الموضوع: [ شرح ] : شرح فحص العمليات ’’Process’’ , والعمليات المخفية ’’Rootkit’’
عرض مشاركة واحدة
  #1  
قديم 06-26-2011
الصورة الرمزية RSS
RSS غير متواجد حالياً
ناقل الأخبار
  
تاريخ التسجيل: 11 - 2 - 10
المشاركات: 689,291
RSS is on a distinguished road
افتراضي [ شرح ] : شرح فحص العمليات ’’Process’’ , والعمليات المخفية ’’Rootkit’’
بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاتة

شرح اليوم يتعلق بحماية جهازك من الاختراق, ومن المتطفلين .. من خلال فحص عمليات الجهاز العادية, والمخفية والتحقق من سلامة الجهاز, وإزالة الاختراق إن وجد :shiny01:

* اولا شرح الفحص بأستخدام برنامج Process Explorer

- إضغط هنا لتحميلة من موقعة الرسمي -



قبل البدء بأي عملية فحص يجب اغلاق جميع البرامج التي تعمل حاليا كالهوت ميل والمتصفح واغلاقها ايضا من شريط المهام , ثم نلاحظ العمليات الباقية ونراقب مساراتها واتصالاتها .. الخ



نقوم الان بملاحظة العمليات الباقية والتي لم يتم إغلاقها



أضغط مرتين علي العملية لمشاهدة المسار الخاص بها








إيضا هناك حالة اخرى للباتش وهي إن يكون محقون بالمتصفح الافتراضي مثلا ! ولكن تذكر إننا قمنا بأغلاق جميع صفحات الانترنت.



إكثر شىء يأكد سلامة العملية إم لا هو إتصالها الخارجي .. تابع



طيب وأذا الهكر يستطيع الحقن بالمتصفح الافتراضي فأن هذا يعني إنة يستطيع الحقن بأي عملية !!!



((دي لها دروس إخرى, لان كشفها إصعب نوعا ما خصوصا لو كان المخترق معدل المنفذ))

ولكن ماذا لو كان الباتش يحتوي علي اعدادت تخطي فحص العمليات العادية (وهي التقنية المتبعة حاليا) فكيف نقوم بأكتشافة !!



* ثانيا شرح الفحص بأستخدام برنامج Atool

- إضغط هنا لتحميلة من موقعة الرسمي -



بعد تحميل البرنامج وتشغيلة تابع معي



- نلاحظ ظهور عملية باللون الاحمر ولم تظهر بالفحص العادي, واللون الاحمر يعني إنها مخفية -



لقتل العملية إضغط كليك يمين وإختار Terminate



وبكدا تم إغلاق العملية وفي حالة كان المخترق متصل بجهازك سيتم قطع الاتصال تلقائيا, ولكن بالتأكيد للهكر وسيلة اخرى وهي خاصية الاستمرار وهي إن الباتش سيعيد تشغيل نفسة تلقائيا بعد ما تقوم بأغلاقة, وهذا إيضا اسلوب متبع بشكل كبير ويمكن أزالتة بطريقة سهلة جدا و .. لكن نترك هذا لشروحات اخرى :bigsmile:



إنتهي الشرح بحمد الله’’

Mu7ammeD








أكثر...