[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
اليوم بمناسبة الانتهاء من الأمتحانات [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
قمت بكتابة اداة بسيطة للجيوش
تستخدم في عملية
[ Malware Hash Analysis ]
وهو احد اقسام التحقيق الجنائي وهو من الأساليب التابعة للتحليل البرامج الخبيثة [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
ومن الطرق التي يستخدمها فرق الفحص والتحليل الأمني[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ Malware Hash Analysis ]هو احد افرع التحقيق الجنائي الأمني
حيث من اقسامه تحليل البرامج الخبيثة والتحقيق في عملها
وبما انه يوجد على موقع الفحص قواعد بيانات كبيرة تحتوي على بيانات لهذه
البرامج الخبيثة , ابتكر المحللون طريقة جديدة لربط البيانات ببعضها
وتنظيمها وهي ما يسمى بـ
[ Malware Hash ] وهو اعطاء هاش لكل ملف يتم تحليله ويسعى المحللون الى ايجاد ترابط بين هذه
الهاشات لكل ملف حتى يستطيعو ايجاد وجه التشابة بين الهاش وعمل البرنامج
الخبيث .
وبما ان الهاش يتميز به كل ملف عن غيره وكون مواقع الفحص تحتوي قاعدة كبيرة
من الملفات المحللة والبيانات فلذلك يمكننا ان نقوم بتحليل ملف ما والبحث
عن الهاش الخاص به في مواقع التحليل لنرى النتائج التي حفظت عن تحليل
الموقع لهذا الملف مما يسهل عملية الفحص بتوفير بيانات كبيره عن البرنامج
الخبيث .
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ بيانات الاداة ]
الأسمAljyyosh-malware
لغة السكربت
Bash
الكاتب r00t-minat0r
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ شرح الاداة ]
اولا : قم بتحميل الاداة من
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ]
ثانيا : فك الضغط على الاداة
تظهر لك الملفات التالية
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ بيان الملفات ]
aljyyosh-malware.sh : اسم الاداة الرسمي .
tmp : مجلد تضع به الاداة ملفاتها المؤقتة .
files : مجلد تقوم انت بوضع الملفات المراد تحليلها داخله .
ثالثا : قم بوضع الملفات المرد تحليلها في مجلد
[ files ][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]هنا قمت بوضع ملفان للتحليل
( يمكنك وضع اي عدد من الملفات
, مهما كانت الصيغة
)رابعا : نقوم بتشغيل الاداة
نفتح التيرمنل ونذهب الى مسار الاداة وننفذ الاوامر التالية :
كود:
chmod +x aljyyosh-malware.sh
& كود:
./aljyyosh-malware.sh
سوف تعمل الاداة ويظهر لنا شعار الاداة
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]كما ترى تخبرك الأداة بأن تضع الملفات المشكوك بها في مجلد
[ files ] This Tool will use Malware Hash analysis
to search for malware data
Please put the suspicious files in the directory "files"
ننزل للاسفل قليلا لنرى نتائج التحليل
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]كما تشاهدون اعطتنا الاداة البيانات الأتية لكل ملف
اسم الملف : resulte for server.exe
الهاش : hash : 4b818e975f37d13e27aa9e7fec7a3c2a
اسم الموقع الذي اخذت منه النتيجة : report from : viceck.ca
رابط النتيجة : link :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] خامسا : نقوم بفتح رابط النتيجة لنرى الفحص
يظهر لنا الموقع وفي الأسفل جدول النتيجة الأتي :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]وتظهر في الجدول النتائج التالية :
الفحص من موقع
[ vicheck.ca ][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]وتظهر في النتيجية ان العينة لم يتم فحصها في هذا الموقع من قبل .
الفحص في موقع
[ virustotal.com ][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]ويظهر في الصورة ان الملف قد في فحص في هذا الموقع من قبل وكانت النتيجة
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]الملف مكشوف من
42 حماية من اصل
43 والنسبة هي
( 98 %)ولرؤية تقرير الفحص من موقع
[ virustotal.com ] قم بالضغط على
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]الفحص في موقع
[ threatexpert.com ][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]وهنا يخبرنا ان هذه العينة قد تم تحليلها من قبل ولرؤية النتيجة قم بالضغط على
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]الفحص في موقع
[ team-cymru.org ][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]وهنا يخبرك ان هذه العينة قد تم تحليلها من قبل وكانت النتيجة
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]ومعناها انه قد تم التعرف على الملف على انه فايروس من قبل
( 77 % ) من الحمايات
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]ومره اخرى
لتحميل الاداة
[ [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]الى هنا ينتهي الشرح اتمنى ان تنال الاداة اعجابكم
والسلام عليكم ورحمة الله وبركاته