• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

( شرح ) فحص الجهاز بشكل يدوى ( معرفه اذا كنت مخترق ام لا )

الحالة
مغلق و غير مفتوح للمزيد من الردود.

black007

إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★ نجم المنتدى ★
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
17 يونيو 2013
المشاركات
4,600
مستوى التفاعل
24,177
النقاط
2,970
الإقامة
Egypt
غير متصل
b9bktQH.gif


بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

627ace575c1dd68e7e324abe3f04f260.png


اولا اعتزر بشده على كل من طلب مساعدتى على الخاص ولم استطيع ان اساعده

ثانيا كما وعدت جميع اصدقائى الاحبا الذين راسلونى بخصوص هذا الموضوع الان اوفى بوعدى لكم واعتزر لكم بشده انى تاخرت فى طرحه وذلك بسبب الانشغال الدائم

627ace575c1dd68e7e324abe3f04f260.png


ندخل الى موضوعنا

موضوعنا ان شاء الله سنقوم بفحص جهازنا بشكل يدوى دون الحاجه الى برامج حمايه

1- ProcessExplorer وسنقوم به بفحص العمليات الشغاله حايا وما هى مهيتها

2- فحص الحقن

3- فحص الاتصالات الخارجيه عن طريق عده برامج (TCPView و ApateDNS )

627ace575c1dd68e7e324abe3f04f260.png


1- فحص العميات الشغاله حاليه وما هى مهيتها عن طريق برنامج ProcessExplorer

لتحميل البرنامج من الموقع الرسمى

https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

شرح سريع للبرنامج والتعرف على بعض الاجزاء منه والتحقق من العمليات التى تعمل

ملحوظه مهمه جدا يفضل قبل تشغيل البرنامج اغلق اى برنامج يعمل عندك وحتى اغلاق المتصفح اى الذى تستخدمه للبدا فى التحليل بشكل سليم

عند تشغيل البرنامج لاول مره سيظهر لك بهذا الشكل

523799605.png



ينقسم البرنامج الى 4 اجزاء


710599277.png


ملحوظه مهمه هناك بعض انواع الملفات الخبيثه يمكن التلاعب بها من خلال المبرمج الخاص بها بتزييف معلومات العمليه عن طريق تغيير فى كل من اسم العمليه والشركه المنتجه للملف وايضا خانه وصف البرنامج ( فيرجى الانتباه جيدا ) و فى هذه الحاله سنتعرف عن العمليه التى تعمل عن طريقPID و كشف اتصالاتها

ينقسم برنامج ProcessExplorer الى جزئين الجزء العلوى وهو خاص بملفات نظام التشغيل

831489895.png

كما نلاحظ يوجد بعض العمليات التى ليس لها تعريف PID هذه العمليات هى عمليات اساسيه خاصه بالويندوز اى تعمل قبل اثنا تحميل الويندوز لنفسه للدخول الى سطح المكتب

نبذه عن تعريف بعض عمليات الويندوز

العمليه system عمليه خاصه بالنظام

العمليه csrss عمليه المسئول عن ربط البرامج بنواه الويندوز ( الكرنل )

العمليه winint مسئول عن عمليه (services ) الخاصه بالنظام

العمليه services ملف مسئول عن تشغيل جميع الخدمات السرفس ( services ) الخاصه بالنظام وايضا السرفس الخاصه ببرامج الحمايه وغيرها من البرامج الاخرى

العمليه lssas عمليه مسئول عن كل مايخص حساب المستخدممثل تغيير الباسورد للحساب إنشاء حساب اخر و غيرها

العمليه lsm عمليه خاصه بنظام الربط remote desktop connection اى الاتصال عن بعد

العمليه winlogon عمليه خاصه بظهور شاشه الترحيب فى الويندوز

كما نلاحظ ان اغلبها عمليات النظام الاساسيه وهناك بعض الملفات الخبيثه التى تسطتيع التعديل فى هذه المناطق

ملحوظه لن اتحدث هنا الى كيفيه التنظيف هذه الجزئيه حيث العبث فى هذه المنطقه يضر بنسخه الويندوز

و مخصص لها شرح اكثر احترافيه فيما بعد فى دوره ان شا الله ساقوم بتحضيرها ساتكلم فيها عن التحليل عن الطريقه الاستاتيكيه وعن الطريق الديناميكيه وساتكلم فيها بشكل اكثر تعميقا عن كيفيه تحليل الملف الخبيث واستخراج بياناته وهى خاصه بهذا الجز لكن موضوعنا يختص بكل من يريد فحص جهازه بشكل يدوى سريعا دون التعمق فى تحليل الملف الخبيث وانما يريد التاكد ان جهازه نظيف وخالى من الملفات الخبيثه


الان العمليه الاساسيه التى تخصنا فى هذه المرحله هى عمليه explorer وهذه العمليه الاساسيه التى يعمل تحتها اى ملف يقوم المستخدم بتشغيله

لاحظ معى هنا عمليات تعمل تحت explorer

198352515.png


ملحوظه مهمه لكى يتم الفحص بشكل سليم علينا اغلاق اى شى يعمل حاليا حتى نتاكد من العمليه التى تعمل ونستطيع تحليلها بشكل جديد

فى حاله انكم قمت بغلق جميع العمليات التى تعمل ومازالت هناك عمليات تعمل

نتحقق من كل من اسم العمليه – رقم التعريف PID – نسبه استهلاك العمليه – مسار العمليه واين يقع تحديدا

واذا وجدت عمليه تعمل تحت عمليه اخرى

مثال

203612341.png


اى ان هناك عمليه اساسيه وهناك عمليات فرعيه تتفرع منها هذه العمليات الفرعيه تخص العمليه الاساسيه لذلك يرجى التاكد من البرنامج الذى يعمل وعندك وغلق العمليه الاساسيه وستم غلق جميع العمليلات الفرعيه الاخرى عن طريق الامر

Right Click على اسم العمليه ثم اختار kill process tree

627ace575c1dd68e7e324abe3f04f260.png


- طريقه التحقق من اتصال العمليه التى تعمل عن طريق برنامج ProcessExplorer

ببساطه استطيع ان اعرف اذا كانت هذه العمليه تحتوى على اتصال ام لا عن طريق الضغط اضغط على اسم العمليه

Right Click على اسم العمليه ثم اختار properties ثم TCP/IP

924390660.png

حيث ما يهمنا يهمنا فى هذه القائمه

اى بى الإتصال Remote Address + البورت أو المنفد Remote Port

وكما هو ملاحظ هنا ان الاى بى يكون على هذا الشكل والبروت يكون متبوع بعده مفصول بين الاى بى بعلمه ( : )

271276799.png


حالات الاتصال

Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )

Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )

627ace575c1dd68e7e324abe3f04f260.png


2- الحقن لا توجد طريقه معينه لكشف عن الملف المحقونه من عدمه

طريقه الحقن تعتمد على : يقوم الملف المصاب بالحقن فى الملف الاصلى بهدف الوصول الى الانترنت والعمل تحت الملف الاصلى على انه هو لكى يبعد الشبهات عنه وللاسف هناك بعض الجدران الناريه التى تنخدع بهذا الامر فالحقن فائده ان الملف المصاب يعمل كانه ملف موثوق لابعاد اى شكوك عنه

الملفات التى من المحتمل ان يتم الحقن فيها svchost - smss - csrss - explorer

لذلك نبهت على ملحوظه مهمه جدا فى الاعلى وساعيدها مره اخرى يجب غلق جميع البرامج التى تعمل عندك حتى يسهل عليك الفحص بشكل صحيح

1- من المحتمل ان يتم الحقن فى عمليات svchost -smss - csrss - explorer ( نسبه الاحتمال عاليه جدا )

2- من المحتمل ان يتم الحقن الملف فى المتصفح الاكسبلور ( نسبه الاحتمال عاليه )

3- من المحتمل ان يتم الحقن فى calculator ( نسبه الاحتمال متوسطه )

4- من المحتمل ان يتم الحقن الملف فى نفسه ( نسبه الاحتمال متوسطه )
لذلك الفيصل هنا هو مراقبه الاتصال الخاص بهذه العمليات لكى يتم كشف اتصال الملف من عدمه

627ace575c1dd68e7e324abe3f04f260.png


نبذه مختصره حول الهوست

الهوست هو عباره عن عنوان ثابت يستخدمه اغلب المخترقون لكى يستطيعوا تثبيت ضحاياهم

بشكل مبسط اكثر

من المعروف ان اى جهاز كمبيوتر متصل بالانترنت يجب اى يحمل رقم او ما نطلق عليه IP

هناك نوعين من الاى بى الاى بى الداخلى وتم اعطائه لك عن طريق الروتر الخاص بك وهو الذى يكون على هذا الشكل 192.168.1.***

الاى بى الخارجى وهو الذى تعطيه لك مزود الخدمه ويكون على هذا الشكل 197.162.21.23
شرح سريع للارقام

736389215.png

هذا الاى بى الخارجى يكون متغير دائما وهذا راجع الى شركه المزوده للخدمه حيث عند اشتراك معها وعند تشغيل الخدمه عندك يتم اعطائك عنوان اى بى وهو الذى تستخدمه للدخول الاى الانرنت ياتى الان دور الهوست كما ذكرنا انه عنوان ثابت اى انها خدمه تقوم بثبيت اتصالك فى حاله تم تغيير الاى بى الخاص بك فتستطيع استخدام هذه الخدمه للدخول اليها من اى مكان فى العالم حتى وان تغير عنوان الاى بى الخاص بك
لذلك يستخدمه اغلب المخترقون حتى اذا حدث ام ما وتم تغيير عنوان الاى بى الخاص به لا يفقد كل الضحايا الذى اخترقهم


اشهر الخدمات التى تقدم Free Host موقع NO-IP ويفضله اغلب المخترقيت لسهوله التعامل معه وثبات الخدمه

هناك بعض النطاقات التى يتيحها الموقع نطاقات مجاينه وهى ما يستخدمه اغلب المخترقون وهناك نطاقات اخرى فرعيه

لان اذكر ما هى تلك النطاقات حيث انها كثيره جدا ومتنوعه وايضا لا استطيع ان اقوم بحصر جميع المواقع التى تقدم خدمه الهوست لدى المخترقين لتعددها

اعتزر على تبسيط الامر هنا بخصوص الاى بى فقط اردت تبسيط الامر قدر الامكان

لكن لمعرفه ما هو الاى بى بشكل مفصل عليك بدراسه احدى كورسات الشبكات ( Network + ) وانصح بالكورس الخاص بشركه Comptia

627ace575c1dd68e7e324abe3f04f260.png


3- فحص الاتصال عن طريق عده برامج منفصله

ملحوظه مهمه مره اخرى يفضل غلق جميع البرامج التى تعمل فى الخلفيه حتى يكون الفحص صحيح

برنامج TCPView

لتحميل البرنامج من موقع الرسمى

https://technet.microsoft.com/en-us/sysinternals/tcpview.aspx

عند تشغيل البرنامج لاول مره

501275587.png


قم بالضغط على علامه لكى تقوم بازاله الاتصالات التى لا تعمل

312504376.png


ما يهمنا يهمنا

اى بى الإتصال Remote Address + البورت أو المنفد Remote Port

حاله الاتصال

Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )

Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )

اذا وجدت ان العمليه متصله مع اى بى ما

نتحقق من اسم العمليه – رقم التعريف PID

ملحوظه اغلب المخترقون يستخدمون بورتات عشوائيه لذلك من السهل التحقق من العمليات التى تعمل برقم البورت الخاص بها

موقع مهم يعتمد عليه فى البحث عن معلومات IP

https://ipinfo.io/

http://whatismyipaddress.com/ip-lookup

627ace575c1dd68e7e324abe3f04f260.png


برنامج ApateDNS

لتحميل البرنامج من موقعه الرسمى

https://www.fireeye.com/services/freeware/mandiant-apatedns.html

عند تشغيل البرنامج اول مره

576943359.png


يقوم البرنامج على طريقه ممتازه جدا جدا فى كشف الاتصالات الخارجيه حيث انه يقوم بتحويل جميع الاتصالات الخارجيه الى عنوان الجهاز الافتراضى 127.0.0.1 ويقوم بعرض لك جميع الاتصالات الجاريه بعد اعاده توجيها الى الى الاتصال الداخى

بعد تشغيل البرنامج اضغط على Start ليبدا البرنامج بعمله ( انتظر بضع دقائق واذا كان هناك اى اتصال خارجى يعمل ستم التقاطه )

ملحوظه مهمه فى حاله تشغيل البرنامج عليك عدم فتح المتصفح او استخدام الانترنت لانه البرنامج يقوم كما ذكرنا بقطع الاتصال بالانترنت ويقوم بتحويل جميع الاتصالات الى الاتصال الداخلى لذلك لا تحاول استخدام الانترنت اثنا فحصك بهذا البرنامج

627ace575c1dd68e7e324abe3f04f260.png


التنظيف فى حاله الاصابه

التخلص من باتش الاختراق + الدوده فى حاله الاصابه ( Vbs & ExE )

ان اماكن زراعه الملفات الخبيثه تكون لها اكثر من مسار لكى تقوم بحفظ نفسها فيه لتقوم بتشغيل نفسها من جديد

فى حاله انى قمت باكتشاف ان هناك عمليه خبيثه وبعد ان تاكدت من اتصالها وقمت بقتل العمليه الان نريد حزف تثبتها الذى يكون كالاتى

1- مسار الملفات 2- مسار الاستارت اب 3- مسار الرجيسترى 4- Task Scheduler

ملحوظه مهمه قبل اى اجراء انصح بشده استخدام البرنامج الرائع CCleaner فى تنظيف كافه المخلفات

721345674.png
+
695727600.png


وهذا يعتبر بمثابه مسح سريع بشكل اتومتك

قبل البدا فى مسح المناطق المذكوره فى الاعلى عليك بتفعيل كل من الملفات المخفيه + اظهار امتداد الملفات

795863698.png


627ace575c1dd68e7e324abe3f04f260.png


1- التحقق من مسارات الاتيه

مسار % TEMP% ( C:\Users\YourUser\AppData\Local\Temp )

345212248.png


مسار % AppData% ( C:\Users\YourUser\AppData\Roaming )

171876208.png


مسار % UserProfile% (C:\Users\YourUser)

812228994.png


مسار % ProgramData% (C:\ProgramData )

313345621.png


2- التحقق من مسارات الاستارت اب

C:\Users\YourUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

784960744.png


3- التحقق من مسار الرجيسترى استارت اب

لفتح الرجيسترى اذهب الى

Start > Run > Regedit

689724539.png


الان اذهب الى المسار للتحقق من مكان زرع العمليه

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

307640881.png


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

872029258.png


4- مسار Task Scheduler

لفتح Task Scheduler اذهب الى

Start > search > Task Scheduler

331608102.png


988348690.png


627ace575c1dd68e7e324abe3f04f260.png


الى هنا ينتهى موضوعى المتواضع

اذا صعب عليك الامر او التبس عليك اى مشكله فقسم الاستفسارات مفتوح ان شا الله

من هنا مشاكل واستفسارات الحماية


او هناك اى ملف تشك فيه او تحس بانك مخترق قم بوضع الملف الذى تشك فيه فى القسم

من هنا طلبات فحص الملفات


وسيتم الرد عليك ان شا الله

اتمنى ان يكون الموضوع افادت الجميع ولو بشى القليل

واكون بسط الامور قدر الامكان

تحياتى وتقديرى للجميع

اخوكم ومحبكم دوما

مصطفى & black007
 

التعديل الأخير:
توقيع : black007
بسم الله مشاء الله :222rolleyes::222rolleyes:
الله يفتح عليك :222rolleyes::222rolleyes:
موضوع ممتاز ومهم جدا جدا جدا جدا جدا (222y)(222y)
لا يوجد كلام يعطى موضوعك حقه كامل :censored::censored:




 
توقيع : nasa3
جزاك الله كل خير اخي
درس وتفصيل مهم لكل مبتدئ مثلي
قرائته سطر سطر واستفد من امور كنت اجهلها
ماشاء الله عليك سلمت يمناك
ونفع الله بك
 
توقيع : mha1m
*وعليـــــــــــــــــــــــكم السلام ورحمة الله وبركاته*

موضــــوع رائــــع وسيكون مرجعية لكل شخص يبحث عن طريقة إكتشاف هل جهازه مخترق أم لا (222y)

والمنهجية المتبعة في الموضوع جميلة ومبسطة ليفهمها أي شخص +إحترافية في السرد وتستهوي القارئ قرأت الموضوع كله ;222)

أحييك على هاذ الإثراء أخي في الله مصطفى أحسن الله إليك وبارك الله فيـــــــك 222:)

وشكرا لـــــك على الموضوع المفيد والجميل الصراحة موضوع ضخم ومتعوب عليه جعله الله في ميزان حسناتك

ودمت سالم معافى

222:):222love:
 
توقيع : ALI 145
10/10 ... من اول سطرين فى الموضوع
سأكمل قراءته حتما لاهميته ويكفيه انه من البرنس مصطفى حبيب الكل :rose: سلمت اياديك
 
توقيع : وليد الجمل
موضوع رائع و دسم بسم الله ماشاء الله عليك أخي الغالي مصطفى
شرح رائع مبسط و مرتب
جزاك الله عنا كل خير أخي الغالي
و يثبت الموضوع لأهميته بالقسم
و يستفيد منه الجميع
بارك الله فيك و عليك


:rose:
 
السلام عليكم ورحمة الله

موضوع ممتاز ومهــم للغاية مرجع لكل شخص يريد التخلص من الاصابات المحتملة ..
بارك الله فيك استاذنا ، في انتظار تتمة الموضوع التي اشرت لها ... :)
 
توقيع : hociineDz
يا اخي ماهذا الابداع فعلا وااو شرح ولا في الاحلام

بارك الله فيك وجعله الله في ميزان حسناتك
 
توقيع : hitman samir12
بارك الله فيك أستاذنا الغالي
وجزاك عنّا كلّ خير
 
توقيع : النموشي
ما شاء الله أخي
 
توقيع : BlackOps
جزاك الله خيرا أستاذ مصطفى وبارك فيك
ماشاء الله .. طرح مميز جدا ومحتوى ذو فائدة كبيرة
أكيد معلومات أفادتني وستفيد الكثير منا لا محالة
حفظك الله ورعاك ودمت نجما ساطعا في سماء زيزووم
تقديري لك
 
توقيع : صدى الصمت
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى