Ahmad81
10-09-03, 09:55 AM
*************** منقــــــــــــــــــــــول *****************
هل اخترق جهازك ؟ هل به فيروسات ؟ اليك الحل .! (الدرس اأول)
المخترع ...
================================================== ===================
السلام عليكم ورحمة الله وبركاته
أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك
والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفرserver أو الباتش batch وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك
كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت
والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً
وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج
والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط
وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيس http://www.qkiss.com/ ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك
الباك دور BackDoor :
وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.
للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
DATA2.EXE TINURAK.EXE WATCHING.DLL
وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
WINDOW.EXE NODLL.EXE SERVER_33.DLL
الباك اورفيس :
برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط
والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط
والتخلص منه يكون بالخطوات التالية :
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit ( شكل 1 )
ثم قم بالذهاب الى المفتاح التالي :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV
ersionRunService
( شكل 2 )
قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي
C:WindowsSystem
وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه
Windll.dll
قم بحذفه هو أيضا لأنه تابع لباك أورفيس
بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا
الباك اورفيس 2000 BO2k:
وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية
الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
BO2K backdoor.BO2K
طريقة معرفة وجودة في جهازك والتخلص منه :
يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي
http://www.spiritone.com/~cbenson/c...backorifice.htm
النت بس NetBus 1.x :
ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة
حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346
طريقة التخلص منه كالتالي :
قم بتشغيل محرر التسجيل وذلك بالطريقة التالية
أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي
Regedit ( كما في شكل 1 )
ثم أذهب إلى المفتاح التالي
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV
ersionRun
ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم
من ثم أذهب إلى المجلد التالي
c:WindowsSystem
وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط
ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة
السب سيفن Sub7 :
برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك
يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك
Kernel.dl
Rundll16.exe
Movokh_32.dll
Watching.dll
Nodll.exe
مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق
:كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك
HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER
NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile
أيضا يقوم السيرفر بأضافة أوامر للملفات التالية
System.ini ===>Shell=Explorer.exe rundll16.exe
Win.ini ====> Run=????.exe Or Load=????.exe
والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق
:وطريقة التخلص منه كالتالي
قم بالذهاب الى الملفين
System.ini
هل اخترق جهازك ؟ هل به فيروسات ؟ اليك الحل .! (الدرس اأول)
المخترع ...
================================================== ===================
السلام عليكم ورحمة الله وبركاته
أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك
والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفرserver أو الباتش batch وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك
كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت
والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً
وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج
والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط
وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيس http://www.qkiss.com/ ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك
الباك دور BackDoor :
وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.
للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
DATA2.EXE TINURAK.EXE WATCHING.DLL
وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :
WINDOW.EXE NODLL.EXE SERVER_33.DLL
الباك اورفيس :
برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط
والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط
والتخلص منه يكون بالخطوات التالية :
قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
Regedit ( شكل 1 )
ثم قم بالذهاب الى المفتاح التالي :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV
ersionRunService
( شكل 2 )
قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
ثم أذهب للمجلد التالي
C:WindowsSystem
وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه
Windll.dll
قم بحذفه هو أيضا لأنه تابع لباك أورفيس
بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا
الباك اورفيس 2000 BO2k:
وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية
الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
BO2K backdoor.BO2K
طريقة معرفة وجودة في جهازك والتخلص منه :
يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي
http://www.spiritone.com/~cbenson/c...backorifice.htm
النت بس NetBus 1.x :
ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة
حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346
طريقة التخلص منه كالتالي :
قم بتشغيل محرر التسجيل وذلك بالطريقة التالية
أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي
Regedit ( كما في شكل 1 )
ثم أذهب إلى المفتاح التالي
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV
ersionRun
ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم
من ثم أذهب إلى المجلد التالي
c:WindowsSystem
وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط
ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة
السب سيفن Sub7 :
برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك
يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك
Kernel.dl
Rundll16.exe
Movokh_32.dll
Watching.dll
Nodll.exe
مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق
:كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك
HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER
NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile
أيضا يقوم السيرفر بأضافة أوامر للملفات التالية
System.ini ===>Shell=Explorer.exe rundll16.exe
Win.ini ====> Run=????.exe Or Load=????.exe
والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق
:وطريقة التخلص منه كالتالي
قم بالذهاب الى الملفين
System.ini