مركز تحميل الخليج

  1. إستبعاد الملاحظة

الدرس الخامس (التحليل من خلال مواقع الفحص)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏ابريل 26, 2014.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,451
    الإعجابات المتلقاة:
    15,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    zyzoomy.png

    -تحيه طيبه لجميع اعضاء وزوار منتدي زيزوم

    -اليوم مع الدرس الخامس من دوره كشف اختراق الاجهزه وهو اول درس بمرحله التحليل بدون تشغيل

    -الدرس اليوم عن كيفيه تحليل ملف ما من خلال مواقع الفحص

    -هناك مواقع تقوم بالفحص من خلال محركات برامج الحمايه مثل الموقع الاشهر والافضل بلا منازع

    https://www.virustotal.com


    وهناك مواقع تقوم بالفحص من خلال تشغيل الملف داخل بيئه معينه ويتم التحليل من خلال ادوات معينه

    وهي المواقع الساندبوكس (وهي المقصد بالاساس بهذا الدرس)

    -لا يخفي اهميه هذا النوع من التحليل حيث يكفيك في كثير من الاحيان مؤنه فحص الملف علي جهازك

    وامكانيه تعرض جهازك لمخاطر الاختراق

    -هناك العديد من مواقع الساندبوكس الا انني اليوم اخترت 5 مواقع منهم

    -قمت بفحص ملف واحد علي هذه المواقع لنري مدي الاختلاف بينهم (انصح دائما بفحص الملف المشبوه علي اكثر من موقع )

    Untitled.jpg

    الموقع الاول http://www.joesecurity.org/joe-sandbox-desktop#overview


    هذا الموقع يقدم خدمه متطوره للفحص (رغم تعطيله لبعض الخدمات مجانا)الا انه يظل في مقدمه مواقع الفحص

    الموقع يقدم خدمه فحص للعديد من الملفات والصيغ المختلفه الا ان ما يهمنا الان فحص الملفات

    http://www.file-analyzer.net/


    -شرح تقرير احد الملفات الخبيثه

    http://www.file-analyzer.net/analysis/3738


    1.png

    -كما هو واضح بالصوره ان الموقع يقوم بالفحص علي نظامين مختلفين (للخدمه المجانيه) واحيانا تكون النتائج مختلفه وهذا يعطيك تنبيه ان بعض الملفات تكون اكثر ضررا علي نظام اكثر من اخر

    -بمجرد الضغط علي اللون اللي ظهر يفتح لك التقرير المفصل للملف

    http://www.file-analyzer.net/analysis/3738/11713/0/html


    -الموقع له طريقه للحكم علي سلوك الملف وذلك من خلال اللون

    اذا اللون اخضر فالسلوك سليم

    اذا اللون برتقالي فالسلوك مشبوه

    اذا اللون احمر فالسلوك خبيث


    2.png

    -هنا سلوك خبيث للملف (اخذ لقطات)

    3.png

    -هنا اتصالات خبيثه للملف

    1-الملف به خاصيه تحميل ملفات اخري
    2-الملف به رابط اتصال
    3-الملف يتصل بهوست مشبوه
    4-محاولات الاتصال تفشل لان الحساب موقوف


    4.png

    5-الملف يضيف قيم رجستري لضمان تشغيله مع بدء تشغيل الجهاز

    5.png

    -الملفات التي يقوم الملف بانشاءها

    6.png

    -الملف يحتوي علي بيانات مشفره واجزاء غير معروفه

    7.png

    -الملف يقوم بالحقن في عمليات النظام,محاوله الحصول علي امتيازات ,التعديل علي ملف الهوست ,استدعاء عمليات ,تحميل ملفات DLLs

    8.png

     
  2. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,451
    الإعجابات المتلقاة:
    15,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    -الملف يحمي نفسه من الحمايات عن طريق حقن العمليات بالذاكره

    9.png

    -الملف يحمي نفسه من التحليل بالهندسه العكسيه,كما انه فيه خاصيه sleep (يعمل بعد مده)

    10.png

    -الملف به خاصيه تحديد الانظمه الوهميه لتخطيها

    11.png

    -هنا الملفات التي يقوم الملف الاصلي بتوليدها

    12.png

    -الملفات التي يقوم الملف الاصلي بانشاءها سواء علي النظام او بذاكرته

    13.png

    -خصائص الملف (يمكن الاستفاده من الهاش للبحث عن الملف بمواقع الفحص الاخري)

    14.png

    -خصائص الملف التنفيذي (هذه الخصائص سيكون لها شروحات بالدروس القادمه للتعرف علي فائدتها)

    15.png

    -مكتبات DLLs التي يقوم الملف باستدعائها


    16.png

    -اجزاء الملف او (headers)-الملف به اجزاء مشبوهه (لها شرح بالدروس القادمه باذن الله)

    17.png

    -هنا ما يقوم به الملف بعد تشغيله (تقارير مفصله بكل ما يقوم به الملف)

    - 18.png
     
    آخر تعديل: ‏ابريل 26, 2014
  3. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,451
    الإعجابات المتلقاة:
    15,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    20.png

    21.png

    -التحليل الكودي للملف الاصلي والملفات التي ينشئها

    211.png


    22.png

    هنا الكثير من التفاصيل التي تبدو الان غامضه للبعض ولكن مع الدروس القادمه باذن الله ستتضح الصوره

    وسنكون قادرين علي الاستفاده من هذه التقارير التفصيليه


    اكتفي بهذا القدر حتي لا اثقل عليكم (كنت انوي شرح 5 المواقع بموضوع واحد الا ان الامر سيكون مرهق للبعض)

    اي استفسار فلا تتردد

    dIbug.gif
     
    آخر تعديل: ‏ابريل 26, 2014
  4. أبو عائشه

    أبو عائشه عضو شرف الأعضاء النشطين لهذا الشهر نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    13,136
    الإعجابات المتلقاة:
    13,547
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
  5. أبو عائشه

    أبو عائشه عضو شرف الأعضاء النشطين لهذا الشهر نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    13,136
    الإعجابات المتلقاة:
    13,547
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
    لا تنسى أن تضع البرامج التي يمكن الاستفادة منها في مجال الحماية تكون شرسة ولديها تصنيف تلك المواقع والروابط الملغومة

    أقصد توصياتك لبرنامج الحماية الأفضل والموضوع سيكون قابل للنقاش
     
  6. ahmed alaa

    ahmed alaa زيزوومي فضي

    إنضم إلينا في:
    ‏فبراير 8, 2013
    المشاركات:
    1,397
    الإعجابات المتلقاة:
    2,406
    نقاط الجائزة:
    920
    الجنس:
    ذكر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows XP
    درس اكثر من رائع وشرح احترافي ومعلومات شيقة - نشكرك جزيل الشكر لنشر علم ينتفع يه الناس - تحياتي لك
     
  7. White Man

    White Man كبير المراقبين وخبير فحص ملفات طـــاقم الإدارة فريق فحص زيزووم للحماية

    إنضم إلينا في:
    ‏فبراير 24, 2014
    المشاركات:
    12,706
    الإعجابات المتلقاة:
    28,945
    نقاط الجائزة:
    1,250
    الجنس:
    ذكر
    الإقامة:
    Egypt,Alex
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك اخى الغالى على هذه المعلومات القيمة
     
  8. Axx

    Axx زيزوومي VIP

    إنضم إلينا في:
    ‏يناير 3, 2013
    المشاركات:
    6,168
    الإعجابات المتلقاة:
    13,096
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    شرح ممتاز بارك الله بيك
     
    Axx,
  9. medo2013

    medo2013 زيزوومي محترف

    إنضم إلينا في:
    ‏ابريل 21, 2013
    المشاركات:
    1,022
    الإعجابات المتلقاة:
    1,220
    نقاط الجائزة:
    820
    الجنس:
    ذكر
    الإقامة:
    فلسطين ,غزه بلد العزه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    كلمه رائع قليله عليك
    بارك الله فيكــ​
     
  10. Abu-Ahmad 22

    Abu-Ahmad 22 عضو شرف

    إنضم إلينا في:
    ‏فبراير 4, 2013
    المشاركات:
    4,350
    الإعجابات المتلقاة:
    8,463
    نقاط الجائزة:
    1,270
    الجنس:
    ذكر
    الإقامة:
    المملكة العربيه السعودية
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
    وعليكم السلام ورحمة الله وبركاته

    ما شاء الله تبارك الله الله شيء بجد يفتح النفس شكلك هترجعني استخدم ويندوز :grin:

    طرحك جدا جدا مفيد

    بارك الله فيك وجزاك ربي كل خير
     
  11. mf8008

    mf8008 زيزوومي فضي

    إنضم إلينا في:
    ‏ابريل 4, 2014
    المشاركات:
    1,635
    الإعجابات المتلقاة:
    1,557
    نقاط الجائزة:
    945
    الجنس:
    ذكر
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    الله يبارك فيك ......

    على هذا الطرح الرائع .........
     
  12. سالم المسالم

    سالم المسالم .: خبير نقاشات الحماية :. فريق الدعم لقسم الحماية نجم المنتدى

    إنضم إلينا في:
    ‏يوليو 14, 2012
    المشاركات:
    9,141
    الإعجابات المتلقاة:
    20,061
    نقاط الجائزة:
    1,545
    الجنس:
    ذكر
    الإقامة:
    حضرموت / المكلا
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 8
    هذا درس نادر وغير موجود في اي منتدى اخر
    تسلم يالغالي .. شرح سهل وبسيط
     
  13. mojahid

    mojahid زيزوومي ذهبي

    إنضم إلينا في:
    ‏أكتوبر 24, 2010
    المشاركات:
    1,199
    الإعجابات المتلقاة:
    2,644
    نقاط الجائزة:
    970
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    جزاك الله خيرا
    موقع جيد جدا في التحليل ،وأنت ما قصرت في شرحك له
    اتمنى لك التوفيق في هذه الدورة
    وأنا متابع لك ن بالتوفيق
     
    m0d!s@r7@n ،coxel ،عين الطيف و 4آخرون معجبون بهذا.
  14. بنادول

    بنادول زيزوومي ماسي

    إنضم إلينا في:
    ‏مارس 27, 2008
    المشاركات:
    2,553
    الإعجابات المتلقاة:
    3,191
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    بارك الله فيك

    درس أكثر من رائع

    واصل حتى تصل بنا لأقصى حمايه ممكنه
     
  15. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    16,085
    الإعجابات المتلقاة:
    40,109
    نقاط الجائزة:
    2,050
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    جزاك الله خيرآ اخى فتحى
    على ماقدمت وتقدم من فائدة للجميع
     
  16. Gone without a trace

    Gone without a trace زيزوومي VIP

    إنضم إلينا في:
    ‏أغسطس 25, 2012
    المشاركات:
    4,796
    الإعجابات المتلقاة:
    20,766
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    وعليكم السلام ورحمة الله وبركاته


    احسن الله اليك وغفر لك و لـ والديك...امين

    شرح رائع وجميل من انسان اجمل...

    جزاك الله خيرا :kissingheart:
     
    m0d!s@r7@n ،ALmehob ،عين الطيف و 2آخرون معجبون بهذا.
  17. goda33

    goda33 زيزوومي مميز

    إنضم إلينا في:
    ‏ديسمبر 9, 2008
    المشاركات:
    508
    الإعجابات المتلقاة:
    485
    نقاط الجائزة:
    570
    جزاك الله خيرا اخى الغالى على هذه المعلومات القيمة
    وارجو عمل الموضوع والسابقة ملفات PDF وشكرا
     
    عين الطيف و m0d!s@r7@n معجبون بهذا.
  18. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,451
    الإعجابات المتلقاة:
    15,457
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    اشكر جميع من شارك وشرفني بمروره العطر كل باسمه وشخصه المميز:kissingheart:
     
  19. Security 505

    Security 505 زيزوومي جديد

    إنضم إلينا في:
    ‏أغسطس 31, 2014
    المشاركات:
    74
    الإعجابات المتلقاة:
    45
    نقاط الجائزة:
    90
    الجنس:
    ذكر
    برامج الحماية:
    GData
    نظام التشغيل:
    Windows 7
    جزاك الله خير وكتب لك الأجر
     
  20. Axper

    Axper زيزوومي نشيط

    إنضم إلينا في:
    ‏يونيو 22, 2014
    المشاركات:
    134
    الإعجابات المتلقاة:
    434
    نقاط الجائزة:
    220
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الموضوع قديم لكن مفيد شكرا لصاحب الموضوع ولمن رفعه ليرى النور
     
    عين الطيف و أبو رمش معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...