• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الكشف عن العمليات النشطة للبرمجيات الخبيثة مع CrowdInspect

الحالة
مغلق و غير مفتوح للمزيد من الردود.

samerira

زيزوومي ماسى
إنضم
4 مارس 2011
المشاركات
1,134
مستوى التفاعل
5,056
النقاط
1,095
الإقامة
Sun Den
غير متصل
QdIFApr.gif


064c21f511e7314.png


سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع

منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام

7ffedb29c926f18.gif

الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة
e67093f2ea7ed69.jpg

CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف

Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات

وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ
7ee05d579ef3fbe.png

كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال
33fdd7c399f6346.png

يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust

6c1323aaed4df07.png

الموقع الرسمي

c3fc47bbc11a379.png

صفحة تحميل اداة الفحص الجمعي
2eee50cbd47ebb6.gif

CrowdInspect

51322539aa9d8b5.png

الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة
44b8bf806e87a3c.png

التفاصيل
ed7dcdc91d5c77d.png

حول الاداة
eeebfbd2f70d8a5.png

خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process
9d0da2597415ba5.png

الموافقة على الشروط
b25341082129536.png

بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين
6d02cc5bdc8f365.png

776a971609f106c.png

ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها
ad9eeefbea634ca.png

وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة
90eb9f9c70f4ce2.png

bf571b6d5f6c8af.png

25565c6a06fd82f.png

خيار عرض المسار الكامل للعملية المحددة
ce0a6ae79af72e6.png

تاريخ العملية المباشر
0bab3a526422b82.png
ولعرض تقرير خدمة فايروس توتال عن العملية يتبع احدى الطريقتين اما كليك يمين على العملية المختارة ومن ثم في نهاية القائمة المنبثقة اختيار عرض التقرير
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية
a01faf2ffebfdff.png

ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل
f179af26f11eb71.png

b50d648b385dfba.png

الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6

8b87a5ae373c4a5.png

نوافذ الوضع الحقيقي
live status windows

c294469c9c91b9c.png

bcf54a3666f41dc.png

Inject

الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود
Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف

رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق
8e3e3e2cd8553e9.png

مصادر المعلومات
اولا

VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد
8e3e3e2cd8553e9.png

ثانيا
MHR = Malware Hash Repository

مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء
8e3e3e2cd8553e9.png

ثالثا
Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها
00c218c531e215c.png

يتم تشغيل الاداة بوضع المدير Administrator
8abf26b777077c7.png

ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة
695e2758a9c5a6c.png

بكل اختصار انتهى المشوار
1ba0c99008140c4.gif

عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني
c80568a4f423401.gif

وسعيت على تقديم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي
راجيا لاخي محمد طول العمر وراحة البال ولمن يسمعنا
اللهم آميـــــــــــــــــــــــــــــــــــــــــــن
التميمي14
اشرقت بكم الشمس وما غربت
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf

e50cf47fcef928f.png

bda93c3f0fcd6d3.gif
 

التعديل الأخير بواسطة المشرف:
توقيع : samerira
و عليكم السلام و رحمة الله و بركاته ....
ألف شكر لك أخ سمير على هذا الطرح و الشرح المتميز ......
 
توقيع : أبو رمش
اداة روعة فعلا و بتجريب شخصي تحتاج منك شوية وعى امنى لاستعمالها
ربي يعطيك دوام العافية اخى سامر . ...ام سمير :LOL:
 
توقيع : Dz_zYz0
جزاك الله كل خير
مواضيعك ونقاشاتك تتركني اركز لاخر حرف:bookworm:
وكلك فوائد
مشكور اخي
 
توقيع : mha1m
وعليكم السلام ورحمة الله وبركاته
طرح مميز واكثر من رائع(فن)
تسلم يديك
 
توقيع : ALmehob
:rolleyes::rolleyes::rolleyes::rolleyes:بارك الله فيك يا اخى شرح(y)(y) ممتاز;););) رائع :love::love:جميل:bookworm::bookworm: وافى
:):):)شكرا يا غالى على هذا الطرح العظيم و المفيد :):):)
 
توقيع : nasa3
064c21f511e7314.png

سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع

منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام

7ffedb29c926f18.gif

الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة
e67093f2ea7ed69.jpg

CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف

Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات

وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ
7ee05d579ef3fbe.png

كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال
33fdd7c399f6346.png

يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust

6c1323aaed4df07.png

الموقع الرسمي

c3fc47bbc11a379.png

صفحة تحميل اداة الفحص الجمعي
2eee50cbd47ebb6.gif

CrowdInspect

51322539aa9d8b5.png

الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة
44b8bf806e87a3c.png

التفاصيل
ed7dcdc91d5c77d.png

حول الاداة
eeebfbd2f70d8a5.png

خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process
9d0da2597415ba5.png

الموافقة على الشروط
b25341082129536.png

بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين
6d02cc5bdc8f365.png

776a971609f106c.png

ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها
ad9eeefbea634ca.png

وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة
90eb9f9c70f4ce2.png

bf571b6d5f6c8af.png

25565c6a06fd82f.png

خيار عرض المسار الكامل للعملية المحددة
ce0a6ae79af72e6.png

تاريخ العملية المباشر
0bab3a526422b82.png
ولعرض تقرير خدمة فايروس توتال عن العملية يتبع احدى الطريقتين اما كليك يمين على العملية المختارة ومن ثم في نهاية القائمة المنبثقة اختيار عرض التقرير
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية
a01faf2ffebfdff.png

ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل
f179af26f11eb71.png

b50d648b385dfba.png

الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6

8b87a5ae373c4a5.png

مصادر المعلومات
bcf54a3666f41dc.png

Inject

الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود
Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف

رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق
8e3e3e2cd8553e9.png

VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد
8e3e3e2cd8553e9.png

MHR = Malware Hash Repository
مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء
8e3e3e2cd8553e9.png

Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها
00c218c531e215c.png

يتم تشغيل الاداة بوضع المدير Administrator
8abf26b777077c7.png

ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة
695e2758a9c5a6c.png

بكل اختصار انتهى المشوار
1ba0c99008140c4.gif

عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني
c80568a4f423401.gif

وقدم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي راجيا له طول العمر وراحة البال ولمن يسمعنا
التميمي14
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf

e50cf47fcef928f.png

bda93c3f0fcd6d3.gif


وعليكم السلام اخي سامر

الوم نفسي كيف مضى على الموضوع عدة ايام دون ان الحظه !!!!
العتب على الشوف
هديه رائعه وثريه وهي هديه ايضا للجميع
الله يطول باعمارنا واعماركم اخي سامر وعمر كل من شاهد وعلق على الموضوع

موضوع ثروه موضوع مرجع
لا ابالغ في ذلك والله ولا ازيد في الاطراء بسبب مكانة كاتبه وهو اخي سامر الرائع انما الحق يقال ومن الانصاف تثبيت الموضوع لبعض الوقت

بسبب انشغالي الان لي عوده لقراءته في وقت لاحق فموضوع كهذا لا يمر عليه مرور الكرام
وللعلم انا والله اول المستفيدين من هذا الموضوع

فشكر الله سعيك اخي سامر وبيض الله وجهك
 
توقيع : التميمي14
الله يجزيك الف خير اخي سامر

هكذا العميد عندما يبدع

بصراحة الاداة رائعة وسهلة وبسيطة جدا #ليس كما قار اخوناDzZyzo(؛ تحتاج منك فقط ان تقرأ شرح العميد

بصراحة انا كنت اعمل على موضوع بسيط لكيفية فك التشفيرات بالشكل الصحيح

ولم اجد اداة مراقبة عمليات تناسب المبتدئين فاستسلمت ولم اكمله


لكنك أخي قد اعطيتني الحل وبإذن الله سأضيف شرحك الى الموضوع

لكن الاكثر من هذا انك اعطيتني الدافع لكي اكمل مابدأته

جزاك الله خيرا ايه العميد

كنت أرجو من الادارة تثبيت الموضوع لفترة كما قال اخونا التميمي لكن في النهاية الامر عائدة للأدارة حسب ما يرونه

ود♥
 
توقيع : MagicianMiDo32
توقيع : samerira
توقيع : samerira
ما اروعك اخي سامر
بارك الله فيك
جزيل الشكر
ذكرتني بمطلع اغنية نبيل شعيل
ما اروعك اعجب واغرب من الخيال
وقلبي ينبأني ان المغني لا يعجبك
 
توقيع : samerira
و عليكم السلام و رحمة الله و بركاته ....
ألف شكر لك أخ سمير على هذا الطرح و الشرح المتميز ......
وعليكم السلام ورحمة الله وبركاته
هل تعلم اخي ان كنت لا تعلم ان لكم مكانة خاصة بيننا
تم تحرير الرابط لانه مخالف

مع الشكر والتقدير
 
التعديل الأخير بواسطة المشرف:
توقيع : samerira
اداة روعة فعلا و بتجريب شخصي تحتاج منك شوية وعى امنى لاستعمالها
ربي يعطيك دوام العافية اخى سامر . ...ام سمير :LOL:
انى تشاء أسامر ام سمير فانا في كلا الحالين اخوك
ربما تحتاج الاحاطة بالاداة المقدمة الى وعي سياسي ومباركة الجامعة العربية
تم تحرير الرابط لانه مخالف

امزح معكم مع الشكر والتقدير اخي الكريم
 
التعديل الأخير بواسطة المشرف:
توقيع : samerira
جزاك الله كل خير
مواضيعك ونقاشاتك تتركني اركز لاخر حرف:bookworm:
وكلك فوائد
مشكور اخي
اللهم يفتح عليك اخي الغالي
وكلك ذوق
عبارة اركز في القراءة
ذكرتني بايام الدراسة كنت ومازلت الى الآن اذا ما أرقت وما بي من سقم
بمجرد افتح اي كتاب يحاصرني النوم
مع الشكر والتقدير
 
التعديل الأخير:
توقيع : samerira
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى