• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

الكشف عن العمليات النشطة للبرمجيات الخبيثة مع CrowdInspect

الحالة
مغلق و غير مفتوح للمزيد من الردود.

samerira

زيزوومي ماسى
إنضم
4 مارس 2011
المشاركات
1,134
مستوى التفاعل
5,056
النقاط
1,095
الإقامة
Sun Den
غير متصل
QdIFApr.gif


064c21f511e7314.png


سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع

منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام

7ffedb29c926f18.gif

الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة
e67093f2ea7ed69.jpg

CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف

Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات

وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ
7ee05d579ef3fbe.png

كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال
33fdd7c399f6346.png

يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust

6c1323aaed4df07.png

الموقع الرسمي

c3fc47bbc11a379.png

صفحة تحميل اداة الفحص الجمعي
2eee50cbd47ebb6.gif

CrowdInspect

51322539aa9d8b5.png

الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة
44b8bf806e87a3c.png

التفاصيل
ed7dcdc91d5c77d.png

حول الاداة
eeebfbd2f70d8a5.png

خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process
9d0da2597415ba5.png

الموافقة على الشروط
b25341082129536.png

بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين
6d02cc5bdc8f365.png

776a971609f106c.png

ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها
ad9eeefbea634ca.png

وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة
90eb9f9c70f4ce2.png

bf571b6d5f6c8af.png

25565c6a06fd82f.png

خيار عرض المسار الكامل للعملية المحددة
ce0a6ae79af72e6.png

تاريخ العملية المباشر
0bab3a526422b82.png
ولعرض تقرير خدمة فايروس توتال عن العملية يتبع احدى الطريقتين اما كليك يمين على العملية المختارة ومن ثم في نهاية القائمة المنبثقة اختيار عرض التقرير
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية
a01faf2ffebfdff.png

ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل
f179af26f11eb71.png

b50d648b385dfba.png

الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6

8b87a5ae373c4a5.png

نوافذ الوضع الحقيقي
live status windows

c294469c9c91b9c.png

bcf54a3666f41dc.png

Inject

الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود
Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف

رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق
8e3e3e2cd8553e9.png

مصادر المعلومات
اولا

VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد
8e3e3e2cd8553e9.png

ثانيا
MHR = Malware Hash Repository

مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء
8e3e3e2cd8553e9.png

ثالثا
Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها
00c218c531e215c.png

يتم تشغيل الاداة بوضع المدير Administrator
8abf26b777077c7.png

ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة
695e2758a9c5a6c.png

بكل اختصار انتهى المشوار
1ba0c99008140c4.gif

عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني
c80568a4f423401.gif

وسعيت على تقديم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي
راجيا لاخي محمد طول العمر وراحة البال ولمن يسمعنا
اللهم آميـــــــــــــــــــــــــــــــــــــــــــن
التميمي14
اشرقت بكم الشمس وما غربت
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf

e50cf47fcef928f.png

bda93c3f0fcd6d3.gif
 

التعديل الأخير بواسطة المشرف:
توقيع : samerira
وعليكم السلام ورحمة الله وبركاته
بارك الله فيك اخي ابو رضوى
جزاك الله احسن الجزاء
واسال الله ان يجيب دعاءك
ويعطيك ما ترجو
ويقدر لك الخير
وييسر لك امرك

جزانا وأياك أخى الحبيب

اللهم أمين
 

توقيع : محمد دسوقى1980
تم إزالة التثبيت عن الموضوع نظراً لإنتهاء المدة المخددة
بإنتظار قادم أعمالك اخى الحبيب سامر
بارك الله فيك
 
توقيع : White Man
بارك الله فيك وفى والديك وجزاكم الله خيرا
نورتنا الله ينور عليك اخى
منورة باسمك اخي الكريم
تم إزالة التثبيت عن الموضوع نظراً لإنتهاء المدة المخددة
بإنتظار قادم أعمالك اخى الحبيب سامر
بارك الله فيك
بارك الله فيك واحسن اليك
ربما سوف اشرح انظمة منع اختراق الاجهزة الهيبس بشكل مسهب
او ربما ساعمد الى شرح آلية عمل محرك برنامج الحماية
حقيقة انا متردد بين الامرين
ساعدها محطة استراحة حتى اعكف على شرح الجزء الثاني من السلسلة
بارك الله فيك
فعلا اداة رائعة جدا

تحياتى​
وفقك الله لما يحبه ويرضاه
uKJGpne.gif

مشكور الغالي
5FzFebi.gif
شكرا جزيلا اختي الكريمة على كلامك العذب
جزاك الله الفردوس الاعلى
 
توقيع : samerira
الموضوع شيق ... والمعلومات ثرية
والأداة قوية
والشرح ما أروعه
جزاكم الله خيراً أخي الحبيب
نفع الله بكم وأثابكم
وننتظر بقية السلسلة المتعاقبة
أعانكم الله على إتمامها​
 
قمه الروعه .. جزاك الله كل خير
 
توقيع : Mohamedkhaled
احسنت وبارك الله فيك
انت مبدع(y) اخوي واصل ابداعك
الله يوفقك
 
توقيع : علي الصلهبي
شكرا على الموضوع المتميز
 
اداه ممتازة وشرح مميز بارك الله فيك
 
توقيع : prooonet
الموضوع شيق ... والمعلومات ثرية
والأداة قوية
والشرح ما أروعه
جزاكم الله خيراً أخي الحبيب
نفع الله بكم وأثابكم
وننتظر بقية السلسلة المتعاقبة
أعانكم الله على إتمامها​

بارك الله فيييييييييييييييييييييييييييييييييييييييييييييييييك

قمه الروعه .. جزاك الله كل خير

احسنت وبارك الله فيك
انت مبدع(y) اخوي واصل ابداعك
الله يوفقك

أداة رائعه
جزاك الله خيرا

شكرا على الموضوع المتميز


موضوع طويل،ولي عودة إن شاء الله ،لكن واضح انه موضوع متعوب علية سلمت أناملك ،وجزاك الله خيرا الجزاء ...

اداه ممتازة وشرح مميز بارك الله فيك
السلام عليكم ورحمة الله وبركاته
اشكركم شكرا جزيلا اخوتي
على الرغم من ان مشاركتي متواضعة
بالمقارنة مع الكثير من المبدعين في هذا المنتدى المبارك
ارجو لكم ولجميع اخوتي اعضاء زيزووم دوام التوفيق
اكرر شكري الجزيل لكل من رد بثناء وكلمة طيبة
ولكل اعضاء هذا المنتدى المتميز عن غيره من المنتديات في نواحي عدة
فكلي اعتزاز بكم اخوتي الاعزاء وجزيتم خيرا
وبارك اللهم فيكم
اخوكم ســـــــــــــــــــامر
 
توقيع : samerira
بارك الله فيك
 
توقيع : ahmed@salah
توقيع : samerira
بارك الله فيك واحسن اليك
ربما سوف اشرح انظمة منع اختراق الاجهزة الهيبس بشكل مسهب
او ربما ساعمد الى شرح آلية عمل محرك برنامج الحماية
حقيقة انا متردد بين الامرين
ساعدها محطة استراحة حتى اعكف على شرح الجزء الثاني من السلسلة
انا علي يقين ان ما طرحته من ابداع في هذا الموضوع ما هو الا غيض من فيض

فلا تحرمنا من مواضيعك ومشاركاتك القيمه للغايه

مع كل الود والتقدير لشخصكم المميز

استاذي سامر
 
انا علي يقين ان ما طرحته من ابداع في هذا الموضوع ما هو الا غيض من فيض
فلا تحرمنا من مواضيعك ومشاركاتك القيمه للغايه
مع كل الود والتقدير لشخصكم المميز
استاذي سامر
ممنون لك دكتور فتحي على حسن الظن
وانا اصف حضوركم وانجازاتكم في زيزووم بماء البحر في حالة المد هنا
فان ما نراه من ماء قياسا مع ماء البحر الكلي ما هو الا قليلا جدا
وأشابهكم بمكتبة شاملة ضمت ابواب وفصول وجوامع العلم والادب الجم وجمال الخلق وجميع سجاياك تستحق عنها المدح
وقد اصبحت احدى العلامات الفارقة ليس في المنتدى وحسب بل تربعت في قلوبنا في البطين الايمن اخا وصاحبا ومعلما
نطرب لسماع كلامك ونفرح بوجود ردودك في المواضيع ودائما ارغب ان اقول لك كم انت متميز لأنك فعلا متميز
مع الشكر والتقدير
 
التعديل الأخير:
توقيع : samerira
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى