بسم الله الــرحمن الــرحيم
يسمع الكثير عنا بما يسمى بالهاكــرز ..او مخترقى الاجهزه ويتسأل كيف يتم ذلك وهل هو بالامر البسيط ام ان الامر يحتاج لدراسه وجهدا .
وفى الحقيقه انه مع انتشار برامج القرصنه ووجودها فى الكثير من المواقع اصبح من الممكن حتى لمن يجهل الكثير من الامور فى الاختراق ان يخترق جهازا وبدون اى عناء..ويتم ذلك عن طريق انزال احد تلك البرامج واستخدامها .
ولاكن يجهل الكثير جدا من مستخدمى تلك البرامج انه اصبح عرضه اكثر من غيره بالاصابه بالفايروسات وملفات التجسس فالكثير منها اما ان يحتوى على ملفات للتجسس ادخلت فى البرنامج او احد تلك الفايروسات الخطيره والتى لا تعمل على الفولر وانما تعمل او تنشط فى تاريخ معين من السنه او الشهر .. كفايروس تشرنوبول.
ماهو برنامج القرصنه :
البرنامج او معظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما :
Client.exe
Server.exe
والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم .. وتندرج كل تلك الملفات تحت اسم Torjan …
ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها .. والمقصود هنا فتح ثغره اى بورت ولناخذ على سبيل المثال برنامج النت باص .. فعند اصابت جهازك بملف السيرفر او الخادم فانه وعلى الفور يقم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك ..
هل يمكن اختراق جهازك بدون ملف باتش او سيرفر :
فى الحقيقه ان الاختراق يعتمد على ما يسمى بالريموت Remote اى السيطره عن بعد .. ولكى تتم العمليه لا بد من وجود شيئين مهمين .. الاول البرنامج المسيطر وهو العميل .. والاخر الخادم الذى يقم بتسهيل العمليه ..
ولنفرض ان شخصا ما لديه برنامج النت باص او ديب ثروت ..ويود اختراق جهازك .. اولا عليه ان يدخل رقم الاى بى الخاص بك .. ثم عمل اتصال .. ولاكنه لن يستطيع ذلك لعدم وجود عامل مساعد فى جهازك يقم باستقبال الامر .. لان العميل سوف يذهب الى الاى بى الخاص بك ويبحث عن البورت 12345 فلا يجده ..عندها لا يمكن الاتصال ..
ولاكن لو ان جهازك مصاب بالخادم او السيرفر فان العميل حينما يتجه الى جهازك سوف يجد البورت مفتوحا امامه وعندها يمكن الدخول ..
اذا كيف اصاب بالملف واهم طرق الوقايه من ملفات التجسس :
فى الحقيقه ان طرق الاصابه بملف التجسس او السيرفر محدوده .. وتعتبر اشهرها او اشهر طرق الاصابه بها :
اولا : اما ان ترسل اليك بطريق الاميل
ثانيا : اذا كنت من مستخدمى برنامج الاسكيو او برامج التشات وارسل لك ملف فقد يكن مصابا بملف تجسس او حتى فايروس ..
ثالثا : عندما تقم بانزال برنامج من احد المواقع الغير مثوق بها وهــى فى الحقيقه كثيره جدا .. فقد يكون البرنامج مصاب اما بملف تجسس او فايروس
الوقايه تكن باتباع الاتــى :
نصائح لتجنب الفايروسات
اتكل على الله فهو نعم الوكيل.
أولا و قبل كل شئ ركب برنامج للحماية من الفايروسات
من متصفحك اوقف تشغيل الجافا و الاكتف اكس لانها تدخل إلى نظامك.
شغل حماية MBR BIOS إذا توافرت لديك
في برنامج Ms Office اطفأ نظام المايكرو. ففي الغالب مادام استخدامك شخصي لن تحتاجه.
لا تحمل برامج من اي موفع و من مواقع لا تعرفها ماعدا الشركا ت الموثوق بها.
لا تفتح اي ملف مرفق بالبريد ما دامت من مصدر لا تعرفه.
إذا كنت تستخدم برنامج للبريد الالكتروني اوقف استخدام لغة html في الرسائل .
استخدم برامج لا تدعم نظام التشغيل التلفائي.
اصعب خطوة .. إذا امكن غير نظامك من الويندوز إلى Linux
فنظامها الامني افضل و عدد الفايروسات فيها اقل.
البريد الالكتروني الآمن
غير رقمك السري باستمرار:
تأكد من تغيير رقمك السري باستمرار..تأكد من استخدام ارقام سرية قوية بان يتكون الرقم السري من ارقام و حروف معا و يتكون من 8 عناصر على الأقل حتى يصعب كسره.
لاتعطي رقمك السري لأي كان:
تأكد من ان لا تعطي اي شخص كان رقمك السري .. حتى لو وصلتك رسالة من مقدم بريدك تطلب منك ارسال رقمك السري.. مثلا لو كان لديك بريد على شركة الهوتميل ووصلتك رسالة من جهة تدعي انها إدارة الهوتميل تطلب منك ارسال الرقم السري لهم .. لا ترسل في اي حال من الاحوال فإن الشركة المقدمة لن تطلب منك ذلك ابدا و هي حيلة قديمة لإستغفالك و اخذ رقمك السري.
لا تفتح أي ملف مرفق من اي كان:
لا تفتح أي ملف مرفق من أي كان حتى لو كان من صديقك لا تفتحه إذا لم يكن هناك وصف او شرح لنوعية الملف المرفق أو لم تكن تعلم ما هو.
تأكد دائما من الخروج من بريدك باختيار Log Out فهذا قد يجعل اقتحام بريدك صعب جدا جدا و مقتصر على المحترفين.
كما تأكد من إغلاق المتصفح بعد الخروج من البريد خاصة لو كنت تطالع بريدك من خارج منزلك او من مقهى الانترنيت.
لا ترد على الرسال التي تأتيك بغرض الدعاية او التي تدعوك لمواقع إباحية مثلا Spam :
فهذا يدلهم على انه بريد ما زال قيد الاستخدام و سيعرضك لمضايقات اكثر . توجد في بعض انواع البريد المقدمة ما يسمى الفلتر Filter حيث يمكنك ان تعطي اسماء العناوين التي لا تريد استقبال بريد منهم .
كما هناك لدى الشركة مقدمة الخدمة عنوان بريد لتشكوهم و هو في الغالب يكون بأسم ABUSE@(مقدم الخدمة) . كما يمكنك ارسال شكوتك إلى uce@ftc.gov Federal Trade Commission مفوضية التجارة الفدرالية.. لإبلاغهم .
كن ذكيا :
أنا متأكد من أنك كذلك ..و لكن على تنبيهك على أي حال في الغالب يطلب منك عند تسجيل بريدك سؤال حتى يتمكن النظام من تذكيرك برقمك السري عند فقدانه . قد يقوم البعض بوضع سؤال كالتالي .. Where do I live مثلا أي اعيش و اي شخص تعرفت عليه مثلا في موقع حوار قد يعرف هذه المعلومة ..و سيصلة رقمك السري و يدخل بريدك بسهولة. تأكد من وضع سؤال غريب و جواب أغرب..
جدد دائما :
لو كنت تستخدم برنامج لاستقبال البريد الالكتروني تأكد دائما من تجديد برنامجك و تطويرة حتى تكون كل إجراءات الأمن بحوزتك.
اين يختبى ملف التجسس فى جهازك :
عندما تصاب باحد تلك الملفات فمعضمها او اغلبها يتجه وعلى الفور الى ما يسمى Registry او الريجسترى .. لماذا لانه عند كل مره تقم بتشغيل الوندوز فان النظام يقم بتشغيل البرامج المساعده والتى موجوده فى الريجسترى .. مثل برامج الفايروسات الاسكيو .. وغيرها .. فيقم النظام ايضا بتشغيل ملف التجسس معها ..
بسم الله الــرحمن الــرحيم
طرق اكتشاف او البحث عن ملفات التجسس :
توجد اكثر من طريقه لاكتشاف ملفات التجسس ولاكن سوف نذكر اشهر ثلاث طرق
اولا : البحث داخل ملف الريجسترى .. اتجه الى START او كلمه ابدا اذا كنت تستخدم الوندوز العربى .. ثم اضغط على RUN وعند ظهور الشاشه اكتب الامر : regedit كما هو مبين فى الرسم .
ثم اضغط على اوكى OK عندها سوف تظهر لك شاشه الريجسترى … سوف اكتب الخطوات بالترتيب ثم ندعمها بالرسم ..اتبع الخطوات بالترتيب :
اختر من الملفات : HKEY_LOCAL_MACHINE
ثم : software
ثم : Microsofte
ثم : Windows
ثم : Current Version
ثم : Run ملاحظه فى بعض الاحيان تجد اكثر من Run مثال سوف تجد
Run once او Run Service كل ما عليك ان تبحث بها كلها
عندما تضغط على Run سوف تظهر على يمينك شاشه الريجسترى وبها اوامر الريجسترى واسماء امتداد ملفات تعمل مع الوندوز … ابحث عن اى ملف غريب مثال patch.exe او Explo32
وغيرها … وعندما تجد احد تلك الملفات فقم بمسحه ..
مـــلاحظه : سوف تجد ملفات تدلك على طرق مسح واكتشاف اشهر ملفات التجسس اتبع التعليمات بدقه .. وعندما نقول امسح الملف ..يمكنك عمل ذلك بوضع مؤشر الفاره على الملف والضغط على زر الماوس الايمين وعندما تفتح الشاشه الصغيره اختر منها الامر احذف Delete
والان لنعرف اكثر ما قمنا بعمله اعــلاه سوف نعرض لك نفس الخطوات التى تحدثنا عنها فى الاعلى ولاكن بالصور …
ابحث عن اى ملف غريب او ملف تجسس داخل هذه الشاشه ..
بسم الله الــرحمن الــرحيم
الطريقه الثانيه :
سوف نبحث عن الملفات داخل ما يسمى : msconfig
اتجه الى .. START ثم الامر RUN وفى الخا نه اكتب الامر الاتى : mscconfig
سوف تظهر لك شاشه وفى اعــلاها عده اوامر اختر الامر : Startup عندها سوف تظهر لك شاشه وبها مربعات وكل مربع بهى علامه الصح … ولاكن من هذه الشاشه يمكنك الغاء عمل اى برنامج وليس حذفه .. ويمكنك الاستفاده منها فى امور اخرى .. فمثلا لديك احد البرامج التى تعمل كلما شغلت الوندوز وانت لا تستخدمه الا فى احيان قليله جدا ولا تود ان يعمل كلما قمت بتشغيل الجهاز .. ما عليك سوى التوجه الى الشاشه وازاله العلامه من المربع وعندما تود استخدام البرنامج مره اخرى قم باعاده العلامه الى مكانها وشغل الجهاز مره اخرى .. والان لنعد الى موضوعنا ابحث فى الشاشه على اى ملف غريب او تشك به .. ان وجدت اى ملف قم بتعطيله بازاله العلامه من المربع واتجه الى الريجسترى وقم بحذفه .. والان سوف نستعرض الامر بالصور وبالترتيب :
بسم الله الــرحمن الــرحيم
الطريقه الثالثه :
تعتبر هذه الطريقه اسهل الطرق .. وتستخدم عاده لكشف الباتش فايل عن طريق استخدام الدوس ..
اذهب الى الدوس ثم اكتب الامر : C:\Windows\ dir patch.*
اذا وجدت ملف الباتش قم بمسح بالامر الاتى : C:\Windows\ delete patch.*
والان الامـــر مدعوم بالصور :
من قائمة إبدأ اختار ( تشغيل ) .
عند ظهور صندوق الحوار الخاص بتنفيذ الاوامر أكتب COMMAND.
سيظهر لك اطار نظام التشغيل دوس ثم داخل الاطار وعند خانة المؤشر أكتب netstat -a ثم إضغط enter .
عند تنفيذ الخطوه السابقه سيتم عرض جميع المنافذ المفتوحه وهي التي تلي الرمز ( اما ماقبل الرمز فهو إسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الاتصال . وهي كما في الشكل التالي :
لاحظ ارقام المنافذ المفتوحه ( 135 ، 1025 )
ثم مقارنة ارقام المنافذ التي ظهرت مع ارقام المنافذ التي ذكرت في صفحة منافذ المخترقون فإذا كانت من ضمنها فان جهازك يحوي احد البرامج التي تمكن المخترقون الدخول الى جهازك ويطلع على مايشاء ويضيف مايشاء .
نموذج لبيانات جهاز يحوي برامج خاصه بالمتسللين وذلك بمقارنة المنافذ المفتوحه
لاحظ المنافذ ( 6670 ، 12345 ) تجدها ضمن منافذ المخترقون
الخطوات المتبعه عند إصابة جهازك بأحد البرامج الخاصه بالمخترقون (المتسللين )
قطع الاتصال بالشبكه .
إستخدم احد البرامج الخاصة بإزالة هذه النوعيه من البرامج مثال the cleaner ، نورتن انتي فايرس 2000 والذي يعتبر احدث نسخه من برامج الكشف على برامج الفيروسات والتراجون .
إعادة تشغيل الجهاز ومن ثم عمل فحص للجهاز مرة اخرى قبل الاتصال .
يمكن الاتصال باحد زملاؤك ذوي الخبرة ممن تثق فيهم لاطلاعك الاماكن التي يمكنك حذف هذه البرامج في حالة عدم توفر برامج الفحص .
من المفضل إستخدام برامج الحمايه التي تمنع المتسللسن من الدخول ومن أشهرها Jammer او Lockdown2000
صدق او لاتصدق
إتهام شركة مايكروسوفت بأنها قامت بزرع احد البرامج المشابهه للتروجان ضمن منتجاتها من ويندوز 98 وويندوز 95 وذلك لصالح وكالة الاستخبارات الامريكيه اي انه( إذا صدقت ) ممكن ان يكون احد العاملين هناك يطلع على جهازك الآن. ولكن هل أنت المقصود ؟
بسم الله الرحمن الرحيم
اخى / اختى الفاضله..
عندما تتصل بالانترنت ولا تستطيع ذلك .. وتكتشف فجاءه بعد الاتصال
بمزود الخدمه لك بان ساعاتك قد انتهت رغم تاكدك من عدم استخدامها جميعا
فلا تستغرب فالامر ببساطه كما يلى :
استطاع احد مخترقى الاجهزه سرقه الاسم والباص وورد الخاص بك واستخدم
ساعاتك مجاننا وبدون علمك .. فمعظم برامج الاختراق مزوده باسلحه فتاكه
تستطيع الحصول على الارقام السريه لجهازك وبكل بساطه ..
ولتعرف كيف تتم العمليه سوف تجد برنامج ملحق باسم .. افتح ياسمسم واسمه
الاصلــى هو :
LPH
قم بانزال البرنامج ثم اكتشف ما يستطيع الهاكرز الحصول عليه من جهازك بضغطه
زر … وسوف تفاجأ بالنتيجه ..
والان بعد التجربه .. قم بعمل الاتــى لتجنب الامر من الحدوث مره اخرى
اولا ::: اتجه الى ماى كمبيوتر واطلب الامر دايل اب نت وورك .. شبكه الاتصال
وعند فتح الملف قم بالغاء المعلومات جميعها بالامر :
Delete
ثم قم بمسح جميع المعلومات من الاكسبلور .. (( فقط اسم المستخدم والباص وورد
ثم اعد تشغيل الجهاز ..
بعدها .. اتجه مره اخرى الى ماى كمبيوتر .. واطلب شبكه الاتصال .. ثم اطلب اضافه
.. ادخل البيانات كالاتى :
ادخل الاسم …
ادخل الباص وورد (( لا تضغط ولا تستخدم الامر .. احفظ كلمه المرور))
Do not Ask for (( Save password))
لماذا لكى لا يحتفظ المتصفح بكلمه المرور … وما عليك الا ادخالها فى كل مره تود
الاتصال بالانترنت …
الخيار الثانى .. ان تقم باضافه الكثير من شبكات الاتصال كالاتى :
اتجه الى ماى كمبيوتر واطلب شبكه الاتصال ثم اطلب اضافه .. وقم بتعبئه المعلومات
وعندما تصل الى كلمه المرور (( الباص ورد )) اختر باص وورد غير حقيقى ..
كرر العمليه كامله عده مرات (( لا تقل عن عشر مرات )) لماذا لانه عند دخول اى مخترق الى جهازك فسوف يجن ولا يعرف ايهم كلمه المرور او الباص وورد..
ملاحظه :
لزياده درجه الامان لا تطلب من المتصفح بحفظ الباص وورد الخاص بك فى اى موقع
مثال .. الهوت ميل ..
والان بعد ان عدلت المعلومات الخاصه بك جرب نفس البرنامج الذى استخدمته للكشف عن ارقامك السريه ..وسوف ترى الفرق..
ارجو لكم الفائده..
بسم الله الــرحمن الــرحيم
كيف تتعرف على رقم الاى بى الخاص بك ((IP)) :
يسال الكثير كيف يمكن لى معرفه الاى بى الخاص بى .. وقد قرائت ان الكثير يستخدم برامج لمعرفه ذلك … مع العلم بان الامر سهل وموجود فى النظام وبدون استخدام اى برنامج وكل ما عليك هو اتباع الاتــى :
عندما تكن متصلا بالانترنت اتجه الى … ابدا (( START )) ثم اختر الامر .. رن
(( RUN )) واكتب الامر الاتـــى : winipcfg
عندها سوف تظهر لك شاشه تبين معلومات ومنها رقم الاى بى الخاص بك ..
بسم الله الرحمن الرحيم
******S
الكوكز :
تستخدم معظم المواقع نظام او برتكوول الكوكز .. والفائده منه هو فى الحقيقه تسريع الدخول الى المواقع .. ولاكن السبب الرئيسى فى وجوده هو الغايه التجاريه .. فبهذا النظام تستطيع المواقع اخذ بعض البيانات الخاصه مثل .. كم مره زرت بها الموقع .. ما نوع الجهاز المستخدم … بعض البرامج الموجوده فى جهازك .. وتقم تلك المواقع بارسال ملف صغير الى الهارد دسك عن طريق استخدام الكوكز .
والان لا باس فى الكوكز طالما انك تتجول فى مواقع معروفه ومشهوره .. ولاكن يفضل ابطال فعلها او الطلب باخذ الاذن منك قبل استقبال او ارسال اى معلومات .. فمثلا تود زياره مواقع الهاكرز او اى مواقع غير معروفه .. ما عليك سوى اما ابطال مفعول الكوكز او طجلب اخذ الاذن منك .. اذا كنت من مستخدمى اكسبلور 4 .. فاتجه الى : Internet option ومنها اختار الامر : Advance وابحث عن الكوكز … سوف تجد تحت الكوكز ثلاث اوامر الاول القبول المباشر .. والثانى طلب الاذن منك .. والثالث ابطال الكوكز .. فاختر ما تحب …
اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى :
Security ومنها تجد الامر : Custom Level ومنها سوف تجد الكوكز فاختر ما تحب …
اشهر برامج الهكارز و طرق التغلب عليها
بسم الله الرحمن الرحيم
اسـم الملـــف : Back Oriface
تعريف :
يعمل الملف على فتــح نافذه خلفيه لجهازك ..مما يمكـن مستخدمى برنامج الباك اورفز من اختراق جهازك باستـخدام البورت رقم 3317
التخلص من الملــف :
يقم الملف بالاختبـاء فى الريجسترى فايل ( registry) ويمكن البحث عنه (( ارجع لموضوع البحث عن ملفات التجسس داخل الريجسترى ) ..اتجه الـــى :
RUN..then type… regedit
HKEY_LOCAL_MACHINE + software + microsofte + windows + current Version + Run or Run once..
امتداد الملف هو : .EXE واسهل طريقه للتعرف عليه لان الاسم الخاص بالسيرفر متغير .ز هو ان اسم الملف والامتداد بينهما مسافه .. مثال : server .exe
قم بمسح المف كاملا ..
ملاحظة :
بإمكان المخترق تغيير إسم الخادم من exe. إلى إسم أخر أحيانا يكون إسمه Shell.exe لذا عندما تقوم بالبحث في مجلد ( Run Services ) في ملف التسجيل إبحث عن أي إسم مثير للشك أو غريب عليك وانقر على إسمه مرتين وسوف يظهر لك المكان الذي يتواجد به البرنامج ، توجه للمكان الذي يشير اليه ثم إذا وجدت أن حجمه 123 أو 122 كيلو بايت فمن المحتمل جدا أن يكون هو الملف المطلوب
ثانيا : Back Orific 2000
نظام التشغيل
WIN 95 - WIN 98 - WIN NT
الملف الخادم BO2K.EXE
حجم الملف الخادم ----
المنافذ التي يستخدمها 54320 - 54321
التخلص منه :
- إضغط على إبدأ start ثم تشغيل
- إكتب في مربع التشغيل regedit لكي تدخل الى ملف التسجيل ثم إنقر على موافق Ok
- في الجهة اليمنى من ملف التسجيل إنقر على علامة + من أمام العبارات التالية :
HKEY_LOCAL_USERS
+Software
+ Microsoft
+ Windows
+ Current Version
- إنقر على المجلد Run services ، ثم إبحث في الجهة اليسرى من ملف التسجيل عن ملف إسمه Key:UMG32.exe
- أطفئ الجهاز وأعد تشغيله في وضع الأمان ( safe mode )
-حدد الملف بالماوس ثم أنقر بالزر الأيمن وأختر حذف ( delete )
- أعد تشغيل الجهاز
بسم الله الرحمن الرحيم
نظرة عامة على برنامج Net Bus
قام مبرمج سويدي يدعى كارل نيكتر أوائل عام 1998 بإصدار نسخة تعمل على الويندوز 95/98 تسمــى Net Bus والذي يتم تشغيله من خلال كمبيوتر ما بعيداً عن الكمبيوتر الضحية.
ويعمل Net bus على أي جهاز قائم على نظام التشغيل ويندوز 95 أو 98 ولا يعمل على نظام NT حتى الأن .. وما يزيد الأمر خطورة هو أن الـ Patch الذي يُزرع في جهاز الضحية يمكن تسميته بأي إسم بواسطة الشخص الذي يريد وإن كان من الممكن إكتشافة بسهولة وفي الأصل يتم طرح نسخة البرنامج الخادم تحت مسمى "patch.exe" وذلك كملف منفصل ومستقل بذاته يتم طرحه مع ملف Net Bus الأصلي ويمكن أيضا دمج البرنامج مع لعبة ما منتشرة على الإنترنت تسمـى (whackjob) وكذلك مع عدة برامج وألعاب أخرى ، حيث يتم تحميل البرنامج الخادم داخل جهاز الضحية تلقائيا بمجرد تشغيل العبة على الحاسب
إمكانيات برنامج Net Bus
ويسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية كالتالي :
1- يقوم بفتح وغلق باب سواقة الأقراص المدمجة (CD-Ram ) بصورة مفاجئة على جهاز الضحية
2- عرض صورة مفاجئة على جهاز الضحية
3- استبدال مفاتيح الماوس (mouse buttons) الأيمن والأيسر حيث يجعل المفتاح الأيسر يقوم بعمل المفتاح الأيمن والعكس ..
4- تشغيل برنامج معين بصورة مفاجئة
5- عزف اي ملف صوتي
6- وضع مؤشر الماوس في نطاق معين بالشاشة لا يستطيع المستخدم أن يتعداه
7- بل يمكن استخدام الماوس الخاص بجهاز الضحية عن بعد بواسطتك وكأنك أنت الموجود على الجهاز بدون سيطرة المستخدم الأصلي على ذلك
8- عرض رسالة ما على شاشة كمبيوتر الضحية والتي يستطيع المستخدم الرد عليها حيث تعود إليك مرة أخرى
9- يمكن أيضاً إقفال وإعادة تشغيل جهاز الضحية
10-الذهاب الى موقع وب معين بواسطة متصفح الوب المستخدم
11- الكتابة عن البرنامج الذي يستخدمة المستخدم في حينه بدون سيطرة المستخدم نفسه
12- التجسس على المستخدم ورؤية أي كلمات يكتبها المستخدم على جهازه
13- التقاط صورة لسطح الكتب ( Desktop ) الخاص بجهز الضحية
14- إرسال معلومات عن كمبيوتر الضحية للشخص المتلصص
15- عرض محتويات القرص الصلب بالكامل من ملفات وبرامج
16- تحميل ( Download ) أي ملف من الكمبيوتر الضحية
17- وضع (upload ) أي ملف من جهاز الضحية ( من خلال هذه الخاصية يمكن تحديث الملف الخادم بنسخ احدث منه )
18- التحكم في علو وإنخفاض الصوت في جهاز الضحية
19- اذا كان متصلاً بالجهاز أي ميكروفون ... فإنه يمكن تشغيل هذا الميكروفون للاستماع لأي حديث دائر بالغرفة
20- عمل صوت ما عند كل طرقة (CLICK) يقوم بها على لوحة المفاتيح
21- حذف أي ملف من على القرص الصلب أو حتى حذف محتويات القرص الصلب بالكامل
22- إلغاء وظيفة ( Disable ) مفاتيح معينة من على لوحة المفاتيح
23- إقفال اي نوافد او برامج مفتوحة
24- عرض البرامج المفتوحة التي يقوم المستخدم بإستخدامها في الوقت الحالي
25- إضافة كلمة مرور على الملف الخادم لكي تسمح فقط للمتلصص بالدخول على هذا الكمبيوتر دون سواه ممن يملكون برنامج Net Bus
كل هذه الوظائف يمكن لأي مستخدم لدية هذا البرنامج أو غيرة من برامج الباب الخلفي مع إختلاف قدراتها أن يستخدمها على كمبيوتر الضحية المخزن به الملف الخادم
اسم الملف : Net Bus Ver 1.6 & 1.7
تعريف :
الحقيقه ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر …
التخلص منه :
النت باص يستخدم الباتش سيرفر ويختبى فى الريجسترى ..وللتخلص منه اتبع الاتى :
يجب اولا اطفاء الجهاز وتشغيله فى وضعيت السيف مود : safe mode
اتجه للريجسترى ثم ابحث عن الملف الاتــى :
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره اخرى..
أولا : Netbus pro
تعد هذه الإصدارة أقوى من الإصدارت السابقة 1.6 و 1.7 وذلك لتوفر العديد من المزايا في التحكم في جهاز الضحية وكذلك لقوة إدارة ملف السيرفر ( ملف التجسس ) الخاص بالبرنامج
نظام التشغيل
WIN 95 - WIN 98 - WIN NT - WIN 2000
الملف الخادم عادة يكون NBsrv.exe
حجم الملف الخادم 599 Kb
المنافذ المستخدمة 20034
التخلص منه
- إضغط على إبدأ ثم تشغيل
- إكتب في مربع التشغيل regedit لكي تدخل الى ملف التسجيل ثم أنقر على موافق Ok
- في الجهة اليمنى من ملف التسجيل إنقر على علامة + من أمام العبارت التالية
+HKEY_LOCAL_MACHINE
+Software
+ Microsoft
+ Windows
+ Current Version
-إنقر على المجلد Run Services إبحث في الجهة اليسرى عن ملف إسمه NBsvr.exe
- حدد الملف بالماوس ثم إنقر بالزر الأيمن وأختر حذف (delete)
- _ أخرج من ملف التسجيل ثم إرجع اليه مرة أخرى وتتبع نفس التسلسل السابق من المجلد HKEY_CURRENT _USER
- ستجد تحت مجلد Current version مجلد إسمه NetBus Server حدده بالماوس ثم إنقر بالزر الأيمن وأختر حذف ( delete ) ثم أخـرج من ملـف التـسـجـيـل
- إذهب الى مجلد النظام ( System ) ثم أحذف الملفات التالية :
NBsvr.exe و NBHelp.dll و log.txt
بسم الله الرحمن الرحيم
اسم الملف : Net Bus 2000
تعريف :
برنامج النت باص 2000 يستخدم السيرفر العادى وهو : server.exe ولاكن يمكن تغير الاسم … وهو يسجل نفسه ولاكن غفى منطقه اخرى فى اليجسترى ..
التخلص منه :
للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من : HKEY_LOCAL_MACHIN اتجــه الــى : HKEY_LOCAL_USERS
ثم ابحث عن :
HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE
الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود ( Safe Mode) ثم تخلص من الملف واعد تشغيل الجهاز..
بسم الله الرحمن الرحيم
اسم الملــف : Heack’a Tack’a واسم السيرفر server.exe
تعــريف :
يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجــاده
التخلص من الملف :
يقم الملف او السيرفر بالاختباء فى ملف الريجسترى .. قم بالاتجاه الى الريجسترى كما سبق وان شرحنا وعندما تصل الى : Run او Run once ابحث عن الملف :
ان كنت مصاب بالملف سوف تجد الاتى فى ملف الريجسترى مع علمى الاكيد بان الكثير مصابين بهذا الملف :
Explorer32 "C/WINDOWS\Expl32.exe
قم بمسح الملف على الفور …
بسم الله الرحمن الرحيم
الاســــم : ICQ Torjan
تعريف :
يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف بتغير الاسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح ICQ2.EXE ….
التخلص منه :
يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالاسكيو وقم بحف ملف الاسكيو
ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE
بسم الله الرحمن الرحيم
اسم الملــف : Master Paradise
تعريـف :
يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى
التخلص منه :
اتجه للرجسترى ثم ابحث عن امتداد الملف :
“C:\windowds\nameofthe.exe
عندما تجد هذا الملف فى اليجسترى قم بمسحه ..
برنامج Sub Seven
أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه يعتبر أقوى برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ كما يمكنه إختراق مزودات البريد smtp/pop3 يعتبر الإختراق به صعب نسبيا وذلك لعدم إنتشار ملف التجسس الخاص به في أجهزة المستخدمين الا أنه قائما حاليا على الإنتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام 2001 سوف تكون نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع كلمات المرور التي يستخدمها صاحب الجهاز !!! ولخطورته الكبيرة فسوف نفصل في الشرح عنه
التعديلات التي يحدثها هذا البرنامج في جهاز الضحية :
ملف التسجيل
ينشئ القيم التالية :
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\.DL
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOT\DIRECTXMEDIA
KERNEL16="KERNEL16.DL
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\.DL\@=EXEFILE
مجلد النظام rundll16.exe أو KERNEL.dll 35 كيلو بايت
MOVOKH_32.dll 35 كيلو بايت
nodll.exe 35 كيلوبايت
watching.dll 35 كيلوبايت
ملف System.ini في السطر الخامس يقوم بإضافة إسمه بعد عبارة explorer.exe
ليصبح السطر بعد التغيير :shell=Explorer.exe urndll16.exe
ملف win.ini في الأسطر الأولى تحديدا في القيم التي توضع أمامها البرامج
المراد تشغيلها أثناء تشغيل الويندوز مثل :
run=###.exe أو Load=###.exe
أعـراض الإصابة :
من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء عملية غير شرعية … " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على لوحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من الويندوز بإستخدام بعض الملفات المساعدة له في ذلك
خطورة البرنامج :
يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .
التخلص منه :
1- افتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذاالملف عن أي قيك شبيهة بالقيم التـالية :
run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll
لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها
2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي :
shell = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :
shell=Explorer.exe xxxx.exe .... أو shell = Explorer.exe xxxx.dll
مع العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر :
shell = Explorer.exe
3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى
ملف السجل ثم قم بالدخول تسلسليا على الأتي :
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
داخل المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في مــلف system.ini أو الملف win.ini ( في بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك إبحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا كان كذلك عد لنفس المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار
حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن للماوس وإختيار حذف
اهم عيوب برنامج الاكسبلوار الأمنية
لا يخفى عليكم ما يتميز به المتصفح الأكسبلور الخامس من مميزات كثيرة سهلت على المستخدم أمور كثيرة ومن أبرز هذه المميزات ميزة (( AutoComplete))
تجعلك هذه الميزة عندما تكتب أول حرف من أي كلمة كاسم المستخدم أو إدخال كلمة السر في أي موقع يقوم المتصفح نيابة عنك بإكمالها وهذا معروف لديكم جميعاً .لكن هل تعلم أن هذه الميزة من أخطر الأمور إذا تم إختراق جهازك من الهاكرز طبعاً سوف يجدون كل كلمات السر وأسم المستخدم التى أستخدمتها في جميع المواقع سواء مواقع البريد المجاني أوغيره بدون إستثناء بين أيديهم على طبق من ذهب
لهذا أخي الحبيب نصيحة قم بتعطيل هذه الميزة من المتصفح ولماذا العجلة تتأخر خمس ثواني تكتب أسم المستخدم وكلمة السر في كل مرة تذهب إلى أي موقع أو تجلس خمس ساعات تعمل فرمته لجهازك بعد إقتحامة
كيف توقف هذا العيب
افتح المتصفح ثم اذهب الى قائمة ادوات Tools
واختار خيارات انترنت Internet Options
ثم اختار لسان التبويب *******
واضغط على Auto Complete
وقم بإزالة السهم بجانب User names and passwords on forms
تنبيه لمن يجهل الأمر
---------------------
كل برامج الهاكر السابقة تشتمل على أحصنة طرواده المسؤولة عن تسريب المعلومات وهي ملازمة لها في عملها لا تنزل شيئاً منها بجهازك وتشغله فتصبح الضحية فقط للإطلاع أو يخصص لها جهاز مستقل .
إذا كنت من مستخدمي Intruderalert99 فأضف إليه منافذ المخترقون لغلقها
وفي الختام أقول للزائرين الكرام مثلما أنا حريص على الوقوف بالقارئ العربي على عين الحدث حتى لا يصطاد على غرة حريص في نفس الوقت ألا يساء إستخدام ما ذكرت ضد أي بشر مسلم أو غيره واذكر
إذا ما خلوت الدهر يوماً فلا تقل خلوت ولكن قل علي رقيب
للحماية ركب اللوك داون أو كلينر ثري أو الجامر الآن من موقعنا
مثلاً، يوفر لك من خلال خدمة إمكانية إخفاء رقم الابي عن المواقع التى ترغب في زيارته،
ويوصلك إليه، بدون أن يمكّنه من تسجيل أي معلومات حقيقية عنك، حيث سيبدو للموقع الذي تزوره، أنك قادم من عنون اخر وتقدم هذه الخدمة إما مجاناً بسرعة بطيئة نسبياً، أو بمقابل مع سرعة جيدة، ومزايا أفضل خدمات ويوفر الموقع، أيضاً، إمكانية إخفاء هويتك عن مزود . إنترنت، الذي تشترك لديه، من خلال خدمة اخر يعود تصرفاتك على الشبكة، باستخدام تقنيات تشفير متطورة (128 بت)، فلا . تشفّر هذه الخدمة، كل مزود الخدمة، قادراً على معرفة أسماء المواقع التي تزورها، أو الكلمات التي تبحث عنها، وتضمن، أيضاً، سرية إرسال رسائل البريد الإلكتروني، والدردشة عبر إنترنت
موقع آخر شهير في هذا المجال، ننصحك بزيارته، هو
(Ultimate Anonymity - INTERNET PRIVACY - SECURITY SOLUTIONS)
يقدم هذا الموقع خدماته بأسعار زهيدة جداً، تبلغ 14 دولاراً، تدفع مرة واحدة فقط
هل يضمن الاشتراك بالخدمات المذكورة، إخفاء هويتك، بشكل كامل، وأنت تبحر في إنترنت؟
لا، فالجهة الوسيطة، التي تقدم لك هذه الخدمات، تحتفظ بسجل عن كافة تحركاتك، لكنها لا تكشفه، إلا في حال وقع اعتداء معين، مصدره الكمبيوتر التي تستخدمه، كأن ترسل رسائل تهديد إلى الآخرين، أو قنابل بريدية، أو تقوم بتصرفات أخرى تخالف القوانين الأمريكية، وهي البلد الذي توجد فيه تلك الجهات
تسمح الخدمات السابقة، بتصفح المواقع التي يمنعها "البروكسي"، ويحتمل، لهذا السبب، أن يمنع بعض مزودي خدمات إنترنت في البلدان العربية، الوصول إلى المواقع التي تقدم مثل هذه الخدمات
الضعف الأمني في برنامج ICQ :
يعيب برنامج ICQ استخدامه خاصية client to clientالعمـيـل للعـمـيـل بالرغم من بعض مزياها بدلا من خاصية client to server ( العميل للمزود ) والتـي هـي أكـثـر أمـانــاً وقـدرة على الصمــود أمام غزو الهاكرز فتكنلوجيا الـــ ICQ تبني على تواجد خادم متصل بقاعدة من الشبـكــات العـديـدة لكي يمكنها خدمة هذا العدد الهائل من المستخدمين .. ..
ويصر مصممي برنامج ICQ الإسرائيلي الجنسية على أهمية الاستفادة من خاصية العميل للعميل لـكــي يـتـم الـتـقـلـيـل مـن عــبء تـحــمـيـل كل الرسائــل على الخـادم الرئـيـسي على حد تـصريح يائير جولدفينجر أحد اربعة من مصممي ICQ
ولكن الأمر السيئ هو أن اسـتـخـدام ICQ هو بـمـثابـة كتابة رسالة على كارد معايدة كبير و وضعة في أحد الميادين لكي يمكن للمستهدف قراءته فأي شخص مـهـما كـان قـليـل الخـبـرة يـمـكـن بــواســطة أحد برامج الهاكرز المنتشرة على الإنترنت أن يرى ما تقوم أنت بتبادله ، فالبرنامج مـن البـداية لم يكن مصمماً بأي أسلوب للحماية الأمنية والسرية ...
الشركــة الأسرائـيـليـة ميرابيلز ( Mirabilins ) التـي قـامت بعمل ICQ أشارت أن الخدمة من البداية لم تكن مصممة للمهام الصعبة أو لتوصيل ( الرسائل السرية ) فـقـد صرح - يوسي فاردي - مـديــر تـطويــر الأعمال بميرابيلز بأن الشركة الان تعمل على تـطويــر الـدواعـي الأمـنــية بالبرنامج بالإضافة الى تطوير العديد من المزايا الأخرى تباعاً ولكن في النهاية فإن ICQ لن يشتمل على النـظام الأمـني المستخدم في البنوك .. وفي بداية هذا العام جرت الشائعات أن ميرابيلز تتفاوض مع شركة امريكا او لاين ( AOL ) لتكنولجيا ICQ وقـد لـوحـظ عـدم تـعـلـيـق أي من الشركـتـين على الشائعات ثم ما لبث الأمر أن أصبح حقيقة واقعية عندما تم الإتفاق على سداد AOL لمبلغ 400مليون دولار لميرابيلز
معظم خبراء الشبكات السرية يذكرون أن أعـظم مـشكلــة في نظام ICQ هي البـروتــكـول المستـخدم لعمل البرنامج والذي لكي يتم تغييره فإن هذا يعني إنـشاء الـبـرنامج من البداية فلقد صرح أحد الخبراء بأنه لاحظ أن ICQ يستخدم نظام ( UDP ) بين العميل والخادم و أن نظام الــUDP المستـخـدم بـواسطة ICQ لم يكن مؤمناً من البداية ... فمصممي ICQ قد حـاولوا إخـفـاء الأجـزاء المهمة للبروتكول عن أعين المتلصصين ولكنهم للأسف لم يحاولوا تشفيرها
وقد صرح خبير أخر يسمى ماكجن McGann بأن ICQ مـن المـمـكـن أن يـكون وجــبـة شهـيـة للهـاكـــرز لا تستخدمها للحصول على معلومات حساسة وهامة . و أضاف ماكجن بـأنــه اسـتـطاع تـطويـر برنامج يستطيع من خلاله رؤية بل وتغيير رسائل الــ ICQ أثناء مرورها بيـن اثنـين من المستخدمين اليه بدون علمهم . وأن هذا البرنامج سيتم طرحة قريباً على الإنترنت
و أضاف مـاكـجـن بـأن ميرابيلز تـقــوم بإصدار مـنتج يتيح لأي شخص أن يكون ( أنــت ) وانه حتى لو لم يستخدم ICQ للمهام الصعبة ( فـإن البـرنـامـج ليس له أي فائـدة تـذكر حتى للاســتــخـدام العادي بما يحتوية من قصور أمني واضح ) وتحدى ماكجن ميرابيلز بأن تقوم بعمل تـعــديــل جـوهري في البروتكول المستخدم لصد برنامج Hijack ( سيأتي ذكره في عمليات الإختراق )
برامج إسرائيلية متطورة
كـثـفـت الـشركـات الإسرائـيـليـة جـهـودها خلال العامين الماضيين على تطوير تقنيات لإنترنت وانتجت مـجـمـوعـة من البرامـج التي نالت إنتشارا عالميا واسعـا ، مـثـل بـرنـامـج الدردشـة الشهـيـر ICQ وهو البرنامج المليئ بالثغرات الأمـنـيـة الـتي تـسهل مـهـمة المتجسسين كثيرا ومن البرامج الأخرى التي
حـظيـت بانتشار عـالـمـي واسع بـرنـامـج جـدران النـار Fire wall-1 الــذي يـستـخـدم لحـماية النظم من الإختراق الخارجي لكنه يوفـر إمـكـانـيـات كبيرة للتجسس على موظفي المؤسسة والتعرف على تـصرفـاتــهـم عـبـر إنـتـرنــت ..ومـن البـرنامـج الإسرائيلية الشهـيـرة بـرنـامج يـدعــى Session Wall-3 والذي يستخدم لتحليل حركة المرور على شبكة مزود خدمات إنترنت ، وينـتج تـقريـراً يـتضمن تفاصيل دقـيـقـة جـداً عـن تـصرفـات مستـخـدمـي إنـتـرنت ، وقـد قام لانس جولاندر صاحب مؤسسة كبيرة في
ولايـة أوريـجـون الأمـريـكيـة بـتـجـريـب هـذا الـبرنامـج فأذهـلة مستوى تفاصيل المعلومات التي أنـتجها البــرنــامـــج عن زبـــائــنــه وقــال : (خيل لي أنني أراقب المستخدم من بين يديه ، مما جعلني أشعر بالغثيان لقدرتي على رؤية التفاصيل الدقيقة) وبـذلـك تـكـون البــرامــج الإسـرائـيلية من أخطر البرامج
كيفية الحماية من الهاكرز
اما ماقبل الرمز فهو إسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الاتصال . وهي كما في الشكل التالي :
العرض العادي
