اليوم بمناسبة الانتهاء من الأمتحانات
قمت بكتابة اداة بسيطة للجيوش
تستخدم في عملية
[ Malware Hash Analysis ]
وهو احد اقسام التحقيق الجنائي وهو من الأساليب التابعة للتحليل البرامج الخبيثة
ومن الطرق التي يستخدمها فرق الفحص والتحليل الأمني

[ Malware Hash Analysis ]
هو احد افرع التحقيق الجنائي الأمني
حيث من اقسامه تحليل البرامج الخبيثة والتحقيق في عملها
وبما انه يوجد على موقع الفحص قواعد بيانات كبيرة تحتوي على بيانات لهذه البرامج الخبيثة , ابتكر المحللون طريقة جديدة لربط البيانات ببعضها وتنظيمها وهي ما يسمى بـ [ Malware Hash ] وهو اعطاء هاش لكل ملف يتم تحليله ويسعى المحللون الى ايجاد ترابط بين هذه الهاشات لكل ملف حتى يستطيعو ايجاد وجه التشابة بين الهاش وعمل البرنامج الخبيث .
وبما ان الهاش يتميز به كل ملف عن غيره وكون مواقع الفحص تحتوي قاعدة كبيرة من الملفات المحللة والبيانات فلذلك يمكننا ان نقوم بتحليل ملف ما والبحث عن الهاش الخاص به في مواقع التحليل لنرى النتائج التي حفظت عن تحليل الموقع لهذا الملف مما يسهل عملية الفحص بتوفير بيانات كبيره عن البرنامج الخبيث .

[ بيانات الاداة ]

الأسم
Aljyyosh-malware

لغة السكربت
Bash

الكاتب
r00t-minat0r

[ شرح الاداة ]

اولا : قم بتحميل الاداة من



[ هــــنــــا ]

ثانيا : فك الضغط على الاداة

تظهر لك الملفات التالية

[ بيان الملفات ]
aljyyosh-malware.sh : اسم الاداة الرسمي .
tmp : مجلد تضع به الاداة ملفاتها المؤقتة .
files : مجلد تقوم انت بوضع الملفات المراد تحليلها داخله .

ثالثا : قم بوضع الملفات المرد تحليلها في مجلد [ files ]

هنا قمت بوضع ملفان للتحليل
( يمكنك وضع اي عدد من الملفات , مهما كانت الصيغة )

رابعا : نقوم بتشغيل الاداة
نفتح التيرمنل ونذهب الى مسار الاداة وننفذ الاوامر التالية :

كود:
chmod +x aljyyosh-malware.sh
&
كود:
./aljyyosh-malware.sh
سوف تعمل الاداة ويظهر لنا شعار الاداة



كما ترى تخبرك الأداة بأن تضع الملفات المشكوك بها في مجلد [ files ]

This Tool will use Malware Hash analysis
to search for malware data
Please put the suspicious files in the directory "files"
ننزل للاسفل قليلا لنرى نتائج التحليل



كما تشاهدون اعطتنا الاداة البيانات الأتية لكل ملف

اسم الملف :
resulte for server.exe
الهاش :
hash : 4b818e975f37d13e27aa9e7fec7a3c2a
اسم الموقع الذي اخذت منه النتيجة :
report from : viceck.ca
رابط النتيجة :
link : https://www.vicheck.ca/md5query.php?...aa9e7fec7a3c2a
خامسا : نقوم بفتح رابط النتيجة لنرى الفحص
يظهر لنا الموقع وفي الأسفل جدول النتيجة الأتي :



وتظهر في الجدول النتائج التالية :

الفحص من موقع [ vicheck.ca ]

وتظهر في النتيجية ان العينة لم يتم فحصها في هذا الموقع من قبل .

الفحص في موقع [ virustotal.com ]

ويظهر في الصورة ان الملف قد في فحص في هذا الموقع من قبل وكانت النتيجة

الملف مكشوف من 42 حماية من اصل 43 والنسبة هي ( 98 %)
ولرؤية تقرير الفحص من موقع [ virustotal.com ] قم بالضغط على



الفحص في موقع [ threatexpert.com ]


وهنا يخبرنا ان هذه العينة قد تم تحليلها من قبل ولرؤية النتيجة قم بالضغط على



الفحص في موقع [ team-cymru.org ]


وهنا يخبرك ان هذه العينة قد تم تحليلها من قبل وكانت النتيجة



ومعناها انه قد تم التعرف على الملف على انه فايروس من قبل ( 77 % ) من الحمايات



ومره اخرى
لتحميل الاداة
[ هــــنــــا ]


الى هنا ينتهي الشرح اتمنى ان تنال الاداة اعجابكم

والسلام عليكم ورحمة الله وبركاته