كيف تحمي جهازك دون برامج ضدد الاختراق...؟

dsamirzf · 28-11-2006, 08:57 PM

كيف تحمي جهازك دون برامج ضدد الاختراق...؟

السلام عليكم ورحمة الله وبركاته

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

كيف احمي جهازى ....؟ سؤال يدور بداخل الكثيرفهناك العديد من برامج الحمايه .............!

ولاكننا اليوم سوف نقوم بشىء مختلف وصح يا esoo وانت يا سراج

هنحمي اجهزتنا اليوم بدون الحاجة الى البرامج البعض هيقولى اذاى هقلكم وهنشرح كل شىء انا كده شكلى طولة عليكم اوكى يا جماعة كفايه انا عارف .......

والحين تعالوا معايا سأقوم بشرح كيفية غلق المنافذ بجهازك التي قد تستغل للدخول على الجهاز ، ولكن قبل ذلك سأقوم بتعريف من هو الهكر للي مايعرف وش يعني هكر أو كراكر :

اولاً:ماهو الهكر:

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

هو شخص يخترق بشكل احترافي فكثير من الشركات تكلّف شخص بفك شفرة نظام معين او دخول جهاز معين,وهو شخص خبير ملم بكثير من لغات البرمجه او أوامر اليونيكس للاختراق
بدافع إصلاح او تغيير شيء معين وضمن قوانين معمول بها وقد يتعداها الى أكثر من ذلك حسب الخبرة والاطلاع.

ثانياً:الكراكر

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

هو على النقيض تماماً يخترق جهازك لمجرد العبث به,فهمه الوحيد ووظيفتة هو التجسس ومعرفة مابداخل جهازك بالدرجه الاولى وقد يصل الامر به للتخريب وحرق ملفات النظام وبالطبع سرقة الملفات.

كيف يتم الاختراق؟

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

هناك مايمكن وصفه ببوابات لجهازك أو مايسمى بالمنافذ وهناك عدد من المنافذ في جهازك وكل منها له غرض مثلاً المنفذ 8080احياناً يكون مخصص لمزور خدماتك وكل مايقوم به (الكراكر) هو ان يفتح احد المنافذ حتى يستطيع الوصول لجهازك وهو مايسمى بطريقة الزبون(client/server)حيث يتم إرسال ملف لجهازك يفتح هذا المنفذ فيصبح جهازك خادماً مطيعاً له. ومن ثم يقوم بالوصول لهذا المنفذ عن طريق برامج كثيره منها: (orifice block,net busl,sub seven)ولا تعتقد انه الشخص الوحيد الذي يستطيع الدخول لجهازك. فجهازك قد يصبح مركزاً عاماً يمكن لأي شخص الدخول بمجرد عمل مسح لأي IPمصاب بفتح منفذ معين. ويكون جهازك منها عن طريق احد البرامج
(port scanning)بعد ذلك يقوم المخترق بالاعمال التخريبيه من فتح السيدي روم او حرق الملفات او إغلاق احد البرامج العامله لديك وغيرها من اعمال التخريب بما ان جهازك اصبح خادماً له.

سوف نقوم الآن بغلق معظم البورتات التي يمكن أن تعرض جهازنا لاى محاوله للهجمات أو للتلصص أو تسريب لمعلومات أو دخول اى بريمجات غريبة ضاره
لابد أن نعلم انه كلما زادت عدد البرامج التي تقوم بتركيبها بجهازك كلما زادت البورتات المفتوحة وكلما تعرضت للخطورة
وسوف يكون كلامنا هذا على نظام تشغيل ويندوز اكس بى لأنه هو النظام الشائع والمستخدم ويمكن تطبيقه أيضا على ويندوز 2000

إن ويندوز اكس بى مجهز على وضعه الافتراضي بقائمه من أدوات الخدمات المتعددة التي تخدم المستخدم في شتى الخدمات
وطبعا تختلف طبيعة العمل من شخص لآخر ومن طبيعة الجهاز هل هو جهاز شخصي أم شبكه محليه
وعموما يختلف عدد هذه الخدمات من مستخدم لآخر ومن جهاز لآخر وتبعا لنوعيه البرامج المثبتة
وسوف نقوم بسرد معظم هذه الخدمات والتوصية التي يجب عملها نحو كل خدمه منها
1- قم بتشغيل برنامج خدمات ويندوز اكس بى من لوحه التحكم
control panel
اختار
performance and maintenance
ثم اختار
Administrative tools
ثم اختار
services
وقم بتشغيله
سوف تجد عددا من الخدمات الموجودة لديك وهى
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

automatic update
ويستحسن وقف هذه الخدمة وتشغيلها يدويا عند الحاجة لها أو ليس لها داعي طالما انك لديك sp1 لأنها تستهلك قدرا من الذاكرة وتقوم بفتح منافذ بجهازك
وخاصة لدى ميكروسوفت
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Clip Book
يمكنك وقف هذه الخدمة إذا لم يكن لديك سبكه محليه
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Computer Browser
يمكنك وقف هذه الخدمة إذا لم يكن لديك سبكه محليه أيضا
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Cryptographic Services
إذا لم تكن تستخدم نظام ملفات NTFS قم بتعطيل هذه الخدمة فليس لها داعي
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Error Reporting Service
يمكنك تعطيل هذه الخاصية وهى خاصة بتقرير عن الأخطاء التي تحدث وليس لها قيمه كبيره
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Event Log
أيضا تستطيع إيقاف هذه الخدمة
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Fax
إذا لم تكن تستخدم ميزه الفاكس الخاص باكس بى لإرسال واستقبال الفاكسات قم بتعطيله
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Human Interface Device Access
يمكنك تعطيل هذه الخدمة إذا كنت لاتستخدم المفاتيح السريعة الخاصة بالملتيميديا كما في لوحه المفاتيح الحديثة
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

IPSEC Services
قم بوقف هذه الخدمة
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

NetMeeting Remote Desktop Sharing
وهذه أيضا غير ضرورية
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Network DDE
Network DDE DSDM
إذا لم يكن لديك شبكه قم بتعطيل هذه الخدمات
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Portable Media Serial Number Service
ليس لها داعي قم بوقفها
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Print Spooler
قم بوقفها إذا لم يكن لديك طابعه
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

QoS RSVP
Remote Access Auto Connection Manager
وهذه يمكنك وقفها لغير الشبكة المحلية
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Remote Desktop Help Session Manager
وهذه يمكنك وقفها وهى خاصة بالمساعدة عن بعد وطبعا الله الغنى عنها
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Remote Procedure Call (RPC)
أيضا ليست هامه قم بوقفها
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Routing and Remote Access
توقف لغير ذوى الشبكات
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Security Accounts Manager
أوقفها إذا لم يكن لديك حسابات محليه
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

SSDP Discovery Service
قم بوقف هذه الخدمة الخطيرة
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Task Scheduler
يمكنك وقفها إذا لم يكن لديك جدوله لمواعيد عمل البرامج في أوقات محدده كالفحص عن الفيروسات مثلا كل أسبوع
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

TCP/IP NetBIOS Helper
قم بوقف هذه الخدمة الهامة
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Terminal Services
وهذه أيضا ليس لها داعي
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Uninterruptible Power Supply
ليس لها داعي أيضا
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Windows Time
ليس لها أي داعي
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Wireless Zero Configuration
وهذه أيضا قم بوقفها ما عدا بعض اجهزة المحمول الجديده والتي تتوفر بها خدمه الاتصال اللاسلكي WAN
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

طبعا انا ذكرت انه قد تجد لديك هذه الخدمات وقد لاتجد بعضها وقد تجد لديك ماهو ليس موجود هنا لان ذلك يعتمد على طبيعة عمل وبرامج كل مستخدم
ولكن هذه هي الخدمات الشائعة بصفة عامه
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

والشرح السابق يوضح طريقه غلق وتعطيل هذه الخدمات
بعد ذلك سوف نقوم بتعطيل بعض الخدمات الأخرى وهى :
قم بالضغط على الساعة الموجودة على شريط المهام لديك بأسفل الشاشة ليظهر لك شاشه ضبط التوقيت قم باختيار
Internet time
وأزل علامة صح من أمام
automatically synchronize with an internet time server
ثم وافق وأغلق الشاشة فلست في حاجه لضبط وقتك مع التوقيت العالمي لميكروسوفت

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

قم بالضغط على My computer
وبزر الماس الأيمن اختار Properties أو خصائص
واختار نافذة Remote
وأزل علامه صح من أمام
Allow remote assistance invitation to be sent from this computer
وطبعا أنت لست في حاجه لان تنقل ميكروسوفت أسرار جهازك بهذه المساعدة عن بعد

الخطوة الاخيره وهى تعطيل خاصية المشاركة بالملفات على الانترنت وهى خطيرة جدا لدخول الهاكر جهازك
من قائمه ابدأ
Start
اختار
all Programs
ثم
Accessories
ثم
Communications
ثم
Network Connections
سوف تجد كل إيقونات الاتصال بالنت لديك على كل واحده منها اختار بيمين الماوس خصائص
Properties
ثم اختار
Networking
واشر بالماوس على
Internet protocol TCpIP
ثم اضغط على
Properties
ثم اضغط على
advanced
ثم اختار
Wins
ثم علم على الخيار
Disable NetBios over TCPIP
ثم وافق وكرر ذلك مع اى اتصال آخر لديك

بهذا نكون قد أغلقنا بقدر الإمكان معظم المنافذ المفتوحة أو الخطيرة
وهذا لايعنى انك أصبحت في أمان تام لان هناك كثير من المنافذ المفتوحة من قبل البرامج وقد يكون بعضها هام جدا لكي يعمل الجهاز
وهنا ياتى دور الحاجز الناري فهذه هي مهمته الاساسيه أن يتحكم في المنافذ المفتوحة ويسيطر عليها بكل أمان
واليك مثال مثلا لبعض الملفات الهامة والتي تقوم بفتح منافذ لديك ولكن لاتمنعا وهى
svchost.exe protocol tcp port 135 , 1025 , 3002 , 3003
3007 , 3008 and so on ............
msmsgs udp protocol port 3197
ccapp.exe tcp port 3004
وهو خاص ببرنامج النورتون
explorer.exe tcp port 1024
alg.exe tcp port 3001
وهذه بعض أمثله للمنافذ المفتوحة ولكن لايمكن أن نغلقها فالجهاز لن يعمل إذن عند الاتصال بالنت
ولكن نتركها تحت سيطرة الجدار الناري ومن هنا نتخير الجدار الناري الملائم لكل واحد منا ليسيطر على حركه المرور من والى الجهاز
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

loadqm.exe وسوف تجده في c:windows
loadqm.lgc وسوف تجده في c:windowsapplog
qmgr.dll وسوف تجده في c:windowssystem
qmgrprxy.dll وسوف تجده في c:windowssystem
progdl.dll وسوف تجده في c:windowssystem
qmgr.cab وسوف تجده في c:Program Files Messenger
qmgr.inf وسوف تجده في c:Program Files Messenger
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

اتبع الآتي

انسخ الاكواد التالية وقم بإلصاقها والدوس..

sc config policyagent start= disabled
انتر
sc config ssdpsrv start= disabled
انتر
sc config messenger start= disabled
انتر
sc config w32time start= disabled
انتر
sc config netbt start= disabled
انتر

والحين أنت أغلقت معظم المنافذ ..
اعد التشغيل ..ولاحظ الفرق..
بعد تشغل الجهاز..

نلاحظ أن معظمها أغلقت..
...
وبعد ما أعدنا تشغيل الجهاز أغلقت جميع المنافذ ماعدا 4 منافذ حنغلقها..
والبورتات الباقية..عبارة عن بورتات غير مستخدمه..

في الوندوز xp:
يتم إيقاف الخدمات بالأمر التالي:
C:\WINDOWS>sc config service_name start= disabled

ولإغلاق المنافذ الثلاثة..الأخريات...

IPsec services PolicyAgent
SSDP Discovery Service SSDPSRV
Windows Time W32Time

انسخ الكود في الدوس بعد التأكد من دخول ملف C:\WINDOWS>

code
C:\WINDOWS>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.

C:\>WINDOWS>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.

C:\>WINDOWS>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

ولإيقاف SMB

يتم بإستخدام الأمر التالي..
C:\WINDOWS>sc config netbt start= disabled

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

لإغلاق المنفذ الخطير 135
( من هنا دخل فيروس إعادة التشغيل) دخل من هذا المنفذ ولم يوقفه اي حاجز ناري

اذهب الي لوحه التحكم..
Console root \ Component Services\Computers\ My computer
واضغط عليه بالماوس اليمين وخذ الخصائص

ثم...

ثم اذهب الى ...... Default properties وشيل علامة الصح من امام
Enabled distributed Com

إذهب الى ا... Default Protocols
وظلل Connection Oriented TCP\IP
واحذفها..
بعدها أعد التشغيل وكذا نكون أغلقنا المنفذ 135 للأبد

والحين اغلقنا المنافذ

وشكلكم كده زهقتو منى معلش انا عارف انى طولة عليكم

بس يارب اكون وفقة في الشرح
منقول عن

اخوك النوبي م
منتدي اسود الاطلس

لاينصح بها للاخوه المبتدئين