אמרת2024תרגול

מדוע מומלץ לעתים לנתק את חיבור האינטרנט בעת ביצוע ניתוח נוזקות?

1

שאלה #159560

		כדי למנוע מהנוזקה להתעדכן
		כדי לחסוך במשאבי מערכת
		כדי לשפר את ביצועי המכונה הווירטואלית
		כדי למנוע קישור בין המנתח לבין הנוזקה

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: ניתוק חיבור האינטרנט מונע מהנוזקה ליצור קשר עם שרתי שליטה ובקרה או לבצע פעולות שעלולות לקשר את המנתח עם הפעילות הזדונית. זה חשוב במיוחד כאשר מנתחים נוזקות מתקדמות או לא מוכרות.

איזו מהפעולות הבאות אינה חלק מניתוח סטטי של נוזקה?

1

שאלה #159561

		בדיקת מחרוזות בקובץ
		ניתוח מטא-דאטה של קובץ
		בחינת imports and exports
		מעקב אחר System Calls

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: מעקב אחר קריאות מערכת הוא חלק מניתוח דינמי, שבו הקוד מורץ בפועל. ניתוח סטטי מתמקד בבחינת הקובץ עצמו ללא הרצתו, כולל בדיקת מחרוזות, מטא-דאטה, וניתוח של ייבוא וייצוא פונקציות.

מהו אחד האתגרים העיקריים בביצוע ניתוח דינמי של נוזקות?

1

שאלה #159562

		אי יכולת לבדוק קריאות מערכת
		הנוזקה עשויה לסרב לבצע פעילות זדונית כדי להימנע מזיהוי
		קושי בזיהוי מחרוזות בקוד
		חוסר יכולת לבחון את מבנה הקובץ

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12).

מדוע מומלץ לכבות את תוכנת האנטי-וירוס בעת ביצוע ניתוח דינמי?

1

שאלה #159563

		כדי לאפשר הרצה של קוד פוטנציאלי מסוכן לצורך ניתוח
		כדי לשפר את דיוק הניתוח הסטטי
		כדי לחסוך במשאבי מערכת

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12)

איזה מהכלים הבאים משמש בעיקר לחילוץ מחרוזות מקובץ?

1

שאלה #159564

		PEiD
		PEview
		Strings2
		Dependency Walker

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: Strings2 הוא כלי שורת פקודה המיועד לחילוץ מחרוזות מקובץ. הוא משתמש בשיטות היוריסטיות שונות כדי לזהות מה נחשב למחרוזת, ומסנן מידע לא חשוב תוך מיון לפי רמת החשיבות והחשד.

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

PEiD הוא כלי לניתוח סטטי בסיסי המשמש בעיקר לזיהוי אורזים (packers), מצפינים (cryptors) ומהדרים (compilers) בקבצי הרצה מסוג PE (Portable Executable). הוא אינו מתמחה בחילוץ מחרוזות. PEview הוא כלי המספק דרך מהירה וקלה לצפות במבנה ובתוכן של קבצי PE. הוא מציג מידע על כותרות, מקטעים, ספריות, טבלאות ייבוא וייצוא ומשאבים. למרות שהוא יכול להציג מחרוזות מסוימות, זה אינו התפקיד העיקרי שלו. Dependency Walker הוא כלי מתקדם המשמש לסריקת מודולים של Windows ובניית תרשים היררכי של כל המודולים התלויים. הוא מציג את הפונקציות המיוצאות והמיובאות על ידי כל מודול, אך אינו מתמחה בחילוץ מחרוזות מקבצים.

מהי המטרה העיקרית של הכלי PEiD?

1

שאלה #159565

		ניתוח מחרוזות
		זיהוי אורזים (packers), מצפינים (cryptors) ומהדרים (compilers)
		בדיקת תלויות של קובץ הרצה

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: PEiD מתמחה בזיהוי אורזים, מצפינים ומהדרים המשולבים בקבצי הרצה מסוג PE. זה חשוב מאוד בניתוח סטטי כי אורזים ומצפינים יכולים להסתיר את הפונקציונליות האמיתית של הקוד.

איזה מידע לא ניתן לראות באמצעות הכלי PEview?

1

שאלה #159566

		כותרות הקובץ
		טבלאות ייבוא וייצוא
		מידע על משאבים
		פונקציות שנקראות בפועל על ידי מודולים אחרים

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: PEview מספק מידע מקיף על מבנה ותוכן של קבצי PE, כולל כותרות, מקטעים, ספריות, טבלאות ייבוא וייצוא ומידע על משאבים. עם זאת, הוא אינו מראה אילו פונקציות נקראות בפועל על ידי מודולים אחרים - זו פונקציונליות שמספק הכלי Dependency Walker.

מהו היתרון העיקרי של PEStudio על פני כלים אחרים?

1

שאלה #159567

		הוא משלב יכולות של מספר כלים ומאפשר שליחה ל-VirusTotal
		הוא מתמקד רק בניתוח תלויות
		הוא מחלץ רק מחרוזות
		הוא מנתח רק כותרות של קבצים

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: PEStudio הוא כלי מקיף שמשלב יכולות של כלים אחרים כמו PEview ו-PEiD. בנוסף, הוא מספק אפשרות לשלוח קוד חשוד ישירות ל-VirusTotal לבדיקה נוספת, מה שהופך אותו לכלי יעיל במיוחד לניתוח ראשוני.

מהי הפונקציונליות הייחודית של Dependency Walker?

1

שאלה #159568

		ניתוח כותרות של קבצי PE
		בניית תרשים היררכי של כל המודולים התלויים ובדיקת הפונקציות המיובאות
		זיהוי אורזים ומצפינים
		חילוץ מחרוזות מקובץ

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

הסבר: Dependency Walker הוא כלי מתקדם שסורק מודולים של Windows ובונה תרשים היררכי של כל המודולים התלויים. עבור כל מודול, הוא מציג את הפונקציות המיוצאות ואילו מהן נקראות (מיובאות) על ידי מודולים אחרים. זה מאפשר ניתוח מעמיק של התלויות והאינטראקציות בין מודולים שונים.

מהו היתרון העיקרי של שימוש ב-Procmon לניתוח דינמי בסיסי?

1

שאלה #159569

		הוא מאפשר לעשות דיס-אסמבלי לקבצים, כלומר לפרק קובץ בינארי ולהבין את זרימת התוכנית
		הוא מאפשר להציג פעולות במערכת ההפעלה בזמן אמת, כולל מערכת הקבצים, רגיסטרי ופעילויות של תהליכים
		הוא מאפשר לבצע snapshots של הרגיסטרי ולהשוות ביניהם

מיין לפי

Shachar Adam 0 נקודות · לפני חודש

מוניטין: 126

תרגול 11 (PS12). הסבר: Procmon מספק תמונה מקיפה של פעילות מערכת ההפעלה בזמן אמת, כולל פעילות מערכת הקבצים, רגיסטרי ותהליכים/threads.

Discuss, Learn and be Happy דיון בשאלות

מדוע מומלץ לעתים לנתק את חיבור האינטרנט בעת ביצוע ניתוח נוזקות?

איזו מהפעולות הבאות אינה חלק מניתוח סטטי של נוזקה?

מהו אחד האתגרים העיקריים בביצוע ניתוח דינמי של נוזקות?

מדוע מומלץ לכבות את תוכנת האנטי-וירוס בעת ביצוע ניתוח דינמי?

איזה מהכלים הבאים משמש בעיקר לחילוץ מחרוזות מקובץ?

מהי המטרה העיקרית של הכלי PEiD?

איזה מידע לא ניתן לראות באמצעות הכלי PEview?

מהו היתרון העיקרי של PEStudio על פני כלים אחרים?

מהי הפונקציונליות הייחודית של Dependency Walker?

מהו היתרון העיקרי של שימוש ב-Procmon לניתוח דינמי בסיסי?

בקשה לשינוי התשובה / תיקון שאלה gavel

בקשה למחיקת השאלהmood_bad

בקשה לשינוי התשובה / תיקון שאלה

בקשה למחיקת השאלה