قمنا بتغطية استخدام الطب الشرعي لنظام التشغيل Linux للتحقيق في حادث سيبراني. لقد قمنا بتغطية قراءة الأدلة واستخراجها من ملفات السجل وسجل الأوامر. كان هذا جزءًا من حاولHackMe الساخطين
احصل على ملاحظات الطب الشرعي للكمبيوتر
إن تحليل البرامج الضارة يشبه لعبة القط والفأر. يواصل محللو البرامج الضارة ابتكار تقنيات جديدة لتحليل البرامج الضارة، بينما يبتكر مؤلفو البرامج الضارة تقنيات جديدة لتجنب اكتشافها. ستقوم هذه المهمة بمراجعة بعض التقنيات التي تعيق جهودنا لتحليل البرامج الضارة باستخدام التحليل الديناميكي الثابت أو الأساسي.
طرق التهرب من البرامج الضارة التحليل الساكن:
- تغيير التجزئة: لقد تعلمنا سابقًا أن كل ملف له تجزئة فريدة. يستغل مؤلفو البرامج الضارة هذه الوظيفة عن طريق إجراء تغييرات طفيفة على برامجهم الضارة. بهذه الطريقة، تتغير تجزئة البرنامج الضار، متجاوزة آلية الكشف القائمة على التجزئة. يمكن أن تتغير التجزئات حتى إذا تم تغيير جزء واحد من البرامج الضارة (ما لم نكن نتحدث عن التجزئات المتعددة التي يتم تشغيلها حسب السياق أو التجزئات الغامضة)، لذا فما عليك سوى إضافة لا التعليمات أو أي تغيير آخر يمكن أن يهزم تقنيات الكشف القائمة على التجزئة.
- هزيمة للمركبات التوقيعات: غالبًا ما تعتمد توقيعات مكافحة الفيروسات وغيرها من عمليات الكشف المستندة إلى التوقيع على الأنماط الثابتة الموجودة داخل البرامج الضارة. يقوم مؤلفو البرامج الضارة بتغيير هذه الأنماط لمحاولة التهرب من التوقيعات. غالبًا ما تكون هذه التقنية مصحوبة بتشويش عام على تعليمات برمجية ضارة.
- تشويش السلاسل: يقوم بعض مؤلفي البرامج الضارة بتشويش السلاسل الموجودة في البرامج الضارة عن طريق فك تشفيرها في وقت التشغيل. عندما نبحث في البرامج الضارة عن سلاسل، قد لا نجد شيئًا مفيدًا. ومع ذلك، عند تشغيل البرامج الضارة، فإنها تقوم بفك تشفير تلك السلاسل أثناء التنفيذ. قد يقوم مؤلفو البرامج الضارة بتشويش السلاسل المهمة، مثل عناوين URL، ج2 المجالات، وما إلى ذلك، لتجنب حرق البنية التحتية بناءً على بحث من سلسلة واحدة.
- تحميل ملفات DLL أثناء التشغيل: حيث يمكننا تحديد واردات البرامج الضارة أثناء التحليل بي الرؤوس، غالبًا ما يستخدم مؤلفو البرامج الضارة مكتبات Windows LoadLibrary أو LoadLibraryEx لتحميل ملف DLL في وقت التشغيل. عند تحليل هذه البرامج الضارة بشكل ثابت، قد لا نرى جميع الوظائف المرتبطة بها أثناء تحليل رؤوسها.
- التعبئة والتشويش: تحظى عملية التعبئة بشعبية كبيرة بين مؤلفي البرامج الضارة. إن تعبئة البرامج الضارة يشبه تعبئة هدية. عندما ننظر إلى هدية معبأة، لا يمكننا أن نقول ما قد يكون بداخلها إلا إذا قمنا بفك الغلاف وأخرجنا الهدية. وبالمثل، يقوم القائمون على التعبئة بتعبئة البرامج الضارة في غلاف عن طريق كتابة تعليمات برمجية تقوم بفك تشفير البرامج الضارة في وقت التشغيل. لذا، عند إجراء تحليل ثابت، قد لا نتمكن من رؤية ما هو موجود داخل جهاز التعبئة. ومع ذلك، عندما نقوم بتنفيذ البرامج الضارة، فإنها تقوم بفك التعليمات البرمجية وتحميل التعليمات البرمجية الضارة الفعلية في الذاكرة ثم تنفيذها.
طرق التهرب من البرامج الضارة الأساسية التحليل الديناميكي:
- تحديد الأجهزة الافتراضية: على الرغم من أن بعض هذه التقنيات قد تأتي بنتائج عكسية في الوقت الحاضر نظرًا لاستضافة الكثير من البنية التحتية للمؤسسات جهاز افتراضيs، كان أحد الأشياء المفضلة لدى مؤلفي البرامج الضارة هو تحديد ما إذا كانت البرامج الضارة تعمل داخل جهاز افتراضي. ولهذا السبب، تقوم البرامج الضارة غالبًا بالتحقق من مفاتيح التسجيل أو برامج تشغيل الأجهزة المرتبطة ببرامج المحاكاة الافتراضية الشائعة مثل VMWare وVirtualbox. وبالمثل، قد يشير الحد الأدنى من الموارد، مثل وحدة معالجة مركزية واحدة وذاكرة وصول عشوائي محدودة، إلى أن البرامج الضارة تعمل داخل جهاز افتراضي. في هذا السيناريو، ستتخذ البرامج الضارة مسار تنفيذ مختلفًا ليس ضارًا لخداع المحلل.
- توقيت الهجمات: غالبًا ما تحاول البرامج الضارة تجاوز مهلة أنظمة التحليل الآلية. على سبيل المثال، عند تنفيذ برنامج ضار، سيحاول النوم لمدة يوم باستخدام مكتبة Windows Sleep. وبعد بضع دقائق، سيتم إيقاف تشغيل نظام التحليل الآلي، دون العثور على أي آثار لنشاط ضار. يمكن لأنظمة تحليل البرامج الضارة الأحدث تحديد هذه الهجمات ومحاولة التخفيف منها عن طريق تقليل وقت سكون البرامج الضارة. ومع ذلك، يمكن للبرامج الضارة التعرف على عمليات التخفيف هذه عن طريق إجراء فحوصات زمنية مستهدفة لمعرفة ما إذا كان يتم التلاعب بالوقت. يمكن القيام بذلك من خلال ملاحظة وقت التنفيذ ومقارنته بالوقت الحالي بعد تنفيذ مكالمة النوم.
- آثار نشاط المستخدم: تحاول البرامج الضارة تحديد ما إذا كانت هناك آثار لنشاط المستخدم في الجهاز. إذا لم يتم العثور على آثار أو تم العثور على عدد قليل جدًا من الآثار، فستقرر البرامج الضارة أنه يتم تنفيذها داخل نظام يتم التحكم فيه وتتخذ مسار تنفيذ مختلفًا وحميدًا. يمكن أن تتضمن آثار نشاط المستخدم عدم وجود حركة للماوس أو لوحة المفاتيح، أو نقص سجل المتصفح، أو عدم وجود ملفات مفتوحة مؤخرًا، أو وقت تشغيل قليل للنظام، وما إلى ذلك.
- التعرف على أدوات التحليل: يمكن للبرامج الضارة أن تطلب من Windows نظام التشغيل للحصول على قائمة العمليات قيد التشغيل باستخدام Process32First، أو Process32Next، أو وظائف مماثلة. إذا تم تحديد أدوات المراقبة الشائعة ضمن قائمة العمليات الجارية، فيمكن أن تتخذ البرامج الضارة مسارًا تنفيذيًا حميدًا. على سبيل المثال، في حالة تشغيل ProcMon أو ProcExp، يمكن للبرامج الضارة التعرف على ذلك والتحول إلى الأنشطة الحميدة. هناك طريقة أخرى للتعرف على أدوات التحليل وهي النظر في أسماء النوافذ المختلفة المفتوحة في النظام. إذا عثرت البرامج الضارة على Ollydbg أو ProcMon في نظام التشغيل Windows المفتوح، فيمكنها التبديل إلى مسار تنفيذ مختلف.
إجابات الغرفة
قام المستخدم بتثبيت حزمة على الجهاز باستخدام امتيازات مرتفعة. وفقًا للسجلات، ما هو الأمر الكامل؟
ما هو دليل العمل الحالي (PWD) عند تشغيل الأمر السابق؟
من هو المستخدم الذي تم إنشاؤه بعد تثبيت الحزمة من المهمة السابقة؟
تم بعد ذلك منح المستخدم امتيازات Sudo. متى تم تحديث ملف sudoers؟ (التنسيق: شهر يوم HH:MM:SS)
تم فتح ملف البرنامج النصي باستخدام محرر النصوص "vi". ما هو اسم هذا الملف؟
ما هو الأمر المستخدم لإنشاء الملف قنبلة.sh?
تمت إعادة تسمية الملف ونقله إلى دليل مختلف. ما هو المسار الكامل لهذا الملف الآن؟
متى تم تعديل الملف من السؤال السابق آخر مرة؟ (التنسيق: شهر، يوم، سمو: د د)
ما هو اسم الملف الذي سيتم إنشاؤه عند تنفيذ الملف من السؤال الأول؟
في أي وقت سيتم تشغيل الملف الضار؟ (التنسيق: سمو: د د ص/م)
تجول الفيديو
عرض التعليقات
