MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طاقم الإدارة
طـــاقم الإدارة
★ نجم المنتدى ★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,216
- مستوى التفاعل
- 27,075
- النقاط
- 5,950
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
السلام عليكم ورحمة الله وبركاته
أهلا وسهلا بكم أخوتي الكرام
أسأل الله أن يفتح عليكم ويزيدكم بسطة في العلم
ان شاء الله
سوف اقوم بشرح موقعين شهيرين لتحليل الملفات المشبوهة
بنفسك دون تشغيلها
فقط برفعها على الموقع
وهو سوف يتكفل بالباقي
الموقع الأول هو الشهير وعدو أطفال الهكرز الأاول
Virustotal.com
ميزة هذا الموقع هو انه يقوم فورا بأرسال اي ملفات ترفعها على الفحص له الى شركات الحماية
فحتى ان كان الملف مشفر عن الحمايات او به تخطيات
فما هي مسالة وقت حتى يتم ارساله الى شركة الحماية ويصبح مكشوف من كل الحمايات
وعلى فكرة ,ذلك الأمر يتم بسرعة جدا (تقريبا نصف الملغمين واطفال الهاكر اعتزلوا بسببه)
طبعا هذا لايعني انه invencible
هناك طرق كثيرة لخداعه
ولكنه تحتاج لشخص عقله غير محدود على التلغيم فالمنتديات وجلب الضحايا والتفاخر على الفيس بالدعس الانونيموس الهاكر
وهو اصلا البرنامج الي يستخدمه للتجسس نفسه ملغوم
عند الدخول للموقع تظهر لك هذة الصفحة البسيطة
ومن خلالها تقوم برفع الملف الذي تود فحصه
سوف اشرح عدة انواع من الملفات
1. الأندرويد
2. الويندوز
3.الراوبط الخبيثة
اولا الأندرويد
واضح من التسمية ان هذا الملف هو بايلود المتاسبلويت
لأختراق الاندرويد
والذي يعطي صلاحيات قصوى للهاكر للتحكم في جهازك
برامج اختراق الأندرويد المشهورة هي
الميتاسبلويت
السباي نوت spynote
و droid jack
تقريبا السباي نوت هو الأكثر استعمالا من قبل اطفال الهاكرز لسهولته
شيئ مهم علي قوله , هو ليس معنى ان واحد مكافح اعطى تسمية صريحة لملف
كـ
Bladabindi >njrat
Revetrat>revenge rat
spynote
metasploit
swrot>metasploit
وغيرها
هذا لايعني ان هذا الملف هو رات 100%
لكن في حالتنا هنا جميع برامج الحماية اتفقت على التسمية لذلك فهو رات
ما اقصده باختصار هو ان بعض برامج الحماية قد تعطي تسميات كاذبة (احيانا يقول على برنامج آلة حاسبة انه رانسوموير !!)
عن نفسي انا اثق جدا بتسمية مكافح النود
فهو يملك ادق محرك في الحمايات
مدعوما بتقنيات الذكاء الاصطناعي القوية
دائما أثق بتسمياته
يمكنك من هنا معرفة المزيد من التفاصيل عن الملف
مفتاح توقيع الملف هو عبارة عن شهادة , تربط كل برنامج بمطور خاص به
يعني , عندما اورد رفع ملف الى متجر جوجل , اقوم بدفع 50 دولار للشركة والحصول على مفتاح توقيع خاص بي
وبالتالي لايستطيع احد رفع ملف بأسمي
كما انه يحمي الملف من التعديلات
لان اي تعديل يتم على الملف يفسد التوقيع الرقمي له
لذلك يضطر كاسروا البرامج والهاكرز الى اعادة توقيع الملف بمفتاح خاص بهم هم
كثير من الحمايات الخاصة بألأندرويد تعتمد على مفتاح التوقيع لكشف الملفات الخبيثة ,
وهو امر خاطئ تماما ,, وذلك لأن تغيير هذا المفتاح سهل جدا
هنا اهم جزئية لدينا وهي الصلاحيات التي يطلبها الملف
كما ترى هذا الملف عبارة عن فيروس لأنه يطلب كم كبير من الصلاحيات التي لايحتاجها
يتميز الاندرويد عن الويندوز بأنه قبل تنصيب اي تطبيق يجب ان يقوم هذا التطبيق بطلب مجموعة من الصلاحيات permissions
مثلا صلاحيات الوصول للكاميرا ,, للهاتف,, سجل المكالمات ,, المايكروفون ...
من خلال هذة الصلاحيات يمكننا معرفة هل هذا الملف ملغوم ام لا
هذا يطلب قنبلة صلاحيات هذا ,, لذلك فهو ملغوم 100%
طبعا هناك شيئ يجب ان انبه عليه
بيس معنى ان التطبيق طلب صلاحية ما انه ملغوم
يعني مثلا تطبيق للتصوير طبيعي انه يطلب صلاحيات الوصول للكاميرا
تطبيق مشاركة صور مثلا
سيطلب صلاحيات وصول للكاميرا وللمساحة التخزينية وربما للـ contacts الخاصة f;
لكن لاتقلق , تقريبا جميع اطفال الهكرز يستخدمون ادوات غيرهم للدمج
وهي هي نفس الملفات ستجدها عندهم كلهم
وهذة هي الصلاحيات :
صلاحية الوصول الى الموقع:
Manifest.permission.ACCESS_COARSE_LOCATION,
Manifest.permission.ACCESS_FINE_LOCATION,
::
الوصول الى حالة الهاتف (الشاشة مغلقة , الشاشة مفتوحة ..)
Manifest.permission.READ_PHONE_STATE,
::
صلاحية قراءة وارسال واستقبال رسائل الـ sms
Manifest.permission.SEND_SMS,
Manifest.permission.RECEIVE_SMS,
Manifest.permission.READ_SMS,
::
تسجيل الصوت
Manifest.permission.RECORD_AUDIO,
::
الأتصال بالأرقام
Manifest.permission.CALL_PHONE,
::
قراءة بتاريخ الاتصال
Manifest.permission.READ_CALL_LOG,
::
كتابة تاريخ الاتصال
Manifest.permission.WRITE_CALL_LOG,
::
قراءة الأشخاص الذين تتصل بهم (جهات الأتصال)
Manifest.permission.READ_CONTACTS,
::
اضافة جهات الأتصال
Manifest.permission.WRITE_CONTACTS
::
الوصول للكاميرا (التصوير)
Manifest.permission.CAMERA
::
الكتابة على الشريحة الخارجية
Manifest.permission.WRITE_EXTERNAL_STORAGE
::
صلاحية بدء التشغيل (اي تجعل التطبيق يعمل عند بدء تشغيل الهاتف )
Manifest.permission.RECEIVE_BOOT_COMPLETED
::
تغيير الخلفية
Manifest.permission.SET_WALLPAPER
::
wakelock
وهي جعل التطبيق يظل يعمل حتى وان تم اطفاء الشاشة (معظم التطبيقات تطلبها)
Manifest.permission.WAKE_LOCK,
معظم الملفات الملغومة ستجدها على هذا الشكل
والآن فحص الملفات التنفيذية
كما ترى
من التسمية
bladabindi
هو نجرات
مجددا اكرر , بعض الحمايات قد تعطي هذا الأسم لملفات نظيفة لاعلاقة لها بالنجرات من قريب ولا بعيد
ولك هنا لدينا اجماع على ان هذا الملف ملغوم
في جزئية الـ details تظهر معلومات بسيطة عن الملف (اسمه ,, نوعه ,, اللغة المستخدمة في صناعته )
وينبغي عليك الأنتظار لبعض الوقت حتى يتم تكوين التقرير الكامل
هنا ملف تم تكوين تقرير كامل له
هنا يتم عرض اجزاء الملف sections والمكتبات التي يستدعيها
مكتبة
mscoree.dll
تعني ان هذا الملف مبرمج بالدوت نت
الفايروس توتال كان يوفر خاصية تحليل سلوك الملفات ,
هنا يوضح الأتصالات التي يقوم بها الملف
وهنا الملفات الاخرى التي يقوم بكتابتها
ولكن تقريبا لم يعد يفعل ذلك في الآونة الاخيرة
ولكن لا مشكلة سوف نستعيض عنه بالموقع الثاني ان شاء الله
واخيرا فحص الروابط بالموقع
كما يقوم الفايروس توتال بتوفير خدمة معرفة نوع الموقع من خلال انظمة حماية الويب المختلفة
مثلا هذا موقع آخر لرفع الملفات
الموقع الثاني هو العملاق
hybrid-analysis.com
هنا يمكنك تحديد نوع الآلة الوهمية التي سيتم استخدامها في تحليل الملف
هنا سنختار ويندوز 7 64 بت
لأننا نفحص ملف exe وغالبا نظام التشغيل لدينا سيكون 64 بت
يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه
اضغط
generate public report
ثم انتظر حتى يتم التحليل الديناميكي
الموقع كذلك يقوم برفع العينات على الفايروس توتال
سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله
غالبا يستغرق 5 دقائق فقط
هنا تم ارسال التقرير على الايميل الخاص بي
والآن نذهب للتقرير لنقوم بتحليله
هنا يعرض معلومات عامة عن الملف
الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة
هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)
يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )
يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف
يمكن ايضا فحص ملفات الأندرويد كذلك
يتبع
هنا سنختار ويندوز 7 64 بت
لأننا نفحص ملف exe وغالبا نظام التشغيل لدينا سيكون 64 بت
يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه
اضغط
generate public report
ثم انتظر حتى يتم التحليل الديناميكي
الموقع كذلك يقوم برفع العينات على الفايروس توتال
سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله
غالبا يستغرق 5 دقائق فقط
هنا تم ارسال التقرير على الايميل الخاص بي
والآن نذهب للتقرير لنقوم بتحليله
هنا يعرض معلومات عامة عن الملف
الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة
هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)
يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )
يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف
يمكن ايضا فحص ملفات الأندرويد كذلك
يتبع
التعديل الأخير: