✅#Malware_Analysis

تحلیل بدافزار پایتونی یک فرآیند چند مرحله‌ای است که نیازمند ترکیبی از ابزارهای مختلف و دو رویکرد اصلی تحلیل استاتیک و تحلیل دینامیک است.

۱. استخراج کامل محتویات

اولین قدم استخراج محتویات فایل اجرایی است که با ابزار pyinstXtractor به درستی انجام می‌شود. پس از اجرای این ابزار، شما یک پوشه جدید خواهید داشت که حاوی چندین فایل و کتابخانه است. مهم‌ترین فایل‌ها برای ما، آنهایی هستند که پسوند .pyc دارند. این‌ها نسخه‌های کامپایل‌شده کدهای پایتون هستند.

۲. حالا باید فایل‌های pyc را به کد پایتون قابل خواندن تبدیل کنید. ابزارهای مختلفی برای این کار وجود دارد که بهترین آن‌ها عبارتند از:

۔uncompyle6: یکی از محبوب‌ترین و قدرتمندترین ابزارها برای این کار است.

۔pycdc: ابزار دیگری که به زبان C++ نوشته شده و سرعت بالایی دارد.

نکته مهم: ممکن است دیکامپایلر نتواند کد را به صورت ۱۰۰٪ کامل و بی‌نقص بازگردانی کند، خصوصاً اگر کد مبهم‌سازی (obfuscation) شده باشد. اما در اکثر موارد، کد حاصل به اندازه کافی برای تحلیل خوانا خواهد بود.

۳. تحلیل استاتیک (Static Analysis)

در این مرحله، شما کد پایتون به دست آمده را بدون اجرا کردن آن بررسی می‌کنید. هدف، درک عملکرد بدافزار از روی سورس کد آن است. به دنبال موارد زیر بگردید:

* کتابخانه‌های مشکوک: به import های ابتدای کد دقت کنید. کتابخانه‌هایی مانند:

۔* os, subprocess, shutil: برای تعامل با سیستم عامل، اجرای دستورات و دستکاری فایل‌ها.
۔* socket, requests, urllib: برای برقراری ارتباطات شبکه‌ای (مثلاً ارسال اطلاعات به سرور مهاجم).
۔* pynput, keyboard: برای ضبط کلیدهای فشرده شده (Keylogger).
۔* cryptography, pycryptodome: برای رمزنگاری فایل‌ها (که در باج‌افزارها استفاده می‌شود).
۔* threading: برای اجرای همزمان چندین عملیات مخرب.

* کدهای مبهم‌سازی شده (Obfuscated Code): بدافزارنویس‌ها اغلب کدهای خود را پیچیده می‌کنند تا تحلیل آن دشوار شود. به دنبال موارد زیر باشید:

* استفاده زیاد از توابع eval() و exec() که رشته‌ها را به عنوان کد اجرا می‌کنند.
* متغیرها و رشته‌های کدگذاری شده با Base64, Hex یا الگوریتم‌های دیگر.* نام‌های بی‌معنی برای متغیرها و توابع (مثلاً a1, b2, o).

* عملکردهای کلیدی: سعی کنید منطق اصلی برنامه را بفهمید.

* آیا به فایل‌های خاصی دسترسی پیدا می‌کند؟ (مثلاً فایل‌های شخصی در دسکتاپ یا پوشه Documents)
* آیا در رجیستری ویندوز تغییری ایجاد می‌کند تا به صورت پایدار در سیستم باقی بماند (Persistence)؟
* آیا به آدرس IP یا دامنه‌ی خاصی متصل می‌شود؟ (این آدرس‌ها را استخراج کنید).
* آیا خودش را کپی می‌کند یا فایل‌های دیگری را دانلود و اجرا می‌کند؟


۴. تحلیل دینامیک (Dynamic Analysis)

در این مرحله، بدافزار را در یک محیط ایزوله و امن (Sandbox) اجرا کرده و رفتار آن را زیر نظر می‌گیرید. هرگز بدافزار را روی سیستم اصلی خود اجرا نکنید!

راه‌اندازی محیط ایزوله

* از یک ماشین مجازی (Virtual Machine) مانند VirtualBox یا VMware استفاده کنید.
* مطمئن شوید که ماشین مجازی به شبکه اصلی شما دسترسی ندارد یا دسترسی آن محدود است (مثلاً از طریق تنظیمات شبکه NAT).
* از قابلیت Snapshot در ماشین مجازی استفاده کنید تا بتوانید پس از هر بار اجرای بدافزار، به راحتی سیستم را به حالت اولیه بازگردانید.
* ابزارهای مانیتورینگ: قبل از اجرای بدافزار، ابزارهای زیر را در ماشین مجازی خود آماده کنید:

۔* Process Monitor (ProcMon)): برای مشاهده تمام فعالیت‌های مربوط به فایل‌ها، رجیستری و فرآیندهای ایجاد شده توسط بدافزار.
۔* Wireshark: برای شنود و تحلیل ترافیک شبکه. ببینید بدافزار به چه آدرس‌هایی متصل می‌شود و چه اطلاعاتی را ارسال یا دریافت می‌کند.
۔* RegShot: برای مقایسه وضعیت رجیستری قبل و بعد از اجرای بدافزار و شناسایی تغییرات.

اجرا و مشاهده

1. یک Snapshot از ماشین مجازی خود بگیرید.
2. ابزارهای مانیتورینگ را اجرا کنید.
3. فایل بدافزار را اجرا کنید.
4. اجازه دهید چند دقیقه کار کند و رفتار آن را زیر نظر بگیرید.
5. ترافیک شبکه، فایل‌های ایجاد/حذف/ویرایش شده و تغییرات رجیستری را تحلیل کنید.
6. پس از پایان تحلیل، ماشین مجازی را به Snapshot قبلی برگردانید.

@NullError_ir 📢

✅#RF_Analyzer

ورژن RF Analyzer 2.0 منتشر شد:

برنامه اندروید سازگار با RTL-SDR

این برنامه رایگان نیست، اما قیمت آن فقط چند دلار است و یک دوره آزمایشی رایگان ۷ روزه با محدودیت زمانی ۶۰ دقیقه دارد

@NullError_ir 📢