مثبت الجزء الأول من كورس تحليل الملفات يدويًا والهندسة العكسية (Reverse Engineering) كورس تدريبي شامل للمبتدئين والمحترفين! 🎓

[Ramy BadraanRamy Badraan is verified member.]

​

بناءاً على طلب الجماهير

هنبدأ مع بعض كورس كامل عن تحليل الملفات يدوياً والهندسة العكسية بشكل مبسط وعميق
الموضوع ده هيكون شامل جدًا، ومش بس هنتعلم إزاي نحلل الملفات
لكن هنكتشف مع بعض إزاي نفك شفرات الملفات، نشوف أكواد البرامج، ونتعامل مع البرمجيات الضارة بكل سهولة.

لو كنت مبتدئ أو محترف، ده الموضوع اللي هيساعدك تعرف كل حاجة!



​

ما هو التحليل اليدوي للملفات؟​

تحليل الملفات يدوياً هو العملية اللي فيها تفتح ملف معين وتبدأ تفحصه "بشكل داخلي" عشان تفهم:
إيه المعلومات اللي موجودة فيه؟
هل الملف آمن؟
لو كان فيه أي كود أو أمر غريب، ممكن يكون خطير عليك.

​

الأدوات الأساسية للتحليل اليدوي:​

​

Hex Editor (HxD):​

الأداة دي هي الأساس في التحليل اليدوي. هتساعدك تعرض محتويات الملف بشكل Hexadecimal علشان تقدر تشوف البيانات المشفرة.
​

وظيفتها:​

بتعرضلك الملف بشكل هيكس، وده هيساعدك تكتشف النصوص أو الأكواد المخفية جوه الملف.

​

تحميل HxD:​

اضغط هنا لتحميل

Please, تسجيل الدخول or تسجيل to view URLs content!

.
​

​

خطوات التحليل باستخدام Hex Editor:​

افتح الملف باستخدام HxD.

هتلاحظ إن البيانات بتظهر على شكل أرقام وحروف مثل:

Please, تسجيل الدخول or تسجيل to view codes content!

الكلام ده مش هيبقى ليه معنى لو مش عارف تقراه. بس لو دققت هتقدر تلاحظ حاجات مش طبيعية زي النصوص المشوهة أو الشيفرات الغريبة.

​

أمثلة عملية:​

مثال 1:
لو لقيت نصوص مش مفهومة زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده بيكون مؤشر على إن في حاجة مش طبيعية في الملف.

لو لقيت النص ده، حاول تستخدم A-string علشان تكتشف النصوص الخفية زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده مثال على نص خفي داخل الملف!

ممكن تلاقي كود زي:

Please, تسجيل الدخول or تسجيل to view codes content!

الكود ده بيكون موجود داخل ملف مخفي عشان ما يبقاش ظاهر في التحليل العادي، وفي أغلب الأحيان بيكون جزء من فيروس أو كود ضار.


​

​

Notepad++:​

Notepad++ هو برنامج عظيم يساعدك تفتح الملفات النصية وتشوف الكود اللي بداخلها.

​

وظيفته:​

يفتح لك الملفات النصية ويعرضلك الكود الخاص بيها.
​

تحميل Notepad++:​

اضغط هنا لتحميل

Please, تسجيل الدخول or تسجيل to view URLs content!

.




​

خطوات التحليل باستخدام Notepad++:​

افتح الملف باستخدام Notepad++.
هتلاحظ إن الكود بيظهر بشكل واضح، وبتقدر تقرأ أي نصوص أو أكواد موجودة.


​

أمثلة عملية:​

مثال 1:
لو لقيت كلمات زي JavaScript أو eval أو exec داخل الملف، ده مؤشر إن الملف ممكن يكون خطير.

مثال 2:
لو لقيت كود زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده كود ضار، وده بيحاول ينفذ أمر معين على جهازك.


​

​

أدوات أخرى مهمة:​

VirusTotal:
موقع رائع ترفع عليه الملف اللي مش عارف عنه حاجة، والبرنامج هيخبرك لو كان فيه أي شيء مشبوه.

Please, تسجيل الدخول or تسجيل to view URLs content!

Strings Tool:
أداة بسيطة تساعدك تكتشف النصوص الموجودة داخل الملفات التنفيذية.

Please, تسجيل الدخول or تسجيل to view URLs content!

​

​

ما هي الهندسة العكسية؟​

الهندسة العكسية هي عملية دراسة البرمجيات أو الأجهزة لمعرفة كيفية عملها
مثلاً لو عندك برنامج مش عارف عنه حاجة، ممكن تعمل له "هندسة عكسية" عشان تفهم الكود الخاص بيهم أو حتى تعدل عليه.



​

الأدوات الأساسية للهندسة العكسية:​

​

IDA Pro​

IDA Pro من أشهر أدوات الهندسة العكسية، بتمكنك من فك الملفات التنفيذية وتحليل الكود البرمجي الخاص بيها.

​

وظيفتها:​

بتعرضلك الكود البرمجي الموجود داخل الملف.

​

تحميل IDA Pro:​

اضغط هنا لتحميل IDA Pro .




​

خطوات التحليل باستخدام IDA Pro:​

افتح الملف باستخدام IDA Pro.
هتلاحظ إن الأداة بتعرض لك كل الكود البرمجي الموجود داخل الملف.

​

أمثلة عملية:​

مثال 1:
لو لقيت سطور زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده ممكن يبقى كود ضار بيحاول يتصل بموقع مشبوه. الكود ده هو طريقة لتحميل أكواد ضارة من الإنترنت.


مثال 2:
لو لقيت أكواد زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده يعني إن الملف ده غالبًا بيحاول ينفذ ملف ضار!


مثال 3:
لو لقيت كود زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده بيوضح إن الكود بيحاول يعمل Download لملف تنفيذي من الإنترنت أو من مكان مخفي في الجهاز، وعادةً ده بيكون فيروس أو برمجية ضارة.


​

​

OllyDbg​

OllyDbg أداة Debugger قوية جدًا، بتساعدك تتبع التعليمات داخل الملف التنفيذي خطوة بخطوة.

​

وظيفتها:​

تتبع العمليات اللي بيقوم بيها البرنامج عند التشغيل، وده هيساعدك تكتشف أي أكواد ضارة.

​

تحميل OllyDbg:​

اضغط هنا لتحميل

Please, تسجيل الدخول or تسجيل to view URLs content!

.




​

خطوات التحليل باستخدام OllyDbg:​

افتح OllyDbg، وابدأ تتبع التعليمات خطوة بخطوة.
​

أمثلة عملية:​

مثال 1:
لما تلاقي الكود بيحاول يعمل تحميل لملف تاني زي:

Please, تسجيل الدخول or تسجيل to view codes content!

الملف ده غالبًا بيحاول ينفذ ملف ضار!

مثال 2:
لو لقيت أي أكواد زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده يعني إن الملف بيكتب بيانات على الجهاز!
​

​

أدوات تحليل وتقنيات متقدمة:​

حقن الأكواد (Code Injection)
​

حقن الأكواد هو عملية يقوم فيها المهاجم بحقن كود ضار داخل عملية أو برنامج موجود على الجهاز، بهدف استغلاله لتنفيذ الأكواد الضارة.​

كيفية اكتشاف Code Injection؟
إدخال الأكواد الضارة غالبًا بيتم عن طريق سلاسل من الأوامر التي يتم إدخالها إلى الذاكرة.

أدوات للكشف عن Code Injection:

Immunity Debugger
أداة قوية لتحليل الأكواد، بتساعدك تكتشف حقن الأكواد داخل أي عملية في النظام.

Please, تسجيل الدخول or تسجيل to view URLs content!

لمراقبة العمليات

مثال:
لو لقيت كود زي:

Please, تسجيل الدخول or تسجيل to view codes content!

ده يعني إن فيه حقن كود بيتم تحميله إلى ذاكرة النظام! الكود ده بيحاول تحميل مكتبات أو ملفات
DLL. ضارة
​

​

​

التخفى (Obfuscation):​

التخفى هو تقنية تهدف إلى جعل الكود البرمجي أو الملفات التنفيذية صعبة الفهم أو التحليل. الهدف من التخفى هو إعاقة أي محاولة لفهم الكود.

كيفية اكتشاف Obfuscation؟
في الغالب بيتم استخدام تقنيات مثل التشفير أو تغيير أسماء المتغيرات والوظائف لجعل الكود معقدًا.


أدوات لاكتشاف Obfuscation:

Please, تسجيل الدخول or تسجيل to view URLs content!

أداة decompiler تسترجع الكود الأصلي من ملفات APK أو .NET.

Please, تسجيل الدخول or تسجيل to view URLs content!

أداة تفكيك APK تقدر تسترجع الكود الأصلي من ملفات APK.

مثال:
لو لقيت كود زي ده:

Please, تسجيل الدخول or تسجيل to view codes content!

ده كود مشفر بـ Base64، وبيحتاج Deobfuscation علشان تفهمه. الكود ده لما يتحلل هيظهر لك النص الأصلي مثل:

Please, تسجيل الدخول or تسجيل to view codes content!

​

​

تقنيات تحليل متقدمة إضافية​

​

1. الحقن في الريجستري (Registry Injection):​

هي عملية حقن الأكواد الضارة في الريجستري لكي يتم تنفيذها في كل مرة يبدأ فيها النظام.


حلول:

استخدم Regedit لفحص الريجستري.
استخدم

Please, تسجيل الدخول or تسجيل to view URLs content!

لفحص البرامج التي تبدأ تلقائيًا مع النظام.


مثال:

إذا لقيت مدخلات مشبوهة في الريجستري، زي:

Please, تسجيل الدخول or تسجيل to view codes content!

تأكد من فحص أي مدخلات غريبة قد تكون تشير إلى كود ضار.​

​

​

​

2. الحقن في العمليات (Process Injection):​

هي عملية حقن الكود داخل عملية نظام قائمة، مما يسمح للكود الضار بالعمل بشكل مخفي داخل عملية النظام.

حلول:

استخدم ProcMon لمراقبة العمليات.
استخدم Process Explorer لمراجعة العمليات الجارية في النظام.

مثال:
إذا لقيت عملية مشبوهة داخل Task Manager أو أي أداة لمراجعة العمليات، حاول تتبع العملية باستخدام ProcMon وتحقق من أي تغييرات غير طبيعية.​

​

أدوات أخرى مهمة:​

Ghidra:
أداة مجانية من NSA لتحليل البرمجيات.

Please, تسجيل الدخول or تسجيل to view URLs content!

Radare2:
أداة قوية للهندسة العكسية تعمل من خلال السطر الأوامر.

Please, تسجيل الدخول or تسجيل to view URLs content!

​

وفى النهاية هنقول شوية نصايح​

تجنب تحميل الملفات من مواقع مش موثوقة.
كل ما تنزل ملف جديد، افحصه باستخدام VirusTotal.
لا تفتح أي ملفات مشبوهة على جهازك الرئيسي، افتحها على جهاز تجريبي (Virtual Machine).
اتعلم تستخدم الأدوات اللي ذكرتها فوق، لأنها هتخليك محترف .​

​

دلوقتي إحنا خلصنا مع بعض تحليل الملفات يدوياً والهندسة العكسية
الموضوع ده كان مليان تفاصيل وأدوات وأمثلة عملية ودى البداية
وبإذن الله هنتعمق اكتر فى السلسلة
لو عندك أي سؤال اكتبه فى التعليقات​

​

لو استفدت من الجزء دة وبقيت محترف فيه يبقى شوف الجزء الثانى هنا​

الجزء الثاني من كورس تحليل الملفات يدويًا والهندسة العكسية ​

​

 

[Lord_Master]

ما شاء الله تبارك الله فنان يانجم النجوم
ممتاز جدا والله ياصديقي شغل كدا VIP

موضوع مميز يستحق التقدير .. واصل ابداعك وتميزك

 

[MesterPerfectMesterPerfect is verified member.]

رائع جدا جدا
مع أني مش شغوف بالهندسة العكسية بس انا حابب أكمل عشان أطبق وأجرب على برامجي والكراكات العامة
بالتوفيق يا صديقي

 

[khaled_jtv]

ايوكده من زمان كان لازم تعمل الكورس
ده
يا راجل انت عظمة على عظمة على عظمة

فعلا امبراطور وبلص بروفيسور ما شاء الله
عنك محروس من العين وشر الحاسدين
من بكره ان شاء الله حتابع معك الكورس
ان شاء الله
وعلى فكرة لازم تعمله كتاب PDF
مفيد جدا للجهله امثالي

 

[Abu.amr]

موضوع ممتاز اخى رامى وان شاء الله نوصل لجزء الغيدرا اهم شى عندى

 

[aldswqi]

بسم الله ما شاء الله لا قوة إلا بالله
مشكور أخي الفاضل على هذا الموضوع المتميز والجهد الكبير المبذول
بارك الله فيك وجزاك الله خيراً وجعله الله في ميزان حسناتك
أخي الفاضل
أي ملفات أحملها من هنا

​

ومن هنا

أفادنا الله بعلمك وعملك​

 

[Ramy BadraanRamy Badraan is verified member.]

Please, تسجيل الدخول or تسجيل to view quote content!

حاضر يا غالى هنزلهالك فى الجزء التانى
انا كنت هكتفى ب Ida Pro لكن هنزلك شرح ل Ghidra علشانك مخصوص

 

[Ramy BadraanRamy Badraan is verified member.]

Please, تسجيل الدخول or تسجيل to view quote content!

حبيبى يا ابو محمد
يا باشا جهلة ايه انت برنس واحنا بنتعلم منك

 

[khaled_jtv]

مساء الخير على احلى برووف
واسمحلي اناديك برووف اختصار(بروفيسور)
بعدين انت ضرتني اوي
ازاي حتابع مسؤولياتي في المنتدى وانا
قاعد عندك ليل ونهار بتعلم بيسير
كده يا حبيبي
دنا مستمتع يا راجل بالشرح
وتارك الدنيا وراي
طلبي بسيط وهو انك تعلمنا كل شئ
وما تترك اي شئ
تحياتي لك
والله يعطيك الصحه والعافيه

 

[khaled_jtv]

Please, تسجيل الدخول or تسجيل to view quote content!

استغفر الله احنا اللي منتعلم منك
وعلى فكرة مش عيب
اني اتعلم منك
يا راجل ما هو على يدك يا حبيبي
هو انا ما اولتلكش
دنا طلعت ما بعرفش

 

[khaled_jtv]

حا جيب فنجان النسكافيه
وان شاء الله نبدا الان
على بركة الله
اصل متحمس اووي

 

[باسل القرشباسل القرش is verified member.]

تم تثبيت الموضوع

 

[hani forcehani force is verified member.]

شرح استاذ كبير اخي الغالي رامي

 

[Ramy BadraanRamy Badraan is verified member.]

Please, تسجيل الدخول or تسجيل to view quote content!

تسلم يا دكتور
بنتعلم منك

 

[mirourad]

مهتم متابع جزاك الله خير ..

 

[باسل القرشباسل القرش is verified member.]

Please, تسجيل الدخول or تسجيل to view quote content!

وانا يابنى اللى عامل الم المواضيع من وراك واثبتها
ولا اندهاش

 

[Ramy BadraanRamy Badraan is verified member.]

Please, تسجيل الدخول or تسجيل to view quote content!

ما انت علشان قولت تم تثبيت الموضوع بس
مقولتليش جزاك الله خير اخى الكريم

 

[mrso_mrso]

جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم ونفع الله بكم وأعز بكم دينه​

 

[elmasry2006elmasry2006 is verified member.]

جزبت خيرا