التروجان من الالف الى الياء
بسم الله الرحمن الرحيم
الحمد لله على نعمه والذي تم بحمد من الله وتوفيقه أن أنجز موضوعي هذا بمساعدة من اخي
العزيز ابو خولة .. واسئل الله أن يجعل هذا العمل في موازين أعمالنا..
موضوعي هذا باذن الله راح يكون شامل وكامل والكمال لله سبحانه للذي يريد ان يعرف كيف تزال التروجونات وكيف تصاب فيها…
بداية: (إذا اطلق لك او سمعت كلمة تروجان TROJAN فهو اسم لكل من سيرفر SERVER و باتش PATCH وتجسس SPY.. يعني كلها ملفات تجسسيه ..وليس هناك إختلاف بينها سوا أن خبراء الحماية يحبذون ان يبتدعوا لها الاسماء الجديده … وكلها تقوم على مبدئ واحد وهو التجسس والتدمير ..
فـ التروجان TROJAN هو ذلك الملف الخادم الذي يدخل أجهزة الضحايا لعمل أعمال غير مشروعة وتحّصل ان تدخل الى اجهزة الهكر الجدد الداخلون في هذا العالم..
طرق الحماية من التروجان وطرق الاصابة:
– عن طريق برامج المحادثة مثل Microsoft chat و Icq وMirc و Msn وYahoo الـــخ .. الحل :عدم استقبال اي ملف مهما يكن وخاصة التي يكون امتدادها Exe ..وحاليا ظهرت برامج تقوم بتغير امتداد الصور ال Exe فبعض الهكر يستخدمها في الضحك على الضحايا ويقول لهم انها صور مغير امتدادها الى Exe ولكنه قد يدس السم (التروجان) بداخلها او قد تكون هي التروجان بحالها…
2- عن طريق البريد الالكتروني .. الحل انك تقوم بحذف جميع الرسائل المجهولة .. والتي لا تعرف من هو مرسلها ..
3- عن طريق تصفح موقع مشبوه يدخل التروجان إلى جهازك عن طريق تحميل لبرنامج مجهول فور دخولك الموقع وغالبا ما يستقر في الـ StartUp او على حسب اعداد الهكر لتروجان .. الحل : انك تفعّل خاصة الحماية التلقائية Auto Protect وتفعّل خاصية ****** Blocking في برنامج الـ norton2002 وبرامج الحماية الاخرى اذا كانت فيها هذه المميزات..
4- عن طريق تحميل برامج من مواقع مشبوه.. الحل : واذا كنت مضظر ان تحمل منها ينبغي ان يكون في جهازك برنامج حماية لكي يقوم بعمل الكشف الازم والمجاني على البرامج وايضا فحص البرنامج قبل تنصيبه في الجهاز ببرامج الحماية من الفيروسات والتروجان ..
5- عن طريق المنتديات التي تفعّل خاصية html قد ياتي من هو حاقد على المنتدي ويزرع الكود في رد لموضوع او في موضوع جديد.. الحل : ان يقوم صاحب الموقع بعمل إلغاء تفعيّل html..
