تشفيرة عينه بتاريخ 30/4/2017

المصدر: عينه بتاريخ 30/4/2017
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

بعيد عن الدورس النظريه التى احياننا يتم قراتها ومن ثم يتم تجاهلها

فضلت وضع عينه حقيقيه للتحليل وذلك لان التمارين العمليه اهم بكثير من الدروس النظريه

لذلك وجب الحذر اثناء تحليل العينه

ملاحظه مهمه هذه العينه خطيره جدا ويجب الانتباه اثناء التحليل

نصائح اتبعها

استخدم هذه البرامج اذا اردت تحليل العينه بالطريقه الديناميكيه

برامج البيئة الوهمية " الانظمة الوهمية "
VirtualBox او VMware

برامج تجميد النظام
Deep Freeze او Shadow Defender

برامج معرفة نوع الضغط
Detect It Easy او Exeinfo PE او PEiD او RDG Packer Detctor

برامج مراقبة الإتصالات
NetSinfferCs او apate DNS او Cport

برامج مراقب العمليات و مسارات النزول
Process xp او Process Hacker
Spy The Spy

لتحميل العينه

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الباس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

ملحوظه مهمه : العينه للتدرب على الفحص واستخراج البيانات وليس لفحصها ببرامج الحمايه العاديه

ساحاول مساعده كل من يحاول ولم يستطيع الوصول للبيانات

بالتوفيق للجميع

 

شكرا أخي مصطفى على حرسك لتعليم الناس
إنسان طيب ويحب الخير لكل الناس ولا يبخل بأي شيء يعرفه هاذ هو مصطفى اللذي عهدناه
جزاك الله كل خير .

 

​

 

بارك الله فيك أخي الحبي مصطفى

 

أولا شكرا على المجهودات في الطرح والمتابعة ...
العينة ملغومة بسيرفر Xtreme Rat .. مع وجود تخطيات *_^
يتم الحقن في عملية النظام "svchost" في قائمة iexplore.exe
تحت اسم "Chrome"


+


مع وحود تثبيتات في الريجيستري


بشكل أوضح !!!


بعض الاستدعاءات ...


معلومات الاتصال
dnsduck10.duckdns.org
8080
181.58.21.184

البرنامج المستخدم OllyDbg
القيم المستخدمة للحصول على معلومات الاتصال
LockResource
RegCreateKeyW
CopyFileW

بالتوفيق ...

 

البيانات صحيحه

احسنت يا غالى

ما شاء الله عليك

يعجبنى جدا تحليل

والدوال المستخدمه تستخدم بنسه بكبيره فى قنص اغلب الدوال فى المنقحات

ايضا كان يمكنك استخدام داله CreateProcessW لتقوم بقنص داله الحقن كانت ستفيدك بشكل كبير جدا

اتمنى منك الاستمرار فى ذلك حتى يستفيد الجميع

تحياتى وتقديرى

الفكره تتمركز فى ان كل ما يصادفنى اقوم بوضعه وليس ترتيب مسبق

فكره توضيح التحليل هى حاول ان تصل الى البيانات بنفسك

بالفعل سيصعب عليك اولا ولكن مع تطبيق الشرح المرفق من قبل الاعضاء لكيفيه الوصول الى الملفات سيكون سهل ان شاء الله

وفى كل مره ستتعلم بنفسك وستكتسب معلومات جديده حتى تتكون فكره عامه عن التحليل

بالتوفيق

 

تحية متبادلة ياطيب ..
ونتمنى أن يستفيد الاخوة فهذا هو الهدف الأول والاخير ..
نــعم صحيح !!! الدالة سقطت مني سهوا ... كانت ستفيد بالتأكيد ^_^
شكرا على الاضافة ...

 

كنت اريد المشاركة ولكن هناك مشكلة بجهازي
لاني درست كشف التلغيم نظري واريد ان اطبقه عملي
لقد اعجبني منتدي زيزووم كثيرا خاصة قسم نقاشات واختبارات برامج الحماية
انا جديد في مجال الفحص هل من نصيحة ؟؟

 

ارجو اخي ذكر البرامج المستخدمة في تحليلك للتلغيمة

 

اهلا ومرحبا بك فى منتدى زيزووم

على امل منا ان تستفيد بما نحاول طرحه وايضا تفيد

سيكون هناك كثيره للتطبيق

البرانامج الذى استخدمه الاخ الغالى هو برنامج المنقح الشهير ollydbg مع الاستعانه ببعض الدوال التى سهلت له الامر

لكن عليك ان تقوم ببناء بيئه وهميه لان عندما تقوم باستخدام المنقحات يتم تشغيل العينه داخل المنقح فى الوقت الحقيقى

مع وضع نقاط توقف تحددها مع الدوال التى تريد الاستعانه بها

فعليك ان تنتبه جيدا لهذا الامر

لذلك اقطرح بعض الادوات فى اول الموضوع

ايضا عليك ان تحدد طريقه تحليلك هل ستستخدم الطريقه الدينامكيكه ( تقوم بتشغيل العينه فى الوقت الحقيقى وتتبع سلوك الملف )

ام ستستخدم الطريقه الاستاتيكيه ( تقوم بقرائه تعليمات الملف دون الحاجه الى تشغيل العينه فى الوقت الحقيقى )

بالتوفيق

 

سلام الله عليكم اخي العزيز
لقد حللت العينة ( حسب خبراتي الضئيلة والضعيفة )
ووجدت :
.اضافة ملف في القرص الصلب

في المسار التالي : c:\windows\prefetch

. اضافة الملفات التالية في الرجيستري


ولكن قابلتني مشكلة صغيرة ان برنامج ollydbg لا يعمل حتي النسخة البورتبال

فأستعنت ببرنامج Hex Workshop

فلم افهم شي اخي العزيز
هذا كل ماستطعت التوصل اليه
وسؤال : هل يوجد بديل اخر لollydbg ؟

 

اريد ان اتعلم الطريقتين اخي ( اريد ان استغني استغناء تام عن برامج الحماية )
وان اكون محترف كشف الفيروسات والتلغيم والدمج

 

اهلا بيك مره اخرى

اولا لا داعى لاستخدام النسخه البورتابول من ollydbg لانها موجوده على الموقع الرسمى ويمكنك تحميلها من هنا بدون اى مشاكل من هنا

http://www.ollydbg.de/

ايضا قم بالاطلاع على هذا الموضوع ستجد انى قمت بعمل شرح فلاشى متحرك

http://forum.zyzoom.net/threads/259845/

لعينه شبيهه

http://forum.zyzoom.net/threads/259845/#post-3616766

بخصوص الطريقتين عليك اولا ان تعرف اساسيات مهمه

ساعطيك بعض النقاط على الرغم من انى بصدد كتابه دوره شامله ولم انتهى منها بعد فى التحليل الشامل للملفات الخبيثه

ولاحظ شى مهم الدوره ليست اسمها كشف دمج وتلغيم وانما تسمى دور تحليل الملفات الخبيثه

وهو هو المصطلح الحقيقى لها

لا اعرف من اين اتى تلك العباره كشف الدمج والتلغيم

ربما هذه العباره تطلق فقط على سرفرات برامج الرات فقط ودمجها مع ملفات اخرى لذلك الكل يتجه لها

ولكن ما ساتطرق له هو تحليل الملفات الخبيثه بشتى انوعها وليس فقط تحليل برامج الرات فقط

تاكد من انك هنا ليس كالمنتديات الاخرى التى تركز اكثر تركيزها على برامج محدد بحد زاتها وانما ستتعلم

تقنيات واساليب علميه التى تستخدمها المختبرات العالميه فى التحليل وليس بضع ادوات فقط تعرف فائدتها

ولكن اولا عليك ان تعرف تركيب الملفات التنفيزيه PE بشكل موسع اكثر

عليك اولا ان تدرس لغه المستوى المنخفض الاسمبلى

تدرس كل شى بشكل علمى و ليس كما ذكرت اعلاه درس من هنا ودرس من هناك

او استخدام الاداه الفلانيه بدون ان تعرف ماهيتها اصلا وكيف تعمل

ارجو ان تكون فهمت وجه نظرى

اذا اردت التعلم بشكل صحيح فعلا

انصحك ان تقوم بقرائه الكتاب الرائع

فهو ما سيضعك على اول الطريق للتحليل

Practical Malware Analysis

او انتظرنى ان شاء الله حتى انتهى من الدوره التى اكتبها لانها طويله بعض الشى

وفيها قمت بالاستعانه بالكتاب الذى اقطرحته لك

بدل وايضا قمت بالزياده عليه من خبرتى المتواضعه فى التحليل

 

شكرا ليك علي الرد انا عارف ان الموضوع هياخد منك وقت كبير علشان تعمله
ويارب يوفقك وتخلصه
وانا في انتظار الدورة
كتاب Practical Malware Analysis كتاب جميل ولكني لست جيدا في الانجليزي (المادة الوحيدة اللي عملتلي عقده )
( وانا بالفعل كنت هقدم الكتاب ده علي موقع خم**ت لواحد يترجمه بس اعتزلي عن ضيق وقته وكثرت الطلبات )
ولقد فهمت مقصدك اخي
وتابعت مقالة لك بأسم دوره Malware Dynamic Analysis
ومتشوق لنزول الدورة التي ستقدمها
شكرا ليك

 

الله يسعد الجميع ويوفقهم لكل خير ...
أمتعتونا و أفادتونا بطرحكم المميز ...