2 min to read

Packer's Indicators (Ar)

Some of Indicators about Packed Malware

Featured image

فيه مؤشرات كتير ممكن تعرف منها إن كان الـ Malware اللي شغال عليه Packed ولا لأ بدون ما يكون عندك خبرة كبيرة في الـ Malware Analysis من ضمنها المؤشرات اللي هتكلم عنها دي:

1-الـ Entropy: دا مقياس لعشوائية البيانات، لو هو عالي معناه ان فيه إحتمال كبير إن الـ sample دي Packed أو Obfuscated.. ممكن تستخدم أدوات زي DetectItEasy - PeID - PeStudio هتلاقي فيها قسم خاص بالـ Entropy وكمان بيديك الـ Entropy الخاص بكل Section لوحده.

2-أسماء الـ Sections: هتلاحظ أسماء غريبة في الـ Sections أو بعض السكاشن الأساسية ناقصة زي .text و .data مثلا، بعض الـ Packers بتعمل Sections بإسمها زي UPX على سبيل المثال ممكن تلاقي في المالوير سكاشن باسم "UPX1", "UPX2" الخ يبقى دا اتعملّه Packing ب UPXوهكذا... وتقدر تعرف أسماء السكاشن دي باستخدام أدوات كتير منها DetectItEasy - PeStudio - PeBear وغيرهم من أدوات الـ Static Analysis.

3-الإختلاف الكبير في الـ Virtual Size و Raw Size لكل سكشن: يعني مثلاً لو الـVirtual في سكشن .text بيساوي 0000A000 و الـ Raw بيساوي 0000A100 فهم قريبين جدا من بعض مفيهمش مشكلة لكن حجم زي 0000A000 و 00009000 أكيد دا فرق كبير ومش طبيعي بالتالي الفرق الكبير دا دليل على وجود Packing حصل... وتقدر تشوف معلومات الأقسام دي من خلال برامج زي PeStudio و PE Bear.

4-الـ Import Address Table: في الـ Packed Samples هتلاحظ ان عدد الـ API Calls في الIAT قليل جداً خصوصا عدد الـ Functions المستخدمة من كل API لكن في العينات العادية اللي مش معمولها Packing هيكون العدد كبير فيها... وممكن تستخدم أدوات زي PeStudio - PE Bear وغيرهم عشان تشوف الـ IAT.

5-الـ File Size: لو الملف حجمه صغير بشكل ملحوظ هيبقى فيه احتمال انه مضغوط و Packed خصوصاً لو احنا عارفين او متوقعين كم القدرات بتاعته او الـ capabilities.

6-الـ Suspicious Strings: هنا هتشوف نصوص غريبة جوا الملف يعني فيه نصوص معمولها Obfuscation مثلا أو غير مفهومة أو عدد النصوص نفسها قليل جدا أو منعدم وبردو لو فيها كلام بيدل على إستخدام Packer معين يعني مثلا بعض الـ Packers بتسيب مكانها نصوص معينة بتعرفك إسم الـ Packer المُستخدم زي "UPX" أو 55 50 58 لو بتشوف الـ HEX... وهنا ممكن تستخدم ادوات Strings - PeStudio - DIE - وبرامج HEX/Text Editors زي N++ وغيرهم عشان تشوف الـ Strings/Hex الخاصة بالملفات أو المالوير.

7-الـ Packers Signatures: الـ Packers المعروفة بيبقى ليها زي بصمة أو شكل محدد بتقدر تتعرف عليه بعض البرامج بشكل تلقائي وتحددلك الـ Packer المُستخدم بالظبط.. زي برامج DetectItEasy و PEiD و PackerID و Exeinfo PE.

دي الطرق اللي مش محتاجة خبرة في الـ Malware Analysis لأن بعد كدة هتروح للـ Manual Unpacking وتحاول تستخرج المالوير من الميموري أو تعدل الـ OEP وتصلح الـ IAT الخاص بيه..الخ.

Resources