بسم الله الرحمن الرحيم
الحمد لله رب العالمين ،، والصلاة والسلام على أشرف الخلق وأعز المرسلين ،، سيدنا محمد الطاهر الأمين ، وعلى آله وأصحابه الأخيار المنتجبين ،، وبعد ,,
سأتحدث في هذا الموضوع عن أقوى أنظمة إزالة ملفات التجسس ،،، بل ومعرفة الاي بي وملاحقته وإغلاق مودم المخترق!!!!!
اسم النظام : العقل البشري !!! نعم ،، العقل البشري أقوى من البرامج التي ما تكون في الغالب ملغمة من قبل الهاكرز ،، يستطيع أي منا ملاحقة الباتش في جهازه ومعرفة اي بي المخترق وإغلاق مودمه تأديبا له ،،، كيف ؟؟؟!!!!
الخطوة الأولى :: كشف الاختراق ::
الطريقة ::الطريقة ::: اذهب إلى قائمة إبدأ -تشغيل (لآصحاب xp )لآصحاب ويندوز 7 ::إذهب ألى أبدأ - البرامج الملحقة - تشغيل
أو بالضغط على شعار الويندوز في لوحة المفاتيح +ٌR .. نكتب cmd ومن ثم انتر..
الآن قم بكتابة الأمر التالي وانتبه للمسافة
netstat -n ومن ثم انتر
سيقوم بعرض جدول :: في أعلى هذا الجول توجد 4 عبارات (porto(نوع البروتوكل المتصل ) ،local address (الاي بي المحلي ) ,,( Foreign Address (الأي بي الاجنبي الذي اتصلت به (((ركز عليه لأنه هو المستخدم))) ، وأخيرا (state) حالة اتصال المنفذ ......
مايهمنا هو التالي :: Foreign Address + State
الآن انظر الى قائمة الايبيهات
ستجدها كالتالي (مثلا أي بي قوقل ) :
173.194.78.105:80
نستنتج أن الأي بي هو 173.194.78.105 والبورت المفتوح هو 80 وهو البورت الذي يتيح لنا تصفح المواقع ..
لم تفهم أليس كذلك ؟؟ نوضح الفكرة
المواقع عن صفحات مرفوعة على سيرفر ،، السيرفر هو جهاز كمبيوتر مفتوح على الدوام ،، وبداخله مجلدات تحوي الصفحات التي نريدها .. صارت الفكرة أشبه بالبحث عن شخص قي منطقة ما ،،، للبحث عنه يجب أن تعرف عنوان البيت (أي بي الموقع) وأن تعرف البوابة التي يمكنك الدخول منها لرؤية هذا الشخص (البورت ) ومعرفة الشخص المطلوب ( الصفحة)
لو حاولت الدخول الى هذا البيت من بوابة أخرى (مثلا الشباك )لاتستطيع لذا عليك أن ترسل شخصا مألوفا لهم حتى يستطلع عليهم ويخبرك بما رأى .. وضحت الفكرة؟؟؟ نكمل
ا======
لو وجدنا من بين هذه الايبيهات اي بي يحمل بورت غريب مثلا 81 أو 5110 نعرف بنسبة 50% إنه هذا اي بي الهاكر ..
الآن نذهب لنتأكد ( ولكن نبقي على الاي بي بحوزتنا ،، انسخه ولصقه في المفكرة )
=========================================
نذهب إلى الخطوة الثانية :: تنظيف الريجيستري :: أغلب برامج الحماية إن لم أقل كلها ،، تحذف الباتش فقط ،، وتبقى قيم الريجيستري ثابتة ،، مما يهيئ للباتش بــ(إعادة الانتشار) مرة أخرى ،،، لهذا نلاحظ أن برامج الحماية تكشف البرنامج الملغم ،، وتقوم أنت بحذفه ،، ولكنه سرعان مايعود بنفس الاسم ونفس الصيغة ونفس القيم التي كشفها البرنامج في المرة السابقة ....
نذهب إلى ابدأ - تشغيل ونكتب الآتي regedit ستفتح لنا نافذ الريجيستري ،، الأن نقوم بالبحث عن قيمة تسمى
nck وأي قيمة تحمل هذا الاسم احذفها فورا ،،، القيمة الثانية (قيمة مسجل المفاتيح) klg أيضا اذا وجدت اي قيمة تحمل هذا الاسم قم بحذفها فورا ...
الآن نذهب إلى المفتاح الآتي في الريجيستري
اذهب لبوابة HKey_Current User
ومن ثم Software ابحث بين الملفات عن Bifrost أو Spynet وقم بحذف المجلد
ومن ثم Microsoft
ومن ثم Windows
ومن ثم Current Version
ومن ثم RUN ونلاحظ أي قيمة غريبة ونقوم بحذفها مثلا (xcv.exe) أو أرقام كثيرة
تلاحظ تكون هذا الجدول من قائمتين في القائمة الأولى اسم القيمة وفي القائمة الثانية مكان وجود الملف الأصلي
تتبع المسار لكل قيمة حتى تصل للباتش ( يكون لوحده في ملف ))
===========انتهينا من المفتاح الأول========
نذهب الأن إلى HKey _Local Machine ونتبع الخطوات
نذهب الى Software ابحث بين الملفات عن Bifrost أو Spynet وقم بحذف المجلد
ومن ثم Microsoft
ومن ثم Windows
ومن ثم Current Version
ومن ثم RUN ونلاحظ أي قيمة غريبة ونقوم بحذفها مثلا (xcv.exe) أو أرقام كثيرة
تلاحظ تكون هذا الجدول من قائمتين في القائمة الأولى اسم القيمة وفي القائمة الثانية مكان وجود الملف الأصلي
تتبع المسار لكل قيمة حتى تصل للباتش ( يكون لوحده في ملف ))
================================
الخطوة الثالثة ( بدء التشغيل)
نذهب إلى أبدأ -تشغيل ونكتب الأتي msconfig
ونذهب إلى بوابة ( بدء التشغيل )
1- إذا عرفت مسار الباتش قم بتتبع مسار كل برنامج في القائمة حتى تعرف إذا كان هو ام لا
إذا كان هو فاحذفه فورا
2- احذف أي قيمة غريبة ..
===========
الأن اذهب الى قائمة ابدأ - بدء التشغيل انقر عليه بزر اليمين واختار توسيع
الأن اذهب للوحة التحكم - خيارات المجلد - عرض وافعل الأتي
احذف العلامة من أمام إخفاء الملحقات لأنواع الملفات المعرفة (سأشرح استخدامها)
واختار في عرض الملفات والمجلدات المخفية
إظهارالملفات والمجلدات المخفية ..
الآن ارجع لبدء التشغيل واذا كان هناك أي برنامج غريب كان مخفيا فاحذفه على الفور ..
===================
الخطوة الرابعة ( إدارة المهام)
إذهب الى
ابدا-تشغيل- واكتب taskmgr لتظهر لك نافذة ادارة المهام
اذهب الى بوابة العمليات
ستجد فيها ثلاث جداول
الجدول الاول اسم العملية ،، والثاني اسم المستخدم المسؤول عن العملية..
لا بد أن الباتش انحرق بعد الخطوات التي قمنا بها سابقا هههههههههه
ولكن هناك أنواع منها تكون مخفية وتخفي قيم بدء التشغيل في الريجيستري
الآن تتبع مسار أي عملية قام بفتحها المستخدم الحالي ( اسم المستخدم الذي وضعته للكمبيوتر) من خلال الضغط بزر اليمين ومن ثم فتح موقع الملف .... لا تقم بفحصها بمضاد الفيروسات لأنها غالبا ما تكون مشفرة ،، بل قم بحذف أي بيرنامج غريب ....تذكر (( تتبع مسار العمليات للمستخدم الحالي وليس System فهذا هو النظام)
================
انتهينا من الخطوات اللازمة لتتبع الباتش
في حالة ما لذا كان الجهاز مخترق وعرفت الاي بي الذي اخترقك ،، بلغ عنه فورا
ولكن يجب التنبيه إلى أن بعض الهاكرز يقومون بأخفاء الاي بي تحت ما يسمونه ( هوست نو اي بي )
اذا لم تجد اي اي بي غريب ولكنك وجدت الباتش .. قم بتحليله واستخراج هوست النو اي بي للمخترق
يكون عادة على الشكل التالي xxx.no-ip.xxx
وهذا موقع لتحليل الباتشات http://anubis.iseclab.org/
ملاحظة هامة !! عند رفع الباتش الى الموقع و ظهور نتائج الفحص نلاحظ وجود روابط بالاسماء التاية
Html , PDF.TEXT
نضغط على text ونبحث عن كلمة no-ip
ونستخرج الهوست المخترق ونفعل الأتي: أبلغ ادارة موقع النو اي بي بأن الهوست هذا مستخدم للاختراق ،،و ستتولى الادارة هذا الاي بي وتغلق المودم ان شاء الله.... أو معرفة الاي بي عن طريق الموقع التالي http://www.ip-adress.com/ip_tracer/
واكتب فيه الهوست الذي استخرجته و اضغط بحث وستجد كل بياناته .. ومن ثم التبليغ عنه....
======================================
بقيت الآن الخطوة الأخيرة وهي الاهم
الانتباه لما تحمله من الانترنت
فمن الممكن أن يكون شكل الملف (صورة) ولكن امتداده exe أو scr أو bat أو pif
لهذا ازلنا العلامة من أمام أخفاء الملحقات لأنواع الملفات المعروفة في لوحة التحكم
عند وجود ملف يحمل الصفات السابقة لك خياران
إما أن تحذفه أو تحلله وتبلغ عنه
========================================
أرجو من الله العلي القدير أن أكون بهذا أفدتكم ،، وسامحونا على طول الشرح ،،
أخوكم
BlAcK HuNtEr