• אלי רובין

שלב שלב MALWARE איך עושים חקירה

עודכן ב: 7 דצמ 2019

1.קודם כל צריך להוריד את הVIRUS שאתם רוצים לחקור כאן קישור

2. זהרות זה VIRUS אמיתי לחלותין ויכול להרוס לכם את המחשב

3. אני כאן משתמש ב PEFRAM שחוקר את התוכן של הEXECUTABLE































שכאן נתן לי את הDLL שהEXECUTABLE משתמש וגם את הHASH של הEXE

4.אני הולך לאתר VIRUSTOTAL כדי לבדוק את הHASH של הVIRUS




































ולוקח יותר אינפורמציה על הVIRUS

5. משתמש בתוכנה DEPEND כדי לבדוק את כל הDLL שהוא משתמש























6.ואחרי זה בודק בGOOGLE כל אינפורמציה על הDLL שמצתי



























וכך אני מבין יותר איך עובד הMALWARE

User32.dll =מטפל בחלונות, בפונקציות של המשתמש הבסיסי

Avicap32.dll =הוא משתמש בקבצים שמשמשים למצלמות אינטרנט(כדי לצפות בקרבן)

Mscoree.dll =הוא עושה dcript של הקוד exe

Kernel32.dll =ניהול זכרון מערכת ההפעלה + הפרעות

Oleaut32.dll =נותן אפשרות ששני מערכות שונות יתקשרו אחד עם השני

Advapi32.dll =אחראי להפעלה מחדש + כיבוי ורושם משתמשים ב- registry

Shlwapi.dll =רושם ברג’יסטרי , ואחראי על הצבעים.

Version.dll =בודק את הגרסאות של windows

Mssign32.dll =הוא מכניס לרג’יסטרי קבצים לא תקינים, וזה מה שמפעיל את כל ה-dll

Ntdll.dll =משתמש ב- kernel


מה שמבינים מזה : שהוא ספייוור, שיכול להשתמש מהמצלמה של הקרבן, ןהמקלדת של הקרבן מרחוק.

וגם נותן הרשאות גבוהות, ומוסיף משתמשים עם הרשאות גבוהות. כדי לתקוף


7.משתמש ב STRING כדי לראות את התוכן של הקובץ

בתוך ה-strings מצאתי שהוא משתמש ב-3 exe . rjrat.exe / netsh.exe / windows.exe

והשם הקדמון של הוירוס, ואני חושב שזה השם כינוי של התוקף EnKSaR.HaCKeR.exe


אחרי משתמש ב UPX כדי לראות אם הVIRUS הוא PACKETED
















בזה נגמר החקירה PASSIVE


חקירת ACTIVE


כדי להשתמש מחקירה ACTIVE כדי להריץ את הקובץ בANY.RUN אתר מעולה כדי לעשות חקירה ACTIVE


פה אני מוצה IP ו HASH


פה אני רואה איך הוא נכנס

8.משתמש מכלי שנקרה APATEDNS

כדי לבדוק באיזה DNS הוא יוצא













9. להפיל את הVIRUS במכונה וירטואלית כדי לבדוק PROCESS וREGISTRY וWIRESHARK כדי לתפוס את הIP










































ליצירת קשר ושירות טכנאי מחשבים בירושלים עד הבית חייגו – 0532104457

0 צפיות
R

© 2019 maestro