التهرب من اكتشاف البرامج الضارة مع التصحيح | TryHackMe التحليل الديناميكي للبرامج الضارة

قمنا بتغطية تصحيح الأخطاء كوسيلة للكشف عن التهرب الذي تستخدمه البرامج الضارة لتجنب اكتشافها. كان هذا جزءًا من TryHackMe التحليل الديناميكي للبرامج الضارة مسلسل.

احصل على ملاحظات الطب الشرعي للكمبيوتر

إن تحليل البرامج الضارة يشبه لعبة القط والفأر. يواصل محللو البرامج الضارة ابتكار تقنيات جديدة لتحليل البرامج الضارة، بينما يبتكر مؤلفو البرامج الضارة تقنيات جديدة لتجنب اكتشافها. ستقوم هذه المهمة بمراجعة بعض التقنيات التي تعيق جهودنا لتحليل البرامج الضارة باستخدام التحليل الديناميكي الثابت أو الأساسي.

طرق التهرب من البرامج الضارة التحليل الساكن:

• تغيير التجزئة: لقد تعلمنا سابقًا أن كل ملف له تجزئة فريدة. يستغل مؤلفو البرامج الضارة هذه الوظيفة عن طريق إجراء تغييرات طفيفة على برامجهم الضارة. بهذه الطريقة، تتغير تجزئة البرنامج الضار، متجاوزة آلية الكشف القائمة على التجزئة. يمكن أن تتغير التجزئات حتى إذا تم تغيير جزء واحد من البرامج الضارة (ما لم نكن نتحدث عن التجزئات المتعددة التي يتم تشغيلها حسب السياق أو التجزئات الغامضة)، لذا فما عليك سوى إضافة لا التعليمات أو أي تغيير آخر يمكن أن يهزم تقنيات الكشف القائمة على التجزئة.
• هزيمة للمركبات التوقيعات: غالبًا ما تعتمد توقيعات مكافحة الفيروسات وغيرها من عمليات الكشف المستندة إلى التوقيع على الأنماط الثابتة الموجودة داخل البرامج الضارة. يقوم مؤلفو البرامج الضارة بتغيير هذه الأنماط لمحاولة التهرب من التوقيعات. غالبًا ما تكون هذه التقنية مصحوبة بتشويش عام على تعليمات برمجية ضارة.
• تشويش السلاسل: يقوم بعض مؤلفي البرامج الضارة بتشويش السلاسل الموجودة في البرامج الضارة عن طريق فك تشفيرها في وقت التشغيل. عندما نبحث في البرامج الضارة عن سلاسل، قد لا نجد شيئًا مفيدًا. ومع ذلك، عند تشغيل البرامج الضارة، فإنها تقوم بفك تشفير تلك السلاسل أثناء التنفيذ. قد يقوم مؤلفو البرامج الضارة بتشويش السلاسل المهمة، مثل عناوين URL، ج2 المجالات، وما إلى ذلك، لتجنب حرق البنية التحتية بناءً على بحث من سلسلة واحدة.
• تحميل ملفات DLL أثناء التشغيل: حيث يمكننا تحديد واردات البرامج الضارة أثناء التحليل بي الرؤوس، غالبًا ما يستخدم مؤلفو البرامج الضارة مكتبات Windows LoadLibrary أو LoadLibraryEx لتحميل ملف DLL في وقت التشغيل. عند تحليل هذه البرامج الضارة بشكل ثابت، قد لا نرى جميع الوظائف المرتبطة بها أثناء تحليل رؤوسها.
• التعبئة والتشويش: تحظى عملية التعبئة بشعبية كبيرة بين مؤلفي البرامج الضارة. إن تعبئة البرامج الضارة يشبه تعبئة هدية. عندما ننظر إلى هدية معبأة، لا يمكننا أن نقول ما قد يكون بداخلها إلا إذا قمنا بفك الغلاف وأخرجنا الهدية. وبالمثل، يقوم القائمون على التعبئة بتعبئة البرامج الضارة في غلاف عن طريق كتابة تعليمات برمجية تقوم بفك تشفير البرامج الضارة في وقت التشغيل. لذا، عند إجراء تحليل ثابت، قد لا نتمكن من رؤية ما هو موجود داخل جهاز التعبئة. ومع ذلك، عندما نقوم بتنفيذ البرامج الضارة، فإنها تقوم بفك التعليمات البرمجية وتحميل التعليمات البرمجية الضارة الفعلية في الذاكرة ثم تنفيذها.

طرق التهرب من البرامج الضارة الأساسية التحليل الديناميكي:

• تحديد الأجهزة الافتراضية: على الرغم من أن بعض هذه التقنيات قد تأتي بنتائج عكسية في الوقت الحاضر نظرًا لاستضافة الكثير من البنية التحتية للمؤسسات جهاز افتراضيs، كان أحد الأشياء المفضلة لدى مؤلفي البرامج الضارة هو تحديد ما إذا كانت البرامج الضارة تعمل داخل جهاز افتراضي. ولهذا السبب، تقوم البرامج الضارة غالبًا بالتحقق من مفاتيح التسجيل أو برامج تشغيل الأجهزة المرتبطة ببرامج المحاكاة الافتراضية الشائعة مثل VMWare وVirtualbox. وبالمثل، قد يشير الحد الأدنى من الموارد، مثل وحدة معالجة مركزية واحدة وذاكرة وصول عشوائي محدودة، إلى أن البرامج الضارة تعمل داخل جهاز افتراضي. في هذا السيناريو، ستتخذ البرامج الضارة مسار تنفيذ مختلفًا ليس ضارًا لخداع المحلل.
• توقيت الهجمات: غالبًا ما تحاول البرامج الضارة تجاوز مهلة أنظمة التحليل الآلية. على سبيل المثال، عند تنفيذ برنامج ضار، سيحاول النوم لمدة يوم باستخدام مكتبة Windows Sleep. وبعد بضع دقائق، سيتم إيقاف تشغيل نظام التحليل الآلي، دون العثور على أي آثار لنشاط ضار. يمكن لأنظمة تحليل البرامج الضارة الأحدث تحديد هذه الهجمات ومحاولة التخفيف منها عن طريق تقليل وقت سكون البرامج الضارة. ومع ذلك، يمكن للبرامج الضارة التعرف على عمليات التخفيف هذه عن طريق إجراء فحوصات زمنية مستهدفة لمعرفة ما إذا كان يتم التلاعب بالوقت. يمكن القيام بذلك من خلال ملاحظة وقت التنفيذ ومقارنته بالوقت الحالي بعد تنفيذ مكالمة النوم.
• آثار نشاط المستخدم: تحاول البرامج الضارة تحديد ما إذا كانت هناك آثار لنشاط المستخدم في الجهاز. إذا لم يتم العثور على آثار أو تم العثور على عدد قليل جدًا من الآثار، فستقرر البرامج الضارة أنه يتم تنفيذها داخل نظام يتم التحكم فيه وتتخذ مسار تنفيذ مختلفًا وحميدًا. يمكن أن تتضمن آثار نشاط المستخدم عدم وجود حركة للماوس أو لوحة المفاتيح، أو نقص سجل المتصفح، أو عدم وجود ملفات مفتوحة مؤخرًا، أو وقت تشغيل قليل للنظام، وما إلى ذلك.
• التعرف على أدوات التحليل: يمكن للبرامج الضارة أن تطلب من Windows نظام التشغيل للحصول على قائمة العمليات قيد التشغيل باستخدام Process32First، أو Process32Next، أو وظائف مماثلة. إذا تم تحديد أدوات المراقبة الشائعة ضمن قائمة العمليات الجارية، فيمكن أن تتخذ البرامج الضارة مسارًا تنفيذيًا حميدًا. على سبيل المثال، في حالة تشغيل ProcMon أو ProcExp، يمكن للبرامج الضارة التعرف على ذلك والتحول إلى الأنشطة الحميدة. هناك طريقة أخرى للتعرف على أدوات التحليل وهي النظر في أسماء النوافذ المختلفة المفتوحة في النظام. إذا عثرت البرامج الضارة على Ollydbg أو ProcMon في نظام التشغيل Windows المفتوح، فيمكنها التبديل إلى مسار تنفيذ مختلف.

إجابات الغرفة

تجول الفيديو