الدرس السادس (التحليل من خلال مواقع الفحص)-الجزء الثاني

المصدر: الدرس السادس (التحليل من خلال مواقع الفحص)-الجزء الثاني
في منتدى : منتدى نقاشات واختبارات برامج الحماية

-اهلا بجميع اعضاء وزوار منتدي زيزووم
-اليوم نكمل شرح بقيه مواقع الفحص حيث شرحنا بالدرس السابق موقع

http://www.joesecurity.org/joe-sandbox-desktop#overview

تنبيه
الملف المفحوص علي جميع المواقع هو نفس الملف (لنستطيع المقارنه بشكل افضل بين نتائج المواقع)



الموقع الثاني https://malwr.com/about/

هذا الموقع من اهم مواقع فحص الملفات والتي تعطيك تقرير مفصل سهل لكل كبيره وصغيره يقوم بها الملف

لفحص ملف ما من هنا (يدعم جميع الصيغ)

https://malwr.com/submission/

شرح تقرير الملف الخبيث
https://malwr.com/analysis/ZTNhYWVhMzRkOGVjNGQzMTgxNTg0ZjI0YTBiYmQzOTI/

-هنا فهرس بنتيجه تحليل الملف



-هنا بيانات الملف (الهاش) كما ان الموقع يعتمدعلي برنامج YARA الخاص بتصنيف المالوير وكما واضح من التقرير ان

الملف معروف لدي YARA ك shellcode



-هنا تقرير مختصر عن الملف

*الملف مكشوف علي الفايروس توتال

*الملف ينصب نفسه بمجلد startup

*صور من الملف بعد تشغيله

*الهوست والدومين المرتبط بالملف


-هنا تقارير مختصره لما يقوم به الملف



-تقرير بالملفات التي ينشاها الملف المفحوص او يعدل عليها




-هنا قيم ومفاتيح الرجستري التي يقوم بانشاءها او تعديلها الملف المفحوص



-هنا تقرير mutex الخاص بالملف (دائم)



-تقرير static analysis وفيه

*اجزاء الملف والمكتبات التي يستدعيها (هامه في الفحص)

*strings الخاصه بالملف (هامه للغايه)

*نتيجه تحليل الملف علي الفايروس توتال









-هنا dynamic analysis الخاص بالملف (يعطيك تقرير مفصل عن كل صغيره وكبيره)



-هنا تقرير الاتصالات الخاصه بالملف




-هنا تقرير بخصائص الملفات التي ينشاها الملف المفحوص






يمكن الاستعانه بهذا الموقع لعرض نتائج فحص الموقع علي هيئه جرافيك

https://www.malwareviz.com/

وهنا نتيجه استخدام الموقع لفحص نتيجه الملف السابقه

https://www.malwareviz.com/T4/static/html/MalwareViz_626f4dd143f464451c51c4822308825a.html#


الموقع الثالث http://www.threattracksecurity.com/

هذا الموقع من المواقع المميزه في فحص الملفات كما انه يدعم العديد من الصيغ

لفحص ملف ما عليك الدخول هنا ووضع ايميلك الذي يصلك عليه تقرير الفحص

http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx

شرح تقرير الملف الخبيث



-هنا فهرس بنتيجه الفحص





-هنا الملفات التي تم انشاءها او التعديل عليها



-هنا تقرير مفصل ب mutex الخاص بالملف



-هنا مفاتيح الرجستري التي تم انشاءها



-هنا القيم التي تم انشاءها



-هنا الترافيك الخاص بالملف



-هنا الهوست الخاص بالملف




-نتيجه فحص الملف علي الفايروس توتال





الموقع الرابع http://anubis.iseclab.org/

وهو موقع معروف ويعطي تقرير متوسط الحجم الا انه يتميز بالدقه في نتائجه

هنا تقرير فحص الملف الخبيث

http://anubis.iseclab.org/?action=r...6d42447d2794dda656de40&format=html#idp1341408





-هنا التغيرات اللي تحصل بالرجستري(لاحظ علامه التعجب الموجوده بالتقرير عند الوقوف عليها تعطيك تقرير مهم كما هنا)



-العمليات التي يتم الحقن بها





الموقع الخامس http://www.threatexpert.com/

وهو الموقع المشهور وكلنا نعرفه ويقدم تقرير مختصر عن الملف المفحوص

هنا تقرير الملف الخبيث

http://www.threatexpert.com/report.aspx?md5=626f4dd143f464451c51c4822308825a

الموقع له شرح مثبت بالمنتدي فلا حاجه للتكرار

http://forum.zyzoom.net/threads/107710/



الي هنا اكون قد انتهيت من التعريف باهم مواقع الفحص وارجو ان اكون قد وفقت اذ ان هذا الموضوع من الاهميه بمكان

 

يسعدنى ان اكون اول رد على هذا الموضوع الاكثر من الرائع

 

بارك الله فيك اخي الغالي مواقع حقا مميزة ومشكور على شرحها
كان ايضا لشركة النورمان موقع مشابة لكن لا اعرف الان غير متوفر

قائمة مواقع لمن يريد التوسع الافضل شرحها الدكتور


http://zeltser.com/reverse-malware/automated-malware-analysis.html

http://cleanbytes.net/malware-online-scanners

 

الاروع انك سباق بالمشاركه

شرفني مرورك اخي الكريم

 

ما شاء الله عليك دكتورنا الغالي
مجهود رائع ومميز

 

بارك الله فيك اخي احمد

دائما لك بصمه بالمشاركات

الامر كما تفضلت انني انتقيت من هذه المواقع الافضل من وجهه نظري

علما بان بعض المواقع التي لم اذكرها وهي ضمن الروابط اللتي ذكرتها سيكون لها ذكر بمواضيع اخري اكثر اختصاصا بها مثل مواقع تحليل ملفات النصيه او مواقع الفحص من خلال الهاش او موقع فك الضغط الخ

 

المميز مرورك ايها المشرف المميز الغالي علينا

 

أستمتع و دائماً في صمت
بسلسلة الدروس الرائعه بحق
سلمت يداك دكتورنا الغالي
جـــــــــزاك الله عنا كل خير
​

 

وعليكم السلام ورحمة الله وبركاته

دروس التحليل او التحليل محتاجه كأس كابتشينو

فما شاء الله تبارك الله يسرتها على المستخدم العادي بشرحك الراقي والرائع فجزاك الله خيرا .

 

شرح مميز وبارك الله فيك اخي الغالي - ولكن اذا ارسلت ملف ما الي احد هذة المواقع - هل يستطيع المستخدم العادي فهم نتيجة التحليل وما اذا كان هذا الملف مصاب ام لا - ام ان التقرير يحتاج الي خبرة ودراية ؟

 

بارك الله فيك

 

شكرآ لك

مواقع فحص رائعه وشرح أروع

 

ادام الله عليك نعمه الصحه والعافيه اخي ايهاب

شرفني مرورك ايها الغالي

 

اهلا بالغالي سيف
لا تنسي تعمل حسابي معك بالكابتشينو

 

اهلا بك يا غالي

بالنسبه لاستفسارك

نتيجه التحليل لا تحتاج خبره ودرايه عميقه فقط اساسيات لتستطيع قراءه التقرير وباذن الله مع قادم الدروس سنتعلم اكثر وستتضح امور تبدو الان غامضه اذ هناك ادوات وبرامج جعلت من قراءع التقارير امر ممتع

 

الله يبارك فيك اخي

 

الاروع مرورك اخي الفاضل

 

جزاك الله خيرآ اخى فتحى على ماطرحت وتطرح من فائدة

 

بارك الله فيك يااخي على هذه السلسلة
لقد تعلمت منك الكثير من الامور التي لاتجدها بأي منتدى اخر
وخصوصا دروس تحليل الملفات هي اروع ماتعلمته حتى الان

 

وجزاك الله خيرا اخي الكريم علي متابعتك المنتظمه وردودك ومشاركتك