• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تحليل الملف المشبوه بنفسك أو بمساعدة خبراء قسم الفحص

الحالة
مغلق و غير مفتوح للمزيد من الردود.

MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم
طاقم الإدارة
طـــاقم الإدارة
★ نجم المنتدى ★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
29 أبريل 2012
المشاركات
9,216
مستوى التفاعل
27,074
النقاط
5,950
الإقامة
Egypt
الموقع الالكتروني
web.facebook.com
غير متصل

710444604.gif

706424058.png



السلام عليكم ورحمة الله وبركاته
أهلا وسهلا بكم أخوتي الكرام
أسأل الله أن يفتح عليكم ويزيدكم بسطة في العلم

ان شاء الله
سوف اقوم بشرح موقعين شهيرين لتحليل الملفات المشبوهة
بنفسك دون تشغيلها
فقط برفعها على الموقع
وهو سوف يتكفل بالباقي



706424058.png




الموقع الأول هو الشهير وعدو أطفال الهكرز الأاول



Virustotal.com

739899777.jpg


ميزة هذا الموقع هو انه يقوم فورا بأرسال اي ملفات ترفعها على الفحص له الى شركات الحماية
فحتى ان كان الملف مشفر عن الحمايات او به تخطيات
فما هي مسالة وقت حتى يتم ارساله الى شركة الحماية ويصبح مكشوف من كل الحمايات


وعلى فكرة ,ذلك الأمر يتم بسرعة جدا (تقريبا نصف الملغمين واطفال الهاكر اعتزلوا بسببه)
طبعا هذا لايعني انه invencible
هناك طرق كثيرة لخداعه
ولكنه تحتاج لشخص عقله غير محدود على التلغيم فالمنتديات وجلب الضحايا والتفاخر على الفيس بالدعس الانونيموس الهاكر
وهو اصلا البرنامج الي يستخدمه للتجسس نفسه ملغوم


عند الدخول للموقع تظهر لك هذة الصفحة البسيطة



upload_2018-11-23_20-9-54.png



ومن خلالها تقوم برفع الملف الذي تود فحصه
سوف اشرح عدة انواع من الملفات


1. الأندرويد
2. الويندوز
3.الراوبط الخبيثة


706424058.png


اولا الأندرويد


151208335.png


upload_2018-11-23_20-11-27.png



واضح من التسمية ان هذا الملف هو بايلود المتاسبلويت
لأختراق الاندرويد

والذي يعطي صلاحيات قصوى للهاكر للتحكم في جهازك

برامج اختراق الأندرويد المشهورة هي
الميتاسبلويت

السباي نوت spynote
و droid jack
تقريبا السباي نوت هو الأكثر استعمالا من قبل اطفال الهاكرز لسهولته
شيئ مهم علي قوله , هو ليس معنى ان واحد مكافح اعطى تسمية صريحة لملف
كـ
Bladabindi >njrat
Revetrat>revenge rat
spynote
metasploit
swrot>metasploit

وغيرها
هذا لايعني ان هذا الملف هو رات 100%

لكن في حالتنا هنا جميع برامج الحماية اتفقت على التسمية لذلك فهو رات
ما اقصده باختصار هو ان بعض برامج الحماية قد تعطي تسميات كاذبة (احيانا يقول على برنامج آلة حاسبة انه رانسوموير !!)

عن نفسي انا اثق جدا بتسمية مكافح النود
فهو يملك ادق محرك في الحمايات
مدعوما بتقنيات الذكاء الاصطناعي القوية
دائما أثق بتسمياته


