فيروسات للتحميل

هذه المواقع توفر ملفات خبيثة ( فيروسات) للتحميل. هذه الفيروسات مهمه لدراسة الفيروسات وتحليلها ومعرفة طريقة عملها.

malwr.com
contagiodump.blogspot.com
virusshare.com
malware.lu
malshare.com
kernelmode.info

تحذير : يجب ان يكون لديك خبرة في التعامل مع مثل هذه الملفات بسبب انها ملفات خبيثة وقد تصيب جهازك وتدمره

كيف تتم عملية تحليل الفيروسات – Dynamic analysis

هذه التدوينة تعتبر تكملة للتدوينة السابقة التي كتبت فيها عن الـ Static analysis , اتمنى ان تقرأها ثم تعود الى هذه التدوينة والتي سوف تكون عن جزء الـ Dynamic analysis من تحليل الفيروسات . كما عرفنا من التدوينة السابقة ان الـ Dynamic analysis تركز على سلوك الفيروس بغض النظر عن بنيته وتقينات البرمجه التي كُتب بها .

سلوك البرنامج اقصد به كل التغييرات التي يُحدثها في النظام مثل الملفات التي يغيرها , الدوال التي يستخدمها في نظام التشغيل , ملفات الرجستري التي يغيرها , اتصاله بالانترنت والمعلومات التي تُرسل والعمليات التي ينشئ والخدمات التي ينصبها في النظام والكثير من الامور . كل هذه الجوانب يتم مراقبتها عن طريق تشغيل البرنامج ومراقبته وتسجيل كل شي .

هناك الكثير من الادوات التي يمكن من خلالها مراقبة سلوك البرنامج , من ابرز هذه الاداوات لنظام وندوز هي اداة procmon من مايكروسوفت, الاداة تقوم بمراقبة كل شي يخص العمليات , يمكن استخراج الكثير من المعلومات التي تقوم بها اي عملية او كل العمليات , تابع هذا الفيديو عن الاداة متابعة قراءة “كيف تتم عملية تحليل الفيروسات – Dynamic analysis”

كيف تتم عملية تحليل الفيروسات

في هذا التدوينة سوف القي نظرة على عملية تحليل البرمجيات الخبيثة وسوف استخدم مصطلح فايروس واقصد به اي برنامج خبيث بكافة انواعها . بشكل عام يتم تصنيف عملية تحليل الفيروسات الى نوعين الاول Static analysis والنوع الثاني Dynamic analysis . كلا النوعين لهم اهمية لفهم الفايروس وتتبعة وكذلك ايجاد الحل المناسب للدمار الذي يسببه .

سوف ابدأ التدوينة باعطاء لمحة سريعة عن الفرق بين الـ static analysis و الـ Dynamic analysis

كل التقنيات والادوات التي تستخدم اثناء عمل static analysis تهتم ببنية الفيروس  وتحلل الكود وطريقة برمجة الفايروس دون تشغيله . يتم أستخدام ادوات معينة (سوف نتطرق لها لاحقا في هذا المقال) لتحليل الكود الخاص بالفيروس واي معلومات تتعلق ببنية الفايروس . المعلومات تختلف على حسب نوع الفايروس فعلى سبيل المثال اذا كان الفايروس مكتوب بلغة البرمجة C سوف نحلل Assembly كود الناتج من الملف التنفيذي  وندرسه بشكل معمق .

بالنسبة لـ Dynamic analysis كل ما يهمنا هو سلوك الفيروس والتغييرات التي يحدثها , لا يهمنا كيف تمت برمجته او كيف يقوم الكود بعمل التغييرات او الدمار . الأدوات تراقب سلوك البرنامج ومتابعة كل التغيرات التي تحصل بسبب الفايروس ويتم تسجيلها ومتابعتها . سلوك البرنامج يقصد به مثلا الملفات التي يغيرها , اتصاله بالانترنت والمعلومات التي ترسل , اسماء الدوال التي يستدعيها من نظام التشغيل .. الخ . لن نقوم بدراسة الكود الخاص بالفايروس في هذا النوع من التحليل . قد يكون خطراً جدا ان تقوم بتشغيل ملف خبيث لذلك توخى الحذر وقم بالعمل في معمل منفصل عن طريق استخدام virtualbox او ماشابه . متابعة قراءة “كيف تتم عملية تحليل الفيروسات”