طرق الحماية من الهكرز 2

===============
Back orifice

الباك أوريفيس قام بعمله
جماعة تطلق على نفسها (جماعة البقرة الميته) ، الله الشافي، أنتشر هاذا
البرنامج بشكل كبير في بداية طرحه بالأنترنت، يسمح البرنامج لمستخدمه
بالحصول على (سيطرة كاملة) على جهاز الضحية دون علمه، السيرفر الخاص بة
ماله أســـم؟؟

ويكون شكله زي كذا exe. وستجده في مجلد الويندوز
وحجمه صغير حوالي 122 كيلوبايت. البورت الذي يستخدمه الباك أوريفيوس
للتخابر مع السايلنت هو البورت 31337 وهناك أمكانية أن يكون هناك بورت
للهاكر التميذ.

التخلص منه

شغل برنامج الريجستري وتوجه إلى المجلدات التالية بالترتيب:
HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion :
RunService
في مجلد (رن سيرفيس) أبحث عن المفتاح الذي يقوم بتحميل السيرفر
إذا عثرت عليه ضع الماوس عليه وأنقر بالزر اليمين وأختر ديليت لحذفه من الريجستري .

===============

Deep Throat

يقوم
هذا البرنامج بمسح الملف (سيستري) وأستبداله بالسيرفر الخاص بة، هاذا
البرنامج فيه ممكن ان يتحكم في المواقع اللتي يزورها الضحية وتقوم بتوجيهه
لأي مكان ترغب وبإمكان المتحكم غلق وفتح الشاشة

يقوم البرنامج بمسح
ملف systray.exe الخاص بالويندوز وأستبداله بالسيرفر ويكون حجم الملف
عادةً 36 كيلوبايت قبل ما يقوم السيرفر بتعديله ليصبح بعد ذلك حجمه بعد
التعديل حوالي 301 كيلوبايت. البورت الذي يستخدمه هو البورت رقم 6670 ، او
البورتات 2140 و 3150

هذه بعض ظواهر الاختراق

= فتح وغلق السيدي روم في جهاز الضحية.
= أرسال رسالة للضحية ممكن الرد عليها.
= أخفاء شريط أبدء.
= أقفال وفتح شاشة كمبيوتر الضحية (إذا كانت تدعم توفير الطاقة).
= سرقة الباسوورد الموجودة لديك
= أغلاق الكمبيوتر
= عمل (سكان) لمعرفة السيرفرات الجاهزة للشبك معاها.

للتخلص من السيرفر

في الدوس توجه للمجلد سيستم الموجود في مجلد الويندوز وذلك بكتابة الأمر التالي CD WINDOWS\\\\\\\\SYSTEM ثم
الضغط على Enter في لوحة المفاتيح (الكيبورد) بعد ذلك أكتب الأمر التالي لمعرفة حجم الملف (سيستري) DIR
systray.exe فإذا وجدت أن حجمه حوالي 300 كيلوبايت فقم بحذفه بكتابة DEL systray.exe
ثم أعد تشغيل الكمبيوتر بالنقر على CTRL و Alt و Delete

==================

Win Crash

أحد
البرامج الأخرى، السيرفر الخاص بة عادةً أسمه (سيرفر) وحجم السيرفر حوالي
290كيلو بايت، وهو يتمركز في مجلد السيستم الموجود في مجلد ويندوز
السيرفر عادةً يكون أسمه server.exe وحجمه حوالي 290 كيلوبايت وستجده بمجلد السيستم الموجود داخل مجلد ويندوز.
البورت الذي يستخدم للتخابر مع السايلنت هو البورت 5742

كيفية التخلص منه:

شغل برنامج الريجستري ثم توجه للمجلدات التالية وذلك بالنقر على علامة الزائد الموجودة أمام كل مجلد:

HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : Run

في مجلد (رن) أنظر في الجهة اليمنى وابحث عن مفتاح أسمه MsManager وهو المفتاح الذي يقوم بتشغيل السيرفر
تلقائيا، قم بحذفه بوضع الماوس على المفتاح والنقر بالزر الأيمن وأختيار (ديليت) حذف.

الآن اعد تشغيل جهازك في وضع الدوس، ثم توجه لمجلد السيستم بكتابة الأمر CD WINDOWS\\\\\\\\SYSTEM وأضغط
أنتر، ثم قم بمسح السيرفر وذلك بكتابة DEL Server.exe حيث أن Server هو أسم السيرفر الذي وجدته في الريجستري.
اعد تشغيل الجهاز بالنقر على Ctrl+Alt+Delete

=====================

Hack 'a'Tack

برنامج تجسس شائع الأستخدام في أمريكا وأوروبا،
البورتات التي يستعملها هي 31785 و 31787 و 31789 و 31791 وذلك بأستخدام بروتوكول TCP الشائع،

ظواهر الاختراق

= عمل (سكان) فحص أو بحث عن الأي بيهات المضروبة
= أظهار معلومات الجهاز المستهدف (أسم صاحب الجهاز، التلفون، الشركة، الدولة..... ألخ)
= تجميد الماوس بحيث لا تستطيع تحريك الماوس.

الملفات التي يقوم بإضافتها هي:

- أنشاء ملف بأسم Expl32.exe وستجده في مجلد الويندوز.
- يقوم بعمل تغييرات في ملف Applog.ind الموجود في مجلد APPLOG الموجود في مجلد الويندوز (إذا كان لديك
مثل هاذا المجلد). - قم بحذف الملف الأول المسمى Expl23.exe الموجود في مجلد الويندوز.
- شغل برنامج الريجستري وأذهب للمجلدات التالية:
HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : Run
- في المجلد (Run) أبحث عن المفتاح Explorer32 وستجد أمامه مسار السيرفر وهو
C:\\\\\\\\WINDOWS\\\\\\\\Expl32.exe ضع الماوس عليه وأنقر باليمين وأختر (ديليت) لحذفه.

=================

ICQ Torjan

تعريف : يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص
بالايسكيو ..وعندما تصاب بالملف يقم الملف بتغير الايسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح
ICQ2.EXE ….
التخلص منه :
يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالايسكيو وقم بحف ملف الاسكيو

ICQ.EXE ثم قم بتعديل اسم الايسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE



===============


إختبار الكشف عن ملفات التجسس Patch Files :

توجد
طرق عديدة لإكتشاف وجود ملفات يمكن من خلالها تضييق الخناق على ملفات
التجسس في حال إكتشافها والتخلص منها نهائيا لقطع الطريق على الكراكرز
المتصل بجهاز الضحية وهي على النحو التالي :

الطريقة الأولي : بواسطة ملف تسجيل النظام Registry :
1- أنقر على إبداء Start
2- أكتب في خانة التشغيل Run الأمر : rigedit
3- إفتح المجلدات التالية حسب الترتيب في قائمة Registery Editor :

- HKEY_LOCAL_MACHINE
- Software
- Microsoft
- Windows
- Current Version
- Run
4- والآن من نافذة تسجيل النظام Registry Editor انظر الي يمين النافذة بالشاشة المقسومة ستشاهد تحت قائمة
Names أسماء الملفات التي تعمل مع قائمة بدء التشغيل ويقابلها في قائمة Data عنوان الملف .

5-
لاحظ الملفات جيدا فإن وجدت ملف لايقابلة عنوان بالـ Data او قد ظهر امامة
سهم صغير <--- فهو ملف تجسس إذ ليس له عنوان معين بالويندوز.

6- تخلص منه بالضغط على الزر الأيمن للفارة ثم Delete


الطريقة الثانية بواسطة الأمر :msconfig

1- انقر ابداء Start
2- اكتب في خانة التشغيل Run الأمر التالي : msconfig
3- سوف تظهر لك نافذة System Configuration Utility أختر لسان التبويب Start up

4- ستظهر لك شاشة تعرض البرامج التي تبداء العمل مباشرة مع بدء التشغيل
5- إفحص هذة البرامج جيدا بالنظر فإن شككت بوجود برامج غريبة لم تقم أنت بتثبيتها بجهازك فقم بالغاء الإشارة الظاهرة
بالمربع الصغير المقابل له فتكون بذلك قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب بها.


الطريقة الثالثة بواسطة الدوس Dos:
هذة الطريقة كانت تستخدم قبل ظهور الويندوز وهي من اسهل الطرق :
1- إفتح الدوس من محث MSDos بقائمة إبداء
2- أكتب الأمر التالي : C:/Windows\\\\\\\\dir patch.*

3- إن وجدت ملف الباتش فقم بمسحة بالطريقة التالية:

C:\\\\\\\\Windows\\\\\\\\delete patch.*