1 الحماية و دراسة برنامج ack orifice الأحد يوليو 24, 2011 3:24 pm
نسيم الشرق
عضو فعالالباك أوريفيس قام بعمله جماعة تطلق على نفسها (جماعة البقرة الميته) ، الله الشافي،
أنتشر هاذا البرنامج بشكل كبير في بداية طرحه بالأنترنت، يسمح البرنامج لمستخدمه بالحصول على
(سيطرة كاملة) على جهاز الضحية دون علمه، السيرفر حقه ماله أســـم؟؟
الباك أوريفيوس يعمل على الويندوز98 وال95.
السيرفر حقه ماله أسم!!! ويكون شكله زي كذا exe. وستجده في مجلد الويندوز وحجمه صغيرون
حوالي 122 كيلوبايت. البورت الذي يستخدمه الباك أوريفيوس للتخابر مع السايلنت هو البورت 31337 وهناك أمكانية أن يكون هناك بورت للهاكر الأيسبيشل.
مميزات الباك اوريفيوس :
تمكين المتصل من الحصول على سيطرة كـــامــلــــــة على جهازك.
تخلص منه بسرعة :
شغل برنامج الريجستري وتوجه إلى المجلدات التالية بالترتيب:
HKEY_LOCAL_MACHINE : Software : Microsoft : Windows : CurrentVersion : RunService
في مجلد (رن سيرفيس) أبحث عن المفتاح الذي يقوم بتحميل السيرفر وستجد شيئاً شبيها بهذه الصورة
إذا عثرت عليه ضع الماوس عليه وأنقر بالزر اليمين وأختر ديليت لحذفه من الريجستري .
الآن أخرج من برنامج الريجستري وأعد تشغيل جهازك. بعد أن أعدت تشغيل جهازك، توجه لمجلد (SYSTEM) الموجود
بداخل مجلد الويندوز وأبحث عن الملف المطلوب وهو السيرفر اللي أسمه، عفوا ماله أسم لاكنه شبيه بـ exe. إذا
لم تجده أنقر على قائمة عرض ثم (خيارات المجلد) ثم (عرض) من قائمة الملفات المختفية ضع علامة على
(إظهار جميع الملفات) ثم أنقر على تطبيق ثم موافق. الآن وإذا بحثت بمجلد السيستم مرة أخرى ستجد
السيرفر قم بمسحه، كما ستجد ملفاً أخر أسمه windll.dll وهو أيضاً تابع للباك أوريفيس قم بحذفه أيضاً. الآن قم بأيقاف جهازك عن العمل (قفله) (سوي شوت داون)
ملاحظة هامة:
بإمكان المخترق تغيير أسم السيرفر من exe. إلى أسم أخر أحياناً يكون أسمه Shell.exe لذا عندما تقوم
بالبحث في مجلد (رن سيرفس) في الريجستري أبحث عن أي أسم مثير للشك أو غريب عليك وأنقر على أسمه
مرتين وسوف يظهر لك المكان الذي يتواجد به البرنامج، توجه للمكان الذي يشير أليه ثم إذا وجدت أن حجمه 123 أو 122
كيلوبايت فمن المحتمل أن يكون السيرفر حق الباك أريفيوس.
لقطة من الدوس بأستخدام الأمر netstat تظهر عملية تنصت من الباك أوريفيس