السلام عليكم ورحمة الله وبركاته


كيف حالكم عساكم بخير جميعا


طبعا ارى الكثير من الاسأله في الايام الاخيره تدور حول ما هو الفايروس وما هو ملف التجسس

وكيف نعرف ذلك وكيف نحمي انفسنا من ذلك


طبعا تطوعت لهذا

وسأقوم بالشرح الان


احذف ملفات التجسس

تعلم كيف تتخلص من ملفات التجسس

:تعريف
البرنامج او معظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما
Client.exe
Server.exe
والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم .. وتندرج كل تلك الملفات تحت اسم
Torjan
ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها والمقصود هنا فتح ثغره اى بورت ولناخذ على سبيل المثال برنامج النت باص فعند اصابت جهازك بملف السيرفر او الخادم فانه وعلى الفور يقم بفتح البورت 12345 او البورت 5000 او البورت 21 الكثير الكثير فى جهازك لكى يتمكن العميل من الدخول اليك

هل يمكن اختراق جهازك بدون ملف باتش او سيرفر:

لايمكن ذلك فى حاله عدم وجود خادم اوعميل فى جهازك يستطيع الدخول عن طريقه

نعم يمكنه ذلك لكن هذه تريد احتراف كبير جدا وليس اي شخص يستطيع ذلك

ماهى طرق الاصابه ؟

اولا : اما ان ترسل اليك بطريق الاميل
ثانيا : اذا كنت من مستخدمى برنامج الاسكيو او برامج التشات او المنتديات وارسل لك ملف فقد يكن مصابا بملف تجسس او حتى فايروس
ثالثا : عندما تقم بانزال برنامج من احد المواقع الغير مثوق بها وهــى فى الحقيقه كثيره جدا فقد يكون البرنامج مصاب اما بملف تجسس او فايروس

ماهى اهم طرق الوقايه ؟
اولا:عدم فتح اى رساله لاتعرف صاحبه او مصدرها
ثانيا:عدم استقبال اى ملف اوبرنامج من ناس لاتعرفهم معرفه جيده عن طريق الاسكيو او اى برنامج لشات
ثالثا: لاتقم ابدا بنزال اى برنامج من مواقع غير معروفه
رابعا: يجب ان يكون عندك برنامج لكشف ملفات التجسس والفيروسات لفحص اى ملف استقبلته من الشات او قمت بنزاله من موقع لفحصه قبل فتحته
/
\
/
ماهى اهم ملفات التجسس وطريقه التخلص منها ؟

Back Oriface

إتبع الخطوات التــاليـة
إنقر على الزر او البدايهStart
إختر تشغيل من القائمة Run..
/
\
/
Heack’a Tack’a
يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجــاده

اتبع الخطوات السابقه فى الشرح السابق حتى تصل الى
Run
او
Run once
سوف تجد الملف بهذا الاسم
Explorer32 "C/WINDOWS\Expl32.exe
قم بتخلص منه فورا




( regedit) الأمر التالي إكتب في خانة
او موافقopen ثم اضغط


اذهب الى
HKEY_LOCAL_MACHINE



software
ثم
microsofte
ثم انتقل الى
windows
ثم
current Version
الان اذهب الى
Run or Run once..
الان هل يوجد ملف باسم
server .exe
قم بمسح المف كاملا
/
\
/


Net Bus 2000
برنامج النت باص 2000 يستخدم السيرفر العادى وهو

إتبع الخطوات التــاليـة
إنقر على الزر او البدايهStart
إختر تشغيل من القائمة Run..



( regedit) الأمر التالي إكتب في خانة
او موافقopen ثم اضغط


9

اذهب الى
HKEY_LOCAL_USERS

اتجــه الــى
SOFTWARE
ثم
MICROSOFTE
وبعده
WINDOWS
الان الى
CURRENT VERSION
ثم
RUN SERVICES
سوف تجد الملف بهذا الاسم
Key:UMG32.EXE
قم بحذفه
/
\
/
Net Bus Ver 1.6 & 1.
ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر لتخلص منه اتبع الخطوات التالي

إذهب الى قائمة إبدأ وأختر Arabic Dos
إكتب الأمر التالي :
C:\Windows>dir patch.
c:\windows\patch.exe

إذا وجدت ملف الباتش قم بمسحة بالأمر التالي
C:\Windows\delete patch
/
\
/
ProRat 9.0

طبعا هذا البرنامج الي قاعدين اشباه الرجال ينزلون ملفات ويقولن فتح مسنجر ومدري ايش

هذا له قصه لحاله

طبعا في حالة استقبال الباتش هذا كيف نزيله او نمسحه


سأضع لكم عدة طرق




Start >> run >> regedit

بعد ان تفتح لك نافذة البرنامج افتح المجلدات حسب الترتيب التالي

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

Currentversion

Run

بعد ان تفتح هاذه الملف ستجد به اسماء الملفات التي تشير الى وجود ملف تجسس في جهازك وغالبا ً مايكون اسم هاذا الملف غريب ولايندرج تحت برنامج معين ويكون امتداد هاذا الملف كلتالي

Exe

مثال

Patch.exe or fsat.exe or explo32.exe
بعد ان تكتشف وجود الملف قم بمسح هاذا الملف
بعد فحص الجهاز لنفترض انك وجدت ملف تجسس اذهب الى مجلد الوندوز وابحث عن اسم هاذا الملف واحذفه واذا لم تجده فبحث عنه مره ثانيه في مجلد system داخل مجلد الوندوز ثم لاتنسى ان تعيد تشغيل الكمبيوتر بعد حذف الملف .




الطريقه الثانيه

تعتمد هاذه الطريقه على استخدام امر msconfig :

اتبع التالي

Start >> run >> msconfig

بعدها ستضهر لك واجهة البرنامج اخترمنها start up

سوف تضهر لك شاشه تعرض لك اسماء البرامج التي تعمل بشكل مباشر مع بدء التشغيل بامكانك الأان فحص هاذه البرامج والتاكد من عدم وجود برامج غريبه او غير معروفه ومن ثم الغاء الأِ شاره الموجوده امام البرنامج وبهاذا تكون قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب فيها .




الطريقه الثالثه

استخدام الدوس

اتبع التالي

قم بتشغيل الدوس وبعده اكتب الأمر التالي

C:\windows\ dir patch.*

اذا وجدت أي ملف تجسس قم بمسحه بلأمر التالي

C:\windows\ delete patch.*




الطريقه الرابعه
وهي الأستعانه بأحد المواقع التي تقوم بفحص جهازك من ملفات التجسس وتتميز هاذه الخدمه عن الكثيير من البرامج انها متوافقه مع آخر التحديثات وهاذا من اهم العوامل التي يجب مراعاتها ومن اشهر هاذه المواقع هو موقع housecall وتتميز هاذه الخدمه انها مجانيه ماعليك الى ان تفتح العنوان التالي وبعدها ستفتح لك صفحه تطلب منك ان تحدد الدرايف الذي تريد ان تفحصه واليك العنوان

http://housecall.antivirus.com

او متابعة شروحي هنا

حمل اكس هاك الضوء الاسود اخطر برامج الحمايه العربيه

http://www.lakii.com/vb/showthread.php?t=105906

وداعا لثغرات الويندوز الاكسبي وداعا لتجسس

http://www.lakii.com/vb/showthread.php?t=102298


بعد ان يفحص الموقع جهازك سيمسح الفايروسات الموجوده بلجهاز لاكنه لن يستطيع ان يمسح ملفات التجسس لأنها ستكون في حالة عمل فلمطلوب منك ان تقوم بتسجيل اسماء هاذه الملفات ثم تقوم بعد ان تقطع الأتصال بلشبكه بأزالة هاذه الملفات حسب ماهو مشروح بلموقع


انتظروني في الدرس القادم

شرح عن باتش prorat وطرق التجسس الجديده


وشكرا وارجو لمن لديه اي سؤال لا يستحي مني تحياتي لكم

الله يبارك فيك أخي، قرأت التفاصيل وفهمتها، ولكن لدي سؤال: إن كان لدي برنامج متخصص بالتخلص من ملفات التجسس أو منعها أو أو.. مثل zone alarm.. هل هذا يكفي ويغني عن القيام بهذه الخطوات؟

كتبت بواسطة إيمان علي

الله يبارك فيك أخي، قرأت التفاصيل وفهمتها، ولكن لدي سؤال: إن كان لدي برنامج متخصص بالتخلص من ملفات التجسس أو منعها أو أو.. مثل zone alarm.. هل هذا يكفي ويغني عن القيام بهذه الخطوات؟

لا اختي

لا بد ان يكون لديك الخبره الكافيه وليس صحيح ان اعتمد على برامج واترك التفكير او البحث او التعلم


الزون الارم لا يكفي

النورثون افشل برنامج حمايه

والمكافي كذلك

خلال تجربتي في مجال الانترنت لم اجد بدل لكاسبر سكاي

في الحمايه والدفاع

وانا انصح بأتباع العمل اليدوي اضمن وافضل

وانا هنا لكي اعطيكم دروس ولكي تتعلموا معي

موضوع ممتاز جداً
ما شاء الله

أحتاج لقراءته بتمعن أكثر ..
وبإذن الله تخلو أجهزتنا من كل ذلك

بارك الله فيك أخي المحترف

...

بارك الله فيــــــــك أخوي ,,, ونفع الله بك ..

بالنتظار مواضيعك المميزه وإلى الأمــــــــــام ...

...

جميل جدا
نتبع هذه الخطوات لكن الحامى رب العالمين
شكرا لمجهودك معانا.

كما ذكرنا في الموضوع السابق لحذف باتش البرو رات

طبعا من خصائص هذا الباتش التالي

ايقاف جميع برامج الحمايه

ايقاف زر رن

ايقاف جميع خصائص الحمايه

وتم تطويره الى ايقاف حمايه الويندوز سيفرس باك تو

ولكي نحمي انفسنا من هذا الباتش او الملف التجسسي

نرجو استخدام برنامج الكاسبر سكاي والدليل على ذلك احد الملفات هنا في هذا الموقع كان يضعها احد ضعاف النفوس



وجدت انه الاسرع في اكتشاف وحذف البرنامج قبل وصوله الى الجهاز

وطريقة حذفه من الريجستري موضوعه فوق وذكرتها في الشرح السابق

والنورثون والمكافي قمت بسؤال احد المختصين قالي (خلنا نسترزق لو ركبنا لهم هالبرنامج من وين تخرب الاجهزه )


تحياتي


نكمل الدرس الثاني (الرسائل والبريد الالكتروني او ما يسمى سبام)

الى الكثير رسائل موجهة لافساد الشباب بمواقع او صور خليعة مليئة بالباتشات وملفات التجسس


وتفشل عمليه إجراء إقفال بريد المرسل منه بما يسمى

( Block Sender )

لانهم يعاودن الإرسال ببريد آخر


ولكن يستطيع صاحب بريد الهوت ميل التخلص منها عن طريق الفلتر بالإجراء التالي


الذهاب الى اختيارات

( Options )

عندما تفتتح بريدك فى الهوت ميل


تجد عدة اختيارات اختار فليتر

( Filters )

تجد الآتي


Filter 1: Enabled

ضع عليها إشارة صح


ثم تجد اسفل منها ثلاث خانات اختار الآتي


الخانة الأولى اختار

(( Subject ))

اى عنوان الموضوع فى الرسالة


الخانة الثانية اختار

((contains))

اى المحتوى


الخانة الثالثة اختار

الكلمة التى تكون دائما فى عنوان الرسالة الاباحية وعادة تكون هذه الكلمات

(( _ sex ))

(( - teen -hot- Adult - HORNY ))

سوف تجد عدد 11 قسم فلتر ضع كل كلمة فى قسم لوحده مع تكرار

الخطوات السابقة فى كل قسم

ثم تجد اختيار أخير وهو اين سوف يكون مصير الرسالة

Then deliver to

اختار من بين الاختيارات

Drafts Trash Can

يعنى صندوق المهملات


ثم اضغط على عبارة تجدها فى اخر الصفحة وهى

(( apply filters now))


وبعدها سوف ترتاح من رؤية هذه الرسائل المزعجة وتلغى تلقائيا فى صندوق المهملات



الجزء الثالث


اوامر الدوس


لمعرفه الوقت مع امكانيه التعديل TIME
معرفه التاريخ مع امكانيه التعديل DATE
عرض محتويات الإسطوانة الصلبة او المرنة DIR
عرض المحتويات صفحه صفحه DIR/P
عرض المحتويات بصورة مستعرضة DIR/W
عرض الفهارس اولاً ثم الملفات مع الترتيب DIR/O
عرض الفهارس فقط DIR/AD
عرض محتوى الاسطوانه الصلبه او المرنه بدون الحجم والتاريخ والوقت DIR/B
عرض محتوى الاسطوانه الصلبه بالحروف الصغيره DIR/L
عرض جميع الملفات والبحث عن ملف معين DIR/S
طباعة محتوى الاسطوانه على الورقة DIR->PRN
عرض الفهارس والملفات المخفيه DIR->ASH
عرض الملفات التي لها امتداد SYS DIR-*.SYS
عرض ملفات config باي امتداد DIR-config.*f
عرض الملفات التي تبدا بحرف ال C DIR-C*.*A
عرض الملفات التي يكون الحرف الثالث لها M DIR-??M*.*A
معرفة اسم الاسطوانة الصلبة او المرنة VOL
تنظيف الشاشة (اي مسح البيانات الموجوده) CLS
معرفة نوع اصدار الدوس VER
أمر تخزين أوامر نظام الدوس DOSKEY
إنشاء ملف جديد COPY-CON-(file name)f
أمر عرض محتوى الملف COPY-(file name)-CON
امر طباعة محتويات الملف COPY-(file name)-prn
امر نسخ الملفات COPY
أمر مسح ملف أو مجموعه ملفات DEL
امر استرجاع الملفات التي تم حذفها UNDELETE
معرفه حجم الذاكره MEM
فرز وترتيب محتويات الملف SORT
تغيير شكل المحث PROMPT
بحث عن كلمه او عبارة داخل ملف FIND
الخروج من الدليل CD/Aاو CD..D
إعداد قرص نظام التشغيل SYS
فحص الاسطوانه SCANDISK
عمل تهيئة للإسطوانة FORMAT


الجزء الرابع

اوامر (RUN)



command ( موجه الدوس)

regedit ( محرر التسجيل )

msconfig ( الأداة المساعده لتكوين النظام )

cleanmgr ( برنامج تنظيف القرص )

packager ( برنامج تغيير الأيقونات )

recent ( المستندات الأخيره )

sysedit ( محرر تكوين النظام )

cookies ( ملفات الكوكيز )

TEMP ( الملفات المؤقته )

mobsync ( برنامج مزامنة صفحات الإنترنت )

progman ( ادارة البرامج )

drwtsn32 ( برنامج الدكتور واتسون ) او drwatson للأنظمه الأخرى

pbrush ( برنامج الرسام )

calc ( الالة الحاسبة )

eudcedit ( محرر الأحرف )

eventvwr ( عارض الأحداث )

magnify ( مكبر مايكروسوفت )

mmc ( وحدة التحكم )

mplay32 ( قاريء الوسائط )

osk ( لوحة المفاتيح )

taskmgr ( ادارة المهام )

verifier ( ادارة التحقق من برامج التشغيل )

winchat ( برنامج المحادثه )

write ( برنامج الدفتر )

d : c للوصول السريع إلى الدرايفرات .

regedit هذا الامر لمحرر سجل الوندووز ( الشجرة ) .

icwscrpt هذا الامر خاص بنسخ ملفات الـ dll .

scandskw هذا الامر لعمل تفحص للاقراص .

imgstart هذا الأمر لتشغيل قرص ويندووز المضغوط .

msiexec حقوق تركيب ويندووز .

cleanmgr وهذا الامر يشغل برنامج تنظيف القرص .

packager وهذا الامر لبرامج يغير الايقونات .

recent هذا الامر لإستعراض ملف المستندات ( الموجود في قائمة إبدأ ).

sysedit هذا الامر(لفتح محرر تكوين النظام) لويندوز 98. حيث يقوم بفتح هذه النوافذ الخمسة التالية :
protocol.ini
system.ini
win.ini
config.sys
autoexec.bat

sfc وهذا الامر لإسترجاع بعض ملفات الـ dll عندما تتلف .

taskman وهذا الامر لمشاهدة البرامج التي تعمل حاليا .

DEFRAG لإلغاء تجزئة القرص

HELP للوصول الى التعليمات

DVDPLAY مشغل افلام dvd يعمل مع ملينيوم

22- TEMP للوصول الى ملفات الويندوز المؤقتة

23- tuneup هذا الامر لتشغيل برنامج معالج الصيانة .

24- pbrush هذا الامر لتشغيل برنامج الرسام .

25- mobsync هذا الامر لظهور برنامج تنزيل الصفحات من الانترنت و تصفحها بدون اتصال .

26- cdplayer هذا الامر لتشغيل برنامج قاريء الأقراص المضغوطة .

27- ftp هذا الامر لجلب البرامج بسرعه من الدوس .

28- Tips.txt هذا الأمر يظهر بعض أسرار ويندووز 98

وهذه بعض الأوامر .... ولكن تحتاج لشرح أو توضيح أكثر عن فائدتها ... من من لديه الخبرة .

29- telnet وهذا الامر يشغل برنامج telnet .

30- progman وهذا الامر يأخذك الى قائمة البرامج .

انتهى الدرس الثاني لهذا اليوم


انتظروني في الدرس القادم

المحترف

إضافات ممتازة
الله يبارك فيك ..

مشكوار اخي موضوع فعلا مهم انو الشخص يعرف هيك انواع من الملفات
جازك الله كل خير علي المعلومات

الدرس الثالث

Sub 7
البرنامج المفضل لدى شباب السعودية والأمارات والدول العربيه للتجسس، ما أدري ليش، السوب سفن أو (الباكدور جي) يتميز بمخادعة الشخص الذي يحاول إزالته، فهو يعيد تركيب نفسه تلقائيا بعد حذفه من الريجستري والويندوز، مع العلم بأن النورتون الذي لدي لم يكتشف السيرفر حقه، حتى مع عمل أبديت بشكل أسبوعي؟؟؟

برنامج السب سيفين أو (الباكدور جي) هو من أكثر البرامج التي يستخدمها الهاكرز الآن، بعد أن كانوا يستخدمون النيت بص، فأنا مثلاً أًسجل على الأقل ستة محاولات للدخول على جهازي يومياً بأستخدام السوب سيفين، أنصحكم بقراءة هذه الصفحة بتأني لأن السيرفر حق السوب سيفين خطير والنورتون لايستطيع أكتشاف وجوده ويتميز بالخداع أثناء محاولة إزالته. يقوم السوب سيفين بأنشاء القيم التالية داخل الريجستري:

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia

KERNEL16="KERNEL16.DL"

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile" يقوم أيضاَ بأنشاء الملفات التالية:

في مجلد السيستم الموجود في مجلد الويندوز ينشئ ملف أسمه rundll16.exe أو KERNEL.dl حجمه حوالي 35 كيلو بايت. كما ينشئ أيضاً في نفس المجلد ملف أسمه MOVOKH_32.dll حجمه أيضاً 35 كيلوبايت.

وينشئ أيضاً ملفان في نفس المجلد هما nodll.exe و watching.dll حجمهما أيضاً 35 كيلوبايت.

مع العلم أنه يمكن تغيير أسماء بعض هذه الملفات من قبل الهاكرز. المنافذ التي يستخدمها السوب سفن:

يستخدم السوب سيفين البورت رقم 6711 و 6776، هناك بورتات أخرى هي 1243 و 1999، وقد سمعت من أحد الأشخاص طريقة لاكن لا أتذكرها يقول بأنه يمكن تغيير أحد هذه البورتات وأستخدام بورت سري موجود بين 1243 و 1999 يحدده المستخدم بعدما يقوم المخترق بوضع السيرفر في جهازك يقوم السيرفر بإدخال تغييرات على ملف System.ini وبالتحديد في السطر الخامس حيث يقوم بإضافة أسمه بعد عبارة Explorer.exe ليصبح السطر بعد التغيير shell=Explorer.exe rundll16.exe كما يقوم بعمل تغيير في ملف Win.ini وذلك في الأسطر الأولى تحديداً في القيم التي توضع أمامها البرامج المراد تشغيلها أثناء تشغيل الويندوز مثل Load= ####.exe أو run=####.exe التخلص من السوب سيفين: من أهم أعراض الأصابة ببرنامج السوب سيفين هو ظهور رسالة (قام هاذا البرنامج بإنجاز عملية غير شرعية.... ) وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على الكيبورد حيث يقوم البرنامج بعمل تغييرات في برنامج سكرين سيفر، وتظهر هذه الرسائل عادةً عندما تقوم بأزالة أدخالات السوب سيفين في ملف system.ini

بإمكان السيرفر حق السوب سيفين أيضاً أعادة أنشاء نفسه بعد حذفه من الويندوز بأستخدام بعض الملفات المساعدة. بما أن السوب سيفين يمكن عمل تعديلات على السيرفر حقه بإستخدام برنامج الأيديت الملحق به، فإنه من الواجب البحث في أي مكان من الممكن أن يعمل تلقائيا، يعني أي مكان يمكن وضع أوامر للويندوز لتشغيله تلقائيا. أولاً أفتح الملف win.ini والملف system.ini الموجودان في مجلد الويندوز . في ملف الـwin.ini أبحث في بداية السطور الأولك من هاذا الملف عن أي قيم شبيهة بالقيم التالية:

run= xxxx.exe أو run= xxxx.dl أو Load= xxx.exe أو Load= xxxx.dll

xxx تعني أسم السيرفر.

إذا عثرت على قيمة خاصة بالسيرفر فقم بحذفها. في ملف الـ system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر shell=Explorer.exe إذا كان جهازك مصاباً بالسوب سيفين ستجد شكل السطر هكذا: shell=Explorer.exe xxx.exe أو shell=Explorer.exe xxx.dll

مع العلم بأن xxx أسم السيرفر الذي من أشهر اسمائه rundll16.exe و Task_Bar.exe إذا كان كذلك قم بمسح أسم السيرفر فقط يعني إذا كان مثلاً shell=Explorer.exe rundll.exe قم بمسح rundll.exe ليصبح شكل السطر shell=Explorer.exe

بعد ذلك شغل برنامج الريجستري بالذهاب إلى أبدء ثم تشغيل ثم كتابة regedit ثم النقر على (أوكي) وأذب إلى المجلدات التالية:

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

داخل المجلد (رن) أبحث عن أسم السيرفر الذي عثرت عليه في ملف system.ini أو الملف win.ini (في بعض الحالات قد يتغير أسم السيرفر في الريجستري لذلك أبحث عن أي شئ غريب) ثم بعد ذلك توجه لمجلد ويندوز وستجد أن حجم السيرفر الذي عثرت عليه بالريجستري حوالي 328 كيلوبايت ، إذا كان كذلك عد لنفس المنطقة في الريجستري وقم بحذف القيمة وذلك بانقر على أسمها وأختيار (ديليت). الآن أعد تشغيل الكمبيوتر، ثم توجه لمجلد الويندوز وقم بحذف السيرفر بالنقر عليه بالزر الأيمن للماوس وأختيار حذف (ديليت).

أتمنى أن تطبقوا الخطوات السابقة بدقة، وأن لاتحذفوا أو تعدلوا أي شئ في الريجستري مالم يكن مطابقاً لما جاء في الأعلاى.



الجزء الثاني

(3)
NetSphere 1.31 Final

النيت سفير هو واحد من أفضل برامج التجسس الموجودة على الأنترنت، يتميز السيرفر الخاص به بمزايا تجعله أفضل من النيت بص فهو مكتوب بلغة ديلفي4، ولم يكن النورتون أنتي فايرس يستطيع أكتشاف السيرفر الخاص به إلا قبل فترة قريبه

Net Sphere النيت سبير يعمل على الويندوز98 وال95 والNT .

السيرفر حقه حجمه 640 كيلو بايت ومكتوب بلغة ديلفي4 ، وأسم السيرفر nssx.exe ويمكن العثور عليه بمجلد السيستم الموجود بمجلد الويندوز. البورت الذي يستخدمه للتخاطب مع السايلنت هو البورت رقم 30100 و 30101 و 30102 و 30103

بعض مميزات النيت سفير:

* أولاً يقوم بأرسال المعلومات التالية عنك: نوع نظام التشغيل ورقم أصدارته، أسم صاحب الكمبيوتر المسجل في الريجستري، أسم الشركة التي تعمل بها والمسجلة بالريجستري، موقع مجلد الويندوز، أسم المعرف وكلمة السر الخاصة بدخول الأنترنت، نوع وسرعة البروسسر في جهازك، العنوان والمدينة والدولة ورقم التلفون وذلك إذا كانت مخزنة بالريجستري أو برامج البريد الأليكتروني، حجم الرام.

* أغلاق وفتح الشاشة لديك (إذا كانت تدعم توفير الطاقة)، وتغيير درجة الوضوح وتغيير عمق اللون بها.

* عمل بعض الأشياء بـ ال ICQ إذا كنت تستخدمه مثل إضافتك إلى اللست حقته أو إضافة العناويين الموجودة به إلى اللست الخاصة به.

* أخذ صورة لصطح المكتب الخاص بجهازك.

* عمل بعض التغييرات في إعدادات الماوس.

* خواص كثيرة أخرى مثل معرفة البرامج التي تعمل في الزمن الحقيقي وأمكانية أغلاقها، تسجيل الأصوات في غرفتك إذا كان لديك مايكروفون في جهازك، إرسال رسالة يمكن الرد عليها مباشرةً، أغلاق وتشغيل الكمبيوتر (عمل ريستارت وأيقاف تشغيل)، تتميز عملية السكننق فيه بالسرعة نسبة للنيت باص، بالأضافة إلى الحصول على التعليمات من شركة نيت سبير عند طلبك ذلك (أون لآين هيلب).

* وطبعاً جميع الوظائف التي تؤديها برامج التجسس مثل جلب (سرقة) وإرسال الملفات من جهازك لجهاز الهاكر.

كيفية التخلص من سيرفر النيت سبير:

* شغل برنامج الريجستري وذلك بالذهاب إلى (إبدء) ثم Run ثم كتابة regedit في المربع والنقر على (أوكي).

* توجه للمجلدات التالية بالضغط على علامة ال+ من أمام كل مجلد

HKEY_LOCAL_MACHINE+ Software+ Microsoft+ Windows+ CurrentVersion+ Run

في المجلد Run أنظر في الجهة اليمنى وأبحث عن NNSX إذا عثرت عليها ستجد أمامها C:\Windows\System\nnsx.exe وهو الأمر الذي يقوم بتشغيل السيرفر حق النيت سبير في كل مرة يتم فيها تشغيل الويندوز، ضع الماوس على NNSX وأنفر بالزر الأيمن وأختر (ديليت)

* أقفل برنامج الريجستري وأعد تشغيل الكمبيوتر في وضع الدوس ثم توجه للمجلد System وذلك بكتابة

الأمر CD WINDOWS\SYSTEM ثم أضغط على Enter في لوحة المفاتيح (الكي بورد) .

* بعد أن ذهبت للمجلد سيستم أكتب الأمر التالي لحذف السيرفر المسمى NNSX أمر الحذف هو Del nssx.exe وأضغط Enter . * أعد تشغيل الكمبيوتر وذلك بالنقر على الأزرار Ctrl + Alt + Delet

وبذلك تكون قد تخلصت من السيرفر حق النيت سبير

...............

الجزء الثالث



COOKIES



الكوكز :

تستخدم معظم المواقع نظام او برتكوول الكوكز .. والفائده منه هو فى الحقيقه تسريع الدخول الى المواقع .. ولاكن السبب الرئيسى فى وجوده هو الغايه التجاريه .. فبهذا النظام تستطيع المواقع اخذ بعض البيانات الخاصه مثل .. كم مره زرت بها الموقع .. ما نوع الجهاز المستخدم … بعض البرامج الموجوده فى جهازك .. وتقم تلك المواقع بارسال ملف صغير الى الهارد دسك عن طريق استخدام الكوكز .

والان لا باس فى الكوكز طالما انك تتجول فى مواقع معروفه ومشهوره .. ولاكن يفضل ابطال فعلها او الطلب باخذ الاذن منك قبل استقبال او ارسال اى معلومات .. فمثلا تود زياره مواقع الهاكرز او اى مواقع غير معروفه .. ما عليك سوى اما ابطال مفعول الكوكز او طجلب اخذ الاذن منك .. اذا كنت من مستخدمى اكسبلور 4 .. فاتجه الى : Internet option ومنها اختار الامر : Advance وابحث عن الكوكز … سوف تجد تحت الكوكز ثلاث اوامر الاول القبول المباشر .. والثانى طلب الاذن منك .. والثالث ابطال الكوكز .. فاختر ما تحب …

اما اذا كنت من مستخدمى اكسبلور 5 .. فلا اختلاف كبير الا ان الكوكز نقلت الى :

Security ومنها تجد الامر : Custom Level ومنها سوف تجد الكوكز فاختر ما تحب …



Master Paradise

تعريـف : يعتبر هذا البرنامج سيد برامج الاختراق … ويختى ايضا فى الريجسترى

التخلص منه :

اتجه للرجسترى ثم ابحث عن امتداد الملف و قم بمسحه .

“C:\windowds\nameofthe.exe



Net Bus 2000

تعريف : برنامج النت باص 2000 يستخدم السيرفر العادى وهو : server.exe ولاكن يمكن تغير الاسم … وهو يسجل نفسه ولاكن غفى منطقه اخرى فى اليجسترى ..

التخلص منه :

للتخلص من البرنامج قم بالبحث عن الملف ولاكن بدلا من : HKEY_LOCAL_MACHIN اتجــه الــى : HKEY_LOCAL_USERS

ثم ابحث عن :

HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE



الكلمه التى تحتها خط هى الخادم للبرنامج او السيرفر .. ان وجدتها قم باطفاء الجهاز واعاده تشغيله فى وضع اليسف مود ( Safe Mode) ثم تخلص من الملف واعد تشغيل الجهاز..



ICQ Torjan



تعريف : يقم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقم الملف بتغير الاسكيو الحقيقى لديك ICQ.exe وابعاده وتغير اسمه ليصبح ICQ2.EXE ….

التخلص منه :

يمكن التخلص من الملف بكل سهوله ..اتجه الى الملف الخاص بالاسكيو وقم بحف ملف الاسكيو

ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقى .. ICQ2.EXE الى ICQ.EXE



انتهى درسنا اليوم


الى القاء في الدرس المقبل