- شـرح الـيوم يتحدث عن فحص العمليات ’’Process’’ , والعمليات المخفية ’’Rootkit’’ -
اولا ما هي العمليات او Process ؟
برامج الكمبيوتر هي مجموعة من التعليمات, ولكل برنامج فعال (نشط) عملية إو اكثر خاصة به, فالعمليات تعبر عن البرامج الذي يجرى تنفيذها حاليا في نظامك (سواء كانت برامج النظام الاساسية, او برامج خاصة بالمستخدم, او ملفات فيروسات او تجسس) وهي تحتوي على رمز البرنامج ونشاطه الحالي. على سبيل المثال، عند فتح عدة نفس البرنامج اكثر من مرة يعني في كثير من الأحيان تنفيذ أكثر من عملية واحدة.
ثانيا ما هي العمليات المخفية او Rootkit ?
تعرف بأسم العمليات المخفية او الجذور الخفية, وهي البرمجيات والعمليات التي تعمل في نظام التشغيل بشكل مخفي, فقد تم إخفاء وجودها من العمليات العادية نظرا لعدم العبث بها, إو ايقافها, بمعني إخر هي العمليات التي لا تستطيع ملاحظتها ببرامج البروسس العادية وتحتاج لادوات إو برامج إخرى لتتمكن من مشاهدتها.
* اولا شرح الفحص بأستخدام برنامج Process Explorer ,’=
[url=حمل من هنا]http://download.sysinternals.com/Files/ProcessExplorer.zip[/url]
قبل القيام بأي عملية فحص يجب اغلاق جميع البرامج التي تعمل حاليا كالمسنجر والمتصفح واغلاقها ايضا من شريط المهام ’ ثم نلاحظ العمليات الباقية التي تظهر البرنامج ونراقب مساراتها واتصالاتها ونتأكد من كونها سليمة, وليس ملفات تجسس إو فيروسات.
- طبعا من ما سبق تأكدنا من كون العملية السابقة ما هي الا سيرفر إختراق من خلال إتصالة بالانترنت, ومسارة بملفات البرامج وهو ليس برنامج بالتالي هنقتل العملية كما شاهدنا بالصورة -
______________________________
إيضا قد تظهر العملية علي شكل صفحة انترنت اكسبلور إو فايرفوكس (حسب المتصفح الافتراضي لديك)
- بأمكان المخترق الحقن بأي عملية كأنت حتي ولو كانت من عمليات النظام -
- الحقن إي يتم دمج الباتش بالعملية حتي لا تظهر عملية خاصة بالباتش, ولكن إن قمت بملاحظة العملية ستجد إنها تتصل بالانترنت بـ IP ومنفذ مشبوه -
______________________________
ولكن إن كان الباتش او سيرفر الاختراق يحتوي علي الاعدادات التي تمكنة من تخطي فحص العمليات العادي (وهي الخصائص المتبعة حاليا) فكيف نقوم بأكتشاف العملية ؟
* ثانيا شرح الفحص بأستخدام برنامج Atool ,’ =
[url=حمل من هنا]http://www.antiy.net/download/atool.rar[/url]
- يدل اللون الاحمر علي إن العملية مخفية بحيث لا تظهر ببرامج البروسس العادية, او البروسس الخاص بالويندوز -
* ثالثا شرح الفحص بأستخدام برنامج IceSword ,’
[url=حمل من هنا]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
تحميل الاصدار المتوافق مع Windows Vista
[url=حمل من هنا]http://202.38.64.10/~jfpan/download/is120en_vista.zip[/url]
إنتهي الشرح بحمد الله’’