يمكنك من هنا معرفة المزيد من التفاصيل عن الملف

upload_2018-11-23_20-15-10.png




upload_2018-11-23_20-16-25.png



upload_2018-11-23_20-17-48.png


upload_2018-11-23_20-19-41.png


مفتاح توقيع الملف هو عبارة عن شهادة , تربط كل برنامج بمطور خاص به
يعني , عندما اورد رفع ملف الى متجر جوجل , اقوم بدفع
50 دولار للشركة والحصول على مفتاح توقيع خاص بي
وبالتالي لايستطيع احد رفع ملف بأسمي
كما انه يحمي الملف من التعديلات
لان اي تعديل يتم على الملف يفسد التوقيع الرقمي له
لذلك يضطر كاسروا البرامج والهاكرز الى اعادة توقيع الملف بمفتاح خاص بهم هم
كثير من الحمايات الخاصة بألأندرويد تعتمد على مفتاح التوقيع لكشف الملفات الخبيثة ,
وهو امر خاطئ تماما
,, وذلك لأن تغيير هذا المفتاح سهل جدا

706424058.png


هنا اهم جزئية لدينا وهي الصلاحيات التي يطلبها الملف

upload_2018-11-23_20-22-42.png


كما ترى هذا الملف عبارة عن فيروس لأنه يطلب كم كبير من الصلاحيات التي لايحتاجها
يتميز الاندرويد عن الويندوز بأنه قبل تنصيب اي تطبيق يجب ان يقوم هذا التطبيق بطلب مجموعة من الصلاحيات permissions
مثلا صلاحيات الوصول للكاميرا ,, للهاتف,, سجل المكالمات ,, المايكروفون ...
من خلال هذة الصلاحيات يمكننا معرفة هل هذا الملف ملغوم ام لا


هذا يطلب قنبلة صلاحيات هذا ,, لذلك فهو ملغوم 100%

طبعا هناك شيئ يجب ان انبه عليه
بيس معنى ان التطبيق طلب صلاحية ما انه ملغوم
يعني مثلا تطبيق للتصوير طبيعي انه يطلب صلاحيات الوصول للكاميرا
تطبيق مشاركة صور مثلا
سيطلب صلاحيات وصول للكاميرا وللمساحة التخزينية وربما للـ contacts الخاصة f;


لكن لاتقلق , تقريبا جميع اطفال الهكرز يستخدمون ادوات غيرهم للدمج
وهي هي نفس الملفات ستجدها عندهم كلهم

وهذة هي الصلاحيات :

صلاحية الوصول الى الموقع:

Manifest.permission.ACCESS_COARSE_LOCATION,
Manifest.permission.ACCESS_FINE_LOCATION
,

::

الوصول الى حالة الهاتف (الشاشة مغلقة , الشاشة مفتوحة ..)

Manifest.permission.READ_PHONE_STATE,

::

صلاحية قراءة وارسال واستقبال رسائل الـ sms

Manifest.permission.SEND_SMS,
Manifest.permission.RECEIVE_SMS,
Manifest.permission.READ_SMS,


::

تسجيل الصوت
Manifest.permission.RECORD_AUDIO,

::

الأتصال بالأرقام
Manifest.permission.CALL_PHONE,

::

قراءة بتاريخ الاتصال
Manifest.permission.READ_CALL_LOG,

::


كتابة تاريخ الاتصال
Manifest.permission.WRITE_CALL_LOG,

::

قراءة الأشخاص الذين تتصل بهم (جهات الأتصال)
Manifest.permission.READ_CONTACTS,

::


اضافة جهات الأتصال
Manifest.permission.WRITE_CONTACTS

::

الوصول للكاميرا (التصوير)
Manifest.permission.CAMERA

::

الكتابة على الشريحة الخارجية
Manifest.permission.WRITE_EXTERNAL_STORAGE

::

صلاحية بدء التشغيل (اي تجعل التطبيق يعمل عند بدء تشغيل الهاتف )
Manifest.permission.RECEIVE_BOOT_COMPLETED

::

تغيير الخلفية
Manifest.permission.SET_WALLPAPER

::

wakelock
وهي جعل التطبيق يظل يعمل حتى وان تم اطفاء الشاشة (معظم التطبيقات تطلبها)

Manifest.permission.WAKE_LOCK,


معظم الملفات الملغومة ستجدها على هذا الشكل


706424058.png



والآن فحص الملفات التنفيذية


upload_2018-11-23_20-28-15.png


كما ترى
من التسمية
bladabindi
هو نجرات

مجددا اكرر , بعض الحمايات قد تعطي هذا الأسم لملفات نظيفة لاعلاقة لها بالنجرات من قريب ولا بعيد
ولك هنا لدينا اجماع على ان هذا الملف ملغوم


في جزئية الـ details تظهر معلومات بسيطة عن الملف (اسمه ,, نوعه ,, اللغة المستخدمة في صناعته )
وينبغي عليك الأنتظار لبعض الوقت حتى يتم تكوين التقرير الكامل

هنا ملف تم تكوين تقرير كامل له

upload_2018-11-23_20-40-10.png


هنا يتم عرض اجزاء الملف sections والمكتبات التي يستدعيها
مكتبة
mscoree.dll
تعني ان هذا الملف مبرمج بالدوت نت
الفايروس توتال كان يوفر خاصية تحليل سلوك الملفات ,

هنا يوضح الأتصالات التي يقوم بها الملف
upload_2018-11-23_21-33-34.png


وهنا الملفات الاخرى التي يقوم بكتابتها

upload_2018-11-23_21-40-10.png



ولكن تقريبا لم يعد يفعل ذلك في الآونة الاخيرة
ولكن لا مشكلة سوف نستعيض عنه بالموقع الثاني ان شاء الله

706424058.png



واخيرا فحص الروابط بالموقع

213854811.jpg



upload_2018-11-23_21-43-30.png


كما يقوم الفايروس توتال بتوفير خدمة معرفة نوع الموقع من خلال انظمة حماية الويب المختلفة

مثلا هذا موقع آخر لرفع الملفات
upload_2018-11-23_21-44-38.png




706424058.png


الموقع الثاني هو العملاق
hybrid-analysis.com

137238473.png



upload_2018-11-23_21-50-16.png


SNAGHTML67231e3.PNG

هنا يمكنك تحديد نوع الآلة الوهمية التي سيتم استخدامها في تحليل الملف
هنا سنختار ويندوز 7
64 بت
لأننا نفحص ملف
exe وغالبا نظام التشغيل لدينا سيكون 64 بت

upload_2018-11-23_22-17-51.png



يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه

اضغط
generate public report


ثم انتظر حتى يتم التحليل الديناميكي

upload_2018-11-23_22-31-41.png


الموقع كذلك يقوم برفع العينات على الفايروس توتال

سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله

غالبا يستغرق 5 دقائق فقط

هنا تم ارسال التقرير على الايميل الخاص بي

upload_2018-11-23_22-49-35.png


والآن نذهب للتقرير لنقوم بتحليله

upload_2018-11-23_22-52-46.png


هنا يعرض معلومات عامة عن الملف


upload_2018-11-23_22-53-5.png


الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة


upload_2018-11-23_22-54-23.png



هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)

upload_2018-11-23_22-57-36.png


يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )
upload_2018-11-23_22-58-57.png


upload_2018-11-23_22-59-44.png


يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف

upload_2018-11-23_23-1-4.png


يمكن ايضا فحص ملفات الأندرويد كذلك

upload_2018-11-23_23-16-12.png


upload_2018-11-24_0-22-34.png


upload_2018-11-24_0-23-6.png


يتبع​
 

التعديل الأخير:
توقيع : MagicianMiDo32
الله يبارك فيكم اخوتي

ينقل الى قسم الفحص
 

توقيع : MagicianMiDo32
ماشاء الله

موضوع غاية في الروعة

سلمت يداك و بارك الله في تعبك
 
توقيع : اليوناني
توقيع : MagicianMiDo32
تسلم الأيدي ..يا طيب..،
موضوع قمة في الابداع .. معلومات أكثر من رائعة..
في ميزان حسناتك .. و أسأل الله لك الخير أينما كنت ..،
تقبل مروري ..
 
توقيع : النوميديالنوميدي is verified member.
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى