الموضوع الفرعي 1: إعداد بيئة تحليل البرمجيات الضارة

حالة استخدام

قبل البدء في تحليل أي برمجيات ضارة، تحتاج إلى إعداد بيئة آمنة للقيام بذلك لأن البرمجيات الضارة كما يتضح من اسمها تسبب ضررًا للأنظمة التي تعمل عليها. لذا لا نوصي بتشغيلها على نظامك الأساسي. بالإضافة إلى ذلك، من المحتمل أن ترغب في منع البرمجيات الضارة من إجراء اتصالات فعلية بخوادم القيادة والتحكم الخاصة بممثل التهديد. ويعني هذان الأمران أنه عليك إعداد جهاز ظاهري لاستخدامه عند إجراء تحليل البرمجيات الضارة.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارس قادرًا على إعداد جهاز ظاهري والتقاط لقطات فيه.

العرض

يعتمد الإعداد الدقيق الذي تحتاجه على طريقة التحليل ونظام تشغيل البرمجيات الضارة التي تقوم بتحليلها وفي معظم الحالات يمكنك البدء بجهاز لينوكس مثل ريمنوكس. انظر للاطلاع على تعليمات خطوة بخطوة حول كيفية تكوينه. بالنسبة للأمور الخاصة (على سبيل المثال، التحليل الديناميكي البرمجيات الضارة التي تستهدف نظام آي أو إس (iOS)) ستحتاج إلى أدوات إضافية (على سبيل المثال، جهاز أيفون أو أيباد مُخترق الحماية). تحتوي الأجهزة الظاهرية أحيانًا على ثغرات تسمح للبرامج التي تعمل في الجهاز الظاهري بمهاجمة نظام التشغيل المضيف. لا تقترب معظم البرمجيات الضارة حتى من مستوى التطور هذا، ولكن إذا كنت في شك، من الأسلم تحليل البرمجيات الضارة على جهاز مادي منفصل يمكنك مسحه بعد انتهاء العملية.

كي تقوم بإعداد ريمنوكس، نوصيك باتباع الخطوات الموضحة في الفصل 6 من الدليل الميداني للاستجابة للحوادث للمجتمع المدني ووسائل الإعلام وتنزيل الجهاز الظاهري[^1]. هذه طريقة سهلة للبدء وتوفر عزلًا ممتازًا بين نظام المضيف وبيئة ريمنكوس. احرص على عدم مشاركة البيانات الحساسة من نظام التشغيل المضيف في الجهاز الظاهري. وفقًا للتعليمات المذكورة في الرابط أعلاه، خذ لقطة لجهازك الظاهري بمجرد إعداده وقبل البدء في العمل على أي برمجيات ضارة. يمكنك استخدام اللقطات لإعادة جهازك الظاهري إلى حالة جيدة معروفة قبل تحليل أجزاء مختلفة من البرمجيات الضارة وعزل وكلاء مختلفين عن بعضهم البعض. لمزيد من المعلومات حول لقطات الأجهزة الظاهرية بشكل عام، راجع هذه المقالة.

أثناء إجراء تحليل البرمجيات الضارة، قد تحتاج إلى أدوات إضافية في الجهاز الظاهري المخصص للتحميل لذا بإمكانك بتثبيتها وتكوينها ولكن سجّل ما تفعله. بعد الانتهاء من تحليلك، يمكنك تحميل لقطة الجهاز الظاهري “النظيفة” وتثبيت الأداة وتكوينها ثم إنشاء لقطة “نظيفة” جديدة لخوض مغامرة تحليل البرمجيات الضار التالية.

تُعدّ الممارسة القياسية لنقل ملفات البرمجيات الضارة هي وضعها في ملفات مضغوطة مشفرة ولكن لا أهمية لجودة التشفير في هذه الحالة. ليس الهدف الحفاظ على سرية البرمجيات الضارة بقدر ما هو منع إطلاقها عن غير قصد على الأنظمة الأخرى ومنع أنظمة مكافحة البرمجيات الضارة من اكتشافها أو حذفها. بإمكانك تضمين كلمة المرور في اسم الملف المضغوط.

موارد التعلّم

## الممارسة

1. نزّل (إذا لم تكن قد قمت بذلك بالفعل) برنامج الجهاز الظاهري (نوصي باستخدام فيرتشوال بوكس VirtualBox) وقم بتثبيت ريمنوكس.

2. حدّث ريمنوكس ثم التقط لقطة للجهاز الظاهري.

3. أعدّ مجلدًا واحدًا مشتركًا واحد بين النظام المضيف والجهاز الظاهري الذي يعمل عليه نظام ريمنوكس.

4. نزّل برنامجًا عشوائيًا لنظام ويندوز (يُفترض أنه غير ضار) من شيء مثل download.cnet.com وانقله إلى الجهاز الظاهري الذي يعمل عليه نظام ريمنوكس باستخدام ملف مضغوط مشفر. (إذا كنت قد أكملت مؤخرًا مسار تعلّم اكتشاف البرمجيات الضارة، فيمكنك إعادة استخدام البرنامج الذي نزلته سابقًا).

5. احصل على بعض البرمجيات الضارة من مالوير بازار (MalwareBazaar) تحذير: هذه برمجيات ضارة فعّالة! لا تقم بتشغيلها.) ثم قم بنقلها إلى الجهاز الظاهري الذي يعمل عليه نظام ريمنوكس. (إذا كنت قد أكملت مؤخرًا مسار تعلّم اكتشاف البرمجيات الضارة، فيمكنك إعادة استخدام البرنامج الذي نزلته سابقًا).