الهندسة العكسية

موضوعنا حصري وشرح مهم جدا وقليل ماتجده عالنت

                                         طبعا الموضوع كبيركتير انا بعطيك البداية والواحد بدو يتعب ويكمل



شرحنا عن الهندسة العكسية
اولا ماهي الهندسة العكسية :
هي الية تعنى باكتشاف المبادئ التقنيه لالة او نظام من خلال تحليل بنيته , ووظيفته وطريقه عمله , غالبا ما تتم هذه العمليه بتحليل نظام ما (اله ميكانيكية , برنامج حاسوبي ) الى اجزاء او محاوله اعادة تصنيع نظام مشابه له يقوم بنفس الوظيفة التي يقوم بها النظام الاصلي .
التعريف المبسط : هو عمليه تحليل البرنامج الى تعليمات اسمبلي لمحاوله فهمها ومعرفه كيفيه عمل البرنامج ليتم التعديل عليه او اخذ جزء منه لاستخدامها مره في برامج جديده .


ثانيا ما الفرق بين dissassembly و decompiler ؟
dissassembly: تحليل البرنامج هو الحصول على تعليمات تشغيل البرنامج بلغه 
الاسمبلي مهما كانت اللغه الاصليه المكتوب بها البرنامج .
decompiling :هي الحصول على الكود المصدري للبرنامج بنفس اللغه التي تمت بها كتابه البرنامج ولا يوحد برنامج يعطيك الكود المصدري الاصلي 100% .

ثالثا كيف يمكن تحليل البرنامج ؟
لنقوم بتحليل البرنامج الى تعليمات اسمبلي يوجد طريقتين :
1) الطريقه اليدويه بفتح ملف التشغيل الموجود مثلا بصيغه .exe عن طريق برنامج يقرا الملفات بنظام ال hex ثم نقوم بجمع كل تعليمه مع كودها في hex المعروف مسبقا , طبعا عمليه مرهقه وتتطلب وقت طويل جدا لاتمامها .
2) استخدام برامج dissassembly او debugers لتقوم بتحليل البرنامج واعطائنا القدره على التشغيل وتتبع البرنامج و امكانيه عرض ال stack و heap و حتى التعديل على التعليمات وال registers كما نشاء .



ادوات الهندسة العكسية :
1- ollydbg اﻻداه الرئيسيه لاي شخص يدخل مجال الهندسه العكسيه فهذه الاداه تقوم باظهار كود ال assembly للبرنامج المراد تنقيحه مع امكانيه تشغيل البرنامج وتتبعه على مستوى التعليمه الواحده مع اظهار جميع المكونات المساعده لعمليه التنقيح مثل stack , registers وغيرها رابط التحميل من الموقع الرسمي

2-x64dbg
اداه شبيه جدا ب ollydbg حتى من ناحيه الشكل لكنها مختصه بالبرامج ذات معماريه 64 لانه باقي المنقحات مثل ollydbg فقط تعمل على برامج ذات معماريه 32 . رابط التحميل من الموقع الرسمي

3-ida-pro
اداه شبيه بعملها ب ollydbg لكن هذه الاداه ليست مجانيه و هي تحوي على ميزات كثيره تسهل عليك عمليه الهندسه العكسيه يمكنكم تحميل النسخ التجريبيه منها او تحميل النسخ الكامله لكن القديمه من الموقع الرسمي

4-FUU (faster universal unpacker )
هذه الاداه تقوم بفك تغليف البرنامج ( عندما يكون البرنامج مضغوط و مخفي بخوارزميه ضغط كانه مغلف حتى لا يتم عمل هندسه عكسيه له بسهوله ) 

5-ImpRec (import REConstructor ) 
هذه الاداه تقوم بتجميع المكتبات المدخله الى البرنامج الاصلي لحقنها في البرنامج الذي تم عمل له فك تغليف بشكل يدوي unpacking
http://www.mediafire.com/d…/5kk7orof72ap2nn/ImpREC+1.7e-.zip

6-Peid
اداه تقوم باظهار جميع المعلومات الخاصه بالبرنامج المراد فحصه مثل نوع التغليف و جميع المعلومات عن اقسام البرنامج الداخليه و نقطه بدأ التشغيل وغيرها من المعلومات للتحميل
http://www.softpedia.com/…/Packers-Crypt…/PEiD-updated.shtml



بعض ادوات تحليل البرامج الخبيثه والبحث الجنائي الرقمي :
CaptureBat
هذه الاداه تقوم باظهار جميع التغيرات التي حصلت على المسجلات والملفات و البرامج التي تم بدا عملها وانتهائها , اداه رائعه جدا تسهل عليك تحليل عمل البرنامج الخبيث . رابط التحميل :


fakenet
هذه الاده تقوم بعمل محاكي لخدمات الشبكات بحيث اي برنامج على النظام يحاول الاتصال بخدمه على الانترنت يتم جعله يتصل بها عوضا عن الخدمه الاصليه وهذا يساعدك على رؤيه البيانات المرسله من البرنامج الخبيث
. رابط التحميل


Sysinternals
هي مجموعه من البرامج المقدمه من مايكروسوفت وكل برنامج منها له استخدامه الخاص فهذه البرامج من اهم المجموعات التي يجب ان تملكها لانها ستوفر عليك الكثر من العمل و ستسهل عليك التقاط اغلب المعلومات عن البرنامج الخبيث . رابط التحميل من الموقع الرسمي
https://technet.microsoft.com/en…/sysinternals/bb842062.aspx


شارك الموضوع

إقرأ أيضًا