السلام عليكم ورحمة الله وبركاته
نبداء
بسم الله الرحمن الرحيم
الدرس الاول ...
هذة القائمة تضم اشهر برامج التجسس مع ارقام المنافذ و البورتات التي تستخدمها
21 TCP Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23 TCP Tiny Telnet Server
25 TCP Antigen, Email Password Sender, Haebu Coceda, Kuang2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31 TCP Agent 31, Hackers Paradise, Masters Paradise
41 TCP DeepThroat
53 TCP DNS
58 TCP DMSetup
79 TCP Firehotcker
80 TCP Executor
110 TCP ProMail trojan
121 TCP JammerKillah
129 TCP Password Generator Protocol
137 TCP Netbios name (DoS attacks)
138 TCP Netbios datagram (DoS attacks)
139 TCP Netbios session (DoS attacks)
421 TCP TCP Wrappers
456 TCP Hackers Paradise
531 TCP Rasmin
555 TCP Ini-Killer, Phase Zero, Stealth Spy
666 TCP Attack FTP, Satanz Backdoor
911 TCP Dark Shadow
999 TCP DeepThroat
1001 TCP Silencer, WebEx
1011 TCP Doly Trojan
1012 TCP Doly Trojan
1024 TCP NetSpy
1027 TCP ICQ
1029 TCP ICQ
1032 TCP ICQ
1045 TCP Rasmin
1080 TCP Used to detect Wingate sniffers.
1090 TCP Xtreme
1170 TCP Psyber Stream Server, Voice
1234 TCP Ultors Trojan
1243 TCP BackDoor-G, SubSeven
1245 TCP VooDoo Doll
1349 UDP BO DLL
1492 TCP FTP99CMP
1600 TCP Shivka-Burka
1807 TCP SpySender
1981 TCP Shockrave
1999 TCP BackDoor
2001 TCP Trojan Cow
2023 TCP Ripper
2115 TCP Bugs
2140 TCP Deep Throat, The Invasor
2565 TCP Striker
2583 TCP WinCrash
2801 TCP Phineas Phucker
2989 UDP Rat
3024 TCP WinCrash
3129 TCP Masters Paradise
3150 TCP Deep Throat, The Invasor
3700 TCP al of Doom
4092 TCP WinCrash
4567 TCP File Nail
4590 TCP ICQTrojan
5000 TCP Bubbel, Back Door Setup, Sockets de Troie
5001 TCP Back Door Setup, Sockets de Troie
5321 TCP Firehotcker
5400 TCP Blade Runner
5401 TCP Blade Runner
5402 TCP Blade Runner
5555 TCP ServeMe
5556 TCP BO Facil
5557 TCP BO Facil
5569 TCP Robo-Hack
5742 TCP WinCrash
6400 TCP The Thing
6670 TCP DeepThroat
6771 TCP DeepThroat
6776 TCP BackDoor-G, SubSeven
6939 TCP Indoctrination
6969 TCP GateCrasher, Priority
7000 TCP Remote Grab
7300 TCP NetMonitor
7301 TCP NetMonitor
7306 TCP NetMonitor
7307 TCP NetMonitor
7308 TCP NetMonitor
7789 TCP Back Door Setup, ICKiller
9872 TCP al of Doom
9873 TCP al of Doom
9874 TCP al of Doom
9875 TCP al of Doom
9989 TCP iNi-Killer
10067 TCP al of Doom
10167 TCP al of Doom
10520 TCP Acid Shivers
10607 TCP Coma
11000 TCP Senna Spy
11223 TCP Progenic trojan
12076 TCP GJamer
12223 TCP Hack´99 KeyLogger
12345 TCP GabanBus, NetBus, Pie Bill Gates, X-bill
12346 TCP GabanBus, NetBus, X-bill
12361 TCP Whack-a-mole
12362 TCP Whack-a-mole
12631 TCP WhackJob
13000 TCP Senna Spy
16969 TCP Priority
20000 TCP Millennium
20001 TCP Millennium
20034 TCP NetBus 2 Pro
21544 TCP GirlFriend
22222 TCP Prosiak
23456 TCP Evil FTP, Ugly FTP
26274 UDP Delta Source
29891 UDP The Unexplained
30029 TCP AOL Trojan
30100 TCP NetSphere
30101 TCP NetSphere
30102 TCP NetSphere
30303 TCP Sockets de Troie
31337 TCP Baron Night, BO client, BO2, Bo Facil
31337 UDP BackFire, Back Orifice, DeepBO
31338 TCP NetSpy DK
31338 UDP Back Orifice, DeepBO
31339 TCP NetSpy DK
31666 TCP BOWhack
31789 TCP Hack'A'Tack
33333 TCP Prosiak
34324 TCP BigGluck, TN
40412 TCP The Spy
40421 TCP Agent 40421, Masters Paradise
40422 TCP Masters Paradise
40423 TCP Masters Paradise
40425 TCP Masters Paradise
40426 TCP Masters Paradise
47262 UDP Delta Source
50505 TCP Sockets de Troie
50766 TCP Fore
53001 TCP Remote Windows Shutdown
54321 TCP School Bus
60000 TCP Deep Throat
التروجان هو برنامج تجسس و له أسماء أخرى مثل مخدم (Server) أو اللاصق (Patch) أو الجاسوس (Spy) لكن مبدعين هذا النوع من الملفات يفضلون الأسماء الرنانة و اسم تروجان هو نسبة إلى حصان طروادة. لكن مع اختلاف المسميات فهو برنامج تجسسي يجعل من حاسبك مخدم لحاسب الجاسوس, أي يتمكن الجاسوس (و هو الشخص الذي بعث إليك هذا التروجان) من التحكم بجهازك و كأنه أنت, لكن مع الأخذ بعين الاعتبار أن ذلك فقط في حال أنت متصل بالإنترنت أو الشبكة و ليس هذا فقط بل و عندما يعرف أنك على الإنترنت أما غير ذلك فهو لا حول له ولا قوة.
كيف يتم دخول التروجان إلى حاسبي:
1- عن طريق برامج المحادثة مثل Microsoft chat و ICQ و Mirc و MSN و Yahoo .. الخ.
فلا تستقبل أي ملف مهما يكن و خاصة التي يكون امتدادها exe و حاليا ً ظهرت برامج تقوم بتغير امتداد الصور إلى exe فبعض الهاكرز يستخدمها في الضحك على الضحايا و يقول لهم أنها صور مغير امتدادها إلى exeو لكنه قد يدس التروجان بداخلها أو قد تكون هي التروجان بحالها.
2- عن طريق البريد الالكتروني:
لذا قم بحذف جميع الرسائل المجهولة و التي لا تعرف من هو مرسلها.
3- عن طريق تحميل برامج من مواقع مشبوهة:
الحل : أن تفعل خاصية الحماية التلقائية لبرنامج KasperSkyو الذي هو أقوى برامج الحماية على الإطلاق لأنه يتعامل مع الفيروسات و برامج التجسس على حد سواء.
4- عن طريق المنتديات التي تفعّل خاصية html قد يأتي من هو حاقد على المنتدى و يزرع الكود في رد لموضوع أو في موضوع جديد.
الحل : بسيط جدا ً لأنه ليس من مسؤوليتك بل من مسؤولية مشرف الموقع.
5- عن طريق الماسنجر بأنواعها هناك برنامج جديد و لكني لا اعلم مدى مصداقية كاتبه و هو يقوم بعمل سرقة الملفات و الصور من جهاز الطرف الآخر إذا كان online و من دون إذنه و اسم البرنامج imesh .
الحل : لا تضيف إلا من تعرفهم و إذا صادفت أي شخص لا تعرفه و شكيت فيه فقم بعمل حظر ثم حذف, لكن إذا كان في جهازك تروجان و حظرته فسوف يدخل و أنت لا تعلم لأن الحظر لن يفيد ما دام الخادم في جهازك يستقبل أوامر العملاء, و أنا لي وقفة بسيطة حول هذا البرنامج قد يكون هذا البرنامج مثل أخواتها من التروجانات .. قد تسمح لمصمم البرنامج أن يتجسس عليك و أنت تحاول أن تتجسس على الآخرين عملا ً بشعار افتراس المفترس و هذا هو حال كثير من برامج التجسس.
كيف أتخلص من التروجان إذا أصاب جهازي:
قبل كل شيء يجب أن تعرف أن الملف التجسسي إذا أصاب جهازك فإنه سوف يستوطن في واحد على الأقل من الأماكن التالية:
1- في الريجستري .
2- في الملف Startup .
3- في الملف System.ini .
4- في الملف Win.ini .
أما للتخلص منه فإليك الطريقة..
هناك طريقتين لحذف التروجان و هي مجربة على ويندوز 98 و هي إما بواسطة برامج الحماية و هذه هي الطريقة الأوتوماتيكية, أو الطريقة اليدوية عن طريق DOS و هي الأفضل و الأقوى من خلال التجارب مع Trojans إذا عملت بحث بواسطة برامج الحماية و صدف إنه في بعض الأحيان لا يمكن حذف التروجان بواسطة برامج الحماية لأن التروجان قد يحذف معه ملف مهم من ملفات النظام و في هذه الحالة تضطر إلى استخدام الطريقة الأخرى و هي الأفضل و الأسلم و هي كالتالي:
لنفرض أن التروجان اسمه Server تمكن من معرفته برنامج الحماية, أول خطوة و هي أن تتأكد هل هو يشتغل مع تشغيل الجهاز و ذلك بفعل التالي:
اضغط على زر start
اختر run
اكتب: msconfig
ثم اختر Start UP و من هناك ابحث عن اسم التروجان و غالبا ً ما يكون اسمه على الاسم الذي تم كشفه, ثم إذا وجدته أزل علامة الصح من أمامه ثم اعد تشغيل الجهاز. يمكنك مراجعة الطرق الاخرى بالضغط على هذه الوصلة
الخطوة الثانية و هي أن تحاول أن تجمع اكبر قدر من المعلومات عن التروجان الذي تم اكتشفاه حتى تتعرف عن أماكن اختبائه في الجهاز و عن تسجيل نفسه في الريجستري أو Win.ini أو System.ini أو جميعها معا ً, و أفضل ثلاث مواقع يقدم لك الاستفسار الكامل عن أي تروجان هم
http://www.dark-e.com/archive/trojans/http://www.google.com/http://www.moosoft.com/tdbindex.phpالخطوة الثالثة بعد إعادة التشغيل ينبغي أن تكتب اسم التروجان كامل في ورقة خارجية ثم تذهب إلى الدوس عن طريق إعادة التشغيل و اضغط على Ctrl أو F8 أو استخدام قرص الإقلاع اختار Ms-Dos prompt في حال كنت تستخدم Win ME أو عن طريق الدوس الخارجة عن نطاق الويندوز و هي من ابدأ ثم إيقاف التشغيل ثم اختر الرجوع إلى بيئة الدوس RESTART IN MS-DOS MODE و ذلك في حال أنك تستخدم Win 98 ثم اتبع هذه الطريقة لكي تبحث عن التروجان و انتبه إلى المسافة بين الأمر dir و بين اسم التروجان و لا تنسى النجوم *.* :
C:/Windows>dir server *.*
ثم إنتر و إذا وجدت أي ملف اسمه server و امتداده الأخير هو exe فهو مطلبك و عليك أن تحذفه بهذه الطريقة و انتبه إلى المسافة بين deltree و بين اسم التروجان ولا تنسى النجوم *.* :
C:/Windows>Deltree server *.*
ثم إنتر ثم راح تسأل سؤال ضع علامة Y و قد يكون هناك أكثر من برنامج يحمل نفس الاسم و لكن الامتداد يختلف.. أهم شيء انك تبحث عن اسم التروجان server و الذي يكون امتداده exe هذه هي الطريقة اليدوية و الفعالة في حذف التروجان من الجهاز طبعا ً تضع بدل من كلمة server الاسم الذي تم رصده من مكافحات التجسس.. ثم اعد تشغيل الجهاز.
ملاحظه مهمة جدا ً:
هناك أمر أخر للحذف و هو Del و لكني أفضل الأمر Deltree لأنه اشمل في الحذف و يقوم بحذف كل شيء مخفي من اثر التروجان و يتعقبه في كل الأدلة و ليس مثل الأمر Delو الآن نحن في الويندوز و بعدما تم حذف التروجان و بقي أن نزيل بعض من آثاره من win.iniأو system.iniأو الريجستري. طبعا ً بعدما تدخل إلى إحدى المواقع اللي فوق و بعدما تبحث عن اسم التروجان الذي تريده أن تعرفه عنه, و كان تروجانك هو server و حصلت على هذه المعلومات من المواقع السابقة و هي انه من فصيلة Sub 7 و أهم شيء من المعلومات هذه من القسم How To Remove و عليك أن تتبع مسار التروجان في مكانه.. و بعد التمحيص عن التروجان وجدناه يسجل نفسه في الريجستري, اذهب إلى المفتاح التالي
HKET_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
و ابحث عن الأسماء التالية RunDLL32r ,PATCH.EXE ,EXPLO32 ,SERVER.EXEC ,Explorer32 , ,WINDOWS\EXPL32.EXE في المفتاحين Run و RunServices و لاحظ على الملفات جيدا ً فإن لم يقابلها Data أو يظهر أمامها سهم صغير à فهو ملف تجسس إذ ليس له عنوان معيين في الويندوز, و عندما تجد احد تلك الملفات قم بحذفه, و بعدين تسوي إعادة تشغيل, و الآن عليك البحث في الملفين Win.ini و System.ini و اللذين تشغلهما من Run ثم اختر الملف System.ini و ابحث في قسم الـ Boot عن أي اسم غريب تحت هذا السطر shell=Explorer.exe ثم أزل منه الصح لكن تحقق من انه تروجان و هكذا. بعض التروجانات قد تحذف معها ملفات مهمة من الجهاز و في هذه الحالة يتطلب منك إرجاعها و طريقة الاسترجاع كالتالي:
في تشغيل Run اكتب SFC ثم إنتر ثم اختر الإعدادات Settings ثم في آخر شيء ضع علامة صح تفقد الملفات المحذوفة Check for deleted files ثم اختر موافق و بعدها اختر Start و اترك البرنامج يقوم بعمل فحص للملفات قد يكون هناك ملف محذوف و يتطلب رجوعه بواسطة CD.. طبعا ً على حسب نوع النظام اللي عندك يعني إذا عندك نظام 98 لازم قرص 98 و هكذا إذا وجد ملف محذوف يطلب القرص و أكمل بعدها إجراءات استرجاعه
طبعا
ملاحظه هنا هامه
هنالك الان طريقة جديد
انك لا تحتاج الى الاستقبال
مباشرة ضغطك على لينك موقع
مثال
انا لدي موقع يحمل باتش
لا اضعك لك وصلة الموقع بل اضع لك موقع اخر واقوم بعملية تحويله على عنوان الباتش يعني طريقة مبتكره وسريعه ولا تختطر في بال احد
طبعا تم نزلو الباتش في جهاز
مثال
ROOK Kit
من اخطر الفايروسات او التروجونات حاليا
وهم اهل الخبره هنا ماذا يفعلون يشفرون الباتش
ويتم وضعه في السيرفز تبع الويندوز تذهب الى رن + ريج ايدت + تحاول حذفه يقول لك لا يمكنك ماذا نفعل هنا
اولا
اضغط على زر start
اختر run
اكتب: msconfig
اذا فتحت الشاشه
نذهب الى
Servies
نعمل ديسيبل
يعني نشيل علامات الصح كلها ما عدا برنامج الحمايه نجعل السيرفز لبرنامج الحمايه تعمل
نذهب بعد هذا الى
Start up
ايضا نجعل برنامج الحمايه الذي عليه الصح
بعدها نعمل تطبيق وعادة تشغيل