بسم الله الرحمن الرحيم
Whit Hat Hacker Tutorial's
this tutorial provided by Volcan whit hat hacker
الدوره بخصوص كيفيه تعقب الميل وار مثل الاف بى اى او اى جهاز من اجهزه المخابرات
بى احترافيه شديده و ان شاء الله هتتعلموها بسرعه بس ياريت تركزو معايا
المتطلبات
1- VMware ضرورى جدا جدا جدا
2- Sandbox ضرورى جدا
3- WireShar و اتاكد انك عامل سيت اب اى WinPcap
---------------------------------------------------------------------------------
دلوقتى جينا للشغل اولا اعمل كل شغلك على VMware احسن يعنى سطب كل حاجه من عليه
و استخدم فى الاول ال milware الخاص بيك على شان تتعلم عليه
مبدئيا كده احنا هنستخدم ال Sandbox على شان نعرف هل فيه ملف مصاب ولا لا على برنامج معين
1- كلك يمين على البرنامج المراد فحصه
2- تعمل Run sandbox
هتلاقى البرنامج فتح معاك على الساند بوكس
لو البرنامج نضيف مفيهوش اى حاجه هتلاقيه زى الصوره كده
طيب لو البرنامج فيه باك دور
هتلاقيه بى الشكل ده
طبعا هتقول انك كده تم اختراقك هقولك لا الساند بكوس بيحفظك على شان زى ما احنا عارفين اى برنامج بتكتب على السيستيم انما لما تستخدم الساند بكوس بكده بيتكتب عليه هوا مش على السيستيم
يعنى انتا فى امان تااام
طيب احنا كده اكتشفنا الميل وار
هنعمل ايه دلوقتى بقى !!!
اكيد مش هنسيب اللى حاطت اليل وار ده فى حاله لازم نجيبه
طيب نمشى معى بعض خطوه خطوه من هنا بتركيز شويه على شان نفهم كل حاجه
الجزء الثالث
تعقب المخترق Command and control Center
ملحوظه : بعض الفيروسات المشفره عن طريق ال SSL صعبه التعقب جدا و فى بعض الاحيان يكون مستحيل استخدام هذه الطريقه و هناك الكثير من الطرق الاخرى
ملحوظه اخرى : اذا تم ايجاد فيرس قوم بى الارسال و الاستقبال فعليا و ليس معطل سوف يكون من السهل جدا
تعقبه عن طريق البيانات التى سوف نقوم بجمعها الان
خلونا نبداء دلوقتى
نصيحه : استخدم كل حاجه عن طريق ال VMWare و كل حاجه هتتعرف فى وقتها ان شاء الله
1- اغلق جميع البرامج المفتوحه على جهازك بمعنى ان اى حاجه ليها اتصال بى الانترنت انتا فاتحها اقفلها خالص
طبعا لو بتستخدم ال VMWARE مش هتحتاج تقفل اى حاجه خالص
2- افتح ال Wireshark و اختار الكونكشن اللى شغاله زى الصوره كده
تمام دلوقتى اول ما هتفتح البرنامج هتلاقى قدامك شويه حزم اللى هيا Packets
بس ملهمش اى لزمه لو فتحت اى بروزر عندك ممكن تشوف الباكتس اللى بتعتو
زى الصوره هنا
دلوقتى خلينا نبداء شغل البرنامج اللى عليه الفايرس او الميلوار من على الساند بوكس
طبعا الميلوار هيحاول يتصل بى صاحبه على شان يبعت البيانات و يستقبل التعليمات
و هيبداء ال WireShark يحمل الباكتس بتعتو و هيتم اضافتها فى اللسته اللى موجوده قدمكو
هنبداء نشوف الباكتس اللى بيتم ارسالها و عن طريقها هنبداء التعقب
ممكن تاخد شويه وقت لحد ما تكتشفها يعنى على حسب الباكتس بترسل فين و جهازك بيستقبل عدد من الحزم كبير ولا لا
فى المثال ده هنستخدم IRC Botعلى اساس انى انا اللى اخترقت نفسى يعنى
و طبعا احسن طريقه للحصول على اللى احنا هوزينو هيكون عن طريق الايبى
دلوقتى اول ما هتفتح الميل وار هيكون سهل جدا تعرف الايبى اللى هوا بيتصل بيه ايه
طبعا لو بتستخدم برنامج ال VMware
شوف الصوره
كده انا لقيت الايبى الوحش اللى بيحاول يخترقنى ههههه
دلوقتى بما انى لقيت الايبى اللى اللى بيستقبل و بيرسل التعليمات
خلونا بقا نعمل خطوه اضافيه كمان
هتدوس كيك يمين على الايبى و اختار Follow TCP Stream
دلوقتى هتظهر شاشه جديده فيها بعض البيانات زى ما انتو شيفين فى الصوره الى تحت ده هيديلك فكره عن نوع الميل وار اللى موجود عندك اللى انتا بتتعقبه وطبعا كل المعلومات بتعتمد على نوع الميل وار ايه طبعا اللى احنا شيفينو ده الميلوار بتاع ال IRC Bot
و طبعا بعض المعلومات الزياده زى سرفر ال IRC Bot
و فيه كام اصابه على السرفر الخ....
و بكده تكون تعقبت الميل وار و عرفت هوا جى منين بى التحديد
ارجو ان الموضوع يكون عجبكو معى تحيات
Volcan
درس روعة تسلم ايدك يافولكان
ردحذف