الرئيسية
أسعد لله اوقاتكم بالخير ،
اهلا ومسهلا ٌٌٌٌٌوألف مرحبا بكل أعضاء ورواد المنتدى سيد للهكر
أقدم لكم يا اعضاء وزوار ورواد و مشرفـــي المنتدى الامن والحماية ،
ان شاء الله اخواني الكرام ساتطرق بعون الله الى شرح حصري
اليوم معنا درس في نطاق الامن والحماية ويجمع بين الهندسة العكسية
وكيفية التعامل معهم وتوظيفهم لجمع المعلومات التي قد تفيدك اثناء تحليلك
لبرنامج خبيث ما .
درسنا لليوم سيظم برنامج خبيث ليس بالسهل ..وسنحاول تفكيكه وتحليله ان شاء الله
لكن مبدئيا يجب ان اقف عند مجموعة من الاشياء التي يجب
إستيعابها وفهمها حتى يتسنى لكم فهم مغزى الدرس
كما هو معلوم ان الهندسة العكسية تعتمد بالاساس على لغة الاسمابلي
assembly
حتى يتسنى لك قراءة الكود البرنامج الخبيث او الفيرس او البرنامج الملغم ...
وقبل ان اشرع في اي شيئ سأقوم بوضع رد واشرح فيه مقدمة الدرس
نلتقي بالرد القـادم.
الفهرست
مقدمة وتعريفات هامة
هذا الرد فقط
عملية التحليل هذا الرد فقط
سلام عليكم
مبدئيا الدرس او الموضوع يحتاج مبادئ اساسية في الاسمبلي والتحليل عن طريق
المنحقات والتي سندرسها بعد حين ان شاء الله
-المنقح الذي سنتعمله هو OLLY DBG
اعتبره شخصيا من افضل المنقحات وبرامج الهندسة العكسية في مجال التحليل
طبعا وبرنامج الخبيث الذي سنجري عليه التحليل وندرس حالته
سأقوم الان بوضع بعض التعريفات الاساسية حتى تفهموا الدرس جيدا
طبعا نحن الان سنقوم بتحليل البرنامج بالهندسة العكسية يعني ليس التحليل
العادي بجلب مسار السرفر او اين ينشأ..
سندرس الدوال البرنامج الخبيث وننتبع ونرى ماذا يفعل بجهازنا ..
اول التعريف هو .
دوال
API=Application Programming Interface
هي مجموعة من الدوال وسائل لملفات الربط المعروفة بـ DLL
يمكن استعمالها من اجل تشغيل برنامج ما .
بحيث يتم استدعائها من طرف البرنامج . وقد تتم في نفس الوقت
سأعطي مثلا
دالة Process ;Threading - تجدها بملف kernel32.dll
دوال التي تعطي الرسائل وتتعامل مع المستخدم هي User32.dll
...
-التعريف الثاني وهو ما معني البارمتر Parametre
هو نوع من التغيرات ،في المعنى العام . يستعمل من طرف دوال والتي تدل على معلومة
مخزنة كبارامتر.
الادوات المستعملة بطريقة هي
OLLY DBG
PEid
MEW
+
لغة assmebly
نلتقي بالرد القادم وسنحاول تحليل البرنامج االمدموج.ان شاء الله
من هنا اعزائي لتحميل OLLY DBGمن موقع الرسمي
منتدى الامن والحماية - Mr spyRibo
DriSs VII
04:06 - 2012/08/07 معلومات عن العضو رد على الموضوع بإضافة نص هذه المشاركة أضف رد سريع بإقتباس لهذا الرد
** **
الحمد لله الذي بين لعباده الحرام والحلال وحد لهم حدودا بينة المعالم
لا غموض فيها ولا إشكال وأشهد أن لا إله إلا الله وحده لا شريك له
الكبير المتعال وأشهد أن محمداً عبده ورسوله أهدى الخلق في المقال والفعال
صلى الله عليه وعلى آله وأصحابه والتابعين لهم بإحسان ما تعاقب الأيام والليال
وسلم تسليما...
نبدأ على بركة الله
اولا ندرس حالة البرنامج وحالة السرفر بشكل خاص
بعد الضغط على فتح يظهر لنا النتائج
توصلنا ان البرنامج الخبيث مضغوط وهنا لا يمكن ان نحلله مباشرة
فاذا قمنا بذلك فالنتيجة هي 0 لن تجد ولو معلومة .
فهنا لابد من معرفة اي نوع ضغط وبأي اداة تم بواسطته
وكما هو ظاهر فهو مضغوط ب MEW
ــــــ
طيب هناك طرق كثيرة لفك الضغط ..
من بينها هو اختيار اداة نقيضة للاداة MEW او عن طريق olly
لكن شخصيا احبذ ان تختار اداة نقيضة من اجل الفك .. الا اذا تعذرت الامور
انا ذاك حاول مع olly
المهم بعد بعد بحثي كشفت الفك بأداة UnMEW
كملاحظة لا تستغرب من انذار الانتى فيروس فاداة سليمة تماما
فقط يعتبرها الانتى فيروس كتهديد لانها عبارة عن اداة مبرمجة لعمل ما
من صنف Hack Tool
بعد ثوان يظهر لنا البرنامج مفكوك
نمر الى التحليل
نحن نعلم ان جل او تقريبا جل البرامج تسعمل Creat File
و Write File للكتابة والانشاء ...لكن اول ملاحظة ان هذا البرنامج
استعمل دوال اخرى
السبب اختيار دالة lcreat الخاصة ب - 64 بايت -من اجل اتاحة تشغيل البرنامج الخبيث في
انظمة متعددة .
اول دالة وهي الخاصة باللانشاءlcreat نعرف البارمتر الخاص به وتقبل2 بارامتر
-attribute تعنى خصائص بناء الملف
-FileName مسار الملف
- لدينا البارمتر اولى لديها 4 حالات وهي كالتالي
Normal
ويعني قابل للقراءة والكتابة والتعديل الغير المخفي
-Read Only
للقراءة فقط
Hiden
مخفي
-system
ملف نظام ولا يشمل Normal
ــــــــــــــــــــــــــــ
دالة writeFile الخاصة -32 بايت -
ونجد ان البرنامج الخبيث يستعمل دالة lwrite من اجل الكتابة
تأخذ 3 بارامتر
-BufSize ويعني حجم البيانات التي يمكن ادخالها
-Buffer المكان الذي يشمل البيانات الذي سيتم كتابتها
-hfile المقبض او الموضوع.
ــــــــــــــــــ
الدالة الاخيرة وهي lclose
تقوم هذه الدالة بقفل تطبيقات الانشاء وبعد العمليات السابقة.
ـــــــــــــــــــــــــــــــــ
بعد تعرفنا لدوال التي يعمل بها البرنامج
الان سنحاول قراءة كود البرنامج الخبيث انطلاقا من هنا
شرح الكود
ــــــــــــــــــ
PUSH 0 // دفع بارامتر 0
PUSH Mr_spyRi.00463495 // دفع مسار البرنام للمكدس
CALL DWORD PTR DS:[<&ke rnel32._lcreat>] // إستدعاء الدالة لآنشاء
EAX
MOV EBX,EAX // تقوم هذه الدالة الاخيرة بالتخزين في المقبض
تقوم كذلك بنقل الامر من
EBX الى EBX
حتى يستخدمها
PUSH 62449 //دفع البفر للمكدس
PUSH Mr_spyRi.0040104C // دفع عنوان البفر اعلاه للكتابة
PUSH EBX // وصلنا الى هنا والعملية التي تعمل هي أستعمال هذا المقبض في العملية .
ــــــــ
طيب البعض منكم لن يفهم ما اقول ..لكن كما قلت سابقا الامر يحتاج معرفة
بلغة الاسمابلي لكي تتمكن من فهم ما الذي يعنيه الكود .
---
إستنتاج بسيط من خلال الكود
ان هذا البرنامج ليس بذاته برنامج خبيث ...بل هدفه بجهازنا هو إنشاء برمجية خبيثة
وهذا ما يفسر هذا الكود .. فهذا الكود او العبارات تستعمل من طرف برمجية
خبيثة..
ممتاز
لنعرف من هي هذه البرمجية الخبيثة الذي يحاول إنشاءها في الجهاز
لنتحقق من ذلك بطريقة جد بسيطة ، تابعوا معي
ــــــــــــــــ
ممتاز اخواني اظن هذا يكفي ..
نأتي الان الى الحصيلة وبعد تتبعنا للبرنامج الخبيث بجهازنا.
طيب اولا كمعلومات من اول الى الاخير
طبعا البرنامج المدموج لدينا لتحليل مضغوط ب MEW كما رأينا
ونعلم طبعا انه لا يمكن تحليل اي برنامج خبيث او برنامج مدموج مع اي شيئ
بدون عمليه الفك فهي ضرورية اماببرنامج نقيض او استعمال خاصية معينه بـolly ..ومن ثم نحلله اما بطريقة العادية يعني
مراقبة الاتصالات ومساره الخ ..( تحليل سطحي)
واما بطريقة الهندسة العكسية ( تحليل معمق) .. هذه الطريقة تعتمد على كيفية تعامل مع المنقحات
ولغات البرمجة وبشكل اساسي الاسمابلي . ممتاز
بعد تحليل الكود البرنامج المدموج وجدنا ان ذلك الكود يستعمله من اجل انشاء برمجية
خبيثة اخرى ..وبإختصار المعلومات نجد البرمجية الخبية هي ntlcs.exe
وكذلك اختصار لآسم التنفيذ وهو MZ .
وتحققنا من ذلك كما وضحت في الصور اعلاه .
----------------
اظن ان مستوى هذا التحليل يفي بالغرض ويمكنكم استخدامه مع الفيروسات او
البرامج الملغمة والمدموجة الخ .. فهذه مبادئ جد مهمة في التحليل
لم أشئ ان ابحر في التحليل حتى لا تتلخبط عليكم الامور وتتعقد اكثر
فهذا يحتاج كما قلت خبرة بالاسمابلي وقراءة الاكواد
المهم ان تعم الاستفادة والمعرفة للآعضائنا الكرام
واخذ نبذة وفكرة عن كيفية التحليل بالهندسة العكسية
والله الموفق للجميع.
ـــ
من اراد الدرس لي قبل هذا في ما يخص الهندسة العكسية والتعامل مع المنقح
( درس مبدئي يفهم اوليا )
اهلا ومسهلا ٌٌٌٌٌوألف مرحبا بكل أعضاء ورواد المنتدى سيد للهكر
أقدم لكم يا اعضاء وزوار ورواد و مشرفـــي المنتدى الامن والحماية ،
ان شاء الله اخواني الكرام ساتطرق بعون الله الى شرح حصري
اليوم معنا درس في نطاق الامن والحماية ويجمع بين الهندسة العكسية
وكيفية التعامل معهم وتوظيفهم لجمع المعلومات التي قد تفيدك اثناء تحليلك
لبرنامج خبيث ما .
درسنا لليوم سيظم برنامج خبيث ليس بالسهل ..وسنحاول تفكيكه وتحليله ان شاء الله
لكن مبدئيا يجب ان اقف عند مجموعة من الاشياء التي يجب
إستيعابها وفهمها حتى يتسنى لكم فهم مغزى الدرس
كما هو معلوم ان الهندسة العكسية تعتمد بالاساس على لغة الاسمابلي
assembly
حتى يتسنى لك قراءة الكود البرنامج الخبيث او الفيرس او البرنامج الملغم ...
وقبل ان اشرع في اي شيئ سأقوم بوضع رد واشرح فيه مقدمة الدرس
نلتقي بالرد القـادم.
الفهرست
مقدمة وتعريفات هامة
هذا الرد فقط
عملية التحليل هذا الرد فقط
سلام عليكم
مبدئيا الدرس او الموضوع يحتاج مبادئ اساسية في الاسمبلي والتحليل عن طريق
المنحقات والتي سندرسها بعد حين ان شاء الله
-المنقح الذي سنتعمله هو OLLY DBG
اعتبره شخصيا من افضل المنقحات وبرامج الهندسة العكسية في مجال التحليل
طبعا وبرنامج الخبيث الذي سنجري عليه التحليل وندرس حالته
سأقوم الان بوضع بعض التعريفات الاساسية حتى تفهموا الدرس جيدا
طبعا نحن الان سنقوم بتحليل البرنامج بالهندسة العكسية يعني ليس التحليل
العادي بجلب مسار السرفر او اين ينشأ..
سندرس الدوال البرنامج الخبيث وننتبع ونرى ماذا يفعل بجهازنا ..
اول التعريف هو .
دوال
API=Application Programming Interface
هي مجموعة من الدوال وسائل لملفات الربط المعروفة بـ DLL
يمكن استعمالها من اجل تشغيل برنامج ما .
بحيث يتم استدعائها من طرف البرنامج . وقد تتم في نفس الوقت
سأعطي مثلا
دالة Process ;Threading - تجدها بملف kernel32.dll
دوال التي تعطي الرسائل وتتعامل مع المستخدم هي User32.dll
...
-التعريف الثاني وهو ما معني البارمتر Parametre
هو نوع من التغيرات ،في المعنى العام . يستعمل من طرف دوال والتي تدل على معلومة
مخزنة كبارامتر.
الادوات المستعملة بطريقة هي
OLLY DBG
PEid
MEW
+
لغة assmebly
نلتقي بالرد القادم وسنحاول تحليل البرنامج االمدموج.ان شاء الله
من هنا اعزائي لتحميل OLLY DBGمن موقع الرسمي
منتدى الامن والحماية - Mr spyRibo
DriSs VII
04:06 - 2012/08/07 معلومات عن العضو رد على الموضوع بإضافة نص هذه المشاركة أضف رد سريع بإقتباس لهذا الرد
** **
الحمد لله الذي بين لعباده الحرام والحلال وحد لهم حدودا بينة المعالم
لا غموض فيها ولا إشكال وأشهد أن لا إله إلا الله وحده لا شريك له
الكبير المتعال وأشهد أن محمداً عبده ورسوله أهدى الخلق في المقال والفعال
صلى الله عليه وعلى آله وأصحابه والتابعين لهم بإحسان ما تعاقب الأيام والليال
وسلم تسليما...
نبدأ على بركة الله
اولا ندرس حالة البرنامج وحالة السرفر بشكل خاص
بعد الضغط على فتح يظهر لنا النتائج
توصلنا ان البرنامج الخبيث مضغوط وهنا لا يمكن ان نحلله مباشرة
فاذا قمنا بذلك فالنتيجة هي 0 لن تجد ولو معلومة .
فهنا لابد من معرفة اي نوع ضغط وبأي اداة تم بواسطته
وكما هو ظاهر فهو مضغوط ب MEW
ــــــ
طيب هناك طرق كثيرة لفك الضغط ..
من بينها هو اختيار اداة نقيضة للاداة MEW او عن طريق olly
لكن شخصيا احبذ ان تختار اداة نقيضة من اجل الفك .. الا اذا تعذرت الامور
انا ذاك حاول مع olly
المهم بعد بعد بحثي كشفت الفك بأداة UnMEW
كملاحظة لا تستغرب من انذار الانتى فيروس فاداة سليمة تماما
فقط يعتبرها الانتى فيروس كتهديد لانها عبارة عن اداة مبرمجة لعمل ما
من صنف Hack Tool
بعد ثوان يظهر لنا البرنامج مفكوك
نمر الى التحليل
نحن نعلم ان جل او تقريبا جل البرامج تسعمل Creat File
و Write File للكتابة والانشاء ...لكن اول ملاحظة ان هذا البرنامج
استعمل دوال اخرى
السبب اختيار دالة lcreat الخاصة ب - 64 بايت -من اجل اتاحة تشغيل البرنامج الخبيث في
انظمة متعددة .
اول دالة وهي الخاصة باللانشاءlcreat نعرف البارمتر الخاص به وتقبل2 بارامتر
-attribute تعنى خصائص بناء الملف
-FileName مسار الملف
- لدينا البارمتر اولى لديها 4 حالات وهي كالتالي
Normal
ويعني قابل للقراءة والكتابة والتعديل الغير المخفي
-Read Only
للقراءة فقط
Hiden
مخفي
-system
ملف نظام ولا يشمل Normal
ــــــــــــــــــــــــــــ
دالة writeFile الخاصة -32 بايت -
ونجد ان البرنامج الخبيث يستعمل دالة lwrite من اجل الكتابة
تأخذ 3 بارامتر
-BufSize ويعني حجم البيانات التي يمكن ادخالها
-Buffer المكان الذي يشمل البيانات الذي سيتم كتابتها
-hfile المقبض او الموضوع.
ــــــــــــــــــ
الدالة الاخيرة وهي lclose
تقوم هذه الدالة بقفل تطبيقات الانشاء وبعد العمليات السابقة.
ـــــــــــــــــــــــــــــــــ
بعد تعرفنا لدوال التي يعمل بها البرنامج
الان سنحاول قراءة كود البرنامج الخبيث انطلاقا من هنا
شرح الكود
ــــــــــــــــــ
PUSH 0 // دفع بارامتر 0
PUSH Mr_spyRi.00463495 // دفع مسار البرنام للمكدس
CALL DWORD PTR DS:[<&ke rnel32._lcreat>] // إستدعاء الدالة لآنشاء
EAX
MOV EBX,EAX // تقوم هذه الدالة الاخيرة بالتخزين في المقبض
تقوم كذلك بنقل الامر من
EBX الى EBX
حتى يستخدمها
PUSH 62449 //دفع البفر للمكدس
PUSH Mr_spyRi.0040104C // دفع عنوان البفر اعلاه للكتابة
PUSH EBX // وصلنا الى هنا والعملية التي تعمل هي أستعمال هذا المقبض في العملية .
ــــــــ
طيب البعض منكم لن يفهم ما اقول ..لكن كما قلت سابقا الامر يحتاج معرفة
بلغة الاسمابلي لكي تتمكن من فهم ما الذي يعنيه الكود .
---
إستنتاج بسيط من خلال الكود
ان هذا البرنامج ليس بذاته برنامج خبيث ...بل هدفه بجهازنا هو إنشاء برمجية خبيثة
وهذا ما يفسر هذا الكود .. فهذا الكود او العبارات تستعمل من طرف برمجية
خبيثة..
ممتاز
لنعرف من هي هذه البرمجية الخبيثة الذي يحاول إنشاءها في الجهاز
لنتحقق من ذلك بطريقة جد بسيطة ، تابعوا معي
ــــــــــــــــ
ممتاز اخواني اظن هذا يكفي ..
نأتي الان الى الحصيلة وبعد تتبعنا للبرنامج الخبيث بجهازنا.
طيب اولا كمعلومات من اول الى الاخير
طبعا البرنامج المدموج لدينا لتحليل مضغوط ب MEW كما رأينا
ونعلم طبعا انه لا يمكن تحليل اي برنامج خبيث او برنامج مدموج مع اي شيئ
بدون عمليه الفك فهي ضرورية اماببرنامج نقيض او استعمال خاصية معينه بـolly ..ومن ثم نحلله اما بطريقة العادية يعني
مراقبة الاتصالات ومساره الخ ..( تحليل سطحي)
واما بطريقة الهندسة العكسية ( تحليل معمق) .. هذه الطريقة تعتمد على كيفية تعامل مع المنقحات
ولغات البرمجة وبشكل اساسي الاسمابلي . ممتاز
بعد تحليل الكود البرنامج المدموج وجدنا ان ذلك الكود يستعمله من اجل انشاء برمجية
خبيثة اخرى ..وبإختصار المعلومات نجد البرمجية الخبية هي ntlcs.exe
وكذلك اختصار لآسم التنفيذ وهو MZ .
وتحققنا من ذلك كما وضحت في الصور اعلاه .
----------------
اظن ان مستوى هذا التحليل يفي بالغرض ويمكنكم استخدامه مع الفيروسات او
البرامج الملغمة والمدموجة الخ .. فهذه مبادئ جد مهمة في التحليل
لم أشئ ان ابحر في التحليل حتى لا تتلخبط عليكم الامور وتتعقد اكثر
فهذا يحتاج كما قلت خبرة بالاسمابلي وقراءة الاكواد
المهم ان تعم الاستفادة والمعرفة للآعضائنا الكرام
واخذ نبذة وفكرة عن كيفية التحليل بالهندسة العكسية
والله الموفق للجميع.
ـــ
من اراد الدرس لي قبل هذا في ما يخص الهندسة العكسية والتعامل مع المنقح
( درس مبدئي يفهم اوليا )
