1. إستبعاد الملاحظة

الدرس الخامس (التحليل من خلال مواقع الفحص)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏ابريل 26, 2014.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,454
    الإعجابات المتلقاة:
    15,474
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    zyzoomy.png

    -تحيه طيبه لجميع اعضاء وزوار منتدي زيزوم

    -اليوم مع الدرس الخامس من دوره كشف اختراق الاجهزه وهو اول درس بمرحله التحليل بدون تشغيل

    -الدرس اليوم عن كيفيه تحليل ملف ما من خلال مواقع الفحص

    -هناك مواقع تقوم بالفحص من خلال محركات برامج الحمايه مثل الموقع الاشهر والافضل بلا منازع

    https://www.virustotal.com


    وهناك مواقع تقوم بالفحص من خلال تشغيل الملف داخل بيئه معينه ويتم التحليل من خلال ادوات معينه

    وهي المواقع الساندبوكس (وهي المقصد بالاساس بهذا الدرس)

    -لا يخفي اهميه هذا النوع من التحليل حيث يكفيك في كثير من الاحيان مؤنه فحص الملف علي جهازك

    وامكانيه تعرض جهازك لمخاطر الاختراق

    -هناك العديد من مواقع الساندبوكس الا انني اليوم اخترت 5 مواقع منهم

    -قمت بفحص ملف واحد علي هذه المواقع لنري مدي الاختلاف بينهم (انصح دائما بفحص الملف المشبوه علي اكثر من موقع )

    Untitled.jpg

    الموقع الاول http://www.joesecurity.org/joe-sandbox-desktop#overview


    هذا الموقع يقدم خدمه متطوره للفحص (رغم تعطيله لبعض الخدمات مجانا)الا انه يظل في مقدمه مواقع الفحص

    الموقع يقدم خدمه فحص للعديد من الملفات والصيغ المختلفه الا ان ما يهمنا الان فحص الملفات

    http://www.file-analyzer.net/


    -شرح تقرير احد الملفات الخبيثه

    http://www.file-analyzer.net/analysis/3738


    1.png

    -كما هو واضح بالصوره ان الموقع يقوم بالفحص علي نظامين مختلفين (للخدمه المجانيه) واحيانا تكون النتائج مختلفه وهذا يعطيك تنبيه ان بعض الملفات تكون اكثر ضررا علي نظام اكثر من اخر

    -بمجرد الضغط علي اللون اللي ظهر يفتح لك التقرير المفصل للملف

    http://www.file-analyzer.net/analysis/3738/11713/0/html


    -الموقع له طريقه للحكم علي سلوك الملف وذلك من خلال اللون

    اذا اللون اخضر فالسلوك سليم

    اذا اللون برتقالي فالسلوك مشبوه

    اذا اللون احمر فالسلوك خبيث


    2.png

    -هنا سلوك خبيث للملف (اخذ لقطات)

    3.png

    -هنا اتصالات خبيثه للملف

    1-الملف به خاصيه تحميل ملفات اخري
    2-الملف به رابط اتصال
    3-الملف يتصل بهوست مشبوه
    4-محاولات الاتصال تفشل لان الحساب موقوف


    4.png

    5-الملف يضيف قيم رجستري لضمان تشغيله مع بدء تشغيل الجهاز

    5.png

    -الملفات التي يقوم الملف بانشاءها

    6.png

    -الملف يحتوي علي بيانات مشفره واجزاء غير معروفه

    7.png

    -الملف يقوم بالحقن في عمليات النظام,محاوله الحصول علي امتيازات ,التعديل علي ملف الهوست ,استدعاء عمليات ,تحميل ملفات DLLs

    8.png

     
  2. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,454
    الإعجابات المتلقاة:
    15,474
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    -الملف يحمي نفسه من الحمايات عن طريق حقن العمليات بالذاكره

    9.png

    -الملف يحمي نفسه من التحليل بالهندسه العكسيه,كما انه فيه خاصيه sleep (يعمل بعد مده)

    10.png

    -الملف به خاصيه تحديد الانظمه الوهميه لتخطيها

    11.png

    -هنا الملفات التي يقوم الملف الاصلي بتوليدها

    12.png

    -الملفات التي يقوم الملف الاصلي بانشاءها سواء علي النظام او بذاكرته

    13.png

    -خصائص الملف (يمكن الاستفاده من الهاش للبحث عن الملف بمواقع الفحص الاخري)

