02-02-2025, 11:11 AM
هذه أداة ممتازة لإجراء فرز أولي لعينة من البرامج الضارة وتسمح باستخراج أي آثار مشبوهة بسرعة.
بمجرد تحميل ملف ثنائي، فإنه سيوفر للمستخدم بسرعة تجزئات البرامج الضارة وأي اكتشافات موجودة في VirusTotal. كما يتم سحب قائمة بالسلاسل، ولكن إذا تم تعبئة العينة، فقد لا يؤدي هذا إلى إرجاع أي مؤشرات IOC قوية، وفك ضغط العينة، ثم مراجعة السلاسل غالبًا ما يوفر معلومات مفيدة مثل المجالات الضارة وعناوين IP.
يساعد في تحديد ما إذا كانت البرامج الضارة معبأة أم لا. عندما يتم تعبئة العينة، فهذا يعني أن مؤلف البرامج الضارة وضع طبقة من التعليمات البرمجية حول البرامج الضارة بشكل فعال من أجل إخفاء وظائفها الحقيقية ومنع تحليل البرامج الضارة.
للمساعدة في تحديد البرامج الضارة المعبأة، يعرض PeStudio مستوى انتروبيا الملف. يتم قياس الانتروبيا على مقياس من 0 إلى 8، حيث يمثل 8 أعلى مستوى انتروبيا. كلما زادت الإنتروبيا، زادت احتمالية وجود قطعة من البرامج الضارة.
قسم آخر مفيد هو علامة التبويب "الاستيراد"، والتي تحتوي على وظائف يتم استيرادها إلى البرامج الضارة حتى تتمكن من أداء مهام معينة. على سبيل المثال، يحتوي Windows على مكتبات مختلفة تسمى DLLs، وهي اختصار لـ Dynamic Link Library. تحتوي كل مكتبة على مجموعة فريدة من الوظائف المعروفة باسم واجهات برمجة تطبيقات Windows، والتي تستخدمها البرامج المشروعة لأداء وظائف مختلفة. على سبيل المثال، تحتوي DLL Kerner32.dll على واجهة برمجة التطبيقات CreateProcessW، والتي يمكن استخدامها بواسطة قطعة من البرامج لإنشاء عملية تشغيل جديدة. ومع ذلك، ستستخدم البرامج الضارة نفس المنهجية لاستيراد وظائفها الخاصة. إذا احتاجت البرامج الضارة إلى إنشاء ملف جديد على القرص، فلن يحتاج مؤلف البرامج الضارة إلى كتابة جزء من التعليمات البرمجية للقيام بذلك، بل يمكنه فقط استيراد واجهة برمجة التطبيقات CreateFileW إلى البرامج الضارة. من خلال النظر في عمليات الاستيراد، قد يتمكن محلل البرامج الضارة من التنبؤ بالسلوك المحتمل للبرامج الضارة.
بمجرد تحميل ملف ثنائي، فإنه سيوفر للمستخدم بسرعة تجزئات البرامج الضارة وأي اكتشافات موجودة في VirusTotal. كما يتم سحب قائمة بالسلاسل، ولكن إذا تم تعبئة العينة، فقد لا يؤدي هذا إلى إرجاع أي مؤشرات IOC قوية، وفك ضغط العينة، ثم مراجعة السلاسل غالبًا ما يوفر معلومات مفيدة مثل المجالات الضارة وعناوين IP.
يساعد في تحديد ما إذا كانت البرامج الضارة معبأة أم لا. عندما يتم تعبئة العينة، فهذا يعني أن مؤلف البرامج الضارة وضع طبقة من التعليمات البرمجية حول البرامج الضارة بشكل فعال من أجل إخفاء وظائفها الحقيقية ومنع تحليل البرامج الضارة.
للمساعدة في تحديد البرامج الضارة المعبأة، يعرض PeStudio مستوى انتروبيا الملف. يتم قياس الانتروبيا على مقياس من 0 إلى 8، حيث يمثل 8 أعلى مستوى انتروبيا. كلما زادت الإنتروبيا، زادت احتمالية وجود قطعة من البرامج الضارة.
قسم آخر مفيد هو علامة التبويب "الاستيراد"، والتي تحتوي على وظائف يتم استيرادها إلى البرامج الضارة حتى تتمكن من أداء مهام معينة. على سبيل المثال، يحتوي Windows على مكتبات مختلفة تسمى DLLs، وهي اختصار لـ Dynamic Link Library. تحتوي كل مكتبة على مجموعة فريدة من الوظائف المعروفة باسم واجهات برمجة تطبيقات Windows، والتي تستخدمها البرامج المشروعة لأداء وظائف مختلفة. على سبيل المثال، تحتوي DLL Kerner32.dll على واجهة برمجة التطبيقات CreateProcessW، والتي يمكن استخدامها بواسطة قطعة من البرامج لإنشاء عملية تشغيل جديدة. ومع ذلك، ستستخدم البرامج الضارة نفس المنهجية لاستيراد وظائفها الخاصة. إذا احتاجت البرامج الضارة إلى إنشاء ملف جديد على القرص، فلن يحتاج مؤلف البرامج الضارة إلى كتابة جزء من التعليمات البرمجية للقيام بذلك، بل يمكنه فقط استيراد واجهة برمجة التطبيقات CreateFileW إلى البرامج الضارة. من خلال النظر في عمليات الاستيراد، قد يتمكن محلل البرامج الضارة من التنبؤ بالسلوك المحتمل للبرامج الضارة.
PeStudio
يُظهر لك تفاصيل أكثر بكثير، مثل:
جميع المكتبات التي يستخدمها أحد التطبيقات.
جميع الوظائف التي يستوردها أحد التطبيقات.
جميع الوظائف (المجهولة أيضًا) التي يتم تصديرها بواسطة أحد التطبيقات.
جميع الوظائف التي يتم إعادة توجيهها إلى مكتبات أخرى.
الوظائف القديمة التي يتم تصديرها واستيرادها بواسطة أحد التطبيقات.
ما إذا كانت آلية أمان منع تنفيذ البيانات (DEP) في نظام Windows مستخدمة.
ما إذا كانت آلية أمان عشوائية تخطيط مساحة العنوان (ASLR) في نظام Windows مستخدمة.
ما إذا كانت آلية أمان معالجة الاستثناءات المنظمة - SEH في نظام Windows مستخدمة.
ما إذا كانت بعض الأقسام مضغوطة.
https://www.winitor.com/download