ان التحليل الديناميكى نقصد به ان طريقة التحليل تكون من خلال تشغيل برنامج
خبيث والقيام باعطائه حرية القيام بما يريده داخل النظام الوهمى ثم بعدها نقوم
بجمع المعلومات عن المهام التى قام هو بها .
- -
والان ماهى مميزات وسلبيات التحليل
الديناميكى ؟
1 – نجد ان اسهل الطرق من اجل الحصول على
معلومات حول البرنامج الخبيث لاتتطلب اى معرفة عميقه بالبرمجه او الهندسه العكسيه
او حتى انظمة التشغيل وذلك بالطبع لان هناك برامج تقوم بجمع كل المعلومات لك وبكل
سهوله .
2 – لن تكون فى حاجه
الى وقت طويل من اجل الحصول على المعلومات وذلك لان العمليه تتم عن طريق البرامج
ولذلك فلن تأخذ منك الكثير من الوقت حتى تقوم بجمع المعلومات .
- -
ومن سلبيات هذه الطريقة :
1 – عدم عمل البرنامج والقيام بمهامه وذلك بسبب
تجهيزه بخاصية الحمايه من التحليل anti analysis .
2 – تجد ان بعض البرامج الخبيثه تحتاح الى انظمه معينه من اجل العمل وفى
هذه الحاله نلجأ الى طريقة التحليل عن طريق الهندسه العكسيه .
3 – البعض من البرامج الخبيثه تنهى عملها اذا اكتشفت انه عباره عن نظام
يستخدم معمارية غير التى صممت لها .
- -
والان ماهو الهدف من التحليل الديناميكى ؟
1 – يساعد التحليل الديناميكى فى الحصول على
مؤشرات الاصابه " indication of compromise " : وهو عباره عن ايجاد دلائل على ان الاصابه لهذا
النوع من البرامج الخبيثه " تعد من اهم الاهداف لمحلل البرامج الخبيثه وذلك
لانه عباره عن برامج مضاده للفيروسات ومن الممكن ان تستخدم هذه الدلائل من اجل
ايجاد البرامج الخبيثه الجديده .
2 – القيام بمعرفة انواع البرامج الخبيثه وتصنيفها لاحد الانواع الاساسيه
وتكون على سبيل المثال مثل " Trojan او virus او احصنة طرواده " وبالطبع اى شيئا منهم له عملا معينا يقوم به .
3 – معرفة قدرات البرنامج الخبيث ومستوى خطورته على انظمة التشغيل العامله
.
-
والان ماهى مؤشرات الاصابه ioc ؟
1 – اسماء الملفات التى تم انشائها والهاش
الخاصه بها " md5 or sh256 hash "ولكل ملف هاش مميز خاص به لا يوجد له شبيه يتم حسابه عن طريق اكثر من
خوارزميه .
2 – مكان اخفائه الــ file path : ان كل مبرمج للبرامج الخبيثه يقوم بعمل حقن
للبرامج الخبيثه فى مكان معين فى النظام وهذا بالطبع قد يكون احد الادله على
الاصابه .
3 – التعديل على السجلات registers : حيث نجد ان البرنامج الخبيث يقوم بزرع نفسه فى
السجلات حتى يقوم مثلا بعملية تشغيل
البرنامج الخبيث وعندما يتم تشغيل الجهاز او يقوم بحقن بعض المعلومات حتى اذا قام
المستخدم بتشغيله مره اخرى فانه لا يقوم بالاصابه لانه بالطبع فى الاصل متواجد .
4 – اسم العمليه يكون process " حيث ان اسم
البرنامج عند عمله يتم تسجيله فى task manager " .
5 – عنوان الانترنت ip address : ان البرنامج الخبيث
يقوم بالتواصل مع المخترق عن طريق الانترنت وذلك باستخدام عنوانه ولكل برنامج خبيث
عنوان بالطبع او اكثر من اجل ان يتصل به مع المخترق .
6 – اسماء النطاقات التى يتصل بها : حيث يقوم المخترق بالعمل على تسجيل
نطاقات خاصة من اجل ان يقوم البرنامج الخبيث بالاتصال بها مثال : serv.contact.me وبالتالى يقوم المخترق باستخدام نطاقات حتى لا يتم
حصر البرنامج الخبيث بعنوان انترنت واحد معين
فاسم النطاق يوفر له تغير الـ ip متى اراد وسوف تقوم خدمة الــ dns بترجمة الاسم الى عنوان جديد .
7 – البيانات الخارجه عبر الشبكه : حيث انه من الممكن لنا ان نقوم بأخذ
البيانات التى يتم ارسالها واستخدامها كمؤشر على الاصابه وذلك لان اغلب البرامج
الخبيثه تقوم بالعمل على ارسال بيانات البدأ بالمحادثه والتى تحتوى على كلمة مرور
الى خدمة المخترق والتى غالبا ماتكون عباره عن هاش hash كلمة المرور المشفره باحدى الخوارزميات .
-
- والان ماهى القدرات التى تتمتع بها بعض البرامج الخبيثه ؟
- والان ماهى القدرات التى تتمتع بها بعض البرامج الخبيثه ؟
1 – لها القدره على اكتشاف وتحديد وجودها فى
نظاما وهميا .
2 – لديها القدره على
تحديد وجود برامج التحليل عند استخدامها .
3 – لديها القدره على
تحديد وجود برامج الحمايه .
4 – لديها القدره على
تحديد اذا ماكان النظام مجهزا من اجل تحليل البرامج الخبيثه عن طريق استخراج اسم
الجهاز واسم المستخدم فاغلب المحللين يقومون بتسمية النظام بــ analysis system وغيرها من الاسماء
التى تدل على انه نظاما ليس للمستخدمين .
- -
نتمنى لكم التوفيق والسلامه والفائده معنا
دائما .