مثبت ( شرح ) الاستفاده من تقرير Virustotal فى قراءه تقارير الملفات الخبيثه

[black007]

تحيه طيبه و أتمنى ان يكون الجميع فى تمام الصحه والعافيه

منذ زمن لم اقوم بكتابه موضوع مفيد لكى يستفيد منه الجميع

والسبب فى ذلك والله انى اعانى من بعض الاصابه من بعد عمليه جراحيه اجريتها وهى توثر على ولكن الحمد الله ماشى الحال على كل شى

دعواتكم بالشفاء العاجل ان شاء الله

كيف نسطيع ان نستفيد من التقرير التى يمنحنها ايها موقع فايرس توتل بما انه افضل المواقع المتخصصه فى فحص الملفات ولكن ما يجهله الجميع ان الموقع اكثر من انه من موقع فحص

يعطى الموقع معلومات كثيره عن الملف المفحوصه عليه ويجهل الكثير منا كيف يمكن ان استفيد من التقرير الذى يوضحه الموقع فى معرفه هل الملف خبيث ام مشبوه ام سليم

لنتحدث اولا عن التسميات المختلفه لبرامج الحمايه

جميع برامج الحمايه فور اكتشافها لملف ما جديد يتم ادراجه ضمن قواعد بيانات البرنامج للتعرف عليه

ولكن كيف يمكن ادرج ذلك الكم الكبير من هذه الملفات لذلك نجد ان كل شركه حمايه قامت باطلق اسم محدد على هذا الملف

باتباع عده عوامل فبعض برامج الحمايه تقوم بكتابه اسم الملف عن طريق سلوكه والبعض الاخر تقوم بكتابه اسم الملف عن طريق رقم متسلسل كودى محدد وبعض البرامج الاخرى تقوم بكتابه اسم الملف على حسب نوع برمجه الملف وهاكذا

لذلك تختلف التمسيه من شركه الى اخرى ولكننا هنا فى هذا الموضوع ان شاء سنركز بشكل اساسى على التسميه الاصحى التى توضح عمل الملف وماهييته تحديدا بشكل اوضح

قبل شرح التسميات المختلفه لبرامج الحمايه خلينا نتفق على شى هو اكتشاف برامج الحمايه للكركات والباتشات ومولدات المفاتيح KEYGEN واى شى يفعل منتجات البرامج بشكل غير شرعى بالطرق المذكوره فبرامج الحمايه تكتشف تلك الملفات على انها خبيثه لانها تعتبر الذى قام بصناعتها تعدى على حقوق الملكيه الفكريه ولذلك تحارب تلك الباتشات والكركات باكتشافاها وتحذر المستخدمين منها على انها برامج ضاره وهى فى الحقيقه ليست كذلك (بعض برامج الحمايه تكتب عليها ملف تفعيل ) او غير مرغوب فيه

ومثال على ذلك تلك الصوره لملف ما

ايضا السبب الثانى الذى يجعل برامج الحمايه تشك فى الكراكات والباتشات هو نوعيه البرمجه او الكود المكتوب به الباتش فهناك بعض الاكواد التى يتم استخدامها فى التفعيل وطريقه دخول التفعيل الى الذاكره الموقته وتعدل فى بعض عناوين الذاكره وهذا السلوك تعتبره برامج الحمايه تعتديل على الزاكره العشوائيه للجهاز ويعتبر سلوك مشبوه بسبب طريقه دخول الكود الى منطقه محظوره بل وتنفيزه داخلها لذلك وجب التوضيح

شرح التسميات المختلفه لبرامج الحمايه

فى الصفحه الرئيسيه فى واجه الموقع اول شى يجب الانتباه له هو كالتالى

المعلومات المتاحه حول الملف

تبويب Analysis

فى هذا التبويب سنطلع بشكل اساسى على عدد نقاط

1- معدل اكتشاف الملف من كام حمايه
2- الاسماء المختلفه للملف من مختلف برامج الحمايه حتى نسطيع ان نكون فكره عامه عن ماهيه الملف

بعد الاطلاع بشكل سريع على الكتشافات والتسميات للمختلفه يتبين ان هذا الملف من نوع Worm دوده

تبويب File Detail

فى هذا التبويب المعلومات التى سنظر لها وهى كالاتى

بامكان الشرح بالتفصيل لكل ما تحتويه جزئيه الملف ولكن الموضوع سيكون طويل نسبيا

لشرح كل جزء على حدى حيث لكى عليك ان تفهم كل جزء على حدى عليك دراسه لتركيب الملف التنفيزى PE

والشرح الموضح هو للاطلاع بشكل سريع على معلومات الملف دون التعمق فى تفاصيل كثيره

تبويب Relationships

تبويب Additional information

الهاش هو عبارة عن بصمة للملف مثل بصمة الإصبع للإنسان لا يوجد برنامجين لهم نفس الهاش حتى لو برنامج واحد وقمنا بالتعديل مثلا على أيقونة البرنامج بأيقونة أخرى يتغير الهاش

كيف نعرف الهاش الخاص بالملف

هناك برامج كثيره مشهوره فى هذا المجال مثل برنامج Hashtab

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يمكن بعد استخراج الهاش من اى ملف الاسفاده منه فى عده نواحى :-

1- البحث داخل موقع Virustotal

2- مقارنه الملفات مع بعضها بالتحقق من الاصل والمزيف

اذا كان الملف سليم سيظهر هكاذا

اذا كان الملف معدل سيظهر هكذا

تبويب Comments

فى هذا التبويب يمكن الاطلع على التعليقات المختلفه فهناك بعض التعليقات التى يتم اعتمداها بشكل اتومتك وهى تكون عن طريق مثل الرد الالى

اى يقوم موقع التحليل الاتوماتك بكتابه رد الالى بمجرد رفع العينه عنده

وللعلم هناك بعض المختبارت التى تعطى معلومات مفصله بشكل شامل اكثر بكثير من موقع فايرس توتل

لان هدفها الاساسى هو تحليل العينات المرفوعه عندها واعطاء تقرير مفصل عن حاله الملف

من اشهر تلك المواقع

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

تبويب Votes

وفى هذا التبويب يتم وضع تقيمات لمستخدمين الملف

طبعا بما انك مستخدم مسجل دخول لدى مختبر فايرس توتل بامكانك الضغط على الراس الاخضر او الاحمر بما تراه هل هذا الملف خبيث او حميد

هناك نقطه حابب اوضحها هنا وهى ان هناك بعض التصويتات التى يتم الاخذ بها من خلال الموقع من خلال خبراء الموقع نفسهم بعنى ان موقع فايرس توتل يقوم بتحليل الملفات ايضا بنفسه عن طريقه تشغيل اغلب الملفات التى ترفع عليه ويقوم بوضع تقريره فى النهايه

وكما ظهر فى الصوره السابقه ان تصويت واحد فقط من قبل شخص واحد فقط اعطى تقييم 32 نقطه اى هذا العضو خبير لدى الموقع فيعتمد الموقع على هولاء الاشخاص فى تحديد مهايه الملفات ويعتمد على رتبه هذا الشخص داخل موقع فايرس توتل

تبويب Behavioural information

تبويب مهم جدا ربما سيفيد فى تحديد سلوكيات عمل الملف دون الحاجه الى تشغيله فى بيئه وهميه

ملاحظات اخرى مهمه

- فى بعض الاحيان ربما لا تجد التبويبات مثل التبويب Relationships / Behavioural information

وذلك راجه الى سبب ان الملف مازل حديث الرفع على التوتل ولم يتم اختباره بعد لذلك عليك التحلى بالصبر لحين ظهور جميع النتائج بشكل سيلم بعدها بفتره ربما 24 ساعه

- اذا لم تظهر النتائج بشكل كافى اذا هناك مشكله ما فى الملف وهى اما ان الملف يحتاج الى شى مساعد خارجى مثلا ( مكتبه DLL خارجيه ) ولذلك لم يعمل الملف عند الموقع بشكل سليم لذلك يتم تجاهله لانه غير مكتمل

و لسبب اخر ان الموقع يقبل رفع ملف واحد فقط للتحليل وليس عدده ملفات دفعه واحده فاذا كان هناك ملف يحتاج الى 3 الى 4 اربع ملفات لكى يعمل فمن البديهى ان الموقع يقبل ملف واحد فقط ولا يستطيع تحديد الملفات الاخرى التى يحتاجها

وبذلك يصنف الملف على انه معطوب ( هذا تقييم الموقع وليس برامج الحمايه فيرج الانتباه جيدا )

- حجم الملفات المرفوعه على فايرس توتل مختلف باختلاف الاوقات

لان سابقا كان اقصى حجم للملف هو 28 ميجا للملف وقد تضاعف هذا الحجم فى السنوات الاخيره حتى وصل ان الموقع الان يقبل حتى 128 ميجا للملف الواحد

فى النهايه اتمنى ان يكون الموضوع قد نال اعجاب الجميع

ويكون قد استفاد منه المبتدا والمحترف واكون قد اوضحت فكره بسيطه على قدر معرفتى المتواضعه

الموضوع حصرى فقط لمنتدى زيزووم للامان والحمايه

وجميع الحقوق محفوظه للموقع ولى فيرجى عند النقل ذكر المصدر

تحياتى وتقديرى للجميع

اخوكم ومحبكم دوما

مصطفى & black007

 

[حسام النونو]

بسم الله ماشاء الله طرح غاية فى الاهمية وذو فائدة كبيرة

استفدت منه كثيرا , بارك الله فيك على الكريم على الشرح المتميز

وجزاك الله كل خير على المجهود المذبول , اللهم انى اسأل الله رب العرش العظيم ان يشفيك وان يحميك

السلام عليكم.​

 

[superislam]

فى البداية اتمنى لك الشفاء العاجل بارك الله فيك اخى وزقك من الطيبات

 

[سالم المسالم]

ماشاء الله تبارك الله شرح مفصل بسلاسه يشرح اهم موقع يستخدمه الاغلبيه
دائما شروحاتك عملاقه وتحمل كم من الفوائد التي نجهلها تماما
اترقب مشاركاتك بفارغ الصبر .. جاري الحفظ في المفضله
.
واسئل الله ان يشفيك ويعافيك ومن كل شر يحميك

 

[aldswqi]

بسم الله ما شاء الله لا قوة إلا بالله
مشكور ومأجور يا أخي الكريم على هذا الشرح الرائع والمتميز والجهد الكبير المبذول
بارك الله فيك وجزاك الله خيراً وجعله الله فى ميزان حسناتك
ونحمد الله على وجودك معنا (الناطقين بلغة الضاد)
أفادنا الله بعلمك وعملك
وأسأل الله أن يكتب لك الشفاء العاجل والنجاة والسلامة من كل شر
​

 

[vallecano]

السلام عليكم
شفاك الله وعفاك أخي الكريم
موضوع جميل مرتب و منسق ومبسط بشكل جيد واصل
بنية الملف Pe من بين الأشياء الواجب دراستها بشكل معمق لأنها الأساس في فهم سلوكيات البرامج

​

 

[mrso_mrso]

شفاك الله شفاءا لا يغادر سقما
وجعله فى ميزان حسناتكم
وبارك الله فيك وغفر لك ولوالديك
وإن كنت لا تكتب موضوعا الا قليلا
فيكفينا قليلاك ويزيد .....بل يزيدنا علما
وفضلا
نحبك في الله
جزيتم الفردوس الأعلى من الجنة
ورفقه رسوله الكريم​

 

[اليوناني]

ما شاء الله موضوع غاية في الروعة و الاهمية
سلمت يداك و بارك الله فيك

 

[التميمي14]

اسأل الله ان يشفيك من اصابتك ويشفي جميع مرضى المسلمين

تقرير ثري ورائع وشامل نفع الله بعلمك اخي مصطفى

 

[Fadi344]

رائع جداً أخي مصطفى
موضوع قيّم
بارك الله بك
كفيت ووفيت
نسأل الله تعالى لك العافية والصحة
وجزاك الله عنا كل خير ..​

 

[أبو عبد الرحمن.]

بارك الله فيك ونسال الله لك الشفاء العاجل
موضوع قيم ومهم
يثبت لتعم الفائدة

 

[محمد توفيق لمين]

شفاك الله شفاءا لا يغادر سقما
وجعله فى ميزان حسناتكم
وبارك الله فيك وغفر لك ولوالديك

 

[النوميديالنوميدي is verified member.]

وعليكم سلام ورحمة الله وبركاته

شفاك الله أخي مصطفى من كل داء و أتمنى لك الشفاء العاجل غير الأجل ..يا رب

و جزاك الله كل خير على الشرح الممتاز و الوافي لموقع يعتبر بحق متميز و لا غنى عنه..

في إنتظار المزيد من مواضيعك المميزة

تحياتي لك و دمت بخير

 

[prince akram]

السلام عليكمورحمة الله
اولا شفاك الله اخي مصطفى وعفاك
ثانيا
شرح في القمة اخي
يعطيك الف عافية

 

[hitman samir12]

ابدااااااااع
وربنا يشافيك ان شاء الله

 

[hitman samir12]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

سؤال فقط مارايك في كومودو النسخة الاخيرة واقصد النسخة الانترنت سكيوريتي جدارها ممتاز لكن اتكلم عن النتي فيروس الخاص بها

 

[ضياء نورالدين]

أَسْأَلُ اللَّهَ العَظِيمَ رَبَّ العَرْشِ العَظِيمِ أَنْ يَشْفِيَكَ

شرح رائع وموضوع قيم
وياليت ...
أحد أعضاء المكتبة الإلكترونية
يُحول الموضوع لكتاب إلكتروني للإستفادة منه​

 

[samerira]

الله يطيب خاطركم ويبعد عنكم الهم والغم ويكتب لكم في كل خطوة فرح انا اؤمن بالمؤامرات واجد حتى اعضاء الجسد الواحد يحارب بعضهم بعضا ونحن نحيا في كنف حكومات ظالمة وبالتالي خياراتنا تكاد تكون معدومة وقد يشعر الشخص اذا اشتدت به الازمات انه محاصر واحيانا يقترب من اليأس حتى يعلم علم اليقين انه لا يهزم عسر يسرين ثم يبذل أسباب الفرج من الصبر والتقوى وحمد الله سيتابع ويحاول من جديد صدقا موضوعك رائع وانت رائع وبالتالي اذا قلت للرائع انك رائع فلن تأتي بجديد وبردا وسلاما اخي مصطفى مواضيعك كافة تتسم بالسهل الممتنع في أروع معانيه اذ ان فهم الموضوع في متناول الجميع لكن من الصعوبة الاتيان بمثله وقد يبدو للمتلقي عند تصفحها انه قادر على إجادتها وتقليدها ولكن حتى يشرع في التطبيق سيجد مشقة بالغة بينما اجدني لا اقوى على الاختصار واحوم على البلوى ولا اقع على ارض تذكرت قبل مدة شرعت في الاعداد لكتابة موضوع يعنى عن الاختراق او كيف اتصرف انا شخصيا اذا ظننت باني مخترق او هكذا في الفحص الدوري لنظام العمل فجاء موضوعكم وتحت عنوان مقارب فعملت على المقارنة بين المادتين وجدتك افضل فانا اسهب كديدني وبمنهاج التماجن والتطريب وانتقل من مادة الى اخرى وكأني احدث نفسي ولا اخاطب جمهورا.. حتما سأعمل في القريب العاجل بحول الله سبحانه على الاعتناء بموسوعة عن الايسيت واركنها في قسم طلبات ومشاكل واستفسارات برامج الحماية وقد افتقدت ميدو MagicianMiDo32 فهذه المواضيع تهمه وتطربه وكان قلما لا يحضر لا ادري هل ما زال على درسه ألم تنتهي الامتحانات ام في مصر تستمر حتى اشعار آخر لا ينتهي اعود معكم وجها لوجه فايروس توتال انا اجده بشكل شخصي موقع مربك ومضلل وان عد الاشهر عالميا فالكشف من محركات الحماية من طبقة السحابة فقط وبالتالي لا يشير سوى الى 10% من مجموع طبقات الحماية في د.ويب انموذجا وعلى رأسها قاموس فايروسات المحرك ومن ثم المحلل الارشادي في اثناء تتبعه سلوك الملف فضلا عن طبقة تحييد الخطأ والتي تكاد تنعدم معها نسبة الايجابيات او السلبيات الكاذبة بعكس حال الكشف السحابي كما غالبا ما يبدو ان برنامج حماية قد صنف تطبيق بانه خبيث او ضار فاذا رجعت الى فايروس توتال فسوف لن تجد لنفس برنامج الحماية اي تصنيف ويعتبره آمن بينما اسلوبي في فحص الملفات او الروابط في الفايروس توتال التركيز على الكشف من قبل د.ويب ومن ثم كاسبير سكي ثم احسب النسبة العامة للكشف على ان لا تقل عن 30% او خمسة من البرامج الجماهيرية ثم افتش وابحث عن التالي باختصار
تقييم المخاطر
يمكنه التنصت على الاتصالات الواردة
يحاول نقل بيانات عبر بروتوكول نقل الملفات ftp
يعدل تنفيذ وظيفته من خلال انشاء قيمة في الرجيستري
يولد الكثير من العمليات الفرعية
يقرأ امتداد الملفات
يكشف عن اسم الكمبيوتر *
يمكنه من التعرف على اسم حساب النظام
يقرأ تشفير الجهاز *
يقرأ العمليات النشطة
يستعلم عن معلومات عن وحدة التخزين الاقراص الصلبة في الجهاز
ينفذ استعلامات WMI لقراءة انظمة العمل التخيلية *
يفتح MountPointManager *
المؤشرات الخبيثة والمشبوهة
الكثير من محركات الفيروسات اعتبرته ضار *
خصائص غير عادية
يملك القدرة على اعادة التشغيل وغلق جهاز الكمبيوتر *
يملك القدرة على قراءة معلومات عن وحدة المعالجة المركزية *
يحتوي سترينك يستخدم كجزء لعملية الحقن
يضع علامات حذف على العديد من الملفات بعض منها لا تعود للمنتج *
يملك صلاحية مسؤول او المدير في الحذف
يغير من اعدادات بروكسي النظام *
يثبت هوك او خطاطيف لكافة العمليات النشطة *
ينشأ كود تسمح له من خلال واجهة تطبيق البرمجيات API من ارسال عنوان بصيغة ما محمل ببعض البيانات فيستقبلها المخدم ويعيد الجواب حسب الخدمة *
تشغيل سكربتات او برامج نصية باستخدام مضيف من النظام *
الكشف عن مجموعة روابط في binary/memory *
يفتح برنامج تشغيل الجهاز الامني لنواة النظام *
يجري طلبات DNS ذات الصلة بالبرمجيات الخبيثة او المواقع الملغومة..
يتصل بهوست ذات الصلة بالبرمجيات الخبيثة او المواقع الملغومة..
يجري أية طلبات HTTP ذات الصلة بالبرمجيات الخبيثة او المواقع الملغومة..

حتى مع نسبة الكشف فضلا عن تصنيفات برامج الحماية
يعد برنامج انترنت داونلود مانيجر بعد ما تم تحليله ديناميكا
آمن جدا
في امان الله وحفظه

 

[black007]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

مرحبا بالغالى سامر

اتمنى ان تكون فى تمام الصحه والعافيه

بخصوص الموضوع فقد احاول تبسيط الامور قدر الامكان ليسهل على الجميع فهمه

دون تعقيد لانه موجه لجميع الفئات حتى وان ليس للقراء خبره سابقه فى التعامل مع تكل المواقع

فهى تفيد قدر الامكان فى الاستطلاع وجمع المعلومات عن الملف الذى تريد تحليله اذا كان بغرض التحليل

بخصوص نقطه نتائج موقع فايرس توتل وانها احياننا تكون مبهمه او غير كافيه او جيده

فاتفق معك بعض الشى لكن بل وهناك برامج ضمن قواعد فايرس توتل لم تسمع بها قبل وهى على الاغلب كلها تستخدم المحركات السحابيه

بشكل عام البرامج التى تعتمد على المحركات الساحبيه اعتبرها نقطه سلبيه لان المحركات السحابيه تعطى اكتشافات خطاء كثيره على الرغم من انها تعمل وفق اليه محدده

الا انها حتى هذه اللحظه تعطى اكتشافات كاذبه بشكل عام

اعتمادك بشكل اساسى على كل من دكتور ويب او كاسبر ربما يكون صائب بعض الشى

لان احياننا دكتور ويب يعطى نتائج صحيحه هو والكاسبر ايضا بخصوص التسميات

حيث ان التسميات تختلف باختلاف البرنامج وطريقته فى تسميه او وضع توقيع لملف ما

فقد ذكرت فى اول الموضوع ان هناك بعض برامج تقوم بوضع تسميه للملفات على حسب سلوكها وطريقه عمل الملف وايضا اخرى تعطى حسب نوع الضغط والحمايه الى على الملف

وذلك تجد كثير من اكتشافات الكاسبر تحت اسم uds dangerous object وغير محدد كيف لى ان افهم تلك العباره التى وضعها الكاسبر فستكون مبهمه بالنسبه لى

ايضا الدكتور ويب احياننا ما يعطى للملف تسميه حسب اسمه الكود وليس سلوك او طريقه عمل الملف فهى فى الاخير سياسه شركه

او حسب نوع الملف الذى امامهم فقد يصنف الملف على ذلك بعد التاكد فى النظر فيه بعيد عن استخدام خوارزميات الاكتشاف وانما عن طريق التحليل اليدوى

فتختلف على حسب اعتماد مختبر دكتور ويب على طريقه فحصه

بخصوص موضوعك الذى كنت تنوى طرحه بالاشتراك مع الغالى ميدو ( فهى فكره جيده لكن حتى الذين يواجهون مشاكل ويضعوا طلباتهم فى قسم طلبات ومشاكل واستفسارات برامج الحماية

تجد ان اغلبهم لا يطلع على اى مواضيع المثبته ويريد حل سريع دون الالتفات الى اى شى )

وهذا ما لاحظته فى اغلب قسم طلبات ومشاكل واستفسارات برامج الحماية

فالسائل لا يتكبد عناء النظر او حتى البحث الصغير فى المنتدى ويريد حلول سريعه دون حتى معرفه )

يريد فقط حل مشكلته بشكل سريع دون ان يفهم

عموما هذه نوعيه من البشر حتى وان كان ليس لى خبره كافيه فى ذلك ولكن عليك الاطلاع حتى لا اندم فى النهايه وارجع اسئل لماذا حدث ذلك

الوعى هو النقطه الاساسيه التى تحرك كل شى

وللاسف حتى تلك المواضيع التى نكتبها ربما تكون ممله بعض الشى لمن يقرائها بسبب الكم الهائل من المعلومات التى تطرح فيها لذلك رجعنا الى نقطه البدايه وهى الاختصار قد الامكان حتى

لا يشعر القرائه انه امام مقال كامل ويشعر بالممل اثناء قرائته للموضوع

تحياتى وتقديرى لجميع الشباب ومن شرفنى فى الموضوع

على امل ان يكون مفيد بعض الشى للبعض او حدى الاستفاده ولو بالقليل

وتحياتى وتقديرى لشخصك اخى الغالى سامر

 

[MagicianMiDo32]

ماشاء الله تبارك الله
أبداع أخي بلاك جزاك الله كل خير
وأشكر الأخ سامر حفظه الله على سؤآله
الحقيقة أنا نسيت كل شيئ تماما مسح مسح في هذا المجال وأعتقد فات الأون -أو هو لم يحن أو لن يحن أصلا - على العودة فأصبحت غير قادر على المشاركة كما بالسابق
لكن الحمد لله حصلت على مجموع رائع جدا
أضافة الى ذهابي الى كلية الهندسة
أفتقدتكم جميعا صراحة وبأذن الله سأحاول العودة للإطمئنان عليكم متى حان الوقت
وجزاك الله خيرا أخي سامر وأخي بلاك