|
شرح تحليل ملف ملغوم وإخراج جميع البيانات الخاصة فيه
http://www.zyzoom.org/vb/vb_cache1/2...91966cad1c.png اتمنى لكم جميعاً بالصحة ودوام العافية . . اهلاً وسهلاً بكم في الدرس الثاني عشر , وهو تحليل ملف ملغوم تحليل كامل [ ايبي - بورت - هوست - نزول - مفتاح تثبيت ومساره ] ! طبعاً في هذا الدرس باذن الله راح نعتمد على التطبيق , وبعد تحميل البرامج في الدرس العاشر ومراجعة الدرس الحادي عشر , الان انت لا [ تحتاج ] سوى تطبيق على تحليل الملفات , وهذا هو اول شرح لتحليل الملفات وباذن الله في الدرس القادم سيكون هناك اختبار http://www.d99y.com/vb/images/smilies/g111.gif http://www.zyzoom.org/vb/vb_cache1/2...0419acb1a4.png اولاً تحميل الملف الملغّوم . . http://www.zyzoom.org/vb/vb_cache1/2...7a33efbdac.png http://www.zyzoom.org/vb/vb_cache1/2...0419acb1a4.png جيّد الان بعد تحميل الملف الملغوم قبل فتحه , انت الان في الدرس الثاني عشر , اي انك قمت بمشاهدة جميع الدروس السابقة , وجهازك مجمّد وخالي من الارقام السرية ولك معرفة بجميع المصطلحات التي سيتم ذكرها الان في الموضوع , واخيراً مغلق جميع البرامج التي تتصل في الانترنت مثل [ المتصفح - الماسنجر ] والخ لكي لا تزعجك الاتصالات وتفقدك التركيز حول الاتصال الصحيح . . http://www.zyzoom.org/vb/vb_cache1/2...e50fb2aa57.png جيّد افتح جميع البرامج وشغّلها كما تعلمنا في الدرس السابق , واعمل الفحص اول في برنامج [ regshot ] لكي يعمل مقارنة كما ذكرنا في الدرس السابق . . http://www.zyzoom.org/vb/vb_cache1/2...b754f200f5.png وقم بالدخول الى الساعه دبل كلك عليها ! http://www.zyzoom.org/vb/vb_cache1/2...16e708f771.png قم بتقديم السنوات الى الامام ! http://www.zyzoom.org/vb/vb_cache1/2...a4e5cab4c8.png مثلاً 2020 , والهدف من ذلك ان كان السيرفر او الملف المشكوك فيه [ مؤقت ] اي يعمل بعد مده معيّنه بتقديم الوقت نحن نتخطى مشكلة عمل الملف في وقت معيّن , وتذكّر ان تُعيد الوقت كما كان بعد تحليل الملف لكي لا تواجه مشاكل في دخول الماسنجر والتحميل في المواقع والخ ! http://www.zyzoom.org/vb/vb_cache1/2...158af82a41.png وشغل الملف الملغوم . . اول شيء تقوم بعمله بعد تشغيل الملف [ الملغوم ] او المشكوك فيه , انظر الى البروسيس سريعاً . . http://www.zyzoom.org/vb/vb_cache1/2...0c000331ad.png ستشاهد عمل ملفين احدهم [ المفكرة ] والاخر ملف مشكوك فيه . . http://www.zyzoom.org/vb/vb_cache1/2...f2b1f7d1d4.png وتحولت العملية المشكوك بها الى متصفح , هذا يعني ان [ الملف ] يقوم بحقن نفسه في المتصفح , وكذلك هناك عمليات اخرى تقوم بتخطي البروسيس , لذلك عليك ان تراقب هل الملف لا يزال موجود او يقوم بحقن نفسه او يختفي ! http://www.zyzoom.org/vb/vb_cache1/2...bb9a547fc5.png بما انه حقن نفسه , ولا زال موجود في القائمة نعمل للعملية تجميد لكي يتجمّد تحكم المخترق بجهازك [ Suspend ] كما تعلمنا سابقاً , مع العلم ان كانت العملية الخاصة في المخترق تختفي عليك ان تعمل سريعا وبحركة سريعه تفادياً لاي شيء يعمله لك [ طبعاً جميع الارقام السرية غير موجوده لذلك لن يُسرق منك شيء ] ! http://www.zyzoom.org/vb/vb_cache1/2...55e5fa72eb.png ثانياً نقوم بالنظر الى برنامج [ NetSnifferCs ] وكما تشاهد اظهر لك الهوست الخاص في المخترق وعلامة القلب او النجمه او اي شيء اخر هذا يعني [ نقطة ] في هذا البرنامج ! راح تقول يانصراوي هذا البرنامج معقد وحتى مايمديني انسخ ويطلع لي قلوب ونجمات , اقولك عندك البرنامج الثاني والافضل كما ذكرنا في الدرس العاشر . . http://www.zyzoom.org/vb/vb_cache1/2...35085974dc.png كما تشاهد وجدت الاتصال في برنامج [ smartsniff ] الان انسخ الهوست , وعلى فكره الاتصالات الموجوده عندي سببها اني اقوم بالشرح وانا فاتح المتصفحات ومواقع رفع الصور والملفات , لذلك موجود اتصالات كثيرة , وكما ذكرت في بداية الموضوع عليك اغلاق جميع البرامج التي تتصل في الانترنت مثل [ المتصفح - الماسنجر ] والخ . . انسخ الهوست والان نملك الهوست وهو [ youtube.com ] ! http://www.zyzoom.org/vb/vb_cache1/2...a62e4aa7c1.png الان ننتقل الى برنامج [ active port ] لاخراج الايبي والبورت والعملية , وكما تشاهد اخرجنا الايبي وهو [ 74.125.127.93 ] والبورت وهو [ 81 ] والعملية [ iexplore.exe ] ! http://www.zyzoom.org/vb/vb_cache1/2...c0257d5ce1.png اولاً قم بالضغط على زر التحديث الخاص في برنامج [ currports ] لكي يظهر الاتصالات الجديدة ! http://www.zyzoom.org/vb/vb_cache1/2...e61882f8ac.png وكذلك برنامج [ currports ] يقوم بنفس العمل , وكما تشاهد الايبي والبورت والعملية المحقونة . . http://www.zyzoom.org/vb/vb_cache1/2...da27c77610.png في حالة كنت تريد نسخ الايبي او مسار الملف المحقون او البورت قم بالضغط على نفس العملية . . http://www.zyzoom.org/vb/vb_cache1/2...af1f47140d.png وكما تشاهد تم اظهار النتائج بشكل مرتّب ومسار العملية المحقونه [ عملية المتصفح ] , وبامكانك نسخ ماتريد ! جيّد الان نملك [ الايبي + البورت + الهوست + العملية المحقونة ] ! http://www.zyzoom.org/vb/vb_cache1/2...438d27e7f7.png سنشاهد رسالة تخرج بعد فتح الملف الملغوم , والرساله هي من برنامج [ Tiger Firewall ] الذي قمنا بتحميله سابقاً , نقوم بالضغط على مشاهدة معلومات المفتاح [ + ] موافق . . http://www.zyzoom.org/vb/vb_cache1/2...b3dd3589dd.png وكما تشاهد امامك مسار المفتاح [ + ] اسم المفتاح [ + ] القيم الموجوده في المفتاح . . اي لديك مسار مفتاح التثبيت وكذلك اسم المفتاح وكذلك قيمة التثبيت وهي تحتوي على مسار نزول الباتش !! اي الان انت تملك [ الايبي - البورت - الهوست - العملية المحقونة - مسار مفتاح التثبيت - اسم المفتاح - مسار نزول السيرفر ] ! طيّب فيه شخص راح يسألني كيف البرنامج اخرج مسار نزول الباتش يانصراوي , وهو متخصص كما ذكرت في الدرس العاشر انه يراقب الرجستري فقط وليس الملفات وماشابه !! طبعاً المفتاح يحتوي على مسار التثبيت اي ان المفتاح نفسه يقوم بالتثبيت عن طريق وضع المسار نفسه , وبامكانك التأكد بدخول الرجستري عن طريق ابدا + تشغيل + REGEDIT وراح يعمل معك الرجستري اتبع المسار كما ظهر لك سابقاً . . http://www.zyzoom.org/vb/vb_cache1/2...a9b8f12da7.png ندخل على المجلدات كما في الصورة . . http://www.zyzoom.org/vb/vb_cache1/2...463796733a.png ونكمل الدخول الى المجلدات . . http://www.zyzoom.org/vb/vb_cache1/2...2a928b4a42.png واخيراً كما تشاهد قمنا بالدخول الى [ مسار ] المفتاح وظهر لنا مسار التثبيت ! http://www.zyzoom.org/vb/vb_cache1/2...c1881a19bd.png باقي برنامج [ regshot ] نقوم بالضغط الان على الفحص الثاني [ وكما تعلمنا سابقاً ان نضع مسار القرص المراد مشاهدة التغيّرات الخاصة به وعمل فحص اول قبل فتح الملف الملغوم ] وتكلمنا في طريقة عمل البرنامج هذا في الدرس السابق . . الان نعمل الفحص الثاني . . http://www.zyzoom.org/vb/vb_cache1/2...d70083a962.png واخيراً بعد انتهاء الفحص الثاني وتفعيل زر تقرير التغيرات , نضع تقرير [ HTML ] ونقوم بالضغط على [ تقرير التغيّرات ] ! http://www.zyzoom.org/vb/vb_cache1/2...5029a5dcec.png وستخرج لك الصفحه تحتوي [ على ] جميع التغيّرات ولأول مره باللغه العربية ! http://www.zyzoom.org/vb/vb_cache1/2...2eb5c17c02.png كما تشاهد المفاتيح المضافه , والموجوده في تقرير برنامج [ Tiger Firewall ] ! http://www.zyzoom.org/vb/vb_cache1/2...acab1bf977.png وكما تشاهد تم اضافة قيمة للمفتاح وهو مسار تثبيت السيرفر [ مسار السيرفر المراد تثبيته ] ! http://www.zyzoom.org/vb/vb_cache1/2...fc19efc097.png وهنا الملفات التي تم اضافتها وهو السيرفر , وفي حالة كان الملف مدموج بملف يقوم بالنزول الى النظام ستجده هنا كذلك ! اي ان الذي قام بالنزول هو هذا الملف فقط , طبعاً الملف الذي اعلاه , هو خاص [ بالمتصفح ] وكما ذكرت انا اعمل الشرح واقوم بالتصوير بنفس الوقت . . http://www.zyzoom.org/vb/vb_cache1/2...f0ee637168.png ويخبرك كذلك ان هناك مجلد مضاف , وهو مجلد السيرفر السابق . . http://www.zyzoom.org/vb/vb_cache1/2...0419acb1a4.png واخيراً وبحمد الله تعاملنا مع البرامج السابقة بكل سهولة , وقمنا بتحليل الملف الملغوم كاملاً واخرجنا منه [ الايبي - البورت - العملية المحقونه - الهوست - مسار النزول - مسار مفتاح التثبيت - مفتاح التثبيت ] ! وهذا يعني انك قمت بتحليل الملف بشكل كامل وبحمد الله , اتمنى ان الدرس نال على اعجابكم , وكما ذكرت لابد ان تقوم بتحميل الملف الملغوم ومتابعة الشرح مع التطبيق , وكذلك لابد ان يكون جهازك مجمد وخالي من الارقام السرية بحيث بعد اخراج البيانات السابقة تقوم باعادة التشغيل ويعود جهازك وملفاتك كما كانت قبل التجميد . . اتمنى لكم جميعاً بالتوفيق ولا تحرموني من دعواتكم الموضوع الأساسي: تحليل ملف ملغوم وإخراج جميع البيانات الخاصة فيه المصدر: زيزوووم للأمن والحماية أكثر... |
| الساعة الآن 08:36 AM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
منتديات بلاك بيري
mjawshy.net
المجاوشي للتقنية المتقدمة