الدرس الاول – مقدمه عن تحليل البرامج الخبيثه

بسم الله الرحمن الرحيم

البرامج الخبيثه خطر كبير على الناس عامه وعلى الشركات و المنظمات خاصة فكم من معلومات مهمه فقدت و مصانع ومستشفيات توقف عملها ومفاعلات كادت ان تنفجر وتقتل الابرياء جراء هجوم هذه البرامج .

لهذا السبب يجب ان يكون هنالك مهندسين و محللين لهذه البرامج لفهم كيفيه عملها و ما تاثيرها ليسهل القضاء عليها واكتشافها .

ان شاء الله ساحاول ان اغطي اساسيات ومنهجية تحليل البرامج الخبيثه ليسهل عليكم البحث و تطوير انفسكم في هذا المجال .

 

اولا لماذا نقوم بعملية تحليل البرامج الخبيثه :

1) اغلب مضادات الفيروسات لا يمكن الاعتماد عليها .

2) 50%-97% من الاختراقات تتضمن برامج خبيثة .

3) 70%-90% من البرامج الخبيثه تكون مميزه (غير معروفه) و مستهدفه لشركه او منظمه معينه .

4) اساس للخطوات القادمه في الطريق لتحديد الجهه المسؤوله وكيفية ازاله تأثير البرنامج الخبيث .

 

ثانيا ما هي المتطلبات المعرفيه لمحلل البرامج الخبيثة :

1) اساسيات الشبكات TCP/IP

2) معرفه كيفيه عمل انظمه التشغيل

3) اساسيات البرمجة

4) اساسيات الهندسه العكسيه

 

ثالثا ما هي البرامج الخبيثة ؟

هي برامج تعمل بدون معرفة واذن المستخدم و يمكن ان تسبب الضرر لنظام التشغيل او ان تقوم بسرقه المعلومات او استخدام موارد الجهاز لصالح المخترق .

 

رابعا ما هي انواع البرامج الخبيثه ؟

1) Virus : هو برنامج خبيث يقوم بالانتشار عن طريق حقن نفسه في الملفات الموجوده داخل النظام و له مهمه معينه يحدهها صانعه ( نادر الوجود حاليا )

2) Trojan : هو برنامج خبيث يدخل النظام على انه برنامج موثوق به وغير ضار لكن عند تشغيله يقوم بتشغيل البرنامج الضار الذي يتم تجهيزه به ( موجود بكثره ).

3) Worm : هو برنامج خبيث يقوم بالانتشار عن طريق الشبكه حيث يقوم بالاتصال بالاجهزه على الشبكه وتجربه الثغره المجهز بها ليدخل على الجهاز ثم يقوم بنشر نفسه مره اخرى ( نادر الوجود )

4) bot : هو برنامج خبيث يقوم بالاتصال مع المخترق لايخذ منه الاوامر (موجود بكثره ) .

5) RootKit : هو برنامج خبيث يقوم باخفاء نفسه او اخفاء برنامج خبيث اخر باستخدام دوال لنظام التشغيل تعمل على مستوى منخفض او باستخدام دوال غير معلن عنها او مشروحه من قبل صانع النظام لهذا لا يمكن لمضاد الفيروسات ان يعلم بوجودها ( موجود لكن ليس بكثره ) .

6) RAT (remote administration tool) : هو اداه تم عملها لاداره النظام عن بعد لكن تم استخدامها من قبل المخترقين لاختراق والتحكم بالضحيه بدون معرفتها (موجود بكثره ) .

 

خامسا طرق تحليل البرامج الخبيثه:

1) Dynamic analysis : وهو عمليه تشغيل البرنامج الخبيث داخل نظام وهمي وتتبع ما يقوم به البرنامج من اتصالات عبر الشبكه , التعديل على الملفات , التعديل على المسجلات ( سهله ولا تحتاج لوقت طويل لكنها لن تعطيك كافه المعلومات عن امكانيات البرنامج الخبيث ) .

2) Static Analysis : هو القيام بهندسه عكسيه للبرنامج الخبيث لمعرفه امكانياته ( تتطلب خبره عميقه و تحتاج وقت كبير ) .

3) استخدام كلتا الطريقتين لفهم البرنامج الخبيث و التاكد من النتائج .

 

سادسا ماذا سنحتاج  في هذه الدوره ؟

جميع البرامج التي سنقوم باستخدامها موجوده في قائمه الادوات في الموقع وننصح باستخدام نظام اللينكس كنظام اساسي ان امكن ذلك .

ايضا هنالك قائمه الكتب وهي تحتوي على جميع الكتب التي ستعطيك معلومات متقدمه في هذا المجال .

هنالك قائمه العينات التي تحتوي على اغلب مصادر التي يمكن الحصول من خلالها على عينات حقيقيه من البرامج الخبيثه .

 

اتمنى ان اكون قد وفقت في ايصال المعلومات

شكرا لاهتمامك في الموضوع

انتظرو الدرس القادم

دعواتكم 🙂