    14.png

    -خصائص الملف التنفيذي (هذه الخصائص سيكون لها شروحات بالدروس القادمه للتعرف علي فائدتها)

    15.png

    -مكتبات DLLs التي يقوم الملف باستدعائها


    16.png

    -اجزاء الملف او (headers)-الملف به اجزاء مشبوهه (لها شرح بالدروس القادمه باذن الله)

    17.png

    -هنا ما يقوم به الملف بعد تشغيله (تقارير مفصله بكل ما يقوم به الملف)

    - 18.png
     
    آخر تعديل: ‏ابريل 26, 2014
  3. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,454
    الإعجابات المتلقاة:
    15,474
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    20.png

    21.png

    -التحليل الكودي للملف الاصلي والملفات التي ينشئها

    211.png


    22.png

    هنا الكثير من التفاصيل التي تبدو الان غامضه للبعض ولكن مع الدروس القادمه باذن الله ستتضح الصوره

    وسنكون قادرين علي الاستفاده من هذه التقارير التفصيليه


    اكتفي بهذا القدر حتي لا اثقل عليكم (كنت انوي شرح 5 المواقع بموضوع واحد الا ان الامر سيكون مرهق للبعض)

    اي استفسار فلا تتردد

    dIbug.gif
     
    آخر تعديل: ‏ابريل 26, 2014
  4. أبو عائشه

    أبو عائشه عضو شرف نجم المنتدى الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    13,774
    الإعجابات المتلقاة:
    14,126
    نقاط الجائزة:
    1,720
    الجنس:
    ذكر
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    ESET
    نظام التشغيل:
    Linux
  5. أبو عائشه

    أبو عائشه عضو شرف نجم المنتدى الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    13,774
    الإعجابات المتلقاة:
    14,126
    نقاط الجائزة:
    1,720
    الجنس:
    ذكر
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    ESET
    نظام التشغيل:
    Linux
    لا تنسى أن تضع البرامج التي يمكن الاستفادة منها في مجال الحماية تكون شرسة ولديها تصنيف تلك المواقع والروابط الملغومة

    أقصد توصياتك لبرنامج الحماية الأفضل والموضوع سيكون قابل للنقاش
     
  6. ahmed alaa

    ahmed alaa زيزوومي فضي

    إنضم إلينا في:
    ‏فبراير 8, 2013
    المشاركات:
    1,396
    الإعجابات المتلقاة:
    2,406
    نقاط الجائزة:
    920
    الجنس:
    ذكر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows XP
    درس اكثر من رائع وشرح احترافي ومعلومات شيقة - نشكرك جزيل الشكر لنشر علم ينتفع يه الناس - تحياتي لك
     
  7. White Man

    White Man زيزوومي VIP

    إنضم إلينا في:
    ‏فبراير 24, 2014
    المشاركات:
    12,919
    الإعجابات المتلقاة:
    29,496
    نقاط الجائزة:
    1,325
    الجنس:
    ذكر
    الإقامة:
    Egypt,Alex
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك اخى الغالى على هذه المعلومات القيمة
     
  8. Axx

    Axx زيزوومي VIP

    إنضم إلينا في:
    ‏يناير 3, 2013
    المشاركات:
    6,168
    الإعجابات المتلقاة:
    13,099
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    شرح ممتاز بارك الله بيك
     
    Axx,
  9. medo2013

    medo2013 زيزوومي محترف

    إنضم إلينا في:
    ‏ابريل 21, 2013
    المشاركات:
    1,032
    الإعجابات المتلقاة:
    1,231
    نقاط الجائزة:
    820
    الجنس:
    ذكر
    الإقامة:
    فلسطين ,غزه بلد العزه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    كلمه رائع قليله عليك
    بارك الله فيكــ​
     
  10. Abu-Ahmad 22

    Abu-Ahmad 22 عضو شرف

    إنضم إلينا في:
    ‏فبراير 4, 2013
    المشاركات:
    4,370
    الإعجابات المتلقاة:
    8,506
    نقاط الجائزة:
    1,270
    الجنس:
    ذكر
    الإقامة:
    المملكة العربيه السعودية
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
    وعليكم السلام ورحمة الله وبركاته

    ما شاء الله تبارك الله الله شيء بجد يفتح النفس شكلك هترجعني استخدم ويندوز :grin:

    طرحك جدا جدا مفيد

    بارك الله فيك وجزاك ربي كل خير
     
  11. mf8008

    mf8008 زيزوومي فضي

    إنضم إلينا في:
    ‏ابريل 4, 2014
    المشاركات:
    1,656
    الإعجابات المتلقاة:
    1,578
    نقاط الجائزة:
    945
    الجنس:
    ذكر
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    الله يبارك فيك ......

