شرح تحليل ملف ملغوم وإخراج جميع البيانات الخاصة فيه

اتمنى لكم جميعاً بالصحة ودوام العافية . .

اهلاً وسهلاً بكم في الدرس الثاني عشر , وهو تحليل ملف ملغوم تحليل كامل [ ايبي - بورت - هوست - نزول - مفتاح تثبيت ومساره ] !

طبعاً في هذا الدرس باذن الله راح نعتمد على التطبيق , وبعد تحميل البرامج في الدرس العاشر ومراجعة الدرس الحادي عشر , الان انت لا [ تحتاج ] سوى تطبيق على تحليل الملفات , وهذا هو اول شرح لتحليل الملفات وباذن الله في الدرس القادم سيكون هناك اختبار



اولاً تحميل الملف الملغّوم . .





جيّد الان بعد تحميل الملف الملغوم قبل فتحه , انت الان في الدرس الثاني عشر , اي انك قمت بمشاهدة جميع الدروس السابقة , وجهازك مجمّد وخالي من الارقام السرية ولك معرفة بجميع المصطلحات التي سيتم ذكرها الان في الموضوع , واخيراً مغلق جميع البرامج التي تتصل في الانترنت مثل [ المتصفح - الماسنجر ] والخ لكي لا تزعجك الاتصالات وتفقدك التركيز حول الاتصال الصحيح . .



جيّد افتح جميع البرامج وشغّلها كما تعلمنا في الدرس السابق , واعمل الفحص اول في برنامج [ regshot ] لكي يعمل مقارنة كما ذكرنا في الدرس السابق . .



وقم بالدخول الى الساعه دبل كلك عليها !



قم بتقديم السنوات الى الامام !



مثلاً 2020 , والهدف من ذلك ان كان السيرفر او الملف المشكوك فيه [ مؤقت ] اي يعمل بعد مده معيّنه بتقديم الوقت نحن نتخطى مشكلة عمل الملف في وقت معيّن , وتذكّر ان تُعيد الوقت كما كان بعد تحليل الملف لكي لا تواجه مشاكل في دخول الماسنجر والتحميل في المواقع والخ !



وشغل الملف الملغوم . .

اول شيء تقوم بعمله بعد تشغيل الملف [ الملغوم ] او المشكوك فيه , انظر الى البروسيس سريعاً . .



ستشاهد عمل ملفين احدهم [ المفكرة ] والاخر ملف مشكوك فيه . .



وتحولت العملية المشكوك بها الى متصفح , هذا يعني ان [ الملف ] يقوم بحقن نفسه في المتصفح , وكذلك هناك عمليات اخرى تقوم بتخطي البروسيس , لذلك عليك ان تراقب هل الملف لا يزال موجود او يقوم بحقن نفسه او يختفي !



بما انه حقن نفسه , ولا زال موجود في القائمة نعمل للعملية تجميد لكي يتجمّد تحكم المخترق بجهازك [ Suspend ] كما تعلمنا سابقاً , مع العلم ان كانت العملية الخاصة في المخترق تختفي عليك ان تعمل سريعا وبحركة سريعه تفادياً لاي شيء يعمله لك [ طبعاً جميع الارقام السرية غير موجوده لذلك لن يُسرق منك شيء ] !



ثانياً نقوم بالنظر الى برنامج [ NetSnifferCs ] وكما تشاهد اظهر لك الهوست الخاص في المخترق وعلامة القلب او النجمه او اي شيء اخر هذا يعني [ نقطة ] في هذا البرنامج !

راح تقول يانصراوي هذا البرنامج معقد وحتى مايمديني انسخ ويطلع لي قلوب ونجمات , اقولك عندك البرنامج الثاني والافضل كما ذكرنا في الدرس العاشر . .



كما تشاهد وجدت الاتصال في برنامج [ smartsniff ] الان انسخ الهوست , وعلى فكره الاتصالات الموجوده عندي سببها اني اقوم بالشرح وانا فاتح المتصفحات ومواقع رفع الصور والملفات , لذلك موجود اتصالات كثيرة , وكما ذكرت في بداية الموضوع عليك اغلاق جميع البرامج التي تتصل في الانترنت مثل [ المتصفح - الماسنجر ] والخ . .

انسخ الهوست والان نملك الهوست وهو [ youtube.com ] !



الان ننتقل الى برنامج [ active port ] لاخراج الايبي والبورت والعملية , وكما تشاهد اخرجنا الايبي وهو [ 74.125.127.93 ] والبورت وهو [ 81 ] والعملية [ iexplore.exe ] !



اولاً قم بالضغط على زر التحديث الخاص في برنامج [ currports ] لكي يظهر الاتصالات الجديدة !



وكذلك برنامج [ currports ] يقوم بنفس العمل , وكما تشاهد الايبي والبورت والعملية المحقونة . .



في حالة كنت تريد نسخ الايبي او مسار الملف المحقون او البورت قم بالضغط على نفس العملية . .



وكما تشاهد تم اظهار النتائج بشكل مرتّب ومسار العملية المحقونه [ عملية المتصفح ] , وبامكانك نسخ ماتريد !

جيّد الان نملك [ الايبي + البورت + الهوست + العملية المحقونة ] !



سنشاهد رسالة تخرج بعد فتح الملف الملغوم , والرساله هي من برنامج [ Tiger Firewall ] الذي قمنا بتحميله سابقاً , نقوم بالضغط على مشاهدة معلومات المفتاح [ + ] موافق . .



وكما تشاهد امامك مسار المفتاح [ + ] اسم المفتاح [ + ] القيم الموجوده في المفتاح . .

اي لديك مسار مفتاح التثبيت وكذلك اسم المفتاح وكذلك قيمة التثبيت وهي تحتوي على مسار نزول الباتش !!

اي الان انت تملك [ الايبي - البورت - الهوست - العملية المحقونة - مسار مفتاح التثبيت - اسم المفتاح - مسار نزول السيرفر ] !

طيّب فيه شخص راح يسألني كيف البرنامج اخرج مسار نزول الباتش يانصراوي , وهو متخصص كما ذكرت في الدرس العاشر انه يراقب الرجستري فقط وليس الملفات وماشابه !!

طبعاً المفتاح يحتوي على مسار التثبيت اي ان المفتاح نفسه يقوم بالتثبيت عن طريق وضع المسار نفسه , وبامكانك التأكد بدخول الرجستري عن طريق

ابدا + تشغيل + REGEDIT

وراح يعمل معك الرجستري اتبع المسار كما ظهر لك سابقاً . .



ندخل على المجلدات كما في الصورة . .



ونكمل الدخول الى المجلدات . .



واخيراً كما تشاهد قمنا بالدخول الى [ مسار ] المفتاح وظهر لنا مسار التثبيت !



باقي برنامج [ regshot ] نقوم بالضغط الان على الفحص الثاني [ وكما تعلمنا سابقاً ان نضع مسار القرص المراد مشاهدة التغيّرات الخاصة به وعمل فحص اول قبل فتح الملف الملغوم ] وتكلمنا في طريقة عمل البرنامج هذا في الدرس السابق . .

الان نعمل الفحص الثاني . .



واخيراً بعد انتهاء الفحص الثاني وتفعيل زر تقرير التغيرات , نضع تقرير [ HTML ] ونقوم بالضغط على [ تقرير التغيّرات ] !



وستخرج لك الصفحه تحتوي [ على ] جميع التغيّرات ولأول مره باللغه العربية !



كما تشاهد المفاتيح المضافه , والموجوده في تقرير برنامج [ Tiger Firewall ] !



وكما تشاهد تم اضافة قيمة للمفتاح وهو مسار تثبيت السيرفر [ مسار السيرفر المراد تثبيته ] !



وهنا الملفات التي تم اضافتها وهو السيرفر , وفي حالة كان الملف مدموج بملف يقوم بالنزول الى النظام ستجده هنا كذلك !

اي ان الذي قام بالنزول هو هذا الملف فقط , طبعاً الملف الذي اعلاه , هو خاص [ بالمتصفح ] وكما ذكرت انا اعمل الشرح واقوم بالتصوير بنفس الوقت . .



ويخبرك كذلك ان هناك مجلد مضاف , وهو مجلد السيرفر السابق . .



واخيراً وبحمد الله تعاملنا مع البرامج السابقة بكل سهولة , وقمنا بتحليل الملف الملغوم كاملاً واخرجنا منه [ الايبي - البورت - العملية المحقونه - الهوست - مسار النزول - مسار مفتاح التثبيت - مفتاح التثبيت ] !

وهذا يعني انك قمت بتحليل الملف بشكل كامل وبحمد الله , اتمنى ان الدرس نال على اعجابكم , وكما ذكرت لابد ان تقوم بتحميل الملف الملغوم ومتابعة الشرح مع التطبيق , وكذلك لابد ان يكون جهازك مجمد وخالي من الارقام السرية بحيث بعد اخراج البيانات السابقة تقوم باعادة التشغيل ويعود جهازك وملفاتك كما كانت قبل التجميد . .

اتمنى لكم جميعاً بالتوفيق ولا تحرموني من دعواتكم

الموضوع الأساسي: تحليل ملف ملغوم وإخراج جميع البيانات الخاصة فيه
المصدر: زيزوووم للأمن والحماية








أكثر...