شرح تطبيق عملي في كتابة الروت كت-إخفاء الاتصالات الخارجية,تخطي فحص الاتصالات

[aaqassam]

[ , شرح , ] , [تطبيق , عملي , في , كتابة , الروت , كت] , - , [إخفاء , الاتصالات , الخارجية]

شرح تطبيق عملي في كتابة الروت كت-إخفاء الاتصالات الخارجية,تخطي فحص الاتصالات

لسلام عليكم ورحمة الله وبركاته

قبل ان يطول الحديث ,, قد يكون الموضوع متقدم او غير مفهوم بالنسبة للبعض المبتدئين ,,


اليوم سوف نتطرق الى الحديث عن الاتصالات الخارجية ,,
بحيث هي مشكلة كبيرة بحد ذاتها لدى المخترق الذي لا يريد ان يسمح للضحية باكتشافه


تناولت لكم برنامجين مفضلين لدى بعض الهاكرز

الاول هو:

Tcpview : من شركة Sysinternals (نفس الشركة المصصمة لبرنامج بروسيس اكسبلورر الشهير)




والثاني هو:

Current Ports : من شركة NirSoft الشهيرة





في البداية خطوتك الاولى هي اكتشاف الدالة المستخدمة والمسؤولة عن جلب الاتصالات الخارجية

وعند قيامك بتحليل احد البرنامجين السابقين ,, سوف تجد ان الدالة المستخدمة هي

GetExtendedTcpTable




لو دخلت على مرجع هذه الدالة في مكتبات مايكروسوفت ستجد انها بعد استدعائها سوف يرجع لها ستركترات، وفي داخل الستركترات توجد ستركترات اخرى تحتوى على Tables تكون بداخلها معلومات عن الاتصالات جميعها بشكل مفصل من حيث الحالة - البورت الداخلي - البورت الخارجي - الايبي الخارجي - الايبي الداخلي - البروسيس المسؤولة عن الاتصال


وعملية فلترة الدالة هي بسيطة نوعا ما..
الآلية: نقوم بعمل لوب في داخل الستركترات ومن ثم البحث عن معلومات تخصنا،
ثم بعد التأكد من وجود معلومات خاصة بنا نقوم بعمل فلترة لها.



اليك هذا السيناريو:

[WARNING]قام برنامج فحص الاتصالات باستدعاء دالة GetExtendedTcpTable و ورجعت له بستركتر يحتوى على معلومات كثيرة ...
وكانت المعلومات الخاصة بسيرفر الاختراق الخاص بنا تحديدا في Table 5 ,
دعنا نرسم لها شكل تخيلي
----------------------------------------------------------------------------------------------
Table 5
dwLocalAddr: 1083
dwLocalPort:4040
dwRemoteAddr: 123.567.11.90
dwRemotePort: 81
dwOwningPid: 1510 -- c:\backdoor.exe

وهي معلومات الباتش الخاص بنا
----------------------------------------------------------------------------------------------


----------------------------------------------------------------------------------------------
اما الـ Table 6 اللتي بعدها كانت على هذا الشكل

Table 6
dwLocalAddr: 2194
dwLocalPort:3939
dwRemoteAddr: 80.121.65.442
dwRemotePort: 80
dwOwningPid: 2099 -- c:\ProgramFiles\Aviera-AntiVirus.exe

وهي معلومات اتصال خاص ببرنامج انتي فايروس الافيرا
----------------------------------------------------------------------------------------------
[/WARNING]




ما قمت به هو نسخ الـ table 6 كاملة وهي المعلومات الخاصة ببرنامج نضيف


واستبدالها مع الـ table 5 التي تحتوي على معلومات ملف خبيث



ومن ثم تمرير هذه الداتا المفلترة الى برنامج تحليل الاتصالات

ينتج عن ذلك: اخفاء الاتصال القائم بين الضحية والهاكر من اعين برنامج الفحص.


=============


عملية الهوك قمت بها عن طريق حقن مكتبة DLL في عملية البرنامج المستهدف

ارفقت لكم مشروع ملف الدل كامل
وايضا مشروع Injector لكي يقوم بحقن المكتبة في العملية الهدف (لست مبرمجه الاصلي)
لتحميل المشروعين اضغط هنا


خطوات يجب ان تراعيها:

اولا تقوم بعمل كومبايل لمشروع ملف الدل ,,
بعد ذلك تقوم بعمل كومبايل لمشروع الـ injector ,,

وتضع الملفين الناتجين في مجلد واحد بهذا الشكل



بالنسبة لمشروع الـ injector عليك بتحديد اسم العملية المستهدفة ..
تستطيع ان تبحث عن هذا السطر في المشروع


ويجب ان تراعي الاحرف الكبيرة والصغيرة في اسم العملية...




بالنسبة لملف الدل ,, قمت بتمييز المعلومات الخاصة بسيرفر الاختراق عن طريق ID البروسيس في التاسك ,,

لكن هناك خيارات اخرى امامك ,, تستطيع عن طريق البورت او الايبي ايضا ,,
لك الحرية في التعديل على مشروع ملف الدل ,, لكن اذكر الحقوق

وهنا مشهد فيديو قمت برفعه على اليوتيوب
يوضح عملية تخطي فحص الاتصالات





ودي

المصدر: development-point - للمزيد تابع : قسم إختراق الأجـهـزه والأيـمـيـلات

---

avp j'fdr ulgd td ;jhfm hgv,j ;j-Yothx hghjwhghj hgohv[dm