Ramy Badraan
مراقب قسم الحماية وانظمة لينكس -مصمم بنرات المنتدى
طـــاقم الإدارة
فريق الدعم لقسم الحماية
نجم الشهر
فريق التصميم
كبار الشخصيات
- إنضم
- 26 أكتوبر 2008
- المشاركات
- 3,060
- مستوى التفاعل
- 6,360
- النقاط
- 3,200
- الإقامة
- مصر
- الموقع الالكتروني
- www.facebook.com
غير متصل
الجزء دة بعنوان
لما الفيروس يفكر إنه يستخبى، واحنا نقوله "على فين يا سطى ؟" 
يا ترى فاكر لما كنا لسه في البداية؟ كنا بنتعامل مع الملفات المشبوهة بحذر، بنفحصها
ونحللها خطوة خطوة، وكأننا بندور على إبرة في كومة قش!
بس مع كل جزء فاتكنا بنقرب أكتر للحتة اللي محدش بيتكلم عنها
"إزاي البرمجيات الخبيثة بتقدر تهرب من برامج الحماية وتستخبى؟"
في الأجزاء اللي فاتت، عملنا حفلة على الفيروسات:في الجزء الأول كنا بنمسك الملفات ونفحصها ونشوف فيها إيه الغريب.
في الجزء الثاني دخلنا جوه الحماية وبدأنا نكشف لعب العيال اللي بيعملوه عشان يستخبوا.
في الجزء الثالث قلبنا عليهم الترابيزة، وبدل ما يستخبوا في الذاكرة، بقينا بنفحص الذاكرة ونطلعهم منها واحد واحد!
لكن لسه فيه مرحلة أخيرة... المرحلة اللي تخلي الهاكر اللي صنع الفيروس يقفل اللابتوب ويروح ينام وهو بيعيط!
الجزء الرابع والأخير ده هو كشف المستور!هنشوف إزاي الفيروسات بتقدر تخدع برامج الحماية
وهنستخدم تكتيكات متطورة عشان نكشفها ونمسحها من غير ما تسيب أثر!
مستعد؟ ده آخر ليفل... وهنطلع منه وحوش! 
يعني إيه تقنيات التهرب من الحماية؟
بص يا نجم، برامج الحماية (Antivirus, EDR, Sandboxing) شغالة زي كلاب الحراسة، أي حركة غريبة في الجهاز بتشمشم عليها وتبلّغ عنك على طول! لكن الهاكرز مش أغبيا، بيستخدموا شوية خدع قذرة علشان يعدوا من تحت الرادار وكأنهم "شبح في المدينة"! 
التقنيات دي بتسمح للبرمجيات الخبيثة إنها تفضل متخفية ومتشتغلش إلا في ظروف معينة، وده اللي بيخلي الفيروسات الذكية أصعب في الاكتشاف.
أهم تقنيات التهرب من الحماية
التشفير والتعتيم (Obfuscation & Encryption) – اللعب بالظلال 
لو الفيروس شكله واضح في الكود، الأنتي فيرس هيشوفه بسهولة
زي ما بتشوف صاحبك جاي من آخر الشارع لابس تيشيرت أحمر في نص الليل!
فالمخترق بيستخدم التشفير والتعتيم علشان يخفي معالم الكود الشرير.
التعتيم (Obfuscation)
يعني إنك تغيّر شكل الكود بدون ما تغيّر وظيفته. زي إنك تكتب جملة "أنا جاي" بطريقة غريبة "1n4 J4y" علشان محدش يفهمها بسرعة!
مثال على تعتيم كود بسيط بلغة Python:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
التشفير (Encryption)
لو المخترق شاف إن التعتيـم مش كفاية، يبقى الحل هو تشفير الكود بالكامل، بحيث مفيش حد يقدر يفهمه غير الفيروس نفسه لما يشتغل. مثال: تشفير البايلود باستخدام XOR:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
وده يخلي الكود مش مفهوم للأنتي فيرس، لكن الفيروس نفسه هيعرف يفك التشفير وقت التشغيل.
فحص بيئة التشغيل – أعرف أنا شغال فين! 
البرمجيات الخبيثة مش بتشتغل بشكل غبي، بالعكس، بتسأل نفسها:
"أنا في بيت حقيقي؟ ولا في فخ؟"علشان كده، بتستخدم طرق مختلفة علشان تكتشف هل هي في بيئة تحليل زي Virtual Machine (VM) أو Sandbox ولا على جهاز ضحية حقيقي. ولو لقت إنها في بيئة وهمية، ببساطة مش بتشتغل!
طرق الكشف عن الأنظمة الوهمية:
فحص وجود ملفات أو برامج مميزة للـ VMs زي VirtualBox أو VMware. التحقق من عدد النوى في المعالج (معظم الـ VMs بتكون نواة واحدة أو نواتين). محاولة تشغيل أمر يستهلك موارد كبيرة، لو الجهاز كان ضعيف يبقى غالبًا VM. مثال بلغة PowerShell:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
تحليل سلوك المستخدم – لو الجهاز نايم، الفيروس كمان نايم! 
بعض الفيروسات الذكية بتقول:"مش هشتغل غير لما أحس إن في حد شغال على الجهاز بجد!"
يعني لو الجهاز قاعد سايب الشاشة مفتوحة من غير ما حد يحرك الماوس أو يكتب على الكيبورد، الفيروس ممكن ميشتغلش لأنه هيفترض إنه جوه معمل تحليل!
مثال بلغة C#:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
هنا الفيروس هيحسب لو الجهاز بقاله دقيقة من غير استخدام، مش هيشتغل!
إخفاء العمليات في النظام – لا أظهر ولا أبان! 
بعض البرمجيات الضارة بتستخدم تقنيات متقدمة علشان تختفي تمامًا من مدير المهام (Task Manager) ومن أدوات تحليل العمليات. 
طرق التهرب من الكشف: Rootkits – تعديل الكيرنل لإخفاء العملية. Process Hollowing – تشغيل ملف شرعي (زي explorer.exe) وحقن الكود الخبيث فيه. DLL Injection – تحميل مكتبة خبيثة جوه عملية شرعية. مثال على حقن كود في عملية شرعية باستخدام C:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
هنا الكود بيزرع بايلود جوه عملية تانية عشان يختفي من عين برامج الحماية!
الخلاصة
البرمجيات الخبيثة مش مجرد "فيروس" عادي، دي بقت وحش متخفي! 
كل الطرق دي بتساعد المخترقين يعدّوا من تحت أنف برامج الحماية بدون ما حد يحس بيهم.لكن بما إننا بقينا خبراء في تحليل الملفات، فإحنا عندنا الأدوات والأساليب اللي تكشف الخدع دي وتحبطها قبل ما تتسبب في كارثة!
الحلول لمكافحة تقنيات التهرب من الحماية (Anti-Evasion Techniques)
مكافحة التعتيم والتشفير (Obfuscation & Encryption)
المشكلة: البرمجيات الضارة بتخفي الأكواد بتاعتها باستخدام تعتيم (Obfuscation) أو تشفير (Encryption) علشان تبوظ على برامج الحماية فكرة تحليلها. الحل: استخدام أدوات تحليل ثابت (Static Analysis) زي de4dot و DNSpy لفك تعتيم الأكواد .NET. استخدام Sandboxing وتحليل السلوك، لأنه حتى لو الكود مش مفهوم، التصرفات الشريرة هتفضحه! تجربة Unpacking Tools زي UPX -d لفك التشفير عن الملفات المضغوطة. التعديل على الذاكرة أثناء التشغيل باستخدام x64dbg أو OllyDbg لفك تشفير الأكواد قبل تنفيذها. مثال على كشف التعتيم باستخدام Python:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
كشف بيئات التشغيل الوهمية (Anti-VM & Anti-Sandbox)
المشكلة:البرمجيات الخبيثة بتكتشف لو هي شغالة في بيئة تحليل وهمية زي VMware أو VirtualBox وبتوقف نفسها علشان ما تتكشفش.
الحل: تزوير معلومات البيئة الافتراضية باستخدام Anti-anti-VM techniques بحيث نجعل النظام الوهمي يبدو وكأنه جهاز حقيقي. استخدام Fake User Activity Tools، زي توليد تحركات ماوس وهمية. إضافة ملفات نظام زائفة بحيث لو الفيروس بيدور على وجود VMware, يلاقي بيانات تخليه يعتقد إنه على جهاز حقيقي. استخدام أنظمة تشغيل معدلة مثل Windows 10 Debloated اللي بتقلل فرص اكتشاف الفيروسات لبيئة التحليل. مثال على إنشاء بيئة وهمية مضللة بلغة PowerShell:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
مكافحة كشف سلوك المستخدم (Anti-User Activity Detection)
المشكلة: بعض البرمجيات الخبيثة بتوقف نفسها لو لقت إن مفيش تحركات على الماوس أو الكيبورد.الحل: استخدام أدوات تحاكي نشاط المستخدم زي Fake Mouse Movement أو تشغيل سكريبتات تحرك الماوس عشوائيًا. إجبار الفيروس على التشغيل في وضع معين عبر Process Injection أو DLL Hooking عشان يمنعه من فحص نشاط المستخدم. تحليل التعليمات البرمجية باستخدام IDA Pro أو Ghidra لتحديد مكان الأكواد اللي بتوقف الفيروس، وإزالتها! مثال على تحريك الماوس تلقائيًا باستخدام Python:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
كشف البرمجيات الخبيثة التي تخفي نفسها (Process Injection & Rootkits)
المشكلة: بعض الفيروسات بتختفي من الـ Task Manager أو بتحقن نفسها داخل عمليات نظيفة زي explorer.exe عشان تتجنب الكشف.الحل: استخدام أدوات كشف العمليات المخفية زي Process Explorer أو GMER علشان نعرف العمليات المخفية والحقن في الذاكرة. تحليل سلوك الـ API Calls باستخدام Sysmon و Procmon لرصد أي عمليات غير شرعية. استخدام Memory Dumping عبر Volatility علشان نستخرج أي كود مخفي من الذاكرة. إيقاف تشغيل أي خدمة مشبوهة باستخدام sc stop <ServiceName> علشان نوقف أي كود خبيث. مثال على كشف العمليات المخفية باستخدام PowerShell:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
مثال على استخراج ذاكرة عملية باستخدام Volatility:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
حتى لو الفيروس اختفى من مدير المهام!
الخلاصة: الحرب مستمرة بين الهاكرز وبرامج الحماية!
بكده، عرفنا إن البرمجيات الضارة مش بتهاجم بشكل مباشر، لكنها بتعتمد على الاختباء والتلاعب بالبيئة عشان تفضل تحت الرادار. وعلشان كده، إحنا لازم نكون دايمًا خطوة قدامهم ونستخدم أدوات التحليل والتصدي لكل خدعة ممكنة.
اكتشاف وتقنيات التهرب من الحماية باستخدام ملف التشغيل الذاتي
(Process Hollowing & Thread Injection)
المشكلة:
البرمجيات الخبيثة مش بتكتفي بالاختفاء أو التمويه، لكنها بتلعبها صح عن طريق حقن نفسها داخل عمليات شرعية. بمعنى إيه؟بدل ما الفيروس يشتغل كبرنامج مستقل ويتقفش، هو بيروح يشغل عملية شرعية زي svchost.exe أو explorer.exe، وبعد كده يفضي محتواها ويدخل كوده الشرير فيها، وكأن العملية دي شغالة بشكل طبيعي في النظام.
أشهر التقنيات اللي بيستخدمها الهاكرز في الحقن دي:- Process Hollowing
→ بيحذف الكود الأصلي لبرنامج نظيف ويحط مكانه كود خبيث. - Thread Injection
→ بيحقن كود داخل خيط (Thread) موجود في عملية شغالة بالفعل.
الحل: كشف وإيقاف حقن العمليات
استخدام أدوات تحليل العمليات زي Process Hacker و Process Explorer لرصد أي عملية مشبوهة. مراقبة سلوك الـ API Calls، زي CreateRemoteThread و NtUnmapViewOfSection اللي بتستخدم في حقن العمليات. استخدام Volatility لاستخراج الذاكرة وكشف أي عمليات متلاعب بها. تتبع العمليات الجديدة باستخدام Sysmon أو Procmon من Windows Sysinternals.
أمثلة عملية للكشف عن حقن العمليات
كشف عملية حقن باستخدام PowerShell:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
الكود ده هيعرض أي عملية استخدمت CreateRemoteThread، وهو API مشهور جدًا في الحقن.
استخراج العمليات المتلاعب بها باستخدام Volatility:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
الأمر ده بيعرض كل العمليات اللي فيها كود غير طبيعي، وبالتالي نقدر نعرف إيه العمليات اللي تم حقنها!
كشف العمليات الغريبة باستخدام Python:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ده هيراجع كل العمليات اللي المفروض تكون نظيفة، ويشوف لو فيها حاجة غريبة.
الخلاصة:
لو في عملية زي svchost.exe أو explorer.exe شكلها بريء لكن استهلاك الـ CPU بتاعها غريب أو فيها CreateRemoteThread،يبقى غالبًا حصلها حقن ضار. وعلشان كده، لازم دايمًا نكون متأهبين ونستخدم الأدوات الصح عشان نكشف أي لعب مش نظيف.
التهرب من الحماية باستخدام تقنيات Living off the Land (LOLBins)
المشكلة:
الحماية بقت أذكى بكتير، ومعظم برامج الـ Antivirus و EDR (Endpoint Detection & Response) بقت تقدر تكتشف أي ملف خبيث بسهولة، حتى لو كان مشفر.طيب، الهكرز يعملوا إيه؟
الحل ببساطة: ما تستخدمش ملفات تنفيذية خارجية أصلاً!
بدل ما يشغل ملف EXE مشبوه → يستخدم أدوات موجودة أصلًا في الويندوز لتنفيذ الهجوم!دي بيسموها Living off the Land Binaries (LOLBins)، يعني استخدام أدوات شرعية موجودة في النظام لتنفيذ أوامر خبيثة بدون ما يثير أي شكوك!
أشهر أدوات الويندوز اللي بيستخدمها الهاكرز في الهجمات:
- PowerShell → تشغيل سكريبتات خطيرة بدون تحميل ملفات خبيثة.
- Mshta.exe → تشغيل أكواد HTML و JS خبيثة.
- Rundll32.exe → تشغيل دوال من ملفات DLL بشكل خفي.
- Regsvr32.exe → تشغيل DLLs وتحميل أكواد عن بعد.
- Certutil.exe → تحميل ملفات مشبوهة من الإنترنت تحت غطاء "إدارة الشهادات الرقمية".
الحل: كشف وتقليل مخاطر LOLBins
مراقبة الأوامر المشبوهة في PowerShell باستخدام Sysmon و Procmon. تعطيل تشغيل الأدوات الغير ضرورية زي mshta.exe و rundll32.exe لو مش مستخدمة في النظام. فحص الـ Event Logs للبحث عن استخدام مريب للأدوات دي. استخدام Application Whitelisting زي Applocker أو Windows Defender Application Control (WDAC).
أمثلة عملية على كشف التهرب بـ LOLBins
كشف استخدام PowerShell في تنفيذ أكواد مشفرة:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
مراقبة تشغيل mshta.exe باستخدام Sysmon:يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
تعطيل تشغيل rundll32.exe باستخدام Group Policy:افتح gpedit.msc.
روح لـ Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies.
ضيف rundll32.exe للبرامج الممنوعة.
الخلاصة:
استخدام أدوات النظام نفسها لتنفيذ الهجوم ده واحد من أخطر الأساليب الحديثة، لأن برامج الحماية مش هتشوف أي ملف مشبوه. الحل؟ راقب العمليات، افحص اللوجات، وعطل الأدوات اللي مش محتاجها!
أخطر الحيل اللي بيستخدمها الهاكرز للبقاء تحت الرادار 
المشكلة:
دلوقتي برامج الحماية مش بقت سهلة زي زمان، وأي ملف مشبوه بيتم مسحه في لمح البصر! بس، دايمًا في حيل سرية وقذرة الهاكرز بيستخدموها علشان يستخبوا زي الأبطال الخارقين، ويوصلوا للي عايزينه من غير ما حد يحس! 
الحيل الأقوى للبقاء تحت الرادار:
حقن العمليات (Process Injection) – التسلل جوه البرامج الشرعية
بدل ما الهكر يشغل ملف EXE مشبوه، بيحقن الكود الخبيث جوه عملية شرعية زي explorer.exe أو svchost.exe! أشهر الطرق:- DLL Injection → تحميل DLL خبيثة داخل عملية شرعية.
- Process Hollowing → تفريغ كود العملية الأصلية واستبداله بالكود الخبيث.
- APC Injection → تنفيذ كود ضار داخل Thread تابع لبرنامج عادي.
مثال عملي – DLL Injection باستخدام C++يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
بعد تشغيل الكود ده، العملية اللي حددناها هتشغل Malicious.dll من غير ما تحس بيه برامج الحماية! 🛡 الحل؟
استخدم أدوات كشف الـ Process Injection زي Process Explorer و Sysmon.
افحص العمليات اللي بتعمل اتصالات مشبوهة أو بتشغل ملفات غريبة.
استخدم EDR متقدم بيقدر يراقب سلوك العمليات في الذاكرة.
تشغيل البرمجيات الخبيثة بدون تخزينها على القرص (Fileless Malware)
الهاكرز مبقوش بيشتغلوا بنفس الأساليب القديمة، دلوقتي بقوا بيلعبوها صح!
تخيل كده إنك لما بتشغل أي برنامج، بيبقى عندك ملف EXE على الهارد… صح؟
طب تخيل لو حد شغَّل فيروس من غير ما ينزل أي حاجة على جهازك أصلاً!!
أهو ده الـ Fileless Malware… فيروس شبح! بيشتغل من الذاكرة (RAM) على طول، ومبيسيبش أي أثر على الهارد!
ودي حاجة تخلي برامج الحماية تلبس في الحيط لأنها متعودة تدور على الملفات، إنما هنا مفيش حاجة تتشاف أصلاً!
طيب هو بيشتغل إزاي؟
ببساطة، الهاكر بيستخدم أدوات موجودة في الويندوز نفسه، زي: PowerShell – المشهور بتشغيل الأوامر عن بعد.
WMI (Windows Management Instrumentation) – أداة خطيرة بتسمح بالتحكم في النظام. rundll32.exe – تشغيل أكواد خبيثة بدون ما المستخدم يشوف حاجة. MSHTA.exe – تشغيل JavaScript و VBS من على النت كأنك بتفتح موقع.يعني الهكر بيستخدم حاجات موجودة أصلًا جوه الويندوز عشان ينفذ خطته الشريرة… شغل عبقرية الشر بصراحة!
أمثلة عملية – الشغل بقى
مثال 1: تشغيل كود خبيث بالـ PowerShell من غير ما يتحفظ على الجهاز
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
اللي بيحصل هنا:الكود بينزل من النت ويتشغل على طول في الذاكرة بدون ما يتحفظ على الهارد!
البرامج العادية مش هتشوف أي ملفات مشبوهة، بس في الحقيقة الجهاز اتبهدل!
مثال 2: استخدام rundll32.exe لتشغيل فيروس أونلاين
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
هنا الهاكر بيعمل إيه؟بيستخدم rundll32 عشان يشغل JavaScript خبيث من على موقع معين.
الفيروس بيشتغل مباشرةً من الإنترنت بدون ما الجهاز يحس بحاجة!
مثال 3: تشغيل EXE في الذاكرة باستخدام .NET
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ده معناه إيه؟الفيروس بيتحمل من الإنترنت.
بيتحفظ جوه الذاكرة من غير ما يتحط كملف على الهارد!
بمعنى آخر، الجهاز دخل في حالة “أنا في خطر ومش عارف ليه!”
طيب إزاي نكشف المصيبة دي؟
1- نستخدم Sysmon عشان نرصد الحركات المشبوهةدي أداة بتسجل أي حاجة غريبة بتحصل في النظام حتى لو مفيش ملفات!
2- تحليل العمليات في الذاكرة ببرنامج Volatilityتقدر تجيب العمليات اللي شغالة في الـ RAM بالأمر ده:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ودي خطوة حلوة لو شاكك إن في حاجة غريبة بتتحرك في الخلفية.
3- تحليل الـ Event Logs بتاعة الـ PowerShellيجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
لو لقيت حاجات غريبة، فاعرف إن الجهاز عنده نشاط مشبوه.
طيب نأمن نفسنا إزاي؟
تعطيل تشغيل سكريبتات PowerShell المشبوهةيجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ده يمنع تنفيذ أي سكريبت غير مصرح بيه. منع استخدام WMI في تشغيل الأكواد عن بعديجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
كده تمنع الهاكر من استخدام WMI في تنفيذ أوامر خبيثة. تفعيل ASR (Attack Surface Reduction) في Windows Defenderده يمنع تشغيل أي أكواد PowerShell مشبوهة تلقائيًا.
مراقبة العمليات بسيرفر SIEM زي Splunk أو ELKعشان تتابع أي نشاط غريب وتتحرك قبل ما تقع في المصيدة.
إخفاء البرمجيات الخبيثة باستخدام Rootkits – خداع الحماية بالكامل!
إيه الحكاية؟
تعالى نرسم السيناريو ده سوا…إنت قاعد على جهازك، شغال عادي جدًا، مفيش أي حاجة غريبة بتحصل! لا تهنيج، لا برامج غريبة، ولا حتى ملف واحد مشبوه…
لكن الحقيقة إن جهازك متبهدل تمامًا!
الفيروس موجود، شغال في الخلفية، بس مفيش أي برنامج حماية قادر يكتشفه!ليه؟ لأنه مستخدم "Rootkit"!
الـ Rootkit ببساطة هو أداة بتخفي وجود البرمجيات الخبيثة بالكامل، تخلي الفيروس شغال كأن مفيش حاجة حصلت!بمعنى:
مخفي عن الـ Task Manager. مخفي عن برامج الحماية. حتى الـ Windows Defender مش شايفه! بيقدر يغير في ملفات النظام بدون ما حد يحس. طيب الـ Rootkit بيشتغل إزاي؟
أغلب الـ Rootkits بتشتغل بمبدأ بسيط جدًا: تتحكم في مستوى منخفض جدًا من النظام (Kernel Mode)، وتعدل على وظائف الويندوز نفسه!يعني بدل ما برنامج الحماية يشوف العمليات الحقيقية، الـ Rootkit بيخدعه ويوريه عمليات مزيفة!
أنواع الـ Rootkits: Kernel Mode Rootkits – أخطر نوع، بيشتغل في قلب النظام وبيتحكم في كل حاجة. User Mode Rootkits – بيتحكم في التطبيقات العادية، أقل خطورة بس برضو مزعج. Firmware Rootkits – بيتخزن في البيوس (BIOS) أو كارت الشاشة، حتى لو فرمت الجهاز يفضل موجود! Hypervisor Rootkits – ده مستوى متطور جدًا، بيعمل نظام تشغيل مزيف فوق الويندوز نفسه! أمثلة عملية – شغل الهاكرز
مثال 1: تعديل الـ System Calls لإخفاء الفيروسات
الفكرة هنا إننا نعدل أوامر الويندوز نفسها بحيث لما برنامج الحماية يسأل "إيه العمليات اللي شغالة؟"، النظام يرد عليه بمعلومات مضروبة! كود بسيط لإخفاء عملية خبيثة من مدير المهام Task Managerيجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
النتيجة؟العملية هتشتغل، بس مش هتبان في الـ Task Manager، ولا أي أداة تانية عادية.
برامج الحماية لو معتمدة على الأوامر التقليدية، مش هتشوفها خالص.
مثال 2: زرع Rootkit داخل Kernel Mode
هنا هنستخدم Driver خبيث عشان نغير الـ Windows API ونخدع الحماية.يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
إيه اللي حصل هنا؟عدلنا وظيفة ZwDeleteFile عشان الفيروس ميظهرش خالص في الملفات!
كأن الجهاز عمره ما شاف الملف ده…
إزاي نكتشف دة؟
1- نستخدم GMER أو TDSSKiller أدوات متخصصة في كشف الـ Rootkits عن طريق فحص مستوى Kernel مباشرةً. 2- تحليل ملفات النظام باستخدام Volatilityلو شاكك إن جهازك فيه حاجة، ممكن تستخدم:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ده هيعرض العمليات المخفية اللي الـ Rootkit مخبيها عن النظام.
3- مقارنة الـ API Calls الحقيقية بالمزيفة فيه أدوات زي API Monitor بتكشف لما يكون فيه حاجة متلاعبة في الويندوز. 4- فحص الـ MBR والـ BIOS لو الفيروس شديد الخطورة بعض الـ Rootkits بتتخزن في أماكن متقدمة زي الـ BIOS أو حتى الهارد مباشرة.استخدم:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
عشان تصلح الماستر بوت ريكورد لو الفيروس لعب فيه.
نصايح للحماية منها:
تحديث النظام بشكل دوري – لأن كتير من الـ Rootkits بتستغل ثغرات قديمة. تفعيل Secure Boot و UEFI – ده بيمنع بعض الـ Rootkits اللي بتشتغل قبل تشغيل الويندوز. استخدام برامج حماية متخصصة زي Malwarebytes Anti-Rootkit عدم تشغيل ملفات EXE مشبوهة، حتى لو شكلها عادي! عدم تحميل برامج من مواقع مش معروفة – بعض البرامج بتكون متصابة بـ Rootkits جاهزة للزرع!
إزاي تكون أذكى من الـ Rootkits؟
الـ Rootkits بتلعب لعبة قذرة جدًا… بتستخبى جوا النظام نفسه، وبتخدع كل برامج الحماية!لكن دايمًا فيه طريقة نكشفهم بيها، سواء بتحليل النظام يدويًا أو باستخدام الأدوات المتخصصة.
لو كنت فاكر إنك آمن لمجرد إن "جهازي مفيهوش أي مشاكل"… فكر تاني! الهاكرز بقوا أذكى، بس إحنا برضو بنطور نفسنا! وإياك تفكر إنك أمان 100%… طول ما فيه اختراقات جديدة كل يوم، لازم تكون يقظ ومحدث معلوماتك دايمًا!
تطبيقات عملية على التهرب من برامج الحماية واكتشافها
المشكلة:
برامج الحماية زي Windows Defender و EDR Systems بقت متطورة جدًا، وأي حاجة مشبوهة بتتاخد على خوانة في ثواني! بس، العباقرة من الهاكرز لسه عندهم طرق عبقرية يخدعوا بيها الحماية ويخلوها تبلع الطُعم من غير ما تحس! النهاردة هنجرب مع بعض تطبيقات عملية للتهرب من الحماية، وهنشوف إزاي ممكن نخدع أنظمة الكشف بأساليب مختلفة، مع الأكواد والنتائج العملية!
التجربة الأولى: تشفير البايلود لتجاوز Windows Defender 
السيناريو:
تخيل إنك لقيت ملف تنفيذي مشبوه، وعايز تحلله، لكن تكتشف إنه متشفّر بطريقة تخليه يمر من تحت رادار Windows Defender بكل سلاسة!
يعني الواد عامل شغل نظيف، والمشكلة إن الـ Defender ولا هنا! طيب الحل؟ إزاي نحلل البايلود المشفّر؟
فيه أكتر من طريقة نقدر نستخدمها لفك التشفير وتحليل الملف:
استخدام أدوات فك التشفير الديناميكي:- إعداد بيئة معزولة:
استخدم بيئة معزولة زي Sandbox أو VM (Virtual Machine) لتشغيل الملف المشبوه بأمان.
- تشغيل الملف المشبوه:
افتح الـ VM واشغل الملف المشبوه عليها.
- استخدام أدوات التصحيح (Debugging Tools):
استخدم أدوات زي x64dbg أو OllyDbg لمراقبة الـ API Calls ومعرفة فين بيتم فك التشفير.
افتح x64dbg واختار "File" -> "Open" واختار الملف المشبوه.
اضغط "Run" لتشغيل الملف.
استخدم "Breakpoints" لوضع نقاط توقف عند الـ API Calls المهمة زي `VirtualAlloc` أو `CreateProcess`.
اراقب الذاكرة والتعليمات البرمجية لمعرفة فين بيتم فك التشفير.
تحليل الذاكرة باستخدام Volatility:- الحصول على ملف ذاكرة (Memory Dump):
استخدم أداة زي FTK Imager لأخذ ملف ذاكرة من الـ VM.
- استخدام Volatility لتحليل الذاكرة:
استخدم Volatility لاستخراج أجزاء الملف المشفّر بعد ما يتحمل في الرام.
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
- ده هيطلع لنا العمليات ونقدر نسحب الـ Payload غير المشفّر من الذاكرة مباشرة!
تفريغ العمليات باستخدام Process Hacker:- تحميل وتثبيت Process Hacker:
افتح Process Hacker ونراقب العملية المشبوهة.
- تفريغ الباينري غير المشفّر:
اختار العملية المشبوهة واعمل تفريغ (Dump) للباينري غير المشفّر.
Process Hacker:
افتح Process Hacker.
ابحث عن العملية المشبوهة في قائمة العمليات.
اضغط بزر الماوس الأيمن على العملية واختار "Miscellaneous" -> "Dump process".
احفظ الملف الناتج وافتحه باستخدام IDA Pro أو Ghidra للتحليل.
التجربة الثانية: استغلال العمليات الشرعية(LOLbins – Living Off the Land Binaries)
السيناريو:
هنا الهكر الشاطر مش هيكتب كود ضار بنفسه، لأ! هيستغل ملفات الويندوز الشرعية لتنفيذ الأكواد الخبيثة.
أشهر أدوات الـ LOLbins اللي بيتم استغلالها:
- rundll32.exe:
تشغيل DLLs خبيثة.
- mshta.exe:
تنفيذ سكريبتات HTML و JavaScript ضارة.
- powershell.exe:
الكنز الحقيقي للهكرز! تنفيذ أي كود تقريبًا.
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
مثال عملي على تنفيذ كود خبيث بدون ملف باستخدام PowerShell:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
- ده كود بيحمل سكريبت بايثون أو باورشيل من سيرفر خارجي وينفذه مباشر بدون ما يسيب أثر على الهارد!
الحل؟
- مراقبة تشغيل العمليات المشبوهة باستخدام Sysmon:
- تفعيل ASR Rules في Windows Defender:
- استخدام AppLocker:
Sysmon:
احمل
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
افتح Command Prompt كمسؤول واكتب:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
استخدم الأمر التالي لمراقبة الأنشطة:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ASR Rules:
افتح Windows Security.
اذهب لـ "App & browser control" -> "Exploit protection settings".
اضغط على "System settings" وافعل "Block untrusted and unsigned processes that run from USB".
AppLocker:
افتح Group Policy Editor.
اذهب لـ "Computer Configuration" -> "Windows Settings" -> "Security Settings" -> "Application Control Policies" -> "AppLocker".
انشئ قواعد جديدة لمنع تنفيذ الملفات المشبوهة.
التجربة الثالثة: تجاوز الـ Sandboxes (اكتشاف البيئة الوهمية)
الفكرة ببساطة
الهاكر وهو بيعمل فيروس بيفكر كده:"طب ما ممكن حد يحطني في بيئة وهمية ويحللني قبل ما أشتغل على جهاز حقيقي!"
وعلشان كده بيحاول يخدع أي Sandbox يتحط فيه، ولو شَكّ إنه في فخ، يقفل نفسه فورًا أو يغير سلوكه عشان يبان ملف عادي!
إزاي تمسك الفيروسات اللي بتعمل الحركة دي؟
بيسأل عن عدد البروسيسورات الأجهزة الوهمية بتبقى غلبانة، غالبًا ببروسيسور واحد أو 2 بالكاد. فالفيروس الذكي يعمل كود زي ده:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
لو شفت الكود ده في أي ملف، يبقى الفيروس بيحاول يعرف إذا كان في جهاز ضعيف (Sandbox) ولا على جهاز طبيعي.
بيدور على برامج التحليل عشان يزوغ منهاالفيروسات بتعمل Check على الأدوات الأمنية
ولو لقيت حاجة زي Wireshark أو Process Monitor، تقفل نفسها فورًا!
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
يعني الفيروس بيقولك: "لقيت العفريتة بتاع التحليل، لازم أخلع!"
بيستخدم Sleep عشان يزهق المحلل الأمنيبعض الفيروسات بتعمل Sleep(300000); (يعني تأخير 5 دقائق)
علشان البرنامج الأمني يفكر إنه مفيش حاجة خطيرة وتقفل البيئة الوهمية قبل ما الفيروس يشتغل.
تقدر تشوف ده بسهولة في API Monitor أو حتى تعدّل وقته بكود بسيط عشان تخليه يشتغل فورًا !
إزاي تتغلب على الحركات دي؟
عكس الهجوم!لو الفيروس بيبحث عن برامج التحليل، سمِّي الملفات بتاعتك باسم حاجة بريئة زي "CandyCrush.exe" عشان ما يقفش
استخدم Cuckoo Sandbox، لأنه بيقدر يخدع الفيروسات اللي بتحاول تكشف البيئات الوهمية.
Patch الـ Sleep بسهولةافتح الملف في x64dbg أو IDAوبدّل الـ Sleep بكود زي ده:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
كده الفيروس مش هينام وهنمسكه متلبس وهو بيخطط لجريمته!
التجربة الرابعة: تنفيذ كود بدون إنشاء ملف (Reflective DLL Injection)
الفيروسات المتخلفة دي بقت أذكى من إنها تسيب دليل وراها!دلوقتي بقى الفيروس يروح للرامة يحط الكود هناك ويشغله مباشرة بدون ما يسيب أي أثر على الهارد
فبرامج الحماية متعرفش تمسكه بسهولة.
إزاي تمسكه؟
دور على عمليات بتحقن نفسها في غيرهالو لقيت حاجة بتستخدم CreateRemoteThread عشان تحقن كود في عملية تانية، اعرف إنه عامل مصيبة!
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
تخيل برنامج فجأة راح حقن نفسه جوه chrome.exe؟ البس يا معلم
استخدم Volatility عشان تكشف الحقن داخل الذاكرةالأمر ده بيطلع أي DLL مشبوهة اتعملها حقن في النظام:
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
لو لقيت حاجة غريبة، خد نسخة من الملف وقارنها مع اللي موجود على القرص
ولو مالهاش وجود، يبقى عندك فيروس بيعمل Reflective Injection!
راقب الـ API اللي بيستخدمها الفيروسالفيروسات اللي بتعمل الحيلة دي غالبًا بتستخدم:
VirtualAlloc
WriteProcessMemory
CreateRemoteThread
افتح API Monitor وشوف مين بيلعب بالنار جوا السيستم!
إزاي تتغلب على الحقن ده؟
هتقدر تتغلب عليه ب 3 طرق عمليين جداً وفى غاية السهولة 
راقب العمليات الغريبة بـ Process Hackerلو لقيت برنامج مش من المفروض يكون شغال ومع ذلك مستهلك رامة كتير جدًا من غير سبب، ده معناه إنه حاقن كود جوا عملية تانية.
استخدم Scylla أو PE-sieve لفك الـ Injectionدي أدوات تقدر تستخرج الكود اللي اتحقن جوه الذاكرة، وده يساعدك تفحص الفيروس بسهولة بدل ما تتعب معاه!
حلل الملفات على VirusTotalالفيروس ممكن يكون مش واضح محليًا
لكن لما ترفعه على VirusTotal، هتلاقي مجموعة من المحللين الأمنيين خلاص قابضين عليه وملفّقين له التهم!
الخلاصة:
الفيروسات دلوقتي بقت بتكشف البيئات الوهمية وتهرب منها، فلازم نخدعها قبل ما تخدعنا!الهجمات اللي بتحقن نفسها جوه الذاكرة خطيرة جدًا، لكن باستخدام أدوات زي Volatility و Process Hacker تقدر تمسكها متلبسة!
مهما كان الفيروس ذكي، المحلل الأمني الذكي يكشفه في الآخر!
الخاتمة – مسك الختام يا أبطال الهندسة العكسية!
هو إحنا كده رسمياً خلصنا الكورس، ودي كانت رحلة طويلة لكن مليانة فوايد وأسرار عن تحليل الملفات والهندسة العكسية! من أول ما بدأنا بشرح أدوات التفكيك، لحد ما دخلنا في فحص الذاكرة وتحليل البايلود، وكل ده وإحنا بنحاول نخلي الدنيا خفيفة وسهلة عشان المعلومة تثبت في دماغك بدون ما تحس إنك بتذاكر مادة كيمياء نووية!
وفرصة اننا فى شهر رمضان الكريم ، سلى صيامك بانك تراجع اللى اتعلمته وتطبقه ، لكن دة بعد ما تخلص عبادتك وصلاتك
إيه اللي المفروض تكون اتعلمته؟
إزاي تفكك أي برنامج وتعرف هو بيعمل إيه بالظبط. استخدام الأدوات الاحترافية زي Ghidra وIDA Pro في تحليل الملفات. فحص الذاكرة وتتبع العمليات المشبوهة زي المحترفين. تحليل البايلود وفهم تكتيكات المخترقين بشكل عملي. طرق التهرب من الحماية وكشف الخدع اللي بيستخدمها الهاكرز. طيب وإيه الخطوة الجاية؟
لو تابعت معايا لحد هنا، فأنت داخل على مستوى محترف، بس الهندسة العكسية بحر واسع جدًا، ودايماً فيه الجديد! أنا شجعتك واديتك الأساسيات القوية، لكن دورك بقى إنك تكمّل طريقك وتجرب بنفسك على ملفات مشبوهة (بس في بيئة معزولة عشان محدش يعيط بعدين ).
حاجة على الماشي:
لو لقيت نفسك فاهم وفاهم كويس، حاول تنقل العلم ده لغيرك، لأن أكتر حاجة بتثبت المعلومة في دماغك هي إنك تشرحها لشخص تاني! وافتكر دايماً: بلاش تستخدم اللي اتعلمته في حاجات غلط، لأن اللي يلعب بالنار بيتحرق بيها! 
كان معاكم أخوكم رامى بدران، شرفت بيكم في الرحلة دي، وربنا يبارك في وقتكم وعلمكم! 
لو عندك أي استفسار، اكتبلى فى التعليقات، ويلا بينا نشوف مين اللي هيبقى أسطورة الهندسة العكسية الجاية! 
