שלב שלב MALWARE איך עושים חקירה

1.קודם כל צריך להוריד את הVIRUS שאתם רוצים לחקור כאן קישור

2. זהרות זה VIRUS אמיתי לחלותין ויכול להרוס לכם את המחשב

3. אני כאן משתמש ב PEFRAM שחוקר את התוכן של הEXECUTABLE

שכאן נתן לי את הDLL שהEXECUTABLE משתמש וגם את הHASH של הEXE

4.אני הולך לאתר VIRUSTOTAL כדי לבדוק את הHASH של הVIRUS

ולוקח יותר אינפורמציה על הVIRUS

5. משתמש בתוכנה DEPEND כדי לבדוק את כל הDLL שהוא משתמש

6.ואחרי זה בודק בGOOGLE כל אינפורמציה על הDLL שמצתי

וכך אני מבין יותר איך עובד הMALWARE

User32.dll =מטפל בחלונות, בפונקציות של המשתמש הבסיסי

Avicap32.dll =הוא משתמש בקבצים שמשמשים למצלמות אינטרנט(כדי לצפות בקרבן)

Mscoree.dll =הוא עושה dcript של הקוד exe

Kernel32.dll =ניהול זכרון מערכת ההפעלה + הפרעות

Oleaut32.dll =נותן אפשרות ששני מערכות שונות יתקשרו אחד עם השני

Advapi32.dll =אחראי להפעלה מחדש + כיבוי ורושם משתמשים ב- registry

Shlwapi.dll =רושם ברג’יסטרי , ואחראי על הצבעים.

Version.dll =בודק את הגרסאות של windows

Mssign32.dll =הוא מכניס לרג’יסטרי קבצים לא תקינים, וזה מה שמפעיל את כל ה-dll

Ntdll.dll =משתמש ב- kernel

מה שמבינים מזה : שהוא ספייוור, שיכול להשתמש מהמצלמה של הקרבן, ןהמקלדת של הקרבן מרחוק.

וגם נותן הרשאות גבוהות, ומוסיף משתמשים עם הרשאות גבוהות. כדי לתקוף

7.משתמש ב STRING כדי לראות את התוכן של הקובץ

בתוך ה-strings מצאתי שהוא משתמש ב-3 exe . rjrat.exe / netsh.exe / windows.exe

והשם הקדמון של הוירוס, ואני חושב שזה השם כינוי של התוקף EnKSaR.HaCKeR.exe

אחרי משתמש ב UPX כדי לראות אם הVIRUS הוא PACKETED

בזה נגמר החקירה PASSIVE

חקירת ACTIVE

כדי להשתמש מחקירה ACTIVE כדי להריץ את הקובץ בANY.RUN אתר מעולה כדי לעשות חקירה ACTIVE

פה אני מוצה IP ו HASH

פה אני רואה איך הוא נכנס

8.משתמש מכלי שנקרה APATEDNS

כדי לבדוק באיזה DNS הוא יוצא

9. להפיל את הVIRUS במכונה וירטואלית כדי לבדוק PROCESS וREGISTRY וWIRESHARK כדי לתפוס את הIP

ליצירת קשר ושירות טכנאי מחשבים בירושלים עד הבית חייגו – 0532104457