صفحة 1 من 3 1 2 3 الأخيرةالأخيرة
النتائج 1 إلى 15 من 43

الموضوع: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

  1. #1
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟



    هناك مشاركة طيبة من الأخ hamzeh soft جزاه الله خيراً عنوانها "اعرف اذا جهازك مخترق او لا فقط في 20ثانية". وهي عبارة عن اختبار يقوم بفحص المنافذ إذا ما كانت مغلقة أو مفتوحة.

    هذا الاختبار وإن كان مفيداً إلا أنه لا يدل على أن الجهاز مخترق حتى لو ظهر لديك منفذ بالأحمر.

    والعديد منّا يتسأل كيف لي أن أعرف أن جهازي مخترق أم لا؟
    ما هي الطريقة التي يمكنني استخدامها لمعرفة ذلك؟
    هل تعرف ما هي svchost.exe؟
    وما هي الخدمات التي تقوم بها؟
    هل تستطيع عرض البرامج التي تستخدمها من خلال سطر الأوامر؟

    هذا الدرس يا أحباب مهم جداً لكل من هو مهتم بأمن حاسوبه ويرغب بمعرفة ما اذا كان حاسوبه مخترقاً أم لا.

    ونظراً لأهمية الدرس وكون الفائدة المتحصلة من التفاعل اكثر بكثير من الفائدة التي يمكن الحصول عليها من خلال القراءة فقط (سواء الموضوع كاملاً أو بعض فقراته) فارجو منكم يا كرام عمل بحث أو الاتيان بفكرة مهما كانت بسيطة وسنحاول إن شاء الله تناولها بالشرح. حتى نصل إلى جواب السؤال وهو كيف نعرف إذا ما كان الجهاز مخترقاً أم لا؟

    =======================================
    عن جابر عن النبي صلى الله عليه وسلم قال : من قال :" سبحان الله العظيم وبحمده غرست له نخلة في الجنة "
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  2. #2
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:

    كود:
    wmic process
    لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  3. #3
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    لحد الآن لا يوجد تفاعل من قبل الأعضاء المحترمين

    طيب نجرب السؤال التالي:

    مالفرق بين الأمرين التالين: (على فرض أنك نفذت الأمر wmic من خلال سطر الأوامر)

    كود:
    wmic:root\cli>process list brief
    و

    كود:
    wmic:root\cli>process list full
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  4. #4
    عضو
    تاريخ التسجيل
    Feb 2008
    المشاركات
    33
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    ياريت ياعزيزي انك تشرح على مبدأ ان اكثر الناس بيستخدموا DOS وليس ليونكس
    وبالنسبة للامر الاول تم تنفيذه ولعله يشرح علاقة البرامج التي تم تحميلها والتهديدات القادمه منها و ارجو التصحيح مع الشرح الوافي لو سمحت اما بالنسبة للامر الثاني فلم يتم تنفيذه ولا اعلم ماهو السبب

  5. #5
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    أخي عادل الشرح كله لويندوز ولا يوجد شيء للينكس في هذا الدرس. (إلاّ إذا كنت تقصد شيئاً آخر)

    بالنسبة للشرح فسيتم إن شاء الله تناوله بالتفصيل. ولكن أحب أن أعطي باقي الإخوة فرصة للتفاعل.

    وشكراً لمرورك
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  6. #6
    عضو
    تاريخ التسجيل
    Jun 2008
    المشاركات
    611
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    wmic process
    يبدوا ان الموضوع جامد

    ممكن حضرتك توضح ايه هو الامر ده
    وليه منعتمدش على end task or task manager
    عشان نعرف الحاجات الللى شغاله

    الامرين الاخريين لم يعملوا

    الامر الاولنى اشتغل
    وعطانى معلومات على ما اعتقد عن البرامج او العمليات اللى شغاله
    بس انا معرفتش اقراها لانها غير مرتبه

    وشكرا.....

  7. #7
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    سؤالك ممتاز أخي ياسر. السبب في عدم اعتماد task manager هو أنه لا يعرض جميع البرامج التي تعمل كذلك لا يعطيك التفاصيل حول اتصال هذه البرامج سواء مع الشبكة أو مع غيرها وأين موقعها وغير ذلك من المعلومات.

    عندك مثلاً svchost.exe وهي خدمة تستعملها البرامج للاتصال مع الانترنت في task manager تظهر هذه الخدمة ولكن نحن نريد بحث اعمق بحث يظهر لنا ما هي البرامج التي تستخدم هذه الخدمة لأنه في حالة كون الجهاز مخترقاً سيظهر البرنامج المشبوه كأحد البرامج التي تستخدم svchost.exe للاتصال بالانترنت.

    الأمران لم يعملا لأنك نفذتهما من سطر الأوامر مباشرة هكذا:

    كود:
    c:\>process list brief
    إذا أردت التفيذ بهذه الطريقة يكون الأمر كالشكل التالي
    كود:
    wmic process list brief
    أنا وضعت الأمران مفترضاً أن المستخدم -كما هو في الشرح أصبح يعمل على شريط أدوات WMIC

    والذي يظهر كالشكل التالي بعد تنفيذ الأمر wmic
    كود:
    wmic:root\cli>
    ارجو أن تكون الصورة أكثر وضوحاً الان
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  8. #8
    عضو
    تاريخ التسجيل
    Jul 2008
    المشاركات
    309
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    السلام عليكم ورحمة الله وبركاته
    احب اشكرك اخي على هذا الموضوع
    الامر
    wmic process list brief
    لو استخدمنا الامر msconfig نستطيع من خلاله معرفة البرامج التي تعمل وبكل سهولة نستطيع ايقافها
    وايضا طريقة اخرى من خلال الامر regedit
    ثم فتح الملفات التالية بالترتيب
    HKEY_LOCAL_MACHINE
    - Software- Microsoft
    - Windows
    - Current Version
    -Run
    نجد انا حصلنا على البرامج التي تعمل
    طبعا هنا كيف نفرق بين البرامج الضارة والنافعة ؟
    لاحظ الملفات جيدا فان وجدت ملف لايقابله عنوان بالـــ Data او قد ظهر امامه سهم صغير<--- فهو ملف تجسس اذ ليس له عنوان معين في الويندوز .
    طبعا لا اقول كلها اذا كنت تثق في البرنامج 100% اتركه
    اترك المجال لك لنستفيد من علمك انت والاخوان الاعضاء وبارك الله فيكم

  9. #9
    عضو
    تاريخ التسجيل
    Jun 2008
    المشاركات
    611
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    شكرا اخ باحث عن المعرفة على التوضيح
    ياريت تكمل باقى الموضوع

    وشكرا....

  10. #10
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    بارك الله فيكم إخواني على تفاعلكم.

    نبدأ إن شاء الله شرح الخطوات الأولى لتحديد إذا ما كان هناك اختراق هي من خلال الأداة المهمة والقوية جداً WMIC.

    نبدأ على بركة الله.

    الخطوة الأولى:

    كود:
    WMIC process
    طريقة عمل WMIC (المفضلة) هي WMIC [something]

    طبعاً something يمكن أن تكون أي شيء تتدعمه WMIC هذا ال something أيضاً سوف يحتوي على خصائص خاصة به كما ذكرنا في درس تغيير الأي بي من سطر الأوامر وكما سنبين لاحقاً.

    في حالتنا هذه نريد أن نرى جميع العمليات الجارية على الحاسوب من خلال إلحاق process ب wmic وهذا سيظهر لنا هذه العمليات والملف المرتبط بها تاريخ إنشائها إلى غيره من الأمور بصراحة تفصيل ممل لكل عملية ونظراً لكثرة المعلومات المعروضة من خلال هذا الأمر نلجأ لأمر آخر.

    كود:
    wmic process list brief
    هذا الأمر باختصار يطلب من wmic عرض معلومات مختصر للعمليات التي تجري على الحاسوب.

    هذه المعلومات هي عبارة عن اسم العملية رقمها أهميتها وغير ذلك من الخصائص الغير مهمة (لا تلزمنا في محاولتنا معرفة اذا ما كان الجهاز قد تم اختراقه ام لا).

    الأمر الآخر الذي يعطينا تفاصيل أكثر هو

    كود:
    wmic process list full
    سيعطي معلومات تفصيلية أكثر من list brief ولكن مرتبة أكثر من process .

    أهم تفصيل في اعتقادي هو موقع احد الأوامر (البرامج أو العلميات) ونظراً للعدد الكبير في العمليات فسنحتاج في الكثير من الاحيان إلى إما عرض مخرج الامر بطريقة صفحة صفحة من خلال اضافة more

    كود:
    wmic process list full | more
    أو في أحيان أخرى لمعرفة معلومات حول علمية معينة

    كود:
    wmic process list full | find "cmd.exe"

    عند محاولتنا تحديد إذا ما كان الجهاز قد تم اختراقه أم لا نحتاج إلى المرور بكل العمليات (تستغرق وقتاً) ومن ثم تحديد ما اذا كان للعملية داعي أم أنها عملية غير شرعيّة.

    في بعض الأحيان نحتاج إلى معلومات حول جميع العمليات التي تعمل عند بداية تشغيل النظام (أو عملية الدخول إلى نظام التشغيل) في هذه الحالة نحتاج إلى الأمر التالي

    كود:
    wmic startup list full
    أو

    كود:
    wmic startup list brief
    تبعاً للتفصيل الذي نبحث عنه (هل نريد تفصيل ممل أم مجرد سرد للعمليات)


    في الدرس القادم سنشرح أوامر أخرى نحتاجها لمعرفة إذا ما تم اختراق الجهاز أم لا. حتى ذلك الدرس إن شاء الله أترككم إخواني مع هذه الاوامر والتي ارجو منكم محاولة تنفيذها وأخذ فكرة عن نتيجة التنفيذ.

    كود:
    netstat -nao
    كود:
    netstat –s –p tcp

    =================================================

    عن أبي عمير الأنصاري رضي الله عنه قال : قال رسول الله صلى الله عليه وسلم :" من صلى عليّ صلاة واحدة صلّى الله عليه عشر صلوات ، وحطت عنه عشر خطيئات ، ورفعت له عشر درجات ، وكتبت له عشر حسنات " رواه أحمد


    اللهمّ صلِّ وسلم وبارك على نبينا محمد وأله وصحبه.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  11. #11
    عضو
    تاريخ التسجيل
    Feb 2008
    المشاركات
    33
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    هذا الامر NETSTAT كما هو معروف يظهر لك CONNECTION المرتبطة بالجهاز المنفذ عليه هذا الامر كذلك يبين البورتات المفتوحة ولكن المر الذي كتبته يااخ باحث عن المعرفه يبدو انه يوضح الاتصال الذي هو من نوع TCP
    هذا والله اعلم

    وياريت بأن يكون هنالك تفاعل اكبر بحيث يتم تفعيل هذا القسم بشكل اكبر وربنا يعطيك العافيه ياباحث

  12. #12
    عضو
    تاريخ التسجيل
    Jun 2008
    المشاركات
    611
    معدل تقييم المستوى
    0

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    حقيقى موضوع جامد وحبه اوامر جامده

    درس بجد بجد

    وياريت تكمل انا متابع معاك
    وشكرا..

  13. #13
    عضو فضي الصورة الرمزية مجلـد جديـد
    تاريخ التسجيل
    Feb 2005
    المشاركات
    2,436
    الدولة: Saudi Arabia
    معدل تقييم المستوى
    16

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    شكرا لك على هذا الموضوع الرائع جدا والمهم ، اتمنى ان تستمر في الكتابة في هذا الموضوع بالتحديد لانه بصراحه مفيد جدا ومهم .

    طبقت الامر netstat -s -p tcp -on وظهرت النتيجة كتالي:

    كود:
    C:\Documents and Settings\power user>netstat -s -p tcp -on
    
    TCP Statistics for IPv4
    
      Active Opens                        = 86594
      Passive Opens                       = 51324
      Failed Connection Attempts          = 15608
      Reset Connections                   = 14714
      Current Connections                 = 28
      Segments Received                   = 3375847
      Segments Sent                       = 3098353
      Segments Retransmitted              = 177054
    
    Active Connections
    
      Proto  Local Address          Foreign Address        State           PID
      TCP    127.0.0.1:1071         127.0.0.1:1072         ESTABLISHED     2956
      TCP    127.0.0.1:1072         127.0.0.1:1071         ESTABLISHED     2956
      TCP    127.0.0.1:1073         127.0.0.1:1074         ESTABLISHED     2956
      TCP    127.0.0.1:1074         127.0.0.1:1073         ESTABLISHED     2956
      TCP    127.0.0.1:1110         127.0.0.1:1382         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1390         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1393         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1398         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1402         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1428         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1600         ESTABLISHED     1572
      TCP    127.0.0.1:1110         127.0.0.1:1601         ESTABLISHED     1572
      TCP    127.0.0.1:1382         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1390         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1393         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1398         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1402         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1428         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1600         127.0.0.1:1110         ESTABLISHED     2956
      TCP    127.0.0.1:1601         127.0.0.1:1110         ESTABLISHED     2956
      TCP    192.168.1.68:1383      212.71.37.134:8080     ESTABLISHED     1572
      TCP    192.168.1.68:1392      212.71.37.134:8080     ESTABLISHED     1572
      TCP    192.168.1.68:1397      212.71.37.134:8080     ESTABLISHED     1572
      TCP    192.168.1.68:1399      212.71.37.134:8080     ESTABLISHED     1572
      TCP    192.168.1.68:1403      212.71.37.134:8080     ESTABLISHED     1572
      TCP    192.168.1.68:1429      212.71.37.95:8080      ESTABLISHED     1572
      TCP    192.168.1.68:1602      212.71.37.95:8080      ESTABLISHED     1572
      TCP    192.168.1.68:1603      212.71.37.95:8080      ESTABLISHED     1572
    العناوين 212.71.37.95 و 212.71.37.134 تابعة ل ISP كما اتوقع (لانها تبدا ب 212.71 وجميع عناوين مزود الخدمة نسما تبدا هكذا)
    والعنوان 192.168.1.68 هو عنوان الجهاز على الشبكة المحلية.
    لكن لا ادري ماهو 127.0.0.1 ؟؟ هل هذا العنوان خاص بالجهاز؟

    بالنسبة لل process id ف 2956 مخصص لل firefox و 1572 مخصص ل avp وهو الكاسبرسكاي.

    لكن عند استخدام الامر netstat -aon فان الكثير من ال processes تظهر وبعضها يكون مرتبط ب svchost ونوعه tcp ايضاً! فلماذا لم يظهر سابقا عند استخدام الامر netstat -s -p tcp ؟

  14. #14
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟

    جزاكم الله خيراً إخواني على تفاعلكم. سأحاول إن شاء الله غداً إضافة تتمة الشرح.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  15. #15
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [درس] ما هي الخطوات العملية لمعرفة إذا ما كان الجهاز مخترق أم لا؟



    netstat
    The Windows netstat command shows network activity, focusing on TCP and UDP by default. Because malware often communicates across the network, users can look for unusual and unexpected connections in the output of netstat, run as follows:

    هذا الأمر يظهر النشاطات الموجودة على الشبكة. البرامج المستخدمة في الاختراق تستخدم الشبكة للاتصال فيما بينها، بالنظر لمخرجات هذا الأمر نحاول البحث عن هذه البرامج المشبوهة نحاول الاطلاع على المنافذ في محاولة لمعرفة اذا كان احدها مستخدم من قبل هذه البرامج. بالطبع سوف نحتاج الى استخدام غوغل في كثير من الاحيان للمساعدة ولكن ذلك في البداية فقط بعدها تصبح الامور اسهل بالطبع ان شاء الله.

    -a اظهار كافة المنافذ والاتصالات
    -n اظهار الارقام فقط (الاي بي والمنفذ) لا يظهر اسم الحاسب او اسم الموقع الذي يتصل به.
    -o اظهار رقم العملية المتصلة.
    -s احصائيات محول الاتصال
    -p تحديد البروتوكول مثل tcp, udp, icmp

    جزاك الله خيراً أخي مجلد جديد على الاضافة الممتازة. كما تفضلت 127.0.0.1 هو العنوان الخاص بالجهاز كل جهاز فيه العنوان.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

صفحة 1 من 3 1 2 3 الأخيرةالأخيرة

المواضيع المتشابهه

  1. هل الجهاز مخترق
    بواسطة themohamed_msss في المنتدى مشاكل الحاسب وحلولها
    مشاركات: 3
    آخر مشاركة: 24-05-2012, 00:25
  2. مشكلة الجهاز مخترق
    بواسطة أميرالليل في المنتدى مشاكل الحاسب وحلولها
    مشاركات: 0
    آخر مشاركة: 18-07-2009, 16:26
  3. طريقة nck لمعرفة جهازكـ مخترق أم لا ?
    بواسطة Mr Nawaf في المنتدى السوفتوير العام
    مشاركات: 7
    آخر مشاركة: 13-05-2009, 14:12
  4. مشاركات: 5
    آخر مشاركة: 13-08-2007, 07:38
  5. برنامج لمعرفة قطع الجهاز ؟
    بواسطة Om51 في المنتدى الأرشيف
    مشاركات: 21
    آخر مشاركة: 24-04-2003, 10:26

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •