adam master
11-03-2012, 12:42 AM
السلام عليكم و رحمة الله و بركاته
http://i32.servimg.com/u/f32/17/02/78/29/coollo19.gif
في هذا الدرس ستتعلم كيفية كشف تلغيم اي ملف ان شاء الله
طيب سؤالك الاول: ما هو هذا البرنامج Sandboxie؟
اولا البرنامج قوي جدا و مجاني 100% و حجمه خيالي بالنسبة لقدراته الجبارة.. من خلال هذا البرنامج ستقوم بتشغيل كل الفايروسات و الباتشات الى تحبها على جهازك بدون اي ضرر!
طيب حتقول لي: كيف اشغل ملفات خبيثة على جهازي بدون ضرر؟
نعم فهذا ما يقوم به البرنامج!
ما ستقوم به انك ستشغل الباتش او الفايروس من خلال البرنامج ساندبوكسي في جهازك.. و عندما تفعل ذلك سيقوم البرنامج SandBoxie بتشغيل باتشك بشكل منفصل عن وندوز (يعني و كانه في مربع منفصل)بحيث انك عندما تغلق Sanboxie سيرجع جهازك و كانك لم تفعل شيئا!(حتفهم كل شيىء بالشرح)
ان الية عمله مثل الية عمل ديب فريز و لكن يمكنك ايقاف البرنامج وقتما تريد و رؤية الافعال الخبيثة التي نتجت عن الفايروس او الباتش(مثل مكان نزول الباتش و مفاتيح الريجيستري التي قام يقرائتها) بدون اي اذى لجهازك.
افحص انت و مرتاح......
الموقع الرسمي للبرنامج: www.sandboxie.com
--خطوات الفحص (شرح البرنامج)--
1-قم بتنصيب البرنامج (لا يجب ان تواجه مشكلة في ذلك)
2-الان انت جاهز للعمل.. انا ساقوم بفحص njRAT (الباتش الخاص به)
شوف كيف تبلش تفحص اي ملف تريده:Right Click --> Run SandBoxed
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/p206x206/405078_3365923525764_914811743_n.jpg
ثم اضغط اوكي
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-ash4/405078_3365923565765_1439991409_n.jpg
انت عارف ان الملف السيرفير الان قد اشتغل بشكل عادي و كانه اشتغل على جهازك و لكن بالحقيقة هو يشتغل ضمن بيئة ساندبوكسي يعني مجرد تغلق ساندبوكسي السيرفير يفشل و كل اضراره تختفي من الجهاز! مستوى حماية مرتفع جدا!
اكبر دليل على ان السيرفير اشتغل و كانه اشتغل على الجهاز:
https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-ash4/p206x206/405078_3365923605766_2015485224_n.jpg
3-لقد قمنا بتشغيل السيرفير من خلال ساندبوكسي.. طيب لنبدا الفحص و نرى اذا كان فايروس ام لا! شوف الصورة هذه
https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-snc7/405078_3365923645767_870182451_n.jpg
شايف وين رحنا؟ طيب روح الى القرص الصلب المسطب عليه النظام ( عادة C:\)
حتشوف مجلد اسمه SandBox ,, هذا المجلد ستجد فيه كل افعال الملف الذي قمت بتشغيله في الخطوة الاولى (في حالتنا server_ready.exe)
يعني شو نتج عن الملف.. و من خلال هذا المجلد سنعرف اذا الملف ملغم ام لا .. طيب ادخل عليه .. شوف الصور:
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-snc7/405078_3365923685768_127722106_n.jpg
شايف هو الان يعرض لك اليوزر نيم تاعك (amjad في حالتي)
لو لاحظت هو يقوم بمحاكاة ما فعله الملف(السيرفير) .. يعني هو الان يعرض لك المسار الكامل الذي قام الملف(السيرفير) بالدخول عليه و نسخ نفسه مثلا..
طيب لنكمل و نشوف الى اين دخل(خلينا نتعمق و نشوف الى اين وصل)
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934366035_2069606972_n.jpg
اوك نشرح الصورة الى فوق...
انت لو لاحظت البرنامج اسمه SandBox ..و هذا المجلد الى اسمه DefaultBox هو الصندوق الذي يتم فيه مراقبة الملف(السيرفير في حالتنا)
طيب خلينا ندخل و نشوف وين دخل هذا الملف(السيرفير في حالتنا)!!
https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934406036_1611043236_n.jpg
لو لاحظت ملف RegHive هذا مفتاح ريجيستري قام الملف(السيرفير) بصنعه و سنتعلم كيفية قرائته من خلال الRegEdit و ستكتشف ان هذا المفتاح مسؤول عن تشغيل السيرفير عند اقلاع الجهاز( طيب نتعمق اكثر )
شوف الصورة:
https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-prn1/541290_3365934446037_1865684212_n.jpg
هذه هي اهم خطوة و هي الدليل ان الملف فايروس
تفصل شوف وين نسخ الملف نفسه:في هذا المسار: amjad/DefaultBox/user/current/appdata/roaming
يعني لو شغلنا الملف(السيرفير) بدون ساندبوكسي كان حيروح ينسخ نفسو في هذا المسار C:\Users\amjad\appdata\Roaming
انت حتسال كيف عرفت؟ حقولك كيف.. المسار هذا :
amjad/DefaultBox/user/current/appdata/roaming
حيصير هكذا:
C:\Users\amjad\appdata\roaming
انت قارن و لاحظ! (اتبع طريقة معرفة المسار مع كل الملفات الى تفحصها)
طيب هو نسخ نفسو الى هذا المسار.. و نسخ نفسو باسم MyVirus1.exe هذا الاسم انا اخترته في اعدادات السيرفير
بس هو نسخ نفسو الى مكان اخر شوف الصورة
https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934486038_786997051_n.jpg
طيب لو لاحظت مسار الملف في الصورة حتلاحظ ان الملف(السيرفير) نسخ نفسو الى الStartup يعني بس يرجع يدور الجهاز حيشتغل الملف(السيرفير) تلقائيا..
اظن اننا عرفنا انوالملف ملغم و لكن هذا لا يكفي!
ساعرفك الى احد الطرق التي تضمن لك ان الملف ملغم
انتو بتعرفوا انك عندما تشغل ملف فيك تشوف اسم الملف و مكان اشتغال الملف من خلال Task Manager في ناحية الProccesses
طيب في الحالات العادية.. عندما تشغل ملف.. مثلا ملف اسمو MyGame.exe الملف حيشتغل.. مثلا لنقل انك تريد اغلاق الملف من خلال الTask Manager
حتروح الى تبويبة ال Processes و تفتش على اسمه MyGame.exe ترجع رايت كليك ترجع End Procces صح؟
الفايروسات عادة عندما تشغلها.. و تروح الى الProcesses لن تجدها لانها تنسخ نفسها باسم تاني و تشغل نفسها من جديد.. يعني لو كان MyGame.exe فايروس
و حبيت انت تسكره من الTask Manager لن تجده .. لانه سيقوم بتغيير اسمه مثلا الى MyGame_Changed.exe
طيب خلينا نشوف بدرسنا سيرفير njRAT كيف غير اسمه من خلال الSandBoxie ....... شوف الصورة:(Right Click Sanboxie Tray Icon then...)
https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-prn1/541290_3365934526039_1345801899_n.jpg
حتشوف هذه الواجهة:
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/p206x206/604061_3365938446137_114167793_n.jpg
هذه الواجهة الى فوق تحتوي على الProcesses يعني البرامج الى تشغلت بواسطة الملف الى شغلناه بالخطوة الاولى (njRAT SERVER)
و يمكنك ملاحظة اننا عندما شغلنا الملف كان اسمه (server_ready.exe)(شوف اول خطوة و لاحظ)
و لكن لقد تغير اسمه الى:
wscript.exe
يعني البرنامج ملغم!
طيب نجرب نوقف البرنامج .. شوف الصورة و لاحظ كيف انقطع اتصال السيرفير:
https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-prn1/p206x206/604061_3365938486138_331662188_n.jpg
شوف الان انقطع الاتصال
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-prn1/604061_3365938526139_1467463468_n.jpg
اخر شغلة بالدرس و هو قرائة ملفات الريجيستري التي ينتجها البرنامج
السبب من ضرورة قرائة ملفات الريجيستري لان كل الفايروسات و الباتشات تنسخ نفسها الى فولدر معين ثم تقوم باضافة مفتاح ريجيستري و هذا المفتاح شغلتو يشغل الفايروس من المسار الى قام الفايروس بنسخ نفسه اليه..
تابع الصور:
https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-prn1/604061_3365938566140_1021158863_n.jpg
https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-prn1/604061_3365938606141_967399113_n.jpg
https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-snc7/p206x206/425819_3365945246307_85782197_n.jpg
تتذكر عندما وجدنا ملف RegHive ؟
هذا مفتاح ريجيستري سنقوم بقرائته من خلال محرر الريجيستري الى فوق بالصورة
فقط اضغط على File ثم Load Hive و سميه بالاسم الى يعجبك..
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-snc7/384351_3366159371660_334916757_n.jpg
مثل ما شيفين مفتاح الريجسيتري يقوم بعمل مفتاح للملف MyVirus1.exe الذي وجدناه من قبل خلال عملية الفحص
و هذو عمل له هذا المفتاح عشان يشتخل الملف مع اقلاع الجهاز و الملف هو في حالتنا سيرفير الnjRAT
و اخيرا قم بعمل التالي بعدما انتهيت من الفحص (خطوة ضرورية):
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-snc7/p206x206/319070_3366168851897_1301284696_n.jpg
و هكذا بكون شرحنا انتهى واتمنى ان ينال اعجابكم و طبعا اي استفسار .. اي مشكلة .. باشر بوضع ردك مع سؤالك و لا تبخلوا علينا بالردود
http://i32.servimg.com/u/f32/17/02/78/29/coollo19.gif
في امان الله
http://i32.servimg.com/u/f32/17/02/78/29/coollo19.gif
في هذا الدرس ستتعلم كيفية كشف تلغيم اي ملف ان شاء الله
طيب سؤالك الاول: ما هو هذا البرنامج Sandboxie؟
اولا البرنامج قوي جدا و مجاني 100% و حجمه خيالي بالنسبة لقدراته الجبارة.. من خلال هذا البرنامج ستقوم بتشغيل كل الفايروسات و الباتشات الى تحبها على جهازك بدون اي ضرر!
طيب حتقول لي: كيف اشغل ملفات خبيثة على جهازي بدون ضرر؟
نعم فهذا ما يقوم به البرنامج!
ما ستقوم به انك ستشغل الباتش او الفايروس من خلال البرنامج ساندبوكسي في جهازك.. و عندما تفعل ذلك سيقوم البرنامج SandBoxie بتشغيل باتشك بشكل منفصل عن وندوز (يعني و كانه في مربع منفصل)بحيث انك عندما تغلق Sanboxie سيرجع جهازك و كانك لم تفعل شيئا!(حتفهم كل شيىء بالشرح)
ان الية عمله مثل الية عمل ديب فريز و لكن يمكنك ايقاف البرنامج وقتما تريد و رؤية الافعال الخبيثة التي نتجت عن الفايروس او الباتش(مثل مكان نزول الباتش و مفاتيح الريجيستري التي قام يقرائتها) بدون اي اذى لجهازك.
افحص انت و مرتاح......
الموقع الرسمي للبرنامج: www.sandboxie.com
--خطوات الفحص (شرح البرنامج)--
1-قم بتنصيب البرنامج (لا يجب ان تواجه مشكلة في ذلك)
2-الان انت جاهز للعمل.. انا ساقوم بفحص njRAT (الباتش الخاص به)
شوف كيف تبلش تفحص اي ملف تريده:Right Click --> Run SandBoxed
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/p206x206/405078_3365923525764_914811743_n.jpg
ثم اضغط اوكي
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-ash4/405078_3365923565765_1439991409_n.jpg
انت عارف ان الملف السيرفير الان قد اشتغل بشكل عادي و كانه اشتغل على جهازك و لكن بالحقيقة هو يشتغل ضمن بيئة ساندبوكسي يعني مجرد تغلق ساندبوكسي السيرفير يفشل و كل اضراره تختفي من الجهاز! مستوى حماية مرتفع جدا!
اكبر دليل على ان السيرفير اشتغل و كانه اشتغل على الجهاز:
https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-ash4/p206x206/405078_3365923605766_2015485224_n.jpg
3-لقد قمنا بتشغيل السيرفير من خلال ساندبوكسي.. طيب لنبدا الفحص و نرى اذا كان فايروس ام لا! شوف الصورة هذه
https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-snc7/405078_3365923645767_870182451_n.jpg
شايف وين رحنا؟ طيب روح الى القرص الصلب المسطب عليه النظام ( عادة C:\)
حتشوف مجلد اسمه SandBox ,, هذا المجلد ستجد فيه كل افعال الملف الذي قمت بتشغيله في الخطوة الاولى (في حالتنا server_ready.exe)
يعني شو نتج عن الملف.. و من خلال هذا المجلد سنعرف اذا الملف ملغم ام لا .. طيب ادخل عليه .. شوف الصور:
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-snc7/405078_3365923685768_127722106_n.jpg
شايف هو الان يعرض لك اليوزر نيم تاعك (amjad في حالتي)
لو لاحظت هو يقوم بمحاكاة ما فعله الملف(السيرفير) .. يعني هو الان يعرض لك المسار الكامل الذي قام الملف(السيرفير) بالدخول عليه و نسخ نفسه مثلا..
طيب لنكمل و نشوف الى اين دخل(خلينا نتعمق و نشوف الى اين وصل)
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934366035_2069606972_n.jpg
اوك نشرح الصورة الى فوق...
انت لو لاحظت البرنامج اسمه SandBox ..و هذا المجلد الى اسمه DefaultBox هو الصندوق الذي يتم فيه مراقبة الملف(السيرفير في حالتنا)
طيب خلينا ندخل و نشوف وين دخل هذا الملف(السيرفير في حالتنا)!!
https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934406036_1611043236_n.jpg
لو لاحظت ملف RegHive هذا مفتاح ريجيستري قام الملف(السيرفير) بصنعه و سنتعلم كيفية قرائته من خلال الRegEdit و ستكتشف ان هذا المفتاح مسؤول عن تشغيل السيرفير عند اقلاع الجهاز( طيب نتعمق اكثر )
شوف الصورة:
https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-prn1/541290_3365934446037_1865684212_n.jpg
هذه هي اهم خطوة و هي الدليل ان الملف فايروس
تفصل شوف وين نسخ الملف نفسه:في هذا المسار: amjad/DefaultBox/user/current/appdata/roaming
يعني لو شغلنا الملف(السيرفير) بدون ساندبوكسي كان حيروح ينسخ نفسو في هذا المسار C:\Users\amjad\appdata\Roaming
انت حتسال كيف عرفت؟ حقولك كيف.. المسار هذا :
amjad/DefaultBox/user/current/appdata/roaming
حيصير هكذا:
C:\Users\amjad\appdata\roaming
انت قارن و لاحظ! (اتبع طريقة معرفة المسار مع كل الملفات الى تفحصها)
طيب هو نسخ نفسو الى هذا المسار.. و نسخ نفسو باسم MyVirus1.exe هذا الاسم انا اخترته في اعدادات السيرفير
بس هو نسخ نفسو الى مكان اخر شوف الصورة
https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-ash3/p206x206/541290_3365934486038_786997051_n.jpg
طيب لو لاحظت مسار الملف في الصورة حتلاحظ ان الملف(السيرفير) نسخ نفسو الى الStartup يعني بس يرجع يدور الجهاز حيشتغل الملف(السيرفير) تلقائيا..
اظن اننا عرفنا انوالملف ملغم و لكن هذا لا يكفي!
ساعرفك الى احد الطرق التي تضمن لك ان الملف ملغم
انتو بتعرفوا انك عندما تشغل ملف فيك تشوف اسم الملف و مكان اشتغال الملف من خلال Task Manager في ناحية الProccesses
طيب في الحالات العادية.. عندما تشغل ملف.. مثلا ملف اسمو MyGame.exe الملف حيشتغل.. مثلا لنقل انك تريد اغلاق الملف من خلال الTask Manager
حتروح الى تبويبة ال Processes و تفتش على اسمه MyGame.exe ترجع رايت كليك ترجع End Procces صح؟
الفايروسات عادة عندما تشغلها.. و تروح الى الProcesses لن تجدها لانها تنسخ نفسها باسم تاني و تشغل نفسها من جديد.. يعني لو كان MyGame.exe فايروس
و حبيت انت تسكره من الTask Manager لن تجده .. لانه سيقوم بتغيير اسمه مثلا الى MyGame_Changed.exe
طيب خلينا نشوف بدرسنا سيرفير njRAT كيف غير اسمه من خلال الSandBoxie ....... شوف الصورة:(Right Click Sanboxie Tray Icon then...)
https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-prn1/541290_3365934526039_1345801899_n.jpg
حتشوف هذه الواجهة:
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/p206x206/604061_3365938446137_114167793_n.jpg
هذه الواجهة الى فوق تحتوي على الProcesses يعني البرامج الى تشغلت بواسطة الملف الى شغلناه بالخطوة الاولى (njRAT SERVER)
و يمكنك ملاحظة اننا عندما شغلنا الملف كان اسمه (server_ready.exe)(شوف اول خطوة و لاحظ)
و لكن لقد تغير اسمه الى:
wscript.exe
يعني البرنامج ملغم!
طيب نجرب نوقف البرنامج .. شوف الصورة و لاحظ كيف انقطع اتصال السيرفير:
https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-prn1/p206x206/604061_3365938486138_331662188_n.jpg
شوف الان انقطع الاتصال
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-prn1/604061_3365938526139_1467463468_n.jpg
اخر شغلة بالدرس و هو قرائة ملفات الريجيستري التي ينتجها البرنامج
السبب من ضرورة قرائة ملفات الريجيستري لان كل الفايروسات و الباتشات تنسخ نفسها الى فولدر معين ثم تقوم باضافة مفتاح ريجيستري و هذا المفتاح شغلتو يشغل الفايروس من المسار الى قام الفايروس بنسخ نفسه اليه..
تابع الصور:
https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-prn1/604061_3365938566140_1021158863_n.jpg
https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-prn1/604061_3365938606141_967399113_n.jpg
https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-snc7/p206x206/425819_3365945246307_85782197_n.jpg
تتذكر عندما وجدنا ملف RegHive ؟
هذا مفتاح ريجيستري سنقوم بقرائته من خلال محرر الريجيستري الى فوق بالصورة
فقط اضغط على File ثم Load Hive و سميه بالاسم الى يعجبك..
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-snc7/384351_3366159371660_334916757_n.jpg
مثل ما شيفين مفتاح الريجسيتري يقوم بعمل مفتاح للملف MyVirus1.exe الذي وجدناه من قبل خلال عملية الفحص
و هذو عمل له هذا المفتاح عشان يشتخل الملف مع اقلاع الجهاز و الملف هو في حالتنا سيرفير الnjRAT
و اخيرا قم بعمل التالي بعدما انتهيت من الفحص (خطوة ضرورية):
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-snc7/p206x206/319070_3366168851897_1301284696_n.jpg
و هكذا بكون شرحنا انتهى واتمنى ان ينال اعجابكم و طبعا اي استفسار .. اي مشكلة .. باشر بوضع ردك مع سؤالك و لا تبخلوا علينا بالردود
http://i32.servimg.com/u/f32/17/02/78/29/coollo19.gif
في امان الله