الدرس الخامس (التحليل من خلال مواقع الفحص)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏ابريل 26, 2014.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,443
    الإعجابات المتلقاة:
    15,421
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    zyzoomy.png

    -تحيه طيبه لجميع اعضاء وزوار منتدي زيزوم

    -اليوم مع الدرس الخامس من دوره كشف اختراق الاجهزه وهو اول درس بمرحله التحليل بدون تشغيل

    -الدرس اليوم عن كيفيه تحليل ملف ما من خلال مواقع الفحص

    -هناك مواقع تقوم بالفحص من خلال محركات برامج الحمايه مثل الموقع الاشهر والافضل بلا منازع

    https://www.virustotal.com


    وهناك مواقع تقوم بالفحص من خلال تشغيل الملف داخل بيئه معينه ويتم التحليل من خلال ادوات معينه

    وهي المواقع الساندبوكس (وهي المقصد بالاساس بهذا الدرس)

    -لا يخفي اهميه هذا النوع من التحليل حيث يكفيك في كثير من الاحيان مؤنه فحص الملف علي جهازك

    وامكانيه تعرض جهازك لمخاطر الاختراق

    -هناك العديد من مواقع الساندبوكس الا انني اليوم اخترت 5 مواقع منهم

    -قمت بفحص ملف واحد علي هذه المواقع لنري مدي الاختلاف بينهم (انصح دائما بفحص الملف المشبوه علي اكثر من موقع )

    Untitled.jpg

    الموقع الاول http://www.joesecurity.org/joe-sandbox-desktop#overview


    هذا الموقع يقدم خدمه متطوره للفحص (رغم تعطيله لبعض الخدمات مجانا)الا انه يظل في مقدمه مواقع الفحص

    الموقع يقدم خدمه فحص للعديد من الملفات والصيغ المختلفه الا ان ما يهمنا الان فحص الملفات

    http://www.file-analyzer.net/


    -شرح تقرير احد الملفات الخبيثه

    http://www.file-analyzer.net/analysis/3738


    1.png

    -كما هو واضح بالصوره ان الموقع يقوم بالفحص علي نظامين مختلفين (للخدمه المجانيه) واحيانا تكون النتائج مختلفه وهذا يعطيك تنبيه ان بعض الملفات تكون اكثر ضررا علي نظام اكثر من اخر

    -بمجرد الضغط علي اللون اللي ظهر يفتح لك التقرير المفصل للملف

    http://www.file-analyzer.net/analysis/3738/11713/0/html


    -الموقع له طريقه للحكم علي سلوك الملف وذلك من خلال اللون

    اذا اللون اخضر فالسلوك سليم

    اذا اللون برتقالي فالسلوك مشبوه

    اذا اللون احمر فالسلوك خبيث


    2.png

    -هنا سلوك خبيث للملف (اخذ لقطات)

    3.png

    -هنا اتصالات خبيثه للملف

    1-الملف به خاصيه تحميل ملفات اخري
    2-الملف به رابط اتصال
    3-الملف يتصل بهوست مشبوه
    4-محاولات الاتصال تفشل لان الحساب موقوف


    4.png

    5-الملف يضيف قيم رجستري لضمان تشغيله مع بدء تشغيل الجهاز

    5.png

    -الملفات التي يقوم الملف بانشاءها

    6.png

    -الملف يحتوي علي بيانات مشفره واجزاء غير معروفه

    7.png

    -الملف يقوم بالحقن في عمليات النظام,محاوله الحصول علي امتيازات ,التعديل علي ملف الهوست ,استدعاء عمليات ,تحميل ملفات DLLs

    8.png

     
  2. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,443
    الإعجابات المتلقاة:
    15,421
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    -الملف يحمي نفسه من الحمايات عن طريق حقن العمليات بالذاكره

    9.png

    -الملف يحمي نفسه من التحليل بالهندسه العكسيه,كما انه فيه خاصيه sleep (يعمل بعد مده)

    10.png

    -الملف به خاصيه تحديد الانظمه الوهميه لتخطيها

    11.png

    -هنا الملفات التي يقوم الملف الاصلي بتوليدها

    12.png

    -الملفات التي يقوم الملف الاصلي بانشاءها سواء علي النظام او بذاكرته

    13.png

    -خصائص الملف (يمكن الاستفاده من الهاش للبحث عن الملف بمواقع الفحص الاخري)

    14.png

    -خصائص الملف التنفيذي (هذه الخصائص سيكون لها شروحات بالدروس القادمه للتعرف علي فائدتها)

    15.png

    -مكتبات DLLs التي يقوم الملف باستدعائها


    16.png

    -اجزاء الملف او (headers)-الملف به اجزاء مشبوهه (لها شرح بالدروس القادمه باذن الله)

    17.png

    -هنا ما يقوم به الملف بعد تشغيله (تقارير مفصله بكل ما يقوم به الملف)

    - 18.png
     
    آخر تعديل: ‏ابريل 26, 2014
  3. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,443
    الإعجابات المتلقاة:
    15,421
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    20.png

    21.png

    -التحليل الكودي للملف الاصلي والملفات التي ينشئها

    211.png


    22.png

    هنا الكثير من التفاصيل التي تبدو الان غامضه للبعض ولكن مع الدروس القادمه باذن الله ستتضح الصوره

    وسنكون قادرين علي الاستفاده من هذه التقارير التفصيليه


    اكتفي بهذا القدر حتي لا اثقل عليكم (كنت انوي شرح 5 المواقع بموضوع واحد الا ان الامر سيكون مرهق للبعض)

    اي استفسار فلا تتردد

    dIbug.gif
     
    آخر تعديل: ‏ابريل 26, 2014
  4. أبو عائشه

    أبو عائشه عضو شرف الأعضاء النشطين لهذا الشهر نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    12,921
    الإعجابات المتلقاة:
    13,312
    نقاط الجائزة:
    1,545
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
  5. أبو عائشه

    أبو عائشه عضو شرف الأعضاء النشطين لهذا الشهر نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    12,921
    الإعجابات المتلقاة:
    13,312
    نقاط الجائزة:
    1,545
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
    لا تنسى أن تضع البرامج التي يمكن الاستفادة منها في مجال الحماية تكون شرسة ولديها تصنيف تلك المواقع والروابط الملغومة

    أقصد توصياتك لبرنامج الحماية الأفضل والموضوع سيكون قابل للنقاش
     
  6. ahmed alaa

    ahmed alaa زيزوومي فضي

    إنضم إلينا في:
    ‏فبراير 8, 2013
    المشاركات:
    1,397
    الإعجابات المتلقاة:
    2,406
    نقاط الجائزة:
    920
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows XP
    درس اكثر من رائع وشرح احترافي ومعلومات شيقة - نشكرك جزيل الشكر لنشر علم ينتفع يه الناس - تحياتي لك
     
  7. White Man

    White Man خبير فحص ملفات فريق فحص زيزووم للحماية

    إنضم إلينا في:
    ‏فبراير 24, 2014
    المشاركات:
    12,580
    الإعجابات المتلقاة:
    28,707
    نقاط الجائزة:
    1,250
    الإقامة:
    Egypt,Alex
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك اخى الغالى على هذه المعلومات القيمة
     
  8. Axx

    Axx زيزوومي VIP

    إنضم إلينا في:
    ‏يناير 3, 2013
    المشاركات:
    6,168
    الإعجابات المتلقاة:
    13,095
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    شرح ممتاز بارك الله بيك
     
    Axx,
  9. medo2013

    medo2013 زيزوومي محترف

    إنضم إلينا في:
    ‏ابريل 21, 2013
    المشاركات:
    1,020
    الإعجابات المتلقاة:
    1,219
    نقاط الجائزة:
    820
    الإقامة:
    فلسطين ,غزه بلد العزه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    كلمه رائع قليله عليك
    بارك الله فيكــ​
     
  10. Abu-Ahmad 22

    Abu-Ahmad 22 عضو شرف

    إنضم إلينا في:
    ‏فبراير 4, 2013
    المشاركات:
    4,344
    الإعجابات المتلقاة:
    8,451
    نقاط الجائزة:
    1,270
    الإقامة:
    المملكة العربيه السعودية
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
    وعليكم السلام ورحمة الله وبركاته

    ما شاء الله تبارك الله الله شيء بجد يفتح النفس شكلك هترجعني استخدم ويندوز :grin:

    طرحك جدا جدا مفيد

    بارك الله فيك وجزاك ربي كل خير
     
  11. mf8008

    mf8008 زيزوومي فضي

    إنضم إلينا في:
    ‏ابريل 4, 2014
    المشاركات:
    1,627
    الإعجابات المتلقاة:
    1,549
    نقاط الجائزة:
    945
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    الله يبارك فيك ......

    على هذا الطرح الرائع .........
     
  12. سالم المسالم

    سالم المسالم .: خبير نقاشات الحماية :. فريق الدعم لقسم الحماية نجم المنتدى نجم الشهر

    إنضم إلينا في:
    ‏يوليو 14, 2012
    المشاركات:
    9,089
    الإعجابات المتلقاة:
    19,935
    نقاط الجائزة:
    1,470
    الإقامة:
    حضرموت / المكلا
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 8
    هذا درس نادر وغير موجود في اي منتدى اخر
    تسلم يالغالي .. شرح سهل وبسيط
     
  13. mojahid

    mojahid زيزوومي ذهبي

    إنضم إلينا في:
    ‏أكتوبر 24, 2010
    المشاركات:
    1,199
    الإعجابات المتلقاة:
    2,644
    نقاط الجائزة:
    970
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    جزاك الله خيرا
    موقع جيد جدا في التحليل ،وأنت ما قصرت في شرحك له
    اتمنى لك التوفيق في هذه الدورة
    وأنا متابع لك ن بالتوفيق
     
    m0d!s@r7@n ،coxel ،عين الطيف و 4آخرون معجبون بهذا.
  14. بنادول

    بنادول زيزوومي ماسي

    إنضم إلينا في:
    ‏مارس 27, 2008
    المشاركات:
    2,553
    الإعجابات المتلقاة:
    3,191
    نقاط الجائزة:
    1,170
    الإقامة:
    السعوديه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    بارك الله فيك

    درس أكثر من رائع

    واصل حتى تصل بنا لأقصى حمايه ممكنه
     
  15. abrahim2014

    abrahim2014 مراقب عام طاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    14,950
    الإعجابات المتلقاة:
    38,277
    نقاط الجائزة:
    1,600
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    جزاك الله خيرآ اخى فتحى
    على ماقدمت وتقدم من فائدة للجميع
     
  16. Gone without a trace

    Gone without a trace زيزوومي VIP

    إنضم إلينا في:
    ‏أغسطس 25, 2012
    المشاركات:
    4,796
    الإعجابات المتلقاة:
    20,766
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    وعليكم السلام ورحمة الله وبركاته


    احسن الله اليك وغفر لك و لـ والديك...امين

    شرح رائع وجميل من انسان اجمل...

    جزاك الله خيرا :kissingheart:
     
    m0d!s@r7@n ،abrahim2014 ،عين الطيف و 2آخرون معجبون بهذا.
  17. goda33

    goda33 زيزوومي مميز

    إنضم إلينا في:
    ‏ديسمبر 9, 2008
    المشاركات:
    508
    الإعجابات المتلقاة:
    485
    نقاط الجائزة:
    570
    جزاك الله خيرا اخى الغالى على هذه المعلومات القيمة
    وارجو عمل الموضوع والسابقة ملفات PDF وشكرا
     
    عين الطيف و m0d!s@r7@n معجبون بهذا.
  18. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,443
    الإعجابات المتلقاة:
    15,421
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    اشكر جميع من شارك وشرفني بمروره العطر كل باسمه وشخصه المميز:kissingheart:
     
  19. Security 505

    Security 505 زيزوومي جديد

    إنضم إلينا في:
    ‏أغسطس 31, 2014
    المشاركات:
    74
    الإعجابات المتلقاة:
    45
    نقاط الجائزة:
    90
    برامج الحماية:
    GData
    نظام التشغيل:
    Windows 7
    جزاك الله خير وكتب لك الأجر
     
  20. Axper

    Axper زيزوومي نشيط

    إنضم إلينا في:
    ‏يونيو 22, 2014
    المشاركات:
    134
    الإعجابات المتلقاة:
    434
    نقاط الجائزة:
    220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الموضوع قديم لكن مفيد شكرا لصاحب الموضوع ولمن رفعه ليرى النور
     
    عين الطيف و أبو رمش معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...