• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تحليل الملف المشبوه بنفسك أو بمساعدة خبراء قسم الفحص

الحالة
مغلق و غير مفتوح للمزيد من الردود.

MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم
طاقم الإدارة
طـــاقم الإدارة
★ نجم المنتدى ★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
29 أبريل 2012
المشاركات
9,216
مستوى التفاعل
27,075
النقاط
5,950
الإقامة
Egypt
الموقع الالكتروني
web.facebook.com
غير متصل

710444604.gif

706424058.png



السلام عليكم ورحمة الله وبركاته
أهلا وسهلا بكم أخوتي الكرام
أسأل الله أن يفتح عليكم ويزيدكم بسطة في العلم

ان شاء الله
سوف اقوم بشرح موقعين شهيرين لتحليل الملفات المشبوهة
بنفسك دون تشغيلها
فقط برفعها على الموقع
وهو سوف يتكفل بالباقي



706424058.png




الموقع الأول هو الشهير وعدو أطفال الهكرز الأاول



Virustotal.com

739899777.jpg


ميزة هذا الموقع هو انه يقوم فورا بأرسال اي ملفات ترفعها على الفحص له الى شركات الحماية
فحتى ان كان الملف مشفر عن الحمايات او به تخطيات
فما هي مسالة وقت حتى يتم ارساله الى شركة الحماية ويصبح مكشوف من كل الحمايات


وعلى فكرة ,ذلك الأمر يتم بسرعة جدا (تقريبا نصف الملغمين واطفال الهاكر اعتزلوا بسببه)
طبعا هذا لايعني انه invencible
هناك طرق كثيرة لخداعه
ولكنه تحتاج لشخص عقله غير محدود على التلغيم فالمنتديات وجلب الضحايا والتفاخر على الفيس بالدعس الانونيموس الهاكر
وهو اصلا البرنامج الي يستخدمه للتجسس نفسه ملغوم


عند الدخول للموقع تظهر لك هذة الصفحة البسيطة



upload_2018-11-23_20-9-54.png



ومن خلالها تقوم برفع الملف الذي تود فحصه
سوف اشرح عدة انواع من الملفات


1. الأندرويد
2. الويندوز
3.الراوبط الخبيثة


706424058.png


اولا الأندرويد


151208335.png


upload_2018-11-23_20-11-27.png



واضح من التسمية ان هذا الملف هو بايلود المتاسبلويت
لأختراق الاندرويد

والذي يعطي صلاحيات قصوى للهاكر للتحكم في جهازك

برامج اختراق الأندرويد المشهورة هي
الميتاسبلويت

السباي نوت spynote
و droid jack
تقريبا السباي نوت هو الأكثر استعمالا من قبل اطفال الهاكرز لسهولته
شيئ مهم علي قوله , هو ليس معنى ان واحد مكافح اعطى تسمية صريحة لملف
كـ
Bladabindi >njrat
Revetrat>revenge rat
spynote
metasploit
swrot>metasploit

وغيرها
هذا لايعني ان هذا الملف هو رات 100%

لكن في حالتنا هنا جميع برامج الحماية اتفقت على التسمية لذلك فهو رات
ما اقصده باختصار هو ان بعض برامج الحماية قد تعطي تسميات كاذبة (احيانا يقول على برنامج آلة حاسبة انه رانسوموير !!)

عن نفسي انا اثق جدا بتسمية مكافح النود
فهو يملك ادق محرك في الحمايات
مدعوما بتقنيات الذكاء الاصطناعي القوية
دائما أثق بتسمياته


يمكنك من هنا معرفة المزيد من التفاصيل عن الملف

upload_2018-11-23_20-15-10.png




upload_2018-11-23_20-16-25.png



upload_2018-11-23_20-17-48.png


upload_2018-11-23_20-19-41.png


مفتاح توقيع الملف هو عبارة عن شهادة , تربط كل برنامج بمطور خاص به
يعني , عندما اورد رفع ملف الى متجر جوجل , اقوم بدفع
50 دولار للشركة والحصول على مفتاح توقيع خاص بي
وبالتالي لايستطيع احد رفع ملف بأسمي
كما انه يحمي الملف من التعديلات
لان اي تعديل يتم على الملف يفسد التوقيع الرقمي له
لذلك يضطر كاسروا البرامج والهاكرز الى اعادة توقيع الملف بمفتاح خاص بهم هم
كثير من الحمايات الخاصة بألأندرويد تعتمد على مفتاح التوقيع لكشف الملفات الخبيثة ,
وهو امر خاطئ تماما
,, وذلك لأن تغيير هذا المفتاح سهل جدا

706424058.png


هنا اهم جزئية لدينا وهي الصلاحيات التي يطلبها الملف

upload_2018-11-23_20-22-42.png


كما ترى هذا الملف عبارة عن فيروس لأنه يطلب كم كبير من الصلاحيات التي لايحتاجها
يتميز الاندرويد عن الويندوز بأنه قبل تنصيب اي تطبيق يجب ان يقوم هذا التطبيق بطلب مجموعة من الصلاحيات permissions
مثلا صلاحيات الوصول للكاميرا ,, للهاتف,, سجل المكالمات ,, المايكروفون ...
من خلال هذة الصلاحيات يمكننا معرفة هل هذا الملف ملغوم ام لا


هذا يطلب قنبلة صلاحيات هذا ,, لذلك فهو ملغوم 100%

طبعا هناك شيئ يجب ان انبه عليه
بيس معنى ان التطبيق طلب صلاحية ما انه ملغوم
يعني مثلا تطبيق للتصوير طبيعي انه يطلب صلاحيات الوصول للكاميرا
تطبيق مشاركة صور مثلا
سيطلب صلاحيات وصول للكاميرا وللمساحة التخزينية وربما للـ contacts الخاصة f;


لكن لاتقلق , تقريبا جميع اطفال الهكرز يستخدمون ادوات غيرهم للدمج
وهي هي نفس الملفات ستجدها عندهم كلهم

وهذة هي الصلاحيات :

صلاحية الوصول الى الموقع:

Manifest.permission.ACCESS_COARSE_LOCATION,
Manifest.permission.ACCESS_FINE_LOCATION
,

::

الوصول الى حالة الهاتف (الشاشة مغلقة , الشاشة مفتوحة ..)

Manifest.permission.READ_PHONE_STATE,

::

صلاحية قراءة وارسال واستقبال رسائل الـ sms

Manifest.permission.SEND_SMS,
Manifest.permission.RECEIVE_SMS,
Manifest.permission.READ_SMS,


::

تسجيل الصوت
Manifest.permission.RECORD_AUDIO,

::

الأتصال بالأرقام
Manifest.permission.CALL_PHONE,

::

قراءة بتاريخ الاتصال
Manifest.permission.READ_CALL_LOG,

::


كتابة تاريخ الاتصال
Manifest.permission.WRITE_CALL_LOG,

::

قراءة الأشخاص الذين تتصل بهم (جهات الأتصال)
Manifest.permission.READ_CONTACTS,

::


اضافة جهات الأتصال
Manifest.permission.WRITE_CONTACTS

::

الوصول للكاميرا (التصوير)
Manifest.permission.CAMERA

::

الكتابة على الشريحة الخارجية
Manifest.permission.WRITE_EXTERNAL_STORAGE

::

صلاحية بدء التشغيل (اي تجعل التطبيق يعمل عند بدء تشغيل الهاتف )
Manifest.permission.RECEIVE_BOOT_COMPLETED

::

تغيير الخلفية
Manifest.permission.SET_WALLPAPER

::

wakelock
وهي جعل التطبيق يظل يعمل حتى وان تم اطفاء الشاشة (معظم التطبيقات تطلبها)

Manifest.permission.WAKE_LOCK,


معظم الملفات الملغومة ستجدها على هذا الشكل


706424058.png



والآن فحص الملفات التنفيذية


upload_2018-11-23_20-28-15.png


كما ترى
من التسمية
bladabindi
هو نجرات

مجددا اكرر , بعض الحمايات قد تعطي هذا الأسم لملفات نظيفة لاعلاقة لها بالنجرات من قريب ولا بعيد
ولك هنا لدينا اجماع على ان هذا الملف ملغوم


في جزئية الـ details تظهر معلومات بسيطة عن الملف (اسمه ,, نوعه ,, اللغة المستخدمة في صناعته )
وينبغي عليك الأنتظار لبعض الوقت حتى يتم تكوين التقرير الكامل

هنا ملف تم تكوين تقرير كامل له

upload_2018-11-23_20-40-10.png


هنا يتم عرض اجزاء الملف sections والمكتبات التي يستدعيها
مكتبة
mscoree.dll
تعني ان هذا الملف مبرمج بالدوت نت
الفايروس توتال كان يوفر خاصية تحليل سلوك الملفات ,

هنا يوضح الأتصالات التي يقوم بها الملف
upload_2018-11-23_21-33-34.png


وهنا الملفات الاخرى التي يقوم بكتابتها

upload_2018-11-23_21-40-10.png



ولكن تقريبا لم يعد يفعل ذلك في الآونة الاخيرة
ولكن لا مشكلة سوف نستعيض عنه بالموقع الثاني ان شاء الله

706424058.png



واخيرا فحص الروابط بالموقع

213854811.jpg



upload_2018-11-23_21-43-30.png


كما يقوم الفايروس توتال بتوفير خدمة معرفة نوع الموقع من خلال انظمة حماية الويب المختلفة

مثلا هذا موقع آخر لرفع الملفات
upload_2018-11-23_21-44-38.png




706424058.png


الموقع الثاني هو العملاق
hybrid-analysis.com

137238473.png



upload_2018-11-23_21-50-16.png


SNAGHTML67231e3.PNG

هنا يمكنك تحديد نوع الآلة الوهمية التي سيتم استخدامها في تحليل الملف
هنا سنختار ويندوز 7
64 بت
لأننا نفحص ملف
exe وغالبا نظام التشغيل لدينا سيكون 64 بت

upload_2018-11-23_22-17-51.png



يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه

اضغط
generate public report


ثم انتظر حتى يتم التحليل الديناميكي

upload_2018-11-23_22-31-41.png


الموقع كذلك يقوم برفع العينات على الفايروس توتال

سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله

غالبا يستغرق 5 دقائق فقط

هنا تم ارسال التقرير على الايميل الخاص بي

upload_2018-11-23_22-49-35.png


والآن نذهب للتقرير لنقوم بتحليله

upload_2018-11-23_22-52-46.png


هنا يعرض معلومات عامة عن الملف


upload_2018-11-23_22-53-5.png


الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة


upload_2018-11-23_22-54-23.png



هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)

upload_2018-11-23_22-57-36.png


يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )
upload_2018-11-23_22-58-57.png


upload_2018-11-23_22-59-44.png


يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف

upload_2018-11-23_23-1-4.png


يمكن ايضا فحص ملفات الأندرويد كذلك

upload_2018-11-23_23-16-12.png


upload_2018-11-24_0-22-34.png


upload_2018-11-24_0-23-6.png


يتبع​
 

التعديل الأخير:
توقيع : MagicianMiDo32

الجزء الثالث وهي أداة شهيرة لفحص ملفات الـ exe

وهي اداة

pestudio

upload_2018-11-28_23-23-17.png



لتحميلها من هنا
384425486.png


https://www.winitor.com/binaries.html


الأداة جد بسيطة

وهي محمولة كذلك

فقط قم بتشغيل الأداة , واسحب الملف الذي تريد فحصه واسقطه بداخلها

upload_2018-11-24_16-1-21.png



هنا فحص ملف سيرفر نجرات

upload_2018-11-24_16-15-3.png


في خانة
المحددات
indicators
يظهر ملخص عن الملف ,
وتظهر كذلك مدى خطورة هذة المحددات
فـ 1 بالأحمر يعني شديد الخطورة وهكذا

كما تقوم الأداة بالتحقق من تقرير الملف على الفايروس توتال

upload_2018-11-24_16-1-21.png


يمكنك فتح التقرير في المتصفح

upload_2018-11-24_16-15-3.png




في نافذة Strings
تعرض لك الأداة النصوص التي تم ايجادها في الملف

upload_2018-11-24_16-16-22.png




سوف أقوم الآن بفحص ملف آخر


upload_2018-11-24_16-18-11.png


الهاش لمن لايعرفه هو عبارة عن بصمة مميزة للملف
وتستخدم للتعرف على الملفات
حيث ان اي تغيير ولو بايت واحد في الملف ينتج عنه هاش جديد
وبالتالي فلكل ملف في الكون هاش مميز فريد خاص به هو فقط


upload_2018-11-24_16-28-46.png


تظهر لنا نافذة المحددات هذة الأمور :​

  1. الملف يحوي بداخله ملف آخر (نفهم من هنا ان الملف محمي من الهندسة العكسية packed)
  2. الملف مكشوف من كثير من الحمايات
  3. يوجد رابط في الملف
  4. الملف يستدعي الكثير من الدوال المشبوهة
تعالى الى نافذة الفايروس توتال

upload_2018-11-24_16-48-14.png


كما ترى , من تسمية النود
فهو لايعتبر انه هذا ملف خبيث او اي شيئ , بل ان الملف مشتبه به بسبب نوع الحماية الموجودة عليه
لأن كثير من الملفات الخبيثة تستخدم نفس الحماية لمنع الكسر
اذا كان الملف ملغم فعلا وعليه هذة الحماية أيضا فأنا واثق من ان النود سيكشف هذا كذلك

ولن تكون التسمية حينئذ Noobyprotect packed
يمكنك البحث عن التسمية في جوجل لمعرفة المزيد عن الملف

وهي من الخطوات الجيدة اثناء تحليلك للفيروسات

upload_2018-11-24_16-50-43.png


706424058.png


هنا نافذة المكتبات توضح المكتبات التي يستدعيها البرنامج مع وصف لكل منها

upload_2018-11-24_16-52-20.png


هنا بعض المكتبات الأكثر استعمالا من قبل الفيروسات مع وصف لكل منها

upload_2018-11-24_19-15-30.png


::

Kernel32.dll
واضح من اسمها انا تحتوي عل دوال المستوی الأدنی (الكرنل) وتساعد دوالها في الاتصال ب العتاد الصلب(الهارد وير) والذاكرة

::

Advapi32.dll
واضح من اسمها انها تضم دوال api التي تعطي صلاحيات كبيرة جدا كالاتصال بالريجستري والتحكم بالخدمات

::

User32.dll
وظيفتها التحكم بالواجهات في الويندوز اكسبلورير مثل عناوين النوافذ والازرار ... الخ
واستدعاؤها يتيح لك التحكم في عناوين النوافذ والتحكم في الفأرة او ايقافها والصغط علی الازرار

::

Gdi32.dll
وهي خاصة بالجرافيكس وشائع استدعاءها في الالعاب
وظيفتها التحكم المتقدم بالالوان والشاشة

::

Ntdll.dll
تحتوي علی دوال يمكنها تنفيذ امور ذات صلاحيات عالية ring0
ولا احد يستدعيها مباشرة
ولكن باستخدام دالة من advaip نستدعي kernel32 ومنها ntdll
::

Wsock32
Ws2_32

خاصة بالمستوی الادنی من الشبكة
تلك المسؤولة عن نقل البيانات
وفي حالة استدعائها فـ في الغالب الملف سوف يقوم بألأتصال بسيرفر على النت (قد يكون ملف تجسس)
اما
winint فهي تنتمي الی المستوی الاعلی ووظيفتها تهيئة الاتصالات والبروتوكولات
مثل HTTP FTP ....
وعادة تستدعی ال3 مكتبات معا

706424058.png


تعالى الي نافذة الدوال , وهنا كل التسلية



هنا يظهر دوال win api التي يستدعيها الملف

2018-11-28_20-27-39.png


كما ترى هنا هذا الملف يحتوي على عملية حقن

طيب ياعم الحج
هل كل الملفات التي تحتوي على هذة الدوال , اي دوال الحقن تعتبر خبيثة ,,
والله شوف انا سوف أقول لك شيئ
اذا كانت هذة الدوال خبيثة ولعينة ومصدر لك الشرور
لم تم اختراعها بالأساس
يعني الا تستطيع مايكروسوفت الغاءها (وخلاص)
طبعا لا لايمكن الغاءها
لأنها صنعت اصلا لتقوم بعمليات في غاية الأهمية
من ضمن هذة العمليات ماتقوم به الملفات الخبيثة
يعني هي سلاح ذو حدين
الملف الذي امامك غير ملغوم (ما رأيك !!!)
بل عليه حماية
مثل الغلاف هكذا
بداخلها بايتات الملف الاصلي المشفرة
وتقوم بحقنها في الذاكرة حتى تمنع قراءة السورس كود للملف الأصلي
طيب انا كفاحص ماذا يجب علي ان افعل
كيف افرق بين هذة الملفات

شوف

جرت العادة على اعتبارها ملفات ملغومة
ولو نظرت الى معدل كشوفات الفايروس توتال

upload_2018-11-28_20-52-3.png


ستجد ان معدل كشوفاته رهيب (50 مكافح )
والسبب هو اسدعاؤه لهذة الدوال
برغم انه يستخدمها لأغراض حميدة فقط
(طيب انت لم تجب على السؤآل يعم الحج , كيف اعرف ان الملف سليم حتى وان كان يستدعي هذة الدوال)

طبعا في هذة الحالة تحتاج الى تحليل الملف اما بتشغيله ومراقبه سلوكياته او باستخدام الهندسة العكسية
لكن اذا وجدت ملف يستدعي مثل هذة الدوال
ضعه في قسم الفحص واستدعني
@MagicianMiDo32

لمزيد من المعلومات عن دوال API
وعمليات الحقن وغيرها تابع هذه المقالات

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::
http://forum.zyzoom.net/threads/266486/#post-3689103
::
http://forum.zyzoom.net/threads/234171/

::

https://www.endgame.com/blog/techni...-technical-survey-common-and-trending-process
https://github.com/secrary/InjectProc
::

https://blog.malwarebytes.com/threat-analysis/2017/10/analyzing-malware-by-api-calls/

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::

طبعا هذة الدوال تظهر في حالة الملفات المبرمجة بالـ native اي تم عمل كومبايل لها الى لغة الآلة
مثل ملفات c++ ودلفي
اما السكربتات
مثل البايثون والاوتو ات اوالدوت نت
فلا تعتمد على هذة الأستدعاءآت

upload_2018-11-28_21-38-41.png


لمعرفة اللغة التي كتب بها الملف
وما إذا كان عليه حماية packer ام لا
فلايوجد من الاداة العملاقة
EXEinfoPE

فقط شد الملف وارميه عليها وسوف تقوم بتحديد اللغة التي كتب بها

upload_2018-11-28_21-40-18.png


لتحميلها من هنا
384425486.png

https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/ExEinfo-PE.shtml




تقريبا أغلب ملفات أطفال الهاكر تكون مكتوبه اما بالدوت نت او الأوتو ات

غالبا ملفات الدوت نت تكون محمية من الهندسة العكسية

ولكن الأداة تستطيع كشف هذة الحماية

وهذة قائمة بالحمايات المتوفرة لملفات الدوت نت
طبعا هناك حمايات اخرى ولكن هذة الاشهر

كود:
Agile.NET
Babel Obfuscator
ConfuserEx
Crypto Obfuscator
Disguiser.NET
Dotfuscator Community Edition
Dotfuscator Professional Edition
DotNet Patcher
Eazfuscator.NET
Eziriz .NET Reactor
ILProtector
.NETGuard
NetWinProtector (Protector)
Obfuscar
Salamander
SeeUnsharp .NET
Obfuscator
SharpObfuscator
Skater
Skater


رفعت لكم هذة المقالة من ويكيبيديا لأنها لم تعد موجودة
لكنها مفيدة

https://up.top4top.net/downloadf-1062ypclt1-rar.html


706424058.png



نأتي الآن الى نافذة strings

وفيها النصوص الموجودة في الملف

upload_2018-11-28_22-2-35.png


upload_2018-11-28_22-3-32.png



upload_2018-11-28_22-5-30.png




وأخيرا نقطة هامة جدا توضحها لك الأداة وهي التوقيع الرقمي للملف

اي ملف موقع رقميا فهو سليم بنسبة 98%

upload_2018-11-28_22-6-35.png



اما هنا

فهو موقع رقميا


upload_2018-11-28_22-11-9.png


لكن هناك ملفات تكون موقعة رقميا ولكن تم التلاعب بها
والاداة للأسف لاتكشف لك

ولكن اكتشاف ذلك اسهل من السهولة

كليك يمين على الملف
واختار properties

ثم

upload_2018-11-28_22-12-41.png


upload_2018-11-28_22-13-18.png


upload_2018-11-28_22-14-8.png



هكذا عرفنا ان هذا الملف معدل عليه وان توقيعه الرقمي معطوب

اما ملف كهذا


فهو سليم لأنه موقع قميا

upload_2018-11-28_22-15-53.png


706424058.png




هكذا اكون انتهيت من هذا الموضوع

ارجوا ان يكون الجميع قد استفاد منه

لاتنسوني بدعوة طيبة
حفظكم الله ورعاكم

والحمد لله رب العالمين

 
التعديل الأخير:
توقيع : MagicianMiDo32
ان شاء الله لو تيسر لي الوقت سوف يكون هنالك المزيد
وفقكم الله
 
توقيع : MagicianMiDo32
محجوز لأي اضافة
 
توقيع : MagicianMiDo32
جزاك الله خيرا
جعله الله فى ميزان حسناتك
 
توقيع : محمد دسوقى1980
جزاك الله كل الخير على مجهودك الاكثر من رائع
تقبل تحياتى
:rose::rose::rose:
 
توقيع : باسل القرشباسل القرش is verified member.
جزاك الله خيرا اخى ميدو

وسلمت يداك على المجهود المميز

( يثبت الموضوع لينال حقه من الاطلاع )
:rose:(y):rose:
 
توقيع : ABU_Somaia
جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم
وغفر الله لك ولأهل بيتك الكرام
وجعله الله في ميزان حسناتكم
ممكن يكون الموضوع في كتاب إلكتروني افضل​
 
توقيع : mrso_mrso
بارك الله فيك اخي الكريم
MagicianMiDo32
جزاك الله خيرا
 
توقيع : هاني علي محمد
الجزء الثالث وهي أداة شهيرة لفحص ملفات الـ exe

وهي اداة

pestudio

مشاهدة المرفق 178122


لتحميلها من هنا
384425486.png


https://www.winitor.com/binaries.html


الأداة جد بسيطة

وهي محمولة كذلك

فقط قم بتشغيل الأداة , واسحب الملف الذي تريد فحصه واسقطه بداخلها

مشاهدة المرفق 177682


هنا فحص ملف سيرفر نجرات

مشاهدة المرفق 177683

في خانة
المحددات
indicators
يظهر ملخص عن الملف ,
وتظهر كذلك مدى خطورة هذة المحددات
فـ 1 بالأحمر يعني شديد الخطورة وهكذا

كما تقوم الأداة بالتحقق من تقرير الملف على الفايروس توتال

مشاهدة المرفق 177682

يمكنك فتح التقرير في المتصفح

مشاهدة المرفق 177683



في نافذة Strings
تعرض لك الأداة النصوص التي تم ايجادها في الملف

مشاهدة المرفق 177684



سوف أقوم الآن بفحص ملف آخر


مشاهدة المرفق 177685

الهاش لمن لايعرفه هو عبارة عن بصمة مميزة للملف
وتستخدم للتعرف على الملفات
حيث ان اي تغيير ولو بايت واحد في الملف ينتج عنه هاش جديد
وبالتالي فلكل ملف في الكون هاش مميز فريد خاص به هو فقط


مشاهدة المرفق 177686

تظهر لنا نافذة المحددات هذة الأمور :​

  1. الملف يحوي بداخله ملف آخر (نفهم من هنا ان الملف محمي من الهندسة العكسية packed)
  2. الملف مكشوف من كثير من الحمايات
  3. يوجد رابط في الملف
  4. الملف يستدعي الكثير من الدوال المشبوهة
تعالى الى نافذة الفايروس توتال

مشاهدة المرفق 177687

كما ترى , من تسمية النود
فهو لايعتبر انه هذا ملف خبيث او اي شيئ , بل ان الملف مشتبه به بسبب نوع الحماية الموجودة عليه
لأن كثير من الملفات الخبيثة تستخدم نفس الحماية لمنع الكسر
اذا كان الملف ملغم فعلا وعليه هذة الحماية أيضا فأنا واثق من ان النود سيكشف هذا كذلك

ولن تكون التسمية حينئذ Noobyprotect packed
يمكنك البحث عن التسمية في جوجل لمعرفة المزيد عن الملف

وهي من الخطوات الجيدة اثناء تحليلك للفيروسات

مشاهدة المرفق 177688

706424058.png


هنا نافذة المكتبات توضح المكتبات التي يستدعيها البرنامج مع وصف لكل منها

مشاهدة المرفق 177689

هنا بعض المكتبات الأكثر استعمالا من قبل الفيروسات مع وصف لكل منها

مشاهدة المرفق 177703

::

Kernel32.dll
واضح من اسمها انا تحتوي عل دوال المستوی الأدنی (الكرنل) وتساعد دوالها في الاتصال ب العتاد الصلب(الهارد وير) والذاكرة

::

Advapi32.dll
واضح من اسمها انها تضم دوال api التي تعطي صلاحيات كبيرة جدا كالاتصال بالريجستري والتحكم بالخدمات

::

User32.dll
وظيفتها التحكم بالواجهات في الويندوز اكسبلورير مثل عناوين النوافذ والازرار ... الخ
واستدعاؤها يتيح لك التحكم في عناوين النوافذ والتحكم في الفأرة او ايقافها والصغط علی الازرار

::

Gdi32.dll
وهي خاصة بالجرافيكس وشائع استدعاءها في الالعاب
وظيفتها التحكم المتقدم بالالوان والشاشة

::

Ntdll.dll
تحتوي علی دوال يمكنها تنفيذ امور ذات صلاحيات عالية ring0
ولا احد يستدعيها مباشرة
ولكن باستخدام دالة من advaip نستدعي kernel32 ومنها ntdll
::

Wsock32
Ws2_32

خاصة بالمستوی الادنی من الشبكة
تلك المسؤولة عن نقل البيانات
وفي حالة استدعائها فـ في الغالب الملف سوف يقوم بألأتصال بسيرفر على النت (قد يكون ملف تجسس)
اما
winint فهي تنتمي الی المستوی الاعلی ووظيفتها تهيئة الاتصالات والبروتوكولات
مثل HTTP FTP ....
وعادة تستدعی ال3 مكتبات معا

706424058.png


تعالى الي نافذة الدوال , وهنا كل التسلية



هنا يظهر دوال win api التي يستدعيها الملف

مشاهدة المرفق 178104

كما ترى هنا هذا الملف يحتوي على عملية حقن

طيب ياعم الحج
هل كل الملفات التي تحتوي على هذة الدوال , اي دوال الحقن تعتبر خبيثة ,,
والله شوف انا سوف أقول لك شيئ
اذا كانت هذة الدوال خبيثة ولعينة ومصدر لك الشرور
لم تم اختراعها بالأساس
يعني الا تستطيع مايكروسوفت الغاءها (وخلاص)
طبعا لا لايمكن الغاءها
لأنها صنعت اصلا لتقوم بعمليات في غاية الأهمية
من ضمن هذة العمليات ماتقوم به الملفات الخبيثة
يعني هي سلاح ذو حدين
الملف الذي امامك غير ملغوم (ما رأيك !!!)
بل عليه حماية
مثل الغلاف هكذا
بداخلها بايتات الملف الاصلي المشفرة
وتقوم بحقنها في الذاكرة حتى تمنع قراءة السورس كود للملف الأصلي
طيب انا كفاحص ماذا يجب علي ان افعل
كيف افرق بين هذة الملفات

شوف

جرت العادة على اعتبارها ملفات ملغومة
ولو نظرت الى معدل كشوفات الفايروس توتال

مشاهدة المرفق 178105

ستجد ان معدل كشوفاته رهيب (50 مكافح )
والسبب هو اسدعاؤه لهذة الدوال
برغم انه يستخدمها لأغراض حميدة فقط
(طيب انت لم تجب على السؤآل يعم الحج , كيف اعرف ان الملف سليم حتى وان كان يستدعي هذة الدوال)

طبعا في هذة الحالة تحتاج الى تحليل الملف اما بتشغيله ومراقبه سلوكياته او باستخدام الهندسة العكسية
لكن اذا وجدت ملف يستدعي مثل هذة الدوال
ضعه في قسم الفحص واستدعني
@MagicianMiDo32

لمزيد من المعلومات عن دوال API
وعمليات الحقن وغيرها تابع هذه المقالات

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::
http://forum.zyzoom.net/threads/266486/#post-3689103
::

https://www.endgame.com/blog/techni...-technical-survey-common-and-trending-process
https://github.com/secrary/InjectProc
::

https://blog.malwarebytes.com/threat-analysis/2017/10/analyzing-malware-by-api-calls/

::::::::::::::::::::::::::::::::::::::::ZyZooM::::::::::::::::::::::::::::::::::::::::

طبعا هذة الدوال تظهر في حالة الملفات المبرمجة بالـ native اي تم عمل كومبايل لها الى لغة الآلة
مثل ملفات c++ ودلفي
اما السكربتات
مثل البايثون والاوتو ات اوالدوت نت
فلا تعتمد على هذة الأستدعاءآت

مشاهدة المرفق 178106

لمعرفة اللغة التي كتب بها الملف
وما إذا كان عليه حماية packer ام لا
فلايوجد من الاداة العملاقة
EXEinfoPE

فقط شد الملف وارميه عليها وسوف تقوم بتحديد اللغة التي كتب بها

مشاهدة المرفق 178107

لتحميلها من هنا
384425486.png

https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/ExEinfo-PE.shtml




تقريبا أغلب ملفات أطفال الهاكر تكون مكتوبه اما بالدوت نت او الأوتو ات

غالبا ملفات الدوت نت تكون محمية من الهندسة العكسية

ولكن الأداة تستطيع كشف هذة الحماية

وهذة قائمة بالحمايات المتوفرة لملفات الدوت نت
طبعا هناك حمايات اخرى ولكن هذة الاشهر

كود:
Agile.NET
Babel Obfuscator
ConfuserEx
Crypto Obfuscator
Disguiser.NET
Dotfuscator Community Edition
Dotfuscator Professional Edition
DotNet Patcher
Eazfuscator.NET
Eziriz .NET Reactor
ILProtector
.NETGuard
NetWinProtector (Protector)
Obfuscar
Salamander
SeeUnsharp .NET
Obfuscator
SharpObfuscator
Skater
Skater


رفعت لكم هذة المقالة من ويكيبيديا لأنها لم تعد موجودة
لكنها مفيدة

https://up.top4top.net/downloadf-1062ypclt1-rar.html


706424058.png



نأتي الآن الى نافذة strings

وفيها النصوص الموجودة في الملف

مشاهدة المرفق 178109

مشاهدة المرفق 178110


مشاهدة المرفق 178111



وأخيرا نقطة هامة جدا توضحها لك الأداة وهي التوقيع الرقمي للملف

اي ملف موقع رقميا فهو سليم بنسبة 98%

مشاهدة المرفق 178112


اما هنا

فهو موقع رقميا


مشاهدة المرفق 178113

لكن هناك ملفات تكون موقعة رقميا ولكن تم التلاعب بها
والاداة للأسف لاتكشف لك

ولكن اكتشاف ذلك اسهل من السهولة

كليك يمين على الملف
واختار properties

ثم

مشاهدة المرفق 178117

مشاهدة المرفق 178118

مشاهدة المرفق 178119


هكذا عرفنا ان هذا الملف معدل عليه وان توقيعه الرقمي معطوب

اما ملف كهذا


فهو سليم لأنه موقع قميا

مشاهدة المرفق 178120

706424058.png




هكذا اكون انتهيت من هذا الموضوع

ارجوا ان يكون الجميع قد استفاد منه

لاتنسوني بدعوة طيبة
حفظكم الله ورعاكم

والحمد لله رب العالمين

هو الموضوع طوويل جدا جدا جدا وممكن مكونش فهمته كله لكن انا مقدر مجهودك وتعبك وبارك الله فيك...لكن لو امكن عمل هذا الموضع كتاب الكتروني يكون افضل واحسن
وشكرا ليك
 
لأول مرة منذ تسجيلي هنا أترك رد على موضوع
مع إحترامي لك لم أستطيع الذهاب من دون أن أشكرك و أو أحييك على الشرح المتميز و الرائع و الذي قدمته
صدقني تستحك أكثر من هذا
أخوك أنيس من تونس (222y)
 
الله يعطيك العافية على هذا المجهود الكبير صراحة يعجز اللسان على شكرك
لي عودة للموضوع لانــــــــــي لم اقراءة بالكامـــــــل ويضــــــاف للمفضلـة

وتقبل تحياتي وجعلة الله في ميزان حسناتك
 
التعديل الأخير:
توقيع : prooonet
جزاك الله خيرا اخى ميدو

وسلمت يداك على المجهود المميز

( يثبت الموضوع لينال حقه من الاطلاع )
:rose:(y):rose:

جزاك الله كل خير أخي ابو سمية
اشكرك على مرورك الرائع

هو الموضوع طوويل جدا جدا جدا وممكن مكونش فهمته كله لكن انا مقدر مجهودك وتعبك وبارك الله فيك...لكن لو امكن عمل هذا الموضع كتاب الكتروني يكون افضل واحسن
وشكرا ليك

الموضوع طويل فعلا وبعض الأجزاء الموجودة فيه متقدمة بعض الشيئ ولكنني حرصت على جعله موضوع شامل متكامل
وان شاء الله سوف يتم تحويله لكتاب ألكتروني
لأول مرة منذ تسجيلي هنا أترك رد على موضوع
مع إحترامي لك لم أستطيع الذهاب من دون أن أشكرك و أو أحييك على الشرح المتميز و الرائع و الذي قدمته
صدقني تستحك أكثر من هذا
أخوك أنيس من تونس (222y)
أسعدني ردك جدا أخي انيس
وأحييك على أسلوبك الراقي
ادعوا الله لك بالثبات والتوفيق
أخوك محمد من مصر
 
توقيع : MagicianMiDo32
شكرا لك على الشرح اخي
 
توقيع : رضا سات
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى