|
http://www.3arabawy.com/vb/images/uhhide.gif __________________السلام عليكم سنأخذ في هذا الدرس برنامج Seed 1.1 لكي نطبق عليه هذا البرنامج عبارة عن تروجان صغير الحجم للاختراق المبدئي http://raqee.jeeran.com/droos/seeed1.gif سنقوم بعملين هما: تحليل خادم البرنامج واكتشاف خوارزمية تشفير بياناته، و تتبع واكتشاف الأماكن التي يقوم الخادم بضربها في الريجستري ومجلدات النظام أولاً: تحليل الخادم وفهم آلية تشفيره سنحتاج هنا لمحرر ست عشري HexWorkshop وهو موجود في المكتبة سنقوم الآن بتكوين خادم بالبيانات التالية http://raqee.jeeran.com/droos/seeed3.gif http://raqee.jeeran.com/droos/seeed4.gif DNS/IP : ASG Port: 5656 Filename: Virus.exe Start up name: Virus سنحفظ الخادم باسم Test.exe وسيكون غير مضغوط وبحجم 12.5 كيلوبايت الآن نقوم بتحريره ببرنامج Hex Workshop وسنبحث عن ASG أو 5656 اللذين يمثلان الآي بي والمنفذ عن طريقCtrl+F سيعطينا محرر الهيكس رسالة بعدم وجود المطلوب! بمعنى أن البيانات في الخادم مشفرة بخوارزمية معينة الآن سنقوم بمحاولة فك التشفير بتكوين خادم جديد بالبيانات التالية: DNS/IP : BSG Port: 5656 Filename: Virus.exe Start up name: Virus ونسميه Test2.exe نقوم بتحريره بمحرر الهيكس ومن ثم نضغط Ctrl+K ليظهر بريمج مقارنة http://raqee.jeeran.com/droos/hexcompr.gif نقوم باختيار الخادمين Test.exe و Test2.exe ليقوم البرنامج بالمقارنة بين قيم كل منهما، وسنحصل على فرق واحد كالتالي: http://raqee.jeeran.com/droos/hexdiffcompr.gif الفرق الوحيد هو أن قيمة النص E في الخادم Test تغيرت إلى F في الخادم Test2 هذا راجع إلى أننا غيرنا عنوان الآي بي في الخادم الأول من ASG إلى BSG في الخادم الثاني، بمعنى أن حرف A يمثل E في الخادم المشفر، والحرف B يمثل F أيضا.. وبنفس الطريقة يمكن إيجاد كل الرموز والحروف المشفرة ومن ثم استخراج قاعدة لها والقائمة التالية تمثل الخوارزمية المتبعة: a=e b=f c=g d=' e=a f=b g=c h=l i=m j=n k=o l=h m=i n=j o=k p=t q=u r=v s=w t=p u=q v=r w=s x=| y=} z=~ 1=5 2=6 3=7 4=0 5=1 6=2 7=3 8=< 9== ويمكن اكتشاف رقم المنفذ بنفس الطريقة، وتسهيلا سنلاحظ أن النص الذي يأتي بعد Ds يمثل الآي بي ، pt يمثل المنفذ No-IP = ds Port = pt وبالضغط على Ctrl+F يمكن البحث عن ds و pt بسهولة مع مراعاة تغيير نوع البحث إلى Text مع ملاحظة أن التشفير يفك تلقائيا أثناء تنفيذ الخادم وذلك في الذاكرة، لذلك ظهرت برامج كثيرة تقوم بتحليل العمليات التي تقيم في الذاكرة مثل برنامج OllyDbg ثانيا: مراقبة ملف الخادم واكتشاف الأماكن التي ينسخ نفسه فيها أ. مجلدات النظام بنفس الطريقة سنقوم بتكوين خادم بالبيانات التالية DNS/IP : 127.0.0.1 Port: 5656 Filename: Virus.exe Start up name: Virus ونسميه ASG.exe الآن سنحتاج لبرنامج Filemon وهو مرفق. نقوم بتشغيله ونذهب الى التالي http://raqee.jeeran.com/droos/FMHL.gif ومن ثم نضيف الآتي http://raqee.jeeran.com/droos/filterfm.gif نضغط ok ولا نغلق البرنامج الآن نذهب للخادم ونقوم بتشغيله ولا تخف سنزيله بسهولة بعد ذلك وسيقوم برنامج Filemon بمراقبة الملف في كل عمليته تقريبا http://raqee.jeeran.com/droos/cretfile.gif سيقوم البرنامج بتظليل عملية Create وهي إنشاء نسخة من الخادم في أي مجلد آخر وسنلاحظ أن البرنامج تعرف على عملية إنشاء ناجحة في المسار C:\WINDOWS\system32 باسم Virus.exe ببساطة اذهب للملف (نقر مزدوج على المسار) وقم بحذفه إزالة هذا الملف يعني إزالة الخادم إن لم يضع قيم في الرجستري أو يحقن نفسه بتقنية روت كيت ب. قيم الريجستري سنحتاج لبرنامج Regmon وهو شبيه جدا بأخيه Filemon (مرفق) وبنفس الطريقة تماما نقوم بتحديد الملف الذي سوف يُراقب http://raqee.jeeran.com/droos/RMHL.gif نلاحظ أن أخطر الطلبات هي ؤceatekey و setvalue تأكد كتابة الطلبات بالحروف الصغيرة http://raqee.jeeran.com/droos/cretkey.gif |
|
| الساعة الآن 10:19 PM |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd