security

איזו שיטת הדבקה תואמת ל־Prepending?

1

שאלה #181663

		החלפת כל הקוד המקורי של התוכנה
		הוספת הקוד הזדוני בתחילת הקובץ המקורי
		הצפנת התוכן וטעינה באמצעות מאקרו
		הרצה דרך shellcode בחיבור TCP

הרצאה 13 – Prepending היא טכניקת החדרה בה הקוד הזדוני מתווסף בתחילת הקובץ המקורי, כך שהתוכנית תתחיל בהפעלת הקוד של הוירוס לפני שתמשיך לפונקציונליות הלגיטימית.

נערך לפני 10 חודשים

מיין לפי

מה ההבדל המרכזי בין Backdoor לבין Rootkit?

1

שאלה #181664

		Backdoor פעיל רק כשהמשתמש לוחץ Enter
		Rootkit כולל הצפנה חזקה ואינו ניתן להסרה
		Backdoor מעניק כניסה, Rootkit מסתיר נוכחות
		Rootkit מוגבל לפלטפורמות Linux בלבד

הרצאה 13 – Backdoor הוא שער סודי לכניסה עוקפת אימות, בעוד Rootkit כולל מנגנונים שמסתירים תהליכים, קבצים וחיבורים כדי להסוות את הפעילות הזדונית לאורך זמן.

מיין לפי

מה מאפיין Drive-By-Download?

1

שאלה #181665

		התוקף צריך לשלוח את התוכנה באמצעות keylogger
		הקוד מוזרם לדפדפן ומותקן ללא ידיעת המשתמש
		מצריך גישה מלאה דרך root ו-VPN
		מחייב התקנת תוסף על הדפדפן ע"י המשתמש

הרצאה 13 – Drive-By-Download מתבצע כאשר המשתמש נכנס לאתר זדוני שמנצל חולשות בדפדפן כדי להוריד ולהתקין קוד זדוני על המחשב – בלי כל פעולה מצד המשתמש.

מיין לפי

מה מאפיין את וירוסי מאקרו (Macro Viruses)?

1

שאלה #181666

		נכתבים בשפת C++ ומוטמעים בתוך Executable
		מדביקים מסמכי Office ונפוצים דרך קבצי Word
		מופעלים רק כאשר תהליך system32 קורס
		מוגבלים לשימוש ב־Android בלבד

הרצאה 13 – וירוסי מאקרו מופיעים במסמכי Office כמו Word או Excel, פועלים כאשר המסמך נפתח, ופעמים רבות נשלחים דרך אימייל. הם פלטפורמה-בלתי-תלויים ומנוצלים בהנדסה חברתית.

מיין לפי

מה הסיכון בשימוש ב־VirusTotal לצורך ניתוח נוזקה?

1

שאלה #181667

		הסריקה לא מגלה כתובות IP חשודות
		הפלט כולל רק מידע על השימוש בזיכרון
		הדגימה נשמרת ומשותפת עם חוקרים אחרים
		הכלי מתבסס על ניתוח דינמי בלבד בלבד

(תרגול 11): VirusTotal שומר את הדגימות ומשתף אותן עם ספקי AV וחוקרי אבטחה. לכן, לא רצוי להעלות אליו נוזקות שעדיין לא פורסמו.

מיין לפי

מה היתרון המרכזי של כלי כמו strings2 בניתוח סטטי?

1

שאלה #181669

		מחשב את entropy של הקובץ בצורה מדויקת
		מזהה תעבורת רשת שיוצאת מהקובץ
		מחלץ מחרוזות כולל כאלה שמוסתרות או מקודדות
		מציג את ה־heap וה־stack בזמן ריצה

(תרגול 11): strings2 מבצע חילוץ מחרוזות כולל מחרוזות מקודדות כמו Base64 או כאלה שנמצאות באזורים בלתי קריאים בזיכרון, בעזרת שימוש ב־ML.

מיין לפי

מה נוכל להסיק אם PEiD מזהה packer ידוע בקובץ?

1

שאלה #181670

		הקובץ כנראה מוצפן או מקודד, ויש בו ניסיון להסתרה
		הכלי לא מצליח להריץ את הקובץ במכונה הווירטואלית
		המחרוזות שנמצאו אינן תואמות לקוד ההפעלה
		הרישום של DLLים מתבצע רק בשלב האתחול

(תרגול 11): PEiD מזהה חתימות של packers – מעין דחיסה או הצפנה של הקובץ. אם זוהה packer, סביר שמדובר בהסוואת קוד – תכונה נפוצה בנוזקות.

מיין לפי

מה מאפשר הכלי Dependency Walker?

1

שאלה #181671

		בדיקת הרשאות של תהליך מסוים בריצה
		השוואת מצב הרג'יסטרי לפני ואחרי ריצה
		ניתוח רשימת DLLים מיובאים על ידי קובץ
		הקלטה של כל קריאות המערכת של קובץ

(תרגול 11): Dependency Walker מציג DLLים שהקובץ מייבא, כולל פונקציות מיובאות ו־Exports – מידע קריטי להבנה אילו ספריות הקובץ תלוי בהן.

מיין לפי

מה ההבדל בין linking סטטי לדינאמי מבחינת ניתוח נוזקה?

1

שאלה #181672

		לינקינג סטטי מתבצע רק על קבצי DLL שאינם חתומים
		לינקינג דינאמי דורש גישה למפתח רישוי של ה־PE
		לינקינג סטטי כולל את כל הקוד בקובץ עצמו
		לינקינג דינאמי מבוסס על קריאות system calls

(תרגול 11): בלינקינג סטטי, הקוד כולו נטען לתוך הקובץ – מה שמוביל לקובץ גדול וחתימות קבועות. בלינקינג דינאמי, הספריות נטענות בזמן הריצה.

מיין לפי

איזה כלי מציג מחרוזות שמופיעות בזיכרון אך לא בקובץ הדיסק?

1

שאלה #181673

		ProcMon
		RegShot
		Process Explorer
		PEiD

(תרגול 11): Process Explorer מאפשר להשוות בין Strings שמופיעות בקובץ עצמו לבין כאלה שהופיעו בזיכרון – מה שיכול להעיד על הצפנה או פיענוח דינמי.

מיין לפי

Discuss, Learn and be Happy דיון בשאלות

איזו שיטת הדבקה תואמת ל־Prepending?

מה ההבדל המרכזי בין Backdoor לבין Rootkit?

מה מאפיין Drive-By-Download?

מה מאפיין את וירוסי מאקרו (Macro Viruses)?

מה הסיכון בשימוש ב־VirusTotal לצורך ניתוח נוזקה?

מה היתרון המרכזי של כלי כמו strings2 בניתוח סטטי?

מה נוכל להסיק אם PEiD מזהה packer ידוע בקובץ?

מה מאפשר הכלי Dependency Walker?

מה ההבדל בין linking סטטי לדינאמי מבחינת ניתוח נוזקה?

איזה כלי מציג מחרוזות שמופיעות בזיכרון אך לא בקובץ הדיסק?

בקשה לשינוי התשובה / תיקון שאלה gavel

בקשה למחיקת השאלהmood_bad

בקשה לשינוי התשובה / תיקון שאלה

בקשה למחיקת השאלה