[درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

باحث عن المعرفة · #1 04-10-2008, 10:36

هناك مشاركة طيبة من الأخ hamzeh soft جزاه الله خيراً عنوانها "اعرف اذا جهازك مخترق او لا فقط في 20ثانية". وهي عبارة عن اختبار يقوم بفحص المنافذ إذا ما كانت مغلقة أو مفتوحة.

هذا الاختبار وإن كان مفيداً إلا أنه لا يدل على أن الجهاز مخترق حتى لو ظهر لديك منفذ بالأحمر.

والعديد منّا يتسأل كيف لي أن أعرف أن جهازي مخترق أم لا؟
ما هي الطريقة التي يمكنني استخدامها لمعرفة ذلك؟
هل تعرف ما هي svchost.exe؟
وما هي الخدمات التي تقوم بها؟
هل تستطيع عرض البرامج التي تستخدمها من خلال سطر الأوامر؟

هذا الدرس يا أحباب مهم جداً لكل من هو مهتم بأمن حاسوبه ويرغب بمعرفة ما اذا كان حاسوبه مخترقاً أم لا.

ونظراً لأهمية الدرس وكون الفائدة المتحصلة من التفاعل اكثر بكثير من الفائدة التي يمكن الحصول عليها من خلال القراءة فقط (سواء الموضوع كاملاً أو بعض فقراته) فارجو منكم يا كرام عمل بحث أو الاتيان بفكرة مهما كانت بسيطة وسنحاول إن شاء الله تناولها بالشرح. حتى نصل إلى جواب السؤال وهو كيف نعرف إذا ما كان الجهاز مخترقاً أم لا؟

=======================================
عن جابر عن النبي صلى الله عليه وسلم قال : من قال :" سبحان الله العظيم وبحمده غرست له نخلة في الجنة "

باحث عن المعرفة · #2 04-10-2008, 10:38

أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:

كود:

wmic process

لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.

باحث عن المعرفة · #3 04-10-2008, 18:27

لحد الآن لا يوجد تفاعل من قبل الأعضاء المحترمين

طيب نجرب السؤال التالي:

مالفرق بين الأمرين التالين: (على فرض أنك نفذت الأمر wmic من خلال سطر الأوامر)

كود:

wmic:root\cli>process list brief

و

كود:

wmic:root\cli>process list full

Adel Ali · #4 04-10-2008, 19:07

ياريت ياعزيزي انك تشرح على مبدأ ان اكثر الناس بيستخدموا DOS وليس ليونكس
وبالنسبة للامر الاول تم تنفيذه ولعله يشرح علاقة البرامج التي تم تحميلها والتهديدات القادمه منها و ارجو التصحيح مع الشرح الوافي لو سمحت اما بالنسبة للامر الثاني فلم يتم تنفيذه ولا اعلم ماهو السبب

باحث عن المعرفة · #5 04-10-2008, 19:16

أخي عادل الشرح كله لويندوز ولا يوجد شيء للينكس في هذا الدرس. (إلاّ إذا كنت تقصد شيئاً آخر)

بالنسبة للشرح فسيتم إن شاء الله تناوله بالتفصيل. ولكن أحب أن أعطي باقي الإخوة فرصة للتفاعل.

وشكراً لمرورك

yasserxpnew · #6 04-10-2008, 20:01

اقتباس:

wmic process

يبدوا ان الموضوع جامد

ممكن حضرتك توضح ايه هو الامر ده
وليه منعتمدش على end task or task manager
عشان نعرف الحاجات الللى شغاله

الامرين الاخريين لم يعملوا

الامر الاولنى اشتغل
وعطانى معلومات على ما اعتقد عن البرامج او العمليات اللى شغاله
بس انا معرفتش اقراها لانها غير مرتبه

وشكرا.....

باحث عن المعرفة · #7 04-10-2008, 20:55

سؤالك ممتاز أخي ياسر. السبب في عدم اعتماد task manager هو أنه لا يعرض جميع البرامج التي تعمل كذلك لا يعطيك التفاصيل حول اتصال هذه البرامج سواء مع الشبكة أو مع غيرها وأين موقعها وغير ذلك من المعلومات.

عندك مثلاً svchost.exe وهي خدمة تستعملها البرامج للاتصال مع الانترنت في task manager تظهر هذه الخدمة ولكن نحن نريد بحث اعمق بحث يظهر لنا ما هي البرامج التي تستخدم هذه الخدمة لأنه في حالة كون الجهاز مخترقاً سيظهر البرنامج المشبوه كأحد البرامج التي تستخدم svchost.exe للاتصال بالانترنت.

الأمران لم يعملا لأنك نفذتهما من سطر الأوامر مباشرة هكذا:

كود:

c:\>process list brief

إذا أردت التفيذ بهذه الطريقة يكون الأمر كالشكل التالي

كود:

wmic process list brief

أنا وضعت الأمران مفترضاً أن المستخدم -كما هو في الشرح أصبح يعمل على شريط أدوات WMIC

والذي يظهر كالشكل التالي بعد تنفيذ الأمر wmic

كود:

wmic:root\cli>

ارجو أن تكون الصورة أكثر وضوحاً الان

cisco-boy · #8 05-10-2008, 01:13

السلام عليكم ورحمة الله وبركاته
احب اشكرك اخي على هذا الموضوع
الامر
wmic process list brief
لو استخدمنا الامر msconfig نستطيع من خلاله معرفة البرامج التي تعمل وبكل سهولة نستطيع ايقافها
وايضا طريقة اخرى من خلال الامر regedit
ثم فتح الملفات التالية بالترتيب
HKEY_LOCAL_MACHINE
- Software- Microsoft
- Windows
- Current Version
-Run
نجد انا حصلنا على البرامج التي تعمل
طبعا هنا كيف نفرق بين البرامج الضارة والنافعة ؟
لاحظ الملفات جيدا فان وجدت ملف لايقابله عنوان بالـــ Data او قد ظهر امامه سهم صغير<--- فهو ملف تجسس اذ ليس له عنوان معين في الويندوز .
طبعا لا اقول كلها اذا كنت تثق في البرنامج 100% اتركه
اترك المجال لك لنستفيد من علمك انت والاخوان الاعضاء وبارك الله فيكم

yasserxpnew · #9 05-10-2008, 08:51

شكرا اخ باحث عن المعرفة على التوضيح
ياريت تكمل باقى الموضوع

وشكرا....

باحث عن المعرفة · #10 05-10-2008, 10:22

بارك الله فيكم إخواني على تفاعلكم.

نبدأ إن شاء الله شرح الخطوات الأولى لتحديد إذا ما كان هناك اختراق هي من خلال الأداة المهمة والقوية جداً WMIC.

نبدأ على بركة الله.

الخطوة الأولى:

كود:

WMIC process

طريقة عمل WMIC (المفضلة) هي WMIC [something]

طبعاً something يمكن أن تكون أي شيء تتدعمه WMIC هذا ال something أيضاً سوف يحتوي على خصائص خاصة به كما ذكرنا في درس تغيير الأي بي من سطر الأوامر وكما سنبين لاحقاً.

في حالتنا هذه نريد أن نرى جميع العمليات الجارية على الحاسوب من خلال إلحاق process ب wmic وهذا سيظهر لنا هذه العمليات والملف المرتبط بها تاريخ إنشائها إلى غيره من الأمور بصراحة تفصيل ممل لكل عملية ونظراً لكثرة المعلومات المعروضة من خلال هذا الأمر نلجأ لأمر آخر.

كود:

wmic process list brief

هذا الأمر باختصار يطلب من wmic عرض معلومات مختصر للعمليات التي تجري على الحاسوب.

هذه المعلومات هي عبارة عن اسم العملية رقمها أهميتها وغير ذلك من الخصائص الغير مهمة (لا تلزمنا في محاولتنا معرفة اذا ما كان الجهاز قد تم اختراقه ام لا).

الأمر الآخر الذي يعطينا تفاصيل أكثر هو

كود:

wmic process list full

سيعطي معلومات تفصيلية أكثر من list brief ولكن مرتبة أكثر من process .

أهم تفصيل في اعتقادي هو موقع احد الأوامر (البرامج أو العلميات) ونظراً للعدد الكبير في العمليات فسنحتاج في الكثير من الاحيان إلى إما عرض مخرج الامر بطريقة صفحة صفحة من خلال اضافة more

كود:

wmic process list full | more

أو في أحيان أخرى لمعرفة معلومات حول علمية معينة

كود:

wmic process list full | find "cmd.exe"

عند محاولتنا تحديد إذا ما كان الجهاز قد تم اختراقه أم لا نحتاج إلى المرور بكل العمليات (تستغرق وقتاً) ومن ثم تحديد ما اذا كان للعملية داعي أم أنها عملية غير شرعيّة.

في بعض الأحيان نحتاج إلى معلومات حول جميع العمليات التي تعمل عند بداية تشغيل النظام (أو عملية الدخول إلى نظام التشغيل) في هذه الحالة نحتاج إلى الأمر التالي

كود:

wmic startup list full

أو

كود:

wmic startup list brief

تبعاً للتفصيل الذي نبحث عنه (هل نريد تفصيل ممل أم مجرد سرد للعمليات)

في الدرس القادم سنشرح أوامر أخرى نحتاجها لمعرفة إذا ما تم اختراق الجهاز أم لا. حتى ذلك الدرس إن شاء الله أترككم إخواني مع هذه الاوامر والتي ارجو منكم محاولة تنفيذها وأخذ فكرة عن نتيجة التنفيذ.

كود:

netstat -nao

كود:

netstat –s –p tcp

=================================================

عن أبي عمير الأنصاري رضي الله عنه قال : قال رسول الله صلى الله عليه وسلم :" من صلى عليّ صلاة واحدة صلّى الله عليه عشر صلوات ، وحطت عنه عشر خطيئات ، ورفعت له عشر درجات ، وكتبت له عشر حسنات " رواه أحمد

اللهمّ صلِّ وسلم وبارك على نبينا محمد وأله وصحبه.

Adel Ali · #11 05-10-2008, 20:15

هذا الامر NETSTAT كما هو معروف يظهر لك CONNECTION المرتبطة بالجهاز المنفذ عليه هذا الامر كذلك يبين البورتات المفتوحة ولكن المر الذي كتبته يااخ باحث عن المعرفه يبدو انه يوضح الاتصال الذي هو من نوع TCP
هذا والله اعلم

وياريت بأن يكون هنالك تفاعل اكبر بحيث يتم تفعيل هذا القسم بشكل اكبر وربنا يعطيك العافيه ياباحث

yasserxpnew · #12 07-10-2008, 15:24

حقيقى موضوع جامد وحبه اوامر جامده

درس بجد بجد

وياريت تكمل انا متابع معاك
وشكرا..

مجلـد جديـد · #13 08-10-2008, 11:04

شكرا لك على هذا الموضوع الرائع جدا والمهم ، اتمنى ان تستمر في الكتابة في هذا الموضوع بالتحديد لانه بصراحه مفيد جدا ومهم .

طبقت الامر netstat -s -p tcp -on وظهرت النتيجة كتالي:

كود:

C:\Documents and Settings\power user>netstat -s -p tcp -on

TCP Statistics for IPv4

  Active Opens                        = 86594
  Passive Opens                       = 51324
  Failed Connection Attempts          = 15608
  Reset Connections                   = 14714
  Current Connections                 = 28
  Segments Received                   = 3375847
  Segments Sent                       = 3098353
  Segments Retransmitted              = 177054

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    127.0.0.1:1071         127.0.0.1:1072         ESTABLISHED     2956
  TCP    127.0.0.1:1072         127.0.0.1:1071         ESTABLISHED     2956
  TCP    127.0.0.1:1073         127.0.0.1:1074         ESTABLISHED     2956
  TCP    127.0.0.1:1074         127.0.0.1:1073         ESTABLISHED     2956
  TCP    127.0.0.1:1110         127.0.0.1:1382         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1390         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1393         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1398         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1402         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1428         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1600         ESTABLISHED     1572
  TCP    127.0.0.1:1110         127.0.0.1:1601         ESTABLISHED     1572
  TCP    127.0.0.1:1382         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1390         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1393         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1398         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1402         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1428         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1600         127.0.0.1:1110         ESTABLISHED     2956
  TCP    127.0.0.1:1601         127.0.0.1:1110         ESTABLISHED     2956
  TCP    192.168.1.68:1383      212.71.37.134:8080     ESTABLISHED     1572
  TCP    192.168.1.68:1392      212.71.37.134:8080     ESTABLISHED     1572
  TCP    192.168.1.68:1397      212.71.37.134:8080     ESTABLISHED     1572
  TCP    192.168.1.68:1399      212.71.37.134:8080     ESTABLISHED     1572
  TCP    192.168.1.68:1403      212.71.37.134:8080     ESTABLISHED     1572
  TCP    192.168.1.68:1429      212.71.37.95:8080      ESTABLISHED     1572
  TCP    192.168.1.68:1602      212.71.37.95:8080      ESTABLISHED     1572
  TCP    192.168.1.68:1603      212.71.37.95:8080      ESTABLISHED     1572

العناوين 212.71.37.95 و 212.71.37.134 تابعة ل ISP كما اتوقع (لانها تبدا ب 212.71 وجميع عناوين مزود الخدمة نسما تبدا هكذا)
والعنوان 192.168.1.68 هو عنوان الجهاز على الشبكة المحلية.
لكن لا ادري ماهو 127.0.0.1 ؟؟ هل هذا العنوان خاص بالجهاز؟

بالنسبة لل process id ف 2956 مخصص لل firefox و 1572 مخصص ل avp وهو الكاسبرسكاي.

لكن عند استخدام الامر netstat -aon فان الكثير من ال processes تظهر وبعضها يكون مرتبط ب svchost ونوعه tcp ايضاً! فلماذا لم يظهر سابقا عند استخدام الامر netstat -s -p tcp ؟

باحث عن المعرفة · #14 08-10-2008, 18:17

جزاكم الله خيراً إخواني على تفاعلكم. سأحاول إن شاء الله غداً إضافة تتمة الشرح.