هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

فيروسات للتحميل

هذه المواقع توفر ملفات خبيثة ( فيروسات) للتحميل. هذه الفيروسات مهمه لدراسة الفيروسات وتحليلها ومعرفة طريقة عملها.

اقرأ المزيد

كيف تتم عملية تحليل الفيروسات – Dynamic analysis

هذه التدوينة تعتبر تكملة للتدوينة السابقة التي كتبت فيها عن الـ Static analysis , اتمنى ان تقرأها ثم تعود الى هذه التدوينة والتي سوف تكون عن جزء الـ Dynamic analysis من تحليل الفيروسات . كما عرفنا من التدوينة السابقة ان الـ Dynamic analysis تركز على سلوك الفيروس بغض النظر عن بنيته وتقينات البرمجه التي كُتب بها .

سلوك البرنامج اقصد به كل التغييرات التي يُحدثها في النظام مثل الملفات التي يغيرها , الدوال التي يستخدمها في نظام التشغيل , ملفات الرجستري التي يغيرها , اتصاله بالانترنت والمعلومات التي تُرسل والعمليات التي ينشئ والخدمات التي ينصبها في النظام والكثير من الامور . كل هذه الجوانب يتم مراقبتها عن طريق تشغيل البرنامج ومراقبته وتسجيل كل شي .

هناك الكثير من الادوات التي يمكن من خلالها مراقبة سلوك البرنامج , من ابرز هذه الاداوات لنظام وندوز هي اداة procmon من مايكروسوفت, الاداة تقوم بمراقبة كل شي يخص العمليات , يمكن استخراج الكثير من المعلومات التي تقوم بها اي عملية او كل العمليات , تابع هذا الفيديو عن الاداة

اقرأ المزيد

كيف تتم عملية تحليل الفيروسات

في هذا التدوينة سوف القي نظرة على عملية تحليل البرمجيات الخبيثة وسوف استخدم مصطلح فايروس واقصد به اي برنامج خبيث بكافة انواعها . بشكل عام يتم تصنيف عملية تحليل الفيروسات الى نوعين الاول Static analysis والنوع الثاني Dynamic analysis . كلا النوعين لهم اهمية لفهم الفايروس وتتبعة وكذلك ايجاد الحل المناسب للدمار الذي يسببه .

سوف ابدأ التدوينة باعطاء لمحة سريعة عن الفرق بين الـ static analysis و الـ Dynamic analysis

كل التقنيات والادوات التي تستخدم اثناء عمل static analysis تهتم ببنية الفيروس  وتحلل الكود وطريقة برمجة الفايروس دون تشغيله . يتم أستخدام ادوات معينة (سوف نتطرق لها لاحقا في هذا المقال) لتحليل الكود الخاص بالفيروس واي معلومات تتعلق ببنية الفايروس . المعلومات تختلف على حسب نوع الفايروس فعلى سبيل المثال اذا كان الفايروس مكتوب بلغة البرمجة C سوف نحلل Assembly كود الناتج من الملف التنفيذي  وندرسه بشكل معمق .

بالنسبة لـ Dynamic analysis كل ما يهمنا هو سلوك الفيروس والتغييرات التي يحدثها , لا يهمنا كيف تمت برمجته او كيف يقوم الكود بعمل التغييرات او الدمار . الأدوات تراقب سلوك البرنامج ومتابعة كل التغيرات التي تحصل بسبب الفايروس ويتم تسجيلها ومتابعتها . سلوك البرنامج يقصد به مثلا الملفات التي يغيرها , اتصاله بالانترنت والمعلومات التي ترسل , اسماء الدوال التي يستدعيها من نظام التشغيل .. الخ . لن نقوم بدراسة الكود الخاص بالفايروس في هذا النوع من التحليل . قد يكون خطراً جدا ان تقوم بتشغيل ملف خبيث لذلك توخى الحذر وقم بالعمل في معمل منفصل عن طريق استخدام virtualbox او ماشابه .

اقرأ المزيد