qysr
زيزوومي VIP
- إنضم
- 26 نوفمبر 2008
- المشاركات
- 3,415
- مستوى التفاعل
- 14,177
- النقاط
- 1,220
غير متصل
العديد من محبي التجارب يستخدمون برامج الهيبس التي تعتمد في عملها على السؤال و التنبيه , لتحليل عمل الملفات الضاره عند تشغيلها ... لكن توجد بعض الاداوت تقوم بتحليل ما قامت به هذه الملفات بعد ان تعمل .. هذه الطريقه افضلها في حالات كثيره لانها اسهل من متابعة كل تنبيه خاصة اذا كانت التنبيهات كثيره جدا ... فنترك الملف يعمل بشكل كامل ثم نقوم بملاحظة ما قام به مره واحده
يجب استخدام هذه الطريقه بطبيعة الحال على الاجهزه الوهميه او مع اخذ الاحتياطات اللازمه مع التجميد
و ربما من اسهل هذه الادوات اداة SysInspector و هي خاصه بشركة ايسيت و تأتي مدمجه مع برامجها سواء نسخة الانتي فايرس او السكيورتي ... كما توفرها الشركه كأداه محموله مجانيه ..
و هي تقوم بفحص نظام التشغيل و التقاط التفاصيل مثل العمليات و الريجستري و ملفات بدء التشغيل و الاتصالات .
لم اجد لها شرحا وافيا في المنتدى لذلك سنحاول شرح طريقة استخدامها عمليا في هذا الموضوع
- حجم الاداه حوالي 3 ميقا
- متوافقه مع جميع اصدارات الويندوز
- لتحميل نسخة 32 بت
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
- لتحميل نسخة 64 بت
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
- المرحله الاولى : اخذ سنابشوت للنظام الخالي من المالوير
تشغيل الاداه
ننتظر الاداه حتى تكمل تحليل النظام
و اجهة الاداه
نختار من قائمة File
Save log
نختار مكان حفظ السجل
و سيظهر على هيئة ملف مضغوط
- المرحله الثانيه : تشغيل المالوير الى ان يقوم بعمله كاملا
كمثال هذا التروجان ..
==
:: نقوم باعادة تشغيل الاداه مره ثانيه لتحليل حالة النظام الجديده ::
==
ثم من قائمة File نختار هذه المره Compare Logs و منها Select File
نختار السجل الذي قمنا بحفظه مسبقا
ستقوم الاداه بمقارنة حالة النظام قبل و بعد تشغيل المالوير ..
- المرحله الثالثه : التحليل
بعد اكتمال عملية المقارنه ,,ستفتح واجهة الاداه بهذا الشكل
==
(1)
Compare
و ستكون افتراضيا على Added ( ما تم اضافته ) و هي الاهم عادة
و بامكاننا من هذه القائمه ايضا اظهار : ما تم حذفه , استبداله , تعديله
==
(2)
هذه الصوره توضح معنى العلامات التي تظهر بجوار العناصر الموجوده في المقارنه
- ( العمليات )
و ذلك بناء على قواعد هيورستك تستخدمها الاداه .... هذه الفلتره ليست دقيقه لكنها تساعد فقط كمؤشر لزيادة التركيز على عناصر معينه
بالامكان وضع مستوى الفلتره في المنتصف كما هو موضح ... لاستبعاد العناصر الآمنه و تسهيل عملية التحليل
حيث ان اغلب التغيرات التي تقوم بها الملفات الضاره تكون في هذا المستوى
و في الصوره يظهر ايضا :
- العمليات
- العملية الخاصه بالمالوير
- و عند الضغط على اسم العمليه ستظهر ارتباطاتها هنا مثل الاتصالات و بدئها مع التشغيل الخ
- ( الاتصالات )
- الاتصالات ... و السهم الاحمر يشير الى ارتفاع مستوى الخطوره
- العمليه التي تقوم بالاتصال و يظهر عنوان الاتصال و البورت
- اذا نقرنا بالزر الايمن للفأره بامكاننا فتح موقع الملف لرفعه على فايرس توتال مثلا
==
ايضا بامكاننا نسخ معلومات الاتصال و لصقها في النوت باد لفحص عنوان الاتصال على اي موقع لفحص الآي بي ... لمعرفة تفاصيل الجهه التي يتم الاتصال بها
- ( الريجستري )
كما هو واضح الملف يعمل مع بدء التشغيل .... و السهم الاحمر يشير الى ارتفاع مستوى الخطوره
- ( الملفات )
نفس الامر حيث يظهر لنا الملفات الجديده و ارتباطاتها
هذا مثال على تروجان بسيط بهدف التوضيح ... و بالطبع كلما ازداد تعقيد المالوير سنجد تفاصيلا اوفر و تحتاج لتحليل اكثر عمقا
و الاداه حالها حال غيرها من الاداوت , تحتاج للتمرس قليلا عليها ... لكن استخدامها عموما سهل ,, و قمت بالاسترسال في الشرح لزيادة التوضيح فحسب
اتمنى ان اكون قد وفقت في تسليط الضوء على هذه الاداه ,, لعلها تفيد بعض محبي التجارب .
نظرا لتميز الموضوع و الفائدة التي يقدمها تم تحويله لكتاب الكتروني يمكنكم تحميله من مكتبة المنتدى :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
التعديل الأخير بواسطة المشرف:
