النقاشات

نقاش : اهم خطوات فحص الانظمة والتاكد من سلامتها

تم أرشفة هذا المحتوى


بسم الله الرحمن الرحيم

كمختبر اختراق او محقق جنائي رقمي لاشك بأنه قد اسند اليك يوم ما مهمة فحص جهاز والتاكد من سلامته وخلوه من اي برامج خبيثه او باك دور في النظام . دعونا نناقش اهم الخطوات والإجراءات التي سوف تقوم بها عند فحصك لهذا النظام . النظام الذي نريد فحصه هو جهاز مستخدم وليس سيرفر .

في البداية عليك بذكر نوع نظام التشغيل .

اولاً : اشرح الخطوات التي سوف تقوم بها بالتفصيل  .

ثانيا : هل تستخدم اي ادوات او برامج مدفوعة او مجانيه في العملية .

ثالثاً : هل تعتمد على التقارير التي تسجل في النظام وماهي التقارير التي تتفحصها .

رابعاً : اذا  تأكدت من وجود فايروس او تروجان كيف تتعامل معه .

خامساً : في جميع الاحوال ماهي النصائح التي سوف تنصح بها صاحب الجهاز بعد عملية الفحص للبقاء امن .

هل هناك اي معلومات او نصائح قد  تفيد في العملية .

شكرا لكم مقدماً.

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

‫6 تعليقات

  1. شرح النقاط بالتفصيل سيكون صعب لكن سأتحدث باختصار عما افعلة 🙂

    أولا: اخذ نسخة احتياطية من الهارد ديسك clonning و افضل ان تكون على صيغة raw
    ثانيا: اخذ نسخة اخرى على صورة virtual machine

    ثالثا: فحص الجهاز الحقيقي physical machine باستخدام احد مضدادات الفيروسات التي تعمل Live cd او استخدام توزيعة اوبنتو مع برامج مثل avast او calmv
    رابعا: تحليل سجلات الجهاز و الملفات المؤقتة temp & logs دون تشغيل الجهاز نفسة (اما عن طريق نسخة ال raw او ال vm)
    خامسا: تشغيل ال virtual machine و وضعها على شبكة وهمية متصلة بالانترنت و مراقبة ال tarffic المار منها و اليها و تحليل المشبوه منه

    هذه اغلب الخطوات بصورة سريعة ..

    لا استخدم سوى البرامج الحرة في جميع العمليات
    باثتثناء برنامج (مجاني و ليس حر) vmware client converter

    1. شكرا اخي عبدالله على مشاركتك

      طريقتك رائعة ولكنها كانت مختصره جدا
      عمل نسخة من النظام وتحويلها الى vm ايضا فكره رائعة تجعلك تفحص الجهاز دون الاضرار او تسجيل اي تقرير على الجهاز الحقيقي وهذه من اهم الاشياء في التحقيق الجنائي الرقمي عدم اتلاف الدليل وبقائة كماهو ليتم قبوله في المحكمة لانه اذا تم التعديل في اي من ملف من ملفات التقارير يتم رفض الدليل قانونياً .

      تسجيل حركة الترايفك ممكن استخدام اداة tcpdump

  2. موضوع مهم وطريقة ممتازة اخي علي
    اولاً : اشرح الخطوات التي سوف تقوم بها بالتفصيل .
    ج فحص النظام من الفيروسات والبرامج الضارة وتحليل ملفات log وكذلك تحليل الشبكة اعن طريق البيانات المرسلة من النظام
    ثانيا : هل تستخدم اي ادوات او برامج مدفوعة او مجانيه في العملية .
    ج المجاني والمدفوع

    ثالثاً : هل تعتمد على التقارير التي تسجل في النظام وماهي التقارير التي تتفحصها .
    ج من المهم فحص التقارير

    خامساً : في جميع الاحوال ماهي النصائح التي سوف تنصح بها صاحب الجهاز بعد عملية الفحص للبقاء امن .

    هل هناك اي معلومات او نصائح قد تفيد في العملية .

  3. السلام عليكم … انا اولا استخدم انظمة لينكس و اعتقد ان انظمتي لا تحتاج ان احمل من النت اي برامج ولهذا السبب يكون نسبة اختارقي ليس كبيرة لكن لو كنت استخدم الوندوز اولا

    اقوم بجلب جهاز اخر و افحص جهازي باستخدام nmap و اقوم بتحقيق من كل ثغرة و ما عملها

    ثانيا اقوم بعرض log و عرض الريجستري و معرفة البرامج التي تبدء مع بداية النظام

    ثالثا احدد مسارات الفايروسات و اقوم بتثبيت نظام لينكس عل فلاششة و اشغل النظام ك تجربة مثل نظام باك تراك يمكن تشغيلها بدون تثبيت و الغرض منها انها تعرض ملفات اكثر لايمكن رئيتها من سيف مود

    رابعا اقم بمسح داتا بيس و كل الملفات المصابة

    خامسا اعيد تشغيل الجهاز من دون ربط بالنت و اقوم ب مقارنة الlog و رجيستي و حتى تاس مانج

    سادسا اقوم بثبيت اقوى برامج الحماية و اعمل سكان كامل لكش ان كان هناك فايروسات اخرى

    سابعا اتصلها بالنت و اقوم بمراقة كل بورتات و مدخلات و مخرجات الجهاز باستخدام جهاز اخر بطريقة تجسسية

    ثامنا يكون جهازي امن انشاء الله و لو مو امن اعمل فورمات و الله كريم ^_^

    تحياتي الى الموقع المحترم

  4. اولا مشكورين على النقاش ونتمنى ان تكون متابعة للمشرفين على الموقع من خلال طرح ولو جزء من تجربتهم وكدللك الأخوة الخبراء المتابعين للموقع

    بالنسب لي الخطوات تكون عبر مرحلتين

    المرحلة الأولى فحص قبل بداية إشتغال النضام بأدوات خاصة بالروتكيت وشبيهاتها من البرامج التي تعمل قبل النضام إما عبر برامج من شركات عملاقة متلا الكاسبر أو السيمنت أو إستخدام قرص live للفحص
    المرحلة التانية تعمد على نتيجة الأولى وفي الغالب إستخدام combofix أو ZHPDiag G أو Run ScaNneR

    في الغالب أعتمد على تقارير الأدوات أعلاه مع الإستعانة ببعض الأوات الخاصة بفحص ترافيك الشبكة أو الفحص أتناء الإشتغال متل

    إدا كان هناك أي فيروس يكون التعامل معه — حسب خبرتي المتواضع طبعا —- إدا كان مشهور ومعروف نتيجة عدواه أو ما يفعل في النضام بأدوات مخصص له
    بالنسبة للنصائح أضن أنه على العموم ; عدم القيام بتحميل وتتبيت اي برامج من غير موقعها الرسمي وكدلك الدخول الى الروابط المشبوهة كما انببه الى الوقاية من الفلاشات عبر تعطيل القرائة الأتوماتيكية للأقراص

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى