دورة التحليل الجنائي الرقمي – schwila.com

🔍 دورة التحليل الجنائي الرقمي

مقدمة من schwila.com


مرحبًا بك في منصة Schwila 👾 أنت الآن داخل تجربة لا تُشبه أي تعليم عرفته من قبل… 🔮 هنا، كل معلومة تتحوّل إلى مشهد حسّي وكل تحدٍ هو طقسٌ لاكتشاف ذاتك الرمزية. ✨ لا نُقدّم دورات فقط… بل نُطلق رحلات، نُمنح أوسمة، ونحتفل معك بكل إنجاز. 🎧 افتح حواسك، استعد لبداية رمزية لا تُنسى…

أنواع البرمجيات الخبيثة 🔐

🦠 الفيروسات

تلتصق بالملفات وتنتشر عند فتحها، وتسبب تلفًا أو تعطيلًا للنظام.

🐛 الديدان

تنتشر ذاتيًا عبر الشبكات وتستهلك موارد الجهاز بشكل مفرط.

🐴 حصان طروادة

تتظاهر بكونها برامج شرعية لكنها تفتح ثغرات للمهاجمين.

🔐 برمجيات الفدية

تقوم بتشفير الملفات وتطلب فدية مقابل فك التشفير.

👁️ برامج التجسس

تراقب نشاط المستخدم وتجمع معلوماته دون علمه.

📢 الإعلانات المزعجة

تعرض نوافذ غير مرغوب فيها وتجمع بيانات سلوكية.

🕳️ الجذور الخفية

تعمل بصمت داخل النظام وتمنح صلاحيات خفية للمهاجم.

💭 البرمجيات بدون ملفات

تنشط داخل الذاكرة بدون وجود ملفات فعلية على القرص.

🔍 الفرق بين أنواع البرمجيات الخبيثة

🦠 الفيروس (Virus)

📥 الانتشار: يلتصق بملف ويُنشط عند فتحه.

🎯 الهدف: إتلاف ملفات أو النظام.

♻️ يتكاثر ذاتيًا: نعم

👤 يحتاج تدخل المستخدم: نعم

🐛 الدودة (Worm)

📥 الانتشار: ذاتي عبر الشبكات دون إذن.

🎯 الهدف: نشر نفسها واستهلاك الموارد.

♻️ يتكاثر ذاتيًا: نعم

👤 يحتاج تدخل المستخدم: لا

🐴 حصان طروادة (Trojan)

📥 الانتشار: يتنكر كبرنامج شرعي.

🎯 الهدف: فتح ثغرات وتحكم خارجي.

♻️ يتكاثر ذاتيًا: لا

👤 يحتاج تدخل المستخدم: نعم

👁️ برنامج التجسس (Spyware)

📥 الانتشار: يُثبت خلسة أو مع برنامج آخر.

🎯 الهدف: مراقبة وسرقة بيانات المستخدم.

♻️ يتكاثر ذاتيًا: لا

👤 يحتاج تدخل المستخدم: غالبًا لا

🧪 بيئات التحليل الآمنة – Sandbox & Virtual Machine

🔒 Sandbox

📌 الوصف: بيئة افتراضية معزولة لفحص البرامج دون ضرر حقيقي.

الأداء: أسرع وأخف من VM.

🧠 الاستخدام: تحليل ديناميكي وسريع.

🧹 الحذف التلقائي: نعم بعد الإغلاق.

🧭 محدودية التخصيص: محدودة نوعًا ما.

🖥️ Virtual Machine (VM)

📌 الوصف: جهاز افتراضي كامل داخل نظام التشغيل.

الأداء: أثقل ويستهلك موارد أكثر.

🧠 الاستخدام: تحليل معمّق طويل الأمد.

🧹 الحذف التلقائي: لا (يحتاج ضبط خاص).

🧭 مرونة التخصيص: كاملة (نظام تشغيل، أدوات، شبكات).

✅ الأدوات الأساسية لتحليل البرمجيات الخبيثة

🧪 Cuckoo Sandbox

بيئة تحليل ديناميكي تُشغّل البرمجيات الخبيثة داخل نظام افتراضي معزول وتراقب سلوكها.

🔍 تُستخدم لاكتشاف التعديلات على النظام، الشبكة، والملفات.

🧠 Ghidra

أداة هندسة عكسية مفتوحة المصدر من وكالة الأمن القومي الأمريكية.

📦 تُستخدم لتحليل الكود الثابت، فك التجميع، واستكشاف البنية الداخلية للبرمجيات.

🔍 IDA Pro

أداة احترافية لفك الشيفرات وتحليل البرامج التنفيذية.

📊 تُظهر الأكواد الثنائية بشكل قابل للقراءة وتساعد في اكتشاف الثغرات الأمنية.

🌐 Wireshark

أداة مراقبة وتحليل حركة مرور الشبكة.

📡 تُستخدم لتتبع الاتصالات الخبيثة، مثل الاتصال بسيرفرات خارجية أو تسريب البيانات.

✅ تحدي عملي: تحليل ملف مشبوه في بيئة آمنة

🔐 إعداد البيئة الآمنة

أنشئ Virtual Machine أو فعّل Windows Sandbox. تأكد من عزل الشبكة أو مراقبتها.

📦 تحميل الملف المشبوه

استخدم ملفًا من مصدر آمن (تحديات CTF أو مختبرات تدريبية). لا تستخدم ملفات غير موثوقة من الإنترنت مباشرة.

🧪 تشغيل الملف وتحليل سلوكه

شغّل الملف داخل البيئة. راقب سلوكه باستخدام أدوات مثل ProcMon و Wireshark و Cuckoo Sandbox.

📊 تحليل التأثير الأولي

  • هل تم إنشاء عمليات جديدة؟
  • هل ظهرت اتصالات شبكية خبيثة؟
  • هل تغيّرت ملفات أو سجل النظام؟

🧾 توثيق النتائج

أنشئ تقريرًا يحتوي على اسم الملف، التوقيت، التغييرات، الاتصالات الخارجية، والتوصيات.

🧰 أدوات التحليل المقترحة

  • 🧪 Cuckoo Sandbox – تحليل ديناميكي تلقائي
  • 🧠 Ghidra – فك وتجميع الكود الثابت
  • 🔍 IDA Pro – تحليل ثنائي واكتشاف ثغرات
  • 🌐 Wireshark – مراقبة الشبكة والاتصالات الخفية

🧠 فهم تحليل الأكواد الخبيثة بدون تنفيذها (التحليل الساكن)

🔍 ما هو التحليل الساكن؟

هو فحص البرمجيات الخبيثة دون تشغيلها، باستخدام أدوات لفك الشيفرة وتحليل البنية الداخلية للملف.

🧰 أدوات التحليل الساكن

  • 🧠 Ghidra – لفك وتجميع الكود الثابت.
  • 🔍 IDA Pro – تحليل ثنائي واكتشاف التعليمات البرمجية.
  • 🧪 PEview / CFF Explorer – لفحص خصائص الملفات التنفيذية.
  • 🧬 Strings – لاستخراج النصوص المخبأة داخل الملف.

📦 ما الذي يمكن اكتشافه؟

  • 🔗 الاتصالات الخارجية (URLs، IPs).
  • 🧬 المكتبات المستخدمة (DLLs).
  • 🧠 سلوك البرمجية المتوقع من التعليمات البرمجية.
  • 🔐 تقنيات التشفير أو التمويه المستخدمة.

⚠️ التحديات

  • 🔒 تشفير أو ضغط الكود.
  • 🕳️ تقنيات التمويه (Obfuscation).
  • 🧩 تعقيد التعليمات البرمجية أو استخدام لغات منخفضة المستوى.

🧬 استخراج Metadata من الملفات التنفيذية

📁 أنواع الملفات التنفيذية

  • EXE: ملفات تنفيذية في نظام Windows.
  • DLL: مكتبات ديناميكية تُستخدم من قبل برامج أخرى.
  • ELF: تنسيق الملفات التنفيذية في أنظمة Linux/Unix.

🧪 أدوات استخراج Metadata

  • 🔍 PEview / CFF Explorer: لفحص ملفات EXE و DLL.
  • 🧠 Ghidra / IDA Pro: لفك وتحليل البنية الداخلية.
  • 🧬 readelf / objdump: لتحليل ملفات ELF في Linux.
  • 📦 Strings: لاستخراج النصوص المخبأة داخل الملف.
  • 🧾 ExifTool: (محدود الاستخدام مع الملفات غير الوسائط).

🔍 ما الذي يمكن استخراجه؟

  • 📅 تاريخ الإنشاء والتعديل.
  • 🧠 المجمع المستخدم (Compiler).
  • 🔗 المكتبات والدوال المستوردة.
  • 🧬 الأقسام الداخلية (Sections) مثل `.text`, `.data`, `.rsrc`.
  • 🧠 توقيع رقمي أو معلومات التوثيق.

⚠️ ملاحظات مهمة

  • 🔒 بعض الملفات تكون مشفّرة أو مضغوطة، مما يصعّب التحليل.
  • 🕳️ قد تُستخدم تقنيات التمويه (Obfuscation) لإخفاء البيانات.
  • 🧪 يُفضّل التحليل داخل بيئة آمنة (VM أو Sandbox).

✅ أدوات فك التشفير والتجميع: Ghidra و IDA Pro

🧠 Ghidra

من تطوير وكالة الأمن القومي الأمريكية (NSA)، وهي أداة مفتوحة المصدر للهندسة العكسية.

  • 🔍 تحليل الكود الثابت بدون تشغيله.
  • 🧬 دعم معماريات متعددة (x86, ARM, MIPS…).
  • 📦 فك التجميع وتحويله إلى كود شبه عالي المستوى (Pseudo-C).
  • 🧪 كتابة سكربتات تحليلية بلغة Python أو Java.

🔍 IDA Pro

أداة احترافية لفك الشيفرة الثنائية وتحليل البرامج التنفيذية.

  • 🧠 واجهة رسومية تفاعلية لفهم البنية الداخلية للملف.
  • 📊 دعم واسع للمعالجات والمنصات المختلفة.
  • 🧾 إمكانية إضافة تعليقات وتسمية الدوال داخل الكود.
  • 🧪 دعم إضافات مثل Hex-Rays Decompiler لتحويل الكود إلى C.

🎯 الاستخدامات العملية

  • 👾 تحليل البرمجيات الخبيثة وكشف سلوكها الداخلي.
  • 🔐 اكتشاف الثغرات الأمنية وطرق الاستغلال.
  • 🧬 فهم التعليمات البرمجية بدون توفر الكود المصدري.
  • ⚖️ جمع الأدلة الجنائية الرقمية في التحقيقات الإلكترونية.

🧪 تجربة رمزية: كشف أسرار ملف خبيث دون تشغيله

🧬 الطبقة الأولى – Metadata

انقر لكشف أدوات التحليل الأولى

🔡 الطبقة الثانية – Strings

اكتشف الرموز المشفّرة داخل الملف

🧠 الطبقة الثالثة – التعليمات البرمجية

حلّل سلوك المخلوق الرقمي

📝 نتائج التحليل

اختر الاستنتاج المناسب بناءً على ما كشفته:

  • الملف يحتوي على وظائف تجسسية؟
  • يحاول حقن نفسه في عمليات نظام؟
  • يرتبط بخادم خارجي خبيث؟
  • يستخدم أوامر Powershell؟

✅ تشغيل البرمجيات الخبيثة في بيئة آمنة لكشف سلوكها

🧪 الهدف: مراقبة سلوك البرمجيات الخبيثة أثناء تنفيذها داخل بيئة معزولة دون تعريض النظام الحقيقي للخطر.

🎯 النتائج المتوقعة: كشف الاتصالات الخارجية، التعديلات على النظام، والأنشطة الخلفية.

🧩 خطوات التحليل الديناميكي

  • 🔒 إعداد Virtual Machine أو Sandbox معزولة تمامًا.
  • 📦 نقل الملف المشبوه إلى البيئة الآمنة.
  • 🧠 تشغيل الملف ومراقبة سلوكه باستخدام أدوات مثل ProcMon و Wireshark.
  • 📊 تسجيل التغييرات التي يجريها على النظام، الملفات، والاتصالات الشبكية.

🧰 أدوات التحليل الديناميكي

  • 🧪 Cuckoo Sandbox – تحليل تلقائي داخل بيئة افتراضية.
  • 🔍 ProcMon – مراقبة العمليات وتغييرات الريجستري.
  • 🌐 Wireshark – تحليل حركة مرور الشبكة.
  • 🧠 Regshot – مقارنة حالة الريجستري قبل وبعد التشغيل.

⚠️ نصائح رمزية

  • 🕵️‍♂️ بعض البرمجيات الخبيثة تكتشف أنها داخل VM وتغيّر سلوكها.
  • 🎭 استخدم محاكاة نشاط المستخدم لتجاوز آليات التمويه.
  • 🔐 افصل الشبكة أو استخدم شبكة وهمية لمراقبة الاتصالات دون خطر.

✅ استخدام Wireshark و ProcMon لتتبع عمليات الاتصال والأنشطة الخلفية

🧠 الهدف: مراقبة سلوك البرمجيات الخبيثة أو التطبيقات المشبوهة عبر تتبع الاتصالات الشبكية والأنشطة الخلفية داخل النظام.

🔍 الأدوات: Wireshark لتحليل الشبكة، وProcMon لمراقبة العمليات والملفات والريجستري.

🌐 Wireshark – تحليل حركة الشبكة

  • 📡 التقاط الحزم (Packets) المرسلة والمستقبلة عبر الشبكة.
  • 🔗 كشف الاتصالات الخارجية المشبوهة (IP، DNS، HTTP، FTP…).
  • 🧬 تحليل البروتوكولات المستخدمة وتحديد الأنشطة غير المعتادة.
  • 🧠 استخدام الفلاتر مثل http.request أو ip.addr == x.x.x.x لتضييق النتائج.

🧪 ProcMon – مراقبة العمليات الخلفية

  • 📁 تتبع إنشاء أو تعديل الملفات والمجلدات.
  • 🧠 مراقبة تغييرات الريجستري (مثل مفاتيح التشغيل التلقائي).
  • 🔍 كشف العمليات التي تُطلق أو تُحقن في عمليات أخرى.
  • 📅 تسجيل الأحداث الزمنية لتحديد تسلسل الأنشطة.

🧩 الاستخدام المشترك

  • 🔍 تشغيل الملف داخل بيئة آمنة (VM أو Sandbox).
  • 🧠 فتح Wireshark و ProcMon قبل التشغيل لتسجيل كل نشاط.
  • 📊 مطابقة الاتصالات الخارجية مع العمليات النشطة لتحديد مصدر السلوك الخبيث.
  • 🧾 إنشاء تقرير يحتوي على: عنوان IP، اسم العملية، نوع الاتصال، وتوقيت الحدث.

🎭 نصائح رمزية

  • 🕵️‍♂️ تخيّل كل عملية ككائن رقمي يتحرك داخل النظام، وكل اتصال خارجي كخيط طقوسي يُربط بالخارج.
  • 🔮 استخدم الألوان داخل Wireshark لتمييز الحزم المشبوهة وكأنها إشارات ضوئية من كائنات رقمية.
  • 🎶 أضف مؤثرًا صوتيًا عند اكتشاف اتصال خارجي أو عملية غير معتادة داخل قالبك التعليمي.

✅ تحدي عملي رمزي: تشغيل تروجان وتحليل اتصاله بالسيرفر الخارجي

🧠 هدف التحدي: تشغيل ملف تروجان داخل بيئة آمنة ومراقبة كيفية اتصاله بخادم خارجي (C2 Server)، باستخدام أدوات تحليل ديناميكي وشبكي.

🎯 المهارات المستهدفة: تشغيل البرمجيات الخبيثة داخل VM، مراقبة الشبكة، تحليل العمليات الخلفية، واستخراج مؤشرات الاتصال.

🧩 خطوات التحدي

  • 🔒 إعداد Virtual Machine معزولة (يفضل بدون اتصال مباشر بالإنترنت).
  • 📦 نقل ملف التروجان إلى البيئة الآمنة وتشغيله.
  • 🌐 فتح Wireshark لمراقبة الاتصالات الشبكية.
  • 🧪 تشغيل ProcMon لمراقبة العمليات وتغييرات الريجستري.
  • 📊 تسجيل أي محاولة اتصال بـ IP خارجي أو اسم نطاق مشبوه.

🧰 أدوات التحليل المقترحة

  • 🌐 Wireshark – تحليل الحزم الشبكية وتحديد وجهات الاتصال.
  • 🧠 ProcMon – مراقبة العمليات الخلفية وتغييرات النظام.
  • 📊 Regshot – مقارنة الريجستري قبل وبعد التشغيل.
  • 🔍 VirusTotal – فحص الملف وتحديد خوادم C2 المعروفة.

🆘 هل تحتاج مساعدة؟

  • 💡 تلميح 1: راقب البروتوكولات مثل HTTP، DNS، TCP داخل Wireshark.
  • 💡 تلميح 2: ابحث عن عمليات مثل powershell.exe أو cmd.exe داخل ProcMon.
  • 💡 تلميح 3: هل يظهر اتصال بـ IP غير معروف أو نطاق مشبوه؟

📝 التقرير النهائي

بعد التحليل، أجب على الأسئلة التالية:

  • 📡 ما هو عنوان السيرفر الخارجي الذي حاول التروجان الاتصال به؟
  • 🔐 هل تم استخدام بروتوكول مشفّر؟
  • 🧠 ما هي العمليات التي أطلقها التروجان؟
  • 📁 هل تم تعديل ملفات أو مفاتيح ريجستري؟

✅ فهم كيفية اتصال البرمجيات الخبيثة بالخوادم البعيدة (C2 Servers)

🧠 ما هو C2 Server؟ هو خادم “القيادة والتحكم” الذي تستخدمه البرمجيات الخبيثة للتواصل مع المهاجم بعد إصابة الجهاز، لتنفيذ أوامر أو إرسال بيانات مسروقة.

🔗 طرق الاتصال الشائعة

  • 🌐 HTTP/HTTPS: تستخدمه البرمجيات الخبيثة لإرسال واستقبال البيانات عبر الإنترنت بشكل يشبه التصفح العادي.
  • 📧 DNS Tunneling: تُخفي البيانات داخل استعلامات DNS لتجاوز الجدر النارية.
  • 📡 TCP/UDP: بروتوكولات منخفضة المستوى تُستخدم للاتصال المباشر بالخادم.
  • 🕳️ Reverse Shell: يفتح اتصال من الجهاز المصاب إلى الخادم ليسمح بتنفيذ أوامر عن بُعد.

🎭 سلوك البرمجيات الخبيثة أثناء الاتصال

  • 🧬 تنتظر أوامر من الخادم (مثل تحميل ملفات، تنفيذ تعليمات، أو سرقة بيانات).
  • 🔐 تُشفّر البيانات لتفادي الكشف من أدوات الحماية.
  • 🕵️‍♂️ تُخفي عنوان الخادم باستخدام تقنيات مثل Fast Flux أو Domain Generation Algorithm (DGA).

🧪 كيف نكشف الاتصال بـ C2؟

  • 🌐 تحليل حركة الشبكة باستخدام Wireshark أو Tcpdump.
  • 🔍 مراقبة العمليات باستخدام ProcMon أو Sysmon.
  • 🧠 استخدام Threat Intelligence لمطابقة IP أو النطاقات مع قواعد بيانات خوادم C2 المعروفة.

🎮 اقتراح رمزي تعليمي

✨ تخيّل البرمجية الخبيثة كمخلوق رقمي يتسلل داخل النظام، ثم يفتح “بوابة مظلمة” نحو خادم بعيد. يمكن للمتعلم مراقبة هذه البوابة عبر أدوات تحليلية رمزية، وتحديد نوع الاتصال وكشف الطقوس الرقمية التي تُنفذ عبرها.

✅ كشف الهجمات: DNS Spoofing، Reverse Shell، RAT

🧠 كشف هجوم DNS Spoofing

  • 🔍 تحليل حركة DNS: باستخدام أدوات مثل Wireshark أو tcpdump لمراقبة الردود المشبوهة أو العناوين المزيفة.
  • 🛡️ تفعيل DNSSEC: لضمان أن الردود على استعلامات DNS موقّعة رقمياً وغير مزورة.
  • 📜 مراجعة ملفات Hosts: للتأكد من عدم وجود إدخالات مزيفة تؤدي إلى إعادة التوجيه.
  • 🧪 استخدام أدوات كشف التسمم: مثل dnsspoof أو Snort مع قواعد مخصصة.

🕳️ كشف هجوم Reverse Shell

  • 📡 مراقبة الاتصالات الصادرة: خاصة نحو منافذ غير معتادة أو عناوين IP خارجية.
  • 🧬 استخدام أدوات مثل Netstat أو Sysmon: لرصد العمليات التي تفتح اتصالات غير مبررة.
  • 🧠 تحليل سلوك العمليات: باستخدام ProcMon أو Process Explorer لرصد تنفيذ أوامر مشبوهة.
  • 🔐 تفعيل الجدار الناري: لمنع الاتصالات الصادرة غير المصرح بها.

👾 كشف هجوم RAT (Remote Access Trojan)

  • 🧭 مراقبة سلوك النظام: مثل فتح الكاميرا، تسجيل لوحة المفاتيح، أو نقل ملفات دون إذن.
  • 🧪 تحليل الملفات التنفيذية: باستخدام Ghidra أو IDA Pro لكشف الوظائف الخفية.
  • 📊 استخدام برامج مكافحة الفيروسات المتقدمة: التي تعتمد على تحليل سلوكي وليس فقط توقيعات.
  • 🔍 مراجعة سجلات النظام: لرصد عمليات غير معتادة أو تغييرات في إعدادات النظام.

🎮 اقتراح رمزي تعليمي

✨ تخيّل كل هجوم ككائن رقمي خفي يتسلل عبر بوابات الشبكة. DNS Spoofing هو “الساحر المزيف” الذي يغيّر الخرائط، وReverse Shell هو “الأنبوب السري” الذي ينقل الأوامر، وRAT هو “الظل المتخفي” الذي يراقب كل حركة. يمكن للمتعلم أن يخوض مغامرة كشف هذه الكائنات عبر أدوات تحليلية رمزية، ويغلق البوابات واحدة تلو الأخرى.

✅ استخدام أدوات Tcpdump، Wireshark، Netstat لكشف حركة البيانات المشبوهة

📡 Tcpdump – أداة سطر أوامر لالتقاط الحزم

  • 🔍 التقاط الحزم: استخدم الأمر tcpdump -i eth0 لالتقاط حركة المرور من واجهة معينة.
  • 🧪 تصفية الاتصالات: مثل tcpdump port 443 لمراقبة حركة HTTPS فقط.
  • 💾 حفظ الحزم: tcpdump -w capture.pcap لتصديرها وتحليلها لاحقًا باستخدام Wireshark.

🧠 Wireshark – واجهة رسومية لتحليل الحزم

  • 🔬 تحليل عميق: عرض كل طبقة من الحزمة (Ethernet, IP, TCP, HTTP…)
  • 🧭 استخدام الفلاتر: مثل ip.addr == 192.168.1.5 أو http لتضييق النتائج.
  • 🚨 كشف الشذوذ: مثل الاتصالات المتكررة، الحزم المشبوهة، أو محاولات الاتصال بخوادم C2.

🕵️‍♂️ Netstat – مراقبة الاتصالات النشطة

  • 📊 عرض الاتصالات: netstat -an لعرض جميع الاتصالات والمنافذ المفتوحة.
  • 🧬 تحديد العمليات: netstat -ano لربط كل اتصال بمعرّف العملية (PID).
  • 🔍 تحليل الاتصالات الخارجية: لرصد أي اتصال غير معتاد بخوادم خارجية.

🎮 اقتراح رمزي تعليمي

✨ تخيّل الشبكة كغابة رقمية، وTcpdump هو “الصياد” الذي يلتقط كل حركة، وWireshark هو “العالم” الذي يفكك كل مخلوق رقمي لفهمه، وNetstat هو “الحارس” الذي يرصد البوابات المفتوحة. يمكن للمتعلم أن يخوض مغامرة كشف هذه الكائنات عبر أدوات تحليلية رمزية، ويغلق البوابات واحدة تلو الأخرى.

✅ تحدي عملي رمزي: تحليل حركة مرور الشبكة لمعرفة مصدر ملف خبيث

🧠 هدف التحدي: استخدام أدوات تحليل الشبكة لتحديد كيف وصل ملف خبيث إلى النظام، ومن أي مصدر خارجي تم تحميله أو استدعاؤه.

🎯 المهارات المستهدفة: تحليل الحزم، استخدام الفلاتر، استخراج الروابط والمصادر، وتحديد البروتوكولات المستخدمة.

🧩 خطوات التحدي

  • 📦 افتح ملف capture.pcap باستخدام Wireshark.
  • 🔍 استخدم الفلاتر مثل http.request أو dns لتضييق النتائج.
  • 🌐 ابحث عن طلبات تحميل ملف (مثل .exe أو .dll) عبر بروتوكولات HTTP أو FTP.
  • 📡 حدّد عنوان IP أو اسم النطاق الذي تم منه تحميل الملف.
  • 🧾 أنشئ تقريرًا يحتوي على: اسم الملف، عنوان المصدر، البروتوكول المستخدم، وتوقيت التحميل.

🧰 أدوات مساعدة

  • 🌐 Wireshark – لتحليل الحزم وتحديد مصدر الاتصال.
  • 📊 Tcpdump – لالتقاط الحزم من سطر الأوامر.
  • 🧠 NetworkMiner – لاستخراج الملفات من الحزم تلقائيًا.
  • 🔍 VirusTotal – لفحص الملف بعد استخراجه.

🆘 هل تحتاج مساعدة؟

  • 💡 تلميح 1: ابحث عن حزم تحتوي على GET /filename.exe أو POST مشبوه.
  • 💡 تلميح 2: استخدم Follow TCP Stream داخل Wireshark لرؤية كامل الاتصال.
  • 💡 تلميح 3: هل هناك استعلام DNS سابق يشير إلى اسم النطاق؟

📝 التقرير النهائي

بعد التحليل، أجب على الأسئلة التالية:

  • 📡 ما هو عنوان IP أو اسم النطاق الذي تم منه تحميل الملف؟
  • 🔐 هل تم استخدام بروتوكول مشفّر؟
  • 🧬 هل تم تحميل الملف مباشرة أم عبر إعادة توجيه؟
  • 🧠 هل توجد مؤشرات أخرى على نشاط خبيث في نفس الجلسة؟

🧠 مشروع نهائي رمزي: تحليل برمجية خبيثة واكتشاف نقاط ضعفها وكيفية إيقافها

🎯 هدف المشروع: إعداد تقرير شامل يكشف سلوك برمجية خبيثة، نقاط ضعفها، وآليات التصدي لها باستخدام أدوات تحليل ساكن وديناميكي.

🧬 نموذج البرمجية: ملف مشبوه بصيغة .exe تم اكتشافه داخل شبكة داخلية.

📁 هيكل التقرير المقترح

  • 🔍 مقدمة: وصف عام للبرمجية، طريقة اكتشافها، وأثرها المحتمل.
  • 🧪 التحليل الساكن: استخدام أدوات مثل Ghidra وIDA Pro لفك الشيفرة وتحليل البنية.
  • 🧨 التحليل الديناميكي: تشغيل البرمجية داخل Sandbox ومراقبة سلوكها باستخدام ProcMon وWireshark.
  • 🕸️ تحليل الشبكة: كشف الاتصالات الخارجية، عناوين IP، وبروتوكولات الاتصال.
  • 🧱 نقاط الضعف: تحليل الأكواد التي يمكن استغلالها أو تعطيلها.
  • 🛡️ آليات الإيقاف: اقتراح حلول مثل توقيع رقمي مضاد، قواعد Firewall، أو تحديثات أمنية.
  • 📌 الاستنتاجات والتوصيات: ملخص شامل وخطة وقائية مستقبلية.

🧰 أدوات التحليل المقترحة

  • 🧠 Ghidra / IDA Pro: لفك الشيفرة وتحليل البنية الداخلية.
  • 🧪 Cuckoo Sandbox: لتشغيل البرمجية ومراقبة سلوكها.
  • 📡 Wireshark: لتحليل حركة مرور الشبكة.
  • 🔍 VirusTotal: لفحص الملف ومقارنته بقاعدة بيانات البرمجيات الخبيثة.

🎭 اقتراح رمزي للمشروع

✨ يمكن تحويل هذا المشروع إلى مشهد رمزي تفاعلي حيث تظهر البرمجية الخبيثة ككائن رقمي يتسلل عبر شبكة مرئية، ويقوم المتعلم بتفكيكها عبر أدوات رقمية تمثل “أسلحة تحليلية”، مع مؤثرات صوتية عند كشف كل نقطة ضعف أو إيقاف الاتصال الخارجي. 🧬🔓🛡️

🎓 شهادة اجتياز الدورة

يُمنح هذا الوسام إلى:

لإتمامه بنجاح دورة التحليل الجنائي الرقمي على منصة schwila.com.

💡 رمز الدورة: FRC-2025

📅 التاريخ:

QR Code

📎 تحقق من الشهادة عبر رمز QR

التعليقات مغلقة.