الكشف عن العمليات النشطة للبرمجيات الخبيثة مع CrowdInspect

  • بادئ الموضوع بادئ الموضوع samerira
  • تاريخ البدء تاريخ البدء

المواضيع الجديدة اﻻعضاء اﻻكثر مشاركة اﻻعضاء الجدد اﻻحصائيات العامة للمنتدى

    • الموضوع
      المنتدى
      المشاركات
      مشاهدة
      التاريخ
      بواسطة
  • جار التحميل...
  • جار التحميل...
  • إحصائيات المنتدى

    المواضيع
    400,126
    المشاركات
    4,837,836
    الأعضاء
    236,981
    آخر عضو مسجل
    Simsim2025

samerira

زيزوومي ماسى
إنضم
Mar 4, 2011
المشاركات
1,134
مستوى التفاعل
5,056
النقاط
1,095
الإقامة
Sun Den
QdIFApr.gif


064c21f511e7314.png


سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع

منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام

7ffedb29c926f18.gif

الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة
e67093f2ea7ed69.jpg

CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف

Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات

وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ
7ee05d579ef3fbe.png

كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال
33fdd7c399f6346.png

يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust

6c1323aaed4df07.png

الموقع الرسمي

c3fc47bbc11a379.png

صفحة تحميل اداة الفحص الجمعي
2eee50cbd47ebb6.gif

CrowdInspect

51322539aa9d8b5.png

الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة
44b8bf806e87a3c.png

التفاصيل
ed7dcdc91d5c77d.png

حول الاداة
eeebfbd2f70d8a5.png

خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process
9d0da2597415ba5.png

الموافقة على الشروط
b25341082129536.png

بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين
6d02cc5bdc8f365.png

776a971609f106c.png

ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها
ad9eeefbea634ca.png

وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة
90eb9f9c70f4ce2.png

bf571b6d5f6c8af.png

25565c6a06fd82f.png

خيار عرض المسار الكامل للعملية المحددة
ce0a6ae79af72e6.png

تاريخ العملية المباشر
0bab3a526422b82.png
ولعرض تقرير خدمة فايروس توتال عن العملية يتبع احدى الطريقتين اما كليك يمين على العملية المختارة ومن ثم في نهاية القائمة المنبثقة اختيار عرض التقرير
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية
a01faf2ffebfdff.png

ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل
f179af26f11eb71.png

b50d648b385dfba.png

الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6

8b87a5ae373c4a5.png

نوافذ الوضع الحقيقي
live status windows

c294469c9c91b9c.png

bcf54a3666f41dc.png

Inject

الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود
Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف

رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق
8e3e3e2cd8553e9.png

مصادر المعلومات
اولا

VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد
8e3e3e2cd8553e9.png

ثانيا
MHR = Malware Hash Repository

مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء
8e3e3e2cd8553e9.png

ثالثا
Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها
00c218c531e215c.png

يتم تشغيل الاداة بوضع المدير Administrator
8abf26b777077c7.png

ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة
695e2758a9c5a6c.png

بكل اختصار انتهى المشوار
1ba0c99008140c4.gif

عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني
c80568a4f423401.gif

وسعيت على تقديم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي
راجيا لاخي محمد طول العمر وراحة البال ولمن يسمعنا
اللهم آميـــــــــــــــــــــــــــــــــــــــــــن
التميمي14
اشرقت بكم الشمس وما غربت
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf

e50cf47fcef928f.png

bda93c3f0fcd6d3.gif
 
التعديل الأخير بواسطة المشرف:
توقيع : samerira
جزيت خيرا استاذنا
مبدع طرح وشرح واخلاق عاليه ياعراب
موضوع رااائع لاارى فرق بينها وبين اداة مراقبة العمليات اقولك سر انا نسيت اسم الاداه :banghead::banghead::banghead::banghead::banghead:
 
جزيت خيرا استاذنا
مبدع طرح وشرح واخلاق عاليه ياعراب
موضوع رااائع لاارى فرق بينها وبين اداة مراقبة العمليات اقولك سر انا نسيت اسم الاداه :banghead::banghead::banghead::banghead::banghead:
وعليكم السلام ورحمة الله وبركاته
ليـتـــك تـحلو والحـيــاة مـريــــرة وليـتــك تــرضـى والأنـام غـضـاب
وليـت الذي بـيـني وبـينـك عـامـــر وبـيـني وبـيـن العــالميــن خــراب
انت نسيت اسم الاداة فقط هذا امر حسن اما انا قليل من السهو على قليل من الارق على قليل من القلق قليل من كل شيء
كمحادثة جرت بين الرشيد وطبيب كان قد حضر للنظر في مرض اقعد ام الرشيد فبعد أن جرى معاينتها بعد طول انتظار وترقب سأله الرشيد متلهفا وهما في خلوة فقال اخبرني ماذا الم بها أو أقعدها فأجاب الطبيب بل ابشر خيرا فصحتها جيدة وهي لا تشكو شيئا ولا يعدو قليل من الحمى وقليل من البرد وقليل من المرارة وقليل فقاطعه الرشيد فقال ويحك أصبح القليل كثير
وانا كما يبدو لكم كمن نسي من هو
وتعد الاداة ادارة مهام متقدمة لمراقبة النظام وتقدم للمستخدم زبدة تحليل رائعة عن العمليات والاتصالات النشطة كمن يرى الشمس رائعة النهار
كما اتممت منذ امد مقالات محكمة عن الاختراق من اوله الى آخره مقيدا اياها بالأدوات بعد التحقق والتجربة
b0d511f0fec034c.png

وحتى تكتمل السلسلة يحتاج في الادنى ادراج مواضيع عدة وهي تقتضي فقط الى وقت لغرض اعدادها وتقديمها بصورة تليق بكم
شكرا اخي احمد على المرور الطيب
 
التعديل الأخير:
توقيع : samerira
نثبت تواجد الاول لانى متاكد ان الموضوع جميل ومميز لان كاتبه مميز . سلمت اناملك
 
توقيع : وليد الجمل
ينقل لقسم الفحص حيث يثبت لأهميته
 
توقيع : MagicianMiDo32
عودة
أعلى