أولا قبل الدخول في الموضوع أريد توضيح بعض الأمور :
فبعد تنصيبك لبرنامج الحماية (اخر إصدار مع التحديثات) و فايروال و غيرها من برامج الحماية
أنت غير محمي ويمكن اختراقك بدون أن تشعر نعم أخي فهذه البرامج تبقى برامج في الأخير و يمكن تجاوزها و يوجد مختصين في تشفير الفيروسات .
R.A.T = Remote Access Control
هي برامج خبيثة للتحكم في الأجهزة عن بعد و تستعمل في اختراق الأجهزة عن طريق صناعة بريمج صغير يسمى server و يعطى للضحية ,باختصار هي برامج تمت برمجتها لتعمل في الخفاء بدون أن تشعر هذف مصممها هو التجسس عليك بحيث تمكن المهاجم من فعل و أخد كل مايريد (فتح الوبكام - صرقة ملفاتك أو وضع ملفات أو مسحها - تنصيب أو إزالت برامج -
أخد كل ماتكتب في الكايبرد لوحة المفاتيح يعني أخد باسورداتك وغيرها طبعا بدون أن تشعر)
كأنه جالس هو في الحاسوب.
من أشهر هذه البرامج نجد :
Nj Rat
Bifrost
XtremeRAT
Spynet
Dark comet
في هذا الموضوع سوف أقوم بشرح عن طريقة كشف هذه الرامج أو server يدويا
و سأقدم في موضوع لاحق بعض البرامج المستعلة لكشف هذه السيرفرات .
نبدأ بالبرنامج الأول : njRAT
-----------
-----------
أولا نفتح Commande Exécuter
و نكتب %appdata%
ثم إضغط ok
سيضهر لك مجلد فإبحث عن ملفات ذات امتداد
exe.tmp.
وستجد بالقرب منها برنامج له نفس الإسم
مثال :
server.exe.tmp
sever.exe
فقم بحذفها
ثم أدخل إلى مجلد dossier de démarrage
إذا وجدت برنامج اسمه هكذا
45ca55fc1756e880072f0dde4455397b.exe
اسم طويل به أرقام و حروف فقم بحذفه
و ادخل هنا
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
ستجده فقم بحذفه
البرنامج الثاني : Bifrost
-----------
-----------
نفتح الرجستر و نذهب إلى هذا المسار
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
 | انقر على هذا شريط لعرض الصورة الكاملة. الحجم الاصلي للصورة هو 801x599. |
نبحث عن مفتاح اسمه
StubPath =C:\Program Files\Bifrost\server.exe s
ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية
إذا وجدته ادخل لذالك المسار و إحذفه
و أعد تشغيل الحاسوب
البرنامج الثالث : XtremeRAT
-----------
-----------
أولا نفتح Commande Exécuter
و نكتب %appdata%
ثم نبحث عن المجلد
\Microsoft\Windows\
ستجد به ملفات ذات امتداد .dat
وهو مجل الكيلوغر او السيرفر فقم بحذفه
البرنامج الرابع : Spy Net
-----------
-----------
أولا نفتح Commande Exécuter
و نكتب %temp%
ثم ابحث عن ملف ذو امتداد .xXx
أو ملف اسمه XX--XX--XX.txt
اذا وجدته فأنت مصاب
أو طريقة أخرى : نقوم بفتح cmd و نكتب الأمر Netstat -b
و كما توضح الصورة يوجد حساب No-ip المستعمل لعكس الإتصال
و نستعمل عادة بعض البرامج التي سأطرحها في موضوع أخر في حذف سيرفرات SpyNet
البرنامج الخامس : DARK Comet
-----------
-----------
أولا نفتح Commande Exécuter
و نكتب %appdata%
اضغط ok
سيضهر لك مجلد مثل الصورة
إذا وجدت مجلد إسمه dclogs
فاعلم أنك مصاب بسرف Dark comet
هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته
مخزن في ملف ذو امتداد .dc
قم بحذفه
.....
...
.
تحياتي
Aucun commentaire:
Enregistrer un commentaire