المشاركات اخر المواضيع الاكثر مشاهدة

NYAN CAT

V • I • P
إنضم
8 أبريل 2019
المشاركات
42
مستوى التفاعل
97
النقاط
18
الإقامة
Kuwait
YouTube
الموقع الالكتروني
الفرق بين الفحص scantime و runtime
شرح بسيط ونصيحة للمشفرين

نتيجة الفحص scantime الكلين لا تعني بأن الملف سوف يتخطى الدفاع الاستباقي. غالباً سيتم امساكه من معظم الحمايات. سأشرح لكم بتفصيل سريع:

في الاعوام السابقه وقبل 10 سنوات كانت الحمايات تعتمد على heuristic detection في الفحص والتقييم مما جعل تخطيها أمراً سهلاً جداً وكلنا شاهدنا كيف يتم تخطي اي حماية عن طريق junk codes + simple entrypoint من خلال مواضيع المنتديات العربية آنذاك خصوصاً الديف بوينت.

ولكن مع بداية عام 2016\2017 بدأت الحمايات بإستخدام أداوت فحص سحابية متقدمة من خلال machine learning متطور بمعنى لو أن الملف كان كلين scantime فهذا يعني بأن وجود الملف على القرص لا يشكل تهديداً للحمايات فهو كلين فعلاً. ولكن بمجرد تنفيذ الملف سوف يتم رفعه إلى سحابة الحماية ومن خلال هذة السحابة سوف يمر الملف على مراحل متقدمة من الفحص machine learning. ومن أقوى الحمايات سحابياً هو Avira.

من المراحل التي يمر بها الملف مرحلة تحديد السلوك و من أهم سلوكيات الملفات الخبيثة هو التثبيت أو مايعرف بـ malware persistence وأيضاً API hooking لمراقبة بعض الدوال التي تشير إلى استخدام الحقن مثل VirtualAlloc و GetThreadContext..الخ

لذلك لا جدوى من فحص الملف. الحل الأمثل هو تثبيت حمايات معنية على أجهزة وهمية محدثه وتشغيل الملف عليها. أو استخدام مواقع مثل Dyncheck.com - Dynamic runtime AV checker that provides runtime execution checks on different antivirus systems and Windows OS.
 

亗المملكه亗

ExpErt Hacker
إنضم
22 يناير 2020
المشاركات
121
مستوى التفاعل
129
النقاط
43
الفرق بين الفحص scantime و runtime
وفقك الله اخي نيان
244.gif
 

David

[ The Real World ]
طاقم الإدارة
إنضم
4 أكتوبر 2019
المشاركات
126
مستوى التفاعل
113
النقاط
43
نظام التشغيل
windows_7
الفرق بين الفحص scantime و runtime
بارك الله فيك شكرا لك على المعلومة القيمة بظبط دلك ما وجدته...حتى وإن كان كلين لا يعني أنك تخطيت الحمايات سوف أستعمل الموقع
في الفحص شكرا لك...
 
أعلى