سكون
02-08-2005, 04:24 AM
السلام عليكم ورحمة الله وبركاته
كيف حالكنّ يا مسكيات ؟؟
دائماً أحب القراءة عن ملفات التجسس والحمايه ضد الفايروسات ولكثرة انتشار هذه الاختراقات والدواهي التي تحصل
في عالم الإنترنت كثرت المواضيع والمناقشات حول هذه القضية ..
من خلال قراءاتي في المجلات والمنتديات وجدت تشابه كبير بين طرق التخلص من ملفات التجسس
وكلها مكرره وبعضها بعد التجربه اتضح أنها غير مجديه ولا تفي بالغرض
أما هذا المقال شامل تقريباً
ووجدت فيه فائده كبيره ..
وهو يتحدث عن أنجح الطرق لاكتشاف ملفات التجسس
أحببت أن أنقله إليكم للفائده ..
وللأمانه هذا المقال جزء من حديث مطول عن طرق الحمايه ضد الفايروسات وصد الاختراق للأخ صدى الإبداع
في منتديات المعالي ..
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
[COLOR=DarkOrchid]ما هو الاختراق والتجسس ؟
الاختراق والتجسس بشكل عام هو القدرة على الوصول لهدف معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف.. باستخدام برامج معينة وحينما نتكلم عن الاختراق والتجسس بشكل عام فنقصد بذلك قدرة المخترق على الدخول إلى جهاز شخص ما بغض النظر عن الأضرار التي قد يحدثها، فحينما يستطيع الدخول إلى جهاز آخر فهو مخترق (Hacker) أما عندما يقوم بحذف ملف أو تشغيل آخر أو جلب ثالث فهو مخرب (Cracker). وهذا الاختراق والتجسس يحدث أثناء دخولك شبكة الإنترنت .والشخص المخترق يطلق عليه اسم " هاكرز " أو " القرصان " . (هذه فكرة بسيطة عن الهاكرز ولا اريد التعمق فيها فإذا كنت تريد معلومات إضافية ماعليك إلى البحث في شبكة الانترنت وهي كثيرة جداً ومنتدى العاصفة ليس ببعيد).
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
أنواع برامج التجسس والتخريب المؤذية:
الاختراق ليس الا احد انواع التدمير الممكنه عبر البرامج المؤذية ، لذلك فالمخاطر التي يتعرض لها مستخدم الكمبيوتر العادي تتنوع بتنوع واختلاف البرامج المؤذية وامكاناتها وإن كان الاختراق هو اخطرها وابرزها، تتراوح المخاطر التي يتعرض لها المستخدم من مجرد ازعاج بسيط الي مستوى الكارثة وقد صنف المؤلفين الثلاثة هذة المخاطر الي اربعة اصناف:
1- القتابل وبرامج الطوفان (Flooders/Bombers) حيث يفاجأ المستخدم بوجود مئات الرسائل في عنوانه الألكتروني او عبر برنامج الـ (ICQ) من اشخاص وعناوين لم يسمع بهم من قبل وهذا الصنف من المخاطر هو الأقل خطوره حيث انه يسبب ازعاجا ومضيعا للوقت لا اكثر .
2- الخداع (Spoofing) وهو عملية تمويه وطمس للهويه حيث تتم سرقة حساب الدخول للأنترنت بأسم المستخدم فيجد ساعاته تنقص دون ان يستخدمها او يتم من خلالة سرقة كلمة السر في ساحات الحوار فتكتب مقالات لم يكتبها في حقيقة الأمر المستخدم الحقيقي.
3- التدمير من خلال برامج الـ (Nukers) تقوم هذة البرامج بتعطيل نظام التشغيل ويتراوح خطرها بين تغيير الوقت بساعة النظام وبين توقف النظام كليا عن العمل وتوجد انواع منها تركز على برنامج معين لتدميره دون الحاق الضرر بنظام التشغيل ذاته.
4- الباب الخلفي (Backdoor) هذا الصنف هو الأخطر وهو المحور الذي يدور حوله موضوع هذة النقطة، وهو الشائع بين كل المخترقين لأنه يجعل المخترق قادرا على الدخول لجهاز الضحية والسيطره عليه كليا او جزئيا بحسب البرنامج المستخدم . البعض يظن خطأ بأن الباب الخلفي (Backdoor) اسم برنامج للأختراق ولكنه تعبير مجازي ويعني بالعربية الدخول من الباب الخلفي الغير مرئي وعن طريقة يتم دخول المخترقين لجهاز الضحية .
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
عمليات لا تحتاج إلى برامج وهي لكشف ملفات التجسس:
توجد طرق عديدة لإكتشاف وجود ملفات يمكن من خلالها تضييق الخناق على ملفات التجسس في حال إكتشافها والتخلص منها نهائيا لقطع الطريق على الكراكرز المتصل بجهاز الضحية وهي على النحو التالي :
الطريقة الأولي : بواسطة ملف تسجيل النظام (Registry):
1- أنقر على إبداء (Start).
2- اذهب إلى تشغيل (Run).
3- أكتب في خانة التشغيل (rigedit).
4- إفتح المجلدات التالية حسب الترتيب في قائمة (Registery Editor):
HKEY_LOCAL_MACHINE
Software
Microsoft
******************s
Current Version
Run
5- والآن من نافذة تسجيل النظام (Registry Editor) انظر إلي يمين النافذة بالشاشة المقسومة ستشاهد تحت قائمة (************s) أسماء الملفات التي تعمل مع قائمة بدء التشغيل ويقابلها في قائمة (Data) عنوان الملف.
6- لاحظ الملفات جيدا فإن وجدت ملف لا يقابله عنوان بالـ (Data) أو قد ظهر أمامه سهم صغير فهو ملف تجسس إذ ليس له عنوان معين بالويندوز.
7- تخلص منه بالضغط على الزر الأيمن للفارة ثم حذف (Delete).
الطريقة الثانية بواسطة الأمر (msconfig):
1- أنقر على إبداء (Start).
2- اذهب إلى تشغيل (Run).
3- أكتب في خانة التشغيل (msconfig).
4- سوف تظهر لك نافذة (System Configuration Utility) أختر لسان التبويب (Start up).
5- ستظهر لك شاشة تعرض البرامج التي تبدأ العمل مباشرة مع بدءالتشغيل.
6- إفحص هذه البرامج جيداً بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بإلغاء الإشارة الظاهرة بالمربع الصغير المقابل له فتكون بذلك قد أوقفت عمل البرنامج التجسسي أو غيره من البرامج الغير مرغوب بها، لكن احذر إذا شككت في بعض البرامج فقد تكون أساسية في النظام وأنت تحسبها ملفات تجسس.
الطريقة الثالثة بواسطة الدوس (Dos): هذة الطريقة كانت تستخدم قبل ظهور الويندوز وهي من اسهل الطرق:
1- إفتح الدوس من محث (MSDos) بقائمة إبداء.
2- أكتب الأمر التالي: (*.C:/******************sdir patch )
3- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية: (*. C:******************sdelete patch)
الطريقة الرابعة: لأكتشاف المنافذ المفتوحة واغلاقها بطريقة يدويه من خلال الويندوز ويجب تنفيذ هذا الأجراء اثناء الإتصال بالأنترنت:
1- من قائمة إبداء اختر تشغيل ثم اكتب (Command) سيظهر لك اطار نظام التشغيل دوس وفي داخل الأطار وامام خانة المؤشر اكتب (netstat-a : ) ثم اضغط (Enter)، عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة، أما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الأتصال، ثم قارن ارقام المنافذ التي ظهرت لك مع ارقام المنافذ الخاصة ببرامج التجسس وهي فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذة الحالة التخلص اولا من ملف التجسس كما تم شرحة في السابق ثم إغلاق المنفذ.
الطريقة الخامسة: افتح ملف الـ (win.ini) الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:
run = xxxx.dl او run = xxxx.exe
load = xxxx.dl او load = xxxx.exe
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا وبمعنى اخر يجب أن لا يظهر اي سطر من السطور اعلاه في بداية السطور الأولى لملف الـ (win.ini) فإن ظهر فأحذفه على الفور.
الطريقة السادسة افتح الملف (system.ini) الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
*************** = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
*************** = او *************** = Explorer.exe xxx.exe
Explorer.exe xxx.exe
rundlll6.exe : هو اسم الخادم ومن اشهر أسمائه (xxx) و Task_Bar.exe
أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي:
***************=Explorer.exe
والآن أنت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف ملف التجسس.
وبعد فكما رأينا خطورة الأختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها .
_ _ _ _ _
_ _ _ _ _
3) ثالثاً: الهجوم أفضل وسيلة للدفاع:
وهذه لا أحبذ استخدامها إلا لمن يتقنها ويعرف التعامل معها وهي دراسة علم الهكر ومعرفة طرقهم وخباياهم، وعلم الهكر مثل الغابه القوي ياكل الضعيف وعالم الهكر انت تكون محكوم فيه وفي هذا المجال كتب جيدة منها (مواقع تحت الهجوم - site under attak)، وكتاب الهكر الأسود، وكتاب كمبيوهاك وهذا رابطه ورقمه السري:
http://shababmix.com/compuhak.zip
zip password: shababmix.com
وأفضل المنتديات في هذا المجال منتديات العاصفة من ناحية موسوعيته وأمنه وخبرة أعضائه وتحفظه.
[COLOR]
كيف حالكنّ يا مسكيات ؟؟
دائماً أحب القراءة عن ملفات التجسس والحمايه ضد الفايروسات ولكثرة انتشار هذه الاختراقات والدواهي التي تحصل
في عالم الإنترنت كثرت المواضيع والمناقشات حول هذه القضية ..
من خلال قراءاتي في المجلات والمنتديات وجدت تشابه كبير بين طرق التخلص من ملفات التجسس
وكلها مكرره وبعضها بعد التجربه اتضح أنها غير مجديه ولا تفي بالغرض
أما هذا المقال شامل تقريباً
ووجدت فيه فائده كبيره ..
وهو يتحدث عن أنجح الطرق لاكتشاف ملفات التجسس
أحببت أن أنقله إليكم للفائده ..
وللأمانه هذا المقال جزء من حديث مطول عن طرق الحمايه ضد الفايروسات وصد الاختراق للأخ صدى الإبداع
في منتديات المعالي ..
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
[COLOR=DarkOrchid]ما هو الاختراق والتجسس ؟
الاختراق والتجسس بشكل عام هو القدرة على الوصول لهدف معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف.. باستخدام برامج معينة وحينما نتكلم عن الاختراق والتجسس بشكل عام فنقصد بذلك قدرة المخترق على الدخول إلى جهاز شخص ما بغض النظر عن الأضرار التي قد يحدثها، فحينما يستطيع الدخول إلى جهاز آخر فهو مخترق (Hacker) أما عندما يقوم بحذف ملف أو تشغيل آخر أو جلب ثالث فهو مخرب (Cracker). وهذا الاختراق والتجسس يحدث أثناء دخولك شبكة الإنترنت .والشخص المخترق يطلق عليه اسم " هاكرز " أو " القرصان " . (هذه فكرة بسيطة عن الهاكرز ولا اريد التعمق فيها فإذا كنت تريد معلومات إضافية ماعليك إلى البحث في شبكة الانترنت وهي كثيرة جداً ومنتدى العاصفة ليس ببعيد).
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
أنواع برامج التجسس والتخريب المؤذية:
الاختراق ليس الا احد انواع التدمير الممكنه عبر البرامج المؤذية ، لذلك فالمخاطر التي يتعرض لها مستخدم الكمبيوتر العادي تتنوع بتنوع واختلاف البرامج المؤذية وامكاناتها وإن كان الاختراق هو اخطرها وابرزها، تتراوح المخاطر التي يتعرض لها المستخدم من مجرد ازعاج بسيط الي مستوى الكارثة وقد صنف المؤلفين الثلاثة هذة المخاطر الي اربعة اصناف:
1- القتابل وبرامج الطوفان (Flooders/Bombers) حيث يفاجأ المستخدم بوجود مئات الرسائل في عنوانه الألكتروني او عبر برنامج الـ (ICQ) من اشخاص وعناوين لم يسمع بهم من قبل وهذا الصنف من المخاطر هو الأقل خطوره حيث انه يسبب ازعاجا ومضيعا للوقت لا اكثر .
2- الخداع (Spoofing) وهو عملية تمويه وطمس للهويه حيث تتم سرقة حساب الدخول للأنترنت بأسم المستخدم فيجد ساعاته تنقص دون ان يستخدمها او يتم من خلالة سرقة كلمة السر في ساحات الحوار فتكتب مقالات لم يكتبها في حقيقة الأمر المستخدم الحقيقي.
3- التدمير من خلال برامج الـ (Nukers) تقوم هذة البرامج بتعطيل نظام التشغيل ويتراوح خطرها بين تغيير الوقت بساعة النظام وبين توقف النظام كليا عن العمل وتوجد انواع منها تركز على برنامج معين لتدميره دون الحاق الضرر بنظام التشغيل ذاته.
4- الباب الخلفي (Backdoor) هذا الصنف هو الأخطر وهو المحور الذي يدور حوله موضوع هذة النقطة، وهو الشائع بين كل المخترقين لأنه يجعل المخترق قادرا على الدخول لجهاز الضحية والسيطره عليه كليا او جزئيا بحسب البرنامج المستخدم . البعض يظن خطأ بأن الباب الخلفي (Backdoor) اسم برنامج للأختراق ولكنه تعبير مجازي ويعني بالعربية الدخول من الباب الخلفي الغير مرئي وعن طريقة يتم دخول المخترقين لجهاز الضحية .
_ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _
عمليات لا تحتاج إلى برامج وهي لكشف ملفات التجسس:
توجد طرق عديدة لإكتشاف وجود ملفات يمكن من خلالها تضييق الخناق على ملفات التجسس في حال إكتشافها والتخلص منها نهائيا لقطع الطريق على الكراكرز المتصل بجهاز الضحية وهي على النحو التالي :
الطريقة الأولي : بواسطة ملف تسجيل النظام (Registry):
1- أنقر على إبداء (Start).
2- اذهب إلى تشغيل (Run).
3- أكتب في خانة التشغيل (rigedit).
4- إفتح المجلدات التالية حسب الترتيب في قائمة (Registery Editor):
HKEY_LOCAL_MACHINE
Software
Microsoft
******************s
Current Version
Run
5- والآن من نافذة تسجيل النظام (Registry Editor) انظر إلي يمين النافذة بالشاشة المقسومة ستشاهد تحت قائمة (************s) أسماء الملفات التي تعمل مع قائمة بدء التشغيل ويقابلها في قائمة (Data) عنوان الملف.
6- لاحظ الملفات جيدا فإن وجدت ملف لا يقابله عنوان بالـ (Data) أو قد ظهر أمامه سهم صغير فهو ملف تجسس إذ ليس له عنوان معين بالويندوز.
7- تخلص منه بالضغط على الزر الأيمن للفارة ثم حذف (Delete).
الطريقة الثانية بواسطة الأمر (msconfig):
1- أنقر على إبداء (Start).
2- اذهب إلى تشغيل (Run).
3- أكتب في خانة التشغيل (msconfig).
4- سوف تظهر لك نافذة (System Configuration Utility) أختر لسان التبويب (Start up).
5- ستظهر لك شاشة تعرض البرامج التي تبدأ العمل مباشرة مع بدءالتشغيل.
6- إفحص هذه البرامج جيداً بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بإلغاء الإشارة الظاهرة بالمربع الصغير المقابل له فتكون بذلك قد أوقفت عمل البرنامج التجسسي أو غيره من البرامج الغير مرغوب بها، لكن احذر إذا شككت في بعض البرامج فقد تكون أساسية في النظام وأنت تحسبها ملفات تجسس.
الطريقة الثالثة بواسطة الدوس (Dos): هذة الطريقة كانت تستخدم قبل ظهور الويندوز وهي من اسهل الطرق:
1- إفتح الدوس من محث (MSDos) بقائمة إبداء.
2- أكتب الأمر التالي: (*.C:/******************sdir patch )
3- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية: (*. C:******************sdelete patch)
الطريقة الرابعة: لأكتشاف المنافذ المفتوحة واغلاقها بطريقة يدويه من خلال الويندوز ويجب تنفيذ هذا الأجراء اثناء الإتصال بالأنترنت:
1- من قائمة إبداء اختر تشغيل ثم اكتب (Command) سيظهر لك اطار نظام التشغيل دوس وفي داخل الأطار وامام خانة المؤشر اكتب (netstat-a : ) ثم اضغط (Enter)، عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة، أما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الأتصال، ثم قارن ارقام المنافذ التي ظهرت لك مع ارقام المنافذ الخاصة ببرامج التجسس وهي فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذة الحالة التخلص اولا من ملف التجسس كما تم شرحة في السابق ثم إغلاق المنفذ.
الطريقة الخامسة: افتح ملف الـ (win.ini) الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:
run = xxxx.dl او run = xxxx.exe
load = xxxx.dl او load = xxxx.exe
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا وبمعنى اخر يجب أن لا يظهر اي سطر من السطور اعلاه في بداية السطور الأولى لملف الـ (win.ini) فإن ظهر فأحذفه على الفور.
الطريقة السادسة افتح الملف (system.ini) الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
*************** = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
*************** = او *************** = Explorer.exe xxx.exe
Explorer.exe xxx.exe
rundlll6.exe : هو اسم الخادم ومن اشهر أسمائه (xxx) و Task_Bar.exe
أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي:
***************=Explorer.exe
والآن أنت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف ملف التجسس.
وبعد فكما رأينا خطورة الأختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها .
_ _ _ _ _
_ _ _ _ _
3) ثالثاً: الهجوم أفضل وسيلة للدفاع:
وهذه لا أحبذ استخدامها إلا لمن يتقنها ويعرف التعامل معها وهي دراسة علم الهكر ومعرفة طرقهم وخباياهم، وعلم الهكر مثل الغابه القوي ياكل الضعيف وعالم الهكر انت تكون محكوم فيه وفي هذا المجال كتب جيدة منها (مواقع تحت الهجوم - site under attak)، وكتاب الهكر الأسود، وكتاب كمبيوهاك وهذا رابطه ورقمه السري:
http://shababmix.com/compuhak.zip
zip password: shababmix.com
وأفضل المنتديات في هذا المجال منتديات العاصفة من ناحية موسوعيته وأمنه وخبرة أعضائه وتحفظه.
[COLOR]