missou
عدد المساهمات : 1283
السٌّمعَة : 3
تاريخ التسجيل : 17/06/2009
العمر : 27
الموقع : برج بوعريريج.الحمادية
 |  موضوع: احذر خطر كبير يهدد جهازك هاك الحل  السبت أغسطس 08, 2009 7:26 pm | |
| هذة تجربة شخصية
أتمنى أن تتخذوا الموضوع بجدية فهته ليست لعبة
أنا شخصيا حصل معي هذا الأمر
Rootkit خطركبير لا يكاد يذكر أمام الديدان و الفيروسات الصغيرة
فبعد دخول ROOTKIT إلى جهازي صار يخرب النظام و يزرع عشرات الفيروسات عند الإقلاع .........صار الجهاز متحكم به
السلام عليكم والرحمة
هذا تصريح لخبير بتصرف مني
منقول من أحد المواقع لتعم الفائدة
اخواني الكرام اود اطرح موضوع مهم في الحقيقة ويتكلم عن الروت كيت والذي بدات أرى ظهور روت كيت احترافية على منصات ويندوز حيث كانت اكثر احترافية على انظمة تشغيل لينكس لكن في الاونة بدات ارى روت اكثر احترافية وتخريب على انظمة ويندوز واردت اشرحها لكم حتى تتجنبون شرور من يستخدم الروت كيت
ماهو الروت كيت؟
الروت كيت عبارة عن ادوات تقوم بعملية كنسلة لأوامر النظام بالاضافة الى زرع اوامر بالنظام مثل اضافة ادمن في نظامك والدخول به او عملية تغير drivers أو kernel modules اي اجزاء جدا مهمة من النظام وخطيرة اي بمعنى اوضح الروت تمكن المهاجم من تطويع والسيطرة على جهازك كاملا والتحكم به ،، والروت كيت ادواته كانت ولازالت منتشرى بكثرة على انظمة اللينكس وكان يوجد على انظمة ويندوز لكن ادوات غير احترافية ولاتحدث اضرار كبيرة لكن الان مع تطور مستوى المبرمجين المخربين طورو وبرمجوا ادوات روت كيت تخريبية وفتاكة على انظمة ويندوز
حاليا تعتبر هذه التقنية إلى حد بعيد من أذكى التقنيات, حتى أن برامج الحماية أصبحت تعاني الأمرَّين بسبب الروت كيت
الروت كيت تقنية في الأكواد والبريمجات تصرح لها وجوداً دائماً في النظام وغير قابل للكشف من برامج المراقبة، وبشكل احترافي الروت كيت هو الغير قابلية للكشف* "undetectable" , وهو مفيد إن أردت الحضور الدائم في نظام معين، أما إذا كنت تخطط لسرقة معلومات ومن ثم ترك النظام فلا أعتقد أنك تحتاج لوضع أثر لك في ذلك النظام بعد أن قضيت وطرك منه.
طريقة عمله
فكرة وطريقة عمل الروت كيت ليست معقدة كثيرا، فهو يعمل بمبدأ يسمى التعديل (modification), فلنتابع معاً السطور القادمة لفهم هذه السنفونية..
الترقيع (Patching):
الكود (الملف*) القابل للتنفيذ (Executable code ) يحتوي على متسلسلة من التعابير المشفرة كبايتات بياناتية.
وهذه البايتات تكون منظمة بدقة، وكل بايت منها يعني شيء ما للكمبيوتر،و البرامج يمكن أن تُعدَّل إذا تم تعديل هذه البايتات، هذا التعديل أو التغير يسمى (ترقيع).
وفي الحقيقة أن البرمجيات (Software) ليست ذكية، فهي تقوم بما تُخبر به فقط، ولا تعمل شيء غير ذلك. لهذا السبب التعديل فيها له أثر في عملها، فالترقيع أحد الوسائل التي يستخدمها الكراكرز (Crackers) للتنصل من برامج الحماية والمراقبة، ومن الطريف في الأمر أن الترقيع أيضا يستخدم لخداع ألعاب الفيديو (Video Games) مثلا لإعطائك زمن أطول للحياة أو جمع عدد أكبر من الذهب والنقاط أو فضح فريق كرة قدم كبير مثل البرازيل بتسجيل عدد خيالي من الأهداف في شباكه خخ.
تعديل الكود البرمجي (Source-Code Modification):
يمكن تغيير الأكواد المصدرية للملفات، حيث أن المبرمج البارع يمكن أن يدخل (insert) ما يسمى بالـسطور الخبيثة هه (malicious lines) إلى سطور الأكواد الأصلية للبرنامج، وما يسمى بالبرامج المفتوحة المصدر (open-source programs) فهذه تسمح لأي شخص في التعديل على البرنامج، بحيث يمكن للمبرمج الخبيث أن يعرض برنامج معين لما يسمى بفيض الذاكرة * (overflow buffer) في هدف محدد، ومن ثم استغلال هذا الهدف لوضع باك دور.
أنواع الروت كيت؟
Firmware
اول نوع يستهدف التعديل والخريب على فريم وير الجهاز المستهدف على انظمة ويندوز
Virtualized
هذا النوع يستهدف قطاع التشغيل boot عبر زرع نفسه في قطاع التشغيل
Kernel level
من اخطر انوع الروت كيت الذي يزرع نفسه في قلب النظام حيث يقوم بتعديل kernel modules ويقوم بتعديل على اكواد الكيرنيل في النظام ويعتبر من اخطر انواع الروت كيت
Library level
يعتبر من الانوع لمستخدمة ايضا بكثرة ويقوم باستخدام اوامر الربط والاختطاف مثل hook وغيرها من اوامر
Application level
يعتبر من الانواع الشائعة والمعروفة والذي يستهدف طبقة التطبيقات كان يستبهدل مثلا ملفات الريال بلير بملف تروجن خبيث على سبي المثال او ملف تخريبي وهذه ايضا من الانواع الشائعة
كيف احمي نفسى من الروت كيت؟
هذه من الاجزاء المهمة لو كنا على انظمة لينكس لأخبرتك بان تتسخدم اداة rkhunter المعروفة على انظمة لينكس اما انظمة ويندوز فلديك اكثر من اداة وساشرح بعضها ان شاء الله
RootkitRevealer v1.71
هذه الادةا تعمل على منصات ويندوز وهي اداة مجانية لايتجاوز حجمها 200 كليوبايت فقط !
وهي تعمل على اكتشاف اي عمليات خبيثة في الذاكرة وتقوم هذه الاداة بقراءة صفوف الريجستري بكل دائم وايضا بقراءة API بشكل دائم ومستمر اداة جميلة ومجانية وقوية ايضا
الحجم:-200 كليوبايت
للتحميل من هنا | |
|
