أمس, 09:57 AM
السلام عليكم ورحمة الله وبركاته
أحببت ان أشرح سلوك الMalware وكيفية اكتشافه بشكل مبسط وهو ما سيفيد المبتدءين في هندسة الMalwares
أولا ما هو الMalware
الMalware هو برنامج خبيث هدفه الأول هو التخفي بأي طريقة كانت وكلما زاد التخفي زادت صعوبة كشفه وأيجاده فهو مصمم لأغراض خبيثه وأنواعه عده مثل
(Torjan-Remote Control Acsess-Ransomware-Spyware) وغيرها الكثير
كيف يعمل الMalware
الMalware يتعامل مع مكتبات الويندوز (Windows API) واللتي تحتوي علي الDLL's الأساسيه للنظام
واهمها Kernel32.dll لكن دعني قبل ان اشرح كيف يعمل الMalware اشرح ماهية الDll
الDll هو عباره عن صندوق يحتوي علي وظاءف هامه جدا مثل CreateWindow او CreateMessage فهو اشبه بالصندوق اللذي يحتوي علي الكثير من الوظاءف اللتي يمكن لاي برنامج في النظام استخدامه ويساعد فيه (تقليل استهلاك الرامات - تسريع النظام)
ولأخذ صوره عمليه أكثر يمكنك تحميل برنامج PE-Bear
فيقوم الMalware بأستعمال هذه المكتبات للتحكم في النظام وانشاء ملفات خبيثه ولكن كيف يتم صنع الMalware?
كل الشرح اللذي مضي كنا نتحدث عن كيفية اخفاء الMalware وزرعه في النظام ولكن الMalware الحقيقي
تكون حزمه (shell) يتم حقنها داخل النظام عن طريقة وظاءف WindowsAPI وهذا الshell يكون بلغة الHexadecimal
وتوجد طرق عده لتشفيره لكنني لن أتطرق لها
والأن بعدما اخذنا فكره عامه وسطحيه عن كيفية عمل الMalware داخل النظام نأتي الان للجزء الأهم وهو كيفية تحليله وعمل له هندسه عكسيه
يوجد نوعين اساسين لهندسة الMalwares Static Analysis - Dynamic Analysis
الستاتك نقوم بفحص الهيكل الخارجي للبرنامج بأستعمال ادوات مثل بي بير وغيرها الكثير ونفحص كذلك الاتصالات اللذي يقوم بها هذا البرنامج
بأستعمال ادوات مثل Wire Shark
والنوع الاخر واللذي هو الدناميكي فأنا أفضل هذا النوع واللذي يجب ان يتم علي بيءة افتراضيه لأن في هذا النوع نقوم بتشغيل البرنامج وتحليله داخل الدبجر
مثل IDA-X64dbg-Olly-Binary Ninja
وغيرهم ونقوم بعمل بريك بوينتس و ستب ان ونحلل الكود والذاكره الخ..
Code anaylsis - Memory analysis
في الخير ولنصر الدين الاسلامي ولا تؤذي أخاك المسلم
(وفقني و وفقكم الله والسلام علي من أتبع الهدي وأن الهدي لهدي الله و السلام عليكم ورحمة الله وبركاته)
أحببت ان أشرح سلوك الMalware وكيفية اكتشافه بشكل مبسط وهو ما سيفيد المبتدءين في هندسة الMalwares
أولا ما هو الMalware
الMalware هو برنامج خبيث هدفه الأول هو التخفي بأي طريقة كانت وكلما زاد التخفي زادت صعوبة كشفه وأيجاده فهو مصمم لأغراض خبيثه وأنواعه عده مثل
(Torjan-Remote Control Acsess-Ransomware-Spyware) وغيرها الكثير
كيف يعمل الMalware
الMalware يتعامل مع مكتبات الويندوز (Windows API) واللتي تحتوي علي الDLL's الأساسيه للنظام
واهمها Kernel32.dll لكن دعني قبل ان اشرح كيف يعمل الMalware اشرح ماهية الDll
الDll هو عباره عن صندوق يحتوي علي وظاءف هامه جدا مثل CreateWindow او CreateMessage فهو اشبه بالصندوق اللذي يحتوي علي الكثير من الوظاءف اللتي يمكن لاي برنامج في النظام استخدامه ويساعد فيه (تقليل استهلاك الرامات - تسريع النظام)
ولأخذ صوره عمليه أكثر يمكنك تحميل برنامج PE-Bear
فيقوم الMalware بأستعمال هذه المكتبات للتحكم في النظام وانشاء ملفات خبيثه ولكن كيف يتم صنع الMalware?
كل الشرح اللذي مضي كنا نتحدث عن كيفية اخفاء الMalware وزرعه في النظام ولكن الMalware الحقيقي
تكون حزمه (shell) يتم حقنها داخل النظام عن طريقة وظاءف WindowsAPI وهذا الshell يكون بلغة الHexadecimal
وتوجد طرق عده لتشفيره لكنني لن أتطرق لها
والأن بعدما اخذنا فكره عامه وسطحيه عن كيفية عمل الMalware داخل النظام نأتي الان للجزء الأهم وهو كيفية تحليله وعمل له هندسه عكسيه
يوجد نوعين اساسين لهندسة الMalwares Static Analysis - Dynamic Analysis
الستاتك نقوم بفحص الهيكل الخارجي للبرنامج بأستعمال ادوات مثل بي بير وغيرها الكثير ونفحص كذلك الاتصالات اللذي يقوم بها هذا البرنامج
بأستعمال ادوات مثل Wire Shark
والنوع الاخر واللذي هو الدناميكي فأنا أفضل هذا النوع واللذي يجب ان يتم علي بيءة افتراضيه لأن في هذا النوع نقوم بتشغيل البرنامج وتحليله داخل الدبجر
مثل IDA-X64dbg-Olly-Binary Ninja
وغيرهم ونقوم بعمل بريك بوينتس و ستب ان ونحلل الكود والذاكره الخ..
Code anaylsis - Memory analysis
في الخير ولنصر الدين الاسلامي ولا تؤذي أخاك المسلم
(وفقني و وفقكم الله والسلام علي من أتبع الهدي وأن الهدي لهدي الله و السلام عليكم ورحمة الله وبركاته)