لسلام عليكم ورحمة الله وبركاته قبل ان يطول الحديث ,, قد يكون الموضوع متقدم او غير مفهوم بالنسبة للبعض المبتدئين ,, اليوم سوف نتطرق الى الحديث عن الاتصالات الخارجية
لو دخلت على مرجع هذه الدالة في مكتبات مايكروسوفت ستجد انها بعد استدعائها سوف يرجع لها ستركترات، وفي داخل الستركترات توجد ستركترات اخرى تحتوى على Tables تكون بداخلها معلومات عن الاتصالات جميعها بشكل مفصل من حيث الحالة - البورت الداخلي - البورت الخارجي - الايبي الخارجي - الايبي الداخلي - البروسيس المسؤولة عن الاتصال
وعملية فلترة الدالة هي بسيطة نوعا ما..
الآلية: نقوم بعمل لوب في داخل الستركترات ومن ثم البحث عن معلومات تخصنا،
ثم بعد التأكد من وجود معلومات خاصة بنا نقوم بعمل فلترة لها.
اليك هذا السيناريو:
[WARNING]قام برنامج فحص الاتصالات باستدعاء دالة GetExtendedTcpTable و ورجعت له بستركتر يحتوى على معلومات كثيرة ...
وكانت المعلومات الخاصة بسيرفر الاختراق الخاص بنا تحديدا في Table 5 ,
دعنا نرسم لها شكل تخيلي
----------------------------------------------------------------------------------------------
Table 5
dwLocalAddr: 1083
dwLocalPort:4040
dwRemoteAddr: 123.567.11.90
dwRemotePort: 81
dwOwningPid: 1510 -- c:\backdoor.exe
وهي معلومات الباتش الخاص بنا
----------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------
اما الـ Table 6 اللتي بعدها كانت على هذا الشكل
وهي معلومات اتصال خاص ببرنامج انتي فايروس الافيرا
----------------------------------------------------------------------------------------------
[/WARNING]
ما قمت به هو نسخ الـ table 6 كاملة وهي المعلومات الخاصة ببرنامج نضيف
واستبدالها مع الـ table 5 التي تحتوي على معلومات ملف خبيث
ومن ثم تمرير هذه الداتا المفلترة الى برنامج تحليل الاتصالات
ينتج عن ذلك: اخفاء الاتصال القائم بين الضحية والهاكر من اعين برنامج الفحص.
=============
عملية الهوك قمت بها عن طريق حقن مكتبة DLL في عملية البرنامج المستهدف
ارفقت لكم مشروع ملف الدل كامل
وايضا مشروع Injector لكي يقوم بحقن المكتبة في العملية الهدف (لست مبرمجه الاصلي)
لتحميل المشروعين اضغط هنا
خطوات يجب ان تراعيها:
اولا تقوم بعمل كومبايل لمشروع ملف الدل ,,
بعد ذلك تقوم بعمل كومبايل لمشروع الـ injector ,,
وتضع الملفين الناتجين في مجلد واحد بهذا الشكل
بالنسبة لمشروع الـ injector عليك بتحديد اسم العملية المستهدفة ..
تستطيع ان تبحث عن هذا السطر في المشروع
ويجب ان تراعي الاحرف الكبيرة والصغيرة في اسم العملية...
بالنسبة لملف الدل ,, قمت بتمييز المعلومات الخاصة بسيرفر الاختراق عن طريق ID البروسيس في التاسك ,,
لكن هناك خيارات اخرى امامك ,, تستطيع عن طريق البورت او الايبي ايضا ,,
لك الحرية في التعديل على مشروع ملف الدل ,, لكن اذكر الحقوق
وهنا مشهد فيديو قمت برفعه على اليوتيوب
يوضح عملية تخطي فحص الاتصالات