[ شرح ] موضوع حصري عن Rootkit

محمد شوبكي · ‏19 يوليو 2017

يعطيك العافية ع شرح

Ahmed Kamel · ‏22 يوليو 2017

يعطيك العافية اخي العزيز على الطرح

klash hacker · ‏25 يوليو 2017

شرح جميل مفصل ببساطة ليفهمه كل الاشخاص يعطيك الف عافية

ƊЄƔƖԼ ƇƠƊЄƦ · ‏26 يوليو 2017

مقتبس من klash hacker: ↑

شرح جميل مفصل ببساطة ليفهمه كل الاشخاص يعطيك الف عافية
أنقر للتوسيع...

اهلا اخ كلاش , شكرا على مرورك
الله يعافيك

Ahmed Al-Musway · ‏26 يوليو 2017

مقتبس من ƊЄƔƖԼ ƇƠƊЄƦ: ↑

لا أريد الإطالة في المقدمات كثيرا . .

اليوم الموضوع إن شالله راح يكون مفيد جدا و يهم المتحمسين في تعلم الجديد والضالعين في مجال القرصنة وأمن المعلومات، وطبعا الموضوع
نبذة بسيطة: هل صادف وأن سمعت بشيء يسمى بـ تقنية الـ (RootKit)، حاليا تعتبر هذه التقنية إلى حد بعيد من أذكى التقنيات, حتى أن برامج الحماية أصبحت تعاني الأمرَّين بسبب الروت كيت .

ما هو الروت كيت؟

الروت كيت تقنية في الأكواد والبريمجات تصرح لها وجوداً دائماً في النظام وغير قابل للكشف من برامج المراقبة، وبشكل احترافي الروت كيت هو الغير قابلية للكشف* " undetectable" , وهو مفيد إن أردت الحضور الدائم في نظام معين، أما إذا كنت تخطط لسرقة معلومات ومن ثم ترك النظام فلا أعتقد أنك تحتاج لوضع أثر لك في ذلك النظام بعد أن قضيت وطرك منه.

كيف يعمل الروت كيت؟ (How Do Rootkits Work) :

فكرة وطريقة عمل الروت كيت ليست معقدة كثيرا، فهو يعمل بمبدأ يسمى التعديل (modification), فلنتابع معاً السطور القادمة لفهم هذه السنفونية..
الترقيع ( Patching):

الكود (الملف*) القابل للتنفيذ ( Executable code ) يحتوي على متسلسلة من التعابير المشفرة كبايتات بياناتية.
وهذه البايتات تكون منظمة بدقة، وكل بايت منها يعني شيء ما للكمبيوتر،و البرامج يمكن أن تُعدَّل إذا تم تعديل هذه البايتات، هذا التعديل أو التغير يسمى (ترقيع).
وفي الحقيقة أن البرمجيات (Software) ليست ذكية، فهي تقوم بما تُخبر به فقط، ولا تعمل شيء غير ذلك. لهذا السبب التعديل فيها له أثر في عملها، فالترقيع أحد الوسائل التي يستخدمها الكراكرز (Crackers) للتنصل من برامج الحماية والمراقبة، ومن الطريف في الأمر أن الترقيع أيضا يستخدم لخداع ألعاب الفيديو (Video Games) مثلا لإعطائك زمن أطول للحياة أو جمع عدد أكبر من الذهب والنقاط أو فضح فريق كرة قدم كبير مثل البرازيل بتسجيل عدد خيالي من الأهداف في شباكه .

تعديل الكود البرمجي (Source-Code Modification):

مكن تغيير الأكواد المصدرية للملفات، حيث أن المبرمج البارع يمكن أن يدخل (insert) ما يسمى بالـسطور الخبيثة هه ( malicious lines) إلى سطور الأكواد الأصلية للبرنامج، وما يسمى بالبرامج المفتوحة المصدر ( open-source programs) فهذه تسمح لأي شخص في التعديل على البرنامج، بحيث يمكن للمبرمج الخبيث أن يعرض برنامج معين لما يسمى بفيض الذاكرة * (overflow buffer) في هدف محدد، ومن ثم استغلال هذا الهدف لوضع باك دور.

هنا نلاحظ (خريطة التدفق البرمجي) لملف محقون بروت كيت
وللتوضيح أكثر عن خريطة التدفق البرمجي فهي بشكل مبسط عبارة عن المتسلسلات والخوارزميات التي يقوم بها برنامج ما، ويساعد رسم مثل هذه الخرائط إلى التخطيط السليم للمبرمج قبل قيامه بتخليق برنامجه.
أنواعــــــــــــــــــــــــــــــــه:

تنقسم أنواع الروت كيت إلى ثلاثة أنواع حسب موقع ومكان الملفات والأنظمة التي تصيبها:
1- جوهر النظام (نواة النظام) (kernel).
2- ملفات مكتبة الربط الديناميكي (DLL-Dynamic Link Library).
3- ملفات التطبيقات ( applications).

الروت كيت الخاص بنواة النظام له إحدى اثنتين، إما أن يضيف أكواده في ملف معين في النواة، أو أن يستبدل أكواد معينه بأكواده الغير حميدة، وسواقات الأجهزة ( device drivers) أحد أمثلة ملفات النواة التي يمكن أن تصاب بالروت كيت، ويعتبر هذا النوع من أخطر الأنواع لأنه إن لم يتوفر البرنامج المناسب فمن الصعب اكتشافه وإزالته.
OS loader هو أول برنامج تحكم يستلم التحكم من BIOS ويبدأ هذا البرنامج بمعالجة عمليات الاقلاع في النظام عن طريق بدء تحميل سواقات الأجهزة.. وفيروسات الروت كيت المحقونة على مستوى النواة يتم تحميلها على أنها سواقة جهاز!! ياه بالفعل أمر عجيب!!
الآن اتجه نحو المسار التالي لترى ما هو أعجب

C:\WINDOWS\system32\winlogon.exe

أنه ملف winlogon.exe أتعرف من يكون هذا الملف؟
أنه البرنامج المسؤول عن الشاشة الزرقاء لنظام إكس بي التي تقوم بالترحيب بالمستخدم بعبارة (مرحبا) أو (welcome).
حقن هذا الملف بفيرس من نوع روت كيت سيصعب من عملية إزالته..
بحيث إذا حاولت إزالة الكود الخبيث منه سيعاود البرنامج المحقون كتابة الكود أثناء الخروج من النظام بظهور الشاشة الزرقاء التي تخبر بأن النظام يقوم بحفظ الإعدادات!!(لاحظ أن هذا الملف من أواخر الملفات التي تتوقف عن العمل في النظام من جهة أخرى هو من أوائل الملفات التي تعمل فيه)
ألحين خلي إلانتي فيرس ينفعك هههه
طبعا في طرق معقدة لإزالة مثل هذه الحلقة اللامنتهية.
حذفت أشياء كثيرة من الموضوع لصعوبة استيعابها مبدئيا
وعسى أن تكون لها دروس في المستقبل
وبالتوفيق للجميع

أنقر للتوسيع...

ععاشت ايدك خخويي <3

ƊЄƔƖԼ ƇƠƊЄƦ · ‏26 يوليو 2017

مقتبس من Ahmed Al-Musway: ↑

ععاشت ايدك خخويي <3
أنقر للتوسيع...

حبيبي غالي

arabs2 · ‏30 ديسمبر 2017

رائع مبدع متألق اخوي

ttrrooll6 · ‏18 يناير 2018

تسلم على المعلومات الرائعة

تسجيل الدخول

[ شرح ] موضوع حصري عن Rootkit

محمد شوبكي
ExpErt DeveloPer

Ahmed Kamel
New Developer

klash hacker مشرف قسم حماية الأجهزة
مشرف

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus
DeveloPer Plus

Ahmed Al-Musway
New Developer

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus
DeveloPer Plus

arabs2
New Developer

ttrrooll6
New Developer

مشاركة هذه الصفحة

تسجيل الدخول

[ شرح ] موضوع حصري عن Rootkit

محمد شوبكي ExpErt DeveloPer

Ahmed Kamel New Developer

klash hacker مشرف قسم حماية الأجهزة مشرف

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus DeveloPer Plus

Ahmed Al-Musway New Developer

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus DeveloPer Plus

arabs2 New Developer

ttrrooll6 New Developer

مشاركة هذه الصفحة

عمليات بحث مفيدة

محمد شوبكي
ExpErt DeveloPer

Ahmed Kamel
New Developer

klash hacker مشرف قسم حماية الأجهزة
مشرف

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus
DeveloPer Plus

Ahmed Al-Musway
New Developer

ƊЄƔƖԼ ƇƠƊЄƦ Developer Plus
DeveloPer Plus

arabs2
New Developer

ttrrooll6
New Developer