دورة $ قابض الجمر $ للحماية وكشف التلغيم : القسم 6 / رصد تحركات النظام
دورة $ قابض الجمر $ للحماية وكشف التلغيم
القسم السادس:
رصد تحركات النظام .
القسم السادس:
رصد تحركات النظام .
الشــرح :
من طرق كشف تلغيم البرامج هي مراقبة تحركات النظام ’ ورصد كل ملف اضيف بعد تشغيل الملف الذي تود فحصه ’ وهناك برنامج مختصة بهذا الشأن مهمتها عمل مقارنة لحالة الاقراص والريجستي قبل وبعد تشغيل البرنامج المشكوك بامره .
من طرق كشف تلغيم البرامج هي مراقبة تحركات النظام ’ ورصد كل ملف اضيف بعد تشغيل الملف الذي تود فحصه ’ وهناك برنامج مختصة بهذا الشأن مهمتها عمل مقارنة لحالة الاقراص والريجستي قبل وبعد تشغيل البرنامج المشكوك بامره .
ومن افضل برامج رصد النظام هي :
1- regshot
2- Disk and Registry Alert
1- regshot
2- Disk and Registry Alert
مهمتها بسيطة كل مافي الامر انك اذا اردت فحص برنامج مشكوك قم باخذ صورة للجهاز لديك قبل تشغيل الملف المشكوك ’ ومن ثم قم بتشغيل البرنامج المشكوك واخيرا اعمل صورة للجهاز وشاهد المتغيرات ماذا اضيف من ملفات للجهاز وكشفها بابسط الطرق.
قبل ان نبدا عليك بمراجعة الاتي :
الريجستري:-هي مكونات نظام التشغيل ((ويندوز)) بل يعتبر ركن أساسي في نظام التشغيل مما يحتوي قاعدة بيانات البرامج ومكونات ماديه وعتاد نظام التشغيل ويندوز.
الهكرز متى ما أمتلك أو تمكن من الوصول الى الريجستري فقد أمتلك الكمبيوتر باكمله لأن الريجستري يحتوي على قواعد البيانات سوى كانت لـ برامج مثبته على النظام أو حسابات مستخدمين للكمبيوتر وهي بالتاكيد مهمه من ناحية تعطيل البرامج أو اضافة مستخدمين او حذف أو تعديل عليها .
لذالك يجب حمايتها من التعديل ومعرفة طرق التعامل معها من ناحية حذف أو تعديل القيم .
لذالك يجب حمايتها من التعديل ومعرفة طرق التعامل معها من ناحية حذف أو تعديل القيم .
اهمية الريجستي :
مهم على اعتبار اول ماتشغل ملف ملغوم تنزل تلقائيا قيم للريجستي من خلالها يتم تثبيت جهازك عند الهكر فيستطيع دخول جهازك فور تشغيلك الجهاز.
مهم على اعتبار اول ماتشغل ملف ملغوم تنزل تلقائيا قيم للريجستي من خلالها يتم تثبيت جهازك عند الهكر فيستطيع دخول جهازك فور تشغيلك الجهاز.
ملاحظة هامة :
ارجو اخذ الحذر وانت تتعامل مع الريجستي ’ فاي خطأ منك ممكن يسبب لك مشاكل فلا تحذف اي ملف الا اذا تأكدت من ضرره ’ وبامكانك استشارة المختصين بالهكرز .
ارجو اخذ الحذر وانت تتعامل مع الريجستي ’ فاي خطأ منك ممكن يسبب لك مشاكل فلا تحذف اي ملف الا اذا تأكدت من ضرره ’ وبامكانك استشارة المختصين بالهكرز .
سنبدا بشرح برنامج regshot
الاصدار : 1.8.1
حجم الملف من موقعه الرسمي : 89 كيلوبايت
تحميله من الموقع الرسمي :
http://sourceforge.net/projects/port…n.zip/download
الاصدار : 1.8.1
حجم الملف من موقعه الرسمي : 89 كيلوبايت
تحميله من الموقع الرسمي :
http://sourceforge.net/projects/port…n.zip/download
مهمته :
هذا البرنامج رائع جدا يكشف لك :
مسار نزول البرامج التجسسيه + مسار مفتاح التثبيت بالريجستي + مفتاح التثبيت .
هذا البرنامج رائع جدا يكشف لك :
مسار نزول البرامج التجسسيه + مسار مفتاح التثبيت بالريجستي + مفتاح التثبيت .
الشرح :
وهذا ماتم اضافته بالريجستي بعد تشغيل ملف ملغوم
واي مفتاح يبدا بـ HKU/S-1-5-21 لاتحذفه ’ فحذفه يسبب لك مشاكل .
واي مفتاح يبدا بـ HKU/S-1-5-21 لاتحذفه ’ فحذفه يسبب لك مشاكل .
وهذا ماتم اضافته بالاقراص بعد تشغيل الملف الملغوم :
مع العلم ليس كل مفتاح تثبيت يعني ان الملف ضار , اغلب البرامج حين تنصيبها تقوم بانزال مفاتيح في الرجستري لذلك كن حذر باستخدام البرنامج .
تذهب لمساره وتحذف المفتاح كما تشاهد .
وهذا شرح اخر لكيفية حذف مفاتيح الريجستي الضاره :
اذن باختصار قمت بالتالي :
1- اخذت صورة للنظام قبل فتح الملف المراد رصده .
2- فتحت الملف المراد رصده.
3- عملت فحص للنظام مرة اخرى بعد فتح الملف المراد رصده .
1- اخذت صورة للنظام قبل فتح الملف المراد رصده .
2- فتحت الملف المراد رصده.
3- عملت فحص للنظام مرة اخرى بعد فتح الملف المراد رصده .
2- شرح برنامج
Disk and Registry Alert
Disk and Registry Alert
شرح فديو تطبيقي :
طريقة جميلة جدا لحماية الريجستي وهي المفترض اشرحها اولا ولكن فضلتها بآخر الدرس حتى اخذت فكرة عن الريجستي وهذه الامور .
الفكرة :
تعمل نسخة للريجستي قبل فحص برنامج مشكوك ’ فاذا قدر الله وتم كشف ان هذا البرنامج ملغوم ’ فقم فورا باسترداد النسخة الاصلية للريجستي ’ وتذهب القيم الضارة التي اضيفت فور تشغيل الملف الملغوم .
تعمل نسخة للريجستي قبل فحص برنامج مشكوك ’ فاذا قدر الله وتم كشف ان هذا البرنامج ملغوم ’ فقم فورا باسترداد النسخة الاصلية للريجستي ’ وتذهب القيم الضارة التي اضيفت فور تشغيل الملف الملغوم .
هذا طبعا اذا لم تكن مجمد النظام ’ لكن اذا كنت مجمد النظام مايحتاج تعمل نسخة للريجستي فقط اعدت تشغيل الجهاز وتذهب هذه الملفات ’ وان عملت نسخة احتياطية قبل تشغيل الملف الملغوم فهذا خير على خير فقد قال البعض ان حفظ الريجستي واسترداده بعد تشغيل برنامج ضار اقوى من تجميد النظام ! الله اعلم .
ابدا – تشغيل – regedit
الان تم وضع نسخة للريجستي على سطح المكتب اشغل البرنامج المشكوك به ’اذا اكتشفته ملغوم استرد النسخة كالتالي :
وانتهى الموضوع .
وقد شرحت برنامج اخر يقوم ايضا بعمل نسخة للريجستي مثلما تشاهد :
والصلاة والسلام على رسول الله
حمايه و كشف التلغيم 