هناك مشاركة طيبة من الأخ hamzeh soft جزاه الله خيراً عنوانها "اعرف اذا جهازك مخترق او لا فقط في 20ثانية". وهي عبارة عن اختبار يقوم بفحص المنافذ إذا ما كانت مغلقة أو مفتوحة.

هذا الاختبار وإن كان مفيداً إلا أنه لا يدل على أن الجهاز مخترق حتى لو ظهر لديك منفذ بالأحمر.

والعديد منّا يتسأل كيف لي أن أعرف أن جهازي مخترق أم لا؟
ما هي الطريقة التي يمكنني استخدامها لمعرفة ذلك؟
هل تعرف ما هي svchost.exe؟
وما هي الخدمات التي تقوم بها؟
هل تستطيع عرض البرامج التي تستخدمها من خلال سطر الأوامر؟

هذا الدرس يا أحباب مهم جداً لكل من هو مهتم بأمن حاسوبه ويرغب بمعرفة ما اذا كان حاسوبه مخترقاً أم لا.

ونظراً لأهمية الدرس وكون الفائدة المتحصلة من التفاعل اكثر بكثير من الفائدة التي يمكن الحصول عليها من خلال القراءة فقط (سواء الموضوع كاملاً أو بعض فقراته) فارجو منكم يا كرام عمل بحث أو الاتيان بفكرة مهما كانت بسيطة وسنحاول إن شاء الله تناولها بالشرح. حتى نصل إلى جواب السؤال وهو كيف نعرف إذا ما كان الجهاز مخترقاً أم لا؟

=======================================
عن جابر عن النبي صلى الله عليه وسلم قال : من قال :" سبحان الله العظيم وبحمده غرست له نخلة في الجنة "

أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:


wmic process

لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.

لحد الآن لا يوجد تفاعل من قبل الأعضاء المحترمين :)

طيب نجرب السؤال التالي:

مالفرق بين الأمرين التالين: (على فرض أنك نفذت الأمر wmic من خلال سطر الأوامر)


wmic:root\cli>process list brief

و


wmic:root\cli>process list full

ياريت ياعزيزي انك تشرح على مبدأ ان اكثر الناس بيستخدموا DOS وليس ليونكس
وبالنسبة للامر الاول تم تنفيذه ولعله يشرح علاقة البرامج التي تم تحميلها والتهديدات القادمه منها و ارجو التصحيح مع الشرح الوافي لو سمحت اما بالنسبة للامر الثاني فلم يتم تنفيذه ولا اعلم ماهو السبب

أخي عادل الشرح كله لويندوز ولا يوجد شيء للينكس في هذا الدرس. (إلاّ إذا كنت تقصد شيئاً آخر)

بالنسبة للشرح فسيتم إن شاء الله تناوله بالتفصيل. ولكن أحب أن أعطي باقي الإخوة فرصة للتفاعل.

وشكراً لمرورك

wmic process

يبدوا ان الموضوع جامد

ممكن حضرتك توضح ايه هو الامر ده
وليه منعتمدش على end task or task manager
عشان نعرف الحاجات الللى شغاله

الامرين الاخريين لم يعملوا

الامر الاولنى اشتغل
وعطانى معلومات على ما اعتقد عن البرامج او العمليات اللى شغاله
بس انا معرفتش اقراها لانها غير مرتبه

وشكرا.....

سؤالك ممتاز أخي ياسر. السبب في عدم اعتماد task manager هو أنه لا يعرض جميع البرامج التي تعمل كذلك لا يعطيك التفاصيل حول اتصال هذه البرامج سواء مع الشبكة أو مع غيرها وأين موقعها وغير ذلك من المعلومات.

عندك مثلاً svchost.exe وهي خدمة تستعملها البرامج للاتصال مع الانترنت في task manager تظهر هذه الخدمة ولكن نحن نريد بحث اعمق بحث يظهر لنا ما هي البرامج التي تستخدم هذه الخدمة لأنه في حالة كون الجهاز مخترقاً سيظهر البرنامج المشبوه كأحد البرامج التي تستخدم svchost.exe للاتصال بالانترنت.

الأمران لم يعملا لأنك نفذتهما من سطر الأوامر مباشرة هكذا:


c:\>process list brief

إذا أردت التفيذ بهذه الطريقة يكون الأمر كالشكل التالي

wmic process list brief

أنا وضعت الأمران مفترضاً أن المستخدم -كما هو في الشرح أصبح يعمل على شريط أدوات WMIC

والذي يظهر كالشكل التالي بعد تنفيذ الأمر wmic

wmic:root\cli>

ارجو أن تكون الصورة أكثر وضوحاً الان

السلام عليكم ورحمة الله وبركاته
احب اشكرك اخي على هذا الموضوع
الامر
wmic process list brief
لو استخدمنا الامر msconfig نستطيع من خلاله معرفة البرامج التي تعمل وبكل سهولة نستطيع ايقافها
وايضا طريقة اخرى من خلال الامر regedit
ثم فتح الملفات التالية بالترتيب
HKEY_LOCAL_MACHINE
- Software- Microsoft
- Windows
- Current Version
-Run
نجد انا حصلنا على البرامج التي تعمل
طبعا هنا كيف نفرق بين البرامج الضارة والنافعة ؟
لاحظ الملفات جيدا فان وجدت ملف لايقابله عنوان بالـــ Data او قد ظهر امامه سهم صغير<--- فهو ملف تجسس اذ ليس له عنوان معين في الويندوز .
طبعا لا اقول كلها اذا كنت تثق في البرنامج 100% اتركه
اترك المجال لك لنستفيد من علمك انت والاخوان الاعضاء وبارك الله فيكم

شكرا اخ باحث عن المعرفة على التوضيح
ياريت تكمل باقى الموضوع

وشكرا....

بارك الله فيكم إخواني على تفاعلكم.

نبدأ إن شاء الله شرح الخطوات الأولى لتحديد إذا ما كان هناك اختراق هي من خلال الأداة المهمة والقوية جداً WMIC.

نبدأ على بركة الله.

الخطوة الأولى:


WMIC process

طريقة عمل WMIC (المفضلة) هي WMIC [something]

طبعاً something يمكن أن تكون أي شيء تتدعمه WMIC هذا ال something أيضاً سوف يحتوي على خصائص خاصة به كما ذكرنا في درس تغيير الأي بي من سطر الأوامر (https://www.arabhardware.net/forum/aaeuae-caeouia/97301-ssiy-ethaea-eeuiin-caai-ei-aae-aicoaee-aae-oon-caaaecan.html) وكما سنبين لاحقاً.

في حالتنا هذه نريد أن نرى جميع العمليات الجارية على الحاسوب من خلال إلحاق process ب wmic وهذا سيظهر لنا هذه العمليات والملف المرتبط بها تاريخ إنشائها إلى غيره من الأمور بصراحة تفصيل ممل لكل عملية ونظراً لكثرة المعلومات المعروضة من خلال هذا الأمر نلجأ لأمر آخر.


wmic process list brief

هذا الأمر باختصار يطلب من wmic عرض معلومات مختصر للعمليات التي تجري على الحاسوب.

هذه المعلومات هي عبارة عن اسم العملية رقمها أهميتها وغير ذلك من الخصائص الغير مهمة (لا تلزمنا في محاولتنا معرفة اذا ما كان الجهاز قد تم اختراقه ام لا).

الأمر الآخر الذي يعطينا تفاصيل أكثر هو


wmic process list full

سيعطي معلومات تفصيلية أكثر من list brief ولكن مرتبة أكثر من process .

أهم تفصيل في اعتقادي هو موقع احد الأوامر (البرامج أو العلميات) ونظراً للعدد الكبير في العمليات فسنحتاج في الكثير من الاحيان إلى إما عرض مخرج الامر بطريقة صفحة صفحة من خلال اضافة more


wmic process list full | more

أو في أحيان أخرى لمعرفة معلومات حول علمية معينة


wmic process list full | find "cmd.exe"


عند محاولتنا تحديد إذا ما كان الجهاز قد تم اختراقه أم لا نحتاج إلى المرور بكل العمليات (تستغرق وقتاً) ومن ثم تحديد ما اذا كان للعملية داعي أم أنها عملية غير شرعيّة.

في بعض الأحيان نحتاج إلى معلومات حول جميع العمليات التي تعمل عند بداية تشغيل النظام (أو عملية الدخول إلى نظام التشغيل) في هذه الحالة نحتاج إلى الأمر التالي


wmic startup list full

أو


wmic startup list brief

تبعاً للتفصيل الذي نبحث عنه (هل نريد تفصيل ممل أم مجرد سرد للعمليات)


في الدرس القادم سنشرح أوامر أخرى نحتاجها لمعرفة إذا ما تم اختراق الجهاز أم لا. حتى ذلك الدرس إن شاء الله أترككم إخواني مع هذه الاوامر والتي ارجو منكم محاولة تنفيذها وأخذ فكرة عن نتيجة التنفيذ.


netstat -nao


netstat –s –p tcp


=================================================

عن أبي عمير الأنصاري رضي الله عنه قال : قال رسول الله صلى الله عليه وسلم :" من صلى عليّ صلاة واحدة صلّى الله عليه عشر صلوات ، وحطت عنه عشر خطيئات ، ورفعت له عشر درجات ، وكتبت له عشر حسنات " رواه أحمد

اللهمّ صلِّ وسلم وبارك على نبينا محمد وأله وصحبه.

هذا الامر NETSTAT كما هو معروف يظهر لك CONNECTION المرتبطة بالجهاز المنفذ عليه هذا الامر كذلك يبين البورتات المفتوحة ولكن المر الذي كتبته يااخ باحث عن المعرفه يبدو انه يوضح الاتصال الذي هو من نوع TCP
هذا والله اعلم

وياريت بأن يكون هنالك تفاعل اكبر بحيث يتم تفعيل هذا القسم بشكل اكبر وربنا يعطيك العافيه ياباحث

حقيقى موضوع جامد وحبه اوامر جامده

درس بجد بجد

وياريت تكمل انا متابع معاك
وشكرا..

شكرا لك على هذا الموضوع الرائع جدا والمهم ، اتمنى ان تستمر في الكتابة في هذا الموضوع بالتحديد لانه بصراحه مفيد جدا ومهم .

طبقت الامر netstat -s -p tcp -on وظهرت النتيجة كتالي:



C:\Documents and Settings\power user>netstat -s -p tcp -on

TCP Statistics for IPv4

Active Opens = 86594
Passive Opens = 51324
Failed Connection Attempts = 15608
Reset Connections = 14714
Current Connections = 28
Segments Received = 3375847
Segments Sent = 3098353
Segments Retransmitted = 177054

Active Connections

Proto Local Address Foreign Address State PID
TCP 127.0.0.1:1071 127.0.0.1:1072 ESTABLISHED 2956
TCP 127.0.0.1:1072 127.0.0.1:1071 ESTABLISHED 2956
TCP 127.0.0.1:1073 127.0.0.1:1074 ESTABLISHED 2956
TCP 127.0.0.1:1074 127.0.0.1:1073 ESTABLISHED 2956
TCP 127.0.0.1:1110 127.0.0.1:1382 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1390 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1393 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1398 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1402 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1428 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1600 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1601 ESTABLISHED 1572
TCP 127.0.0.1:1382 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1390 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1393 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1398 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1402 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1428 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1600 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1601 127.0.0.1:1110 ESTABLISHED 2956
TCP 192.168.1.68:1383 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1392 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1397 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1399 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1403 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1429 212.71.37.95:8080 ESTABLISHED 1572
TCP 192.168.1.68:1602 212.71.37.95:8080 ESTABLISHED 1572
TCP 192.168.1.68:1603 212.71.37.95:8080 ESTABLISHED 1572


العناوين 212.71.37.95 و 212.71.37.134 تابعة ل ISP كما اتوقع (لانها تبدا ب 212.71 وجميع عناوين مزود الخدمة نسما تبدا هكذا)
والعنوان 192.168.1.68 هو عنوان الجهاز على الشبكة المحلية.
لكن لا ادري ماهو 127.0.0.1 ؟؟ هل هذا العنوان خاص بالجهاز؟

بالنسبة لل process id ف 2956 مخصص لل firefox و 1572 مخصص ل avp وهو الكاسبرسكاي.

لكن عند استخدام الامر netstat -aon فان الكثير من ال processes تظهر وبعضها يكون مرتبط ب svchost ونوعه tcp ايضاً! فلماذا لم يظهر سابقا عند استخدام الامر netstat -s -p tcp ؟

جزاكم الله خيراً إخواني على تفاعلكم. سأحاول إن شاء الله غداً إضافة تتمة الشرح.

netstat
The Windows netstat command shows network activity, focusing on TCP and UDP by default. Because malware often communicates across the network, users can look for unusual and unexpected connections in the output of netstat, run as follows:

هذا الأمر يظهر النشاطات الموجودة على الشبكة. البرامج المستخدمة في الاختراق تستخدم الشبكة للاتصال فيما بينها، بالنظر لمخرجات هذا الأمر نحاول البحث عن هذه البرامج المشبوهة نحاول الاطلاع على المنافذ في محاولة لمعرفة اذا كان احدها مستخدم من قبل هذه البرامج. بالطبع سوف نحتاج الى استخدام غوغل في كثير من الاحيان للمساعدة ولكن ذلك في البداية فقط بعدها تصبح الامور اسهل بالطبع ان شاء الله.

-a اظهار كافة المنافذ والاتصالات
-n اظهار الارقام فقط (الاي بي والمنفذ) لا يظهر اسم الحاسب او اسم الموقع الذي يتصل به.
-o اظهار رقم العملية المتصلة.
-s احصائيات محول الاتصال
-p تحديد البروتوكول مثل tcp, udp, icmp

جزاك الله خيراً أخي مجلد جديد على الاضافة الممتازة. كما تفضلت 127.0.0.1 هو العنوان الخاص بالجهاز كل جهاز فيه العنوان.

الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.


tasklist /svn

مهم جداً لأنه يسمح لنا بمعرفة الخدمات التي تستخدم كل عملية. مثل عملية svchost.exe نستطيع معرفة الخدمات التي تستخدمها فإذا وجدنا عملية مشبوهة نقوم باستخدام غوغل للتأكد إن كانت كذلك أم انها عملية مشروعة.


tasklist /m

/m تظهر لنا مكتبات ال dll التي تستخدمها كل عملية. النتائج التي ستظهر تحليلها يحتاج إلى وقت طويل ولكن باستخدام غوغل للبحث عن مكتبات dll و العمليات التي تستخدمها يمكننا التقليل هذا من هذا الوقت والوصول إلى معلومات مفيدة جداً.

الاخوة الاعضاء...هل سبق وان استخدمتم ipconfig؟

اتوقع ان العديد منكم يعرف هذا الامر واستخدمه على الاقل مرة واحدة. ولكن هل سبق أن جربتموه بهذه الصيغة؟


ipconfig /displaydns

انتظر إجاباتكم ونكمل لاحقاً إن شاء الله.

الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.
كود:

tasklist /svn



هل تقصد tasklist /svc

واى خدمه

ipconfig /displaydns


جامد موووت الامر ده

بس فيه مشكله ان مش كل حاجه بتتعرض

فى طريقه ان اننا نعرضها صفحه صفحه

وشكرا جدددددا على هذا الموضوع

هل تقصد tasklist /svc

واى خدمه

الأمر هو tasklist

/svc هي خاصية أو ملحق بالأمر وتعني عرض الخدمات في كل عملية.

جامد موووت الامر ده

بس فيه مشكله ان مش كل حاجه بتتعرض

فى طريقه ان اننا نعرضها صفحه صفحه

وشكرا جدددددا على هذا الموضوع

نعم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:


ipconfig /displaydns | more

وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة

عم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:

كود:

ipconfig /displaydns | more

وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة


شكرا جدا

السلام عليكم
جربت الامر tasklist /svc وظهرت لي النتيجة ، احببت ان اضع svchost.exe والعمليات المرتبطة به:


svchost.exe 1456 DcomLaunch, TermService
svchost.exe 1552 RpcSs
svchost.exe 1700 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wuauserv,
WZCSVC
svchost.exe 1800 Dnscache
svchost.exe 1952 LmHosts, RemoteRegistry, SSDPSRV, WebClient

المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟

btw الامر more يعرض النتائج line by line وليس page by page .

ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟



C:\Documents and Settings\power user>ipconfig /displaydns

Windows IP Configuration

1.0.0.127.in-addr.arpa
----------------------------------------
Record Name . . . . . : 1.0.0.127.in-addr.arpa.
Record Type . . . . . : 12
Time To Live . . . . : 572381
Data Length . . . . . : 4
Section . . . . . . . : Answer
PTR Record . . . . . : localhost


localhost
----------------------------------------
Record Name . . . . . : localhost
Record Type . . . . . : 1
Time To Live . . . . : 572381
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 127.0.0.1



C:\Documents and Settings\power user>

المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟

تمام. هنا نحتاج إلى عمل تطبيع بمعنى معرفة العمليات الاساسية والضرورية للنظام وبعد تحديدها نراقب اذا ما ظهرت عملية جديدة وهل هي عملية نعلم بها أم لا فإن كانت جديدة ولا نعلم بها نقوم باستشارات خبير العمليات غوغل عن هذه العملية (أو الخدمة) غوغل سيظهر لنا نتائج كثيرة من خلالها نستطيع معرفة اذا كانت العملية طبيعة ام لا.


btw الامر more يعرض النتائج line by line وليس page by page .

الاثنان معاً أخي الكريم. إذا ضغطت enter فستظهر النتائج سطراً سطراً اما اذا ضغطت مفتاح المسافة فستظهر النتائج صفحة صفحة جرب وسترى ;)

ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟

سؤال ممتاز اخي مجلد جديد

هذا الامر سيظهر لنا اسم النطاق عنوانه (الآي بي) و أيضاً TTL أو Time To Live إذا قمت بتنفيذ الأمر مرة أخرى ستلاحظ أن TTL ينقص حتى يتنهي record أو وبالتالي يتم تجاهله أو تجديده.

هذه الطريقة تساعد في اكتشاف بعض شبكات (او برمجيات تستخدمها شبكات) تعرف باسم Botnet اخدى هذه ال botnet تعرف باسم fast-flux تستخدم TTL قليل جداً وذلك حتى تستمر في التجديد بشكل سريع في محاولة للتضليل المحققين حول مصدرها.

تعقيب بسيط أخي مجلد جديد على مخرجات الأمر tasklist /svc والتي تكرمت بوضعها حول محاولة معرفة العملية الشرعية من غير الشرعية كما تلاحظ في النتائج هناك خدمة SENS وهي خدمة شرعية هناك أيضاً Trojan.SENS وهو كما ترى تروجان لنفرض أني لا أعرف شيئاً عن SENS أستخدم غوغل بالطريقة التالي

https://www.google.com/search?hl=en&q=svchost.exe+SENS&btnG=Search

اضغط على أول وصلة
https://support.microsoft.com/kb/314056

ستظهر لك مخرج طبيعي للأمر tasklist

SOME ONE TRY HACHING ME TIME AFTER TIME BUT NORTON BLOCKED HIM BUT ALTHOUGH THAT THE HACKER PUT A STRANGE TEXT FILE ON MY DRIVE C: AFTER I DELETED IT HE TRIED TO KACH ME AND PUT THIS FILE AGAIN
WHAT CAN I DO TO PREVENT THIS TYPE OF HACKING??????????????

اكمل باحث عن المعرفه والله والله ان فيهم فائده لايعلمها الكثير

الله يوفقك وين مارحت

مشكور اخى باحث عن المعرفة على مجموعة الاوامر المهمة

الله يعطيك العافية والله شي رائع