• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

مثبت الجزء الثاني من كورس تحليل الملفات يدويًا والهندسة العكسية 🎭💻

Ramy Badraan

Ramy BadraanRamy Badraan is verified member.

مراقب قسم الحماية وانظمة لينكس -مصمم بنرات المنتدى
طـــاقم الإدارة
فريق الدعم لقسم الحماية
نجم الشهر
فريق التصميم
كبار الشخصيات
إنضم
26 أكتوبر 2008
المشاركات
3,037
مستوى التفاعل
6,339
النقاط
3,200
الإقامة
مصر
الموقع الالكتروني
www.facebook.com
غير متصل
91828

الجزء الثاني – الغوص في أعماق التحليل العكسي 🕵️‍♂️

أهلا بيكم في الجزء الثاني من كورس تحليل الملفات المشبوهة والهندسة العكسية! 😎🔥
لو عديت من الجزء الأول، فأنت كده دخلت في الجد بقى، وهنبدأ نغوص في تفاصيل أعمق عن تفكيك وتحليل البرمجيات الضارة بشكل احترافي!

🎯 هنركز في الجزء ده على:

🔹 أدوات التفكيك العملاقة Ghidra و IDA Pro، وازاي نستخدمهم لفك شفرات أي ملف تنفيذي وتحليل الأكواد الداخلية.
🔹 تحليل سلوك البرمجيات الخبيثة باستخدام أدوات مثل Wireshark و Process Monitor، علشان نعرف الملف ده بيعمل إيه بالظبط وبيكلم مين على الإنترنت.
🔹 تشغيل الملفات المشبوهة داخل بيئة معزولة (Sandboxing) علشان نرصد سلوكها بدون ما تأذي النظام.

📌 الشرح هيكون عملي 100%، بالتفصيل الممل، مع أكواد وأمثلة كتير عشان تفهم كل نقطة كويس وتقدر تطبق بنفسك.

R8fjJFG.gif

Ghidra – عملاق الهندسة العكسية المفتوح المصدر 🚀

بناءاً على طلب اخى الغالى @Abu.amr



230306-D-IM742-4444.PNG


أولًا: يعني إيه Ghidra وبيستخدم في إيه؟

Ghidra هو أداة هندسة عكسية مجانية مفتوحة المصدر طورتها وكالة الأمن القومي الأمريكية (NSA)
وبيستخدمها الباحثين في الأمن السيبراني عشان يفككوا البرامج ويحللوا الكود بتاعها
الأداة دي منافس قوي جدًا لبرنامج IDA Pro المدفوع، وبتتميز إنها بتدعم لغات برمجة كتير
زي C، C++، Java، وكمان تقدر تكتب سكريبتات تحليل أوتوماتيكي باستخدام Python أو Java.

يعني لو عندك ملف تنفيذي غريب وشاكك فيه، تقدر تحلله باستخدام Ghidra وتعرف هو بيعمل إيه بالضبط
من غير ما تشغله وتعرض جهازك للخطر. 😏

💀💀💀💀💀💀💀💀💀💀💀💀

ثانيًا: ليه تستخدم Ghidra بدل IDA Pro؟

✅ مجاني تمامًا: عكس IDA Pro اللي سعره غالي جدًا.
✅ تحليل تلقائي للكود: بيساعدك تفهم الكود بدون ما تقعد تحلل كل حاجة يدوي.
✅ دعم سكريبتات Python و Java: تقدر تعمل تحليلات أوتوماتيكية بسهولة.
✅ دعم أكتر من معمارية معالجات: شغال مع x86، x64، ARM، وكتير غيرهم.
✅ بيشتغل على أنظمة مختلفة: Windows، Linux، و macOS.
✅ بيقدر يربط التحليل بالأدوات التانية: زي Wireshark و Volatility و Process Monitor.

💀💀💀💀💀💀💀💀💀💀💀💀

ثالثًا: ازاي تفكك برنامج باستخدام Ghidra؟

هنبدأ مع بعض خطوة خطوة عشان نحلل ملف تنفيذي باستخدام Ghidra
وليكن عندنا الملف المشبوه malware.exe.

1️⃣ فتح البرنامج وإعداد المشروع

حمل Ghidra من

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

وثبته على جهازك.
افتح البرنامج واضغط "New Project" لإنشاء مشروع جديد.
اسحب الملف التنفيذي (malware.exe) داخل المشروع.
هتظهر رسالة تسألك عاوز تعمل Auto Analysis؟
دوس "Yes" عشان يبدأ تحليل تلقائي.

2️⃣ تحليل الكود وتجميع المعلومات

بعد ما التحليل يخلص، هنشوف عدة أجزاء مهمة في البرنامج:

Functions List: قائمة بالدوال الموجودة في الكود.
Strings Window: فيها كل النصوص اللي بيستخدمها البرنامج (ممكن تلاقي فيها كلمات مرور أو عناوين سيرفرات خبيثة! 😨).
Assembly View: بيعرض كود الـ Assembly لو عاوز تحليل أعمق.

3️⃣ البحث عن الدوال المشبوهة

لو عاوز تعرف هل الملف فيه سلوك ضار ولا لأ، دور على الدوال دي:

WinExec() / ShellExecute(): لو بتستخدمهم، ممكن يكون بيشغل أوامر على الجهاز.
CreateRemoteThread(): ممكن يستخدمه عشان يعمل Injection في عمليات تانية.
VirtualAlloc() / WriteProcessMemory(): لو لقيتهم، غالبًا بيحاول يحجز ذاكرة جديدة ويكتب فيها كود (علامة على وجود بايلود!).

4️⃣ استخراج الأكواد المهمة وتحليلها

لو لقينا دالة مشبوهة، ممكن نستخدم سكريبت Python عشان نحللها أوتوماتيكيًا:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

السكريبت ده هيطبع لك كل الدوال اللي جوه البرنامج، وده بيساعدك تعرف إذا كان فيه حاجة غريبة شغالة.

5️⃣ استخراج الـ Strings المهمة

لو عاوز تشوف كل النصوص اللي جوه الملف التنفيذي، ممكن تستخدم السكريبت ده:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


السكريبت ده هيطبع لك كل النصوص اللي جوه الملف، ولو لقيت كلمات سر، عناوين IP، أو روابط ويب غريبة، غالبًا ده ملف ضار. 👀

💀💀💀💀💀💀💀💀💀💀💀💀

رابعًا: مثال عملي – تفكيك برنامج خبيث باستخدام Ghidra

الموقف:

جاتلك أداة اسمها "super_hack_tool.exe"، واللي بيقولك إنها أداة لاختراق الواي فاي مجانًا (أكيد Scam 😂).
قررت تفككها باستخدام Ghidra وتشوف هي بتعمل إيه بالظبط.

التحليل:

بعد ما حملت الملف على Ghidra، لقيت دالة اسمها check_license_key().
في نافذة الـ Strings، لقيت نص غريب:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

لما فتحت دالة check_license_key()، لقيتها بتاخد المدخلات وتبعتها لسيرفر معين!

تحليل الـ Assembly:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

باختصار، الأداة دي مش بتعمل حاجة غير إنها بتسرق بيانات المستخدم! 😱

الإجراء:

حذف الملف فورًا! 🚨

استخدام Wireshark لمراقبة الاتصال والتأكد من عدم إرسال بيانات أخرى.

💀💀💀💀💀💀💀💀💀💀💀💀

خامسًا: مقارنة سريعة بين Ghidra و IDA Pro 📊
الميزة
Ghidra
IDA Pro
السعر
مجاني
غالي جدًا 💰
التحليل التلقائي
موجود ✅
موجود ✅
دعم المعالجات
واسع جدًا 🔥
واسع جدًا 🔥
كتابة السكريبتات
Java, Python
IDC, Python
التحليل الديناميكي
❌ لا يدعم
✅ يدعم
التكامل مع الأدوات الأخرى
✅ متكامل
✅ متكامل

الخلاصة: ليه Ghidra أداة قوية جدًا؟🎯

Ghidra مش بس بديل مجاني لـ IDA Pro، لكنه بيقدم ميزات قوية زي دعم المعالجات المتعددة
كتابة سكريبتات تحليل أوتوماتيكي، والتكامل مع أدوات تانية. أي حد مهتم بالأمن السيبراني لازم يتعلمه
لأنه بيخليك تفكك وتحلل أي برنامج زي المحترفين! 💪😎


R8fjJFG.gif

-

IDA Pro – ملك الهندسة العكسية 👑


mo8cxfgld4b-twf07cwk9z7i8vq.png




IDA Pro هو أشهر وأقوى أداة تفكيك وتحليل ملفات تنفيذية (Disassembler & Debugger)
وبيستخدمه خبراء الأمن السيبراني في
تحليل البرمجيات الخبيثة، الهندسة العكسية للبرامج، وفحص الثغرات الأمنية.

أشهر استخداماته:

✅ تحليل البرامج المشبوهة واكتشاف البرمجيات الخبيثة.
✅ فحص الثغرات الأمنية في البرامج التنفيذية.
✅ استخراج الأكواد من البرامج المغلقة المصدر.
✅ دراسة طريقة عمل الفيروسات والـ malware.

💀💀💀💀💀💀💀💀💀💀💀💀

ليه IDA Pro أقوى أداة في المجال؟

✅ يدعم التحليل الثابت والديناميكي: مش بس بيعرض لك الكود، لكن كمان تقدر تنفذ البرامج وتشوف تصرفاتها في الوقت الحقيقي.
✅ تحليل تلقائي للكود: بيحاول يحول كود الـ Assembly لكود أسهل للقراءة.
✅ يدعم ديباجر داخلي (Debugger): تقدر تعمل Step-by-Step Execution وتشوف الكود أثناء التنفيذ.
✅ دعم ضخم للمعالجات المختلفة: مش بس x86 و x64، لكن كمان ARM، MIPS، وغيرها.
✅ إمكانية إضافة Plugins وسكريبتات: تقدر تستخدم Python و IDC Script لإنجاز المهام بسرعة.

💀💀💀💀💀💀💀💀💀💀💀💀

ازاي تفكك برنامج باستخدام IDA Pro؟

1️⃣ فتح البرنامج وإضافة الملف التنفيذي

شغل IDA Pro واضغط "Open".
اختر الملف التنفيذي (malware.exe).
IDA هيبدأ تحليل تلقائي ويعرض لك نافذة فيها الـ Functions, Strings, Imports, Exports.

2️⃣ استكشاف الدوال (Functions) المهمة

هتلاقي قائمة بكل الدوال في البرنامج، دور على أي دالة مشبوهةزي:
CreateRemoteThread() ➜ غالبًا فيروس بيحقن نفسه في عمليات تانية.
VirtualAlloc() / WriteProcessMemory() ➜ بيحجز ذاكرة جديدة وبيكتب فيها كود (علامة على وجود بايلود!).
WinExec() / ShellExecute() ➜ بيشغل أوامر على النظام.

3️⃣ البحث عن النصوص المخفية (Strings)

افتح "Strings" وشوف لو فيه روابط، كلمات سر، أو أوامر تنفيذ مشبوهة.
مثلًا، لو لقيت حاجة زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يبقى ده فيروس بيحذف ملفات النظام! 😱

4️⃣ تحليل الـ Assembly ومعرفة سلوك البرنامج

في نافذة الـ Disassembly، هتلاقي كود البرنامج مكتوب بلغة Assembly.
لو لقيت حاجة زي كده:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

➜ يبقى البرنامج بيحقن نفسه في عمليات تانية، وده سلوك برمجية خبيثة.

NFZnVxz.png

أمثلة عملية على تحليل البرامج باستخدام IDA Pro

🎯 المثال الأول: البحث عن كود خبيث في برنامج مجهول

السيناريو:

جالك برنامج اسمه "free_crypto_miner.exe"، وعاوز تعرف هو بيعمل إيه.

خطوات التحليل:

فتحت البرنامج في IDA Pro، ولقيت دالة مشبوهة اسمها mine_coins().
دخلت على "Strings"، ولقيت فيه عنوان محفظة بيتكوين!

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

راجعت الكود، ولقيته بيستخدم دالة GetTickCount() لقياس الوقت
وده دليل على تعدين العملات الرقمية بدون إذن المستخدم!

الحل؟ ➜ احذف البرنامج فورًا! 🚨

💀💀💀💀💀💀💀💀💀💀💀💀

🎯 المثال الثاني: استخراج بيانات مخفية من برنامج مشبوه

السيناريو:

جالك ملف تنفيذي اسمه "secret_message.exe"، وعاوز تشوف لو فيه بيانات مخفية.

التحليل:

فتحت البرنامج في IDA Pro.
دخلت على "Strings"، لكن مفيش أي حاجة واضحة.
استخدمت سكريبت Python لاستخراج النصوص من الذاكرة:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

لقيت نص مخفي جوه البرنامج:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يبقى البرنامج بيحاول يخفي معلومات باستخدام الـ Obfuscation! 😨


NFZnVxz.png

هل IDA Pro مناسب للمبتدئين؟

🔹 بصراحة، IDA Pro مش سهل، وعاوز خبرة في لغة Assembly وهندسة عكسية عشان تفهمه كويس.
🔹 لو مبتدئ، الأفضل تبدأ بـ Ghidra، وبعدها ممكن تتعلم IDA Pro.

💀💀💀💀💀💀💀💀💀💀💀💀

🎯 الخلاصة: ليه IDA Pro أداة لا غنى عنها؟

أقوى أداة هندسة عكسية في العالم.
يستخدمه محترفو الأمن السيبراني لتحليل الفيروسات والثغرات.
يدعم التحليل الديناميكي والتفكيك التلقائي للكود.
لكن عيبه الوحيد إنه غالي جدًا ، لكن لحسن الحظ انه موجود فى المنتدى ومفعل :222cool:


R8fjJFG.gif

Wireshark – عينك على الشبكة 👁️🌐

0*zFEilgbfPjq9rr9L.png


Wireshark هو أداة تحليل شبكات (Packet Analyzer)
بتخليك تشوف كل حاجة بتحصل في الشبكة وكأنك قاعد تراقب مرور العربيات في شارع كبير.

بيعمل إيه بالظبط؟

✅ بيحلل كل الباكتس (Packets) اللي بتمر في الشبكة.
✅ بيقدر يستخرج كلمات السر، الروابط، والبيانات الحساسة لو مش مشفرة.
✅ بيستخدمه خبراء الأمن في اكتشاف الهجمات والثغرات.
✅ أداة أساسية في الهندسة العكسية للبرامج اللي بتستخدم الإنترنت.

💀💀💀💀💀💀💀💀💀💀💀💀

ليه Wireshark مهم جدًا؟💡

✅ مفتوح المصدر ومجاني ➜ أي حد يقدر يستخدمه.
✅ يدعم تحليل جميع البروتوكولات تقريبًا ➜ HTTP, TCP, UDP, DNS, SSL/TLS، وغيرهم.
✅ واجهة رسومية قوية وسهلة الاستخدام ➜ مش محتاج تكتب أوامر معقدة عشان تراقب الشبكة.
✅ يتيح لك استخراج البيانات وتحليلها ➜ تقدر تشوف البيانات اللي بتمر، ولو مش مشفرة، ممكن تستخرج معلومات خطيرة!

💀💀💀💀💀💀💀💀💀💀💀💀

ازاي تستخدم Wireshark عمليًا؟🕵️‍♂️💻

1️⃣ تحميل Wireshark وتشغيله

حمّل Wireshark من الموقع الرسمي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


ثبته عادي جدًا، وتأكد إنك تثبت WinPcap/Npcap لأنه ضروري لالتقاط الباكتس.
بعد التثبيت، شغّل Wireshark وهيظهر لك كل كروت الشبكة الموجودة عندك.

