قمنا بتغطية التحليل الديناميكي للبرامج الضارة باستخدام مراقبة مكالمات API وتسجيلها باستخدام أدوات مثل API Logger وAPI Monitor. وكان هذا جزءًا من TryHackMe التحليل الديناميكي الأساسي

احصل على ملاحظات الطب الشرعي للكمبيوتر

النوافذ نظام التشغيل يلخص الأجهزة ويوفر واجهة برمجة التطبيقات (API) لأداء جميع المهام. على سبيل المثال، هناك واجهة برمجة التطبيقات (API) لإنشاء الملفات، وواجهة برمجة التطبيقات (API) لإنشاء العمليات، وواجهة برمجة التطبيقات (API) لإنشاء السجلات وحذفها، وما إلى ذلك. لذلك، تتمثل إحدى طرق التعرف على سلوك البرامج الضارة في مراقبة واجهات برمجة التطبيقات التي تستدعيها البرامج الضارة. عادةً ما تكون أسماء واجهات برمجة التطبيقات (APIs) واضحة بذاتها. لكن، وثائق مايكروسوفت يمكن الرجوع إليها للعثور على معلومات حول واجهات برمجة التطبيقات. لفتح عملية جديدة، يمكننا النقر على قائمة النقاط الثلاث المميزة. عند النقر عليه، يسمح لنا متصفح الملفات بتحديد الملف القابل للتنفيذ الذي نريد مراقبة ملفه واجهة برمجة التطبيقات المكالمات. بمجرد تحديد الملف القابل للتنفيذ، يمكننا النقر فوق "Inject & Log" لبدء عملية تسجيل API.

واجهة برمجة التطبيقات المسجل

ال واجهة برمجة التطبيقات المسجل هو أداة بسيطة توفر معلومات أساسية حول واجهات برمجة التطبيقات التي تستدعيها العملية.

يمكننا أن نرى معرف المنتج للعملية التي نراقبها وواجهة برمجة التطبيقات (API) التي يتم استدعاؤها بمعلومات أساسية حول واجهة برمجة التطبيقات (API) في حقل "msg". يمكننا النقر فوق قائمة "PID" لـ واجهة برمجة التطبيقات مسجل لتسجيل مكالمات API لعملية قيد التشغيل. تعرض هذه النافذة العمليات ذات معرفات PID، والمستخدم الذي قام بتشغيل هذه العملية، ومسار الصورة للعملية. بقية العملية هي نفس الحالة عند بدء عمليتنا.

واجهة برمجة التطبيقات شاشة

ال واجهة برمجة التطبيقات يوفر جهاز المراقبة معلومات أكثر تقدمًا حول استدعاءات واجهة برمجة التطبيقات (API) الخاصة بالعملية. يحتوي API Monitor على إصدارات 32 بت و64 بت لعمليات 32 بت و64 بت، على التوالي.

كما نرى، واجهة برمجة التطبيقات تحتوي الشاشة على علامات تبويب متعددة

  1. علامة التبويب هذه عبارة عن مرشح لـ واجهة برمجة التطبيقات المجموعة التي نريد مراقبتها. على سبيل المثال، لدينا مجموعة لواجهات برمجة التطبيقات ذات الصلة بـ "الرسومات والألعاب"، ومجموعة أخرى لواجهات برمجة التطبيقات ذات الصلة بـ "الإنترنت"، وما إلى ذلك. لن يعرض لنا مراقب واجهة برمجة التطبيقات سوى واجهات برمجة التطبيقات من المجموعة التي نختارها من هذه القائمة.
  2. تعرض علامة التبويب هذه العمليات التي تتم مراقبتها واجهة برمجة التطبيقات المكالمات. يمكننا النقر فوق خيار "مراقبة العملية الجديدة" لبدء مراقبة عملية جديدة.
  3. تعرض علامة التبويب هذه واجهة برمجة التطبيقات call والوحدة النمطية والخيط والوقت وقيمة الإرجاع وأي أخطاء. يمكننا مراقبة علامة التبويب هذه لواجهات برمجة التطبيقات التي تستدعيها العملية.
  4. تعرض علامة التبويب هذه العمليات الجارية واجهة برمجة التطبيقات يمكن للمراقب أن يراقب.
  5. تعرض علامة التبويب هذه معلمات واجهة برمجة التطبيقات call، بما في ذلك قيم تلك المعلمات قبل وبعد استدعاءات API.
  6. تعرض علامة التبويب هذه المخزن المؤقت السداسي للقيمة المحددة.
  7. تعرض علامة التبويب هذه مكدس الاستدعاءات الخاص بالعملية.
  8. وأخيرا، تظهر علامة التبويب هذه الإخراج.

نحن نرى ذلك واجهة برمجة التطبيقات توفر لنا المراقبة معلومات أكثر بكثير حول استدعاءات واجهة برمجة التطبيقات (API) من خلال عملية أكثر من API Logger. ومع ذلك، يجب علينا إبطاء عملية التحليل لاستيعاب كل هذه المعلومات. عند تحليل البرامج الضارة، يمكننا أن نقرر ما إذا كنا سنستخدم API Logger أو API Monitor بناءً على احتياجاتنا. يرجى التوجه إلى مقدمة لغرفة Windows API تعلم المزيد عن واجهة برمجة التطبيقات المكالمات.

إجابات الغرفة

إذا أراد أحد المحللين تحليل برامج Linux الضارة، فما هو نظام التشغيل الذي يجب أن يتمتع به الجهاز الظاهري الخاص بصندوق الحماية الخاص به؟
مراقبة العينة ~سطح المكتب\النماذج\1.exe باستخدام برنامج ProcMon يقوم هذا النموذج بإجراء بعض اتصالات الشبكة. ما هو عنوان URL الأول الذي يتم الاتصال بالشبكة عليه؟

ما هي عملية الشبكة التي يتم إجراؤها على عنوان URL المذكور أعلاه؟

ما هو اسم المسار الكامل للعملية الأولى التي أنشأتها هذه العينة؟

العينة ~سطح المكتب\العينات\1.exe يقوم بإنشاء ملف في ج:\ الدليل. ما هو الاسم مع المسار الكامل لهذا الملف؟

ماذا واجهة برمجة التطبيقات يستخدم لإنشاء هذا الملف؟

في السؤال 1 من المهمة السابقة، حددنا عنوان URL الذي تم إجراء اتصال بالشبكة به. ماذا واجهة برمجة التطبيقات تم استخدام المكالمة لإجراء هذا الاتصال؟

لاحظنا في المهمة السابقة أنه بعد مرور بعض الوقت، تباطأ نشاط العينة بحيث لم يكن هناك الكثير من التقارير ضد العينة. هل يمكنك إلقاء نظرة على واجهة برمجة التطبيقات المكالمات ومعرفة استدعاء API الذي قد يكون مسؤولاً عنها؟

ما هو اسم Mutex الأول الذي تم إنشاؤه بواسطة النموذج ~Desktop\samples\1.exe؟ إذا كانت هناك أرقام باسم Mutex، فاستبدلها بـ X.

هل الملف موقع من قبل منظمة معروفة؟ أجب بـ Y لـ نعم و N لـ لا.

هل العملية في الذاكرة هي نفس العملية الموجودة على القرص؟ أجب بـ Y لـ نعم و N لـ لا.

تحليل العينة ~سطح المكتب\النماذج\3.exe باستخدام ريجشوت. توجد قيمة تسجيل مضافة تحتوي على مسار النموذج بالتنسيق HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXX-XXX\. ما هو مسار تلك القيمة بعد التنسيق المذكور هنا؟

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات