• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

مثبت الجزء الأول من كورس تحليل الملفات يدويًا والهندسة العكسية (Reverse Engineering) كورس تدريبي شامل للمبتدئين والمحترفين! 🎓

Ramy Badraan

Ramy BadraanRamy Badraan is verified member.

مراقب قسم الحماية وانظمة لينكس -مصمم بنرات المنتدى
طـــاقم الإدارة
فريق الدعم لقسم الحماية
نجم الشهر
فريق التصميم
كبار الشخصيات
إنضم
26 أكتوبر 2008
المشاركات
3,037
مستوى التفاعل
6,339
النقاط
3,200
الإقامة
مصر
الموقع الالكتروني
www.facebook.com
غير متصل

91828
K37SunL.gif


بناءاً على طلب الجماهير :222cool:

هنبدأ مع بعض كورس كامل عن تحليل الملفات يدوياً والهندسة العكسية بشكل مبسط وعميق
الموضوع ده هيكون شامل جدًا، ومش بس هنتعلم إزاي نحلل الملفات
لكن هنكتشف مع بعض إزاي نفك شفرات الملفات، نشوف أكواد البرامج، ونتعامل مع البرمجيات الضارة بكل سهولة.

لو كنت مبتدئ أو محترف، ده الموضوع اللي هيساعدك تعرف كل حاجة! 😎


💀💀💀💀💀💀💀💀💀💀💀💀

🛠️ ما هو التحليل اليدوي للملفات؟

تحليل الملفات يدوياً هو العملية اللي فيها تفتح ملف معين وتبدأ تفحصه "بشكل داخلي" عشان تفهم:
إيه المعلومات اللي موجودة فيه؟
هل الملف آمن؟
لو كان فيه أي كود أو أمر غريب، ممكن يكون خطير عليك.

💀💀💀💀💀💀💀💀💀💀💀💀

الأدوات الأساسية للتحليل اليدوي:

Hex Editor (HxD):

الأداة دي هي الأساس في التحليل اليدوي. هتساعدك تعرض محتويات الملف بشكل Hexadecimal علشان تقدر تشوف البيانات المشفرة.

وظيفتها:

بتعرضلك الملف بشكل هيكس، وده هيساعدك تكتشف النصوص أو الأكواد المخفية جوه الملف.

تحميل HxD:

اضغط هنا لتحميل

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

.

R8fjJFG.gif

خطوات التحليل باستخدام Hex Editor:

افتح الملف باستخدام HxD.

هتلاحظ إن البيانات بتظهر على شكل أرقام وحروف مثل:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الكلام ده مش هيبقى ليه معنى لو مش عارف تقراه. بس لو دققت هتقدر تلاحظ حاجات مش طبيعية زي النصوص المشوهة أو الشيفرات الغريبة.

zIpCQOl.png


💀💀💀💀💀💀💀💀💀💀💀💀

أمثلة عملية:

مثال 1:
لو لقيت نصوص مش مفهومة زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده بيكون مؤشر على إن في حاجة مش طبيعية في الملف.

لو لقيت النص ده، حاول تستخدم A-string علشان تكتشف النصوص الخفية زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده مثال على نص خفي داخل الملف!

ممكن تلاقي كود زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الكود ده بيكون موجود داخل ملف مخفي عشان ما يبقاش ظاهر في التحليل العادي، وفي أغلب الأحيان بيكون جزء من فيروس أو كود ضار.


R8fjJFG.gif

Notepad++:

Notepad++ هو برنامج عظيم يساعدك تفتح الملفات النصية وتشوف الكود اللي بداخلها.

Notepad-plus-plus-icon.png

وظيفته:

يفتح لك الملفات النصية ويعرضلك الكود الخاص بيها.

تحميل Notepad++:

اضغط هنا لتحميل

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

.


💀💀💀💀💀💀💀💀💀💀💀💀

خطوات التحليل باستخدام Notepad++:

افتح الملف باستخدام Notepad++.
هتلاحظ إن الكود بيظهر بشكل واضح، وبتقدر تقرأ أي نصوص أو أكواد موجودة.

💀💀💀💀💀💀💀💀💀💀💀💀

أمثلة عملية:

مثال 1:
لو لقيت كلمات زي JavaScript أو eval أو exec داخل الملف، ده مؤشر إن الملف ممكن يكون خطير.

مثال 2:
لو لقيت كود زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


ده كود ضار، وده بيحاول ينفذ أمر معين على جهازك.


R8fjJFG.gif

أدوات أخرى مهمة:

VirusTotal:
موقع رائع ترفع عليه الملف اللي مش عارف عنه حاجة، والبرنامج هيخبرك لو كان فيه أي شيء مشبوه.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



Strings Tool:
أداة بسيطة تساعدك تكتشف النصوص الموجودة داخل الملفات التنفيذية.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



R8fjJFG.gif

🧩

ما هي الهندسة العكسية؟

الهندسة العكسية هي عملية دراسة البرمجيات أو الأجهزة لمعرفة كيفية عملها
مثلاً لو عندك برنامج مش عارف عنه حاجة، ممكن تعمل له "هندسة عكسية" عشان تفهم الكود الخاص بيهم أو حتى تعدل عليه.


💀💀💀💀💀💀💀💀💀💀💀💀

الأدوات الأساسية للهندسة العكسية:

IDA Pro

IDA Pro من أشهر أدوات الهندسة العكسية، بتمكنك من فك الملفات التنفيذية وتحليل الكود البرمجي الخاص بيها.

image

وظيفتها:

بتعرضلك الكود البرمجي الموجود داخل الملف.

تحميل IDA Pro:

اضغط هنا لتحميل IDA Pro .


💀💀💀💀💀💀💀💀💀💀💀💀

خطوات التحليل باستخدام IDA Pro:

افتح الملف باستخدام IDA Pro.
هتلاحظ إن الأداة بتعرض لك كل الكود البرمجي الموجود داخل الملف.

أمثلة عملية:

مثال 1:
لو لقيت سطور زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده ممكن يبقى كود ضار بيحاول يتصل بموقع مشبوه. الكود ده هو طريقة لتحميل أكواد ضارة من الإنترنت.


مثال 2:
لو لقيت أكواد زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده يعني إن الملف ده غالبًا بيحاول ينفذ ملف ضار!


مثال 3:
لو لقيت كود زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده بيوضح إن الكود بيحاول يعمل Download لملف تنفيذي من الإنترنت أو من مكان مخفي في الجهاز، وعادةً ده بيكون فيروس أو برمجية ضارة.


R8fjJFG.gif

OllyDbg

OllyDbg أداة Debugger قوية جدًا، بتساعدك تتبع التعليمات داخل الملف التنفيذي خطوة بخطوة.

800px-Logo_OllyDbg.svg.png

وظيفتها:

تتبع العمليات اللي بيقوم بيها البرنامج عند التشغيل، وده هيساعدك تكتشف أي أكواد ضارة.

تحميل OllyDbg:

اضغط هنا لتحميل

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

.


💀💀💀💀💀💀💀💀💀💀💀💀

خطوات التحليل باستخدام OllyDbg:

افتح OllyDbg، وابدأ تتبع التعليمات خطوة بخطوة.

أمثلة عملية:

مثال 1:
لما تلاقي الكود بيحاول يعمل تحميل لملف تاني زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الملف ده غالبًا بيحاول ينفذ ملف ضار!

مثال 2:
لو لقيت أي أكواد زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده يعني إن الملف بيكتب بيانات على الجهاز!

R8fjJFG.gif

أدوات تحليل وتقنيات متقدمة:


حقن الأكواد (Code Injection)

حقن الأكواد هو عملية يقوم فيها المهاجم بحقن كود ضار داخل عملية أو برنامج موجود على الجهاز، بهدف استغلاله لتنفيذ الأكواد الضارة.


كيفية اكتشاف Code Injection؟
إدخال الأكواد الضارة غالبًا بيتم عن طريق سلاسل من الأوامر التي يتم إدخالها إلى الذاكرة.

أدوات للكشف عن Code Injection:

Immunity Debugger
أداة قوية لتحليل الأكواد، بتساعدك تكتشف حقن الأكواد داخل أي عملية في النظام.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


لمراقبة العمليات

مثال:
لو لقيت كود زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده يعني إن فيه حقن كود بيتم تحميله إلى ذاكرة النظام! الكود ده بيحاول تحميل مكتبات أو ملفات
DLL. ضارة

💀💀💀💀💀💀💀💀💀💀💀💀

التخفى (Obfuscation):

التخفى هو تقنية تهدف إلى جعل الكود البرمجي أو الملفات التنفيذية صعبة الفهم أو التحليل. الهدف من التخفى هو إعاقة أي محاولة لفهم الكود.

كيفية اكتشاف Obfuscation؟
في الغالب بيتم استخدام تقنيات مثل التشفير أو تغيير أسماء المتغيرات والوظائف لجعل الكود معقدًا.


أدوات لاكتشاف Obfuscation:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


أداة decompiler تسترجع الكود الأصلي من ملفات APK أو .NET.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


أداة تفكيك APK تقدر تسترجع الكود الأصلي من ملفات APK.

مثال:
لو لقيت كود زي ده:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ده كود مشفر بـ Base64، وبيحتاج Deobfuscation علشان تفهمه. الكود ده لما يتحلل هيظهر لك النص الأصلي مثل:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R8fjJFG.gif

تقنيات تحليل متقدمة إضافية

1. الحقن في الريجستري (Registry Injection):

هي عملية حقن الأكواد الضارة في الريجستري لكي يتم تنفيذها في كل مرة يبدأ فيها النظام.


حلول:

استخدم Regedit لفحص الريجستري.
استخدم

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

لفحص البرامج التي تبدأ تلقائيًا مع النظام.


مثال:

إذا لقيت مدخلات مشبوهة في الريجستري، زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

تأكد من فحص أي مدخلات غريبة قد تكون تشير إلى كود ضار.

💀💀💀💀💀💀💀💀💀💀💀💀

2. الحقن في العمليات (Process Injection):

هي عملية حقن الكود داخل عملية نظام قائمة، مما يسمح للكود الضار بالعمل بشكل مخفي داخل عملية النظام.

حلول:

استخدم ProcMon لمراقبة العمليات.
استخدم Process Explorer لمراجعة العمليات الجارية في النظام.

مثال:
إذا لقيت عملية مشبوهة داخل Task Manager أو أي أداة لمراجعة العمليات، حاول تتبع العملية باستخدام ProcMon وتحقق من أي تغييرات غير طبيعية.

R8fjJFG.gif

أدوات أخرى مهمة:

Ghidra:
أداة مجانية من NSA لتحليل البرمجيات.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



Radare2:
أداة قوية للهندسة العكسية تعمل من خلال السطر الأوامر.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R8fjJFG.gif

وفى النهاية هنقول شوية نصايح🔐

تجنب تحميل الملفات من مواقع مش موثوقة.
كل ما تنزل ملف جديد، افحصه باستخدام VirusTotal.
لا تفتح أي ملفات مشبوهة على جهازك الرئيسي، افتحها على جهاز تجريبي (Virtual Machine).
اتعلم تستخدم الأدوات اللي ذكرتها فوق، لأنها هتخليك محترف 😎.

🙏

دلوقتي إحنا خلصنا مع بعض تحليل الملفات يدوياً والهندسة العكسية
الموضوع ده كان مليان تفاصيل وأدوات وأمثلة عملية ودى البداية
وبإذن الله هنتعمق اكتر فى السلسلة
لو عندك أي سؤال اكتبه فى التعليقات

💀💀💀💀💀💀💀💀💀💀💀💀

لو استفدت من الجزء دة وبقيت محترف فيه يبقى شوف الجزء الثانى هنا


s3S4xmO.gif


 

توقيع : Ramy BadraanRamy Badraan is verified member.
ما شاء الله تبارك الله ♥️ فنان يانجم النجوم ♥️
ممتاز جدا والله ياصديقي شغل كدا VIP ✅❤️

موضوع مميز يستحق التقدير ✅♥️ .. واصل ابداعك وتميزك
 
رائع جدا جدا
مع أني مش شغوف بالهندسة العكسية بس انا حابب أكمل عشان أطبق وأجرب على برامجي والكراكات العامة
بالتوفيق يا صديقي
 
توقيع : MesterPerfectMesterPerfect is verified member.
ايوكده من زمان كان لازم تعمل الكورس
ده
يا راجل انت عظمة على عظمة على عظمة

فعلا امبراطور وبلص بروفيسور ما شاء الله
عنك محروس من العين وشر الحاسدين
من بكره ان شاء الله حتابع معك الكورس
ان شاء الله
وعلى فكرة لازم تعمله كتاب PDF
مفيد جدا للجهله امثالي;222)
 
موضوع ممتاز اخى رامى وان شاء الله نوصل لجزء الغيدرا اهم شى عندى
 
بسم الله ما شاء الله لا قوة إلا بالله
مشكور أخي الفاضل على هذا الموضوع المتميز والجهد الكبير المبذول
بارك الله فيك وجزاك الله خيراً وجعله الله في ميزان حسناتك
أخي الفاضل
أي ملفات أحملها من هنا
0.webp

ومن هنا

1.webp


أفادنا الله بعلمك وعملك
 
التعديل الأخير:
توقيع : aldswqi

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

حاضر يا غالى هنزلهالك فى الجزء التانى
انا كنت هكتفى ب Ida Pro لكن هنزلك شرح ل Ghidra علشانك مخصوص
 
توقيع : Ramy BadraanRamy Badraan is verified member.
توقيع : Ramy BadraanRamy Badraan is verified member.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

حبيبى يا ابو محمد
يا باشا جهلة ايه انت برنس واحنا بنتعلم منك
 
توقيع : Ramy BadraanRamy Badraan is verified member.
مساء الخير على احلى برووف
واسمحلي اناديك برووف اختصار(بروفيسور)
بعدين انت ضرتني اوي
ازاي حتابع مسؤولياتي في المنتدى وانا
قاعد عندك ليل ونهار بتعلم بيسير
كده يا حبيبي
دنا مستمتع يا راجل بالشرح
وتارك الدنيا وراي
طلبي بسيط وهو انك تعلمنا كل شئ
وما تترك اي شئ
تحياتي لك
والله يعطيك الصحه والعافيه
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

استغفر الله احنا اللي منتعلم منك
وعلى فكرة مش عيب
اني اتعلم منك
يا راجل ما هو على يدك يا حبيبي
هو انا ما اولتلكش
دنا طلعت ما بعرفش😁
 
حا جيب فنجان النسكافيه
وان شاء الله نبدا الان
على بركة الله
اصل متحمس اووي
 
تم تثبيت الموضوع
 
توقيع : باسل القرشباسل القرش is verified member.
شرح استاذ كبير اخي الغالي رامي :rose:
 
توقيع : hani forcehani force is verified member.
توقيع : Ramy BadraanRamy Badraan is verified member.
مهتم متابع جزاك الله خير ..
 
توقيع : mirourad

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

وانا يابنى اللى عامل الم المواضيع من وراك واثبتها
ولا اندهاش
 
توقيع : باسل القرشباسل القرش is verified member.

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ما انت علشان قولت تم تثبيت الموضوع بس
مقولتليش جزاك الله خير اخى الكريم :222rolleyes:
 
توقيع : Ramy BadraanRamy Badraan is verified member.
جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم ونفع الله بكم وأعز بكم دينه​
 
توقيع : mrso_mrso
جزبت خيرا
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى