الشمالي
01-04-2002, 10:35 PM
قد يسبب ما ذكرت اعلاه شئ من الخوف او الوسوسة لمن ظهر في جهازه احد او بعض الأعراض المذكوره ولكني انصحه ان لا يستعجل الأمور وقبل اتخاذه لأي قرار عليه اولا الكشف على جهازه والبحث عن اي ملف تجسسي مزروع به عن طريق الوسائل الثلاث التي ذكرتها .
إليكم طريقة فذة لأكتشاف المنافذ المفتوحة واغلاقها بطريقة يدويه من خلال الويندوز ويجب تنفيذ هذا الأجراء اثناء الإتصال بالأنترنت
- من قائمة إبداء اختر تشغيل
2- عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
3- سيظهر لك اطار نظام التشغيل دوس وفي داخل الأطار وامام خانة المؤشر اكتب : netstat-a ثم اضغط Enter
4- عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة ، أما ماقبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الأتصال .
5- والأن قارن ارقام المنافذ التي ظهرت لك مع ارقام المنافذ التالية وهي المنافذ التي يفتحها في العادة ملف التجسس (الباتش) لبرنامج الـ Net Bus فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذة الحالة التخلص اولا من ملف التجسس كما تم شرحة في الفصل السابق ثم اغلاق المنفذ المفتوح.
منافذ Ports دخول برنامج النت باص
20034
1045
4590
6711
7300
7301
7306
7303
7308
30029
30100
30101
30102
31337
31338
31339
التخلص من برنامج النت باص واغلاق منافذه المفتوحة: الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بالأخير ومتى ماتم تحديده والتخلص منه قطعت عليه سبل التجسس اما المنافذ التي فتحت فهي كما شرحناها بالفصل السابق جزء من الذاكرة يتعرف عليها الجهاز بانها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فأن الويندوز يعيد اغلاق تلك المنافذ عقب اعادة تشغيل الجهاز لأن مصدرها (ملف الباتش) قد قضي عليه.
برنامج Black Orifice : الفجوة السوداء ثاني اشهر برنامج للأختراق وأقدمها يعطي سيطرة كاملة للمخترق وابرز اصدارته السابقة يحمل النسخة رقم 1.2 وقد أصدرت الجمعية التي تصدرة وأسمها "جمعية البقرة الميته" Cult of Death Cow اعلانا بأطلاق اصدارة جديدة منه في نهاية الصيف السابق سمته Black Orifice 2000 . يقوم البرانامج كما ذكرنا بأعطاء سيطرة كاملة للمخترق وتظهر بجهاز الضحية نفس الأعراض التي ذكرتها سابقا .
البحث عن منافذ دخول هذا البرنامج :
قم بأجراء البحث عن المنافذ كما تم شرحه اعلاه التي عادة يدخل منها برنامج الـفجوة السوداء وقارنها بالمنافذ في القائمة ادناه فإن وجدتها من ضمن هذه القائمة فأن جهازك يكون قد اخترق عن طريق هذا البرنامج:
31338
31337
31666
54320
54321
أكتشاف ملف التجسس الخاص بهذا البرنامج :
قم بنفس الأجراء الذي شرحته بالفصل الأول للكشف عن ملف الباتش وبعد الدخول لملف تسجيل الويندوز توقف عند Current Version . الأن أنقر على المجلد RunServices وابحث عن اي ملف غريب بجهازك له امتداد exe ( أنت اعرف بجهازك من الأخرين) . إن وجدت اي ملف غريب لم تشاهده بجهازك من قبل فأنقر عليه بزر الماوس الأيمن ثم احذفه واخرج من ملف تسجيل الويندوز . اعد تشغيل الجهاز وتوجة الي مجلد الـ System في اعدادات بقائمة إبداء. الأن ابحث عن ملف يحمل نفس اسم الملف الغريب الذي حذفته وإذا لم تجده فأنقر قائمة (عرض) ثم ( خيارات المجلد) ثم (عرض) من قائمة الملفات المختفيه ثم ضع علامه على (اظهار جميع الملفات) ثم انقر تطبيق فموافق. ستعود مرة اخرى الي مجلد System فإذا وجدت الملف المطلوب فقم بمسحة وستجد ملفا اخر اسمه windll.dll قم بحذفه هو ايضا واعد تشغيل الجهاز . الأن تكون قد قطعت الطريق على المخترق وجعلته يبحث عن سراب.
- برنامج Sub Seven : من اشهر البرامج المستخدمة بمنطقة الخليج ، يسمونه "القنبله" وهو مرغوب ومطلوب وشعبي لبساطته وسهولة تعلمه وسهولة الأختراق عن طريقة . يتميز بمخادعة الشخص الذي يحاول ازالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه من ملف التسجيل بالويندوز بالطرق الثلاث التي ذكرتها في الفصل السابق ولكن هناك طريقة جديدة وخارقه لحذفه سأشرحها لاحقا.
قبل شرح اعراض الاصابة التي يتركها هذا البرنامج بجهاز الضحية تأكد اولا من عدم فتح منافذ الاتصال الخاصة به في جهازك بنفس الطريقة السابقة وقارنها بالمنافذ التاليه فإن وجدتها فأن جهازك حتما مصاب وعليك متابعة الموضوع للتخلص من المخترق:
6711
6776
1243
1999
أعراض الأصابة :
تختلف اعراض اصابه هذا البرنامج عن البرنامجين السابقين فمن أهم أعراض اصابه هذا البرنامج ظهور رسالة شهيرة عند كل مرة يدخل فيها المخترق لجهاز الضحيه وهي ( قام هذا البرنامج بأنجاز عملية غير شرعيه ....) !! تريثوا .. لايعني من رأى منكم هذة الرسالة على شاشته أن جهازه قد اخترق .. قلنا بأن في هذا البرنامج الكثير من الخبث مما جعله مرغوبا خصوصا بمنطقة الخليج ، فهو حينما يعطي رسالة كهذه إنما يوهم المخترق بـأن هذه الرسالة شائعة ومعروفه ومن تظهر له فقد تعود عليها فلن يشك مطلقا قبل قراءة هذه الأسطر في أن جهازه قد اخترق . كيف نميز بين الرسالة الصادقة البريئة والرسالة الكاذبه الخبيثة؟؟
1- افتح ملف الـ win.ini الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:
run = xxxx.exe او run = xxxx.dl
load = xxxx.exe او load = xxxx.dl
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا وبمعنى اخر يجب أن لايظهر اي سطر من السطور اعلاه في بداية السطور الأولى لملف الـ win.ini فإن ظهر فأحذفه على الفور.
2- افتح الملف system.ini الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
Shell = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
Shell = Explorer.exe xxx.exe او shell = Explorer.exe xxx.exe
مع العلم بأن xxx هو اسم الخادم زمن اشهر اسمائة : rundlll6.exe و
Task_Bar.exe
أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي :
shell=Explorer.exe
والأن انت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف ملف التجسس الخاص بهذا البرنامج كما تم شرحة في الفصل الأول . وبعد فكما رأينا خطورة الأختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها .
وقد انتشرت برامج الحماية والبرامج المضادة للاختراقات انتشارا كبيرا قد يصاب معه المستخدم بالحيرة فيما يختاره منها خصوصا اذا ما ادركنا بأن بعض – وليس كل تلك البرامج- تقوم هي ذjنها بأنشطه تجسسية لصالح الشركة المصنعه لها ولكنه لا يكون سواء تجسس إحصائي لمعرفة عدد المستخدمين للبرنامج المذكور ، اما مانسمعه من وجود برامج للحماية تقوم تلقائيا بفتح منافذ معينه بالأجهزة فأن هذا لم يثبت بعد في تقارير رسمية والشركات تدرك اليوم بأن المستخدم العادي وفي اي بلد كان على جانب كبير من الوعي الذي يؤهله لأكتشاف الثغرات الأمنيه بالبرنامج –ان وجدت- وشركات كتلك تهمها السمعه اولا وأخيرا لأن ذلك يتوقف عليه نجاحها في السوق وبالتالي مكسبها وخسارتها.
إليكم طريقة فذة لأكتشاف المنافذ المفتوحة واغلاقها بطريقة يدويه من خلال الويندوز ويجب تنفيذ هذا الأجراء اثناء الإتصال بالأنترنت
- من قائمة إبداء اختر تشغيل
2- عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command
3- سيظهر لك اطار نظام التشغيل دوس وفي داخل الأطار وامام خانة المؤشر اكتب : netstat-a ثم اضغط Enter
4- عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة بجهازك وهي التي تلي الرمز (: ) مباشرة ، أما ماقبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الأتصال .
5- والأن قارن ارقام المنافذ التي ظهرت لك مع ارقام المنافذ التالية وهي المنافذ التي يفتحها في العادة ملف التجسس (الباتش) لبرنامج الـ Net Bus فإن وجدت رقم المنفذ ضمنها فإن جهازك قد أخترق وعليك في هذة الحالة التخلص اولا من ملف التجسس كما تم شرحة في الفصل السابق ثم اغلاق المنفذ المفتوح.
منافذ Ports دخول برنامج النت باص
20034
1045
4590
6711
7300
7301
7306
7303
7308
30029
30100
30101
30102
31337
31338
31339
التخلص من برنامج النت باص واغلاق منافذه المفتوحة: الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بالأخير ومتى ماتم تحديده والتخلص منه قطعت عليه سبل التجسس اما المنافذ التي فتحت فهي كما شرحناها بالفصل السابق جزء من الذاكرة يتعرف عليها الجهاز بانها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فأن الويندوز يعيد اغلاق تلك المنافذ عقب اعادة تشغيل الجهاز لأن مصدرها (ملف الباتش) قد قضي عليه.
برنامج Black Orifice : الفجوة السوداء ثاني اشهر برنامج للأختراق وأقدمها يعطي سيطرة كاملة للمخترق وابرز اصدارته السابقة يحمل النسخة رقم 1.2 وقد أصدرت الجمعية التي تصدرة وأسمها "جمعية البقرة الميته" Cult of Death Cow اعلانا بأطلاق اصدارة جديدة منه في نهاية الصيف السابق سمته Black Orifice 2000 . يقوم البرانامج كما ذكرنا بأعطاء سيطرة كاملة للمخترق وتظهر بجهاز الضحية نفس الأعراض التي ذكرتها سابقا .
البحث عن منافذ دخول هذا البرنامج :
قم بأجراء البحث عن المنافذ كما تم شرحه اعلاه التي عادة يدخل منها برنامج الـفجوة السوداء وقارنها بالمنافذ في القائمة ادناه فإن وجدتها من ضمن هذه القائمة فأن جهازك يكون قد اخترق عن طريق هذا البرنامج:
31338
31337
31666
54320
54321
أكتشاف ملف التجسس الخاص بهذا البرنامج :
قم بنفس الأجراء الذي شرحته بالفصل الأول للكشف عن ملف الباتش وبعد الدخول لملف تسجيل الويندوز توقف عند Current Version . الأن أنقر على المجلد RunServices وابحث عن اي ملف غريب بجهازك له امتداد exe ( أنت اعرف بجهازك من الأخرين) . إن وجدت اي ملف غريب لم تشاهده بجهازك من قبل فأنقر عليه بزر الماوس الأيمن ثم احذفه واخرج من ملف تسجيل الويندوز . اعد تشغيل الجهاز وتوجة الي مجلد الـ System في اعدادات بقائمة إبداء. الأن ابحث عن ملف يحمل نفس اسم الملف الغريب الذي حذفته وإذا لم تجده فأنقر قائمة (عرض) ثم ( خيارات المجلد) ثم (عرض) من قائمة الملفات المختفيه ثم ضع علامه على (اظهار جميع الملفات) ثم انقر تطبيق فموافق. ستعود مرة اخرى الي مجلد System فإذا وجدت الملف المطلوب فقم بمسحة وستجد ملفا اخر اسمه windll.dll قم بحذفه هو ايضا واعد تشغيل الجهاز . الأن تكون قد قطعت الطريق على المخترق وجعلته يبحث عن سراب.
- برنامج Sub Seven : من اشهر البرامج المستخدمة بمنطقة الخليج ، يسمونه "القنبله" وهو مرغوب ومطلوب وشعبي لبساطته وسهولة تعلمه وسهولة الأختراق عن طريقة . يتميز بمخادعة الشخص الذي يحاول ازالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه من ملف التسجيل بالويندوز بالطرق الثلاث التي ذكرتها في الفصل السابق ولكن هناك طريقة جديدة وخارقه لحذفه سأشرحها لاحقا.
قبل شرح اعراض الاصابة التي يتركها هذا البرنامج بجهاز الضحية تأكد اولا من عدم فتح منافذ الاتصال الخاصة به في جهازك بنفس الطريقة السابقة وقارنها بالمنافذ التاليه فإن وجدتها فأن جهازك حتما مصاب وعليك متابعة الموضوع للتخلص من المخترق:
6711
6776
1243
1999
أعراض الأصابة :
تختلف اعراض اصابه هذا البرنامج عن البرنامجين السابقين فمن أهم أعراض اصابه هذا البرنامج ظهور رسالة شهيرة عند كل مرة يدخل فيها المخترق لجهاز الضحيه وهي ( قام هذا البرنامج بأنجاز عملية غير شرعيه ....) !! تريثوا .. لايعني من رأى منكم هذة الرسالة على شاشته أن جهازه قد اخترق .. قلنا بأن في هذا البرنامج الكثير من الخبث مما جعله مرغوبا خصوصا بمنطقة الخليج ، فهو حينما يعطي رسالة كهذه إنما يوهم المخترق بـأن هذه الرسالة شائعة ومعروفه ومن تظهر له فقد تعود عليها فلن يشك مطلقا قبل قراءة هذه الأسطر في أن جهازه قد اخترق . كيف نميز بين الرسالة الصادقة البريئة والرسالة الكاذبه الخبيثة؟؟
1- افتح ملف الـ win.ini الموجود بمجلد الويندوز وابحث في بداية السطور الأولى عن اي قيم شبيهة بالقيم التاليه:
run = xxxx.exe او run = xxxx.dl
load = xxxx.exe او load = xxxx.dl
لاحظ أن xxxx تعني اسم الخادم فإذا عثرت على اي قيمة منها فأحذفها فورا وبمعنى اخر يجب أن لايظهر اي سطر من السطور اعلاه في بداية السطور الأولى لملف الـ win.ini فإن ظهر فأحذفه على الفور.
2- افتح الملف system.ini الموجود بمجلد الويندوز وستجد بالسطر الخامس العبارة التالية :
Shell = Explorer.exe
إن كان جهازك مصابا فستجد شكل العبارة السابقة يكون هكذا:
Shell = Explorer.exe xxx.exe او shell = Explorer.exe xxx.exe
مع العلم بأن xxx هو اسم الخادم زمن اشهر اسمائة : rundlll6.exe و
Task_Bar.exe
أن وجدت جهازك مصابا فقم بمسح اسم الخادم فقط ليصبح السطر كما يلي :
shell=Explorer.exe
والأن انت تكون قد قطعت الطريق بين ملف التجسس واسم الخادم الخاص به ونشبه ذلك بمن قطع جهاز التنفس عن المريض فلا يبقى الا دفنه وعليك القيام بحذف ملف التجسس الخاص بهذا البرنامج كما تم شرحة في الفصل الأول . وبعد فكما رأينا خطورة الأختراق فإن الوقاية خير من العلاج والوقاية الأولى هي عدم السماح بزرع ملفات التجسس في اجهزتنا فهي حلقة الوصل الأولى لدخول المخترقين اليها .
وقد انتشرت برامج الحماية والبرامج المضادة للاختراقات انتشارا كبيرا قد يصاب معه المستخدم بالحيرة فيما يختاره منها خصوصا اذا ما ادركنا بأن بعض – وليس كل تلك البرامج- تقوم هي ذjنها بأنشطه تجسسية لصالح الشركة المصنعه لها ولكنه لا يكون سواء تجسس إحصائي لمعرفة عدد المستخدمين للبرنامج المذكور ، اما مانسمعه من وجود برامج للحماية تقوم تلقائيا بفتح منافذ معينه بالأجهزة فأن هذا لم يثبت بعد في تقارير رسمية والشركات تدرك اليوم بأن المستخدم العادي وفي اي بلد كان على جانب كبير من الوعي الذي يؤهله لأكتشاف الثغرات الأمنيه بالبرنامج –ان وجدت- وشركات كتلك تهمها السمعه اولا وأخيرا لأن ذلك يتوقف عليه نجاحها في السوق وبالتالي مكسبها وخسارتها.