الكشف عن العمليات النشطة للبرمجيات الخبيثة مع CrowdInspect

المصدر: الكشف عن العمليات النشطة للبرمجيات الخبيثة مع CrowdInspect
في منتدى : طلبات فحص الملفات

سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع
منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام

الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة

CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف
Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات
وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ

كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال

يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust

الموقع الرسمي


صفحة تحميل اداة الفحص الجمعي

CrowdInspect


الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة

التفاصيل

حول الاداة

خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process

الموافقة على الشروط

بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين


ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها

وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة



خيار عرض المسار الكامل للعملية المحددة

تاريخ العملية المباشر
ولعرض تقرير خدمة فايروس توتال عن العملية يتبع احدى الطريقتين اما كليك يمين على العملية المختارة ومن ثم في نهاية القائمة المنبثقة اختيار عرض التقرير
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية

ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل


الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6

نوافذ الوضع الحقيقي
live status windows


Inject
الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق

مصادر المعلومات
اولا
VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد

ثانيا
MHR = Malware Hash Repository
مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء

ثالثا
Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها

يتم تشغيل الاداة بوضع المدير Administrator

ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة

بكل اختصار انتهى المشوار

عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني

وسعيت على تقديم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي
راجيا لاخي محمد طول العمر وراحة البال ولمن يسمعنا
اللهم آميـــــــــــــــــــــــــــــــــــــــــــن
التميمي14
اشرقت بكم الشمس وما غربت
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf

 

جزاك الله خيرا بارك الله فيك اخي

 

الله يبارك فيك يا رب

 

مشكور اخي الكريم على الطرح الرائع ..

 

ما اروعك اخي سامر

بارك الله فيك

 

و عليكم السلام و رحمة الله و بركاته ....
ألف شكر لك أخ سمير على هذا الطرح و الشرح المتميز ......

 

اداة روعة فعلا و بتجريب شخصي تحتاج منك شوية وعى امنى لاستعمالها
ربي يعطيك دوام العافية اخى سامر . ...ام سمير

 

جزاك الله كل خير
مواضيعك ونقاشاتك تتركني اركز لاخر حرف
وكلك فوائد
مشكور اخي

 

وعليكم السلام ورحمة الله وبركاته
طرح مميز واكثر من رائع(فن)
تسلم يديك

 

بارك الله فيك يا اخى شرح ممتاز رائع جميل وافى
شكرا يا غالى على هذا الطرح العظيم و المفيد
​

 

ابداع في ابداع

جزاك الله عنا خير الجزاء

 

وعليكم السلام اخي سامر

الوم نفسي كيف مضى على الموضوع عدة ايام دون ان الحظه !!!!
العتب على الشوف
هديه رائعه وثريه وهي هديه ايضا للجميع
الله يطول باعمارنا واعماركم اخي سامر وعمر كل من شاهد وعلق على الموضوع

موضوع ثروه موضوع مرجع
لا ابالغ في ذلك والله ولا ازيد في الاطراء بسبب مكانة كاتبه وهو اخي سامر الرائع انما الحق يقال ومن الانصاف تثبيت الموضوع لبعض الوقت

بسبب انشغالي الان لي عوده لقراءته في وقت لاحق فموضوع كهذا لا يمر عليه مرور الكرام
وللعلم انا والله اول المستفيدين من هذا الموضوع

فشكر الله سعيك اخي سامر وبيض الله وجهك

 

اللهم يبارك في عمرك اخي الغالي

 

الشكر موصول لكم اخي كامل بارك الله فيكم

 

جزيل الشكر
ذكرتني بمطلع اغنية نبيل شعيل
ما اروعك اعجب واغرب من الخيال
وقلبي ينبأني ان المغني لا يعجبك

 

وعليكم السلام ورحمة الله وبركاته
هل تعلم اخي ان كنت لا تعلم ان لكم مكانة خاصة بيننا
تم تحرير الرابط لانه مخالف

مع الشكر والتقدير

 

انى تشاء أسامر ام سمير فانا في كلا الحالين اخوك
ربما تحتاج الاحاطة بالاداة المقدمة الى وعي سياسي ومباركة الجامعة العربية
تم تحرير الرابط لانه مخالف

امزح معكم مع الشكر والتقدير اخي الكريم

 

شكرا على الطرح الرائع وفقك الله

 

اللهم يفتح عليك اخي الغالي
وكلك ذوق
عبارة اركز في القراءة
ذكرتني بايام الدراسة كنت ومازلت الى الآن اذا ما أرقت وما بي من سقم
بمجرد افتح اي كتاب يحاصرني النوم
مع الشكر والتقدير