تحليل الملف المشبوه بنفسك أو بمساعدة خبراء قسم الفحص

المصدر: تحليل الملف المشبوه بنفسك أو بمساعدة خبراء قسم الفحص
في منتدى : طلبات فحص الملفات

السلام عليكم ورحمة الله وبركاته
أهلا وسهلا بكم أخوتي الكرام
أسأل الله أن يفتح عليكم ويزيدكم بسطة في العلم

ان شاء الله
سوف اقوم بشرح موقعين شهيرين لتحليل الملفات المشبوهة
بنفسك دون تشغيلها
فقط برفعها على الموقع
وهو سوف يتكفل بالباقي






الموقع الأول هو الشهير وعدو أطفال الهكرز الأاول


Virustotal.com



ميزة هذا الموقع هو انه يقوم فورا بأرسال اي ملفات ترفعها على الفحص له الى شركات الحماية
فحتى ان كان الملف مشفر عن الحمايات او به تخطيات
فما هي مسالة وقت حتى يتم ارساله الى شركة الحماية ويصبح مكشوف من كل الحمايات

وعلى فكرة ,ذلك الأمر يتم بسرعة جدا (تقريبا نصف الملغمين واطفال الهاكر اعتزلوا بسببه)
طبعا هذا لايعني انه invencible
هناك طرق كثيرة لخداعه
ولكنه تحتاج لشخص عقله غير محدود على التلغيم فالمنتديات وجلب الضحايا والتفاخر على الفيس بالدعس الانونيموس الهاكر
وهو اصلا البرنامج الي يستخدمه للتجسس نفسه ملغوم


عند الدخول للموقع تظهر لك هذة الصفحة البسيطة






ومن خلالها تقوم برفع الملف الذي تود فحصه
سوف اشرح عدة انواع من الملفات

1. الأندرويد
2. الويندوز
3.الراوبط الخبيثة



اولا الأندرويد






واضح من التسمية ان هذا الملف هو بايلود المتاسبلويت
لأختراق الاندرويد

والذي يعطي صلاحيات قصوى للهاكر للتحكم في جهازك

برامج اختراق الأندرويد المشهورة هي
الميتاسبلويت
السباي نوت spynote
و droid jack
تقريبا السباي نوت هو الأكثر استعمالا من قبل اطفال الهاكرز لسهولته
شيئ مهم علي قوله , هو ليس معنى ان واحد مكافح اعطى تسمية صريحة لملف
كـ
Bladabindi >njrat
Revetrat>revenge rat
spynote
metasploit
swrot>metasploit

وغيرها
هذا لايعني ان هذا الملف هو رات 100%

لكن في حالتنا هنا جميع برامج الحماية اتفقت على التسمية لذلك فهو رات
ما اقصده باختصار هو ان بعض برامج الحماية قد تعطي تسميات كاذبة (احيانا يقول على برنامج آلة حاسبة انه رانسوموير !!)

عن نفسي انا اثق جدا بتسمية مكافح النود
فهو يملك ادق محرك في الحمايات
مدعوما بتقنيات الذكاء الاصطناعي القوية
دائما أثق بتسمياته


يمكنك من هنا معرفة المزيد من التفاصيل عن الملف












مفتاح توقيع الملف هو عبارة عن شهادة , تربط كل برنامج بمطور خاص به
يعني , عندما اورد رفع ملف الى متجر جوجل , اقوم بدفع 50 دولار للشركة والحصول على مفتاح توقيع خاص بي
وبالتالي لايستطيع احد رفع ملف بأسمي
كما انه يحمي الملف من التعديلات
لان اي تعديل يتم على الملف يفسد التوقيع الرقمي له
لذلك يضطر كاسروا البرامج والهاكرز الى اعادة توقيع الملف بمفتاح خاص بهم هم
كثير من الحمايات الخاصة بألأندرويد تعتمد على مفتاح التوقيع لكشف الملفات الخبيثة ,
وهو امر خاطئ تماما ,, وذلك لأن تغيير هذا المفتاح سهل جدا

​

هنا اهم جزئية لدينا وهي الصلاحيات التي يطلبها الملف



كما ترى هذا الملف عبارة عن فيروس لأنه يطلب كم كبير من الصلاحيات التي لايحتاجها
يتميز الاندرويد عن الويندوز بأنه قبل تنصيب اي تطبيق يجب ان يقوم هذا التطبيق بطلب مجموعة من الصلاحيات permissions
مثلا صلاحيات الوصول للكاميرا ,, للهاتف,, سجل المكالمات ,, المايكروفون ...
من خلال هذة الصلاحيات يمكننا معرفة هل هذا الملف ملغوم ام لا

هذا يطلب قنبلة صلاحيات هذا ,, لذلك فهو ملغوم 100%

طبعا هناك شيئ يجب ان انبه عليه
بيس معنى ان التطبيق طلب صلاحية ما انه ملغوم
يعني مثلا تطبيق للتصوير طبيعي انه يطلب صلاحيات الوصول للكاميرا
تطبيق مشاركة صور مثلا
سيطلب صلاحيات وصول للكاميرا وللمساحة التخزينية وربما للـ contacts الخاصة f;

لكن لاتقلق , تقريبا جميع اطفال الهكرز يستخدمون ادوات غيرهم للدمج
وهي هي نفس الملفات ستجدها عندهم كلهم

وهذة هي الصلاحيات :

صلاحية الوصول الى الموقع:

Manifest.permission.ACCESS_COARSE_LOCATION,
Manifest.permission.ACCESS_FINE_LOCATION,

::

الوصول الى حالة الهاتف (الشاشة مغلقة , الشاشة مفتوحة ..)

Manifest.permission.READ_PHONE_STATE,

::

صلاحية قراءة وارسال واستقبال رسائل الـ sms

Manifest.permission.SEND_SMS,
Manifest.permission.RECEIVE_SMS,
Manifest.permission.READ_SMS,

::

تسجيل الصوت
Manifest.permission.RECORD_AUDIO,

::

الأتصال بالأرقام
Manifest.permission.CALL_PHONE,

::

قراءة بتاريخ الاتصال
Manifest.permission.READ_CALL_LOG,

::


كتابة تاريخ الاتصال
Manifest.permission.WRITE_CALL_LOG,

::

قراءة الأشخاص الذين تتصل بهم (جهات الأتصال)
Manifest.permission.READ_CONTACTS,

::


اضافة جهات الأتصال
Manifest.permission.WRITE_CONTACTS

::

الوصول للكاميرا (التصوير)
Manifest.permission.CAMERA

::

الكتابة على الشريحة الخارجية
Manifest.permission.WRITE_EXTERNAL_STORAGE

::

صلاحية بدء التشغيل (اي تجعل التطبيق يعمل عند بدء تشغيل الهاتف )
Manifest.permission.RECEIVE_BOOT_COMPLETED

::

تغيير الخلفية
Manifest.permission.SET_WALLPAPER

::

wakelock
وهي جعل التطبيق يظل يعمل حتى وان تم اطفاء الشاشة (معظم التطبيقات تطلبها)

Manifest.permission.WAKE_LOCK,

معظم الملفات الملغومة ستجدها على هذا الشكل


​

والآن فحص الملفات التنفيذية




كما ترى
من التسمية
bladabindi
هو نجرات

مجددا اكرر , بعض الحمايات قد تعطي هذا الأسم لملفات نظيفة لاعلاقة لها بالنجرات من قريب ولا بعيد
ولك هنا لدينا اجماع على ان هذا الملف ملغوم

في جزئية الـ details تظهر معلومات بسيطة عن الملف (اسمه ,, نوعه ,, اللغة المستخدمة في صناعته )
وينبغي عليك الأنتظار لبعض الوقت حتى يتم تكوين التقرير الكامل

هنا ملف تم تكوين تقرير كامل له



هنا يتم عرض اجزاء الملف sections والمكتبات التي يستدعيها
مكتبة
mscoree.dll
تعني ان هذا الملف مبرمج بالدوت نت
الفايروس توتال كان يوفر خاصية تحليل سلوك الملفات ,

هنا يوضح الأتصالات التي يقوم بها الملف


وهنا الملفات الاخرى التي يقوم بكتابتها




ولكن تقريبا لم يعد يفعل ذلك في الآونة الاخيرة
ولكن لا مشكلة سوف نستعيض عنه بالموقع الثاني ان شاء الله




واخيرا فحص الروابط بالموقع






كما يقوم الفايروس توتال بتوفير خدمة معرفة نوع الموقع من خلال انظمة حماية الويب المختلفة

مثلا هذا موقع آخر لرفع الملفات




​

الموقع الثاني هو العملاق
hybrid-analysis.com






​

هنا يمكنك تحديد نوع الآلة الوهمية التي سيتم استخدامها في تحليل الملف
هنا سنختار ويندوز 7 64 بت
لأننا نفحص ملف exe وغالبا نظام التشغيل لدينا سيكون 64 بت




يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه

اضغط
generate public report


ثم انتظر حتى يتم التحليل الديناميكي



الموقع كذلك يقوم برفع العينات على الفايروس توتال

سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله

غالبا يستغرق 5 دقائق فقط

هنا تم ارسال التقرير على الايميل الخاص بي



والآن نذهب للتقرير لنقوم بتحليله



هنا يعرض معلومات عامة عن الملف




الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة





هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)



يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )




يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف



يمكن ايضا فحص ملفات الأندرويد كذلك







يتبع​

 

الجزء الثالث وهي أداة شهيرة لفحص ملفات الـ exe

وهي اداة

pestudio




لتحميلها من هنا


https://www.winitor.com/binaries.html


الأداة جد بسيطة

وهي محمولة كذلك

فقط قم بتشغيل الأداة , واسحب الملف الذي تريد فحصه واسقطه بداخلها




هنا فحص ملف سيرفر نجرات



في خانة
المحددات
indicators
يظهر ملخص عن الملف ,
وتظهر كذلك مدى خطورة هذة المحددات
فـ 1 بالأحمر يعني شديد الخطورة وهكذا

كما تقوم الأداة بالتحقق من تقرير الملف على الفايروس توتال



يمكنك فتح التقرير في المتصفح





في نافذة Strings
تعرض لك الأداة النصوص التي تم ايجادها في الملف





سوف أقوم الآن بفحص ملف آخر




الهاش لمن لايعرفه هو عبارة عن بصمة مميزة للملف
وتستخدم للتعرف على الملفات
حيث ان اي تغيير ولو بايت واحد في الملف ينتج عنه هاش جديد
وبالتالي فلكل ملف في الكون هاش مميز فريد خاص به هو فقط



تظهر لنا نافذة المحددات هذة الأمور :​

1. 
   
2. الملف يحوي بداخله ملف آخر (نفهم من هنا ان الملف محمي من الهندسة العكسية packed)
3. الملف مكشوف من كثير من الحمايات
4. يوجد رابط في الملف
5. الملف يستدعي الكثير من الدوال المشبوهة

تعالى الى نافذة الفايروس توتال



كما ترى , من تسمية النود
فهو لايعتبر انه هذا ملف خبيث او اي شيئ , بل ان الملف مشتبه به بسبب نوع الحماية الموجودة عليه
لأن كثير من الملفات الخبيثة تستخدم نفس الحماية لمنع الكسر
اذا كان الملف ملغم فعلا وعليه هذة الحماية أيضا فأنا واثق من ان النود سيكشف هذا كذلك
ولن تكون التسمية حينئذ Noobyprotect packed
يمكنك البحث عن التسمية في جوجل لمعرفة المزيد عن الملف
وهي من الخطوات الجيدة اثناء تحليلك للفيروسات





هنا نافذة المكتبات توضح المكتبات التي يستدعيها البرنامج مع وصف لكل منها



هنا بعض المكتبات الأكثر استعمالا من قبل الفيروسات مع وصف لكل منها



::

Kernel32.dll
واضح من اسمها انا تحتوي عل دوال المستوی الأدنی (الكرنل) وتساعد دوالها في الاتصال ب العتاد الصلب(الهارد وير) والذاكرة

::

Advapi32.dll
واضح من اسمها انها تضم دوال api التي تعطي صلاحيات كبيرة جدا كالاتصال بالريجستري والتحكم بالخدمات

::

User32.dll
وظيفتها التحكم بالواجهات في الويندوز اكسبلورير مثل عناوين النوافذ والازرار ... الخ
واستدعاؤها يتيح لك التحكم في عناوين النوافذ والتحكم في الفأرة او ايقافها والصغط علی الازرار

::

Gdi32.dll
وهي خاصة بالجرافيكس وشائع استدعاءها في الالعاب
وظيفتها التحكم المتقدم بالالوان والشاشة

::

Ntdll.dll
تحتوي علی دوال يمكنها تنفيذ امور ذات صلاحيات عالية ring0
ولا احد يستدعيها مباشرة
ولكن باستخدام دالة من advaip نستدعي kernel32 ومنها ntdll
::

Wsock32
Ws2_32

خاصة بالمستوی الادنی من الشبكة
تلك المسؤولة عن نقل البيانات
وفي حالة استدعائها فـ في الغالب الملف سوف يقوم بألأتصال بسيرفر على النت (قد يكون ملف تجسس)
اما
winint فهي تنتمي الی المستوی الاعلی ووظيفتها تهيئة الاتصالات والبروتوكولات
مثل HTTP FTP ....
وعادة تستدعی ال3 مكتبات معا

​

تعالى الي نافذة الدوال , وهنا كل التسلية



هنا يظهر دوال win api التي يستدعيها الملف



كما ترى هنا هذا الملف يحتوي على عملية حقن

طيب ياعم الحج
هل كل الملفات التي تحتوي على هذة الدوال , اي دوال الحقن تعتبر خبيثة ,,
والله شوف انا سوف أقول لك شيئ
اذا كانت هذة الدوال خبيثة ولعينة ومصدر لك الشرور
لم تم اختراعها بالأساس
يعني الا تستطيع مايكروسوفت الغاءها (وخلاص)
طبعا لا لايمكن الغاءها
لأنها صنعت اصلا لتقوم بعمليات في غاية الأهمية
من ضمن هذة العمليات ماتقوم به الملفات الخبيثة
يعني هي سلاح ذو حدين
الملف الذي امامك غير ملغوم (ما رأيك !!!)
بل عليه حماية
مثل الغلاف هكذا
بداخلها بايتات الملف الاصلي المشفرة
وتقوم بحقنها في الذاكرة حتى تمنع قراءة السورس كود للملف الأصلي
طيب انا كفاحص ماذا يجب علي ان افعل
كيف افرق بين هذة الملفات
شوف

جرت العادة على اعتبارها ملفات ملغومة
ولو نظرت الى معدل كشوفات الفايروس توتال



ستجد ان معدل كشوفاته رهيب (50 مكافح )
والسبب هو اسدعاؤه لهذة الدوال
برغم انه يستخدمها لأغراض حميدة فقط
(طيب انت لم تجب على السؤآل يعم الحج , كيف اعرف ان الملف سليم حتى وان كان يستدعي هذة الدوال)

طبعا في هذة الحالة تحتاج الى تحليل الملف اما بتشغيله ومراقبه سلوكياته او باستخدام الهندسة العكسية
لكن اذا وجدت ملف يستدعي مثل هذة الدوال
ضعه في قسم الفحص واستدعني ​

@MagicianMiDo32

لمزيد من المعلومات عن دوال API
وعمليات الحقن وغيرها تابع هذه المقالات

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::
http://forum.zyzoom.net/threads/266486/#post-3689103
::
http://forum.zyzoom.net/threads/234171/

