black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★ نجم المنتدى ★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
من فضلك قم بتحديث الصفحة لمشاهدة المحتوى المخفي
![b9bktQH.gif](http://i.imgur.com/b9bktQH.gif)
بسم الله الرحمن الرحيم
السلام عليكم ورحمه الله وبركاته
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
اولا اعتزر بشده على كل من طلب مساعدتى على الخاص ولم استطيع ان اساعده
ثانيا كما وعدت جميع اصدقائى الاحبا الذين راسلونى بخصوص هذا الموضوع الان اوفى بوعدى لكم واعتزر لكم بشده انى تاخرت فى طرحه وذلك بسبب الانشغال الدائم
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
ندخل الى موضوعنا
موضوعنا ان شاء الله سنقوم بفحص جهازنا بشكل يدوى دون الحاجه الى برامج حمايه
1- ProcessExplorer وسنقوم به بفحص العمليات الشغاله حايا وما هى مهيتها
2- فحص الحقن
3- فحص الاتصالات الخارجيه عن طريق عده برامج (TCPView و ApateDNS )
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
1- فحص العميات الشغاله حاليه وما هى مهيتها عن طريق برنامج ProcessExplorer
لتحميل البرنامج من الموقع الرسمى
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
شرح سريع للبرنامج والتعرف على بعض الاجزاء منه والتحقق من العمليات التى تعمل
ملحوظه مهمه جدا يفضل قبل تشغيل البرنامج اغلق اى برنامج يعمل عندك وحتى اغلاق المتصفح اى الذى تستخدمه للبدا فى التحليل بشكل سليم
عند تشغيل البرنامج لاول مره سيظهر لك بهذا الشكل
![523799605.png](https://www8.0zz0.com/2020/05/28/01/523799605.png)
ينقسم البرنامج الى 4 اجزاء
![710599277.png](https://www6.0zz0.com/2020/05/28/01/710599277.png)
ملحوظه مهمه هناك بعض انواع الملفات الخبيثه يمكن التلاعب بها من خلال المبرمج الخاص بها بتزييف معلومات العمليه عن طريق تغيير فى كل من اسم العمليه والشركه المنتجه للملف وايضا خانه وصف البرنامج ( فيرجى الانتباه جيدا ) و فى هذه الحاله سنتعرف عن العمليه التى تعمل عن طريقPID و كشف اتصالاتها
ينقسم برنامج ProcessExplorer الى جزئين الجزء العلوى وهو خاص بملفات نظام التشغيل
![831489895.png](https://www9.0zz0.com/2020/05/28/01/831489895.png)
كما نلاحظ يوجد بعض العمليات التى ليس لها تعريف PID هذه العمليات هى عمليات اساسيه خاصه بالويندوز اى تعمل قبل اثنا تحميل الويندوز لنفسه للدخول الى سطح المكتب
نبذه عن تعريف بعض عمليات الويندوز
العمليه system عمليه خاصه بالنظام
العمليه csrss عمليه المسئول عن ربط البرامج بنواه الويندوز ( الكرنل )
العمليه winint مسئول عن عمليه (services ) الخاصه بالنظام
العمليه services ملف مسئول عن تشغيل جميع الخدمات السرفس ( services ) الخاصه بالنظام وايضا السرفس الخاصه ببرامج الحمايه وغيرها من البرامج الاخرى
العمليه lssas عمليه مسئول عن كل مايخص حساب المستخدممثل تغيير الباسورد للحساب إنشاء حساب اخر و غيرها
العمليه lsm عمليه خاصه بنظام الربط remote desktop connection اى الاتصال عن بعد
العمليه winlogon عمليه خاصه بظهور شاشه الترحيب فى الويندوز
كما نلاحظ ان اغلبها عمليات النظام الاساسيه وهناك بعض الملفات الخبيثه التى تسطتيع التعديل فى هذه المناطق
ملحوظه لن اتحدث هنا الى كيفيه التنظيف هذه الجزئيه حيث العبث فى هذه المنطقه يضر بنسخه الويندوز
و مخصص لها شرح اكثر احترافيه فيما بعد فى دوره ان شا الله ساقوم بتحضيرها ساتكلم فيها عن التحليل عن الطريقه الاستاتيكيه وعن الطريق الديناميكيه وساتكلم فيها بشكل اكثر تعميقا عن كيفيه تحليل الملف الخبيث واستخراج بياناته وهى خاصه بهذا الجز لكن موضوعنا يختص بكل من يريد فحص جهازه بشكل يدوى سريعا دون التعمق فى تحليل الملف الخبيث وانما يريد التاكد ان جهازه نظيف وخالى من الملفات الخبيثه
الان العمليه الاساسيه التى تخصنا فى هذه المرحله هى عمليه explorer وهذه العمليه الاساسيه التى يعمل تحتها اى ملف يقوم المستخدم بتشغيله
لاحظ معى هنا عمليات تعمل تحت explorer
![198352515.png](https://www4.0zz0.com/2020/05/28/01/198352515.png)
ملحوظه مهمه لكى يتم الفحص بشكل سليم علينا اغلاق اى شى يعمل حاليا حتى نتاكد من العمليه التى تعمل ونستطيع تحليلها بشكل جديد
فى حاله انكم قمت بغلق جميع العمليات التى تعمل ومازالت هناك عمليات تعمل
نتحقق من كل من اسم العمليه – رقم التعريف PID – نسبه استهلاك العمليه – مسار العمليه واين يقع تحديدا
واذا وجدت عمليه تعمل تحت عمليه اخرى
مثال
![203612341.png](https://www10.0zz0.com/2020/05/28/01/203612341.png)
اى ان هناك عمليه اساسيه وهناك عمليات فرعيه تتفرع منها هذه العمليات الفرعيه تخص العمليه الاساسيه لذلك يرجى التاكد من البرنامج الذى يعمل وعندك وغلق العمليه الاساسيه وستم غلق جميع العمليلات الفرعيه الاخرى عن طريق الامر
Right Click على اسم العمليه ثم اختار kill process tree
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
- طريقه التحقق من اتصال العمليه التى تعمل عن طريق برنامج ProcessExplorer
ببساطه استطيع ان اعرف اذا كانت هذه العمليه تحتوى على اتصال ام لا عن طريق الضغط اضغط على اسم العمليه
Right Click على اسم العمليه ثم اختار properties ثم TCP/IP
![924390660.png](https://www2.0zz0.com/2020/05/28/01/924390660.png)
حيث ما يهمنا يهمنا فى هذه القائمه
اى بى الإتصال Remote Address + البورت أو المنفد Remote Port
وكما هو ملاحظ هنا ان الاى بى يكون على هذا الشكل والبروت يكون متبوع بعده مفصول بين الاى بى بعلمه ( : )
![271276799.png](https://www5.0zz0.com/2020/05/28/01/271276799.png)
حالات الاتصال
Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )
Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
2- الحقن لا توجد طريقه معينه لكشف عن الملف المحقونه من عدمه
طريقه الحقن تعتمد على : يقوم الملف المصاب بالحقن فى الملف الاصلى بهدف الوصول الى الانترنت والعمل تحت الملف الاصلى على انه هو لكى يبعد الشبهات عنه وللاسف هناك بعض الجدران الناريه التى تنخدع بهذا الامر فالحقن فائده ان الملف المصاب يعمل كانه ملف موثوق لابعاد اى شكوك عنه
الملفات التى من المحتمل ان يتم الحقن فيها svchost - smss - csrss - explorer
لذلك نبهت على ملحوظه مهمه جدا فى الاعلى وساعيدها مره اخرى يجب غلق جميع البرامج التى تعمل عندك حتى يسهل عليك الفحص بشكل صحيح
1- من المحتمل ان يتم الحقن فى عمليات svchost -smss - csrss - explorer ( نسبه الاحتمال عاليه جدا )
2- من المحتمل ان يتم الحقن الملف فى المتصفح الاكسبلور ( نسبه الاحتمال عاليه )
3- من المحتمل ان يتم الحقن فى calculator ( نسبه الاحتمال متوسطه )
4- من المحتمل ان يتم الحقن الملف فى نفسه ( نسبه الاحتمال متوسطه )
لذلك الفيصل هنا هو مراقبه الاتصال الخاص بهذه العمليات لكى يتم كشف اتصال الملف من عدمه
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
نبذه مختصره حول الهوست
الهوست هو عباره عن عنوان ثابت يستخدمه اغلب المخترقون لكى يستطيعوا تثبيت ضحاياهم
بشكل مبسط اكثر
من المعروف ان اى جهاز كمبيوتر متصل بالانترنت يجب اى يحمل رقم او ما نطلق عليه IP
هناك نوعين من الاى بى الاى بى الداخلى وتم اعطائه لك عن طريق الروتر الخاص بك وهو الذى يكون على هذا الشكل 192.168.1.***
الاى بى الخارجى وهو الذى تعطيه لك مزود الخدمه ويكون على هذا الشكل 197.162.21.23
شرح سريع للارقام
![736389215.png](https://www2.0zz0.com/2020/05/28/01/736389215.png)
هذا الاى بى الخارجى يكون متغير دائما وهذا راجع الى شركه المزوده للخدمه حيث عند اشتراك معها وعند تشغيل الخدمه عندك يتم اعطائك عنوان اى بى وهو الذى تستخدمه للدخول الاى الانرنت ياتى الان دور الهوست كما ذكرنا انه عنوان ثابت اى انها خدمه تقوم بثبيت اتصالك فى حاله تم تغيير الاى بى الخاص بك فتستطيع استخدام هذه الخدمه للدخول اليها من اى مكان فى العالم حتى وان تغير عنوان الاى بى الخاص بك
لذلك يستخدمه اغلب المخترقون حتى اذا حدث ام ما وتم تغيير عنوان الاى بى الخاص به لا يفقد كل الضحايا الذى اخترقهم
اشهر الخدمات التى تقدم Free Host موقع NO-IP ويفضله اغلب المخترقيت لسهوله التعامل معه وثبات الخدمه
هناك بعض النطاقات التى يتيحها الموقع نطاقات مجاينه وهى ما يستخدمه اغلب المخترقون وهناك نطاقات اخرى فرعيه
لان اذكر ما هى تلك النطاقات حيث انها كثيره جدا ومتنوعه وايضا لا استطيع ان اقوم بحصر جميع المواقع التى تقدم خدمه الهوست لدى المخترقين لتعددها
اعتزر على تبسيط الامر هنا بخصوص الاى بى فقط اردت تبسيط الامر قدر الامكان
لكن لمعرفه ما هو الاى بى بشكل مفصل عليك بدراسه احدى كورسات الشبكات ( Network + ) وانصح بالكورس الخاص بشركه Comptia
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
3- فحص الاتصال عن طريق عده برامج منفصله
ملحوظه مهمه مره اخرى يفضل غلق جميع البرامج التى تعمل فى الخلفيه حتى يكون الفحص صحيح
برنامج TCPView
لتحميل البرنامج من موقع الرسمى
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
عند تشغيل البرنامج لاول مره
![501275587.png](https://www9.0zz0.com/2020/05/28/01/501275587.png)
قم بالضغط على علامه لكى تقوم بازاله الاتصالات التى لا تعمل
![312504376.png](https://www6.0zz0.com/2020/05/28/01/312504376.png)
ما يهمنا يهمنا
اى بى الإتصال Remote Address + البورت أو المنفد Remote Port
حاله الاتصال
Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )
Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )
اذا وجدت ان العمليه متصله مع اى بى ما
نتحقق من اسم العمليه – رقم التعريف PID
ملحوظه اغلب المخترقون يستخدمون بورتات عشوائيه لذلك من السهل التحقق من العمليات التى تعمل برقم البورت الخاص بها
موقع مهم يعتمد عليه فى البحث عن معلومات IP
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
برنامج ApateDNS
لتحميل البرنامج من موقعه الرسمى
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
عند تشغيل البرنامج اول مره
![576943359.png](https://www9.0zz0.com/2020/05/28/01/576943359.png)
يقوم البرنامج على طريقه ممتازه جدا جدا فى كشف الاتصالات الخارجيه حيث انه يقوم بتحويل جميع الاتصالات الخارجيه الى عنوان الجهاز الافتراضى 127.0.0.1 ويقوم بعرض لك جميع الاتصالات الجاريه بعد اعاده توجيها الى الى الاتصال الداخى
بعد تشغيل البرنامج اضغط على Start ليبدا البرنامج بعمله ( انتظر بضع دقائق واذا كان هناك اى اتصال خارجى يعمل ستم التقاطه )
ملحوظه مهمه فى حاله تشغيل البرنامج عليك عدم فتح المتصفح او استخدام الانترنت لانه البرنامج يقوم كما ذكرنا بقطع الاتصال بالانترنت ويقوم بتحويل جميع الاتصالات الى الاتصال الداخلى لذلك لا تحاول استخدام الانترنت اثنا فحصك بهذا البرنامج
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
التنظيف فى حاله الاصابه
التخلص من باتش الاختراق + الدوده فى حاله الاصابه ( Vbs & ExE )
ان اماكن زراعه الملفات الخبيثه تكون لها اكثر من مسار لكى تقوم بحفظ نفسها فيه لتقوم بتشغيل نفسها من جديد
فى حاله انى قمت باكتشاف ان هناك عمليه خبيثه وبعد ان تاكدت من اتصالها وقمت بقتل العمليه الان نريد حزف تثبتها الذى يكون كالاتى
1- مسار الملفات 2- مسار الاستارت اب 3- مسار الرجيسترى 4- Task Scheduler
ملحوظه مهمه قبل اى اجراء انصح بشده استخدام البرنامج الرائع CCleaner فى تنظيف كافه المخلفات
![721345674.png](https://www7.0zz0.com/2020/05/28/01/721345674.png)
![695727600.png](https://www7.0zz0.com/2020/05/28/01/695727600.png)
وهذا يعتبر بمثابه مسح سريع بشكل اتومتك
قبل البدا فى مسح المناطق المذكوره فى الاعلى عليك بتفعيل كل من الملفات المخفيه + اظهار امتداد الملفات
![795863698.png](https://www8.0zz0.com/2020/05/28/01/795863698.png)
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
1- التحقق من مسارات الاتيه
مسار % TEMP% ( C:\Users\YourUser\AppData\Local\Temp )
![345212248.png](https://www9.0zz0.com/2020/05/28/01/345212248.png)
مسار % AppData% ( C:\Users\YourUser\AppData\Roaming )
![171876208.png](https://www7.0zz0.com/2020/05/28/01/171876208.png)
مسار % UserProfile% (C:\Users\YourUser)
![812228994.png](https://www6.0zz0.com/2020/05/28/01/812228994.png)
مسار % ProgramData% (C:\ProgramData )
![313345621.png](https://www7.0zz0.com/2020/05/28/01/313345621.png)
2- التحقق من مسارات الاستارت اب
C:\Users\YourUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
![784960744.png](https://www8.0zz0.com/2020/05/28/01/784960744.png)
3- التحقق من مسار الرجيسترى استارت اب
لفتح الرجيسترى اذهب الى
Start > Run > Regedit
![689724539.png](https://www6.0zz0.com/2020/05/28/01/689724539.png)
الان اذهب الى المسار للتحقق من مكان زرع العمليه
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
![307640881.png](https://www5.0zz0.com/2020/05/28/01/307640881.png)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
![872029258.png](https://www5.0zz0.com/2020/05/28/01/872029258.png)
4- مسار Task Scheduler
لفتح Task Scheduler اذهب الى
Start > search > Task Scheduler
![331608102.png](https://www10.0zz0.com/2020/05/28/01/331608102.png)
![988348690.png](https://www2.0zz0.com/2020/05/28/01/988348690.png)
![627ace575c1dd68e7e324abe3f04f260.png](http://data.zyzoom.org/vb_cache1/2010/11/1/627ace575c1dd68e7e324abe3f04f260.png)
الى هنا ينتهى موضوعى المتواضع
اذا صعب عليك الامر او التبس عليك اى مشكله فقسم الاستفسارات مفتوح ان شا الله
من هنا مشاكل واستفسارات الحماية
او هناك اى ملف تشك فيه او تحس بانك مخترق قم بوضع الملف الذى تشك فيه فى القسم
من هنا طلبات فحص الملفات
وسيتم الرد عليك ان شا الله
اتمنى ان يكون الموضوع افادت الجميع ولو بشى القليل
واكون بسط الامور قدر الامكان
تحياتى وتقديرى للجميع
اخوكم ومحبكم دوما
مصطفى & black007
![](https://forum.zyzoom.net/styles/download.png)
التعديل الأخير: