black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★ نجم المنتدى ★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
بسم الله الرحمن الرحيم
السلام عليكم ورحمه الله وبركاته
اولا اعتزر بشده على كل من طلب مساعدتى على الخاص ولم استطيع ان اساعده
ثانيا كما وعدت جميع اصدقائى الاحبا الذين راسلونى بخصوص هذا الموضوع الان اوفى بوعدى لكم واعتزر لكم بشده انى تاخرت فى طرحه وذلك بسبب الانشغال الدائم
ندخل الى موضوعنا
موضوعنا ان شاء الله سنقوم بفحص جهازنا بشكل يدوى دون الحاجه الى برامج حمايه
1- ProcessExplorer وسنقوم به بفحص العمليات الشغاله حايا وما هى مهيتها
2- فحص الحقن
3- فحص الاتصالات الخارجيه عن طريق عده برامج (TCPView و ApateDNS )
1- فحص العميات الشغاله حاليه وما هى مهيتها عن طريق برنامج ProcessExplorer
لتحميل البرنامج من الموقع الرسمى
https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx
شرح سريع للبرنامج والتعرف على بعض الاجزاء منه والتحقق من العمليات التى تعمل
ملحوظه مهمه جدا يفضل قبل تشغيل البرنامج اغلق اى برنامج يعمل عندك وحتى اغلاق المتصفح اى الذى تستخدمه للبدا فى التحليل بشكل سليم
عند تشغيل البرنامج لاول مره سيظهر لك بهذا الشكل
ينقسم البرنامج الى 4 اجزاء
ملحوظه مهمه هناك بعض انواع الملفات الخبيثه يمكن التلاعب بها من خلال المبرمج الخاص بها بتزييف معلومات العمليه عن طريق تغيير فى كل من اسم العمليه والشركه المنتجه للملف وايضا خانه وصف البرنامج ( فيرجى الانتباه جيدا ) و فى هذه الحاله سنتعرف عن العمليه التى تعمل عن طريقPID و كشف اتصالاتها
ينقسم برنامج ProcessExplorer الى جزئين الجزء العلوى وهو خاص بملفات نظام التشغيل
كما نلاحظ يوجد بعض العمليات التى ليس لها تعريف PID هذه العمليات هى عمليات اساسيه خاصه بالويندوز اى تعمل قبل اثنا تحميل الويندوز لنفسه للدخول الى سطح المكتب
نبذه عن تعريف بعض عمليات الويندوز
العمليه system عمليه خاصه بالنظام
العمليه csrss عمليه المسئول عن ربط البرامج بنواه الويندوز ( الكرنل )
العمليه winint مسئول عن عمليه (services ) الخاصه بالنظام
العمليه services ملف مسئول عن تشغيل جميع الخدمات السرفس ( services ) الخاصه بالنظام وايضا السرفس الخاصه ببرامج الحمايه وغيرها من البرامج الاخرى
العمليه lssas عمليه مسئول عن كل مايخص حساب المستخدممثل تغيير الباسورد للحساب إنشاء حساب اخر و غيرها
العمليه lsm عمليه خاصه بنظام الربط remote desktop connection اى الاتصال عن بعد
العمليه winlogon عمليه خاصه بظهور شاشه الترحيب فى الويندوز
كما نلاحظ ان اغلبها عمليات النظام الاساسيه وهناك بعض الملفات الخبيثه التى تسطتيع التعديل فى هذه المناطق
ملحوظه لن اتحدث هنا الى كيفيه التنظيف هذه الجزئيه حيث العبث فى هذه المنطقه يضر بنسخه الويندوز
و مخصص لها شرح اكثر احترافيه فيما بعد فى دوره ان شا الله ساقوم بتحضيرها ساتكلم فيها عن التحليل عن الطريقه الاستاتيكيه وعن الطريق الديناميكيه وساتكلم فيها بشكل اكثر تعميقا عن كيفيه تحليل الملف الخبيث واستخراج بياناته وهى خاصه بهذا الجز لكن موضوعنا يختص بكل من يريد فحص جهازه بشكل يدوى سريعا دون التعمق فى تحليل الملف الخبيث وانما يريد التاكد ان جهازه نظيف وخالى من الملفات الخبيثه
الان العمليه الاساسيه التى تخصنا فى هذه المرحله هى عمليه explorer وهذه العمليه الاساسيه التى يعمل تحتها اى ملف يقوم المستخدم بتشغيله
لاحظ معى هنا عمليات تعمل تحت explorer
ملحوظه مهمه لكى يتم الفحص بشكل سليم علينا اغلاق اى شى يعمل حاليا حتى نتاكد من العمليه التى تعمل ونستطيع تحليلها بشكل جديد
فى حاله انكم قمت بغلق جميع العمليات التى تعمل ومازالت هناك عمليات تعمل
نتحقق من كل من اسم العمليه – رقم التعريف PID – نسبه استهلاك العمليه – مسار العمليه واين يقع تحديدا
واذا وجدت عمليه تعمل تحت عمليه اخرى
مثال
اى ان هناك عمليه اساسيه وهناك عمليات فرعيه تتفرع منها هذه العمليات الفرعيه تخص العمليه الاساسيه لذلك يرجى التاكد من البرنامج الذى يعمل وعندك وغلق العمليه الاساسيه وستم غلق جميع العمليلات الفرعيه الاخرى عن طريق الامر
Right Click على اسم العمليه ثم اختار kill process tree
- طريقه التحقق من اتصال العمليه التى تعمل عن طريق برنامج ProcessExplorer
ببساطه استطيع ان اعرف اذا كانت هذه العمليه تحتوى على اتصال ام لا عن طريق الضغط اضغط على اسم العمليه
Right Click على اسم العمليه ثم اختار properties ثم TCP/IP
حيث ما يهمنا يهمنا فى هذه القائمه
اى بى الإتصال Remote Address + البورت أو المنفد Remote Port
وكما هو ملاحظ هنا ان الاى بى يكون على هذا الشكل والبروت يكون متبوع بعده مفصول بين الاى بى بعلمه ( : )
حالات الاتصال
Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )
Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )
2- الحقن لا توجد طريقه معينه لكشف عن الملف المحقونه من عدمه
طريقه الحقن تعتمد على : يقوم الملف المصاب بالحقن فى الملف الاصلى بهدف الوصول الى الانترنت والعمل تحت الملف الاصلى على انه هو لكى يبعد الشبهات عنه وللاسف هناك بعض الجدران الناريه التى تنخدع بهذا الامر فالحقن فائده ان الملف المصاب يعمل كانه ملف موثوق لابعاد اى شكوك عنه
الملفات التى من المحتمل ان يتم الحقن فيها svchost - smss - csrss - explorer
لذلك نبهت على ملحوظه مهمه جدا فى الاعلى وساعيدها مره اخرى يجب غلق جميع البرامج التى تعمل عندك حتى يسهل عليك الفحص بشكل صحيح
1- من المحتمل ان يتم الحقن فى عمليات svchost -smss - csrss - explorer ( نسبه الاحتمال عاليه جدا )
2- من المحتمل ان يتم الحقن الملف فى المتصفح الاكسبلور ( نسبه الاحتمال عاليه )
3- من المحتمل ان يتم الحقن فى calculator ( نسبه الاحتمال متوسطه )
4- من المحتمل ان يتم الحقن الملف فى نفسه ( نسبه الاحتمال متوسطه )
لذلك الفيصل هنا هو مراقبه الاتصال الخاص بهذه العمليات لكى يتم كشف اتصال الملف من عدمه
نبذه مختصره حول الهوست
الهوست هو عباره عن عنوان ثابت يستخدمه اغلب المخترقون لكى يستطيعوا تثبيت ضحاياهم
بشكل مبسط اكثر
من المعروف ان اى جهاز كمبيوتر متصل بالانترنت يجب اى يحمل رقم او ما نطلق عليه IP
هناك نوعين من الاى بى الاى بى الداخلى وتم اعطائه لك عن طريق الروتر الخاص بك وهو الذى يكون على هذا الشكل 192.168.1.***
الاى بى الخارجى وهو الذى تعطيه لك مزود الخدمه ويكون على هذا الشكل 197.162.21.23
شرح سريع للارقام
هذا الاى بى الخارجى يكون متغير دائما وهذا راجع الى شركه المزوده للخدمه حيث عند اشتراك معها وعند تشغيل الخدمه عندك يتم اعطائك عنوان اى بى وهو الذى تستخدمه للدخول الاى الانرنت ياتى الان دور الهوست كما ذكرنا انه عنوان ثابت اى انها خدمه تقوم بثبيت اتصالك فى حاله تم تغيير الاى بى الخاص بك فتستطيع استخدام هذه الخدمه للدخول اليها من اى مكان فى العالم حتى وان تغير عنوان الاى بى الخاص بك
لذلك يستخدمه اغلب المخترقون حتى اذا حدث ام ما وتم تغيير عنوان الاى بى الخاص به لا يفقد كل الضحايا الذى اخترقهم
اشهر الخدمات التى تقدم Free Host موقع NO-IP ويفضله اغلب المخترقيت لسهوله التعامل معه وثبات الخدمه
هناك بعض النطاقات التى يتيحها الموقع نطاقات مجاينه وهى ما يستخدمه اغلب المخترقون وهناك نطاقات اخرى فرعيه
لان اذكر ما هى تلك النطاقات حيث انها كثيره جدا ومتنوعه وايضا لا استطيع ان اقوم بحصر جميع المواقع التى تقدم خدمه الهوست لدى المخترقين لتعددها
اعتزر على تبسيط الامر هنا بخصوص الاى بى فقط اردت تبسيط الامر قدر الامكان
لكن لمعرفه ما هو الاى بى بشكل مفصل عليك بدراسه احدى كورسات الشبكات ( Network + ) وانصح بالكورس الخاص بشركه Comptia
3- فحص الاتصال عن طريق عده برامج منفصله
ملحوظه مهمه مره اخرى يفضل غلق جميع البرامج التى تعمل فى الخلفيه حتى يكون الفحص صحيح
برنامج TCPView
لتحميل البرنامج من موقع الرسمى
https://technet.microsoft.com/en-us/sysinternals/tcpview.aspx
عند تشغيل البرنامج لاول مره
قم بالضغط على علامه لكى تقوم بازاله الاتصالات التى لا تعمل
ما يهمنا يهمنا
اى بى الإتصال Remote Address + البورت أو المنفد Remote Port
حاله الاتصال
Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )
Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )
اذا وجدت ان العمليه متصله مع اى بى ما
نتحقق من اسم العمليه – رقم التعريف PID
ملحوظه اغلب المخترقون يستخدمون بورتات عشوائيه لذلك من السهل التحقق من العمليات التى تعمل برقم البورت الخاص بها
موقع مهم يعتمد عليه فى البحث عن معلومات IP
https://ipinfo.io/
http://whatismyipaddress.com/ip-lookup
برنامج ApateDNS
لتحميل البرنامج من موقعه الرسمى
https://www.fireeye.com/services/freeware/mandiant-apatedns.html
عند تشغيل البرنامج اول مره
يقوم البرنامج على طريقه ممتازه جدا جدا فى كشف الاتصالات الخارجيه حيث انه يقوم بتحويل جميع الاتصالات الخارجيه الى عنوان الجهاز الافتراضى 127.0.0.1 ويقوم بعرض لك جميع الاتصالات الجاريه بعد اعاده توجيها الى الى الاتصال الداخى
بعد تشغيل البرنامج اضغط على Start ليبدا البرنامج بعمله ( انتظر بضع دقائق واذا كان هناك اى اتصال خارجى يعمل ستم التقاطه )
ملحوظه مهمه فى حاله تشغيل البرنامج عليك عدم فتح المتصفح او استخدام الانترنت لانه البرنامج يقوم كما ذكرنا بقطع الاتصال بالانترنت ويقوم بتحويل جميع الاتصالات الى الاتصال الداخلى لذلك لا تحاول استخدام الانترنت اثنا فحصك بهذا البرنامج
التنظيف فى حاله الاصابه
التخلص من باتش الاختراق + الدوده فى حاله الاصابه ( Vbs & ExE )
ان اماكن زراعه الملفات الخبيثه تكون لها اكثر من مسار لكى تقوم بحفظ نفسها فيه لتقوم بتشغيل نفسها من جديد
فى حاله انى قمت باكتشاف ان هناك عمليه خبيثه وبعد ان تاكدت من اتصالها وقمت بقتل العمليه الان نريد حزف تثبتها الذى يكون كالاتى
1- مسار الملفات 2- مسار الاستارت اب 3- مسار الرجيسترى 4- Task Scheduler
ملحوظه مهمه قبل اى اجراء انصح بشده استخدام البرنامج الرائع CCleaner فى تنظيف كافه المخلفات
وهذا يعتبر بمثابه مسح سريع بشكل اتومتك
قبل البدا فى مسح المناطق المذكوره فى الاعلى عليك بتفعيل كل من الملفات المخفيه + اظهار امتداد الملفات
1- التحقق من مسارات الاتيه
مسار % TEMP% ( C:\Users\YourUser\AppData\Local\Temp )
مسار % AppData% ( C:\Users\YourUser\AppData\Roaming )
مسار % UserProfile% (C:\Users\YourUser)
مسار % ProgramData% (C:\ProgramData )
2- التحقق من مسارات الاستارت اب
C:\Users\YourUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
3- التحقق من مسار الرجيسترى استارت اب
لفتح الرجيسترى اذهب الى
Start > Run > Regedit
الان اذهب الى المسار للتحقق من مكان زرع العمليه
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4- مسار Task Scheduler
لفتح Task Scheduler اذهب الى
Start > search > Task Scheduler
الى هنا ينتهى موضوعى المتواضع
اذا صعب عليك الامر او التبس عليك اى مشكله فقسم الاستفسارات مفتوح ان شا الله
من هنا مشاكل واستفسارات الحماية
او هناك اى ملف تشك فيه او تحس بانك مخترق قم بوضع الملف الذى تشك فيه فى القسم
من هنا طلبات فحص الملفات
وسيتم الرد عليك ان شا الله
اتمنى ان يكون الموضوع افادت الجميع ولو بشى القليل
واكون بسط الامور قدر الامكان
تحياتى وتقديرى للجميع
اخوكم ومحبكم دوما
مصطفى & black007
التعديل الأخير: