يجب أن نؤكد بداية أن ما سنشرحه داخل هذا القسم ليس من الضروريات في عملية الحماية , ولكن قد تحتاجه للقضاء على بعض أطفال الهاكرز الذين ينشرون سمومهم داخل المنتديات العربية والمواقع المحترمة .
ما سيتم شرحه بخصوص تدمير المخترق بعض الطرق المستخدمة في كشف الحساب الخاص به , ومن ثم إرسال هذا الحساب للشركة الأم والتي بدورها ستقوم بإغلاقه فورا وهذا الأمر سيفقده جميع ضحاياه الذين جمعهم .
هناك بعض العمليات المبتكرة الآن والتي يتم من خلالها اختراق أطفال الهاكرز عبر التروجان الخاص بهم , ولكنها طرق معقدة لن نشغل المستخدم العادي بتعلمها لأنها أساساً عملية غير مهمة له .
الهوست :
هو العنوان الذي يتم إنشاؤه بواسطة الهاكرز بهدف اتصال ضحاياهم به , وذلك لأن الآي بي يتغير في كل مرة ندخل فيها الانترنت , وحتى نفهم هذه الآلية نشرح آلية الاتصال بالهاكرز حديثاً .
تم ابتكار طريقة الاتصال العكسي من قبل الهاكرز , وذلك للحفاظ على الضحية المخترق حتى بعد الاتصال بآي بي آخر , بمعنى لو فصلت الراوتر وأعدت تشغيله سيتم إعطائك آي بي جديد من شركة الانترنت , ونفس الحال عند الهاكرز .
لذلك ابتكر الهاكرز طريقة الاتصال العكسي , والتي يتم بواسطتها اتصال الجهاز الضحية بجهاز الهاكرز وليس العكس , بمعنى عند تشغيل تروجان داخل جهاز أحد ما سيحدث التالي :
أولا : سيفتح التروجان بوابة لاستخدامها في عملية التجسس من قبل المخترق .
ثانيا : سيرسل للمخترق مكان تواجده بالتحديد على عنوان يتم برمجته داخله يعرف بالهوست .
ثالثا : تلقائياً يظهر جهاز الضحية داخل برنامج الاختراق عند الهاكرز , وتعرف هذه العلمية بالاتصال العكسي , فبدلا من أن يتم اتصال الهاكرز بأجهزة الضحايا , تتصل أجهزة الضحايا بأجهزة الهاكرز .
تبدأ أولى أساليب المعرفة بالبرامج التي توفر لنا تتبعاً للاتصالات ففي طبقات الحماية ذكرنا وجوب تواجد جدار ناري , وفي حال تشغيل تروجان سيظهر لك الجدار الناري رسالة تخبرك بأن برنامج كذا ( حسب دمج الهاكرز ) يحاول الاتصال بالهوست كذا ( حسب الهوست الخاص به )
غالباً أطفال الهاكرز يكون الهوست الخاص بهم كالتالي :
xxxxxx.no-ip.com
مع التعويض عن xxxxxx بالذي اختاره عند صناعة العنوان الخاص به .
طبعا قد يختلف الهوست حسب ذكاء المخترق , يجب أن تميز بين المواقع والهوستات أغلب هذه الهوستات تكون متصلة بشركات عالمية تقدم خدمة الهوست المجاني , إلا أن المخترق قد يستخدم تكنولوجيات أخرى كثيره .
ولكن لو كان المخترق طفلا من أطفال الهاكرز واستطعنا الوصول للهوست بالطرق التي سيتم شرحها لاحقاً أيضاُ سيتم إرسال رسالة إلى الشركة التي أنشأ هذا الهاكر الهوست الخاص به , وعليه ستقوم الشركة بإغلاق هذا الهوست بالكامل فوراً .
طرق أخرى لمعرفة الهوست ::
شرح برنامج Process Hacker
برنامج لمراقبة العمليات والاتصالات والخدمات داخل جهازك , بمعنى أنه شامل ومميز جدا في عملية الرقابة المستمرة والتي يجب أن تنتبه باستمرار لها , يظهر لك معلومات مفصلة جداً عن كل البرامج العاملة , هذا بالإضافة إلى قائمة تظهر لك الاتصالات الموجودة وتتبع لأي برنامج بالضبط , هذا والكثير مما سيتم شرحه من خلال الصور التالية , ولكن لن نشرح إلا ما يهمنا فقط لأن البرنامج ضخم جداً ويحتوي على كثير من الأدوات ,
نتابع الصور ::
هذه هي الواجهة الرئيسية للبرنامج المميز , وهو مجاني يتم تحميله من الموقع الرسمي , وسيتم في قائمة المراجع وضع جميع وصلات البرامج بإذن الله .
1 – Processes: وهي قائمة العلميات أو البرامج التي تعمل بالفعل الآن داخل النظام .
2 – Services: وهي قائمة الخدمات , وهي قائمة غير مهمة لأن الهاكرز نادراً ما يدمجون التروجان بخدمة تعمل على الجهاز الشخصي .
3 – Network:وهي القائمة المهمة الثانية بعد قائمة البرامج وقد تستخدمها في مراقبة الاتصال وتستغني عن برنامج TcpEye
عند تشغيل أي برنامج يظهر في هذه القائمة , وعند الضغط عليه بالزر الأيمن تظهر خيارات التعامل مع البرنامج كالتالي :
1 – Terminate: إيقاف العملية , إغلاق البرنامج .
2 – Terminate Tree : إيقاف العملية بكافة ما تتبع .
3 – Suspend: تجميد العملية .
4 – Resume: إعادة تشغيل العملية بعد تجميدها .
5 – Restart: إغلاق البرنامج ومن ثم إعادة تشغيله .
6 – Miscellaneous : تحليل متقدم للبرنامج المستهدف .
7 – Priority: قيمة البرنامج من أداء النظام , تستطيع زيادة أداء بعض البرنامج لتسريعهم .
8 – Properties: خواص البرنامج .
9 – Copy: نسخ البرنامج .
ملاحظات هامة و طرق اكتشاف التروجانات
أغلق المتصفح الخاص بك , وإذا وجدته من ضمن القائمة فتأكد احتواء جهازك على تروجان و الماسنجر كذلك .
غالباً ستجد التروجان قد تم دمجه في المتصفح iexplore.exe
إذا قمت بعمل Terminate لعملية برنامج متصفح الانترنت أو أي برنامج آخر وأعادت تشغيل نفسها تلقائيا فاعلم انك حتما مخترق بـ تروجان .
حاول أن تغلق جميع البرامج تحت قائمة Explorer.exe
أي مستكشف الويندوز داخل ويندوز XP تحديداً , وإذا وجدت برنامجا يعيد تشغيل نفسه فأغلق الانترنت فوراً .
عند عدم تمكنك من تتبع البرامج بشكل جيد , اذهب لقائمة Network لتراقب الشبكة الخاصة بك , وتتعرف على ما يحدث الآن من تبادل للاتصال بينك وبين عالم الانترنت , ويعطيك البرنامج إمكانية إيقاف أي عملية أو أي اتصال كما سنرى في هذه الصورة التالية :
طبعا كما هو ظاهر أمامنا صورة البرنامج المستخدم للاتصال مع الآي بي الذي تم الاتصال به , هذا بالإضافة إلى معلومات عن بورت الاتصال وحالته , كما هو الحال في درس مراقبة الاتصالات .
تستطيع من خلال الضغط بالزر الأيمن على الاتصال المستهدف وظهور الخيارات في الصورة التالية عمل ما يلي :
Go to Process بمعنى اذهب إلى العملية أو البرنامج الذي يستخدم هذا الاتصال , وهو في هذه الحالة برنامج FireFox
Copy تستطيع نسخ الآي بي ووضعه في المتصفح لمعلومات أكثر من خلال المواقع التي تظهر معلومات عن الآي بي .
في حال مراقبة الاتصالات ستجد آي بي المخترق أو الهوست الذي يستخدمه في برنامج Process Hacker
برنامج HeapMemView
برنامج مميز يتم من خلاله تحليل البرامج المدموجة دون اتصال إنترنت من أجل الوصول إلى الهوست , وتتم هذه الطريقة كالتالي :
نغلق جميع البرامج , وخصوصاً متصفحات الانترنت و الماسنجر .
نقوم بإيقاف الانترنت .
نشغل برنامج Process Hacker
نشغل البرنامج المشكوك في أمره .
غالباً سيتم ظهور المتصفح في قائمة البرامج العاملة , مع أنك أغلقته سابقاًُ .
إن لم يظهر سيظهر أي برنامج باسم غريب أو جديد .
نفتح برنامج HeapMemView فتظهر القائمة التالية :
هذه هي الواجهة الرئيسية ستظهر قائمة Select Process
وتعني اختر عملية لتحليلها نؤكد على ضرورة إغلاق الانترنت , والتجريب على النظام الوهمي .
نختار العملية المشكوك فيها , ومن ثم يتابع البرنامج كالتالي ::
نستمر في قراءة الأسطر تنازلياً حتى نحصل على شبيه ما سبق , ملفتين عناية الإخوة والأخوات من يقرأ هذا الموضوع , أن النسخة التي أنزلها الأخ صاحب هذا الهوست في إحدى المنتديات التعليمية للهاكرز ملغومة وللأسف الشديد لذا أرجو رجاءا حاراً من الجميع في المنتديات بشكل عام أن لا يثق كثيرا بأحد , فقط اقرأ الشرح أما إذا أردت تحميل أي برنامج فانظر في النصائح التي سأضعها في درس في نهاية هذا الكتاب .
علماً بأن هذه الصورة تم سحبها من شرح فيديو للأخ الموهوب في إحدى المنتديات وكما ذكرنا كان البرنامج مدموجاً .
بعد حصولنا على الهوست الظاهر كالذي يظهر في الصورة السابقة نرسله إلى الايميل التالي مع نص الرسالة , مثلا سنطبق على الهوست السابق في الصورة::
البريد المرسل إليه : abuse@no-ip.com
In this client No-IP : mohob-HKR_google.no-ip.info
This client is used for Hacking
please punish this client
This client is used for Hacking
please punish this client
I believe that you will take care about this problem
Thanks team NO-IP
Thanks team NO-IP
ليست هناك تعليقات:
إرسال تعليق
شكراً لك ,, Thank You