سنتحدث اليوم ان شاء الله عن الأداة Malzilla الرائعة التي تحوي على مميزات قوية و مفيدة تساعدنا في تحليل الأكواد الضارة (Shellcode,Javascript codes) و الفيروسات.
في بعض الأحيان وانت تتصفح تصادف صفحات ملغومة (HTML Exploits) وقد تتسبب لك في الكثير من المشاكل وفي بعض الأحيان يذهب بك الفضول إلى حد بعيد وتبدأ بالعمل لتحليل تلك الصفحة ومعرفة عمل الإستثمار،في تلك الآونة ستحتاج قرائة كود الصفحة و البحث عن الاشياء الغريبة فيها طبعا وهذا كله يحتاج إلى اداة تساعدك لذلك،تظهر قدرة الأداة Malzilla في التحليل كونها توفر لك مجموعة من الخصائص التي تساعدك في الأمر من بينها تحليل اكواد Javascript وخاصية RegExpression التي تمكنك من البحث الدقيق في سلاسل نصية كما انها تدعم عملية Encoding فهنالك بعض الإستثمارات التي تكون مرمزة او مشفرة ان صح التعبير.
الأداة بشكلها العام هي اداة ذات واجهة رسومية بها TABs ،اترككم مع الصورة.
Download-1 :تستعمل هذه الميزة في التحميل المباشر للصفحة المراد تحليلها وذلك عوضا عن الدخول لها من متصفح الأنتر فلربما ستتعرض للخطر ازاء ذلك،بلإضافة إلى ميزات كشف السكريبتات في زر Send Script to decoder حيث يقوم بعمل Decode للسكريبات اما الأمر الآخر الذي يساعد في تحديد Object التي تحتوي على الأكواد الضارة هو الزر Find Objects ففي موقع Dz_webspace تتحوي الصفحة الرئيسية على اكثر من سكريبت إستثمار يقوم بإنزال ملفات ضارة في الجهاز بإسم explorere.exe والسكريبت يحوي احد اسماء الإخوة المعروفين ،بالإضافة إلى Mini HTML View طبعا لا تتخيل ان هذه الخاصية تعتمد على IE فلو كان الأمر كذلك فسيتم تشغيل الإستثمار بعد الضغط على الزر مباشرة،وهنالك امر آخر وهو Link Parser حيث يقوم ببإستخراج جميع Links الموجودة.
2-Shellcode Analyzer: هذه من احسن الخواص واروعها حيث انني اعتمدها في تحليل الشل كود من دون وضعه في كود C غرض تجريبه او تحليل عن طريق المنقح،حيث انه بعد وضع الشل كود في TextBox وبدأ التحليل فإنه سيقوم بعرض جميع النتائج،طبعا عملية المحاكات ستكون في بيئة وهمية ولن يحصل شيئ في جهازك،يعتمد البرنامج على مكتبة Libemu في تحليل الشل كود وهي مكتبة مفتوحة المصدر ويستعملها الكثير في Honypot و IDS،هنالك خاصية أخرى وهي Getpc حيث ان الشل كود في هذه الحالة سيتم محاكاته وان كان ناقصا.
HEX View-3 : هذه خاصية ايضا رائعة و الأجمل فيها هو XOR Key finder حيث يقوم بالبحث عن مفتاح التشفير وذلك بطريقة بسيطة وهي البحث عن سلسلة معلومة في الشل كود وهذه الأخيرة يتم تشفيرها بمفتاح تشفير ابتداءا من 00 إلى غاية مطابقة السلسلة المشفرة مع الموجودة في الشل كود التي تكون مشفرة بنفس المفتاح.
هنالك خاصية اخرى وهي Diassemble وتعتمد على مكتبة libdisasm .
Tools-4: تحوي EdEx بعض الخواص و المميزات للتعديل على مجموعة السلاسل النصية تساعدك كثيرا وانت تقوم بالتحويلات او التعديل على النصوص.
IP converter تقوم بإزالة Obfuscation عن URL.
هنالك ميزات اخرى لم اذكرها اتركها لكم لكي تكتشوفها وللمزيد من المعلومات راجع التوثيق.
1-لتحميل الأداة