قمنا بتغطية التحليل الديناميكي للبرامج الضارة باستخدام مستكشف العمليات لاكتشاف مكتبات الارتباط الحيوي (DLL) والمقابض واستهلاك الموارد ونشاط الشبكة والكشف عن تقنيات البرامج الضارة الشائعة مثل تفريغ العمليات وإخفاء العمليات. كان هذا جزءًا من TryHackMe التحليل الديناميكي الأساسي
احصل على ملاحظات الطب الشرعي للكمبيوتر
يعد Process Explorer أداة أخرى مفيدة جدًا من Sysinternals Suite. يمكن اعتباره نموذجًا أكثر تقدمًا لإدارة مهام Windows. يعد Process Explorer أداة قوية للغاية يمكنها مساعدتنا في تحديد تقنيات تفريغ العمليات وتنكرها.
عملية التنكر
يستخدم مؤلفو البرامج الضارة أحيانًا أسماء عمليات مشابهة لعمليات Windows أو البرامج شائعة الاستخدام للاختباء من أعين المحللين المتطفلين. تساعد علامة التبويب "الصورة"، كما هو موضح في لقطة الشاشة أعلاه، المحلل على التغلب على هذه التقنية. من خلال النقر على زر "التحقق" في علامة التبويب هذه، يمكن للمحلل تحديد ما إذا كان الملف القابل للتنفيذ للعملية الجارية قد تم توقيعه من قبل المؤسسة ذات الصلة، والتي ستكون Microsoft في حالة ثنائيات Windows. في لقطة الشاشة هذه، يمكننا أن نرى أنه تم النقر فوق خيار التحقق بالفعل. علاوة على ذلك، يمكننا رؤية النص "(لم يكن هناك توقيع في الموضوع) Microsoft Corporation" في الأعلى. وهذا يعني أنه على الرغم من أن الملفات القابلة للتنفيذ تدعي أنها من Microsoft، إلا أنها لم يتم توقيعها رقميًا من قبل Microsoft وتتنكر في شكل عملية تابعة لشركة Microsoft. يمكن أن يكون هذا مؤشرا على عملية ضارة.
ويجب أن نلاحظ هنا أن عملية التحقق هذه تنطبق فقط على صورة العملية المخزنة على القرص. إذا تم تجويف عملية موقعة وتم استبدال الكود الخاص بها برمز ضار في الذاكرة، فقد لا يزال بإمكاننا الحصول على توقيع تم التحقق منه لهذه العملية. لتحديد العمليات المجوفة، علينا أن نبحث في مكان آخر.
عملية التجويف
أسلوب آخر تستخدمه البرامج الضارة للاختباء على مرأى من الجميع هو عملية التجويف. في هذه التقنية، يقوم البرنامج الثنائي الضار بإفراغ عملية مشروعة قيد التشغيل بالفعل عن طريق إزالة كافة التعليمات البرمجية الخاصة بها من ذاكرتها وحقن تعليمات برمجية ضارة بدلاً من التعليمات البرمجية الشرعية. بهذه الطريقة، بينما يرى المحلل عملية مشروعة، تقوم هذه العملية بتشغيل تعليمات برمجية ضارة لمؤلف البرامج الضارة. يمكن أن يساعدنا Process Explorer في التعرف على هذه التقنية أيضًا. عندما نختار "صورة"، يعرض لنا Process Explorer سلاسل موجودة في صورة القرص الخاصة بالعملية. عند تحديد "الذاكرة"، يقوم Process Explorer باستخراج السلاسل من ذاكرة العملية. في الظروف العادية، ستكون السلاسل الموجودة في صورة العملية مشابهة لتلك الموجودة في الذاكرة حيث يتم تحميل نفس العملية في الذاكرة. ومع ذلك، إذا تم تجويف العملية، فسنرى فرقًا كبيرًا بين السلاسل الموجودة في الصورة وذاكرة العملية. ومن هنا يظهر لنا أن العملية المحملة في الذاكرة تختلف بشكل كبير عن العملية المخزنة على القرص.
إجابات الغرفة
~سطح المكتب\النماذج\1.exe باستخدام برنامج ProcMon يقوم هذا النموذج بإجراء بعض اتصالات الشبكة. ما هو عنوان URL الأول الذي يتم الاتصال بالشبكة عليه؟ما هي عملية الشبكة التي يتم إجراؤها على عنوان URL المذكور أعلاه؟
ما هو اسم المسار الكامل للعملية الأولى التي أنشأتها هذه العينة؟
~سطح المكتب\العينات\1.exe يقوم بإنشاء ملف في ج:\ الدليل. ما هو الاسم مع المسار الكامل لهذا الملف؟ماذا واجهة برمجة التطبيقات يستخدم لإنشاء هذا الملف؟
في السؤال 1 من المهمة السابقة، حددنا عنوان URL الذي تم إجراء اتصال بالشبكة به. ماذا واجهة برمجة التطبيقات تم استخدام المكالمة لإجراء هذا الاتصال؟
لاحظنا في المهمة السابقة أنه بعد مرور بعض الوقت، تباطأ نشاط العينة بحيث لم يكن هناك الكثير من التقارير ضد العينة. هل يمكنك إلقاء نظرة على واجهة برمجة التطبيقات المكالمات ومعرفة استدعاء API الذي قد يكون مسؤولاً عنها؟
ما هو اسم Mutex الأول الذي تم إنشاؤه بواسطة النموذج ~Desktop\samples\1.exe؟ إذا كانت هناك أرقام باسم Mutex، فاستبدلها بـ X.
هل الملف موقع من قبل منظمة معروفة؟ أجب بـ Y لـ نعم و N لـ لا.
هل العملية في الذاكرة هي نفس العملية الموجودة على القرص؟ أجب بـ Y لـ نعم و N لـ لا.
~سطح المكتب\النماذج\3.exe باستخدام ريجشوت. توجد قيمة تسجيل مضافة تحتوي على مسار النموذج بالتنسيق HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXX-XXX\. ما هو مسار تلك القيمة بعد التنسيق المذكور هنا؟تجول الفيديو
