r00t-minat0r
01-09-2012, 02:12 AM
http://up.arab-x.com/Feb10/Yeq33899.png
اليوم بمناسبة الانتهاء من الأمتحانات :cool:
قمت بكتابة اداة بسيطة للجيوش
تستخدم في عملية
[ Malware Hash Analysis ]
وهو احد اقسام التحقيق الجنائي وهو من الأساليب التابعة للتحليل البرامج الخبيثة :mad:
ومن الطرق التي يستخدمها فرق الفحص والتحليل الأمني
http://img104.herosh.com/2011/09/22/968555532.png
[ Malware Hash Analysis ]
هو احد افرع التحقيق الجنائي الأمني
حيث من اقسامه تحليل البرامج الخبيثة والتحقيق في عملها
وبما انه يوجد على موقع الفحص قواعد بيانات كبيرة تحتوي على بيانات لهذه البرامج الخبيثة , ابتكر المحللون طريقة جديدة لربط البيانات ببعضها وتنظيمها وهي ما يسمى بـ [ Malware Hash ] وهو اعطاء هاش لكل ملف يتم تحليله ويسعى المحللون الى ايجاد ترابط بين هذه الهاشات لكل ملف حتى يستطيعو ايجاد وجه التشابة بين الهاش وعمل البرنامج الخبيث .
وبما ان الهاش يتميز به كل ملف عن غيره وكون مواقع الفحص تحتوي قاعدة كبيرة من الملفات المحللة والبيانات فلذلك يمكننا ان نقوم بتحليل ملف ما والبحث عن الهاش الخاص به في مواقع التحليل لنرى النتائج التي حفظت عن تحليل الموقع لهذا الملف مما يسهل عملية الفحص بتوفير بيانات كبيره عن البرنامج الخبيث .
http://img104.herosh.com/2011/09/22/968555532.png
[ بيانات الاداة ]
الأسم
Aljyyosh-malware
لغة السكربت
Bash
الكاتب
r00t-minat0r
http://img104.herosh.com/2011/09/22/968555532.png
[ شرح الاداة ]
اولا : قم بتحميل الاداة من
http://img692.imageshack.us/img692/8809/mediafire.gif
[ هــــنــــا (http://www.mediafire.com/download.php?9enj2rpntpga471) ]
ثانيا : فك الضغط على الاداة
تظهر لك الملفات التالية
http://www.mediafire.com/imgbnc.php/6bb48436f1286d3455c137dc19ce929df13bea8482a23d4a97 37a7b9f28654126g.jpg
[ بيان الملفات ]
aljyyosh-malware.sh : اسم الاداة الرسمي .
tmp : مجلد تضع به الاداة ملفاتها المؤقتة .
files : مجلد تقوم انت بوضع الملفات المراد تحليلها داخله .
ثالثا : قم بوضع الملفات المرد تحليلها في مجلد [ files ]
http://www.mediafire.com/imgbnc.php/a9489694c8b3385b39a71a0548627426be2b6ce7e8d5421a24 1a4ca9c64189496g.jpg
هنا قمت بوضع ملفان للتحليل
( يمكنك وضع اي عدد من الملفات , مهما كانت الصيغة )
رابعا : نقوم بتشغيل الاداة
نفتح التيرمنل ونذهب الى مسار الاداة وننفذ الاوامر التالية :
chmod +x aljyyosh-malware.sh
&
./aljyyosh-malware.sh
سوف تعمل الاداة ويظهر لنا شعار الاداة
http://www.mediafire.com/imgbnc.php/9bce3fdea75e594cfe7a8d72de5a2322e405fbe71a8985e94c 6d6c77fed05b466g.jpg
كما ترى تخبرك الأداة بأن تضع الملفات المشكوك بها في مجلد [ files ]
This Tool will use Malware Hash analysis
to search for malware data
Please put the suspicious files in the directory "files"
ننزل للاسفل قليلا لنرى نتائج التحليل
http://www.mediafire.com/imgbnc.php/3eb9f98ed59ab7f1261c1b17cb59c615842626cb2f3909bb85 6b0def63ddc41b6g.jpg
كما تشاهدون اعطتنا الاداة البيانات الأتية لكل ملف
اسم الملف :
resulte for server.exe
الهاش :
hash : 4b818e975f37d13e27aa9e7fec7a3c2a
اسم الموقع الذي اخذت منه النتيجة :
report from : viceck.ca
رابط النتيجة :
link : https://www.vicheck.ca/md5query.php?hash=4b818e975f37d13e27aa9e7fec7a3c2a
خامسا : نقوم بفتح رابط النتيجة لنرى الفحص
يظهر لنا الموقع وفي الأسفل جدول النتيجة الأتي :
http://www.mediafire.com/imgbnc.php/5d21ef91baecaab80678444490d9ff930eb0e01d4c1be06133 f277826f61c5e56g.jpg
وتظهر في الجدول النتائج التالية :
الفحص من موقع [ vicheck.ca ]
http://www.mediafire.com/imgbnc.php/0f5adb22734ee57a7785d0a31dbd059ded8fd19d337a6c26bf 7fcba93dd2937b6g.jpg
وتظهر في النتيجية ان العينة لم يتم فحصها في هذا الموقع من قبل .
الفحص في موقع [ virustotal.com ]
http://www.mediafire.com/imgbnc.php/fd6a283d0dbf74f2af7af57a3b6cfcd8a935993d331ec73d08 b95f9a0d02bd806g.jpg
ويظهر في الصورة ان الملف قد في فحص في هذا الموقع من قبل وكانت النتيجة
http://www.mediafire.com/imgbnc.php/00442ac75fc5e4a9bcad1e67cf696562f0d453c6d148465231 24929f0af411cf6g.jpg
الملف مكشوف من 42 حماية من اصل 43 والنسبة هي ( 98 %)
ولرؤية تقرير الفحص من موقع [ virustotal.com ] قم بالضغط على
http://www.mediafire.com/imgbnc.php/e8297f745a53e3a8b11ee79c027fcd1fc4ebe1efbeac33a829 1a93151377df7d6g.jpg
الفحص في موقع [ threatexpert.com ]
http://www.mediafire.com/imgbnc.php/a4ffdfaf395297d9ff0f82737c0cc35d99b1da42df4343c726 649a15da1e67026g.jpg
وهنا يخبرنا ان هذه العينة قد تم تحليلها من قبل ولرؤية النتيجة قم بالضغط على
http://www.mediafire.com/imgbnc.php/e8297f745a53e3a8b11ee79c027fcd1fc4ebe1efbeac33a829 1a93151377df7d6g.jpg
الفحص في موقع [ team-cymru.org ]
http://www.mediafire.com/imgbnc.php/a1f5960222a89cf700c1d3f3728db766a1956cca98ca3bd4ad 400b9d9b873aa06g.jpg
وهنا يخبرك ان هذه العينة قد تم تحليلها من قبل وكانت النتيجة
http://www.mediafire.com/imgbnc.php/2094578ccb37945b649057aae6e943a5550bac27d821b3fbd0 8ec3654720f5586g.jpg
ومعناها انه قد تم التعرف على الملف على انه فايروس من قبل ( 77 % ) من الحمايات
http://img104.herosh.com/2011/09/22/968555532.png
ومره اخرى
لتحميل الاداة
[ هــــنــــا (http://www.mediafire.com/download.php?9enj2rpntpga471) ]
http://img104.herosh.com/2011/09/22/968555532.png
الى هنا ينتهي الشرح اتمنى ان تنال الاداة اعجابكم
والسلام عليكم ورحمة الله وبركاته
اليوم بمناسبة الانتهاء من الأمتحانات :cool:
قمت بكتابة اداة بسيطة للجيوش
تستخدم في عملية
[ Malware Hash Analysis ]
وهو احد اقسام التحقيق الجنائي وهو من الأساليب التابعة للتحليل البرامج الخبيثة :mad:
ومن الطرق التي يستخدمها فرق الفحص والتحليل الأمني
http://img104.herosh.com/2011/09/22/968555532.png
[ Malware Hash Analysis ]
هو احد افرع التحقيق الجنائي الأمني
حيث من اقسامه تحليل البرامج الخبيثة والتحقيق في عملها
وبما انه يوجد على موقع الفحص قواعد بيانات كبيرة تحتوي على بيانات لهذه البرامج الخبيثة , ابتكر المحللون طريقة جديدة لربط البيانات ببعضها وتنظيمها وهي ما يسمى بـ [ Malware Hash ] وهو اعطاء هاش لكل ملف يتم تحليله ويسعى المحللون الى ايجاد ترابط بين هذه الهاشات لكل ملف حتى يستطيعو ايجاد وجه التشابة بين الهاش وعمل البرنامج الخبيث .
وبما ان الهاش يتميز به كل ملف عن غيره وكون مواقع الفحص تحتوي قاعدة كبيرة من الملفات المحللة والبيانات فلذلك يمكننا ان نقوم بتحليل ملف ما والبحث عن الهاش الخاص به في مواقع التحليل لنرى النتائج التي حفظت عن تحليل الموقع لهذا الملف مما يسهل عملية الفحص بتوفير بيانات كبيره عن البرنامج الخبيث .
http://img104.herosh.com/2011/09/22/968555532.png
[ بيانات الاداة ]
الأسم
Aljyyosh-malware
لغة السكربت
Bash
الكاتب
r00t-minat0r
http://img104.herosh.com/2011/09/22/968555532.png
[ شرح الاداة ]
اولا : قم بتحميل الاداة من
http://img692.imageshack.us/img692/8809/mediafire.gif
[ هــــنــــا (http://www.mediafire.com/download.php?9enj2rpntpga471) ]
ثانيا : فك الضغط على الاداة
تظهر لك الملفات التالية
http://www.mediafire.com/imgbnc.php/6bb48436f1286d3455c137dc19ce929df13bea8482a23d4a97 37a7b9f28654126g.jpg
[ بيان الملفات ]
aljyyosh-malware.sh : اسم الاداة الرسمي .
tmp : مجلد تضع به الاداة ملفاتها المؤقتة .
files : مجلد تقوم انت بوضع الملفات المراد تحليلها داخله .
ثالثا : قم بوضع الملفات المرد تحليلها في مجلد [ files ]
http://www.mediafire.com/imgbnc.php/a9489694c8b3385b39a71a0548627426be2b6ce7e8d5421a24 1a4ca9c64189496g.jpg
هنا قمت بوضع ملفان للتحليل
( يمكنك وضع اي عدد من الملفات , مهما كانت الصيغة )
رابعا : نقوم بتشغيل الاداة
نفتح التيرمنل ونذهب الى مسار الاداة وننفذ الاوامر التالية :
chmod +x aljyyosh-malware.sh
&
./aljyyosh-malware.sh
سوف تعمل الاداة ويظهر لنا شعار الاداة
http://www.mediafire.com/imgbnc.php/9bce3fdea75e594cfe7a8d72de5a2322e405fbe71a8985e94c 6d6c77fed05b466g.jpg
كما ترى تخبرك الأداة بأن تضع الملفات المشكوك بها في مجلد [ files ]
This Tool will use Malware Hash analysis
to search for malware data
Please put the suspicious files in the directory "files"
ننزل للاسفل قليلا لنرى نتائج التحليل
http://www.mediafire.com/imgbnc.php/3eb9f98ed59ab7f1261c1b17cb59c615842626cb2f3909bb85 6b0def63ddc41b6g.jpg
كما تشاهدون اعطتنا الاداة البيانات الأتية لكل ملف
اسم الملف :
resulte for server.exe
الهاش :
hash : 4b818e975f37d13e27aa9e7fec7a3c2a
اسم الموقع الذي اخذت منه النتيجة :
report from : viceck.ca
رابط النتيجة :
link : https://www.vicheck.ca/md5query.php?hash=4b818e975f37d13e27aa9e7fec7a3c2a
خامسا : نقوم بفتح رابط النتيجة لنرى الفحص
يظهر لنا الموقع وفي الأسفل جدول النتيجة الأتي :
http://www.mediafire.com/imgbnc.php/5d21ef91baecaab80678444490d9ff930eb0e01d4c1be06133 f277826f61c5e56g.jpg
وتظهر في الجدول النتائج التالية :
الفحص من موقع [ vicheck.ca ]
http://www.mediafire.com/imgbnc.php/0f5adb22734ee57a7785d0a31dbd059ded8fd19d337a6c26bf 7fcba93dd2937b6g.jpg
وتظهر في النتيجية ان العينة لم يتم فحصها في هذا الموقع من قبل .
الفحص في موقع [ virustotal.com ]
http://www.mediafire.com/imgbnc.php/fd6a283d0dbf74f2af7af57a3b6cfcd8a935993d331ec73d08 b95f9a0d02bd806g.jpg
ويظهر في الصورة ان الملف قد في فحص في هذا الموقع من قبل وكانت النتيجة
http://www.mediafire.com/imgbnc.php/00442ac75fc5e4a9bcad1e67cf696562f0d453c6d148465231 24929f0af411cf6g.jpg
الملف مكشوف من 42 حماية من اصل 43 والنسبة هي ( 98 %)
ولرؤية تقرير الفحص من موقع [ virustotal.com ] قم بالضغط على
http://www.mediafire.com/imgbnc.php/e8297f745a53e3a8b11ee79c027fcd1fc4ebe1efbeac33a829 1a93151377df7d6g.jpg
الفحص في موقع [ threatexpert.com ]
http://www.mediafire.com/imgbnc.php/a4ffdfaf395297d9ff0f82737c0cc35d99b1da42df4343c726 649a15da1e67026g.jpg
وهنا يخبرنا ان هذه العينة قد تم تحليلها من قبل ولرؤية النتيجة قم بالضغط على
http://www.mediafire.com/imgbnc.php/e8297f745a53e3a8b11ee79c027fcd1fc4ebe1efbeac33a829 1a93151377df7d6g.jpg
الفحص في موقع [ team-cymru.org ]
http://www.mediafire.com/imgbnc.php/a1f5960222a89cf700c1d3f3728db766a1956cca98ca3bd4ad 400b9d9b873aa06g.jpg
وهنا يخبرك ان هذه العينة قد تم تحليلها من قبل وكانت النتيجة
http://www.mediafire.com/imgbnc.php/2094578ccb37945b649057aae6e943a5550bac27d821b3fbd0 8ec3654720f5586g.jpg
ومعناها انه قد تم التعرف على الملف على انه فايروس من قبل ( 77 % ) من الحمايات
http://img104.herosh.com/2011/09/22/968555532.png
ومره اخرى
لتحميل الاداة
[ هــــنــــا (http://www.mediafire.com/download.php?9enj2rpntpga471) ]
http://img104.herosh.com/2011/09/22/968555532.png
الى هنا ينتهي الشرح اتمنى ان تنال الاداة اعجابكم
والسلام عليكم ورحمة الله وبركاته