mo7trf
مطرود نهائياً
غير متصل
اذا اردت كشف الاختراق أو كشف العملية الخبيثة في جهازي كيف استطيع ان اقوم بذلك ؟ ، سوف نستخدم بعض الأدوات المساعدة كالتالي
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
اضغط عي السهم لاخفاء عمليات النظام
اداة ProcessExplorer من أقوى الأدوات المفضلة عندي في أدارة ومراقبة العمليات ،، الآن قم بفتح الأداة وسوف تظهر لك العمليات التي تعمل في نظام بشكل دقيق ومفصل ، قم باستعراض العمليات واحدة واحدة وتأكد من انه لا يوجد عملية غير معروفة تثير الشك ، الان قما ذكرنا سابقا نملك جهاز مصاب ببايلود للميتاسلبويت دعونا نكتشف الأمر
بعد ما قمت بالتحقق من العمليات وجدت عملية غير معروفة واسمها payload كما هو ظاهر في الصورة اسم العملية يحمل اسم payload لاني قمت بتسمية الملف payload اذا كان المهاجم قد جعل اسمه اسم اخر سوف تجده بنفس اسم البايلود ، أيضا يحمل الملف توقيع مزور أو صفة مزوره على أساس انه ملف تابع لــ خادم الاباتشي لكي لا يثير الشك حولة ولكني لست مركب أي خادم على جهازي هذا أمر غير طبيعي ، اكتشاف العمليات الخبيثه في الجهاز يعتمد على ثقافة الشخص الذي يقوم بالتحليل ومدى معرفة ملفات النظام وخبرته في نظم التشغيل سوف يكتشف أي العمليات المشكوك بأمرها أما الشخص الغير مهتم بأمن المعلومات والشخص الغير خبير من الممكن ان يتبع الخطوات وينفذها على كل عملية يشك بها حتى يصل إلى الملف الخبيث .
الآن لدي عملية ربما تكون هي الملف الخبيث للحصول على بعض المعلومات بشكل اكثر تفصيلاً قم بالضغط على بزر الماوس اليمين على اسم العملية ثم properties للحصول على التالي
الآن املك معلومات اكثر واستطيع تحديد مكان تواجد العملية ،، أين هي في جهاز في حالتنا الآن هي موجودة في ملف Download تستطيع أن تكتفي وتذهب الى المسار وتقوم بنسخ الملف وتحليله بواسطة ادوات وطرق الهندسة العكسيه للحصول على كل شي للملف للكشف عن هويتة وربما تستطيع تتبع مصدرة ومعرفة صاحب الملف الخبيث ،، أيضا الأداة تقدم لنا بعض المعلومات الرائعة مثل
- مسار ملف العملية على جهازنا
- أدارة العملية قتلها او إيقافها
- performance للعملية ومعرفة إذا كانت تنهك موارد الجهاز
- معرفة اتصال الملف وهل يقوم الملف الخبيث بتسريب أي بيانات الى خارج او أدخال بيانات الى الداخل
تستطيع ان تقوم بالضغط على اسم العملية ثم ctrl + l للحصول على بعض المعلومات اكثر تفصيلا
في النقطة الرابعة ذكرت انه نستطيع معرفة اتصال العملية من الممكن أن نقوم باستخدام أداة تحليل ترايفك الجهاز مثل wiresahrk وتشغيل الأداتين ومعرفة ماهي البيانات بالضبط التي تخرج من جهازي عن طريق مراجعة تقرير اداة Wireshark ?
اداة مايكروسوفت لتحليل ترايفك انظمة وندوز اداة رائعة جدا تمكن من كشف كل الاتصالات الخارجة من النظام وتحليلها بشكل رائع وتنظيم اكثر من رائع ، في الاداة السابقة ProcessExplorer قمنا بالبحث والتحقق في النظام بواسطة العمليات التي تعمل اما في هذه الأداة سوف نقوم بالبحث والتحقق من الاتصال نفسه والبيانات الخارجة والداخلة من جهازي .
قم بالضغط علي السهم الاخضر لبدء التشغيل
3- استخدام بعض المواقع المساعدة
قد ترغب أحيانا باستخدام بعض المواقع المساعدة في تحليل الملفات وفحصها بأكثر من برنامج حماية قد يتعطل برنامج الحماية لديك او تريد أن تفحص الملف بأكثر من برنامج حماية
في النقطة الرابعة ذكرت انه نستطيع معرفة اتصال العملية من الممكن أن نقوم باستخدام أداة تحليل ترايفك الجهاز مثل wiresahrk وتشغيل الأداتين ومعرفة ماهي البيانات بالضبط التي تخرج من جهازي عن طريق مراجعة تقرير اداة Wireshark ?
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
اداة مايكروسوفت لتحليل ترايفك انظمة وندوز اداة رائعة جدا تمكن من كشف كل الاتصالات الخارجة من النظام وتحليلها بشكل رائع وتنظيم اكثر من رائع ، في الاداة السابقة ProcessExplorer قمنا بالبحث والتحقق في النظام بواسطة العمليات التي تعمل اما في هذه الأداة سوف نقوم بالبحث والتحقق من الاتصال نفسه والبيانات الخارجة والداخلة من جهازي .
قم بالضغط علي السهم الاخضر لبدء التشغيل
3- استخدام بعض المواقع المساعدة
قد ترغب أحيانا باستخدام بعض المواقع المساعدة في تحليل الملفات وفحصها بأكثر من برنامج حماية قد يتعطل برنامج الحماية لديك او تريد أن تفحص الملف بأكثر من برنامج حماية
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
