التحليل الثابت للبرامج الضارة | الجزء الثالث | TryHackMe التحليل الثابت الأساسي

الاحتياطات الأساسية لتحليل البرامج الضارة:

قبل تحليل البرامج الضارة، يجب على المرء أن يفهم أن البرامج الضارة غالبًا ما تكون مدمرة. وهذا يعني أنه عند تحليل البرامج الضارة، هناك احتمال كبير بإتلاف البيئة التي يتم تحليلها فيها. يمكن أن يكون هذا الضرر دائمًا، وقد يتطلب التخلص من هذا الضرر جهدًا أكبر من الجهد المبذول لتحليل البرامج الضارة. لذلك، من الضروري إنشاء إعداد معملي يمكنه تحمل الطبيعة التدميرية للبرامج الضارة.

الأجهزة الظاهرية:

يتطلب الإعداد المعملي لتحليل البرامج الضارة القدرة على حفظ حالة الجهاز (لقطة) والعودة إلى تلك الحالة كلما لزم الأمر. وبذلك يتم تجهيز الماكينة مع تثبيت جميع الأدوات المطلوبة، ويتم حفظ حالتها. وبعد تحليل البرامج الضارة في هذا الجهاز، تتم استعادته إلى حالته النظيفة مع تثبيت جميع الأدوات. يضمن هذا النشاط تحليل كل برنامج ضار في بيئة نظيفة، وبعد التحليل، يمكن إرجاع الجهاز دون أي ضرر مستدام.

توفر الأجهزة الافتراضية وسيلة مثالية لتحليل البرامج الضارة. تتضمن بعض البرامج الشهيرة المستخدمة لإنشاء الأجهزة الافتراضية واستخدامها أوراكل فيرتثلبوإكس و محطة إم وير. يمكن لهذه التطبيقات إنشاء لقطات والعودة إليها عند الحاجة، مما يجعلها مناسبة تمامًا لتحليل البرامج الضارة لدينا. باختصار، توضح الخطوات التالية استخدام الأجهزة الافتراضية لتحليل البرامج الضارة.

1. تم إنشاء جهاز افتراضي جديد باستخدام نظام التشغيل ثَبَّتَ
2. قم بإعداد الجهاز عن طريق تثبيت جميع أدوات التحليل المطلوبة فيه
3. خذ لقطة من الجهاز
4. نسخ/تنزيل عينات البرامج الضارة داخل ملف جهاز افتراضي وتحليلها
5. قم بإرجاع الجهاز إلى اللقطة بعد اكتمال التحليل

باتباع هذه الخطوات يضمن أن الخاص بك جهاز افتراضي غير ملوث ببقايا عينات البرامج الضارة السابقة عند تحليل البرامج الضارة الجديدة. كما يضمن أيضًا أنك لن تضطر إلى تثبيت أدواتك مرارًا وتكرارًا لكل تحليل. قد يكون تحديد الأدوات التي سيتم تثبيتها في الجهاز الافتراضي لتحليل البرامج الضارة أمرًا مرهقًا أيضًا. يمكن للمرء استخدام أحد الأجهزة الافتراضية المتاحة مجانًا لتحليل البرامج الضارة مع أدوات مثبتة مسبقًا لتسهيل هذه المهمة. دعونا نراجع بعض الأجهزة الافتراضية لتحليل البرامج الضارة الأكثر شيوعًا بين الباحثين الأمنيين.

توهج جهاز افتراضي:

التوهج جهاز افتراضي هو جهاز افتراضي يعمل بنظام التشغيل Windows ومناسب تمامًا لتحليل البرامج الضارة الذي تم إنشاؤه بواسطة Mandiant (FireEye سابقًا). يحتوي على بعض أدوات تحليل البرامج الضارة المفضلة لدى المجتمع. علاوة على ذلك، فهو أيضًا قابل للتخصيص، أي أنه يمكنك تثبيت أي من أدواتك الخاصة على الجهاز الافتراضي. يتوافق FLARE VM مع نظامي التشغيل Windows 7 وWindows 10. للحصول على قائمة بالأدوات المثبتة بالفعل في VM وخطوات التثبيت، يمكنك زيارة صفحة جيثب أو ال مدونة مانديانت ل جهاز افتراضي. ونظرًا لأنه جهاز افتراضي يستند إلى Windows، فيمكنه إجراء تحليل ديناميكي للبرامج الضارة المستندة إلى Windows.

مثال على FLARE جهاز افتراضي ملحق بهذه الغرفة لأداء المهام العملية. الرجاء النقر فوق الزر "بدء تشغيل الجهاز" الموجود في الزاوية العلوية اليمنى من هذه المهمة لبدء تشغيل الجهاز قبل المتابعة إلى المهمة التالية. يحتوي الجهاز الافتراضي المرفق على دليل اسمه mal على سطح المكتب، والذي يحتوي على عينات من البرامج الضارة التي سنقوم بتحليلها لهذه الغرفة.

ريمنكس:

REMnux تعني Reverse Engineering Malware Linux. إنها توزيعة لتحليل البرامج الضارة تعتمد على Linux، أنشأها Lenny Zeltser في عام 2010. وفي وقت لاحق، انضم المزيد من الأشخاص إلى الفريق لتحسين التوزيع. مثل التوهج جهاز افتراضي، فهو يتضمن بعضًا من أدوات الهندسة العكسية وتحليل البرامج الضارة الأكثر شيوعًا والمثبتة مسبقًا. فهو يساعد المحللين على توفير الوقت الذي كان من الممكن أن يتم إنفاقه في تحديد الأدوات المطلوبة والبحث عنها وتثبيتها. يمكن العثور على تفاصيل مثل التثبيت والوثائق على جيثب أو ال موقع إلكتروني للتوزيع. نظرًا لكونه توزيعًا يستند إلى Linux، فلا يمكن استخدامه لإجراء تحليل ديناميكي للبرامج الضارة المستندة إلى Windows. تم استخدام REMnux سابقًا في غرفة مقدمة لتحليل البرامج الضارة وسيتم استخدامه أيضًا في الغرف القادمة.