امنیت لازم هک و هکر

[sahare poya]

سلام عزیزان
از دوستان و اساتید محترم استدعا دارم مطالب, نرم افزار, کد, برنامه, ترفند یا هر گونه راه و روشی که درهک توسط هکر برای حفاظت کامل از هویت برنامه هک در حال اجرا و هویت خود هکر مدنظر بوده و باید رعایت شود را در این قسمت مطرح نمایید تا کاربران علاقمند استفاده کنند.از اینکه مارو تحویل میگیرید و تحمل میکنید ممنونم مرسی سحر

[lord_viper]

این مقوله هایی که شما فرمودین خودش یه کتاب n صفحه ای میشه
اما به طور خیلی خلاصه
برای یه هکر بعد از نفوظ به هر چیزی مثلا سرور اولین راه مخفی کردن برنامه های خودش هست که معمولا برای این کار از روتکیتها استفاده میشه
دومین حرکت پاک کردن رد پاهای بجا مونده هست یعنی پاک کردن log ها که تمام دسترسیها خطاها و ... ثبت میشن البته هکر های حرفه ای log فایلها رو ویرایش میکنن و اطلاعات مربوط به نفوظ خودشونو پاک میکنن
در قسمت بعد مشکل امنیتی که خودشون بوسیله اون وارد شدن رو طوری میبندن که دیگران از ون طریق دیگه وارد نشن و سیستم فقط در اختیار خودشون باشه

[sahare poya]

سلام لرد عزيز
بنده هم منظورم از اين پررويي که کردم اين بود که اين تايپيک محل بحث و ارائه راهکارهاي آموزشي بشه که ما تازه کارها بتونيم راه بيفتيم وگر نه جواب موارد بالا به فرموده شما nصفخه کتابه, اما جناب لرد عزيز جملاتي عموميي مثل ويرايشlog يا استفاده از روتکيت ها و پاک کردن ردپا(که صدها بار اين کلمات را خوانده ام) براي تازه واردي چون بنده به غير از تحريک حس کنجکاويم معناي زيادي نخواهد داشت. چشم اميد به بزرگواراني چون شما داريم تا موارد ياد شده رو بتونيم يکي يکي و قدم به قدم از محضرتون ياد بگيريم مارو هم بعنوان شاگرد کم استعداد خودتون قبول کنيد. بعض وقتها فکر ميکنم کاش اين سايت واقعا عالي يه قسمتي بعنوان انجمن تازه واردها براي آموزش داشت که ما با سئوالات ابتدائيمان وقت عزيزاني مثل شما رو تلف نميکرديم . از پر حرفي ام معذرت ميخوام دست خودم نيست بيراه نگفتن خانوما زياد حرف ميزنن. دوستون دارم سحر

[saeedsmk]

سلام
خوب هستيد ببنيد شما يك سئوال كلي پرسيد و لرد جان هم بصورت كلي جوابتون رو دادند. مثلا استفاده از روت كيت ها خودش يك بحث جامع رو ميطلبه . روت كيت ها اصولا برنامه هاي هستند كه درون فايل اجرايي و يا خارج فايل اجرايي پروسس فايل اجرايي رو از ديد يوزر پنهان ميكنند. مثلا من ادمين يك سرور هستم و به دلايلي مثلا كرش يك برنامه وارد تسك منجر ميشم و يهو چشم ميخوره به يك فايل suchost سريعا مشكوك خواهم شد و به بررسي اين فايل خواهم پرداخت و.... حال هكر براي اين كه اين طوري لو نره ميايد با روش هاي اين پروسه رو از ليست تسك منجر مخفي ميكنه كه به اين روشها با يك سري خواص ديگه روت كيت ميگن. حالا اين روت كيت چطوري كار ميكنه خودش يك مساله و روش استفاده اون بر اساس نوع و نحوه برنامه نويسي روت كيت خودش دومين مساله است . لذا دستور خواصي براي استفاده از اين روت كيت ها موجود نيست. چون هر كدومشون بر اساس يك حالت مشخص تعيين ميشن
اميدوارم كمك كرده باشه
به اميد ديدار

[lord_viper]

[align=right]یکی از تکنيک های اصلی مخفی شدن روی یک سيستم و پوشاندن مسيرهای ورود، استفاده از برنامهRootKit و ( Backdoor ) درب پشتی است. rootkitبه یک هکر امکان دسترسی به سيستم را با
دور زدن کنترل های امنيتی معمول می دهند. برنامه های درب پشتی که به آنها اسب های تروا یا تروجان
هم می گویند به هکرها اجازه می دهند که از راه های ورودی و پورت های باز شده دیگری که به وسيله
نصب و باز شدن این برنامه ها در سيستم قربانی ایجاد شده اند برای نفوذ و دسترسی به آن سيستم
استفاده نمایند RootKit ها در مقایسه با تروجان یا درب پشتی در سطح برنامه بسيار عميق تر به عمق سيستم های عامل نفوذ می کند علاوه بر آن هکرها rootkit را برای از کار انداختن برنامه های اجرایی
که به عنوان چشم ها و گوش های یک مدیر سيستم می باشند، file monitoring ,port monitoring,taskmanager و برنامه هایی از این قبیل استفاده می کنند.با تغيير این برنامه ها هکرها می توانند حضورشان بر روی سيستم را پنهان سازند rootkit ها چگونه کار میکنند
در سیستم عامل ویندوز هر چیزی خواه ناخواه به api ها وابسته هستند و هر برنامه ای که روی ویندوز اجرا میشود از این توابع استفاده میکند هنگامی که یک روتکیت اجرا میشود کد های مخرب خود را به کرنل ویندوز و به جای توابع api مورد نظر خود مثل finddirstFile یا createProcess و Process32First و CreateToolhelp32Snapshot
هر برنامه ای برای نشان دادن لیست پروسسهای سیستم از توابع Process32First و CreateToolhelp32Snapshot استفاده میکند هنگام برقراری ارتباط شما به جای درخواست از api اصلی در خواست به roottkit فرستاده میشود و در اینجاست که وقتی rootkit در خواست شما را به تابع اصلی ارسال میکند و هنگام فرستادن جواب به برنامه شما اسامی پروسسهای مورد نظر خود را از ان حذف میکند به این طریق شما به هیچ عنوان از اجرای ن پروسس اطلاع نخواهید داشت این کار را برای ساخت یک کانکشن و باز کردن یک پورت یا مخفی کردن فایل از فایل منجرها نیز انجام میدهد
در بخش انتی ویروس یک برنامه برای شناسایی rootkit ها وجود دارد
حذف و تغيير فایل های ثبت وقایع در ویندوز nt
سرویس ثبت بر روی کامپيوترهایی که سيستم عامل ویندوزNT / 2000 / 2003سرور دارند سرویس ثبت وقایع بنام Eventlogنصب می شوند که یک مجموعه از فایل با پسوند .log ایجاد می کند که با برنامهNotepadویندوز باز می شود و به طور موقت اطلاعاتی درباره وقایع برنامه ای و سيستمی ثبت شده و امثال آن را نگه می دارد مثل Login کاربر اطلاعات ( Failure ) کاربر، اختلال در کنترل دستيابی، شکست های سرویس
مربوط به وقایع، فقط به صورت موقتی در این فایل ها نوشته می شوند که و Security.log و System.log
Application.log ناميده می شوند. ولی اطلاعات مربوط به وقایع، در این فایل های log نمی مانند. هر فایل
.log به صورت دوره ای و خودکار توسط ویندوزرونویسی می شوند و تمام اطلاعات مربوط به وقایع به
فایل های اصلی ثبت وقایع برای سيستم، یعنی فایل های وAppevent.evt وSysevent.evt و Secevent.evt
منتقل می شوند این فایل ها، فایل های اصلی ثبت وقایع در ویندوزهای هستندو توسط یک مدیر با استفاده از
Event Viewer ویندوز و یا استفاده از ابزار برنامه های بررسی فایل های ثبت وقایع Event Viewer های دیگر نوشته شده است خوانده می شوند که مسیر ان در control anel/administrator tools/eventviewer می باشد

فایل Secevent.evt وقایع امنيتی از جملهLogin های ناموفق و تلاش برای دستيابی به فایل بدون داشتن اختيارات لازم را در خود ذخيره می کند البته اگر سيستم به گونه ای تنظيم شده باشد که آنها را ثبت کند.فایل Sysevent.evt وقایع مربوط به کارکرد سيستم از جمله Fail کردن یک درایور یا عدم در دسترس بودن یک سرویس برای شروع را در خود ذخيره می کند فایل Appevent.evt وقایع مربوط به برنامه ها مثل برنامه های کاربردی، وب سرورها یا پایگاه داده ها را در خود ذخيره می کند. هکرها و نفوذگران بعد از نفوذ به یک سيستم سرور این سه فایل را که اصلی ترین فایل های ثبت وقایع در ویندوز به شمار می روند را برای مخفی کردن اثر و ردپای خود تغيير می دهند. در این فایل ها،فایلSecevent.evt بيشتر از دو فایل دیگر مورد هدف هکرها قرار دارد زیرا هکرها می خواهند که وقایع امنيتی مثل Logon های ناموفق که با تلاش برای دستيابی به سيستم فعال می شوند را حذف کنند. هر سه این فایل ها در پوشه WinNT/System32/Config
قرار گرفته اند

[sahare poya]

سلام دوستان
یه سئوال کوچک هم داشتم اینکه اجرای برنامه های sniff هم در این فایلهای ثبت وقایع کامپیوتر مقصد ثبت میشودیانه ؟ ممنون سحر

[lord_viper]

نه نمیشن
چون sniffer ها فقط تو مسیر گوش وامیستن و پکتهای عبوری رو میگیرن و محتویاتشونو نشون میدن که میتونه خیلی چیزها باشه مثل userو pass مربوط به اکانتهایی مثل sql server که secure شده نیست و بهتره برای جلوگیری از این رویدادها برنامه هایی که تحت شبکه نوشته میشه از تکنیکهای tunneling استفاده کنن تا بتونن یک ارتباط امن بوجود بیارن بین کلاینت و سرور

[sahare poya]

سام جناب لرد عزیز
اگه ممکنه نظرتونو در باره برنامه cain بفرمایید که آیا برنامه خوبی هست یا نه ؟بعد اگه برنامه sniffer خاص و در عین حال پیشرفته و با امکانات بیشتری هم سراغ دارید ممنون میشم معرفی و لینلک دانلودشو هم بفرمایید.
مرسی سحر