icon welcome ghost
أهلا وسهلا بك زائرنا الكريم، إذا كانت هذه زيارتك الأولى للمنتدى، فيرجى التكرم بزيارة صفحة التعليمـات بالضغط هنا. كما يشرفنا أن تقوم بالتسجيل بالضغط هنا .



الرئيسيةاليوميةس .و .جبحـثالأعضاءالمجموعاتالتسجيلدخول

شاطر|

تحليل الشيفرات الخبيثة في لينكس

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل
كاتب الموضوعرسالة
المعلومات
الكاتب:
المدير{ع~المعز}العام
اللقب:
المدير العام
الرتبه:
المدير العام
الصورة الرمزية

avatar

البيانات
الجنسية :
gzaery
الجنس الجنس :
ذكر
الـبـلــــد :
الجزائر
المزاج :
نوع المتصفح :
firefox
المهنة المهنة :
studen
الهواية :
readin
تاريخ الميلاد :
07/04/1987
العمـر العمـر :
30
العمل/الترفيه :
المدير المميز في المنتدى
المزاج :
في منتهى الروعة و الإطمئنان فرح بما حوله
تاريخ التسجيل :
08/03/2009
النقاط النقاط :
64238
تقييم الأعضاء تقييم الأعضاء :
0
إحترام القوانين :
100
توقيع المنتدى :
توقيع المنتدى + دعاء

التوقيت

الإتصالات
الحالة:
وسائل الإتصال:
معاينة صفحة البيانات الشخصي للعضو http://tomouhdz.mam9.com
مُساهمةموضوع: تحليل الشيفرات الخبيثة في لينكس الثلاثاء مايو 10, 2011 7:36 pm

<tr></tr>




[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]







على بركة الله

على لينكس يمكننا استخدام "ملف" الأمر لمعرفة نوع من الملفات المشبوهة لدينا :

تحديد

تحليل الشيفرات الخبيثة في لينكس





[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]





المتهم : العفريت 64 بت LSB للتنفيذ ، إلى x86 - 64 ،



(الاستخدامات المشتركة يبس) الإصدار 1 (SYSV) ، مرتبط بشكل حيوي







وجنو / لينكس 2.6.18 ، وليس تجريد



الملفات المشبوهة هو لينكس للتنفيذ (العفريت القابل للتنفيذ وتنسيق ستار) ، لبنية x86 ل64 بت.

المكتبات والأغراض المشتركة وقد تم تجميع للنواة 2.6.18.

السلاسل


. الآن نحصل على السلاسل.

سلاسل - مشتبه به


عرض فقط الأكثر إثارة للاهتمام :

/lib64/ld-linux-x86-64.so.2 /

GLIBC_2.2.5 GLIBC_2.2.5

GCC: (Debian 4.4.5-8) 4.4.5: (ديبيان 4.4.5-8) 4.4.5

GCC: (Debian 4.4.5-10) 4.4.5 : (ديبيان 4.4.5-10) 4.4.5

file.c file.c

libc_start_main@@GLIBC_2.2.5

@@GLIBC_2.2.5









ونحن نرى ان الملف يستخدم المكتبة المشتركة المعروفة باسم جيم سي العمومية.

وهناك أيضا إشارات إلى دول مجلس التعاون الخليجي ، ودعا ملف file.c.

مع هذا تفترض مسبقا أن لغة البرمجة المستخدمة جيم

الأداة المساعدة "readelf"




لمزيد من المعلومات حول الملف ، وعرض عناوينها.







مع المعلومات التي تم
الحصول عليها في التحليل كان من الممكن معرفة ما إذا كان تم إنشاء الملف
على الملقم نفسه أو على جهاز كمبيوتر خارجي.


readelf -S suspeito

Cód

Section Headers:

[Nr] Name Type Address Offset

[ 0] NULL 0000000000000000 00000000

[ 1] .interp PROGBITS 0000000000400200 00000200

[ 2] .note.ABI-tag NOTE 000000000040021c 0000021c

[ 3] .note.gnu.build-i NOTE 000000000040023c 0000023c

[ 4] .hash HASH 0000000000400260 00000260

[ 5] .gnu.hash GNU_HASH 0000000000400288 00000288

[ 6] .dynsym DYNSYM 00000000004002a8 000002a8

[ 7] .dynstr STRTAB 0000000000400308 00000308

[ 8] .gnu.version VERSYM 0000000000400346 00000346

[ 9] .gnu.version_r VERNEED 0000000000400350 00000350

[10] .rela.dyn RELA 0000000000400370 00000370

[11] .rela.plt RELA 0000000000400388 00000388

[12] .init PROGBITS 00000000004003b8 000003b8

[13] .plt PROGBITS 00000000004003d0 000003d0

[14] .text PROGBITS 0000000000400400 00000400

[15] .fini PROGBITS 00000000004005c8 000005c8

[16] .rodata PROGBITS 00000000004005d8 000005d8

[17] .eh_frame_hdr PROGBITS 00000000004005dc 000005dc

[18] .eh_frame PROGBITS 0000000000400600 00000600

[19] .ctors PROGBITS 0000000000600680 00000680

[20] .dtors PROGBITS 0000000000600690 00000690

[21] .jcr PROGBITS 00000000006006a0 000006a0

[22] .dynamic DYNAMIC 00000000006006a8 000006a8

[23] .got PROGBITS 0000000000600848 00000848

[24] .got.plt PROGBITS 0000000000600850 00000850

[25] .data PROGBITS 0000000000600878 00000878

[26] .bss NOBITS 0000000000600888 00000888

[27] .comment PROGBITS 0000000000000000 00000888

[28] .shstrtab STRTAB 0000000000000000 000008c1

[29] .symtab SYMTAB 0000000000000000 00001180

[30] .strtab STRTAB 0000000000000000 00001798

readelf -x 1 suspeito+

-x 27 -x 7 -x 30

Hex dump of section '.interp':

/lib64/ld-linux-

x86-64.so.2.

.

.

.

فعلت اختبار تشغيل في جهاز ظاهري تشغيل ديبيان 6.0 64 بت

، الكمبيوتر المضيف لديه 3 جيجابايت من ذاكرة الوصول العشوائي والمتوسط ​​1 غيغابايت محفوظة.



. عند تشغيل الجهاز
الظاهري وكان تصور عملية كان من الممكن أن نرى في ويندوز التي كانت تستهلك
ما يقرب من نصف ذاكرة الوصول العشوائي للمضيف.




// .c

#include <sys/types.h>

#include <unistd.h>

main(){

while(1){

fork();

}

}

***********Kimcam-trojans





الحمد لله تم ..اخوكم كمال

[b] [/b]







[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]




الموضوع الأصلي : تحليل الشيفرات الخبيثة في لينكس الكاتب : المدير{ع~المعز}العامالمصدر : منتديات طموح الجزائر
المدير{ع~المعز}العام : توقيع العضو



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]



[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

يتمنى لكم المدير العام [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] تميزا و رقيا في [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]


أرجو أن تقضوا معنا وقتا ممتعـــا


الرجوع الى أعلى الصفحة اذهب الى الأسفل

تحليل الشيفرات الخبيثة في لينكس

استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة
صفحة 1 من اصل 1

odessarab الكلمات الدلالية
odessarabرابط الموضوع
odessarab bbcode BBCode
odessarab HTML HTML كود الموضوع
صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات طموح الجزائر :: ˆ~¤®§][©][ شؤون برامج الكمبيوتر ][©][§®¤~ˆ :: أنظمة التشغيل-