نقوم الأن بمعرفه هل الفايروس مشفر أو مضغوط وفي حال لم يكن كذلك سوف يتم معرفة لغه البرمجه التي استخدمت في كتابة الفايروس
وهناك الكثير من البرامج للتعرف على هذا الأمر ء؛ وسنستخدم الأن برنامج 5500 لمعرقة ذلك
عله وماد
ل م سودي الاسيتها
استحدو مترجم فيجول سني++
‎١‏ سه | | ميض | سدسم
‏معام بم 7 75
‏بعد ذلك يمكن الإطلاع علي محتهات البرنامج من خلال أي محرر هكس 501002 116 ولكن ستكون هناك كميه من البيانات والتي تتطلب وقنا
لقرئتها وفهمها لذلك يمكن استخدام برامج صغيرة مثلا 80781 والذي سيقوم باستخراج النصوص من البرنامج ومعرفه ال90179 سواء كانت
نصوص عاديه أم دوال يستدعيها البرنامج ؛ كما يوضح ذلك الشكل التالي
لغ ًَ لهف 00 2000055
استجر اج القحوس من 2 .8 0410076 200056
كاي لوحي سم 0 8 2000086
‏مفضل أخذ ال01601:5001 للملف التنفيذي (الفايروس) من قبل اجراء أي تجارب عليه وبعد اجراء أي تجرية يتم اعادة أخذ ال678050101 لمعرقه
أي تير حصل على الفايروس لأن هناك برامج تقوم بتغيير نفسها بعد العمل 6008 581214001560 ؛ ويمكن أن يكون ال10ل0160:8 عبارة عن
56 أو 1890 ؛ وحاليا سوف يتم أخذ ال261!! 8/05 للحلف ؛ ويمكن كتابه برنامج لهذا الأمر أو الإستعانه بأحد الأدوات مثلا 0ل0058 ؛ والشكل
التالي يوضح الهاش النائج وهو 0400737052568309401373853364581 باستخدام البرنامج 00058001

عه 05 ممدممداء / تلوط
نكمل الأن التحليل الستاتيكي ونصل لأهم طريقة لتحليل الفايروس وقي عن طريق استخدام ال 0153598015180 وسوف نستخدم
ال 01526580518 الذي بأتي مع المنقح 01/08 , وسوف نلقى نظرة على أهم الدوال بشكل سريع فحن تريد أخذ فكرة عن عمل الفايروس
بشكل سطحي وليس فهم أدق التفاميل بشكل 96100 ؛ كما يتبين من الصور التالية
هنا في الشكل السابق يقوم الفايروس بالبحث عن مجلد النظام باستخدام الدالة 66015/58800180 والتي أخرجت له مجلد النظام وسوف

الأن واضج أن الغايروي قام بانشاء الملف الأول 18001.62 وفي نفس الحلقة سوف ينشئ الملف الثاني 18002.816 ويقوم بالكتابه في هذه
الملفين (طريقة الكتابة غريبه بعض الشيح) . بعد ذلك سيقوم بتشغيل كل من هذه الملفين باستخدام الدالة 062020006895 كما يوضحة
الشكل الثالي
التحليل الديناميكي «تسرلعمم ع/ ممه صرط:
بتشغيل الفايروس بأنفسنا ولن يضر الجعار التخيلي ذلك بسبب وجود برنامج ال6086628 0880 والذي سيعيد الجهاز الى حالته الأمليه عند اعادة
تشغيل الجهاز. ويمكن الإستفادة في هذا التحليل من أدوات ال100010009 لملاحظة تغييرات الريجيستري التي يغيرها الفايروس وملاحظة
العمليات على الملفات في القرص 1/0 وملاحظه التعامل مع الشبكة سواء بارسال أو استقبال بيانات , وأشهر الأدوات هي أدوات 5/5601021.
وقبل أن نقوم بتشغيل الفايروس يجب أخذ جالة مسجل النظام الحاليه 889558 ومن ثم بعد تشغيل الفايروس يتم أخذ حالة ال 58و88 مرة
كاوها وملام
اممف 1001 0 تا7ضاء ©
عاد عاماط
000 | النتيجة رمي المححام الجحيدا
سو لقاع
نوما عر عام كوم 100 اع
عام

اتاب باسنا
بعد تشغيل الغايروس بدا الملف 8001.68 بالعمل في الذاكرة أم الملف الأخر فلم يعمل بسبب مشكلة ما ؛ على العموم يفضل حاليا بعد
تشغيل الفايروس مباشرة أخذ صورة أخرى لحالة مسجل النظام ومن ثم عمل مقارنه ما بين قيم الريجستري الجديدة والقديمه واكتشاف التغيير
والشكل التالي يوضح النتيجة » فلاحظ أن الفايروس يضيف برنامج جديد باسم 5/01058828 يعمل مع بدء التشغيل ويكون هذا الملف موجود في
المسار 6:1000005 . ولكن بعد الذهاب لذلك المسار لم يتم ايجاد الملف وهو دليل على أن هناك مشكله في الغايروس ولم يستطع انشاء
الملف من الأساس!
ا الا ا ا اا ساق ل ل ل ف

لاستخراج أكبر قدر ممكن من المعلومات ؛ فبالتالي يمكن اعادة تشغيل الجهاز التخيلي ومن ثم البدء بتحليل الفايروس باستخدام أداوت أخرى
الموجودة في النظام.
وعند التعامل مع البرنامج 14001802 000855 فسوف يقوم باخراج جميع المعلومات المتعلقه بأي عملية في النظام وهذا يؤدي لكثره المعلومات
وصعهه قرئتها وملاحظة الفايروس ؛ لذلك يجب عمل 611186 واختيار مراقبة على عمليات معينه في ال8106895 المعين ؛ وسنقوم باختيار
على الملفات ومسجل النظام وبضعه أمور أخرى يبينها الشكل التالي:
ملاس

لتلقى نظرة على معلومات الملفات التي أنشأها الفايروس ؛ والحصول على هذه المعلومات تكون بنفس الطريقة التي استخدمناها لمعرفة
معلومات الفايروس الأصلي وسوف نستخدمها الأن لمعرفه تفاصيل كل من الملفات الجديدة سولء بمعرفة الحجم و الهاش واللغه التي يعمل بها
وهم كالتالي:
لنلقى نظرة على كل منهم على حده ؛ بالنسبة للملف الثاني 20102.68 فأهم ما فيه وهو محاولة الإتصال بالموقع (10111/.3322.009) عن
طريق السوكت 500668 705 ؛ الشكل التالي يوضح الكود المسؤول عن انشاء الإتصال:
الاتسال يه
أما الملف الأول 60101.68 فهو مشفر ببرنامج 1.2 ©5 11 1/810 ويحتاج للفك التشفير 00301:20) ؛ وتمت تجربة برنامج 000030168 ولكن لم
ينجح في الفك لذلك لن نقوم بفكه حاليا ونكتفى بالمعلومات التي توفرت وهو أن الملف يكون موجود بالذاكرة 18001.88 فور عمل الفايروس.

نتيجة بعد تشغيل الفايروس (لا يوجد ملفات ينشفها أو مهمه يقوم بها) » الملف الأخر يقوم بالإتصال لأحد المواقع بالسوكت عن طريق المنفذ
8 وتحصل مشكلة ويتوقف عن العمل كما وضحت أحد الصور السابقة.
موقع مكافي وضح عمل الفايروس 6010193 1132/0 كالتالي:
عت 2 مها 116 ‎٠‏
عي لودع
وموقع 85602620082 وضح عمل الفايروس 80572(!.851م770120.0108 كالتالي:
مات <<
كن للأسف الملفات الموضحه بالمريع الأحمر في الشكل أعلاه لا توجد في الجهاز بعد أن أصبناة » وهذا يعود لإحتمالين لا ثالث لها ؛ الأول هو
يتوقف الفايروس عن العمل ولم يكمل انشاء هذه الملفات !

1601 المع دولا 56:1:
من هذا الفايروس 060100193 200 وتقوم هذه الأداه بعد حذف الغايروس بتصليح المفاتيح في مسجل النظام والتي قام الغايروس بتغييرها.
البحث في الذاكرة عن وجود الملف 8001.88 ؛ واذا وجد هذا الملف يتم اغلاقه
البحث في المسار 55180132 عن الملفين 18001.28 و 80102.68 ويتم حذفهم.
البحث في المسار 10000105 عن الملفغات :201000 و 500005688 و 1600.218 ويتم حذفهم.
لتطبيق الخطوة الأولى سنحتاج لطريقة نمر من خلالها على جميع العمليات في النظام 0106895 501118348 ومن ثم نختبر كل عملية على حدة
فرى هل أسم العملية هو نفس أسم الملف الذي نريد غلقه (في حال تغير الأسم يجب تغيير الإسم هنا أيضا ؛ ويمكن أن تكون المقارنة على
أساس ال1280! للملفين) . وسوف يتم استخدام الدوال 0008693221758/000289532[6:6 لإيجاد كل العمليات في النظام ومن ثم اغلاق العملية
باستخدام الداله 180070280306855 . الكود التالي يوضج العملية
(مسمتامعةعدم 12118) مجعدة دما 001
7 عند عاسم فتدلا << #ملوفقة ) عد 8
الخطوة الثانيه وقي حذف الملفات التي يخلفها الغايروس وهي 12001.08 و 12002.28 في مجلد ال100/110010/518/518:032:© » بالإضافة
الى الملفات 2040000:106 و 910705628 و 1601.26 في العسار 611011000015 . وسيتم استخدام الدالة 0818:66118 للقيام بهذة المهمه
كن بعد تعديل خصائص الملف وجعل الملف ملف عادي . الكود التألي يقوم بالمهمة
) الطعقم 17878) عنلطع 1 مفمصد ف طت0لا
ولف 10ا_115_4778751075 رطعم ) ع عن طتع 526711