مشاهدة النسخة كاملة : [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟
باحث عن المعرفة
04-10-2008, 07:36
هناك مشاركة طيبة من الأخ hamzeh soft جزاه الله خيراً عنوانها "اعرف اذا جهازك مخترق او لا فقط في 20ثانية". وهي عبارة عن اختبار يقوم بفحص المنافذ إذا ما كانت مغلقة أو مفتوحة.
هذا الاختبار وإن كان مفيداً إلا أنه لا يدل على أن الجهاز مخترق حتى لو ظهر لديك منفذ بالأحمر.
والعديد منّا يتسأل كيف لي أن أعرف أن جهازي مخترق أم لا؟
ما هي الطريقة التي يمكنني استخدامها لمعرفة ذلك؟
هل تعرف ما هي svchost.exe؟
وما هي الخدمات التي تقوم بها؟
هل تستطيع عرض البرامج التي تستخدمها من خلال سطر الأوامر؟
هذا الدرس يا أحباب مهم جداً لكل من هو مهتم بأمن حاسوبه ويرغب بمعرفة ما اذا كان حاسوبه مخترقاً أم لا.
ونظراً لأهمية الدرس وكون الفائدة المتحصلة من التفاعل اكثر بكثير من الفائدة التي يمكن الحصول عليها من خلال القراءة فقط (سواء الموضوع كاملاً أو بعض فقراته) فارجو منكم يا كرام عمل بحث أو الاتيان بفكرة مهما كانت بسيطة وسنحاول إن شاء الله تناولها بالشرح. حتى نصل إلى جواب السؤال وهو كيف نعرف إذا ما كان الجهاز مخترقاً أم لا؟
=======================================
عن جابر عن النبي صلى الله عليه وسلم قال : من قال :" سبحان الله العظيم وبحمده غرست له نخلة في الجنة "
باحث عن المعرفة
04-10-2008, 07:38
أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:
wmic process
لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.
باحث عن المعرفة
04-10-2008, 15:27
لحد الآن لا يوجد تفاعل من قبل الأعضاء المحترمين :)
طيب نجرب السؤال التالي:
مالفرق بين الأمرين التالين: (على فرض أنك نفذت الأمر wmic من خلال سطر الأوامر)
wmic:root\cli>process list brief
و
wmic:root\cli>process list full
Adel Ali
04-10-2008, 16:07
ياريت ياعزيزي انك تشرح على مبدأ ان اكثر الناس بيستخدموا DOS وليس ليونكس
وبالنسبة للامر الاول تم تنفيذه ولعله يشرح علاقة البرامج التي تم تحميلها والتهديدات القادمه منها و ارجو التصحيح مع الشرح الوافي لو سمحت اما بالنسبة للامر الثاني فلم يتم تنفيذه ولا اعلم ماهو السبب
باحث عن المعرفة
04-10-2008, 16:16
أخي عادل الشرح كله لويندوز ولا يوجد شيء للينكس في هذا الدرس. (إلاّ إذا كنت تقصد شيئاً آخر)
بالنسبة للشرح فسيتم إن شاء الله تناوله بالتفصيل. ولكن أحب أن أعطي باقي الإخوة فرصة للتفاعل.
وشكراً لمرورك
yasserxpnew
04-10-2008, 17:01
wmic process
يبدوا ان الموضوع جامد
ممكن حضرتك توضح ايه هو الامر ده
وليه منعتمدش على end task or task manager
عشان نعرف الحاجات الللى شغاله
الامرين الاخريين لم يعملوا
الامر الاولنى اشتغل
وعطانى معلومات على ما اعتقد عن البرامج او العمليات اللى شغاله
بس انا معرفتش اقراها لانها غير مرتبه
وشكرا.....
باحث عن المعرفة
04-10-2008, 17:55
سؤالك ممتاز أخي ياسر. السبب في عدم اعتماد task manager هو أنه لا يعرض جميع البرامج التي تعمل كذلك لا يعطيك التفاصيل حول اتصال هذه البرامج سواء مع الشبكة أو مع غيرها وأين موقعها وغير ذلك من المعلومات.
عندك مثلاً svchost.exe وهي خدمة تستعملها البرامج للاتصال مع الانترنت في task manager تظهر هذه الخدمة ولكن نحن نريد بحث اعمق بحث يظهر لنا ما هي البرامج التي تستخدم هذه الخدمة لأنه في حالة كون الجهاز مخترقاً سيظهر البرنامج المشبوه كأحد البرامج التي تستخدم svchost.exe للاتصال بالانترنت.
الأمران لم يعملا لأنك نفذتهما من سطر الأوامر مباشرة هكذا:
c:\>process list brief
إذا أردت التفيذ بهذه الطريقة يكون الأمر كالشكل التالي
wmic process list brief
أنا وضعت الأمران مفترضاً أن المستخدم -كما هو في الشرح أصبح يعمل على شريط أدوات WMIC
والذي يظهر كالشكل التالي بعد تنفيذ الأمر wmic
wmic:root\cli>
ارجو أن تكون الصورة أكثر وضوحاً الان
cisco-boy
04-10-2008, 22:13
السلام عليكم ورحمة الله وبركاته
احب اشكرك اخي على هذا الموضوع
الامر
wmic process list brief
لو استخدمنا الامر msconfig نستطيع من خلاله معرفة البرامج التي تعمل وبكل سهولة نستطيع ايقافها
وايضا طريقة اخرى من خلال الامر regedit
ثم فتح الملفات التالية بالترتيب
HKEY_LOCAL_MACHINE
- Software- Microsoft
- Windows
- Current Version
-Run
نجد انا حصلنا على البرامج التي تعمل
طبعا هنا كيف نفرق بين البرامج الضارة والنافعة ؟
لاحظ الملفات جيدا فان وجدت ملف لايقابله عنوان بالـــ Data او قد ظهر امامه سهم صغير<--- فهو ملف تجسس اذ ليس له عنوان معين في الويندوز .
طبعا لا اقول كلها اذا كنت تثق في البرنامج 100% اتركه
اترك المجال لك لنستفيد من علمك انت والاخوان الاعضاء وبارك الله فيكم
yasserxpnew
05-10-2008, 05:51
شكرا اخ باحث عن المعرفة على التوضيح
ياريت تكمل باقى الموضوع
وشكرا....
باحث عن المعرفة
05-10-2008, 07:22
بارك الله فيكم إخواني على تفاعلكم.
نبدأ إن شاء الله شرح الخطوات الأولى لتحديد إذا ما كان هناك اختراق هي من خلال الأداة المهمة والقوية جداً WMIC.
نبدأ على بركة الله.
الخطوة الأولى:
WMIC process
طريقة عمل WMIC (المفضلة) هي WMIC [something]
طبعاً something يمكن أن تكون أي شيء تتدعمه WMIC هذا ال something أيضاً سوف يحتوي على خصائص خاصة به كما ذكرنا في درس تغيير الأي بي من سطر الأوامر (https://www.arabhardware.net/forum/aaeuae-caeouia/97301-ssiy-ethaea-eeuiin-caai-ei-aae-aicoaee-aae-oon-caaaecan.html) وكما سنبين لاحقاً.
في حالتنا هذه نريد أن نرى جميع العمليات الجارية على الحاسوب من خلال إلحاق process ب wmic وهذا سيظهر لنا هذه العمليات والملف المرتبط بها تاريخ إنشائها إلى غيره من الأمور بصراحة تفصيل ممل لكل عملية ونظراً لكثرة المعلومات المعروضة من خلال هذا الأمر نلجأ لأمر آخر.
wmic process list brief
هذا الأمر باختصار يطلب من wmic عرض معلومات مختصر للعمليات التي تجري على الحاسوب.
هذه المعلومات هي عبارة عن اسم العملية رقمها أهميتها وغير ذلك من الخصائص الغير مهمة (لا تلزمنا في محاولتنا معرفة اذا ما كان الجهاز قد تم اختراقه ام لا).
الأمر الآخر الذي يعطينا تفاصيل أكثر هو
wmic process list full
سيعطي معلومات تفصيلية أكثر من list brief ولكن مرتبة أكثر من process .
أهم تفصيل في اعتقادي هو موقع احد الأوامر (البرامج أو العلميات) ونظراً للعدد الكبير في العمليات فسنحتاج في الكثير من الاحيان إلى إما عرض مخرج الامر بطريقة صفحة صفحة من خلال اضافة more
wmic process list full | more
أو في أحيان أخرى لمعرفة معلومات حول علمية معينة
wmic process list full | find "cmd.exe"
عند محاولتنا تحديد إذا ما كان الجهاز قد تم اختراقه أم لا نحتاج إلى المرور بكل العمليات (تستغرق وقتاً) ومن ثم تحديد ما اذا كان للعملية داعي أم أنها عملية غير شرعيّة.
في بعض الأحيان نحتاج إلى معلومات حول جميع العمليات التي تعمل عند بداية تشغيل النظام (أو عملية الدخول إلى نظام التشغيل) في هذه الحالة نحتاج إلى الأمر التالي
wmic startup list full
أو
wmic startup list brief
تبعاً للتفصيل الذي نبحث عنه (هل نريد تفصيل ممل أم مجرد سرد للعمليات)
في الدرس القادم سنشرح أوامر أخرى نحتاجها لمعرفة إذا ما تم اختراق الجهاز أم لا. حتى ذلك الدرس إن شاء الله أترككم إخواني مع هذه الاوامر والتي ارجو منكم محاولة تنفيذها وأخذ فكرة عن نتيجة التنفيذ.
netstat -nao
netstat –s –p tcp
=================================================
عن أبي عمير الأنصاري رضي الله عنه قال : قال رسول الله صلى الله عليه وسلم :" من صلى عليّ صلاة واحدة صلّى الله عليه عشر صلوات ، وحطت عنه عشر خطيئات ، ورفعت له عشر درجات ، وكتبت له عشر حسنات " رواه أحمد
اللهمّ صلِّ وسلم وبارك على نبينا محمد وأله وصحبه.
Adel Ali
05-10-2008, 17:15
هذا الامر NETSTAT كما هو معروف يظهر لك CONNECTION المرتبطة بالجهاز المنفذ عليه هذا الامر كذلك يبين البورتات المفتوحة ولكن المر الذي كتبته يااخ باحث عن المعرفه يبدو انه يوضح الاتصال الذي هو من نوع TCP
هذا والله اعلم
وياريت بأن يكون هنالك تفاعل اكبر بحيث يتم تفعيل هذا القسم بشكل اكبر وربنا يعطيك العافيه ياباحث
yasserxpnew
07-10-2008, 12:24
حقيقى موضوع جامد وحبه اوامر جامده
درس بجد بجد
وياريت تكمل انا متابع معاك
وشكرا..
مجلـد جديـد
08-10-2008, 08:04
شكرا لك على هذا الموضوع الرائع جدا والمهم ، اتمنى ان تستمر في الكتابة في هذا الموضوع بالتحديد لانه بصراحه مفيد جدا ومهم .
طبقت الامر netstat -s -p tcp -on وظهرت النتيجة كتالي:
C:\Documents and Settings\power user>netstat -s -p tcp -on
TCP Statistics for IPv4
Active Opens = 86594
Passive Opens = 51324
Failed Connection Attempts = 15608
Reset Connections = 14714
Current Connections = 28
Segments Received = 3375847
Segments Sent = 3098353
Segments Retransmitted = 177054
Active Connections
Proto Local Address Foreign Address State PID
TCP 127.0.0.1:1071 127.0.0.1:1072 ESTABLISHED 2956
TCP 127.0.0.1:1072 127.0.0.1:1071 ESTABLISHED 2956
TCP 127.0.0.1:1073 127.0.0.1:1074 ESTABLISHED 2956
TCP 127.0.0.1:1074 127.0.0.1:1073 ESTABLISHED 2956
TCP 127.0.0.1:1110 127.0.0.1:1382 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1390 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1393 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1398 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1402 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1428 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1600 ESTABLISHED 1572
TCP 127.0.0.1:1110 127.0.0.1:1601 ESTABLISHED 1572
TCP 127.0.0.1:1382 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1390 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1393 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1398 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1402 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1428 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1600 127.0.0.1:1110 ESTABLISHED 2956
TCP 127.0.0.1:1601 127.0.0.1:1110 ESTABLISHED 2956
TCP 192.168.1.68:1383 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1392 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1397 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1399 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1403 212.71.37.134:8080 ESTABLISHED 1572
TCP 192.168.1.68:1429 212.71.37.95:8080 ESTABLISHED 1572
TCP 192.168.1.68:1602 212.71.37.95:8080 ESTABLISHED 1572
TCP 192.168.1.68:1603 212.71.37.95:8080 ESTABLISHED 1572
العناوين 212.71.37.95 و 212.71.37.134 تابعة ل ISP كما اتوقع (لانها تبدا ب 212.71 وجميع عناوين مزود الخدمة نسما تبدا هكذا)
والعنوان 192.168.1.68 هو عنوان الجهاز على الشبكة المحلية.
لكن لا ادري ماهو 127.0.0.1 ؟؟ هل هذا العنوان خاص بالجهاز؟
بالنسبة لل process id ف 2956 مخصص لل firefox و 1572 مخصص ل avp وهو الكاسبرسكاي.
لكن عند استخدام الامر netstat -aon فان الكثير من ال processes تظهر وبعضها يكون مرتبط ب svchost ونوعه tcp ايضاً! فلماذا لم يظهر سابقا عند استخدام الامر netstat -s -p tcp ؟
باحث عن المعرفة
08-10-2008, 15:17
جزاكم الله خيراً إخواني على تفاعلكم. سأحاول إن شاء الله غداً إضافة تتمة الشرح.
باحث عن المعرفة
09-10-2008, 07:55
netstat
The Windows netstat command shows network activity, focusing on TCP and UDP by default. Because malware often communicates across the network, users can look for unusual and unexpected connections in the output of netstat, run as follows:
هذا الأمر يظهر النشاطات الموجودة على الشبكة. البرامج المستخدمة في الاختراق تستخدم الشبكة للاتصال فيما بينها، بالنظر لمخرجات هذا الأمر نحاول البحث عن هذه البرامج المشبوهة نحاول الاطلاع على المنافذ في محاولة لمعرفة اذا كان احدها مستخدم من قبل هذه البرامج. بالطبع سوف نحتاج الى استخدام غوغل في كثير من الاحيان للمساعدة ولكن ذلك في البداية فقط بعدها تصبح الامور اسهل بالطبع ان شاء الله.
-a اظهار كافة المنافذ والاتصالات
-n اظهار الارقام فقط (الاي بي والمنفذ) لا يظهر اسم الحاسب او اسم الموقع الذي يتصل به.
-o اظهار رقم العملية المتصلة.
-s احصائيات محول الاتصال
-p تحديد البروتوكول مثل tcp, udp, icmp
جزاك الله خيراً أخي مجلد جديد على الاضافة الممتازة. كما تفضلت 127.0.0.1 هو العنوان الخاص بالجهاز كل جهاز فيه العنوان.
باحث عن المعرفة
09-10-2008, 08:22
الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.
tasklist /svn
مهم جداً لأنه يسمح لنا بمعرفة الخدمات التي تستخدم كل عملية. مثل عملية svchost.exe نستطيع معرفة الخدمات التي تستخدمها فإذا وجدنا عملية مشبوهة نقوم باستخدام غوغل للتأكد إن كانت كذلك أم انها عملية مشروعة.
tasklist /m
/m تظهر لنا مكتبات ال dll التي تستخدمها كل عملية. النتائج التي ستظهر تحليلها يحتاج إلى وقت طويل ولكن باستخدام غوغل للبحث عن مكتبات dll و العمليات التي تستخدمها يمكننا التقليل هذا من هذا الوقت والوصول إلى معلومات مفيدة جداً.
الاخوة الاعضاء...هل سبق وان استخدمتم ipconfig؟
اتوقع ان العديد منكم يعرف هذا الامر واستخدمه على الاقل مرة واحدة. ولكن هل سبق أن جربتموه بهذه الصيغة؟
ipconfig /displaydns
انتظر إجاباتكم ونكمل لاحقاً إن شاء الله.
yasserxpnew
09-10-2008, 09:04
الآن نأتي إلى أمر مهم آخر وهو tasklist هذا الأمر يعرض العمليات الجارية على الحاسوب سواء المحلي أو حاسوب على الشبكة.
كود:
tasklist /svn
هل تقصد tasklist /svc
واى خدمه
yasserxpnew
09-10-2008, 09:09
ipconfig /displaydns
جامد موووت الامر ده
بس فيه مشكله ان مش كل حاجه بتتعرض
فى طريقه ان اننا نعرضها صفحه صفحه
وشكرا جدددددا على هذا الموضوع
باحث عن المعرفة
09-10-2008, 09:12
هل تقصد tasklist /svc
واى خدمه
الأمر هو tasklist
/svc هي خاصية أو ملحق بالأمر وتعني عرض الخدمات في كل عملية.
باحث عن المعرفة
09-10-2008, 09:13
جامد موووت الامر ده
بس فيه مشكله ان مش كل حاجه بتتعرض
فى طريقه ان اننا نعرضها صفحه صفحه
وشكرا جدددددا على هذا الموضوع
نعم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:
ipconfig /displaydns | more
وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة
yasserxpnew
09-10-2008, 09:33
عم في ويندوز يوجد أمر اسمه More وطريقة استخدامه كما في المثال التالي:
كود:
ipconfig /displaydns | more
وتعني اعرض نتيجة الأمر ipconfig /displaydns على شكل صفحة صفحة
شكرا جدا
مجلـد جديـد
09-10-2008, 15:41
السلام عليكم
جربت الامر tasklist /svc وظهرت لي النتيجة ، احببت ان اضع svchost.exe والعمليات المرتبطة به:
svchost.exe 1456 DcomLaunch, TermService
svchost.exe 1552 RpcSs
svchost.exe 1700 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wuauserv,
WZCSVC
svchost.exe 1800 Dnscache
svchost.exe 1952 LmHosts, RemoteRegistry, SSDPSRV, WebClient
المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟
btw الامر more يعرض النتائج line by line وليس page by page .
مجلـد جديـد
09-10-2008, 16:09
ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟
C:\Documents and Settings\power user>ipconfig /displaydns
Windows IP Configuration
1.0.0.127.in-addr.arpa
----------------------------------------
Record Name . . . . . : 1.0.0.127.in-addr.arpa.
Record Type . . . . . : 12
Time To Live . . . . : 572381
Data Length . . . . . : 4
Section . . . . . . . : Answer
PTR Record . . . . . : localhost
localhost
----------------------------------------
Record Name . . . . . : localhost
Record Type . . . . . : 1
Time To Live . . . . : 572381
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 127.0.0.1
C:\Documents and Settings\power user>
باحث عن المعرفة
09-10-2008, 16:27
المشكلة اني لا اعرف ماهي العمليات المهمه والشرعية من المهمات الغير شرعيه؟
تمام. هنا نحتاج إلى عمل تطبيع بمعنى معرفة العمليات الاساسية والضرورية للنظام وبعد تحديدها نراقب اذا ما ظهرت عملية جديدة وهل هي عملية نعلم بها أم لا فإن كانت جديدة ولا نعلم بها نقوم باستشارات خبير العمليات غوغل عن هذه العملية (أو الخدمة) غوغل سيظهر لنا نتائج كثيرة من خلالها نستطيع معرفة اذا كانت العملية طبيعة ام لا.
btw الامر more يعرض النتائج line by line وليس page by page .
الاثنان معاً أخي الكريم. إذا ضغطت enter فستظهر النتائج سطراً سطراً اما اذا ضغطت مفتاح المسافة فستظهر النتائج صفحة صفحة جرب وسترى ;)
باحث عن المعرفة
09-10-2008, 16:34
ممكن تشرح لنا مخرجات الامر ipconfig /displaydns وماهي علاقته باكتشاف الاختراق ؟
سؤال ممتاز اخي مجلد جديد
هذا الامر سيظهر لنا اسم النطاق عنوانه (الآي بي) و أيضاً TTL أو Time To Live إذا قمت بتنفيذ الأمر مرة أخرى ستلاحظ أن TTL ينقص حتى يتنهي record أو وبالتالي يتم تجاهله أو تجديده.
هذه الطريقة تساعد في اكتشاف بعض شبكات (او برمجيات تستخدمها شبكات) تعرف باسم Botnet اخدى هذه ال botnet تعرف باسم fast-flux تستخدم TTL قليل جداً وذلك حتى تستمر في التجديد بشكل سريع في محاولة للتضليل المحققين حول مصدرها.
باحث عن المعرفة
09-10-2008, 16:40
تعقيب بسيط أخي مجلد جديد على مخرجات الأمر tasklist /svc والتي تكرمت بوضعها حول محاولة معرفة العملية الشرعية من غير الشرعية كما تلاحظ في النتائج هناك خدمة SENS وهي خدمة شرعية هناك أيضاً Trojan.SENS وهو كما ترى تروجان لنفرض أني لا أعرف شيئاً عن SENS أستخدم غوغل بالطريقة التالي
https://www.google.com/search?hl=en&q=svchost.exe+SENS&btnG=Search
اضغط على أول وصلة
https://support.microsoft.com/kb/314056
ستظهر لك مخرج طبيعي للأمر tasklist
SOME ONE TRY HACHING ME TIME AFTER TIME BUT NORTON BLOCKED HIM BUT ALTHOUGH THAT THE HACKER PUT A STRANGE TEXT FILE ON MY DRIVE C: AFTER I DELETED IT HE TRIED TO KACH ME AND PUT THIS FILE AGAIN
WHAT CAN I DO TO PREVENT THIS TYPE OF HACKING??????????????
جليد من نار
15-10-2008, 18:27
اكمل باحث عن المعرفه والله والله ان فيهم فائده لايعلمها الكثير
الله يوفقك وين مارحت
Tech_Admin
15-10-2008, 18:32
مشكور اخى باحث عن المعرفة على مجموعة الاوامر المهمة
youandmeit
07-11-2008, 01:28
الله يعطيك العافية والله شي رائع
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir