|
شرح تطبيق عملي في كتابة الروت كت-إخفاء الاتصالات الخارجية,تخطي فحص الاتصالات
لسلام عليكم ورحمة الله وبركاته قبل ان يطول الحديث ,, قد يكون الموضوع متقدم او غير مفهوم بالنسبة للبعض المبتدئين ,, اليوم سوف نتطرق الى الحديث عن الاتصالات الخارجية ,, بحيث هي مشكلة كبيرة بحد ذاتها لدى المخترق الذي لا يريد ان يسمح للضحية باكتشافه تناولت لكم برنامجين مفضلين لدى بعض الهاكرز الاول هو: Tcpview : من شركة Sysinternals (نفس الشركة المصصمة لبرنامج بروسيس اكسبلورر الشهير) http://im27.gulfup.com/irzY1.png والثاني هو: Current Ports : من شركة NirSoft الشهيرة http://im27.gulfup.com/HuUx2.png في البداية خطوتك الاولى هي اكتشاف الدالة المستخدمة والمسؤولة عن جلب الاتصالات الخارجية وعند قيامك بتحليل احد البرنامجين السابقين ,, سوف تجد ان الدالة المستخدمة هي GetExtendedTcpTable http://im27.gulfup.com/NZjI1.png لو دخلت على مرجع هذه الدالة في مكتبات مايكروسوفت ستجد انها بعد استدعائها سوف يرجع لها ستركترات، وفي داخل الستركترات توجد ستركترات اخرى تحتوى على Tables تكون بداخلها معلومات عن الاتصالات جميعها بشكل مفصل من حيث الحالة - البورت الداخلي - البورت الخارجي - الايبي الخارجي - الايبي الداخلي - البروسيس المسؤولة عن الاتصال وعملية فلترة الدالة هي بسيطة نوعا ما.. الآلية: نقوم بعمل لوب في داخل الستركترات ومن ثم البحث عن معلومات تخصنا، ثم بعد التأكد من وجود معلومات خاصة بنا نقوم بعمل فلترة لها. اليك هذا السيناريو: [WARNING]قام برنامج فحص الاتصالات باستدعاء دالة GetExtendedTcpTable و ورجعت له بستركتر يحتوى على معلومات كثيرة ... وكانت المعلومات الخاصة بسيرفر الاختراق الخاص بنا تحديدا في Table 5 , دعنا نرسم لها شكل تخيلي ---------------------------------------------------------------------------------------------- Table 5 dwLocalAddr: 1083 dwLocalPort:4040 dwRemoteAddr: 123.567.11.90 dwRemotePort: 81 dwOwningPid: 1510 -- c:\backdoor.exe وهي معلومات الباتش الخاص بنا ---------------------------------------------------------------------------------------------- ---------------------------------------------------------------------------------------------- اما الـ Table 6 اللتي بعدها كانت على هذا الشكل Table 6 dwLocalAddr: 2194 dwLocalPort:3939 dwRemoteAddr: 80.121.65.442 dwRemotePort: 80 dwOwningPid: 2099 -- c:\ProgramFiles\Aviera-AntiVirus.exe وهي معلومات اتصال خاص ببرنامج انتي فايروس الافيرا ---------------------------------------------------------------------------------------------- [/WARNING] ما قمت به هو نسخ الـ table 6 كاملة وهي المعلومات الخاصة ببرنامج نضيف واستبدالها مع الـ table 5 التي تحتوي على معلومات ملف خبيث ومن ثم تمرير هذه الداتا المفلترة الى برنامج تحليل الاتصالات ينتج عن ذلك: اخفاء الاتصال القائم بين الضحية والهاكر من اعين برنامج الفحص. ============= عملية الهوك قمت بها عن طريق حقن مكتبة DLL في عملية البرنامج المستهدف ارفقت لكم مشروع ملف الدل كامل وايضا مشروع Injector لكي يقوم بحقن المكتبة في العملية الهدف (لست مبرمجه الاصلي) لتحميل المشروعين اضغط هنا خطوات يجب ان تراعيها: اولا تقوم بعمل كومبايل لمشروع ملف الدل ,, بعد ذلك تقوم بعمل كومبايل لمشروع الـ injector ,, وتضع الملفين الناتجين في مجلد واحد بهذا الشكل http://im27.gulfup.com/YaSf3.png بالنسبة لمشروع الـ injector عليك بتحديد اسم العملية المستهدفة .. تستطيع ان تبحث عن هذا السطر في المشروع http://im27.gulfup.com/iDvW2.png ويجب ان تراعي الاحرف الكبيرة والصغيرة في اسم العملية... بالنسبة لملف الدل ,, قمت بتمييز المعلومات الخاصة بسيرفر الاختراق عن طريق ID البروسيس في التاسك ,, لكن هناك خيارات اخرى امامك ,, تستطيع عن طريق البورت او الايبي ايضا ,, لك الحرية في التعديل على مشروع ملف الدل ,, لكن اذكر الحقوق وهنا مشهد فيديو قمت برفعه على اليوتيوب يوضح عملية تخطي فحص الاتصالات http://www.youtube.com/watch?v=-ha-T...ature=youtu.be ودي |
| الساعة الآن 03:27 PM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
development-point