كيف تتم عملية تحليل الفيروسات – Dynamic analysis

هذه التدوينة تعتبر تكملة للتدوينة السابقة التي كتبت فيها عن الـ Static analysis , اتمنى ان تقرأها ثم تعود الى هذه التدوينة والتي سوف تكون عن جزء الـ Dynamic analysis من تحليل الفيروسات . كما عرفنا من التدوينة السابقة ان الـ Dynamic analysis تركز على سلوك الفيروس بغض النظر عن بنيته وتقينات البرمجه التي كُتب بها .

سلوك البرنامج اقصد به كل التغييرات التي يُحدثها في النظام مثل الملفات التي يغيرها , الدوال التي يستخدمها في نظام التشغيل , ملفات الرجستري التي يغيرها , اتصاله بالانترنت والمعلومات التي تُرسل والعمليات التي ينشئ والخدمات التي ينصبها في النظام والكثير من الامور . كل هذه الجوانب يتم مراقبتها عن طريق تشغيل البرنامج ومراقبته وتسجيل كل شي .

هناك الكثير من الادوات التي يمكن من خلالها مراقبة سلوك البرنامج , من ابرز هذه الاداوات لنظام وندوز هي اداة procmon من مايكروسوفت, الاداة تقوم بمراقبة كل شي يخص العمليات , يمكن استخراج الكثير من المعلومات التي تقوم بها اي عملية او كل العمليات , تابع هذا الفيديو عن الاداة

تحليل باستخدام تقنية الـ sandboxing

تقنية اخرى للتحليل الفيروسات عن طريق تشغيلها في بيئة معزولة تقوم بمحاكاة نظام التشغيل وتراقب سلوك البرنامج. التسمية رائعة جأت من الـ playground للمنزل بحيث يسمح للاطفال باللعب والعبث وتوسيخ ثيابهم فقط في ساحة المنزل ولا يسمح لهم بالللعب والعبث  داخل المنزل.  استخدامات الـ sandboxes كثيرة ممكن ان يتم استخدامها ايضا لحماية الانظمه بحيث اذا كان هناك ملف غير موثوق فيه , يتم تشغيله داخل الـ sandbox واذا كان ضار فلن يأثر على النظام الاساسي بسبب ان برنامج الـ sandbox يقوم بعزله ومنعة من الوصول الى النظام الاساسي . تقدمت تقنيات العزل بشكل كبير جدا مع تقدم virtualization واصبح الامر اكثر امان . ما يميز مثل هذه البرمجيات من ناحية تحليل الفيروسات انها تقوم بعملية التحليل بشكل اوتوماتيكي ومريح ولكنها غالية جدا, يمكن عمل نفس المهام بشكل يدوي .

العيب في استخدام مثل هذه البرمجيات للتحليل هو الاعتماديات , احيانا الفايروس يعتمد على مفاتيح رجستري معينه ليعمل ويقوم بالمهمه او يعتمد على مكاتب معينة في نظام وندوز او لينكس ليعمل وهذه المكتبات والاعتماديات لا يمكن ان تتوفر كلها في برنامج sandbox . بشكل عام اذا كنت تعمل في مجال تحليل الفيروسات بالتاكيد استخدام هذه البرمجيات سوف يسهل لك العمليه بشكل كبير اذا تحلل عدد كبير جدا من الملفات التنفيذيه وتريد استخراج تحليل نوعا ما بسيط عن كل ملف .

مقارنة حالة الرجستري قبل وبعد تشغيل الفايروس

الرجستري هو النظام والنظام هو الرجستري , الرجستري يعتبر قاعدة بيانات كبيره تحتوي على كل اعدادات النظام الخاصة بنظام وندوز . الفيروسات بالعاده تقوم بالكثير من التغيرات على النظام عن طريقة اضافة او تعديل مفاتيح الى الرجستري . دراسة الرجستري احد اهم الخطوات لـ Dynamic analysis . لدراسة التغييرات في الرجستري يمكن استخدام برنامج Regshot, البرنامج يمكنك من اخذ صوره كاملة من الرجستري قبل تشغيل الفايروس ثم تاخذ صوره اخرى بعد ان تقوم بتشغيل الفايروس ثم تمرير الصورتين الى البرنامج وسوف يظهر لك تقرير بالاختلافات بين الصورتين والمفاتيح التي تم حذفها , تعديلها , اضافاتها .. الخ .

مراقبة الشبكة والمعلومات التي تُرسل بواسطة الفايروس

الفيروسات تتصل بالانترنت لتحديث نفسها او ارسال المعلومات التي تم الحصول عليها من النظام , يمكن تتبع الفايروس وتتبع اتصال الشبكة لمعرفة مصدر الفايروس او الجهات التي يتصل بها . يمكن ان نستخدم برنامج ApateDNS لمحاكاة شبكة انترنت غير حقيقه للفيروس . يمكن ان يتم تشغيل البرنامج في الجهاز الذي نقوم بالتحليل فيه وسوف يحاكي وجود سيرفر DNS يستقبل الطلبات كانه سيرفر حقيقي ويعيد تمريرها الى اي عنوان تريد , يمكنك انشاء سيرفر غير حقيقي وتستقبل طلبات الفايروس وتستجيب له ايضا .

يمكن ايضا تحليل اتصال الفايروس باستخدام اداة NetCat يمكن التنصت لبورت معين واستقبال الطلبات اليه وعرض الطلبات او تحويلها . كذلك يمكن استخدام اداة Wireshark لعرض ترايفك الشبكة بالكامل لتفاصيل اكثر عمق . ربما الى الان لم اذكر اروع البرامج لمحاكاة الشبكة وخداع الفيروس وهو برنامج   INetSim يمكن للبرنامج ان يحاكي الكثير من الخدمات على الشبكة مثل FTP , SMTP , HTTP , HTTPS , SSH , DNS , POP3 , NTP , TFTP , FTPS وغيرها . الادة تجمع المعلومات والطلبات للتحليل .

 

رأي واحد على “كيف تتم عملية تحليل الفيروسات – Dynamic analysis”

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.