تحليل عمل الملفات الضاره بواسطة اداة SysInspector

المصدر: تحليل عمل الملفات الضاره بواسطة اداة SysInspector
في منتدى : منتدى نقاشات واختبارات برامج الحماية

العديد من محبي التجارب يستخدمون برامج الهيبس التي تعتمد في عملها على السؤال و التنبيه , لتحليل عمل الملفات الضاره عند تشغيلها ... لكن توجد بعض الاداوت تقوم بتحليل ما قامت به هذه الملفات بعد ان تعمل .. هذه الطريقه افضلها في حالات كثيره لانها اسهل من متابعة كل تنبيه خاصة اذا كانت التنبيهات كثيره جدا ... فنترك الملف يعمل بشكل كامل ثم نقوم بملاحظة ما قام به مره واحده
يجب استخدام هذه الطريقه بطبيعة الحال على الاجهزه الوهميه او مع اخذ الاحتياطات اللازمه مع التجميد
و ربما من اسهل هذه الادوات اداة SysInspector و هي خاصه بشركة ايسيت و تأتي مدمجه مع برامجها سواء نسخة الانتي فايرس او السكيورتي ... كما توفرها الشركه كأداه محموله مجانيه ..

و هي تقوم بفحص نظام التشغيل و التقاط التفاصيل مثل العمليات و الريجستري و ملفات بدء التشغيل و الاتصالات .

لم اجد لها شرحا وافيا في المنتدى لذلك سنحاول شرح طريقة استخدامها عمليا في هذا الموضوع

• حجم الاداه حوالي 3 ميقا
• متوافقه مع جميع اصدارات الويندوز

• لتحميل نسخة 32 بت

• لتحميل نسخة 64 بت

• المرحله الاولى : اخذ سنابشوت للنظام الخالي من المالوير

تشغيل الاداه




ننتظر الاداه حتى تكمل تحليل النظام


و اجهة الاداه


نختار من قائمة File
Save log




نختار مكان حفظ السجل




و سيظهر على هيئة ملف مضغوط

• المرحله الثانيه : تشغيل المالوير الى ان يقوم بعمله كاملا

كمثال هذا التروجان ..






==
:: نقوم باعادة تشغيل الاداه مره ثانيه لتحليل حالة النظام الجديده ::
==


ثم من قائمة File نختار هذه المره Compare Logs و منها Select File


نختار السجل الذي قمنا بحفظه مسبقا


ستقوم الاداه بمقارنة حالة النظام قبل و بعد تشغيل المالوير ..

• المرحله الثالثه : التحليل

بعد اكتمال عملية المقارنه ,,ستفتح واجهة الاداه بهذا الشكل


==

(1)
Compare

و ستكون افتراضيا على Added ( ما تم اضافته ) و هي الاهم عادة
و بامكاننا من هذه القائمه ايضا اظهار : ما تم حذفه , استبداله , تعديله

==

(2)
هذه الصوره توضح معنى العلامات التي تظهر بجوار العناصر الموجوده في المقارنه


عنصر تم اضافته

تم حذفه

تم استبداله

انخفاض مستوى الخطوره

ارتفاع مستوى الخطوره

• ( العمليات )

المؤشر الموجود داخل المستطيل الاحمر في الصوره ادناه ... يقوم بفلترة العناصر على حسب مستوى خطوره من 1 الـــــــى 9
و ذلك بناء على قواعد هيورستك تستخدمها الاداه .... هذه الفلتره ليست دقيقه لكنها تساعد فقط كمؤشر لزيادة التركيز على عناصر معينه
بالامكان وضع مستوى الفلتره في المنتصف كما هو موضح ... لاستبعاد العناصر الآمنه و تسهيل عملية التحليل
حيث ان اغلب التغيرات التي تقوم بها الملفات الضاره تكون في هذا المستوى



و في الصوره يظهر ايضا :

1. العمليات
2. العملية الخاصه بالمالوير
3. و عند الضغط على اسم العمليه ستظهر ارتباطاتها هنا مثل الاتصالات و بدئها مع التشغيل الخ

• ( الاتصالات )

1. الاتصالات ... و السهم الاحمر يشير الى ارتفاع مستوى الخطوره
2. العمليه التي تقوم بالاتصال و يظهر عنوان الاتصال و البورت
3. اذا نقرنا بالزر الايمن للفأره بامكاننا فتح موقع الملف لرفعه على فايرس توتال مثلا

==

ايضا بامكاننا نسخ معلومات الاتصال و لصقها في النوت باد لفحص عنوان الاتصال على اي موقع لفحص الآي بي ... لمعرفة تفاصيل الجهه التي يتم الاتصال بها

• ( الريجستري )

كما هو واضح الملف يعمل مع بدء التشغيل .... و السهم الاحمر يشير الى ارتفاع مستوى الخطوره

• ( الملفات )

نفس الامر حيث يظهر لنا الملفات الجديده و ارتباطاتها



هذا مثال على تروجان بسيط بهدف التوضيح ... و بالطبع كلما ازداد تعقيد المالوير سنجد تفاصيلا اوفر و تحتاج لتحليل اكثر عمقا
و الاداه حالها حال غيرها من الاداوت , تحتاج للتمرس قليلا عليها ... لكن استخدامها عموما سهل ,, و قمت بالاسترسال في الشرح لزيادة التوضيح فحسب

اتمنى ان اكون قد وفقت في تسليط الضوء على هذه الاداه ,, لعلها تفيد بعض محبي التجارب .






نظرا لتميز الموضوع و الفائدة التي يقدمها تم تحويله لكتاب الكتروني يمكنكم تحميله من مكتبة المنتدى :

http://books.zyzoom.net/book/231789/

 

اداة جميلة جداااا والاجمل منها هو شرحك لها
بارك الله فيك

 

شكرآ ياسر

أداه جميله وشرح رائع

 

أداة رائــعــه أخـــي ياســــر
وشــــرح مــمــيز ورائـــع
جــزاك اللــه كــل خــير
==
تــم تثــبيت المـوضـــوع
ليأخـــذ حـقه مـن الإطـــلاع
==
تحـــباتي وتـقديري

 

شرح ممتاز وتفصيل رائع
جزاك الله كل خير

 

رائع يا اخ ياسر

تشية اداة الرن سكانر الي حد ما

 

بارك الله فيك حبيبنا ياسر
ماقصرت كفيت و وفيت
وشرحت الاداه بشكل جميل / سلس / مفهوم
وياليت الاخوه بالتجارب يستعينوا فيها من باب تطوير اكتشاف الاصابات

* أعشق هالنوع من الادوات

عملية المقارنه / اخذ لقطات بشكل جميل مع ارشاد

على فكره اللقطات موجوده ب أداه لاستعراض عمليات النظام " السيستم اكسبلورر توول "

لكن مو بالحرفيه اللي طرحتها



جزاك الله خير

 

أداة مفيدة ورائعة وشرح أروع وأكثر تألقاً

خالص التقدير على الشرح الرائع

 

رائع اخي ياسر

اداة جميلة جدا وشرحك اجمل

 

احسنت اخي ياسر في انتقاءك وعرضك للموضوع

اتمني المزيد من هذه النوعيه من البرامج والادوات غير التقليديه في مجال الامن والحمايه

 

بارك الله فيك و جزلك خيرا مشرفنا الكريم

 

بارك الله فيك

 

يا اهلا بالاخوه الافاضل فردا فردا
تشكر اخي ياسين ...

في هذا القسم اذا احببت

 

موضوع رائع جدا وجميل
بارك الله فيك وجعله في ميزانك

 

شكرا وتقدير لتلك الشروحات والجهد المبذول ونشر العلم والمعرفه .. وجعل الله تلك الاعمال فى حسناتكم

 

جزاك الله خيرا أخى الغالى
موضوع رائع