1.קודם כל צריך להוריד את הVIRUS שאתם רוצים לחקור כאן קישור
2. זהרות זה VIRUS אמיתי לחלותין ויכול להרוס לכם את המחשב
3. אני כאן משתמש ב PEFRAM שחוקר את התוכן של הEXECUTABLE
שכאן נתן לי את הDLL שהEXECUTABLE משתמש וגם את הHASH של הEXE
4.אני הולך לאתר VIRUSTOTAL כדי לבדוק את הHASH של הVIRUS
ולוקח יותר אינפורמציה על הVIRUS
5. משתמש בתוכנה DEPEND כדי לבדוק את כל הDLL שהוא משתמש
6.ואחרי זה בודק בGOOGLE כל אינפורמציה על הDLL שמצתי
וכך אני מבין יותר איך עובד הMALWARE
User32.dll =מטפל בחלונות, בפונקציות של המשתמש הבסיסי
Avicap32.dll =הוא משתמש בקבצים שמשמשים למצלמות אינטרנט(כדי לצפות בקרבן)
Mscoree.dll =הוא עושה dcript של הקוד exe
Kernel32.dll =ניהול זכרון מערכת ההפעלה + הפרעות
Oleaut32.dll =נותן אפשרות ששני מערכות שונות יתקשרו אחד עם השני
Advapi32.dll =אחראי להפעלה מחדש + כיבוי ורושם משתמשים ב- registry
Shlwapi.dll =רושם ברג’יסטרי , ואחראי על הצבעים.
Version.dll =בודק את הגרסאות של windows
Mssign32.dll =הוא מכניס לרג’יסטרי קבצים לא תקינים, וזה מה שמפעיל את כל ה-dll
Ntdll.dll =משתמש ב- kernel
מה שמבינים מזה : שהוא ספייוור, שיכול להשתמש מהמצלמה של הקרבן, ןהמקלדת של הקרבן מרחוק.
וגם נותן הרשאות גבוהות, ומוסיף משתמשים עם הרשאות גבוהות. כדי לתקוף
7.משתמש ב STRING כדי לראות את התוכן של הקובץ
בתוך ה-strings מצאתי שהוא משתמש ב-3 exe . rjrat.exe / netsh.exe / windows.exe
והשם הקדמון של הוירוס, ואני חושב שזה השם כינוי של התוקף EnKSaR.HaCKeR.exe
אחרי משתמש ב UPX כדי לראות אם הVIRUS הוא PACKETED
בזה נגמר החקירה PASSIVE
חקירת ACTIVE
כדי להשתמש מחקירה ACTIVE כדי להריץ את הקובץ בANY.RUN אתר מעולה כדי לעשות חקירה ACTIVE
פה אני מוצה IP ו HASH
פה אני רואה איך הוא נכנס
8.משתמש מכלי שנקרה APATEDNS
כדי לבדוק באיזה DNS הוא יוצא
9. להפיל את הVIRUS במכונה וירטואלית כדי לבדוק PROCESS וREGISTRY וWIRESHARK כדי לתפוס את הIP
ליצירת קשר ושירות טכנאי מחשבים בירושלים עד הבית חייגו – 0532104457
Comments