|
|
|
شبكة المشاغب ا برامج ا دليل المواقع ا مجلة المنتدى ا إستضافة مواقع ا دروس مفيدة ا المكتبة الالكترونية ا مركز تحميل المشاغب |
11-11-2003, 02:33 PM
|
#1 | ||
|
Registered User
   
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
أمن المعلومات ( شرح مفصل)
1_أمن الشبكات
دروس عن أمن الشبكات السلكية و اللاسلكية و كيفية تقوية الحماية على الشبكات لتجنب الاختراق باكبر قدر ممكن. بسم الله الرحمن الرحيم معاً نحو بيئة لاسلكية آمنة ان للشبكة اللاسلكية اخطاراً تهدد امنها كغيرها من الشبكات, سواء كانت هذه المخاطر مشتركة بين الشبكات السلكية و اللاسلكية , او كانت مخاطر مخصصة او موجودة فقط في الشبكات اللاسلكية وما تحتويه من معايير و غيرها. في هذا الدرس سنحاول قدر الامكان التركيز على تأمين البيئة الشبكية اللاسلكية من أغلب المخاطر التي قد تهددها, لا يوجد أمن 100% و لكن علينا قدر الامكان ان نقترب من هذه النسبة بتنفيذ بعض الامور التي ستساعد على جعل الشبكة آمنة قدر الامكان. من المعروف ان من أخطر ما يهدد الشبكات هذه الايام هي هجمات حجب الخدمة التي قد تتعرض لها و في كثير من الاحيان يصعب تفاديها ان تمت بصورة دقيقة و مركزة. ان منفذي هجمات حجب الخدمة الموزعة DDoS او Distributed Denial of Service يحتاجون الى عدد كبير من الاجهزة لكي ينفذوا هجماتهم, فتراهم يبرمجون برمجيات تعمل على اتمتة الهجوم و الاستيلاء على اجهزة الحاسب و من ثم الانتقال الى الاجهزة المجاورة و غيرها بصورة تلقائية سريعة, و اذا كان جهاز الحاسب غير محمي بصورة كافية فانه سيقع ضمن قائمة الاجهزة التي تنتظر الاوامر من المهاجمين لتنفذ الهجوم. في العادة فان الاجهزة المصابة لا يتم حذف الملفات منها, لكن يتم استعمالها جميعاً في وقت واحد في الهجوم على شبكة معينة او موقع معين و تلك الاجهزة تسمى بالzombies. من أكثر الجهات التي ينصب اهتمام المهاجمين على الاستيلاء على اجهزتها , هي الشركات الكبيرة و الجامعات و الكليات التي تحمل عدد كبير من اجهزة الحاسب المتصلة بالانترنت بشكل متواصل و ان لم يتخذ المسؤولين عن هذه الشبكات الحذر من امور عديدة, فان نسبة تعرض اجهزة شبكتهم للاشتراك في هجوم امر وارد. و بما ان اغلب الشركات و الجامعات بدأت بالتوجه الى استعمال الشبكات اللاسلكية, فان نسبة الخطر في ضلوع اجهزتها بطبيعة الحال ترتفع لاسباب عديدة اولها ان الاجهزة لن تكون في العادة موجودة في مكان ثابت, بل تتحرك و ربما تخرج من مبنى الشركة نفسها! لذا وجب الحذر من اتخاذ كافة الوسائل الممكنة من جعل الشبكة اللاسلكية آمنة قدر المستطاع. ان الاجهزة المحمولة التي تملك كرت شبكة لاسلكي موصل بمقوي للارسال, بامكانها ان تشارك في نقل الملفات و التعامل كما لو كانت في مبنى الجامعة او الشركة او الكلية و في الحقيقة من الممكن ان تبعد كيلومترات عنها! و اذا كانت نقاط الاتصال الموجودة في المؤسسة او الجامعة لم يتم تضبيط اعداداتها بطريقة سليمة,و لم يتم تعديل الاعدادات الافتراضية المعروفة لدى كل باحث, فان اي شخص على بعد أميال (باستخدام مقوي للارسال)يستطيع الدخول بكل سهولة على الشبكة. ان أغلب الامور التي من الممكن ان يتم استغلالها هي الاعدادات الافتراضية لنقاط الاتصال Access Points, و في ما يلي بعض الامور التي ستساعد في تقليل مخاطر الاعدادات الافتراضية: معّرف الخدمة او الSSID ال SSID او الService Set IDentifier تعني معّرف الخدمة. ان كل نقطة اتصال تملك معرّف يكون عبارة عن كلمة او رقم او خليط بين حروف وارقام. يقوم هذا المعرف بالتعريف عن نقطة الاتصال و لنفرض ان نقطة اتصال معينة تملك SSID معين على سبيل المثال هو = الموسوعة. ان اي شخص موجود في مدى التغطية التي تغطيها نقطة الاتصال ( المدى يعتمد على امور عديدة قد تصل الى كيلو مترات, سواء كان في نفس البيت او المبنى او كان في الشارع المجاور للبيت) يستطيع ان يدخل الى الشبكة الخاصة بنقطة الاتصال ذات المعرف ( الموسوعة) اذا عرف ان كلمة (الموسوعة) هي الSSID الخاص بها. أغلب نقاط الاتصال تحمل اعدادات افتراضية و يكون المعرف لها معروفاً و في الغالب يكون كلمة (default). اذا لم يتم تغيير هذا المعرف الى اي شي آخر, فان اي شخص يقع في ضمن مدى نقطة الاتصال يستطيع الدخول للشبكة الخاصة بها بدون عوائق! من الامور الموجودة في الاعدادات الافتراضية الخاصة بالSSID هو الSSID Broadcasting. تقوم نقاط الاتصال بالتعريف عن نفسها بشكل مستمر على مدى التغطية التي تغطيه, فتقوم بصورة مستمرة بارسال اشارات تقوم بالتعريف عن نفسها و بمعرّفها الخاص. بهذه الطريقة يمكن لاي شخص يملك جهاز خاص, او كمبيوتر محمول به كرت شبكة لاسلكية ان يتجه الى المنطقة التي تغطيها نقطة الاتصال فيحصل بشكل تلقائي على الاشارة مع رقم المعرف, فيعرف انه الان يمكنه الاتصال بشكبة نقطة الاتصال (الموسوعة) من موقعه. يجب تعطيل هذه الخاصية التي تأتي بصورة افتراضية في العادة حتى لا يتمكن ضعاف النفوس من الذين يملكون اجهزة محمولة ذات كروت شبكة لاسلكية من الاقتراب و معرفة الاماكن (القريبة) من المنزل او المبنى و التي من خلالها يستطيعون الدخول على الشبكة اللاسلكية. يفضل قدر الامكان تغيير المعّرف بصورة مستمرة بين حين و آخر, حتى ان حصل احد الذين يحاولون اختراق الشبكة على المعرف الخاص بنقطة الاتصال في وقت معين, فانه عند تغييره بصورة مستمرة ستصعب مهمته اكثر. من الممكن ايضا تقليل نسبة الارسال لدة نقطة الاتصال بحيث ان يكون مداها قدر الامكان على المحدود المطلوبة و المسموح بها لا ان تتخطى هذه الحدود و تغطي مساحات خارج نطاق المنزل او الشركة و التي قد يستغلها البعض في الدخول للشبكة الخاصة. نستطيع تمثيل مسألة خروج مدى التغطية عن حدود المؤسسة او المنزل الى مسافات لا داعي لها, كوصول المدى الى الشارع المجاور , بتوزيع اسلاك و كيبلات خاصة بالشبكة الداخلية, ماعلى الناس الا ان يحضروا اجهزتهم و يوصلون كروت الشبكة بالكيبلات و الاسلاك و يدخلون على الشبكة الداخلية وهم جالسون في الشارع المجاور! فلترة الMAC Address الMAC Address او ال Media Access Control Address هو العنوان الفيزيائي لكروت الشبكة. كل كرت شبكة في العالم يحمل رقم يميزه عن غيره, تقوم الشركات المنتجة بوضع ارقام خاصة على اساس نظام الهكس لتميز كروت الشبكة عن بعضها و من المفترض ان لا تكون هذه الارقام مكررة ابداً. بطبيعة الحال نقطة الاتصال تعتبر من الطبقة الثانية في الOSI Model او ال Open System Interconnect يعني في طبقة الData Link كالسويتشات فان تعاملها يكون مع الMAC Address وليس مع الIP Address. و هنا يستطيع المسؤول عن الشبكة اللاسلكية ان يحدد الاجهزة التي يسمح لها باستخدام نقطة الاتصال الخاصة به. كما نعرف فان كل جهاز حتى يتصل بالشبكة اللاسلكية يجب ان يحتوي على كرت شبكة لاسلكية, و كل كرت شبكة لاسلكية تملك رقم خاص مميز وهو الMAC Address و من المفترض ان المسؤول عن الشبكة يعي و يعلم عدد الاجهزة الموجودة لديه او لدى شركته و التي يريدها ان تستخدم شبكته اللاسلكية. عندها يستطيع فلترة استخدام نقط الاتصال لديه و يحدد الاجهزة بواسطة اضافة ارقام الMAC الخاصة بهذه الاجهزة في قائمة الاجهزة المسموح لها باستخدام الشبكة او استخدام نقط الاتصال و لا يسمح بغير هذه الاجهزة مهما كانت باستخدام نقاط الاتصال الخاصة بشكبته. تشفير البيانات باستخدام الWEP أغلب نقط الاتصال تملك امكانية التعامل مع البيانات المشفرة. باستخدام تقنية الWEP او Wired *****alent Privacy فانه و تفعيلها في نقطة الاتصال, يمكن تشفير استلام و تمرير البيانات المشفرة فقط. لذا يجب على كل مستخدم يريد استخدام الشبكة اللاسلكية ان يفعل خاصية الWEP اي التشفير في جهازه, كي يتم تبادل البيانات بصورة مشفرة تصعب في معظم الاحيان معرفة محتواها ان تم نسخ هذه البيانات اثناء مرورها بين الاجهزة. و كخط دفاع ثاني, عند استخدام ميزة التشفير, يجب تبادل مفتاح التشفير المسمى ب WEP Key فهو عبارة عن ارقام على اساس Hex تحدد درجة التشفير , و كلما زاد حجم الرقم زادت صعوبة كسر التشفير و ايضا زادت المدة التي يتم نقل البيانات بعد تشفيرها و استلامها و من ثم فك تشفيرها. و يعتبر المفتاح خط دفاع ثاني لانه يجب على الاطراف المستخدمة للشبكة معرفة هذا المقتاح كي يتم تشفير البيانات على اساسه, و يفضل تغييره بين فترة و اخرى حتى ان وقع في يد احد المتطفلين فانه لن يستخدمه لفترة طويلة. الكلمة السرية الافتراضية Default Password تأتي نقط الاتصال من الشركات المنتجة لها بكلمة سرية معينة موحدة و معروفة, يجدها المستخدم في الدليل الخاص بال Access Point, و في بعض الاحيان تكون الكلمة السرية خالية , يعني ان عند تسجيل الدخول لنقطة الاتصال لتغيير الاعدادات, يكون اسم المستخدم هو مثلا admin و الكلمة السرية غير موجودة! من الواضح انه يجب تغييرها الى كلمة سرية صعبة مكونة من ارقام و حروف .هذه هي الاعدادات الافتراضية التي وجدت لتسهل العملية على المستخدمين لكن ان بقيت هكذا فانها قد تؤدي لى مصائب كبيرة, يمكن تفاديها بسهولة باتباع التعليمات و النصائح. هذه بعض الامور التي ستساعد في تقوية أمن الشبكات اللاسلكية, رغم ان الحديث عن أمن الشبكات امر واسع جداً و لا يمكن حصره في دروس, الا ان وضع النقاط على الحروف امر مطلوب لمعرفة أهم الامور التي يجب التركيز عليها لتقليل المخاطر التي قد يواجهها اي مسؤول عن الشبكات. تحياتي و لا تنسونا من الدعاء.
|
||
|
|
|
11-11-2003, 02:39 PM
|
#2 | ||
|
Registered User
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
2- أمن الأجهزة الشخصية
المقدمة مما لا شك فيه, أن الإنترنت هي أضخم و أروع الاختراعات البشرية, ولن يستطيع أحد أبداً حصر فوائد و مميزات هذا المحيط الكبير المسمى ( الإنترنت ).و من الأمور المثيرة للاهتمام هو الانتشار الرهيب لما يسمى ببرامج(التجسس) السهلة الاستعمال و سهولة الحصول عليها مجاناً في الكثير من المواقع .سنتطرق في هذا البحث عن تاريخ التجسس عبر الإنترنت و الجواسيس الذين يُسمَون بال ( هاكرز) و طرق اختراقهم للشبكات و طرق الحماية والوقاية منهم, كما سيتم ذكر أحداث حصلت لشركات سبّبها هؤلاء المُسمون بال (هاكرز). الفصل الثاني (وسائلهم و طرقهم) عالم الهاكرز عالم دائم التطور, فالهاكرز يخترعون برامج و طرق جديدة معقدة يستطيعون من خلالها اختراق الشبكات و الأجهزة مهما كانت محمية. تختلف برامج التجسس في المميزات و طرق الاستخدام, ولكن الطرق التقليدية التي يستعملها الهاكرز المبتدئين جميعها تعتمد على فكرة واحدة و هي ما يسمى ( الملف اللاصق) (Patch file) و الذي يرسله المتجسس إلى جهاز الضحية عن طريق البريد الإلكتروني أو برامج المحادثة فيقوم الأخير بفتحه بحسن نية دون دراية منه أنه قام في نفس الوقت بفتح الباب على مصراعيه للمتجسس ليقوم بما يريد في جهازه, و في بعض الأحيان يستطيع المتجسس عمل ما لا يستطيع الضحية عمله في جهازه نفسه. يتم الاختراق عن طريق معرفة الثغرات الموجودة في ذلك النظام و غالباً ما تكون تلك الثغرات في المنافذ (Ports) الخاصة بالجهاز, و يمكن وصف هذه المنافذ بأنها بوابات للكمبيوتر على الإنترنت. يستخدم الهاكر برامج تعتمد على نظام (الزبون/الخادم) (client/server) حيث أنها تحتوي على ملفين أحدهما هو الخادم (server) الذي يرسل إلى جهاز الضحية الذي يقوم بفتحه و يصبح عرضةً للاختراق حيث أنه تم فتح إحدى المنافذ بواسطة هذا الخادم. هناك طرق عديدة و مختلفة تمكن المتطفلين من اختراق الأجهزة مباشرة دون الحاجة إلى إرسال ملفات , لدرجة أن جمعية للها كرز في أمريكا ابتكرت طريقة للاختراق تتم عن طريق حزم البيانات التي تتدفق مع الاتصالات الهاتفية عبر الإنترنت حيث يتم اعتراض تلك البيانات و التحكم في جهاز الضحية. كما يستخدم الهاكرز نظام التشغيل (Unix) لأنه نظام أقوى و أصعب من (Windows) بكثير , كما يستخدمون أجهزة خادمة تعمل على الإنترنت و تستخدم خطوط T1 السريعة الاتصال بالشبكة عن طريق الحصول على حساب شل (Shell Account). الفصل الثالث (العلاج و الوقاية) كلنا سمع بالحكمة التي تقول ( درهم وقاية خير من قنطار علاج) , و طرق الوقاية عديدة تقي الجهاز من الإصابة بفيروسات أو ملفات لاصقة يرسلها هؤلاء الهاكرز, و منها أن يكون الكمبيوتر محملاً ببرنامج ( مضاد للفيروسات) و يفضل أن يتم شراؤه لا تنزيله من الإنترنت و يجب تحديثه عن طريق الإنترنت كلما توفر ذلك.من البرامج المضادة للفيروسات برنامج (Norton AntiVirus) الذي يوفر تحديثات كل أسبوعين. بما أن الغالبية العظمى من الملفات اللاصقة تحتوي على فيروس التروجان (Trojan)- الذي أُخذ اسمه من حصان طروادة صاحب القصة المشهورة, الذي أُدخل إلى قصر الطرواديين على أنه هدية من اليونانيين و خرج منه الجنود ليلاً- الذي سيكشفه برنامج المضاد للفيروسات مع باقي الفيروسات إن وجدت, و سيقوم بتنظيف الكمبيوتر من تلك الفيروسات و لكنه لن يتمكن من تنظيف الملفات اللاصقة لأنها تكون قيد العمل بذاكرة الكمبيوتر, هذا إن وُجدت طبعاً. الوقاية:- من الضروري عدم حفظ الملفات الشخصية و الصور العائلية و ملفات تحتوي على أرقام سرية و حسابات في القرص الصلب للجهاز إنما حفظها في أقراص مرنة ( Floppy Disk), و الابتعاد عن المواقع المشبوهة عدم تنزيل أي ملفات و برامج منها للاحتمال احتوائها على بعض الفيروسات أو الملفات اللاصقة. العلاج:- يجب فحص الجهاز بإحدى البرامج المضادة للفيروسات, و عند اكتشافها ملفات تجسس يجب تدوين و تسجيل كل المعلومات عنها على ورقة والاحتفاظ بها. إن عد الملفات اللاصقة كبير خصوصاً بعد ظهور برامج التجسس الجديدة , لذا قد تكون عملية حذفها صعبة خصوصاً إذا قام الهاكر بتغيير اسم الملف باسم آخر, و لكن سيتم قدر الإمكان تضييق الدائرة على ملف التجسس و حذفه من دفتر التسجيل في الجهاز المصاب و بالتالي منه. بدخول دفتر التسجيل( Registry) و اتباع التالي: Start و الضغط على زر run  بكتابة (regedit) في المكان المخصص ستظهر نافذة دفتر التسجيل  و بالضغط على HKEY-LOCAL-MACHINE ستظهر قائمة أخرى, و باختيار Software  ثم الضغط على زر ال Microsoft ستظهر قائمة أخرى  باختيار Windows  ستظهر قائمة أخرى أيضا, بعدها يتم الضغط على Current Version  و أخيراٌ بالضغط على Run  توجد قائمتان الأولى (Name) و فيها اسم الملفات التي تعمل بقائمة بدء التشغيل للجهاز الثانية (Data) و فيها معلومات عن الملف و امتداد ه أو البرنامج من القائمة الثانية نستطيع معرفة ملف التجسس حيث أنه لن تكون له أي معلومات أو امتداد مثل الشكل التالي  فنقوم بحذفه من دفتر التسجيل ثم نقوم بإغلاق النافذة. الخطوة الأخيرة تكون من خلال الذهاب إلى Start Restart at MS- Dos بالذهاب إلى مكان ملف التجسس الذي غالباً ما يكون ملصوقاً بملفات النظام C:/windows أو C:/windows/system متبوعاً باسم الملف , و بحذفه و بإعادة تشغيل الجهاز نكون قد تخلصنا من الملف.
|
||
|
|
|
|
11-11-2003, 02:43 PM
|
#3 | ||
|
Registered User
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
تعرف على الفيروسات
الفيروسات السلام عليكم و رحمة الله و بركاته. لقد سئلنا كثيراً عن الفيروسات و ما هي، و لذا وجدنا من المفيد أن نقدّم لكم بعض المعلومات المفيدة، و كلانا مستعد لأي سؤال أو استفسار ان شاء الله :-) ماهي الفيروسات؟ فيروسات الكومبيوتر هي برامج تتم كتابتها بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه، تمت كتابتها بطريقة معينة. سُمّيت بالفيروسات، لأنها تشبه تلك الكائنات المتطفلة في صفتين رئيسيتين: تحتاج فيروسات الكومبيوتر دائماً إلى ملف عائل تعيش متستّرةً فيه: فالفيروسات، دائماً تتستر خلف ملف آخر، و لكنها تأخذ زمام السيطرة على البرنامج المصاب. بحيث أنه حين يتم تشغيل البرنامج المصاب، يتم تشغيل الفيروس أولاً. تستطيع فيروسات الكومبيوتر أن تنسخ نفسها: تتم كتابة هذه البرامج المؤذية بحيث تقوم بنسخ نفسها فوراً بمجرّدتشغيل البرنامج المصاب. و هي تنسخ نفسها للأقراص الأخرى، فإذا كان الكومبيوتر مصاباً ووضعت فيه قرصاً مرناً، يتم نسخ الفيروس اوتوماتيكياً للقرص المرن. و نظراً لهذه الخاصية في الفيروسات، تجد أن القرص المصاب يعطيك علامة أنه ممتلئ تماماً برغم أنك لم تقم بتخزين غير ملفات ذات حجم صغير. ما الفرق بين الدودة و التروجان و الفيروس؟ الدودة: تصيب الدودة الكمبيوترات الموصلة بالشبكة بشكل اوتوماتيكي و من غير تدخل الانسان و هذا الامر يجعلها تنتشر بشكل اوسع و اسرع عن الفيروسات . الفرق بينهم هو ان الديدان لا تقوم بحذف او تغيير الملفات بل تقوم بتهليك موارد الجهاز و استخدام الذاكرة بشكل فظيع مما يؤدي الى بطء ملحوظ جدا للجهاز , و من المهم تحديث نسخ النظام المستخدم في الجهاز كي يتم تجنب الديدان. ومن المهم عند الحديث عن الديدان الإشارة إلى تلك التي تنتشر عن طريق الإيميل. حيث يرفق بالرسالة ملفاً يحتوي على دودة، و عندما يشغّل المرسل إليه الملف المرفق، تقوم الدودة بنشر نفسها إلى جميع الإيميلات الموجودة في دفتر عناوين الضحية. التروجان: وهو عبارة عن برنامج يغري المستخدم باهميته او بشكله او باسمه ان كان جذاباً, و في الواقع هو برنامج يقوم بفتح باب خلفي ان صح التعبير بمجرد تشغيله , و من خلال هذا الباب الخلفي يقوم المخترق باختراق الجهاز و بامكانه التحكم بالجهاز بشكل كبير حتى في بعض الاحيان يستطيع القيام بامور , صاحب الجهاز نفسه لا يستطيع القيام بها , و هذا لا يرجع لملف التروجان, لكن ملف التروجان هو الذي فتح للمخترق الباب ان صح التعبير بتشغيله اياه. الفيروس: كما ذكرنا , الفيروس عبارة عن برنامج صمم لينشر نفسه بين الملفات و يندمج او يلتصق بالبرامج. عند تشغيل البرنامج المصاب فانه قد يصيب باقي الملفات الموجودة معه في القرص الصلب او المرن, لذا الفيروس يحتاج الى تدخل من جانب المستخدم كي ينتشر , بطبيعة الحال التدخل عبارة عن تشغيله بعد ان تم جلبه من الايميل او تنزيله من الانترنت او من خلال تبادل الاقراص المرنة. كيف تعمل الفيروسات؟ في الواقع يقوم الفيروس في حالة إصابة الملف بإضافة نفسه في بداية أو نهاية الملف المصاب، دون أن يقوم فعلياً بأي تغيير في مكوّنات الملف الأصلية. لننظر للصورة التالية التي توضّح شكل البرنامج غير المصاب بفيروس:  نلاحظ أنه عند استدعاء البرنامج فإنه يعمل بشكل طبيعي. والآن لنتصوّر أنه تم اصابة البرنامج بفيروس. في الواقع يقوم الفيروس بلصق نفسه في البرنامج كما أسلفنا دون أن يغير في محتويات الملف شيئاً. و طريقة اللصق تكون، إما أنه يقوم بلصق نفسه في بداية البرنامج، بحيث يتم تشغيله هو قبل البرنامج نفسه:  وقد تكون طريقة التحاق الفيروس بالملف بأن يضع نفسه في نهاية البرنامج المصاب. و يضع علامة في بدايته، هكذا:  إن هذا الفيروس، يختبئ في نهاية الملف المصاب، و يضع في مقدّمة البرنامج مؤشّراً بحيث أنه عندما يتم استدعاء البرنامج و تشغيله، يحوّل السيطرة للفيروس بدلاً من تشغيل البرنامج. وفي الحالتين قد يعود الفيروس بعد الانتهاء من تنفيذ عمله المؤذي لتشغيل البرنامج، و لكنه قد لا يعود أيضاً. و يسبب أضراراً جسيمة للجهاز. أنواع الفيروسات: هناك الآف من الفيروسات المنتشرة عبر الانترنت , لكن اغلبها ما يقع تحت هذه النقاط الستة: فيروسات بدء التشغيل او Boot Sector Virus هذا النوع من الفيروسات يصيب قطاع الاقلاع في الجهاز , و هو المكان المخصص الذي يتجه اليه الكمبيوتر في بداية تشغيل الجهاز. و هذا النوع من الفيروسات قد يمنع المستخدم من الوصول الى النظام ويمنعه من اقلاع الجهاز. فيروس الملفات او File Virus يصيب البرامج عادة , و ينتشر بين الملفات الاخرى و البرامج الاخرى عند تشغيله. فيروس الماكرو او Macro Virus هذه الفيروسات تصيب برامج الميكروسوفت اوفيس مثل الوورد و الاكسل, و تعتبر ذات انتشار واسع جدا تقدر ب 75% من عدد الفيروسات الموجودة. يقوم هذا النوع من الفيروسات بتغيير بعض المستندات الموجودة في القرص الصلب و خصوصا الوورد , قد تجد بعض التصرفات الغير منطقية في بعض الاحيان مثل طلب باسوورد لفتح ملف تعرف انك لم تضع عليه باسوورد , و ايضا تجد بعض الكلمات قد تغير مكانها و اضيفت كلمات جديدة لا علاقة لها بالموضوع . هي اساساً ليست ضارة, لكنها مزعجة نوعاً ما و قد تكون مدمرة احيانا! الفيروس المتعدد الاجزاء او Multipartite Virus و هو الذي يقوم باصابة الملفات مع قطاع الاقلاع في نفس الوقت و يكون مدمراً في كثير من الاحيان اذا لم تتم الوقاية منه. الفيروس المتطور او Polymorphic Virus هي فيروسات متطورة نوعا ما حيث انها تغير الشفرة كلما انتقلت من جهاز الى آخر. نظريا, يصعب على مضادات الفيروسات التخلص منها لكن عمليا و مع تطور المضادات فالخطر اصبح غير مخيف. الفيروس المختفي اوStealth Virus تخفي نفسها بان تجعل الملف المصاب سليما و تخدع مضادات الفيروسات بان الملف سليم و ليس مصاباً بفيروس. مع تطور مضادات الفيروسات اصبح من السهل كشف هذا النوع. ماهي العلامات الشائعة لوجود فيروس في الجهاز: بطء الجهاز الشديد، بما لا يتناسب مع عدد البرامج التي تعمل في نفس الوقت. امتلاء القرص بما لا يتناسب مع عدد و حجم الملفات الموجودة عليه. ظهور مربّعات حوار غريبة اثناء العمل على الجهاز. اضاءة لمبة القرص الصلب أو القرص المرن، دون أن تقوم بعملية فتح أو حفظ ملف. لابد أن تعرف أن هذه العلامات لا تعني بالضرورة وجود فيروس، فقد يكون بعضها بسبب مشكلة في عتاد الجهاز مثلاً. كيف نحمي أنفسنا من الفيروسات ؟ للحيطة و الحذر من الفيروسات-خاصة إذا كنت معتاداً على تبادل الأقراص المرنة، أو الملفات عبر الانترنت- لابد من اتخاذ الخطوات التالية: لابد من موجود برنامج حماية من الفيروسات في جهازك. لابد أن تقوم بتحديثه بشكل دوري، وإلا فلا فائدة من وجوده. لا تقم بفتح المرفقات في أي إيميل لا تعرف مرسله. لا تقم بفتح المرفقات في إيميلات أصدقائك إذا وجدتها تنتهي بـ exe أو bat أو أي امتداد لا تعرفه. لا تقبل ملف من شخص لا تعرفه أبداً. إذا قبلت ملفاً من شخص تعرفه، افحصه أيضاً ببرنامج الحماية، فقد يكون صديقك نفسه ضحية. احرص على فحص جميع البرامج التي تقوم بتنزيلها من الإنترنت، أو تشغيلها من قرص مرن أو سي دي. قبل أن تشغّلها. داوم على زيارة المواقع التي تهتم بالحماية من الفيروسات، للإطلاع على كل ما هو جديد في هذا المجال، و لاتخاذ الحيطة، فدرهم وقاية خيرٌ من قنطار علاج. معلومات عامة عن برامج الحماية من الفيروسات كما أسلفنا لابد من وجود برنامج الحماية من الفيروسات في الجهاز. ويقوم البرنامج بفحص و تدقيق الملفات و حماية الجهاز كما ينبغي. وهو يقوم بهذا العمل عن طريق البحض عن بصمات الفيروسات. فلكل فيروس بصمة عبارة عن رقم محدد. و برنامج الحماية في الواقع يبحث عن هذه البصمة المحددة فإن وجدها فإنه يعلن عن وجود الفيروس. وهو اذ يقوم بذلك يقارن بين الملفات و بين جدول لبصمات الفيروسات المختلفة. إن الكثير من الفيروسات تتم كتابتها و نشرها في الأسبوع الواحد و هكذا ترى أنه من المهم جداً أن يكون هذا الجدول محدّثاً باستمرار. لذا فإن وجود برنامج الحماية نفسه ليس كافياً أبداً. بل لابد من تحديثه باستمرار. بعض برامج الحماية من الفيروسات، تقوم بالحماية من التروجانز و الوورمز أيضاً، و لكن هناك بعض البرامج المتخصصة في مجال الحماية من الاختراق، التي تعمل بمساندة برامج المكافحة لحماية جهازك من أي ضرر. لعل أشهر برامج مكافحة الفيروسات (أو الحماية من الفيروسات) اثنين، هما برنامج Norton للحماية من الفيروسات http://www.norton.com، و برنامج McAffee للحماية من الفيروسات: http://www.mcaffee.com وهذا الموقع يوفّر خدمة الفحص عبر الانترنت مقابل سعر معقول. و في كلا البرنامجين ستجد رزّا واضحاً في النافذة الرئيسية لتحديث قائمة الفيروسات. فمثلاً في النورتون ستجده في الشكل التالي:  فلا تنسَ القيام بتحديث قائمة الفيروسات بشكل دوري :-) مواقع مفيدة: مواقع توفّر معلومات عن الفيروسات: موقع يقدّم أحدث المعلومات عن الفيروسات مع ملفات التخلّص منها من مكافي تعرّف على الفيروسات و طرق الوقاية منها Introduction to viruses How Computer Viruses Work مواقع برامج الحماية من الفيروسات: McAfee's Virus Information Library SARC: Symantec AntiVirus Research Center http://www.antivirus.com يقدم هذا الموقع إمكانية كشف الفيروسات مجاناً مباشرة عبر النت، و لكن لابد من معرفة أن هذه العملية تعني أنّك تعطي الموقع إمكانية حذف الملفات في جهازك، فإذا شئت فقم بها على مسؤوليتك الخاصة. (إذا ان لديك برنامج لمكافحة الفيروسات، و أردت أن توصي بأن نضع موقعه في هذه القائمة، فراسلنا من فضلك :-) ) ملاحظات مهمّة: تتم اصابة جهازك أو قرصك بفيروس فقط حين تقوم بتشغيل برنامج مصاب. يمكن لأي قرص أن يصاب بفيروس الـ boot sector. مجرّد وجودك في الانترنت لا يعرّضك للاصابة بفيروس. و لكنك تصاب به فقط إذا قمت بتنزيل برنامجاً مصاباً من الانترنت و قمت بتشغيله. لابد أن تحرص على استخدام نسخاً قانونية و مسجّلة من البرامج. لابد أن تقوم بعمل باك أب لملفاتك المهمة بشكل دوري و ذلك لاسترجاعها في حالة فقدانها لأي سبب تقني أو تعرّضك لفيروس. لابد أن يكون في جهازك برنامجاً للحماية من الفيروسات، و لابد أن تقوم بتحديثه بشكل وري. لابد أن تقوم بفحص جميع البرامج التي تنوي تشغيلها، و كذلك جميع الأقراص التي تقوم شرائها قبل أن تشغّلها. نرجو أن يكون الله قد وفّقنا لتغطية جوانب الموضوع المتعدةة باختصار و فائدة.
|
||
|
|
|
|
11-11-2003, 02:47 PM
|
#4 | ||
|
Registered User
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
كيف تحمي جهازك من المخترقين
كيف تحمي جهازك من المخترقين أوكد لكم أن المخترقين مزعجين وخصوصا المبتدئون منهم الذين يصرون بعض الاوقات على شيء معين حتى لو كان لا جدوى منه فترى ارقام الاي بي تتردد في برنامج الحماية كثيرا كيف امنعهم وكيف اقفل عليهم جميع الابواب حتى لا يجدون منفذ ؟؟ هذا ما سوف اشرحة في الاسفل أولا: لا بد من تنظيف الجهاز والتاكد من خلوه من جميع الملفات التي تفتح المنافذ للمخترقين كيف يتم ذلك ؟؟ ملفات التجسس دائما تقوم بتغطيه انفسها بعده طرق منها : بناء ملف جديد في نظامك تحت النظام في مجلد الويندز , تغير الاسم وهناك ما يعمل في الخلفية وبعضها ينصب على ان برنامج اعداد والكثير منها اول طريقة : من أبداء أختر تشغيل ثم قم بكتابة هذا الامر اذا كان نظامك ويندز 98 msconfig هذه الاعدادت حساسة للغاية فلا تحاول ان تخطى لانها تسبب في تلف الويندز وأن شاء الله لن يكون هناك اي تلف , واقصد بقول خطيرة لان البعض يحاول أستكشاف المنطقة غير التي نتكلم عنها مما تسبب عنها أضرار من هذه القائمة تجدون بداية التشغيل startup أختروها ثم تفحصو هذه البرامج سوف ترون انها مألوفة لديكم ولكن عندما تشاهدون بعض الاسماء الغريبة أنصحكم بأزالتها ثاني طريقة : هناك برنامج رائع يمكنكم الاعتماد عليه في ازالت جميع ملفات التجسس المخباه في النظام ولكن سوف يمسك بالبرامج ايضا التي تساعدك في الاتصال وأقصد هنا بالبرامج وهي الكلينت مثل السب سيفن والنت سفير وغيرها كونها برامج تجسس أيضا AntiViral ToolKit Pro Version 3.0 البرنامج يمكنك الحصول عليه من عده مواقع مخلتفة مثل http://www.download.com http://www.softseek.com وايضا دائما ما أجد هذا البرنامج في الاقراص المدمجة للمجلات كونة برنامج حماية رائع صدقوني لا يوجد برنامج يضاهيه في التعرف على الفيروسات الخاص بالتجسس بعدما تأكدنا من خلو أجهزتنا من جميع الملفات التجسسية وجلبنا برامج لتنظيف الجهاز منها بقي لنا ان نتعرف على افضل الوسائل المتاحة لحماية الاجهزة من هجمات المخترقين أولا: لا تستعمل اي من البرامج التي تلفت انتباه المخترقين لجهازك , نعم هي برامج حماية ولكن تلفت انتباه المخترقين الي جهازك وانت لا تعلم بذلك كيف ؟؟؟ عندما يظهر برنامج الحماية رقم اي بي حاول ان يخترق جهاز فأنه يعرضك للخطر في نفس الوقت ؟؟ ذكرنا من قبل في تعليم أستخدام برنامج النت سنوب ان هناك أرقام اي بي تظهر عند انتهاء العملية وتكون هذه الارقام مراقبه ببرامج حماية , ما الفائدة من برنامج الحماية اذا كان يظهرك للمخترقين ويعلمهم برقم الاي بي الخاص بك ؟؟ فمن بين كل هذه الارقام يظهر رقمك والسبب برنامج الحماية , بعض المخترقين المبتدئين لا يعرفون ما معنى العبارة التي تظهر في برنامج النت سنوب والتي ان مفادها ان هذا الرقم مراقب فيبداء بالمحاولة مرة أخرى على جميع الارقام التي ظهرت بدون أستثناء وهذا سبب تكرر محاولة الاختراق في جهازك اذا ما العمل لكي لا نلفت أنتباه هؤلا المخترقين برقم الاي بي الخاص بك ؟؟؟؟؟ هناك برنامج رائع أستطاع ان يثبت فعاليته وقد كان هذا البرنامج أختياري الاول والاخير منذ زمان والي الان Atguard الحارس : طريقة عمل هذا البرنامج رائعه جدا وعمليه في نفس الوقت , يقوم هذا البرنامج بعمل حاجز ناري في جهازك ثم يعرض لك قائمتين القائمة الاولى : وهي القائمة البيضاء والتي تضيف بها ما تريد ان تسمح لة بالمرور من هذا الجدار مثل : برنامج الشات , المتصفح , بروكسي الشركة , الاي سي كيو , عامة اي برنامج يعمل على الانترنت يكون له عنوان اي بي ومنفذ وما عليك الا الموافقة على البرامج التي تستخدمها القائمة الثانية : وهي القائمة السوداء وتضم هذه القائمة جميع البرامج الممنوعه من المرور من هذا الجدار واي برنامج جديد يحاول المخترق أستخدامة سوف يقوم البرنامج بأخبارك به ومنه تستطيع أضافته الي القائمة بكل سهوله لكي لا يزعجك بالسؤال مرة أخرى هناك اربع أختيارات عن ظهور برنامج جديد يريد التسلل من الجدار وهذه الخيارات تظهر لك أسمح له هذه المرة اسمح له للابد لا تسمح له هذه المرة لا تسمح له للابد عند أختيارك للابد فانة لن يقوم بأزعاجك مرة أخرى بالسؤال كيف ؟؟؟ فرضا لو ظهرت رساله ان رقم الاي بي يحاول الاتصال بجهازك من منفذ 12345 وهو النت بس وأخترت لا تسمح له للابد فانه في المرة الاخرى عندما يحاول اي شخص أستخدام هذا المنفذ للدخول لجهازك لن تظهر لك اي رساله كونه أضيف للقائمة السوداء , والمخترق لن يحصل على اي أشارة من جهازك وكما ان هذا الرقم غير متصل بأي جهاز ولا يعطى اي رد منك فأيهم افضل ان ترشد المخترقين لرقم الاي بي الذي يعمل علية جهازك ام تفضل الهدوء ؟؟ انا أصور المخترق وهو يحاول يخترق جهاز يمتلك هذا البرنامج كا شخص بداخل عازل للصوت لا يسمع الذي ينادية بالخارج ولا يستطيع ان يراه فكل من الاثنين لا يستطعون التواصل موقع هذا البرنامج هو http://www.atguard.com أنتهى غلق البوابات الخلفية للفيروسات داخل نظام تشغيل ويندوز غلق البوابات الخلفية للفيروسات داخل نظام تشغيل ويندوز نظام تشغيل النوافذ به بعض البوابات الخلفية التي يمكن أن تخترقها الفيروسات من هذه الأبواب تقنية تسمى Windows Scripting Host ويطلق عليها اختصارا WSH فإذا لم تسمع عنها من قبل فيجب أن تقرأ هذا الموضوع بعناية . الفيروسات الشهيرة مثل فيروس الحب I Love You وفيروس الحب الجديد New Love استغلت هذا الباب لكي تقتحم حاسبات ملاين المستخدمين وتصيبها بأعطال خطيرة . تقنية WHS تستخدم لكي تسمح لصفحات مواقع الإنترنت بأن تقوم بتشغيل برامج على حاسبات المستخدمين بدون تداخل منهم ومادام قد تم السماح بهذه الخصية فيمكن لصفحات الإنترنت التي تحمل فيروسات أن يتم تشغيلها على الحاسب بنفس الطريقة التي يتم بها تشغيل البرنامج العادي . خاصية WSH اختيارية ويمكن للمستخدم أن يلغيها وبذلك يحمى نفسه من الباب الخلفي لدخول الفيروسات ولكن ليست كل وجود هذا التقنية سيئة فهي لم تخترع لكي تصيب حاسباتنا بالفيروسات ولكن لها فوائد أخرى متعددة ولذلك علينا أن نقارن بين فوائدها وعيوبها وبعد ذلك نقرر هل من الأفضل إلغاؤها أم تركها. ميزات إلغاء WHS إلغاء هذه الخصية سيمنع صفحات الإنترنت التي تحمل فيروسات مثل فيروس الحب من العمل . وبذلك لن تتمكن من إلحاق الضرر بحاسبك . وبذلك تصبح ملفاتك في مأمن من الإصابة بهذه الفيروسات الخطيرة . أيضا لن يقوم حاسبك بإرسال نسخة من الفيروسات لحاسبات أصدقائك الذي تراسلهم عن طريق البريد الإلكتروني . إلغاء هذه التقنية ليس له تأثير سريع ومباشر على حاسباتنا فالحاسب سيستمر في العمل بطريقة طبيعية . برامج المجموعة المكتبية office وبرنامج الاكسبلور لتصفح الإنترنت لا تستخدم هذه التقنية ولذا فان إلغاء هذه الخصية لا يؤثر على استخدام هذه البرامج. عيوب إلغاء WHS بعض البرامج الأخرى غير التي ذكرت قد تستخدم هذه الخصية ولو قمنا بإلغائها فقد يؤثر ذلك على الطريقة التي تعمل بها هذه البرامج وللأسف لا توجد طريقة تخبرنا عن هذه البرامج والتطبيقات التي توجد على الحاسب .ولكن يمكنا القول أن أغلبية البرامج لا تستخدمها . خطوات إيقاف هذه الخاصية:- نظام نوافذ 98 - من قائمة البداية اضغط على settings - اختار التعامل مع لوحة التحكم control panel - افتح أيقونة Add/remove Programs - اختار التعامل مع وظيفة windows Setup - اضغط على مجموعة accessories ثم اضغط على مفتاح details - الغ العلامة الموضوعة أمام خاصية windows Scripting Host - اضغط مفتاح ok لتأكيد الاختيار. نظام نوافذ 2000 - افتح أيقونة حاسبك myComputer والتي توجد على شاشة سطح المكتب. - من قائمة الأدوات tools اضغط على اختيارات المجلدات folder Option - اضغط على وظيفة أنواع الملفات File Types . - ابحث عن VBScript Script File وقم بإلغائه - اضغط ok لتأكيد الاختيار 
|
||
|
|
|
|
11-11-2003, 02:49 PM
|
#5 | ||
|
Registered User
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
كيف تتخلص من الفيروس html.redlof.a. او folder.htt يدوياً
اعزائي .... ما اكتبه هنا هو عبارة عن تجربة مريرة خضتها على مدى عطلة الاسبوع الفائته و احببت ان اشارككم اياها ..... احد زملائي اخبرني بانه يرى ملف اسمه folder.htt في كل مجلد يفتحه على الوندوز و لا يستطيع ان يفتحه ليرى ما في داخلة حيث تظهر له الرسالة المعروفة access denied اي ان الوصول الى هذا الملف ممنوع ..... اضافة للملف folder.htt فانه يجد ايضا ملف اسمه desktop.ini .... وهذا الملف يمكنه فتحه لكنه لا يجد فيه اكثر من 5 سطور ولا تشكل اي خطر من وجهه نظرة .... فكان سؤاله لي هل هذا فيروس او لا ....... واذا كان فيروسا فهل يمكن ازالته و ما مدى الضرر الذي يلحقه بالجهاز ...... طبعا في البداية تذكرت اني قد رايت هذا الملف (folder.htt ) في اكثر من جهاز على مقاهي انترنت ولكني لم اكترث حينها له ولم احاول حتى فتحه ..... لهذا وافقت ان اذهب مع صديقي الى غرفته لنكشف على الجهاز ونرى ما المشكلة .... اول مجموعة ملاحظات كانت التالي .... - الملفين desktop.ini و folder.htt ملفان مخفيان لكنهما يظهران لان صديقي اختار ان يظهر الملفات المخفية من قائمة tools>>folderOptions ..... ولولا انه اختار اظهار كافة الملفات منذ زمن لما لاحظ وجود الملفين (عندما تختار اظهار كافة الملفات تظهر الملفات المخفية اصلا بلون باهت مقارنه مع بقية الملفات) - عند انشاء مجلد جديد فارغ في اي مكان على الجهاز ثم فتح المجلد نجد الملفان موجودان في داخله. ولكن عند انشاء مجلد جديد فارغ عن طريق الـ DOS ثم استعراض الملفات التي بداخلة من على الـ DOS ايضا لا نجد الملفين ولكن ما ان نستعرض المجلد نفسه من الوندوز ثم نعود و نستعرضه من الدوس حتى نجد انهما اصبحا موجودين في داخله. - حجم الملف folder.htt حوالي 15 KB . - الملف folder.htt لا يمكن فتحه ولا حذفه لا من الدوس و لا من الوندوز. - الجهاز اصبح بطيئا بشكل ملحوظ عند فتح مجلد حتى ولو كان فارغا. - عند ادخال قرص مرن في محرك الاقراص فانك بمجرد فتحه تجد الملفين موجودين في كل مجلد من مجلدات القرص المرن. الآن بدأت فعليا اشك في انه فيروس,لكن جهاز صديقي عليه McAfee Anti Vairus ولم يعلن عن وجود فيروس في الجهاز ثم انني تذكرت شيئ مهم .... اذكر منذ زمن انه يمكننا تخصيص مجلد ما من داخل الوندوز بحيث يظهر بشكل مختلف عن بقية المجلدات عندما نفتحه .... اقصد يكون له صورة معينة بدل الخلفية البيضاء العادية و يتغير لون و نوع الخط الذي تظهر به اسماء الملفات...... عندما قرأت اسم الملف folder.htt ربطت بينه و بين هذه الميزة و اعتقدت ان الوندوز تنشئ هذا الملف و تحفظه في اي مجلد نقوم بتخصيصه اي انه ليس فيروسا وانما احد ملفات الوندوز المعروفة .... وجدت ان استنتاجي المبدئي كان صحيحا عندما عدت الى جهازي السليم و بحثت عن ملف اسمه folder.htt ووجدته .... لكن المشكلة اني لم اجد سوى عدد قليل من الملفات وكلها لم يقل حجمها عن 20 KB ..... ففكرت بعمل تجربة .... جهازي يعمل عليه Norton Anti Vairus 2003 .... فقررت ان اجازف بادخال القرص المرن الذي جلبته من جهاز صديقي .... وبمجرد ان ادخلته ظهرت لي شاشه الـ Norton المشهورة التي تحذرك من وجود فيروس .... وكانت كما توقعت .... !! الملف folder.htt مصاب بالفيروس html.redlof.a .... ولا يمكن اصلاحه .... الآن تأكدت من صحه استنتاجي ...... فضغطت مباشرة على الرابط في الرسالة و الذي يأخذني الى موقع symantec و يقدم شرحا وافيا عن الفيروس المذكور .... وهذه هي الصفحة http://securityresponse.symantec.com....redlof.a.html يعتبر هذا الفيروس من اخطر الانواع من ناحية الانتشار وهو يسمى polymorphic اي متعدد التشكل او عديد التشكل .... المهم انه من النوع الذي يقوم بانشاء نسخ من نفسه و ينتشر بهذه الطريقه ..... وهذه بعض المعلومات عنه هذا الفيروس عبارة عن Visual Basic Script ينسخ نفسه في مجلد النظام system او system32 باسم kernal.dll او kernal32.dll ويصيب الملفات من نوع html,htm,php,asp,jsp, vbs .... يقول موقع symantec انه يوجد 50 - 999 اصابة مسجلة لديهم مع اني اعتقد ان الرقم الحقيقي اكبر من هذا بكثير خصوصا واني قد رايت اجهزة اخرى مصابة بالفيروس ولم اعرف حينها انه فيروس .... اهم شيئ انه يقوم بعمل تعديلات معينه في الرجستري لكي يضمن ان يقوم النظام باعتبار اي مجلد هو مجلد مخصص و ينسخ الفيروس اليه .... على الاقل هذا مااعتقد انه يحصل .... ثم عندما تستعرض المجلد اذا كنت تستخدم اسلوب عرض المجلدات كصفحات ويب .... فانك لن تستطيع رؤية الملفات ولكنك سترى احرف غريبة تملا نافذه متصفح الوندوز ..... ولحسن الحظ ان صديقي لم يكن يستخدم هذا الاسلوب .... لكن المشكلة لا زالت قائمة ..... الفيروس " مبسط في جهاز الرجال و مسوى حفلات كل ليلة .... و سامري و بلوت و كل شي .... يعني ماخذ راحته على الآخر " الآن ما الحل ...... كيف استطيع ازالته .... في البداية ..... ادركت انه لا يمكن حذف كل الملفات بكل بساطة .... ولكني بدأت احاول ..... ذهبت لموجة الدوس ثم نفذت المر التالي edit folder.htt طبعا امر edit يقوم بعرض محتويات الملف في محرر نصوص عادي على بيئة الدوس ..... لكن هذا لم يفلح فالملف لا يمكن الوصول البه..... تماما نفس الرساله التي تظهر في الوندوز ..... قمت بخدعه اخرى .... نفذت الامر التالي edit هذا الامر يفتح لك المحرر فارغا بحيث تستطيع الكتابة ثم حفظ الملف تماما كبرنامج النوت باد ..... وهنا استغليت الموقف و حفظت الملف "الفارغ" باسم folder.htt في نفس المجلد الذي يوجد فيه الملف folder.htt من قبل ..... ماذا تتوقعون انه حدث .....؟! طبعا سالني المحرر " يوجد ملف اصلا باسم folder.htt هل تريد الحفظ عليه ؟ " فاجبت بنعم ... وحصل بالضبط ما توقعته ..... لقد تم محو الملف الاصلي ... وبشكل ادق ... اصبح الفيروس عبارة عن ملف فارغ باسم folder.htt ... وغير مخفي ... وطبعا حجمة 0 kb .. فكرت بعدها .... هذه الطريقة لن تكون عملية ... فانا لن استطيع الدخول الى كل مجلدات القرص الصلب و تكرار نفس العملية في كل مرة .... اي اني لن استطيع ان افتح المحرر ثم احفظه بنفس الاسم في كل مجلد في القرص الصلب ثم و الاهم من هذا انها بمجرد ان تفتح ايا منها من الوندوز مرة اخرى ستجد ان الملف قد عاد على ماهو عليه .... و اصبح الملف حجمه 15 kb مرة اخرى .... اذا ما العمل .... يجب ان اوقف نشاط الفيروس التكاثري اي ان احاول منعه من نسخ نفسه في كل مجلد يتم فتحه من الوندوز .... و هنا عدت لموقع symantec .... فوجدت هذه التعليمات لازالة الفيروس يجب ان 1- تحدث تعريفات الفيروسات في برنامج النورتون 2- تعمل فحص شامل للملفات و احذخ كل الملفات المصابة بالفيروس 3- اعكس العمليات التعديلات التي احدثها الفيروس في ملف الرجستري ... الكلام اسهل من الفعل .... لاني في البداية اضطررت للبحث عن قرص تركيب برنامج النورتون وبعد ان ازلت McAfee الذي لم يكتشف حتى وجود الفيروس و ركبت Norton بعد جهد جهيد بدا يزعجني بشكل لا يطاق,حيث انني كلما فتحت اي مجلد اجد انه يظه لي رسائل التحذير التي لا تنتهي الى درجة اني فكرت في ان الغي تركيبة من على الجهاز .... لكني فكرت مرة اخرى .... بعد ان لاحظت ان الفيروس لم يعد ينتقل الى المجلدات الجديدة .... فكل ما حاول ذلك يمنعه النورتون من تنفيذ الكود الخاص بالفيروس و بالتالي لا يستطيع نسخ نفسه بعد الآن الى المجلدات الجديدة ..... لكن المشكلة ان الجزء الخاص بالفحص الشامل في النورتون و الذي يكتشف كل الملفات المصابة ثم يزيلها لا يعمل !! .... هكذا بكل بساطة لا يعمل !! كلما ضغطت على الايقونة تظهر لي علامة الساعة الرملية ولكن البرنامج لا يعمل و عندما ابحث عنه في قائمة البرامج Alt+Ctrl+Del لا اجد اي عملية جارية لها علاقة بالنورتون .... هل يعقل ان الفيروس يمنع الجزء المتعلق بالفحص الشامل في نورتون من العمل ؟؟ ....!!! هذا ما لم اجد له جوابا ..... لكني حاولت بكل الطرق و شغلت النورتون عدة مرات .... و اعدت تشغيل الجهاز كذا مرة .... ولم تحل المشكلة النورتون لا يعمل ... الجزء الوحيد الذي يعمل هو الجزء المزعج .... التنبيهات التي لا تتوقف ولا تستطيع لا ازالة الملف ولا حتى احتوائة Quarantine .... ما العمل اذا ... تركت الملفات المصابة الآن وشغلت الرجستري ... run > regedit و تتبعت المسار االتالي 1- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run ثم حذفت المدخل Kernel32 من الجزء الايمن ... 2- HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\ Microsoft\Outlook Express\[Outlook Version].0\Mail ثم حذفت القيم Compose Use Stationery Stationery Name Wide Stationery Name 3- HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Ou tlook\Options\Mail وحذفت EditorPreference و اخيرا 4- تتبعت هذه المسارات HKEY_CLASSES_ROOT\dllFile\Shell HKEY_CLASSES_ROOT\dllFile\ShellEx HKEY_CLASSES_ROOT\dllFile\ScriptEngine HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode و حذفتها كلها .... الآن المفروض ان الفيروس لا يستطيع التحكم بالمجلدات و نسخ نفسه اليها .... بقيت امامي العقبة الاخيرة .... وهي ازالة الملفات المصابة .... طبعا الفيروس يصيب الملفات من نوع htm و html و و و لكنني الآن ساركز على الملفات المسماه folder.htt وهي التي تحمل الفيروس بشكل صريح خصوصا و اني لا استطيع ان اعرف اي الملفات الاخرى تحمل الفيروس بدون ان استخدم برنامج النورتون ..... لكن المشكلة ان المساعدة الواردة في موقع symantec تنتهي عند هذا الحد ... فهي تتطلب استخدام النورتون ..... و النورتون لا يعمل .... و المشكلة لا استطيع الاتصال بالانترنت حاليا .... ماذا افعل ؟ الحل يجب ان يأتي من الدوس .... عدت مرة اخرى لموجه الدوس .... وحاولت استخدام امر del مرة اخرى ... لم ينجح .... استخدمت امر جديدا اسمه erase يقوم بنفس العمل .... ولم ينجح هو الآخر ... ثم اهديت الى فكرة مجنونة ..... لمذا لا ازيل خاصية الاخفاء من الملف ثم احاول حذفه ..... و جربت attrib folder.htt -h فنجح الامر .... ونفذت بعدها امر attrib *.* لاجد ان الملف folder تحول الى R و A اي انه اصبح ملف للقرائه و الحفظ .... اها ... هل يمكن ان اقرا الملف الآن بواسطة محرر الدوس ..... كنت متشوقا لاعرف كيف كتب الفيروس .... لكن يبدو اني كنت ساذجا .... فلم اتمكن من قرائته حتى ببرنامج hex editor ... لكنه الآن ليس مخفيا ..... اذا لمذا لا احاول ان احذفة مرة اخرى ... del folder.htt وكانت المفاجأة لقد تم حذف الملف!! لم اصدق ما رأيت .... عندها عملت patch file وهو ملف تنفيذي يحتوى سلسلة من اوامر الدوس التي تنفذ تباعا بدون ان يحتاج المستخدم لكتابتها كل مرة .... وكتبت فيه الاوامر التاليه attrib folder.htt -h /s attrib desktop.ini -h /s del folder.htt /s del desktop.ini /s طبعا الحرف s يعني ان يبحث في كل المجلدات الموجودة في السواقة و المجلدات التي داخل كل مجلد ..... طبعا بعد ان نفذت الملف .... الذي اسميته folderhttFixer.bat .... استغرق وقتا طويلا قبل ان يعلن لي وبكل زهو انه ازال كل ملفات الفيروس  ولكن مهلا بقيت عدد من المفات من الانواع htm و html و php و غيرها .... ما العمل الآن ؟؟؟ عدت الى النورتون و بمجرد ان ضغطت على ايقونه الفحص الشامل ..... اشتغل البرنامج! و قام بفحص شامل و وجد حوالي 200 ملف من الانواع المذكورة ... وطبعا طلبت منه حذفها جميعا .... واما الـ patch file الذي عملته .... فقد وجدت مفيدا مع الاقراص المرنه بمجرد ان انسخه الى احدها و انفذه يمسح كل ملفات الفيروس و تعود الاقراص نضيفة مرة اخرى بدون الحاجة الى عمل فورمات و ضياع الملفات الاخرى المفيدة عليها ... هذه كانت مشكلتي ..... التي شيبت رأسي الى ان حللتها .....لكن بفضل الله تم حلها في النهاية و التخلص منه
|
||
|
|
|
|
11-11-2003, 02:51 PM
|
#6 | ||
|
Registered User
تاريخ التسجيل: Sep 2003
المشاركات: 411
|
3- امن المواقع
بسم الله الرحمن الرحيم حادثة اختراق: استخدام السرفر لتنزيل البرامج و الافلام **** أحداث هذه قصة خيالية ولكنها قد تتكرر مع اختلافات بسيطة مع بعض الناس, و هي محاولة لتغيير اسلوب الكتابة لجعله ممتع أكثر من غيره. ان اردت تنفيذ ما سيتم ذكره في هذه القصة و في غيرها فنفذفه على مسؤوليتك **** جمال, شاب طموح في الرابعة و العشرين من العمر, قام مؤخراً باستئجار سرفر من احدى شركات الاستضافة الكبرى في محاولة لدخول هذا السوق و لزيادة معلوماته في هذا المجال. معلومات جمال الامنية لم تكن كثيرة, فلم يكن يهتم بترقية البرامج المستخدمة في السرفر الذي توقعه ان يكون آمناً بدون ان يهتم به. بعد بحث طويل و مراجعة اسعار و سمعة شركات استضافة عديدة , قرر ان يأخذ سرفر لنكس رد هات 7.2 بمعالج 1.7 من بنتيوم 4 مع ذاكرة 512 ميغا بايت و قرص صلب من نوع SCSI بحجم 18 جيجا بايت, والاكثر اثارة هو ان الباندودث كان 500 جيجا في الشهر! مع لوحة التحكم التي جاءت مع السرفر و هي Ensim 3.1. بدأ مشروع جمال بالنجاح حيث انه استضاف 7 مواقع في اقل من شهر و أحس انه بدأ بتكوين سمعة بين اصدقاءه, الى ان جاء هذا اليوم الاسود. تلقى جمال اتصال هاتفي من احد اصدقاءه الذي يستأجر منه مساحة في سرفره يشتكي من أن الباندودث الخاص بموقعه قد انتهى! مع انه في اول اسبوع من الشهر الجديد و موقعه ليس من المواقع التي تشهد اقبال شديد بعد!. أخبره جمال انه سيتأكد من الوضع بعد قليل و يرد عليه. لم تمر دقائق حتى اتصل به آخرون من الذين لديهم مساحة ايضا في سرفره يشتكون من نفس المسألة. هنا أحس جمال ان هناك أمراً وراء الموضوع فقرر ان يعود الى الحساب الخاص به ليتأكد من كل شي بالتفصيل. بدأ جمال بتفحص الباندودث المستخدم, فوجده قد قارب على الانتهاء! اكثر من 400 جيجا في اقل من اسبوع! بدأ قلب جمال يدق بقوة و هو يسأل نفسه, ماذا حصل بالضبط؟ و كيف لي ان اكمل بقية الشهر بدون باندودث! لم يستطع التركيز وقتها و لم يعلم بماذا يبدأ و ماذا يفعل بالضبط, كل مافعله هو ان اتصل بصديقه محمد الذي لديه خبرة جيدة في اللنكس و اخبره بما حصل, أخبره محمد أنه سيأتي خلال ساعة اليه ليرى الوضع بالتفصيل و طلب منه اغلاق جميع الخدمات المستخدمة في السرفر عدا الSSH لحين قدومه. ماذا حصل لسرفر جمال؟ ماهي الخطوات المناسبة التي يجب ان تتخذ في هذه الحالة؟ لنكمل معاً.. بعد ساعة تقريباً وصل محمد الى مكتب منزل جمال الذي كان منزعجاً للغاية, فهدأه محمد و طلب منه مزيداً من التفاصيل حتى يصلوا الى الكمبيوتر الخاص بجمال, فلم يزده جمال شيئاً غير ما يعرف. جلس محمد و بدأ باستخدام حساب الرووت في الssh للدخول الى السرفر ليرى ماهو الوضع. ادخل الامر df لمعرفة نسبة استخدام القرص الصلب, فأخبره محمد انها نسبة كبيرة ليست من المفرض ان تكون بهذا الحجم. فعرف محمد ان احتمال اختراق سرفر جمال امر وارد و ان المخترقين استخدموه لوضع ملفات موسيقى او افلام ليتم مبادلتها على الانترنت و استخدام الباندودث الخاص بسرفر جمال لها الغرض. أغلب المخترقين يرغبون في الرجوع مرة اخرى باسلوب خفي نوعاً ما, و في الغالب فانهم يستخدمون برامج تقوم بخداع السؤول عن النظام فلا يعرف ان كان جهازه قد تم اختراقه ام لا, هذه البرامج تعرف باسم rootkits فهي تقوم ب"تعديل" بعض الاوامر مثل امر ls لعرض بعض الملفات و المجلدات دون غيرها, و في العادة فان الملفات و المجلدات الخاصة بالمخترق لن تعرض! قرر محمد في البداية ان يتأكد من استخدام هذه البرامج, فنزل نسخة حديثة من Chkrootkit لكشف هذه البرامج و استخدمه بسرعة, و كما توقع فقد وجد الناتج التالي مع بعض الامور: Warning: Bogus unix lines detected علم محمد ان سرفر جمال قد تم اختراقه و تعديل بعض الامور في السرفر و أبسط و أأمن طريقة لاسترجاع السرفر مرة اخرى بشكل مضمون هو اعادة تنصيب النظام بعد عملية فورمات. لكنه قرر ان يكمل المشوار والبحث عن الامور التي تم تعديلها, خصوصاً بعد ان عرف من جمال انه لم يقم بترقية الخدمات الموجودة ابداً. ادخل محمد الامر التالي: cat /etc/passwd و شاهد اسماء غريبة للمستخدمين مثل mysqi , noone فسأل جمال ان كان الذين يستضيفهم يملكون هذه الحسابات فأجاب بالنفي, فأكمل بالاوامر التالية: cat /etc/shadow cat /etc/groups وجدهم في تلك الملفات ايضاً, فأخذ ورقة خارجية و دون هذه المعلومات و فتح محرره المفضل البيسط vi و بدأ بمسح السطور الخاصة بهذه الحسابات. نفّذ محمد الامر التالي لمعرفة من دخل على السرفر و في اي وقت last فوجد احد هذه الحسابات قد دخل و دوّن الوقت الذي دخل فيه في ورقة خارجية و اكمل العمل أراد محمد ان يعرف ماذا فعل المخترق بالضبط , فنفذ الامر التالي لمعرفة مكان ملف السجل الخاص بالاوامر المستخدمة find / -name .bash_history وجد ملف .bash_history للحسابين السابقين و دوّن في ورقة خارجية جميع الاوامر المذكورة و التي تم استخدامها من قبلهم. يعلم محمد ان ملفات الlog هي أهم الملفات في هذه الحالة, لانها توضح ماذا حصل للنظام بالتفصيل, فأراد ان يرى ماهي الخدمات تعمل حالياً غير التي قام جمال بأغلاقها, فنفّذ الامر التالي: ps -aux |grep syslogd لم يجد syslogd في النتيجة, علم ان الوضع غي رطبيعي فهذا البرنامج الخاص بتسجيل الlog للنظام , و من الطبيعي ان يراه يعمل, فمن قام باغلاقه؟! الجواب معروف, لكي لا يتم تسجيل المزيد من المحاولات من قبل المخترق في النظام,قام محمد باعادة تشغيله: /etc/rc.d/init.d/syslogd restart أخذ محمد الان بالبحث عن الملفات التي يشك في انه تم استخدامها, في اغلب الظن فان تبادل هذه الملفات تم بواسطة الFTP او بواسطة برامج مشاركة الملفات امثال kazaa و غيرها و ربما الاثنين معاً! فأخذ محمد بالبحث عن احتمالية تفعيل استخدام حساب ال anonymous في تحمي لو تنزيل الملفات فكتب الاوامر التالية: cd /etc/proftpd ls -la *.anonftp من المفترض ان تكون جميع الملفات او وجدت ات حجم صفر! وجد محمد ملف واحد حجمه يصل الى 250 بايت, فحذف محتوياته. ثم اخذ بتفحص ملف اللاعدادات الخاص بسرفر الFTP : cat /etc/proftpd.conf فوجد محمد اضافة توقعها و هي DefaultRoot , هنا عرف مكان وجود الملفات من دون ان يبحث عنها بشكل مباشر و تأكد من ان السطر هذا لم يقم جمال باضافته فحذفه بعد ان دون المعلومات و حفظ الملف و اعاد تشغيل سرفر الFTP /etc/rc.d/init.dproftpd restart قام محمد بحذف الملفات التي وجدها في المسار المذكور في ملف الاعدادات, اغلبها كانت ملفات تنتهي بrar , r01, r02 ,,الخ و هي ملفات مضغوطة و مقسمة الى اقسام ليتم جمعها بعد عملية تنزيلها. اراد محمد التأكد من عدم وجود ملفات كبيرة نوعاً ما في النظام فنفّذ الامر التالي: find / -size +30000k فوجد ملفات اخرى حجمها اكثر من 30 ميغا بايت فقام بحذفها ثم اعاد تشغيل الChkrootkit فلم تتكرر النتيجة السلبية مرة أخرى. أدرك محمد ان السرفر في وضع جيد حالياً رغم انه من الممكن ان استخدام تقنيات و طرق اخرى من الممكن ان تخدع محمد في النتائج التي حصل عليها. قام محمد بترقية نسخة لوحة التحكم الى أحدث نسخة موجودة و هي بدورها ستقوم بترقية أغلب الخدمات المستخدمة لتفادي عمليات الاختراق التي تتم لوجود ثغرات في احدى نسخ الخدمات المستخدمة. أعاد محمد تشغيل بقية الخدمات بعدها و كان على جمال ان يدفع بعض المال لكي يزيد من حجم الباندودث المستخدم لدرجة تكفيه الى نهاية الشهر الحالي. شكر جمال صديقه محمد على المساعدة و دعا له بخير. اتمنى ان يكون الدرس مفيداً نوعاً ما خصوصاً بعد استخدام اسلوب جديد في العرض الذي اتمنى ان يكون قد نال اعجابكم. تحياتي و لاتنسونا من الدعاء.
|
||
|
|
|
|
24-04-2006, 01:57 PM
|
#7 | ||
|
عضو جديد
تاريخ التسجيل: Apr 2006
المشاركات: 1
|
انا عاوز طريقة او برنامج للدخول على برتشنات اجهزة الشبكة المحلية
|
||
|
|
|
|
21-03-2007, 02:33 PM
|
#8 | ||
|
عضو
تاريخ التسجيل: Mar 2007
المشاركات: 319
|
مشكوووور
|
||
|
|
|
|
05-01-2008, 12:41 AM
|
#9 | ||
|
عضو
تاريخ التسجيل: Dec 2007
الدولة: عراقي في مصر
المشاركات: 100
|
بارك الله فيك واسكنك الله فسيح جناته
يا اخي وفيت وكفيت تقبلي مروري واحتراماتي وعاشت ايدك
|
||
|
|
|
|
10-01-2008, 04:00 AM
|
#10 | ||
|
عضو جديد
تاريخ التسجيل: Jan 2008
الدولة: بلد لم اعهد العيش فيها !!
المشاركات: 21
|
مشكوووور
|
||
|
|
|
 |
| مواقع النشر (المفضلة) |
| الكلمات الدلالية (Tags) |
| أمن , لفصل , المعلومات , شرح |
| أدوات الموضوع | |
|
|
|
|||||||||||||||||||||||||||
