Mobile Forensics
Mobile Forensics (اَلْعَرَبِيَّةُ)
Mobile Forensics (اَلْعَرَبِيَّةُ)
  • Introduction
  • Preparations
    • Knowledge
    • Safety
    • Trust
    • Backup
  • Methodology
  • التحقق من أجهزة الكمبيوتر التي تعمل بنظام ويندوز (Windows)
    • فحص البرامج التي تبدأ مع تمهيد تشغيل الكمبيوتر
    • فحص العمليات قيد التشغيل
    • مراجعة اتصالات الشبكة
    • استخراج البيانات لإجراء تحليل إضافي
  • Checking Mac Computers
    • Review Programs Launching at Startup
    • Review Running Processes
    • Review Kernel Extensions
    • Review Network Connections
    • Review XProtect Logs
    • Extract Data for Further Analysis
  • فحص الهواتف الذكية
    • ملاحظة: المنهج
    • بنية نظام الهاتف الذكي
    • فحص الأجهزة المرتبطة بتطبيقات الدردشة
    • التحقق من الرسائل المشبوهة
    • مراقبة حركة المرور على الشبكة
    • ملاحظة: مراقبة حركة مرور الشبكة على لينوكس (Linux)
  • Checking Android Devices Basic
    • Review Installed Applications
    • Check Storage
    • Check if the Phone is under Android Device Policy
    • Check if the Phone is Rooted
    • Check if Developer Options is Enabled
    • Analyze Applications
    • Extract Data for Further Analysis
    • Optional : Check for Indicators of Stalkerware Installation
  • Checking Android Devices Advanced
    • Wireshark
    • MVT
    • Other Tools
  • Checking iOS Devices
    • Review iCloud Accounts
    • Review Installed Applications
    • Check for Mobile Device Management Profiles
    • Check for Shortcuts
    • Check for Jailbreaks
    • Enable and Check App Privacy Report
    • Extract Data for Further Analysis
    • Analyzing Extracted Data
    • About Lockdown Mode
  • Checking Devices Remotely
    • Mac Computers
    • Android
  • Concluding a Forensic Gathering
  • References and Further Learning
  • License and Credits
Powered by GitBook
On this page
  • أداة بروسيس إكسبلورر (Process Explorer)
  • 1. تحقق من التوقيع الرقمي للصور
  • 2. ابحث عن البرمجيات النصية
  • 3. ابحث عن ملفات DLL قيد التشغيل
  • 4. ابحث عن عمليات التطبيقات التي يجب أن تكون مرئية
  • اختياري: 5. فحص البرامج على فيروس توتال (VirusTotal)
  • أداة كراود إنسبكت (CrowdInspect)
  • التحقق من وجود أي حقن في العمليات
  1. التحقق من أجهزة الكمبيوتر التي تعمل بنظام ويندوز (Windows)

فحص العمليات قيد التشغيل

Previousفحص البرامج التي تبدأ مع تمهيد تشغيل الكمبيوترNextمراجعة اتصالات الشبكة

Last updated 4 months ago

يجب أن يحتوي الكمبيوتر المصاب ببرمجية التجسس على بعض العمليات الضارة التي تعمل في جميع الأوقات ومراقبة النظام وجمع البيانات ليتم نقلها إلى الخاص بالمهاجمين. لذلك هناك خطوة أخرى في فحص جهاز كمبيوتر يعمل بنظام ويندوز مشتبه بإصابته وهي استخراج قائمة العمليات الجارية ومعرفة ما إذا كان أي منها يعرض خصائص مشبوهة.

ويتوفر عدد من الأدوات المتاحة للقيام بذلك.

تحذير: قد تكون برمجيات التجسس الأكثر تطورًا قادرة على التهرب من هذه الأداة إما عن طريق إخفاء إدخالاتها الخاصة من الشجرة أو ربما عن طريق الإنهاء الفوري إذا لاحظت إطلاق أي من هذه الأدوات، ونقدم في هذا الدليل بعض المنهجية والاقتراحات الأولية لإجراء تقييم أولي. ليست قائمة العمليات النظيفة بالضرورة ضمانًا لنظام نظيف.

قبل المتابعة بإجراء الفحص يُنصح بإغلاق جميع تطبيقات التشغيل الظاهرة من أجل تقليل مخرجات الأدوات التي سيتم تشغيلها إلى الحد الأدنى.

أداة بروسيس إكسبلورر (Process Explorer)

أداة هي أداة أخرى من مجموعة من مايكروسوفت وتسرد جميع العمليات التي تعمل على النظام ضمن شجرة:

1. تحقق من التوقيع الرقمي للصور

2. ابحث عن البرمجيات النصية

غالبًا ما يستفيد المهاجمون هذه الأيام من قدرات البرمجة النصية لنظام مايكروسوفت ويندوز مثل باور شيل (PowerShell) وويندوز سكريبت هوست (Windows Script Host) بسبب مرونتها وحتى القدرة على تجنب الكشف، ويشاع استخدام محركات البرمجة النصية هذه من قبل عملاء المؤسسات لأتمتة تكوينات الأنظمة الداخلية. من غير الشائع رؤية تطبيقات مستهلك تستخدمها لذلك يجب إجراء فحوص إضافية على أي عمليات ذات صلة قيد التشغيل.

عادة ما تسمى هذه العمليات powershell.exe أو wscript.exe.

فيما يلي مثال من بروسيس إكسبلورر يعرض برنامج نصي على باور شيل ضارًا يعمل بشكل واضح على النظام:

يُظهر عند تمرير مؤشر فوق اسم العملية وسيطات سطر الأوامر التي تظهر بوضوح أن البرنامج النصي يحاول تنزيل وتنفيذ بعض التعليمات البرمجية الإضافية، ويلحظ أيضًا استخدام أحرف صغيرة وكبيرة مختلفة مثل "doWnLoAdfile " وتُعدّ هذه خدعة بسيطة جدًا يستخدمها المهاجمون للتهرب من أنماط الكشف الأساسية أيضًا لدى برمجيات الأمان.

3. ابحث عن ملفات DLL قيد التشغيل

ابحث عن أي عمليات تستخدمها قيد التشغيل وحاول تحديد ملف DLL التي تنفذه. على سبيل المثال في لقطة الشاشة أدناه يمكننا رؤية نظام وويندوز مصاب يشغل ملف DLL ضار موجود في C:\Users\<Username>\AppData\ باستخدام regsvr32.exe.

4. ابحث عن عمليات التطبيقات التي يجب أن تكون مرئية

على سبيل المثال إذا شاهدت عملية iexplore.exe قيد التشغيل مع عدم وجود هناك نافذة إنترنت اكسبلورر مفتوحة يجب أن تعتبر أن هذه علامة مثيرة للقلق.

اختياري: 5. فحص البرامج على فيروس توتال (VirusTotal)

أداة كراود إنسبكت (CrowdInspect)

التحقق من وجود أي حقن في العمليات

وستقوم كراود إنسبكت بتنبيهك تجاه أي عمليات حقن عن طريق عرض نقطة حمراء مرئية تحت عمود "Inject (حقن)". تعتبر العمليات المحقونة بشكل عام مؤشرًا قويًا جدًا على احتمال وجود أنشطة حقن على الكمبيوتر الذي تم اختباره.

تشبه نوعًا ما منهجية فحص العمليات قيد التشغيل المشبوهة ما وصفناه في قسم .

على غرار أتورانز تسمح أداة بروسيس إكسبلورر أيضًا بالتحقق من التواقيع الرقمية للتطبيقات قيد التشغيل بالنقر على Options (خيارات) وتمكين "التحقق من التواقيع الرقمية للصور (Verify Image Signatures)". تنطبق ذات الاعتبارات والتحذيرات التي وصفناها في القسم هنا أيضًا، ولكنه إلى حد أهم في العمليات قيد التشغيل لأن حقيقة وجود توقيع رقمي لعملية التطبيق لا تعني بالضرورة أنها آمنة. غالبًا ما تستخدم البرمجيات الضارة تقنيات مثل أو لأجل تنفيذ التعليمات البرمجية ضمن سياق تطبيق سليم ويتمتع بتوقيع رقمي من أجل إحباط محاولات الكشف.

تأتي البرمجيات الضارة أحيانًا أيضًا في شكل والتي - على عكس التطبيق المستقل (بمعنى آخر ملف exe.) - يجب تشغيلها بواسطة أداة تحميل. يوفر وويندوز بعض البرامج لتشغيل ملفات DLL، عادةً مثل regsvr32.exe وrundll32.exe التي تحصل على توقيعها من مايكروسوفت.

من بين التقنيات العديدة التي غالبًا ما يستخدمها المهاجمون توجد طريقة تسمى وتتمثل في تشغيل تطبيق سليم (مثل إنترنت اكسبلورر (Internet Explorer) أو جوجل كروم (Google Chrome)) وإفراغ ذاكرته واستبداله بشفرة ضارة يتم تنفيذها بعدها. عادة يتم ذلك لإخفاء التعليمات البرمجية الضارة وجعله يبدو وكأنه تطبيق سليم (يكون بعدها مجرد غلاف فارغ)، وكذلك للتهرب من تطبيقات جدار الحماية وربما التهرب من بعض المنتجات الأمنية الأخرى.

على غرار قسم ، يقدم بروسيس إكسبلورر أيضًا إمكانية فحص العمليات قيد التشغيل على فيروس توتال من خلال فحص شفرة التجزئة التشفيرية للملفات القابلة للتنفيذ المحددة. يمكن تمكين ذلك بالنقر على Options (خيارات) \> VirusTotal.com وتفعيل Check VirusTotal.com.

يرجى الانتباه: تنطبق الاعتبارات والتحذيرات الموضحة في القسم هنا أيضًا، لذا تأكد من قراءتها قبل المتابعة.

تُعدّ أداة أداة من إنتاج شركة الأمن الأمريكية كراود سترايك، وتشبه إلى حد كبير بروسيس إكسبلورر ولكن تتمتع ببعض المزايا الإضافية. في البداية تميل المعلومات التي تقدمها إلى أن تكون أكثر اختصارًا، وثانيًا لا تُظهر العمليات قيد التشغيل حاليًا فحسب بل يمكنها أيضًا إظهار العمليات التي انتهت منذ تشغيل الأداة (والتي ربما تكون قد فاتتك لأنه جرى تنفيذها بسرعة كبيرة جدًا). وأخيرًا تقوم بإجراء عدد أكبر من عمليات الفحص التي لا يدعمها بروسيس إكسبلورر حاليًا.

ربما تكون الميزة الأكثر إثارة للاهتمام التي تقدمها كراود إنسبكت هي القدرة على التعرّف على أي حيث يُعدّ حقن العمليات فئة تقنيات التي يكون هدفها تشغيل التعليمات البرمجية الضارة في سياق تطبيق منفصل وسليم بشكل عام (مثل explorer.exe). غالبًا ما يستخدم مؤلفو البرمجيات الضارة حقن العمليات من أجل الحصول على امتيازات إضافية على النظام أو على سبيل المثال لتجنب الكشف.

فحص البرامج التي تبدأ مع تمهيد تشغيل الكمبيوتر
السابق
Process Hollowing (تجويف العملية)
DLL Sideloading
DLL (مكتبة ارتباطات ديناميكية)
Process Hollowing (تجويف العملية)،
أتورانز
السابق
كراود إنسبكت
عمليات محقونة،
خادم القيادة والتحكم
بروسيس إكسبلورر
سيسينترنال