Professional Documents
Culture Documents
006 مكتبة رفوف كورس الهاكر الاخلاقي
006 مكتبة رفوف كورس الهاكر الاخلاقي
اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ
Trojans and Backdoors
By
CONTENTS
493 .............. ................................................................................................................................ :ﻓﻲ ھذه اﻟوﺣدة ﺳوف ﻧﺗﺑﻊ اﻟﻧﻣط اﻟﺗﺎﻟﻲ
495 ................ ................................ (Communication Paths: Overt And Covert Channels) اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ واﻟﺳرﯾﺔ:ﻣﺳﺎر اﻻﺗﺻﺎﻻت
495 ............. ................................................................ (؟What Do Trojan Creators Look For) ﻣﺎ اﻟذي ﯾﻧﺗظره ﺻﺎﻧﻌوا ﺣﺻﺎن طروادة
496 ............................................................................................ Indications Of A Trojan Attack اﻟﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم طروادة
497 ... ................................................................(Common Ports Used By Trojans) أﻛﺛر اﻟﻣﻧﺎﻓذ ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة
498 ......................................................... (؟How To Infect Systems Using A Trojan) ﻛﯾﻔﯾﺔ ﯾﺗم إﺻﺎﺑﺔ اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة
502 ............................(Different Ways a Trojan Can Get Into a System) اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﻣﻛن ان ﯾﺣﺻل اﻟﺗروﺟﺎن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم
505 ...................... ................................................................................................ (How To Deploy a Trojan) ﻛﯾﻔﯾﺔ ﻧﺷر ﺣﺻﺎن طروادة
514 .............. ................................................................................................ Botnet Trojan: Illusion Bot and NetBot Attacker
536 .......... ................................................................................................ (؟How To Detect Trojans) ﻛﯾﻔﯾﺔ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة
541 ....... ................................................................ (Scanning for Suspicious Registry Entries) اﻟﻣﺷﺑوھﺔRegistry اﻟﺑﺣث ﻋن إدﺧﺎﻻت
545 ... ................................................................ Windows Services Monitoring Tool: Windows Service Manager (SrvMan)
549 . ................................................................................................ Files and Folder Integrity Checker: FastSum and Winmd5
) (6.1ﻣﻘﺪﻣﮫ
اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟوﺣدة ھو أن ﻧﻘدم ﻟك ﻣﻌرﻓﺔ اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﺗروﺟﺎن او ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ اﺣﺻﻧﺔ طروادة و،Backdoor
واﻟطرﯾﻘﺔ اﻟﺗﻲ اﻧﺗﺷرت ﺑﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وأﻋراض ھذه اﻟﮭﺟﻣﺎت ،ﻋواﻗب ھﺟﻣﺎت ﺣﺻﺎن طروادة ،واﻟطرق اﻟﻣﺧﺗﻠﻔﺔ ﻟﺣﻣﺎﯾﺔ ﻣوارد
اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم ﻣن أﺣﺻﻧﺔ طروادة و .Backdoorﺗﺻف ھذه اﻟوﺣدة أﯾﺿﺎ اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ ﻣﺧﺗﺑر اﻻﺧﺗراق ﻟﺗﻌزﯾز اﻷﻣن ﺿد
أﺣﺻﻧﺔ طروادة و.Backdoor
ھذه اﻟوﺣدة ﺗﺟﻌﻠك ﺗﺗﻌرف ﻋﻠﻰ اﻻﺗﻲ:
-ﻣﺎ ھو ﺣﺻﺎن طروادة؟
-أﻧواع أﺣﺻﻧﺔ طروادة
-ﻣﺎ اﻟذي ﻛﺎن ﯾﺑﺣث ﻋﻧﮫ ﺻﺎﻧﻊ ﺣﺻﺎن طروادة؟
-ﺗﺣﻠﯾل ﺣﺻﺎن طروادة
-اﻟﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم ﺣﺻﺎن طروادة
-ﻛﯾﻔﯾﺔ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة
-اﻟﻣﻧﺎﻓذ اﻟﻣﺷﮭورة اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة
-اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ﺣﺻﺎن طروادة
-ﻛﯾﻔﻲ ﯾﺻﺎب اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة؟
-أدوات إﻧﺷﺎء ﺣﺻﺎن طروادة
-اﻟطرق ﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﺗﻣﻛن ﻓﯾﮭﺎ ﺣﺻﺎن طروادة ﻣن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم
-ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ ﺣﺻﺎن طروادة
-ﻋﻣﻠﯾﺔ اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد أﺣﺻﻧﺔ طروادة و Backdoor
-ﻛﯾﻔﯾﺔ ﻧﺷر ﺣﺻﺎن طروادة
ﻟﻔﮭم اﻟﺗروﺟﺎن واﻟﺑﺎك دور ) (backdoorوﺗﺄﺛﯾرھﻣﺎ ﻋﻠﻰ ﻣوارد اﻟﺷﺑﻛﺔ واﻟﻧظﺎم ،دﻋوﻧﺎ ﻧﺑدأ أوﻻ ﻣﻊ اﻟﻣﻔﺎھﯾم اﻷﺳﺎﺳﯾﺔ ﻟﻠﺗروﺟﺎن .ﯾﺻف ھذا
اﻟﻘﺳم اﻟﺗروﺟﺎن وﯾﺳﻠط اﻟﺿوء ﺧﺎﺻﺔ ﻋﻠﻰ اﻟﻐرض ﻣن اﺳﺗﺧدام اﻟﺗروﺟﺎن ،أﻋراض ھﺟﻣﺎت اﻟﺗروﺟﺎن ،واﻟﻣﻧﺎﻓذ اﻷﻛﺛر ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن
ﻗﺑل اﻟﺗروﺟﺎن.
ﻋﻧد اﻟﻧظر اﻟﻰ اﻻﺳﺎطﯾر اﻟﯾوﻧﺎﻧﯾﺔ ،ﻓﺎﻧﮫ ﯾﺗم ﺗﻌرﯾف طروادة ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻛﻣﺑﯾوﺗر ك " ﺷﻔرة ﺻﻐﯾرة او ﺑرﻧﺎﻣﺞ ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻣﻊ ﺑرﻧﺎﻣﺞ رﺋﯾﺳﻲ ﻣن
اﻟﺑراﻣﺞ ذات اﻟﺷﻌﺑﯾﺔ اﻟﻌﺎﻟﯾﺔ ،وﯾﻘوم ﺑﺑﻌض اﻟﻣﮭﺎم اﻟﺧﻔﯾﺔ ،ﻏﺎﻟﺑﺎ ً ﻣﺎ ﺗﺗرﻛز ﻋﻠﻰ إﺿﻌﺎف ﻗوى اﻟدﻓﺎع ﻟدى اﻟﺿﺣﯾﺔ أو اﺧﺗراق ﺟﮭﺎزه وﺳرﻗﺔ
ﺑﯾﺎﻧﺎﺗﮫ" .ﯾﺳﺗﺧدم ﺣﺻﺎن طروادة )اﻟﺣﺎﺳوب( ﻓﻲ اﻟدﺧول اﻟﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﺑطرﯾﻘﮫ ﻻ ﯾﺗم ﻛﺷﻔﮭﺎ ،ﻣﻧﺢ اﻟﻣﮭﺎﺟم اﻟوﺻول ﻏﯾر اﻟﻣﻘﯾد
إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر واﻟﺗﺳﺑب ﻓﻲ أﺿرار ھﺎﺋﻠﺔ واﻟﺗﻲ ﯾﺗم إﻟﺣﺎﻗﮭﺎ ﺑﺎﻟﺿﺣﯾﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋﻧدﻣﺎ ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل
ﻋﻠﻰ ﻣﺎ ﯾﺑدو أﻧﮫ ﻣﻠف ﻓﯾﻠم أو ﻣوﺳﯾﻘﺎ ،وﻟﻛن ﻋﻧدﻣﺎ ﯾﻘوم ﺑﺗﺷﻐﯾل ذﻟك ،ﻓﺈﻧﮫ ﯾطﻠﻖ اﻟﻌﻧﺎن ﻟﺑرﻧﺎﻣﺞ ﺧطﯾر واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﯾﻣﺣو اﻟﻘرص
اﻟﺻﻠب اﻟﺧﺎص ﺑﺎﻟﻣﺳﺗﺧدم وإرﺳﺎل أرﻗﺎم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن وﻛﻠﻣﺎت اﻟﺳر ﻟﺷﺧص ﻏرﯾب .ﺣﺻﺎن طروادة ﯾﻣﻛن أﯾﺿﺎ أن ﯾﻛون ﻣدﻣﺞ ﻓﻲ
ﺑرﻧﺎﻣﺞ ﻣﺷروﻋﺔ )ﻗد ﺗﻛون ذات ﺷﻌﺑﯾﮫ ﻋﺎﻟﯾﺔ أﯾﺿﺎ( ،وھذا ﯾﻌﻧﻲ أن ھذا اﻟﺑرﻧﺎﻣﺞ ﻗد ﯾﻛون ﻟﮫ وظﯾﻔﺔ ﺧﻔﯾﺔ واﻟﺗﻲ ﻓﯾﮭﺎ ﯾﻛون اﻟﻣﺳﺗﺧدم ﻋﻠﻰ ﻋﻠم
ﺑﮭﺎ .ﻓﻲ ﺳﯾﻧﺎرﯾو آﺧر ،ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻣن اﻟﻣﻣﻛن أﯾﺿﺎ أن ﯾﺳﺗﺧدم ﻛوﺳﯾط ﻟﻣﮭﺎﺟﻣﺔ اﻵﺧرﯾن دون ﻣﻌرﻓﺗﮫ ﺑذﻟك .اﻟﻣﮭﺎﺟﻣون ﯾﻣﻛﻧﮭم اﺳﺗﺧدام
ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻻرﺗﻛﺎب ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (denial-of-serviceاﻟﻐﯾر ﻣﺷروﻋﮫ ﻣﺛل ﺗﻠك اﻟﺗﻲ ﺷﻠت ﺗﻘرﯾﺑﺎ ﺷﺑﻛﺔ
DALnet IRCﻟﻌدة أﺷﮭر ﻓﻲ اﻟﻧﮭﺎﯾﺔ.
) DALnetھو ﺷﺑﻛﺔ اﻟدردﺷﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت) Internet relay chat (IRCاﻟﺗﻲ ھﻲ ﺷﻛل ﻣن أﺷﻛﺎل اﻻﺗﺻﺎﻻت اﻟﻔورﯾﺔ ﻋﺑر اﻟﺷﺑﻛﺔ(
اﻟﺗروﺟﺎن/ﺣﺻﺎن طروادة ﯾﻌﻣل ﻓﻲ ﻧﻔس اﻟﻣﺳﺗوى ﻣن اﻻﻣﺗﯾﺎزات اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺿﺣﯾﺔ .إذا ﻛﺎن اﻟﺿﺣﯾﺔ ﯾﻣﻠك اﻣﺗﯾﺎزات ،ﻓﺄذن اﻟﺗروﺟﺎن
ﯾﻣﻛﻧﮫ ﺣذف اﻟﻣﻠﻔﺎت ،ﻧﻘل اﻟﻣﻌﻠوﻣﺎت ،ﺗﻌدﯾل اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة ،وﺗﺛﺑﯾت ﺑراﻣﺞ أﺧرى )ﻣﺛل اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗوﻓر اﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ اﻟﻐﯾر
ﻣﺻرح ﺑﮫ وﺗﻧﻔﯾذ ھﺟﻣﺎت رﻓﻊ اﻻﻣﺗﯾﺎزات( .اﻟﺗروﺟﺎن/ﺣﺻﺎن طروادة ﯾﻣﻛن ﻣﺣﺎوﻟﺔ اﺳﺗﻐﻼل ﺛﻐرة ﻣﺎ ﻟزﯾﺎدة ﻣﺳﺗوى اﻟوﺻول أﻛﺑر ﻣن ذﻟك
اﻟذي ﯾﻣﻠﻛﮫ اﻟﻣﺳﺗﺧدم اﻟذي ﻗﺎم ﺑﺗﺷﻐﯾل ﺣﺻﺎن طروادة .إذا ﺗم اﻟﻧﺟﺎح ،ﻓﺎن ﺣﺻﺎن طروادة ﯾﻣﻛﻧﮫ اﻟﻌﻣل ﻋﻠﻰ زﯾﺎدة اﻻﻣﺗﯾﺎزات ورﺑﻣﺎ ﺗﺛﺑﯾت
ﺑﻌض اﻷﻛواد اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
اﺧﺗراق أي ﻧظﺎم ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻗد ﯾؤﺛر ﻋﻠﻰ اﻷﻧظﻣﺔ اﻷﺧرى ﻋﻠﻰ اﻟﺷﺑﻛﺔ .اﻷﻧظﻣﺔ اﻟﺗﻲ ﺗﺣﯾل أوراق اﻋﺗﻣﺎد اﻟﻣﺻﺎدﻗﺔ ﻣﺛل ﻛﻠﻣﺎت اﻟﻣرور
ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺷﺗرﻛﺔ ﻓﻲ ﻧص واﺿﺢ ) (clear textأو ﻓﻲ ﺷﻛل ﻣﺷﻔرة ﻣﻌرﺿﺔ ﺑﺷﻛل ﺧﺎص ﻟﻼﺧﺗراق .إذا ﺗم اﺧﺗراق اﻟﻧظﺎم ﻋﻠﻰ ﻣﺛل
ھذه اﻟﺷﺑﻛﺔ ،ﻗد ﯾﻛون اﻟدﺧﯾل ﻗﺎدرا ﻋﻠﻰ ﺗﺳﺟﯾل أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور أو ﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ.
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﺣﺻﺎن طروادة ،ﯾﺗوﻗف ﻋﻠﻰ اﻹﺟراءات اﻟﺗﻲ ﯾﻧﻔذھﺎ ،ﺑﺣﯾث ﻗد ﯾورط ﻧظﺎم ﺑﻌﯾد ﻛﻣﺻدر ﻟﺷن اﻟﮭﺟوم زورا وذﻟك
ﺑﺎﻟﺗﺣﺎﯾل) ،(spoofingوﺑﺎﻟﺗﺎﻟﻲ ﯾﺗﺳﺑب ﻟﻠﻧظﺎم اﻟﺑﻌﯾد ﺗﺣﻣل اﻻﻟﺗزاﻣﺎت.
ﻣﺳﺎر اﻻﺗﺻﺎﻻت :اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ واﻟﺳرﯾﺔ )(Communication Paths: Overt And Covert Channels
Overtﺗﻌﻧﻰ واﺿﺢ او ﻋﻠﻧﻲ ،ﻓﻲ ﺣﯾن أن Covertﺗﻌﻧﻰ ﺳرى أو ﺧﻔﻲ .اﻟﻘﻧﺎة اﻟﻌﻠﻧﯾﺔ ھﻲ ،ﻗﻧﺎة ﻗﺎﻧوﻧﯾﮫ آﻣﻧﮫ ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت أو اﻟﻣﻌﻠوﻣﺎت
ﺿﻣن ﺷﺑﻛﺔ اﻟﺷرﻛﺔ .ھذه اﻟﻘﻧﺎة ھﻲ ﺿﻣن ﺑﯾﺋﺔ آﻣﻧﺔ ﻟﻠﺷرﻛﺔ وﺗﻌﻣل ﺑﺷﻛل آﻣن ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت واﻟﻣﻌﻠوﻣﺎت.
ﻓﻲ ﺣﯾن ﻋﻠﻰ اﻟﺟﺎﻧب اﻻﺧر ،اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ھﻲ ،اﻟﻣﺳﺎر اﻟﺧﻔﻲ اﻟﻐﯾر ﺷرﻋﻲ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻓﻲ ﻧﻘل اﻟﺑﯾﺎﻧﺎت ﻣن اﻟﺷﺑﻛﺔ .اﻟﻘﻧوات اﻟﺳرﯾﺔ ھﻲ
اﻟطرق اﻟﺗﻲ ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺑروﺗوﻛول ﻏﯾر ﻗﺎﺑل ﻟﻠﻛﺷف .ﻓﮭﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ اﻟﻧﻔﻖ) ،(Tunnelواﻟذي ﯾﺳﻣﺢ
ﻟﺑروﺗوﻛول واﺣد أن ﯾﺗم ﺗرﺣﯾﻠﮫ ﻋﻠﻰ ﺑروﺗوﻛول آﺧر .ﻋﻣوﻣﺎ ﻻ ﺗﺳﺗﺧدم اﻟﻘﻧوات ﺳرﯾﺔ ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت ،ﻟذﻟك ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ ﺑواﺳطﺔ
اﺳﺗﺧدام أﺳﺎﻟﯾب أﻣن اﻟﻧظﺎم اﻟﻘﯾﺎﺳﯾﺔ .أي ﻋﻣﻠﯾﺔ أو ﺑت ﻣن اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛن أن ﯾﻛون اﻟﻘﻧﺎة اﻟﺳرﯾﺔ .ھذا ﯾﺟﻌﻠﮭﺎ ﻓﻲ اﻟوﺿﻊ Attractive mode
ﻟﻧﻘل ﺣﺻﺎن طروادة ،ﺣﯾث ﯾﻣﻛن أن ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟم اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ﻟﺗﺛﺑﯾت Backdoorﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف.
اﻟﻘﻧوات اﻟﻌﻼﻧﯾﺔ ) :(Overt channelھو ﻣﺳﺎر ﻟﻼﺗﺻﺎﻻت اﻟﻣﺷروﻋﺔ ﺿﻣن ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر أو اﻟﺷﺑﻛﺔ ،ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت .اﻟﻘﻧﺎة اﻟﻌﻠﻧﯾﺔ ﯾﻣﻛن
اﺳﺗﻐﻼﻟﮭﺎ ﻟﺧﻠﻖ وﺟود ﻗﻧﺎة ﺳرﯾﺔ ﻣن ﺧﻼل ﺗﺣدﯾد ﻣﻛوﻧﺎت اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ ﻣﻊ اﻟﻣراﻋﺎة ﺑﻛوﻧﮭﺎ idleوﻟﯾس ﻟﮭﺎ ﺻﻠﮫ ﺑﮭﺎ.
أﺑﺳط ﻣﺛﺎل ﻟﻠﻘﻧوات اﻟﻌﻼﻧﯾﺔ ھو اﻷﻟﻌﺎب ﻣﺛل pocker.exeواﻟﺗطﺑﯾﻘﺎت اﻟﻣﺷروﻋﺔ.
اﻟﻘﻧوات اﻟﺳرﯾﺔ ) :(Covert channelھﻲ اﻟﻘﻧﺎة اﻟﺗﻲ ﺗﻧﻘل اﻟﻣﻌﻠوﻣﺎت داﺧل ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر أو اﻟﺷﺑﻛﺔ ،ﺑطرﯾﻘﺔ ﺗﺧﺎﻟف ﺳﯾﺎﺳﺔ اﻷﻣن .أﺑﺳط
ﺷﻛل ﻣن أﺷﻛﺎل اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ھو .Trojan.exe
ﻣﺎ اﻟذي ﯾﻧﺗظره ﺻﺎﻧﻌوا ﺣﺻﺎن طروادة )(What Do Trojan Creators Look For؟
أﺣﺻﻧﺔ طروادة/ﺗروﺟﺎن ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻷﻧظﻣﺔ اﻷﺧرى وﻣﻣﺎرﺳﺔ اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ .أﺣﺻﻧﺔ طروادة ﯾﺳﺗﺧدم ﻟﻠﺑﺣث ﻋن
ﻣﻌﻠوﻣﺎت اﻟﺷﺧص اﻟﮭدف ،ﻓﺈذا وﺟدت ،ﯾﺗم إﻋﺎدة إرﺳﺎل ھذه اﻟﻣﻌﻠوﻣﺎت اﻟﻰ ﻛﺎﺗب اﻟﺗروﺟﺎن )اﻟﻣﮭﺎﺟم( .ﻛﻣﺎ أﻧﮭﺎ ﯾﻣﻛن أن ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن
ﺑﺎﻟﺳﯾطرة اﻟﺗﺎﻣﺔ ﻋﻠﻰ اﻟﻧظﺎم.
أﺣﺻﻧﺔ طروادة ﻻ ﺗﺳﺗﺧدم ﻓﻘط ﻟﻸﻏراض اﻟﻣدﻣرة؛ ﯾﻣﻛن أن ﺗﺳﺗﺧدم أﯾﺿﺎ ﻟﻠﺗﺟﺳس ﻋﻠﻰ ﺟﮭﺎز ﺷﺧص ﻣﺎ واﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت
اﻟﺧﺎﺻﺔ أو اﻟﺣﺳﺎﺳﺔ.
ﻣﺷﺎرﯾﻊ اﻟﺷرﻛﺔ اﻟﮭﺎﻣﺔ ﺑﻣﺎ ﻓﻲ ذﻟك presentationsوأوراق اﻟﻌﻣل ذات اﻟﺻﻠﺔ ﯾﻣﻛن أن ﺗﻛون ھدﻓﺎ ﻟﮭؤﻻء اﻟﻣﮭﺎﺟﻣﯾن ،اﻟذﯾن ﻗد -
ﯾﻌﻣﻠون ﻟﺣﺳﺎب ﺷرﻛﺎت ﻣﻧﺎﻓﺳﺔ.
ﯾُﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻟﺗﺧزﯾن اﻟﻣﺣﻔوظﺎت ﻣن ﻣواد ﻏﯾر ﻣﺷروﻋﺔ ،ﻣﺛل إﻧﺗﺎج اﻟﻣواد اﻹﺑﺎﺣﯾﺔ. -
اﻟﮭدف ﯾﻣﻛﻧﮫ اﻻﺳﺗﻣرار ﻓﻲ اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮫ ،وﻟﯾس ﻟدﯾﮭم ﻓﻛرة ﻋن اﻷﻧﺷطﺔ اﻟﻐﯾر ﻣﺷروﻋﺔ اﻟﺗﻲ ﯾﺗم
اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم.
ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﺑﻣﺛﺎﺑﺔ ﺧﺎدم FTPﻟﻠﺑراﻣﺞ اﻟﻣﻘرﺻﻧﺔ. -
Script kiddie’sﻗد ﯾرﯾدون ﻓﻘط اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﺗﻌﺔ ﻣﻊ اﻟﻧظﺎم اﻟﮭدف .ﻷﻧﮫ ﻗد ﯾزرع ﺣﺻﺎن طروادة ﻓﻲ اﻟﻧظﺎم ،واﻟذي ﯾﺑدأ أن -
ﯾﺗﺻرف ﺑﻐراﺑﺔ :ﺣﯾث ﯾﻔﺗﺢ ﻋﻠﺑﺔ اﻟﻘرص اﻟﻣﺿﻐوط وﯾﻐﻠﻘﮫ ﺑﺷﻛل ﻣﺗﻛرر ،وظﺎﺋف اﻟﻣﺎوس ﺑﺷﻛل ﻏﯾر ﺻﺣﯾﺢ ،اﻟﺦ.
اﻟﻧظﺎم اﻟﻣﺧﺗرق ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻷﻏراض أﺧرى ﻏﯾر ﻣﺷروﻋﺔ ،وﺳوف ﯾﺗﺣﻣل اﻟﮭدف اﻟﻣﺳؤوﻟﺔ ﻋن ﺟﻣﯾﻊ اﻷﻧﺷطﺔ ﻏﯾر اﻟﻘﺎﻧوﻧﯾﺔ، -
إذا اﻛﺗﺷﻔت اﻟﺳﻠطﺎت ھذا.
أﻛﺛر اﻟﻣﻧﺎﻓذ ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة )(Common Ports Used By Trojans
ﻣﻧﺎﻓذ IPﺗﻠﻌب دورا ھﺎﻣﺎ ﻓﻲ رﺑط ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت وﺗﺻﻔﺢ اﻻﻧﺗرﻧت ،وﺗﺣﻣﯾل اﻟﻣﻌﻠوﻣﺎت واﻟﻣﻠﻔﺎت ،وﺗﺷﻐﯾل
ﺗﺣدﯾﺛﺎت اﻟﺑراﻣﺞ ،وإرﺳﺎل واﺳﺗﻘﺑﺎل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﻟرﺳﺎﺋل ﺑﺣﯾث ﯾﻣﻛﻧك اﻻﺗﺻﺎل ﺑﺎﻟﻌﺎﻟم .ﻛل ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﺣﺗوي ﻋﻠﻰ ﻣﻧﺎﻓذ
ﻓرﯾدة ﻟﻸرﺳﺎل واﻻﺳﺗﻘﺑﺎل وﻣﺧﺻﺻﮫ ﻟﻛل وظﯾﻔﺔ.
ﯾﺣﺗﺎج اﻟﻣﺳﺗﺧدﻣون أن ﯾﻛون ﻟدﯾﮭم ﻓﮭم أﺳﺎﺳﻲ ﻟﺑﻌض اﻟﻣﺻطﻠﺣﺎت ﻣﺛل "اﻻﺗﺻﺎل اﻟﻧﺷط" واﻟﻣﻧﺎﻓذ اﻟﻣﺳﺗﺧدﻣﺔ ﻋﺎدة ﻣن ﻗﺑل ﺣﺻﺎن طروادة
ﻟﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ﻗد ﺗم اﺧﺗراق اﻟﻧظﺎم ام ﻻ.
ﻋﻧد ﻓﺣص اﻻﺗﺻﺎﻻت اﻟﻧﺷطﺔ واﻟﻣﻧﺎﻓذ ﻧﺟد أن ھﻧﺎك ﺣﺎﻻت ﻣﺧﺗﻠﻔﺔ ،وﻟﻛن ﺣﺎﻟﺔ " "listeningھﻲ واﺣدة ﻣﮭﻣﺔ ﻓﻲ ھذا اﻟﺳﯾﺎق .ﺣﯾث ﯾﺗم
إﻧﺷﺎء ھذه اﻟﺣﺎﻟﺔ ﻋﻧدﻣﺎ ﯾﺳﺗﻣﻊ اﻟﻧظﺎم اﻟﻰ رﻗم اﻟﻣﻧﻔذ اﻟذي ﯾﻧﺗظر ﻹﺟراء اﺗﺻﺎل ﻣﻊ ﻧظﺎم آﺧر .أﺣﺻﻧﺔ طروادة ﺑﺗﻛون ﻓﻲ ﺣﺎﻟﺔ اﻻﺳﺗﻣﺎع
) (listen stateﻋﻧدﻣﺎ ﯾﺗم إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم .ﺑﻌض أﺣﺻﻧﺔ طروادة ﺗﺳﺗﺧدم أﻛﺛر ﻣن ﻣﻧﻔذ واﺣد ﺣﯾث ﯾﺳﺗﺧدم ﻣﻧﻔذ واﺣد ﻟﻼﺳﺗﻣﺎع
) (listeningواﻟﻣﻧﺎﻓذ اﻷﺧرى ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت.
ﺣﺗﻰ اﻵن ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف ﻣﻔﺎھﯾم اﻟﺗروﺟﺎن .اﻵن ﺳوف ﻧﻧﺎﻗش .Trojan Infectionﻓﻲ ھذا اﻟﻘﺳم ،ﺳوف ﻧﻧﺎﻗش أﺳﺎﻟﯾب ﻣﺧﺗﻠﻔﺔ اﻋﺗﻣدت ﻣن
ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﺻﺎﺑﺔ ﻧظﺎﻣﮭم ﻣﻊ ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ.
ﻛﯾﻔﯾﺔ ﯾﺗم إﺻﺎﺑﺔ اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة )(How To Infect Systems Using A Trojan؟
ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻟﺳﯾطرة ﻋﻠﻰ اﻷﺟﮭزة واﻟﺑرﻣﺟﯾﺎت ﻋﻠﻰ اﻟﻧظﺎم ﻋن ﺑﻌد ﻋن طرﯾﻖ ﺗﺛﺑﯾت ﺣﺻﺎن طروادة .ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة
ﻋﻠﻰ اﻟﻧظﺎم ،ﻓﺎﻧﮫ ﻻ ﯾﻔﻌل ﻓﻘط ان ﺗﺻﺑﺢ اﻟﺑﯾﺎﻧﺎت ﻋرﺿﺔ ﻟﻠﺗﮭدﯾدات ،وﻟﻛن أﯾﺿﺎ ھﻧﺎك اﺣﺗﻣﺎﻻت ﺑﺄن ﯾﻣﻛن اﻟﻣﮭﺎﺟم أن ﯾؤدي اﻟﮭﺟﻣﺎت ﻋﻠﻰ
ﻧظﺎم .third-partyاﻟﻣﮭﺎﺟﻣﯾن ﯾﺻﯾﺑون اﻟﻧظﺎم ﺑﺎﺳﺗﺧدام ﺣﺻﺎن طروادة ﻓﻲ ﺑطرق ﻛﺛﯾرة:
ﯾﺗم ﺗﺿﻣﯾن أﺣﺻﻧﺔ طروادة ﻓﻲ ﺑرﻣﺟﯾﺎت ﺗﺟرﯾﺑﮫ أو ﺑراﻣﺞ ﻟﻠﺗﺣﻣﯾل .ﻋﻧد ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل ھذه اﻟﻣﻠﻔﺎت ،ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن -
طروادة ﻋﻠﻰ اﻷﻧظﻣﺔ ﺗﻠﻘﺎﺋﯾﺎ.
ﯾﺗم ﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﻣﻊ اﻹﻋﻼﻧﺎت اﻟﻣﻧﺑﺛﻘﺔ اﻟﻣﺧﺗﻠﻔﺔ .ﺣﯾث ﯾﺗم ﺑرﻣﺟﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﺑطرﯾﻘﺔ ﻣﺎ ﻻ ﺗﮭﺗم ﻓﯾﮭﺎ ﻣﺎ إذا اﻟﻣﺳﺗﺧدم ﻗﺎم -
ﺑﺎﻟﻧﻘر ﻓوق ﻧﻌم أو ﻻ؛ ﺣﯾث ﺑﻣﺟرد ﺗﺣﻣﯾﻠﮫ ﯾﺑدأ ﻋﻣﻠﯾﺔ ﺗﺛﺑﯾت طروادة ﻋﻠﻰ اﻟﻧظﺎم ﺗﻠﻘﺎﺋﯾﺎ.
ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن ﺑﺈرﺳﺎل ﺣﺻﺎن طروادة ﻣن ﺧﻼل ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﻋﻧدﻣﺎ ﯾﺗم ﻓﺗﺢ ھذه اﻟﻣرﻓﻘﺎت ،ﯾﺗم ﺗﺛﺑﯾت طروادة ﻋﻠﻰ -
اﻟﻧظﺎم.
ﯾﻣﯾل اﻟﻣﺳﺗﺧدﻣون أﺣﯾﺎﻧﺎ إﻟﻰ اﻟﻧﻘر ﻋﻠﻰ أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻣﻠﻔﺎت ﻣﺛل ﺑطﺎﻗﺎت اﻟﻣﻌﺎﯾدة ،وأﺷرطﺔ اﻟﻔﯾدﯾو اﻻﺑﺎﺣﯾﺔ واﻟﺻور وﻏﯾرھﺎ، -
ﺣﯾث ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﻧظﺎم ﺑﺻﻣت.
ﻓﯾﻣﺎ ﯾﻠﻲ ﻋﻣﻠﯾﺔ إﺻﺎﺑﺔ اﻷﺟﮭزة ﺑﺎﺳﺗﺧدام ﺣﺻﺎن طروادة ﺧطوة ﺑﺧطوة ﻛﺎﻻﺗﻰ:
اﻟﺧطوة :1إﻧﺷﺎء ﺣزﻣﺔ طروادة ﺟدﯾدة ﺑﺎﺳﺗﺧدام أدوات ﺑﻧﺎء ﺣﺻﺎن طروادة.
اﻟﺧطوة :2إﻧﺷﺎء ،dropperواﻟذي ھو ﺟزء ﻣن ﺣزﻣﺔ ﺗروﺟﺎن واﻟذي ﯾﻘوم ﺑﺗﺛﺑﯾت اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف.
اﻟﺧطوة :3إﻧﺷﺎء wrapperﺑﺎﺳﺗﺧدام أدوات ﻟﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .ﺑﺎﺳﺗﺧدام أدوات ﻣﺧﺗﻠﻔﺔ ﻣﺛل
،Elitewrap ،Graffiti.exe ،petite.exeوﻣﺎ إﻟﻰ ذﻟك ،ﯾﺗم إﻧﺷﺎء اﻟﻣﺟﻣﻊ )(wrapperﻟﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ.
اﻟﺧطوة :4ﻧﺷر ﺣﺻﺎن طروادة .ﻧﺷر ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر ) (spreadingﯾﻣﻛن أن ﯾﺗم ﻣن ﺧﻼل وﺳﺎﺋل ﻣﺧﺗﻠﻔﺔ:
آﻟﯾﺔ اﻟﺗﻧﻔﯾذ اﻟﺗﻠﻘﺎﺋﻲ ) (automatic execution mechanismھو أﺳﻠوب واﺣد ﺣﯾث ﻋﺎدة ﻛﺎن ﯾﺗم ﻧﺷرھﺎ
ﻣن ﺧﻼل اﻷﻗراص اﻟﻣرﻧﺔ ) (floppy discأﻣﺎ اﻵن ﻓﺗﻧﺷر ﻣن ﺧﻼل اﻷﺟﮭزة اﻟﺧﺎرﺟﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ .ﺑﻣﺟرد إﻋﺎدة
ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر ،ﻓﺈن اﻟﻔﯾروس ﯾﻧﺗﺷر ﺗﻠﻘﺎﺋﯾﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر.
ﯾﻣﻛن ﻧﺷر اﻟﻔﯾروﺳﺎت ﺣﺗﻰ ﻣن ﺧﻼل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،دردﺷﺎت اﻹﻧﺗرﻧت ،ﺷﺑﻛﺎت اﻟﺗﺑﺎدل وﻣﺷﺎرﻛﺔ
اﻟﻣﻠﻔﺎت ،network redirecting ،P2Pأو .hijacking
اﻟﺧطوة :5ﺗﺷﻐﯾل .Dropperﯾﺳﺗﺧدم Dropperﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻹﺧﻔﺎء اﻟﺑراﻣﺞ اﻟﺿﺎرة ﺑﮭﺎ .اﻟﻣﺳﺗﺧدم ﯾﻛون ﻣﺷوش وﯾﻌﺗﻘد
أن ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت ھﻲ ﻣﻠﻔﺎت ﺣﻘﯾﻘﯾﺔ أو ﻣﻌروﻓﺔ .ﺑﻣﺟرد ان ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف ،ﻓﺈﻧﮫ ﯾﺳﺎﻋد ﻏﯾره ﻣن اﻟﺑراﻣﺞ
اﻟﺿﺎرة ان ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ وﺗﻧﻔﯾذ ﻣﮭﻣﺗﮭﺎ.
اﻟﺧطوة :6ﺗﻧﻔﯾذ اﻟﺿرر اﻟروﺗﯾﻧﻲ) . (damage routineﻣﻌظم ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﺗﺣﺗوي ﻋﻠﻰ اﻟﺿرر اﻟروﺗﯾﻧﻲ اﻟذي ﯾﺳﻠم
Payload .payloadأﺣﯾﺎﻧﺎ ﯾﻌرض ﺳوى ﺑﻌض اﻟﺻور أو اﻟرﺳﺎﺋل ﺣﯾن payloadsاﻷﺧرى ﯾﻣﻛن ﺣﺗﻰ ﺣذف اﻟﻣﻠﻔﺎت ،إﻋﺎدة
ﺗﮭﯾﺋﺔ اﻷﻗراص اﻟﺻﻠﺑﺔ ) ، (reformattedأو اﻟﺗﺳﺑب ﻓﻲ أﺿرار أﺧرى.
Wrappers
اﻟﻣﺻدرhttp://www.objs.com :
Wrappersﯾﺳﺗﺧدم ﻟرﺑط ﻣﻠف ﺗروﺟﺎن اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ ﻣﻊ ﺗطﺑﯾﻖ exeطﺑﯾﻌﻲ اﻟﻣظﮭر ﻣﺛل اﻷﻟﻌﺎب أو اﻟﺗطﺑﯾﻘﺎت اﻟﻣﻛﺗﺑﯾﺔ .ﻋﻧد ﺗﺷﻐﯾل
اﻟﻣﺳﺗﺧدم ،wrapped EXEﻓﺎﻧﮫ ﯾﺗم أوﻻ ﺗﺛﺑﯾت طروادة ﻓﻲ اﻟﺧﻠﻔﯾﺔ )أي ﻻ ﯾدرك اﻟﻣﺳﺗﺧدم ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت اﻟﻘﺎﺋﻣﺔ ﻟﻠﺗروﺟﺎن( ﺛم ﯾﻘوم
ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮫ ) (wrapped applicationﻓﻲ اﻟﻣﻘدﻣﺔ )أي ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ظﺎھره ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم( .اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن
ﯾﻘوم ﺑﺿﻐط أي ﻣن اﻛواد (DOS/WIN) binaryﺑﺎﺳﺗﺧدام أدوات ﻣﺛل .petite.exeھذه اﻷداة ﯾﻣﻛﻧﮭﺎ ﻓك اﻟﺿﻐط ﻟﻣﻠف ﻋﻧد وﻗت
اﻟﺗﺷﻐﯾل .وھذا ﯾﺟﻌل ﻣن اﻟﻣﻣﻛن ﻟﻠطروادة أﻻ ﯾﺗم اﻟﻛﺷف ﻋﻧﮫ ،ﻷن ﻣﻌظم ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻏﯾر ﻗﺎدرة ﻋﻠﻰ اﻟﻛﺷف ﻋن اﻟﺗوﻗﯾﻌﺎت
ﻓﻲ اﻟﻣﻠف.
اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن ﯾﺿﻊ اﻟﻌدﯾد ﻣن اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ داﺧل ﻣﻠف ﺗﻧﻔﯾذي واﺣد ،ﻛذﻟك Wrappersﻣن اﻟﻣﻣﻛن ان ﯾدﻋم ﺑﻌض اﻟوظﺎﺋف ﻣﺛل
ﺗﺷﻐﯾل ﻣﻠف واﺣد ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﺑﯾﻧﻣﺎ اﻟﻣﻠف اﻻﺧر ﯾﻌﻣل ﻋﻠﻰ ﺳطﺢ اﻟﻣﻛﺗب.
ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ Wrappers ،ﯾﻣﻛن اﻋﺗﺑﺎره ﻧوع آﺧر ﻣن اﻟﺑرﻣﺟﯾﺎت " "gluewareﯾﺳﺗﺧدم ﻟرﺑط ﻣﻛوﻧﺎت اﻟﺑراﻣﺞ اﻷﺧرى ﻣﻌﺎ.
Wrapperﯾﺗم ﺗﻐﻠﯾﻔﮫ إﻟﻰ ﻣﺻدر ﺑﯾﺎﻧﺎت واﺣد ﻟﺟﻌﻠﮭﺎ ﻗﺎﺑﻠﺔ ﻟﻼﺳﺗﺧدام ﺑطرﯾﻘﺔ أﻛﺛر ﻣﻼءﻣﺔ ﻣن ﻣﺻدر unwrappedاﻷﺻﻠﻲ.
ﯾﻣﻛن ﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﻟﯾﻘوﻣوا ﺑﺗﺛﺑﯾت أﺣﺻﻧﺔ طروادة ﻋن طرﯾﻖ إﻏراﺋﮫ أو إﺧﺎﻓﺗﮫ .ﻋﻠﻰ ﺳﺑﯾل
اﻟﻣﺛﺎل ،ﻗد ﯾوﺿﻊ ﺣﺻﺎن طروادة ﻓﻲ رﺳﺎﻟﺔ ﺑﺎﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ﯾﺗم وﺻﻔﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﻟﻌﺑﺔ ﻛﻣﺑﯾوﺗر.
ﻋﻧدﻣﺎ ﯾﺗﻠﻘﻰ اﻟﻣﺳﺗﺧدم اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﻓﺎن وﺻف اﻟﻠﻌﺑﺔ ﻗد ﯾﻐرﯾﮫ ﻟﺗﺛﺑﯾﺗﮫ .وﻋﻠﻰ ﻣﺎ ﯾﺑدو أﻧﮭﺎ ﻗد
ﺗﻛون ﻓﻲ اﻟواﻗﻊ ،ﻟﻌﺑﺔ ،وﻟﻛﻧﮭﺎ ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﺗﺗﺧذ ﺑﻌض اﻻﺟراءات اﻷﺧرى اﻟﺗﻲ ھﻲ ﻟﯾﺳت واﺿﺣﺔ
ﺑﺳﮭوﻟﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم ،ﻣﺛل ﺣذف اﻟﻣﻠﻔﺎت أو إرﺳﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ إﻟﻰ اﻟﻣﮭﺎﺟم ﻋﺑر اﻟﺑرﯾد
اﻹﻟﻛﺗروﻧﻲ .ﻓﻲ ﺣﺎﻟﺔ أﺧرى ،اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎرﺳﺎل ﻛﺎرت ﺗﺣﯾﺔ ﻋﯾد اﻟﻣﯾﻼد واﻟذي ﯾﻘوم ﺑﺗﺛﺑﯾت ﺣﺻﺎن
طروادة ﻓﻲ اﻟوﻗت اﻟذي ﯾﺷﺎھد ﻓﯾﮫ اﻟﻣﺳﺗﺧدم ھذا اﻟﻛﺎرت ،ﻣﺛل ﻛﻌﻛﺔ ﻋﯾد ﻣﯾﻼد اﻟﺗﻲ ﺗرﻗص ﻋﺑر
اﻟﺷﺎﺷﺔ.
Kriptomatikھو ﺑرﻧﺎﻣﺞ Wrapper Covertاﻟذي ﺗم ﺗﺻﻣﯾﻣﮫ ﻟﺗﺷﻔﯾر وﺣﻣﺎﯾﺔ اﻟﻣﻠﻔﺎت ﺿد crackersوﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
ﯾﻧﺷر ﻋن طرﯾﻖ اﻟﺑﻠوﺗوث ،وﯾﺳﻣﺢ ﻟك ﺑﺣرق CD/DVDﻣﻊ ﻣﯾزة اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ).(Autorun
Advanced File Joinerھو ﺑرﻧﺎﻣﺞ ﯾﺳﺗﺧدم ﻟﺟﻣﻊ وﺿم ﻣﺧﺗﻠف اﻟﻣﻠﻔﺎت ﻓﻲ ﻣﻠف واﺣد .إذا ﻗﻣت ﺑﺗﺣﻣﯾل أﺟزاء ﻣﺗﻌددة ﻣن اﻧﻘﺳﺎم
ﻣﻠﻔﺎت ﻛﺑﯾرة اﻟﻰ ﻣﻠﻔﺎت أﺻﻐر ،ﯾﻣﻛﻧك ﺿم ھذه اﻟﻣﻠﻔﺎت ﺑﺳﮭوﻟﺔ ﻣﻊ ھذه اﻷداة .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﯾﻣﻛﻧك اﻟﺟﻣﻊ ﺑﯾن اﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ ASCII
أو اﻟﺟﻣﻊ ﺑﯾن ﻣﻠﻔﺎت اﻟﻔﯾدﯾو ﻣﺛل ﻣﻠﻔﺎت MPEGﻓﻲ ﻣﻠف واﺣد إذا ﻛﺎﻧوا ﻓﻘط ﻣن ﻧﻔس اﻟﺣﺟم ،واﻟﻧوع )اﻻﻣﺗداد( ،واﻟﺗرﻣﯾز .ھذه اﻷداة ﻻ
ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﺑﺷﻛل ﻓﻌﺎل ﻟﺿم ﻧوع ﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ head informationﻣﺛل ،JPEG ،BMP ،AVIوﻣﻠﻔﺎت .DOCﻟذﻟك ،ﻟﻛل
ﻣن ھذه اﻷﻧواع ﻣن ﺗﻧﺳﯾﻘﺎت اﻟﻣﻠﻔﺎت ،ﯾﺟب اﺳﺗﺧدام ﺑراﻣﺞ ﻣﻌﯾﻧﺔ ﻟﺿم اﻟﺑراﻣﺞ.
OneFileExeMaker
اﺧﺗر ﻣن select command to addاﻻﻣر اﻟذي ﺳﯾﻧﻔذه اﻟﺗروﺟﺎن ﻋﻧد ﺗﺷﻐﯾﻠﮫ ﻣﺛل اﻻﺗﻲ:
Bind File -و ذﻟك ﻟﻔﺗﺢ ﻣﻠف اﺧر ﻣﻊ اﻟﺗروﺟﺎن ﻣن ﺟﮭﺎزك او ﺟﮭﺎز اﻟﺿﺣﯾﺔ
Delete file or folder -ﻟﺣذف اﻟﻣﻠف او اﻟﻣﺟﻠد ﻋﻧد ﻓﺗﺣﺔ
Execute file -أﺧﻔﺎء اﻟﺗروﺟﺎن ﻓﻲ أي ﻣﺟﻠد ﻣن ﻣﺟﻠدات اﻟﻧظﺎم ﻓﻲ اﻟوﯾﻧدوز ﺗﺧﺗﺎرھﺎ اﻧت ﺑﻧﻔﺳك ﻣﺛل Root folder, temp
folder, system folderوﻏﯾرة.
Message Box -ﻻ ظﮭﺎر رﺳﺎﻟﺔ Errorﻋﻧد اﻟﺗﺷﻐﯾل
اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﻣﻛن ان ﯾﺣﺻل اﻟﺗروﺟﺎن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم )(Different Ways a Trojan Can Get Into a System
ﻧﻘﺎط اﻟوﺻول اﻟﻣﺧﺗﻠﻔﺔ ﺗﺳﺗﺧدم ﻋن طرﯾﻖ ﺣﺻﺎن طروادة ﻟﺗﺻﯾب ﻧظﺎم اﻟﺿﺣﯾﺔ .ﻣﻊ ﻣﺳﺎﻋدة ﻣن ھذه اﻟﻧﻘﺎط ،ﻓﺎن اﻟﺗروﺟﺎن ﯾﮭﺎﺟم اﻟﻧظﺎم
اﻟﮭدف وﯾﺄﺧذ اﻟﺳﯾطرة ﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم .وھم ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
اﻟﻧظﺎم ﯾﻣﻛن أن ﯾﺻﺎب ﻋن طرﯾﻖ ﺗطﺑﯾﻘﺎت اﻟﻣﺣﺎدﺛﺎت ﻣﺛل ICQأو .Yahoo messengerﺣﯾث ﯾﻛون اﻟﻣﺳﺗﺧدم ﻓﻲ ﺧطر ﻛﺑﯾر ﺣﯾن
ﺗﻠﻘﻲ اﻟﻣﻠﻔﺎت ﻋن طرﯾﻖ ،messengerﺑﻐض اﻟﻧظر ﻋﻣن أرﺳل أو ﻣن أﯾن .ﺣﯾث أﻧﮫ ﻻ ﯾوﺟد أي ﻣن ﺗطﺑﯾﻘﺎت اﻟﻔﺣص اﻟﻣدﻣﺟﺔ ﻣﻊ ﺗطﺑﯾﻘﺎت
،messengerﺣﯾث أن ھﻧﺎك داﺋﻣﺎ ﺧطر ﻣن اﻟﻌدوى ﻋن طرﯾﻖ اﻟﺗروﺟﺎن .اﻟﻣﺳﺗﺧدم ﻻ ﯾﻣﻛﻧﮫ أﺑدا أن ﯾﻛون ﻣﺗﺄﻛدا ٪100ﻣن ھو ﻋﻠﻰ
اﻟﺟﺎﻧب اﻵﺧر ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﻟﺣظﺔ ﻣﻌﯾﻧﺔ .ﺣﯾث اﻧﮫ ﻣن اﻟﻣﻣﻛن أن ﯾﻛون ﺷﺧص ﻣﺎ ﻗد اﺧﺗرق ھوﯾﺔ messenger IDوﻛﻠﻣﺔ
اﻟﻣرور ،وﯾرﯾد أن ﯾﻧﺷر اﻟﺗروﺟﺎن ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﻷﺻدﻗﺎء.
)IRC (Internet Relay Chat
IRCھﻲ طرﯾﻘﺔ أﺧرى ﺗﺳﺗﺧدم ﻟﻧﺷر طروادة Trojan.exe .ﯾﻣﻛن أن ﯾﻌﺎد ﺗﺳﻣﯾﺔ اﻟﻰ ﺷﻲء ﻣن ھذا اﻟﻘﺑﯾل Trojan.txt
.(With 150 spaces).exeﻓﺈﻧﮫ ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮫ ﻣن ﺧﻼل ،IRCوﻓﻲ ) ،DCC (Direct Client to Clientوﺳوف ﺗظﮭر
ﻋﻠﻰ ھﯾﺋﺔ ) .(.TXTﺗﻧﻔﯾذ ﻣﺛل ھذه اﻟﻣﻠﻔﺎت ﺳوف ﯾﺳﺑب اﻟﻌدوى .ﻣﻌظم اﻟﻧﺎس ﻻ ﯾﻼﺣظون أن ﺗطﺑﯾﻖ ) (.exeﯾﺣﺗوي ﻋﻠﻰ أﯾﻘوﻧﺔ ﻣﻠف
ﻧﺻﻲ .ﻟذﻟك ﻗﺑل ﺗﺷﻐﯾل ﻣﺛل ھذه اﻷﻣور ،ﺣﺗﻰ ﻟو ﻛﺎن ھو ﻣﻊ أﯾﻘوﻧﺔ ﻣﻠف ﻧﺻﻲ؛ ﯾﺟب ﻓﺣص اﻻﻣﺗدادات ﻟﻠﺗﺄﻛد ﻣن أﻧﮭﺎ ﺣﻘﺎ ﻣﻠف ﻧﺻﻲ.
-ﻻ ﺗﻘم ﺑﺗﺣﻣﯾل أي ﻣن اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﺑدو أﻓﻼم اﺑﺎﺣﯾﺔ أو ﺑراﻣﺞ إﻧﺗرﻧت ﻣﺟﺎﻧﯾﺔ .ﻣﺳﺗﺧدﻣﻲ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺑﺗدﺋﯾن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻛون أھداف
ﺳﮭﻠﮫ ﻟﻣﺛل ھذه اﻟﻌروض اﻟﻛﺎذﺑﺔ ،وﻛﺛﯾر ﻣن اﻟﻧﺎس ﻋﻠﻰ IRCﻻ ﯾدرﻛون ﻧظﺎم اﻷﻣن .اﻟﻣﺳﺗﺧدﻣﯾن ﯾﺻﺑﺣوا ﻣﺻﺎﺑﯾن ﻧﺗﯾﺟﺔ اﻟﻘﻧوات
اﻻﺑﺎﺣﯾﺔ اﻟﺗﺟﺎرﯾﺔ ،ﻷﻧﮭم ﻻ ﯾﻔﻛروا ﻓﻲ اﻟﻣﺧﺎطر اﻟﺗﻲ ﺗﻧطوي ﻋﻠﻰ ﻛﯾﻔﯾﺔ اﻟﺣﺻول ﻋﻠﻰ اﻷﻓﻼم اﻻﺑﺎﺣﯾﺔ واﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ.
Physical Access
ﺗﻘﯾﯾد اﻟوﺻول اﻟﻣﺎدي ﻟﻠﻛﻣﺑﯾوﺗر ﯾﻌﺗﺑر ﻣﮭم ﺟدا ﺑﺎﻟﻧﺳﺑﺔ ﻟﻸﻣن اﻟﻛﻣﺑﯾوﺗر.
أﻣﺛﻠﮫ:
-ﺻدﯾﻖ اﻟﻣﺳﺗﺧدم ﯾرﯾد اﻟوﺻول اﻟﻣﺎدي إﻟﻰ ﻧظﺎﻣﮫ .اﻟﻣﺳﺗﺧدم ﻗد ﯾﺗﺳﻠل اﻟﻰ ﻏرﻓﺔ ﺣﺎﺳوب ﺻدﯾﻘﮫ ﻓﻲ ﻏﯾﺎﺑﮫ وﺗﺛﺑﯾت ﺣﺻﺎن طروادة
ﻋن طرﯾﻖ ﻧﺳﺦ ﺑرﻣﺟﯾﺎت طروادة ﻣن ﻗرص ﻟﮫ ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب.
-اﻟﺑدء اﻟﺗﻠﻘﺎﺋﻲ ] [Autostartھﻲ طرﯾﻘﺔ أﺧرى ﺗﺻﯾب اﻟﻧظﺎم ﻋﻧدﻣﺎ ﯾﻣﻠك اﻟوﺻول اﻟﻣﺎدي .ﻋﻧدﻣﺎ ﯾﺗم وﺿﻊ ﻗرص ﻣﺿﻐوط ﻓﻲ
ﻋﻠﺑﺔ ،CD-ROMﻓﺎﻧﮫ ﯾﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻣﻊ واﺟﮭﺔ اﻹﻋداد .ﻣﺛﺎل ﻋﻠﻰ ﻣﻠف Autorun.infاﻟﺗﻲ ﯾﺗم وﺿﻌﮭﺎ ﻋﻠﻰ ﻣﺛل ھذه :CD
][autorun
open=setup.exe
icon=setup.exe
-ﯾﻣﻛن ﺗﺷﻐﯾل طروادة ﺑﺳﮭوﻟﺔ ﻋن طرﯾﻖ ﺗﺷﻐﯾل ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ اﻟﺣﻘﯾﻘﻲ.
-ﻷن اﻟﻛﺛﯾر ﻣن اﻟﻧﺎس ﻻ ﯾﻌرﻓون ﻋن ،CD functionﻓﺎن اﺟﮭزﺗﮭم ﻗد ﺗﺻﺎب ،وﻟن ﯾﻔﮭﻣوا ﻣﺎ ﺣدث أو ﻛﯾف ﺗم اﻟﻘﯾﺎم ﺑﮫ.
-ﯾﻧﺑﻐﻲ أن ﯾﺗم إطﻔﺎء وظﯾﻔﺔ اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ ﻋن طرﯾﻖ اﻟﻘﯾﺎم ﺑﻣﺎ ﯾﻠﻲ:
Start Settings Control Panel System Device Manager CDROM Properties Settings
Browser and Email Software Bugs
ﻋﺎدة ﻻ ﯾﻘوم اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﺣدﯾث اﻟﺑراﻣﺞ اﻟﺧﺎﺻﺔ ﺑﮭم ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻛﻣﺎ ﯾﺟب ،واﻟﻌدﯾد ﻣن اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﻔﺎدون ﻣن ھذه اﻟﺣﻘﯾﻘﺔ
اﻟﻣﻌروﻓﺔ ﺟﯾدا .ﺗﺧﯾل ان اﺻدار ﻗدﯾم ﻣن إﻧﺗرﻧت إﻛﺳﺑﻠورر ﯾﺳﺗﺧدم .زﯾﺎرة إﻟﻰ ﻣوﻗﻊ ﺧﺑﯾث ﻗد ﯾﺻﯾب اﻟﺟﮭﺎز ﺗﻠﻘﺎﺋﯾﺎ دون ﺗﺣﻣﯾل أو ﺗﻧﻔﯾذ أي
ﺑراﻣﺞ .ﯾﺣدث ﻧﻔس اﻟﺳﯾﻧﺎرﯾو ﻋﻧد اﻟﺗﺣﻘﻖ ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ Outlook Expressأو ﺑﻌض اﻟﺑراﻣﺞ اﻷﺧرى ﻣﻊ اﻟﻣﺷﺎﻛل اﻟﻣﻌروﻓﺔ.
ﻣرة أﺧرى ،ﻧظﺎم اﻟﻣﺳﺗﺧدم ﺳوف ﯾﻛون ﻣﺻﺎﺑﺎ ﺣﺗﻰ ﻣن دون ﺗﺣﻣﯾل اﻟﻣرﻓﻘﺎت .أﺣدث ﻧﺳﺧﺔ ﻣن اﻟﻣﺗﺻﻔﺢ وﺑرﻧﺎﻣﺞ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﯾﻧﺑﻐﻲ
أن ﺗﺳﺗﺧدم ،ﻷﻧﮫ ﯾﻘﻠل ﻣن ﺧطر ھذه اﻻﺻدارات.
ﺗﺣﻘﻖ ﻣن اﻟﻣواﻗﻊ اﻟﺗﺎﻟﯾﺔ ﻟﻔﮭم ﻣدى ﺧطورة ھذه اﻠ ،BUGSﻛل ذﻟك ﺑﺳﺑب اﺳﺗﺧدام اﻹﺻدار اﻟﻘدﯾم ﻣن اﻟﺗطﺑﯾﻘﺎت:
http://www.guninski.com/browsers.html
http://www.guninski.com/netscape.html
اﻟﻣﮭﺎﺟﻣﯾن ﯾﻣﻛﻧﮭم ﺑﺳﮭوﻟﺔ إﻏراء اﻟﺿﺣﯾﺔ ﻟﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ اﻟﺗﻲ ھﻲ ﻣﻧﺎﺳﺑﺔ ﻻﺣﺗﯾﺎﺟﺎﺗﮫ ،ﺣﯾث ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣﻊ ﻋدﯾد ﻣن اﻟﻣﻣﯾزات ﻣﺛل
دﻓﺗر اﻟﻌﻧﺎوﯾن ،اﻟوﺻول ﻟﻔﺣص اﻟﻌدﯾد ﻣن ﺣﺳﺎﺑﺎت ،POP3واﻟﻌدﯾد ﻣن اﻟوظﺎﺋف اﻷﺧرى اﻟﺗﻲ ﺗﺟﻌﻠﮫ أﻓﺿل ﻣن ﻋﻣﯾل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ
اﻟﻣﺳﺗﺧدم ﺣﺎﻟﯾﺎ.
اﻟﺿﺣﯾﺔ ﯾﻘوم ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ وﯾﻌﺗﺑرھﺎ ﺗطﺑﯾﻖ ﻣوﺛوق ﺑﮫ ،ﻟذﻟك ﻓﺎن ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﺗﻔﺷل ﻓﻲ ﺗﻧﺑﯾﮭﮫ ﻋن اﻟﺑراﻣﺞ اﻟﺟدﯾدة اﻟﻣﺳﺗﺧدﻣﺔ .ﯾﺗم
إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻛﻠﻣﺎت اﻟﻣرور ﻟﺣﺳﺎب POP3ﻣﺑﺎﺷرة إﻟﻰ ﺻﻧدوق ﺑرﯾد اﻟﻣﮭﺎﺟم ﻣن دون أن ﯾﻼﺣظ أﺣد .وﯾﻣﻛن أﯾﺿﺎ أن ﯾرﺳل
ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧزﻧﺔ ﻣؤﻗﺗﺎ وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ .اﻟﮭدف ھو ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟواﻓرة وإرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻣﮭﺎﺟم.
ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻗد ﯾﻣﻠك اﻟﻣﮭﺎﺟﻣﯾن اﻟوﺻول اﻟﻛﺎﻣل إﻟﻰ اﻟﻧظﺎم ،وﻟﻛن ﻣﺎ ﯾﻔﻌﻠﮫ اﻟﻣﮭﺎﺟم ﯾﻌﺗﻣد ﻋﻠﻰ أﻓﻛﺎره ﺣول ﻛﯾﻔﯾﺔ اﺳﺗﺧدام وظﺎﺋف
اﻟﺑراﻣﺞ اﻟﻣﺧﻔﯾﺔ .أﺛﻧﺎء إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﺳﺗﺧدام اﻟﻣﻧﻔذ 25أو 110ﻠﻠ ،POP3ﯾﻣﻛن أن ﺗﺳﺗﺧدم ھذه ﻟﻼﺗﺻﺎل ﻣﻊ آﻟﺔ اﻟﻣﮭﺎﺟم )ﻟﯾس
ﻓﻲ اﻟﻣﻧزل ،ﺑطﺑﯾﻌﺔ اﻟﺣﺎل ،وﻟﻛن ﻣن آﻟﺔ اﺧﺗرق آﺧري( ﻟﯾﺗﺻل وﯾﺳﺗﺧدم اﻟوظﺎﺋف اﻟﻣﺧﻔﯾﺔ اﻟﻣﺿﻣﻧﺔ ﻓﻲ اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ .اﻟﻔﻛرة ھﻧﺎ ھو ﺗﻘدﯾم
ﺑرﻧﺎﻣﺞ اﻟذي ﯾﺗطﻠب ﺗﺄﺳﯾس اﺗﺻﺎل ﻣﻊ اﻟﻣﻠﻘم.
اﻟﻣﮭﺎﺟﻣﯾن ﯾﻌﯾﺷون ﻋﻠﻰ اﻹﺑداع .ﯾﻧظر ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،fake audio galaxyواﻟذي ھو ﻋﺑﺎره ﻋن إﻋطﺎء ﻣوﻗﻊ ﻟﺗﺣﻣﯾل .MP3
اﻟﻣﮭﺎﺟم ﯾﻧﺷﺎ ﻣﺛل ھذه اﻟﻣواﻗﻊ ﺑﺎﺳﺗﺧدام ﻣﺛﻼ ﻣﺳﺎﺣﺔ 15ﻏﯾﻐﺎﺑﺎﯾت ﻋﻠﻰ ﻧظﺎﻣﮫ ﻟوﺿﻊ أرﺷﯾف ﻛﺑﯾر ﻟﻣﻠﻔﺎت .MP3ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﯾﺗم
ﺗﻛوﯾن ﺑﻌض اﻷﻧظﻣﺔ اﻷﺧرى أﯾﺿﺎ ﻋﻠﻰ ﻧﻔس اﻟﺷﻛل .ﺣﯾث ﯾﺗم اﺳﺗﺧدام ذﻟك ﻟﺧداع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ اﻟﺗﻔﻛﯾر ﻓﻲ أﻧﮭم ﯾﻘوﻣون ﺑﺎﻟﺗﺣﻣﯾل ﻣن
ﻏﯾرھم ﻣن اﻟﻧﺎس اﻟذﯾن ﯾﻧﺗﺷرون ﻋﺑر اﻟﺷﺑﻛﺔ .ﯾﻌﻣل اﻟﺑرﻧﺎﻣﺞ ك backdoorوﺳوف ﯾﺻﯾب اﻵﻻف ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺳﺎذﺟﯾن اﻟذﯾن
ﯾﺳﺗﺧدﻣون وﺻﻼت .ADSL
ﺑﻌض اﻟﺑراﻣﺞ اﻟﻣزﯾﻔﺔ ﺗﺣﺗوي ﻋﻠﻰ اﻛواد ﻣﺧﻔﯾﮫ ،وﻟﻛﻧﮭﺎ ﻻ ﺗزال ﺗﻣﻠك ﻧظرة اﻻﺣﺗراﻓﯾﺔ .ﺣﯾث ھذه اﻟﻣواﻗﻊ ﯾﺗم وﺻﻠﮭﺎ ﺑﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ
طروادة ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺧدع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ اﻟوﺛوق ﺑﮭﺎ .ﯾﺗم ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ ﻣﻠف readme.txtﻓﻲ .setupوھذا ﯾﻣﻛن أن ﯾﺧدع أي ﻣﺳﺗﺧدم
ﺗﻘرﯾﺑﺎ ،ﻟذﻟك ﻧﺣﺗﺎج إﻟﻰ ﻋﻧﺎﯾﺔ ﻣﻧﺎﺳﺑﺔ اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺗﻧﻔﯾذھﺎ ﻷي ﺑراﻣﺞ ﻣﺟﺎﻧﯾﺔ ﻗﺑل ﺗﻧزﯾﻠﮭﺎ .ھذا ﻣﮭم ﻷن ھذا اﻷﺳﻠوب اﻟﺧطﯾر ھو وﺳﯾﻠﺔ ﺳﮭﻠﺔ
ﻟﺗﺻﯾب ﺟﮭﺎز ﻋﺑر أﺣﺻﻧﺔ طروادة اﻟﻣﺧﺑﺄة ﻓﻲ اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ.
Shrink-Wrapped Software
Legitimate "shrink-wrapped" softwareﯾﺗم ﺗﻌﺑﺋﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣوظﻔﯾن اﻟﺳﺎﺧطﯾن واﻟﺗﻲ ﯾﻣﻛن أن ﺗﺣﺗوي ﻋﻠﻰ أﺣﺻﻧﺔ طروادة.
Via Attachments
ﻋﻧد ﯾﺗﻠﻘﻰ ﻣﺳﺗﺧدﻣﻲ اﻟﺷﺑﻛﺔ رﺳﺎﻟﺔ اﻟﻛﺗروﻧﯾﺔ ﻣﺟﮭوﻟﺔ ﺗﻘول إﻧﮭﺎ ﺳوف ﺗﺣﺻل ﻋﻠﻰ أﻓﻼم اﺑﺎﺣﯾﺔ ﻣﺟﺎﻧﯾﺔ أو ﺣرﯾﺔ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت إذا ﺗم
ﺗﺷﻐﯾل اﻟﻣرﻓﻖ )ﻣﻠف ،(exeﺣﯾث أﻧﮭﺎ ﻗد ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻣن دون ﻓﮭم اﻟﺧطر ﻋﻠﻰ اﻷﺟﮭزة اﻟﺧﺎﺻﺔ ﺑﮭم.
اﻷﻣﺛﻠﺔ:
-ﻟﻧﻔرض ﻣﺛﻼ وﺟود ﻣﺳﺗﺧدم ﻟدﯾﮫ ﺻدﯾﻖ ﺟﯾد اﻟذي ﯾﺣﻣل ﺑﻌض اﻷﺑﺣﺎث وﯾرﯾد أن ﯾﻌرف ﺣول أﺣد اﻟﻣوﺿوﻋﺎت اﻟﻣرﺗﺑطﺔ ﺑﻣﺟﺎل
ﺻدﯾﻘﮫ ﻣن اﻟﺑﺣوث .ﻓﯾﻘوم ﺑﺈرﺳﺎل رﺳﺎﻟﺔ ﺑرﯾد اﻟﻛﺗروﻧﻲ ﻟﺻدﯾﻘﮫ ﯾﺳﺄل ﻋن ھذا اﻟﻣوﺿوع وﯾﻧﺗظر اﻟرد .اﻟﻣﮭﺎﺟم ﻗد ﯾﺳﺗﮭدف
اﻟﻣﺳﺗﺧدم اﻟذي ﯾﻌرف أﯾﺿﺎ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﺻدﯾﻘﮫ .اﻟﻣﮭﺎﺟم ﺑﺑﺳﺎطﺔ ﯾﻘوم ﺑﺗرﻣﯾز ﺑرﻧﺎﻣﺞ ﻟﺗزﯾف اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ
وﯾﺟﻌﻠﮫ ﯾﺑدو أن اﻟﺻدﯾﻖ ھو اﻟذي ﯾﻘوم ﺑﺎرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﻟﻛﻧﮭﺎ ﺳوف ﺗﺷﻣل ﻋﻠﻰ ﻣرﻓﻖ ﺗروﺟﺎن .اﻟﻣﺳﺗﺧدم ﺳوف ﯾﺗﺣﻘﻖ
ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وﯾرى أن ﺻدﯾﻘﮫ ﻗد أﺟﺎب اﻻﺳﺗﻌﻼم ﻟﮫ ﺑﻣرﻓﻖ ،ﻓﯾﻘوم ﺑﺗﺣﻣﯾﻠﮫ وﺗﺷﻐﯾﻠﮫ دون اﻟﺗﻔﻛﯾر أﻧﮫ ﻗد ﯾﻛون ﺣﺻﺎن
طروادة .واﻟﻧﺗﯾﺟﺔ اﻟﻧﮭﺎﺋﯾﺔ ھﻲ ﺣدوث اﻟﻌدوى.
-ارﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ذات اﻟﻌﻧوان " " Microsoft IE Updateاﻟﻰ ﺳﻠﺔ اﻟﻣﺣذوﻓﺎت ،ﻣن دون اﻟﻧظر إﻟﯾﮫ.
-ﺑﻌض ﻋﻣﻼء اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﺛل ﺑرﻧﺎﻣﺞ ،Outlook Expressﻟدﯾﮭﺎ اﻷﺧطﺎء اﻟﺗﻲ ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻟﻣﻠﻔﺎت اﻟﻣرﻓﻘﺔ ﺗﻠﻘﺎﺋﯾﺎ.
Untrusted Sites and Freeware Software
ھو ﻣوﻗﻊ ﯾﻘﻊ ﻋﻠﻰ ﻣﺳﺎﺣﺔ ﻣﺟﺎﻧﯾﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت أو ﻣزود واﺣد ﻓﻘط ﻟﺗﻘدم ﺑراﻣﺞ ﻟﻸﻧﺷطﺔ اﻟﻐﯾر ﻣﺷروﻋﺔ واﻟﺗﻲ ﯾﻣﻛن أن ﺗﻌﺗﺑر
ﻣﺷﺑوھﺔ.
ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ اﻟﻐﯾر ﻣﺷروﻋﮫ ) (underground sitesﻣﺛل NeuroticKatﻟﻠﺑرﻣﺟﯾﺎت .ﻓﻣن اﻟﺧطورة ﺗﺣﻣﯾل أي ﻣن -
اﻟﺑرﻧﺎﻣﺞ أو اﻻدوات اﻟﺗﻲ ﺗﻘﻊ ﻋﻠﻰ ﻣﺛل ھذه اﻟﻣوﻗﻊ اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﻛون ﺑﻣﺛﺎﺑﺔ ﻗﻧﺎة ﻟﻠﮭﺟوم طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر
اﻟﺿﺣﯾﺔ .ﺑﻐض اﻟﻧظر ﻋﻣﺎ ھﻲ اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ ،ھل أﻧت ﻋﻠﻰ اﺳﺗﻌداد ﻻﺗﺧﺎذ ھذه اﻟﻣﺧﺎطرة؟
ﺗﺗوﻓر اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ اﻟﺗﻲ ﻟدﯾﮭﺎ ﻧظرة اﺣﺗراﻓﯾﮫ وﺗﺣﺗوي ﻋﻠﻰ أرﺷﯾف ﺿﺧم .ھذه اﻟﻣواﻗﻊ ﺗﺣﺗوي ﺑﺷﻛل feedbackووﺻﻼت -
إﻟﻰ ﻣواﻗﻊ ﺷﻌﺑﯾﺔ أﺧرى .ﯾﺟب ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن أﺧذ اﻟوﻗت اﻟﻛﺎﻓﻲ ﻟﻔﺣص ھذه اﻟﻣﻠﻔﺎت ﻗﺑل ﺗﻧزﯾﻠﮭﺎ ،ﺑﺣﯾث ﯾﻣﻛن ﺗﺣدﯾد ﻣﺎ إذا ﻛﺎﻧت
أو ﻟم ﺗﻛن ﺗﺄﺗﻲ ﻣن ﻣوﻗﻊ ﺣﻘﯾﻘﯾﮫ أو ﻣﺷﺑوھﺔ.
اﻟﺑرﻣﺟﯾﺎت ﻣﺛل ،PGP ،ICQ ،mlRCأو أي ﺑراﻣﺞ ﺷﻌﺑﯾﺔ أﺧرى ﯾﺟب ﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻟﻣوﻗﻊ اﻷﺻﻠﻲ )أو اﻟﻣواﻗﻊ اﻟﻣرﺗﺑطﺔ -
اﻟرﺳﻣﯾﺔ( ،وﻟﯾس ﻣن أي ﻣن ﻣواﻗﻊ اﻷﺧرى اﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ رواﺑط ﻟﺗﻧزﯾل اﻟﺑرﻧﺎﻣﺞ ﻧﻔﺳﮫ.
أﺻﺣﺎب اﻟﻣواﻗﻊ اﻟﺧﺎص ﺑﻣوﺿوع اﻷﻣن اﻟﻣﻌروﻓﺔ ،واﻟذﯾن ﻟدﯾﮭم ﻣﺣﻔوظﺎت واﺳﻌﺔ ﻣﻊ ﻣﺧﺗﻠف ﺗطﺑﯾﻘﺎت اﻟﻘرﺻﻧﺔ "اﻟﺑراﻣﺞ ،ﯾﺟب -
أن ﺗﻛون ﻣﺳؤوﻟﺔ ﻋن اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﻘدﻣﮭﺎ وﯾﺟب ﻓﺣﺻﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﺑﺎﺳﺗﺧدام ﺗطﺑﯾﻘﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﺑراﻣﺞ
ﻣﻛﺎﻓﺣﺔ طروادة ﻟﺿﻣﺎن اﻟﻣوﻗﻊ أن ﯾﻛون " ﺧﺎل ﻣن أﺣﺻﻧﺔ طروادة واﻟﻔﯾروﺳﺎت " .ﻟﻧﻔﺗرض ان اﻟﻣﮭﺎﺟم ﯾﻘدم ﺑراﻣﺞ ﻣﺻﺎﺑﮫ
ﺑطروادة ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،UDP flooder ،إﻟﻰ اﻷرﺷﯾف ،ﻓﺈذا ﻛﺎن اﻟﻣﺳؤول ﻋن اﻟﻣوﻗﻊ ﻟﯾس ﻓﻲ ﺣﺎﻟﺔ ﺗﺄھب ،ﻓﺎن اﻟﻣﮭﺎﺟم
ﺳوف ﯾﺳﺗﻔﯾد ﻣن اﻟﻼﻣﺳوؤﻟﯾﺔ ﻟﻠﻣﺳؤول ﻋن اﻟﻣوﻗﻊ ﻟوﺿﻊ ﻣﻠﻔﺎت ﻋﻠﻰ اﻟﻣوﻗﻊ ﻣﻊ ﺗروﺟﺎن.
ﯾﺟب ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﯾﺗﻌﺎﻣﻠون ﻣﻊ أي ﻧوع ﻣن اﻟﺑراﻣﺞ أو ﺗطﺑﯾﻘﺎت اﻟوﯾب ﻓﺣص اﻧظﻣﺗﮭم ﯾوﻣﯾﺎ .إذا ﺣدث اﻟﻛﺷف ﻋن أي -
ﻣﻠف ﺟدﯾد ،ﯾﺟب ﻓﺣص ذﻟك .إذا ﻧﺷﺄ أي اﺷﺗﺑﺎه ﺣول ﻣﻠف ،ﻓﺈﻧﮫ ﯾﺟب أن ﺗﺣﺎل ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﻰ ﻣﺧﺗﺑرات اﻟﻛﺷف ﻟﻠﻣزﯾد ﻣن
اﻟﺗﺣﻠﯾل.
ﻣن اﻟﺳﮭل أن ﺗﺻﯾب اﻷﺟﮭزة ﺑﺎﺳﺗﺧدام ﺑراﻣﺞ ﻣﺟﺎﻧﯾﺔ" .اﻟﻣﺟﺎﻧﻲ ﻟﯾس داﺋﻣﺎ اﻷﻓﺿل" ،وﺑﺎﻟﺗﺎﻟﻲ ھذه اﻟﺑراﻣﺞ ﺧطﯾرة ﻋﻠﻰ اﻷﻧظﻣﺔ. -
)NetBIOS (File Sharing
إذا ﻛﺎن اﻟﻣﻧﻔذ 139ﻋﻠﻰ اﻟﻧظﺎم ﻣﻔﺗوح ،أي ،ﯾﺗم ﺗﻣﻛﯾن ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت ،ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻵﺧرﯾن ﻟﻠوﺻول إﻟﻰ اﻟﻧظﺎم ،وﺗﺛﺑﯾت
،trojan.exeوﺗﻌدﯾل اﻟﻣﻠف ﻋﻠﻰ اﻟﻧظﺎم.
ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أﯾﺿﺎ اﺳﺗﺧدام ھﺟوم DOSﻹﯾﻘﺎف ﺗﺷﻐﯾل اﻟﻧظﺎم وﻓرض إﻋﺎدة اﻟﺗﺷﻐﯾل ،وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن طروادة ﯾﻣﻛن إﻋﺎدة ﺗﺷﻐﯾل ﻧﻔﺳﮫ ﻋﻠﻰ
اﻟﻔور .ﻟﻣﻧﻊ ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت ﻓﻲ إﺻدار ﻧظﺎم ،Windowsاﻧﺗﻘل إﻟﻰ:
Start Settings Control Panel Network File and Print Sharing
Downloading
ﺗﻧزﯾل اﻟﻣﻠﻔﺎت ،واﻷﻟﻌﺎب ،و screensaverﻣن ﻣواﻗﻊ اﻹﻧﺗرﻧت ﯾﻣﻛن أن ﺗﻛون ﺧطﯾرة.
اﻟﺗروﺟﺎن ھﻲ اﻟوﺳﯾﻠﺔ اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟوﺻول إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ .ﻣن أﺟل اﻟﺳﯾطرة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ،اﻟﻣﮭﺎﺟم ﯾﻧﺷﺄ ﺧﺎدم طروادة،
ﺛم ﯾرﺳل رﺳﺎﻟﺔ إﻟﻛﺗروﻧﯾﺔ إﻟﻰ اﻟﺿﺣﯾﺔ ﺗﺣﺗوي ﻋﻠﻰ راﺑط إﻟﻰ ﺧﺎدم طروادة .ﺑﻣﺟرد أن ﯾﻧﻘر اﻟﺿﺣﯾﺔ ﻋﻠﻰ اﻟراﺑط اﻟذي أرﺳل اﻟﯾﮫ ﻣن ﻗﺑل
اﻟﻣﮭﺎﺟم ،ﻓﺄﻧﮫ ﯾرﺗﺑط ﻣﺑﺎﺷرة ﻣﻊ ﺧﺎدم طروادة .ﺧﺎدم طروادة ﯾرﺳل طروادة ﻟﻧظﺎم اﻟﺿﺣﯾﺔ .اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺛﺑﯾت طروادة ،اﺻﺎﺑﺔ ﺟﮭﺎز
اﻟﺿﺣﯾﺔ .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﯾﺗم ﺗوﺻﯾل اﻟﺿﺣﯾﺔ إﻟﻰ ﺧﺎدم اﻟﮭﺟوم ﻣﻊ ﻋدم دراﯾﺗﮫ ﺑذﻟك .ﺑﻣﺟرد رﺑط اﻟﺿﺣﯾﺔ ﺑﺧﺎدم اﻟﻣﮭﺎﺟم ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻠك
اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﻘوم ﺑﺗﻧﻔﯾذ أي إﺟراء ﯾﺧﺗﺎره اﻟﻣﮭﺎﺟم .إذا ﻗﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟﻘﯾﺎم ﺑﺄي ﺻﻔﻘﺔ ﻋﺑر اﻹﻧﺗرﻧت أو ﻋﻣﻠﯾﺔ ﺷراء،
ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﺑﺳﮭوﻟﺔ ﻣﺛل ﺗﻔﺎﺻﯾل ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ،وﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎب ،وﻣﺎ إﻟﻰ ذﻟك .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك،
ﯾﻣﻛن أﯾﺿﺎ اﺳﺗﺧدام آﻟﺔ اﻟﺿﺣﯾﺔ ﻛﻣﺻدر ﻟﺷن ھﺟﻣﺎت ﻋﻠﻰ أﻧظﻣﺔ أﺧرى.
ﻋﺎدة ﻣﺎ ﯾﺻﺎب أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋن طرﯾﻖ ﻧﻘر اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ وﺻﻠﺔ ﺧﺑﯾﺛﺔ أو ﻓﺗﺢ ﻣرﻓﻖ ﺑرﯾد إﻟﻛﺗروﻧﻲ اﻟذي ﯾﺛﺑت ﺣﺻﺎن طروادة ﻋﻠﻰ
أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم اﻟﺗﻲ ھﻲ ﺑﻣﺛﺎﺑﺔ backdoorﻟﻠﻣﺟرﻣﯾن اﻟذﯾن ﯾﻣﻛﻧﮭم ﺑﻌد ذﻟك اﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر ﻹرﺳﺎل ﺑرﯾد اﻟﻛﺗروﻧﻲ ﻣﺗطﻔل.
ﻓﯾﻣﺎ ﯾﻠﻲ ﻣﺧﺗﻠف اﻟﺗﻘﻧﯾﺎت اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ﺗروﺟﺎن واﻟﻔﯾروﺳﺎت و wormsﻟﻠﺗﮭرب ﻣن ﻣﻌظم ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت:
ﻻ ﺗﺳﺗﺧدم أﺑدا أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﺷﺑﻛﺔ اﻹﻧﺗرﻧت )ﺣﯾث ﯾﺗم ﻛﺷﻔﮭﺎ ﺑﺳﮭوﻟﮫ ﻣن ﻗﺑل ﺑرﻣﺟﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت(. -1
ﯾﻔﺿل ﻛﺗﺎﺑﺔ طروادة اﻟﺧﺎﺻﺔ ﺑك وﺗﺿﻣﯾﻧﮫ داﺧل اﻟﺗطﺑﯾﻘﺎت. -2
ﺗﻐﯾﯾر ﺻﯾﻎ اﻟﺗروﺟﺎن ﻓﻲ: -3
Convert an EXE to VB script
Convert an EXE to a DOC file
Convert an EXE to a PPT file
ﺗﻐﯾﯾر .checksum -4
ﺗﻐﯾﯾر ﻣﺣﺗوى طروادة ﺑﺎﺳﺗﺧدام .hex editor -5
ﻛﺳر ﻣﻠف طروادة إﻟﻰ ﻗطﻊ ﻣﺗﻌددة. -6
ﺣﺗﻰ اﻵن ،ﻟﻘد ﻧﺎﻗﺷﻧﺎ اﻟﻣﻔﺎھﯾم اﻟﻣﺧﺗﻠﻔﺔ ﻋن أﺣﺻﻧﺔ طروادة واﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗﺻﯾب ﺑﮭﺎ اﻟﻧظﺎم .اﻵن ﺳوف ﻧﻧﺎﻗش اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻷﺣﺻﻧﺔ
طروادة اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻣن أﺟل اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﻣن ﺧﻼل اﻟوﺳﺎﺋل اﻟﻣﺧﺗﻠﻔﺔ.
ﯾﻐطﻲ ھذا اﻟﻘﺳم أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن أﺣﺻﻧﺔ طروادة ﻣﺛل ،email Trojans ،document Trojans ،command-shell Trojans
،proxy server Trojans ،botnet Trojansوھﻠم ﺟرا.
أﻧواع اﻟﺗروﺟﺎن
ﺗﺗوﻓر أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﺗﮭدف ﻷﻏراض ﻣﺧﺗﻠﻔﺔ .وﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﺔ ﺑﺄﻧواع أﺣﺻﻧﺔ طروادة:
Command shell Trojanﯾﻌطﻲ ﺟﮭﺎز اﻟﺗﺣﻛم ﻋن ﺑﻌد ﻟﻘذﯾﻔﺔ اﻷواﻣر ) (command shellﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ .ﯾﺗم ﺗﺛﺑﯾت ﺧﺎدم
طروادة ) (Trojan serverﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ،واﻟذي ﯾﻔﺗﺢ ﻣﻧﻔذ ﻻﺗﺻﺎل اﻟﻣﮭﺎﺟﻣﯾن .ﯾﺗم ﺗﺛﺑﯾت Trojan clientﻋﻠﻰ ﺟﮭﺎز اﻟﻣﮭﺎﺟم،
واﻟذي ﯾﺳﺗﺧدم ﻟﺗﺷﻐﯾل ﻗذﯾﻔﺔ اﻷواﻣر ) (command shellﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
ﺑﺎﺳﺗﺧدام ،Netcatﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﻋداد ﻣﻧﻔذ أو Backdoorواﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺳﻣﺢ ﻟﮫ ﺑﻌﻣل telnetإﻟﻰ .DOS shellﻣﻊ ھذا اﻷﻣر
اﻟﺑﺳﯾط ] ،[C:\>nc -L -p 5000 -t -e cmd.exeﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ان ﯾرﺗﺑط ﺑﺎﻟﻣﻧﻔذ .5000ﻣﻊ ،Netcatﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم إﻧﺷﺎء
اﻻﺗﺻﺎﻻت اﻟواردة أو اﻟﺻﺎدرة TCP ،أو ،UDPإﻟﻰ أو ﻣن أي ﻣﻧﻔذ .أﻧﮫ ﯾوﻓر ﻓﺣص DNSﺑﺎﻟﻛﺎﻣل ﺳواء forwardأو ،reverseﻣﻊ
اﻟﺗﺣذﯾرات اﻟﻣﻧﺎﺳﺑﺔ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾوﻓر اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧدام أي ﻣﻧﻔذ ﻣﺻدر ﻣﺣﻠﻲ ،أي ﻋﻧوان ) (Source addressﺷﺑﻛﺔ ﺗم
إﻋداداھﺎ ﻣﺣﻠﯾﺎ ،وأﻧﮫ ﯾﺄﺗﻲ ﻣﻊ ﻗدرات ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣدﻣﺞ ﻓﯾﮭﺎ .ﻟدﯾﮭﺎ أﯾﺿﺎ اﻟﻘدرة ﻋﻠﻰ ﺗوﺟﯾﮫ اﻟﻣﺻدر) (source routingاﻟﻣدﻣﺟﺔ ﻓﯾﮭﺎ
وﯾﻣﻛﻧﮫ ﻗراءة ﻣﻌﺎﻣﻼت ﺳطر اﻷواﻣر ﻣن اﻹدﺧﺎل اﻟﻘﯾﺎﺳﻲ) .(stdinﻣﯾزة أﺧرى ھﻲ اﻟﻘدرة ﻋﻠﻰ اﻟﺳﻣﺎح ﻟﺑرﻧﺎﻣﺞ آﺧر ﺑﺎﻟرد ﻋﻠﻰ اﻻﺗﺻﺎﻻت
اﻟواردة.
أﺑﺳط اﺳﺗﺧدام "nc host port" ،ﯾﻘوم ﺑﺈﻧﺷﺎء اﺗﺻﺎل TCPإﻟﻰ ﻣﻧﻔذ ﻣﻌﯾن ﻋﻠﻰ اﻟﻣﺿﯾف اﻟﮭدف .ﺛم ﯾﺗم إرﺳﺎل اﻹدﺧﺎل اﻟﻘﯾﺎﺳﻲ إﻟﻰ
اﻟﻣﺿﯾف ،وﯾﺗم إرﺳﺎل أي ﺷﻲء ﯾﻌود ﻋﺑر اﻻﺗﺻﺎل إﻟﻰ اﻹﺧراج اﻟﻘﯾﺎﺳﻲ .وھذا ﯾﺳﺗﻣر إﻟﻰ أﺟل ﻏﯾر ﻣﺳﻣﻰ ،ﺣﺗﻰ ﺗم اﻏﻼق ﻣن ﻗﺑل ﺟﺎﻧب
ﺷﺑﻛﺔ اﻻﺗﺻﺎل .ھذا اﻟﺳﻠوك ﯾﺧﺗﻠف ﻋن ﻣﻌظم اﻟﺗطﺑﯾﻘﺎت اﻷﺧرى ،اﻟﺗﻲ أﻏﻠﻘت ﻛل ﺷﻲء واﻟﺧروج ﺑﻌد ﻧﮭﺎﯾﺔ اﻟﻣﻠف ﻋﻠﻰ اﻟﻣدﺧﻼت اﻟﻘﯾﺎﺳﯾﺔ.
Netcatﯾﻣﻛن ان ﯾﻌﻣل أﯾﺿﺎ ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ﻣن ﺧﻼل اﻻﺳﺗﻣﺎع ﻟﻼﺗﺻﺎﻻت اﻟواردة ﻋﻠﻰ اﻟﻣﻧﺎﻓذ اﻟﺗﻌﺳﻔﯾﺔ ) ، (arbitrary portsوﻣن ﺛم ﺗﻔﻌل
اﻟﻘراءة واﻟﻛﺗﺎﺑﺔ ﻧﻔﺳﮭﺎ .ﻣﻊ اﻟﻘﯾود اﻟﺑﺳﯾطﺔ Netcat ،ﻻ ﯾﮭﻣﻧﻲ ﺣﻘﺎ إذا ﻛﺎن ﯾﻌﻣل ﻓﻲ وﺿﻊ اﻟﺧﺎدم أو اﻟﻌﻣﯾل ،ﺑل ﻻ ﯾزال ﯾﺣرك اﻟﺑﯾﺎﻧﺎت ذھﺎﺑﺎ
وإﯾﺎﺑﺎ ﺣﺗﻰ ﻻ ﯾﻛون ھﻧﺎك أي ﺷﻲء ﺗرك .ﻓﻲ اﻟوﺿﻌﯾن ،ﯾﻣﻛن أن ﯾﺟﺑر ﻋﻠﻰ اﻻﻏﻼق ﺑﻌد ﻓﺗرة ﻣن اﻟﺧﻣول ﻣن ﺟﺎﻧب اﻟﺷﺑﻛﺔ.
Netcatھﻲ أداة ﺗﺳﺗﺧدم ﻟﻘراءة وﻛﺗﺎﺑﺔ اﻟﺷﺑﻛﺎت اﻟﺗﻲ ﺗدﻋم ﺑروﺗوﻛوﻻت TCPو .UDPھو ﺗروﺟﺎن واﻟذي ﯾﺳﺗﺧدم ﻟﻔﺗﺢ ﻣﻧﺎﻓذ TCPأو
UDPﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف واﻟﻣﺗﺳﻠﻠﯾن ﺑﻣﺳﺎﻋدة telnetﯾﻣﻛﻧﮭم ﻛﺳب اﻟوﺻول ﻋﺑر اﻟﻧظﺎم.
GUI Trojan
Jumperھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ و ﺿﺎرة واﻟﺗﻲ ﺗﻧﻔذ اﻟﻌدﯾد ﻣن اﻟﻣﮭﺎم ﻟﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﺧﺑﯾﺛﺔ ﻣن اﻹﻧﺗرﻧت .اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدم
Jumper Trojanﻟﻠﺣﺻول ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ﻣﺛل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺎﻟﯾﺔ ﻣن ﻧظﺎم اﻟﻣﺳﺗﺧدم .ﯾﻘوم أﯾﺿﺎ ﺑﺗﺣﻣﯾل ﺗﻧزﯾﻼت إﺿﺎﻓﯾﺔ ﺣﺗﻰ
ﯾﻛون اﻟﻣﮭﺎﺟﻣﯾن ﻗﺎدرﯾن ﻋﻠﻰ اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ﻋن ﺑﻌد.
ﻋﻣوﻣﺎ ،ﯾﺟب أن ﯾﻛون اﻟﻣﻠف BIODOX OE Edition.exeﻓﻲ اﻟﻣﺟﻠد C:\Windows\System32؛ إذا ﺗم اﻟﻌﺛور ﻋﻠﯾﮭﺎ ﻓﻲ أي
ﻣﻛﺎن آﺧر ،ﻓﮭو ﺣﺻﺎن طروادة .ﺑﻣﺟرد ﺣﺻول إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣن ﻗﺑل ،Biodoxﻓﺄﻧﮫ ﯾﻘﻠل ﻣن أداء اﻟﻧظﺎم .ﯾﺣﺻل ﺗﻐﯾﯾر ﺷﺎﺷﺔ
اﻟﺗوﻗف ﺗﻠﻘﺎﺋﯾﺎ .اﻹﻋﻼن اﻟﻣﺳﺗﻣر اﻟﻣزﻋﺞ اﻟﻧواﻓذ اﻟﻣﻧﺑﺛﻘﺔ اﻟﺗﻲ ﺗظﮭر ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﯾﻣﻛن أن ﺗﻌﺎﻣل ﻋﻠﻰ أﻧﮭﺎ واﺣدة ﻣن أﻋراض ھذا
اﻟﺗروﺟﺎن.
Document Trojans
ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ﻋﺎدة ﻟدﯾﮭم ﻣﯾل ﻟﺗﺣدﯾث ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺧﺎص ﺑﮭم وﻟﻛن ﻟﯾس اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﺑﺎﻧﺗظﺎم .اﻟﻣﮭﺎﺟﻣﯾن ﯾﻐﺗﻧﻣون ھذه
اﻟﻔرﺻﺔ ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة اﻟوﺛﯾﻘﺔ) . (Document Trojanاﻟﻣﮭﺎﺟﻣون ﻋﺎدة ﯾﻘوﻣون ﺑﺗﺿﻣﯾن طروادة ﻓﻲ وﺛﯾﻘﺔ ﺛم ﻧﻘﻠﮭﺎ اﻟﻰ اﻟﺿﺣﯾﺔ
ﻓﻲ ﺻورة ﻣرﻓﻖ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وﺛﺎﺋﻖ اﻟﻣﻛﺗب) ، (office documentsﺻﻔﺣﺎت اﻟوﯾب ،أو ﻣﻠﻔﺎت اﻟوﺳﺎﺋط ﻣﺛل ﻓﻼش وﻣﻠﻔﺎت
.PDFﻋﻧدﻣﺎ ﯾﻔﺗﺢ اﻟﻣﺳﺗﺧدم اﻟوﺛﯾﻘﺔ اﻟﻣدﻣﺞ ﻣﻌﮭﺎ ﻣﻠف اﻟﺗروﺟﺎن ﻋﻠﻰ اﻓﺗراض أﻧﮫ ﻣﻠف ﺳﻠﯾم ،ﯾﺗم ﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ .ھذا
exploitاﻟﺗطﺑﯾﻖ اﻟﻣﺳﺗﺧدم ﻟﻔﺗﺢ اﻟﻣﺳﺗﻧد .ﺛم ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ وﺗﻧﻔﯾذ إﺟراءات ﺿﺎرة.
Email Trojans
Email Trojansﯾﻧﺗﺷر ﻋن طرﯾﻖ .bulk emailsﯾﺗم إرﺳﺎل ﻓﯾروﺳﺎت ﺣﺻﺎن طروادة ﻣن ﺧﻼل اﻟﻣرﻓﻘﺎت .ﻟﺣظﺔ ﻗﯾﺎم اﻟﻣﺳﺗﺧدم ﺑﻔﺗﺢ
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﯾدﺧل اﻟﻔﯾروس اﻟﻧظﺎم وﯾﻧﺗﺷر وﯾﺳﺑب اﻟﻛﺛﯾر ﻣن اﻷﺿرار اﻟﺗﻲ ﺗﻠﺣﻖ ﺑﺎﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻧظﺎم .ﯾﻧﺻﺢ داﺋﻣﺎ اﻟﻣﺳﺗﺧدﻣﯾن ان ﻻ
ﯾﻘوﻣوا ﺑﻔﺗﺢ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻘﺎدﻣﺔ ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻐﯾر ﻣﻌروﻓﯾن ﺑﺎﻟﻧﺳﺑﺔ ﻟﮫ .ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن Email Trojansﻗد ﺗوﻟد
رﺳﺎﻟﺔ ﺑرﯾد اﻟﻛﺗروﻧﻲ ﺗﻠﻘﺎﺋﯾﺎ وإرﺳﺎﻟﮭﺎ إﻟﻰ ﺟﻣﯾﻊ ﺟﮭﺎت اﻻﺗﺻﺎل اﻟﻣوﺟودة ﻓﻲ دﻓﺗر ﻋﻧﺎوﯾن اﻟﺿﺣﯾﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﻧﺗﺷر ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﺗﺻﺎل
اﻟﺿﺣﯾﺔ اﻟﻣﺻﺎﺑﺔ.
اﻟﻣﮭﺎﺟﻣون ﯾﻘوﻣون ﺑﺎرﺳﺎل ﺗﻌﻠﯾﻣﺎت ﻟﻠﺿﺣﯾﺔ ﻣن ﺧﻼل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﻋﻧدﻣﺎ ﯾﻔﺗﺢ اﻟﺿﺣﯾﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﺳﯾﺗم ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت ﺗﻠﻘﺎﺋﯾﺎ.
وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﺳﺗرداد اﻟﻣﻠﻔﺎت أو اﻟﻣﺟﻠدات ﻋن طرﯾﻖ إرﺳﺎل اﻷواﻣر ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ.
ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻛﯾف ﯾﻣﻛن ﺗﻧﻔﯾذ ھﺟوم ﺑﺎﺳﺗﺧدام .Email Trojans
:ZENDﯾﻘوم ﺑﺿﻐط وﻣن ﺛم إرﺳﺎل اﻟﻣﻠﻔﺎت أو اﻟﻣﺟﻠدات اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك .ﻟﻔﺗﺢ
اﻟﻣرﻓﻖ اﻟﻣﺿﻐوط ﺑﻌد ﺗﻠﻘﯾﮫ ،أدﺧل ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ اﺧﺗرﺗﮭﺎ ﻋﻧد إﻧﺷﺎء اﻟﺣﺳﺎب.
:EXECUTEﯾﻘوم ﺑﺗﻧﻔﯾذ اﻟﺑراﻣﺞ أو ﻣﻠﻔﺎت اﻟﺑﺎﺗش ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف.
:DIRﯾرﺳل ﻣﺳﺎر ﻣﺣرك اﻷﻗراص أو اﻟﻣﺟﻠدات إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك.
Defacement Trojans
,Defacement Trojansﺑﻣﺟرد ﻧﺷره ﻋﻠﻰ اﻟﻧظﺎم ,ﯾﻣﻛﻧﮫ ﺗدﻣﯾر أو ﺗﻐﯾﯾر اﻟﻣﺣﺗوى ﺑﺎﻟﻛﺎﻣل اﻟﻣوﺟودة ﻓﻲ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت.
Defacement Trojansھذه أﻛﺛر اﻟﺗروﺟﺎن ﺧطورة ﻋﻧد اﺳﺗﮭداف اﻟﻣﮭﺎﺟﻣﯾن ﻣواﻗﻊ اﻟوﯾب؛ ﺣﯾث ﻟﻧﮫ ﯾﻘوم ﺑﺗﻐﯾر ﻣﻠﺣوظ ﻓﻲ ﺗﻧﺳﯾﻖ
HTMLﺑﺎﻟﻛﺎﻣل ،ﻣﻣﺎ ﯾؤدى إﻟﻰ ﺗﻐﯾﯾرات ﻓﻲ ﻣﺣﺗوى ﻣوﻗﻊ اﻟوﯾب ،وﯾﺣدث اﻟﻣزﯾد ﻣن اﻟﺧﺳﺎﺋر ﻋﻧدﻣﺎ ﯾﺳﺗﮭدف ھذا ﺗﺷوﯾﮫ أﻧﺷطﺔ اﻷﻋﻣﺎل
اﻹﻟﻛﺗروﻧﯾﺔ .ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﻌرض وﺗﺣرﯾر ﻣﺎ ﯾﻘرب ﻣن أي ﺟﺎﻧب ﻣن ﺟواﻧب ﺑراﻣﺞ ، compiled Windowsأي ﻣن اﻟﻘواﺋم إﻟﻰ ﻣرﺑﻌﺎت
اﻟﺣوار إﻟﻰ اﻻﯾوﻧﺎت .ﻣوارد اﻟﻣﺣررﯾن ﺗﺳﻣﺢ ﻟك ﺑﻌرض ،ﺗﺣرﯾر ،اﺳﺗﺧراج ،واﺳﺗﺑدال اﻟﺟﻣل اﻟﻧﺻﯾﺔ ،واﻟﺻور اﻟﻧﻘطﯾﺔ واﻟﺷﻌﺎرات)(logo
واﻻﯾﻘوﻧﺎت ﻣن أي ﺑرﻧﺎﻣﺞ وﯾﻧدوز .أﻧﮭﺎ ﺗﻣﻛن ) target-styled Custom Applications (UCAsﻟﺗﺷوﯾﮫ ﺗطﺑﯾﻘﺎت وﯾﻧدوز .ﻣﺛﺎل
calc.exeﺣﯾث ﯾﺟﻌﻠﮫ ﻣﺷوھﺎ ﻛﺎﻻﺗﻰ:
Botnet Trojans
Botnetھﻲ ﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ ﻣن (Backdoor ،Trojan ،worms) software robotsاﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﺗﻠﻘﺎﺋﯾﺎ .ﻓﺈﻧﮫ ﯾﺷﯾر إﻟﻰ
ﻣﺟﻣوﻋﺔ ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ واﻟﺗﻲ ﺗﻘوم ﺑﺗﺷﻐﯾل اﻟﺑراﻣﺞ ﺗﺣت ﺳﯾطرة اﻷواﻣر اﻟﻌﺎﻣﺔ ) (Common commandsواﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﻘﯾﺎدة
) .(Control Infrastructureﻣﻧﺷﺊ ) Botnetاﻟﻣﮭﺎﺟم( ﯾﻣﻛﻧﮫ اﻟﺗﺣﻛم ﻓﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻻھداف ﻋن ﺑﻌد .ھذه اﻷھداف ھﻲ أﺟﮭزة
اﻟﻛﻣﺑﯾوﺗر )ﻣﺟﻣوﻋﺔ ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﺣﺎﻟﺔ ﻏﯾﺑوﺑﺔ ) ( (zombie computerاﻟﻣﺻﺎﺑﺔ ب wormsأو أﺣﺻﻧﺔ طروادة واﻟﻣﺳﺗوﻟﻰ
ﻋﻠﯾﮭﺎ ﺧﻠﺳﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن وﺗﻘدﯾﻣﮭم ﻓﻲ اﻟﺷﺑﻛﺎت ﻹرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ) ،(spam emailاﻟﻔﯾروﺳﺎت ،أو إطﻼق ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن
اﻟﺧدﻣﺔ) .(denial of servicesھذه ھﻲ اﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﻣت إﺻﺎﺑﺗﮭﺎ واﻻﺳﺗﯾﻼء ﻋﻠﯾﮫ ﻣن ﻗﺑل أﺣد اﻟﻣﮭﺎﺟﻣﯾن ﺑﺎﺳﺗﺧدام
ﻓﯾروس/طروادة /اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ.
ﻣﺎﻟﻛوا Botnetﻋﺎدة ﻣﺎ ﯾﺳﺗﮭدﻓون اﻟﺷﺑﻛﺎت اﻟﺗﻌﻠﯾﻣﯾﺔ واﻟﺣﻛوﻣﯾﺔ واﻟﻌﺳﻛرﯾﺔ ،وﻏﯾرھﺎ ﻣن اﻟﺷﺑﻛﺎت .ﻣﻊ ﻣﺳﺎﻋدة ﻣن ،Botnetاﻟﮭﺟﻣﺎت ﻣﺛل
اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،إﻧﺷﺎء أو إﺳﺎءة اﺳﺗﺧدام ﺑرﯾد ،SMTPﻧﻘرات اﻻﺣﺗﯾﺎل ،ﺗﻧﻔﯾذ ﺳرﻗﺔ أرﻗﺎم ﺗﺳﻠﺳل اﻟﺗطﺑﯾﻘﺎت ،ﻣﻌرﻓﺎت ﺗﺳﺟﯾل اﻟدﺧول،
وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،اﻟﺦ ﯾﺗم ﺗﻧﻔﯾذھﺎ.
Illusion Botھﻲ أداة ذات واﺟﮭﺔ رﺳوﻣﯾﺔ واﺿﺣﺔ ﺗﺳﺗﺧدم ﻓﻲ اﻻﻋداد .ﻋﻧدﻣﺎ ﯾﺑدأ ﻓﻲ اﻟﻌﻣل ،ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ ﻣن إﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل ﻓﺈذا
اﻛﺗﺷف أﻧﮫ ،WIN98ﻓﺎﻧﮫ ﯾﺳﺗدﻋﻲ Register Service Process APIﻹﺧﻔﺎء اﻟﻌﻣﻠﯾﺎت ﻋن ﻣدﯾر اﻟﻣﮭﺎم Bot .ﯾﻧﺗﻘل اﻟﻰ ﺗﺛﺑﯾت
ﻣﺣﺗوﯾﺎت .rootkitإذا ﻓﺷﻠت ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ،ﻓﺎﻧﮫ ﯾﺣﺎول ﺣﻘن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ داﺧل .Explorer.exe
اﻟﻣﻣﯾزات:
- C&C can be managed over IRC and HTTP
- )Proxy functionality (Socks4, Socks5
- FTP service
- MD5 support for passwords
- Rootkit
- Code injection
- Colored IRC messages
- XP SP2 Firewall bypass
- DDOS capabilities
NetBot Attackerﯾوﻓر واﺟﮭﺔ وﯾﻧدوز ﺑﺳﯾطﺔ ﻟﻠﺳﯾطرة ﻋﻠﻰ ،botnetوﺗﻘدﯾم اﻟﺗﻘﺎرﯾر وإدارة اﻟﺷﺑﻛﺔ ،وﻗﯾﺎدة اﻟﮭﺟﻣﺎت .ﻷﻧﮫ ﯾﺗم ﺗﺛﺑﺗﮫ
ﻋﻠﻰ اﻟﻧظﺎم ﺑطرﯾﻘﺔ ﺑﺳﯾطﺔ ﺟدا ﻣﺛل ﻣﻠف RARاﻟﻣﻛون ﻣﻊ ﻗطﻌﺗﯾن :ﻣﻠف ) INIﯾﻧظر ﻓﯾﻣﺎ ذﻛر ،وھو ﺟزﺋﯾﺎ ﻣﻌدل وﻏﺎﻣض( و.EXE
NetBot Attackerاﻷﺻﻠﻲ ھو backdoor؛ ھذه اﻷداة ﺗﺣﺗﻔظ ﺑﺎﻟﻘدرة اﻟﺗﻲ ﺗﺗﯾﺢ ﻟك ﺗﺣدﯾث اﻟﺑوت ﻟﺗﻛون ﺟزءا ﻣن ﺑﻘﯾﺔ .Botnet
Proxy server Trojanھو ﻧوع ﻣن أﻧواع أﺣﺻﻧﺔ طروادة واﻟذي ﯾﺟﻌل اﻟﻧظﺎم اﻟﮭدف ﻟﯾﻛون ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ﺑروﻛﺳﻲ.
،Proxy server Trojanﻋﻧد ﯾﺗم اﻹﺻﺎﺑﺔ ﺑﮫ ،ﻓﺎﻧﮫ ﯾﺑدأ ﺑﺈﺧﻔﺎء ﻣﻠﻘم/ﺧﺎدم ﺑروﻛﺳﻲ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .ﺣﯾث ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم
اﺳﺗﺧدام ھذا ﻟﺗﻧﻔﯾذ أي أﻧﺷطﺔ ﻏﯾر ﻣﺷروﻋﺔ ﻣﺛل ﺗزوﯾر ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن وﺳرﻗﺔ اﻟﮭوﯾﺔ ،وﺣﺗﻰ ﯾﻣﻛﻧﮫ أﯾﺿﺎ إطﻼق اﻟﮭﺟﻣﺎت اﻟﺧﺑﯾﺛﺔ ﺿد
اﻟﺷﺑﻛﺎت اﻷﺧرى .ھذا ﯾﻣﻛﻧﮫ اﻟﺗواﺻل ﻣﻊ ﺧوادم اﻟﺑروﻛﺳﻲ اﻷﺧرى ،وﯾﻣﻛن أﯾﺿﺎ إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت
ذات اﻟﺻﻠﺔ.
W3bPrOxy Tr0j4nCr34t0rھو Proxy server Trojanﺗم ﺗطوﯾره ﻟﻛﻰ ﯾﺗم اﻟوﺻول اﻟﻰ اﻟﻧظﺎم ﻋن ﺑﻌد .ﯾﻌدم اﻻﺗﺻﺎﻻت
اﻟﻌدﯾد ﻟﻠﻌدﯾد ﻣن اﻟﻌﻣﻼء ﺛم ﯾﻘدم ﺗﻘرﯾر ﻋن ﻋﻧﺎوﯾن IPواﻟﻣﻧﺎﻓذ وﯾﺗم ارﺳﺎﻟﮭﺎ اﻟﻰ ﻣﺎﻟك ھذا اﻟﺗروﺟﺎن.
FTP Trojans
FTP Trojanھو ﻧوع ﻣن أﻧواع أﺣﺻﻧﺔ طروادة واﻟﺗﻲ ﺻﻣﻣت ﻟﻔﺗﺢ اﻟﻣﻧﻔذ 21وﺟﻌل اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف ﺳﮭل اﻟوﺻول ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم.
ﻷﻧﮫ ﯾﺛﺑت ﺧﺎدم FTPﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ وﺗﻧزﯾل/ﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت/اﻟﺑراﻣﺞ ﻣن ﺧﻼل
ﺑروﺗوﻛول .FTPﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﯾﻘوم أﯾﺿﺎ ﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف .ﯾﻣﻛن أﯾﺿﺎ ﺟﻣﻊ ﻣﻌﻠوﻣﺎت ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن،
واﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ وﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻛﻠﻣﺔ اﻟﻣرور ﻋﻧدﻣﺎ ﯾﻛزن اﻟﻣﮭﺎﺟم ﻗد ﻛﺳب اﻟوﺻول إﻟﻰ اﻟﻧظﺎم.
VNC Trojans
VNC Trojansﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻻﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﺑﺎﻋﺗﺑﺎره ﺧﺎدم . VNCﻟن ﯾﺗم اﻟﻛﺷف ﻋن أﺣﺻﻧﺔ طروادة ھذه ﻣن ﻗﺑل
ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺑﻌد ﺗﺷﻐﯾﻠﮭﺎ ،ﻷﻧﮭﺎ ﺗﻌﺗﺑر ﺧﺎدم VNCأداة.
ﯾؤدي اﻟﻣﮭﺎم اﻟﺗﺎﻟﯾﺔ ﻋﻧدﻣﺎ ﯾﺻﯾب اﻟﻧظﺎم:
-ﯾدا ﺧﺎدم (VNC daemon) VNCاﻟﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﻋﻧد اﻟﻣﺻﺎﺑﯾن.
-ﯾﺗﺻل اﻟﮭدف ﺑﺎﺳﺗﺧدام أي ﻣن VNC viewerﻣﻊ ﻛﻠﻣﺔ اﻟﺳر ""secret
HTTP/HTTPS Trojans
HTTP/HTTPS Trojansﯾﻣﻛﻧﮫ ﺗﺟﺎوز أي ﻣن ﺟدران اﻟﺣﻣﺎﯾﺔ ،وﯾﻌﻣل ﻓﻲ اﻟطرﯾﻖ اﻟﻌﻛﺳﻲ ) (reverse wayﻟﻧﻔﻖ HTTP
) .(HTTP tunnelﺗﺳﺗﺧدم اﻟواﺟﮭﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت واﻟﻣﻧﻔذ .80ﯾﺗم ﺗﻧﻔﯾذ أﺣﺻﻧﺔ طروادة ھذه ﻋﻠﻰ اﻟﻣﺿﯾف اﻟداﺧﻠﯾﺔ وﺗﻘوم
ﺑﺗﻔرﯾﺦ) child (spawnﻛل ﯾوم ﻓﻲ وﻗت ﻣﻌﯾن .ﺣﯾث ﺑرﻧﺎﻣﺞ childھذا ﯾظﮭر ﻟﻛﻲ ﯾﺳﺗﮭدف ﺟدران اﻟﺣﻣﺎﯾﺔ واﻟذي ،ﺑدوره ،ﯾﺳﻣﺢ ﻟﮭﺎ
ﻟﻠوﺻول إﻟﻰ اﻹﻧﺗرﻧت .وﻣﻊ ذﻟك ،ﺑرﻧﺎﻣﺞ childھذا ﯾﻘوم ﺑﺗﺷﻐﯾل ﻗذﯾﻔﺔ ﻣﺣﻠﯾﺔ) ، (local shellواﻟﺗﻲ ﯾرﺗﺑط ﺑﺧﺎدم اﻟوﯾب اﻟذي ﯾﻣﻠك
اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣن ﺧﻼل طﻠب HTTPﻣﺷروع ،وﯾرﺳل إﺷﺎرة ﺟﺎھزة .اﻟﺟواب ﻋﻠﻰ طﻠﻲ HTTPاﻟﻣﺷروع ﻣن ﺧﺎدم
اﻟوﯾب اﻟﺧﺎص ﺑﺎﻟﻣﮭﺎﺟم ھو ﻓﻲ اﻟواﻗﻊ ﺳﻠﺳﻠﺔ ﻣن اﻷواﻣر اﻟﺗﻲ ﯾﻣﻛن ﻠﻠ childﺗﻧﻔﯾذھﺎ ﻋﻠﻰ اﻟﻘذﯾﻔﺔ اﻟﻣﺣﻠﯾﺔ ) (local shellﻋﻠﻰ ﺟﮭﺎز
اﻟﺿﺣﯾﺔ .ﯾﺗم ﺗﺣوﯾل ﻛل ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ) (trafficاﻟﻰ ﺑﻧﯾﺔ ﺷﺑﯾﮫ ﻠ BASE64وﺗﻌطﻰ ﻛﻘﯾﻣﺔ ﻠ ،cgi-stringﻟذﻟك ﯾﻣﻛن اﻟﻣﮭﺎﺟم ﻣن
ﺗﺟﻧب اﻟﻛﺷف .وﻓﯾﻣﺎ ﯾﻠﻲ ﻣﺛﺎل ﻋﻠﻰ اﺗﺻﺎل:
RATsھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﻌﻣل ﺑﺧﻔﺎء ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾﻔﺔ وﺗﺳﻣﺢ ﻟﻠﻣﺗﺳﻠل اﻟوﺻول واﻟﺗﺣﻛم ﻋن ﺑﻌد .ﯾﻣﻛن ﻠ RATﺗوﻓﯾر
backdoorﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف .ﺑﻣﺟرد أن ﯾﺗم اﺧﺗراق اﻟﻧظﺎم اﻟﮭدف ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﺳﺗﺧداﻣﮭﺎ ﻟﺗوزﯾﻊ RATﻋﻠﻰ أﺟﮭزة
اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى اﻟﺿﻌﯾﻔﺔ وإﻧﺷﺎء RAT .botnetﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟﺗﺣﻛم اﻹداري واﻟﺗﻲ ﯾﺟﻌل ﻣن اﻟﻣﻣﻛن ﻟﻠﻣﮭﺎﺟم ﻣﺷﺎھدة ﺟﻣﯾﻊ
اﻹﺟراءات اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ اﻟﮭدف ﺑﺎﺳﺗﺧدام ﻛﯾﻠوﺟرز أو أي ﻣن ﺑراﻣﺞ اﻟﺗﺟﺳس اﻷﺧرى .ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أﯾﺿﺎ ﺗﻧﻔﯾذ ﺗزوﯾر ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن
وﺳرﻗﺔ اﻟﮭوﯾﺔ ﺑﺎﺳﺗﺧدام اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ ،وﯾﻣﻛﻧﮫ اﻟوﺻول اﻟﻰ ﻛﺎﻣﯾرات اﻟوﯾب وﺗﺳﺟﯾل اﻟﻔﯾدﯾو ﻋن ﺑﻌد ،وأﺧذ ﻟﻘطﺎت)،(screenshot
وإﻋﺎدة ﺗﮭﯾﺋﺔ اﻻﻗراص ،وﺣذف ،ﺗﺣﻣﯾل ،وﺗﻐﯾﯾر اﻟﻣﻠﻔﺎت .ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋن ﻷﻧﮫ ﯾﻌﻣل ﻣﺛل اﻟﺑراﻣﺞ اﻟﻌﺎدﯾﺔ وﻻ ﯾﻼﺣظ ﺑﺳﮭوﻟﺔ.
Shttpdھو ﺧﺎدم HTTPﺻﻐﯾر واﻟﺗﻲ ﯾﻣﻛن ﺗﺿﻣﯾﻧﮫ ﺑﺳﮭوﻟﺔ داﺧل أي ﺑرﻧﺎﻣﺞ C++ source code .ﯾﺟب ان ﯾﺗم ﺗوﻓﯾﮭﺎ .ﻋﻠﻰ اﻟرﻏم
ﻣن أن Shttpdﻟﯾس ﺣﺻﺎن طروادة ،ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﺿﻣﯾﻧﮫ ﺑﺳﮭوﻟﺔ ﻣﻊ ﻣﻠف chess.exeواﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﺗﺣوﯾل اﻟﻛﻣﺑﯾوﺗر إﻟﻰ ﺧﺎدم وﯾب ﻏﯾر
ﻣرﺋﻲ.
ICMP TUNNELING
ﻣﻔﮭوم ) ICMP tunnel(ICMPTXﺑﺳﯾط .ﺣﯾث ﯾﻌﻣل ﻋن طرﯾﻖ ﺣﻘن arbitrary informationﻓﻲ ﺟزء اﻟﺑﯾﺎﻧﺎت ﻟﻠﺣزم
ICMP_ECHOو .ICMP_ECHOREPLYﯾﺣﺗوي ICMP_ECHO trafficﻋﻠﻰ ﻗﻧﺎة اﻟﺳرﯾﺔ ) (Covert channelواﻟﺗﻲ
ﯾﻣﻛن ﺗدﻣﯾرھﺎ ﺑﺳﺑب .tunnelأﺟﮭزة اﻟﺷﺑﻛﺔ ﻻ ﺗﻘوم ﺑﻔﻠﺗرة ﻣﺣﺗوﯾﺎت ،ICMP_ECHO trafficﻣﻣﺎ ﯾﺟﻌل اﺳﺗﺧدام ھذه اﻟﻘﻧﺎة ﺟذاﺑﺔ
ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻘراﺻﻧﺔ.
اﻟﻣﮭﺎﺟﻣون ﺑﺑﺳﺎطﺔ ﯾﻘوﻣون ﺑﺎﻟﻣرور ﻣن ﺧﻼﻟﮭﺎ ،إﺳﻘﺎطﮭﺎ ،أو إﻋﺎدﺗﮭﺎ .ﺣزﻣﺎ اﻟﺗروﺟﺎن ﻧﻔﺳﮭﺎ ﺑﺗﻛون masqueradingﻣﺛل
ICMP_ECHO trafficاﻟﻣﻌروﻓﺔ .ﺣﯾث اﻟﺣزم ﯾﻣﻛﻧﮭﺎ ﺗﻐﻠﯾف ) (tunnelأي ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ.
اﻟﻘﻧوات اﻟﺳرﯾﺔ ) (Covert channelھﻲ اﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺑروﺗوﻛول ﻏﯾر ﻗﺎﺑﻠﮫ ﻟﻠﻛﺷف .ﻓﮭﻲ ﺗﻌﺗﻣد ﻋﻠﻰ
ﺗﻘﻧﯾﺎت ﺗﺳﻣﻰ ،tunnelواﻟﺗﻲ ﺗﺳﻣﺢ ﺑﺣﻣل ﺑروﺗوﻛول واﺣد ﻋﻠﻰ ﺑروﺗوﻛول آﺧر .ﯾﺗم ﺗﻌرﯾف اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ) (Covert channelﺑﺎﻋﺗﺑﺎرھﺎ
وﻋﺎء واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن أن ﺗﻌﺑر اﻟﻣﻌﻠوﻣﺎت ،ﻋﻣوﻣﺎ ﻻ ﺗﺳﺗﺧدم ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت .ﻻ ﯾﻣﻛن أن ﯾﺗم اﻟﻛﺷف ﻋن اﻟﻘﻧوات اﻟﺳرﯾﺔ ﺑﺎﺳﺗﺧدام
أﺳﺎﻟﯾب أﻣن اﻟﻧظﺎم اﻟﻘﯾﺎﺳﯾﺔ .أي ﻋﻣﻠﯾﺔ أو ﺑت ﻣن اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛﻧﮭﺎ أن ﺗﻛون اﻟﻘﻧﺎة اﻟﺳرﯾﺔ) . (Covert channelھذا ﯾﺟﻌﻠﮭﺎ ﻋﺑﺎره ﻋن
attractive modeﻟﻧﻘل ﺣﺻﺎن طروادة ،ﺣﯾث ﯾﻣﻛن أن ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟم اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ﻟﺗﺛﺑﯾت backdoorﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف.
Remote access Trojansﯾوﻓر اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن وﺗﻣﻛﻧﮭم ﻣن اﻟوﺻول إﻟﻰ اﻟﻣﻠﻔﺎت ﻋن ﺑﻌد،
واﻟﻣﺣﺎدﺛﺎت اﻟﺧﺎﺻﺔ ،واﻟﺑﯾﺎﻧﺎت اﻟﻣﺣﺎﺳﺑﯾﺔ ،وھﻠم ﺟرا ﻓﻲ اﻟﺟﮭﺎز اﻟﮭدف .ﯾﻌﻣل Remote access Trojansﻛﺧﺎدم ،وﯾﺳﺗﻣﻊ ﻋﻠﻰ اﻟﻣﻧﻔذ
اﻟذي ﻟﯾس ﻣن اﻟﻣﻔﺗرض أن ﺗﻛون ﻣﺗﺎﺣﺔ ﻟﻣﮭﺎﺟﻣﻲ اﻹﻧﺗرﻧت .وﺑﺎﻟﺗﺎﻟﻲ ،إذا ﻛﺎن اﻟﮭدف وراء ﺟدار اﻟﺣﻣﺎﯾﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،إذا ﻓﮭﻧﺎك ﻓرﺻﺔ ﻗﻠﯾﻠﮫ
ﺳﻛون ﻓﯾﮭﺎ اﻟﻣﮭﺎﺟم ﻗﺎدرا ﻋﻠﻰ اﻻﺗﺻﺎل إﻟﻰ اﻟﺗروﺟﺎن .ﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ ﻧﻔس اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﻘﻊ ﺧﻠف ﺟدار اﻟﺣﻣﺎﯾﺔ اﻟوﺻول ﺑﺳﮭوﻟﺔ إﻟﻰ
ﺣﺻﺎن طروادة.
أﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك ﺗﺷﻣل Back Orifice Trojans :و .NetBus Trojansﻣﺛﺎل آﺧر ،ھو Bugbear virusاﻟﺗﻲ ﺿرﺑت ﺷﺑﻛﺔ
اﻹﻧﺗرﻧت ﻓﻲ ﺳﺑﺗﻣﺑر ،2002ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ اﻷﻧظﻣﺔ اﻷھداف ،ﻣﻣﺎ ﯾﺗﯾﺢ اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻋن ﺑﻌد.
ھذا اﻟﺗروﺟﺎن ﯾﻌﻣل ﻣﺛل اﻟوﺻول إﻟﻰ ﺳطﺢ اﻟﻣﻛﺗب اﻟﺑﻌﯾد .اﻟﻣﮭﺎﺟم ﯾﻛﺳب اﻟوﺻول GUIاﻟﻛﺎﻣل إﻟﻰ اﻟﻧظﺎم اﻟﺑﻌﯾد.
ھذه اﻟﻌﻣﻠﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ:
-1إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر) (Rebecca'sﺒ server.exeﺛم اﻟﺗﺧطﯾط ﻹﻧﺷﺎء اﺗﺻﺎل ﻋﻛﺳﻲ ﻣﻊ اﻟﺗروﺟﺎن.
-2رﺑط اﻟﺗروﺟﺎن ﺑﺎﻟﻣﻧﻔذ 80إﻟﻰ اﻟﻣﮭﺎﺟم اﻟﻣﺗواﺟد ﻓﻲ روﺳﯾﺎ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻟﺗﺄﺳﯾس اﺗﺻﺎل ﻋﻛﺳﻲ.
-3اﻟﻣﮭﺎﺟم ) (Jasonﺗﺻﺑﺢ ﻟدﯾﮫ ﺗﺣﻛم ﻛﺎﻣل ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ ).(Rebecca's
Apocalypse Remote Access Trojanھﻲ اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺗﻌدﯾل registryﺑﺎﻟﻛﺎﻣل واﻟﺳﻣﺎح ﻟﻠﻣﻠﻔﺎت ) (.dllﻟﺗﺷﻐﯾل اﻟﻣﻠﻔﺎت
اﻟﺗﻧﻔﯾذﯾﺔ .ھذا ﯾﻌﻣل ﻓﻲ اﻟوﺿﻊ اﻟﻐﯾر ﻣرﺋﻲ ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذه.
أدوات ﻗﻧوات اﻻﺗﺻﺎل اﻟﺳرﯾﺔ ) (Covert Channel Tunneling Toolsھﻲ أداة ﻹﻧﺷﺎء اﻟﻘﻧوات اﻟﻣﺧﻔﯾﺔ .ﻓﺈﻧﮫ ﯾوﻓر ﻟك اﻟﻌدﯾد ﻣن
اﻟطرق اﻟﻣﺣﺗﻣﻠﺔ ﻟﺗﺣﻘﯾﻖ واﻟﺳﻣﺎح ﻟﻘﻧوات ﻧﻘل اﻟﺑﯾﺎﻧﺎت ﻓﻲ دﻓﻖ اﻟﺑﯾﺎﻧﺎت) (HTTP ،UDP ،TCP) (data streamاﻟﺗﻲ أذن ﺑﮭﺎ ﻧظﺎم
اﻟﺗﺣﻛم ﺑﺎﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ .أدوات ﻗﻧوات اﻻﺗﺻﺎل اﻟﺳري ) (CCTTﺗروﺟﺎن ﯾﻘدم ﻟك ﺗﻘﻧﯾﺎت اﻻﺧﺗراق اﻟﻣﺧﺗﻠﻔﺔ ،وﺧﻠﻖ ﻗﻧوات ﻟﻧﻘل
اﻟﺑﯾﺎﻧﺎت ﻓﻲ دﻓﻖ اﻟﺑﯾﺎﻧﺎت ) (data streamاﻟﺗﻲ أذن ﺑﮭﺎ ﻧظﺎم اﻟﺗﺣﻛم ﺑﺎﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ .أﻧﮭﺎ ﺗﻣﻛن اﻟﻣﮭﺎﺟﻣون ﻣن اﻟﺣﺻول ﻋﻠﻰ
ﻗذﯾﻔﺔ )(shellﻟﺧﺎدم ﺧﺎرﺟﻲ ﻣن داﺧل اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ واﻟﻌﻛس .ﻓﺈﻧﮫ ﯾﺟﻌل اﻟﻘﻧوات TCP/UDP/HTTP CONNECT|POSTﺗﺳﻣﺢ ﺒ
،POP ،SMTP ،SSH) TCP data streamsاﻟﺦ (.ﺑﯾن ﺧﺎدم ﺧﺎرﺟﻲ و boxﺿﻣن اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ.
E-Banking Trojans
E-banking Trojansھﻲ ﺧطﯾرة ﺟدا وأﺻﺑﺣت ﺗﺷﻛل ﺗﮭدﯾدا رﺋﯾﺳﯾﺎ ﻟﺗﻧﻔﯾذﯾﺎت اﻟﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت .ﺣﯾث ﯾﺗم ﺗﺛﺑﯾت
اﻟﺗروﺟﺎن ھذا ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻋﻧدﻣﺎ ﻧﻘر ﻋﻠﻰ ﻣرﻓﻖ ﺑرﯾد إﻟﻛﺗروﻧﻲ أو زارة ﺑﻌض اﻹﻋﻼﻧﺎت وﻟو ﻟﻣرة واﺣدة ﺑﻣﺟرد ﺗﺳﺟﯾل
دﺧول اﻟﮭدف إﻟﻰ ﻣوﻗﻊ اﻟﻣﺻرﻓﻲ .ھذا اﻟﺗروﺟﺎن ﯾﺗم ﺑرﻣﺟﺗﮫ ﻣﺳﺑﻘﺎ ﻣﻊ اﻟﺣد اﻷدﻧﻰ واﻟﺣد اﻷﻗﺻﻰ ﻟﻠﺳرﻗﺔ .ﻟذﻟك ﻻ ﯾﺳﺣب ﺟﻣﯾﻊ اﻻﻣوال ﻣن
اﻟﺑﻧك .ﺛم ﯾﻘوم ھذا اﻟﺗروﺟﺎن ﺑﺄﺧذ ﻟﻘطﺎت screenshotﻣن ﻛﺷف ﺣﺳﺎب اﻟﺑﻧك؛ اﻟﺿﺣﺎﯾﺎ ﻟﯾﺳوا ﻋﻠﻰ ﺑﯾﻧﺔ ﻣن ھذا اﻟﻧوع ﻣن اﻻﺣﺗﯾﺎل وﯾﻌﺗﻘد
أﻧﮫ ﻻ ﯾوﺟد اﺧﺗﻼف ﻓﻲ اﻟرﺻﯾد اﻟﻣﺻرﻓﻲ ﻣﺎ ﻟم ﯾﺗﺣﻘﻖ ﻋن ﺣﺳﺎﺑﮫ ﻣن اﻟﻧظم اﻷﺧرى أو ﻣن أﺟﮭزة اﻟﺻراف اﻵﻟﻲ .ﻓﻘط ﻋﻧدﻣﺎ ﯾﺗﺣﻘﻖ ﻣن
ﺣﺳﺎﺑﮫ ﺳوف ﯾﻼﺣظ اﻻﺧﺗﻼﻓﺎت.
ﯾوﺿﺢ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ ﻛﯾف ﯾﺗم اﻟﮭﺟوم اﻟذي ﯾﻧﻔذ ﺑﺎﺳﺗﺧدام أ. E-banking Trojans
اﻟﻣﮭﺎﺟم ھﻧﺎ أوﻻ ﯾﻘوم ﺑﺈﺻﺎﺑﺔ اﻹﻋﻼﻧﺎت اﻟﺧﺑﯾﺛﺔ وﻧﺷر ھذه اﻹﻋﻼﻧﺎت ﺑﯾن اﻟﻣواﻗﻊ اﻟﺣﻘﯾﻘﯾﺔ .ﻋﻧد وﺻول اﻟﺿﺣﺎﯾﺎ ﻟﻠﻣوﻗﻊ اﻟﻣﺻﺎب ،ﻓﺈﻧﮫ ﺗﻠﻘﺎﺋﯾﺎ
ﯾﻘوم ﺑﺗوﺟﯾﮭﮫ ﻟﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﻣن ﺣﯾث ﯾﺣﺻل ﺗﺣﻣﯾل exploit kitﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن exploit kitﺗﺳﻣﺢ
ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻟﺳﯾطرة ﻋﻠﻰ ﻣﺎ ﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﺳﺗﺧدم ھذا ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة .ھذه اﻟﺑراﻣﺞ اﻟﺿﺎرة ) (malwareﻏﺎﻣﺿﮫ
ﻟﻠﻐﺎﯾﺔ وﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ اﻻ ﺑواﺳطﺔ ﻋدد ﻗﻠﯾل ﻣن اﻷﻧظﻣﺔ اﻟﻣﺿﺎدة ﻟﻠﻔﯾروﺳﺎت .ﻧظﺎم اﻟﺿﺣﯾﺔ أﺻﺑﺢ اﻵن botnetﻣن ﺣﯾث اﻟﺗروﺟﺎن
ﯾﻣﻛﻧﮫ ﺑﺳﮭوﻟﮫ إرﺳﺎل واﺳﺗﻘﺑﺎل اﻟﺗﻌﻠﯾﻣﺎت ﻣن وﺣدة اﻟﺗﺣﻛم وﺧﺎدم اﻷواﻣر دون ﻋﻠم اﻟﺿﺣﯾﺔ .ﻋﻧد وﻟوﻟﺞ اﻟﺿﺣﯾﺔ اﻟﻰ ﺣﺳﺎﺑﮫ اﻟﻣﺻرﻓﻲ ﻣن
ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺻﺎب ،ﻓﺎن ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ،أي اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺿﺣﯾﺔ ﻓﻲ اﻟوﺻول اﻟﻰ ﺣﺳﺎﺑﮫ اﻟﻣﺻرﻓﻲ )ﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎب( ﻣﺛل
اﻋﺗﻣﺎد ﺗﺳﺟﯾل اﻟدﺧول )اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور( ،ورﻗم اﻟﮭﺎﺗف ،رﻗم اﻟﺿﻣﺎن ،وﺗﺎرﯾﺦ اﻟﻣﯾﻼد ،اﻟﺦ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﺧﺎدم اﻟﺗﺣﻛم واﻟﻘﯾﺎدة
ﻣن ﻗﺑل اﻟﺗروﺟﺎن .إذا ﻗﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟوﺻول إﻟﻰ ﻗﺳم اﻟﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ ﻓﻲ ﻣوﻗﻊ اﻟوﯾب ﻟﻠﺑﻧك ﻹﺟراء اﻟﻣﻌﺎﻣﻼت ﻋﺑر اﻹﻧﺗرﻧت ،ﻓﺎن
اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم إدﺧﺎﻟﮭﺎ ﻣن ﻗﺑل اﻟﺿﺣﯾﺔ ﻋﻠﻰ ﺷﻛل اﻟﻣﻌﺎﻣﻠﺔ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻣراﻗﺑﺔ وﻗﯾﺎدة ﺧﺎدم ﺑدﻻ ﻣن ﻣوﻗﻊ اﻟﺑﻧك .ﺣﯾث ﯾﻘوم اﻟﺧﺎدم
ﺑﺗﺣﻠﯾل وﺗرﺟﻣﺔ اﻟﻣﻌﻠوﻣﺎت وﯾﺣدد اﻻﻣوال اﻟﻣﻧﺎﺳﺑﺔ ﻟﺳﺣﺑﮭﺎ ﻣن اﻟﺣﺳﺎب اﻟﻣﺻرﻓﻲ .طروادة ﯾﺗﻠﻘﻰ اﻟﺗﻌﻠﯾﻣﺎت ﻣن اﻟﺧﺎدم ﻹرﺳﺎل ﺷﻛل
اﻟﻣﻌﺎﻣﻼت ھذه واﻟﺗﻲ ﯾﺗم ﺗﺣدﯾﺛﮭﺎ ﺑواﺳطﺔ اﻟﺧﺎدم إﻟﻰ اﻟﺑﻧك ﻟﺗﺣوﯾل اﻷﻣوال إﻟﻰ ﺣﺳﺎب اﻟﻣﮭﺎﺟم .واﻟﺗﻘﺎرﯾر اﻟﺗﻲ ﺗﺄﺗﻰ ﻣن اﻟﺑﻧك ﻟﻠﺗﺄﻛﯾد ﺣول
ﻧﺟﺎح/ﻓﺷل اﻟﺻﻔﻘﺔ ﻣن اﻟﻣﺎل اﻟﺗﻲ ﺗم ﻧﻘﻠﮭﺎ أﯾﺿﺎ ﻣن طروادة إﻟﻰ اﻟﺧﺎدم.
M4sT3r Trojanھو ﺗروﺟﺎن ﺻﻣم ﺧﺻﯾﺻﺎ ﻟﺗدﻣﯾر أو ﺣذف اﻟﻣﻠﻔﺎت ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .ﯾﺗم ﺣذف اﻟﻣﻠﻔﺎت ﺗﻠﻘﺎﺋﯾﺎ ﻣن ﻗﺑل
ﺣﺻﺎن طروادة ،واﻟﺗﻲ ﯾﻣﻛن أن ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﻣﮭﺎﺟم أو ﻣﺑرﻣﺞ ﻣﺳﺑﻘﺎ ﻣﺛل logic bombﻷداء ﻣﮭﻣﺔ ﻣﻌﯾﻧﺔ ﻓﻲ وﻗت وﺗﺎرﯾﺦ ﻣﻌﯾن.
ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮫ ،ﻓﺎن ھذا اﻟﺗروﺟﺎن ﯾﻘوم ﺑﺗدﻣﯾر ﻧظﺎم اﻟﺗﺷﻐﯾل .اﻟﺿﺣﯾﺔ ﻻ ﯾﻣﻛﻧﮫ ﺗﻣﮭﯾد ﻧظﺎم اﻟﺗﺷﻐﯾل .ھذا اﻟطروادة ﯾﻘوم formatﻟﻛﺎﻓﺔ
ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻣﺣﻠﯾﺔ واﻟﺷﺑﻛﺔ.
Notification Trojans
Notification Trojansﯾرﺳل ﻋﻧوان IPﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ إﻟﻰ اﻟﻣﮭﺎﺟم .وذﻟك ﻋﻧدﻣﺎ ﯾﺑدا ﻋﻣل ﻧظﺎم اﻟﺿﺣﯾﺔNotification ،
Trojansﯾﻘوم ﺑﺈﻋﻼم اﻟﻣﮭﺎﺟم .ﺑﻌض ﻣن اﻹﺧطﺎرات اﻟﺗﻲ ﯾﻌﻠﻣﮭﺎ ﻟﻠﻣﮭﺎﺟم ﻛﺎﻻﺗﻰ:
:SIN Notification -ﯾﺧطر ﻣﺑﺎﺷرة ﺧﺎدم اﻟﻣﮭﺎﺟم.
:ICQ Notification -ﯾﺧطر اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام ﻗﻧوات .ICQ
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
524
:PHP Notificationﯾرﺳل اﻟﺑﯾﺎﻧﺎت ﻣن ﺧﻼل رﺑطﮭﺎ إﻟﻰ ﺧﺎدم PHPﻋﻠﻰ ﺧﺎدم اﻟﻣﮭﺎﺟم. -
:Email Notificationﯾرﺳل إﺧطﺎر ﻋن طرﯾﻖ اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ. -
:Net Sendﯾﺗم إرﺳﺎل اﻻﺧطﺎر ﻣن ﺧﻼل اﻷﻣر .net send -
:CGI Notificationﯾرﺳل اﻟﺑﯾﺎﻧﺎت ﻣن ﺧﻼل رﺑطﮭﺎ إﻟﻰ ﺧﺎدم PHPﻋﻠﻰ ﺧﺎدم اﻟﻣﮭﺎﺟم. -
:IRC notificationﯾﺧطر اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام ﻗﻧوات .IRC -
، Credit card Trojansﺑﻣﺟرد أن ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ،ﻓﺈﻧﮭﺎ ﺗﻘوم ﺑﺟﻣﻊ ﻣﺧﺗﻠف ﺗﻔﺎﺻﯾل ﻣﺛل أرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،وأﺣدث
ﺗﻔﺎﺻﯾل اﻟﻔواﺗﯾر ،اﻟﺦ ﺛم ﯾﺗم إﻧﺷﺎء ﻧﻣوذج ﺗﺳﺟﯾل اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت وھﻣﯾﺔ ﺣﯾث أﻧﮭﺎ ﺗﺟﻌل ﻣﺳﺗﺧدم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ﯾﻌﺗﻘد أن
ﻣﻌﻠوﻣﺎت اﻟﺑﻧك ھذه ﺣﻘﯾﻘﯾﮫ .ﺑﻣﺟرد دﺧول اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ ،ﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت واﺳﺗﺧدام ﺑطﺎﻗﺔ
اﻻﺋﺗﻣﺎن ﻟﻼﺳﺗﺧدام اﻟﺷﺧﺻﻲ دون ﻋﻠم اﻟﺿﺣﯾﺔ.
Credit card Trojansﯾﺳرق اﻟﺑﯾﺎﻧﺎت اﻻﺋﺗﻣﺎﻧﯾﺔ اﻟﻣﺗﻌﻠﻘﺔ ﺑﺑطﺎﻗﺔ اﻟﺿﺣﺎﯾﺎ ﻣﺛل رﻗم اﻟﺑطﺎﻗﺔ ،CVV2s ،وﺗﻔﺎﺻﯾل اﻟﻔواﺗﯾر .ﺣﺻﺎن
طروادة ھذه ﺗﺧدع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ زﯾﺎرة ﻣواﻗﻊ اﻟﻣﺻرﻓﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ اﻟوھﻣﯾﺔ وإدﺧﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ .ﻣﻠﻘﻣﺎت/ﺧوادم طروادة ﻧﻘوم
ﺑﻧﻘل اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ ﻟﻠﻘراﺻﻧﺔ ﻋن ﺑﻌد ﺑﺎﺳﺗﺧدام اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،IRC ،FTP ،أو أي ﻣن اﻟوﺳﺎﺋل اﻷﺧرى.
Encryption Trojansﯾﻘوم ﺑﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ وﯾﺟﻌل اﻟﺑﯾﺎﻧﺎت ﻛﺎﻣﻠﺔ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل" :اﻟﻛﻣﺑﯾوﺗر
اﻟﺧﺎص ﺑك ﻗد ﻗﺎم ﺑﺗﺷﻐﯾل ﺑراﻣﺟﻧﺎ أﺛﻧﺎء ﺗﺻﻔﺢ اﻟﺻﻔﺣﺎت اﻟﻐﯾر ﻣﺷروﻋﺔ ﻟﻠﻣواﻗﻊ اﻻﺑﺎﺣﯾﺔ ،ﺟﻣﯾﻊ اﻟﻣﺳﺗﻧدات اﻟﺧﺎﺻﺔ ﺑك ،وﻣﻠﻔﺎت اﻟﻧص
وﻗواﻋد اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻣﺟﻠد Documentﺗم ﺗﺷﻔﯾرھﺎ ﻣﻊ ﻛﻠﻣﺔ ﻣرور ﻣﻌﻘدة" .اﻟﻣﮭﺎﺟﻣون ﯾطﺎﻟﺑون ﺑﻔدﯾﺔ أو ﯾﺟﺑروا اﻟﺿﺣﺎﯾﺎ ﻟﻠﻘﯾﺎم ﺑﻌﻣﻠﯾﺎت
اﻟﺷراء ﻣن drugstoreاﻟﺧﺎص ﺑﮭم ﻋﻠﻰ اﻻﻧﺗرﻧت ﻣﻘﺎﺑل ﻛﻠﻣﺔ اﻟﺳر ﻟﻔﺗﺢ اﻟﻣﻠﻔﺎت "ﻻ ﺗﺣﺎول اﻟﺑﺣث ﻋن اﻟﺑرﻧﺎﻣﺞ اﻟذي ﯾﻘوم ﺑﺗﺷﻔﯾر
اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑك -اﻧﮭﺎ ﺑﺑﺳﺎطﺔ ﻏﯾر ﻣوﺟودة ﻓﻲ اﻟﻘرص اﻟﺛﺎﺑت ﺑﻌد اﻵن "،ﺗدﻓﻊ ﻟﻧﺎ اﻟﻣﺎل ﻟﻔﺗﺢ ﻛﻠﻣﺔ اﻟﻣرور" .ھذا ﯾﻣﻛن ﻓك ﺗﺷﻔﯾرھﺎ
ﻓﻘط ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ،اﻟذي ﯾطﺎﻟب اﻟﻣﺎل ،أو أﻧﮭﺎ ﯾﻣﻛن إﺟﺑﺎر اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﺷراء ﻣﻊ ﻋدد ﻗﻠﯾل ﻓﻲ اﻟﻣواﻗﻊ ﻟﻔك اﻟﺗﺷﻔﯾر.
OSX.Crisisھو ﺣﺻﺎن طروادة اﻟذي ﯾﺳرق اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﻗد ﺗﻛون ﺣﺳﺎﺳﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﻔﺗﺢ backdoorﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر
)ﻧظﺎم اﻟﺿﺣﯾﺔ( ﻟﻠﮭﺟﻣﺎت ﻓﻲ اﻟﻣﺳﺗﻘﺑل.
ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ﺣﺻﺎن طروادة ،ﻓﺈﻧﮫ ﯾﺧﻠﻖ اﻟﻣﺟﻠدات واﻟﻣﻠﻔﺎت اﻟﺗﺎﻟﯾﺔ:
اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺗﻘوم ﺑﺗﻌدﯾل إﻋدادات DNSﻟﻠﺷﺑﻛﺔ اﻟﻧﺷطﺔ .ﻓﻲ ﺑﻌض اﻻوﻗﺎت ﯾﺿطر اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ ﺗﺣﻣﯾل ﺑراﻣﺞ codecsأو ﻏﯾرھﺎ
ﻣن ﻣﻠﻔﺎت اﻷﻓﻼم اﻟﺗﻲ ﯾﺗم ﺗﻧزﯾﻠﮭﺎ ﻣن ﺧﻼل ﻛوﯾك ﺗﺎﯾم ،اﻟﺦ .ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن اﻟﺗﺣﻣﯾل ،ﻓﺎن اﻟﺗروﺟﺎن ﯾﺑدا اﻟﮭﺟوم ،ﻣﻣﺎ ﯾﺟﻌل اﻟوﺻول إﻟﻰ
اﻹﻧﺗرﻧت ﺑطﻲء ،اﻹﻋﻼﻧﺎت adsاﻟﺗﻲ ﻟﯾس ﻟﮭﺎ ﻟزوم ﺗظﮭر ﻋﻠﻰ ﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر ،وﻣﺎ إﻟﻰ ذﻟك .ﯾﺳﺗﺧدم طروادة ﺗﻘﻧﯾﺎت اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ
ﻟﺟﻌل اﻟﻣﺳﺗﺧدﻣﯾن ﯾﻘوﻣون ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ وﺗﺷﻐﯾل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻟﺿﺎرة.
ﺑﻌد ﻗﯾﺎم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل ﺑرﻧﺎﻣﺞ اﻟﻛودك اﻟﻣزﯾف ،ﻓﺎن ﻋﻣﻠﯾﺔ ﺧداع واﺳﺗرﺟﺎع اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣﺳﺗﺧدم ﺗﻛون ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
:DNS settings -ﯾﺗم ﺗﻐﯾﯾر إﻋدادات DNSاﻟﺟﮭﺎز اﻟﻣﺣﻠﻲ إﻟﻰ ﻋﻧوان IPاﻟﻣﮭﺎﺟم.
:Playing a video -ﺑﻌد ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ اﻟﻛودك اﻟﻣزﯾف ،ﻓﺎﻧﮫ ﯾﺗم ﺗﺷﻐﯾل ﺷرﯾط ﻓﯾدﯾو ﺣﺗﻰ ﻻ ﺗﺛﯾر اﻟﺷﻛوك.
:HTTP message -ﯾﺗم إرﺳﺎل إﺧطﺎر إﻟﻰ اﻟﻣﮭﺎﺟم ﻋن اﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﺧدام .HTTP post message
:Complete control -اﻟﻘراﺻﻧﺔ ﯾﻣﻛﻧﮭم ﻓرض اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ MAC OS Xﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ.
Hell Raiserھﻲ ﺑراﻣﺞ ﺿﺎرة اﻟﺗﻲ ﺗﺻل إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ﻋﻧد اﻟﻧﻘر ﻋﻠﯾﮭﺎ .ﺑﻣﺟرد ﺗﻣﻛﻧﮭﺎ ﻣن اﻟوﺻول إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ،ﻓﺎﻧﮫ ﯾﻣﻛن
ﻟﻠﻣﮭﺎﺟم إرﺳﺎل اﻟﺻور ورﺳﺎﺋل اﻟدردﺷﺔ اﻟﻣﻧﺑﺛﻘﺔ ،ﯾﻣﻛن ﻧﻘل اﻟﻣﻠﻔﺎت ﻣن وإﻟﻰ ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ،وﺣﺗﻰ ﯾﻣﻛﻧﮫ ﻏﻠﻖ او إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم ﻋن
ﺑﻌد .وأﺧﯾرا ،ﻋﻣﻠﯾﺎت اﻟﺿﺣﯾﺔ ﯾﻣﻛن رﺻدھﺎ.
Trojan Analysis
ﻣن أﺟل ﺣﻘن ﺣﺻﺎن طروادة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ،ﯾﺗﻌﯾن ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن أوﻻ ﺗﻌﯾﯾن ﻣرﻛز اﻟﻘﯾﺎدة
واﻟﺳﯾطرة ) (command and control centerوﺧﺎدم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ .اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ،اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ
اﻻﺣﺗﯾﺎﻟﻲ ﻟﻧظﺎم اﻟﺿﺣﯾﺔ واﻟذي ﯾﻘوم ﺑﺧداﻋﺔ ﻟﻔﺗﺢ اﻟراﺑط .ﺑﻣﺟرد ﻗﯾﺎم اﻟﺿﺣﯾﺔ ﺑﻔﺗﺢ اﻟراﺑط ،ﻓﺎﻧﮫ ﯾﺗم إﻋﺎدة ﺗوﺟﯾﮫ إﻟﻰ ﺧﺎدم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ.
وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﯾﺣﺻل ﻋﻠﻰ ﺗﺣﻣﯾل ﺑراﻣﺞ ﺿﺎرة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وإﺻﺎﺑﺔ اﻟﻧظﺎم .ھذا اﻟﺟﮭﺎز اﻟﻣﺻﺎب ﯾﺻﯾب اﻷﺟﮭزة اﻷﺧرى اﻟﻣﺗﺻﻠﺔ
ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺗم إرﺳﺎل أواﻣر ﻣن ﻣرﻛز اﻟﺳﯾطرة واﻟﻘﯾﺎدة ﺛم ﯾﺗم اﺳﺗﻘﺑﺎﻟﮭﺎ ﻣن ﻗﺑل اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ .LANوﻓﻘﺎ ﻷواﻣر
اﻟﺗﻲ وردت ،ﻓﺎن أﺟﮭزة اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ اﻟﻣﺻﺎﺑﺔ ﺗرﺳل اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻣرﻛز اﻟﻘﯾﺎدة واﻟﺳﯾطرة.
ﻣﻌﻣل Kasperskyﯾﻠﺧص ﻧﺗﺎﺋﺞ اﻟﺗﺣﻠﯾل ﻋن Flameﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
-اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻠ ،Flame C&Cاﻟﺗﻲ ﻛﺎﻧت ﺗﻌﻣل ﻟﺳﻧوات ،اﻟﺗﻲ أﺻﺑﺣت ﻋﻠﻰ اﻟﻔور Offlineﺑﻌد أن ﺗم اﻛﺗﺷﺎف ﺗواﺟدھﺎ ﺣﺎﻟﯾﺎ
ﻣن ﻗﺑل ﻛﺎﺳﺑرﺳﻛﻲ ﻻب ﻻﻛﺗﺷﺎف وﺟود ﺑراﻣﺞ ﺿﺎرة ﻣؤﺧرا.
-ﺣﺎﻟﯾﺎ ھﻧﺎك أﻛﺛر ﻣن 80ﻣن اﻟدوﻣﯾﻧﺎت اﻟﻣﻌروﻓﺔ اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ Flameﻣن اﺟل ﺧوادم C&Cواﻟدوﻣﯾن ذات اﻟﺻﻠﺔ ،واﻟﺗﻲ ﺗم
ﺗﺳﺟﯾﻠﮭﺎ ﺑﯾن ﻋﺎﻣﻲ 2008و.2012
-ﺧﻼل اﻟﺳﻧوات اﻷرﺑﻊ اﻟﻣﺎﺿﯾﺔ ،اﻟﺧوادم اﻟﺗﻲ ﺗﺳﺗﺿﯾف اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻠ Flame C&Cﺗﻧﺗﻘل ﺑﯾن ﻣواﻗﻊ ﻋده ،ﺑﻣﺎ ﻓﻲ ذﻟك ھوﻧﻎ
ﻛوﻧﻎ وﺗرﻛﯾﺎ وأﻟﻣﺎﻧﯾﺎ وﺑوﻟﻧدا وﻣﺎﻟﯾزﯾﺎ ،وﻻﺗﻔﯾﺎ ،واﻟﻣﻣﻠﻛﺔ اﻟﻣﺗﺣدة ،وﺳوﯾﺳرا.
-ﺗم ﺗﺳﺟﯾل Flame C&C domainsﻣﻊ ﻗﺎﺋﻣﺔ راﺋﻌﺔ ﻣن اﻟﮭوﯾﺎت اﻟوھﻣﯾﺔ وﻣﻊ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﻣﺳﺟﻠﯾن.
-وﻓﻘﺎ ﻟﻣﻌﻣل ﻛﺎﺳﺑرﺳﻛﻲ اﻟﻣﺟرى ،ﺗم ﺗﺳﺟﯾل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺻﺎﺑﯾن ﻓﻲ ﻣﻧﺎطﻖ ﻣﺗﻌددة ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺷرق اﻷوﺳط وأوروﺑﺎ وأﻣرﯾﻛﺎ
اﻟﺷﻣﺎﻟﯾﺔ ،وآﺳﯾﺎ واﻟﻣﺣﯾط اﻟﮭﺎدئ.
-ﯾﺑدو أن ﻣﮭﺎﺟﻣﻲ Flameﻟﮭم اھﺗﻣﺎم ﻋﺎﻟﻲ ﻟﻣﻠﻔﺎت PDFورﺳوﻣﺎت اﻟﻣﻛﺗب ،وأوﺗوﻛﺎد.
-ﯾﺗم ﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ إﻟﻰ Flame C&Cﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺎت ﺑﺳﯾطﺔ ﻧﺳﺑﯾﺎ .ﯾﺗم ﺿﻐط اﻟوﺛﺎﺋﻖ اﻟﻣﺳروﻗﺔ ﺑﺎﺳﺗﺧدام
Zlibوmodified PPDM compressionﻣﻔﺗوح اﻟﻣﺻدر.
-ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز 7ذات اﻟﻧواه ،64bitوھو ﻣﺎ أوﺻﯾﻧﺎ ﺑﮫ ﻛﺣﻼ ﺟﯾدا ﺿد اﻹﺻﺎﺑﺔ ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻻﺧرى ،وﯾﺑدو أﻧﮭﺎ
ﺗﻛون ﻓﻌﺎﻟﺔ ﺿد .Flame
ﯾﺗم اﻟوﺻول إﻟﯾﮫ ﻋﺑر ﺑروﺗوﻛول H'TTPSﻣﻊ اﻟﻣﻧﺎﻓذ 443و ،8080ﻣﺳﺎر دﻟﯾل اﻟﻣﻠﻔﺎت اﻟﺟذري ) (document root directoryﻟﮫ
ھو document root directory) /var/www/htdocs/ھو اﻟﻣﻛﺎن اﻟذي ﯾﺗم وﺿﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗرﯾدھﺎ رﻓﻌﮭﺎ ﻋﻠﻰ ﺧﺎدم اﻟوﯾب
ﺣﯾث ان اﻷﺑﺎﺗﺷﻲ ﻣن أﺷﮭر ﺧوادم اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﺄﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس( ،واﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﻣﺟﻠدات ﻓرﻋﯾﺔ واﺳﻛر ﯾﺑﺎت .PHP
ﻣﻠﺣوظﮫ :اﻷﻧظﻣﺔ اﻟﺗﻲ ﻗد ﺗم ﺗﺛﺑﯾت PHP5ﻋﻠﯾﮭﺎ ،اﻷﻛواد اﻟﻣﺻﻧﻌﺔ ﺑواﺳطﺔ PHP4ﺗﻌﻣل ﻋﻠﯾﮭﺎ أﯾﺿﺎ .ﻣﺛﺎل ﻋﻠﻰ ذﻟك،
var/www/htdocs/newsforyou/Utils.phpﺗﺣﺗوي ﻋﻠﻰ “str_split" functionﺣﯾث ان ” “str_splitاﻟﻣﻌروف اﻧﮭﺎ وظﯾﻔﺔ
ﻣدﻣﺟﺔ ﻓﻲ PHP5واﻟﺗﻲ ﻻ ﺗﻛون ﻣﺗﺎﺣﮫ ﻋﻠﻰ .PHP4ﻣطوري اﻛواد C&Cﻋﻠﻰ اﻷرﺟﺢ ﯾﺳﺗﺧدﻣوا ﻣﻊ ﯾﺗواﻓﻖ ﻣﻊ PHP4ﻷﻧﮭم ﻏﯾر
ﻣﺗﺄﻛدي أي ﻣن اﻹﺻدارات اﻷﺳﺎﺳﯾﺔ ﻠﻠ PHPﻗد ﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ .C&Cs
C&Cﯾﻣﻛﻧﮫ أن ﯾﻔﮭم اﻟﻌدﯾد ﻣن ﺑروﺗوﻛوﻻت اﻻﺗﺻﺎل ﺑﻣﺎ ﻓﻲ ذﻟك ،SignupProtocol ،OldProtocolE ،OldProtocol
و RedProtocolﻹﺟراء ﻣﺣﺎدﺛﺎت ﻣﻊ ﻣﺧﺗﻠف اﻟﻌﻣﻼء اﻟﺗﻲ ﺗﺣﻣل اﻻﺳم اﻟرﻣزي ،FL ،SPE ،SPو .IPﺑدأ ﺟﻠﺳﺔ اﻟﻌﻣل اﻟﻧﻣوذﺟﯾﺔ ﯾﺗم
اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻣن ﻗﺑل C&Cواﻟﺗﻲ ﺗﺑدأ ﺑﺎﻟﺗﻌرف ﻋﻠﻰ إﺻدار اﻟﺑروﺗوﻛول ،ﺛم ﺗﺳﺟﯾل ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل ،ﺗﻠﯾﮭﺎ ﺗرﻣﯾز ) (decodingطﻠب
اﻟﻌﻣﯾل وﺣﻔظﮫ إﻟﻰ ﻣﻛﺎن ﺗﺧزﯾن اﻟﻣﻠﻔﺎت اﻟﻣﺣﻠﯾﺔ ﻓﻲ اﻟﺷﻛل اﻟﻣﺷﻔر .ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت اﻟوﺻﻔﯾﺔ ) (metadataﺣول اﻟﻣﻠﻔﺎت اﻟواردة ﻣن اﻟﻌﻣﯾل
ﯾﺗم ﺣﻔظﮭﺎ ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت C&C Script .MySQLﯾﻘوم ﺑﺗﺷﻔﯾر ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟواردة ﻣن اﻟﻌﻣﯾل C&C .ﯾﺳﺗﺧدم آﻟﯾﺔ ﻣﺛل PGP
ﻟﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت .أوﻻ ،ﯾﺗم ﺗﺷﻔﯾر ﺑﯾﺎﻧﺎت اﻟﻣﻠف ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ Blowfishﻓﻲ اﻟوﺿﻊ .(with static IV) CBCﯾﺗم إﻧﺷﺎء ﻣﻔﺗﺎح
Blowfishﺑﺷﻛل ﻋﺷواﺋﻲ ﻟﻛل ﻣﻠف .ﺑﻌد ﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت ،ﯾﺗم ﺗﺷﻔﯾر ﻣﻔﺗﺎح Blowfishﻣﻊ ﻣﻔﺗﺎح ﻋﻣوﻣﻲ ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ اﻟﺗﺷﻔﯾر اﻟﻐﯾر
ﻣﺗﻧﺎظر ) (Asymmetric encryptionﻣن .openssl_public_encrypt PHP function
ﻣﻠﺣوظﮫ :اﻟﺗﺷﻔﯾر واﻧظﻣﺗﮫ ﺳوف ﻧﺗطرق اﻟﯾﮫ ﻓﻲ ﻣواﺿﯾﻊ ﻗﺎدﻣﮫ ﺑﺈذن ﷲ ،وﻟﻛن ﻟﻠﻌم blowfishو Asymmetric encryptionھﻲ
أﻧواع ﻣن أﻧظﻣﺔ اﻟﺗﺷﻔﯾر ﻛل ﻟﮫ ﺧﺻﺎﺋﺻﮫ.
ﺑﻌد ﺗﺷﻐﯾل اﻟﺗروﺟﺎن ﻓﺎﻧﮫ ﯾﻘوم ﺑﺎﻻﺗﺻﺎل ﺑﺎﻟﻣﻠﻘم/اﻟﺧﺎدم وﯾﻘوم ﺑﺈرﺳﺎل ﺑﻌض اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﻧظﺎم إﻟﻰ ﻣﻠﻘم ﻣﺛل اﻻﺗﻲ:
MD5 of the executed sample -
-إﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل.
-اﺳم اﻟﻛﻣﺑﯾوﺗر.
-إﺻدار.Internet Explorer
-اﺳم اﻟﻣﺳﺗﺧدم.
-رﻗم إﺻدار اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ.
اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )(malwareﯾﺗم ﺗﻌﺑﺋﺗﮭﺎ ﻣﻊ UPXو .polymorphic decryptorﻓﻲ ﻣﻘﺗطف اﻟﺷﻔرة اﻟﺗﺎﻟﯾﺔ ﯾﻣﻛﻧك أن ﺗرى اﺳﺗدﻋﺎء
إﻟﻰ روﺗﯾن آﺧر ﺣﯾث ﺑﻌد اﻧﺗﮭﺎء ﻓك اﻟﺗﺷﻔﯾر UPXاﻟﻣﻌﺗﺎد :ﯾﺗم اﺳﺗدﻋﺎء .sub_42F851
ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺗوﻟﯾد اﻹﯾرادات ﻣن ﺧﻼل ﺷﺑﻛﺎت اﻟدﻓﻊ ﻣﻘﺎﺑل ﻛل ﻧﻘرة) ZeroAccess ،(pay-per-clickﯾﺳرق ﺑﺣث اﻟﻣﺳﺗﺧدﻣﯾن .ﻋﻧدﻣﺎ
ﯾﺑﺣث اﻟﻣﺳﺗﺧدم اﻟﻣﺻﺎب ﻓﻲ ﻣﺣرﻛﺎت اﻟﺑﺣث ﺷﻌﺑﯾﺔ )ﺑﻣﺎ ﻓﻲ ذﻟك ،ask.com ،yahoo.com ،icq.com ،bing.com ،google.com
و ZeroAccess ،(aol.comﯾرﺳل طﻠب GETإﺿﺎﻓﯾﺔ ﻣﺷﺎﺑﮭﺔ ﻟﻣﺎ ﯾﻠﻲ:
http://suzukimxm[.]cn/r/redirect.php?id=9de5404ac67a404a0e1a775f212cd210&u=198&cv=150&sv=1
5&os=501.804.x86
ﻓﮭذا ﺳوف ﯾؤدي إﻟﻰ ﻧﺎﻓذة ﻣﻧﺑﺛﻘﺔ إﺿﺎﻓﯾﺔ ) (pop-up windowأو tabاﻟﻣراد إﻧﺷﺎؤه .ﻓﺈن اﻟﻧﺎﻓذة اﻟﺟدﯾدة أو tabﺗﺣﺗوي ﻋﻠﻰ ﻧﺗﺎﺋﺞ اﻟﺑﺣث
ﻣن اﺳﺗﻌﻼم اﻟﺑﺣث اﻷﺻﻠﻲ ﻣﻊ اﻟوﺻﻼت اﻟﺗﻲ ﺗم ﺳرﻗﺗﮭﺎ أو ﻣﺣﺗوى إﺿﺎﻓﻲ .ﻣﺛﺎل ﻋﻠﻰ returned HTMLﯾﻣﻛن أن ﯾﻧظر إﻟﯾﮫ ﻋﻠﻰ
اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
ZeroAccessﯾﻣﻛن ﺗﺛﺑﯾﺗﮫ أﯾﺿﺎ ﻣن ﺧﻼل .web exploit kitsوﻋﺎدة ﻣﺎ ﯾﺗم زرع اﻧطﺑﺎع ﻟدى اﻟﻣﺳﺗﺧدم أﻧﮭﺎ ﺳﺗﻛون ﻋﻠﻣﯾﺔ ﺗﺛﺑﯾت
ﻟﺗﺣدﯾث ﻟﻠﺗطﺑﯾﻖ ﻣﺎ ،ﻣﺛل .Adobe Flash playerﺣﯾث أن ھذا ﯾﺳﺗﺧدم ﻣﺧﺗﻠف exploit kitsﻟﺗﺛﺑﯾت ZeroAccessوأﻧﮭﺎ ﺗﺑدو ﺑﺑﺳﺎطﮫ
ﻛﻣﻧﺗﺞ ﯾﺣﺎول ﻛﺎﺗﺑﮭﺎ اﻟﮭروب ﻣن IPSﺑدﻻ ﻣن اﻹﺷﺎرة اﻟﻰ ZeroAccessأﻧﮭﺎ ﺗﺑﺎع ﻣن ﻗﺑل اﻟﻣوزﻋﯾن اﻷﺧرﯾن.
ﺛم ﯾﺗم ﺣﻘن اﻟﻛود إﻟﻰ services.exeﻣن ﺧﻼل .APCاﻟﻛود اﻟﻣﺣﻘون ) (injected codeﯾﻘوم ﺑﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧزﻧﺔ ﻓﻲ وﺣدة اﻟﺗﺧزﯾن
NTFSاﻟﻣﺧﻔﯾﺔ ﺿﻣن \??\ACPI#PNP0303#2&da1a3ff&0\Uوأﯾﺿﺎ إﻧﺷﺎء ﻣﻠف دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ
ﺿﻣن %SystemDrive%\2385299062: 2302268273.exeوﯾﻧﻔذ ذﻟك .ھذه اﻟﻣﻛوﻧﺎت اﻟرﺋﯾﺳﯾﺔ ﻠﻠ loaderﺗﺿﻣن أن ﻣﻠﻔﺎت
payloadاﻹﺿﺎﻓﯾﺔ اﻟﻣﺧزﻧﺔ ﻓﻲ volumeاﻟﻣﺧﻔﻲ NTFSﺗم ﺗﺣﻣﯾﻠﮭﺎ وﺗﻧﻔﯾذھﺎ.
Duqu Framework
ھذه sliceﻣﺧﺗﻠﻔﺔ ﻋن اﻵﺧرﯾن ،ﻷﻧﮫ ﻟم ﯾﺗم ﺗﺟﻣﯾﻌﮭﺎ ﺑواﺳطﺔ .C++ﻻ ﺗﺣﺗوي ﻋﻠﻰ إﺷﺎرات إﻟﻰ أي ﻣن اﻟوظﺎﺋف ) (Functionﺳواء
اﻟﻣﻌﯾﺎرﯾﺔ أو ، user-written C++وﻟﻛن ھﻲ ﺑﺎﻟﺗﺄﻛﯾد .object-orientedوھذا ﯾطﻠﻖ ﻋﻠﯾﮫ .Duqu Framework
اﻟﺧﺻﺎﺋص اﻟﻛودﯾﮫ ﻠﻠ .Duqu Framework
اﻷﻛواد اﻟﺗﻲ اﺳﺗﺧدﻣت ﻓﻲ ﺗﻧﻔذ Duqu Frameworkﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻟﺧﺻﺎﺋص اﻟﻣﻣﯾزة:
-ﯾﺗم ﺗﻐﻠﯾف ﻛل ﺷﻲء ﻓﻲ object
-ﯾﺗم وﺿﻊ ﺟدول اﻟوظﺎﺋف ) (Function tableﻣﺑﺎﺷرة ﻓﻲ class instanceوﯾﻣﻛن ﺗﻌدﯾﻠﮫ ﺑﻌد اﻟﺑﻧﺎء.
-ﻟﯾس ھﻧﺎك أي ﺗﻣﯾﯾز ﺑﯾن ( hashes،linked lists) utility classو.user written code
-ﻛﺎﺋن اﻟﺗواﺻل ) (Object communicationﯾﺳﺗﺧدم deferred execution queues ،method callو event-driven
.caHbacks
-ﻻ ﺗوﺟد إﺷﺎرات إﻟﻰ run-time library functions؛ ﯾﺗم اﺳﺗﺧدام API Windowsاﻷﺻﻠﻲ ﺑدﯾﻼ.
Event-Driven Framework
ﺗﺻﻣﯾم وﺗﻧﻔﯾذ اﻟﻛﺎﺋﻧﺎت ﻓﻲ Duqu Frameworkھﻲ ﺑﺎﻟﺗﺄﻛﯾد ﻟﯾﺳت ﻣﺑرﻣﺟﮫ ﻣن ﻗﺑل C++واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺑرﻣﺟﺔ ﺑﻘﯾﺔ اﻟﺗروﺟﺎن .ھﻧﺎك
ﻣﯾزات ﻛﺛﯾره ﻣﺛﯾره ﻟﻼھﺗﻣﺎم ﻟﻺطﺎر) (Frameworkاﻟذي ﯾﺳﺗﺧدم ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻛود ﻛﻠﮫ :وھو .event driven
ھﻧﺎك ﻛﺎﺋﻧﺎت ﺧﺎﺻﺔ ) (special objectواﻟﺗﻲ ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻟﻧﻣوذج :event driven
، Event objects -ﺗﺳﺗﻧد إﻟﻰ ﻣﻌﺎﻟﺟﮫ ﺑواﺳطﺔ .API Windows
Thread context objects -واﻟﺗﻲ ﺗﻌﻘد ﻗواﺋم اﻷﺣداث وطواﺑﯾر اﻟﺗﻧﻔﯾذﯾﺎت اﻟﻣؤﺟﻠﺔ.
Callback objects -اﻟﺗﻲ ﯾﺗم رﺑطﮭﺎ ﺑﺎﻷﺣداث)(event
، Event monitors -اﻟﺗﻲ ﺗم أﻧﺷﺄﺗﮭﺎ ﻣن ﻛل thread contextﻟرﺻد اﻷﺣداث) (eventوﺗﻧﻔﯾذ .Callback objects
Thread context storage -ﯾدﯾر ﻗﺎﺋﻣﺔ threadاﻟﻧﺷطﺔ وﯾوﻓر اﻟوﺻول إﻟﻰ .per-thread
ﻧﻣوذج event drivenھذا ﯾﺷﺑﮫ ،Object Cوﻟﻛن اﻷﻛواد ﻟﯾس ﻟدﯾﮭﺎ أي إﺷﺎرات ﻣﺑﺎﺷرة ﻟﻠﻐﺔ ،ﻛﻣﺎ أﻧﮫ ﻻ ﺗﺑدو وﻛﺄﻧﮭﺎ ﻣﺗرﺟﻣﺔ
) (Compiledﻣﻊ .C compilers
ﻣﻠﺣوظﮫ :ﯾﻣﻛن ﺗﺣﻣﯾل اﻟﻌدﯾد ﻣن ﻣﻠﻔﺎت اﻟﺗروﺟﺎن اﻟﺗﻲ ﺗﺣدﺛﻧﺎ ﻋﻧﮭﺎ ﻣن ﺧﻼل زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ:
http://ihackers.co/downloads/tools/
ﻟﻛن ﻣﻊ ﻛﺎﻟﻲ ﻧﺟد ان اﻟوﺿﻊ ﯾﺧﺗﻠف ﺣﯾث ھو اﻻﺧر ﻗﺎم ﺑﺗﻘﺳﯾم اﻟﺗروﺟﺎن اﻟﻰ ﺛﻼث أﻧواع رﺋﯾﺳﯾﮫ ﻓﻘط دون اﻟﻧظر اﻟﻰ اﻟوظﯾﻔﺔ اﻟﺗﻲ ﯾﻘوم
ﺑﮭﺎ ﻛﺎﻻﺗﻰ:
Binary Trojan Horses
أﺣﺻﻧﺔ اﻟطروادة ھذه ﺗﺄﺗﻲ ﻓﻲ ﺷﻛل (.exe) binaryوﻋﺎدة ﻣﺎ ﺗﺷﻣل واﺟﮭﺔ رﺳوﻣﯾﺔ ﻟﺗﻛوﯾن طروادة .ﯾﺗم ﺑﻧﺎؤھﺎ ﻟﻌﻣل ﺿﺎر وﻏﺎﻟﺑﺎ ﻣﺎ
ﺗﺷﻣل اﻟﻣﯾزات ﻣﺛل ،eject CD-ROM ،swap mount buttonsﺗﺟﺳس ﻋﻠﻰ ﻛﺎﻣﯾرا وﯾب ،وھﻛذا.
ﺗﻌﺗﺑر أﺣﺻﻧﺔ طروادة ھذه ﻏﯾر آﻣﻧﺔ اﻻﺳﺗﺧدام ﻟﻠﻐﺎﯾﺔ ﻷﻧﮭﺎ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺣﺗوي ﻋﻠﻰ .backdoorﻋدة ﺳﻧوات اﻟﻰ اﻟوراء ﻛﺎن ھﻧﺎك ﺣﺻﺎن
طروادة أﻛﺛر ﺷﻌﺑﯾﺔ ﯾﺳﻣﻰ ،Optix Proواﻟﺗﻲ ﻛﺛﯾرا ﻣﺎ ﺗم ﺗﺣدﯾﺛﮫ واﺳﺗﺧداﻣﮫ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻣن ﻗﺑل ﻣﺟﺗﻣﻊ اﻟﻘراﺻﻧﺔ .ﺣﯾث ﻛﺷﻔت
اﻟﺗﺣﻠﯾل اﻟﻌﻣﯾﻖ ﻟﻠﺣﺻﺎن طروادة ھذه ﻛﻠﻣﺔ اﻟﺳر رﺋﯾﺳﯾﺔ إﻟﻰ ﺣﺻﺎن طروادة اﻟذي ﺗم وﺿﻌﮭﺎ ﺑﻌﻧﺎﯾﺔ ﻣن ﻗﺑل واﺿﻌﻲ .Optix Proﻋدة أﻣﺛﻠﺔ
ﻣن أﺣﺻﻧﺔ طروادة binaryﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ:
http://www.offensivesecurity.com/pwbonline/binary-trojans.tar.gz
Open Source Trojan Horses
ﯾﻔﺿل اﺳﺗﺧدام اﺣﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر أﻛﺛر ﻣن أﺣﺻﻧﺔ طروادة binaryوذﻟك ﻻن اﻟﻛود اﻟﻣﺻدري اﻟﺧﺎﺻﺔ ﺑﮭم ﯾﻣﻛن
اﺳﺗﻌراﺿﮫ ﻓﺗﻼﺣظ إذا ﻛﺎن ھﻧﺎك backdoorام ﻻ .ﻛﺎﻧت ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﺣﺎﻻت اﻟﺗﻲ وﺟد ﻓﻲ أﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر
،backdoorﻟذﻟك ﻻ ﯾﻔﺿل اﻟﺛﻘﺔ اﻟﻌﻣﯾﺎء ﻣﻊ أﺣﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر .ﻓﺎﺋدة إﺿﺎﻓﯾﺔ ﻣن أﺣﺻﻧﺔ طروادة اﻟﻣﺻدر اﻟﻣﻔﺗوح ھو أﻧﮭﺎ
ﯾﻣﻛن ﺗﻌدﯾﻠﮭﺎ وﺗﺣﺳﯾﻧﮭﺎ ﻟﺗﻧﺎﺳب اﺣﺗﯾﺎﺟﺎﺗك.
Spybot -1
Spybotھو ﺣﺻﺎن طروادة ﯾﺳﺗﻧد ﻋﻠﻰ . IRCوھو ﯾﻌﻣل ﻛﺄﻧﮫ ﻋﻣﯾل IRCاﻟذي ﯾرﺗﺑط ﻣﻊ ﻣﻠﻘم ) IRCاﺳﺗﺿﺎﻓت إﻣﺎ ﻋن طرﯾﻖ اﻟﻣﮭﺎﺟم
أو ﻣن ﻗﺑل طرف ﺛﺎﻟث( .ھذا اﻟﺗروﺟﺎن ﯾﺗطﻠب ﻛﻠﻣﺔ ﻣرور ﻟﻠﺗﺷﻐﯾل وﻗﺎدر ﻋﻠﻰ اﻻﺳﺗﻣﺎع إﻟﻰ دردﺷﺔ IRCﻓﺿﻼ ﻋن ﺗﻧﻔﯾذ اﻷواﻣر ﻋﻠﻰ
ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
ﺳوف ﺗﺣﺗﺎج إﻟﻰ lccwin32ﻟﺗرﺟﻣﺔ ) Spybot .Spybot (compileو lccwin32ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ:
http://www.offensive-security.com/pwbonline/spybot.tar.gz
Insider -2
Insiderھو ﺣﺻﺎن طروادة ﯾﺳﺗﻧد ﻋﻠﻰ HTTPاﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﻟﺗﺟﺎوز ﺟدران اﻟﺣﻣﺎﯾﺔ ﻟﻠﺷرﻛﺎت وﻧظم ﺗﻔﺗﯾش اﻟﻣﺣﺗوىInsider .
ﯾﺣﺎول اﻟﻘﯾﺎم ﺑﺈﻧﺷﺎء طﻠب GET HTTPإﻟﻰ ﺧﺎدم اﻟوﯾب اﻟﻣﻌرف ﻣﺳﺑﻘﺎ واﻟذى ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن اﻷواﻣر ﻟﺗﻧﻔﯾذھﺎ .اﻟﺗروﺟﺎن ﯾﻘوم
ﺑﺎﻟﺑﺣث ﻋن ﻋﻧﺎوﯾن ﻣﻠﻘم اﻟﺑروﻛﺳﻲ ﻓﻲ ،registryﻓﺈذا وﺟدت ،ﯾﺳﺗﺧدم اﻟﺑروﻛﺳﻲ ﻟﻼﺗﺻﺎل ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﻓﺈذا ﻛﺎن اﻟﺑروﻛﺳﻲ ﯾطﻠب
إذن دﺧول ،ﻓﺎن اﻟﺗروﺟﺎن ﺳوف ﯾظﮭر ﻣرﺑﻊ ﺣوار ﻣﺻﺎدﻗﺔ اﻟﺑروﻛﺳﻲ اﻟﻰ اﻟﻣﺳﺗﺧدم ﻟﯾﻣﻠﺋﮭﺎ.
ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ:
http://www.offensive-security.com/pwbonline/insider.tar.gz
World Domination Trojan Horses
World domination Trojan horsesﯾﻣﻛن اﻋﺗﺑﺎره hybrid wormﻷن وظﯾﻔﺗﮭﺎ اﻟرﺋﯾﺳﯾﺔ ھﻲ اﻻﻧﺗﺷﺎر وإﺻﺎﺑﺔ أﺟﮭزة ﻛﻣﺑﯾوﺗر
إﺿﺎﻓﯾﺔ ،وﻋﺎدة ﺑﺎﺳﺗﺧدام exploitsﻣﺷﺗرﻛﺔ .أﺣﺻﻧﺔ اﻟطروادة ھذه ﻋﺎدة ﺗﻘوم ﺑﻔﺣص اﻹﻧﺗرﻧت )أو ﻣﺟﻣوﻋﺔ ﻣﺣددة ﻣن ﻧطﺎق (IPﻷﺟﮭزة
اﻟﻛﻣﺑﯾوﺗر ذات ﻧﻘﺎط اﻟﺿﻌف .ﻋﻧدﻣﺎ ﯾﺗم اﻟﻌﺛور ﻋﻠﻰ ﻣﺛل ھذا اﻟﻛﻣﺑﯾوﺗر واﺳﺗﻐﻼﻟﮭﺎ ،وذﻟك ﺑﺗﺣﻣﯾل ﻧﺳﺧﺔ طروادة ﻣن ﻧﻔﺳﮭﺎ إﻟﻰ ﺟﮭﺎز
اﻟﺿﺣﯾﺔ ،ﺛم ﯾﺑدا اﻟﻌﻣل ،وﯾﺑدأ اﻟﻔﺣص ﻣرة أﺧرى .ﻋﻧدﻣﺎ ﯾﺗم اﻟﺗﺳﻠﯾﺢ ﺒ exploitﺟدﯾدة ،ﯾﻣﻛن ﻷﺣﺻﻧﺔ اﻟطروادة ھذه اﻧت ﺗﻧﺗﺷر ﺑﺳرﻋﮫ .ﻟﻘد
رأﯾت اﻧﺗﺷﺎر أﺣد اﺣﺻﻧﺔ طروادة ھذه ﺣﯾث ﻗﺎم ﺗﻠﻘﺎﺋﯾﺎ ﺑﺎﺧﺗراق 4000ﺿﺣﯾﺔ ﻓﻲ 24ﺳﺎﻋﺔ .أﺣﺻﻧﺔ اﻟطروادة ھذه ﻋﺎدة ﺗﻧﺿم ﻣﻊ ﺑﻌض
ﻟﺗﺷﻛﯾل botnetواﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺷن ھﺟﻣﺎت ،DDOSوﻧﺷر اﻟﺑرﯾد اﻟﻣزﻋﺞ ،وﻣﯾزات أﺧرى ﻣﺿره.
Rxbot -1
Rxbotھو ﺣﺻﺎن طروادة ﻣﺳﺗﻧد اﻟﻰ IRCﻣﻊ ﻗدرات اﻻﻧﺗﺷﺎر .ﺣﺻﺎن طروادة ھذه ﻟدﯾﮫ ﺑﻌض اﻷﻛواد anti-debuggingاﻟﻣﺛﯾرة ﺟدا
ﻟﻼھﺗﻣﺎم ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺗﺣﻘﻖ ﻣن ﺑرﻧﺎﻣﺞ .VMWareﻛن ﺣذرا ﻋﻧد اﺳﺗﺧداﻣﮫ.
http://www.offensive-security.com/pwbonline/rxbot.tar.gz
ﺣﺗﻰ اﻵن ،ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻛﯾف ﯾﺻﯾب اﻟﺗروﺟﺎن اﻟﻧظﺎم وأﻧواع أﺣﺻﻧﺔ طروادة اﻟﻣﺗﺎﺣﺔ .اﻵن ﺳوف ﻧﻧﺎﻗش ﻛﯾﻔﯾﺔ إﺟراء اﻟﻛﺷف ﻋن طروادة.
ﻛﺷف طروادة ﯾﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن وﺟود ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺻﺎب وﺑﺎﻟﺗﺎﻟﻲ ﯾﺳﺎﻋدك ﻓﻲ ﺣﻣﺎﯾﺔ اﻟﻧظﺎم وﻣوارده ﻣن اﻟﻣزﯾد ﻣن
اﻟﺧﺳﺎﺋر .ﯾرﻛز ھذا اﻟﻘﺳم ﻋﻠﻰ ﻛﺷف طروادة ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت او أﺳﺎﻟﯾب ﻣﺧﺗﻠﻔﺔ.
أﺣﺻﻧﺔ طروادة ﺗﻘوم ﺑﻔﺗﺢ اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻟﻼﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ ﻣﻌﺎﻟﺟﺎت اﻟﺗروﺟﺎن .ﯾﻣﻛن ﺗﺣدﯾد أﺣﺻﻧﺔ
طروادة ھذه ﻋن طرﯾﻖ ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ .ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ واﻟﺑﺣث ﻋن اﺗﺻﺎل ﺗم ﺗﺄﺳﯾﺳﮫ إﻟﻰ ﻋﻧﺎوﯾن IPﻏﯾر ﻣﻌروﻓﮫ أو
ﻣﺷﺑوھﺔ.
CurrPorts Tool
CurrPortsﯾﺳﻣﺢ ﻟك ﺑﻌرض ﻗﺎﺋﻣﺔ اﻟﻣﻧﺎﻓذ اﻟﺗﻲ ھﻲ ﺣﺎﻟﯾﺎ ﻗﯾد اﻻﺳﺗﺧدام واﻟﺗطﺑﯾﻖ اﻟﺗﻲ ﯾﺳﺗﺧدم ھذه اﻟﻣﻧﺎﻓذ .ﯾﻣﻛﻧك إﻏﻼق اﻻﺗﺻﺎل اﻟﻣﺣدد
وأﯾﺿﺎ إﻧﮭﺎء اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ ،وﺗﺻدﯾر اﻟﺟﻣﯾﻊ أو اﻟﻌﻧﺎﺻر اﻟﻣﺣددة إﻟﻰ HTMLأو ﻧص ﺗﻘرﯾر .ﻓﺈﻧﮫ ﯾﻌرض ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ ﻣﻧﺎﻓذ
TCP/IPو UDPاﻟﻣﻔﺗوﺣﺔ ﺣﺎﻟﯾﺎ ﻋﻠﻰ اﻟﻧظﺎم .ﻟﻛل ﻣﻧﻔذ ﻓﻲ اﻟﻘﺎﺋﻣﺔ ،ﯾﺗم ﻋرض اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﻓﺗﺣت ھذا اﻟﻣﻧﻔذ أﯾﺿﺎ ،ﺑﻣﺎ ﻓﻲ
ذﻟك اﺳم اﻟﻌﻣﻠﯾﺔ ،اﻟﻣﺳﺎر اﻟﻛﺎﻣل ﻟﻠﻌﻣﻠﯾﺔ ،وﻧﺳﺧﺔ ﻣن ﻣﻌﻠوﻣﺎت اﻟﻌﻣﻠﯾﺔ )اﺳم اﻟﻣﻧﺗﺞ ،وﺻف اﻟﻣﻠف ،اﻟﺦ( ،واﻟوﻗت اﻟذي ﺗم إﻧﺷﺎء اﻟﻌﻣﻠﯾﺔ،
واﻟﻣﺳﺗﺧدم اﻟذي أﻧﺷﺄه.
ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﺈﻏﻼق اﺗﺻﺎﻻت TCPاﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ ،وﻗﺗل اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﻓﺗﺣت ھذه اﻟﻣﻧﺎﻓذ ،وﺣﻔظ ﻣﻌﻠوﻣﺎت ﻣﻧﺎﻓذ TCP/UDPإﻟﻰ
ﻣﻠف ،HTMLﻣﻠف ،XMLأو ﻣﻠف ﻧﺻﻲ.
ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷﻋراض اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗﺷﯾر إﻟﻰ أن ﻧظﺎﻣﻧﺎ ﻗد اﺻﯾب ﺑﺎﻟﻌدوى .اﻟﻧظﺎم ﻓﺟﺄة ﯾﺻﺑﺢ ﺑطﯾﺋﺎ ،وﺗﺻﺑﺢ ﺳرﻋﺔ اﻟﺗﺣﻣﯾل ﺑطﯾﺋﺔ،
وﺳرﻋﺔ اﻻﻧﺗرﻧت ﺗﺄﺗﻲ أﯾﺿﺎ ﺗﻘل ﺑﺷﻛل ﻛﺑﯾر.
اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا أﺳﺎﻟﯾب rootkitﻣﻌﯾﻧﺔ ﻹﺧﻔﺎء اﻟﺗروﺟﺎن ﻓﻲ اﻟﻧظﺎم ﺣﯾث ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮫ ﻋﺎدة ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
ھذه اﻟﺗروﺟﺎن و wormsﻋﺎدة ﻣﺎ ﯾدﺧل ﻓﻲ اﻟﻧظﺎم ﻣن ﺧﻼل اﻟﺻور ،ﻣﻠﻔﺎت اﻟﻣوﺳﯾﻘﻰ واﻟﻔﯾدﯾو ،اﻟﺦ اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ اﻟﻧظﺎم .ﻓﻲ اﻟﺑداﯾﺔ،
ﯾﺑدو أن ﻛل ﺷﻲء ﺟﯾد ،وﻟﻛن ﺑﺑطء ﺗظﮭرھﺎ ﺗﺄﺛﯾرھﺎ ﺑطرق ﻣﺧﺗﻠﻔﺔ .ﺑﺎﺳﺗﺧدام أدوات ﻣراﻗﺑﺔ اﻟﻌﻣﻠﯾﺔ ،ﯾﻣﻛﻧﻧﺎ ﺑﺳﮭوﻟﺔ اﻛﺗﺷﺎف ﺣﺻﺎن طروادة
اﻟﺧﻔﻲ ،worms ،و .backdoorﯾﻣﻛن اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة اﻟﻣﺧﻔﻲ وأﻧواع أﺧرى ﻣن ﻧﻘﺎط اﻟﺿﻌف أو اﻟﻔﯾروﺳﺎت ﻋن طرﯾﻖ
ﻓﺣص اﻟﻌﻣﻠﯾﺎت اﻟﻣﺷﺑوھﺔ.
Process Monitor
اﻟﻣﺻدرhttp://technet.microsoft.com :
Process Monitorھو أداة رﺻد ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل وﯾﻧدوز اﻟذي ﯾظﮭر ﻧظﺎم اﻟﻣﻠﻔﺎت ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ،registry ،وﻧﺷﺎط
.process/threadﯾﺗم اﺳﺗﺧداﻣﮫ ﻟﺗﺣﻠﯾل ﺳﻠوك اﻟﺑراﻣﺞ وﺑراﻣﺞ اﻟﺗﺟﺳس اﻟﻣﺷﻛوك ﻓﯾﮭﺎ .وﯾﺗﻣﯾز ﺑوﺟود ﻓﻼﺗر non-destructive
و ،richﺧﺻﺎﺋص eventﺷﺎﻣﻠﺔ ﻣﻌرﻓﺎت ﻣﺛل session IDsوأﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻣﻌﻠوﻣﺎت ﻋن اﻟﻌﻣﻠﯾﺎت اﻟﻣوﺛوق ﺑﮭﺎfull thread ،
stacksﻣﻊ اﻟدﻋم اﻟﻣﺗﻛﺎﻣل ﺑﺎﻟرﻣز ﻟﻛل ﻋﻣﻠﯾﺔ ،واﻟوﻟﺞ اﻟﻣﺗﻧﺎظر إﻟﻰ اﻟﻣﻠف ،اﻟﺦ.
What's Running
اﻟﻣﺻدرhttp://www.whatsrunning.net :
What’s runningﯾﻣﻧﺣك ﻧظرة ﻣن اﻟداﺧل إﻟﻰ ﻧظﺎم وﯾﻧدوز اﻟﺧﺎص ﺑك ،ﻣﺛل .2000/XP/2003/Vista/Windows7وﯾﺳﺗﻛﺷف
اﻟﻌﻣﻠﯾﺎت ،واﻟﺧدﻣﺎت ،اﻟوﺣدات ،driver ، IP-connections،اﻟﺦ ﻣن ﺧﻼل ﺗطﺑﯾﻖ ﺑﺳﯾط ﻟﻼﺳﺗﻌﻣﺎل.
-اﻟﻌﻣﻠﯾﺎت) :(processﯾﺗﻔﻘد اﻟﻌﻣﻠﯾﺎت وﯾﻌطﻲ ﺑﯾﺎﻧﺎت اﻻﺳﺗﺧدام وأداء اﻟﻣوارد ﻣﺛل اﺳﺗﺧدام اﻟذاﻛرة ،اﺳﺗﺧدام اﻟﻣﻌﺎﻟﺞ ،و .socketأﻧﮫ
ﯾﻌطﻲ ﻛل اﻟﺗﻔﺎﺻﯾل ﻋن dllاﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ،واﻟﺧدﻣﺎت اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ داﺧل ھذه اﻟﻌﻣﻠﯾﺔ ،واﺗﺻﺎﻻت IPﻟﻛل ﻋﻣﻠﯾﺔ.
-اﺗﺻﺎﻻت : (IP connection) IPﻓﮭو ﯾوﻓر ﻛﺎﻓﺔ اﺗﺻﺎﻻت IPاﻟﻧﺷطﺔ ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
-اﻟﺧدﻣﺎت) :(serviceﯾﺗﻔﻘد اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل واﻟﻣﺗوﻗﻔﺔ.
-اﻟوﺣدات) :(moduleﯾﻛﺗﺷف ﻣﻌﻠوﻣﺎت ﺣول ﻛﺎﻓﺔ dll:sو exe:sاﻟﺗﻲ ھﻲ ﻗﯾد اﻻﺳﺗﺧدام ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
-ﺑراﻣﺞ اﻟﺗﺷﻐﯾل) :(driverﯾﻛﺷف اﻟﻣﻌﻠوﻣﺎت ﺣول ﺟﻣﯾﻊ ،driversﻟﺗﺷﻐﯾل driverﯾﻣﻛﻧك ﺗﻔﻘد إﺻدار اﻟﻣﻠف ﻣن أﺟل اﻟﻌﺛور
ﻋﻠﻰ ﻣورد ھذا .drive
-ﻣﻌﻠوﻣﺎت اﻟﻧظﺎم ) :(System informationﯾظﮭر ﻣﻌﻠوﻣﺗﺎ اﻟﻧظﺎم اﻟﺣﺎﺳﻣﺔ ﺣول اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻣﺛل اﻟذاﻛرة اﻟﻣﺛﺑﺗﺔ ،واﻟﻣﻌﺎﻟﺞ،
اﻷﻋﺿﺎء اﻟﻣﺳﺟﻠﯾن ،وﻧظﺎم اﻟﺗﺷﻐﯾل وﻧﺳﺧﺗﮫ.
Autorun
اﻟﻣﺻدرhttp://technet.microsoft.com/en-US :
ھذه اﻷداة اﻟﻣﺳﺎﻋدة ،واﻟﺗﻲ ﻟدﯾﮫ اﻟﻣﻌرﻓﺔ اﻷﻛﺛر ﺷﻣوﻻ ﻋن ﻣواﻗﻊ اﻷﺟﮭزة اﻟﺗﻲ ﺗﻌﻣل ﻋﻧد ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم ،ﯾظﮭر ﻟك ﻣﺎ ﯾﻘوم ﺑﮫ اﻟﺑراﻣﺞ ﻣن
اﻋداد ﺛﻧﺎء ﻋﻣﻠﯾﺔ ﺗﻣﮭﯾد اﻟﻧظﺎم أو اﻟدﺧول ،وﯾظﮭر ﻟك اﻹدﺧﺎﻻت ﻓﻲ ﻧظﺎم وﯾﻧدوز .ﯾﻣﻛﻧك إﻋداد Autorunﻹظﮭﺎر اﻟﻣواﻗﻊ اﻷﺧرى.
-ﺗﺑدأ اﻟﻌﻣل ﻋن طرﯾﻖ اﻟﻧﻘر اﻟﻣزدوج ﺑﺎﻟﻣﺎوس ﻋﻠﻰ .Autorun.exe
-ھذه اﻷداة ﺗﻘوم ﺑﻌرض ﻗﺎﺋﻣﮫ ﻟﺟﻣﯾﻊ اﻟﻌﻣﻠﯾﺎت واﻟﺧدﻣﺎت و.DLL
-ﺑﻌد اﻟﻧﻘر ﻋﻠﻰ Autorun.exeﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-ﻧﺟد ان ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﯾﺗﻛون ﻣن اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات اﻟﺗﻲ ﺗﺗﯾﺢ ﻟك ﻓﺣص اﻟﻧظﺎم.
)) PrcView (Process Viewerاھﻢ واﺣﺪ(
) PrcView (Process Viewerﯾظﮭر ﻟك ﺟﻣﯾﻊ اﻟﺑراﻣﺞ أو اﻟﺧدﻣﺎت ﻗﯾد اﻟﺗﺷﻐﯾل ﺣﺎﻟﯾﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ،وﺑذﻟك ﯾﺳﺎﻋد
ﻋﻠﻰ ﺿﻣﺎن ﻋدم إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﺑﺎﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ .ﻓﺈﻧﮫ ﯾظﮭر ﻟك ﻗﺎﺋﻣﺔ ﺑﺳﯾطﺔ ﻟﻘراءة -ﺟﻣﯾﻊ اﻟﺑراﻣﺞ واﻟﺧدﻣﺎت ،وﯾوﻓر
ﺛروة ﻣن اﻟﺗﻔﺎﺻﯾل ﺣول ﻛل ﻣﻧﮭﺎ .ﻓﺈﻧﮫ ﯾظﮭر اﺳم اﻟﻣﻠف ،ﻣﺳﺎر اﻟﻣﻠف ،وﻣﻘدار اﻟذاﻛرة وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﻟﻛل اﻻﺳﺗﺧداﻣﺎت .ﻟﻣزﯾد ﻣن
اﻟﺗﻔﺎﺻﯾل ،اﻧﻘر ﻧﻘرا ﻣزدوﺟﺎ ﻓوق أي ﻗﺎﺋﻣﺔ ،وﺳﺗﺣﺻل ﻋﻠﻰ اﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻻﺳم اﻟﻛﺎﻣل اﻟﺑرﻧﺎﻣﺞ ،ﻧﺎﺷر ﻟﮭﺎ ،وإﺻدار
اﻟﻣﻠف ،وأﻛﺛر ﻣن ذﻟك ﺑﻛﺛﯾر.
ﯾﻣﻛﻧك أﯾﺿﺎ ﻗﺗل أي ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﻗد ﺗﻛون ﺧطرة ،أو أي ﻣﻧﮭﺎ ﻗد ﺗﺗﺳﺑب ﻓﻲ ﺗﻌﺛر اﻟﻧظﺎم اﻟﺧﺎص ﺑك .ﺑﺎﻟﻣﻧﺎﺳﺑﺔ ،وﯾﻧﻘب ﻋﻣﯾﻘﺎ ﻟﻠﻐﺎﯾﺔ ﻓﻲ
اﻟﻧظﺎم اﻟﺧﺎص ﺑك ،وﺣﺗﻰ ﯾﻌرض ﻣﺎ ھﻲ.
اﻟﻠﯿﻨﻜﺲ
ﻧﺟد ان ﻧظﺎم اﻟﺗﺷﻐﯾل ﯾوﻓر ﻟﻧﺎ أﯾﺿﺎ اﻟﻌدﯾد ﻣن اﻷدوات وﻣن أھﻣﮭﺎ اﻷداة topواﻷداة .ps
اﻷدوات اﻷﺧﺮى ﻟﺮﺻﺪ اﻟﻌﻤﻠﯿﺎت )(Process Monitoring Tools
ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻻﺧرى ﻟرﺻد اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻛﺷف ﻋن اﻟﺗروﺟﺎن اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك .ھذه اﻷدوات
ﺗﻘوم ﺑﻌرض ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ اﻟﻌﻣﻠﯾﺎت ﻗﯾد اﻟﺗﺷﻐﯾل أو اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك .ﻣن ﺧﻼل ﺗﺣﻠﯾل ھذه اﻟﻘﺎﺋﻣﺔ ﯾﻣﻛﻧك ﺗﺣدﯾد اﻟﺗروﺟﺎن .ﺗوﻓر
ھذه اﻷدوات وﺣدة رﺻد ﺷﺎﻣل ﻟﻛﺎﻣل اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك واﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت .ﻓﮭﻲ ﺗﻘوم ﺑﺎﺳﺗﻣرار وﺑﺷﻛل اﺳﺗﺑﺎﻗﻲ ﺑﻣراﻗﺑﺔ
ﻧظﺎم ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﺑﺄﻛﻣﻠﮭﺎ ﺑﺳﺑب اﻧﻘطﺎع أو اﻧﺧﻔﺎض أي ﻣن اﻷداء ﯾﻣﻛن ﺗﺣدﯾدھﺎ ﻋﻠﻰ اﻟﻔور وإﺧطﺎرﻧﺎ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾﻘﺗل
ﻛل اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﻛون ذات ﺗﮭدﯾد ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ،ﺣﺗﻰ ﻟو ﻛﺎن ﻣﺧﻔﯾﺎ .وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض أدوات رﺻد اﻟﻌﻣﻠﯾﺎت ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
ﯾﻣﻛﻧك أن ﺗﻼﺣظ اﻟﺗﻐﯾرات اﻟﻣﺧﺗﻠﻔﺔ؛.registry ﻓﺈﻧﮫ ﯾﻧﺷﺊ إدﺧﺎﻻت ﻋﻠﻰ ﻣﻠف،ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ
ﻣن اﺟلregistry ﺳوف ﺗﺣﺗﺎج اﻟﻰ ﻓﺣص، ﻟذﻟك. اﻟﻌدﯾد ﻣن اﻻﻋﻼﻧﺎت اﻟﻣﺧﺗﻠﻔﺔ ﺗظﮭر ﺑﻛﺛره.اﻷﻋراض اﻷوﻟﻰ ھو أن اﻟﻧظﺎم ﯾﺻﺑﺢ ﺑطﻲء
:registry اﻟوﯾﻧدوز ﯾﻧﻔذ ﺗﻠﻘﺎﺋﯾﺎ اﻹرﺷﺎدات ﻓﻲ اﻟﻣﻘطﻊ اﻟﺗﺎﻟﻲ ﻣن.ﻣﻼﺣظﮫ اﻻدﺧﺎﻻت اﻟﻣﺷﺑوھﺔ واﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة
- Run
- RunServices
- RunOnce
- RunServicesOnce
- HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %*
اﻟﺗروﺟﺎن ﯾدرج اﻟﺗﻌﻠﯾﻣﺎت ﻓﻲ ھذه اﻟﻣﻘﺎطﻊ. ﻟﻺدﺧﺎﻻت اﻟﻣﺷﺑوھﺔ ﻣن اﻟﻣﻣﻛن ان ﺗﻛﺷف ﻋن اﻟﻌدوى ﺑواﺳطﺔ اﻟﺗروﺟﺎنregistry ﻓﺣص ﻗﯾم
. ﻷداء أﻧﺷطﺗﮫ اﻟﺧﺑﯾﺛﺔregistry ﻣن
ﻋﻧدﻣﺎ ﯾﺗم ﺗﺣﻣﯾل ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة ) (device driversﻣن ﻣﺧﺗﻠف اﻟﻣﺻﺎدر اﻟﺗﻲ ﻟﯾﺳت ﺟدﯾرة ﺑﺎﻟﺛﻘﺔ ﻓﺎن اﻟﺗروﺟﺎن ﯾﻣﻛﻧﮫ أﯾﺿﺎ
اﻟﺣﺻول ﻋﻠﻰ ﺗﺛﺑﯾت ﻋﻠﻰ اﻟﻧظﺎم .ﺣﯾث ﯾﺳﺗﺧدم أﺣﺻﻧﺔ طروادة ھذه اﻷﺟﮭزة ﻛﻐطﺎء ﻹﺧﻔﺎﺋﮫ وﻟﻛن ﺑﺎﺳﺗﺧدام أدوات رﺻد ﺗﺷﻐﯾل اﻟﺟﮭﺎز،
ﯾﻣﻛﻧﻧﺎ ﺗﺣدﯾد إذا ﻛﺎن ھﻧﺎك أي ﺣﺿور ﻟطروادة .ﯾﺗم ﺗﺛﺑﯾت أﺣﺻﻧﺔ طروادة ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن
ﻣﺻﺎدر ﻏﯾر ﻣوﺛوق ﺑﮭﺎ واﺳﺗﺧدام ﺑراﻣﺞ اﻟﺗﺷﻐﯾل ھذه ﻛدرع ﻟﺗﺟﻧب اﻟﻛﺷف .ﻟذﻟك ﯾﺟب ﻓﺣص ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﻣﺷﺑوھﺔ واﻟﺗﺣﻘﻖ ﻣﻣﺎ
إذا ﻛﺎﻧت ﺣﻘﯾﻘﯾﺔ وﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻟﻣوﻗﻊ اﻟﻧﺎﺷر اﻷﺻﻠﻲ.
ﯾﺻﺑﺢ ﻣن اﻟﺳﮭل ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﺷﻐﯾل اﻟﻧظﺎم ﻣن ﻣوﻗﻊ، (windows service)ﺑﻣﺟرد ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﺧدﻣﺎت وﯾﻧدوز
ﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات. أﺣﺻﻧﺔ طروادة أﯾﺿﺎ ﺗﻘوم ﺑﺈﻧﺷﺎء ﻋﻣﻠﯾﺎﺗﮭﺎ ﻟﺗﺑدو وﻛﺄﻧﮭﺎ ﺣﻘﯾﻘﯾﺔ ﻣﺛل ﺧدﻣﺎت اﻟوﯾﻧدوز ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف.ﺑﻌﯾد
. ﯾﻣﻛﻧك اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة،اﻟرﺻد ﺧدﻣﺎت وﯾﻧدوز
أﺣﺻﻧﺔ طروادة ﺗﻌﯾد.أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﺗﻧﺷﺎ ﺧدﻣﺎت وﯾﻧدوز ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟﺗﺣﻛم ﻋن ﺑﻌد ﺑﺎﻟﺟﮭﺎز اﻟﮭدف وﺗﻣرﯾر ﺗﻌﻠﯾﻣﺎت ﺧﺑﯾﺛﺔ
ﻟﻠﺗﻼﻋب ﺑﻣﻔﺗﺎحrootkit أﺣﺻﻧﺔ طروادة ﺗوظف ﺗﻘﻧﯾﺎت. ﺣﻘﯾﻘﯾﺔ ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷفWindows ﺗﺳﻣﯾﺔ ﻋﻣﻠﯾﺎﺗﮭﺎ ﻟﺗﺑدو وﻛﺄﻧﮭﺎ ﺧدﻣﺔ
. ﻹﺧﻔﺎء ﻋﻣﻠﯾﺗﮭﺎHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services (registry key) اﻟﺳﺟل
أﺣﺻﻧﺔ طروادة ،ﺑﻣﺟرد ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم .ﻟذﻟك ،ﻓﺣص ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل اﻟﻣﺷﺑوھﺔ
ﺿروري ﺟدا ﻟﻠﻛﺷف ﻋن ﺣﺻﺎن طروادة .ﺑﺎﺗﺑﺎع ھذه اﻟﺧطوات اﻟﺑﺳﯾطﺔ ،ﯾﻣﻛﻧك ﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ھﻧﺎك أي ﻣن أﺣﺻﻧﺔ طروادة اﻟﻣﺧﻔﯾﺔ:
Starterﯾﻣﻛﻧﮫ أﯾﺿﺎ ﺳرد ﻛﺎﻓﺔ اﻟﻌﻣﻠﯾﺎت اﻟﺟﺎرﯾﺔ وﻣﻊ اﻟﺗﻐﯾﯾر اﻟﻰ viewﯾﻣﻛﻧﮫ ﻋرض ﻣﻌﻠوﻣﺎت ﻣوﺳﻌﮫ ﻋن اﻟﻌﻣﻠﯾﺎت ﻣﺛل ﻣﻠﻔﺎت DLL
اﻟﻣﺳﺗﺧدﻣﺔ ،اﺳﺗﺧدام اﻟذاﻛرة ،ﻋدد ،threatsواﻷوﻟوﯾﺎت ،اﻟﺦ ،وإﻧﮭﺎء اﻟﻌﻣﻠﯾﺔ اﻟﻣﺣددة .ﯾدﻋم ﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز ،NT ،ME ،x9
،2003 ،XP ،2000وﻓﯾﺳﺗﺎ .ﻻ ﺗوﺟد ﻣﺗطﻠﺑﺎت ﻣﺣددة ﻟﺗﺷﻐﯾﻠﮫ ﻣﺎ ﻋدا واﺣدة :ﺣﯾث ﻗد ﯾﺗطﻠب registry operationsﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل
اﻟﻣﺳﺗﻧدة إﻟﻰ -Windows NTواﻟﺗﻲ ﺗﺗطﻠب ﺣﻘوق وﺻول ﺧﺎﺻﺔ.
ﻋﺎدة ﻋﻧدﻣﺎ ﯾﺻﺎب اﻟﻧظﺎم ﻋن طرﯾﻖ ﺣﺻﺎن طروادة ،ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﻌدﯾل اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات؛ ﯾﻣﻛﻧك ﻓﺣص اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﻣﻊ اﻷدوات
اﻟﺗﺎﻟﯾﺔ ﻣن أﺟل اﻟﻛﺷف ﻋن ﺗﺛﺑﯾت ﺣﺻﺎن طروادة.
FSIV -
) File Checksum Integrity Verifier (FCIVھﻲ اﻷداة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﻣﺢ ﻟك ﻟﺗوﻟﯾد ﻗﯾم ھﺎش ﻣن اﻟﻧوع MD5أو SHA-1
ﻟﻠﻣﻠﻔﺎت اﻟﺗﻲ ﯾﻣﻛن اﻟﺗﺣﻘﻖ ﻣﻧﮭﺎ ﻣﻘﺎرﻧﺔ ﺑﺎﻟﻘﯾم اﻟﻘﯾﺎﺳﯾﺔ ﻟﺗﺣدﯾد أي ﺗﻐﯾﯾر؛ ﻓﺈذا وﺟدت ،ﯾﻣﻛﻧك ﺗﺷﻐﯾل اﻟﺗﺣﻘﻖ ﻣن ﻣﻠﻔﺎت ﻧظﺎم اﻟﻣﻠﻔﺎت ﺿد ﻗﺎﻋدة
ﺑﯾﺎﻧﺎت XMLﻟﺗﺣدﯾد أي ﻣن اﻟﻣﻠﻔﺎت ﺗم ﺗﻌدﯾﻠﮫ .ﺑل ھو أداة ﺳطر أواﻣر اﻟﺗﻲ ﺗﺣﺳب وﺗﺗﺣﻘﻖ ﻣن اﻟﻘﯾم اﻟﮭﺎش اﻟﻣﺷﻔرة ﻟﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ
اﻟﺧﺎﺻﺔ ﺑك وﯾﺣﻔظ اﻟﻘﯾم ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﻣﻠف .XML
C:\ CIV>fciv\.exe c:\hash.txt
// File Checksum Integrity Verifier version 2 .05.
//
6b1fb2f76c139c82253732e1c8824cc2 c:\hash.txt
Tripwire -
اﻟﻣﺻدرhttp://www.tripwire.com :
Tripwire Enterpriseﯾوﻓر ﻗدرات اﻟﺗﺣﻛم ﻓﻲ اﻻﻋداد اﻟﺗﻲ ﺗﺣﺗﺎﺟﮭﺎ اﻟﻣﻧظﻣﺎت ﻟﺗﺄﻣﯾن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﺑﺷﻛل اﺳﺗﺑﺎﻗﻲ ﻛﺎﻣل وﺿﻣﺎن
اﻻﻣﺗﺛﺎل ﻟﻠﺳﯾﺎﺳﺎت اﻟداﺧﻠﯾﺔ واﻟﻠواﺋﺢ واﻟﻣﻌﺎﯾﯾر وﻣﻌﺎﯾﯾر اﻟﺻﻧﺎﻋﺔ.
SIGVERIF -
اﻟﻣﺻدر http://books.google.co.in :و http://books.google.com
SIGVERIFھﻲ أداة ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﺗوﻗﯾﻊ ) (signatureاﻟذي ﯾﺳﻣﺢ ﻟك ﻹﯾﺟﺎد ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻣوﻗﻌﺔ وﻏﯾر اﻟﻣوﻗﻌﺔ ﻣﺗﺻﻼ ﺑﺎﻟﻧظﺎم .ﻋﻧد
اﻟﻌﺛور ﻋﻠﻰ أي ﻣن ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل ﻏﯾر ﻣوﻗﻊ ،ﯾﻣﻛﻧك ﻧﻘل ذﻟك اﻟﻰ ﻣﺟﻠد ﺟدﯾد وإﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم واﺧﺗﺑﺎر اﻟﺑرﻧﺎﻣﺞ وظﯾﻔﺔ ﻋن اﻷﺧطﺎء.
ﻓﯾﻣﺎ ﯾﻠﻲ ﺧطوات ﻟﺗﺣدﯾد ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻐﯾر ﻣوﻗﻌﺔ:
-ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Startﺛم اﻟﻧﻘر ﻓوق RUNاو ﯾﻣﻛن اﺧﺗﺻﺎر ذﻟك ﺑﺎﻟﻧﻘر ﻓوق زر WINDOWS+Rﺛم ﻛﺗﺎﺑﺔ ،SIGVERIF
ﺛم اﻟﻧﻘر ﻓوق .OKﻓﺗؤدى اﻟﻰ ظﮭور ﺷﺎﺷﮫ ﻣﺛل ھذه.
ﻓﺣص ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ) (files and folder integrity checkerﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات واﻟﺗﺣﻘﻖ ﻣن
وﺟود أﯾﺔ ﺗﻐﯾﯾرات ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ ،ﻣﺷﯾرا إﻟﻰ ﻣﺣﺎوﻻت اﻟﺗﺳﻠل اﻟﻣﺣﺗﻣﻠﺔ .ھذه اﻟﻌﻣل ﯾﺗم ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻷﻣﻧﯾﺔ ﻟﺗوﻓﯾر اﻟﺣل
اﻟﻛﺎﻣل ﻟﻠﺗدﻗﯾﻖ واﻟﻔﺣص ﻷﻧظﻣﺔ OSSو.Guardian file systems
FastSum
اﻟﻣﺻدرhttp://www.fastsum.com :
FastSumﺗم ﺑﻧﺎﺋﮫ ﻋﻠﻰ ﺧوارزﻣﯾﺔ ، (MD5 checksum algorithm) MD5واﻟذي ﯾﺳﺗﺧدم ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻟﻠﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ
اﻟﻣﻠﻔﺎت .ﯾﻣﻛﻧك اﻟﺳﯾطرة ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ ﺑك ﻣﻊ .FastSumﻗم ﺑﺈﻧﺷﺎء ﺑﺻﻣﺎت اﻟﻣﻠﻔﺎت )(fingerprintﻟﻠﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ اﻟﺧﺎﺻﺔ ﺑك
اﻵن ﺛم ﺗﺣﻘﻖ ﻣن اﻟﺳﻼﻣﺔ ﺑﻌد اﻟﻧﻘل ﻋﺑر اﻟﺷﺑﻛﺔ أو ﺣرق CDوﯾﺗم ذﻟك ﺑﺑﺳﺎطﺔ ﻋن طرﯾﻖ أﺧذ اﻟﺑﺻﻣﺎت ﻣرة أﺧرى وﻣﻘﺎرﻧﺗﮭﺎ ﻣﻊ ﺗﻠك اﻟﺗﻲ
ﺗم إﻧﺷﺎﺋﮭﺎ ﺳﺎﺑﻘﺎ .ﺑﻧﻔس اﻟطرﯾﻘﺔ ،ﯾﻣﻛﻧك أن ﺗﻛﺗﺷف أﯾﺿﺎ ﻣﺎ إذا ﻛﺎن ﻗد ﺗﻌرﺿت اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك ﻟﻠﺗﻠف ﻋن طرﯾﻖ اﻟﻔﯾروﺳﺎت ،وﻗﺿﺎﯾﺎ
اﻟﺷﺑﻛﺔ ،أو اﻟﻔﺷل ﺣرق .CD/DVD
ھذه اﻷداة ﺗﺷﺑﮫ اﻟﻰ ﺣد ﻛﺑﯾر اﻟﻰ اداه ﺳطر أواﻣر ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس وھﻲ .md5sum
WinMD5
اﻟﻣﺻدرhttp://www.blisstonia.com :
WinMD5 v2.0ھو أداة وﯾﻧدوز ) ،2000إﻛس ﺑﻲ ،ﻓﯾﺳﺗﺎ (7 ،ﻟﺣﺳﺎب ھﺎش ("fingerprint") MD5ﻣن اﻟﻣﻠﻔﺎت .ﻛﻣﺎ أﻧﮫ ﯾﺟﻌل ﻣن
اﻟﺳﮭل ﻟﻠﻐﺎﯾﺔ ﻣﻘﺎرﻧﺔ اﻟﺑﺻﻣﺎت ﺿد اﻟﺑﺻﻣﺎت اﻟﺻﺣﯾﺣﺔ اﻟﻣﺧزﻧﺔ ﻓﻲ ﻣﻠف .MD5SUMرﯾدھﺎت ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﯾوﻓر ﻣﻠﻔﺎت
MD5SUMﻟﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟﻛﺑﯾر اﻟﺗﻲ ﺗﺣﻣﻠﮭﺎ .ھذه اﻟﺑﺻﻣﺎت ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺗﺄﻛد ﻣن أن اﻟﻣﻠف اﻟﺧﺎص ﺑك ﻏﯾر ﻓﺎﺳده.
اﻟﺗﺣﻖ ﻣن ﻧزاھﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﺗﻘوم دوﻣﺎ ﺑﻣراﻗﺑﺔ ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت وﺗﺣدﯾد أي ﻣن اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗﺣدث ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ واﻟﺗﻲ ﻣﻧﮭﺎ
ﯾﺣﺎول أن ﯾﻠﻣﺢ اﻟﻰ وﺟود ﺗدﺧل ﻣﺣﺗﻣل .ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن اﻷدوات اﻷﺧرى اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﻛﻣﺎ ﯾﻠﻲ:
Advanced Checksum Verifier (ACSV) available at http://www.irnis.net
Fsum Fronted available at http://fsumfe.sourceforge.net
Verisys available at http://www.ionx.co.uk
AFICK (Another File Integrity Checker) available at http://afick.sourceforge.net
File Integrity Monitoring available at http://www.ncircle.com
Attribute Manager available at http://www.miklsoft.com
PA File Sight available at http://www.poweradmin.com
CSP File Integrity Checker available at http://www.tandemsecurity.com
ExactFiIe available at http://www.exactfile.com
OSSEC available at http://www.ossec.net
ﺑﻌد ھﺟوم اﻟﺑراﻣﺞ اﻟﺿﺎرة ،ﻓﺎن ﺣﺻﺎن طروادة ﯾﺑدأ ﻓﻲ إرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻧظﺎم إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن .ﺗﻌﺎد أﺣﺻﻧﺔ طروادة
اﻻﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ اﻟﻣﺗﺣﻛم وإرﺳﺎل ﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن .اﺳﺗﺧدام ﻓﺎﺣص اﻟﺷﺑﻛﺔ و packet snifferﻟﻣراﻗﺑﺔ ﺣرﻛﺔ
اﻟﺷﺑﻛﺔ ﻣن ﺣﯾث اﻟذھﺎب إﻟﻰ ﻋﻧﺎوﯾن ﺑﻌﯾدة ﺧﺑﯾﺛﺔ .ﻣن أﺟل ﺗﺟﻧب ھذه اﻟﺣﺎﻻت ،ﻓﺈﻧﮫ ﻣن اﻷﻓﺿل داﺋﻣﺎ ﻓﺣص ﻧﺷﺎط اﻟﺷﺑﻛﺔ اﻟﻣﺷﺑوه .ﻣﻊ
ﻣﺳﺎﻋدة ﻣن أدوات اﻟﻔﺣص ،ﯾﻣﻛﻧك ﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ﯾﺗم ﻧﻘل اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻣﺻدر ﺑﻌﯾده ﺧﺑﯾﺛﺔ .ﺑﺎﺳﺗﺧدام أدوات اﻟﻔﺣص ﻋﺑر اﻟﺷﺑﻛﺔ ﻣﺛل
،Capsaﯾﻣﻛﻧك ﺗﺣدﯾد ھذه اﻷﻧﺷطﺔ.
ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن ﻣﻣﯾزات ﻛﺎﺑﺳﺎ ﻟﺗﺣﻠﯾل اﻟﺷﺑﻛﺔ واﻟﺗﻲ ﺗﺷﻣل اﻻﺗﻲ:
-اﻟﺗﻘﺎط وﺣﻔظ اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ اﻟﻣﻧﻘوﻟﺔ ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺷﺑﻛﺔ اﻟﺳﻠﻛﯾﺔ واﻟﺷﺑﻛﺔ اﻟﻼﺳﻠﻛﯾﺔ ﻣﺛل
a/b/g/n802.11
-رﺻد اﻟﻧطﺎق اﻟﺗرددي ﻟﻠﺷﺑﻛﺔ واﺳﺗﺧدام ﻣن ﺧﻼل اﻟﺗﻘﺎط ﺣزم اﻟﺑﯾﺎﻧﺎت اﻟﻣﻧﻘوﻟﺔ ﻋﺑر اﻟﺷﺑﻛﺔ وﺗﻘدﯾم ﻣﻠﺧص وﻓك اﻟﻣﻌﻠوﻣﺎت ﺣول ھذه
اﻟﺣزم.
-ﻋرض إﺣﺻﺎءات اﻟﺷﺑﻛﺔ ،ﻣﻣﺎ ﯾﺳﻣﺢ ﺳﮭوﻟﺔ اﻻﻟﺗﻘﺎط وﺗﻔﺳﯾر ﺑﯾﺎﻧﺎت اﺳﺗﺧدام اﻟﺷﺑﻛﺔ.
-ﻣراﻗﺑﺔ اﻹﻧﺗرﻧت واﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ وﺣرﻛﺔ اﻟﻣرور ،ﻣﻣﺎ ﯾﺳﺎﻋد إﺑﻘﺎء إﻧﺗﺎﺟﯾﺔ اﻟﻣوظﻔﯾن إﻟﻰ اﻟﺣد اﻷﻗﺻﻰ.
-ﺗﺷﺧﯾص وﺗﺣدﯾد ﻣﺷﺎﻛل اﻟﺷﺑﻛﺔ ﻓﻲ ﺛوان ﻋن طرﯾﻖ اﻟﻛﺷف وﺗﺣدﯾد اﻟﻣﺿﯾﻔﯾن اﻟﻣﺷﺑوه ﻓﯾﮭم.
-رﺳم اﻟﺗﻔﺎﺻﯾل ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺣرﻛﺔ اﻟﻣرور ،وﻋﻧوان ،IPو ،MACﻋن ﻛل ﻣﺿﯾف ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،ﻣﻣﺎ ﯾﺳﻣﺢ ﺑﺳﮭوﻟﺔ ﺗﺣدﯾد ﻛل
ﻣﺿﯾف وﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﻣر ﻣن ﺧﻼﻟﮫ.
-ﺗﺻوﯾر اﻟﺷﺑﻛﺔ ﺑﺎﻟﻛﺎﻣل ﻓﻲ اﻟﻘطﻊ اﻟﻧﺎﻗص اﻟذي ﯾظﮭر اﺗﺻﺎﻻت وﺣرﻛﺎت اﻟﻣرور ﺑﯾن ﻛل ﻣﺿﯾف.
ﻋﻧد اﻟﺣﺻول ﻋﻠﻰ ھذا ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ اﺑﺎﻧﮫ ﯾﺗﻛون ﻣن ﻣﻠﻔﯾن ﻧﺟد ان اﻟﻣﻠف Theef serversﺳوف ﺗﻘوم ﺑﺈرﺳﺎﻟﮫ اﻟﻰ اﻟﺿﺣﯾﺔ. -
اﻣﺎ اﻟﻣﻠف Theef clientواﻟذي ﯾﺗﺣﻛم ﻓﻲ ھذا اﻟﻔﯾروس ،ﺳوف ﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻋﻠﯾﮫ ﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ: -
ﻓﻲ اﻟﺧﺎﻧﺔ اﻟﻣﺧﺻﺻﺔ ﻟﻌﻧوان IPﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان IPاﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ وﻧﺗرك ﺑﺎﻗﻲ اﻻﻋداد ﻛﻣﺎ ھﯾﺎ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق -
.CONNECT
اﻻن وﻗد ﻗﻣت ﺑﺎﻻﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ ﯾﻣﻛن اﻻن إﺟراء اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء ﻋن طرﯾﻖ اﺧﺗﯾﺎر ﻣﺎ ﺗرﯾده ﻣن ﺷرﯾط اﻷدوات اﻟﺳﻔﻠﻰ. -
ﻟرؤﯾﺔ ﻣﻌﻠوﻣﺎت ﻋن ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﯾﻣﻛن ذﻟك ﺑﺎﻟﻧﻘر ﻓوق أﯾﻘوﻧﺔ اﻟﻛﻣﺑﯾوﺗر. -
ﻋﻧد اﻟﻧظر اﻟﻰ اﻟﻣﻌﻠوﻣﺎت ﻋن ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﯾﻣﻛن رؤﯾﺔ ،Home ،OS Info ،PC Detailsو Networkﻛﺎﻻﺗﻰ: -
ﻋﻧد اﻟﻧﻘر ﻓوق أﯾﻘوﻧﺔ spyﯾﻣﻛﻧك اﻟﺗﻘﺎط screenshotﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻛذﻟك ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ وھﻛذا. -
ﻛذﻟك ﯾﻣﻛن ﻓﻌل اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء. -
Biodoxھو ﺗطﺑﯾﻖ ﻗﺎﺋم ﻋﻠﻰ ﻧظﺎم اﻟوﯾﻧدوز وھو ﻣﺛل Theefوھو ﻋﺑﺎره ﻋن GUI Trojanواﻟﺗﻲ ﺗﻣت ﻛﺗﺎﺑﺗﮫ ﻣن ﻗﺑل اﻻﺗراك.
ﻟﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﻟﻣﻠف BIODOX OE Edition.exeواﻟﺗﻲ ﺳوف ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ. -
ﻣن ﺧﻼل اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ ﻧﺧﺗﺎر اﻟﻠﻐﺔ اﻟﺗﻲ ﺗرﯾد ان ﺗﺗﻌﺎﻣل ﺑﮭﺎ ﻣﻊ اﻟﺗطﺑﯾﻖ. -
-
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻋﻠﻰ اﯾﻘوﻧﺔ server editorﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻟﻛﻲ ﻧﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف serverاﻟذي ﺗرﯾد ارﺳﺎﻟﮫ اﻟﻰ -
اﻟﺿﺣﯾﺔ.
ﻓﻲ اﻟﻌﻧوان اﻟﻣﻘﺎﺑل IP/DNSﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان اﻟﺿﺣﯾﺔ وﻧﺗرك ﺑﺎﻗﻲ اﻻﻋدادات ﻛﻣﺎ ھﯾﺎ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﯾﻘوﻧﺔ Create -
serverﻛﺎﻻﺗﻰ ﻟﯾﻘوم ﺑﺈﻧﺷﺎء اﻟﻣﻠف server.exeاﻟذي ﺳوف ﺗرﺳﻠﮫ اﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
اﻻن ﺑﻌد اﻧﺷﺎء اﻟﻣﻠف server.exeﻧﻘوم ﺑﺈرﺳﺎﻟﮫ اﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﺑﻣﺟر ﻧﻘر اﻟﺿﺣﯾﺔ ﻓوﻗﮫ ﺳوف ﯾﺑدا اﻟﻌﻣل. -
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﯾﻘوﻧﺔ active/deactive statusﻟرؤﯾﺔ اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﺗم وﻗوع اﻟﺿﺣﯾﺔ ﺑﮭﺎ ﻛﺎﻻﺗﻰ: -
ﻹﻧﺷﺎء ﻣﻠف server.exeﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻓوق CreateServer.exeﻓﺗؤدى ﻟظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ: -
ﺛم ﯾظﮭر ﻟك ﺻﻧدوق رﺳﺎﻟﺔ ﯾﺧﺑرك ﺑﺎﻻﻧﺗﮭﺎء ﻣن ﺻﻧﺎﻋﺔ server.exeﻧﻧﻘر ﻓوق .okواﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ اﻟﺗﻲ -
ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن وﺿﻊ اﻟﻌدﯾد ﻣن اﻻﻋدادات واﻻﻣﻛﺎﻧﯾﺎت اﻟﺗﻲ ﯾﻣﻛن ان ﯾؤدﯾﮭﺎ ھذا اﻟﻔﯾروس ﻛﺎﻻﺗﻰ:
اﻻن ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن اﻧﺷﺎء server.exeوارﺳﺎﻟﮫ اﻟﻰ اﻟﺿﺣﯾﺔ واﻟذي ﺑﻣﺟرد اﻟﻧﻘر ﻓوﻗﮫ ﯾﻘوم ﺑﺗﻔﻌﯾﻠﮫ. -
اﻻن ﻧذھب ﻟﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ ﻟﻌﻣل اﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ وذﻟك ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻓوق MoSucker.exeﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ. -
ﻣﺛل اﻻﺧرﯾن ﻓﻲ ﺧﺎﻧﺔ IPﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان IPاﻟﺿﺣﯾﺔ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق connectﺣﺗﻰ ﯾﺗم اﻻﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ. -
ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﻷدوات اﻟﻣوﺟودة ﻓﻲ اﻟﺟﺎﻧب اﻻﯾﺳر ﯾﻣﻛن ﻓﻌل اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ. -
اﻻن ﻧﻘوم ﺑﻛﺎﺗﺑﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ ] [set payload windows/meterpreter/reverse_tcpوذﻟك ﻟﻠﻘﯾﺎم ﺑﺎﺗﺻﺎل ﻋﻛﺳﻲ ﻣﻊ -
ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻛﺎﻻﺗﻰ:
ﺑﻣﺟرد ﻗﯾﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟﻧﻘر ﻓوق Backdoor.exeﻓﯾﻣﻛﻧك اﻟﺗﻔﺎﻋل ﻣﻌﮫ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر اﻟﺗﺎﻟﻲ ] [sessions -i 1وذﻟك -
ﻹﻧﺷﺎء ﻗﻧﺎة اﺗﺻﺎل ﺑﯾﻧك وﺑﯾن ﺟﮭﺎز اﻟﺿﺣﯾﺔ.
ﺑﻌض اﻻﺗﺻﺎل ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ ﯾﻣﻛﻧك طﺑﺎﻋﺔ اﻻﻣر shellﻻﺳﺗﺧدام أواﻣر اﻟﺷل. -
ﺣﺗﻰ اﻵن ،ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف أﺣﺻﻧﺔ طروادة واﻟطرق اﻟﺗﻲ ﺗﺻﯾب ﺑﮭﺎ ﻣوارد اﻟﻧظﺎم أو اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،ﻓﺿﻼ ﻋن
ﺳﺑل اﻟﻛﺷف ﻋن أﺣﺻﻧﺔ طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر .ﺑﻣﺟرد اﻟﻛﺷف ﻋن طروادة ،ﯾﺟب ﻋﻠﯾك ﺣذﻓﮫ ﻓورا وﺗطﺑﯾﻖ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ
ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد أﺣﺻﻧﺔ طروادة و .Backdoorھذه اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺗﻘﻠل ﻣن اﻟﻣﺧﺎطر وﺗوﻓﯾر اﻟﺣﻣﺎﯾﺔ اﻟﻛﺎﻣﻠﺔ ﻟﻠﻧظﺎم اﻟﻣﺳﺗﺧدم.
ﯾﺑرز ھذا اﻟﻘﺳم اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﻣﺿﺎدة اﻟﺗﻲ ﺗﻣﻧﻊ أﺣﺻﻧﺔ طروادة و backdoorﻣن اﻟدﺧول إﻟﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك.
Trojan Countermeasure
ﺣﺻﺎن طروادة ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﺗﻧﻛر ﻛﺗطﺑﯾﻖ ﺣﻘﯾﻘﻲ .ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﺷﯾط أﺣﺻﻧﺔ طروادة ھذه ،ﻓﺄﻧﮭﺎ ﺗؤدي إﻟﻰ اﻟﻌدﯾد ﻣن اﻟﻘﺿﺎﯾﺎ ﻣﺛل
ﻣﺣو اﻟﺑﯾﺎﻧﺎت ،اﺳﺗﺑدال اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ،إﻓﺳﺎد اﻟﻣﻠﻔﺎت ،ﻧﺷر اﻟﻔﯾروﺳﺎت ،اﻟﺗﺟﺳس ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﻹﺑﻼغ ﻋن
اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ،ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻟﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ ﻣﺛل رﻗم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ،وأﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﺳر وﻏﯾرھﺎ ،وﻓﺗﺢ
backdoorﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ﻟﺗﻧﻔﯾذ اﻷﻧﺷطﺔ ﻏﯾر اﻟﻣﺳﺗﻘرة ﻓﻲ اﻟﻣﺳﺗﻘﺑل .ﻣن أﺟل ﻣﻧﻊ ﻣﺛل ھذه اﻷﻧﺷطﺔ وﺗﻘﻠﯾل اﻟﻣﺧﺎطر ﺿد ﺣﺻﺎن
طروادة ،ﯾﻧﺑﻐﻲ اﻋﺗﻣﺎد اﻟﻣﺿﺎدات اﻟﺗﺎﻟﯾﺔ:
-ﺗﺟﻧب ﻓﺗﺢ ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة ﻣن ﻣﺻﺎدر ﻏﯾر ﻣﻌروﻓﮫ.
-ﻣﻧﻊ ﻛﺎﻓﺔ اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﺿرورﯾﺔ ﻓﻲ اﻟﺟﮭﺎز اﻟﻣﺿﯾف وﺟدار اﻟﺣﻣﺎﯾﺔ.
-ﺗﺟﻧب ﻗﺑول اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗم ﻧﻘﻠﮭﺎ ﺑواﺳطﺔ اﻟرﺳﺎﺋل.
-ﻣﻌﺎﻟﺟﺔ ﻧﻘﺎط اﻟﺿﻌف ،وإﻋدادات اﻟﺗﻛوﯾن اﻻﻓﺗراﺿﻲ.
-ﺗﻌطﯾل اﻟوظﺎﺋف اﻟﻐﯾر ﻣﺳﺗﺧدﻣﺔ ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺑروﺗوﻛوﻻت واﻟﺧدﻣﺎت
-ﻣراﻗﺑﺔ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ ﻟﻠﻣﻧﺎﻓذ اﻟﻐرﯾﺑﺔ أو اﻟﻣرور اﻟﻣﺷﻔر.
Backdoor Countermeasures
ﻟﻌل اﻟﻘول اﻟﻣﺄﺛور اﻟﻘدﯾم )اﻟوﻗﺎﯾﺔ ﺧﯾر ﻣن اﻟﻌﻼج( وﺛﯾﻖ اﻟﺻﻠﺔ ھﻧﺎ .ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد backdoorوھﻲ ﻛﺎﻻﺗﻰ:
-ﺧط اﻟدﻓﺎع اﻷول ھو ﺗﺛﻘﯾف اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺷﺄن ﻣﺧﺎطر ﺗرﻛﯾب اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗم ﺗﻧزﯾﻠﮭﺎ ﻣن اﻹﻧﺗرﻧت ،وﻋﻠﯾﮭم ﺗوﺧﻲ اﻟﺣذر إذا ﻛﺎن
ﻟدﯾﮭم إﻣﻛﺎﻧﯾﺔ ﻓﺗﺢ ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ.
-ﺧط اﻟدﻓﺎع اﻟﺛﺎﻧﻲ ﯾﻣﻛن أن ﯾﻛون ﻣﻧﺗﺟﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ اﻟﺗﻌرف ﻋﻠﻰ ﺗواﻗﯾﻊ طروادة .ﯾﺟب أن ﯾﺗم ﺗطﺑﯾﻖ
اﻟﺗﺣدﯾﺛﺎت ﺑﺷﻛل ﻣﻧﺗظم ﻋﺑر اﻟﺷﺑﻛﺔ.
-ﺧط اﻟدﻓﺎع اﻟﺛﺎﻟث ﯾﺄﺗﻲ ﻋن طرﯾﻖ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺗﺣدﯾث إﺻدارات اﻟﺗطﺑﯾﻖ ﺑواﺳطﺔ ﺗﺗﺑﻊ ﺗﺻﺣﯾﺣﺎت اﻷﻣﺎن )(security patch
وﻣﻌرﻓﺔ ﻧﻘﺎط اﻟﺿﻌف.
اﺳﺗﺧدام أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﺛل ﺑرﻧﺎﻣﺞ ،McAfee ،Windows Defenderوﻧورﺗن ﻗﺎدر ﻋﻠﻰ ﻛﺷف وإزاﻟﺔ .backdoor
ھذه kitsﺗﺳﺎﻋد اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ ﺑﻧﺎء أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﯾﺧﺗﺎروﻧﮭﺎ .اﻷدوات ﻓﻲ ھذه اﻟﻣﺟﻣوﻋﺎت ﯾﻣﻛن أن ﺗﻛون ﺧطﯾرة ،وﯾﻣﻛن أن ﯾﺄﺗﻲ
ﺑﻧﺗﺎﺋﺞ ﻋﻛﺳﯾﺔ إذا ﻟم ﯾﻧﻔذ ﺑﺷﻛل ﺻﺣﯾﺢ .ﺑﻌض ﻣﺟﻣوﻋﺎت طروادة اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﺑرﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ:
Trojan Horse Construction Kit v2.0ﺗﺗﻛون ﻣن ﺛﻼﺛﺔ ﻣﻠﻔﺎت ﺗﻧﻔﯾذﯾﮫ )،Thck-fp.exe ،Thck-tc.exe :(exe file -
و Thck.exe .Thck-tbc.exeھو ﻣﻧﺷﺊ اﻟﺗروﺟﺎن اﻟﻔﻌﻠﻲ .ﻣﻊ أداة ﺳطر اﻷواﻣر ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺑﻧﺎء ﺣﺻﺎن طروادة ﻣن
اﺧﺗﯾﺎره Thck-fp.exe .ھو ﻣﻧﺎور ﺣﺟم اﻟﻣﻠف .ﻣﻊ ھذا ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﻧﺷﺎء اﻟﻣﻠﻔﺎت ﻣن أي طول ،وﺟﻌل أي ﻣن اﻟﻣﻠﻔﺎت ذات
طول ﻣﺣددة ،أو ﺣﺗﻰ إﻟﺣﺎق ﻋدد ﻣﻌﯾن ﻣن وﺣدات اﻟﺑﺎﯾت إﻟﻰ ﻣﻠف Thck-tbc.exe .ﺳوف ﯾﻘوم ﺑﺗﺣوﯾل أي ﺑرﻧﺎﻣﺞ COMإﻟﻰ
) Time Bombﻗﻧﺑﻠﺔ ﻣوﻗﺗﮫ(.
) Progenic Mail Trojan Construction Kit (PMTھو أداة ﺳطر أواﻣر واﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻹﻧﺷﺎء EXE -
) (PM.exeﻹرﺳﺎﻟﮭﺎ إﻟﻰ ﺿﺣﯾﺔ.
Pandora's Boxھو ﺑرﻧﺎﻣﺞ ﻣﺻﻣم ﻹﻧﺷﺎء أﺣﺻﻧﺔ طروادة/ﻗﻧﺎﺑل ﻣوﻗوﺗﺔ. -
ﻗﺑل ھذا ،ﻗد ﻧﺎﻗﺷﻧﺎ اﻟﻣﺿﺎدات اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﻟﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك واﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﯾﮫ ﺿد ﻣﺧﺗﻠف اﻟﺑرﻣﺟﯾﺎت
اﻟﺧﺑﯾﺛﺔ ﻣﺛل أﺣﺻﻧﺔ طروادة و .backdoorﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ھﻧﺎك ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ طروادة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺣﻣﻲ أﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر وأﺻول
اﻟﻣﻌﻠوﻣﺎت اﻷﺧرى ﺿد أﺣﺻﻧﺔ طروادة و .backdoorاﻟﺑراﻣﺞ اﻟﻣﻛﺎﻓﺣﺔ ﺿد اﻟﺗروﺟﺎن ﺗﺗﻌﺎﻣل ﻣﻊ إزاﻟﺔ أو ﺗﻌطﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ.
ھذا اﻟﻘﺳم ﯾﺻف اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ ﻟﻠﻣﻛﺎﻓﺣﺔ ﺿد طروادة.
Anti-Trojan Software
ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗروﺟﺎن ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﻟﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك واﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﯾﮫ ﻣن ﺧﻼل ﻣﻧﻊ اﻟﻌدﯾد ﻣن اﻟﺗﮭدﯾدات اﻟﺧﺑﯾﺛﺔ ﻣﺛل
أﺣﺻﻧﺔ طروادة ،worms ،واﻟﻔﯾروﺳﺎت ،backdoor ،ﻋﻧﺎﺻر ﺗﺣﻛم ActiveXاﻟﺿﺎرة ،وﺗطﺑﯾﻘﺎت ﺟﺎﻓﺎ ﻟدﺧول ﻧظﺎﻣك .وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض
ﻣن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗروﺟﺎن اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻐرض ﻗﺗل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
Anti-Trojan Shield (ATS) available at http://www.atshield.com
Spyware Doctor available at http://www.pctools.com
Anti-Malware BOClean available at http://www.comodo.com
Anti-Hacker available at http://www.hide-my-ip.com
XoftSpySE available at http://www.paretologic.com
SPYWAREfighter available at http://www.spamfighter.com
Anti-Trojan Elite available at http://www.remove-trojan.com
SUPERAntiSpyware available at http://www.superantispyware.com
Trojan Remover available at http://www.simplysup.com
Twister Antivirus available at http://www.filseclab.com
ﺑﻣﺛﺎﺑﺔ إﻧك ﻣﺧﺗﺑر اﺧﺗراق ،ﻓﯾﺟب ﻋﻠﯾك اﺗﺑﺎع ﻧﻔس اﻻﺳﺗراﺗﯾﺟﯾﺎت ﻣﺛل اﻟﺗﻲ ﯾﺗﺑﻌﮭﺎ اﻟﻣﮭﺎﺟم ﻻﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم ﺿد طروادة وھﺟﻣﺎت
.backdoorﯾﺟب ﺗﻧﻔﯾذ ﻛل ﻣﺎ ھو ﻣﺗﺎح ﻣن ﺗﻘﻧﯾﺎت اﻟﮭﺟوم ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺗﻘﻧﯾﺎت اﻟﮭﺟوم اﻟﺗﻲ ظﮭرت ﺣدﯾﺛﺎ .ھذا ﯾﺳﻣﺢ ﻟك ﻟﻣﻌرﻓﺔ اﻟﺛﻐرات
أو ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﻣن اﻟﻣﻧظﻣﺔ اﻟﮭدف .إذا وﺟدت أي ﻧﻘﺎط ﺿﻌف أو ﺛﻐرات ،ﯾﺟب أن ﺗﺷﯾر إﻟﻰ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺟﻌل أﻣن
اﻟﻣﻧظﻣﺔ ﺑﺷﻛل أﻓﺿل وأﻗوى.
إذا ﻟم ﯾﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ،ﻗم ﺑﺗﺣدﯾﺛﮫ ﺛم ﺗﺷﻐﯾﻠﮫ ﻟﻔﺣص اﻟﻧظﺎم .أﻣﺎ إذا ﻛﺎن ﻗد ﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت
ﺑﺎﻟﻔﻌل ،ﻓﯾﻣﻛﻧك إﯾﺟﺎد ﺣﻠول ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻷﺧرى ﻟﺗﻧظﯾف أﺣﺻﻧﺔ طروادة.
اﻟﺣﻣد � ﺗﻌﺎﻟﻰ ،وﺑﺣول ﷲ ﺗﻌﺎﻟﻰ ﻧﻛون ﻗد اﻧﺗﮭﯾﻧﺎ ﻣن اﻟوﺣدة اﻟﺳﺎدﺳﺔ وﻧﻠﻘﺎﻛم ﻣﻊ اﻟوﺣدة اﻟﺗﺎﻟﯾﺔ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