الدرس الخامس (التحليل من خلال مواقع الفحص)

المصدر: الدرس الخامس (التحليل من خلال مواقع الفحص)
في منتدى : منتدى نقاشات واختبارات برامج الحماية

-تحيه طيبه لجميع اعضاء وزوار منتدي زيزوم

-اليوم مع الدرس الخامس من دوره كشف اختراق الاجهزه وهو اول درس بمرحله التحليل بدون تشغيل

-الدرس اليوم عن كيفيه تحليل ملف ما من خلال مواقع الفحص

-هناك مواقع تقوم بالفحص من خلال محركات برامج الحمايه مثل الموقع الاشهر والافضل بلا منازع

https://www.virustotal.com

وهناك مواقع تقوم بالفحص من خلال تشغيل الملف داخل بيئه معينه ويتم التحليل من خلال ادوات معينه

وهي المواقع الساندبوكس (وهي المقصد بالاساس بهذا الدرس)

-لا يخفي اهميه هذا النوع من التحليل حيث يكفيك في كثير من الاحيان مؤنه فحص الملف علي جهازك

وامكانيه تعرض جهازك لمخاطر الاختراق

-هناك العديد من مواقع الساندبوكس الا انني اليوم اخترت 5 مواقع منهم

-قمت بفحص ملف واحد علي هذه المواقع لنري مدي الاختلاف بينهم (انصح دائما بفحص الملف المشبوه علي اكثر من موقع )



الموقع الاول http://www.joesecurity.org/joe-sandbox-desktop#overview

هذا الموقع يقدم خدمه متطوره للفحص (رغم تعطيله لبعض الخدمات مجانا)الا انه يظل في مقدمه مواقع الفحص

الموقع يقدم خدمه فحص للعديد من الملفات والصيغ المختلفه الا ان ما يهمنا الان فحص الملفات

http://www.file-analyzer.net/

-شرح تقرير احد الملفات الخبيثه

http://www.file-analyzer.net/analysis/3738



-كما هو واضح بالصوره ان الموقع يقوم بالفحص علي نظامين مختلفين (للخدمه المجانيه) واحيانا تكون النتائج مختلفه وهذا يعطيك تنبيه ان بعض الملفات تكون اكثر ضررا علي نظام اكثر من اخر

-بمجرد الضغط علي اللون اللي ظهر يفتح لك التقرير المفصل للملف

http://www.file-analyzer.net/analysis/3738/11713/0/html

-الموقع له طريقه للحكم علي سلوك الملف وذلك من خلال اللون

اذا اللون اخضر فالسلوك سليم

اذا اللون برتقالي فالسلوك مشبوه

اذا اللون احمر فالسلوك خبيث



-هنا سلوك خبيث للملف (اخذ لقطات)



-هنا اتصالات خبيثه للملف

1-الملف به خاصيه تحميل ملفات اخري
2-الملف به رابط اتصال
3-الملف يتصل بهوست مشبوه
4-محاولات الاتصال تفشل لان الحساب موقوف



5-الملف يضيف قيم رجستري لضمان تشغيله مع بدء تشغيل الجهاز



-الملفات التي يقوم الملف بانشاءها



-الملف يحتوي علي بيانات مشفره واجزاء غير معروفه



-الملف يقوم بالحقن في عمليات النظام,محاوله الحصول علي امتيازات ,التعديل علي ملف الهوست ,استدعاء عمليات ,تحميل ملفات DLLs

 

-الملف يحمي نفسه من الحمايات عن طريق حقن العمليات بالذاكره



-الملف يحمي نفسه من التحليل بالهندسه العكسيه,كما انه فيه خاصيه sleep (يعمل بعد مده)



-الملف به خاصيه تحديد الانظمه الوهميه لتخطيها



-هنا الملفات التي يقوم الملف الاصلي بتوليدها



-الملفات التي يقوم الملف الاصلي بانشاءها سواء علي النظام او بذاكرته



-خصائص الملف (يمكن الاستفاده من الهاش للبحث عن الملف بمواقع الفحص الاخري)



-خصائص الملف التنفيذي (هذه الخصائص سيكون لها شروحات بالدروس القادمه للتعرف علي فائدتها)



-مكتبات DLLs التي يقوم الملف باستدعائها



-اجزاء الملف او (headers)-الملف به اجزاء مشبوهه (لها شرح بالدروس القادمه باذن الله)



-هنا ما يقوم به الملف بعد تشغيله (تقارير مفصله بكل ما يقوم به الملف)

-

 

-التحليل الكودي للملف الاصلي والملفات التي ينشئها





هنا الكثير من التفاصيل التي تبدو الان غامضه للبعض ولكن مع الدروس القادمه باذن الله ستتضح الصوره

وسنكون قادرين علي الاستفاده من هذه التقارير التفصيليه

اكتفي بهذا القدر حتي لا اثقل عليكم (كنت انوي شرح 5 المواقع بموضوع واحد الا ان الامر سيكون مرهق للبعض)

اي استفسار فلا تتردد

 

درس اكثر من رائع وشرح احترافي ومعلومات شيقة - نشكرك جزيل الشكر لنشر علم ينتفع يه الناس - تحياتي لك

 

بارك الله فيك اخى الغالى على هذه المعلومات القيمة

 

شرح ممتاز بارك الله بيك

 

كلمه رائع قليله عليك
بارك الله فيكــ​

 

وعليكم السلام ورحمة الله وبركاته

ما شاء الله تبارك الله الله شيء بجد يفتح النفس شكلك هترجعني استخدم ويندوز

طرحك جدا جدا مفيد

بارك الله فيك وجزاك ربي كل خير

 

الله يبارك فيك ......

على هذا الطرح الرائع .........

 

هذا درس نادر وغير موجود في اي منتدى اخر
تسلم يالغالي .. شرح سهل وبسيط

 

جزاك الله خيرا
موقع جيد جدا في التحليل ،وأنت ما قصرت في شرحك له
اتمنى لك التوفيق في هذه الدورة
وأنا متابع لك ن بالتوفيق ​

 

بارك الله فيك

درس أكثر من رائع

واصل حتى تصل بنا لأقصى حمايه ممكنه

 

جزاك الله خيرآ اخى فتحى
على ماقدمت وتقدم من فائدة للجميع

 

وعليكم السلام ورحمة الله وبركاته


احسن الله اليك وغفر لك و لـ والديك...امين

شرح رائع وجميل من انسان اجمل...

جزاك الله خيرا

 

جزاك الله خيرا اخى الغالى على هذه المعلومات القيمة
وارجو عمل الموضوع والسابقة ملفات PDF وشكرا

 

اشكر جميع من شارك وشرفني بمروره العطر كل باسمه وشخصه المميز

 

جزاك الله خير وكتب لك الأجر

 

الموضوع قديم لكن مفيد شكرا لصاحب الموضوع ولمن رفعه ليرى النور