السلام عليكم ورحمة الله وبركاته
أهلا وسهلا بكم أخوتي الكرام
أسأل الله أن يفتح عليكم ويزيدكم بسطة في العلم

ان شاء الله
سوف اقوم بشرح موقعين شهيرين لتحليل الملفات المشبوهة
بنفسك دون تشغيلها
فقط برفعها على الموقع
وهو سوف يتكفل بالباقي


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




الموقع الأول هو الشهير وعدو أطفال الهكرز الأاول


Virustotal.com

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


ميزة هذا الموقع هو انه يقوم فورا بأرسال اي ملفات ترفعها على الفحص له الى شركات الحماية
فحتى ان كان الملف مشفر عن الحمايات او به تخطيات
فما هي مسالة وقت حتى يتم ارساله الى شركة الحماية ويصبح مكشوف من كل الحمايات

وعلى فكرة ,ذلك الأمر يتم بسرعة جدا (تقريبا نصف الملغمين واطفال الهاكر اعتزلوا بسببه)
طبعا هذا لايعني انه invencible
هناك طرق كثيرة لخداعه
ولكنه تحتاج لشخص عقله غير محدود على التلغيم فالمنتديات وجلب الضحايا والتفاخر على الفيس بالدعس الانونيموس الهاكر
وهو اصلا البرنامج الي يستخدمه للتجسس نفسه ملغوم


عند الدخول للموقع تظهر لك هذة الصفحة البسيطة



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



ومن خلالها تقوم برفع الملف الذي تود فحصه
سوف اشرح عدة انواع من الملفات

1. الأندرويد
2. الويندوز
3.الراوبط الخبيثة

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


اولا الأندرويد

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



واضح من التسمية ان هذا الملف هو بايلود المتاسبلويت
لأختراق الاندرويد

والذي يعطي صلاحيات قصوى للهاكر للتحكم في جهازك

برامج اختراق الأندرويد المشهورة هي
الميتاسبلويت
السباي نوت spynote
و droid jack
تقريبا السباي نوت هو الأكثر استعمالا من قبل اطفال الهاكرز لسهولته
شيئ مهم علي قوله , هو ليس معنى ان واحد مكافح اعطى تسمية صريحة لملف
كـ
Bladabindi >njrat
Revetrat>revenge rat
spynote
metasploit
swrot>metasploit

وغيرها
هذا لايعني ان هذا الملف هو رات 100%

لكن في حالتنا هنا جميع برامج الحماية اتفقت على التسمية لذلك فهو رات
ما اقصده باختصار هو ان بعض برامج الحماية قد تعطي تسميات كاذبة (احيانا يقول على برنامج آلة حاسبة انه رانسوموير !!)

عن نفسي انا اثق جدا بتسمية مكافح النود
فهو يملك ادق محرك في الحمايات
مدعوما بتقنيات الذكاء الاصطناعي القوية
دائما أثق بتسمياته


يمكنك من هنا معرفة المزيد من التفاصيل عن الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


مفتاح توقيع الملف هو عبارة عن شهادة , تربط كل برنامج بمطور خاص به
يعني , عندما اورد رفع ملف الى متجر جوجل , اقوم بدفع 50 دولار للشركة والحصول على مفتاح توقيع خاص بي
وبالتالي لايستطيع احد رفع ملف بأسمي
كما انه يحمي الملف من التعديلات
لان اي تعديل يتم على الملف يفسد التوقيع الرقمي له
لذلك يضطر كاسروا البرامج والهاكرز الى اعادة توقيع الملف بمفتاح خاص بهم هم
كثير من الحمايات الخاصة بألأندرويد تعتمد على مفتاح التوقيع لكشف الملفات الخبيثة ,
وهو امر خاطئ تماما ,, وذلك لأن تغيير هذا المفتاح سهل جدا

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
;


هنا اهم جزئية لدينا وهي الصلاحيات التي يطلبها الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


كما ترى هذا الملف عبارة عن فيروس لأنه يطلب كم كبير من الصلاحيات التي لايحتاجها
يتميز الاندرويد عن الويندوز بأنه قبل تنصيب اي تطبيق يجب ان يقوم هذا التطبيق بطلب مجموعة من الصلاحيات permissions
مثلا صلاحيات الوصول للكاميرا ,, للهاتف,, سجل المكالمات ,, المايكروفون ...
من خلال هذة الصلاحيات يمكننا معرفة هل هذا الملف ملغوم ام لا

هذا يطلب قنبلة صلاحيات هذا ,, لذلك فهو ملغوم 100%

طبعا هناك شيئ يجب ان انبه عليه
بيس معنى ان التطبيق طلب صلاحية ما انه ملغوم
يعني مثلا تطبيق للتصوير طبيعي انه يطلب صلاحيات الوصول للكاميرا
تطبيق مشاركة صور مثلا
سيطلب صلاحيات وصول للكاميرا وللمساحة التخزينية وربما للـ contacts الخاصة f;

لكن لاتقلق , تقريبا جميع اطفال الهكرز يستخدمون ادوات غيرهم للدمج
وهي هي نفس الملفات ستجدها عندهم كلهم

وهذة هي الصلاحيات :

صلاحية الوصول الى الموقع:

Manifest.permission.ACCESS_COARSE_LOCATION,
Manifest.permission.ACCESS_FINE_LOCATION,

::

الوصول الى حالة الهاتف (الشاشة مغلقة , الشاشة مفتوحة ..)

Manifest.permission.READ_PHONE_STATE,

::

صلاحية قراءة وارسال واستقبال رسائل الـ sms

Manifest.permission.SEND_SMS,
Manifest.permission.RECEIVE_SMS,
Manifest.permission.READ_SMS,

::

تسجيل الصوت
Manifest.permission.RECORD_AUDIO,

::

الأتصال بالأرقام
Manifest.permission.CALL_PHONE,

::

قراءة بتاريخ الاتصال
Manifest.permission.READ_CALL_LOG,

::


كتابة تاريخ الاتصال
Manifest.permission.WRITE_CALL_LOG,

::

قراءة الأشخاص الذين تتصل بهم (جهات الأتصال)
Manifest.permission.READ_CONTACTS,

::


اضافة جهات الأتصال
Manifest.permission.WRITE_CONTACTS

::

الوصول للكاميرا (التصوير)
Manifest.permission.CAMERA

::

الكتابة على الشريحة الخارجية
Manifest.permission.WRITE_EXTERNAL_STORAGE

::

صلاحية بدء التشغيل (اي تجعل التطبيق يعمل عند بدء تشغيل الهاتف )
Manifest.permission.RECEIVE_BOOT_COMPLETED

::

تغيير الخلفية
Manifest.permission.SET_WALLPAPER

::

wakelock
وهي جعل التطبيق يظل يعمل حتى وان تم اطفاء الشاشة (معظم التطبيقات تطلبها)

Manifest.permission.WAKE_LOCK,

معظم الملفات الملغومة ستجدها على هذا الشكل


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
;



والآن فحص الملفات التنفيذية


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


كما ترى
من التسمية
bladabindi
هو نجرات

مجددا اكرر , بعض الحمايات قد تعطي هذا الأسم لملفات نظيفة لاعلاقة لها بالنجرات من قريب ولا بعيد
ولك هنا لدينا اجماع على ان هذا الملف ملغوم

في جزئية الـ details تظهر معلومات بسيطة عن الملف (اسمه ,, نوعه ,, اللغة المستخدمة في صناعته )
وينبغي عليك الأنتظار لبعض الوقت حتى يتم تكوين التقرير الكامل

هنا ملف تم تكوين تقرير كامل له

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


هنا يتم عرض اجزاء الملف sections والمكتبات التي يستدعيها
مكتبة
mscoree.dll
تعني ان هذا الملف مبرمج بالدوت نت
الفايروس توتال كان يوفر خاصية تحليل سلوك الملفات ,

هنا يوضح الأتصالات التي يقوم بها الملف
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


وهنا الملفات الاخرى التي يقوم بكتابتها

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



ولكن تقريبا لم يعد يفعل ذلك في الآونة الاخيرة
ولكن لا مشكلة سوف نستعيض عنه بالموقع الثاني ان شاء الله

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



واخيرا فحص الروابط بالموقع

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


كما يقوم الفايروس توتال بتوفير خدمة معرفة نوع الموقع من خلال انظمة حماية الويب المختلفة

مثلا هذا موقع آخر لرفع الملفات
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
;


الموقع الثاني هو العملاق
hybrid-analysis.com

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
​

هنا يمكنك تحديد نوع الآلة الوهمية التي سيتم استخدامها في تحليل الملف
هنا سنختار ويندوز 7 64 بت
لأننا نفحص ملف exe وغالبا نظام التشغيل لدينا سيكون 64 بت

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



يوجد زر للخيارات المتقدمة لكن غالبا لن تحتاجه

اضغط
generate public report


ثم انتظر حتى يتم التحليل الديناميكي

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


الموقع كذلك يقوم برفع العينات على الفايروس توتال

سوف يتم ارسال رابط التحليل لك على الايميل عند اكتماله

غالبا يستغرق 5 دقائق فقط

هنا تم ارسال التقرير على الايميل الخاص بي

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


والآن نذهب للتقرير لنقوم بتحليله

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


هنا يعرض معلومات عامة عن الملف


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


الموقع يخفي 1 indicator في حالة الفحص المجاني , ولكن ليست مشكلة


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



هنا اكتشف ان الملف بامكانه تسجيل ماتكتبه على لوحة المفاتيح (كيلوجر)

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


يستطيع معرفة ماهي اللغة التي كتب بها البرنامج
ومانوع الحماية او الـ packer الموضوعه عليه لمنعه من الكسر
هنا الملف مكتوب بالدوت نت (فيجوال بيسيك , سي شارب , او مونو )
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


يستطيع الموقع اكتشاف الهوست الذي يتصل به الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


يمكن ايضا فحص ملفات الأندرويد كذلك

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


يتبع​

الجزء الثالث وهي أداة شهيرة لفحص ملفات الـ exe

وهي اداة

pestudio

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



لتحميلها من هنا
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



الأداة جد بسيطة

وهي محمولة كذلك

فقط قم بتشغيل الأداة , واسحب الملف الذي تريد فحصه واسقطه بداخلها

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



هنا فحص ملف سيرفر نجرات

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


في خانة
المحددات
indicators
يظهر ملخص عن الملف ,
وتظهر كذلك مدى خطورة هذة المحددات
فـ 1 بالأحمر يعني شديد الخطورة وهكذا

كما تقوم الأداة بالتحقق من تقرير الملف على الفايروس توتال

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


يمكنك فتح التقرير في المتصفح

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




في نافذة Strings
تعرض لك الأداة النصوص التي تم ايجادها في الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




سوف أقوم الآن بفحص ملف آخر


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


الهاش لمن لايعرفه هو عبارة عن بصمة مميزة للملف
وتستخدم للتعرف على الملفات
حيث ان اي تغيير ولو بايت واحد في الملف ينتج عنه هاش جديد
وبالتالي فلكل ملف في الكون هاش مميز فريد خاص به هو فقط

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


تظهر لنا نافذة المحددات هذة الأمور :​



الملف يحوي بداخله ملف آخر (نفهم من هنا ان الملف محمي من الهندسة العكسية packed)
الملف مكشوف من كثير من الحمايات
يوجد رابط في الملف
الملف يستدعي الكثير من الدوال المشبوهة

تعالى الى نافذة الفايروس توتال

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


كما ترى , من تسمية النود
فهو لايعتبر انه هذا ملف خبيث او اي شيئ , بل ان الملف مشتبه به بسبب نوع الحماية الموجودة عليه
لأن كثير من الملفات الخبيثة تستخدم نفس الحماية لمنع الكسر
اذا كان الملف ملغم فعلا وعليه هذة الحماية أيضا فأنا واثق من ان النود سيكشف هذا كذلك
ولن تكون التسمية حينئذ Noobyprotect packed
يمكنك البحث عن التسمية في جوجل لمعرفة المزيد عن الملف
وهي من الخطوات الجيدة اثناء تحليلك للفيروسات

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


هنا نافذة المكتبات توضح المكتبات التي يستدعيها البرنامج مع وصف لكل منها

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


هنا بعض المكتبات الأكثر استعمالا من قبل الفيروسات مع وصف لكل منها

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


::

Kernel32.dll
واضح من اسمها انا تحتوي عل دوال المستوغŒ الأدنغŒ (الكرنل) وتساعد دوالها في الاتصال ب العتاد الصلب(الهارد وير) والذاكرة

::

Advapi32.dll
واضح من اسمها انها تضم دوال api التي تعطي صلاحيات كبيرة جدا كالاتصال بالريجستري والتحكم بالخدمات

::

User32.dll
وظيفتها التحكم بالواجهات في الويندوز اكسبلورير مثل عناوين النوافذ والازرار ... الخ
واستدعاؤها يتيح لك التحكم في عناوين النوافذ والتحكم في الفأرة او ايقافها والصغط علغŒ الازرار

::

Gdi32.dll
وهي خاصة بالجرافيكس وشائع استدعاءها في الالعاب
وظيفتها التحكم المتقدم بالالوان والشاشة

::

Ntdll.dll
تحتوي علغŒ دوال يمكنها تنفيذ امور ذات صلاحيات عالية ring0
ولا احد يستدعيها مباشرة
ولكن باستخدام دالة من advaip نستدعي kernel32 ومنها ntdll
::

Wsock32
Ws2_32

خاصة بالمستوغŒ الادنغŒ من الشبكة
تلك المسؤولة عن نقل البيانات
وفي حالة استدعائها فـ في الغالب الملف سوف يقوم بألأتصال بسيرفر على النت (قد يكون ملف تجسس)
اما
winint فهي تنتمي الغŒ المستوغŒ الاعلغŒ ووظيفتها تهيئة الاتصالات والبروتوكولات
مثل HTTP FTP ....
وعادة تستدعغŒ ال3 مكتبات معا

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
​


تعالى الي نافذة الدوال , وهنا كل التسلية



هنا يظهر دوال win api التي يستدعيها الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


كما ترى هنا هذا الملف يحتوي على عملية حقن

طيب ياعم الحج
هل كل الملفات التي تحتوي على هذة الدوال , اي دوال الحقن تعتبر خبيثة ,,
والله شوف انا سوف أقول لك شيئ
اذا كانت هذة الدوال خبيثة ولعينة ومصدر لك الشرور
لم تم اختراعها بالأساس
يعني الا تستطيع مايكروسوفت الغاءها (وخلاص)
طبعا لا لايمكن الغاءها
لأنها صنعت اصلا لتقوم بعمليات في غاية الأهمية
من ضمن هذة العمليات ماتقوم به الملفات الخبيثة
يعني هي سلاح ذو حدين
الملف الذي امامك غير ملغوم (ما رأيك !!!)
بل عليه حماية
مثل الغلاف هكذا
بداخلها بايتات الملف الاصلي المشفرة
وتقوم بحقنها في الذاكرة حتى تمنع قراءة السورس كود للملف الأصلي
طيب انا كفاحص ماذا يجب علي ان افعل
كيف افرق بين هذة الملفات
شوف

جرت العادة على اعتبارها ملفات ملغومة
ولو نظرت الى معدل كشوفات الفايروس توتال

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


ستجد ان معدل كشوفاته رهيب (50 مكافح )
والسبب هو اسدعاؤه لهذة الدوال
برغم انه يستخدمها لأغراض حميدة فقط
(طيب انت لم تجب على السؤآل يعم الحج , كيف اعرف ان الملف سليم حتى وان كان يستدعي هذة الدوال)

طبعا في هذة الحالة تحتاج الى تحليل الملف اما بتشغيله ومراقبه سلوكياته او باستخدام الهندسة العكسية
لكن اذا وجدت ملف يستدعي مثل هذة الدوال
ضعه في قسم الفحص واستدعني ​
@MagicianMiDo32 (<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
)

لمزيد من المعلومات عن دوال API
وعمليات الحقن وغيرها تابع هذه المقالات

::::::::::::::::::::::::::::::::::::::::ZyZooM:::: ::::::::::::::::::::::::::::::::::::
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
-3689103
::
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


::

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
(<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>
)
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>

::

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


::::::::::::::::::::::::::::::::::::::::ZyZooM:::: ::::::::::::::::::::::::::::::::::::

طبعا هذة الدوال تظهر في حالة الملفات المبرمجة بالـ native اي تم عمل كومبايل لها الى لغة الآلة
مثل ملفات c++ ودلفي
اما السكربتات
مثل البايثون والاوتو ات اوالدوت نت
فلا تعتمد على هذة الأستدعاءآت

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


لمعرفة اللغة التي كتب بها الملف
وما إذا كان عليه حماية packer ام لا
فلايوجد من الاداة العملاقة
EXEinfoPE

فقط شد الملف وارميه عليها وسوف تقوم بتحديد اللغة التي كتب بها

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


لتحميلها من هنا
<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>





تقريبا أغلب ملفات أطفال الهاكر تكون مكتوبه اما بالدوت نت او الأوتو ات

غالبا ملفات الدوت نت تكون محمية من الهندسة العكسية

ولكن الأداة تستطيع كشف هذة الحماية

وهذة قائمة بالحمايات المتوفرة لملفات الدوت نت
طبعا هناك حمايات اخرى ولكن هذة الاشهر
​
كود:
Agile.NET Babel Obfuscator ConfuserEx Crypto Obfuscator Disguiser.NET Dotfuscator Community Edition Dotfuscator Professional Edition DotNet Patcher Eazfuscator.NET Eziriz .NET Reactor ILProtector .NETGuard NetWinProtector (Protector) Obfuscar Salamander SeeUnsharp .NET Obfuscator SharpObfuscator Skater Skater

رفعت لكم هذة المقالة من ويكيبيديا لأنها لم تعد موجودة
لكنها مفيدة

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



نأتي الآن الى نافذة strings

وفيها النصوص الموجودة في الملف

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




وأخيرا نقطة هامة جدا توضحها لك الأداة وهي التوقيع الرقمي للملف

اي ملف موقع رقميا فهو سليم بنسبة 98%

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



اما هنا

فهو موقع رقميا


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


لكن هناك ملفات تكون موقعة رقميا ولكن تم التلاعب بها
والاداة للأسف لاتكشف لك

ولكن اكتشاف ذلك اسهل من السهولة

كليك يمين على الملف
واختار properties

ثم

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>



هكذا عرفنا ان هذا الملف معدل عليه وان توقيعه الرقمي معطوب

اما ملف كهذا


فهو سليم لأنه موقع قميا

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>


<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>




هكذا اكون انتهيت من هذا الموضوع

ارجوا ان يكون الجميع قد استفاد منه

لاتنسوني بدعوة طيبة
حفظكم الله ورعاكم
والحمد لله رب العالمين

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>

<h1 dir="rtl" style="text-align:center"><strong><span style="color:#0000cc">:: الأعضاء المسجلين فقط هم من يمكنهم مشاهدة الروابط </span><a href="لايمكنك مشاهده الروابط الا بعد الرج" target="_blank"><span style="color:#0000cc">للتسجيل اضغط هنا</span></a><span style="color:#0000cc"> ::</span></strong></h1>