6- عن طريق الماسنجر بـ انواعها هناك برنامج جديد ولكني لا اعلم مدى مصداقية كاتبة وهو يقوم بعمل سرقت الملفات والصور من جهاز الطرف الاخر اذا كان online ومن دون إذنه واسم البرنامج imesh .. الحل : لا تضيف الا من تعرفهم واذا صادفت اي شخص لا تعرفه وشكيت فيه فقم بعمل حظر ثم الحذف.. ولكن اذا كان في جهازك تروجان وعملت حظر للهكر فراح يدخلوا وانت لا تعلم لان الحظر لن يفيد ما دام الخادم في جهازك يستقبل اوامر العملاء .((وانا لى وقفة بسيطه حول هذا البرنامج قد يكون هذا البرنامج مثل اخواتها من التروجونات .. يعني قد تسمح لمصمم البرنامج ان يتجسس عليك وانت تحاول ان تتجسس على الاخرين ..اخذً بشعار افترس المفترس ….وهذا هو حال كثير من برامج التجسس افتراس المفترس)…
كيف تتخلص من التروجان إذا اصاب جهازك:
لمستخدمين وندوز ME :
مجلد Restore ,قم باعادة التشغيل ومن الضغط على Ctrl او F8 او استخدام قرص الاقلاع DISK BOOT (بداية التشغيل) واختار Ms-Dos prompt واطلب المجلد restore_ وعادة ما يكون في :C وفي حالة وجوده في مجلد الويندو يمكنك طلبه مباشرة من خلال الويندو ,,
ويمكنك استخدام اوامر الدوز كما يلي :-
A:> cd c
C:>cd windows "لو كان مجلد ٌُRestore في الويندو
C:>cd _restore لاحظ الخط الصغير لو كان موجود
C:>dir Restore ومنها تستطيع رؤية الملف او الملفات المراد الغائها كالتالي
C:>_Restore del xxx
xxx هوالملف المراد إلغائه.
لكي تنشئ قرص الاقلاع DISK Boot اتبع مايلي ادخل على الوندوز ثما اختر ايدا Start ثما اختر الاعدادات Settings ثما اختر لوحة التحكم Control Panel ثما اختر إضافة وإزلة البرامج AddRemove Prgrams ومن هناك اختر من فوق قرص بدء التشغيل StartUp Disk وادخل بعدها دسك مرن ويفضل ان يكون جديد ثما قم بالنقر على إنشاء القرص Create Disk
هناك طريقتين لحذف التروجان لمن لا يستخدم وندوز ME وانا مجربها على وندوز 98 وهي إما بواسطة برامج الحماية وهذه هي الطريقة الاوتوماتيكية او الطريقة اليدوية عن طريق الدوس DOS وهي الافضل والاقوى من خلال تجاربي مع التروجونات
اذا عملت بحث بواسطة برامج الحماية وصاد لك فإنه في بعض الاحيان لا يمكن حذف التروجان من قِبل برامج الحماية الان التروجان قد يحذف معه ملف مهم من ملفات النظام وفي هذه الحالة تضطر الى استخدام الطريقة الاخرى وهي الافضل والاسلم وهي كالتالي:
لنفرض ان التروجان اسمه Server صده لك برنامج الحماية .. اول خطوة وهي ان تشيك عليه هل هو يشتغل مع تشغيل الجهاز . من ابدا Start ثما تشغيل Run اكتب msconfig ثما انتر ثما اختر من فوق بدء التشغيل Start UP ومن هناك ابحث عن اسم التروجان وغالبا ما يكون اسمه على الاسم الذي تم صيده ..ثما اذا وجدته ازل الصح من امامه ثما اعد تشغيل الجهاز ..الخطوة الثانية وهي ان تحاول ان تجمع اكبر قدر من المعلومات عن التروجان الذي تم صيده حتي تتعرف عن اماكن إختبائه في الجهاز وعن تسجيل نفسه في الرجستر او في Win.ini او System.ini او جميعها معاً .. وافضل ثلاث مواقع يقدم لك الاستفسار الكامل عن اي تروجان هما http://www.dark-e.com/archive/trojans/ و http://www.google.com/ و http://www.moosoft.com/tdbindex.php الخطوة الثالثة بعد إعادة التشغيل ينبغي ان ان تكتب اسم التروجان كامل في ورقة خارجية ثما تذهب الى الدوس الخارجة عن نطاق الوندوز وهي من ابدا Start ثما إيقاف التشغيل Shut Down ثما اختر الرجوع الى بيئة الدوس RESTART IN MS-DOS MODE ثما اتبع هذه الطريقة لكي تبحث عن التروجان وانتبه الى المسافة بين الامرdir وبين اسم التروجان ولا تنسى النجوم *.*:
*.*C:/Windows>dir server
ثما انتر واذا وجدت اي ملف اسمه server وامتداده الاخير هو EXE فهو مطلوبك وعليك ان تحذفه بهذه الطريقة وانتبه الى المسافة بين deltree وبين اسم التروجان ولا تنسى النجوم *.* :
*.*C:/Windows>deltree server
ثما انتر ثما راح تسئل بـ سؤال ضع علامة Y .. وقد يكون هناك اكثر من برنامج يحمل نفس الاسم ولكن الامتداد يختلف .. اهم شئ انك تبحث عن اسم التروجان server والذي يكون امتداده EXE ………… هذه هي الطريقة اليدوية والفعالة في حذف التروجان من الجهاز…طبعا تضع بدل من كلمة server الاسم الذي تم رصده من مكافحات التجسس..ثما اعد تشغيل الجهاز ..
ملاحظه مهمه جدا جدا جدا:
اذا شاهدت اي موقع كاتب امر الحذف من الدوس Delete فالرجاء إخباره ان الامر خطا ولن يقوم بحذف اي شئ وانما الامر الصحيح هو Deltree …. وايضا هناك امر اخر للحذف وهو Del ولكني افضل الامر الاول لانه اشمل في الحذف ويقوم بحذف كل شئ مخفي من اثر التروجان ويتعقبه في كل الادله …وليس مثل الامر Del ..
والان نحن في الوندوز وبعد ما تم حذف التروجان وبقي ان نزيل بعض من آثاره من win.ini او system.ini او من الرجستر ..طبعا بعد ما تدخل الى احدى المواقع اللى فوق وبعدما تبحث عن اسم التروجان الذي تريده ان تعرفه عنه … وكان تروجانك هو server وحصلت على هذه المعلومات من المواقع السابقة وهي انه من فصيلت SubSeven اهم شئ من المعلومات هذه من القسم How To Remove:
وعليك ان تتبع مسار التروجان في مكانه ..وبعد التمحيص عن التروجان وجدناه يسجل نفسه في الرجستر فله هذا الاسم RunDLL32r وطبعا طريقة الدخول الى الرجستر كالتالي: من تشيغل Run اكتب regedit ثما انتر والان ابحث عن اسمه في هذا المسار HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr
entVersionRun اذا لم تكن تعرف من اين نهاية المسار او مسار البحث فهو Run ابحث هناك عن اسمه هذا RunDll32r فاذا وجدته ضع مؤشر الماوس فوقه ثما كلك يمين ثما اختر حذف Delete وعليك البحث ايضا في هذا المسار والبحث عن الاسم RunDll32r على حسب نوع المعلومة المقدمة من موقع الحماية:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr
entVersionRunServices
وعليك البحث في Win.ini و System.ini والتي تجدها في تشغيل Run واكتب هذا الامر msconfig ثما اختر من فوق System.ini ابحث في قسم الـ Boot عن اي اسم غريب تحت هذا المجلدshell=Explorer.exe ثما ازل منه الصح ولكن تحقق انه هو التروجان….وهكذا …..
بعض التروجونات قد تحذف معها ملفات مهمه من الجهاز وفي هذه الحالة يتطلب منك ارجاعها .
وطريقة الاسترجاع كالتالي
في تشغيل RUN اكتب SFC ثما انتر ثما اختر الاعدادات SETTINGS ثما في اخر شئ ضع علامة صح تفقد الملفات المحذوفه CHECK FOR DELETED FILES ثما اختر موافق ومن بعدها اختر ابدا START واترك البرنامج يقوم بعمل فحص للملفات قد يكون هناك ملف محذوف ويتطلب رجوعه بواسطة CD .. طبعا على حسب نوع النظام اللى عندك يعني اذا عندك نظام 98 لازم سي دي 98 وهكذا… فاذا وجد ملف محذوف طلب السي دي واكمل بعدها اجراءات استرجاعه..