ان شاء الله الكل بخير حبايب
طبعا بعد هذا الموضوع اذا كان جهازك مخترق راح يطير المخترق
وكذلك تحمي نفسك من الاختراق يعني روابط صور اغاني اي شي مشكوك بيه لاتفتحهم
واتمنى الدعاء لي و لوالدي لان اكثر من ساعه يالله رتبت الموضوع وتم نقلة الكم
اول شي نظهر كل الملفات المخفية بجهازك كما بالصور تحت والشرح لوندوز سفن علما انو الوندوز اكس بي نفس الفكرة تقريبا لاحظ الشرح جوا
ثاني شي نظف مجلد Temp
نروح على Run كما بالصورة تحت
ونكتب بيها الامر
كود:
%temp%
ثالث شي راح نسوي الخطوات الاربعة المهمة جوا واللي هية
الكشف عن إتصالات الهوستات (No-Ip)
وتعطيل الاتصال
تحليل الإتصالات
تحليل قيم بدأ التشغيل في الرجستري
الكشف عن إتصالات الهوستات (No-Ip)
كما نعلم لكي يتصل السرف بالمخترق يجب عليه أن يقوم بتحويل الهوست إلى إيبي
و هذا البرنامج يقوم بالكشف عن هوستات نو-إيبي التي تتصل من حاسوبك
لتحميل البرنامج
ApateDNS
بعد
التحميل
قم قبل تشغيله بغلق المتصفحات
بعد التشغيل ستضهر لك الهوستات ( في المستطيل الأخضر ) التي تطلب تحويل للإيبي و التي من بينها سيكون هوست إنتضر قليلا و راقب الهوستات
إذا وجدت أحد هذه الهوستات
كود:
blogsyte.com
brasilia.me
cable-modem.org
ciscofreak.com
collegefan.org
couchpotatofries.org
damnserver.com
ddns.me
ddns.net
ditchyourip.com
dnsfor.me
dnsiskinky.com
dvrcam.info
dynns.com
eating-organic.net
fantasyleague.cc
geekgalaxy.com
golffan.us
health-carereform.com
homesecuritymac.com
homesecuritypc.com
hopto.me
ilovecollege.info
loginto.me
mlbfan.org
mmafan.biz
myactivedirectory.com
mydissent.net
myeffect.net
mymediapc.net
mypsx.net
mysecuritycamera.com
mysecuritycamera.net
mysecuritycamera.org
net-freaks.com
nflfan.org
nhlfan.net
no-ip.ca
no-ip.co.uk
no-ip.net
noip.me
noip.us
pgafan.net
point2this.com
pointto.us
privatizehealthinsurance.net
quicksytes.com
read-books.org
securityexploits.com
securitytactics.com
serveexchange.com
servehumour.com
servep2p.com
servesarcasm.com
stufftoread.com
ufcfan.org
unusualperson.com
webhop.me
workisboring.com
3utilities.com
bounceme.net
hopto.org
myftp.biz
myftp.org
myvnc.com
no-ip.biz
no-ip.info
no-ip.org
redirectme.net
servebeer.com
serveblog.net
servecounterstrike.com
serveftp.com
servegame.com
servehalflife.com
servehttp.com
servemp3.com
servepics.com
servequake.com
sytes.net
zapto.org
مثلا تجد xxxxx.zapto.org
يعني تجد كلمة و بعدها أحد الهوستات التي في الأعلى
إذا وجدتها فإنك مصاب بأحد سرفات الإختراق
أول شيئ تقوم به
بعد الكشف عن النوايبي اي ايبي المخترق
نقوم بتعطيلة يعني الغاء اتصال المخترق بجهازك كالاتي
أولا
سنفتح المفكرة بتصريح أدمن
ثم
ثم
نذهب لهذا المسار
كود:
%windir%\System32\drivers\etc\
كما في الصورة
ثم
نختار إضهار جميع الملفات
ثم نختار ملف hosts
الأن بعد فتحه سنضيف الهوست الذي كشفناه سابقا
سنضيفه في الأخير ونعطيه إيبي 127.0.0.1
مثال
كود:
127.0.0.1 Dev-point-test.no-ip.biz
كما في الصورة
بعد الحفظ أغلق المفكرة
و افتح الدوس
و بعد ذالك
سنقوم ببينغ ping
لالتأكد هل تم تعطيله
كما في الصورة
ولتحليل الإتصالات
سنقوم بتحميل برنامج
TCPView
للتحميل
http://technet.microsoft.com/fr-fr/sysinternals/bb897437.aspx
أو
http://www.01net.com/telecharger/windows/Utilitaire/reseau/fiches/2493.html
بعد تحميله
ستجد عدة برامج ما يهمنا هو Tcpview.exe
بعد تشغيله ستضهر لك البرامج (بالأصح البرسسات ) التي تتصل بالأنترنت
مع البورت و رقم البرسس و الإيبي الذي تتصل به و حالة الإتصال
.
حيث ما يهمنا هو إسم البرسس لنعرف من الذي يتصل
و البورت أو المنفد Remote Port
إيبي الإتصال REmote Address
و حالة الإتصال
Listening تعني أنه ينتضر الإجابة من الجانب الأخر ( الإتصال غير مكتمل)
Established تعني أن الإتصال جاري بين الطرفين ( كل شي تمام )
أو إذا وجدت بورت أو عنوان إيبي مشكوك قم بالبحث عنه بالأنترنت
إذا وجدت أنه لنضام أو لبرنامج
و إذا لم تجده
أو
إذا وجدت برسس متصل أولا
ابحث عن البرنامج في مسارات بدأ التشغيل في الرجستري
مسارات الرجستري المسؤولة عن بدأ التشغيل
أكثر و أغلب مسارات بدأ التشغيل هي
كود:
<b>
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
- HKEY_CURRENT_USER\Software\Classes\VirtualStore\MA CHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
</b>
لالدخول إليها بطريقة أسهل
قم باستعمال هذا البرنامج
النسخة الجديدة من كاشف السرفات
و هو أول برنامج لي ب .Net
يحتاج framework 2
يقوم بالكشف عن
XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
النسخة مخصصة للوندوز 7
(يمكن استعمالها في xp لاكن لن يكشف البيفروست )
لأنني لاحظت أنه يوجد اختلاف بين النظامين
فبعض خصائص السرفات تتغير باختلاف النضامين
و هذه نسخة تجريبية
في حالة nj تكشف عن جميع الخصائص
و لاكن في حالات الأخرى
تكشف عن ملف الكيلوغر فقط
لاكن الإصدار القادم سيكون إن شاء الله
هناك نسخة لل XP ب الأتوات
و نسخة ل 7 بالدوت نت
ستكشف عن السرف مهما كانت خصائصه فقط من ملف الكيلوغر
و ستتم إضافت خصائص أخرى و ستتم إضافت راتات أخرى
يمكنك وضع اقتراحات لبرامج أخرى لتضاف أو أي اقتراح اخر
في حالة NJ
1 :إسم السرف
2 : إسم ملف الكيلوغر
3 : المسار الكامل للسرف
4 : تاريخ اخر مرة عدل فيها الكيلوغر ( لتعرف هل السرف مشغل أو أنه خامل )
5 : مسار الرجستر
6 : مفتاح المسار الخاص بالسرف
7 : مسار التتبيث في الستار أب
في حالة دارك كومت
بالنسبة
للسباي نت
بالنسبة للإكسترم رات
في الحالات الثلاتة السابقة
يعطي مسار الكيلوغر فقط
و تنبيه ب تحديث البرنامج من موقع الديف لأنني كما قلت لكم سأنزل النسخة الجديدة منه
حيث ستقوم بكشف مسار السرف
بالنسبة للبيفروست (win 7 )
يعطي
مسار الرجستر
و مسار التتبيث
////////////////////////////////////////////////////////////////////////////////
لنسخ مسار أو إسم من مربع txt
قم بتحديده و اضغط على
CTRL + C
لنسخه
---------------------------------
في حالة وجدت ملفات الكيلوغر قم بمسحها
و أعد تشغيل الحاسوب إذا وجدتها مرة أخرى فأنت مصاب بذالك السرف
/////////////////////////////////////////////////////////////////////////////////
للتحميل
أو
واذا البرنامج ماشتغل اللي بالاعلى لقسم من الاجهزة استعمل الطريقة اليدوية تحت
أولا إفتح
run
وكتب %appdata%
اضغط ok
سيضهر لك مجلد مثل الصورة
إذا وجدت مجلد إسمه dclogs
فاعلم أنك مصاب بسرف Dark comet
هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته
مخزن في ملف ذو امتداد .dc
Nj Rat
---------
ابق في نفس المجلد
و هذه المرة إبحث عن ملفات ذات امتداد
exe.tmp.
وستجد بالقرب منها برنامج له نفس الإسم
مثال
yu.exe.tmp
yu.exe
ثم أدخل إلى مجلد بدأ التشغيل
dossier de démarrage
في وندوز 7
في xp
Démarrer > Tous les programmes > Démarrage
إذا وجدت برنامج اسمه هكذا
45ca55fc1756e880072f0dde4455397b.exe
اسم طويل به أرقام و حروف
و ادخل هنا
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
ستجده
فإنك مصاب بسرف nj
3 spy-net
ندهب لمجلد الملفات المؤقتة
ثم ابحث عن ملف ذو امتداد .xXx
أو ملف اسمه XX--XX--XX.txt
اذا وجدته فأنت مصاب
4- bifrost
وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي)
إفتح الرجستر
و اذهب إلى هذا المسار
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
حتى تجد مفتاح اسمه
StubPath =C:\Program Files\Bifrost\server.exe s
ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية
إذا وجدته ادخل لذالك المسار و حذفه
و أعد تشغيل الحاسوب
XtremeRAT 5-
ادخل
و ابحث عن مجلد
\Microsoft\Windows\
ستجد به ملفات ذات امتداد .dat
وهو مجل الكيلوغر
التحقق من مجلد بدأ التشغيل
لدخول إليه في
أما في
تقريبا نادرا ما يقوم أحد البرامج باستعمال هذا المجلد
يعني إدا وجدت أحد البرامج احتمال كبير تكون عبارة عن برنامج خبيث
يعني احذفة كبل
إذا وجدت أحد البرامج المشكوكة
و ذهبت لمسارها ولم تستطع حذفها أو حذف قيمت تتبيثها فاذخل بالوضع الامن safemode فيديو يشرح طريقة الدخول https://www.youtube.com/watch?v=sMp_K2z037E
عند الدخول إليه الوندوز يشغل البرامج الضرورية فقط
يعني لايشغل السرف (99%)
و هكذا يمكنك الحذف كما شئت
رابع شي واخيرا استعمل البرنامج هذا وشرح مفصل عليه
تحت
# ايـقـونه الـبرنامج
# تـوافـق الـبرنامج
# شـرح تـثـبـيـت الـبـرنـامج
# الآن سوف يـقوم بـتـحديث قـاعدة الـبيآنآت ~
# تـم تـحديث قـاعده الـبيانات بـنـجاح ~
# وآجـهـة آلبـرنـامج ~
# كـمآ ترون انا البرنامج مُفعل لـدي لأني مسـطـبه مـن قـبـل
# لـكن للذين يسطبوه اول مـره سوف يظهر لديكم زر بأسم التسجيل
# آضـغـطو عـليـه سـوف يـطـلب مـنـك (ID + Key)
Id : 8EL87
Key : K930-2MJH-2MWX-MUAP
___________________________
# آثـبآت تفعيل النـسخه من (Trial) آلى (Pro)
# آلآن شـرح خـصـآئـص آلـبرنامج ~
___________________________
نــأتي آولا الى وحده الفـحص ~
# وظـيـفته / عـمـل فـحص سـريع مـن الـبرامج الـضآره ~~
# وظـيـفته / عـمل فـحـص كـآمـل لـجمـيع النظـام او اختيار اي قرص (وأنصح به) ~~
# وظـيـفته / عـمـل فـحـص خـآطـف هـذي الـخآصيه مـتوفره فقـط للذي فـعـلو البرنامج ونحـن قـمـنآ بتفعيله بنـجـآح ~~
# آلأن خـصـأئـص وحـده الـحمـايه ~~
# نـقـوم بـأبقـآء الاعـدادات كـمآ هـي ~~
# آلأن وحده العزل وظـيـفتهـا تقوم بعـزل كـافه الـتـهديدات والـبرامج الـخبيثه
الـتي تـم العـثور عليـهآ ~~
# آلآن وحـده آلسـجلآت وهـي لأظهار نتـائج الـفـحص الـتي قـمت بعـملهـآ ~~
#
# آلأن وحـده قـآئـمه الـتـجـاهل وتتضمن الـمواد التـي تـم تـجاهلها مـن قـبل وحـده الـحمـآيه ~~
#
/#ui وو
# الآن اعدادات الـبرنـامج لـتـخـصيص السـلوك نـقوم بأبقـائهـا كـما هـي ~~
# آلأن خـيـآر أدوات اخـرى ضـمـن شـركه الـبرنـامج
.
# آلآن نـأتي آلى كـيـفيه فحص النظام والتعامل مع الفيروسات وحذفـهآ ~~
# نـقـوم بـتحديد خـيـآر فـحص كـآمل والضغط على فـحـص ~~
# سـوف يـظـهر لنـا اخـتيـآر الاقـراص لفـحـصـهآ ~~
# نـقـوم مـثـلآ بـأختيار الـقـرص C ~~
(عـلـمآ ان جمـيع الباتشات والفيروسات وملفات التجسس تنزل في القرص C)
# كـمـآ تـرون الـبرنـامج بـدأ بـالفحـص والـبـحـث عـن المـلفات الـضاره ~~
# آذا أردنـآ انـهـآء الـفـحص نـقوم بـالـضغط علـى آنهـآء الـفحـص ~~
# ثــم [Yes]
# واذآ آردنـآ توقيـف الـفـحص مؤقـتآ نـضـغـط علـى ~~
# كـمـآ تـرون تـم ايـقـأف الـفـحـص مؤقـتـآ ~~
.
# ولأعـاده اكـمال الـفـحـص نـضـغط عـلى [إستئناف الفحص] ~~
# عـنـد آكـمآل الـفـحص تـظـهر لنـآ رسـاله تـقـول لـنـآ آكـتـمل آلـفـحص ~~
# كـمـآ تـرون تـم آيـجآد كـآئـنـآت مُصـابه [4] ~~
# لأظهـآر الـفـيروسـات نـضـغط عـلى ~~
# كـمـآ تـرون تـم آظـهـآر الـنـتـآئـج ~~
.
# لـحـذف الـفـيـروسات نـضـغـط عـلى ~~
# كـمـآ تـرون ظـهـرت لـنـآ رسـاله بـأن تـم أزالـتـهآ بـنـجـاح ~~
# الآن نـذهـب آلـى وحـده الـعـزل ~~
# وحـده الـعـزل هـي :-
# وحده لعزل الفيروسات التي تم اصطيادها وتستطيع التحكم بهـآ
# آذا اردت حذفهآ تضغط على [حـذف الـكـل] ~~
# واذآ آردت آسترجـاعـهآ تـضـغـط عـلـى [إستعاده الكل] ~~
# كـمـآ تـرون هـذي هـي الـكـائنـآت المُصـابه ~~
# لـحـذفـهـآ نـضـغـط عـلى ~~
# تـم حـذفـهآ الـفـيروسـات بنجـاح ~~
# ولـفـحص بـرنامج مُعين نـضـغط كلـك يـمـين على الـبـرنامج ثـم ~~
# آلآن لـتـحمـيل الـبـرنـامج مـع سـريـال التـفـعـيـل ~~
http://www.gulfup.com/?Gsywvw
اي سوال او استفسار لايردكم الا الكيبورد
وان شاء الله اشوفكم بموضوع احسن من هذا
رد مع اقتباس
