قمنا بتغطية التحليل الديناميكي الأساسي للبرامج الضارة باستخدام مراقب العمليات للكشف عن اتصالات الشبكة والعمليات التي تنتجها البرامج الضارة وغيرها من العناصر المهمة. وكان هذا جزءًا من TryHackMe التحليل الديناميكي الأساسي

احصل على ملاحظات الطب الشرعي للكمبيوتر

ضوابط ProcMon واضحة بذاتها. تُظهر التسميات الموجودة في لقطة الشاشة بعض عناصر التحكم المهمة في البيانات المرئية أسفل عناصر التحكم هذه.

  1. يعرض خيارات الفتح والحفظ. هذه الخيارات مخصصة لفتح ملف يحتوي على أحداث ProcMon أو حفظ الأحداث في ملف مدعوم.
  2. يظهر خيار المسح. يقوم هذا الخيار بمسح كافة الأحداث التي يتم عرضها حاليًا بواسطة ProcMon. من الجيد مسح الأحداث بمجرد تنفيذ عينة من البرامج الضارة ذات الاهتمام لتقليل الضوضاء.
  3. يعرض خيار التصفية، والذي يمنحنا مزيدًا من التحكم في الأحداث المعروضة في نافذة ProcMon.
  4. هذه هي مفاتيح التبديل لإيقاف أو تشغيل أحداث التسجيل ونظام الملفات والشبكة والعملية/الخيط والتوصيف.

أسفل عناصر التحكم هذه، يمكننا أن نرى من اليسار إلى اليمين الوقت والعملية ومعرف العملية (معرف المنتج)، اسم الحدث والمسار والنتيجة وتفاصيل النشاط. يمكننا أن نلاحظ أن الأحداث تظهر بالترتيب الزمني. بشكل عام، سيُظهر ProcMon عددًا هائلاً من الأحداث التي تحدث على النظام. ولتسهيل التحليل، من الحكمة تصفية الأحداث حسب تلك التي تهمنا.

يتيح ProcMon تصفية الأحداث بسهولة من نافذة الأحداث نفسها. إذا نقرنا بزر الماوس الأيمن على عمود العملية في العملية التي نختارها، فستفتح قائمة منبثقة. يمكننا أن نرى خيارات مختلفة في القائمة المنبثقة. ترتبط بعض هذه الخيارات بالتصفية. على سبيل المثال، إذا اخترنا الخيار تضمين "Explorer.EXE"، سيعرض ProcMon الأحداث التي تحتوي على اسم العملية Explorer.EXE فقط. إذا اخترنا الخيار استبعاد "Explorer.EXE"، فسوف يستبعد Explorer.EXE من النتائج. وبالمثل، يمكننا النقر بزر الماوس الأيمن على الأعمدة الأخرى في نافذة الأحداث لتصفية الخيارات الأخرى.

إجابات الغرفة

إذا أراد أحد المحللين تحليل برامج Linux الضارة، فما هو نظام التشغيل الذي يجب أن يتمتع به الجهاز الظاهري الخاص بصندوق الحماية الخاص به؟
مراقبة العينة ~سطح المكتب\النماذج\1.exe باستخدام برنامج ProcMon يقوم هذا النموذج بإجراء بعض اتصالات الشبكة. ما هو عنوان URL الأول الذي يتم الاتصال بالشبكة عليه؟

ما هي عملية الشبكة التي يتم إجراؤها على عنوان URL المذكور أعلاه؟

ما هو اسم المسار الكامل للعملية الأولى التي أنشأتها هذه العينة؟

العينة ~سطح المكتب\العينات\1.exe يقوم بإنشاء ملف في ج:\ الدليل. ما هو الاسم مع المسار الكامل لهذا الملف؟

ماذا واجهة برمجة التطبيقات يستخدم لإنشاء هذا الملف؟

في السؤال 1 من المهمة السابقة، حددنا عنوان URL الذي تم إجراء اتصال بالشبكة به. ماذا واجهة برمجة التطبيقات تم استخدام المكالمة لإجراء هذا الاتصال؟

لاحظنا في المهمة السابقة أنه بعد مرور بعض الوقت، تباطأ نشاط العينة بحيث لم يكن هناك الكثير من التقارير ضد العينة. هل يمكنك إلقاء نظرة على واجهة برمجة التطبيقات المكالمات ومعرفة استدعاء API الذي قد يكون مسؤولاً عنها؟

ما هو اسم Mutex الأول الذي تم إنشاؤه بواسطة النموذج ~Desktop\samples\1.exe؟ إذا كانت هناك أرقام باسم Mutex، فاستبدلها بـ X.

هل الملف موقع من قبل منظمة معروفة؟ أجب بـ Y لـ نعم و N لـ لا.

هل العملية في الذاكرة هي نفس العملية الموجودة على القرص؟ أجب بـ Y لـ نعم و N لـ لا.

تحليل العينة ~سطح المكتب\النماذج\3.exe باستخدام ريجشوت. توجد قيمة تسجيل مضافة تحتوي على مسار النموذج بالتنسيق HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXX-XXX\. ما هو مسار تلك القيمة بعد التنسيق المذكور هنا؟

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات