بسم الله الرحمن الرحيم

Written by : Muslim_haqer

 

تحية للجميع , وهذه مشاركة جديدة عن حماية الأجهزة الشخصية من ملفات التجسس ( Trojans) .

ملاحظة : هذه المشاركة خاصة بأنظمة ويندوز فقط .

كما نعرف جميعا , هناك المئات بل ربما الأولوف من ملفات وبرامج التجسس التي تستهدف الأجهزة الشخصية للمستخدمين , وكلها تهدف في النهاية إلى التجسس على المستخدم وسرقة بعض المعلومات المهمة من جهازه مثل كلمات السر لحسابات البريد الإلكتروني , أرقام بطاقات إئتمانية , جميع ما يكتبه المستخدم على لوحة المفاتيح , الخ ..........

وعلى الرغم من سهولة إستخدام مثل هذه البرامج فإن مخاطرها كبيرة لأنه وكما قلت ستعرض ملفاتك وبياناتك الشخصية للخطر.

 

وكما نعرف جميعا فإن الحل المضاد لهذه الملفات هو باستخدام البرامج المكافحة للفيروسات وملفات التجسس anti-virus وهي كثيرة جدا.

ولكن مثل هذه البرامج لا تؤمن في كثير من الأحيان درجة الأمان المطلوبة بسبب ظهور الكثير من الفيروسات وبرامج التجسس كل فترة , حيث تبقى مخفية قبل ظهور التعريفات المضادة لها .

أيضا هناك الكثير من البرامج التي تقوم بتعديل تواقيع بعض الملفات مما يؤدي إلى إخفائها عن برامج anti-virus , وغيرها من برامج الضغط والتشفير .

فإذن حتى مع وجود مثل هذه البرامج و تحديثها بشكل يومي , يمكن أن يبقى جهازك معرض لملفات التجسس وبالتالي للإختراق.

ما الحل إذن ؟؟

هناك أداة تأتي مدمجة built-in مع أنظمة ويندوز تسمى sigverif .

قامت مايكروسوفت بتطوير هذه الأداة للحفاظ على ملفات النظام وحمايتها من التبديل أو التغيير , وأن تبقى كما هي عندما تقوم بتنصيب الويندوز .

جميع ملفات نظام ويندوز تحوي توقيع رقمي خاص لا يمكن تزويره أو تغييره ,  وتقوم هذه الأداة بالتحقق من صحة التواقيع الرقمية لجميع ملفات النظام , وإذا وجدت أي تغيير أو عدم وجود توقيع لملف ما , تقوم باكتشافه وعرضه على الشاشة .

وهنا يمكن الإستفادة منها في كشف أي ملف لا يحوي التوقيع الرقمي ومنها ملفات التجسس .

 

معظم ملفات التجسس لأنظمة ويندوز لها تقنية معروفة عندما تغزو الأجهزة الشخصية , وهي أنها تزرع نفسها في مجلد النظام .

المسارات التي تعمل عليها هي :

1-    windows 95+98+ME :

C:\windows OR C:\windows\system

2-    windows 2000 professional :

C:\winnt OR C:\winnt\system32

3-    Windows XP professional & Home edition :

C:\windows OR C:\windows\system32

هذه هي الأماكن التي تتواجد فيها ملفات التجسس , ويمكنها ذلك بأن تعمل مع كل إقلاع للويندوز .

عن طريق هذه الأداة يمكن أن تقوم بفحص تلك المسارات بحسب نظام التشغيل لديك , وستقوم الأداة بالكشف عن أي ملف لا يحوي التوقيع الرقمي الخاص بملفات النظام .

 

سأقوم الآن بشرح استخدام الأداة وذكر بعض الملاحظات بعد ذلك .

للوصول إلى الأداة قم بما يلي :

Start >> Run >> sigverif

بعدها ستظهر لك الأداة كالتالي :

 

إذا أردت أن تفحص ملفات النظام فقط , فقم باختيار start وسيبدأ بعدها البرنامج بعملية التدقيق كالتالي :

 

 

بعدها ستظهر لك الأداة نتائج الفحص , فإذا كانت جميع ملفات النظام تحوي التوقيع الرقمي , فستظهر لك هذه الرسالة :

 

وتفيد هذه الرسالة أن جميع ملفات النظام تحوي التوقيع الرقمي وبالتالي فإن ملفات النظام سليمة ولم تتعرض للتبديل أو التغيير .

 

وإذا ما وجدت الأداة بعض الملفات التي لا تحوي التوقيع الرقمي , ستظهر لك هذه الرسالة :

 

تحوي هذه النافذة معلومات عن الملف الذي لا يحوي التوقيع الرقمي وتشمل :

1-    إسم الملف Name

2-    المكان الذي يوجد فيه الملف In folder

3-    تاريخ التعديل modified

4-    نوع الملف file Type

5-    نسخة الملف version

 

فإذن الملفات السابقة لا تحوي التوقيع الرقمي , ولكن هذا لا يعني بالضرورة أنها ملفات تجسس أو فايروسات .

وبتحليل سريع مثلا للملفات السابقة , نستنج أن بعضا منها تعريفات drivers لبعض الأجهزة أو أنها ملفات ملحقة لبعض البرامج التي يتم تنصيبها في النظام أو ملفات صوتية , الخ........

كل تلك الملفات تابعة للنظام ولكنها لا تحوي التوقيع الرقمي .

 

*****************************************************************************************************

نأتي الآن لموضوع حديثنا وهو استخدام هذه الأداة لتساعد في الكشف عن ملفات التجسس والفايروسات .

 

سنقوم الآن بفحص الملفات الآخرى التي لا علاقة لها بالنظام والتي يمكن أن تكون ملفات نصية أو صوتية أو ملفات تجسس أو أي نوع من الملفات لا يحوي التوقيع الرقمي الخاص بملفات النظام .

 

قم بتشغيل الأداة واختر advanced هذه المرة لفحص ملفات غير ملفات النظام , كالتالي :

 

بعدها ستظهر لك هذه الشاشة :

 

وكما نشاهد هناك خيارين في الأعلى هما search & logging , الأول للبحث والثاني للتسجيل .

في خيار البحث هناك خيارين هما :

1-    Notify me if any system files are not signed.

2-    Look for other files that are not digitally signed.

ولفحص  الملفات الغير خاصة بالنظام , سنختار الخيار الثاني الذي سيعطيك الحرية لتحديد نوع الملفات التي تريد أن تبحث عنها ومكان وجودها , كالتالي :

 

كما نشاهد حددت الأمتداد"”exe ومكان البحث مجلد النظام لعملية البحث , ويمكن تبديل هذا المكان بالمسارات التي ذكرتها في بداية المشاركة وهي التي تتواجد فيها ملفات التجسس , وأيضا تغيير الأمتداد في عملية البحث ومعظم ملفات التجسس سيكون لها امتدادات معروفة منها مثلا EXE+DLL+SCR+COM+BAT

 

ستظهر لك الأداة أي ملف لا يحوي التوقيع الرقمي , وقم بالتدقيق فيها لكشف بعض الملفات التي قد تكون مشبوهة ويختلف تاريخ إنشاؤها عن تاريخ ملفات النظام .

واحذر أن تقوم بحذف ملفات من غير التأكد من أنها لن تؤثر في النظام أو في بعض البرامج والأجهزة الأخرى .

وشخصيا لا أستخدم أي برنامج anti-virus والأداة بالنسبة لي كافية , وهذا يتطلب معرفة بكافة الملفات التي لا تحوي توقيع رقمي ولكنها ليست فايروسات أو ملفات تجسس , وكل واحد أخبر بجهازه J

 

ملاحظة : يمكن الإستفادة من هذه الأداة بشكل كبير عند الإنتهاء مباشرة من تنصيب الويندوز وتنزيل كافة البرامج والتعريفات لجميع الأجهزة , ويمكن أن تفحص الملفات بعد أن تنتهي من كل ذلك مباشرة , وستتعرف على جميع الملفات التي لا تحوي التوقيع الرقمي وبالتالي تكون معروفة لديك . 

وبذلك يمكن لك معرفة الملفات التنفيذية الموجودة بجهازك exe file والتي قد تكون ملفات تجسس حتى ولو لم يكشفها الأنتي فايروس الذي تستخدمه .

أيضا أحد أهم المميزات لهذه الأداة أنها قادرة على عرض الملفات الظاهرة والخفية معا, وكثير من برامج التجسس تقوم برزع التروجان في حالة hidden , وبالتالي لا يمكن رؤيته إلا اذا قمت بإعداد الإكسبلورر لعمل ذلك.

يمكن أن تقوم بعملية الفحص( غالبا تتم في أقل من دقيقة) مع كل إقلاع للنظام وقبل الإتصال بالإنترنت, ولكن ربما تنسى ذلك في بعض الأوقات , والحل لذلك هو أن تجعل الأداة تعمل مع كل عملية تسجيل دخول للنظام logon عن طريق GPO إذا كنت تستخدم

 Windows 2000 + XP professional

لعمل ذلك قم بما يلي :

افتح محرر سياسات النظام كالتالي :

 Start > Run > gpedit.msc

 

بعدها ستدخل إلى جميع الأعدادات الخاصة بالكمبيوتر والمستخدم وتوجه إلى المسار التالي :

User configuration\administrative templates\system\logon/logoff -----> windows 2000

User configuration\administrative templates\system\logon-----> windows XP

 

واختر الخيار المضلل كما هو في الصورة وهو

Run these programs at user logon

قم بالضغط مرتين على ذلك الخيار لتقوم بإعداد البرنامج الذي تريد تشغيله كل مرة , وستظهر لك الشاشة التالية :

قم باختيار الخيار

Enabled

 لتمكين هذه الخاصية , واضغط بعدها على

 Show

 لإضافة البرنامج الذي تود تشغيله ويتم ذلك عن طريق الضغط على زر

add

ستظهر بعدها هذه النافذة لكتابة مسار البرنامج :

 

 

البرنامج وهو هنا أداة sigverif موجودة على المسار التالي :

1-    windows 2000

C:\winnt\system32\sigverif.exe

2-    windows Xp

C:\windows\system32\sigverif.exe

قم بكتابة المسار هنا  بحسب نظام التشغيل لديك , وبذلك سيعمل البرنامج مع كل تسجيل دخول للنظام .

 

أشير إلى أن هذه الأداة موجودة في أنظمة ME+2000+XP  , وعملية الفحص في الغالب قد تستغرق أكثر من دقيقة واحدة إذا قمت بالبحث في مجلد النظام system32 لأنه يحوي الكثير من الملفات .

كما أن هذه الأداة ليست بديلا عن برامج الأنتي فايروس , ولكنها تؤمن مستوى أخر من الحماية لكل من يهتم بحماية جهازه الشخصي من الإختراق وملفات التجسس .

 

في الختام خير الكلام

يقول تعالى : (يا أيها الذين ءامنوا اجتنبوا كثيرا من الظن إن بعض الظن إثم, ولا تجسسوا ولا يغتب بعضكم بعضا, أيحب أحدكم أن يأكل لحم أخيه ميتا فكرهتموه واتقوا الله إن الله تواب رحيم ) سورة الحجرات

 

شكرا جزيلا وإلى اللقاء في مشاركة قادمة ..

 

أخوكم / مسلم هاكر

 

Muslim_haqer@hotmail.com

 

All Rights Reserved 2004