2️⃣ اختيار كارت الشبكة والتقاط البيانات

بعد تشغيل البرنامج، هتلاقي قائمة بكل كروت الشبكة (Wi-Fi / Ethernet).
اختار كارت الشبكة اللي متصل بالإنترنت واضغط Start.
هيبدأ Wireshark في التقاط كل البيانات اللي بتمر في الشبكة.

3️⃣ فلترة البيانات للتركيز على الحاجة المهمة

Wireshark بيعرض ملايين الباكتس، لكن تقدر تفلترها باستخدام الفلاتر.

أهم الفلاتر اللي ممكن تستخدمها:
الفلتر​
الوظيفة​
http
يعرض فقط ترافيك الـ HTTP​
tcp.port == 80
يعرض الاتصالات على بورت 80 (HTTP)​
ip.addr == 192.168.1.1
يعرض كل الباكتس المرتبطة بهذا الـ IP​
dns
يعرض طلبات الـ DNS فقط​
ssl
يعرض اتصالات SSL/TLS المشفرة​
udp
يعرض فقط بروتوكول UDP​

NFZnVxz.png

استخراج بيانات حساسة باستخدام Wireshark🕵️‍♂️

🎯 السيناريو الأول: استخراج كلمات السر من HTTP

الخطوات:

افتح Wireshark وابدأ التقاط البيانات.
استخدم الفلتر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

هتلاقي بيانات تسجيل الدخول لو الموقع مش بيستخدم HTTPS! 😲

مثال عملي لكلمة سر في HTTP:

في المواقع اللي بتستخدم HTTP، بيانات تسجيل الدخول بتتبعت في شكل نص عادي (Plaintext) زي كده:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الحل؟ دايمًا استخدم مواقع بتدعم HTTPS! 🔒

💀💀💀💀💀💀💀💀💀💀💀💀

🎯 السيناريو الثاني: تحليل اتصالات الـ DNS لمعرفة المواقع اللي بيزورها الضحية

استخدم الفلتر ده:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

هتلاقي كل المواقع اللي تم طلبها عبر DNS، حتى لو الضحية كان في Private Mode! 😈

💀💀💀💀💀💀💀💀💀💀💀💀

🎯 السيناريو الثالث: التقاط بيانات تسجيل الدخول في FTP

بروتوكول FTP مش بيشفر البيانات، وده معناه إن لو حد دخل باسورد، ممكن تقدر تشوفه بسهولة.
استخدم الفلتر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

هتلاقي بيانات تسجيل الدخول واضحة جدًا:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

➜ تجنب استخدام FTP بدون تشفير، واستخدم SFTP أو FTPS بدلًا منه! 🚨

R8fjJFG.gif

Process Monitor – مراقبة العمليات واكتشاف البرمجيات الخبيثة 🕵️‍♂️🔍

process-monitor-1_1-1-5.png


أولًا: يعني إيه Process Monitor وبيعمل إيه؟🤔

Process Monitor، أو ProcMon اختصارًا، هو أداة من Microsoft بتراقب كل العمليات اللي بتحصل في النظام في الوقت الحقيقي (Real-time Monitoring). الأداة دي بتجمع بين 3 أدوات قديمة:
1️⃣ Filemon ➜ كان بيستخدم لمراقبة الملفات والمجلدات
2️⃣ Regmon ➜ كان بيستخدم لمراقبة الـ Registry
3️⃣ Process Explorer ➜ كان بيستخدم لمراقبة البرامج اللي شغالة
يعني باختصار، Process Monitor بيكشف كل حاجة النظام بيعملها في الخلفية، وده مهم جدًا لتحليل البرمجيات الخبيثة وفهم سلوكها! 🔥

💀💀💀💀💀💀💀💀💀💀💀💀

ثانيًا: ليه Process Monitor مهم جدًا؟💡

✅ يراقب كل العمليات في الوقت الحقيقي ➜ تقدر تشوف أي برنامج بيعمل إيه لحظة بلحظة.
✅ يكتشف البرمجيات الخبيثة بسهولة ➜ لو فيروس بيعدل في النظام أو بيتصل بالإنترنت، هتشوفه فورًا!
✅ بيوضح التعديلات على الريجستري والملفات ➜ أي تعديل بيحصل في ملفاتك أو إعدادات النظام، هتعرف مصدره.
✅ أداة قوية لاختبار البرامج الجديدة ➜ لو حملت برنامج من الإنترنت، تقدر تراقبه قبل ما تثق فيه.

💀💀💀💀💀💀💀💀💀💀💀💀

ثالثًا: ازاي تستخدم Process Monitor عمليًا؟🕵️‍♂️💻

1️⃣ تحميل Process Monitor وتشغيله​

حمّل الأداة من الموقع الرسمي لـ Microsoft:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



فك الضغط عن الملف وشغل Procmon.exe.

هيبدأ يعرض لك كل العمليات اللي بتحصل في الجهاز في الوقت الفعلي! 😱

2️⃣ ازاي تفلتر العمليات علشان تركز على الحاجة المهمة؟ 🎯

👈 Process Monitor بيعرض ملايين العمليات، فلازم نفلترها علشان نعرف نتعامل معاها بشكل أسهل.

📌 أهم الفلاتر اللي لازم تستخدمها:
الفلتر​
الوظيفة​
Process Name is malware.exe
يعرض العمليات الخاصة بملف معين​
Operation contains WriteFile
يعرض كل العمليات اللي بتكتب ملفات جديدة في النظام​
Path contains Run
يعرض أي برنامج بيضيف نفسه لقائمة تشغيل الويندوز​
Operation contains RegSetValue
يعرض التعديلات اللي بتحصل على الريجستري​
Result contains ACCESS DENIED
يعرض العمليات اللي بتفشل بسبب عدم وجود صلاحيات​

NFZnVxz.png

رابعًا: تحليل البرمجيات الخبيثة باستخدام Process Monitor 🦠

🎯 السيناريو الأول: اكتشاف برمجية خبيثة بتضيف نفسها مع بداية تشغيل الويندوز

📌 الخطوات:

افتح Process Monitor وابدأ التقاط البيانات.
استخدم الفلتر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

هتلاقي العمليات اللي بتحاول تضيف نفسها لقائمة البرامج اللي بتشتغل مع الويندوز.

لو لقيت حاجة مش معروفة زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

➜ ده معناه إن البرمجية بتحاول تثبت نفسها كبرنامج بيشتغل تلقائيًا مع كل إعادة تشغيل! 😱

🛠️ الحل:

➜ امسح المفتاح ده من الريجستري باستخدام:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

💀💀💀💀💀💀💀💀💀💀💀💀


🎯 السيناريو الثاني: اكتشاف فيروس بيعدل في ملفات النظام

📌 الخطوات:

افتح Process Monitor وابدأ تسجيل العمليات.
استخدم الفلتر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


لو لقيت برنامج بيعدل في ملفات حساسة زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

➜ ده معناه إن فيه فيروس بيحاول يعدل ملفات النظام، وده خطر جدًا! 🚨

🛠️ الحل:

➜ احذف الملف باستخدام:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


➜ بعد كده، استخدم sfc /scannow لإصلاح ملفات النظام:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

💀💀💀💀💀💀💀💀💀💀💀💀


🎯 السيناريو الثالث: اكتشاف فيروس بيتصل بعنوان IP مشبوه

📌 الخطوات:

افتح Process Monitor وابدأ تسجيل العمليات.

استخدم الفلتر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


لو لقيت برنامج بيتصل بعنوان IP غريب، زي:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

➜ ده معناه إن الفيروس بيبعت بيانات لجهاز تاني على الإنترنت! 😨

🛠️ الحل:

➜ اقفل العملية باستخدام Task Manager أو PowerShell:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


➜ حظر الاتصال باستخدام Windows Firewall:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



R8fjJFG.gif

تحليل البرمجيات الخبيثة باستخدام Sandboxing

تشغيل الفيروس في بيئة معزولة 🔥🏴‍☠️

WindowsSandbox.webp


تمام، دلوقتي جِه وقت حاجة خطيرة جدًا في تحليل البرمجيات الخبيثة، وهي Sandboxing! 🏴‍☠️💣

الـ Sandbox ده بمثابة "حلبة ملاكمة" بنرمي فيها الفيروس ونشوف هيعمل إيه بدون ما يضر جهازنا! 😈🛡️

Sandbox هو بيئة افتراضية معزولة، بتشغل فيها البرمجية الخبيثة، وتراقب كل حاجة بتعملها بدون ما تأثر على جهازك الأساسي.


✅ تقدر تراقب:

الملفات اللي بتعدلها البرمجية
العمليات اللي بتشغلها
الاتصالات اللي بتعملها على الإنترنت
أي تغييرات على الريجستري أو النظام

🔥 يعني لو عندك فيروس خطير، بدل ما تجربه على جهازك، جربه في الـ Sandbox وراقب سلوكه بأمان! 🔥

💀💀💀💀💀💀💀💀💀💀💀💀

ليه الـ Sandboxing مهم؟

✅ تحليل البرمجيات الخبيثة بأمان ➜ بدل ما تشغل الفيروس على جهازك وتندم، شغله في بيئة افتراضية!
✅ اكتشاف سلوك الفيروسات ➜ هل بتعدل ملفات؟ بتضيف نفسها للريجستري؟ بتتصل بسيرفر؟
✅ مهم جدًا لمحللي الأمن السيبراني ➜ عشان تقدر تفهم طبيعة التهديدات وتعرف طريقة مكافحتها.

💀💀💀💀💀💀💀💀💀💀💀💀

كشف الفيروسات باستخدام Windows Sandbox

🔥 لو بتستخدم Windows 10 أو 11 Pro، عندك أداة رسمية من مايكروسوفت اسمها Windows Sandbox، ودي عبارة عن ويندوز معزول تقدر تشغل فيه أي حاجة بأمان!

💀💀💀💀💀💀💀💀💀💀💀💀


تشغيل Windows Sandbox

افتح Control PanelTurn Windows features on or off
فعل خيار Windows Sandbox
بعد إعادة التشغيل، هتلاقي Windows Sandbox في البحث

🔥 دلوقتي تقدر تشغل البرمجية المشبوهة جوه الـ Sandbox بدون ما تأثر على جهازك الأساسي! 🔥

💀💀💀💀💀💀💀💀💀💀💀💀

🎯 الخلاصة: ليه Sandboxing أداة مهمة؟

✅ بيسمح لك بتحليل الفيروسات بدون ما تأذي جهازك الأساسي
✅ يكشف لك كل حاجة البرمجية الخبيثة بتعملها بدون مخاطرة
✅ أداة أساسية لمحللي الأمن السيبراني والـ Reverse Engineering


R8fjJFG.gif



وبكده نكون وصلنا لنهاية الجزء الثاني من كورس تحليل الملفات المشبوهة والهندسة العكسية! 😎💪
في الجزء ده، غطينا أدوات التفكيك القوية Ghidra و IDA Pro، واتعلمنا إزاي نحلل سلوك البرمجيات الخبيثة باستخدام Wireshark و Process Monitor، وكمان عرفنا يعني إيه Sandboxing وازاي نحاصر أي ملف مشبوه ونرصد تحركاته زي المحترفين! 🕵️‍♂️🔍


لكن استنوا… لسه المهمة مخلصتش! 😈🔥

في الجزء الثالث، هنخش بقى على المواضيع التقيلة جدًا:
🔹 فحص الذاكرة (Memory Analysis) – هنشوف البرمجيات الخبيثة وهي مستخبية في الـ RAM ونعرف إزاي نكشفها بأدوات احترافية.
🔹 البايلود (Payloads) وطرق تنفيذه – هنتكلم عن الحاجات اللي فعليًا بتسبب الضرر في البرمجيات الخبيثة وازاي بتشتغل من تحت لتحت! 😏

📌 استعدوا للمرحلة الجاية، هتكون مليانة أسرار وأدوات متقدمة! 🔥
لو عندك أي أسئلة أو حابب تضيف حاجة، قوللي في الكومنتات! 😉💬
لو استفدت من الجزء دة وبقيت محترف فيه يبقى شوف الجزء الثالث هنا



s3S4xmO.gif


 

توقيع : Ramy BadraanRamy Badraan is verified member.
ما شاء الله إيه الجمال ده فين الجزء الاول
جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم ونفع الله بكم وأعز بكم دينه​
 
توقيع : mrso_mrso
توقيع : Ramy BadraanRamy Badraan is verified member.
بارك الله فيك اخى رامى موضوع ممتاز
لم تذكر اهم شى بيئة العمل ( ويندوز ٠ لينكس ) من زمن اعرف الكراكرز بيشتغلوا ب ويندوز ٧ او xp فقط لدعم الادوات بالكامل هل تغير هذا يعنى الادوات لان تعمل على ويندوز 10 او اعلى بدون مشاكل
تانى شى لازم اقفل الديفيندر والانتى فيرس اثناء العمل
واية رايك فى البرمجيات الخبيثة للى متكودة انها متشتغلش على اى نظام وهمى لازم الويندوز الاصلى لتعمل وتخفى نفسها حلها اية
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

صحيح، زمان الكراكرز والمحللين كانوا بيفضلوا ويندوز 7 و XP لأن معظم الأدوات كانت متوافقة معاهم بشكل كامل، لكن الوضع دلوقتي اتغير تمامًا. أغلب الأدوات الحديثة بقت بتشتغل على ويندوز 10 و 11 بدون مشاكل، وكتير منها بقى ليه دعم رسمي للإصدارات الأحدث. طبعًا في بعض الأدوات القديمة اللي ممكن تحتاج تعديلات أو تشغيلها في وضع التوافق (Compatibility Mode) عشان تشتغل بكفاءة.
أما بخصوص إغلاق الـ Windows Defender والأنتي فيرس أثناء التحليل فده مهم جدًا، لأن برامج الحماية ممكن تمنعك من تشغيل أو تحليل البرمجيات الخبيثة. لكن الأفضل إنك تشتغل في بيئة معزولة بحيث تقدر تعطل الحماية بدون ما تعرض جهازك للخطر
أما عن البرمجيات الخبيثة اللي مش بتشتغل على الأنظمة الوهمية في أنواع من الـ Malware Detection Techniques بتمنع تشغيل البرمجيات في بيئة افتراضية زي VMware, VirtualBox أو حتى Sandboxie، والسبب إن المخترق عايز يضمن إن البرمجية هتشتغل بس على نظام حقيقي مش معمل مخصوص للتحليل
حلها بسيييييييييييييييييييييط جداً
استخدم hyper-v ،، دة بيخدع الهاكر بيحسسه انه على نظام حقيقى
ولو عايز تستخدم غيره يبقى غير ال MAC Address بتاع الشبكة
 
توقيع : Ramy BadraanRamy Badraan is verified member.
جزاك الله كل خير اخي
 
الله يحفظك استاذ رامي
وجعله الله عز وجل بي ميزان حسناتك :rose:
 
توقيع : hani forcehani force is verified member.
بسم الله ما شاء الله لا قوة إلا بالله
مشكور أخي الفاضل على هذا الموضوع المتميز والجهد الكبير المبذول
بارك الله فيك وجزاك الله خيراً وجعله الله في ميزان حسناتك
أفادنا الله بعلمك وعملك
 
توقيع : aldswqi
جزاك الله خيراً
 
توقيع : alranteesi
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى