أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:
لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.كود:wmic process
هناك مشاركة طيبة من الأخ hamzeh soft جزاه الله خيراً عنوانها "اعرف اذا جهازك مخترق او لا فقط في 20ثانية". وهي عبارة عن اختبار يقوم بفحص المنافذ إذا ما كانت مغلقة أو مفتوحة.
هذا الاختبار وإن كان مفيداً إلا أنه لا يدل على أن الجهاز مخترق حتى لو ظهر لديك منفذ بالأحمر.
والعديد منّا يتسأل كيف لي أن أعرف أن جهازي مخترق أم لا؟
ما هي الطريقة التي يمكنني استخدامها لمعرفة ذلك؟
هل تعرف ما هي svchost.exe؟
وما هي الخدمات التي تقوم بها؟
هل تستطيع عرض البرامج التي تستخدمها من خلال سطر الأوامر؟
هذا الدرس يا أحباب مهم جداً لكل من هو مهتم بأمن حاسوبه ويرغب بمعرفة ما اذا كان حاسوبه مخترقاً أم لا.
ونظراً لأهمية الدرس وكون الفائدة المتحصلة من التفاعل اكثر بكثير من الفائدة التي يمكن الحصول عليها من خلال القراءة فقط (سواء الموضوع كاملاً أو بعض فقراته) فارجو منكم يا كرام عمل بحث أو الاتيان بفكرة مهما كانت بسيطة وسنحاول إن شاء الله تناولها بالشرح. حتى نصل إلى جواب السؤال وهو كيف نعرف إذا ما كان الجهاز مخترقاً أم لا؟
=======================================
عن جابر عن النبي صلى الله عليه وسلم قال : من قال :" سبحان الله العظيم وبحمده غرست له نخلة في الجنة "
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
أبدأ بالطلب منكم تنفيذ الأمر التالي وشرح نتيجته:
لتنفيذ الأمر START>>>RUN>>>CMD.EXE واكتب الأمر في سطر الأوامر.كود:wmic process
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
لحد الآن لا يوجد تفاعل من قبل الأعضاء المحترمين
طيب نجرب السؤال التالي:
مالفرق بين الأمرين التالين: (على فرض أنك نفذت الأمر wmic من خلال سطر الأوامر)
وكود:wmic:root\cli>process list brief
كود:wmic:root\cli>process list full
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
ياريت ياعزيزي انك تشرح على مبدأ ان اكثر الناس بيستخدموا DOS وليس ليونكس
وبالنسبة للامر الاول تم تنفيذه ولعله يشرح علاقة البرامج التي تم تحميلها والتهديدات القادمه منها و ارجو التصحيح مع الشرح الوافي لو سمحت اما بالنسبة للامر الثاني فلم يتم تنفيذه ولا اعلم ماهو السبب
أخي عادل الشرح كله لويندوز ولا يوجد شيء للينكس في هذا الدرس. (إلاّ إذا كنت تقصد شيئاً آخر)
بالنسبة للشرح فسيتم إن شاء الله تناوله بالتفصيل. ولكن أحب أن أعطي باقي الإخوة فرصة للتفاعل.
وشكراً لمرورك
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
يبدوا ان الموضوع جامدwmic process
ممكن حضرتك توضح ايه هو الامر ده
وليه منعتمدش على end task or task manager
عشان نعرف الحاجات الللى شغاله
الامرين الاخريين لم يعملوا
الامر الاولنى اشتغل
وعطانى معلومات على ما اعتقد عن البرامج او العمليات اللى شغاله
بس انا معرفتش اقراها لانها غير مرتبه
وشكرا.....
سؤالك ممتاز أخي ياسر. السبب في عدم اعتماد task manager هو أنه لا يعرض جميع البرامج التي تعمل كذلك لا يعطيك التفاصيل حول اتصال هذه البرامج سواء مع الشبكة أو مع غيرها وأين موقعها وغير ذلك من المعلومات.
عندك مثلاً svchost.exe وهي خدمة تستعملها البرامج للاتصال مع الانترنت في task manager تظهر هذه الخدمة ولكن نحن نريد بحث اعمق بحث يظهر لنا ما هي البرامج التي تستخدم هذه الخدمة لأنه في حالة كون الجهاز مخترقاً سيظهر البرنامج المشبوه كأحد البرامج التي تستخدم svchost.exe للاتصال بالانترنت.
الأمران لم يعملا لأنك نفذتهما من سطر الأوامر مباشرة هكذا:
إذا أردت التفيذ بهذه الطريقة يكون الأمر كالشكل التاليكود:c:\>process list brief
أنا وضعت الأمران مفترضاً أن المستخدم -كما هو في الشرح أصبح يعمل على شريط أدوات WMICكود:wmic process list brief
والذي يظهر كالشكل التالي بعد تنفيذ الأمر wmic
ارجو أن تكون الصورة أكثر وضوحاً الانكود:wmic:root\cli>
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
السلام عليكم ورحمة الله وبركاته
احب اشكرك اخي على هذا الموضوع
الامر
wmic process list brief
لو استخدمنا الامر msconfig نستطيع من خلاله معرفة البرامج التي تعمل وبكل سهولة نستطيع ايقافها
وايضا طريقة اخرى من خلال الامر regedit
ثم فتح الملفات التالية بالترتيب
HKEY_LOCAL_MACHINE
- Software- Microsoft
- Windows
- Current Version
-Run
نجد انا حصلنا على البرامج التي تعمل
طبعا هنا كيف نفرق بين البرامج الضارة والنافعة ؟
لاحظ الملفات جيدا فان وجدت ملف لايقابله عنوان بالـــ Data او قد ظهر امامه سهم صغير<--- فهو ملف تجسس اذ ليس له عنوان معين في الويندوز .
طبعا لا اقول كلها اذا كنت تثق في البرنامج 100% اتركه
اترك المجال لك لنستفيد من علمك انت والاخوان الاعضاء وبارك الله فيكم
شكرا اخ باحث عن المعرفة على التوضيح
ياريت تكمل باقى الموضوع
وشكرا....
بارك الله فيكم إخواني على تفاعلكم.
نبدأ إن شاء الله شرح الخطوات الأولى لتحديد إذا ما كان هناك اختراق هي من خلال الأداة المهمة والقوية جداً WMIC.
نبدأ على بركة الله.
الخطوة الأولى:
طريقة عمل WMIC (المفضلة) هي WMIC [something]كود:WMIC process
طبعاً something يمكن أن تكون أي شيء تتدعمه WMIC هذا ال something أيضاً سوف يحتوي على خصائص خاصة به كما ذكرنا في درس تغيير الأي بي من سطر الأوامر وكما سنبين لاحقاً.
في حالتنا هذه نريد أن نرى جميع العمليات الجارية على الحاسوب من خلال إلحاق process ب wmic وهذا سيظهر لنا هذه العمليات والملف المرتبط بها تاريخ إنشائها إلى غيره من الأمور بصراحة تفصيل ممل لكل عملية ونظراً لكثرة المعلومات المعروضة من خلال هذا الأمر نلجأ لأمر آخر.
هذا الأمر باختصار يطلب من wmic عرض معلومات مختصر للعمليات التي تجري على الحاسوب.كود:wmic process list brief
هذه المعلومات هي عبارة عن اسم العملية رقمها أهميتها وغير ذلك من الخصائص الغير مهمة (لا تلزمنا في محاولتنا معرفة اذا ما كان الجهاز قد تم اختراقه ام لا).
الأمر الآخر الذي يعطينا تفاصيل أكثر هو
سيعطي معلومات تفصيلية أكثر من list brief ولكن مرتبة أكثر من process .كود:wmic process list full
أهم تفصيل في اعتقادي هو موقع احد الأوامر (البرامج أو العلميات) ونظراً للعدد الكبير في العمليات فسنحتاج في الكثير من الاحيان إلى إما عرض مخرج الامر بطريقة صفحة صفحة من خلال اضافة more
أو في أحيان أخرى لمعرفة معلومات حول علمية معينةكود:wmic process list full | more
كود:wmic process list full | find "cmd.exe"
عند محاولتنا تحديد إذا ما كان الجهاز قد تم اختراقه أم لا نحتاج إلى المرور بكل العمليات (تستغرق وقتاً) ومن ثم تحديد ما اذا كان للعملية داعي أم أنها عملية غير شرعيّة.
في بعض الأحيان نحتاج إلى معلومات حول جميع العمليات التي تعمل عند بداية تشغيل النظام (أو عملية الدخول إلى نظام التشغيل) في هذه الحالة نحتاج إلى الأمر التالي
أوكود:wmic startup list full
تبعاً للتفصيل الذي نبحث عنه (هل نريد تفصيل ممل أم مجرد سرد للعمليات)كود:wmic startup list brief
في الدرس القادم سنشرح أوامر أخرى نحتاجها لمعرفة إذا ما تم اختراق الجهاز أم لا. حتى ذلك الدرس إن شاء الله أترككم إخواني مع هذه الاوامر والتي ارجو منكم محاولة تنفيذها وأخذ فكرة عن نتيجة التنفيذ.
كود:netstat -naoكود:netstat –s –p tcp
=================================================
عن أبي عمير الأنصاري رضي الله عنه قال : قال رسول الله صلى الله عليه وسلم :" من صلى عليّ صلاة واحدة صلّى الله عليه عشر صلوات ، وحطت عنه عشر خطيئات ، ورفعت له عشر درجات ، وكتبت له عشر حسنات " رواه أحمد
اللهمّ صلِّ وسلم وبارك على نبينا محمد وأله وصحبه.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
هذا الامر NETSTAT كما هو معروف يظهر لك CONNECTION المرتبطة بالجهاز المنفذ عليه هذا الامر كذلك يبين البورتات المفتوحة ولكن المر الذي كتبته يااخ باحث عن المعرفه يبدو انه يوضح الاتصال الذي هو من نوع TCP
هذا والله اعلم
وياريت بأن يكون هنالك تفاعل اكبر بحيث يتم تفعيل هذا القسم بشكل اكبر وربنا يعطيك العافيه ياباحث
حقيقى موضوع جامد وحبه اوامر جامده
درس بجد بجد
وياريت تكمل انا متابع معاك
وشكرا..
شكرا لك على هذا الموضوع الرائع جدا والمهم ، اتمنى ان تستمر في الكتابة في هذا الموضوع بالتحديد لانه بصراحه مفيد جدا ومهم .
طبقت الامر netstat -s -p tcp -on وظهرت النتيجة كتالي:
العناوين 212.71.37.95 و 212.71.37.134 تابعة ل ISP كما اتوقع (لانها تبدا ب 212.71 وجميع عناوين مزود الخدمة نسما تبدا هكذا)كود:C:\Documents and Settings\power user>netstat -s -p tcp -on TCP Statistics for IPv4 Active Opens = 86594 Passive Opens = 51324 Failed Connection Attempts = 15608 Reset Connections = 14714 Current Connections = 28 Segments Received = 3375847 Segments Sent = 3098353 Segments Retransmitted = 177054 Active Connections Proto Local Address Foreign Address State PID TCP 127.0.0.1:1071 127.0.0.1:1072 ESTABLISHED 2956 TCP 127.0.0.1:1072 127.0.0.1:1071 ESTABLISHED 2956 TCP 127.0.0.1:1073 127.0.0.1:1074 ESTABLISHED 2956 TCP 127.0.0.1:1074 127.0.0.1:1073 ESTABLISHED 2956 TCP 127.0.0.1:1110 127.0.0.1:1382 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1390 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1393 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1398 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1402 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1428 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1600 ESTABLISHED 1572 TCP 127.0.0.1:1110 127.0.0.1:1601 ESTABLISHED 1572 TCP 127.0.0.1:1382 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1390 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1393 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1398 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1402 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1428 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1600 127.0.0.1:1110 ESTABLISHED 2956 TCP 127.0.0.1:1601 127.0.0.1:1110 ESTABLISHED 2956 TCP 192.168.1.68:1383 212.71.37.134:8080 ESTABLISHED 1572 TCP 192.168.1.68:1392 212.71.37.134:8080 ESTABLISHED 1572 TCP 192.168.1.68:1397 212.71.37.134:8080 ESTABLISHED 1572 TCP 192.168.1.68:1399 212.71.37.134:8080 ESTABLISHED 1572 TCP 192.168.1.68:1403 212.71.37.134:8080 ESTABLISHED 1572 TCP 192.168.1.68:1429 212.71.37.95:8080 ESTABLISHED 1572 TCP 192.168.1.68:1602 212.71.37.95:8080 ESTABLISHED 1572 TCP 192.168.1.68:1603 212.71.37.95:8080 ESTABLISHED 1572
والعنوان 192.168.1.68 هو عنوان الجهاز على الشبكة المحلية.
لكن لا ادري ماهو 127.0.0.1 ؟؟ هل هذا العنوان خاص بالجهاز؟
بالنسبة لل process id ف 2956 مخصص لل firefox و 1572 مخصص ل avp وهو الكاسبرسكاي.
لكن عند استخدام الامر netstat -aon فان الكثير من ال processes تظهر وبعضها يكون مرتبط ب svchost ونوعه tcp ايضاً! فلماذا لم يظهر سابقا عند استخدام الامر netstat -s -p tcp ؟
جزاكم الله خيراً إخواني على تفاعلكم. سأحاول إن شاء الله غداً إضافة تتمة الشرح.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
netstat
The Windows netstat command shows network activity, focusing on TCP and UDP by default. Because malware often communicates across the network, users can look for unusual and unexpected connections in the output of netstat, run as follows:
هذا الأمر يظهر النشاطات الموجودة على الشبكة. البرامج المستخدمة في الاختراق تستخدم الشبكة للاتصال فيما بينها، بالنظر لمخرجات هذا الأمر نحاول البحث عن هذه البرامج المشبوهة نحاول الاطلاع على المنافذ في محاولة لمعرفة اذا كان احدها مستخدم من قبل هذه البرامج. بالطبع سوف نحتاج الى استخدام غوغل في كثير من الاحيان للمساعدة ولكن ذلك في البداية فقط بعدها تصبح الامور اسهل بالطبع ان شاء الله.
-a اظهار كافة المنافذ والاتصالات
-n اظهار الارقام فقط (الاي بي والمنفذ) لا يظهر اسم الحاسب او اسم الموقع الذي يتصل به.
-o اظهار رقم العملية المتصلة.
-s احصائيات محول الاتصال
-p تحديد البروتوكول مثل tcp, udp, icmp
جزاك الله خيراً أخي مجلد جديد على الاضافة الممتازة. كما تفضلت 127.0.0.1 هو العنوان الخاص بالجهاز كل جهاز فيه العنوان.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
المفضلات