لقد أصبح الأن من المعروف أن أي برمجيه خبيثه تكون مبرمجه وبحوزتها بعض خدع الهندسه الأجتماعيه ومن هذه الخدع ماهو مختار خصيصا لأخفاء وتمويه ملفات هذه البرمجيه

البرمجيات الخبيثه غالبا ما توجد بأيقونه ملف عادي  مثل الملفات النصيه في محاوله من مبرمجها لخداع المستخدم مع أستخدام أكثر من صيغه مثل “pdf.exe.” أو “doc.exe.” وذلك ليستغل ميزه أن أنظمه الويندوز بشكل أفتراضي تقوم بأخفاء صيغ الملفات وبهذا قد لا يلاحظ المستخدم حقيقه الملف الذي يقوم بفتحه.!

ويقومون أيضا بأستخدام الصيغ الغير معروف أنها قد تكون ملف ضار مثل “scr.

ولكن هذه الخدع البسيطه ليست كل شئ فسوف أريكم في هذه المقاله طريقتين من الطرق المشهوره التي يقوم بها بعض الهاكرز.

PIF Extension

هذه خدعه من الخدع الماكره لأنها تقوم بأخفاء صيغه الملف حتي لو أن المستخدم مفعل ميزه أظهار صيغ الملفات

pif

هذا هو كيف يكون شكل ملف تنفيذي بعد تغيير صيغته لـpif فكما تلاحظ ليس فقط صيغه الملف مختفيه ولكن أيقونته أيضا ! فا أسم الملف الذي تراه أمامك الأن هو “file.txt.pif

RTLO – Right To Left Override

خدعه “من اليمين لليسار” هي من الخدع المشهوره أيضا فكما نعلم جميعا أن معظم اللغات تكتب من اليسار لليمين ومن اليمين لليسار ولخلق التوافق بين هذه اللغات صنع رمز Unicode من أجل أن يحول أتجاه الكلام بشكل ألي.

ولكن الهاكرز قاموا بأستخدامها بطريقه شريره وهي تغيير أتجاه الكلام وبالتالي تغيير الصيغه الظاهره للمستخدم وهذا الرمز هو U+202e

وسأقوم بأستخدام هذا الموقع لكي أقوم بأثبات كلامي وتوضيح الفكره أكثر : https://www.branah.com/unicode-converter

الأن سأغير صيغه ملف من scr لأزورها لـtxt لكي تظهر كا صيغه ملف نصي عادي

الخطوه الأولي : أختر أسم للملف بصيغته ولتكن SCR

1

الخطوه الثانيه : قم بأضافه كود تغيير الأتجاه كما في الصوره

2

الخطوه الثالثه : قم بأضافه الصيغه المراد تزويرها وليكن كا مثال “TXT”

3

الخطوه الرابعه : قم بنسخ الأسم ولصقه علي ملف بصيغه SCR وشاهد النتيجه

4

والأن لو قمنا بتغيير أيقونه الملف لأيقونه ملف نصي فسيبدو تماما كما لو كان ملف نصي ولا تستطيع أثبات عكس ذلك ألا من معلومات الملف

وحتي لو حاولت أن تقوم بأعاده تسميته فستجد الأسم محدد كالأتي :

5

والأن كيف نقوم بهذا بلغه البايثون ؟

لقد جهزت كود بسيط بلغه البايثون يستغل الطريقه الثانيه في تزوير الصيغ ولا يحتاج الي شرح

سنه 2014

سنه 2014 تم أكتشاف ثغره في برنامج الـWinrar تتيح للمهاجم بتزوير أسماء الملفات الموجوده بالملفات المضغوطه عن طريق تعديل قيم الهيكس الخاصه بالملف المضغوط فلو قمت مثلا بضغط أداه putty والأن أقوم بفتح الملف المضغوط الخاص بها من خلال برنامج Hex Workshop فتكون الصوره كالأتي :

capture

والأن كما تري أسم الملف فنقوم بتغييره لـPutty.txt كالأتي :

rtrrt

والأن لو كنت منصب الأصدار المصاب فبعد فتح الملف ستجد الأسم قد تغير لكن أذا قمت بتشغيله يعمل !

لاحظ أن ليست صيغه exe هي الوحيده الخطيره

بل هناك ملفات أخري تستطيع أن تنفذ أوامر علي الجهاز مما يجعلها خطيره ومنها :

الخلاصه

كما رأينا فأنه يوجد العديد من الطرق لتزوير صيغ الملفات وهذه كانت من أبسطهم فمن الأن لا تدع شكل الملف وصيغته طريقه من طرقك في الأستدلال علي أن الملف غير مؤذي 😉