المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : خطوات الكشف عن ملفات التجسس



بوصالح
28-12-2002, Sat 2:28 PM
السلام عليكم

إختبار الكشف عن ملفات التجسس Patch Files:-
توجد طرق عديدة لإكتشاف وجود ملفات يمكن من خلالها تضييق الخناق على ملفات التجسس في حال إكتشافها والتخلص منها نهائيا لقطع الطريق على الكراكرز المتصل بجهاز الضحية وهي على النحو التالي :-

الطريقة الأولي : بواسطة ملف تسجيل النظام Registry:-
1- أنقر على إبداء Start
2- أكتب في خانة التشغيل Run الأمر : rigedit
3- إفتح المجلدات التالية حسب الترتيب في قائمة Registery Editor :
- HKEY_LOCAL_MACHINE
- Software
- Microsoft
- Windows
- Current Version
- Run
4- والآن من نافذة تسجيل النظام Registry Editor انظر الي يمين النافذة بالشاشة المقسومة ستشاهد تحت قائمة Names أسماء الملفات التي تعمل مع قائمة بدء التشغيل ويقابلها في قائمة Data عنوان الملف .
5- لاحظ الملفات جيدا فإن وجدت ملف لايقابلة عنوان بالـ Data او قد ظهر امامة سهم صغير <--- فهو ملف تجسس إذ ليس له عنوان معين بالويندوز.
6- تخلص منه بالضغط على الزر الأيمن للفارة ثم Delete

ملاحظه:- يرجى اتباع هذه الخطوات بحذر وعدم تغير او العبث باي شىء لم يتم ذكره حتى لاتواجه مشاكل

الغنى
28-12-2002, Sat 10:11 PM
ابو صالح جزاك اللة خير

انا رحت run وبعدين حطيت rigedit وبعدين ضغطت ok طلعلى

windows cannot find regedit

المستجد
29-12-2002, Sun 12:07 AM
وليش التعب هذا كله فيه برنامج صغير جدا اسمه ad-aware وتقدر تحمله من هالموقع
http://www.arabsgate.com/software/protection_trojan_removers_and_hunters/index.shtml

واستخدامه سهل جدا

الغنى
29-12-2002, Sun 12:20 AM
مشكووور وماقصرت اخوى المستجد انا عندى البرنامج بس زيادة الخير خيرين

بوصالح
29-12-2002, Sun 12:47 AM
الاخ الغني
اي نسخة من Windows تستخدم

والان سنكمل الطريق الثانية

الطريقة الثانية بواسطة الأمر :msconfig
1- انقر ابداء Start
2- اكتب في خانة التشغيل Run الأمر التالي : msconfig
3- سوف تظهر لك نافذة System Configuration Utility أختر لسان التبويب Start up
4- ستظهر لك شاشة تعرض البرامج التي تبداء العمل مباشرة مع بدء التشغيل
5- إفحص هذة البرامج جيدا بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بالغاء الإشارة الظاهرة بالمربع الصغير المقابل له فتكون بذلك قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب بها.

الغنى
29-12-2002, Sun 1:25 AM
انا استخدم xp

بوصالح
29-12-2002, Sun 2:32 PM
الاخ الغني

هذه الطرق تستخدم لاصدارات الـ Windows اللي قبل الـ XP وبصراحة الـ XP والـ Office XP انا لااثق بهم وذلك لوجود ثقرات امنية على الرغم من تأكيد مايكروسوفت من سد هذه الثقرات

الاخ المستجد
انا اتكلم عن ملفات التجسس المعروفه بالتروجون لاختراق اجهزة الاخرين وليس الاعلانات وماشابه

بوصالح
29-12-2002, Sun 2:54 PM
الطريقة الثالثة بواسطة الدوس Dos:
هذة الطريقة كانت تستخدم قبل ظهور الويندوز وهي من اسهل الطرق :
1- إفتح الدوس من محث MSDos بقائمة إبداء
2- أكتب الأمر التالي : C:/Windows/ dir patch.*
3- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية:
C:Windows delete patch.*

بن فهد
30-12-2002, Mon 7:43 AM
الامر هو regedit هذا هو الامر يالغني وان شاء الله تجي معك
محبكم
حنووووووووون

الغنى
30-12-2002, Mon 9:41 AM
الأخ حنووون اللة يزيدك من حنانة

عملت الطريقة وطلع فى ملف تحت الداتا مكتوب value not set امسحة حسب الشرح؟؟

بوصالح
30-12-2002, Mon 1:54 PM
الاخ الغني
اقرأ الخطوه 5 بتمعن حيث ذكرت ان لم يقابل الملف الموجود في الـ (NAME) الاسم ، قيمة او عنوان في الـ DATA او ظهور سهم صغير اما ماتقصدة انت فأعتقد ان المذكور تحت الاسم هو Default ويقابله بالداتا (value not set) فالرجاء عدم مسحه

بوصالح
30-12-2002, Mon 2:32 PM
برامج التجسس والتخلص منها
من قائمة إبداء اختر تشغيل
1- عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
2- سيظهر لك اطار نظام التشغيل دوس وفي داخل الأطار وامام خانة المؤشر اكتب : netstat -a ثم اضغط Enter
3- عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة ، أما ماقبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الأتصال .
4- والأن قارن ارقام المنافذ التي ظهرت لك مع ارقام المنافذ التالية وهي المنافذ التي يفتحها في العادة ملف التجسس (الباتش) لبرنامج الـ Net Bus فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذة الحالة التخلص اولا من ملف التجسس كما تم شرحة في السابق ثم اغلاق المنفذ المفتوح كما سيتم شرحة لاحقا:

منافذ Ports دخول برنامج النت باص :
20034 ، 1045 ، 4590 ، 6711 ، 7300 ، 7301 ، 7306 ، 7303 ، 7308 30029 ، 30100 ، 30101 ، 30102 ، 31337 ، 31338 ، 31339

التخلص من برنامج النت باص واغلاق منافذه المفتوحة: الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بالأخير ومتى ماتم تحديده والتخلص منه قطعت عليه سبل التجسس اما المنافذ التي فتحت فهي جزء من الذاكرة يتعرف عليها الجهاز بانها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فأن الويندوز يعيد اغلاق تلك المنافذ عقب اعادة تشغيل الجهاز لأن مصدرها (ملف الباتش) قد قضي عليه.

2- برنامج Black Orifice : الفجوة السوداء ثاني اشهر برنامج للأختراق وأقدمها يعطي سيطرة كاملة للمخترق وابرز اصدارته السابقة يحمل النسخة رقم 1.2 وقد أصدرت الجمعية التي تصدرة وأسمها "جمعية البقرة الميته" Cult of Death Cow اعلانا بأطلاق اصدارة جديدة منه في نهاية الصيف السابق سمته Black Orifice 2000 . يقوم برانامج كما ذكرنا بأعطاء سيطرة كاملة للمخترق وتظهر بجهاز الضحية نفس الأعراض التي ذكرتها سابقا .

البحث عن منافذ دخول هذا البرنامج:
قم بأجراء البحث عن المنافذ كما تم شرحه اعلاه التي عادة يدخل منها برنامج الـفجوة السوداء وقارنها بالمنافذ في القائمة ادناه فإن وجدتها من ضمن هذه القائمة فأن جهازك يكون قد اخترق عن طريق هذا البرنامج:
31338 ،31337 ، 31666 ، 54320 ، 54321

أكتشاف ملف التجسس الخاص بهذا البرنامج:
قم بنفس الأجراء الذي شرحته بالفصل الأول للكشف عن ملف الباتش وبعد الدخول لملف تسجيل الويندوز توقف عند Current Version . الأن أنقر على المجلد RunServices وابحث عن اي ملف غريب بجهازك له امتداد exe ( أنت اعرف بجهازك من الأخرين) . إن وجدت اي ملف غريب لم تشاهده بجهازك من قبل فأنقر عليه بزر الماوس الأيمن ثم احذفه واخرج من ملف تسجيل الويندوز . اعد تشغيل الجهاز وتوجة الي مجلد الـ System في اعدادات بقائمة إبداء. الأن ابحث عن ملف يحمل نفس اسم الملف الغريب الذي حذفته وإذا لم تجده فأنقر قائمة (عرض) ثم ( خيارات المجلد) ثم (عرض) من قائمة الملفات المختفيه ثم ضع علامه على (اظهار جميع الملفات) ثم انقر تطبيق فموافق. ستعود مرة اخرى الي مجلد System فإذا وجدت الملف المطلوب فقم بمسحة وستجد ملفا اخر اسمه windll.dll قم بحذفه هو ايضا واعد تشغيل الجهاز . الأن تكون قد قطعت الطريق على المخترق وجعلته يبحث عن سراب.

3- برنامج Sub Seven : من اشهر البرامج المستخدمة بمنطقة الخليج ، يسمونه "القنبله" وهو مرغوب ومطلوب وشعبي لبساطته وسهولة تعلمه وسهولة الأختراق عن طريقة . يتميز بمخادعة الشخص الذي يحاول ازالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه من ملف التسجيل بالويندوز بالطرق الثلاث التي ذكرتها في السابق ولكن هناك طريقة جديدة وخارقه لحذفه سأشرحها لاحقا.

قبل شرح اعراض الاصابة التي يتركها هذا البرنامج بجهاز الضحية تأكد اولا من عدم فتح منافذ الاتصال الخاصة به في جهازك بنفس الطريقة السابقة وقارنها بالمنافذ التاليه فإن وجدتها فأن جهازك حتما مصاب وعليك متابعة الموضوع للتخلص من المخترق:
6711 ، 6776 ، 1243 ، 1999

أعراض الأصابة :
تختلف اعراض اصابه هذا البرنامج عن البرنامجين السابقين فمن أهم أعراض اصابه هذا البرنامج ظهور رسالة شهيرة عند كل مرة يدخل فيها المخترق لجهاز الضحيه وهي ( قام هذا البرنامج بأنجاز عملية غير شرعيه ....) !! تريثوا .. لايعني من رأى منكم هذة الرسالة على شاشته أن جهازه قد اخترق .. قلنا بأن في هذا البرنامج الكثير من الخبث مما جعله مرغوبا خصوصا بمنطقة الخليج ، فهو حينما يعطي رسالة كهذه إنما يوهم المخترق بـأن هذه الرسالة شائعة ومعروفه ومن تظهر له فقد تعود عليها فلن يشك مطلقا قبل قراءة هذه الأسطر في أن جهازه قد اخترق . كيف نميز بين الرسالة الصادقة البريئة والرسالة الكاذبه الخبيثة؟؟

1- افتح ملف الـ win.ini الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:
run = xxxx.exe او run = xxxx.dl
load = xxxx.exe او load = xxxx.dl
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا وبمعنى اخر يجب أن لايظهر اي سطر من السطور اعلاه في بداية السطور الأولى لملف الـ win.ini فإن ظهر فأحذفه على الفور.
2- افتح الملف system.ini الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
Shell = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
Shell = Explorer.exe xxx.exe او shell = Explorer.exe xxx.exe
مع العلم بأن xxx هو اسم الخادم زمن اشهر اسمائة : rundlll6.exe و
Task_Bar.exe
أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي :
shell=Explorer.exe
والأن انت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف ملف التجسس الخاص بهذا البرنامج كما تم شرحة . وبعد فكما رأينا خطورة الأختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها
انتهى،،،،،،،



منقــــــــول