طرق تحليل البرمجيات الخبيثة | Malware Analysis Techniques

Malware
يجب معرفة كيف تعمل تلك البرمجيات للتصدي لها فيجب تحليلها أولاً وفهم كيفية عملها وهذا ما يسمي بالـ Malware Analysis أو تحليل البرمجيات الخبيثة.
Amr Naom
Jan. 18, 2023, 12:25 p.m.
amr
طرق تحليل البرمجيات الخبيثة | Malware Analysis Techniques

سبق وتحدثنا عن ما هو الـ Malware وأنواعه وكيفية التصدي له؟ ومن خلال ذلك تعرفنا ان التصدي للـ Malware يكون من خلال تحليله فإليك تلك الطرق الأساسية في التحليل.

طرق و وسائل تحليل الـ Malware:

 

هناك طريقتين أساسيتين لتحليل الـ Malware وهما:

  1. Static Analysis: وفيه يتم فحص الـ Malware بدون تشغيله.
  2. Dynamic Analysis: وفيه يتم تشغيل الـ Malware لفحصه وتحليله.

 

كلا الأثنين ينقسمان إلي نوعين كـ Basic و كـ Advanced:

Basic Static Analysis:

  •  يتضمن فحص الـ Executable File بدون النظر إلي التعليمات أو الـ Instructions الفعلية.
  • بأستخدام هذه الطريقة يمكن تأكيد الملف الضار.
  • تقديم معلومات عن وظائف الـ Malware.
  • وبعض الأحيان تقدم هذه الطريقة المعلومات التي يمكن من خلالها إنشاء Simple Network Signature.
  • هذه الطريقة صريحة وممكن أن تكون سريعة ولكن قد تكون غير مؤثرة تجاه الملفات الضارة المعقدة وممكن أن تتجاهل سلوك مهم للـ Malware.

 

Basic Dynamic Analysis:

  • يتضمن تشغيل الـ Malware و ملاحظة سلوكه علي النظام و بالتالي إزالة الضرر، تقديم Effective Signatures أو الأثنين معاً.

  • قبل تشغيل الـ Malware يجب عليك أن تصطب بيئة آمنة لتسمح لك بدراسة وتحليل الـ Malware بدون أي مجازفة و ألحاق الضرر بالجهاز أو الشبكة وقد نتحدث عن تلك البيئة في مقالة منفصلة فيما بعد.


Advanced Static Analysis:

  • يتضمن عمل هندسة عكسية علي الـ Malware's Internals بتحميل الـ Executable إلي الـ Disassembler و النظر بداخل تعليمات البرنامج أو الـ Program Instructions و منه إلي اكتشاف ما يفعله البرنامج.
  • الـ Instructions يتم تنفيذها بواسطة الـ CPU لذلك هذه الطريقة تخبرك ما يفعله البرنامج بالتحديد.
  • تتطلب معرفة بالـ Disassembly و Windows OS Concepts.


Advanced Dynamic Analysis:

  • في هذه الطريقة يتم أستخدام الـ Debugger لفحص وأختبار الحالة الداخلية للـ Malware الذي تم تشغيله.
  • تقدم هذه الطريقة حل آخر لأستخرج معلومات تفصيلية من الملف الـ executable.
  • هذه الطريقة الأكثر أفادة في جمع المعلومات التي قد يصعب جمعها بالطرق السابقة.

 

أنواع الـ Signatures:

 

في النهاية عليك تقديم Signature لكي يتم التعرف علي الـ Malware علي الشبكة وهي كالآتي:

  1. Host-Based Signatures: أو كما تسمي المحددات "Indicators" وتستخدم لأكتشاف الـ Malicious Code علي جهاز الضحية، و تلك الـمحددات تستخدم لتحديد الملفات التي تم إنشاؤها أو تعديلها بواسطة الـ Malware أو التغيرات التي تمت علي الـ Registry، علي عكس الـ Antivirus Signatures فالمحددات تركز علي ما يفعله الـ Malware بالنظام وليس علي خصائص الـ Malware نفسه، والذي يجعل الـ Malware Indicators أكثر تأثيراً في أكتشاف الـ Malwares التي تغير من شكلها.
  2. Network Signatures: تستخدم في أكتشاف الـ Malicious Code عن طريق مراقبة الـ Network Traffic.

 

للأخذ في الأعتبار أن الـ Network Signatures يمكن أن يتم أنشائها بدون الـ Malware Analysis ولكن تلك التي يتم إنشاؤها بمساعدة الـ Malware Analysis تكون أكثر تأثيراً و تقدم معدل عالي من الأكتشاف "Detection" ومعدل أقل من الأيجابيات المزيفة "False Positives".
 

وهنا عزيزي القارئ نكون وصلنا لنهاية مقالتنا ونكون قد تعرفنا علي الطرق الرئيسية لتحليل البرمجيات الخبيثة، وإلي لقاء أخر بإذن الله، دمت في سلام heart

References:

malware malware analysis analysis techniques malware analysis techniques amr naom