كتاب البرمجيات الخبيثة

‫‪Malware‬‬
‫البرمجيات‬
‫الخبيثة‬
‫جميل حسين طويله‬
‫دليل عملي السخددم ملرممجيت ملدريثة ورممجيت ملخجسس‬
‫وإجممءم ملوقتية وملحمتية منهت‬
‫مسجال ضمرت ملمفتخيح‬ ‫‪ ‬أحصنة طمومدة‬

‫رممجيت ملخجسس‬ ‫‪ ‬ملفيموست‬
‫‪MALWARE‬‬ ‫جميل حسين طويله‬
‫البرمجيات الخبيثة‬
‫‪Malware‬‬
‫‪1‬‬
‫دليل عملي الستخدام البرمجيات الخبيثة‬

‫وبرمجيات التجسس‬
‫وطرق الوقاية والحماية منها‬
‫‪2‬‬
‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫حول هذا الكتاب‬

‫شرح مفصل ألوناع عبررميات عببراة اعبرر عبتي استبدمهت عبهتكرز في صونتع‬
‫هذه عبررميات اونشرهت من أيل عداى اإصتر أيهزة عبضحتات ارر تيتاز‬
‫عبحمتا عبمررق من قرل مضتدع عبفاراست اررعمج عبحمتا ‪ ،‬رتإلضتف برر‬
‫اإيرعءع عباقتا اعبحمتا من هذه عبررميات ‪.‬‬
‫اقد اتسأل عبرعض أعم محتاى هذع عبكتتب‬
‫أباس شرح برر عالبترع اعبتيسس؟‬
‫أباس هذه عبررميات اعبتقونات مبتبف بلقاعونان؟‬
‫عإليتر على كال عبسؤعبان هي ال‬
‫عبعلم باس مبتبف بلقاعونان ابكن رراق عستبدعم هذع عبعلم امكن أن تكان رشكل‬
‫سيء أا مبتبف بلقاعونان‪.‬‬
‫عبغتا من شرح هذه عبتقونات باس تعلام عبونتس رر عالبترع اعبتيسس رل تاعا‬
‫عبونتس باتمكوناع من عبونظر إبى أيهزتهم من عاان عبهتكرز باصرحاع قتدران على‬
‫حمتا أونفسهم من عالبترع اعبتيسس‪.‬‬
‫معظم عبررميات عببراة عبمستبدم في هذع عبكتتب هي ررميات رسار ااتم‬

‫عكتشتفهت من معظم ررعمج عبحمتا امضتدع عبفاراست ‪.‬‬
‫عبهتكرز عبحقاقاان استبدمان ررميات أكةر تعقادع ً ابكن رر عبحمتا هي ونفسهت‪.‬‬
‫حتاب عدم عبتعمق رتبماعضاع عبتقونا بتكان ماعضاع هذع عبكتتب مفهام ألشبتص‬
‫عبذان ال املكان معلامت تقونا سترق ‪.‬‬
‫‪3‬‬

‫إخالء المسؤولية‬
‫عبهدف من هذع عبكتتب ها عبتاعا عبرقما ‪.‬‬
‫ريت ًء ال تستبدم أي من عبررميات أا عبرر عبمشراح في هذع عبكتتب رشكل‬

‫مؤذي أا مبتبف بلقاعونان‪.‬‬
‫عبكتتب ابلي مسؤاباته عن أي عستبدعم بلررميات أا عبرر عبمشراح في هذع‬

‫عبكتتب رشكل مؤذي أا مبتبف بلقاعونان‪.‬‬
‫رخصة الكتاب‬
‫هذع عبكتتب ونشر تح ربص عبمشت عإلردععي ‪ Creative Commons license‬اها كتتب‬
‫ميتوني‬
‫‪4‬‬

‫عن الكاتب‬
‫يمال حسان رااله‬
‫مهوندس عتصتال ساري‬
‫مبتص في عبشركت عبالسلكا اأمن عبمعلامت اعبترتر عالبترع‬
‫‪dolphin-syria@hotmail.com‬‬
‫اإلهداء‬
‫إبى راح أري اأمي رحمهمت هللا‬
‫إبى أراعح شهدعء اروني سارات‬
‫‪5‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب‬
www.learn-barmaga.com
‫إﻧﺿم ﻟﺻﻔﺣﺗﻧﺎ ﻋﻠﻰ اﻟﻔﺎﯾﺳﺑوك‬

https://www.facebook.com/barmej.dz2/
www.learn-barmaga.com : ‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب‬

‫الفهرس‬
‫حال هذع عبكتتب ‪3 .......................................................................‬‬
‫إبالء عبمسؤابا ‪4 .......................................................................‬‬
‫ربص عبكتتب ‪4 .........................................................................‬‬
‫عن عبكتتب ‪5 .............................................................................‬‬
‫عالهدعء ‪5 .................................................................................‬‬
‫‪6 .....................................................................‬‬ ‫مونشارع سترق‬
‫عبفهرس ‪8 ...............................................................................‬‬
‫عبررميات عببراة ‪11 ..................................................................‬‬
‫أوناع عبررميات عببراة ‪11 ............................................................‬‬
‫مسيل ضررت عبمفتتاح ‪13 ............................................................‬‬
‫‪13 ....................................................... Hardware Keylogger‬‬
‫‪14 ......................................................................... Keycobra‬‬
‫‪16 ....................................................................... Keysnatch‬‬
‫‪17 .......................................................... Software Keylogger‬‬
‫مسيل ضررت عبمفتتاح عبمحلي ‪17 ....................................................‬‬
‫‪18 ........................................................... Shadow Keylogger‬‬
‫‪21 ........................................................................ SpyAgent‬‬
‫مسيل ضررت عبمفتتاح عن رعد ‪28 ..................................................‬‬
‫‪8‬‬

‫‪29 ........................................................................... WinSpy‬‬
‫حصتن رراعدة ‪33 ............................................................ Trojan‬‬
‫أعرعض عإلصتر رحصتن رراعدة ‪33 ................................................‬‬
‫‪34 ............................................................... MoSuker Trojan‬‬
‫‪38 ............................................................................ ProRat‬‬
‫دمج عبملفت اتغار عالمتدعد ‪52 ........................................................‬‬
‫‪56 ......................................................‬‬ ‫كاف اعمل مضتد عبفاراست‬
‫‪57 .......................................................‬‬ ‫تبري مضتدع عبفاراست‬
‫إيرعءع عباقتا اعبحمتا من مسيال ضررت عبمفتتاح اأحصون رراعدة ‪63 ...‬‬
‫ررميات عإلعالونت اعبتيسس ‪71 ....................................................‬‬
‫كاف امكونك عكتشتف ررميات عإلعالونت اعبتيسس ‪71 ..............................‬‬
‫إيرعءع عباقتا من ررميات عإلعالونت اعبتيسس ‪71 ..............................‬‬
‫كاف تتبلص من ررميات عإلعالونت اعبتيسس ‪72 ................................‬‬
‫عبفاراست ‪74 ...........................................................................‬‬
‫أعرعض عإلصتر رتبفاراست ‪76 ......................................................‬‬
‫رر عباقتا اعبحمتا من عبفاراست ‪76 .............................................‬‬
‫‪9‬‬

‫البرمجيات الخبيثة‬
‫‪ Malware‬هي عبتصتر ل ‪ malicious software‬اتعوني "ررميا براة "‬
‫عبررميات عببراة ‪ :‬هي ررعمج تهدف إبى إبحت عبضرر رتبحتساب أا تعراله ايمع‬
‫عبمعلامت اعبتيسس اعرقل عبعملات ‪ ،‬اتتمكن ررراق غار شرعا من عداى ونظتم‬
‫عبحتسب ردان معرف أا علم عبمستبدم من أيل عبترع يهتزه اعبتيسس علاه‬
‫أنواع البرمجيات الخبيثة‪:‬‬

‫‪ Keylogger -1‬مسجل ضربات لوحة المفاتيح‪:‬‬
‫اها عرترة عن يهتز ‪ hardware‬أا ررونتمج ‪ software‬اقام رمرعقر‬
‫اتسيال كل حرف اتم كتترته راعسر باح عبمفتتاح كمت امكن أن اقام أاضت ً‬
‫بلشتش ‪.‬‬ ‫رتبتقتر اتسيال بقرت‬
‫‪ Trojan Horse -2‬حصان طروادة (تروجان)‪:‬‬

‫اها أكةر أوناع عبررميات عببراة عونتشترع ً اأكةرهت برارة‪.‬‬
‫بلاهل عألابى اردا أونه ررونتمج شرعي اسلام ابكونه في عبحقاق امونح عبمهتيم‬
‫قدرة كتمل على عباصال اعبتحكم ريهتز عبضحا ‪.‬‬
‫اعاد سرب عبتسما إبى عألسرارة عبااونتونا بحصتر عإلغراق بمداون رراعدة‬
‫حاث قتم عإلغراقاان رتستبدعم حال من بالل صونتع حصتن بشري كرار‬
‫املئه رتبمحترران اتقدامه كهدا برراعداان على أونه هدا سالم‪.‬‬
‫قرل عبررادعاان عبهدا اعحتفلاع رفك عبحصتر عن مداونتهم اعوندهت برج‬
‫عبمحترران عالغراق من دعبل عبحصتن اكتن سكتن رراعدة في حتب سكر‬
‫‪11‬‬

‫فقتم عبمحترران رفتح راعرت عبمداون بلسمتح برقا عبياش ردبابهت اسقر‬
‫رراعدة احرق اقتل ريتبهت‪.‬‬
‫ارشكل مشتره ترلق هذه عبتسما على عبررعمج عبتي تردا بلاهل عألابى أونهت‬
‫ررعمج سلام ابكن في عبحقاق هي ررعمج براة تسمح بلمهتيم عبتحكم ريهتز‬
‫عبضحا اعبترعقه‪.‬‬
‫‪ RAT -3‬أداة اإلدارة عن بعد‪:‬‬

‫اهي عبتصتر ل ‪ Remote Administration Tool‬اتعترر من‬
‫عبررميات عببراة ذع عببرارة عبشدادة فعوندمت اتم تونصاب هذه عألدعة على‬
‫يهتز عبضحا فإن عبمهتيم استراع أن اقام ركل شيء عن رعد‪ ،‬كتونصاب‬
‫مسيل ضررت عبمفتتاح ‪ Keylogger‬أا إاقتف تشغال عبيهتز أا حذف‬
‫عبملفت ‪.‬‬
‫‪ Viruses -4‬الفيروسات‪:‬‬
‫اهي عرترة عن ررعمج اتم كتترتهت اتراارهت من أيل إصتر أيهزة عبحتسب‬
‫اعوندمت تقام رإصتر يهتز مت فهي تقام رونسخ أا تكررع ونفسهت بتقام رعداى‬
‫اإصتر أيهزة أبرى اهي تتكتةر اتونتشر رتالعتمتد على ملفت أبرى‪.‬‬
‫‪ Worms -5‬الديدان‪:‬‬
‫اهي تشره عبفاراست اعبفر عباحاد راونهمت ها أن عبدادعن تعتمد على ونفسهت‬
‫بلتكتةر اعداى عأليهزة عألبرى اتتماز رسرع عالونتقتل‪.‬‬
‫عوندمت تقام عبدادة ‪ worm‬رعداى أا إصتر يهتز فهي تقام رونسخ اتكرعر‬
‫ونفسهت اهي تونتقل رسرع اتونتشر دعبل عبشرك اتستهلك ماعرد عبشرك أةونتء‬
‫عونتشترهت‪.‬‬
‫عبكرارة‪.‬‬ ‫عبدادعن تعترر عببرر عبرئاسي عبذي اهدد عبشركت‬
‫‪11‬‬

‫‪ Adware -6‬برمجيات اإلعالنات والتجسس‪:‬‬
‫اهي عبتصتر ل ‪Advertisement software‬‬
‫اتسمى أاضت ً ‪" Spyware‬ررميات عبتيسس"‬

‫اهي مصمم بتقام ريمع عبمعلامت اعرض عإلعالونت على عبيهتز‬
‫عبمصتب رهت‪.‬‬
‫رعض هذه عبررميات تحاي على فاراست مؤذا اررعمج تيسس‪.‬‬
‫‪12‬‬

‫مسجل ضربات المفاتيح ‪keylogger‬‬
‫امكن تصونافهت في وناعان رئاساان‪:‬‬
‫‪Hardware Keylogger .1‬‬

‫‪Software Keylogger .2‬‬
‫‪Hardware Keylogger‬‬
‫عرترة عن يهتز صغار اتم اصل ران باح عبمفتتاح امونفذ ‪ USB or PS/2‬في‬
‫يهتز عبحتسب ااقام رتسيال كل حرف اتم كتترته راعسر باح عبمفتتاح‪.‬‬
‫اها عرترة عن قرع صغارة ال‬

‫تلف عونترته عبضحا اتحاي على‬
‫ذعكرة دعبلا تقام رتبزان كل‬
‫حرف تم كتترته من بالل باح‬
‫عبمفتتاح‬
‫‪13‬‬

‫‪Keycobra‬‬
‫أفضل يهتز مسيل بضررت عبمفتتاح‬
‫اايد عبعداد من ‪ hardware keylogger‬ابكن عونت أونصحك رتستبدعم ‪Keycobra‬‬

‫ألونه اسيل كما كرارة من ضررت عبمفتتاح اامكن أن اسيل ‪ 2‬رلاان حرف‬
‫( أكةر من ملاان صفح ) ااقام رحفظهت اتونظامهت‬
‫‪flash FAT‬‬ ‫دعبل ملف ونظتم من ونا‬
‫كمت أونه ادعم عملا عستردعد سراع بلراتونت اها ال‬

‫احتتج ألي ررعمج تعراف اامكن أن اعمل مع أونظم‬
‫عبتشغال ااونداز ا باونكس امتك اال امكن عكتشتفه‬
‫من قرل مضتدع عبفاراست أا ررعمج كشف‬
‫عبررميات عببراة‬
‫امتافر روناعان ‪USB and PS2‬‬
‫‪14‬‬

‫ميزات ‪Keycobra‬‬
‫‪ ‬اقام رتسيال كل عألحرف (حتى كلم سر عبفاس راك)‬
‫‪ ‬مستح ذعكراه كرارة‬
‫‪ ‬قتئم ونصا متقدم من أيل مشتهدة عبراتونت عبمسيل تحاي على إمكتونا‬
‫عبرحث عن عبكلمت أا عبعرترع‬
‫‪15‬‬

‫‪Keysnatch‬‬
‫متافر رعدة أوناع ‪PS2 , USB or WiFi‬‬
‫اادعم عدة أونظم تشغال ااحاي على مستح ذعكراه كتفا بتسيال احفظ ‪ 2‬رلاان‬
‫حرف اادعم سرع تحمال تصل إبى ‪ 125 KB/S‬اال احتتج ألي ررعمج تعراف‬
‫اال امكن كشفه من قرل مضتدع عبفاراست اررعمج كشف ررميات عبتيسس‪.‬‬
‫‪WiFi Keylogger‬‬
‫احاي في دعبله على مرسل‬
‫امستقرل بتص رتبشركت عبالسلكا‬
‫كمت أونه مررمج باتعتمل مع ‪TCP/IP‬‬
‫‪ stack‬اهذع اعراه عبقدرة على‬
‫رشكل السلكي‬ ‫عالتصتل رتإلونترون‬
‫من بالل عالتصتل ريهتز عالكسس‬
‫‪Access point‬‬ ‫رااون‬
‫كيف يعمل‪:‬‬
‫عوندمت اتصل مع عألكسس رااون فإن ‪ Keysnatch wifi keylogger‬ساف اقام‬
‫رإرستل كل حرف اقام عبضحا ركتترته إبى عوناعن عالامال عبذي اقام عبمهتيم‬
‫رتبتاتره اال تستراع مضتدع عبفاراست كشفه‪.‬‬
‫‪16‬‬

‫اتم عستبدعم ‪ hardware keylogger‬في عبحتال عبتي استراع عبمهتيم رهت‬

‫عباصال رشكل فازاتئي إبى يهتز عبضحا ‪.‬‬
‫أمت في عبحتال عبتي ال اتمكن عبمهتيم من عباصال عبفازاتئي إبى يهتز عبضحا‬
‫فعوندهت اتم عستبدعم ‪software keylogger‬‬
‫‪Software Keylogger‬‬
‫امكن تصوناف ‪software keylogger‬إبى وناعاان‪:‬‬
‫‪ -1‬محلي ‪Local Keylogger‬‬

‫‪ -2‬رعاد ‪Remote Keylogger‬‬
‫مسجل ضربات المفاتيح المحلي‬
‫‪Local Keylogger‬‬
‫استبدم من أيل مرعقر أيهزة كمرااتر محلا اها سهل عبتونصاب امن عبصعب‬
‫عكتشتفه ألونه ابفي ونفسه من شرار عبمهتم اسيال عبااونداز‪.‬‬
‫اعوندمت تراد رؤا عبسيال عبتي قتم رتسيالهت (عألحرف ابقرت عبشتش ) تقام‬
‫رتبضغر على مفتتاح معاون أا كلم سر معاون أون تبتترهت عوند عبقاتم رعملا‬
‫عبتونصاب‪.‬‬
‫‪17‬‬

‫‪Shadow Keylogger‬‬
‫قم رتحمال ‪ Shadow‬ةم قم رفتحه استظهر عبشتش عبتتبا عبتي ترلب مونك إدبتل‬
‫كلم سر اتأكادهت‪.‬‬
‫قم رإدبتل كلم سر تبتترهت أون ‪ ،‬كمت امكونك عبضغر على عبباترع ‪Options‬‬
‫بتظهر عبشتش عبتتبا اعبتي امكن من بالبهت عبتاتر رراق إظهتر عبونتاي إمت من‬
‫بالل كتتر كلم عبسر عبتي قم رإدبتبهت على باح عبمفتتاح أا إظهتر ونتفذة مونرة‬
‫رعد عبضغر على أاقاون معاون تقام أون رتبتاترهت ا ارلب مونك إدبتل كلم عبسر‬
‫بتظهر عبسيال عبتي تم تسيالهت‪.‬‬
‫كمت امكن عبتاتر حفظ عبسيال عبتي تم تسيالهت في ملف معان تقام أون رتحداد‬
‫مستره‪.‬‬
‫‪18‬‬

‫كمت امكن عبتقتر صار بسرح عبمكتب احفظهت في عبمستر عبذي تقام أون رتبتاتره‬
‫اامكونك تحداد عبفترة عبزمونا ران كل صارة اتم عبتقترهت كمت امكونك عبتاتر مستاى‬
‫دق عبصارة‪.‬‬
‫‪19‬‬

‫‪Record‬‬ ‫عوند عالونتهتء من تحداد عبباترع عبمرلار قم رتبضغر على‬
‫عآلن كل حرف اتم كتترته ساتم تسياله اإلظهتر عبونتاي قم ركتتر كلم عبسر عبتي‬
‫قم رإدبتبهت بتظهر عبونتاي كمت في عبشكل عبتتبي‬
‫‪21‬‬

‫‪SpyAgent‬‬
‫امكن أن استبدم بمرعقر يهتز محلي أا يهتز رعاد اها اعمل رسرا تتم اال‬
‫امكن كشفه من قرل عبضحا ‪.‬‬
‫دليل تنصيب ‪Spyagent‬‬

‫الخطوة ‪:1‬‬
‫قم رتحمال ‪ Spyagent‬ةم قم رفتح ملف عبتونصاب‬
‫ارعد عالونتهتء من عملا عبتونصاب امكونك حذف ملف عبتونصاب من أيل عدم بف‬
‫عونترته عبضحا ‪.‬‬
‫عستمر في عملا عبتونصاب إبى أن تصل إبى عبشتش عبتتبا عبتي امكن من بالبهت‬
‫عبتاتر مستر عبميلد عبمرعد تونصاب ‪ Syyagent‬فاه‬
‫أونت أونصحك رتغار عبمستر عالفترعضي‬
‫)……‪(c:\program files\spytech software‬‬
‫إبى عبمستر عبذي اظهر رتبشكل عبتتبي اتذكر هذع عبمستر من أيل عباصال إبى هذع‬
‫عبررونتمج‬
‫‪21‬‬

‫عستمر رعملا عبتونصاب إبى أن تصل إبى عبشتش عبتتبا اعبتي امكن من بالبهت‬
‫عبتاتر ونا عبررميا عبمرعد تونصارهت‬
‫إذع كون تراد عدم ظهار ‪ SpyAgent‬في قتئم عردأ اعدم إظهتر أي ملفت فقم‬
‫رتبتاتر عبتونصاب عبسري ‪ Stealth installation‬كمت في عبشكل عبتتبي‬
‫‪22‬‬

‫علخطوة ‪:4‬‬
‫عوند عونتهتء عملا عبتونصاب ساف تظهر شتش تسأبك فامت إذع كون تراد تضمان‬
‫إبغتء عبتونصاب‪ ،‬من أيل عبسرا عبتتم قم رتبتاتر ‪NO‬‬
‫‪23‬‬

‫رعد عالونتهتء من عملا عبتونصاب امكونك إعدعد ‪SpyAgent‬‬
‫قم رتبضغر على زر عبااونداز ‪ R +‬اقم ركتتر عبمستر عبذي قم رتونصاب عبملف فاه‬
‫‪24‬‬

‫قم رفتح عبملف ‪ NoStealth‬ةم قم رإدبتل كلم عبسر عبتي قم رإدبتبهت رعد عملا‬
‫عبتونصاب بتظهر ونتفذة عبررونتمج عبتتبا‬
‫قم رتبتاتر ‪ General‬من عبقتئم عبامونا من أيل إعدعد عبباترع عألستسا‬
‫‪25‬‬

‫‪26‬‬

‫ةم قم رتبضغر على ‪ Logging‬من أيل إعدعد باترع عبتسيال‬
‫‪27‬‬

‫قم رتبضغر على ‪Start Monitoring‬‬
‫ساف تظهر ونتفذة مونرةق ترلب مونك إدبتل كلم عبسر اعوندهت ساف تردأ عملا‬
‫عبمرعقر اعبتسيال‪.‬‬
‫عآلن تعمل هذه عبررميا رشكل سري اعوندمت تقام رإعتدة تشغال عبيهتز ساف تعاد‬
‫هذه عبررميا بلعمل ارشكل غار مرئي بلضحا ‪.‬‬
‫من أيل إاقتف عبعمل رتبونمر عبسري ‪ stealth mode‬قم رفتح عبملف ‪NoStealth‬‬
‫ةم قم ركتتر كلم عبسر‪.‬‬
‫امكونك رؤا عبسيال عبتي تم تسيالهت اهي كل حرف تم كتترته رتإلضتف بلقرت‬
‫عبشتش اعبماعقع عبتي تم زاترتهت اعبررعمج عبتي تم عستبدعمهت اعبملفت عبتي تم‬
‫فتحهت‪.‬‬
‫مسجل ضربات المفاتيح عن بعد‬
‫‪Remote Keylogger‬‬
‫تستبدم من أيل مرعقر عأليهزة عن رعد حاث اقام عبمهتيم رتونصاب هذه عبررميا‬
‫في يهتز عبضحا من على رعد ااتم إرستل سيل ضررت عبمفتتاح ابقرت بلشتش‬
‫اسيال عبمحتدةت إبى عوناعن عالامال عبذي اقام عبمهتيم رتستبدعمه‪.‬‬
‫اايد عبعداد من ررميات عبتيسس عبرعادة ابكن عبقلال مونهت متزعل غار مكتشف من‬
‫قرل مضتدع عبفاراست ‪.‬‬
‫‪28‬‬

‫معظم ررميات عبتيسس عبميتونا اتم عكتشتفهت من قرل مضتدع عبفاراست ‪ ،‬اايد‬
‫أوناع من عبررميات عببراة غار ميتونا تستبدم رر تشفار معاون ال تسمح‬
‫بمضتدع عبفاراست رتكتشتفهت‪.‬‬
‫‪WinSpy‬‬
‫عرترة عن ررميا مرعقر تعمل رشكل سري اامكونهت مرعقر يهتز محلي أا يهتز‬
‫رعاد اهي تقام رمرعقر اتسيال كل حرف اقام عبضحا ركتترته ااايد عبعداد من‬
‫عبرر عبتي استبدمهت عبهتكرز من أيل تونصاب هذه عبررميا في يهتز عبضحا‬
‫عن رعد‪.‬‬
‫براع إعدعد ‪:WinSpy‬‬
‫قم رتحمال ‪WinSpy‬‬
‫رعد عبتحمال قم رتشغال عبررميا ةم قم ربلق حستب يداد من بالل كتتر عالسم‬
‫اكلم عبسر كمت في عبشكل عبتتبي‬
‫‪29‬‬

‫قم رتبضغر على ‪ ctrl + shift + F12‬اقم رتسيال عبدبال‬
‫من عبقتئم عبعلاا عبتر ‪ Remote‬ةم عبتر ‪Remote install‬‬
‫قم رتحداد مستر عبصارة عبتي تراد عستبدعمهت كرعم ببدع عبضحا ةم قم رإدبتل‬
‫عوناعن عامال ‪Gmail‬‬
‫هذه عبررميا تعمل فقر مع ‪ Gmail‬اال تعمل مع ‪Hotmail‬‬
‫‪31‬‬

‫قم رتبضغر على ‪ Create remote file‬ساف اظهر عبملف‬

‫عبونتتج كتبتتبي‬
‫‪31‬‬

‫عآلن ايب أن تقام رإرستل هذه عبملف إبى عبضحا ابدع عبضحا باقام رفتح هذع‬
‫عبملف اامكونك عبقاتم رذبك من بالل إرستل عبملف عرر عالامال أا عرر عبرلاتاث أا‬
‫رفع عبملف في أحد عبماعقع ابدع عبضحا باقام رتحماله من بالل إرستل رعرر‬
‫ضررت‬ ‫عبتحمال به اعوندمت اقام عبضحا رفتح هذع عبملف ساف تصلك سيال‬
‫عبمفتتاح عبتي اقام عبضحا ركتترتهت إبى عامال ‪ Gmail‬عبذي قم رتستبدعمه‪.‬‬
‫‪32‬‬

‫حصان طروادة ‪Trojan‬‬

‫ررميا براة ونردا بلاهل عألابى أونهت ررونتمج أا ملف سلام (صارة أا ملف صاتي‬
‫أا مقرع فاداا) اعوند فتحه اقام رتونصاب سارفر ‪( server‬بتدم) على يهتز‬
‫عبضحا اعبذي امونح عبمهتيم ساررة كتمل على عبيهتز اردان علم عبضحا ‪.‬‬
‫عبضحا اتةرا ررعمج أبرى مةل‬ ‫ااصرح عبمهتيم قتدرع ً على سرق أا حذف ملفت‬
‫ررونتمج مسيل ضررت عبمفتتاح ‪ keylogger‬اسرق عبمعلامت عبسرا كمعلامت‬
‫تسيال عبدبال امعلامت ررتقت عالئتمتن اتعرال عبيدرعن عبونترا امضتدع‬
‫عبفاراست اعالتصتل مع يهتز عبضحا رشكل عكسي اعبتحكم ره رشكل كتمل كمت‬
‫اصرح قتدر على عستبدعم يهتز عبضحا في أعمتل غار شرعا كتبقاتم رهيام مونع‬
‫عببدم ‪Denial Of Service‬‬
‫عبونظتم عبمبتر امكن أن استبدم ألغرعض غار شرعا امبتبف بلقاعونان ارتبتتبي‬
‫ساف اتحمل عبضحا كتمل عبمسؤابا عبقتوناونا ‪.‬‬
‫أعراض اإلصابة بحصان طروادة‬

‫‪ ‬إعتدة تاياهك إبى صفحت عونترون غار مرغار ابم تقم ررلرهت‬
‫‪ ‬حرك مؤشر عبمتاس رشكل عشاعئي على عبشتش‬
‫‪ ‬ظهار رستئل غرار على عبشتش‬
‫‪ ‬عبترع حسترت عبتاعصل عاليتمتعي عببتص رك اتغار كلمت عبسر بهت‬
‫‪ ‬فتح رتب عبساعق من تلقتء ذعته‬
‫‪ ‬تعرال عبيدرعن عبونترا اتاقف مضتد عبفاراست عن عبعمل‬
‫‪ ‬إاقتف تشغال عبيهتز أا إعتدة تشغاله رشكل تلقتئي‬
‫‪33‬‬

‫‪MoSuker Trojan‬‬
‫عرترة عن ترايتن ذا اعيه رساما اتاح بلمهتيم عبدردش مع عبضحا ا إبتقتر‬
‫صار بسرح عبمكتب اعبتحكم رتبمتاس اعباصال إبى عبملفت اسرق كلمت عبسر‬
‫اعبمعلامت عبسرا رتإلضتف إبى فتح اإغال رتب عبساعق ‪.‬‬
‫براع إعدعد سارفر ترايتن رتستبدعم ‪MoSuker‬‬
‫رعد تحمال هذه عألدعة قم رفتح ‪ CreateServer.exe‬بتظهر عبشتش عبتتبا ةم قم‬

‫رتبضغر على ‪ OK‬مع ترك عإلعدعدع عالفترعضا كمت هي‪.‬‬
‫‪34‬‬

‫رعد إدبتل عسم امكتن حفظ عبسارفر تظهر عبشتش عبتتبا‬
‫رعد عالونتهتء من عببراة عبسترق تظهر عبشتش عبتتبا اعبتي امكن من بالبهت ضرر‬
‫اعبمهتم عبتي ساف اقام رهت عبترايتن‬ ‫عإلعدعدع‬
‫‪35‬‬

‫‪36‬‬

‫عآلن ارعد عالونتهتء من إعدعد عبسارفر قم رإرستبه إبى عبضحا رعد دميه مع ملف‬
‫أبر اتغار شكل عألاقاون من أيل بدع عبضحا ارميرد أن اقام عبضحا رفتح هذع‬
‫عبملف اتم تفعال عبترايتن‪.‬‬
‫قم رفتح ‪ MoSuker.exe‬بتظهر عبشتش عبتتبا‬
‫اعبتي امكن من بالبهت عالتصتل رتبضحا اعبتحكم ريهتزه‪.‬‬
‫‪37‬‬

‫‪ProRat‬‬
‫عرترة عن ترايتن ا أدعة تحكم عن رعد ‪ RAT‬تقام رفتح مونفذ ‪ port‬في يهتز‬
‫عبضحا اتسمح بلمهتيم عالتصتل اعبتحكم ريهتز عبضحا رشكل كتمل‪.‬‬
‫عوندمت اتم تونصاب سارفر هذه عألدعة على يهتز عبضحا اصرح من عبصعب يدع ً‬
‫إزعبتهت ردان عستبدعم مضتد فاراست قاي ابه قتعدة راتونت محدة ‪.‬‬
‫‪38‬‬

‫عبتتبي هي براع إعدعد سارفر ‪ ProRat‬من أيل عبتحكم ريهتز عبضحا‬
‫قم رتحمال ‪ProRat‬‬
‫كلم سر فك عبضغر هي "‪"Pro‬‬
‫ايب أن تقام رإاقتف مضتد عبفاراست قرل أن تتمكن من عستبدعم ‪ProRat‬‬
‫‪39‬‬

‫قم رتبضغر على زر ‪ Create‬من أيل عبقاتم ربلق ملف براث من ونا حصتن‬
‫رراعدة ‪ Trojan file‬ةم قم رتبتاتر ‪Create prorate server‬‬
‫قم رإدبتل عوناعن ‪ IP‬عببتص رك باتمكن عبسارفر (عبررميا عببراة ) من عالتصتل‬

‫رك‪.‬‬
‫إذع كون ال تعرف مت ها عوناعن ‪ IP‬عببتص رك قم رتبضغر على عبزر عألحمر‬

‫اساف اتم كتتر عوناعن ‪ IP‬رشكل أتامتتاكي‬
‫‪41‬‬

‫ونتفذة بلق سارفر عبترايتن كمت في عبشكل عبتتبي‪:‬‬
‫عضغر على ‪ General Setting‬من أيل تغار عببصتئص مةل كلم عبسر ارقم‬
‫عبرار‬
‫‪41‬‬

‫عبتي تظهر رتبشكل عبتتبي‬ ‫قم رإبغتء تفعال عبباترع‬
‫‪42‬‬

‫عضغر على ‪ Bind with File‬من أيل دمج عبسارفر مع ملف أون تبتتره من أيل‬
‫بدع عبضحا‬
‫‪43‬‬

MALWARE ‫جميل حسين طويله‬
:8 ‫الخطوة‬
Server Extensions ‫من ععدعدع‬
Select Server Extension ‫ من عبباتر‬EXE (has icon support) ‫قم رتبتاتر‬
44
www.learn-barmaga.com : ‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب‬

‫من ‪ Server Icon‬قم رتبتاتر شكل عألاقاون عبتي ترادهت‬
‫ةم قم رتبضغر على ‪Create Server‬‬
‫‪45‬‬

‫‪46‬‬

‫عآلن امكونك إرستل ملف عبسارفر (عبررميا عببراة من ونا حصتن رراعدة) عرر‬
‫عالامال أا عرر استئل عبتاعصل عاليتمتعي اعوندمت اصل ملف عبسارفر بلضحا‬
‫ساف اردا كمت في عبشكل عبتتبي‬
‫‪47‬‬

‫عبمستبدم ‪5110‬‬ ‫في هذع عبمةتل عوناعن ‪ IP‬عبمستبدم ها ‪ 10.0.0.13‬ارقم عبرار‬
‫‪48‬‬

‫قم رإدبتل كلم عبسر من أيل عالتصتل ريهتز عبضحا ‪ ،‬البترتر عالتصتل عضغر‬
‫على ‪ PC Info‬اعبتر معلامت عبونظتم ‪ system information‬كمت في عبشكل‬
‫عبتتبي‬
‫‪49‬‬

‫عضغر على ‪ KeyLogger‬من أيل سرق كلمت سر عبضحا‬
‫‪51‬‬

‫‪51‬‬

‫دمج الملفات وتغير االمتداد‬

‫ببدع عبضحا اقام عبهتكرز ردمج ملف عبررميا عببراة مع ملف به عمتدعد مبتلف‬
‫ال اةار شك عبضحا كملف صاتي أا مقرع فاداا أا صارة ااتم ذبك رتستبدعم‬
‫ررونتمج ‪( binder‬ميمع)‬
‫المجمع ‪Binder‬‬
‫عرترة عن ررونتمج صغار استبدم بدمج أكةر من ملف ضمن ملف اعحد به عسم‬
‫اعمتدعد أون تبتتره‪.‬‬
‫عببراة تكان رتمتدعد ‪ .exe‬اهذع امكن أن اةار شك عبضحا ااقلل‬ ‫معظم عبررميات‬
‫من عحتمتل فتح عبضحا بهذع عبملف بذبك اقام عبهتكرز رتستبدعم ‪ binder‬من أيل‬
‫دمج ملف عبررميا عببراة مع ملف أبر امكن أن اكان به عمتدعد ‪mp3 , jpg‬‬
‫رعض ررعمج عبدمج عبمشهارة هي‪:‬‬
‫‪52‬‬

‫‪Simple Binder‬‬
‫ررونتمج رسار اقام ردمج ملفان ضمن ملف اعحد ااستبدم رشكل اعسع من قرل‬
‫عبهتكرز من أيل دمج ملف عبررميا عببراة مع ملف ال اةار شك عبضحا ‪.‬‬
‫‪Weekend Binder‬‬
‫‪53‬‬

‫‪Easy Binders‬‬
‫ررونتمج سهل عالستبدعم ابه قدرة على دمج عدد غار محداد من عبملفت كمت به‬
‫عبقدرة على تغار شكل عاقاون عبملف عبمدمج‪.‬‬
‫‪54‬‬

‫)‪Yet Another Builder (YAB‬‬

‫ررونتمج صغار عبحيم اها من أفضل ررعمج عبتشفار اعبدمج اتغاار عالمتدعد‬
‫ا امكونه حذف عبملف أا عبميلد رعد فتحه اامكونه إبفتء عبررميا عببراة في ميلدع‬
‫عبونظتم عبتي تبتترهت أون كمت امكونه أن اظهر رستب برأ عوند عبتشغال من أيل‬
‫تشااش ابدع عبضحا ‪.‬‬
‫‪55‬‬

‫كيف يعمل مضاد الفيروسات‬

‫قرل عبتحدث عن عبرر عبتي اقام عبهتكرز رتستبدعمهت من أيل تيتاز أا تبري‬
‫عبحمتا عبمررق من قرل مضتدع عبفاراست من أيل تونصاب عبررميا عببراة‬
‫على يهتز عبضحا ايب أن تفهم كاف تعمل مضتدع عبفاراست ‪.‬‬
‫مضتدع عبفاراست تستبدم عسترعتايات مبتلف من أيل كشف عبررميات عببراة‬

‫عن رراق عبتاقاع عبرقمي‬ ‫اأكةر هذه عبرر شااعت ً هي كشف عبررميات‬
‫‪signature‬‬
‫مضتد عبفاراست احاي على قتعدة راتونت فاهت عبتاقاعت عبرقما عببتص‬
‫رتبررميات عببراة اهي عرترة عن أكاد رقما ممازة‪.‬‬
‫عوندمت اتم فحص عبررميا من قرل مضتد عبفاراست فإن مضتد عبفاراست اقام‬
‫رمقترون عألكاعد عببراة ضمن قتعدة عبراتونت عببتص ره مع عبكاد عببتص رتبررميا‬
‫عبتي اقام رفحصهت امن ةم اظهر ونتاي عبفحص فامت إذع كتون هذه عبررميا عبتي تم‬
‫فحصهت سلام أا أونهت عرترة عن ررميا براة ‪.‬‬
‫بذبك ايب علاك دعئمت ً تحداث مضتد عبفاراست رشكل داري بكي تحصل على‬
‫عألكاعد عبرقما (عبتاقاع) عببتص رتبررميات عببراة عبحداة ‪.‬‬
‫تعتمد على عبتيراب عبمستعد على‬ ‫رراق أبرى تستبدمهت مضتدع عبفاراست‬
‫عبكشف ‪ Heuristic-based method‬حاث اتم عبتعرف على عبررميا عببراة من‬
‫بالل سلاكهت عبمشراه اعبمةار بلشك‪.‬‬
‫هذه عبرراق فعتب امفادة ضد عألوناع عبيدادة من عبررميات عببراة ‪.‬‬
‫‪56‬‬

‫تخطي مضادات الفيروسات‬

‫عآلن ارعد أن أبذ فكرة عن كافا عمل مضتدع عبفاراست ساف ونتعرف على‬
‫رعض عبرر عبتي استبدمهت عبهتكرز من أيل تيتاز أا تبري مضتد عبفاراست‬
‫في يهتز عبضحا بكي ال اتم كشف عبررميا عببراة عبمرعد تونصارهت في يهتز‬
‫عبضحا ‪.‬‬
‫التشفير ‪Crypter‬‬
‫عرترة عن رراق اتم عستبدمهت رشكل شتئع بتيتاز اتبري عبحمتا عبمررق من قرل‬
‫مضتدع عبفاراست اهي رراق رسار اباس رحتي ألي معرف سترق رلغت‬
‫عبررمي‬
‫كيف تعمل هذه الطريقة‪:‬‬

‫‪ Crypter‬ها عرترة عن ررونتمج صغار اسمح بلهتكرز رإبفتء عبكاد عبمصدري‬
‫‪ source code‬بلررميا عببراة اتتم هذه عبعملا من بالل مزج أا بلر أا تشفار‬
‫عبكاد عبررميي بلررميا عببراة بيعلهت غار مكتشف من قرل مضتد عبفاراست ‪.‬‬
‫‪57‬‬

‫ما هو ‪FUD‬‬
‫امكن أونك قد سمع عن فاراس ‪ FUD Virus‬أا حصتن رراعدة ‪FUD Trojan‬‬
‫ابكونك ال تعرف معونى ‪ FUD‬اعبتي هي عبتصتر بعرترة ‪Fully Undetectable‬‬
‫"غار قترل بالكتشتف رشكل كتمل" حاث اكان عبفاراس أا حصتن رراعدة ال امكن‬
‫كشفه من قرل مضتد عبفاراست ‪.‬‬
‫إونشتء ررميا براة من ونا ‪ FUD‬ال امكن كشفهت من قرل أي مضتد فاراست ها‬
‫باس رتألمر عبسهل اها رحتي بهتكرز محترفان من أيل عبقاتم رهذه عبمهم ‪.‬‬
‫عبررعمج عبميتونا عبتي تقام رتشفار عبررميا عببراة من أيل عدم عكتشتفهت من قرل‬
‫مضتد عبفاراست هي غار فعتب دعئمت ً أمت عبررعمج عبغار ميتونا فهي قتدرة على‬
‫تشفار عبررميا عببراة رشكل ال امكن عكتشتفه من قرل مضتد عبفاراست ‪.‬‬
‫عبتتبي ها رعض عبررعمج عبمستبدم في عملا تشفار عبررميات عببراة ‪:‬‬
‫‪Ultimate Crypter‬‬
‫اها غار قتدر على إونشتء ررميا براة غار قترل بالكتشتف رشكل كتمل ابكونه‬
‫قتدر على تقلال عحتمتل عكتشتف عبررمي عببراة ‪.‬‬
‫اايد ونسب غار ميتونا من هذع عبررونتمج اهي قتدرة على يعل عبررميات عببراة‬
‫غار مكتشفه رشكل كتمل‪.‬‬
‫‪58‬‬

‫‪Yoda,s Crypter‬‬
‫اقلل من عحتمتل عكتشتف عبررميا عببراة من قرل مضتد عبفاراست اها سهل‬
‫عالستبدعم ابه اعيه رسما رسار كمت اظهر رتبشكل عبتتبي‪:‬‬
‫‪T3c4i3 Crypter‬‬
‫استبدم من أيل عبحصال على ررميا براة غار قترل بالكتشتف رشكل كتمل‬
‫ابكن هونتك رعض مضتدع عبفاراست قتم حداةت ً رتباصال إبى عبتاقاعت عبرقام‬
‫عببتص رهذع عبررونتمج‪.‬‬
‫رراق عمل هذع عبررونتمج تتم من بالل إبفتء عبكاد عبررميي بلررميا عببراة‬
‫ردعبل كاد ررميي بررونتمج آبر اهذع ايعل مضتد عبفاراست غار قتدر على‬
‫عكتشتف عبررميا عببراة ‪.‬‬
‫‪59‬‬

‫اايد عبعداد من عبماعقع عبتي تقام رإبفتء عبررميات عببراة اتعمل رشكل أان الان‬
‫قم رتبرحث عرر ‪ Google‬استيد عبعداد من عألداع اعبماعقع عبميتونا ‪.‬‬
‫تغيير شكل االيقونة‬

‫اهي رراق اعتمد علاهت عبهتكرز من أيل إونشتء ررميا براة ال امكن عكتشتفهت‬
‫اايد عبكةار من عبفاراست اأحصون رراعدة عبتي اتم عكتشتفهت من قرل مضتدع‬
‫عبفاراست رسرب أن عالاقاون عببتص رهت تحاي على تاقاع رقمي مكتشف من قرل‬
‫مضتدع عبفاراست بذبك فإن عستبدعم شكل عالاقاون عالفترعضي باس رتبباتر عبياد‬
‫رتبونسر بلهتكرز‪.‬‬
‫من أيل عباصال إبى ررميا براة غار مكتشف رشكل كتمل ايب أن تكان هذه‬
‫عبررميا غار مةارة بشك عبضحا ااايد عبعداد من عبررعمج عبتي تؤمن بدم تغار‬
‫شكل عألاقاون مةل ررونتمج ‪ Icon changer‬اعبذي اسمح رتغار أاقاونت عبملفت‬
‫عبمدمي عبتي ونحصل علاهت من دمج عبررميا عببراة مع ملف آبر سلام رتستبدعم‬
‫‪binder‬‬
‫‪61‬‬

‫‪Hexing‬‬
‫اهي رراق أبرى من أيل عبحصال على ررميا براة غار مكتشف اهذه‬
‫عبرراق بهت عحتمتل ونيتح كرار يدع ً‪.‬‬
‫اهذه عبرراق غار مونتشرع ً رشكل اعسع اهي رراق معقدة ااتم عستبدعمهت من قرل‬
‫عبهتكرز عبمحترفان‪.‬‬
‫كيف تعمل هذه الطريقة‬

‫كمت تحدةونت سترقت فإن مضتد عبفاراست استبدم عبتاقاع عبرقمي كرراق الكتشتف‬
‫عبررميات عببراة ‪.‬‬
‫في هذه عبرراق اتم عبرحث عن عالم عبتاقاع ااتم تغااره ارتبتتبي بن اتمكن مضتد‬
‫عبفاراست من عكتشتف هذه عبررميا عببراة ‪.‬‬
‫‪61‬‬

‫اتتم هذه عبعملا رتستبدعم ررونتمج اسمى ‪ hex editor‬اعبذي اسمح رتغار عبكاد‬
‫عبةونتئي بملف عبررميا عببراة ‪.‬‬
‫‪62‬‬

‫إجراءات الوقاية والحماية من مسجالت ضربات المفاتيح‬

‫وأحصنة طروادة‬
‫في رعض عألحاتن اكان من عبصعب عكتشتف عبررميات عببراة ألن عبهتكرز‬
‫استبدمان رر احال مبتدع في إبفتء هذه عبررميات بعدم كشفهت من قرل‬
‫مضتد عبفاراست ‪.‬‬
‫عبتي ايب علاك عبقاتم رهت من أيل حمتا يهتزك من‬ ‫عبتتبي رعض عاليرعءع‬
‫مسيال ضررت عبمفتتاح اأحصون رراعدة‬
‫‪ ‬ال تقم رفتح أي مرفقت تصلك عرر عالامال من مصتدر غار معراف أا غار‬
‫ماةاق ‪.‬‬
‫‪ ‬ال تقم رتحمال عبررعمج عبميتونا من عبماعقع عبغار معراف ‪.‬‬
‫‪ ‬عونتره عوند عستبدعم أيهزة عبذعكرة عبمحماب (‪ )USB‬أا عألقرعص عبلازرا‬
‫( ‪ )CD or DVD‬اتأكد من تعرال بتصاه عبفتح عبتلقتئي ا قم رعملا فحص‬
‫هذه عباستئر رتستبدعم مضتد عبفاراست قرل أن تقام رفتحهت‪.‬‬
‫‪ ‬عونتره من عباصال عبمتدي بيهتزك ألونه امكن اركل رستره أن اقام عبمهتيم‬
‫رتونصاب ررميا براة ريهتزك اردان علمك اتأكد من اضع كلم سر‬
‫بيهتزك عوند تشغاله قرل أن اسمح بك رتباصال إبى عبراتونت اقم رقفل‬
‫يهتزك في حتال وناا عالرتعتد عونه بفترة زمونا قصارة‪.‬‬
‫اررعمج عبمحتدة‬ ‫‪ ‬عونتره عوند عستقرتل ملفت عرر عبرلاتاث أا عرر عالونترون‬
‫ألونهت امكن أن تكان ملفت بررميات براة اقم رفحصهت رمضتد عبفاراست‬
‫قرل أن تفتحهت‪.‬‬
‫‪63‬‬

‫إكسرلارر ألونه احاي على‬ ‫‪ ‬ال تستبدم ونسب قدام من متصفح عالونترون‬
‫ةغرع تسمح رإصتر يهتزك رتبررميات عببراة رميرد زاترة ماقع براث‬
‫اردان أن تقام رتحمال أا فتح أي ررعمج اتأكد من عستبدعمك ألحدث ونسب‬
‫من ررعمج تصفح عالونترون اررعمج عبرراد عالبكتراوني‪.‬‬
‫‪ ‬عستبدم مضتد فاراست قاي اقم رتحداةه رشكل داري‬
‫أونصحك رتستبدعم مضتد عبفاراست عبميتوني "أفارع"‬
‫‪ ‬عستبدم مضتد بلررميات عببراة اقم رتحداةه رشكل داري‬
‫مةل ‪ Spybot‬أا ‪Zemana.AntiMalware‬‬
‫‪ ‬عستبدم يدعر ونتري ‪( Firewall‬اها عرترة عن ررونتمج امونع عملات‬

‫عالتصتل غار عبمسماح رهت عرر عبشرك ) ااستعد على عبحمتا من‬
‫عبررميات عببراة‬
‫أونصحك رتستبدعم عبيدعر عبونتري عبميتوني "كامادا"‬
‫‪ ‬فحص عبرارتت عبمفتاح اعبمشراه اعبرحث عن عتصتل مع عونتاان ‪IP‬‬

‫غار معراف من بالل عبضغر على زر عبااونداز ‪R +‬‬
‫ةم كتتر ‪cmd‬‬
‫ةم كتتر عبتعلام عبتتبا‬
‫‪64‬‬

‫‪netstat -an‬‬
‫‪ ‬مرعقر عالتصتال رتستبدعم ررونتمج مةل ‪ TCPView‬اها ررونتمج اتاح بك‬

‫‪ TCP and UDB‬ااعري تقرار عن‬ ‫رؤا يماع عتصتال رراتاكاال‬
‫حتب عالتصتل اعسم عبعملا عبمرترر رهت مع إمكتونا عونهتء عتصتل أي عملا‬
‫تشك في رراع عملهت‪.‬‬
‫‪65‬‬

‫‪ ‬فحص عبعملات عبمشراه رتستبدعم أدعة مةل ‪ Process Monitor‬اهي‬

‫عرترة عن أدعة تظهر عبعملات عبتي تعمل في عباق عبحتبي اتفاد في كشف‬
‫اتحلال سلاك عبررميات عببراة اررميات عبتيسس‪.‬‬
‫أا رتستبدعم ررونتمج ‪What's Running‬‬
‫‪66‬‬

‫‪ ‬مرعقر عبررعمج عبتي تردأ عبعمل تلقتئات ً عوند ردء تشغال عبونظتم من بالل فحص‬
‫ميلد ‪ startup‬عبماياد في عبمستر عبتتبي‪:‬‬
‫‪C:\ProgramData\Microsoft\Windows\Start Menu\Program‬‬
‫أا رتستبدعم ررونتمج ‪AutoRun‬‬
‫‪67‬‬

‫‪ ‬إصالح أبرتء عبسيال ‪ registry‬اعبكشف عن إدبتال عبسيال عبتي تم‬

‫إونشتؤهت راعسر عبررميات عببراة رتستبدعم أدعة‬
‫‪Jv16 Power Tool 2014 – Registry Cleaner‬‬
‫‪68‬‬

‫‪ ‬مرعقر بدمت اعملات ونظتم عبااونداز رتستبدعم أدعة‬

‫)‪Windows Service Manager (SrvMan‬‬
‫‪69‬‬

‫برمجيات اإلعالنات والتجسس‬
‫‪Spyware or Adware‬‬
‫اهي عبررميات عبتي اتم تونصارهت في يهتز عبحتسب ردان علم أا أذن عبمستبدم‬
‫اتقام ريمع معلامت عن عبمستبدمان امرعقر تصرفتتهم على عبشرك من أيل‬
‫بلق عإلعالونت ‪.‬‬
‫اهي تقام ربلق عبوناعفذ عبمونرةق عبمزعي أةونتء تصفح عالونترون اتقلل من سرع‬
‫ألونهت تستهل‬ ‫تصفح عالونترون اتقلل من أدعء اسرع عبيهتز اسرع عالونترون‬
‫ماعرد عبشرك افي رعض عألحاتن تيعل عبيهتز عبمصتب رهت أكةر عرض بالبترع‬
‫األن هذع عبونا من عبررميات اتم تونصاره في يهتز عبضحا ردان علمه فمن‬
‫عبممكن أن ترقى في يهتزه بفترة زمونا قرل أن االحظهت أا اتمكن من عكتشتفهت ا‬
‫إزعبتهت‪.‬‬
‫كيف يمكنك اكتشاف برمجيات اإلعالنات والتجسس‬

‫إذع كتن يهتزك مصتب رررميا من هذع عبونا فإونك ساف تعتوني من إحدى عألمار‬
‫عبتتبا ‪:‬‬
‫‪ ‬ظهار عبكةار من عبوناعفذ عبمونرةق عبغار مرغاب رهت أةونتء تصفح عالونترون ‪.‬‬
‫‪ ‬فتح صفحت عونترون بم تقم ررلرهت‪.‬‬
‫‪ ‬إعتدة تاياهك إبى صفحت عونترون غار مرغاب رهت‪.‬‬
‫‪ ‬تحرك مؤشر عبمتاس رشكل عشاعئي‪.‬‬
‫‪ ‬تغار عبصفح عبرئاسا في متصفح عالونترون اظهار صفحت غار مأباف ‪.‬‬
‫‪71‬‬

‫‪ ‬ظهار أاقاونت يدادة في شرار عبمهتم‪.‬‬
‫إجراءات الوقاية من برمجيات اإلعالنات والتجسس‬

‫‪ ‬ال تقم رتحمال ررعمج ميتونا من ماعقع غار معراف ‪.‬‬
‫‪ ‬ال تقم رتحمال أي ررعمج تصلك من بالل راعرر عرر عالامال دان أن تعرف‬
‫مصدر هذع عالامال (في رعض عألحاتن تصلك رستئل عرر عالامال تحاي‬
‫على راعرر اتبررك رضرارة تحمال اتونصاب مضتد فاراست أا مضتد‬
‫بلررميات عببراة في يهتزك ابكن في حقاق عألمر هي رستئل مضلل‬
‫اتحاي على ررميات براة اررميات تيسس)‬
‫‪ ‬ال تقم رتبضغر على أي راعرر تظهر من بالل عبوناعفذ عبمونرةق ألونهت ستقام‬
‫رتونصاب ررميات تيسس في يهتزك‪.‬‬
‫‪ ‬عوند ظهار ونتفذة مونرةق مزعي قم رتبضغر على إشترة ‪ X‬ردالً من عبضغر‬
‫على زر "‪ "close‬من أيل أغالقهت‪.‬‬
‫‪ ‬عستبدم يدعر ونتري قاي‪.‬‬
‫‪ ‬قم رفحص عبررعمج عبيدادة رتستبدعم مضتد فاراست قاي امحدث‪.‬‬
‫‪ ‬عستبدم مضتد بلررميات عببراة اقم رتحداةه رشكل داري‪.‬‬
‫‪71‬‬

‫كيف تتخلص من برمجيات اإلعالنات والتجسس‬

‫إذع كون تعتقد أن يهتزك مصتب رررميا من هذع عبونا ايب أن تقام رتستبدعم‬
‫ررونتمج مةل ‪ADwCleaner‬‬
‫‪72‬‬

‫أا ‪Adware Removal Tool‬‬
‫كمت أن رعض مضتدع عبفاراست بهت عبقدرة على عكتشتف احذف ررميات‬
‫عالعالونت اعبتيسس‪.‬‬
‫‪73‬‬

‫الفيروسات‬
‫عبفاراس عرترة عن ررونتمج اقام رتبتكتةر اتكرار ونفسه رشكل ذعتي ااقام رونسخ‬
‫اررر كاده عبررميي مع أكاعد ررعمج أبرى اها اعمل ردان علم عبمستبدم االحق‬
‫ونفسه مع ررعمج أبرى أا ملفت أبرى أا مع ملفت إقال عبونظتم‪.‬‬
‫عبفاراست تونتقل عتدتت ً من بالل تحمال عبملفت‬
‫أا من بالل استئر ونقل عبراتونت (ذاعكر ‪ USB‬أا عألقرعص عبلازرا ) أا عرر‬
‫مرفقت عالامال‪.‬‬
‫كيف تعمل الفيروسات‬

‫عبفاراست تقام رمهتيم عبونظتم عبهدف من بالل عدة رر مبتلف حاث تقام‬
‫رإبحت ونفسهت مع عبررعمج أا عبملفت اتونتقل معهت إبى ررعمج أبرى أا إبى أيهزة‬
‫أبرى اذبك من بالل عالستفتدة من رعض عألحدعث‪.‬‬
‫الفيروسات تمر بمرحلتين‪:‬‬
‫‪ ‬مريل عبعداى ‪infection phase‬‬

‫‪ ‬مرحل عبهيام ‪attack phase‬‬
‫‪74‬‬

‫في مرحلة العدوى‪:‬‬
‫فإن عبفاراست تتكتةر رشكل ذعتي اتلحق ونفسهت رملفت تونفاذا ذع عمتدعد ‪.exe‬‬
‫عبررعمج عبمصتر رتبفاراس تقام رتمكان عبفاراس من عبعمل على عبونظتم ااصرح‬
‫عبفاراس يتهزع ً بلعمل رميرد تشغال عبررونتمج أا فتح عبملف عبمصتب رهت‪.‬‬
‫في مرحلة الهجوم‪:‬‬
‫عوندمت تونتشر عبفاراست في عبونظتم عبهدف فإونهت تردأ رتبراب عبملفت اعبررعمج‬
‫أا حذفهت اتدمارهت‪.‬‬
‫أسباب كتابة برامج الفيروسات‬

‫‪ ‬إبحت عبضرر رتبشركت عبمونتفس ‪.‬‬
‫‪ ‬مشتراع رحةا ‪.‬‬
‫‪ ‬عبمزح مع عألصدقتء‪.‬‬
‫‪ ‬تبراب اتدمار عبملفت اعألونظم ‪.‬‬
‫‪ ‬مهتيمت مونتيت شرك معاون ‪.‬‬
‫‪ ‬تاياه رستئل ألغرعض ساتسا ‪.‬‬
‫‪ ‬تحقاق ررح متدي‪.‬‬
‫‪ ‬عالرتزعز‪.‬‬
‫‪75‬‬

‫أعراض اإلصابة بالفيروسات‬

‫‪ ‬عبررعمج تأبذ اق راال بتردأ عبعمل‪.‬‬
‫‪ ‬عبقرص عبصلب اردا دعئمت ً ممتلئ‪.‬‬
‫‪ ‬عبساعق تعمل ردان أن تستبدمهت‪.‬‬
‫‪ ‬ظهار ملفت غار معراف ‪.‬‬
‫‪ ‬إصدعر أصاع غرار أا أصاع تصفار من عبيهتز‪.‬‬
‫‪ ‬تغاار أسمتء عبملفت ‪.‬‬
‫‪ ‬تغار حيم عبررعمج رتستمرعر‪.‬‬
‫‪ ‬ررئ في أدعء عبونظتم‪.‬‬
‫‪ ‬عستهالك ماعرد عبونظتم‪.‬‬
‫طرق الوقاية والحماية من الفيروسات‬

‫‪ ‬عالونترته عوند عستقرتل اتحمال ملفت من مصتدر غار ماةاق ‪.‬‬
‫‪ ‬عدم فتح عالاماال عبقتدم من مصتدر غار ماةاق ألن عبهتكرز عتدتت ً‬
‫كمرفقت بلرراد عالبكتراوني‬ ‫اقامان رإرستل عبملفت عبمصتر رتبفاراست‬
‫اعوندمت اقام عبضحا رفتح عالامال اتم عداى يهتزه رتبفاراس‪.‬‬
‫‪ ‬تحداث عبررعمج اتحداث ونظتم عبتشغال رشكل داري‪.‬‬
‫‪ ‬عدم عبضغر على أي راعرر أا أاقاونت تظهر من بالل عبوناعفذ عبمونرةق أةونتء‬
‫تصفح ماعقع عالونترون ‪.‬‬
‫‪ ‬عدم فتح أا تصداق أي رستئل عا عاماال تدعي أن يهتزك مصتب‬
‫رفاراست اترلب مونك عبضغر على راعرر معاون من أيل تحمال مضتد‬
‫ارتبحقاق هي عرترة عن راعرر براة تقام رتحمال فاراست ‪.‬‬ ‫فاراست‬
‫‪76‬‬

‫‪ ‬فحص استئر ونقل عبراتونت (فالشت ‪ USB‬اعألقرعص عبلازرا ) قرل فتحهت‪.‬‬

‫قاي اتحداث قتعدة عبراتونت عببتص ره رشكل‬ ‫‪ ‬عستبدعم مضتد فاراست‬
‫داري‪.‬‬
‫‪77‬‬

كتاب البرمجيات الخبيثة

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

كتاب البرمجيات الخبيثة

Uploaded by

Copyright:

Available Formats

‫‪Malware‬‬

‫مسجال ضمرت ملمفتخيح‬ ‫‪ ‬أحصنة طمومدة‬

‫دليل عملي الستخدام البرمجيات الخبيثة‬

‫وطرق الوقاية والحماية منها‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫حول هذا الكتاب‬

‫اقد اتسأل عبرعض أعم محتاى هذع عبكتتب‬

‫أباس شرح برر عالبترع اعبتيسس؟‬

‫أباس هذه عبررميات اعبتقونات مبتبف بلقاعونان؟‬

‫عإليتر على كال عبسؤعبان هي ال‬

‫معظم عبررميات عببراة عبمستبدم في هذع عبكتتب هي ررميات رسار ااتم‬

‫عبهتكرز عبحقاقاان استبدمان ررميات أكةر تعقادع ً ابكن رر عبحمتا هي ونفسهت‪.‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫ريت ًء ال تستبدم أي من عبررميات أا عبرر عبمشراح في هذع عبكتتب رشكل‬

‫عبكتتب ابلي مسؤاباته عن أي عستبدعم بلررميات أا عبرر عبمشراح في هذع‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫يمال حسان رااله‬

‫مهوندس عتصتال ساري‬

‫مبتص في عبشركت عبالسلكا اأمن عبمعلامت اعبترتر عالبترع‬

‫إبى راح أري اأمي رحمهمت هللا‬

‫إبى أراعح شهدعء اروني سارات‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫إﻧﺿم ﻟﺻﻔﺣﺗﻧﺎ ﻋﻠﻰ اﻟﻔﺎﯾﺳﺑوك‬

www.learn-barmaga.com : ‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب‬

‫إبالء عبمسؤابا ‪4 .......................................................................‬‬

‫ربص عبكتتب ‪4 .........................................................................‬‬

‫عن عبكتتب ‪5 .............................................................................‬‬

‫‪6 .....................................................................‬‬ ‫مونشارع سترق‬

‫عبررميات عببراة ‪11 ..................................................................‬‬

‫أوناع عبررميات عببراة ‪11 ............................................................‬‬

‫مسيل ضررت عبمفتتاح ‪13 ............................................................‬‬

‫‪13 ....................................................... Hardware Keylogger‬‬

‫‪14 ......................................................................... Keycobra‬‬

‫‪16 ....................................................................... Keysnatch‬‬

‫‪17 .......................................................... Software Keylogger‬‬

‫مسيل ضررت عبمفتتاح عبمحلي ‪17 ....................................................‬‬

‫‪18 ........................................................... Shadow Keylogger‬‬

‫‪21 ........................................................................ SpyAgent‬‬

‫مسيل ضررت عبمفتتاح عن رعد ‪28 ..................................................‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫‪29 ........................................................................... WinSpy‬‬

‫حصتن رراعدة ‪33 ............................................................ Trojan‬‬

‫أعرعض عإلصتر رحصتن رراعدة ‪33 ................................................‬‬

‫‪34 ............................................................... MoSuker Trojan‬‬

‫‪38 ............................................................................ ProRat‬‬

‫دمج عبملفت اتغار عالمتدعد ‪52 ........................................................‬‬

‫‪56 ......................................................‬‬ ‫كاف اعمل مضتد عبفاراست‬

‫‪57 .......................................................‬‬ ‫تبري مضتدع عبفاراست‬

‫ررميات عإلعالونت اعبتيسس ‪71 ....................................................‬‬

‫كاف امكونك عكتشتف ررميات عإلعالونت اعبتيسس ‪71 ..............................‬‬

‫إيرعءع عباقتا من ررميات عإلعالونت اعبتيسس ‪71 ..............................‬‬

‫كاف تتبلص من ررميات عإلعالونت اعبتيسس ‪72 ................................‬‬

‫عبفاراست ‪74 ...........................................................................‬‬

‫أعرعض عإلصتر رتبفاراست ‪76 ......................................................‬‬

‫رر عباقتا اعبحمتا من عبفاراست ‪76 .............................................‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫أنواع البرمجيات الخبيثة‪:‬‬

‫‪ Trojan Horse -2‬حصان طروادة (تروجان)‪:‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫‪ RAT -3‬أداة اإلدارة عن بعد‪:‬‬

‫ﺗﺣﻣﯾل اﻟﻣزﯾد ﻣن اﻟﻛﺗب ‪www.learn-barmaga.com :‬‬

‫‪ Adware -6‬برمجيات اإلعالنات والتجسس‪:‬‬

‫اهي عبتصتر ل ‪Advertisement software‬‬

‫اتسمى أاضت ً ‪" Spyware‬ررميات عبتيسس"‬