::

https://www.endgame.com/blog/techni...-technical-survey-common-and-trending-process
https://github.com/secrary/InjectProc
::

https://blog.malwarebytes.com/threat-analysis/2017/10/analyzing-malware-by-api-calls/

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::

طبعا هذة الدوال تظهر في حالة الملفات المبرمجة بالـ native اي تم عمل كومبايل لها الى لغة الآلة
مثل ملفات c++ ودلفي
اما السكربتات
مثل البايثون والاوتو ات اوالدوت نت
فلا تعتمد على هذة الأستدعاءآت



لمعرفة اللغة التي كتب بها الملف
وما إذا كان عليه حماية packer ام لا
فلايوجد من الاداة العملاقة
EXEinfoPE

فقط شد الملف وارميه عليها وسوف تقوم بتحديد اللغة التي كتب بها



لتحميلها من هنا

https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/ExEinfo-PE.shtml




تقريبا أغلب ملفات أطفال الهاكر تكون مكتوبه اما بالدوت نت او الأوتو ات

غالبا ملفات الدوت نت تكون محمية من الهندسة العكسية

ولكن الأداة تستطيع كشف هذة الحماية

وهذة قائمة بالحمايات المتوفرة لملفات الدوت نت
طبعا هناك حمايات اخرى ولكن هذة الاشهر
​

كود:

Agile.NET
Babel Obfuscator
ConfuserEx
Crypto Obfuscator
Disguiser.NET
Dotfuscator Community Edition
Dotfuscator Professional Edition
DotNet Patcher
Eazfuscator.NET
Eziriz .NET Reactor
ILProtector
.NETGuard
NetWinProtector (Protector)
Obfuscar
Salamander
SeeUnsharp .NET
Obfuscator
SharpObfuscator
Skater
Skater

رفعت لكم هذة المقالة من ويكيبيديا لأنها لم تعد موجودة
لكنها مفيدة

https://up.top4top.net/downloadf-1062ypclt1-rar.html





نأتي الآن الى نافذة strings

وفيها النصوص الموجودة في الملف










وأخيرا نقطة هامة جدا توضحها لك الأداة وهي التوقيع الرقمي للملف

اي ملف موقع رقميا فهو سليم بنسبة 98%




اما هنا

فهو موقع رقميا




لكن هناك ملفات تكون موقعة رقميا ولكن تم التلاعب بها
والاداة للأسف لاتكشف لك

ولكن اكتشاف ذلك اسهل من السهولة

كليك يمين على الملف
واختار properties

ثم








هكذا عرفنا ان هذا الملف معدل عليه وان توقيعه الرقمي معطوب

اما ملف كهذا


فهو سليم لأنه موقع قميا







هكذا اكون انتهيت من هذا الموضوع

ارجوا ان يكون الجميع قد استفاد منه

لاتنسوني بدعوة طيبة
حفظكم الله ورعاكم
والحمد لله رب العالمين

​

 

ان شاء الله لو تيسر لي الوقت سوف يكون هنالك المزيد
وفقكم الله

 

محجوز لأي اضافة

 

جزاك الله خيرا
جعله الله فى ميزان حسناتك​

 

جزاك الله كل الخير على مجهودك الاكثر من رائع
تقبل تحياتى

 

مشكور اخى للشرح وبارك الله فيك​

 

جزاك الله كل خير أخي ابو سمية
اشكرك على مرورك الرائع

الموضوع طويل فعلا وبعض الأجزاء الموجودة فيه متقدمة بعض الشيئ ولكنني حرصت على جعله موضوع شامل متكامل
وان شاء الله سوف يتم تحويله لكتاب ألكتروني

أسعدني ردك جدا أخي انيس
وأحييك على أسلوبك الراقي
ادعوا الله لك بالثبات والتوفيق
أخوك محمد من مصر

 

شكرا لك على الشرح اخي