איך מנתחים מזיקים (Malwares) ?

חבר שלי פנה אליי עם סוגיה מעניינת : איך אפשר לדעת מה קורה כשמפעילים וירוס או טרויאני  (או כל מזיק אחר) ?

הוא קיבל דיסק עם קובץ הפעלה (EXE) שכמעט בוודאות מכיל מזיק כלשהו והוא אמור לנתח את הקובץ.

חבר שלי מנהל רשת בחברה לא קטנה אך אין לו את הידע ואת הכלים כדי לבצע REVERSE ENGINEERING או ניתוח מקצועי.

ניתוח אירועים ומזיקים ? למה הוא ?

נכון, ברוב המקרים, צוות ה-IT יחשוד בקובץ או תוכנה אך אין לו את הכלים להתמודד עם הניתוח (לבדוק מה עושה התוכנה כדי לדעת להגיב בהתאם). עדיף לעביר את הטיפול למומחה (חברת FORENSIC, צוות מפתחים …).

מצד שני, קשה מאוד לארגון קטן או בינוני (לפעמים גם ארגונים גדולים) לבקש עזרה מגורם חיצוני (לרבות משמעות כספית).

מצד שלישי, אולי החשד לא לגיטימי ? אולי נשקיע זמן ומשאבים בגילוי איום שבכלל לא קיים …

מה עושים ?

ניתן לבצע בדיקות בסיסיות ללא ידע בתכנות או ב-FORENSIC.

ישנם כלים פשוטים שיכולים לעזור ולבדוק מה עושה תוכנה.

איך עושים ?

בעיקר מבצעים השוואות בין מערכת תקינה לבין מערכת בה פועלת התוכנה.

ניתן להשוות מצב קבצים, ספריות, קובץ רישום (REGISTRY) ופעילות רשת.

אפשר גם להריץ סוג של DEBUGGER שאדם נורמאלי (כוונה : לא מומחה) יוכל להבין.

לני סלזר (Lenny Zeltser) פרסם מדריך וידאו מאוד נחמד בנושא, כולל דוגמא (ניתן אפילו להוריד את קובץ הדוגמא מהאתר שלו כדי להתנסות).

הסרטון מומלץ מאוד לכל מי שצריך להתמודד עם משימות חקירה מסוג זה (אורך הוידאו : שעה).

לסיכום :

הסרטון מסביר איך ניתן לנתח מזיקים בצורה פשוטה.

אהבתי במיוחד את הכלים החינמיים "REGSHOT" (ביצוע SNAPSHOT והשוואה של קובץ, קבצים וספריות) ואת "CAPTURE-BAT" (התייחסות לפעילות רשת).

תראו את המדריך וידאו ותבינו שגם אתם יכולים 🙂

קישורים :

האתר של לני סלזר (Lenny Zeltser)

קישור ישיר למצגת הוידאו

REGSHOT

CAPTURE-BAT

תגובה אחת ל “איך מנתחים מזיקים (Malwares) ?”

  1. אלי ISRAEL Windows 7 Mozilla Firefox 3.6.4 כותב:

    יפה מאוד.
    אני רושם לי בלו"ז שעה לצפית הסרט 🙂
    תודה.

הוסף תגובה !