منتديات المجاوشي - [ شرح ] : شرح فحص العمليات ’’Process’’ , والعمليات المخفية ’’Rootkit’’

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاتة

شرح اليوم يتعلق بحماية جهازك من الاختراق, ومن المتطفلين .. من خلال فحص عمليات الجهاز العادية, والمخفية والتحقق من سلامة الجهاز, وإزالة الاختراق إن وجد :shiny01:

* اولا شرح الفحص بأستخدام برنامج Process Explorer

- إضغط هنا لتحميلة من موقعة الرسمي -

http://i.technet.microsoft.com/bb896...MSDN.10%29.jpg

قبل البدء بأي عملية فحص يجب اغلاق جميع البرامج التي تعمل حاليا كالهوت ميل والمتصفح واغلاقها ايضا من شريط المهام , ثم نلاحظ العمليات الباقية ونراقب مساراتها واتصالاتها .. الخ

http://r0o0t.net/images/proce/1.png

نقوم الان بملاحظة العمليات الباقية والتي لم يتم إغلاقها

http://r0o0t.net/images/proce/2.png

أضغط مرتين علي العملية لمشاهدة المسار الخاص بها

http://r0o0t.net/images/proce/3.png

http://r0o0t.net/images/proce/4.png

إيضا هناك حالة اخرى للباتش وهي إن يكون محقون بالمتصفح الافتراضي مثلا ! ولكن تذكر إننا قمنا بأغلاق جميع صفحات الانترنت.

http://r0o0t.net/images/proce/5.png

إكثر شىء يأكد سلامة العملية إم لا هو إتصالها الخارجي .. تابع

http://r0o0t.net/images/proce/6.png

طيب وأذا الهكر يستطيع الحقن بالمتصفح الافتراضي فأن هذا يعني إنة يستطيع الحقن بأي عملية !!!

http://r0o0t.net/images/proce/7.png

((دي لها دروس إخرى, لان كشفها إصعب نوعا ما خصوصا لو كان المخترق معدل المنفذ))

ولكن ماذا لو كان الباتش يحتوي علي اعدادت تخطي فحص العمليات العادية (وهي التقنية المتبعة حاليا) فكيف نقوم بأكتشافة !!

http://r0o0t.net/images/proce/8.png

* ثانيا شرح الفحص بأستخدام برنامج Atool

- إضغط هنا لتحميلة من موقعة الرسمي -

http://www.antiy.net/freetools/img/atool1.jpg

بعد تحميل البرنامج وتشغيلة تابع معي

http://r0o0t.net/images/proce/12.png

- نلاحظ ظهور عملية باللون الاحمر ولم تظهر بالفحص العادي, واللون الاحمر يعني إنها مخفية -

http://r0o0t.net/images/proce/13.png

لقتل العملية إضغط كليك يمين وإختار Terminate

http://r0o0t.net/images/proce/14.png

وبكدا تم إغلاق العملية وفي حالة كان المخترق متصل بجهازك سيتم قطع الاتصال تلقائيا, ولكن بالتأكيد للهكر وسيلة اخرى وهي خاصية الاستمرار وهي إن الباتش سيعيد تشغيل نفسة تلقائيا بعد ما تقوم بأغلاقة, وهذا إيضا اسلوب متبع بشكل كبير ويمكن أزالتة بطريقة سهلة جدا و .. لكن نترك هذا لشروحات اخرى :bigsmile:

إنتهي الشرح بحمد الله’’

Mu7ammeD

أكثر...