بتـــــاريخ : 2/26/2011 1:56:39 AM
الفــــــــئة
  • الحـــــــــــاسب
  • التعليقات المشاهدات التقييمات
    0 1116 0


    مثال تطبيقي ل RootKit وندوز NT

    الناقل : elmasry | العمر :42 | الكاتب الأصلى : JAAS | المصدر : www.arabteam2000-forum.com

    كلمات مفتاحية  :
    مثال تطبيقي RootKit ويندوز NT

    مثال تطبيقي ل RootKit
    -
    في هذا الموضوع سنناقش مفهوم rootkit لأنه بدأ ينتشر في عدة مجالات أهمها الأمن والحماية
    وكما تلاحظ فإن اخطر الفايروسات تستخدم هذة الطريقة للتخفي
    وظهرت عدة شركات تستخدمها في الحماية ؟ مثل حماية الاقراص والملفات
    وبدأ إنتشار RootKit ليشمل برامج مكافحة الفايروسات
    -
    كما قلنا سابقا مفهوم rootkit يعني التخفي و الصلاحيات وهو الشكل المرئي من موضوع الامتيازات في النظام
    نعرف بأن أنظمة التشغيل تعمل في عدة مستويات او امتيازات لتعطي البرامج الاحقية في الوصول
    اما rootkit فيكم تقسيمها كالتالي
    1- إخفاء Files & Folders
    2- اخفاء Processes
    3- اخفاء Handles
    4- اخفاء Registry Keys & Values
    5- اخفاء Services
    6- اخفاء TCP/UDP Sockets
    7- اخفاء Systray Icons
    -
    وفي مثالنا تستطيع تطبيق كل هذة الامور
    ملاحظة: هذا المثال يعمل تحت WINDOWS NT/2000/XP/2003
    -
    قبل ان نبدأ قم بتخزين الملف المرفق , تجد بداخلة ملف root.exe وملف readme.txt والكود المصدري
    الآن توجه إلى اي درايفر وليكن d وبعد ذلك اضف مجلد جديد بإسم RootKit بهذة الطريقة d:\RootKit
    بداخل المجلد الجديد ادخل الملف root.exe وملف readme.txt
    بعد ذلك اضف اي ملف تنفيذ إلى المجلد وليكن ملفtest.exe بهذة الطريقة d:\rootkit\test.exe
    بعد إضافة الثلاث ملفات ,,, تابع الموضوع
    -
    اولا: اخفاء الملفات والمجلدات
    قم بالدخول إلى المجلد d:\RootKit
    الآن من خلال الدوس او من قائمة start ثم run
    نفذ الامر التالي D:\RootKit\root.exe /i
    وهو عبار عن تنفيذ برنامج root بإستخدام البارمتر i
    ستلاحظ ظهور المكتبة hook.dll في نفس المجلد ,هل تريد ان تعرف ما عملها
    -
    الآن اخرج من المجلدD:\RootKit يعني اغلق النوافذ الظاهرة وارجع للدسك توب
    الحين توجهة لل My Computer ثم الدرايفر D ؟ ماذا تلاحظ
    هل المجلد d:\RootKit موجود !! وين اختفى ..... تابع
    حاول الدخول من address bar اكتب d:\rootkit سيظهر لك مسج خطأ بأن المجلد غير موجود؟
    تعرف ليش ؟ ليس للنظام نفسة احقية الوصول! بتوضيح اكثر ليس ل explorer.exe احقيه الدخول للمجلد
    حاول إظهار او اخفاء المجلدات ؟ حاول بالدوس بأي شيء بمستوى المستخدم ما بتقدر تدخل
    هذا بإختصار مفهوم اخفاء الملفات والمجلدات ,,, مع الملاحظةان المجلد مازال موجود
    -
    تابع.. اخفاء العمليات والمقابض و...
    الحين من خلال start ثم run او من خلال الدوس نفذ برنامج المثال الذي وضعناه بالمجلد
    كما يلي : D:\RootKit\test.exe
    سيعمل البرنامج ...لو كانت النافذة الرئيسية مخفية ( كما هو الحال في كل الفايروسات )
    هل ستلاحظ وجود البرنامج ؟ توجه لل task Manager او اي برنامج مستعرض Processes لن تجد اي اثر
    لبرنامجنا test.exe
    وهكذا مع بقية خصائص الاخفاء ,,, بمجرد ادخال اي ملف او برنامج إلى مجلد d:\rootkit
    سيكون له امتيازات خاصة للأخفاء كل مما يلي:
    Files & Folders
    Processes
    Handles
    Registry Keys & Values
    Services
    TCP/UDP Sockets
    Systray Icons
    -
    تريد تتأكد من وجود الملفات!! الطريقة الوحيدة لكشفها هي بإستخدام برنامج RootkitRevealer
    http://www.sysintern...kitRevealer.zip
    كما في الصورة:

    Resized to 93% (was 701 x 410) - Click image to enlargePosted Image

    -
    وبعد هذة الأمثلة بالتأكيد تريد تعرف كيف يعمل برنامج root.exe
    الجواب على ذلك ملفات الكود المصدري ... ملاحظة الكود بلغة الباسكال
    لاتهمنا اي لغة برمجة أهم شيء دوال API المستخدمة هي التي توضح الصورة وهي نفسها في اي لغة ,,, وبالتأكيد إذا وجدت نقطة غير مفهومة في هذا الموضوع سنحاول حلها
    -
    -
    وفي النهاية أمثلة عن rootkit وإستخدامة في الحماية
    http://www.sysinternals.com/blog/2005/10/s...tal-rights.html

    وبالتوفيق ,,,
     
    ملف مرفق(ملفات)
     
    ملف مرفق  AFXRootkit.zip (266.04كيلو )

    كلمات مفتاحية  :
    مثال تطبيقي RootKit ويندوز NT

    تعليقات الزوار ()