1. مرحبا بكم في أسواق ستي أكبر المواقع التجارية شعبية
    إستبعاد الملاحظة

اسرع الطرق لكشف ملفات التجسس في اجهزتنا ...

الكاتب: unprofessional, بتاريخ ‏16 ابريل 2011.

  1. unprofessional

    unprofessional تـقـنـي مـحـتــرف

    إنضم إلينا في:
    ‏6 يوليو 2009
    المشاركات:
    177
    الإعجابات المتلقاة:
    0
    الوظيفة:
    رحــــــالــــ
    الإقامة:
    الرياض
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته

    سأقوم بشرح طريقة سهله جداً وتخدم المبتدئين والمحترفين .

    وهي طريقة معرفة هل الجهاز حالياً يتم التجسس عليه أم ولا ؟

    وطريقة معرفة مكان أو مسار ملف التجسس أن وجد .

    وكما ذكرنا في مقالات سابقه أن ملف التجسس يعمل على فتح منفذ في جهاز الضحية ليتم الدخول عن طريقه من قبل

    المخترق ليتم التجسس على المعلومات الخاصة ولنقل الملفات من جهاز الضحية .

    نبدأ في الشرح ..

    سوف نقوم أولا باستخدام أداة نظام Windows المعروفة لكشف جميع الاتصالات الصادرة والواردة للجهاز
    والأداة هذه تسمى Netstat

    طريقة تشغيلها كالتالي لجميع أنظمة Windows

    نقوم بفتح قائمة ابدأ ثم نختار ( تشغيل ) أو ( Run ) .

    [​IMG]

    ثم نكتب هذا الأمر ( cmd ) لتفتح لنا شاشة الأوامر البسيطة MS-DOS

    [​IMG]

    مباشرة نقوم بكتابة هذا الأمر : netstat -aon ثم نضغط الزر Enter
    [​IMG]

    ثم ستظهر لنا قائمة بها جميع الاتصالات الواردة من الجهاز مع العنوان ورقم المنفذ لكل اتصال سأقوم بشرحها بالتفصيل ..


    [​IMG]
    هذه الشاشة التي ستظهر لنا عند كتابة الأمر netstat -aon
    وسأقوم بشرح الأعمدة ..

    من الجهة اليسرى العنوان الأول هو : Proto وهو برتوكول الشبكة المستخدم في هذا الاتصال .

    ثم العنوان : Local Address وهو العنوان المحلي أي العنوان الداخلي للعملية أو العنوان المصدر .

    ثم العنوان : Foreign Address وهو العنوان المقابل أي العنوان المرسل إليه .

    ثم العنوان : State وهو وصف حالة الاتصال أو حالة العملية إذا كانت في وضع التصنت أو الاستماع LISTENING أو في وضع التأسيس للاتصال ESTABLISHED أو في وضع الاتصال وإرسال البيانات SYN_SENT أو في وضع الإغلاق للاتصال CLOSE_WAIT .

    ثم العنوان : PID وهو المعرف الرقمي للعملية في قائمة عمليات Windows .


    الآن سوف نقوم بمعرفة اسم كل عملية أو برنامج متصل عن طريق المعرف الرقمي الخاص به PID لنتأكد من انه اتصال موثوق أم لا .

    نقوم أولا بفتح قائمة ( إدارة المهام ) أو ( Task Manager ) لتعديل بعض الخصائص .

    أسرع طريقة لفتح القائمة هي بالضغط على الأزرار Alt + Ctrl + Delete في وقت واحد وسوف تفتح قائمة إدارة المهام . نضغط على الخيار ( عرض ) ثم ( تحديد الأعمدة ) ثم نضع إشارة بجانب الخيار ( PID معرف العملية ) ثم موافق .

    [​IMG]

    الآن من شاشة الأوامر نأخذ رقم PID محدد للعملية التي نريد ان نعرف مصدرها ثم نبحث عنها في قائمة إدارة المهام وتحديداً في العمود المسمى PID .

    قمت بعمل تجربة كمثال للبحث عن عملية محدده واخترت العملية التي تحمل رقم PID 1320 ووجدت في قائمة إدارة المهام أن هذا الرقم خاص ببرنامج اسمه Teamviewer . وهو برنامج يقوم بعمل مساعدة عن بعد بين جهازين وهو برنامج موثوق .
    ثم اخترت العملية التي تحمل رقم PID 1520 ووجدت أنها تخص برنامج Firefox وهو متصفح لمواقع الانترنت معروف وموثوق بإذن الله .

    بهذي الطريقة نستطيع أن نعرف جميع الاتصالات الصادرة من الجهاز ونكتشف هوية البرنامج المتصل ونتأكد هل هو برنامج موثوق أم لا .

    في وقتنا الحالي أصبح الكثير من برامج التجسس تخفي ملفاتها عن قائمة عمليات Windows كي لا يتم إيقافها من المستخدم وبالتالي لو كان في الجهاز ملف تجسس وقمنا بعمل الطريقة السابقة فسوف نجد التوقيع الرقمي PID لعملية معينة في شاشة الأوامر لكن عند البحث عنه في قائمة إدارة المهام فلن نجد له أي اثر مثال على ذلك .

    في شاشة الأوامر السابقة ترون عملية برقم PID 1644 قمت بالبحث عنها في قائمة إدارة المهام ولم أتمكن من معرفة البرنامج المسئول عن هذه العملية .

    [​IMG]

    في هذه الحالة سنقوم باستخدام أداة مساعدة لتكشف لنا حقيقة هذه العملية المخفية لأن من المحتمل ان تكون عملية خطيرة .

    أصدرت شركة Mcafee الرائدة في مجال الحماية أداة صغيرة تساعد المستخدم على كشف العمليات التي تقوم بالاتصال من الجهاز وتحدد موقع البرنامج المسئول عن عملية الاتصال .
    هذا عنوان الموقع الرسمي لهذه الأداة وغيرها الكثير من الأدوات المفيدة :

    Free Tools | McAfee Downloads

    وهذا رابط تنزيل الأداة :

    http://downloadcenter.mcafee.com/pr...stone/fport

    بعد تنزيل الأداة نقوم بنقلها لمحرك الأقراص C ثم نقوم بالضغط عليها بالزر الأيمن للفأرة ونختار
    ( استخراج هنـا )
    [​IMG]

    سينتج لنا مجلد باسم : Fport-2.0 نقوم بفتحه ثم نقوم بنسخ الأداة التي تحمل الاسم : Fport ثم نقوم بعملية لصق لها على القرص C مباشرة .
    ثم نقوم بالرجوع لشاشة الأوامر البسيطة MS-DOS ونكتب هذا الأمر مباشرة : cd ثم نضغط الزر Enter ليخرجنا من أي مجلد ويدخلنا لمحرك الأقراص الرئيسي الذي عليه نظام التشغيل وهو المحرك C .

    ثم نقوم مباشرة بكتابة هذا الأمر : fport /ap ثم نضغط الزر Enter لتبدأ الأداة في عملية البحث وتظهر لنا النتائج وتعرض لنا جميع العمليات التي تستخدم الاتصال من الجهاز والموقع الأصلي لهذه البرامج في مجلدات النظام .

    [​IMG]

    من الجهة اليسرى نلاحظ العمود PID يظهر عنوان كل عملية وفي أخر الجهة اليمنى نلاحظ المسار الكامل للبرنامج المسئول هذه العملية سواءً في مجلد البرامج أو كجلد النظام .

    مثال العملية رقم 1520 يظهر أنها للبرنامج Firefox المتصفح الشهير ومسار البرنامج في مجلد البرامج .
    والعملية رقم 1320 و 1232 لبرنامج Teamviewer برنامج المساعدة عن بعد الشهير .

    ألان نأتي للجزء الأهم وهو البحث عن العملية التي لم نتمكن من معرفتها لأنها كانت مخفية عن قائمة المهام والتي تحمل العنوان الرقمي PID رقم 1644 وتظهر لنا الأداة أنها من عمليات النظام وموجودة في المجلد الرئيسي للنظام وهو مجلد Windows
    [​IMG]

    ثم قمت بفتح مجلد النظام Windows ولم أتمكن من إيجاد هذا البرنامج المسمى : services وهذا يدل على أن هذا البرنامج مخفي وسنقوم بإظهاره بهذه الطريقة ..

    من الأعلى نضغط على الخيار ( أدوات ) ثم ( خيارات المجلد ) ثم من علامات التبويب الظاهرة نختار ( عرض )
    ثم نحدد الخيار ( إظهار الملفات والمجلدات المخفية ) ثم نضغط الزر ( موفق ) ليتم إظهار جميع الملفات المخفية .

    [​IMG]

    ثم ظهر لي هذا البرنامج وكان على شكل برنامج المحادثات الشهير Messenger واعتقد انه اختار هذه الأيقونة لكي يوهم المستخدم انه برنامج موثوق ولا خوف منه .

    [​IMG]

    سأقوم الآن بفحص هذا البرنامج عن طريق احد مواقع الفحص مباشرة لأتأكد هل هو برنامج للتجسس أو لا .

    يوجد طرق كثيرة لعمل فحص لملف معين عن طريق احد مواقع الفحص الشهيرة لكني أفضل الطريقة التالية وهي استخدام برنامج صغير يقوم برفع أي ملف نريده ليتم فحصه مباشرة ثم إظهار نتائج الفحص مباشرة .

    موقع البرنامج : VirusTotal - Free Online Virus, Malware and URL Scanner

    رابط تنزيل البرنامج :
    http://virustotal.hispasecsistemas....der2.0Setup

    بعد تنزيل البرنامج نقوم بتثبيته ثم سنجده في قائمة البرامج وأيضا سيقوم البرنامج بإضافة نفسه في قائمة الزر الايمن للفأرة ليسهل علينا رفع أي ملف بمجرد الضغط عليه بالزر الأيمن ثم اختيار ( إرسال إلى )


    الآن سأقوم برفع البرنامج أو الملف المشكوك فيه ليتم فحصه مباشرة وإظهار النتائج .
    طريقة رفع الملف هي بالضغط عليه بالزر الأيمن للفأرة ثم ( إرسال إلى ) ثم نضغط على البرنامج المسمى
    ( Virus Total ) ثم سيظهر لنا مستطيل صغير يفيد بعملية الرفع وفيه شريط لتقدم عملية رفع الملف للموقع .

    [​IMG]


    هذه صورة لشريط تقدم عملية الرفع للملف .
    [​IMG]

    بعد الانتهاء من عملية الرفع للملف سيقوم البرنامج بفتح صفحة نتائج التقرير بشكل تلقائي .
    [​IMG]


    هذا هو شكل التقرير الذي سيظهر لنا .
    البرنامج الذي قمنا برفعه تم تصنيفه من 41 برنامج حماية على انه برنامج للتجسس وبهذه الطريقة استطعنا ان نكتشف الهوية الحقيقية لهذا البرنامج ونستطيع الآن عمل فحص كامل للجهاز لتنظيفه من مخلفات هذا البرنامج .

    بهذه النتيجة نكون قد انتهينا من عملية الشرح لهذه الطريقة المميزة والسريعة في كشف ملفات التجسس في أجهزتنا .

    كما أسعد بأسئلتكم واستفساراتكم .

    الموضوع مجهود شخصي .. ارجو ذكر المصدر عند النقل

    اخوكم / محمد المنصور
     
  2. نسمات جنوبيه

    نسمات جنوبيه نجران

    إنضم إلينا في:
    ‏17 ابريل 2011
    المشاركات:
    189
    الإعجابات المتلقاة:
    0
    يعطيك العافيه..

    بس ملفات التجسس هاذي وش مصادرها..

    وهل بإمكانها سرقة معلومات من الجهاز او صور..

    وهل في برنامج يمنعها من الاساس..؟؟؟؟

    انتظر ردك لاهنت..
     
  3. unprofessional

    unprofessional تـقـنـي مـحـتــرف

    إنضم إلينا في:
    ‏6 يوليو 2009
    المشاركات:
    177
    الإعجابات المتلقاة:
    0
    الوظيفة:
    رحــــــالــــ
    الإقامة:
    الرياض
    اختي نتيجة الفحص ايجابية والملف اللي عملتي له فحص كان ملف عادي وهو عبارة عن ملف txt وعبارة عن ملف تسجيل Log لعمليات خاصة ببرامج شركة Intel ... يعني مامنه خوف ان شاء الله ..

    وحياك ربي ...
     
  4. بارشيكا

    بارشيكا تاجر محترف

    إنضم إلينا في:
    ‏14 مارس 2011
    المشاركات:
    8,617
    الإعجابات المتلقاة:
    0
    الله يوفقك ويجزاك خير .........
     
  5. unprofessional

    unprofessional تـقـنـي مـحـتــرف

    إنضم إلينا في:
    ‏6 يوليو 2009
    المشاركات:
    177
    الإعجابات المتلقاة:
    0
    الوظيفة:
    رحــــــالــــ
    الإقامة:
    الرياض
    كل عام وانتم بخير يارب :)
     
  6. جوري الرياض

    جوري الرياض تاجر مميز

    إنضم إلينا في:
    ‏27 مارس 2010
    المشاركات:
    252
    الإعجابات المتلقاة:
    0
    الله يجزاك خير محمد

    طيب اخوي فيه خطوه مختصره اسويها تحذفه الملفات هذي ان كانت موجوده
     
جاري تحميل الصفحة...

مشاركة هذه الصفحة