- بواسطة x32x01 ||
لابد أنكم سمعتم فالكثير من المرات عن الروتكيت و إستخدامها في الهاك بقت تدور في بالك وتريد معرفة ماهو الروتكيت وكيف يعمل ولماذا
فالبداية الروتكيت هي برنامج أو مثود تدمج مع برامج التروجان و البايلودز أثناء عملية الإختراق و يكون عمل الروتكيت هو إخفاء كل العمليات التي يقوم بها برنامج الإختراق عند الهدف زالإتصال الحادث بين المهاجم والضحية و يندمج مع نواة نظام التشغيل ويكون له تحكم شبه كامل للكمبيوتر لأنه في منطقة حساسة و يعمل على المستوى الأدنى لذلك يصعب معالجته حتى لو كشفت عنه و عليك بحذف كل الهارد ديسك للتخلص منه
لنرى كيف يعمل الروت كيت نعلم أن في كل نظام لدينا برنامج لمشاهدة العمليات التي يعالجها المعالج (البرامج التي تعمل ) الروتكيت يخدع هذا البرنامج مثلا في ويندوز نفتح الدوس ونكتب tasklist و ستظهر لك البرامج التي تعمل في تلك اللحظة و في لينكس نفتح الترمنال و نكتب top لترى البرامج المشتغلة في لينكس كل عملية لها ملف خاص بها عل المجلد proc ويحمل رقم الآيدي وعندما يقوم المستخدم بكتابة top البرنامج مرفق برقم الآيدي و معلومات أخرى (هذه الملفات غير قابلة للتعديل)
فالروتكيت فالبداية يعمل كبرنامج عادي و ذلك لمعرفة الأيدي الخاص به (الخاص ببرنامج الروتكيت) و حتى لا يثير شكوك المستخدم و مضاد الفيروسات الآن لدينا رقم الآيدي لكن لا يمكننا التعديل على ملفات proc فهناك طريقة تسمى bind mount سأشرحها لاحقا و لإتمام هذه العملية يجب إنشاء مجلد فارغ ونسميه أي إسم (نستغل هذه العملية ونكتبها في بداية البرنامج لكي يضن النظام أن هذا برنامج عادي لكي نحصل على رقم الآيدي) ثم نستعمل bind mount لتبديل ملف العملية الأصلي بالفارغ وهنا سيكون البرنامج مخفي وبعدها ينفذ الإتصال العكسي و يتصل بحاسوب المهاجم و يمكنك إضافة ماتريد كتسجيل ضربات المفاتيح والسكرينشوت تشفير البيانات
فالبداية الروتكيت هي برنامج أو مثود تدمج مع برامج التروجان و البايلودز أثناء عملية الإختراق و يكون عمل الروتكيت هو إخفاء كل العمليات التي يقوم بها برنامج الإختراق عند الهدف زالإتصال الحادث بين المهاجم والضحية و يندمج مع نواة نظام التشغيل ويكون له تحكم شبه كامل للكمبيوتر لأنه في منطقة حساسة و يعمل على المستوى الأدنى لذلك يصعب معالجته حتى لو كشفت عنه و عليك بحذف كل الهارد ديسك للتخلص منه
لنرى كيف يعمل الروت كيت نعلم أن في كل نظام لدينا برنامج لمشاهدة العمليات التي يعالجها المعالج (البرامج التي تعمل ) الروتكيت يخدع هذا البرنامج مثلا في ويندوز نفتح الدوس ونكتب tasklist و ستظهر لك البرامج التي تعمل في تلك اللحظة و في لينكس نفتح الترمنال و نكتب top لترى البرامج المشتغلة في لينكس كل عملية لها ملف خاص بها عل المجلد proc ويحمل رقم الآيدي وعندما يقوم المستخدم بكتابة top البرنامج مرفق برقم الآيدي و معلومات أخرى (هذه الملفات غير قابلة للتعديل)
فالروتكيت فالبداية يعمل كبرنامج عادي و ذلك لمعرفة الأيدي الخاص به (الخاص ببرنامج الروتكيت) و حتى لا يثير شكوك المستخدم و مضاد الفيروسات الآن لدينا رقم الآيدي لكن لا يمكننا التعديل على ملفات proc فهناك طريقة تسمى bind mount سأشرحها لاحقا و لإتمام هذه العملية يجب إنشاء مجلد فارغ ونسميه أي إسم (نستغل هذه العملية ونكتبها في بداية البرنامج لكي يضن النظام أن هذا برنامج عادي لكي نحصل على رقم الآيدي) ثم نستعمل bind mount لتبديل ملف العملية الأصلي بالفارغ وهنا سيكون البرنامج مخفي وبعدها ينفذ الإتصال العكسي و يتصل بحاسوب المهاجم و يمكنك إضافة ماتريد كتسجيل ضربات المفاتيح والسكرينشوت تشفير البيانات