مثبت الجزء الثاني من كورس تحليل الملفات يدويًا والهندسة العكسية 🎭💻

[Ramy BadraanRamy Badraan is verified member.]

​

الجزء الثاني – الغوص في أعماق التحليل العكسي ​

أهلا بيكم في الجزء الثاني من كورس تحليل الملفات المشبوهة والهندسة العكسية!
لو عديت من الجزء الأول، فأنت كده دخلت في الجد بقى، وهنبدأ نغوص في تفاصيل أعمق عن تفكيك وتحليل البرمجيات الضارة بشكل احترافي!
​

هنركز في الجزء ده على:​

أدوات التفكيك العملاقة Ghidra و IDA Pro، وازاي نستخدمهم لفك شفرات أي ملف تنفيذي وتحليل الأكواد الداخلية.
تحليل سلوك البرمجيات الخبيثة باستخدام أدوات مثل Wireshark و Process Monitor، علشان نعرف الملف ده بيعمل إيه بالظبط وبيكلم مين على الإنترنت.
تشغيل الملفات المشبوهة داخل بيئة معزولة (Sandboxing) علشان نرصد سلوكها بدون ما تأذي النظام.

الشرح هيكون عملي 100%، بالتفصيل الممل، مع أكواد وأمثلة كتير عشان تفهم كل نقطة كويس وتقدر تطبق بنفسك.

​

Ghidra – عملاق الهندسة العكسية المفتوح المصدر ​

بناءاً على طلب اخى الغالى @Abu.amr ​

​

أولًا: يعني إيه Ghidra وبيستخدم في إيه؟​

Ghidra هو أداة هندسة عكسية مجانية مفتوحة المصدر طورتها وكالة الأمن القومي الأمريكية (NSA)
وبيستخدمها الباحثين في الأمن السيبراني عشان يفككوا البرامج ويحللوا الكود بتاعها
الأداة دي منافس قوي جدًا لبرنامج IDA Pro المدفوع، وبتتميز إنها بتدعم لغات برمجة كتير
زي C، C++، Java، وكمان تقدر تكتب سكريبتات تحليل أوتوماتيكي باستخدام Python أو Java.

يعني لو عندك ملف تنفيذي غريب وشاكك فيه، تقدر تحلله باستخدام Ghidra وتعرف هو بيعمل إيه بالضبط
من غير ما تشغله وتعرض جهازك للخطر.


​

ثانيًا: ليه تستخدم Ghidra بدل IDA Pro؟​

مجاني تمامًا: عكس IDA Pro اللي سعره غالي جدًا.
تحليل تلقائي للكود: بيساعدك تفهم الكود بدون ما تقعد تحلل كل حاجة يدوي.
دعم سكريبتات Python و Java: تقدر تعمل تحليلات أوتوماتيكية بسهولة.
دعم أكتر من معمارية معالجات: شغال مع x86، x64، ARM، وكتير غيرهم.
بيشتغل على أنظمة مختلفة: Windows، Linux، و macOS.
بيقدر يربط التحليل بالأدوات التانية: زي Wireshark و Volatility و Process Monitor.


​

ثالثًا: ازاي تفكك برنامج باستخدام Ghidra؟​

هنبدأ مع بعض خطوة خطوة عشان نحلل ملف تنفيذي باستخدام Ghidra
وليكن عندنا الملف المشبوه malware.exe.
​

فتح البرنامج وإعداد المشروع​

حمل Ghidra من الموقع الرسمي وثبته على جهازك.
افتح البرنامج واضغط "New Project" لإنشاء مشروع جديد.
اسحب الملف التنفيذي (malware.exe) داخل المشروع.
هتظهر رسالة تسألك عاوز تعمل Auto Analysis؟
دوس "Yes" عشان يبدأ تحليل تلقائي.
​

تحليل الكود وتجميع المعلومات​

بعد ما التحليل يخلص، هنشوف عدة أجزاء مهمة في البرنامج:

Functions List: قائمة بالدوال الموجودة في الكود.
Strings Window: فيها كل النصوص اللي بيستخدمها البرنامج (ممكن تلاقي فيها كلمات مرور أو عناوين سيرفرات خبيثة! ).
Assembly View: بيعرض كود الـ Assembly لو عاوز تحليل أعمق.
​

البحث عن الدوال المشبوهة​

لو عاوز تعرف هل الملف فيه سلوك ضار ولا لأ، دور على الدوال دي:

WinExec() / ShellExecute(): لو بتستخدمهم، ممكن يكون بيشغل أوامر على الجهاز.
CreateRemoteThread(): ممكن يستخدمه عشان يعمل Injection في عمليات تانية.
VirtualAlloc() / WriteProcessMemory(): لو لقيتهم، غالبًا بيحاول يحجز ذاكرة جديدة ويكتب فيها كود (علامة على وجود بايلود!).
​

استخراج الأكواد المهمة وتحليلها​

لو لقينا دالة مشبوهة، ممكن نستخدم سكريبت Python عشان نحللها أوتوماتيكيًا:​

from ghidra.program.model.listing import FunctionManager

def analyze_functions():

    fm = currentProgram.getFunctionManager()

    for func in fm.getFunctions(True):

        print("Function found:", func.getName())



analyze_functions()

السكريبت ده هيطبع لك كل الدوال اللي جوه البرنامج، وده بيساعدك تعرف إذا كان فيه حاجة غريبة شغالة.
​

استخراج الـ Strings المهمة​

لو عاوز تشوف كل النصوص اللي جوه الملف التنفيذي، ممكن تستخدم السكريبت ده:​

from ghidra.program.model.data import StringDataType

def extract_strings():

    listing = currentProgram.getListing()

    for block in listing.getCodeUnits(True):

        if isinstance(block.getDataType(), StringDataType):

            print(f"String found at {block.getAddress()}: {block.getValue()}")



extract_strings()

السكريبت ده هيطبع لك كل النصوص اللي جوه الملف، ولو لقيت كلمات سر، عناوين IP، أو روابط ويب غريبة، غالبًا ده ملف ضار.


​

رابعًا: مثال عملي – تفكيك برنامج خبيث باستخدام Ghidra​

الموقف:​

جاتلك أداة اسمها "super_hack_tool.exe"، واللي بيقولك إنها أداة لاختراق الواي فاي مجانًا (أكيد Scam ).
قررت تفككها باستخدام Ghidra وتشوف هي بتعمل إيه بالظبط.
​

التحليل:​

بعد ما حملت الملف على Ghidra، لقيت دالة اسمها check_license_key().
في نافذة الـ Strings، لقيت نص غريب:

"Enter your license key to continue: "

لما فتحت دالة check_license_key()، لقيتها بتاخد المدخلات وتبعتها لسيرفر معين!
​

تحليل الـ Assembly:​

mov eax, ; بيجيب اللي المستخدم كتبه

call send_data_to_server ; بيبعته للسيرفر

باختصار، الأداة دي مش بتعمل حاجة غير إنها بتسرق بيانات المستخدم! ​

​

الإجراء:​

حذف الملف فورًا!

استخدام Wireshark لمراقبة الاتصال والتأكد من عدم إرسال بيانات أخرى.



خامسًا: مقارنة سريعة بين Ghidra و IDA Pro
​

الميزة​	Ghidra​	IDA Pro​
السعر​	مجاني​	غالي جدًا ​
التحليل التلقائي​	موجود ​	موجود ​
دعم المعالجات​	واسع جدًا ​	واسع جدًا ​
كتابة السكريبتات​	Java, Python​	IDC, Python​
التحليل الديناميكي​	لا يدعم​	يدعم​
التكامل مع الأدوات الأخرى​	متكامل​	متكامل​

---

​

الخلاصة: ليه Ghidra أداة قوية جدًا؟​

Ghidra مش بس بديل مجاني لـ IDA Pro، لكنه بيقدم ميزات قوية زي دعم المعالجات المتعددة
كتابة سكريبتات تحليل أوتوماتيكي، والتكامل مع أدوات تانية. أي حد مهتم بالأمن السيبراني لازم يتعلمه
لأنه بيخليك تفكك وتحلل أي برنامج زي المحترفين!

-
​

IDA Pro – ملك الهندسة العكسية ​

IDA Pro هو أشهر وأقوى أداة تفكيك وتحليل ملفات تنفيذية (Disassembler & Debugger)
وبيستخدمه خبراء الأمن السيبراني في
تحليل البرمجيات الخبيثة، الهندسة العكسية للبرامج، وفحص الثغرات الأمنية.

​

أشهر استخداماته:​

تحليل البرامج المشبوهة واكتشاف البرمجيات الخبيثة.
فحص الثغرات الأمنية في البرامج التنفيذية.
استخراج الأكواد من البرامج المغلقة المصدر.
دراسة طريقة عمل الفيروسات والـ malware.


​

ليه IDA Pro أقوى أداة في المجال؟​

يدعم التحليل الثابت والديناميكي: مش بس بيعرض لك الكود، لكن كمان تقدر تنفذ البرامج وتشوف تصرفاتها في الوقت الحقيقي.
تحليل تلقائي للكود: بيحاول يحول كود الـ Assembly لكود أسهل للقراءة.
يدعم ديباجر داخلي (Debugger): تقدر تعمل Step-by-Step Execution وتشوف الكود أثناء التنفيذ.
دعم ضخم للمعالجات المختلفة: مش بس x86 و x64، لكن كمان ARM، MIPS، وغيرها.
إمكانية إضافة Plugins وسكريبتات: تقدر تستخدم Python و IDC Script لإنجاز المهام بسرعة.


​

ازاي تفكك برنامج باستخدام IDA Pro؟​

فتح البرنامج وإضافة الملف التنفيذي​

شغل IDA Pro واضغط "Open".
اختر الملف التنفيذي (malware.exe).
IDA هيبدأ تحليل تلقائي ويعرض لك نافذة فيها الـ Functions, Strings, Imports, Exports.
​

استكشاف الدوال (Functions) المهمة​

هتلاقي قائمة بكل الدوال في البرنامج، دور على أي دالة مشبوهةزي:
CreateRemoteThread() ➜ غالبًا فيروس بيحقن نفسه في عمليات تانية.
VirtualAlloc() / WriteProcessMemory() ➜ بيحجز ذاكرة جديدة وبيكتب فيها كود (علامة على وجود بايلود!).
WinExec() / ShellExecute() ➜ بيشغل أوامر على النظام.
​

البحث عن النصوص المخفية (Strings)​

افتح "Strings" وشوف لو فيه روابط، كلمات سر، أو أوامر تنفيذ مشبوهة.
مثلًا، لو لقيت حاجة زي:

"cmd.exe /c del C:\Windows\System32"

يبقى ده فيروس بيحذف ملفات النظام!
​

تحليل الـ Assembly ومعرفة سلوك البرنامج​

في نافذة الـ Disassembly، هتلاقي كود البرنامج مكتوب بلغة Assembly.
لو لقيت حاجة زي كده:​

mov eax,   ; تحميل متغير من الذاكرة

call CreateRemoteThread  ; تشغيل كود ضار في عملية أخرى

➜ يبقى البرنامج بيحقن نفسه في عمليات تانية، وده سلوك برمجية خبيثة.

​

أمثلة عملية على تحليل البرامج باستخدام IDA Pro​

المثال الأول: البحث عن كود خبيث في برنامج مجهول​

السيناريو:​

جالك برنامج اسمه "free_crypto_miner.exe"، وعاوز تعرف هو بيعمل إيه.
​

خطوات التحليل:​

فتحت البرنامج في IDA Pro، ولقيت دالة مشبوهة اسمها mine_coins().
دخلت على "Strings"، ولقيت فيه عنوان محفظة بيتكوين!

"Send coins to: 1A2b3C4d5E6F7g8H9J"

راجعت الكود، ولقيته بيستخدم دالة GetTickCount() لقياس الوقت
وده دليل على تعدين العملات الرقمية بدون إذن المستخدم!

الحل؟ ➜ احذف البرنامج فورًا!
​

​

المثال الثاني: استخراج بيانات مخفية من برنامج مشبوه​

السيناريو:​

جالك ملف تنفيذي اسمه "secret_message.exe"، وعاوز تشوف لو فيه بيانات مخفية.
​

التحليل:​

فتحت البرنامج في IDA Pro.
دخلت على "Strings"، لكن مفيش أي حاجة واضحة.
استخدمت سكريبت Python لاستخراج النصوص من الذاكرة:​

from idaapi import *

def extract_strings():

    seg = Segments()

    for seg in seg:

        ea = SegStart(seg)

        while ea < SegEnd(seg):

            if GetMnem(ea) == "push":

                op = GetOpnd(ea, 0)

                if op.startswith("offset"):

                    print("Found string at {}: {}".format(hex(ea), op))

            ea = NextHead(ea, SegEnd(seg))

extract_strings()

لقيت نص مخفي جوه البرنامج:
​

"This program was made by Anonymous Hacker!"

يبقى البرنامج بيحاول يخفي معلومات باستخدام الـ Obfuscation!

​

هل IDA Pro مناسب للمبتدئين؟​

بصراحة، IDA Pro مش سهل، وعاوز خبرة في لغة Assembly وهندسة عكسية عشان تفهمه كويس.
لو مبتدئ، الأفضل تبدأ بـ Ghidra، وبعدها ممكن تتعلم IDA Pro.​

​

الخلاصة: ليه IDA Pro أداة لا غنى عنها؟​

أقوى أداة هندسة عكسية في العالم.
يستخدمه محترفو الأمن السيبراني لتحليل الفيروسات والثغرات.
يدعم التحليل الديناميكي والتفكيك التلقائي للكود.
لكن عيبه الوحيد إنه غالي جدًا ، لكن لحسن الحظ انه موجود فى المنتدى ومفعل

​

Wireshark – عينك على الشبكة ​

​

Wireshark هو أداة تحليل شبكات (Packet Analyzer)
بتخليك تشوف كل حاجة بتحصل في الشبكة وكأنك قاعد تراقب مرور العربيات في شارع كبير.​

​

بيعمل إيه بالظبط؟​

بيحلل كل الباكتس (Packets) اللي بتمر في الشبكة.
بيقدر يستخرج كلمات السر، الروابط، والبيانات الحساسة لو مش مشفرة.
بيستخدمه خبراء الأمن في اكتشاف الهجمات والثغرات.
أداة أساسية في الهندسة العكسية للبرامج اللي بتستخدم الإنترنت.​

​

ليه Wireshark مهم جدًا؟​

مفتوح المصدر ومجاني ➜ أي حد يقدر يستخدمه.
يدعم تحليل جميع البروتوكولات تقريبًا ➜ HTTP, TCP, UDP, DNS, SSL/TLS، وغيرهم.
واجهة رسومية قوية وسهلة الاستخدام ➜ مش محتاج تكتب أوامر معقدة عشان تراقب الشبكة.
يتيح لك استخراج البيانات وتحليلها ➜ تقدر تشوف البيانات اللي بتمر، ولو مش مشفرة، ممكن تستخرج معلومات خطيرة!​

​

ازاي تستخدم Wireshark عمليًا؟​

تحميل Wireshark وتشغيله​

حمّل Wireshark من الموقع الرسمي: wireshark.org
ثبته عادي جدًا، وتأكد إنك تثبت WinPcap/Npcap لأنه ضروري لالتقاط الباكتس.
بعد التثبيت، شغّل Wireshark وهيظهر لك كل كروت الشبكة الموجودة عندك.
​

اختيار كارت الشبكة والتقاط البيانات​

بعد تشغيل البرنامج، هتلاقي قائمة بكل كروت الشبكة (Wi-Fi / Ethernet).
اختار كارت الشبكة اللي متصل بالإنترنت واضغط Start.
هيبدأ Wireshark في التقاط كل البيانات اللي بتمر في الشبكة.
​

فلترة البيانات للتركيز على الحاجة المهمة​

Wireshark بيعرض ملايين الباكتس، لكن تقدر تفلترها باستخدام الفلاتر.

أهم الفلاتر اللي ممكن تستخدمها:
​

الفلتر​	الوظيفة​
http​	يعرض فقط ترافيك الـ HTTP​
tcp.port == 80​	يعرض الاتصالات على بورت 80 (HTTP)​
ip.addr == 192.168.1.1​	يعرض كل الباكتس المرتبطة بهذا الـ IP​
dns​	يعرض طلبات الـ DNS فقط​
ssl​	يعرض اتصالات SSL/TLS المشفرة​
udp​	يعرض فقط بروتوكول UDP​

​

​

استخراج بيانات حساسة باستخدام Wireshark​

السيناريو الأول: استخراج كلمات السر من HTTP​

الخطوات:​

افتح Wireshark وابدأ التقاط البيانات.
استخدم الفلتر:

http contains "password"

هتلاقي بيانات تسجيل الدخول لو الموقع مش بيستخدم HTTPS!
​

مثال عملي لكلمة سر في HTTP:​

في المواقع اللي بتستخدم HTTP، بيانات تسجيل الدخول بتتبعت في شكل نص عادي (Plaintext) زي كده:​

POST /login.php HTTP/1.1

Host: example.com

username=admin&password=123456

➜ الحل؟ دايمًا استخدم مواقع بتدعم HTTPS!


​

السيناريو الثاني: تحليل اتصالات الـ DNS لمعرفة المواقع اللي بيزورها الضحية​

استخدم الفلتر ده:

dns

هتلاقي كل المواقع اللي تم طلبها عبر DNS، حتى لو الضحية كان في Private Mode!


​

السيناريو الثالث: التقاط بيانات تسجيل الدخول في FTP​

بروتوكول FTP مش بيشفر البيانات، وده معناه إن لو حد دخل باسورد، ممكن تقدر تشوفه بسهولة.
استخدم الفلتر:

ftp

هتلاقي بيانات تسجيل الدخول واضحة جدًا:​

USER admin

PASS secret123

➜ تجنب استخدام FTP بدون تشفير، واستخدم SFTP أو FTPS بدلًا منه!

​

Process Monitor – مراقبة العمليات واكتشاف البرمجيات الخبيثة ​

​

أولًا: يعني إيه Process Monitor وبيعمل إيه؟​

Process Monitor، أو ProcMon اختصارًا، هو أداة من Microsoft بتراقب كل العمليات اللي بتحصل في النظام في الوقت الحقيقي (Real-time Monitoring). الأداة دي بتجمع بين 3 أدوات قديمة:
Filemon ➜ كان بيستخدم لمراقبة الملفات والمجلدات
Regmon ➜ كان بيستخدم لمراقبة الـ Registry
Process Explorer ➜ كان بيستخدم لمراقبة البرامج اللي شغالة
يعني باختصار، Process Monitor بيكشف كل حاجة النظام بيعملها في الخلفية، وده مهم جدًا لتحليل البرمجيات الخبيثة وفهم سلوكها! ​

​

ثانيًا: ليه Process Monitor مهم جدًا؟​

يراقب كل العمليات في الوقت الحقيقي ➜ تقدر تشوف أي برنامج بيعمل إيه لحظة بلحظة.
يكتشف البرمجيات الخبيثة بسهولة ➜ لو فيروس بيعدل في النظام أو بيتصل بالإنترنت، هتشوفه فورًا!
بيوضح التعديلات على الريجستري والملفات ➜ أي تعديل بيحصل في ملفاتك أو إعدادات النظام، هتعرف مصدره.
أداة قوية لاختبار البرامج الجديدة ➜ لو حملت برنامج من الإنترنت، تقدر تراقبه قبل ما تثق فيه.​

​

ثالثًا: ازاي تستخدم Process Monitor عمليًا؟​

تحميل Process Monitor وتشغيله​

حمّل الأداة من الموقع الرسمي لـ Microsoft:

➜ تحميل Process Monitor

فك الضغط عن الملف وشغل Procmon.exe.

هيبدأ يعرض لك كل العمليات اللي بتحصل في الجهاز في الوقت الفعلي!
​

ازاي تفلتر العمليات علشان تركز على الحاجة المهمة؟ ​

Process Monitor بيعرض ملايين العمليات، فلازم نفلترها علشان نعرف نتعامل معاها بشكل أسهل.

أهم الفلاتر اللي لازم تستخدمها:
​

الفلتر​	الوظيفة​
Process Name is malware.exe​	يعرض العمليات الخاصة بملف معين​
Operation contains WriteFile​	يعرض كل العمليات اللي بتكتب ملفات جديدة في النظام​
Path contains Run​	يعرض أي برنامج بيضيف نفسه لقائمة تشغيل الويندوز​
Operation contains RegSetValue​	يعرض التعديلات اللي بتحصل على الريجستري​
Result contains ACCESS DENIED​	يعرض العمليات اللي بتفشل بسبب عدم وجود صلاحيات​

​

رابعًا: تحليل البرمجيات الخبيثة باستخدام Process Monitor ​

السيناريو الأول: اكتشاف برمجية خبيثة بتضيف نفسها مع بداية تشغيل الويندوز​

الخطوات:​

افتح Process Monitor وابدأ التقاط البيانات.
استخدم الفلتر:

Path contains Run

هتلاقي العمليات اللي بتحاول تضيف نفسها لقائمة البرامج اللي بتشتغل مع الويندوز.

لو لقيت حاجة مش معروفة زي:

C:\Users\Public\malware.exe -> HKCU\Software\Microsoft\Windows\CurrentVersion\Run

➜ ده معناه إن البرمجية بتحاول تثبت نفسها كبرنامج بيشتغل تلقائيًا مع كل إعادة تشغيل! ​

​

الحل:​

➜ امسح المفتاح ده من الريجستري باستخدام:

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v malware /f

​

​

السيناريو الثاني: اكتشاف فيروس بيعدل في ملفات النظام
​

الخطوات:​

افتح Process Monitor وابدأ تسجيل العمليات.
استخدم الفلتر:

Operation contains WriteFile

لو لقيت برنامج بيعدل في ملفات حساسة زي:

C:\Windows\System32\malicious.dll

➜ ده معناه إن فيه فيروس بيحاول يعدل ملفات النظام، وده خطر جدًا! ​

​

الحل:​

➜ احذف الملف باستخدام:

Remove-Item -Path "C:\Windows\System32\malicious.dll" -Force

➜ بعد كده، استخدم sfc /scannow لإصلاح ملفات النظام:

sfc /scannow

​

​

السيناريو الثالث: اكتشاف فيروس بيتصل بعنوان IP مشبوه​

الخطوات:​

افتح Process Monitor وابدأ تسجيل العمليات.

استخدم الفلتر:

Operation contains TCP Connect

لو لقيت برنامج بيتصل بعنوان IP غريب، زي:​

Process: trojan.exe

Operation: TCP Connect

Destination: 185.12.33.14

➜ ده معناه إن الفيروس بيبعت بيانات لجهاز تاني على الإنترنت!
​

الحل:​

➜ اقفل العملية باستخدام Task Manager أو PowerShell:

Stop-Process -Name trojan -Force

➜ حظر الاتصال باستخدام Windows Firewall:

New-NetFirewallRule -DisplayName "Block Malware IP" -Direction Outbound -RemoteAddress 185.12.33.14 -Action Block

​

تحليل البرمجيات الخبيثة باستخدام Sandboxing​

تشغيل الفيروس في بيئة معزولة ​

تمام، دلوقتي جِه وقت حاجة خطيرة جدًا في تحليل البرمجيات الخبيثة، وهي Sandboxing! ​

الـ Sandbox ده بمثابة "حلبة ملاكمة" بنرمي فيها الفيروس ونشوف هيعمل إيه بدون ما يضر جهازنا! ​

Sandbox هو بيئة افتراضية معزولة، بتشغل فيها البرمجية الخبيثة، وتراقب كل حاجة بتعملها بدون ما تأثر على جهازك الأساسي.


