black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
السلام عليكم ورحمة الله وبركاته
أتمنى أن يكون الجميع فى تمام الصحة والعافية
عودة بعد إنقطاع طويل لموضوع كان يجب نشره منذ فترة
( شرح ) فحص الموبايل بشكل يدوى ( معرفه إذا كنت مخترق أم لا ) – اندرويد Android
الموضوع بالكامل إجتهاد شخصى وغير منقول من أى مكان ولن تجد حتى موقع أجنبى يشرح تلك التفاصيل إذا أردت نقل الموضوع برجاء ذكر المصدر ( وحقوقى عليه )
لا يكاد الأن يخفى على الجميع أن الأجهزه الكفية و اللوحية الموبايل / التاب التى تعمل بنظام تشغيل ( الاندرويد ) أصبحت هى المسيطرة الأن فى كونها الأجهزه الأكثر سهولة فى الحمل والأرخص فى السعر والتى أصبحت فى أيدى الجميع تقريباً دون الحاجة إلى أجهزه حاسب أو لاب توب لإنجاز المهام .
ملاحظات مهمة جداً يجب الأنتباه لها قبل الإكمال فى قراءة الموضوع
- الموضوع مخصص فقط للفحص اليدوى لجهاز الموبايل/ التاب الذى يعمل بنظام تشغيل اندرويد فقط من الإختراق بدون الحاجه إلى تثبيت أى برنامج انتى مالوير لفحص الجهاز بدلاً عنك
- الموضوع مخصص لمن يريد التحكم فى جهازه ومعرفة تفاصيل متقدمة
- الموضوع غير موجة للمبتدئ للأسف لأنه به تفاصيل كثيرة لكن ساحاول أن أشرح تلك التفاصيل لكى تناسب الجميع إن شاء الله .
- الموضوع لا يقوم بالتحدث عن إزالة برامج adds والإعلانات وخاص فقط بفحص الجهاز من برامج الإختراق (الخاصه بنظام تشغيل اندرويد فقط )
هناك طريقة بسيطة لفحص التطبيقات المثبتة على هاتفك وجب ذكرها
- وهى تابعة للبلاى ستور Play Store
- خاصة بحماية الجهاز نفسه مهما كان الماركة – الشركه المنتجة للجهاز
Samsung تستخدم حماية تابعة لمكافى
Huawei / Honer تستخدم حماية تابعة لافاست
Xiaomi تستخدم حماية تابعة لافاست و Tencent
Infinix تستخدم حماية تابعة لافاست
Oppo تستخدم حماية تابعة لافاست
عيوب إستخدام تلك الطريقة :
- يمكن تخطى حماية البلاى ستور من قبل المخترق بسهولة ( عن طريق توقيع أو تزوير شهادة الخاصة بالابلكيشن )
- تشفير الابلكشن لعدم جعله مكشوف من تلك الحماية ( بعض المحترفين فقط هم من يقومون بتشفير الابلكيشن APK وتحتاج إلى خبرة عالية فى لغة البرمجة JAVA )
قبل البدء وجب أن أوضح ما هى الصيغ التنفيذية التى يدعمها نظام الاندرويد لتثبيت التطبيقات ولكى تعمل على الهاتف :-
نبذة عن الملفات التنفيذية التى يدعمها نظام الاندوريد (smali , kts , kt , apk )
الأشهر بالنسبة لجميع المستخدمين هو apk
ملف apk هو الصيغة التنفيذية التى تعمل على نظام تشغيل اندرويد ويحتوى بداخله على عدة أقسام خاصة بالتطبيق
- META-INF/: يحتوى على التوقيع والملفات الخاصة التى سيحتاجها عند تشغيل نفسه ويحتوى أيضا على صلاحيات الملف عند تثبيته .
- lib/: يحتوى على المكتبات اللازمة التى سيحتاجها للعمل على بنية الهاتف مثال فى الويندوز x86
- res/: يحتوى على جميع الصور وأشكال القوائم والأيقونات الخاصة بالتطبيق .
- assets/: ملفات الارتباط الخاصة بمبرمج التطبيق على متجر جوجل .
- AndroidManifest.xml: يحتوى على إسم و رقم وإصدار التطبيق و محتوياته .
- classes.dex: مترجم خاص بالجافا يتم استخدامه لقراءة ملفات (.DEX file)
- resources.arsc: مترجم خاص يتم إستخدامه لترجمة النصوص داخل التطبيق وقراءة بعض ملفات من نوع (.ARSC file)
حسناً دعونا نبدء بالطريقة المتقدمة للفحص .
1- فحص نظام الاندرويد بالإعتماد على التطبيقات المثبتة ومعرفة الصلاحيات
2- فحص الإتصالات الخاصة بالتطبيقات التى تعمل فى الخلفية .
فحص العميات الشغالة حالياً وما هى مهيتها عن طريق تطبيق taskmanager
هناك تطبيقات كثيرة تقوم بمثل هذا الشكل وكلها لها نفس الغرض إلا أن هذا التطبيق دون عن غيره يقوم بكشف العمليات التى تعمل فى الخفاء غير أى تطبيق أخر ( التطبيق عن تجربة شخصية مع غيره من التطبيقات الأخرى)
وجب التنبية أيضا أن فى إصدارات اندرويد 4.2 كان هناك فى النظام نفسه أداه تقوم بعرض جميع التطبيقات التى تعمل فى الخلفية app running دون الحاجة إلى تثبيت أى تطبيقات خارجية .
ولكن تم الإستغناء عنه إبتداءً من إصدار 5.0 للاندرويد ولم يعد هناك شى مشابه لذلك والحقيقة أن بعضها ربما يجعل المستخدم فى حيرة ضمن التطبيقات التى تعمل ولا يعرف ايها السليم من الضار لأنه يعرض جميع التطبيقات التى تعمل فى ذاكرة الهاتف ( كمثال فى الويندوز قائمة التاسك مانجر التابعة للويندوز ) لا تستطيع تحديد أى التطبيقات التى تحتاجها وأيها يجب قتلها لذلك سنستخدم تطبيق خارجى .
لتحميل التطبيق من موقع المتجر
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ملحوظة مهمة جداً يفضل قبل تشغيل البرنامج غلق أى برنامج يعمل عندك للبدء فى التحليل بشكل سليم .
عند تشغيل التطبيق سيظهر لك بهذا الشكل
حسناً إذاً ما هى تلك البرامج على الرغم من أننى قمت قبل الفحص بغلق جميع البرامج التى تعمل فى الخلفية .
فى الحقيقة هناك برامج تعمل كسرفيس أى لا يمكن إيقاف البرنامج بشكل كامل من الهاتف إلا إذا قمت بإيقاف البرنامج إيقاف إجبارى .
ملحوظة مهمة هناك بعض أنواع الملفات الخبيثة يمكن التلاعب بها من خلال المخترق بتزييف معلومات العملية عن طريق تغيير فى كل من إسم العملية والشركة المنتجة للملف وأيضاً خانة وصف البرنامج ( فيرجى الإنتباة جيداً ) و فى هذه الحالة سنتعرف على الصلاحيات و كشف إتصالاتها .
يجب عليك أن تتذكر هذا العنوان جيداً لأنه سيفيدنا عند فحص الإتصال الخاص بالتطبيق
حسناً إذا هناك طريقة أخرى للتأكد من العمليات التى تعمل فى الخلفية وهى أكثر تطوراً ولا تحتاج إلى برامج خارجية .
فقط تحتاج إلى تفعيل خيار وضع المطورين Developer Options
قبل أن تقوم بتفعيل خيار وضع المطورين يجب أن تعرف أن اللعب فى هذه المنطقة هو خاص بالمستخدمين المتقدمين ولا يجب العبث فى تلك المنطقة إلا لمن عنده الدراية بها .
لتفعيل وضع المطورين أياً كان الشركة المصنعة للجهاز Settings > About Phone > Build Number وإضغط 7 مرات متتالية .
بعدها إذهب إلى هذا الإختيار Settings > Developer Options > Running Services
منها يمكن معرفة ما هى التطبيقات التى تعمل فى الخلفية و الخدمة وهذا بعد أن تكون قمت بغلق التطبيقات التى تعمل فى الخلفية عندك
لاحظ
نبذه بسيطه عن الصلاحيات الوصول
صلاحيات الوصول هى صلاحيات يطلبها التطبيق للوصول إلى بعض أجزاء داخل هاتفك لكى يعمل التطبيق بشكل جيد .
مثلاً لماذا تطبيق مثل facebook يطلب صلاحيات مثل
صلاحية الوصول إلى التقويم : لتحديد الوقت والتاريخ الذى يعمل به التطبيق
صلاحية الوصول إلى الكاميرا : فى حالة أردت أن تقوم بعمل فيديو لايف أو تقوم بتصوير نفسك أون لاين .
صلاحية الوصول إلى قائمة الإتصال الخاصه بك : ليقوم بالتعرف على الأشخاص الذين لديهم حساب على نفس التطبيق .
صلاحية الوصول إلى الموقع : لتحديد موقعك فى حالة أردت أن تقوم بعمل share location
صلاحية الوصول إلى المايكروفون : فى حالة أردت تسجيل صوتك .
صلاحية الوصول إلى الهاتف : فى حالة أردت إجراء مكالمة مباشرة ( يتم تحويلك إلى تطبيق أخر وهو الماسنجر الخاص بنفس التطبيق ) .
صلاحية الوصول إلى ذاكرة التخزين : وخاصة بحفظ الصورة على هاتفك .
حسناً يتضح من ذلك أن لكل تطبيق صلاحيات محددة يريد الوصول لها وبما أن تطبيق مثل تطبيق الفيسبوك يحتاج إلى الوصول إلى كل تلك الصلاحيات لسبب محدد فما الذى يجعل تطبيق أخر يطلب نفس تلك الصلاحيات ؟
هذه ليست قاعدة عامة أن كل التطبيقات تطلب تلك الصلاحيات .
فمثلاً تطبيق ما مثلا es file explorer يحتاج الوصول إلى ذاكرة التخزين وهو أصلاً تطبيق مخصص لإدارة الملفات فمن الطبيعى أن يطلب الوصول إلى ذاكرة التخزين دون الحاجة إلى الوصول إلى صلاحيات أخرى .
أى تطبيق أخر تشك فيه ولا تعرف ماذا يفعل هذا التطبيق تحديداً ويطلب صلاحيات كثيرة عليك التحقق منه .
حسناً دعونا نتأكد أكثر من التطبيق بعد تحديده بمعرفة الصلاحيات التى يقوم بإستخدامها على جهازك ( إذا كنت تشك فى تطبيق ما فعليك الإطلاع على صلاحياته )
ولنأخذ مثال على هذا التطبيق مثلاً الغير معروف ( تم التلاعب بإسمها كما لاحظنا كى تظهر أنها عمليات تابعة للنظام وكى لا يشك الضحية )
حسناً بعد الإطلاع على تلك الصلاحيات إتضح أن هذا التطبيق مشبوة وعليك التحقق من الإتصال الخاص به لمعرفة ماهيته بالضبط .
هناك أيضاً جزئية أخرى وجب ذكرها وهى صلاحيات التحكم فى الهاتف بشكل كامل وهى خاصة ببعض البرامج التى تطلب صلاحيات أعلى من المستخدم العادى
ويمكن الوصول لتلك المنطقة هنا
والإطلاع على التطبيقات التى لها إمكانية للوصول إلى صلاحيات أعلى من المستخدم العادى .
برامج الحماية الانتى ملوير anti malware الخاصة بالاندرويد فى العادة تطلب تفعيل نفسها فى تلك الصلاحيات لكى تقوم بحماية هاتفك بشكل جيد .
نبذة مختصرة حول الهوست :
الهوست هو عبارة عن عنوان ثابت يستخدمه أغلب المخترقون لكى يستطيعوا تثبيت ضحاياهم .
بشكل مبسط أكثر
من المعروف أن أى جهاز متصل بالإنترنت يجب أن يحمل رقم أو ما نطلق عليه IP .
هناك نوعين من الاى بى الاى بى الداخلى وتم إعطائه لك عن طريق الروتر الخاص بك وهو الذى يكون على هذا الشكل 192.168.1.***
الاى بى الخارجى وهو الذى يعطيه لك مزود الخدمة ويكون على هذا الشكل 197.162.21.23
شرح سريع للأرقام
هذا الاى بى الخارجى يكون متغير دائماً وهذا راجع إلى الشركة المزودة بالخدمة حيث عند إشتراكك معها وعند تشغيل الخدمة عندك يتم إعطائك عنوان أى بى وهو الذى تستخدمه للدخول إلى الإنترنت يأتى الأن دور الهوست كما ذكرنا أنه عنوان ثابت أى إنها خدمة تقوم بثبيت إتصالك فى حالة تم تغيير الاى بى الخاص بك فتستطيع إستخدام هذه الخدمة للدخول إليها من أى مكان فى العالم حتى وإن تغير عنوان الاى بى الخاص بك .
لذلك يستخدمه أغلب المخترقون حتى إذا حدث أمر ما وتم تغيير عنوان الاى بى الخاص به لا يفقد كل الضحايا الذين إخترقهم .
أشهر الخدمات التى تقدم Free Host موقع NO-IP ويفضله أغلب المخترقين لسهولة التعامل معه وثبات الخدمة .
هناك بعض النطاقات التى يتيحها الموقع نطاقات مجاينة وهى ما يستخدمها أغلب المخترقون وهناك نطاقات أخرى فرعية .
لن أذكر ما هى تلك النطاقات حيث أنها كثيره جداً ومتنوعة وأيضاً لا أستطيع أن أقوم بحصر جميع المواقع التى تقدم خدمة الهوست لدى المخترقين لتعددها .
أعتذر على تبسيط الأمر هنا بخصوص الاى بى فقط أردت تبسيط الأمر قدر الإمكان .
طريقة التحقق من إتصال العملية التى تعمل عن طريق تطبيق Network Connections
رابط تحميل التطبيق من المتجر
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
كما ذكرت سابقاً هناك تطبيقات كثيرة تقوم بمثل هذا الشكل وكلها لها نفس الغرض إلا أن هذا التطبيق دون عن غيره يقوم بكشف الإتصال الذى يعمل فى الخفاء غير أى برنامج أخر ( البرنامج عن تجربة شخصية مع غيره من البرامج الأخرى)
نبذه عن التطبيق وخواصه :
حسناً إذا ما هى إتصالات البرامج على الرغم من أننى قمت قبل الفحص بغلق جميع البرامج التى تعمل فى الخلفية .
كما ذكرت سابقاً أن هناك برامج تعمل كسرفيس أى لا يمكن إيقاف البرنامج بشكل كامل من الجهاز إلا إذا قمت بإيقاف البرنامج إيقاف إجبارى ولا يفضل إيقاف تلك الخدمات حيث أن إيقافها سيؤدى إلى مشاكل فى التطبيق ويوثر على طريقه عمله .
عند تشغيل التطبيق سنحتاج أولاً إلى الذهاب إلى إعدادت التطبيق أولاً وضبطه على هذا الشكل .
بعدها سنذهب إلى القائمة الأساسية للتطبيق والتى تحتوى على الإتصالات فى الوقت الحالى .
قبل أن نقوم بالتحليل وإذا كنت غير متأكد من التطبيق الذى تبحث عن الإتصال له يفضل تفعيل وضع المراقبة ( يفضل مراقبة التطبيقات التى تعمل لمده 10 ساعات فى أقصى تقدير )
حسناً إذا بعد تفعيل ذلك الوضع وبعد مراجعة الإتصالات الخاصة بالتطبيقات ستكون على هذا الشكل :
وبمراجعة التطبيقات من نفس التطبيق
وهذه صورة من الإتصالات فى الوقت الحقيقى
وكما هو ملاحظ هنا أن الاى بى يكون على هذا الشكل والبورت يكون متبوع بعده مفصول بين الاى بى بعلامة ( : )
أستطيع أن أعرف إذا كانت هذه العملية تحتوى على إتصال أم لا عن طريق الضغط على إسم العملية
ما يهمنا هو اى بى الإتصال Remote Address + البورت أو المنفد Remote Port
والصلاحيات التى يحتويها التطبيق
حالات الإتصال :
Tcp Listening تعني أنه ينتظر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )
Tcp Established تعني أن الإتصال جاري بين الطرفين ( كل شئ تمام )
Tcp Close_Wait تعنى تم إنشاء الإتصال ولكن لم يتم الرد من الجانب الإخر ( الإتصال غير مكتمل )
Tcp Syn_Send تعنى تم الإرسال ولكن لم يتم الرد من الجانب الأخر ( جهاز المخترق )
تطبيق أخر يقوم بنفس المهمة Connection List Free
لتحميل التطبيق من المتجر
يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي
ويقوم بنفس المهمة ولكن التطبيق إمكانياته محدودة بعض الشى .
حسناً بعد تجميع المعلومات التى أردنا أن نعرفها عن هذا التطبيق والتأكد منها
1- التطبيق يعمل فى الخفاء بدون علم المستخدم وغير معروف ولم أقوم بتثبيته .
2- التطبيق يمتلك صلاحيات وصول غير مبرر سببها عن أى تطبيق أخر .
3- التطبيق غير ظاهر للمستخدم وعند الضغط عليه يختفى ( مخفى من واجهة المستخدم )
4- الإتصالات التى يقوم بها البرنامج غريبة وغير محددة .
إذا يتضح أن هذا التطبيق خبيث وعليك حذفه من هاتفك حالاً .
جزئية أخرى أحب أن أقدمها قبل أن أنهى الموضوع وهى خاصة بالتطبيق نفسه .
عند تثبيت التطبيق وهو ملغوم مع برامج أخرى فان التطبيق الإساسى ( الملف الخبيث يقوم بفك نفسه فى مسار ) وهذا المسار هو غير ظاهر للمستخدم .
حسناً إذا هل تفكر أن الملفات الخبيثة الخاصة بالاندرويد تقوم بزراعة نفسها مثلها مثل برامج الكمبيوتر العادية كالتى تزرع لنفسها مسارات أخرى ؟
الجواب لا ولكن الملف كملف apk يكون مخزن فى مسار ما عندك على الهاتف ولا يمكن الوصول لتلك المسار إلا إذا عندك صلاحيات الروت .
حسناً سيسأل البعض ما هى صلاحيات الروت ؟
لن أتحدث عن كيفية طريقة الحصول على صلاحيات الروت لأنها ليست فى موضوعنا هنا وهى غير موجهة لأى شخص لأن العبث فى تلك الصلايحات قد يؤدى إلى تلف النظام .
لمن يمتلك صلاحيات الروت على نظامه فسيجد مسار ملف apk الذى تم فك نفسه فيه فى هذا المسار .
أخيراً وقبل أن أنهى موضوعى المتواضع :
هناك عدة نصائح بسيطة معروفة للجميع ولكن وجب ذكرها :
- دائماً تأكد من عدم تفعيل إختيار ( مصادر غير معروفه unknown sources ) حتى لا يتم تثبيت تطبيقات غير موثوق فيها .
- لا تقوم بتحميل أى تطبيق من خارج متجر بلاى ستور .
- لا تقوم بتحميل متاجر أخرى غير معتمدة ( حيث أن هناك متاجر أخرى غير متجر البلاى ستور يمكن تثبيتها وتجد عليها تطبيقات غير موجودة فى أى استور أخر ) إحذر منها .
- إعتمد فقط على المتاجر الموثوقة ( المتجر الخاص بالشركة المنتجة لهاتفك)
- لا تقوم بتحميل تطبيقات معدل عليها من مواقع خارجية قبل التأكد من مصدرها ( التطبيقات التى تم عمل لها باتش أو مود لشراء النسخة الكاملة منها ) لإحتمال إحتوائها على باتش إختراق مدمج .
- لا تنسى دائماً تحديث نظام التشغيل الاندرويد الخاص بجهازك والخاص بالسكيورتى باتش ( لانه يقوم بسد الثغرات الخاصه بنظام التشغيل نفسه وهى خاصة بالإختراق المتقدم )
إلى هنا ينتهى موضوعى
أتمنى أن يكون الموضوع أفاد الجميع ولو بالشئ القليل
وأكونقد قمت بتبسيط الأمور قدر الإمكان .
الموضوع إجتهاد شخصى بالكامل وغير منقول من أى مكان ولن تجد حتى موقع أجنبى شرح تلك التفاصيل .
إذا أردت نقل الموضوع برجاء ذكر المصدر ( وحقوقى عليه )
تحياتى وتقديرى للجميع
أخوكم ومحبكم دوماً
مصطفى & black007
التعديل الأخير بواسطة المشرف:
