samerira
زيزوومي ماسى
سلسلة مستشار الكمبيوتر PC Advisor series
المقدمـــــــــــــــــــــــــة
لغرض التأكد من سلامة الجهاز من الاصابة تتوافر طرائق عدة وخدمات موثوق بها تتحقق من انشطة العمليات من وصول الى النظام او الشبكة وتحدد ما اذا كانت آمنة ام غير معروفة ام خطرة وتتيح للمستخدم فرصة البحث والكشف ومن ثم الحذف بطريقة آمنة اذ ان بعض الاصابات تصل الى مناطق حرجة من النظام يصعب اكتشافها منه فضلا عن تفادي حذف ملفات عن طريق الخطأ يجرى الاستعانة بأدوات مختصة تميز وتراقب ويمكن بواسطتها ايقاف اي عمليات خطرة قد تجري في نظام العمل او قد تسيطر عملية خبيثة على تطبيق آخر مثل تشغيل احدى خدمات ويندوز اذ يقوم السيرفر بحقن كود داخل عملية معروفة وعند تشغيل تلك العملية فإنها تستدعي السيرفر للعمل والغرض منها خداع المستخدم ومعظم الاحيان يتم حقن عملية مضيف عام خدمات ويندوز Svchost.exe او عملية iexplorer.exe إذ غالبا ما يتم الحقن في المتصفحات
في ضوء ما تقدم تبدو الحاجة الماسة الى توافر مجموعة ادوات حاكمة توفر خطوط داعمة للتحقق من سلامة الجهاز وهو ما احاول تسليط الضوء في مستشار الكمبيوتر في العناية بتقديم اداوات ادارة مهام متقدمة بشكل سلسلة تضم اجزاء متعاقبة
ان ادارة المهام Task Management المدمجة في نظام العمل ويندوز اصبحت افضل في ويندوز 8 لكنها لا تزال لا توفر الكثير من المعلومات عن العمليات الجارية
بينما تتيح ادوات اخرى ومعظمها محمولة مزيد من التفاصيل حول العمليات وتتحقق منها من خلال العديد من محركات برامج الحماية عبر الانترنت
ويعزى اهمية هذه الادوات بسبب توافر نوعية من البرمجيات الخبيثة لا تشعر حتى بوجودها ولا تسبب باي مشاكل مادية او فيزيائية للنظام ويبدو انواع
منها من يعمل بنمط المستخدم User Mode جينئذ الملف الضار لا يملك صلاحيات لتنفيذ العديد من الاوامر مثل الامر cli والامر hlt
كما لا يملك حق الوصول الى اي عنوان في الذاكرة وغالبا تكون بصورة ملفات تنفيذية وربما درايفر او تبدو كإحدى ملفات الربط الديناميكي
لكن هذه الاصابات يمكن تحييدها وعزلها بصورة يدوية او من خلال برامج الحماية
بينما تتوافر انواع تعمل بنمط النواة فالملف يعمل في الحلقة صفر ولديه الصلاحيات الكاملة على النظام بالوصول الى اي عنوان في الذاكرة وصلاحيات الوصول الى جدول الواصفات الذي يستخدمه المعالج لعنونة الذاكرة وتنفيذ اي تعليمية حتى لو تسببت في ايقاف النظام عن العمل المسؤولية تقع على نظام العمل لذلك غالبا البرامج التي تعمل في الحلقة صفر هي البرامج التي تتبع لنظام التشغيل وغالبا ما تكون الملفات الخبيثة التي يمكنها العمل في النمط المحمي تدعى Batch file اذ يمكنها من تنفيذ أمر أو مجموعة أوامر من دوس على دفعات يتم تخزينها مسبقا في ملف دفعي batch file التي تحمل امتدادات متعددة مثل BAT أو CMD وهي تضم اوامر تدمير ويتم دمجها مع برامج التثبيت من دون علم المستخدم كما في الديدان التي تنتشر في الشبكات الملغومة
كما في حالة تحقق المستخدم من وجود آثار وقيود التي تتركها البرمجيات الخبيثة او اي تغييرات تلقائية غير مرغوب بها لمكونات ويندوز الحرجة من تعديل او كتابة او حذف مثلا لمفاتيح او قيم الرجيستري او التحقق من جذور خفية مصابة rootkits وسواها من الملفات المخفية ينصح بالاستعانة بأداة ادارة المهام
الجـــــــــــــــزء الاول
اداة ادارة مهام متقدمة لمراقبة النظام
للكشف عن العمليات النشطة غير الموثوقة أو الخبيثة
CrowdInspect
Host-Based Process Inspection
تفتيش عن العملية استنادا الى المضيف
Scans Active Programs for Malware
الكشف عن العمليات النشطة للبرمجيات الخبيثة
هي اداة سحابية مجانية لانظمة مايكروسوفت ويندوز تهدف الى تحليل العمليات قيد التشغيل حاليا والتحقق من ردود الفعل الايجابية والسلبية من المختبرات البحثية
مع امكانية وصف عمليات تبادل البيانات التي تجري عبر بروتوكلي TCP/UDPمع العديد من الخدمات عبر الانترنت
وتساعد الاداة الى تنبيه المستخدم الى وجود البرمجيات الضارة المحتملة التي تتواصل عبر الشبكة ربما تكون موجودة فعلا على جهاز الكمبيوتر
فهي وسيلة تفتيش عامة تستعين بمصادر متعددة من المعلومات
وباستخدام مؤشرات اللون الرمادي والاخضر والاصفر والاحمر البسيطة تظهر الاداة سمعتها وبالتالي احتمالية اصابة العملية قيد التشغيل وهل هي آمنة ام لا
فانها تفحص العمليات بواسطة خدمة فايروس توتال وشبكة الثقة Web of Trust وقاعدة بيانات التجزئة بواسطة فريق Cymru
ايضا توفر معلومات حول كيفية اتصال العمليات بالأنترنت مثل عناوين IP المحلية والبعيدة والمنافذ
كما توفر قائمة زر الماوس الأيمن خيارات إضافية تتيح للمستخدم مراجعة تفاصيل التحليل وقتل عملية أو إنهاء الاتصال
يعتمد في الفحص على أهم المواقع العالمية
Multiple antivirus engine analysis results queried by SHA256 file hash
VirusTotal
Application malware hash registry provided by
MHR- Malware Hash Project
Domain name reputation service provided by
WOT -Web of Trust
الموقع الرسمي
صفحة تحميل اداة الفحص الجمعي
CrowdInspect
الاداة تكون بملف مضغوط وبحجم 240 كب
وعند فك الضغط يبدو لكم رمز الاداة
التفاصيل
حول الاداة
خصصت الاداة المحمولة للتحقق من العمليات النشطة التي تجري على مستوى المعالج
ويمكن من خلال الاداة ومن دون المخاطرة قتل العملية الخبيثة Kill Process
الموافقة على الشروط
بعد الموافقة على الشروط تفتح الاداة مباشرة من دون الحاجة الى تثبيتها
ويطالبك جدار الحماية مرتين متعاقبتين بالسماح للأداة بالاتصال بالشبكة
ويلاحظ عنوان الاتصال البعيد مع نوع البروتوكول ورقم المنفذ المستخدمين
ويلاحظ العمليات النشطة في الحاسوب
بصورة عامة التي تبدو باللون الاخضر يشير الى انها نظيفة اما التي باللون الاحمر هي حتما عملية ضارة
وقبل ان تبادر الى قتل العملية Kill Process ذات الترميز الاحمر يتم التحقق من مصدرها وتتبع مسارها Full Patch
ومن ثم من المستحسن اجراء فحص شامل للحاسوب حتى يتم التأكد منها
وعند تمرير الماوس على اي عملية يتم عرض نافذة حوارية تعرض للمستخدم تقارير العملية من مواقع الفحص الثلاثة
خيار عرض المسار الكامل للعملية المحددة
تاريخ العملية المباشر
او الذهاب الى شريط ادوات البرنامج والضغط على خدمة فايروس توتال بعد تحديد العملية
ومن ثم يبدو نافذة التقرير في واجهة مستقلة تضم اسم العملية ورقم حساب تجزئة الملف الهاش واسم مكافح الفيروس ونوع الكشف اما سليم او مصاب
ومن ثم نسخة مكافح الفيروس وتاريخ تحميل العملية في المخبر ومن ثم نتيجة التحليل
الموجـــــــــــــــــــــز
CrowdInspect
أداة سحابية محمولة تستخدم مصادر معلومات متعددة للكشف عن العمليات النشطة غير موثوق بها أو الخبيثة
من المعلومات المهمة اسم العملية وقت الرصد مسار الملف الاتصال بالشبكة
بالإضافة إلى اسم العملية - رمز تعريف العملية process ID number - رقم المنفذ وعنوان IP المحلي - ورقم المنفذ وعنوان IP البعيد - اسم DNS
تستوعب الاداة كل من عناوين IPv4 و IPv6
نوافذ الوضع الحقيقي
live status windows
Inject
الكشف عن حقن التعليمات البرمجية باستخدام التعليمات البرمجية الموثوقة
فالعديد من البرامج الضارة تحقيق جزء من الهدف منها بالفعل عن طريق تشغيل التطبيقات بواسطة التلاعب واقحام نفسها في تلك العمليات
منتجات الحماية من الفيروسات العادية التي تعمل فقط على بالكشف على محتويات الملف المادية الفعلية لا تحدد هذا السلوك بينما تتميز الاداة بالكشف التجريبي لمثل هذا السلوك ويمكن رؤية نتائج هذا الاختبار على كل عملية في عمود Inject
Thread Injection Detection
Thread = امكانية إحتواء كل ملف على مسارين للتنفيذ بدلا من واحد وربما قد تحتوي على اربعة مسارات
Detection of code injection using custom proprietary code
الكشف عن حقن كود باستخدام كود ينفذ على حسب طلب مالك الملف اي كود مدار من صانع الملف
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا توجد أية عملية وليست قادرة على الاختبار
رمز بلون رمادي ??
لم تسمح لنا العملية باختبار حقن الكود
رمز بلون اخضر OK
العملية لم أي دليل على حقن الموضوع
رمز بلون احمر !!
ويبدو ان المدخل يشير الى وجود حقن في العملية وهو امر سيء ولا شيء في العادة تصادفه مع ملاحظة على من انه قد يكون هناك بعض الفئات من البرمجيات المتخصصة التي تحمل هذا السلوك لذلك ينبغي زيادة التحقق من عملية/التطبيق
مصادر المعلومات
اولا
VT = VirusTotal
وهو عمود الاداة الاساسية وهي ملخص نتائج الاستعلام من خدمة فايروس توتال عن الملف في السؤال عن هاش محتويات الملف SHA256 hash
اذ يستخدم فايروس توتال محركات حماية متعددة للتحليل والاستعلام من قاعدة البيانات الخاصة بها لمعرفة ما اذا كان ملف التجزئة الهاش في قاعدة البيانات وكيف تصنفه محركات الحماية
و مبين في "VT" عمود الأداة الأساسية هي ملخص نتائج الاستعلام عن فايروس توتال الخدمة ضد الملف في السؤال (الواقع SHA256 تجزئة محتويات الملف). فايروس توتال يستخدم محركات الحماية من الفيروسات متعددة لتحليل المقدمة ملفات ونحن استعلام قاعدة البيانات الخاصة به لمعرفة ما إذا كان ملف التجزئة في قاعدة البيانات و إذا فكيف محركات الحماية من الفيروسات تصنيف ذلك وتكون القيم كالتالي
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لا يتوفر أي اتصال بقاعدة بيانات فايروس أو العملية ليست مقترنة بملف
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات فايروس توتال والأرجح جيدة
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة فايروس توتال
يعرف الملف إلى قاعدة بيانات فايروس توتال فاذا كانت النتيجة 0% يعني انتفاء وجود مكافح فيروسات ذكر مسألة مع العملية (جيد جداً) اما 100% فيعني كل منتجي برامج مكافحة الفيروسات أفادت بوجود اشكالية في العملية (سيئة جداً)
يمكن عرض تفاصيل اكثر اتساع للادخال المحدد في القائمة بالنقر فوق شريط ادوات نتائج AV او اختيار عرض نتائج اختبار برامج الحماية AV من القائمة المنسدلة عند النقر بالزر الايمن للعنصر المحدد
ثانيا
MHR = Malware Hash Repository
مخزن البرامج الضارة المعروفة والاستعلام بواسطة حساب التجزئة الهاش MD5 file hash
حساب تجزئة MD5 (دالة هاش 5 التشفيرية)
يبدو في عمود MHR، محافظة فريق Cymru على مستودع للبرمجيات الخبيثة المعروفة التي يمكن الاستعلام عنها اعتمادا على تجزئة MD5 لمحتويات الملف
Team Cymru SHA1/MD5 MHR Lookup v1.0
في هذه الحالة ببساطة الجواب عن السؤال بـ نعم / لا وبالتالي فإن النتائج يمكن أن تكون أحدى الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
لم تتلق أي رد من خدمات الفريق أو ان العملية لا ترتبط مع ملف
رمز بلون رمادي ??
إدخال غير موجود في قاعدة بيانات MHR هذا فهو على الارجح جيدة على الرغم من عدم وجود استجابة إيجابية لا يعني بالضرورة ان العملية ليست من البرمجيات الخبيثة
رمز بلون احمر!!
ادخال موجود في قاعدة بيانات MHR العملية معروفة من البرامج الضارة وهو أمر سيء
ثالثا
Web of Trust
كما يبدو في عمود WOT من الأداة هو ملخص النتائج الأساسية للاستعلام من خدمة شبكة الثقة بناء على اسم النطاق المرتبط بعنوان اتصال IP البعيد
القيمة هنا يمكن أن يكون أحد الخيارات التالية
رمز بلون رمادي --
لا ينطبق / غير متوفرة
ولم يتحقق أي اتصال الى قاعدة بيانات WOT أو ليس لديه عنوان IP بعيد الإدخال او ان اسم الدومين المرتبط به غير صالح للاستخدام
رمز بلون رمادي ??
الإدخال غير موجود في قاعدة بيانات WOT
0% ... 100% (o Green ... o Red icons)
تعريف الملف الى قاعدة WOT
يعرف الملف إلى قاعدة بيانات WOT فاذا كانت النتيجة 0% يعني ان الجميع الذين قد صنفوا في هذا المجال يعتقد أنها غير جديرة بالثقة ما يفيد بوجود اشكالية في العملية (سيئة جداً) اما 100% فيعني أن الجميع الذين قد صنفوا في هذا المجال يعتقدون أن جيد السمعة ويمكن الوثوق بها
يتم تشغيل الاداة بوضع المدير Administrator
ينظر الصورة في أدناه مما يوضح كيف يتم استخدام الأداة مع ميزات عديدة
بكل اختصار انتهى المشوار
عملت على انتقاء اداة محمولة وبسيطة جدا في عملها
وعلى وفق اعتبارات الاختبارات الجارية للبرمجيات والروابط الضارة في منتدى الاختبارات تعد هامة بل ربما اساسية
كما تعد نافعة بوصفها خط ثاني بجوار مكافح الفيروسات أسواء للمستخدمين العاديين ام للخبراء
ثق بمكافح الفيروسات الرئيسي لكن تحقق من رأي ثاني
وسعيت على تقديم الموضوع بوصفه هدية لصاحبي الاخ الغالي محمد التميمي
راجيا لاخي محمد طول العمر وراحة البال ولمن يسمعنا
اللهم آميـــــــــــــــــــــــــــــــــــــــــــن
التميمي14
اشرقت بكم الشمس وما غربت
مع جزيل الشكر ووافر التقدير
تحميل الموضوع بصيغة ملف pdf
التعديل الأخير بواسطة المشرف: