اليوم موضوعناء راح يتكلم عن الخطوات المهمه مابعد عملية الاختراق .
كما لاحظنا ان اغلب المواضيع تنتهج دروس وشروحات لكل خطوه يقوم بها الهكر ليصل الى
مبتغاه والغالب يكون دخول جهاز الضحيه . لكن السؤال : ماذا نفعل بعد عمليه الاختراق لكي
نتجنب الاخطاء ولكي لايذهب جهدنا هباءا منثورا . والجواب راح يكون بموضوعنا اليوم .
====================== الخطوه الاولى =======================
اول تهديد لنجاح عمليه الاختراق هو برنامج الحمايه الموجود لدى الضحيه . فمنهم من قال
نقوم بقتل الحمايه من خيار العمليات ( البروسيس ) . ومنهم من قال ندمج ملف مع السيرفر
ليقوم بمهمة قتل الحمايه . ولكن في الخيارات السابقه سوف يلاحظ الضحيه عملية قتل الحمايه
وينكشف امرك وبالتالي سوف يقوم الضحيه باتخاذ اجراءات تؤدي لفشل عملية الاختراق بالكامل .
الحل :
نقوم بقتل خاصية ( تحديث قاعدة البيانات ) وكلنا نعرف ان هذه الخاصيه موجوده بكل برامج الحمايه
فعلى سبيل المثال لو انكشف السيرفر من برامج الحمايه لن يكون مكشوف عند الضحيه لان برنامج
الحمايه عنده ليس محدث . لذالك سوف نقوم بالذهاب لمجلد برنامج الحمايه ونبحث عن الملف
الخاص لتحديث القاعده وفي الغالب يكون اسمه update ثم نقوم بمسحه وهكذا قتلنا اهم
خاصيه لبرنامج الحمايه وايضا ابعدنا الشكوك من حولنا فلن يلاحظ الضحيه اختفاء هذا الملف .
لتبسيط الفكره :
برنامج حمايه قاعدته ليست محدثه = قتل برنامج الحمايه = عدم كشف السيرفر في المستقبل
أول شي نروح للمسار التالي :
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0
بس فيه مشكلة بسيطة لو جيت تبي تحذف الملف هذا Updater.dll بيجيك خطأ طيب والحل ..!!
الحل انك تقتل الحماية من الـ Process قبل وبعدين تحذفه وانت مطمئن
وهكذا نضمن بقاء السيرفر مشفر بجهاز الضحيه حتى لو انكشف من برامج الحميه
======================= الخطوه الثانيه =======================
ثاني تهديد يواجه عمليه الاختراق الا وهو نقطة استعادة النظام . وفي الغالب هي اول خطوه يقوم
بها الضحيه اذا اكشف انه جهازه مخترق من قبل شخص آخر خاصة اذا لم يقوم برنامج الحمايه
بتنبيهه .
الحل :
من المعروف ان لكل خاصيه بالجهاز هناك ملف مسؤول يقوم بهذه الخاصيه . ايضا نقطه استعادة
النظام لها ملف مسؤول وهو موجود بقرص النظام فمثلا لو ان الضحيه محدد نقطه استعادة للنظام
في تاريخ سابق سوف تكون معلومات التاريخ مخزنه داخل الملف المسؤول عن نقطة الاستعاده .
لذالك نمسح هذا الملف ونقوم باستبداله بملف فارغ لكي يستحيل على الضحيه استرجاع النظام
لوقت مضى .
س : مالحكمه من استبدال الملف . لماذا لانحذفه نهائيا ؟
ج : لو حذفنا الملف نهائيا . عندما يقوم الضحيه باسترجاع النظام سوف تظهر له رسالة خطأ
وهكذا سوف يشك انه مخترق من قبل احد . اما اذا استبدلناه بملف اخر سوف تظهر له نقطه
الاستعاده فارغه وليس هناك تاريخ مسبق لاسترجاع النظام .
أولا:نذهب للمسار التالي
C:\WINDOWS\system32\Restore
و نغير الملف بملف فارغ
اتمنى الشرح كان سهل و ارجو الردود و اتمنى ان تسامحوني ان اخطاة في الموضوع