تقدر تراقب:

الملفات اللي بتعدلها البرمجية
العمليات اللي بتشغلها
الاتصالات اللي بتعملها على الإنترنت
أي تغييرات على الريجستري أو النظام

يعني لو عندك فيروس خطير، بدل ما تجربه على جهازك، جربه في الـ Sandbox وراقب سلوكه بأمان! ​

​

ليه الـ Sandboxing مهم؟​

تحليل البرمجيات الخبيثة بأمان ➜ بدل ما تشغل الفيروس على جهازك وتندم، شغله في بيئة افتراضية!
اكتشاف سلوك الفيروسات ➜ هل بتعدل ملفات؟ بتضيف نفسها للريجستري؟ بتتصل بسيرفر؟
مهم جدًا لمحللي الأمن السيبراني ➜ عشان تقدر تفهم طبيعة التهديدات وتعرف طريقة مكافحتها.
​

​

كشف الفيروسات باستخدام Windows Sandbox​

لو بتستخدم Windows 10 أو 11 Pro، عندك أداة رسمية من مايكروسوفت اسمها Windows Sandbox، ودي عبارة عن ويندوز معزول تقدر تشغل فيه أي حاجة بأمان!
​

​

تشغيل Windows Sandbox

افتح Control Panel ➜ Turn Windows features on or off
فعل خيار Windows Sandbox
بعد إعادة التشغيل، هتلاقي Windows Sandbox في البحث

دلوقتي تقدر تشغل البرمجية المشبوهة جوه الـ Sandbox بدون ما تأثر على جهازك الأساسي!
​

​

الخلاصة: ليه Sandboxing أداة مهمة؟​

بيسمح لك بتحليل الفيروسات بدون ما تأذي جهازك الأساسي
يكشف لك كل حاجة البرمجية الخبيثة بتعملها بدون مخاطرة
أداة أساسية لمحللي الأمن السيبراني والـ Reverse Engineering

وبكده نكون وصلنا لنهاية الجزء الثاني من كورس تحليل الملفات المشبوهة والهندسة العكسية!
في الجزء ده، غطينا أدوات التفكيك القوية Ghidra و IDA Pro، واتعلمنا إزاي نحلل سلوك البرمجيات الخبيثة باستخدام Wireshark و Process Monitor، وكمان عرفنا يعني إيه Sandboxing وازاي نحاصر أي ملف مشبوه ونرصد تحركاته زي المحترفين!


لكن استنوا… لسه المهمة مخلصتش!

في الجزء الثالث، هنخش بقى على المواضيع التقيلة جدًا:
فحص الذاكرة (Memory Analysis) – هنشوف البرمجيات الخبيثة وهي مستخبية في الـ RAM ونعرف إزاي نكشفها بأدوات احترافية.
البايلود (Payloads) وطرق تنفيذه – هنتكلم عن الحاجات اللي فعليًا بتسبب الضرر في البرمجيات الخبيثة وازاي بتشتغل من تحت لتحت!

استعدوا للمرحلة الجاية، هتكون مليانة أسرار وأدوات متقدمة!
لو عندك أي أسئلة أو حابب تضيف حاجة، قوللي في الكومنتات!
لو استفدت من الجزء دة وبقيت محترف فيه يبقى شوف الجزء الثالث هنا​

الجزء الثالث من كورس تحليل الملفات يدويًا والهندسة العكسية ​

​

 

[mrso_mrso]

ما شاء الله إيه الجمال ده فين الجزء الاول
جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم ونفع الله بكم وأعز بكم دينه​

 

[Ramy BadraanRamy Badraan is verified member.]

ما شاء الله إيه الجمال ده فين الجزء الاول
جزيتم الفردوس الأعلى من الجنة ورفقه رسوله الكريم ونفع الله بكم وأعز بكم دينه​

تسلم يا غالى
الجزء الاول
https://forum.zyzoom.net/threads/420681/

 

[Abu.amr]

بارك الله فيك اخى رامى موضوع ممتاز
لم تذكر اهم شى بيئة العمل ( ويندوز ٠ لينكس ) من زمن اعرف الكراكرز بيشتغلوا ب ويندوز ٧ او xp فقط لدعم الادوات بالكامل هل تغير هذا يعنى الادوات لان تعمل على ويندوز 10 او اعلى بدون مشاكل
تانى شى لازم اقفل الديفيندر والانتى فيرس اثناء العمل
واية رايك فى البرمجيات الخبيثة للى متكودة انها متشتغلش على اى نظام وهمى لازم الويندوز الاصلى لتعمل وتخفى نفسها حلها اية

 

[Ramy BadraanRamy Badraan is verified member.]

بارك الله فيك اخى رامى موضوع ممتاز
لم تذكر اهم شى بيئة العمل ( ويندوز ٠ لينكس ) من زمن اعرف الكراكرز بيشتغلوا ب ويندوز ٧ او xp فقط لدعم الادوات بالكامل هل تغير هذا يعنى الادوات لان تعمل على ويندوز 10 او اعلى بدون مشاكل
تانى شى لازم اقفل الديفيندر والانتى فيرس اثناء العمل
واية رايك فى البرمجيات الخبيثة للى متكودة انها متشتغلش على اى نظام وهمى لازم الويندوز الاصلى لتعمل وتخفى نفسها حلها اية

صحيح، زمان الكراكرز والمحللين كانوا بيفضلوا ويندوز 7 و XP لأن معظم الأدوات كانت متوافقة معاهم بشكل كامل، لكن الوضع دلوقتي اتغير تمامًا. أغلب الأدوات الحديثة بقت بتشتغل على ويندوز 10 و 11 بدون مشاكل، وكتير منها بقى ليه دعم رسمي للإصدارات الأحدث. طبعًا في بعض الأدوات القديمة اللي ممكن تحتاج تعديلات أو تشغيلها في وضع التوافق (Compatibility Mode) عشان تشتغل بكفاءة.
أما بخصوص إغلاق الـ Windows Defender والأنتي فيرس أثناء التحليل فده مهم جدًا، لأن برامج الحماية ممكن تمنعك من تشغيل أو تحليل البرمجيات الخبيثة. لكن الأفضل إنك تشتغل في بيئة معزولة بحيث تقدر تعطل الحماية بدون ما تعرض جهازك للخطر
أما عن البرمجيات الخبيثة اللي مش بتشتغل على الأنظمة الوهمية في أنواع من الـ Malware Detection Techniques بتمنع تشغيل البرمجيات في بيئة افتراضية زي VMware, VirtualBox أو حتى Sandboxie، والسبب إن المخترق عايز يضمن إن البرمجية هتشتغل بس على نظام حقيقي مش معمل مخصوص للتحليل
حلها بسيييييييييييييييييييييط جداً
استخدم hyper-v ،، دة بيخدع الهاكر بيحسسه انه على نظام حقيقى
ولو عايز تستخدم غيره يبقى غير ال MAC Address بتاع الشبكة

 

[ezzatmoh]

جزاك الله كل خير اخي

 

[hani forcehani force is verified member.]

الله يحفظك استاذ رامي
وجعله الله عز وجل بي ميزان حسناتك

 

[aldswqi]

بسم الله ما شاء الله لا قوة إلا بالله
مشكور أخي الفاضل على هذا الموضوع المتميز والجهد الكبير المبذول
بارك الله فيك وجزاك الله خيراً وجعله الله في ميزان حسناتك
أفادنا الله بعلمك وعملك​

 

[alranteesi]

جزاك الله خيراً