الكتراز
13-02-2002, 20:58
هذه الرساله اتتني عن طريق البريد من منتديات الشامله نت وحبيت انكم تتطلعون على محتواه ...... ونص الرساله في مايلي:
كثرالحديث مؤخرا عن التجسس على مستخدمي الانترنت ... وقدمت بعض المواقع التي تهتم بالنواحي الامنية عدة تقارير وأبحاث حول تجسس مايكروسوفت من خلال الويندوز على مستخدمي الانترنت ..... ومنذ مدة وانا اجمع مثل هذه الابحاث واجري التجارب على مصداقيتها .... وهذا ملخص النتائج ...
من العروف ان متصفح انترنت اكسبلورر يقوم بحفظ صفحات المواقع التي تقوم بزيارتها في مجلد Temporary Internet Files بشكل ملفات مؤقتة ...
واظنكم تعرفون هذا المجلد تماما وتقومون بمسحه بشكل دوري ...
ولكن عندما نقوم بحذف محتويات هذا المجلد هل يعتبر ذلك كافيا ..؟؟؟ وبمعنى آخر هل نكون بذلك لم نبق أي اثر يدل على تصفحنا هذا الموقع او ذاك ..؟؟؟
الجواب : لا .. وانما هناك ملفات تقوم بعمل أرشيف لجميع المواقع التي تتصفحها ولكن هذه الملفات مخفية تماما عن المستخدم ولن تتمكن من رؤيتها حتى بعد اختيار خيار اظهار جميعالملفات المخفية .... !!! كما ان جميع محاولات البحث عنها سوف تكون فاشلة تماما .....
والآن سوف نقوم بالتطبيق العملي للكشف عن هذه الملفات ومسحها ...
افتح مجلد Temporary Internet Files الموجود في Windows ثم قم بمسح محتوياته بالكامل ..... وهنا سيبدو لك المجلد فارغا تماما ...
اذهب الى مستكشف الويندوز وافتح هذا المجلد من خلاله ولاحظ وجود مجلد بداخله لم يظهر لك عندما قمت بمسحه وهذا المجلد اسمه Content.IE5 يحتوي هذا المجلد على مجلد بأسماء ستبدو لك غريبة مثل : 09U7WHY3 و WAK5Q8AR و S7E56J8H ....طبعا تتغير اسمائها من جهاز لآخر ولكن هذه الاسماء هي المسؤلة عن ذاكرة الكاش في المتصفح .....
قم بفتح أي واحد منها وستبدو لك انها فارغة تماما .....
هنا انتهى عملنا من خلال الويندوز والآن سنكمل من خلال الدوس .....
قم باعادة الاقلاع في وضع الدوس او استخدم قرص اقلاع لذلك ....
ثم توجه الى
C:\windows\tempor~1\content.ie5
قم باستعراض محتوياته باستخدام الامر Dir .... هنا ستلاحظ وجود ملف اسمه Index.dat .... هذا الملف يحتوي على أرشيف كامل لعناوين المواقع التي زارها المتصفح ... قم بتحريره بستخدام أمر Edit ثم اقرأ مافيه وستلاحظ وجود العناوين .....
وهنا حدد ما تشاء من العناوين وامسحه ....
او قم بحذف الملف بالكامل باستخدام الامر Del ولكن سيعود هذا الملف مع اعادة اقلاع الجهاز ولكن سيعود فارغا وسيسجل ما تزوره من عناوين المواقع بشكل دائم ...
والآن كشفنا ناحية من نواحي تجسس مايكروسوفت على مستخدمي الويندوز وبقي علينا ان نحمي أنفسنا من ذلك ....
كما ذكرت يمكننا مسح محتويات Index.dat بشكل يدوي من خلال الدوس ويمكننا فعل ذلك من خلال ويندوز عن طريق صنع ملف باتش يقوم بذلك وهو كلتالي :
افتح المفكرة Notpad واكتب الامر التالي :
--------------------------------------------------------------------------------
deltree/y c:\windows\tempor~1\*.*
cls
--------------------------------------------------------------------------------
ثم قم بحفظ الملف بهيئة Bat وعند تشغيله سيقوم بحذف ملف Index.dat ....
كما يمكنك صنع أي باتش لحذف ملفات التجسس بنفس الطريقة ...
كما يمكنك كشف المزيد عن مثل هذه الملفات باستخدام برنامج Spiderالذي صنعهفريق A Netherlands Student خصيصا لهذا الامر وهذا البرنامج تجده هنا ..
http://www.fsm.nl/ward/
قم بتحميله وتشغيله وسيقوم بكشف جميع ملفات التجسس مثل Index.dat وهنا يمكنك مسحها بصنع باتش لكل ملف حسب اسمه وموقعه كما ذكرنا سابقا او بوضع الملفات جميعا ضمن باتش واحد كما ترغب .....
كما يمكنك اضافة هذه الاوامر الى ملف AUTOEXEC.bat ليقوم بحذفها في كل مرة تقوم فيها بإعادة اقلاع الجهاز ....
بقي علينا ان نكشف عن الطريقة التي تتم بها اخفاء مثل هذه الملفات ....
يتم ذلك من خلال ملفا Desktop.ini .... الموجود في المجلد المراد اخفائه ويكون النص فيها كالتالي :
كود:
--------------------------------------------------------------------------------
[.****lClassInfo]
CLSID2={1A9BA3A0-143A-11CF-8350-444553540000}
ConfirmFileOp=0
--------------------------------------------------------------------------------
وكذلك ...
كود:
--------------------------------------------------------------------------------
[.****lClassnfo]
UICLSID={BD84B380-8CA2-1069-AB1D-08000948F534}
--------------------------------------------------------------------------------
لاحظ وجود تعليمتين هما UICLSID و CLSID ....
الاولى مهمتها اخفاء المجلد عن النظام والثانية لإخفائه عن اداة البحث ويمكنك تعديل محتويات أي منها وحفظ التعديل ( بنفس الاسم طبعا ) للتحايل على اخفاء الملفات ...
بقى ان اذكر ان هناك ابحاث اخرى حول وجود مثل هذه الملفات وعندي قسم منها ولكنها مازالت مجرد أفكار تحتاج الى تجارب ولكنني أتابع كل جدي في ذلك وسأضعه عند الكشف عن أي منها .....
والسؤال يبقى ... متى نستطيع انشاء نظام تشغيل خاص بنا ونتخلى عن التبعية او على الاقل لانكون عالة على غيرنا ليتحكموا بنا كما يشاؤون ...؟؟؟
............................................................................
تحياتي
الكتراز
كثرالحديث مؤخرا عن التجسس على مستخدمي الانترنت ... وقدمت بعض المواقع التي تهتم بالنواحي الامنية عدة تقارير وأبحاث حول تجسس مايكروسوفت من خلال الويندوز على مستخدمي الانترنت ..... ومنذ مدة وانا اجمع مثل هذه الابحاث واجري التجارب على مصداقيتها .... وهذا ملخص النتائج ...
من العروف ان متصفح انترنت اكسبلورر يقوم بحفظ صفحات المواقع التي تقوم بزيارتها في مجلد Temporary Internet Files بشكل ملفات مؤقتة ...
واظنكم تعرفون هذا المجلد تماما وتقومون بمسحه بشكل دوري ...
ولكن عندما نقوم بحذف محتويات هذا المجلد هل يعتبر ذلك كافيا ..؟؟؟ وبمعنى آخر هل نكون بذلك لم نبق أي اثر يدل على تصفحنا هذا الموقع او ذاك ..؟؟؟
الجواب : لا .. وانما هناك ملفات تقوم بعمل أرشيف لجميع المواقع التي تتصفحها ولكن هذه الملفات مخفية تماما عن المستخدم ولن تتمكن من رؤيتها حتى بعد اختيار خيار اظهار جميعالملفات المخفية .... !!! كما ان جميع محاولات البحث عنها سوف تكون فاشلة تماما .....
والآن سوف نقوم بالتطبيق العملي للكشف عن هذه الملفات ومسحها ...
افتح مجلد Temporary Internet Files الموجود في Windows ثم قم بمسح محتوياته بالكامل ..... وهنا سيبدو لك المجلد فارغا تماما ...
اذهب الى مستكشف الويندوز وافتح هذا المجلد من خلاله ولاحظ وجود مجلد بداخله لم يظهر لك عندما قمت بمسحه وهذا المجلد اسمه Content.IE5 يحتوي هذا المجلد على مجلد بأسماء ستبدو لك غريبة مثل : 09U7WHY3 و WAK5Q8AR و S7E56J8H ....طبعا تتغير اسمائها من جهاز لآخر ولكن هذه الاسماء هي المسؤلة عن ذاكرة الكاش في المتصفح .....
قم بفتح أي واحد منها وستبدو لك انها فارغة تماما .....
هنا انتهى عملنا من خلال الويندوز والآن سنكمل من خلال الدوس .....
قم باعادة الاقلاع في وضع الدوس او استخدم قرص اقلاع لذلك ....
ثم توجه الى
C:\windows\tempor~1\content.ie5
قم باستعراض محتوياته باستخدام الامر Dir .... هنا ستلاحظ وجود ملف اسمه Index.dat .... هذا الملف يحتوي على أرشيف كامل لعناوين المواقع التي زارها المتصفح ... قم بتحريره بستخدام أمر Edit ثم اقرأ مافيه وستلاحظ وجود العناوين .....
وهنا حدد ما تشاء من العناوين وامسحه ....
او قم بحذف الملف بالكامل باستخدام الامر Del ولكن سيعود هذا الملف مع اعادة اقلاع الجهاز ولكن سيعود فارغا وسيسجل ما تزوره من عناوين المواقع بشكل دائم ...
والآن كشفنا ناحية من نواحي تجسس مايكروسوفت على مستخدمي الويندوز وبقي علينا ان نحمي أنفسنا من ذلك ....
كما ذكرت يمكننا مسح محتويات Index.dat بشكل يدوي من خلال الدوس ويمكننا فعل ذلك من خلال ويندوز عن طريق صنع ملف باتش يقوم بذلك وهو كلتالي :
افتح المفكرة Notpad واكتب الامر التالي :
--------------------------------------------------------------------------------
deltree/y c:\windows\tempor~1\*.*
cls
--------------------------------------------------------------------------------
ثم قم بحفظ الملف بهيئة Bat وعند تشغيله سيقوم بحذف ملف Index.dat ....
كما يمكنك صنع أي باتش لحذف ملفات التجسس بنفس الطريقة ...
كما يمكنك كشف المزيد عن مثل هذه الملفات باستخدام برنامج Spiderالذي صنعهفريق A Netherlands Student خصيصا لهذا الامر وهذا البرنامج تجده هنا ..
http://www.fsm.nl/ward/
قم بتحميله وتشغيله وسيقوم بكشف جميع ملفات التجسس مثل Index.dat وهنا يمكنك مسحها بصنع باتش لكل ملف حسب اسمه وموقعه كما ذكرنا سابقا او بوضع الملفات جميعا ضمن باتش واحد كما ترغب .....
كما يمكنك اضافة هذه الاوامر الى ملف AUTOEXEC.bat ليقوم بحذفها في كل مرة تقوم فيها بإعادة اقلاع الجهاز ....
بقي علينا ان نكشف عن الطريقة التي تتم بها اخفاء مثل هذه الملفات ....
يتم ذلك من خلال ملفا Desktop.ini .... الموجود في المجلد المراد اخفائه ويكون النص فيها كالتالي :
كود:
--------------------------------------------------------------------------------
[.****lClassInfo]
CLSID2={1A9BA3A0-143A-11CF-8350-444553540000}
ConfirmFileOp=0
--------------------------------------------------------------------------------
وكذلك ...
كود:
--------------------------------------------------------------------------------
[.****lClassnfo]
UICLSID={BD84B380-8CA2-1069-AB1D-08000948F534}
--------------------------------------------------------------------------------
لاحظ وجود تعليمتين هما UICLSID و CLSID ....
الاولى مهمتها اخفاء المجلد عن النظام والثانية لإخفائه عن اداة البحث ويمكنك تعديل محتويات أي منها وحفظ التعديل ( بنفس الاسم طبعا ) للتحايل على اخفاء الملفات ...
بقى ان اذكر ان هناك ابحاث اخرى حول وجود مثل هذه الملفات وعندي قسم منها ولكنها مازالت مجرد أفكار تحتاج الى تجارب ولكنني أتابع كل جدي في ذلك وسأضعه عند الكشف عن أي منها .....
والسؤال يبقى ... متى نستطيع انشاء نظام تشغيل خاص بنا ونتخلى عن التبعية او على الاقل لانكون عالة على غيرنا ليتحكموا بنا كما يشاؤون ...؟؟؟
............................................................................
تحياتي
الكتراز