor can be access by the user."

بالتوفيق

يعطيك الف عافية اخوووي

كلام ناس كبار وعباقره .... بصراحه ما نقدر عليه ، بس مع الايام ان شاء الله نتعلم
يعطيكم العافيه

اخواني انا مش عارف بالزبط اذا هو البرنامج والا شو صراحة لأنه مش إلي أنا بالزبط بس اللي افهمته انه في عندهم فايل إسمه regedit بدهم يعملوله register عشان يرجعو فولدر الأوبشن وفايل ال unhook register هو اللي بيرجعه ومشكورين

السلام عليكم
أخي ابو ضاري بالنسبه للبرامج (RootKit Hook Analyzer) (AntiFreeze ) هل تعمل تلقائياً عند حدوث إختطاف لملف معين و، وفي حاله تبين لنا ان هناك اختطاف لملف والذي يظهر بالبرنامج ، ما العمل الذي يجب ان نقوم به هل هو مسح الملف ام ماذا ؟
ابرنامج حماية الريجستري والذي وضعت رابط تحميله http://qatarshares.com/vb/showthread...istry+firewall
هل يحتاج الى سيريل
واسمح لنا لو كثرنا عليك ، نبي نستزيد من معارفكم وتسلم

اخواني انا مش عارف بالزبط اذا هو البرنامج والا شو صراحة لأنه مش إلي أنا بالزبط بس اللي افهمته انه في عندهم فايل إسمه regedit بدهم يعملوله register عشان يرجعو فولدر الأوبشن وفايل ال unhook register هو اللي بيرجعه ومشكورين



هلا بك اخوي احمد معليش يالغالي ترا هاالايام مافي استعياب كامل لدي لذلك ممكن توضح لي لأن مافهمت اخوي الكريم احمد تحياتي لك


فمان الكريم

كلام ناس كبار وعباقره .... بصراحه ما نقدر عليه ، بس مع الايام ان شاء الله نتعلم
يعطيكم العافيه


السلام عليكم
أخي ابو ضاري بالنسبه للبرامج (RootKit Hook Analyzer) (AntiFreeze ) هل تعمل تلقائياً عند حدوث إختطاف لملف معين و، وفي حاله تبين لنا ان هناك اختطاف لملف والذي يظهر بالبرنامج ، ما العمل الذي يجب ان نقوم به هل هو مسح الملف ام ماذا ؟
ابرنامج حماية الريجستري والذي وضعت رابط تحميله http://qatarshares.com/vb/showthread...istry+firewall
هل يحتاج الى سيريل
واسمح لنا لو كثرنا عليك ، نبي نستزيد من معارفكم وتسلم


الله يخليك يارب اخوي الكريم البري اهم شىء القاريء يطلع بمعلومة تفيده...

بخصوص برنامج روت كيت هوك هذه عند حدوث عملية اختطاف لملف معين بيطلع لك في شاشة عرض البرنامج باللون الأحمر ومبين لك مسار الملف المختظ بعملية تخريبية او كود تخريبي

بخصوص برنامج AntiFreeze مايعطيك تنبيه لكن ممكن تشوف انت اللود العالي اللي مسببه الملف لأن يبن لك اللود العالي اللي مسببه الملف


بخصوص برنامج حماية الريجستري مرفق معاك بيانات التسجيل في ملف واحد في الرابط في الموضوع تحياتي لك اخوي الكريم البري


فمان الكريم

السلام عليكم ورحمة الله
أخي الكريم ابو ضاري اولا جزاك الله خير على تعاونك وجعلك ذخر للجميع .
بالنسبه للنقطه الاول :
( بخصوص برنامج روت كيت هوك هذه عند حدوث عملية اختطاف لملف معين بيطلع لك في شاشة عرض البرنامج باللون الأحمر ومبين لك مسار الملف المختظ بعملية تخريبية او كود تخريبي ) . فعلا ظهر عندي خطين بلون احمر ، بس الان مش عارف ايش اسوي معاها ، يعني كيف ازيلها
ويعطيك الف عافيه

السلام عليكم ورحمة الله
أخي الكريم ابو ضاري اولا جزاك الله خير على تعاونك وجعلك ذخر للجميع .
بالنسبه للنقطه الاول :
( بخصوص برنامج روت كيت هوك هذه عند حدوث عملية اختطاف لملف معين بيطلع لك في شاشة عرض البرنامج باللون الأحمر ومبين لك مسار الملف المختظ بعملية تخريبية او كود تخريبي ) . فعلا ظهر عندي خطين بلون احمر ، بس الان مش عارف ايش اسوي معاها ، يعني كيف ازيلها
ويعطيك الف عافيه


ولا يهمك يطول لي بعمرك برجع ارد عليك مانسيتك اخوي الكريم البري ولايكون خاطرك الا طيب انتظرني اخوي الكريم تحياتي لك


فمان الكريم

السلام عليكم
براحتك اخوي ، الي يبي يستفيد ويتعلم لازم يصبر ، وجزاك الله الف خير

السلام عليكم
براحتك اخوي ، الي يبي يستفيد ويتعلم لازم يصبر ، وجزاك الله الف خير



وعليكم السلام والرحمة

السموحة على التاخير اخوي البري..


اخوي الغالي البرنامج مايشتغل معاي فيه مشكلة لذلك تاخرت عليك ولازلت المشكلة لدي لذلك اخوي ابيك تضغط بزر الفارة اليمين على الملف المحدد بالاحمر وقولي شنو الخيارات اللي تطلع لك تحياتي لك اخوي الكريم

فمان الكريم

اخوي البري مارديت على العذر والسموحة لأن مثل ماقلت لك اخوي انا عندي مشكلة في البرنامج اني اشغلة ويشغل في الذاكرة لكن مايطلع لي كواجهه مرئية ولسبب مشاكل بنظامي والتعامل معه نسيت لأن من زمان ماركبت على جهازي

فخبرني بالضبط اخوي الغالي لما تدق باليمين على اسم الملف شنو يطلع لك؟ عشان اقدر اساعدك تستخدمة في في اكمل وجه ان شاء الله تحياتي لك

فمان الكريم