    على هذا الطرح الرائع .........
     
  12. سالم المسالم

    سالم المسالم .: خبير نقاشات الحماية :. فريق الدعم لقسم الحماية نجم المنتدى

    إنضم إلينا في:
    ‏يوليو 14, 2012
    المشاركات:
    9,149
    الإعجابات المتلقاة:
    20,101
    نقاط الجائزة:
    1,545
    الجنس:
    ذكر
    الإقامة:
    حضرموت / المكلا
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 8
    هذا درس نادر وغير موجود في اي منتدى اخر
    تسلم يالغالي .. شرح سهل وبسيط
     
  13. mojahid

    mojahid زيزوومي ذهبي

    إنضم إلينا في:
    ‏أكتوبر 24, 2010
    المشاركات:
    1,199
    الإعجابات المتلقاة:
    2,644
    نقاط الجائزة:
    970
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    جزاك الله خيرا
    موقع جيد جدا في التحليل ،وأنت ما قصرت في شرحك له
    اتمنى لك التوفيق في هذه الدورة
    وأنا متابع لك ن بالتوفيق
     
    m0d!s@r7@n ،coxel ،عين الطيف و 4آخرون معجبون بهذا.
  14. بنادول

    بنادول زيزوومي ماسي

    إنضم إلينا في:
    ‏مارس 27, 2008
    المشاركات:
    2,553
    الإعجابات المتلقاة:
    3,191
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    بارك الله فيك

    درس أكثر من رائع

    واصل حتى تصل بنا لأقصى حمايه ممكنه
     
  15. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    18,205
    الإعجابات المتلقاة:
    42,457
    نقاط الجائزة:
    2,575
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    جزاك الله خيرآ اخى فتحى
    على ماقدمت وتقدم من فائدة للجميع
     
  16. Gone without a trace

    Gone without a trace زيزوومي VIP

    إنضم إلينا في:
    ‏أغسطس 25, 2012
    المشاركات:
    4,796
    الإعجابات المتلقاة:
    20,768
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    وعليكم السلام ورحمة الله وبركاته


    احسن الله اليك وغفر لك و لـ والديك...امين

    شرح رائع وجميل من انسان اجمل...

    جزاك الله خيرا :kissingheart:
     
    m0d!s@r7@n ،ALmehob ،عين الطيف و 2آخرون معجبون بهذا.
  17. goda33

    goda33 زيزوومي مميز

    إنضم إلينا في:
    ‏ديسمبر 9, 2008
    المشاركات:
    508
    الإعجابات المتلقاة:
    485
    نقاط الجائزة:
    570
    جزاك الله خيرا اخى الغالى على هذه المعلومات القيمة
    وارجو عمل الموضوع والسابقة ملفات PDF وشكرا
     
    عين الطيف و m0d!s@r7@n معجبون بهذا.
  18. m0d!s@r7@n

    m0d!s@r7@n عضو شرف (خبير فحص الملفات) نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,454
    الإعجابات المتلقاة:
    15,474
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    اشكر جميع من شارك وشرفني بمروره العطر كل باسمه وشخصه المميز:kissingheart:
     
  19. Security 505

    Security 505 زيزوومي جديد

    إنضم إلينا في:
    ‏أغسطس 31, 2014
    المشاركات:
    74
    الإعجابات المتلقاة:
    45
    نقاط الجائزة:
    90
    الجنس:
    ذكر
    برامج الحماية:
    GData
    نظام التشغيل:
    Windows 7
    جزاك الله خير وكتب لك الأجر
     
  20. Axper

    Axper زيزوومي نشيط

    إنضم إلينا في:
    ‏يونيو 22, 2014
    المشاركات:
    137
    الإعجابات المتلقاة:
    436
    نقاط الجائزة:
    220
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الموضوع قديم لكن مفيد شكرا لصاحب الموضوع ولمن رفعه ليرى النور
     
    عين الطيف و أبو رمش معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...