الهاكر:تعريف وانواع وكيفية الحماية

:521:
الهاكر:تعريف وانواع وكيفية الحماية
:521:

تعريف الهاكر

أطلقت هذة الكلمة اول ما أطلقت في الستينيات لتشير الي المبرمجين المهرة القادرين على التعامل مع الكمبيوتر ومشاكله بخبرة ودراية حيث أنهم وكانوا يقدمون حلولا لمشاكل البرمجة بشكل تطوعي في الغالب . بالطبع لم تكن الويندوز او مايعرف بالـ Graphical User Interface او GUI قد ظهرت في ذلك الوقت ولكن البرمجة بلغة البيسيك واللوغو والفورتوران في ذلك الزمن كانت جديرة بالأهتمام . ومن هذا المبدأ غدا العارفين بتلك اللغات والمقدمين العون للشركات والمؤسسات والبنوك يعرفون بالهاكرز وتعني الملمين بالبرمجة ومقدمي خدماتهم للآخرين في زمن كان عددهم لا يتجاوز بضع الوف على مستوى العالم أجمع. لذلك فإن هذا الوصف له مدلولات إيجابية ولا يجب خلطه خطأ مع الفئة الأخرى الذين يسطون عنوة على البرامج ويكسرون رموزها بسبب امتلاكهم لمهارات فئة الهاكرز الشرفاء. ونظرا لما سببته الفئة الأخيرة من مشاكل وخسائر لا حصر لها فقد أطلق عليهم إسما مرادفا للهاكرز ولكنه يتداول خطأ اليوم وهو (الكراكرز) Crackers.

كان الهاكرز في تلك الحقبة من الزمن يعتبرون عباقرة في البرمجة فالهاكر هو المبرمج الذي يقوم بتصميم أسرع البرامج والخالي في ذات الوقت من المشاكل والعيوب التي تعيق البرنامج عن القيام بدورة المطلوب منه. ولأنهم كذلك فقد ظهر منهم إسمان نجحا في تصميم وإرساء قواعد أحد البرامج المستخدمة اليوم وهما دينيس ريتشي وكين تومسون اللذان نجحا في اواخر الستينيات في إخراج برنامج اليونيكس الشهير الي حيز الوجود. لذلك فمن الأفضل عدم إطلاق لقب الهاكر على الأفراد الذين يدخلون عنوة الي الأنظمة بقصد التطفل او التخريب بل علينا إطلاق لقب الكراكرز عليهم وهي كلمة مأخوذة من الفعل Crack بالأنجليزية وتعني الكسر او التحطيم وهي الصفة التي يتميزون بها .

أنواع الكراكرز

قد لايستصيغ البعض كلمة كراكرز التي ادعو بها المخربين هنا لأنه تعود على كلمة هاكرز ولكني سأستخدمها لأعني به المخربين لأنظمة الكمبيوتر وهم على كل حال ينقسمون الي قسمين :

1- المحترفون:

هم إما أن يكونوا ممن يحملون درجات جامعية عليا تخصص كمبيوتر ومعلوماتية ويعملون محللي نظم ومبرمجين ويكونوا على دراية ببرامج التشغيل ومعرفة عميقة بخباياها والثغرات الموجودة بها. تنتشر هذة الفئة غالبا بأمريكا وأوروبا ولكن إنتشارهم بداء يظهر بالمنطقة العربية (لايعني هذا أن كل من يحمل شهادة عليا بالبرمجة هو باي حال من الأحوال كراكر) ولكنه متى ما إقتحم الأنظمة عنوة مستخدما اسلحته البرمجية العلمية في ذلك فهو بطبيعة الحال احد المحترفين.

2- الهواة:

إما أن يكون احدهم حاملا لدرجة علمية تساندة في الأطلاع على كتب بلغات أخرى غير لغته كالأدب الإنجليزي او لديه هواية قوية في تعلم البرمجة ونظم التشغيل فيظل مستخدما للبرامج والتطبيقات الجاهزة ولكنه يطورها حسبما تقتضيه حاجته ولربما يتمكن من كسر شيفرتها البرمجية ليتم نسخها وتوزيعها بالمجان. هذا الصنف ظهر كثيرا في العامين الأخرين على مستوى المعمورة وساهم في إنتشارة عاملين . الأول: إنتشار البرامج المساعدة وكثرتها وسهولة التعامل معها .
والأمر الثاني: إرتفاع اسعار برامج وتطبيقات الكمبيوتر الأصلية التي تنتجها الشركات مما حفز الهواة على إيجاد سبل أخرى لشراء البرامج الأصلية بأسعار تقل كثيرا عما وضع ثمنا لها من قبل الشركات المنتجه.

ينقسم الهواة كذلك الي قسمين :
1- الخبير:

وهو شخص يدخل للأجهزة دون الحاق الضرر بها ولكنه يميل الي السيطرة على الجهاز فتجده يحرك الماوس عن بعد او يفتح مشغل الأقراص بقصد السيطرة لا أكثر .
2- المبتدي:

هذا النوع أخطر الكراكرز جميعهم لأنه يحب أن يجرب برامج الهجوم دون أن يفقه تطبيقها فيستخدمها بعشوائية لذلك فهو يقوم أحيانا بدمار واسع دون أن يدري بما يفعله.

الكراكرز بالدول العربية:

للأسف الشديد كثير من الناس بالدول العربية يرون بأن الكراكرز هم أبطال بالرغم أن العالم كلة قد غير نظرته لهم. فمنذ دخول خدمة الأنترنت للدول العربية في العام 1996 تقريبا والناس يبحثون عن طرق قرصنه جديدة وقد ذكرت اخر الحصائيات بأن هناك اكثر من 80% من المستخدمين العرب تحتوي اجهزتهم على ملفات باتش وهي ملفات تسهل عمل الكراكرز ( ساشرح في نهاية هذا الجزء ثلاث طرق إختبارية للكشف عن ملفات الباتش بالأجهزة الشخصية).

يتبع

إختبار الكشف عن ملفات التجسس Patch Files :

توجد طرق عديدة لإكتشاف وجود ملفات يمكن من خلالها تضييق الخناق على ملفات التجسس في حال إكتشافها والتخلص منها نهائيا لقطع الطريق على الكراكرز المتصل بجهاز الضحية وهي على النحو التالي :

الطريقة الأولي :

بواسطة ملف تسجيل النظام Registry :
1- أنقر على إبداء Start
2- أكتب في خانة التشغيل Run الأمر : rigedit
3- إفتح المجلدات التالية حسب الترتيب في قائمة Registery Editor :
- HKEY_LOCAL_MACHINE
- Software
- Microsoft
- Windows
- Current Version
- Run
4- والآن من نافذة تسجيل النظام Registry Editor انظر الي يمين النافذة بالشاشة المقسومة ستشاهد تحت قائمة Names أسماء الملفات التي تعمل مع قائمة بدء التشغيل ويقابلها في قائمة Data عنوان الملف .
5- لاحظ الملفات جيدا فإن وجدت ملف لايقابلة عنوان بالـ Data او قد ظهر امامة سهم صغير <--- فهو ملف تجسس إذ ليس له عنوان معين بالويندوز.
6- تخلص منه بالضغط على الزر الأيمن للفارة ثم Delete

الطريقة الثانية بواسطة الأمر :

msconfig
1- انقر ابداء Start
2- اكتب في خانة التشغيل Run الأمر التالي : msconfig
3- سوف تظهر لك نافذة System Configuration Utility أختر لسان التبويب Start up
4- ستظهر لك شاشة تعرض البرامج التي تبداء العمل مباشرة مع بدء التشغيل
5- إفحص هذة البرامج جيدا بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بالغاء الإشارة الظاهرة بالمربع الصغير المقابل له فتكون بذلك قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب بها.

الطريقة الثالثة بواسطة الدوس Dos:

هذة الطريقة كانت تستخدم قبل ظهور الويندوز وهي من اسهل الطرق :
1- إفتح الدوس من محث MSDos بقائمة إبداء
2- أكتب الأمر التالي : C:/Windows\dir patch.*
3- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية:
C:\Windows\delete patch.*
في الحلقة الدراسية القادمة إن شاء الله سنتعلم ميكانيكية الاختراق وكيف يتم عن طريق الريموت والسيطرة على الأجهزة والأنظمة عن بعد وسنتطرق للبرامج التي تستخدم في ذلك وطريقة عملها (كيف تعمل وليس كيف يعمل بها) وأيضا سنتحدث عن الطرق التي يمكن بها إعاقة عمل تلك البرامج دون علم من الكراكرز

يتبع ان شاء الله

تسلمى أختنا / هبة الله
تعرفى أهم ما فى الموضوع أن الطرق بسيطة
و بدون برامج مكافحة
خاصة و أنى تعرضت لمشاكل مع الويندوز
بعد تركيب برنامج المكافحة ذاته
!!

كيف يتم الاختراق

ميكانيكية الإختراق

يعتمد الاختراق على السيطرة عن بعد Remote وهي لاتتم الا بوجود عاملين مهمين : الأول البرنامج المسيطر ويعرف بالعميل Client والثاني الخادم Server الذي يقوم بتسهيل عملية الأختراق ذاتها. وبعبارة أخرى لابد من توفر برنامج على كل من جهازي المخترق والضحية ففي جهاز الضحية يوجد برنامج الخادم وفي جهاز المخترق يوجد برنامج العميل .
تختلف طرق إختراق الأجهزة والنظم بإختلاف وسائل الإختراق ، ولكنها جميعا تعتمد على فكرة توفر إتصال عن بعد بين جهازي الضحية والذي يزرع به الخادم (server) الخاص بالمخترق ، وجهاز المخترق على الطرف الأخر حيث يوجد برنامج المستفيد او العميل Client وهناك ثلاث طرق شائعة لتنفيذ ذلك :

1) عن طريق ملفات أحصنة طروادة Trojan :

لتحقيق نظرية الأختراق لابد من توفر بريمج تجسسي يتم إرسالة وزرعة من قبل المستفيد في جهاز الضحيه ويعرف بالملف اللاصق ويسمى (الصامت) أحيانا وهوملف باتش patch صغير الحجم مهمته الأساسية المبيت بجهاز الضحيه (الخادم) وهو حلقة الوصل بينه وبين المخترق (المستفيد) .

كيفية الإرسال والاستقبال :

تقوم الفكرة هنا على إرسال ملف باتش صغير هذا الملف يعرف باسم حصان طروادة لأنه يقوم بمقام الحصان الخشبي الشهير في الأسطورة المعروفة الذي ترك امام الحصن وحين ادخله اليه الناس خرج من داخلة الغزاة فتمكنوا من السيطرة والإستيلا على الحصن . ملفنا الصغير الفتاك هذا ربما يكون اكثر خبثا من الحصان الخشبي بالرواية لأنه حالما يدخل لجهاز الضحية يغير من هيئته فلو فرضنا بأن إسمه mark.exe وحذرنا منه صديق فأننا سنجده يحمل اسما اخرا بعد يوم او يومين . لهذا السبب تكمن خطورة احصنه طراودة فهي من جانب تدخل للأجهزة في صمت وهدوء ، ويصعب اكتشافها من جانب اخر في حالة عدم وجود برنامج جيد مضاد للفيروسات .
لاتعتبر احصنة طروادة فيروسات وإن كانت برامج مضادات الفيروسات تعتبرها كذلك فهي بالمقام الأول ملفات تجسس ويمكن أن يسيطر من خلالها المستفيد سيطرة تامه على جهاز الضحية عن بعد وتكمن خطورتها في كونها لاتصدر اية علامات تدل على وجودها بجهاز الخادم.

كيفية الأرسال :

تتم عملية إرسال بريمجات التجسس بعدة طرق من اشهرها البريد الألكتروني حيث يقوم الضحية بفتح المرفقات المرسلة ضمن رسالة غير معروفة المصدر فيجد به برنامج الباتش المرسل فيظنه برنامجا مفيدا فيفتحه او أنه يفتحه من عامل الفضول ليجده لايعمل بعد فتحة فيتجاهلة ظانا بأنه معطوب ويهمل الموضوع بينما في ذلك الوقت يكون المخترق قد وضع قدمه الأولى بداخل الجهاز ( يقوم بعض الأشخاص بحذف الملف مباشرة عند إكتشافهم بأنه لايعمل ولكن يكون قد فات الأوان لأن ملف الباتش من هذا النوع يعمل فورا بعد فتحة وإن تم حذفه كما سنرى فيما بعد) .
هناك طرق أخرى لزرع أحصنه طروادة غير البريد الألكتروني كأنتقاله عبر المحادثة من خلال برنامج الـ ICQ وكذلك عن طريق إنزال بعض البرامج من احد المواقع الغير موثوق بها . كذلك يمكن اعادة تكوين حصان طروادة من خلال الماكرو الموجودة ببرامج معالجات النصوص.

كيفية الإستقبال:

عند زرع ملف الباتش في جهاز الضحية (الخادم) فأنه يقوم مباشرة بالأتجاه الي ملف تسجيل النظام Registry لأنه يؤدي ثلاثة امور رئيسية في كل مرة يتم فيها تشغيل الجهاز : (1) فتح بوابة او منفذ ليتم من خلالها الاتصال (2) تحديث نفسه وجمع المعلومات المحدثة بجهاز الضحية إستعدادا لأرسالها للمخترق فيما بعد (3) وتحديث بيانات المخترق (المستفيد) في الطرف الأخر . تكون المهمة الرئيسية لملف الباتش فور زرعة مباشرة فتح منفذ إتصال داخل الجهاز المصاب تمكن برامج المستفيد (برامج الإختراقات) من النفوذ. كما أنه يقوم بعملية التجسس بتسجيل كل مايحدث بجهاز الضحية او انه يقوم بعمل اشياء اخرى حسب مايطلبه منه المستفيد كتحريك الماوس او فتح باب محرك السي دي وكل ذلك يتم عن بعد.

بوابات الأتصال Ports

يتم الاتصال بين الجهازين عبر بوابات ports او منافذ اتصال وقد يظن البعض بأنها منافذ مادية في امكانه رؤيتها كمنافذ الطابعة والفأرة ولكنها في واقع الأمر جزء من الذاكرة له عنوان معين يتعرف علية الجهاز بأنه منطقة إتصال يتم عبره ارسال واستقبال البيانات ويمكن استخدام عدد كبير من المنافذ للأتصال وعددها يزيد عن 65000 يميز كل منفذ عن الاخر رقمه فمثلا المنفذ رقم 1001 يمكن اجراء اتصال عن طريقة وفي تفس اللحظه يتم استخدام المنفذ رقم 2001 لإجراء اتصال اخر.

التواصل

قلنا بأن المخترق قد تمكن من وضع قدمة الأولى بداخل جهاز الضحية بعد زرع ملف الباتش به ورغم خطورة وجود هذا الملف بجهاز الضحية فأنه يبقى في حالة خمول طالما لم يطلب منه المخترق التحرك فهو مجرد خادم ينفذ مايصدر له من اوامر ولكن بدونه لايتمكن المخترق من السيطرة على جهاز الضحية عن بعد ، وحتى يتم له ذلك، فإن على المخترق بناء حلقة وصل متينه بينه وبين الخادم عن طريق برامج خاصة تعرف ببرامج الإختراق . من جانب اخر تبقى احصنة طروادة عديمة الفائدة إن لم يتمكن المخترق من التعامل معها وهي تفقد ميزتها الخطرة حالما يتم اكتشافها والتخلص منها كما اوضحت بالحلقة الدراسية السابقة. وهناك عامل ممتاز يساهم في تحقيق هذة الميزة فبرامج مضادات الفيروسات الجيدة تكتشف ملفات الباتش الحاملة لأحصنة طروادة وتمنعها من الدخول للأجهزة لهذا يؤكد كل من له المام بالمعلوماتية أن تزود دائما الأجهزة الشخصية ببرامج مضادات الفيروسات وتحديثها بين الحين والأخر لأنها الخطوة الأولى للوقاية من الأختراقات ، كذلك علينا أن نتعود على عدم تمكين عامل الفضول من الولوج الي انفسنا فلانفتح اية مرفقات للبريد الألكتروني مجهول المصدر مهما كانت المغريات.

2) عن طريق الـ IP Address :

ذكرت بأن ملفات الباتش الحاملة لأحصنة طروادة هي حلقة الوصل بين المخترق والضحية ، ولكن في واقع الأمر فإن ملفات الباتش ليست إلا طريقة واحدة لتحقيق التواصل . عند إتصالك بالأنترنت تكون معرض لكشف الكثير من المعلومات عنك كعنوان جهازك وموقعه ومزود الخدمة الخاص بك وتسجيل كثير من تحركاتك على الشبكة. ولاتتعجب كثيرا حين تعلم بأن كثيرا من المواقع التي تزورها تفتح سجلا خاصا بك يتضمن عنوان الموقع الذي جئت منه IP Address ونوع الكمبيوتر والمتصفح الذي استخدمته بل وحتى نوع معالج جهازك وسرعته ومواصفات شاشاتك وتفاصيل كثيرة.
كيف تم معرفة كل ذلك ؟ يمكنك التحقق من هذا السؤال لو انك زرت الموقع التالي :
http://www.privacy.net
او الموقع التالي :
http://www.consumer.net
بعد التسجيل اطلب من احد الموقعين فحص جهازك اثناء اتصالك بالأنترنت وستفاجأ بالنتيجة .
مبدئيا عنوانك الخاص بالأنترنت Internet Protocol او IP يكشف الكثير عنك فكل جهاز متصل بالشبكة يكون له رقم معين خاص به يعرف بأسم الـ IP Address وكل عنوان لموقع على الأنترنت يترجم الي IP Address الخاص بمزود الخدمة وبأختصار يكون الـ IP كرقم هوية خاص بكل من يعمل على الأنترنت.
حينما يتمكن مخترق محترف من معرفة رقم الـ IP الخاص بالضحية فأنه من خلالة يتمكن من الولوج الي الجهاز والسيطرة عليه خلال الفترة التي يكون فيها الضحية متصلا بالشبكة فقط ، ولكن هذا الخيار لايخدم المخترق كثيرا لأن السيرفر الخاص بمزود الخدمة يقوم بتغيير رقم الـ IP الخاص بالمشترك تلقائيا عند كل عملية دخول للشبكة . يمكنك أن تجرب ذلك بنفسك بالطريقة التالية:
أثناء إتصالك بالشبكة ومن قائمة إبداء إختر تشغيل واكتب الأمر التالي في المستطيل الظاهر : winipcfg سيظهر لك عنوان الـ IP اكتبه في ورقة صغيرة واقطع اتصالك . أعد الأتصال مرة اخرى بالشبكة وقم بالأجراء السابق ستجد أن عنوان الـ IP الخاص بك قد تغير.

3) عن طريق الكوكي Cookie :

يمكن ايضا تحقيق التواصل للأختراق عن طريق الكوكي Cookie وهي عباراة عن ملف صغير تضعة بعض المواقع التي يزورها المستخدم على قرصة الصلب . هذا الملف به اليات تمكن الموقع الذي يتبع له جمع وتخزين بعض البيانات عن الجهاز وعدد المرات التي زار المستخدم فيها الموقع كما وأنها تسرع عمليات نقل البيانات بين جهاز المستخدم والموقع فالهدف الأساسي منها هو تجاري ولكنه يساء إستخدامة من قبل بعض المبرمجين المتمرسين بلغة الجافا Jafa فهذة اللغة لديها قدرات عالية للتعمق اكثر لداخل الأجهزة والحصول على معلومات اكثر عن المستخدم. لايفضل منع الكوكيز كليا ولكن يمكن فلترتها من خلال المتصفح او ببعض البرامج كالجارد دوق .
وبعد فإن ميكانيكية الأختراق تتم مبدئيا بوضع بريمج الخادم بجهاز الضحية ويتم الأتصال به عبر المنفذ port الذي فتحة للمستفيد (المخترق) في الطرف الأخر ولكن حلقة الوصل هذة تنقصها المعابر وهي البرامج المخصصة للأختراق وهذة الأخيرة سأتطرق اليها في الحلقة الدراسية القادمة إن شاء الله حيث سأشرح كيف تعمل برامج الأختراق ، وكيف علينا أن نتعامل معها ، وكيف نوهم المخترق بنجاح إختراقة بينما هو يجري خلف سراب.

يتبع ان شاء الله

دايما متفوقة اختي هبة الله يكرمك افدتينا كتير
وان كانت لك اهتمامات جادة بالحاسوب انا من المهويسين الكترونيا به ارجو الاستمرار ....الحياة برمجة ..برمجها صح

مشكور اخي "طالب علم" على مرورك الكريم
وان شاء الله ادرج بقية الموضوع

جزاكم الله كل الخير

الهاكر

يسمع الكثير بما يسمى بالهاكــرز ..او مخترقى الاجهزه ويتسأل كيف يتم ذلك وهل هو بالامر البسيط ام ان الامر يحتاج لدراسه وجهدا .

وفى الحقيقه انه مع انتشار برامج القرصنه ووجودها فى الكثير من المواقع اصبح من الممكن حتى لمن يجهل الكثير من الامور فى الاختراق ان يخترق جهازا وبدون اى عناء..ويتم ذلك عن طريق انزال احد تلك البرامج واستخدامها .

ولكن يجهل الكثير جدا من مستخدمى تلك البرامج انه اصبح عرضه اكثر من غيره بالاصابه بالفايروسات وملفات التجسس فالكثير منها اما ان يحتوى على ملفات للتجسس ادخلت فى البرنامج او احد تلك الفايروسات الخطيره والتى لا تعمل على الفولر وانما تعمل او تنشط فى تاريخ معين من السنه او الشهر .. كفايروس تشرنوبول.

ماهو برنامج القرصنه :

البرنامج او معظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما : Client.exe Server.exe
والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم .. وتندرج كل تلك الملفات تحت اسم Torjan …

ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها .. والمقصود هنا فتح ثغره اى بورت ولناخذ على سبيل المثال برنامج النت باص .. فعند اصابت جهازك بملف السيرفر او الخادم فانه وعلى الفور يقوم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك . .

هل يمكن اختراق جهازك بدون ملف باتش او سيرفر ؟

فى الحقيقه ان الاختراق يعتمد على ما يسمى بالريموت Remote اى السيطره عن بعد .. ولكى تتم العمليه لا بد من وجود شيئين مهمين .. الاول البرنامج المسيطر وهو العميل .. والاخر الخادم الذى يقم بتسهيل العمليه ..

ولنفرض ان شخصا ما لديه برنامج النت باص او ديب ثروت ..ويود اختراق جهازك .. اولا عليه ان يدخل رقم الاى بى الخاص بك .. ثم عمل اتصال .. ولاكنه لن يستطيع ذلك لعدم وجود عامل مساعد فى جهازك يقم باستقبال الامر .. لان العميل سوف يذهب الى الاى بى الخاص بك ويبحث عن البورت 12345 فلا يجده ..عندها لا يمكن الاتصال

ولكن لو ان جهازك مصاب بالخادم او السيرفر فان العميل حينما يتجه الى جهازك سوف يجد البورت مفتوحا امامه وعندها يمكن الدخول ..

اذا كيف اصاب بالملف واهم طرق الوقايه من ملفات التجسس :

فى الحقيقه ان طرق الاصابه بملف التجسس او السيرفر محدوده .. وتعتبر اشهرها او اشهر طرق الاصابه بها :

اولا : اما ان ترسل اليك بطريق الاميل
ثانيا : اذا كنت من مستخدمى برنامج الاسكيو او برامج التشات وارسل لك ملف فقد يكن مصابا بملف تجسس او حتى فايروس ..
ثالثا : عندما تقم بانزال برنامج من احد المواقع الغير مثوق بها وهــى فى الحقيقه كثيره جدا .. فقد يكون البرنامج مصاب اما بملف تجسس او فايروس

الوقايه تكون باتباع الاتــى :

لا تقم ابدا بفتح اميل مرسل من شخص مجهول او لا تعرفه
لا تقم باستقبال اى برنامج او ملف باستخدام برنامج الاسكيو من شخص لا تثق به
لا تقم بانزال اى برنامج من موقع غير معروف مالم تكن لديك برامج للكشف عن الفايروسات او ملفات التجسس .. مثل برنامج مكافى ..او نورتن تنى فايروس

اين يختبى ملف التجسس فى جهازك :

عندما تصاب باحد تلك الملفات فمعضمها او اغلبها يتجه وعلى الفور الى ما يسمى Registry او الريجسترى .. لماذا لانه عند كل مره تقم بتشغيل الوندوز فان النظام يقم بتشغيل البرامج المساعده والتى موجوده فى الريجسترى .. مثل برامج الفايروسات الاسكيو .. وغيرها .. فيقوم النظام ايضا بتشغيل ملف التجسس معها ..

يتبع ان شاء الله

هذا القسم يتكلم عن طرق الحماية من أكثر برامج التجسس أنتشاراً

NetBus 1.70

فضلت أن أبدء هذه الصفحة بعرض لكيفية درء مخاطر أشهر وأكثر برامج التجسس أستخداماً على الأنترنت، برنامج النيت بص، الذي يستخدم بكثرة في عمليات التجسس بسبب سهولة أستخدامه وأحتوائه على بعض المواصفات الخاصة ، هذه الصفحة عن الأصدارة رقم 1.70 من البرنامج المذكور

برنامج النيت بص يعمل على الويندوز98 وال95 والNT .
السيرفر الخاص به عادة ما يكون حجمه 470 كيلو بايت، وعادةً ما يكون أسمه patch.exe ، مع ملاحظة بأنه يمكن للمخترق تغيير الأسم لأي أسم أخر. البورت 12345 والبورت 12346 هي المنافذ التي يستخدمها النيت باس عادةً في عملية الدخول عليك. قام بعمل هاذا البرنامج مبرمج سويدي أسمه كارل فريدريك.

هذه بعض أمكانيات النيت باص:

* فتح وغلق السيدي روم في جهاز الضحية.
* إظهار الصور الموجودة بعد تحديد مسارها، أو سوف يظهر الصور الموجودة في المجلد الذي به السيرفر، الصور التي يدعمها هي الصور من نوعية Jpg و Gif .
* تغيير أزرار الماوس بحيث الزر اليمين يؤدي وظيفة الـزر اليسار والعكس.
* تشغييل أي برنامج يريده من كمبيوتر الضحية.
* تشغــيـيل أية ملفات صــوتية، الأصوات الــتي يدعمها هي نوعية الwav.
* تحريك الماوس إلا أي مكان، يعني تستخدم الماوس الخاص به.
* عمل رسالة تظهر للمستهدف وبأمكانه الرد عليها.
* أغلاق الويندوز وعمل اللوق أوف (تسجيل خروج).
* توجيه الضحية إلى أي صفحة يريدها دون أي سيطرة من الضحية.
* التجسس على الكلمات التي تكتبها مثل الباسوورد وأي شئ أخر مثل الرسائل واليوزر نيم.
* نقل وأرسال الملفات من كمبيوترك إلى كمبيوتر المتحكم وطبعاً أول شئ حيعمله هو إرسال السيرفر ثم أخذ نسخ من ملفاتك أو لعمل تحديث (أبديت) للسيرفر الموجود في جهازك.
* رفع وتخفيظ الصوت.
* التصنت على جميع الأحاديث في غرفتك إذا كان لديك مايكروفون.
* عمل داونلود أو ديليت لأي ملف في جهازك بطريقة يتم إظهار جميع محتويات الهارديسك في جهازك للهاكرز
* بأمكانه أيضاً تعطيل بعض أزرار لوحة المفاتيح لديك.
* عمل باسوورد على السيرفر بحيث لايستطيع شخص أخرلديه النيت باص الدخول عليك، يعني تصير ملك له

كيفية التخلص من سيرفر النيت باص:

* أضغط على أبدء ثــم تشغيل.
* أكنب في مربع التشغيل regedit لكي تشغل برنامج الريجستري ثم أنقر على أوكي.
* في الجهة اليمنى من برنامج الريجستري أنقر على علامة ال+ من أمام العبارات التالية:

HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion

الآن أنقر على المجلد Run، داخل هاذا المجلد حتجد البرامج التي تعمل تلقائياً عند تشغيل الويندوز والتي قد يكون من ضمنها السيرفر الخاص بـ النيت بص ، إذا وجدت أي قيمة في الجهة اليسرى من الريجستري تشير إلا ملف أسمه patch.exe فهاذا هو السيرفر الخاص بـ النيت باص مع العلم بأنه قد يكون أي اسم أخر، أبحث عن أي شئ غريب يعمل في بدلاية الويندوز وليس من البرامج المعروفة الخاصة بالويندوز.

إذا عثرت عليه توجه إلى مجلد WinNt ثم مجلد System32 إذا كنت تستخدم ويندوز أن تي أو توجه للمجلد Windows ثم مجلد System إذا كنت تستخدم ويندوز98 ، أبحث عن أسم الملف الذي عثرت عليه بداخل مجلد Run في برنامج الريجستري إذا عثرت عليه (عادةً يكون حجمه 470كيلوبايت) تكون قد عثرت على السيرفر الذي يستخدمه المخترق للدخول عليك. الآن شغل الدوس وذلك بالذهاب إلا أبدء ثم البرامج ثم دوس برومبت. في الدوز أذهـب للمجلد الذي به السيرفر وذلك بكتابة أسم المجلد مسبوقاً بحرفي CD لكي يذهب بك للمجلد المطلوب وأكتب الأمر التالي لعملية الحذف C:\Windows>System> Del patch.exe

إذا كان السيرفر الذي وجدته أسمه غير أسم patch قم بتغيير الأسم إلا أسم السيرفر الذي لديك ثم أنقر Enter
الآن عد لنفس المنطقة التي ذهبت إليها في الريجستري في مجلد Run وأضغط على View ثم Refrech وستجد أن أسمه قد أختفى لأنك حذفته ، عد للمجلد الذي كان به وتأكد من عدم وجوده.

NetBus 2.0 Pro

النسخة الحديثة من برنامج النيت بص (نيت بص 2 بروفيشنال) أضيفة لهذه النسخة العديد من التحسينات ، مثل رقم البورت الجديد، وميزات تجسسية جديدة وكثيرة وكما هو واضح من الأسم (بروفيشنال) فهناك العديد من المزايا المتقدمة برنامج نيت بص الأصدارة رقم2 (بروفيشنال) تعمل على الويندوز 98 وال95 والNT . السيرفر الخاص به عادةً يكون حجمه 599 كيلوبايت وعـــــادةً مـا يكون أسمه NBsvr.exe .

البورت رقم 20034 هــو المنــفذ الـــذي يستخـدمه نيت باص بروفيشنال عادةً في عملية الدخول والتخاطب مع السايلنت. هذه هي أخر نسخة من البرنامج والمعروفة بأسم (بروفيشنال) قام بتطويره مصمم البرنامج القديم كارل فريدريك.

الآن كيفية التخلص من السيرفر الخاص به:

غل برنامج الريجستري، كما تعلمت من صفحة نيت باص1 ثم أذهب إلى المجلدات التالية بداخل برنامج الريجستري.

HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion

ثم توجه لمجلد RunServices وليس مجلد Run الذي تتوجه إليه في النسخة القديمة، داخل مجلد RunServices إذا وجدت أسم السيرفر NBsvr.exe فذلك يعني أنك مصاب به. الآن ضع الماوس فوق أسم الفيروس (السيرفر) وأنقر بالزر الأيمن وأختر (ديليت). بعد ذلك أخرج من برنامج الريجستري ثم شغله مرة ثانية وتوجه لهذه المنطقة وذلك بالنقر على علامة+ من أمام المجلد التالي: HKEY_CURRENT_USER

وستجد مجلد أسمه NetBus Server ضع الماوس على هاذا المجلد وأنقر بالزر الأيمن وأختر (ديليت).

الآن قم بأغلاق برنامج الريجستري. إذهب إلى (أبدء) ثم (أيقاف تشغيل الكمبيوتر) ثم أختر (إعادة التشغيل في وضع MS-DOS ) في الدوس توجه للمجلد System وذلك بكتابة الأمر CD أمام أي مجلد ترغب التوجه إليه.

الآن وبعد أن دخلت لمجلد System الموجود في مجلد Windows قم بحذف الملفات التالية وذلك بكتابة Del ثم مسافة ثم أسم الملف: NBSvr.exe NBHelp.dll Log.txt أعد تشغيل جهازك لكي يتم التخلص نهائياً من أية ملفات خاصة بنيت باص بروفيشنال.

NetSphere 1.31 Final

النيت سفير هو واحد من أفضل برامج التجسس الموجودة على الأنترنت، يتميز السيرفر الخاص به بمزايا تجعله أفضل من النيت بص فهو مكتوب بلغة ديلفي4، ولم يكن النورتون أنتي فايرس يستطيع أكتشاف السيرفر الخاص به إلا قبل فترة قريبه

Net Sphere النيت سبير يعمل على الويندوز98 وال95 والNT .

السيرفر الخاص به حجمه 640 كيلو بايت ومكتوب بلغة ديلفي4 ، وأسم السيرفر nssx.exe ويمكن العثور عليه بمجلد السيستم الموجود بمجلد الويندوز. البورت الذي يستخدمه للتخاطب مع السايلنت هو البورت رقم 30100 و 30101 و 30102 و 30103

بعض مميزات النيت سفير:

* أولاً يقوم بأرسال المعلومات التالية عنك: نوع نظام التشغيل ورقم أصدارته، أسم صاحب الكمبيوتر المسجل في الريجستري، أسم الشركة التي تعمل بها والمسجلة بالريجستري، موقع مجلد الويندوز، أسم المعرف وكلمة السر الخاصة بدخول الأنترنت، نوع وسرعة البروسسر في جهازك، العنوان والمدينة والدولة ورقم التلفون وذلك إذا كانت مخزنة بالريجستري أو برامج البريد الأليكتروني، حجم الرام.
* أغلاق وفتح الشاشة لديك (إذا كانت تدعم توفير الطاقة)، وتغيير درجة الوضوح وتغيير عمق اللون بها.
* عمل بعض الأشياء بـ ال ICQ إذا كنت تستخدمه مثل إضافتك إلى اللست حقته أو إضافة العناويين الموجودة به إلى اللست الخاصة به.
*أخذ صورة لسطح المكتب الخاص بجهازك.
* عمل بعض التغييرات في إعدادات الماوس.
* خواص كثيرة أخرى مثل معرفة البرامج التي تعمل في الزمن الحقيقي وأمكانية أغلاقها، تسجيل الأصوات في غرفتك إذا كان لديك مايكروفون في جهازك، إرسال رسالة يمكن الرد عليها مباشرةً، أغلاق وتشغيل الكمبيوتر (عمل ريستارت وأيقاف تشغيل)، تتميز عملية السكننق فيه بالسرعة نسبة للنيت باص، بالأضافة إلى الحصول على التعليمات من شركة نيت سبير عند طلبك ذلك (أون لآين هيلب).
* وطبعاً جميع الوظائف التي تؤديها برامج التجسس مثل جلب (سرقة) وإرسال الملفات من جهازك لجهاز الهاكر.

كيفية التخلص من سيرفر النيت سبير:

* شغل برنامج الريجستري وذلك بالذهاب إلى (إبدء) ثم Run ثم كتابة regedit في المربع والنقر على (أوكي).
* توجه للمجلدات التالية بالضغط على علامة ال+ من أمام كل مجلد

HKEY_LOCAL_MACHINE+ Software+ Microsoft+ Windows+ CurrentVersion+ Run

في المجلد Run أنظر في الجهة اليمنى وأبحث عن NNSX إذا عثرت عليها ستجد أمامها C:\Windows\System\nnsx.exe وهو الأمر الذي يقوم بتشغيل السيرفر الخاص بـ النيت سبير في كل مرة يتم فيها تشغيل الويندوز، ضع الماوس على NNSX وأنفر بالزر الأيمن وأختر (ديليت)
* أقفل برنامج الريجستري وأعد تشغيل الكمبيوتر في وضع الدوس ثم توجه للمجلد System وذلك بكتابة
الأمر CD WINDOWS\SYSTEM ثم أضغط على Enter في لوحة المفاتيح (الكي بورد) .
* بعد أن ذهبت للمجلد سيستم أكتب الأمر التالي لحذف السيرفر المسمى NNSX أمر الحذف هو Del nssx.exe وأضغط Enter . * أعد تشغيل الكمبيوتر وذلك بالنقر على الأزرار Ctrl + Alt + Delet

وبذلك تكون قد تخلصت من السيرفر الخاص بـ النيت سبير

Sub 7

البرنامج المفضل لدى شباب السعودية والأمارات للتجسس، ما أدري ليش، السوب سفن أو (الباكدور جي) يتميز بمخادعة الشخص الذي يحاول إزالته، فهو يعيد تركيب نفسه تلقائيا بعد حذفه من الريجستري والويندوز، مع العلم بأن النورتون الذي لدي لم يكتشف السيرفر الخاص به، حتى مع عمل أبديت بشكل أسبوعي؟؟؟

برنامج السوب سيفين أو (الباكدور جي) هو من أكثر البرامج التي يستخدمها الهاكرز الآن، بعد أن كانوا يستخدمون النيت بص، فأنا مثلاً أًسجل على الأقل ستة محاولات للدخول على جهازي يومياً بأستخدام السوب سيفين، أنصحكم بقراءة هذه الصفحة بتأني لأن السيرفر الخاص بـ السوب سيفين خطير والنورتون لايستطيع أكتشاف وجوده ويتميز بالخداع أثناء محاولة إزالته. يقوم السوب سيفين بأنشاء القيم التالية داخل الريجستري:

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia

KERNEL16="KERNEL16.DL"

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile" يقوم أيضاَ بأنشاء الملفات التالية:

في مجلد السيستم الموجود في مجلد الويندوز ينشئ ملف أسمه rundll16.exe أو KERNEL.dl حجمه حوالي 35 كيلو بايت. كما ينشئ أيضاً في نفس المجلد ملف أسمه MOVOKH_32.dll حجمه أيضاً 35 كيلوبايت.

وينشئ أيضاً ملفان في نفس المجلد هما nodll.exe و watching.dll حجمهما أيضاً 35 كيلوبايت.

مع العلم أنه يمكن تغيير أسماء بعض هذه الملفات من قبل الهاكرز. المنافذ التي يستخدمها السوب سفن:

يستخدم السوب سيفين البورت رقم 6711 و 6776، هناك بورتات أخرى هي 1243 و 1999، وقد سمعت من أحد الأشخاص طريقة لاكن لا أتذكرها يقول بأنه يمكن تغيير أحد هذه البورتات وأستخدام بورت سري موجود بين 1243 و 1999 يحدده المستخدم بعدما يقوم المخترق بوضع السيرفر في جهازك يقوم السيرفر بإدخال تغييرات على ملف System.ini وبالتحديد في السطر الخامس حيث يقوم بإضافة أسمه بعد عبارة Explorer.exe ليصبح السطر بعد التغيير shell=Explorer.exe rundll16.exe كما يقوم بعمل تغيير في ملف Win.ini وذلك في الأسطر الأولى تحديداً في القيم التي توضع أمامها البرامج المراد تشغيلها أثناء تشغيل الويندوز مثل Load= ####.exe أو run=####.exe التخلص من السوب سيفين: من أهم أعراض الأصابة ببرنامج السوب سيفين هو ظهور رسالة (قام هاذا البرنامج بإنجاز عملية غير شرعية.... ) وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على الكيبورد حيث يقوم البرنامج بعمل تغييرات في برنامج سكرين سيفر، وتظهر هذه الرسائل عادةً عندما تقوم بأزالة أدخالات السوب سيفين في ملف system.ini

بإمكان السيرفر الخاص بـ السوب سيفين أيضاً أعادة أنشاء نفسه بعد حذفه من الويندوز بأستخدام بعض الملفات المساعدة. بما أن السوب سيفين يمكن عمل تعديلات على السيرفر الخاص به بإستخدام برنامج الأيديت الملحق به، فإنه من الواجب البحث في أي مكان من الممكن أن يعمل تلقائيا، يعني أي مكان يمكن وضع أوامر للويندوز لتشغيله تلقائيا. أولاً أفتح الملف win.ini والملف system.ini الموجودان في مجلد الويندوز . في ملف الـwin.ini أبحث في بداية السطور الأولك من هاذا الملف عن أي قيم شبيهة بالقيم التالية:

run= xxxx.exe أو run= xxxx.dl أو Load= xxx.exe أو Load= xxxx.dll

xxx تعني أسم السيرفر.

إذا عثرت على قيمة خاصة بالسيرفر فقم بحذفها. في ملف الـ system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر shell=Explorer.exe إذا كان جهازك مصاباً بالسوب سيفين ستجد شكل السطر هكذا: shell=Explorer.exe xxx.exe أو shell=Explorer.exe xxx.dll

مع العلم بأن xxx أسم السيرفر الذي من أشهر اسمائه rundll16.exe و Task_Bar.exe إذا كان كذلك قم بمسح أسم السيرفر فقط يعني إذا كان مثلاً shell=Explorer.exe rundll.exe قم بمسح rundll.exe ليصبح شكل السطر shell=Explorer.exe

بعد ذلك شغل برنامج الريجستري بالذهاب إلى أبدء ثم تشغيل ثم كتابة regedit ثم النقر على (أوكي) وأذهب إلى المجلدات التالية:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

داخل المجلد (رن) أبحث عن أسم السيرفر الذي عثرت عليه في ملف system.ini أو الملف win.ini (في بعض الحالات قد يتغير أسم السيرفر في الريجستري لذلك أبحث عن أي شئ غريب) ثم بعد ذلك توجه لمجلد ويندوز وستجد أن حجم السيرفر الذي عثرت عليه بالريجستري حوالي 328 كيلوبايت ، إذا كان كذلك عد لنفس المنطقة في الريجستري وقم بحذف القيمة وذلك بانقر على أسمها وأختيار (ديليت). الآن أعد تشغيل الكمبيوتر، ثم توجه لمجلد الويندوز وقم بحذف السيرفر بالنقر عليه بالزر الأيمن للماوس وأختيار حذف (ديليت).

أتمنى أن تطبقوا الخطوات السابقة بدقة، وأن لاتحذفوا أو تعدلوا أي شئ في الريجستري مالم يكن مطابقاً لما جاء في الأعلاى.

Back orifice

الباك أوريفيس قام بعمله جماعة تطلق على نفسها (جماعة البقرة الميته) ، الله الشافي، أنتشر هاذا البرنامج بشكل كبير في بداية طرحه بالأنترنت، يسمح البرنامج لمستخدمه بالحصول على (سيطرة كاملة) على جهاز الضحية دون علمه، السيرفر الخاص به ماله أســـم؟؟

الباك أوريفيوس يعمل على الويندوز98 وال95.

السيرفر الخاص به ماله أسم!!! ويكون شكله زي كذا exe. وستجده في مجلد الويندوز وحجمه صغيرون حوالي 122 كيلوبايت. البورت الذي يستخدمه الباك أوريفيوس للتخابر مع السايلنت هو البورت 31337 وهناك أمكانية أن يكون هناك بورت للهاكر الأيسبيشل.

مميزات الباك اوريفيوس :

* تمكين المتصل من الحصول على سيطرة كـــامــلــــــة على جهازك.

تخلص منه بسرعة :

* شغل برنامج الريجستري وتوجه إلى المجلدات التالية بالترتيب:

HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : RunService

في مجلد (رن سيرفيس) أبحث عن المفتاح الذي يقوم بتحميل السيرفر

إذا عثرت عليه ضع الماوس عليه وأنقر بالزر اليمين وأختر ديليت لحذفه من الريجستري .

الآن أخرج من برنامج الريجستري وأعد تشغيل جهازك. بعد أن أعدت تشغيل جهازك، توجه لمجلد (SYSTEM) الموجود بداخل مجلد الويندوز وأبحث عن الملف المطلوب وهو السيرفر اللي أسمه، عفوا ماله أسم لاكنه شبيه بـ exe. إذا لم تجده أنقر على قائمة عرض ثم (خيارات المجلد) ثم (عرض) من قائمة الملفات المختفية ضع علامة على (إظهار جميع الملفات) ثم أنقر على تطبيق ثم موافق. الآن وإذا بحثت بمجلد السيستم مرة أخرى ستجد السيرفر قم بمسحه، كما ستجد ملفاً أخر أسمه windll.dll وهو أيضاً تابع للباك أوريفيس قم بحذفه أيضاً. الآن قم بأيقاف جهازك عن العمل (قفله) (سوي شوت داون)

ملاحظة هامة:

بإمكان المخترق تغيير أسم السيرفر من exe. إلى أسم أخر أحياناً يكون أسمه Shell.exe لذا عندما تقوم بالبحث في مجلد (رن سيرفس) في الريجستري أبحث عن أي أسم مثير للشك أو غريب عليك وأنقر على أسمه مرتين وسوف يظهر لك المكان الذي يتواجد به البرنامج، توجه للمكان الذي يشير أليه ثم إذا وجدت أن حجمه 123 أو 122 كيلوبايت فمن المحتمل أن يكون السيرفر الخاص بـ الباك أريفيوس.

يتبع ان شاء الله

مشكورة يا اخت الاسلام على ما يبدعه قلمك فدام المنتدئ منيربه يا هبة الرحمان

بلقيس كتب:: مشكورة يا اخت الاسلام على ما يبدعه قلمك فدام المنتدئ منيربه يا هبة الرحمان

تسلمي عزيزتي بلقيس على مرورك الكريم الذي اضاء صفتي وزادها توهجا
ودمت وفية لمنتدانا جميا
فعما نرقى بالمنتدى ان شاء الله

تقبلي ارق التحايا عزيزتي

» شبابنا وكيفية استثمارهم مواهب الحياة
» اصلاح أعطاب الحاسوب...وكيفية صيانتها
» تعريف العزابـــــــــي
» دعوه للتعارف
» تعريف الحديث القدسي