ملاحظة

قبل الشروع في تجربة التلغيمة نحتاج ل

جهاز وهمي لذا قوموا بتنصيب أحد هذه البرامج

VirtualBox -

Microsoft virtual Pc -

Vmware -

القسم الثاني : حماية حساباتك الشخصية قبل الدخول
لعالم كشف تلغيم البرامج.

1- حذف كلمات السر وبياناتك على الجهاز قبل عملية الفحص لانك اول ماتفتح برنامج ملغوم تلقائيا يرسل للهكر ملف يسمى " كيلوجر " بها كل كلمات السرالمخزنة في جهازك من منتديات او مواقع وايميلات او كلمات سر محادثات ...ألخ
فاحذفها من جهازك قبل الفحص وبعدين افحص .
لانه لوكانت كلمات السر مخزنة بالجهاز وفورا شغلت البرنامج الملغوم تقع بالفخ وتسلب بياناتك ..
فالافضل تحذف الكلمات كلها وتنظف الجهاز ومن ثم افحص اذا البرنامج ملغوم اعد تشغيل الجهاز بشرط انك مشغل تجميد النظام كما اسلفت سابقا .. وانا حينها اضمن لك عدم سرقة اي حساب او كلمات السر المخزنة بالمتصفحات والجهاز.



طبعا قبل ماتحذف كلمات السر المخزنة ’ يجب انك حافظ كلمات سرك وكاتبها بمفكرة بجهازك او ورقة خارجية في مكتبتك للامان ..

لكن اذا مثلا نسيت كلمة سر المسن او منتدى او موقع فهناك برنامج يسترد او بمعنى ادق يقوم بعرض كلمات السر المخزنة بجهازك

لكن بشرط انك دائما تضع علامة صح امام خانة ( تذكر كلمة المرور ) او ( الاحتفاظ بتسجيل الدخول ) او ( حفظ بياناتي ) وماالى ذلك من هذه العبارات ..
فان وضعت الصح سيخزن الجهاز تلقائيا هذه الكلمات السرية مع يوزراتها على جهازك ’ وحينها باماكانك تشغيل برامج استعراض الكلمات وتراها امامك ..


نختار على سبيل المثال موقع الجيميل :



^
^
طبعا انا لاانصح ابدا وضع علامات صح امام تذكر كلمات المرور او تذكر بياناتي

الان هذه البرامج فقط للاشخاص الذين نسوا كلمات السر المخزنة بجهازهم حتى يعرفوها ثم نذهب للشق الاخر وهو حذفها.. ..

مثلا لو كان عندك متصفح الفايروفوكس firefox
حمل برنامج PasswordFox
الموقع الرسمي :
http://www.nirsoft.net/utils/passwordfox.html
رابط تحميله مباشرة من الموقع نفسه :
http://www.nirsoft.net/utils/passwordfox.zip

كما تشاهد تظهر لك كلمات السر المخزنة :




وهذا برنامج اخر يعرض كل كلمات السر المخزنة في متصفح Enternet explorer
الموقع الرسمي :
http://www.nirsoft.net/utils/interne..._password.html

ربط تحميله مباشرة من الموقع :
http://www.nirsoft.net/utils/iepv.zip




بالنسبة لكلمات السر الخاصة ببرامج المحادثات
استخدم الاتي:
برنامج MessenPass
الموقع الرسمي :
http://www.nirsoft.net/utils/mspass.html
رابط تحميله مباشره من الموقع نفسه :
http://www.nirsoft.net/utils/mspass.zip

طبعا البرنامج يسترد كل كلمات سر المحادثات مثل :
MSN Messenger
Windows Messenger (In Windows XP)
Windows Live Messenger (In Windows XP/Vista/7)
Yahoo Messenger (Versions 5.x and 6.x)
Google Talk
ICQ Lite 4.x/5.x/2003
AOL Instant Messenger v4.6 or below, AIM 6.x, and AIM Pro.
Trillian
Trillian Astra
Miranda
GAIM/Pidgin
MySpace IM
PaltalkScene
Digsby

وهناك كثير على شاكلة هذه البرامج مثل كلمات سر الوايرلس والاتصالات ...الخ
زر الموقع وابحث عن ظالتك

http://www.nirsoft.net/

حذف الكلمات المخزنة بالجهاز :

بعدما عرفنا كلمات السر الان نقوم بحذفها وليس شرطا استخدام برامج كشف الباسووردات اعلاه ان كنت تعلمها فلا تستخدم البرامج اعلاه ..

الان سترى كيفية حذف كلمات السر وضبط الاعدادت على متصفح Enternet Expolrer

لاني انصحكم بعدم وضع علامة صح امام كلمة تذكر كلمة السر او تذكر بياناتي او حفظ تسجيل الدخول تلقائيا ومالى ذلك .. حتى لاتخزن كلمات السر بالجهاز وفور اختراق الجهاز ببرنامج ملغوم مثلا تلقائيا تسحب كلمات السر وتخسر كل شىء :
(

تابع الآتي:







الان نشرح على متصفح الفايرفوكس .. كيف نعطل تذكر كلمة السر
اتبع الاتي :





الان الشرح مع متصفح قوقل شروم
Google Chrome







الان نشرح حذف كلمات السر ايضا من خلال البرنامج الرائع CCleaner
حتى نتأكد تماما من حذف كل كلمات السر لديك

الموقع الرسمي:
http://www.piriform.com/ccleaner

او
http://download.cnet.com/ccleaner/?tag=mncol;1

مهمة البرنامج : له مهام كثيرة لكن مايهمنا بهذا الدرس هو حذف كلمات السر المخزنة بالجهاز والكوكيز.

نبدا بتنصيب البرنامج :























اانتظر دقيقتين لحيثما يتم مسح كل كلمات السر بالجهاز

مثلما ذكرت اكثر من مرة لاتضع علامات صح اما " تذكر بياناتي " او تذكر كلمة سر " او ماشابه .. انت فقط احفظ الكلمات السرية بعقلك.



والكلام ايضا لكل المواقع ومنها المسن :



اذن مثل ماتشاهد اللي عندها اكس احمر لاتضع امامها علامة صح ابدا ابدا ابدا
اما تذكر بياناتي ممكن تضعها لانك لو وضعتها وسجلت دخول لن يتذكر الا الايميل اما كلمة السر لن يسجلها لك ..
ولكن انصحك بعدم وضع الكل وريح راسك..



ولكن هناك حل لحماية اجهزتنا من ترصد نقرات الكيبورد فور اختراقنا ممكن يخترق جهازك هكر ومايقدر ياخذ منك اي كلمة لانك تقوم بتشفير نقرات الكيبورد فستظهر له الاحرف غريبة ومطموسة..
لذلك يجب الا تستغني ابدا ابدا عن برنامج keyscrambler

الموقع الرسمي :
http://www.qfxsoftware.com/index.html

هناك حاليا ثلاث انواع :
هذا افضل الانواع لانه يغطي 25 متصفح و150 من التطبيقات المهمة 1- KeyScrambler premium =
ايضا قوي يغطي 25 متصفح و100 من التطبيقات المهمة = 2- KeyScrambler Professional
يغطي ثلاث متصفحات فقط = 3- KeyScrambler personal
IE, Firefox, and Flock

الترخيص :
جميعها تحتاج الشراء عدا الثالث مجاني

نقوم بتنصيب الاصدار المجاني personal





الافضل تختار نعم ’ حتى يقوموا بتحديث البرنامج لك .





اشر على المتصفحات الموجوده بجهازك ..









الان ستجد ايقونة البرنامج بجانب الساعة ’ واما شريط البرنامج الاخضر فوق وتقدر تغير مكانه



ذا ايقونة البرناج صفراء يعني شغال : اذا حمراء مغلق


شاهد كيفية عمل البرنامج .

القسم الثاني : كشف التلغيم من خلال الاتصالات الخارجية .

2- كشف التلغيم من خلال كشف عمليات الحقن التي تتم بالمتصفحات والمسن
ببرامج :
1- ProcessExplorer
MKN_TaskExplorer -2
X-NetStat - 3
　
3- كشف النو اي بي no-ip تبع الملغم ببرامج :
1- wireshark
2-smartsniff
3-NetSnifferCs

مقدمة :
- التلغيم : هو عبارة عن دمج " باتش " بصورة او فديو او برنامج او صفحة ويب ..ألخ
الباتش :هو ملف يخرج من برامج الهكرز ' ويستعان به بارساله لاي شخص تود اختراق جهازه
تشفير الباتش : -
هو تغيير قيم الباتش المعروفة لدى برامج الحماية حتى لاتحذفها برامج الحماية .. فبرامج الحماية تصنف برامج الهكرز وباتشاتها برامج ضاره.

ماهي الاتصالات الخارجية :
بكل بساطة بالاتصالات هي اي اتصال يتم من جهازك فهناك اتصالات وارده واتصالات صادرة .
.فلا يمكن ان تتصل بالنت الا سيكون له منفذ او برتوكول خاص يتم من خلاله استقبال الملفات ونقلها.
فحينما تتحدث مع صديقك على المسن ’ يتم ربط الاي بي تبع صاحبك وجهازك ’ ويتم نقل الملفات عبر البورتات .

فهذا هو معنى ومفهوم الاي بي والبورت ’ فكل جهاز له اي بي وكل اتصال له بورت .
فكثير برامج تحتاج ان يكون بين جهازك وشركتهم اتصال بالاي بي والبورت حتى يرسلوا لك تحديثاتهم او خدماتهم .

فانت الان مثلا حملت برنامج متصفح اكسبلورر من المنتدى ’ معروف متصفح الاكسبلورر يتم الاتصال به من خلال بورت 80 فان نصبته يجب معرفة ماهو بورت الاتصال الذي سيحدث حين تثبيته وتراقبه .. شاهد كل بورتات برامج الاختراق ’ وان خرج بورت اتصال مثلا 3460 فهو مدموج ببرنامج الاختراق بايزون ’ وان خرج بورت 81 ملغوم ببرنامج الاختراق البايفروست ..الخ

ماهو الـ نو اي بي ؟ no-ip
النو اي بي يستخدمه الهكرز يسجلوا بموقع النو اي بي ويحصلوا على حساب ويتصل الهكر بك عن طريق النو اي بي بدل الاي بي فالنو اي بي بديل للآي بي ..

- هناك موقع ايضا يقدم خدمة مثل موقع no-ip
هو DynDNS
وايضا ممكن الهكر يستبدل no-ip بـ دومين موقع
ممكن يفتح دومين من مواقع مجانية عشان يخترق
عندك مواقع مجانية تقدم هالخدمة مثل
www.iana
just free.com
co.cc
والكثييييييييييييييييير
فان شفت مثل هالمواقع اثناء الفحص او ايميل فاعرف انه ملغوم
ممكن يطلع موقع غير الذي ذكرت فانت انسخ الموقع وضعه بغوغل ان كان الموقع يقدم خدمة فتح دومين مجاني للناس فاعرف ان البرنامج ملغوم.

واذا حصلت على النو اي بي ماذا استفيد ؟
تستطيع فعل الكثير ’ مثل تبلغ شركة موقع no-ip وترسل ايميل لهم انه صاحب الحساب يستخدم خدمتهم للاختراق ويقفلوا حسابه وتطير انت والضحايا من عنده

بمعنى اوضح
الان الباتش له قيم وبيانات معروفة لدى كل برامج الحماية كالافيرا الافاست الكاسبر ..الخ

فالان الهكر ان ارسل الباتش المستخرج من برنامج الهكرز فورا للضحية .. ان كان بجهاز الضحية برنامج حماية بلاشك ستقوم برامج الحماية بحذف الباتش.

فالهكر هنا يقوم بتشفير قيم وبيانات الباتش حتى لاتعرفها برامج الحماية وتحذفها .. فان حمل الضحية برنامج مدموج بباتش مشفر فبرنامج الحماية لدى الضحية سيحتار ماهذا الملف ؟! ولن يحذفه لان قيمته شفرت عنه بحيث قام الهكر بتغيير بعض الارقام بالباتش' وبهذا ستضمن بقاء الباتش بجهاز الضحية. ويكون برنامج الحماية حينئذ وجوده مثل عدمه وحتى ان فحصت الباتش لايصنفه بانه ضار ..

فالهكر يقوم بتشفير الباتش من كل الحمايات .. يحمل جميع برامج الحماية على جهازه ويشفر الباتش منها واحدا تلو الاخر.
هناك حيلة وهي : يسأل الهكر الشخص المستهدف
ماهو برامج الحماية بجهازك ؟ فيجيب الضحية ( الكاسبر ) .. يقوم الهكر فقط بتشفيرالباتش من الكاسبر ويرسله للضحية .. وبهذا قام الضحية بتوفير الوقت للهكر لان تشفير الباتش صعب جدا ومعقد وياخذ وقت طويل حتى تنتج باتش نظيف ..

لذلك وجب عليك تعلم فحص التلغيم فلاتعتمد على برامج الحماية الموجودة بجهازك فالهكرز يستطيعوا اكلها جميعا

سؤال : هل هناك صورة معينة للباتشات حتى نحفظ شكلها؟
الجواب : لا فهناك حيلة بامكان الهكر يغير شكل الباتش لصورة او لفديو او لبرنامج معروف من غير دمج .

سؤال : هل بالامكان الاختراق بامتداد صورة gif واخواتها ؟
الجوااب : حاليا ليس بالامكان الاختراق بهذه الصيغ ' ممكن يدمج الصورة مع الباتش ويكون ناتج الدمج تنفيذي ويتم الاختراق حينئذ.

- الدمج : اغلب الباتشات حجمها صغير قد لايصل الى 1 ميغا .. لذلك اي هكر غبي ممكن يخترق شخص غبي بمعنى يرسل هذا الباتش بحجمه الصغير جدا ويقول هذا برنامج مسن او او ..ألخ

فاذا كنت انت مبتدأ ولاتعرف ماهو عادة حجم البرامج مثل المسن فستحمل الباتش ويخترق جهازك ظنا منك انه مسن.

- ووضع الباتشات بالمنتديات والمواقع اصبحت نادره جدا جدا وغير مجدية للهكرز .. لان الناس بدأت تتثقف واول ماتشوف حجم هذا الباتش سيشكوا في امره ويقولوا معقولة برنامج مسن او اي برنامج حجمه اقل من 1 ميغا ؟؟! فيتركوا تحميله ..

اذن هنا يأتي دور الهكر وهو ان يقوم بدمج الباتش ذا الحجم الصغير جدا جدا باي برنامج مثل المسن او برنامج مونتاج او برامج حماية او العاب.. الخ..

مثلا شاهد كيفية دمج صورة بباتش :

ذن صيغ الصورة معروفة ان دمجتها بباتش ستكون ناتج الدمج صيغية تنفيذية .

صيغ الباتش التنفيذية:
[ scr - com - cmd - pif - bat - exe]
بمعنى لو شاهدت اي صورة صيغتها تنفيذية فالصورة ملغومة .

الان وانت تفتح الصورة الملغومة ’

الباتش سيشتغل بجهازك دون ان تشعر به ويتم اختراقك.

انت ان اردت كشف حيلة الدمج ممكن تعرف ماهو حجم ملف البرنامج الاصلي
فمثلا وجدت برنامج المسن بالمنتدى ' فاذهب لموقع المسن الرسمي وشاهد كم حجمه بالضبط مع مراعاة اصدار البرنامج بالموقع والمنتدى .

فان كان حجم البرنامج بالمنتدى زائد عن حجمه بموقعه الرسمي فاكيد البرنامج مدموج

طبعا اذا لم يقول ارفقت للبرنامج كراك
فـ ممكن يرفق ملف كراك وممكن هذا الكراك يكون مدموج بباتش ايضا .
اذن الان لنفترض حملت برنامج وفحصته ببرنامج الحماية لديك وقال انه سليم ’ هل تطمئن ؟ لا .. فالفحص ببرامج الحماية اصبح عديم الفائدة .. ويجب عليك مراقبة وفحص البرامج والملفات فور تنزيلها عن طريق :
- الاتصالات الخارجية .
- الجدران النارية .
- مراقبة تحركات النظام .

وانا في هذا القسم الرابع سأشرح بشكل مفصل تماما عن كشف البرامج التي تشك فيها عن طريق رصد اي اتصال خارجي يخرج من هذه البرامج ..

فالــــــــى الشـــــــــــــــــرح

كشف التلغيم من من خلال رصد اي اتصال خارجي .

لبرنامج الاول : cports
مهمته : يعرض لك كل الاتصالات والمنافذ بجهازك ’ ويمدك بعلومات قيمة عن كل اتصال خارج من البرامج التي تفحصها ويراقب البورتات ’ وتستطيع قطع الاتصال من خلال هذا البرنامج .

تحميل البرنامج من الموقع الرسمي :
http://www.nirsoft.net/utils/cports.html
الترخيص : مجاني
- صغير الحجم كبير العطاء’ لايتعدى 1 ميغا لايحتاج تنصيب ويعمل على كل الانظمة .

الشرح :

1- process name = اسم العملية
2- local port = البورتات الداخلية
3- Local Address = الاتصالات المحلية
الاتصالات المحلية : هي الاتصالات التي تصدر من جهازك .
وتحوي كل برامج خدمية او تطبيقية من ملفات نظام او غيره

4- remote = البورتات المتصلة بجهازك من الخارج .
وتظهر بورتات برامج الاختراق هنا ان كان مخترق .

5- Remote Address = الاتصالات البعيدة او الخارجية : التي تتصل بجهازك من الخارج
ويجب معرفة اي اتصال يتصل بجهازك فان كان مخترق سيظهر اي بي الهكر من هذه القائمة .

6- remote host name = هنا اسماء الهوستات تبع الهكرز ان كان البرنامج المفحوص ملغوم تطلع بهالقائمة
طبعا اذا طلعت لك احد هذه الكلمات فهو بلا شك ملغوم
1- no-ip
2- DynDNS
ممكن الهكر يستبدل no-ip بـ دومين موقع
ممكن يفتح دومين من مواقع مجانية عشان يخترق
عندك مواقع مجانية تقدم هالخدمة مثل
www.iana
just free.com

co.cc

فان شفت مثل هالمواقع اثناء الفحص
او ايميل فاعرف انه ملغوم

ممكن يطلع موقع غير الذي ذكرت فانت انسخ الموقع وضعه بغوغل ان كان الموقع يقدم خدمة فتح دومين مجاني للناس فاعرف ان البرنامج ملغوم

7- state = حالة العملية هل هي متصلة ام بالانتظار

الان التطبيـــــــــــــــــق

قبل تشغيل البرنامج يجب اغلاق جميع المتصفحات وجميع برامج المحادثة .

فائدة البرنامج :
يفيد بكشف اي بي الملغم ومعرفة البورت

اولا : نجمد جميع الاقراص . ( جمد النظام ببرنامج شادو)
ثانيا : نقدم التاريخ (ممكن تقدم التاريخ شهرين ثلاثة على راحتك ) وبعد الفحص نرجع التاريخ .
ثالثا : نفتح برنامج cports .

close selected TCP connection = منع الاتصال دون قطعه .

kill processes = قطع الاتصال نهائيا ( هذا المهم )

Html report= هناك يعطيك تقرير عن كل الاتصالات الصادرة والوارده
والاخر يعطيك تقرير على الاتصال الذي تحدده فقط ..

choose columine= تنظيم الاعمدة بالبرنامج .. بامكان اخفاء بعض الاعمدة غير الضرورية والاكتفاء بالاعمدة المهمة ..

Properties
خصائص
ان دخلنا خصائص :

- كشف التلغيم من خلال كشف عمليات الحقن التي تتم بالمتصفحات والمسن ببرامج :
1- ProcessExplorer

التحميل :
http://technet.microsoft.com/en-us/s...rnals/bb896653

فائدة البرنامج:
معرفة مخرجات البرنامج وفحص الملفات المستخرجة منه ومراقبة دقيقة لعمليات الجهاز الشغالة

برنامج البروسيس يظهر لنا العمليات قيد التشغيل بجهازك
وان نزل بجهازك باتش اختراق سيحقن الباتش نفسه بالمتصفح ’ وتستطيع من خلاله
معرفة مسار الباتش بجهازك.

ان قمت بتثبيت برنامج او فتح اي ملف مشكوك وخرجت صفحة ’ اعرف انه ملغوم ’ واحيانا ليس شرط ان ان تخرج صفحة ممكن يخرجباتش باسم سيرفر او اي اسم اخر’وافضل طريقة لمعرفتها هي ان ملفات التجسس غالبا تظهر وتختفي فورا حتى لاتراها فيجب التركيز بشكل تام في كل مخرجات الملف

طبعا قبل ان تشغل برنامج
يجب ان تغلق كل صفحات النت من وكل المتصفحات وكل برامج المحادثات حتى لاتشتت ذهنك البرامج الاخرى .

ثم قم بتشغيل برنامج البروسيس ’ وانت مشغل برنامج البروسيس قم بفتح اي ملف مشكوك واثناء تشغيله تابع تحركات الملف من برنامج البروسيس وبعد ماتنتهي من تشغيل الملف المشكوك تابع المخرجات وانتظر دقيقة اذا لم يخرج شىء اعمل تحديث من نفس قائمة البروسيس حتى تشاهد العمليات الحديثة

طريقة حذف الباتش
اذا تأكدت انه ملغوم قم بقتل العملية
بمين الماوس على الباتش ثم
kill proeess

لذلك عليك ان تراقب هل الملف لا يزال موجود او يقوم بحقن نفسه ويختفي
لان بعض الباتشات تقوم بتوليد نفسها فكل ماقتلتها ترجع من جديد بمجرد تحديث برنامج البروسيس

فالحل هو تجميد العملية ’ وقم سريعا بعملية البحث عن الباتش وحذفه وقيمه بالريجستي وسنوضحه بالدروس القادمة من الدورة .
فانت حينما تجمد العملية لن يستطيع الهكر فعل اي شىء بجهازك كما تشاهدوا ...















البرنامج الثاني
MKN_TaskExplorer
التحميل :http://download.cnet.com/MKN-TaskExp...-10838198.html

نقوم بعمليات التثبيت التقليدية ...

ثالثا شرح برنامج
X-NetStat Professional
الاصدار
5.57
الموقع الرسمي للبرنامج
http://www.freshsw.com/xns/pro
http://www.freshsoftware.com/files/xns55p_setup.exe

او من الموقع
http://download.cnet.com/X-NetStat-P...age&tag=button

برنامج
X-NetStat.
لما له من فوائد كثيرة منها :
- معرفه المنافذ المفتوحة في جهازك ومن يستخدمها
. معرفه المتصل معك والمنفذ الذي يستخدمه وهذا يمكنك من معرفه المتسللين إلى جهازك
. معرفه إذا كان هناك سيرفر(هاكر) متصل بك ويمكنك ايضا البحث في الانترنت عن البرنامج المتصل معك
.إمكانية قطع الاتصال مع أي موقع متصل معك أو برنامج محادثه أو سيرفر وحجبه ايضاً
.اكتب رقم المنفذ هو يخبرك البرنامج الذي يستخدمه
.يحتفظ بجميع المواقع او البرامج التي تتصل بك وايضا يقوم بحفظ عناوين المواقع والبرامج التي يتم حجبها
.البرنامج فيه مميزات كثيرة جداً وخصوصاً في أوامر الدوس وسوف يقتصر الشرح على ما يهم الأمن والحماية
.تنبيهات مهمه قبل استخدام البرنامج

1-يعتبر هذا البرنامج مساعد مهم للحماية

يجب تشغيل البرنامج حتى يتم تفعيل حجب المنافذ الخطرة او المشبوهة من مميزات البرنامج إظهار ايقونه المتصل معك فلا يكتفي بها بل يجب التأكد من المنفذ المستخدم لها ن هناك برامج تقوم

فهناك برامج تقوم بتغيير سيرفر الهاكر إلى ايقونه مألوفة مثل أيقونه الماسنجر أو المتصفح

نقوم بعمليات التثبيت التقليدية ...



لافضل تختر الخيار الاول لقتل العملية
kill and add rule to autokill



هنا اذا اردت نسخ كل معلومات الاتصال المحدد

- كشف النو اي بي no-ip تبع الملغم ببرامج :
1- wireshark
ومن اقوى البرامج التي امتدحها الهكرز ..
برنامج يكشف كل الإتصالات الخارجية مع إظهار جميع البيانات :
التحميل :
http://www.wireshark.org/download.html

نقوم بعمليات التثبيت التقليدية ...









ممكن يظهر مكان النو اي بي صفحة او بريد فانت ان كان موقع ابحث عن ماهية الموقع ان كان يعطي دومينات مجانية اعرف انه ملغم.



ثالثا شرح برنامج
NetSnifferCs





الحمد لله القسم الثاني إنتهى

القسم الثالث : كشف التلغيم من خلال الجدران النارية

نبدأ على بركة الله

وظيفة برامج الجدران النارية تمنع اي محاولات للتجسس واعلامك باي محاولة للاتصال بالانترنت لاي برنامج .. حينها ان استوجب الاتصال بالنت ستظهر لك بيانات اتصال البرنامج سيظهرالاي بي " ip " تبع البرنامج وبورت الاتصال ..

كل ماعليك تركز على البورتات .. وبطبيعة الحال انت الان متابع جيد للدورة من اول درس .. اذن ستعرف بورتات برامج الاختراق .

برامج الجدران النارية تصد المتسللين واللصوص ..ويحمي الكمبيوتر من التهديدات التي تنتقل عن طريق الإنترنت ..
الجدار الناري يراقب كل اتصالات الإنترنت من والى جهاز الكمبيوتر الخاص بك و ينبهك لمحاولات الاقتحام والاختراق... لديك الخيار في السماح او المنع للوصول إلى الإنترنت لكل تطبيق ، وبالتالي تقلل فرصة الاصابة ومنع الدودة ، حصان طروادة وبرامج التجسس من إلحاق الضرر بالكمبيوتر. بالاضافة الى ايقاف النوافذ المزعجة ’ واجهته سهلة الاستخدام ’ وتجربته أكثر سلاسة .



Sygate Personal Firewall
الاصدار
Version:
الموقع الرسمي :
http://sygate-personal-firewall.brothersoft.com/
او حمله من هنا
http://download.cnet.com/Sygate-Pers...-10049526.html
بيئة العمل حاليا :
Windows 95/98/Me/2000/XP/NT

طريقة التثبيت يمكنك الاطلاع عليها هنا :

[ ~[ إحـترآإف ] كشـف الدمج و [ التلغيم ] بسـهولـة تـامة [ إنسـاء ] ملف ملغم يمر عليك بعد اليوم ! ]

الان بعد تحميلك اي برنامج مشكوك او اي تطبيق سيظهر لك بياناته .. مثل ماتشاهدوا حملت برنامج مشكوك وهذه بياناته .. طبعا معروف بورت الانترنت هو80 وبورت المسن 443 فانت اذا اردت التصفح عادي اعطيه سماح ’ لكن اذا اردت فحص برنامج مشكوك خذ الحذر لانه ممكن يكون الباتش محقون بالمتصفح ويكون بورت الاختراق 80 فانت شوف الهوست او الموقع.. مثل ماشاهدتم طلع النو اي بي والبورت فالبورت اصلا بورت اختراق .

فانت امنع الاتصال بالنقرعلى No



طبعا اذا مجمد النظام .. اول ماتعرف انه ملغوم اعمل اعادة تشغيل وتنحذف كل الفايروسات التي تنزل مع البرامج الملغومة ’ وحتى لو فتحت برنامج ملغوم سيتم اختراقك ولكن مع اعادة تشغيل الجهاز وانت مجمد النظام سيذهب الباتش.

Armor2net Personal Firewall
الاصدار
الموقع الرسمي :
http://www.armor2net.com/
بيئة العمل حاليا :
Operating system: Windows 98/Me/2000/XP

التثبيت = نفس موضوع تثبيت برنامج Sygate Personal Firewall

اذا نقرت على شىء معين وسبب لك اشكالية ارجع وانقر عليه مرة ثانية

بالنسبة لاصحاب انظمة سفن فممكن يستخدموا جدران نارية ثانية لان هذين البرنامجين حاليا لايدعموا انظمتهم .

مثل Fortknox Firewall

القسم الرابع : رصد تحركات النظام .

ومن افضل برامج رصد النظام هي :
1- regshot
2- Disk and Registry ********************

مهمتها بسيطة كل مافي الامر انك اذا اردت فحص برنامج مشكوك قم باخذ صورة للجهاز لديك قبل تشغيل الملف المشكوك ’ ومن ثم قم بتشغيل البرنامج المشكوك واخيرا اعمل صورة للجهاز وشاهد المتغيرات ماذا اضيف من ملفات للجهاز وكشفها بابسط الطرق.

قبل ان نبدا عليك بمراجعة الاتي :

الريجستري:-هي مكونات نظام التشغيل ((ويندوز)) بل يعتبر ركن أساسي في نظام التشغيل مما يحتوي قاعدة بيانات البرامج ومكونات ماديه وعتاد نظام التشغيل ويندوز.

الهكرز متى ما أمتلك أو تمكن من الوصول الى الريجستري فقد أمتلك الكمبيوتر باكمله لأن الريجستري يحتوي على قواعد البيانات سوى كانت لـ برامج مثبته على النظام أو حسابات مستخدمين للكمبيوتر وهي بالتاكيد مهمه من ناحية تعطيل البرامج أو اضافة مستخدمين او حذف أو تعديل عليها .
لذالك يجب حمايتها من التعديل ومعرفة طرق التعامل معها من ناحية حذف أو تعديل القيم .

اهمية الريجستي :
مهم على اعتبار اول ماتشغل ملف ملغوم تنزل تلقائيا قيم للريجستي من خلالها يتم تثبيت جهازك عند الهكر فيستطيع دخول جهازك فور تشغيلك الجهاز.

ملاحظة هامة :
ارجو اخذ الحذر وانت تتعامل مع الريجستي ’ فاي خطأ منك ممكن يسبب لك مشاكل فلا تحذف اي ملف الا اذا تأكدت من ضرره ’ وبامكانك استشارة المختصين بالهكرز .



سنبدا بشرح برنامج regshot

مهمته :
هذا البرنامج رائع جدا يكشف لك :
مسار نزول البرامج التجسسيه + مسار مفتاح التثبيت بالريجستي + مفتاح التثبيت .

الشرح :

وهذا ماتم اضافته بالريجستي بعد تشغيل ملف ملغوم
واي مفتاح يبدا بـ HKU/S-1-5-21 لاتحذفه ’ فحذفه يسبب لك مشاكل .



وهذا ماتم اضافته بالاقراص بعد تشغيل الملف الملغوم :



مع العلم ليس كل مفتاح تثبيت يعني ان الملف ضار , اغلب البرامج حين تنصيبها تقوم بانزال مفاتيح في الرجستري لذلك كن حذر باستخدام البرنامج .

تذهب لمساره وتحذف المفتاح كما تشاهد .



اذن باختصار قمت بالتالي :
1- اخذت صورة للنظام قبل فتح الملف المراد رصده .
2- فتحت الملف المراد رصده.
3- عملت فحص للنظام مرة اخرى بعد فتح الملف المراد رصده .

- شرح برنامج
Disk and Registry ********************

الموقع الرسمي :
http://www.softdd.com/disk-registry/index.htm

طريقة جميلة جدا لحماية الريجستي وهي المفترض اشرحها اولا ولكن فضلتها بآخر الدرس حتى اخذت فكرة عن الريجستي وهذه الامور .

الفكرة :
تعمل نسخة للريجستي قبل فحص برنامج مشكوك ’ فاذا قدر الله وتم كشف ان هذا البرنامج ملغوم ’ فقم فورا باسترداد النسخة الاصلية للريجستي ’ وتذهب القيم الضارة التي اضيفت فور تشغيل الملف الملغوم .

هذا طبعا اذا لم تكن مجمد النظام ’ لكن اذا كنت مجمد النظام مايحتاج تعمل نسخة للريجستي فقط اعدت تشغيل الجهاز وتذهب هذه الملفات ’ وان عملت نسخة احتياطية قبل تشغيل الملف الملغوم فهذا خير على خير فقد قال البعض ان حفظ الريجستي واسترداده بعد تشغيل برنامج ضار اقوى من تجميد النظام ! الله اعلم .

ابدا - تشغيل - regedit



الان تم وضع نسخة للريجستي على سطح المكتب اشغل البرنامج المشكوك به ’اذا اكتشفته ملغوم استرد النسخة كالتالي :

القسم الخامس : فحص البرامج الملغمة بطرق احترافية ومتقدمة

الدرس الاول : مقدمة عن الملفات والضغط وفك الضغط ’وكيفية فحص اكواد البرنامج من الروابط المشبوهة بالبرامج الاتية:
1- VB Decompiler Lite
2- DE Decompiler Lite
3- OLLYDBG

الدرس الثاني :
- فحص مكونات البرنامج الملغم بـ Resource تنر

الدرس الاول :
تحليل البرامج الملغمة واستخراج السورس الكود الخاص بها .

عندما نقوم بفحص برنامج معين يجب عليك اتخاذ اجراءات معينة لضمان الفحص الدقيق للملف :
- بماذا صمم الملف المراد فحصه .
- كم حجم الملف .
- ماهي صيغة الملف.
- هل هو مضغوط ام لا.

هذه ابرز الخطوات التي يجب الا تحملها اجابة لااعلم ’ فعليك المتابعة بالشرح وبعدها ستجد الموضوع سهل لاقصى درجة وممتع بنفس الوقت .

س - لماذا يتم ضغط وتشفير البرامج ؟
للاسباب التالية :
1- ضغط البرنامج EXE بضغط هائل.
2- تشفير البرنامج ويصبح من الصعب عمل كراك له والتحريف به وحفظ الحقوق .
3- بالنسبة للهكر فاستخدامهم يقتصر على تقليل حجم الملفات التجسسية كالباتش ’ و ضغطها كي لايسمح لمن يفحص البرنامج الملغم باستخراج السورس كود وفحص الاكواد .

احيانا تود ان نعرف بماذا صمم هذا البرنامج لانستطيع ’ لانه مضغوط وهذا الضغط جعله مشفر ؛ اذن الان هل فهمت لماذا يتم ضغط الملفات ؟

- ليكن بالحسبان ليس كل برنامج مضغوط باداة upx او غيرها من برامج التشفير ’ دليل على التلغيم .

ومن اشهر برامج التشفير وفك التشفير " الضغط وفك الضغط " هي : UPX و Aspack و Ezip وغيرها الكثير.

الان نبدا على بركة الله بتحليل الملف واستخراج بياناته .
اولا نقوم بمعرفة بماذا صمم البرنامج الذي نود فحصه ! هل بالفيجوال بيسك او الدلفي او غيرها من لغات البرمجة او هل هو مضغوط او ليس مضغوط ..
من خلال اداة PEiD او exeinfope وجيمع هاذين البرنامجين يقومان بنفس الخدمة :
1- معرفة هل البرنامج المراد فحصه مضغوط او لا وان كان مضغوط فسيعطيك بيانات الاداة التي تم الضغط بها .
2- يخرج لك بيانات عن صاحب البرنامج وموقعه .

1- سنشرح كشف البرنامج الملغوم بالفيجوال بيسك .





طبعا اذا كان مضغوط يجب معرفة نوع ضغطه ونفك الضغط بنفس البرنامج الذي ضغط منه مثلا :
انا الان شاهدت ملف مضغوط باداة upx اذهب لقوقل واحملها والافضل تحملها من موقعها الرسمي لان اي برنامج للهكر نصيب من استخدامه فكثير منها ملغمة .

شرح الاداة


تابع


او بامكانك تحميل برنامج Aspack فهو يفك ضغط
اكثر من 90 برنامج منها نوع ابكس

وبعد مانفك ضغط الملف نذهب ونعرف باي لغة برمج !
شاهد هذه الصورة تدل على ان البرنامج صمم بالفيجوال .

اذا كان البرنامج الملغوم مبرمج بالدلفي نفحص
ببرنامج de decompiler lite
واذا كان مبرمج بالفيجوال بيسك نفحص ببرنامج VB Decompiler Lite

طبعا فائدة هذين البرنامج استخراج سورس البرنامج وجميع الاكواد فربما وجدنا اكواد تخطى



ماهو السورس كود " source code " :
هي الرموز والاكواد والروابط التي بداخل البرنامج ’ بمعنى انا نبحث عن مصدر هذا الملف التطبيقي واخراج بيانات الملغم ان وجدناها كالروابط و غيرها.
شاهد :

الان استخرجنا اكواد مباشرة وتشاهد مكان نزول السيرفر وامر تشغيله .
وتشاهد نهاية الرابط صيغة تنفيذية ’ والاهم من هذا كله هو موقع freewebtown فلو بحثت عن هذا الموقع ستجد ان الهكر يستخدموه لرفع باتشاتهم ’ اذن هذه دلالة على تلغيم هذا الملف.

2- نحن شرحنا كشف تلغيمة ببرنامج الفيجوال بيسك ’ وافحص تلغيمات الدلفي بنفس الطريقة ببرنامج
de decompiler lite فلايحتاج شرح فهما توأمان في استايل البرنامج ومحتواه

3- فحص التلغيمات ببرنامج
OLLYDBG

الموقع الرسمي :

http://www.ollydbg.de/viewer.htm

وهنا يأتي المهم

الان الهكر يضع ببرنامجه الملغوم روابط بهدف التوجيه الى صفحته أو الى صفحة دعائيه او الى حساب فتحه الهكر على مساحة مجانية ’او على ايميله . ففور تشغيل البرنامج من الضحية يتم الربط بين الهكر والضحية .

وطبعا يجب فحص هذه الروابط المباشرة وتخمين وفهم وجودها ومحتواها ’ اقصد بالمباشرة التي تكون اخر الرابط صيغ تنفيذية كـ exe او scr
وليكن في حسبانك اي برنامج وهمي بمعنى ليس له موقع يوجد به رابط مباشر فهو ملغوم ’ واي برنامج لايحتاج اتصال الى الانترنت به رابط مباشر فهو ملغوم .
وكما تشاهد احد اطفال الهكر قام بتلغيم برنامج ووضعه بمنتدى عربي وهذه ايميلاته .
وتشاهد ايضا كلمة no-ip password

وهو بهذا الامر يريد سرقة حسابات الضحية مجرد يشغل البرنامج فالـ no-io هو موقع يفتح حسابات للاشخاص

وايضا موقع dyndns

وكما تشاهد بام عينك برامج فحص موجوده ^_^
ان وجدت اسماء برامج الفحص مثل :
ProcessExplorer
Active Ports
Disk and Registry
cports
smsniff
Wireshark
وغيرهاااااا دليل على التلغيم لان هذه " برامج الفحص " لم توجد الا لان الهكر الذي قام بالتلغيم وضع اكواد لتخطى هذه البرامج.

وان فحصت البرنامج الملغم حينها ببرامج الفحص كـ ProcessExplorer او غيرها ممن وجدها ’ تعطيك برامج الفحص انها سليمة ’ لان الهكر قام " بتعمية " هذه البرامج واعطائها اشارة انها نظيفة وهي عكس هذا .

الدرس الثاني :
- فحص مكونات البرنامج الملغم بـ Resource Tuner

الموقع الرسمي :
http://www.restuner.com/

تعلمنا بالقسم الاول كيف تجمع معلومات عن البرنامج المراد فحصه’ وكيفية معرفة برمجته ’ وهل هو مضغوط او لا وتعلمنا كيفية تحليل وتفقد الاكواد التي بداخله ..ألخ

الان الموضوع متصل فسنتعرف على كيفية تفكيك البرنامج الملغم وفحص الملفات الداخلية له .

انا حملت برنامج من المنتديات واريد عملية فحصه .. كيف ؟؟ بطبيعة الحال هو ملغم من قبلي

مثلما تشاهد حجمه 8,59 ميغا

اولا يجب ان نجمع معلومات عن البرنامج هي كالتالي :
1- ماهي لغة البرمجة التي برمج بها الملف .
2- حجم الملف .
3- نوع ضغط الملف هذا ان كان مضغوط.
4- صيغة البرنامج exe او غيرها
وبشرط نعرف اصدار البرنامج .

نذهب الان نحمل البرنامج الاصلي من موقعه الرسمي ’ ثم نلاحظ حجم التغيرات بين الملفين’ فلو وجدنا مثلا ان البرنامج الذي حملناه من المنتديات حجمهـ اكبر من حجم البرنامج الذي من الموقع الرسمي - بالرغم انها بنفس الاصدار - فهذا دليل ان البرنامج المحمل بالمنتدى اضيف لمحتواه اضافات تثير شكوكنا .

وقس على هذا : ان وجدنا اختلاف في لغة البرمجة بين الملفين ’ او الصيغة او احدهما مضغوط والاخر غير مضغوط ’ فهو دليل على ان هناك تحركات اجريت على الملف بالمنتدى ربما اضيف باتش اختراق او تعديلات .

الان تلاحظ التغييرات :
البرنامج المحمل بالمنتدى حجمه كما اسلفنا 8,59 م.ب
اما حجم البرنامج من الموقع الرسمي هو 8,57 م.ب
وهذا دليل ان هناك اضافات بالبرنامج المحمل بالمنتدى بالرغم ان البرنامجين نفس الاصدار ’ فلو كانا مختلفي الاصدارين لما شككنا فيهما ’ لان الشركة ممكن تضيف لكل اصدار او تنقص حسب احتياجاتها .



طبعا هذه كلها حسابات نظرية ’
الان اجعل حساباتي تطبيقية .

المجلدات التي امامك مسمياتها تختلف من برنامج لآخر لاختلاف لغات برمجة الملف ’ فراعي الفروق .
وهم ملفين قد يضافا لهما هي :
DATA بامكان الهكر اضافة الباتش لهذا المجلد.
RC Data ايضا هذا مجلد قد يضاف له باتش اختراق.

الان نستخرج الملفات الداخلية للبرنامج الملغم ونضعها على سطح المكتب ’ ونستخرج ايضا الملفات الداخلية للبرنامج الرسمي ونضعها على سطح المكتب .
ونذهب ونشاهد الفروق .
الملفات الداخليه : هي CHARTABLE او التي مجرد تنقر عليها يأتي لون خلفيتها ازرق كما موضع بيمين الصورة .

الان نبحث عن الامور المتشابهات والمتفارقات بين الملفين الاساسيين وبين الملفات الداخلية لكل برنامج .

بيانات البرنامج الرسمي :
- حجم البرنامج 8,57 م.ب
- ليس مضغوط
- لغة البرمجة : دلفي
- حجم ملف stup " الملف الداخلي الاصلي للبرنامج " هو 32 ك.ب

بيانات البرنامج الملغم :
- حجم البرنامج 8,59 م.ب
- ليس مضغوط
- لغة البرمجة : دلفي
- حجم ملف stup " الملف الداخلي الاصلي للبرنامج " هو 56 ك.ب
طبعا اعني الملف المسمى بـ : RC Data_CHARTABLE

اذن كمحصلة نظرية
الملف اضيف له اضافات ’ وهذا دليل التلغيم بالرغم انك لو فحصت CHARTABLE بالملف الملغم ستخرج لك اتصالات خارجية .

وعلى اية حالة ان كان ايضا ملف stup مضغوط من موقعه الرسمي ’ وملف stup بالملف الملغم غير مشفر ’ فهذا دليل ان الهكر فك تشفير ملف stup ثم قام باضافة باتش او تعديل عليه ’ عطفا على المفارقة في احجامهما .

النهاية :35:

والأن وبعد ساعات في كتبت المضوع استطيع أن أنام

• آنـآ من اليوم ي رجال استنـآك تخلص ابي ارد . .
  
• يعطيك العافيـه حبيب قلبي . .
  
• ماقصرت والله ابدعت بـ الطرح ي غالي . .
  
• يعطيكك الف عافيـه ي ملك . .:27:

شكراً لمرورك أخي

أرجو أن الموضوع أعجبك

يعطيك الف عافية وتستاهل التقييم ياغالي:35: