كيف تتجنب حيل الهكر

[size=12]وأنا وضعت الموضوع للفايدة عشان تعرفوا الهكر وتعرفوا كيف كيف تنتبهوا منهم

( (حيل الهاكر))

إشارة لا بد منها ، المرجو التعامل مع هذه الدروس بنوع من الحيطة و شكرا ،

إن الاتصال بين أي جهاز كمبيوتر وآخر يتم عبر منفذ اتصال لكل جهاز
ولايعتقد البعض أن هذا المنفذ مادي ( أي أنه باستطاعته أن يراه أو يلمسه
مثل منفذ الطابعة أوالفأرة) ولكنه جزء من الذاكرة له عنوان معين يتعرف
عليه الجهاز بأنه منطقة يتم إرسال واستقبال البيانات عليها . ويمكن
إستخدام عدد كبير من المنافذ للاتصال وعددها يقارب من 65000 منفذ تقريبا (
وتزيد قليلا ) يميز كل منفذ عن الآخر رقمه فمثلا المنفذ رقم 1001 يمكن
إجراء اتصال عن طريقه وفي نفس اللحظة يتم استخدام المنفذ رقم 1002 لإجراء
الاتصال . ومع ظهور شبكة الانترنت تطورت البرامج التي يتم استخدامها في
الاتصال بين أجهزة الحاسب الشخصي سلبا وإيجابا ولكن هذه البرامج اكتسبت
الشهرة عند استخدامها في المجالات التي تعتبر سلبا( غير متوافقة مع
القوانين التشريعية) على المجتمع .

1الاتصال بين جهازين:

للاتصال بين جهازين لابد من توفر برنامج لكل من الجهازين و يوجد نوعان من
البرامج ففي جهاز ( المستهدف قد يكون جهازك ) يوجد برنامج الخادم (serveur
) وفي الجهاز الأخر يوجد برنامج المستفيد ( client ). ومن خلالهما يتم
تبادل المعلومات حسب قوة البرنامج الذي بإمكانه الاطلاع على جميع البيانات
الموجودة في جهازك والتحكم بنظام التشغيل لديك ( إلى درجة أن بعضها يمكن
ان يفتح سواقة قرص الليزر ويقفلها وبإمكانها اخذ لقطة ( صورة ) لشاشة
الجهاز لديك تحوي صورة كاملة لوضع الشاشة في لحظة تنفيذ الأمر وبالإمكان
عرض جميع ملفاتك وسحب أو إلغاء أو إضافة .

مثال على اخذ لقطة للشاشة ( تم ضغط الصورة من اجل تسريع الصفحة)

لعمل لقطه لجهازك اضغط على مفتاح (Print Screen SysRq ) في أعلى لوحة
المفاتيح بعد (F12) فتكون قد حفظت صوره للشاشة وضعت في الحافظة ويمكنك فتح
أي برنامج رسم أو ورد 97 ثم اعمل لصق لمحتويات الحافظة ( أو اضغط Ctrl +
V) لتعرف إلى أي مدى يمكن أن يكون جهازك مكشوف للآخرين .

2ولكن كيف تصلك هذه البرامج وتعمل دون علم منك ؟

تصلك هذه البرامج عبر عدة طرق وأساسها شبكة الانترنت فمن الممكن سحب أي من
هذه البرامج وإيصالها لك عبر البريد الالكتروني أو ضمن برنامج تنفيذي ذو
عنوان مميز ( حسب اهتماماتك ) وعند تنفيذه فتكون قد نفذت هذا البرنامج
وضعته داخل جهازك دون أن تقصد ويعمل في الخفاء ويكون في انتظار الأوامر من
الجهاز الأخر. وتسمى هذه البرامج بتروجان trojan ويطلق على من يستخدمها
المتسللون أو المخترقون hacker

يسمع الكثير عنا بما يسمى بالها كرز ..أو مخترقي الاجهزه ويتساءل كيف يتم ذلك وهل هو بالأمر البسيط أم أن الأمر يحتاج لدراسة وجهدا .

وفى الحقيقة انه مع انتشار برامج القرصنة وجودها في الكثير من المواقع
أصبح من الممكن حتى لمن يجهل الكثير من الأمور في الاختراق أن يخترق جهازا
وبدون (أيب) عناء..ويتم ذلك عن طريق إنزال احد تلك البرامج واستخدامها .

ولاكن يجهل الكثير جدا من مستخدمي تلك البرامج انه أصبح عرضه أكثر من غيره
بالإصابة بالفيروسات وملفات التجسس فالكثير منها إما أن يحتوى على ملفات
للتجسس أدخلت في البرنامج أو احد تلك الفيروسات الخطيرة والتي لا تعمل على
الفولر وإنما تعمل أو تنشط في تاريخ معين من ألسنه أو الشهر .. كفيروس
تشرنوبيل.

3ماهو برنامج القرصنة :

البرنامج أو معظم برامج القرصنة تستخدم نوعين من الملفات أو البرامج وهما :

Client.exe

Server.exe

والمقصود بكلمه كلينت اى العميل ..أما السير فر فترجمته..الخادم .. وتندرج كل تلك الملفات تحت اسم Torjan …

ويعمل السير فر أو الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من
الدخول منها .. والمقصود هنا فتح ثغره (أي بورت) ولنأخذ على سبيل المثال
برنامج( النت باص ..) فعند أصابت جهازك بملف السير فر أو الخادم فانه وعلى
الفور يقم بفتح البورت 12345 في جهازك لكي يتمكن العميل من الدخول إليك ..

4هل يمكن اختراق جهازك بدون ملف باتش أو سيرفر :

في الحقيقة أن الاختراق يعتمد على ما يسمى( بالريموت Remote) أي السيطرة
عن بعد .. ولكي تتم العملية لا بد من وجود شيئين مهمين .. الأول البرنامج
المسيطر وهو العميل .. والأخر الخادم الذي يقم بتسهيل العملية ..

ولنفرض أن شخصا ما لديه برنامج النت باص أو ديب ثروت ..ويود اختراق جهازك
.. أولا عليه أن يدخل رقم( الأيبى) الخاص بك .. ثم عمل اتصال .. ولاكنه لن
يستطيع ذلك لعدم وجود عامل مساعد فى جهازك يقم باستقبال الامر .. لان
العميل سوف يذهب الى الاى بى الخاص بك ويبحث عن البورت 12345 فلا يجده
..عندها لا يمكن الاتصال ..

ولاكن لو أن جهازك مصاب بالخادم أو( السير فر) فان( العميل )حينما يتجه
إلى جهازك سوف يجد( البورت) مفتوحا أمامه وعندها يمكن الدخول ..

5اذ كيف أصيب بالملف؟ وأهم طرق الوقاية من ملفات التجسس؟ :

فى الحقيقه إن طرق الاصابة بملف التجسس أو (السيرفر) محدودة .. وتعتبر أشهرها أو أشهر طرق الإصابة بها :

أولا : إما أن ترسل إليك بطريق الاميل

ثانيا : إذا كنت من مستخدمي برنامج الاسكيو أو برامج التشات وأرسل لك ملف فقد يكن مصابا بملف تجسس أو حتى فيروس ..

ثالثا : عندما تقم بإنزال برنامج من احد المواقع الغير موثوق بها وهى في
الحقيقة كثيرة جدا .. فقد يكون البرنامج مصاب إما بملف تجسس أو فيروس

6الوقاية تكن بإتباع الاتى :

نصائح لتجنب الفيروسات

أولا و قبل كل شئ ركب برنامج للحماية من الفيروسات

من متصفحك أوقف تشغيل الجافا و( الأكتف إكس) لأنها تدخل إلى نظامك.

شغل حماية MBR BIOS إذا توافرت لديك

7في برنامج Ms Office اطفأ نظام المايكرو. ففي الغالب مادام استخدامك شخصي لن تحتاجه.

لا تحمل برامج من أي موقع و من مواقع لا تعرفها ماعدا الشركات الموثوق بها.

لا تفتح أي ملف مرفق بالبريد ما دامت من مصدر لا تعرفه.

إذا كنت تستخدم برنامج للبريد الالكتروني أوقف استخدام لغة html في الرسائل .

استخدم برامج لا تدعم نظام التشغيل التلقائي.

أصعب خطوة .. إذا أمكن غير نظامك من الويندوز إلى Linux

فنظامها الأمني أفضل و عدد الفيروسات فيها اقل.

8البريد الالكتروني الآمن

9غير رقمك السري باستمرار:

تأكد من تغيير رقمك السري باستمرار..تأكد من استخدام أرقام سرية قوية بان
يتكون الرقم السري من أرقام و حروف معا و يتكون من 8 عناصر على الأقل حتى
يصعب كسره.

لاتعطي رقمك السري لأي كان:

تأكد من أن لا تعطي أي شخص كان رقمك السري .. حتى لو وصلتك رسالة من مقدم
بريدك تطلب منك إرسال رقمك السري.. مثلا لو كان لديك بريد على شركة
الهوتميل وصلتك رسالة من جهة تدعي أنها إدارة الهوتميل تطلب منك إرسال
الرقم السري لهم .. لا ترسل في أي حال من الأحوال فإن الشركة المقدمة لن
تطلب منك ذلك أبدا و هي حيلة قديمة لاستغفالك و اخذ رقمك السري.

لا تفتح أي ملف مرفق من أي كان:

لا تفتح أي ملف مرفق من أي كان حتى لو كان من صديقك لا تفتحه إذا لم يكن هناك وصف أو شرح لنوعية الملف المرفق أو لم تكن تعلم ما هو.

تأكد دائما من الخروج من بريدك باختيار LogOut فهذا قد يجعل اقتحام بريدك صعب جدا و مقتصر على المحترفين.

كما تأكد من إغلاق المتصفح بعد الخروج من البريد خاصة لو كنت تطالع بريدك من خارج منزلك أو من مقهى الانترنيت.

لا ترد على الرسالة التي تأتيك بغرض الدعاية أو التي تدعوك لمواقع إباحية مثلا Spam :

فهذا يدلهم على انه بريد ما زال قيد الاستخدام و سيعرضك لمضايقات أكثر .
توجد في بعض أنواع البريد المقدمة ما يسمى الفلتر Filter حيث يمكنك أن
تعطي أسماء العناوين التي لا تريد استقبال بريد منهم .

كما هناك لدى الشركة مقدمة الخدمة عنوان بريد لتشكوهم و هو في الغالب يكون باسم ABUSE@(مقدم الخدمة) . كما يمكنك إرسال شكوتك إلى [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] Federal Trade Commission مفوضية التجارة الفدرالية.. لإبلاغهم.

10كن ذكيا :

أنا متأكد من أنك كذلك ..و لكن على تنبيهك على أي حال في الغالب يطلب منك
عند تسجيل بريدك سؤال حتى يتمكن النظام من تذكيرك برقمك السري عند فقدانه
. قد يقوم البعض بوضع سؤال كالتالي.. Where do Ilive مثلا أي أعيش و أي
شخص تعرفت عليه مثلا في موقع حوار قد يعرف هذه المعلومة ..و سيصله رقمك
السري و يدخل بريدك بسهولة. تأكد من وضع سؤال غريب و جواب أغرب..

11جدد دائما :

لو كنت تستخدم برنامج لاستقبال البريد الالكتروني تأكد دائما من تجديد برنامجك و تطويره حتى تكون كل إجراءات الأمن بحوزتك.

أين يختبئ ملف التجسس في جهازك :

عندما تصاب بأحد تلك الملفات فمعظمها أو اغلبها يتجه وعلى الفور إلى ما
يسمى Registry أو الريجسترى .. لماذا لأنه عند كل مره تقم بتشغيل الوندوز
فان النظام يقم بتشغيل البرامج المساعدة والتي موجودة في الريجسترى .. مثل
برامج الفيروسات الاسكيو .. وغيرها .. فيقم النظام أيضا بتشغيل ملف التجسس
معها ..

12طرق اكتشاف أو البحث عن ملفات التجسس :

توجد أكثر من طريقه لاكتشاف ملفات التجسس ولاكن سوف نذكر أشهر ثلاث طرق

أولا : البحث داخل ملف الريجسترى .. اتجه إلى START أو كلمه أبدا إذا كنت
تستخدم الوندوز العربي .. ثم اضغط على RUN وعند ظهور الشاشة اكتب الأمر :
regedit كما هو مبين في الرسم .

ثم اضغط على اوكى OK عندها سوف تظهر لك شاشه الريجسترى … سوف اكتب الخطوات بالترتيب ثم ندعمها بالرسم ..اتبع الخطوات بالترتيب :

اختر من الملفات : HKEY_LOCAL_MACHINE

ثم : software

ثم : Microsofte

ثم : Windows

ثم : Current Version

ثم : Run ملاحظه في بعض الأحيان تجد أكثر من Run مثال سوف تجد

Run once أو Run Service كل ما عليك أن تبحث بها كلها

عندما تضغط على Run سوف تظهر على يمينك شاشه الريجسترى وبها أوامر
الريجسترى وأسماء امتداد ملفات تعمل مع الوندوز … ابحث عن أي ملف غريب
مثال patch.exe أو Explo32

وغيرها … وعندما تجد احد تلك الملفات فقم بمسحه ..

ملاحظه : سوف تجد ملفات تدلك على طرق مسح واكتشاف أشهر ملفات التجسس اتبع
التعليمات بدقه .. وعندما نقول امسح الملف ..يمكنك عمل ذلك بوضع مؤشر
الفأرة على الملف والضغط على زرا لفأرة الأيمن وعندما تفتح الشاشة الصغيرة
اختر منها الأمر احذف Delete

والآن لنعرف أكثر ما قمنا بعمله أعلاه سوف نعرض لك نفس الخطوات التي تحدثنا عنها في الأعلى :

________________________________________

ابحث عن أي ملف غريب أو ملف تجسس داخل هذه الشاشة..

13الطريقة الثانية:

سوف نبحث عن الملفات داخل ما يسمى : msconfig

اتجه إلى .. START ثم الأمر RUN وفى الخانة اكتب الأمر الآتي : mscconfig

سوف تظهر لك شاشه وفى أعلاها عده أوامر اختر الأمر : Startup عندها سوف
تظهر لك شاشه وبها مربعات وكل مربع به علامة الصح … ولاكن من هذه الشاشة
يمكنك إلغاء عمل أي برنامج وليس حذفه.. ويمكنك الاستفادة منها في أمور
أخرى .. فمثلا لديك احد البرامج التي تعمل كلما شغلت الوندوز وأنت لا
تستخدمه ألا في أحيان قليله جدا ولا تود أن يعمل كلما قمت بتشغيل الجهاز
.. ما عليك سوى التوجه إلى الشاشة وإزالة العلامة من المربع وعندما تود
استخدام البرنامج مره أخرى قم بإعادة العلامة إلى مكانها وشغل الجهاز مره
أخرى .. والآن لنعد إلى موضوعنا ابحث في الشاشة على أي ملف غريب أو تشك به
.. إن وجدت أي ملف قم بتعطيله بإزالة العلامة من المربع واتجه إلى
الريجسترى وقم بحذفه .. والآن سوف نستعرض الأمر بالصور وبالترتيب :

14الطريقة الثالثة :

تعتبر هذه الطريقة أسهل الطرق .. وتستخدم عاده لكشف الباتش فايل عن طريق استخدام الدوس ..

اذهب إلى الدوس ثم اكتب الأمر : C:\Windows\ dirpatch.*

إذا وجدت ملف الباتش قم بمسح بالأمر الاتي : C:\Windows\ deletepatch.*

من قائمة إبدأ اختار ( تشغيل ) .

عند ظهور صندوق الحوار الخاص بتنفيذ الأوامر أكتب COMMAND.

سيظهر لك إطار نظام التشغيل دوس ثم داخل الإطار وعند خانة المؤشر أكتب netstat -a ثم إضغط enter .

عند تنفيذ الخطوة السابقة سيتم عرض جميع المنافذ المفتوحة وهي التي تلي
الرمز ( أما ماقبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند
تجهيز شبكة الاتصال . وهي كما في الشكل التالي :

لاحظ أرقام المنافذ المفتوحة ( 135 ، 1025 )

ثم مقارنة أرقام المنافذ التي ظهرت مع أرقام المنافذ التي ذكرت في صفحة
منافذ المخترقون فإذا كانت من ضمنها فان جهازك يحوي احد البرامج التي تمكن
المخترقون الدخول إلى جهازك ويطلع على مايشاء ويضيف مايشاء .

نموذج لبيانات جهاز يحوي برامج خاصة بالمتسللين وذلك بمقارنة المنافذ المفتوحة

لاحظ المنافذ ( 6670 ، 12345 ) تجدها ضمن منافذ المخترقون

الخطوات المتبعة عند إصابة جهازك بأحد البرامج الخاصة المخترقون (المتسللين )

قطع الاتصال بالشبكة .

إستخدم احد البرامج الخاصة بإزالة هذه النوعية من البرامج مثال the
cleaner ، نورتن انتي فايرس 2006 والذي يعتبر احدث نسخه من برامج الكشف
على برامج الفيروسات والتراجون .

إعادة تشغيل الجهاز ومن ثم عمل فحص للجهاز مرة أخرى قبل الاتصال .

يمكن الاتصال بأحد زملاؤك ذوي الخبرة ممن تثق فيهم لاطلاعك الأماكن التي يمكنك حذف هذه البرامج في حالة عدم توفر برامج الفحص .

من المفضل استخدام برامج الحماية التي تمنع المتسللين من الدخول ومن أشهرها Jammer أو Lockdown2000

صدق أو لاتصدق

اتهام شركة مايكروسوفت بأنها قامت بزرع احد البرامج المشابهة للتروجان ضمن
منتجاتها من ويندوز 98 ويندوز 95 وذلك لصالح وكالة الاستخبارات الأمريكية
أي انه( إذا صدقت ) ممكن أن يكون احد العاملين هناك يطلع على جهازك الآن.
ولكن هل أنت المقصود ؟

________________________________________

عندما تتصل بالانترنت ولا تستطيع ذلك .. وتكتشف فجأة بعد الاتصال

بمزود الخدمة لك بان ساعاتك قد انتهت رغم تأكدك من عدم استخدامها جميعا

فلا تستغرب فالأمر ببساطه كما يلي :

استطاع احد مخترقي الأجهزة سرقه الاسم والباص ورد الخاص بك واستخدم

ساعاتك مجانا وبدون علمك .. فمعظم برامج الاختراق مزوده بأسلحة فتاكة

تستطيع الحصول على الأرقام السرية لجهازك وبكل بساطه ..

ولتعرف كيف تتم العملية سوف تجد برنامج ملحق باسم .. افتح ياسمسم واسمه

الأصلي هو :

LPH

قم بإنزال البرنامج ثم اكتشف ما يستطيع الهاكرز الحصول عليه من جهازك بضغطه

زر … وسوف تفاجأ بالنتيجة ..

والآن بعد التجربة .. قم بعمل الآتي لتجنب الأمر من الحدوث مره أخرى

أولا ::: اتجه إلى أي كمبيوتر واطلب الأمر( دايل اب نت ورك.) شبكة الاتصال

وعند فتح الملف قم بإلغاء المعلومات جميعها بالأمر :

Delete

ثم قم بمسح جميع المعلومات من الاكسبلور .. (( فقط اسم المستخدم والباص ورد

ثم اعد تشغيل الجهاز ..

بعدها .. اتجه مره أخرى إلى أي كمبيوتر .. واطلب شبكة الاتصال .. ثم اطلب إضافة

.. ادخل البيانات كالآتي :

ادخل الاسم …

ادخل الباص ورد (( لا تضغط ولا تستخدم الأمر .. احفظ كلمه المرور))

Do not Ask for (( Save password))

لماذا لكي لا يحتفظ المتصفح بكلمه المرور … وما عليك إلا إدخالها في كل مره تود

15الاتصال بالانترنت …

الخيار الثاني .. ان تقم باضافه الكثير من شبكات الاتصال كالاتى :

اتجه الى أي كمبيوتر واطلب شبكة الاتصال ثم اطلب اضافة .. وقم بتعبئه المعلومات

وعندما تصل الى كلمه المرور (( الباص ورد )) اختر باص ورد غير حقيقى ..

كرر العمليه كامله عده مرات (( لا تقل عن عشر مرات )) لماذا لانه عند
دخولأي مخترق إلى جهازك فسوف يجن ولا يعرف ايهم كلمة المرور او الباص ورد..

ملاحظه :

لزيادة درجه الأمان لا تطلب من المتصفح بحفظ الباص ورد الخاص بك في أي موقع

مثال .. الهوت ميل ..

والآن بعد أن عدلت المعلومات الخاصة بك جرب نفس البرنامج الذي استخدمته للكشف عن أرقامك السرية ..وسوف ترى الفرق..

أرجو لكم الفائدة..

16كيف تتعرف على رقم الاى بى الخاص بك ((IP)) :

يسال الكثير كيف يمكن لي معرفه الاى بى الخاص بى .. وقد قرأت أن الكثير
يستخدم برامج لمعرفة ذلك … مع العلم بان اللأمر سهل وموجود فى النظام
وبدون استخدام ي برنامج وكل ما عليك هو اتباع الاتى :

عندما تكن متصلا بالانترنت اتجه الى … ابدا (( START )) ثم اختر الامر .. رن

(( RUN )) واكتب الامر الاتى : winipcfg

عندها سوف تظهر لك شاشه تبين معلومات ومنها رقم( الأي بى) الخاص بك ..

COOKIES17

الكوكز :

تستخدم معظم المواقع نظام أو برتكول الكوكز .. والفائده منه هو فى الحقيقه
تسريع الدخول الى المواقع .. ولاكن السبب الرئيسى فى وجوده هو الغايه
التجاريه .. فبهذا النظام تستطيع المواقع اخذ بعض البيانات الخاصه مثل ..
كم مره زرت بها الموقع .. ما نوع الجهاز المستخدم … بعض البرامج الموجوده
فى جهازك .. وتقم تلك المواقع بارسال ملف صغير الى الهارد دسك عن طريق
استخدام الكوكز .

والان لا باس فى الكوكز طالما انك تتجول فى مواقع معروفه ومشهوره .. ولاكن
يفضل ابطال فعلها او الطلب باخذ الاذن منك قبل استقبال او ارسال اى
معلومات .. فمثلا تود زياره مواقع الهاكرز او اى مواقع غير معروفه .. ما
عليك سوى اما ابطال مفعول الكوكز او طجلب اخذ الاذن منك .. اذا كنت من
مستخدمى اكسبلور 4 .. فاتجه الى : Internet option ومنها اختار الامر :
Advance وابحث عن الكوكز … سوف تجد تحت الكوكز ثلاث اوامر الاول القبول
المباشر .. والثانى طلب الاذن منك .. والثالث ابطال الكوكز .. فاختر ما
تحب …

اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى :

Security ومنها تجد الامر : Custom Level ومنها سوف تجد الكوكز فاختر ما تحب …

18اشهر برامج الهكارز و طرق التغلب عليها

1.18اسم الملف : Back Oriface

تعريف :

يعمل الملف على فتح نافذه خلفيه لجهازك ..مما يمكن مستخدمى برنامج الباك اورفز من اختراق جهازك باستخدام البورت رقم 3317

2.18التخلص من الملف :

يقم الملف بالاختباء فى الريجسترى فايل ( registry) ويمكن البحث عنه ((
ارجع لموضوع البحث عن ملفات التجسس داخل الريجسترى ) ..اتجه الى :

RUN..then type… regedit

HKEY_LOCAL_MACHINE + software + microsofte + windows + current Version + Run or Run once..

امتداد الملف هو : .EXE واسهل طريقه للتعرف عليه لان الاسم الخاص بالسيرفر
متغير .ز هو ان اسم الملف والامتداد بينهما مسافه .. مثال : server .exe

قم بمسح المف كاملا ..

ملاحظة :

بإمكان المخترق تغيير إسم الخادم من exe. إلى إسم أخر أحيانا يكون إسمه
Shell.exe لذا عندما تقوم بالبحث في مجلد ( Run Services ) في ملف التسجيل
إبحث عن أي إسم مثير للشك أو غريب عليك وانقر على إسمه مرتين وسوف يظهر لك
المكان الذي يتواجد به البرنامج ، توجه للمكان الذي يشير اليه ثم إذا وجدت
أن حجمه 123 أو 122 كيلو بايت فمن المحتمل جدا أن يكون هو الملف المطلوب

3.18ثانيا :Back Orific 2000

نظام التشغيل win 95 - win 98 - win Nt

الملف الخادم BO2K.EXE

حجم الملف الخادم ----

المنافذ التي يستخدمها 54320 - 54321

4.18التخلص منه :

- إضغط على إبدأ start ثم تشغيل

- إكتب في مربع التشغيل regedit لكي تدخل الى ملف التسجيل ثم إنقر على موافق Ok

- في الجهة اليمنى من ملف التسجيل إنقر على علامة + من أمام العبارات التالية :

HKEY_LOCAL_USERS

+Software

+ Microsoft

+ Windows

+ Current Version

- إنقر على المجلد Run services ، ثم إبحث في الجهة اليسرى من ملف التسجيل عن ملف إسمه Key:UMG32.exe

- أطفئ الجهاز وأعد تشغيله في وضع الأمان ( safe mode )

-حدد الملف بالماوس ثم أنقر بالزر الأيمن وأختر حذف ( delete )

- أعد تشغيل الجهاز

________________________________________

19نظرة عامة على برنامج NetBus

قام مبرمج سويدي يدعى كارل نيكتر أوائل عام 1998 بإصدار نسخة تعمل على
الويندوز 95/98 تسمى Net Bus والذي يتم تشغيله من خلال كمبيوتر ما بعيدا
عن الكمبيوتر الضحية.

ويعمل Net bus على أي جهاز قائم على نظام التشغيل ويندوز 95 أو 98 ولا
يعمل على نظام NT حتى الأن .. وما يزيد الأمر خطورة هو أن ال Patch الذي
يزرع في جهاز الضحية يمكن تسميته بأي إسم بواسطة الشخص الذي يريد وإن كان
من الممكن إكتشافة بسهولة وفي الأصل يتم طرح نسخة البرنامج الخادم تحت
مسمى "patch.exe" وذلك كملف منفصل ومستقل بذاته يتم طرحه مع ملف Net Bus
الأصلي ويمكن أيضا دمج البرنامج مع لعبة ما منتشرة على الإنترنت تسمى
(whackjob) وكذلك مع عدة برامج وألعاب أخرى ، حيث يتم تحميل البرنامج
الخادم داخل جهاز الضحية تلقائيا بمجرد تشغيل العبة على الحاسب

1.19إمكانيات برنامج Net Bus

ويسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية كالتالي :

1- يقوم بفتح وغلق باب سواقة الأقراص المدمجة (CD-Ram ) بصورة مفاجئة على جهاز الضحية

2- عرض صورة مفاجئة على جهاز الضحية

3- استبدال مفاتيح الماوس (mouse buttons) الأيمن والأيسر حيث يجعل المفتاح الأيسر يقوم بعمل المفتاح الأيمن والعكس ..

4- تشغيل برنامج معين بصورة مفاجئة

5- عزف اي ملف صوتي

6- وضع مؤشر الماوس في نطاق معين بالشاشة لا يستطيع المستخدم أن يتعداه

7- بل يمكن استخدام الماوس الخاص بجهاز الضحية عن بعد بواسطتك وكأنك أنت الموجود على الجهاز بدون سيطرة المستخدم الأصلي على ذلك

8- عرض رسالة ما على شاشة كمبيوتر الضحية والتي يستطيع المستخدم الرد عليها حيث تعود إليك مرة أخرى

9- يمكن أيضا إقفال وإعادة تشغيل جهاز الضحية

10-الذهاب الى موقع وب معين بواسطة متصفح الوب المستخدم

11- الكتابة عن البرنامج الذي يستخدمة المستخدم في حينه بدون سيطرة المستخدم نفسه

12- التجسس على المستخدم ورؤية أي كلمات يكتبها المستخدم على جهازه

13- التقاط صورة لسطح الكتب ( Desktop ) الخاص بجهز الضحية

14- إرسال معلومات عن كمبيوتر الضحية للشخص المتلصص

15- عرض محتويات القرص الصلب بالكامل من ملفات وبرامج

16- تحميل ( Download ) أي ملف من الكمبيوتر الضحية

17- وضع (upload ) أي ملف من جهاز الضحية ( من خلال هذه الخاصية يمكن تحديث الملف الخادم بنسخ احدث منه )

18- التحكم في علو وإنخفاض الصوت في جهاز الضحية

19- اذا كان متصلا بالجهاز أي ميكروفون ... فإنه يمكن تشغيل هذا الميكروفون للاستماع لأي حديث دائر بالغرفة

20- عمل صوت ما عند كل طرقة (CLICK) يقوم بها على لوحة المفاتيح

21- حذف أي ملف من على القرص الصلب أو حتى حذف محتويات القرص الصلب بالكامل

22- إلغاء وظيفة ( Disable ) مفاتيح معينة من على لوحة المفاتيح

23- إقفال اي نوافد او برامج مفتوحة

24- عرض البرامج المفتوحة التي يقوم المستخدم بإستخدامها في الوقت الحالي

25- إضافة كلمة مرور على الملف الخادم لكي تسمح فقط للمتلصص بالدخول على هذا الكمبيوتر دون سواه ممن يملكون برنامج Net Bus

كل هذه الوظائف يمكن لأي مستخدم لدية هذا البرنامج أو غيرة من برامج الباب
الخلفي مع إختلاف قدراتها أن يستخدمها على كمبيوتر الضحية المخزن به الملف
الخادم

اسم الملف : Net Bus Ver 1.6 & 1.7

تعريف :

الحقيقه ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر …

التخلص منه :

النت باص يستخدم الباتش سيرفر ويختبى فى الريجسترى ..وللتخلص منه اتبع الاتى :

يجب اولا اطفاء الجهاز وتشغيله فى وضعيت السيف مود : safe mode

اتجه للريجسترى ثم ابحث عن الملف الاتى :

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]\windows\patch.exe

ثم قم بمسحه واعد تشغيل الجهاز مره اخرى..

أولا : Netbus pro

تعد هذه الإصدارة أقوى من الإصدارت السابقة 1.6 و 1.7 وذلك لتوفر العديد
من المزايا في التحكم في جهاز الضحية وكذلك لقوة إدارة ملف السيرفر ( ملف
التجسس ) الخاص بالبرنامج

نظام التشغيل win 95 - win 98 - win Nt - win 2000

الملف الخادم عادة يكون NBsrv.exe

حجم الملف الخادم 599 Kb

المنافذ المستخدمة 20034

التخلص منه

- إضغط على إبدأ ثم تشغيل

- إكتب في مربع التشغيل regedit لكي تدخل الى ملف التسجيل ثم أنقر على موافق Ok

- في الجهة اليمنى من ملف التسجيل إنقر على علامة + من أمام العبارت التالية

+HKEY_LOCAL_MACHINE

+Software

+ Microsoft

+ Windows

+ Current Version

-إنقر على المجلد Run Services إبحث في الجهة اليسرى عن ملف إسمه NBsvr.exe

حدد الملف بالماوس ثم إنقر بالزر الأيمن وأختر حذف (delete)

_ أخرج من ملف التسجيل ثم إرجع اليه مرة أخرى وتتبع نفس التسلسل السابق من المجلد HKEY_CURRENT _USER

- ستجد تحت مجلد Current version مجلد إسمه NetBus Server حدده بالماوس ثم
إنقر بالزر الأيمن وأختر حذف ( delete ) ثم أخرج من ملف التسجيل

- إذهب الى مجلد النظام ( System ) ثم أحذف الملفات التالية :

NBsvr.exe و NBHelp.dll و log.txt

اسم الملف : Net Bus 2000

تعريف :

برنامج النت باص 2000 يستخدم السيرفر العادى وهو : server.exe ولاكن يمكن
تغير الاسم … وهو يسجل نفسه ولاكن غفى منطقه اخرى فى اليجسترى ..

التخلص منه :

للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من : HKEY_LOCAL_MACHIN اتجه الى : HKEY_LOCAL_USERS

ثم ابحث عن :

HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUNSERVICES\Key:UMG32.EXE

الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم
باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود ( Safe Mode) ثم تخلص من
الملف واعد تشغيل الجهاز..

اسم الملف : Heack’a Tack’a واسم السيرفر server.exe

تعريف :

يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجاده

التخلص من الملف :

يقم الملف او السيرفر بالاختباء فى ملف الريجسترى .. قم بالاتجاه الى
الريجسترى كما سبق وان شرحنا وعندما تصل الى : Run او Run once ابحث عن
الملف :

ان كنت مصاب بالملف سوف تجد الاتى فى ملف الريجسترى مع علمى الاكيد بان الكثير مصابين بهذا الملف :

Explorer32 "C/WINDOWS\Expl32.exe

قم بمسح الملف على الفور …

الاسم : ICQ Torjan

تعريف :

يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق
جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف
بتغير الاسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح ICQ2.EXE ….

التخلص منه :

يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالاسكيو وقم بحف ملف الاسكيو

ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE

اسم الملف : Master Paradise

تعريف :

يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى

التخلص منه :

اتجه للرجسترى ثم ابحث عن امتداد الملف :

“C:\windowds\nameofthe.exe

عندما تجد هذا الملف فى اليجسترى قم بمسحه ..

برنامج Sub Seven

أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه
البعض إسم القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول
إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه يعتبر أقوى برنامج إختراق
للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات
المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ
كما يمكنه إختراق مزودات البريد smtp/pop3 يعتبر الإختراق به صعب نسبيا
وذلك لعدم إنتشار ملف التجسس الخاص به في أجهزة المستخدمين الا أنه قائما
حاليا على الإنتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام 2001 سوف تكون
نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت
حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية
فهو يمكن المخترق من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز
الخاص به حيث يحتوي على أوامر كثيرة تمكنه من السيطرة عليه ... بل يستطيع
أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز نفسه الحصول عليها مثل
كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع كلمات
المرور التي يستخدمها صاحب الجهاز !!! ولخطورته الكبيرة فسوف نفصل في
الشرح عنه

التعديلات التي يحدثها هذا البرنامج في جهاز الضحية :

________________________________________

ملف التسجيل ينشئ القيم التالية :
HKEY_LOCAL_MACHINE\Software\CLASSES\.dlHKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia
KERNEL16="KERNEL16.dlHKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile

مجلد النظام rundll16.exe أو KERNEL.dll 35 كيلو بايت

MOVOKH_32.dll 35 كيلو بايت

nodll.exe 35 كيلوبايت

watching.dll 35 كيلوبايت

ملف System.ini في السطر الخامس يقوم بإضافة إسمه بعد عبارة explorer.exe ليصبح السطر بعد التغيير :shell=Explorer.exeurndll16.exe

ملف win.ini في الأسطر الأولى تحديدا في القيم التي توضع أمامها البرامج
المراد تشغيلها أثناء تشغيل الويندوز مثل : run=###.exe أو Load=###.exe

أعراض الإصابة :

من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء
عملية غير شرعية … " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك
الماوس أو النقر على لوحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في
حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج
في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من
الويندوز بإستخدام بعض الملفات المساعدة له في ذلك

خطورة البرنامج :

يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير
الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل
تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .

التخلص منه :

1- افتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذالملف عن أي قيك شبيهة بالقيم التالية :

run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll

لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها

2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي :

shell = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :

shell=Explorer.exe xxxx.exe .... أو shell = Explorer.exexxxx.dll

مع العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و
Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر :

shell = Explorer.exe

3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى

ملف السجل ثم قم بالدخول تسلسليا على الأتي :

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

Current Version

داخل المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في ملف system.ini أو
الملف win.ini ( في بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك
إبحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد الويندوز وستجد أن حجم الخادم
الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا كان كذلك عد لنفس
المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار

حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن للماوس وإختيار حذف

أهم عيوب برنامج الاكسبلوار الأمنية

لا يخفى عليكم ما يتميز به المتصفح الأكسبلور الخامس من مميزات كثيرة سهلت
على المستخدم أمور كثيرة ومن أبرز هذه المميزات ميزة (( AutoComplete))

تجعلك هذه الميزة عندما تكتب أول حرف من أي كلمة كاسم المستخدم أو إدخال
كلمة السر في أي موقع يقوم المتصفح نيابة عنك بإكمالها وهذا معروف لديكم
جميعا .لكن هل تعلم أن هذه الميزة من أخطر الأمور إذا تم إختراق جهازك من
الهاكرز طبعا سوف يجدون كل كلمات السر وأسم المستخدم التى أستخدمتها في
جميع المواقع سواء مواقع البريد المجاني أوغيره بدون إستثناء بين أيديهم
على طبق من ذهب

لهذا أخي الحبيب نصيحة قم بتعطيل هذه الميزة من المتصفح ولماذا العجلة
تتأخر خمس ثواني تكتب أسم المستخدم وكلمة السر في كل مرة تذهب إلى أي موقع
أو تجلس خمس ساعات تعمل فرمته لجهازك بعد إقتحامة

كيف توقف هذا العيب

افتح المتصفح ثم اذهب الى قائمة ادوات Tools

واختار خيارات انترنت Internet Options

ثم اختار لسان التبويب Content

واضغط على Auto Complete

وقم بإزالة السهم بجانب Usernames and passwords on forms

تنبيه لمن يجهل الأمر

---------------------

كل برامج الهاكر السابقة تشتمل على أحصنة طرواده المسؤولة عن تسريب
المعلومات وهي ملازمة لها في عملها لا تنزل شيئا منها بجهازك وتشغله فتصبح
الضحية فقط للإطلاع أو يخصص لها جهاز مستقل .

إذا كنت من مستخدمي Intruderalert99 فأضف إليه منافذ المخترقون لغلقها

وفي الختام أقول للزائرين الكرام مثلما أنا حريص على الوقوف بالقارئ
العربي على عين الحدث حتى لا يصطاد على غرة حريص في نفس الوقت ألا يساء
إستخدام ما ذكرت ضد أي بشرعربي أو غيره واذكر

إذا ما خلوت الدهر يوما فلا تقل خلوت ولكن قل علي رقيب

هل يمكن أن تتجول متخفيا في الانترنت؟

الجواب نعم ولا، وإليكم القصة

توجد على شبكة إنترنت عدة مواقع تؤمن لك سرية تحركاتك. فموقع

([ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط])

مثلا، يوفر لك من خلال خدمة إمكانية إخفاء رقم الابي عن المواقع التى ترغب في زيارته،

ويوصلك إليه، بدون أن يمكنه من تسجيل أي معلومات حقيقية عنك، حيث سيبدو
للموقع الذي تزوره، أنك قادم من عنون اخر وتقدم هذه الخدمة إما مجانا
بسرعة بطيئة نسبيا، أو بمقابل مع سرعة جيدة، و

» تاريخ الهكر
» اكتشاف فايروسات الهكر