المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : -المـوضوع المـوحد لحماية كافية انظمة التشغيل(قيد التنفيذ)



Amro.Mustafa
01-05-2013, 18:43
السـلام عليكم ورحمة الله وبركاتة علي جميع الاخوة الكرام الحالين و المستجدين في منتديات عرب هارد وير :-

منذ يويمن تقريبا وجدت في احد اقسام المنتدي شكوي من الاعضاء الحالين في المنتدي بخصوص تلقيهم رسائل تهديد باختراق الاجهزة الخاصة بهم , وايضا رسائل مزعجة للغاية كمثلا :-

السالة التي تم تلقيها من احد الاعضاء من العضو Killme او العضوية الاخري له ........(اتحداك وجها لوجه ان تخترق جهازي الشخصي) :-

مبدئيا رسالة موجه (للاشخاص ذات العقول المريضة) :-

- كيف تقوم باختراق جهاز الاعضاء بدون استقبال منك اي ملف او صورة او رابط او حتي ايكون ...الخ .....متاكد انك مخترق .؟

-كيف لك ان تقوم باختراق حاسوب بدون ارسال ملف مشفر او فيروس عموما ...الخ ...بدون استقباله منك من الاعضاء ؟

- لا يشترط اخواني الكرام ان يتم اختراقك بعد ارسال الملف اليك او اي شيئ قمت باستقبالة (يجب فتحه بعد الاستقبال مباشرتا) .

ملحوظة :- ( لا يستطيع احد في العالم اختراق جهاز كمبيوتر بدون ارسال ملف مشفر او فيروس او باتش او حتي سيرفر مدموج بصورة او ايكون او حتي رابط عموما , يعني الذي يخبرك بانه اخترقك وانت لم تستقبل شيئا من الاخر اعرف انه بيشتغلك .

وهذه صـورة توضح بالضبط مالذي اقصدة : -




المقــصود بالصورة الموضحة لكم اخـواني الكرام ليست بمقصد الاختراق :-

1- علي الجهة اليمنيHacker : وهو بما يعني المخترق الذي يتجسس عليك في حالة استقبال منه ملف او صورة مثلا (اي شيء اخر) : لا يستطيع المخترق اختراق اي حاسوب الا في حالة 4 اشياء :-

- برنامج اختراق .

-برنامج تشفير .

ضحية (يجب علي الضحية استقبال الملف منه وفتحة بعد الاستقبال مباشرتا) يعني بالعربي اذا لم تقم بفتحة بعد ارسالة لك وازالتة باي برنامج مضاد (ولا كان المخترق عمل اي شيء) من الاخر.

- برنامج الاتصال العكسي بينه وبين الضحية ويطلق عليه ( No Ip ) ...ماهو الاتصال العكسي و كيف اقوم بتعطيله في حاسوبي وايضا بالروتر الخاص بي ؟

-الاتصال العكسي هو عبارة عن اتصال متوازن بينه وبين الضحية وغالبا بنسبة 80% يكون مشغل تلقائيا في الحاسوب (نظام التشغيل لديك) كيف ؟ في الخدمات الموجوده بااغلب انظمة التشغيل يكون تحت اسم UPNP.

وايضا موجود بااغلب المودمات الجديدة (الروتر) ويمكن تعطيله بدون اي تاثير علي التصال الخاص بك (الانترنت) .

2- علي الجهو المقابلة (الجه اليسري) الضحية Victim : وهو انا او انت او اي شخصا في العالم قام باتقبال وفتح الملف المشفر الذي تم استقباله من المخترق (ركز في فتح الملف ها يعني اذا لم تقم بفتحه لا تشيل هم).

3- الـجهة اليمني (السفلي ) هو عبارة عن برامج الاختراق التي يستخدمها المخترق لتكوين الفيروس ومنها برامج عديدة ذات منافذ متعددة (اغلبها بنظامك انت ) مثلا :- ( البيفروست - البيزون - سباي نت) - طرواده - بلاك راتس - الخ . ولكن اخطرهم الثلاث انواع الأولي .....(باللون الازرق ). والاكثر خطورة منهم هم باللون الاحمر . ( اذا شعرت انك مخترق لا تفزع (مش تتخض) كل ماعليك هو فصل كابل الانترنت و غلق الروتر . والتوجه لاقرب نت كافية لديك وقم بتغير كل ارقام حساباتك ويفضل ان تكون من 20 الي 50 (حروف + رموز + ارقام) و اصعب ارقام حسابات يصعب علي المخترق اكتشافها او سحبها هيا الحروف العربية .

4- في الجهة اليسري (السفلي) : السيرفر وهو مايتم تكوينة بأحد برامج الاختراق ويتم دمجها مع صورة او ايكونة او حتي ملف ورد اوي اي شيئا في حجم صغير . وطبعا بيتم تشفيره باحد وسائل التشفير ( بالهايكس - بالفيجوال بيسك - بالأوربيل - بوسائل اخري )..


عملية الاتصال كما وضحت في الاعلي انه يجب استخدام برنامج الاتصال العكسي حتي يتم التواصل بين المخترق و بين حاسوبك .

- ملحــوظة : يمكن ايضا للمخترق معرف المنافذ المفتوحة لديك في الحاسوب (نظام التشغيل) اذا قمت بمحادثتة عبر Hotmail - Yahoo - Skype .

https://sc.imp.live.com/content/dam/imp/surfaces/mail_signin/header/logo_mail.png



إشارة لا بد منها ، المرجو التعامل مع هذه الدروس بنوع من الحيطة و شكرا ،

إن الاتصال بين أي جهاز كمبيوتر وآخر يتم عبر منفذ اتصال لكل جهاز ولايعتقد البعض أن هذا المنفذ مادي ( أي أنه باستطاعته أن يراه أو يلمسه مثل منفذ الطابعة أوالفأرة) ولكنه جزء من الذاكرة له عنوان معين يتعرف عليه الجهاز بأنه منطقة يتم إرسال واستقبال البيانات عليها . ويمكن إستخدام عدد كبير من المنافذ للاتصال وعددها يقارب من 65000 منفذ تقريبا ( وتزيد قليلا ) يميز كل منفذ عن الآخر رقمه فمثلا المنفذ رقم 1001 يمكن إجراء اتصال عن طريقه وفي نفس اللحظة يتم استخدام المنفذ رقم 1002 لإجراء الاتصال . ومع ظهور شبكة الانترنت تطورت البرامج التي يتم استخدامها في الاتصال بين أجهزة الحاسب الشخصي سلبا وإيجابا ولكن هذه البرامج اكتسبت الشهرة عند استخدامها في المجالات التي تعتبر سلبا( غير متوافقة مع القوانين التشريعية) على المجتمع .

1الاتصال بين جهازين:

للاتصال بين جهازين لابد من توفر برنامج لكل من الجهازين و يوجد نوعان من البرامج ففي جهاز ( المستهدف قد يكون جهازك ) يوجد برنامج الخادم (serveur ) وفي الجهاز الأخر يوجد برنامج المستفيد ( client ). ومن خلالهما يتم تبادل المعلومات حسب قوة البرنامج الذي بإمكانه الاطلاع على جميع البيانات الموجودة في جهازك والتحكم بنظام التشغيل لديك ( إلى درجة أن بعضها يمكن ان يفتح سواقة قرص الليزر ويقفلها وبإمكانها اخذ لقطة ( صورة ) لشاشة الجهاز لديك تحوي صورة كاملة لوضع الشاشة في لحظة تنفيذ الأمر وبالإمكان عرض جميع ملفاتك وسحب أو إلغاء أو إضافة .
مثال على اخذ لقطة للشاشة ( تم ضغط الصورة من اجل تسريع الصفحة)
لعمل لقطه لجهازك اضغط على مفتاح (Print Screen SysRq ) في أعلى لوحة المفاتيح بعد (F12) فتكون قد حفظت صوره للشاشة وضعت في الحافظة ويمكنك فتح أي برنامج رسم أو ورد 97 ثم اعمل لصق لمحتويات الحافظة ( أو اضغط Ctrl + V) لتعرف إلى أي مدى يمكن أن يكون جهازك مكشوف للآخرين .

ولكن كيف تصلك هذه البرامج وتعمل دون علم منك :

تصلك هذه البرامج عبر عدة طرق وأساسها شبكة الانترنت فمن الممكن سحب أي من هذه البرامج وإيصالها لك عبر البريد الالكتروني أو ضمن برنامج تنفيذي ذو عنوان مميز ( حسب اهتماماتك ) وعند تنفيذه فتكون قد نفذت هذا البرنامج وضعته داخل جهازك دون أن تقصد ويعمل في الخفاء ويكون في انتظار الأوامر من الجهاز الأخر. وتسمى هذه البرامج بتروجان trojan ويطلق على من يستخدمها المتسللون أو المخترقون hacker


يسمع الكثير عنا بما يسمى بالها كرز ..أو مخترقي الاجهزه ويتساءل كيف يتم ذلك وهل هو بالأمر البسيط أم أن الأمر يحتاج لدراسة وجهدا .
وفى الحقيقة انه مع انتشار برامج القرصنة وجودها في الكثير من المواقع أصبح من الممكن حتى لمن يجهل الكثير من الأمور في الاختراق أن يخترق جهازا وبدون (أيب) عناء..ويتم ذلك عن طريق إنزال احد تلك البرامج واستخدامها .
ولاكن يجهل الكثير جدا من مستخدمي تلك البرامج انه أصبح عرضه أكثر من غيره بالإصابة بالفيروسات وملفات التجسس فالكثير منها إما أن يحتوى على ملفات للتجسس أدخلت في البرنامج أو احد تلك الفيروسات الخطيرة والتي لا تعمل على الفولر وإنما تعمل أو تنشط في تاريخ معين من ألسنه أو الشهر .. كفيروس تشرنوبيل





https://forum.hawahome.com/nupload/168425_1319517231.gif
(كيف يقوم المخترق بطمئنان نفسة)

في هذا الجزء تحديدا (يقع 87 % من الضحايا فيه) :-


1- معرفة المتخرق باشهر برامج الحماية استخداما .....؟

1- برنامج الأفاست Avast Anti-Virus

2- برنامج الأفجي AVG Anti-Virus

3- الكاسبرسكاي KasperSky-Anti Virus

4- برنامج النود32 ESET AntiVirus

5- برنامج المكافي Mcaffe Anti Virus

6- برنامج النـورتون Norton AntiVirus

7- الافيرا Avira Antivirus (وهو اصعب في التشغير طبعا لاحتوائة علي 9 قيم ( 3 فرعية - 6 اساسية).

(انا معك اخي الكريم انها افضل برامج حماية في التقيم وايضا في حماية الحاسوب (ولكن عيبها الوحيد انها يتم استخدامها بنسبة 99.99% وهذا ما يطمئن المخترق).


(ومعك ايضا انه تم تحديثها مسبقة او يتم تحديثها سنويا ولكن العيب كما قلت انها اكثر استخداما في المجتمعات العربية).




اذا كيف لنا ان نقوم بحماية انفسنا اثنا التواجد علي الانترنت مع العلم اننا جميعا نقوم بالتحميل من مواقع مختلفة سواء مواقع التورنت - مواقع كراكات - برامج مكركة - نسخ ويندوز مفعلة(ركز في هذه النقطة نسخ ويندوز مفعلة)

شاهد معي اخي الكريم هذا الفيديو الصغير التي يتم اختراقك بالفعل (بعد تحميل النسخة المكركة او المفعلة (وايضا بعد تنصيبها )


https://www.youtube.com/watch?v=upP9oBgY0Co



https://www.youtube.com/watch?v=CLbyBRIJKcE

الطريقة معروفة و مشهورة ولكن عدد الضحايا شهريا يتراوح مابين 30 - الي 40 % رما هذه النسبة لا تهمك ولكن هل سألت نفسك يوما (ماذا لو احد افراد عائلتك تم اختراقة بهذه الطريقة؟؟

ايضا اشهر الطرق التي يستفيد منها المخترق هو بياناتك الشخصية الموضوعة علي شبكات التواصل الاجتماعي مثل (FaceBook - Twitter -Instagram - Twitch - Steam - XBOX) ولكن كيف ؟

الامر يكون في اسم المستخدم و ايضا الاكواد التي يتم استخدامها بدون تميز مثلا ( اكواد اختراق الفيس بوك في 10 دقائق ) نسبة الضحايا في هذا الموضوع بالضهات في تزايد مستمر كيف ؟هل الاكواد فيروس ؟

لا اخي الكريم ليست فيروس او اي شيء وانما يتم عملها كلأتي :-

1- برنامج الـ C++ - C++Advanced - C Sharp ثم ماذا ؟

2- المفكرة Note Pad - note pad - Word - Document text

3- برنامج اختراق علي سبيل المثال Biforst - Kalilunix

4- وضعها في روابط مشغره

5- تشغيل السيرفر من قبل الضحية

6- تم الاختراق .

Amro.Mustafa
01-05-2013, 22:32
وفى الحقيقة انه مع انتشار برامج القرصنة وجودها في الكثير من المواقع أصبح من الممكن حتى لمن يجهل الكثير من الأمور في الاختراق أن يخترق جهازا وبدون (أيب) عناء..ويتم ذلك عن طريق إنزال احد تلك البرامج واستخدامها .
ولاكن يجهل الكثير جدا من مستخدمي تلك البرامج انه أصبح عرضه أكثر من غيره بالإصابة بالفيروسات وملفات التجسس فالكثير منها إما أن يحتوى على ملفات للتجسس أدخلت في البرنامج أو احد تلك الفيروسات الخطيرة والتي لا تعمل على الفولر وإنما تعمل أو تنشط في تاريخ معين من ألسنه أو الشهر .. كفيروس تشرنوبيل.

ماهـــو بــرنامج القــرصنة :

البرنامج أو معظم برامج القرصنة تستخدم نوعين من الملفات أو البرامج وهما :
Client*****
Server*****

والمقصود بكلمه كلينت اى العميل ..أما السير فر فترجمته..الخادم .. وتندرج كل تلك الملفات تحت اسم Torjan …
ويعمل السير فر أو الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها .. والمقصود هنا فتح ثغره (أي بورت) ولنأخذ على سبيل المثال برنامج( النت باص ..) فعند أصابت جهازك بملف السير فر أو الخادم فانه وعلى الفور يقم بفتح البورت 12345 في جهازك لكي يتمكن العميل من الدخول إليك ..

هل يمكن اختراق جهازك بدون ملف باتش أو سيرفر :

في الحقيقة أن الاختراق يعتمد على ما يسمى( بالريموت Remote) أي السيطرة عن بعد .. ولكي تتم العملية لا بد من وجود شيئين مهمين .. الأول البرنامج المسيطر وهو العميل .. والأخر الخادم الذي يقم بتسهيل العملية ..

ولنفرض أن شخصا ما لديه برنامج النت باص أو ديب ثروت ..ويود اختراق جهازك .. أولا عليه أن يدخل رقم( الأيبى) الخاص بك .. ثم عمل اتصال .. ولاكنه لن يستطيع ذلك لعدم وجود عامل مساعد فى جهازك يقم باستقبال الامر .. لان العميل سوف يذهب الى الاى بى الخاص بك ويبحث عن البورت 12345 فلا يجده ..عندها لا يمكن الاتصال ..
ولاكن لو أن جهازك مصاب بالخادم أو( السير فر) فان( العميل )حينما يتجه إلى جهازك سوف يجد( البورت) مفتوحا أمامه وعندها يمكن الدخول ..

اذا كيف أصيب بالملف؟ وأهم طرق الوقاية من ملفات التجسس؟ :

فى الحقيقه إن طرق الاصابة بملف التجسس أو (السيرفر) محدودة .. وتعتبر أشهرها أو أشهر طرق الإصابة بها :

أولا : إما أن ترسل إليك بطريق الاميل

ثانيا : إذا كنت من مستخدمي برنامج الاسكيو أو برامج التشات وأرسل لك ملف فقد يكن مصابا بملف تجسس أو حتى فيروس .

ثالثا : عندما تقم بإنزال برنامج من احد المواقع الغير موثوق بها وهى في الحقيقة كثيرة جدا .. فقد يكون البرنامج مصاب إما بملف تجسس أو فيروس.مثل اعلانات الدعاية .

مثلا : عند تحميل برنامج معين من اي موقع معروف , تجد اعلانات عن برامج حماية او برامج مضاده جديده تحت عناوين :- ( حاسوبك ربما يكون مخترق - احمي حاسوبك ..الخ) هذه الاعلانات تكون فيروسات في ذات نفسها او فيروس اختراق .

او مثلا احل علي برنامج مجاني متكامل بعد تجربتة 30 يوم مثلا (غير صحيح).او احصل علي البطاقة الخضراء للولايات المتحده او احصل علي راتب شهري خلال الانترنت ...وانواع كثيرة .مثل هذه :-


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif


الســــؤال هنـــا :- كيــف للضحية اكتشاف التلغيم (الاختراق) المـوجود بالحاسوب ؟

هذا الســؤال حط اسفلة عشر خطـوط اخي الكريم لانه اكثر الاسئلة استفسارا وايضا انتشارا في المواقع العربية بأكملها و ايضا علي اليوتيوب .


يمكن للضحية معرفة ما اذا كان الحاسوب الخاص بها مخترق او تم اختراقة بالفعل ام لا باستخدام اكثر من وسيلة لكن في هذا الجزء سوف اقوم بتوضيح الطرق 4 الاولي حتي لا ينصدم احدكم (انا كنت اعمل في منظمة الهاكرز الاخلاقي (القبعة البيضاء) منذ عام 2006في ولاية مونترايل - كندا).

الطــريقة الأولي :- عبر ملفات (مفاتيح التسجيل Registery) وهـي امـرها بسيط :-


- قائمــة ابــدأ Start menu

-قامة التشغيــل Run

- قم بكتابة Regedit

ثم ستقوم بالدخــول علي HKEY_LOCAL_MACHINE

ثم علي Software ثم علي Microsoft ثم علي Windows ثم علي Current Version :-

قم بالبحث علي Run او Run Services او Run Once (ملاحظة هذه الملفات التي يتم البحث فيها )

اذا وجدت مثلا Patch 32 - Explore 32 - Server - NCR - او اي ملف غريب قم بمسحة مباشرتا .

https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif
الـــطريقة الثانية :- من خلال امــر MSCONFIG وهـو اكثر الاوامر استخداما في العالم (سواء الغرض منه تسريع النظام + غلق البرامج التي لا داعي لها ..)

كيفية كشف التلغيم عن طريق MSCONFIG او System Configuration - الامر بسيط تابع معي ولا تقلق :-

طريقة الدخول لـ System Configuration كالأتي :-

- قائمــة ابدأ Start menu

- قامشة امر التشغيل RUN

- ثم قم بكتابة او لصق الامر MSCONFIG

في قائمة الــ STARTUP سوف تحد السيرفر او الفيروس او الباتش عبار عن مفتاح مكون من احرف و ارقام متسلسله كل ماعليك هــو ازالة علامات الصح التي بجانبة .

مثل هذا :-

{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}

{88d96a11-f192-11d4-a65f-0040963251e5}

{88d96a0e-f192-11d4-a65f-0040963251e5}

او ايا كان يشبهها و قمت بايجادة في قائمة StartUp قم بازالة علامة الصح منهم ...

ثم قم بالضغط علي Applay ثم Ok ومن بعدها قم باعادة تشغيل الحاسوب مره اخري لكي يتم تثبيت العملية التي قمت بها منذ قليل ................................................

الميزة في هذا القائمة هو انك تستطيع تعطيل اي شيئا غريب او لم تقم انت بنفسك في تثبيته (ملاحظة تعطيل وليس حذف) ................


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

الطــريقة الثــالثة :- كشف التلغيم من خلال اوامر معينة في الدوس Command Manager او شاشة CMD


يعلم البعض ان مسح الفيروس او ملف الاختراق من خلال الدوس اي من شاشة CMD ليس بامر بسيط (لان ممكن بدل ما تمسح تورط نفسك بفتح بورت او منفذ جديد)

الخــطوات (يجب عليك عمل الخطوات الاربعة بعد فصل الاتصافل الخاص بك (كابل الانترنت + غلق الروتر (المودم) )

الخطــوات بسيطة :-

1- Start Menu

2- Run Command

3- Cmd

4- ثم قم بالصق الأمر الأول :- C:/windows /dirpatch عند ظهور القائمة سوف تجد الباتش او السيرفر الذي تم ضرب حاسوبك به .(كيفية الحذف بسيطة).

5- لكي نقم اخي الكريم بحذف الباتش او الفيروس نقوم بكتابة الامر التالي C:/windows /deletepatch ثم نضغط علي دخول ( Enter ).


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

قائمة لمنافذ الاتصال الخاصة باشهر برامج الاختراق المعروفة حاليا و الاكثر استخداما ايضا (لكي تقم بغلقهم في المرحلة الرابعة) .



netBus 1.x 12345 or 12346
NetBus Pro 20034
BackOriffice 31337
SubSeven 1243
NetSphere 30100
Deep Throath 6670
Master Paradise 31
Silencer 1001
Millenium 20000
Devil 1.03 65000
NetMonitor 7306
Streaming Audio Trojan 1170
Socket23 5000
Socket25 30303
Gatecrasher 6969
Telecommando 61466
Gjamer 12076
IcqTrojen 4950
Priotrity 16969
Vodoo 1245
Wincrash 5742
Wincrash2 2583
Netspy 1033
ShockRave 1981
Stealth Spy 555
Pass Ripper 2023
Attack FTP 666
GirlFriend 21554
Fore 50766
DeltaSource (DarkStar) 6883
Tiny Telnet Server 34324
Kuang 30999
SennaSpyTrojans 11000
Backdoor 1999
UglyFtp 23456
TrojanCow 2001
TheSpy 40412
Striker 2565
Silencer 1001
RoboHack 5569
RemoteWindowsShutdown 53001
Prosiak 0.47 22222
ProgenicTrojan 11223
PortalOfDoom 9872
InIkiller 9989
IcqTrojan 4950
BladeRunner 5400
The tHing 6400
PsyberStreamingServer Nikhil G. 1509
Phineas Nikhil G. 2801
Indoctrination 6939
HackersParadise 456
Doly Trojan 1.1+1.2 1011
FTP99CMP 1492
Shiva Burka 1600
BigGluck, TN 34324
Hack´99 KeyLogger 12223
iCkiller 7789
iNi-Killer 9989
Portal of Doom 9875
Master Paradise 40423
BO jammerkillahV 121
AOLTrojan1.1 30029
Hack'a'tack 31787
The Invasor Nikhil G. 2140
SpySender Nikhil G. 1807
The Unexplained 29891
Bla 20331
FileNail Danny 4567
Coma Danny 10607
Shitheep Danny 69123
Bla1.1 1042
HVL Rat5 2283
BackConstruction1.2+1.5 5400
Kuang2 TheVirus 13700
xtcp 5550
Schwindler 1.82 21544





https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

كيف اقوم بمعرفة المنافذ المفتوحة في النظام الخاص بي

https://www.techrepublic.com/blog/security/list-open-ports-and-listening-services/443

https://www.petri.co.il/quickly_find_local_open_ports.htm


نأتي الان الي 4 خطوات تقوم بعملها اخي الكريم لغلق المنفذ UPNP في حاســوبك و من المـودم ايضا : -

اولا:- نــظام التشغيـل Microsoft Windows Xp :-

(يتم غلق الثغرات يدويا او باستخدام احد البرامج المساعدة في ذلك لانه يحتوي علي ثغرات كثيرة و ايضا منافذ اتصال كثيرة) :-

1- غــلق المنافذ المفتـوحة في حاسوبك سواء كنت من مستخدمي Windows 7 - Windows 8 - Windows Xp - Windows Vista:-

الشـــرح لكل اداة لغلق المنافذ المطــلوب غلقها + روابط التحميل لكل اداة داخل الشرح (الشرح في ملف ورد 2010):-


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

(المـــصدر لـلـجزء الثاني اخــواني الكرام سوف يكون من منتــديات أمــــان العـــرب):-

Hany Mohamed Nigma
14-09-2015, 16:12
منتظرين بقية الموضوع وشكرا لمجهودك الرائع

Amro.Mustafa
20-09-2015, 09:17
وفى الحقيقة انه مع انتشار برامج القرصنة وجودها في الكثير من المواقع أصبح من الممكن حتى لمن يجهل الكثير من الأمور في الاختراق أن يخترق جهازا وبدون (أيب) عناء..ويتم ذلك عن طريق إنزال احد تلك البرامج واستخدامها .
ولاكن يجهل الكثير جدا من مستخدمي تلك البرامج انه أصبح عرضه أكثر من غيره بالإصابة بالفيروسات وملفات التجسس فالكثير منها إما أن يحتوى على ملفات للتجسس أدخلت في البرنامج أو احد تلك الفيروسات الخطيرة والتي لا تعمل على الفولر وإنما تعمل أو تنشط في تاريخ معين من ألسنه أو الشهر .. كفيروس تشرنوبيل.

ماهـــو بــرنامج القــرصنة :

البرنامج أو معظم برامج القرصنة تستخدم نوعين من الملفات أو البرامج وهما :
Client*****
Server*****

والمقصود بكلمه كلينت اى العميل ..أما السير فر فترجمته..الخادم .. وتندرج كل تلك الملفات تحت اسم Torjan …
ويعمل السير فر أو الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها .. والمقصود هنا فتح ثغره (أي بورت) ولنأخذ على سبيل المثال برنامج( النت باص ..) فعند أصابت جهازك بملف السير فر أو الخادم فانه وعلى الفور يقم بفتح البورت 12345 في جهازك لكي يتمكن العميل من الدخول إليك ..

هل يمكن اختراق جهازك بدون ملف باتش أو سيرفر :

في الحقيقة أن الاختراق يعتمد على ما يسمى( بالريموت Remote) أي السيطرة عن بعد .. ولكي تتم العملية لا بد من وجود شيئين مهمين .. الأول البرنامج المسيطر وهو العميل .. والأخر الخادم الذي يقم بتسهيل العملية ..

ولنفرض أن شخصا ما لديه برنامج النت باص أو ديب ثروت ..ويود اختراق جهازك .. أولا عليه أن يدخل رقم( الأيبى) الخاص بك .. ثم عمل اتصال .. ولاكنه لن يستطيع ذلك لعدم وجود عامل مساعد فى جهازك يقم باستقبال الامر .. لان العميل سوف يذهب الى الاى بى الخاص بك ويبحث عن البورت 12345 فلا يجده ..عندها لا يمكن الاتصال ..
ولاكن لو أن جهازك مصاب بالخادم أو( السير فر) فان( العميل )حينما يتجه إلى جهازك سوف يجد( البورت) مفتوحا أمامه وعندها يمكن الدخول ..

اذا كيف أصيب بالملف؟ وأهم طرق الوقاية من ملفات التجسس؟ :

فى الحقيقه إن طرق الاصابة بملف التجسس أو (السيرفر) محدودة .. وتعتبر أشهرها أو أشهر طرق الإصابة بها :

أولا : إما أن ترسل إليك بطريق الاميل

ثانيا : إذا كنت من مستخدمي برنامج الاسكيو أو برامج التشات وأرسل لك ملف فقد يكن مصابا بملف تجسس أو حتى فيروس .

ثالثا : عندما تقم بإنزال برنامج من احد المواقع الغير موثوق بها وهى في الحقيقة كثيرة جدا .. فقد يكون البرنامج مصاب إما بملف تجسس أو فيروس.مثل اعلانات الدعاية .

مثلا : عند تحميل برنامج معين من اي موقع معروف , تجد اعلانات عن برامج حماية او برامج مضاده جديده تحت عناوين :- ( حاسوبك ربما يكون مخترق - احمي حاسوبك ..الخ) هذه الاعلانات تكون فيروسات في ذات نفسها او فيروس اختراق .

او مثلا احل علي برنامج مجاني متكامل بعد تجربتة 30 يوم مثلا (غير صحيح).او احصل علي البطاقة الخضراء للولايات المتحده او احصل علي راتب شهري خلال الانترنت ...وانواع كثيرة .مثل هذه :-

https://im35.gulfup.com/saczI.jpg (https://www.gulfup.com/?BNAUax)


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif


الســــؤال هنـــا :- كيــف للضحية اكتشاف التلغيم (الاختراق) المـوجود بالحاسوب ؟

هذا الســؤال حط اسفلة عشر خطـوط اخي الكريم لانه اكثر الاسئلة استفسارا وايضا انتشارا في المواقع العربية بأكملها و ايضا علي اليوتيوب .


يمكن للضحية معرفة ما اذا كان الحاسوب الخاص بها مخترق او تم اختراقة بالفعل ام لا باستخدام اكثر من وسيلة لكن في هذا الجزء سوف اقوم بتوضيح الطرق 4 الاولي حتي لا ينصدم احدكم (انا كنت اعمل في منظمة الهاكرز الاخلاقي (القبعة البيضاء) منذ عام 2006في ولاية مونترايل - كندا).

الطــريقة الأولي :- عبر ملفات (مفاتيح التسجيل Registery) وهـي امـرها بسيط :-


- قائمــة ابــدأ Start menu

-قامة التشغيــل Run

- قم بكتابة Regedit

ثم ستقوم بالدخــول علي HKEY_LOCAL_MACHINE

ثم علي Software ثم علي Microsoft ثم علي Windows ثم علي Current Version :-

قم بالبحث علي Run او Run Services او Run Once (ملاحظة هذه الملفات التي يتم البحث فيها )

اذا وجدت مثلا Patch 32 - Explore 32 - Server - NCR - او اي ملف غريب قم بمسحة مباشرتا .


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif
الـــطريقة الثانية :- من خلال امــر MSCONFIG وهـو اكثر الاوامر استخداما في العالم (سواء الغرض منه تسريع النظام + غلق البرامج التي لا داعي لها ..)

كيفية كشف التلغيم عن طريق MSCONFIG او System Configuration - الامر بسيط تابع معي ولا تقلق :-


طريقة الدخول لـ System Configuration كالأتي :-

- قائمــة ابدأ Start menu

- قامشة امر التشغيل RUN

- ثم قم بكتابة او لصق الامر MSCONFIG

في قائمة الــ STARTUP سوف تحد السيرفر او الفيروس او الباتش عبار عن مفتاح مكون من احرف و ارقام متسلسله كل ماعليك هــو ازالة علامات الصح التي بجانبة .

مثل هذا :-

{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}

{88d96a11-f192-11d4-a65f-0040963251e5}

{88d96a0e-f192-11d4-a65f-0040963251e5}

او ايا كان يشبهها و قمت بايجادة في قائمة StartUp قم بازالة علامة الصح منهم ...

ثم قم بالضغط علي Applay ثم Ok ومن بعدها قم باعادة تشغيل الحاسوب مره اخري لكي يتم تثبيت العملية التي قمت بها منذ قليل ................................................

الميزة في هذا القائمة هو انك تستطيع تعطيل اي شيئا غريب او لم تقم انت بنفسك في تثبيته (ملاحظة تعطيل وليس حذف) ................


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

الطــريقة الثــالثة :- كشف التلغيم من خلال اوامر معينة في الدوس Command Manager او شاشة CMD


يعلم البعض ان مسح الفيروس او ملف الاختراق من خلال الدوس اي من شاشة CMD ليس بامر بسيط (لان ممكن بدل ما تمسح تورط نفسك بفتح بورت او منفذ جديد)

الخــطوات (يجب عليك عمل الخطوات الاربعة بعد فصل الاتصافل الخاص بك (كابل الانترنت + غلق الروتر (المودم) )

الخطــوات بسيطة :-

1- Start Menu

2- Run Command

3- Cmd

4- ثم قم بالصق الأمر الأول :- C:/windows /dirpatch عند ظهور القائمة سوف تجد الباتش او السيرفر الذي تم ضرب حاسوبك به .(كيفية الحذف بسيطة).

5- لكي نقم اخي الكريم بحذف الباتش او الفيروس نقوم بكتابة الامر التالي C:/windows /deletepatch ثم نضغط علي دخول ( Enter ).


https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

قائمة لمنافذ الاتصال الخاصة باشهر برامج الاختراق المعروفة حاليا و الاكثر استخداما ايضا (لكي تقم بغلقهم في المرحلة الرابعة) .



netBus 1.x 12345 or 12346
NetBus Pro 20034
BackOriffice 31337
SubSeven 1243
NetSphere 30100
Deep Throath 6670
Master Paradise 31
Silencer 1001
Millenium 20000
Devil 1.03 65000
NetMonitor 7306
Streaming Audio Trojan 1170
Socket23 5000
Socket25 30303
Gatecrasher 6969
Telecommando 61466
Gjamer 12076
IcqTrojen 4950
Priotrity 16969
Vodoo 1245
Wincrash 5742
Wincrash2 2583
Netspy 1033
ShockRave 1981
Stealth Spy 555
Pass Ripper 2023
Attack FTP 666
GirlFriend 21554
Fore 50766
DeltaSource (DarkStar) 6883
Tiny Telnet Server 34324
Kuang 30999
SennaSpyTrojans 11000
Backdoor 1999
UglyFtp 23456
TrojanCow 2001
TheSpy 40412
Striker 2565
Silencer 1001
RoboHack 5569
RemoteWindowsShutdown 53001
Prosiak 0.47 22222
ProgenicTrojan 11223
PortalOfDoom 9872
InIkiller 9989
IcqTrojan 4950
BladeRunner 5400
The tHing 6400
PsyberStreamingServer Nikhil G. 1509
Phineas Nikhil G. 2801
Indoctrination 6939
HackersParadise 456
Doly Trojan 1.1+1.2 1011
FTP99CMP 1492
Shiva Burka 1600
BigGluck, TN 34324
Hack´99 KeyLogger 12223
iCkiller 7789
iNi-Killer 9989
Portal of Doom 9875
Master Paradise 40423
BO jammerkillahV 121
AOLTrojan1.1 30029
Hack'a'tack 31787
The Invasor Nikhil G. 2140
SpySender Nikhil G. 1807
The Unexplained 29891
Bla 20331
FileNail Danny 4567
Coma Danny 10607
Shitheep Danny 69123
Bla1.1 1042
HVL Rat5 2283
BackConstruction1.2+1.5 5400
Kuang2 TheVirus 13700
xtcp 5550
Schwindler 1.82 21544







https://sl.glitter-graphics.net/pub/2386/2386699u80m0oe8oa.gif

كيف اقوم بمعرفة المنافذ المفتوحة في النظام الخاص بي

https://www.techrepublic.com/blog/security/list-open-ports-and-listening-services/443

https://www.petri.co.il/quickly_find_local_open_ports.htm

1-يجب عليك اولا معرفة المنافذ التي تم فتحها تلقائيا لنظام الويندوز الخاص بك ؟هل معني ذلك اننا سوف نقوم با استخدام براجم الغلق .؟

الاجابة اخي الكريم : لا ...لان ادوات غلق الثغرات هيا ادوات مساعدة لك في حالة عدم قدرتك علي معرفة نوع المنفذ port او نوع رقم الموديم الخاص بك .

تابع معي في هذه العملية الحسابية علي سبيل المثال :

نفترض اننا لدينا العوامل الاتية X- Y - R مثلا الضحية سوف تكون العامل X - منفذ الاتصال سوف يكون العامل Y - برنامج الاختراق سوف يكون العامل R . (لم نفهم هذه النقطة) ابسط شيء هو قفل الثغرات و انتهينا صح ؟؟؟مظبوط بعد ذلك تتفاجئ بان حاسوبك تم اختراقة و ان المعالج وصل الي نسبة تؤدي الي احتراقة اقصد هنا درجة الحرارة . لم تفهم شيء .هنا اخي الكريم يأتي نوع اخر من الاختراق ولكن تعالي معي نرجع الي النقطة السابقة .

المعادلة شوف تكون كالتالي :-

X=R+Y اي الضحية = منفذالاتصال المفتوح + برنامج الاختراق .

اذا كان العامل X لدية منفذ اتصال علي سبيل المثال 81 - 68812 الخاص بالتورنت اذا سوف يظهر عامل جديد وهو P .(سءال بسيط كيف ظهر هذا العامل و انك قولبت ان X = R+Y كلامك مظبوط اخي الكريم .لكن العامل الجديد الذي ظهر وهو P ظهر نتيجة R+Y=P اذا النتيجة سوف تساوي

R+Y=P+X اذا العامل X سوف يكون هو الهدف الذي سوف يتم اختراقة مباشرتا . ولكن كيف ؟

تتذكروا معي عندما تحدثنا عن ان لايمكن الاختراق الا في حالة وجود ملف اتصال ؟ويجب عليك فتح في جهازك صح ؟

اذا معني ذلك اذا قمنا بغلق المنافذ الخاصة بالاتصال سوف نكون با أمان (من قال ذلك ركز معي اخي الكريم راجع المعادلة)

منذ الاتصال =Y
الضحية = X
اداة الاتصال =P
وسيلة الاتصال = R

اذا المعادلة الجديد سوف = منفذ الاتصال +اداة الاختراق = ملف للاختراق مضروب في الضحية وهي X .اعلم ان المعادلة ممكن ان تكون معقدة ولكن ان شاء الله هنفهما ) اذا هل انتهت العوامل ؟لا اخي الكريم لان نتجية ضرلاب المعامل P في المعامل X يظهر لنا عامل جديد C اي التحكم في جهاز الضحية . و ياتي دور نظام الكالي ليونكس و اليونكس ثم نظام الماك كا احد الانظمة التي تحتوي علي حماية ذاتية من نفسها.


سؤال بسيط يجب عليك سؤاله لنفسك اخي الكريم :- كيف لي ان احمي نفسي علي الاقل بنسبة 50% ؟لماذا 50% وليس 100% ؟

الاجابة بسيطة : عند حماية نفسك بنسة 50 % هذا يعني انك قمت بفهم المعادلة كاملة و النتجية انك سوف تجد ان قد حميت جهازك الشخصي بنسبة 100% بدون ان تعلم ذلك .


الي هنا يتوقف الجزء الأول في مبادئ فهم اسس الاختراق و كيفية اتمام العملية .ننتقل في المشاركة الثالثة الي الجزئ الثالث و هو يخص نظام الأم المعلوماتي بأانواعه .

Amro.Mustafa
20-09-2015, 10:24
الــجزء الثالث (نظام الأمن المعلوماتي لانظمة التشغيل و كيفية حماية الحاسوب بنسب مرضية)

اولا:- حماية المستـــخدم في نظام الويندوز(Windows XP - Windows 7 - Windows 8.1 - Windows 8 - Windows 10) وتنقسم الي 5 اجزاء :-

1-حماية ثغرات النظام عن طريق غلق الثغرات يدويا :-

الطريقة الأولي : عبر استخدام الأمر التالي الذي سوف يقوم بغلق المنافذ التالية و تعتبر حسب التصنيف بااخطر منافذ موجودة في انظمة التشغيل :-

المنافذ التي سوف نقوم بغلقها حسب التصنيب :-

(137 -135-138-139-445)

1-قم بفتح المفكره من قائمة ابــدأ وتشغيلها كمسؤول اخي الكريم :-

2-ثم بعد ذلك تأخذ هذا الأمر نسخ ثم لصق الامر داخل ملف الـtext الذي قمت بفتحة منذ قليل:-

Windows registery Editor version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetBT Parameters]
"SmbDeviceEnabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetBT]
"Start"=dword:00000004

قم بااخذه كاملا من بداية Windows الي اخره.

3-قم بعد ذلك اخي الكريم بحفظ الملف بصيغة (امتداد) REG (هذا الامتداد خاص بالريجستري لا قلق فيه).

4-قم بالضغط عليه مرتين اخي الكريم لكي يتم غلق المنافذ الخاصة بالنظام الذي لديك

الطــريقة الثــانية من خـلال منفذ الأوامر (Command Prompt (CMD :

1-من قائمة ابـدأ قم بالبحث عن Command Prompt - CMD ثم قم بتشغيله كمسؤول اخي الكريم :-

2- بعد ذلك قم بنسخ الاوامر الأتية حسب الترتيب اخي الفاضل واحدا تلو الأخر وليس الكل دفعة واحدة :-

sc config seclogon start= disabled
اضغط انتر
sc config TlntSvr start= disabled
اضغط انتر
sc config ssdpsrv start= disabled
اضغط انتر
sc config messenger start= disabled
اضغط انتر
sc config policyagent start= disabled
اضغط انتر
sc config w32time start= disabled
اضغط انتر
sc config schedule start= disabled
اضغط انتر
sc config LmHosts start= disabled
اضغط انتر
net stop rdr
اضغط انتر
net stop srv

الطريقــة الثالثة : استخدام الأدوات التي ذكـرناها من قبل في بداية الموضوع BugOff - Windows ShutDown Doors - Disbale UPNP (الـUPNP هيا اختصار لـUniversal Plug And Play الخاص بالتورنت و البينج و يفضل اغلاقة):-

رابــط الأدوات :-https://www.mediafire.com/download/dygnjznyyen/1.rar (https://www.mediafire.com/download/dygnjznyyen/1.rar)

اداة الـUPNP اذا كانت باللون الأحمر هذا يعني ان البورت مفتوح (المنفذ) قم بالتعطيل عن طريق الضغط علي Disable UPNP .

يجب عليك اخي الفاضل تشغيل كلا منهما كمسؤول للنظام .

اداة الـBugOff اي الطرد او قفل الاتصال لها في حاسوبك الشخصي :-

اذا كانت المنافذ مفتوحة سوف تظهر لك بهذا الشكل:-

كل ما عليك هو الضغط علي Disable port او غلق المنفذ .

الأداة الثالثة Windows ShutDown Doors او Windows Worms Door Cleaner :-

الأن كيف لنا ان نتأكد من ان جميع المنافذ تم اغلاقها نهائيا في الحاسوب الشخصي -وهل اولادي في امان اخي الكريم ؟

الاجابة : بخصوص النصف الاول سوف نقوم بفتح منفذ الأوامر اخي الكريم من قائمة ابدأ Command prompt ثم كتابة الامر التالي netstat -a و من هناك اذا ظهر لك هذه الصورة :-

فا ان جهازك في امان تام ...

اما اذا مثل هذه الصورة فيجب عليك فحص الحاسوب جيدأ و غلق المنافذ مره اخر واعادة التشغيل للحاسوب :-

اذا تواجد لديك في القائمة هذا البورت مثل هذا مثلا 127.212.1.1:17300 فهذا يعني انه مفتوح بالحاسوب ولم يتم غلقة.

---------------------------------------------------------------------------------------------------------------------------
الأن الي الطريقة الرابعة (وهي غلق الخدمات التي تردي الي مشاركة الملفات الخاصة و البيانات الخاص بك اخي الكريم ):

1- نقوم بالذهاب الي قائمة ابـدأ ثم Services ولكن مالذي قد يوجد في هذا الامر بالذات كي يسبب مشكلة ؟

-اجابة : هنا خدمة بجميع انظمة مايكروسوفت تسمي (شبكة مشاركة الملفات ) Net.Tcp Port Sharing يتم اغلاقها عن طريق الضغط عليها مرتين واختيار :-

1- Dsiable
2-Stop

هذه الخدمة تعتبر خطيرة علي من مشترك في شبكة انترنت جماعية و ليسة خاصة اي الموديم لدي احد الافراد و انت اخذ وصلة .

هل توجد خدمات اخري يجب اغلاقها في النظام الشخصي ؟

من حيث هذا السؤال نعم ويتم اغلاقها بالترتيب حسب نظام التشغيل لديك و ايضا هناك قائمة من هذه الخدمات سوف تجدوها في الشكل التالي :-



Safe-To-Disable Services

Tablet PC Input Service (in Windows 7) / Touch Keyboard and Handwriting Panel Service (Windows 8)

Windows Time
Secondary logon (Will disable fast user switching)
Fax
Print Spooler
Offline Files
Routing and Remote Access Service
Bluetooth Support Service
BitLocker Drive Encryption Service
Encrypting File System
Certificate Propagation
Microsoft iSCSI Initiator Service
Netlogon
Parental Controls (in Windows 7) / Family Safety (in Windows 8)
Remote Desktop Configuration
Remote Desktop Services
Remote Desktop Services UserMode Port Redirector
Smart Card
Smart Card Removal Policy
Windows Connect Now
Windows Firewall
Windows Error Reporting Service
Remote Registry
Windows Defender


Source:https://www.7tutorials.com/which-windows-services-are-safe-disable-when
https://www.addictivetips.com/windows-tips/list-of-windows-services-that-can-be-safely-disabled/::Source3