كيفية اكتشاف الجذور الخفية في نظام التشغيل Windows 10 (دليل متعمق)

يستخدم المتسللون الجذور الخفية لإخفاء البرامج الضارة المستمرة والتي لا يمكن اكتشافها على ما يبدو داخل جهازك والتي ستسرق البيانات أو الموارد بصمت ، أحيانًا على مدار عدة سنوات. يمكن استخدامها أيضًا بطريقة راصد لوحة المفاتيح حيث يتم مراقبة ضغطات المفاتيح والاتصالات لتزويد المشاهد بمعلومات الخصوصية.  

شهدت طريقة القرصنة هذه أهمية أكبر قبل عام 2006 ، قبل أن يطلب Microsoft Vista من البائعين التوقيع رقميًا على جميع برامج تشغيل الكمبيوتر. (Microsoft Vista)تسببت حماية Kernel Patch Protection(Kernel Patch Protection) ( KPP ) في قيام كتّاب البرامج الضارة بتغيير أساليب هجومهم ، وفي الآونة الأخيرة فقط اعتبارًا من عام 2018 مع عملية احتيال إعلان Zacinlo(Zacinlo ad fraud operation) ، أعادت أدوات rootkits الدخول إلى دائرة الضوء.

كانت جميع الجذور الخفية التي يرجع تاريخها إلى ما قبل عام 2006 قائمة على نظام التشغيل على وجه التحديد. لقد أعطانا موقف Zacinlo ، وهو جذر خرساني من عائلة (Zacinlo)البرامج الضارة Detrahere(Detrahere malware) ، شيئًا أكثر خطورة في شكل rootkit القائم على البرامج الثابتة. بغض النظر(Regardless) ، لا تمثل الجذور الخفية سوى حوالي واحد بالمائة من إجمالي مخرجات البرامج الضارة التي يتم مشاهدتها سنويًا. 

ومع ذلك ، وبسبب الخطر الذي قد يمثلونه ، سيكون من الحكمة فهم كيفية عمل اكتشاف الجذور الخفية التي ربما تكون قد تسللت بالفعل إلى نظامك.

اكتشاف الجذور الخفية في نظام التشغيل Windows 10(Windows 10) ( في العمق(In-Depth) )

كان Zacinlo يعمل(Zacinlo) بالفعل منذ ما يقرب من ست سنوات قبل أن يتم اكتشافه وهو يستهدف نظام التشغيل Windows 10(Windows 10) . كان مكون الجذور الخفية قابلاً للتكوين بدرجة كبيرة وكان يحمي نفسه من العمليات التي يعتبرها خطرة على وظائفه وكان قادرًا على اعتراض وفك تشفير اتصالات SSL .

سيقوم بتشفير وتخزين جميع بيانات التكوين الخاصة به داخل سجل Windows(Windows Registry) ، وأثناء إيقاف تشغيل Windows ، يعيد كتابة نفسه من ذاكرة إلى قرص باستخدام اسم مختلف ، وتحديث مفتاح التسجيل الخاص به. (Windows)وقد ساعد ذلك في تجنب الكشف عن طريق برنامج مكافحة الفيروسات القياسي الخاص بك.

يوضح هذا أن برنامج مكافحة الفيروسات القياسي أو برنامج مكافحة البرامج الضارة لا يكفي لاكتشاف الجذور الخفية. على الرغم من وجود عدد قليل من برامج مكافحة البرامج الضارة من الدرجة الأولى التي ستنبهك إلى الشكوك حول هجوم rootkit. 

السمات الخمس الرئيسية لبرنامج مكافحة فيروسات جيد(The 5 Key Attributes Of a Good Antivirus Software)

ستقوم معظم برامج مكافحة الفيروسات البارزة اليوم بأداء جميع هذه الطرق الخمس البارزة لاكتشاف الجذور الخفية.

  • التحليل القائم على التوقيع(Signature-based Analysis) - سيقارن برنامج مكافحة الفيروسات الملفات المسجلة بالتوقيعات المعروفة للجذور الخفية. سيبحث التحليل أيضًا عن الأنماط السلوكية التي تحاكي أنشطة تشغيل معينة لمجموعات rootkits المعروفة ، مثل الاستخدام العدواني للمنافذ.
  • كشف الاعتراض(Interception Detection) - يستخدم نظام التشغيل Windows جداول المؤشرات لتشغيل الأوامر المعروفة بمطالبة rootkit بالعمل. نظرًا لأن أدوات rootkits تحاول استبدال أو تعديل أي شيء يعتبر تهديدًا ، فسيؤدي ذلك إلى إرشاد نظامك إلى وجودها.
  • مقارنة البيانات متعددة المصادر(Multi-Source Data Comparison) - قد تغير الجذور الخفية(Rootkits) ، في محاولتها للبقاء مخفية ، بعض البيانات المقدمة في الفحص القياسي. يمكن أن تكشف النتائج المرتجعة لمكالمات النظام عالية ومنخفضة المستوى عن وجود rootkit. قد يقارن البرنامج أيضًا ذاكرة العملية التي تم تحميلها في ذاكرة الوصول العشوائي(RAM) مع محتوى الملف على القرص الصلب.
  • التحقق من السلامة(Integrity Check) - تمتلك كل مكتبة نظام توقيعًا رقميًا يتم إنشاؤه في الوقت الذي تم فيه اعتبار النظام "نظيفًا". يمكن لبرنامج الأمان الجيد التحقق من المكتبات بحثًا عن أي تغيير في الشفرة المستخدمة لإنشاء التوقيع الرقمي.
  • مقارنات التسجيل(Registry Comparisons) - تحتوي معظم برامج مكافحة الفيروسات على هذه البرامج وفقًا لجدول زمني محدد مسبقًا. ستتم مقارنة الملف النظيف مع ملف العميل ، في الوقت الفعلي ، لتحديد ما إذا كان العميل أو يحتوي على ملف تنفيذي غير مطلوب (.exe).

إجراء عمليات مسح الجذور الخفية(Performing Rootkit Scans)

إجراء فحص الجذور الخفية هو أفضل محاولة للكشف عن عدوى الجذور الخفية. في أغلب الأحيان لا يمكن الوثوق في نظام التشغيل الخاص بك للتعرف على rootkit من تلقاء نفسه ويمثل تحديًا لتحديد وجوده. الجذور الخفية هم جواسيس ماهرون ، يغطون مساراتهم في كل منعطف تقريبًا وقادرون على البقاء مختبئين في مرأى من الجميع.

إذا كنت تشك في حدوث هجوم فيروسات rootkit على جهازك ، فستكون الإستراتيجية الجيدة للكشف هي إيقاف تشغيل الكمبيوتر وتنفيذ الفحص من نظام نظيف معروف. هناك طريقة مؤكدة لتحديد موقع rootkit داخل جهازك من خلال تحليل تفريغ الذاكرة. لا يمكن لـ rootkit إخفاء التعليمات التي يقدمها لنظامك أثناء تنفيذها في ذاكرة الجهاز.

استخدام WinDbg لتحليل البرامج الضارة(Using WinDbg For Malware Analysis)

يوفر Microsoft Windows(Microsoft Windows) أداة تصحيح الأخطاء متعددة الوظائف الخاصة به والتي يمكن استخدامها لإجراء عمليات فحص تصحيح الأخطاء على التطبيقات أو برامج التشغيل أو نظام التشغيل نفسه. سيقوم بتصحيح أخطاء وضع kernel ورمز وضع المستخدم ، والمساعدة في تحليل عمليات تفريغ الأعطال ، وفحص سجلات وحدة المعالجة المركزية .(CPU)

ستأتي بعض أنظمة Windows مع (Windows)WinDbg مجمعة بالفعل. وسيحتاج أولئك الذين لا يملكون إلى تنزيله من متجر Microsoft(Microsoft Store) . WinDbg Preview هو الإصدار الأكثر حداثة من WinDbg ، مما يوفر مرئيات أسهل للعين ، ونوافذ أسرع ، وبرمجة نصية كاملة ، ونفس الأوامر والإضافات ومهام سير العمل مثل الأصل.

كحد أدنى ، يمكنك استخدام WinDbg لتحليل الذاكرة أو تفريغ الأعطال ، بما في ذلك Blue Screen Of Death ( BSOD ). من النتائج ، يمكنك البحث عن مؤشرات هجوم البرامج الضارة. إذا كنت تشعر أن أحد برامجك قد يعوقه وجود برامج ضارة ، أو يستخدم ذاكرة أكبر مما هو مطلوب ، يمكنك إنشاء ملف تفريغ واستخدام WinDbg للمساعدة في تحليله.

يمكن أن يشغل تفريغ الذاكرة الكامل مساحة كبيرة على القرص ، لذا قد يكون من الأفضل إجراء تفريغ وضع Kernel أو تفريغ (Kernel-Mode)ذاكرة(Memory) صغيرة بدلاً من ذلك. سيحتوي تفريغ وضع Kernel على جميع معلومات استخدام الذاكرة بواسطة kernel في وقت الانهيار. سيحتوي تفريغ الذاكرة(Memory) الصغيرة على معلومات أساسية حول أنظمة مختلفة مثل برامج التشغيل والنواة وغير ذلك ، ولكنها صغيرة بالمقارنة.

تعتبر مقالب الذاكرة(Memory) الصغيرة أكثر فائدة في تحليل سبب حدوث الموت الزرقاء(BSOD) . للكشف عن الجذور الخفية ، سيكون الإصدار الكامل أو إصدار النواة أكثر فائدة.

إنشاء ملف تفريغ وضع Kernel(Creating A Kernel-Mode Dump File)

يمكن إنشاء ملف تفريغ Kernel-Mode بثلاث طرق:

  • قم بتمكين ملف التفريغ من لوحة التحكم(Control Panel) للسماح للنظام بالتعطل من تلقاء نفسه
  • قم بتمكين ملف التفريغ من لوحة التحكم(Control Panel) لإجبار النظام على الانهيار
  • استخدم أداة مصحح الأخطاء لإنشاء واحد لك

سنذهب مع الخيار رقم ثلاثة. 

لتنفيذ ملف التفريغ الضروري ، ما عليك سوى إدخال الأمر التالي في نافذة الأوامر في (Command)WinDbg .

استبدل FileName باسم مناسب لملف التفريغ و "؟" مع f . تأكد من أن الحرف "f" صغير وإلا ستنشئ نوعًا مختلفًا من ملف التفريغ.

بمجرد أن ينتهي المصحح من مساره (سيستغرق الفحص الأول دقائق طويلة) ، سيتم إنشاء ملف تفريغ وستكون قادرًا على تحليل نتائجك.

يتطلب فهم ما تبحث عنه ، مثل استخدام الذاكرة المتطايرة ( RAM ) ، لتحديد وجود الجذر الخفي ، الخبرة والاختبار. من الممكن ، على الرغم من عدم التوصية بذلك للمبتدئين ، اختبار تقنيات اكتشاف البرامج الضارة على نظام مباشر. للقيام بذلك ، ستحتاج مرة أخرى إلى الخبرة والمعرفة المتعمقة حول طريقة عمل WinDbg حتى لا تنشر عن طريق الخطأ فيروسًا مباشرًا في نظامك.

هناك طرق أكثر أمانًا وملاءمة للمبتدئين للكشف عن عدونا المختبئ جيدًا.

طرق المسح الإضافية(Additional Scanning Methods)

يعد الاكتشاف اليدوي والتحليل السلوكي أيضًا طرقًا موثوقة للكشف عن الجذور الخفية. قد تكون محاولة اكتشاف موقع الجذور الخفية بمثابة ألم كبير ، لذلك ، بدلاً من استهداف الجذور الخفية نفسها ، يمكنك بدلاً من ذلك البحث عن السلوكيات الشبيهة بالجذور الخفية.

يمكنك البحث عن الجذور الخفية في حزم البرامج التي تم تنزيلها باستخدام خيارات التثبيت المتقدمة(Advanced) أو المخصصة(Custom) أثناء التثبيت. ما ستحتاج إلى البحث عنه هو أي ملفات غير مألوفة مدرجة في التفاصيل. يجب التخلص من هذه الملفات ، أو يمكنك إجراء بحث سريع عبر الإنترنت عن أي إشارات إلى برامج ضارة.

تعد جدران الحماية وتقارير التسجيل الخاصة بهم طريقة فعالة بشكل لا يصدق لاكتشاف الجذور الخفية. سيعلمك البرنامج إذا كانت شبكتك تخضع للفحص ، ويجب أن يعزل أي تنزيلات مشبوهة أو لا يمكن التعرف عليها قبل التثبيت. 

إذا كنت تشك في أن برنامج rootkit قد يكون موجودًا بالفعل على جهازك ، فيمكنك الغوص في تقارير تسجيل جدار الحماية والبحث عن أي سلوك غير عادي.

مراجعة تقارير تسجيل جدار الحماية(Reviewing Firewall Logging Reports)

ستحتاج إلى مراجعة تقارير تسجيل جدار الحماية الحالية ، مما يجعل تطبيقًا مفتوح المصدر مثل IP Traffic Spy مع إمكانات تصفية سجل جدار الحماية ، أداة مفيدة للغاية. ستظهر لك التقارير ما هو ضروري لمعرفة في حالة حدوث هجوم. 

إذا كان لديك شبكة كبيرة مع جدار حماية مستقل لتصفية الخروج ، فلن يكون IP Traffic Spy ضروريًا. (IP Traffic Spy)بدلاً من ذلك ، يجب أن تكون قادرًا على رؤية الحزم الواردة والصادرة لجميع الأجهزة ومحطات العمل على الشبكة عبر سجلات جدار الحماية.

سواء كنت في منزل أو شركة صغيرة ، يمكنك استخدام المودم الذي يوفره موفر خدمة الإنترنت(ISP) الخاص بك أو ، إذا كنت تمتلك واحدًا ، جدار حماية شخصي أو جهاز توجيه لسحب سجلات جدار الحماية. ستتمكن من تحديد حركة المرور لكل جهاز متصل بالشبكة نفسها. 

قد يكون من المفيد أيضًا تمكين ملفات سجل جدار حماية Windows(Windows Firewall Log) . بشكل افتراضي ، يتم تعطيل ملف السجل مما يعني عدم كتابة أي معلومات أو بيانات.

  • لإنشاء ملف سجل ، افتح وظيفة التشغيل(Run) بالضغط على مفتاح Windows + Windows key + R
  • اكتب wf.msc في المربع واضغط على Enter .

  • في نافذة جدار حماية Windows (Windows Firewall)والأمان المتقدم(Advanced Security) ، حدد "Windows Defender Firewall with Advanced Security on Local Computer" في القائمة الموجودة على الجانب الأيسر. في أقصى القائمة اليمنى ضمن "الإجراءات" ، انقر فوق " خصائص(Properties) " .

  • في نافذة الحوار الجديدة ، انتقل إلى علامة التبويب "الملف الشخصي الخاص" وحدد تخصيص(Customize) ، والذي يمكن العثور عليه في قسم "التسجيل".

  • ستسمح لك النافذة الجديدة بتحديد حجم ملف السجل المراد كتابته ، والمكان الذي تريد إرسال الملف فيه ، وما إذا كنت تريد تسجيل الحزم المسقطة فقط ، أو الاتصال الناجح ، أو كليهما.

  • الحزم المسقطة(Dropped) هي تلك الحزم التي حظرها جدار حماية Windows(Windows Firewall) نيابة عنك.
  • بشكل افتراضي ، ستقوم إدخالات سجل جدار حماية Windows(Windows Firewall) بتخزين آخر 4 ميغابايت من البيانات فقط ويمكن العثور عليها في %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • ضع في اعتبارك أن زيادة حد الحجم على استخدام البيانات للسجلات يمكن أن يؤثر على أداء جهاز الكمبيوتر الخاص بك.
  • اضغط على موافق(OK) عند الانتهاء.
  • بعد ذلك ، كرر نفس الخطوات التي اتبعتها للتو في علامة التبويب "الملف الشخصي الخاص" ، هذه المرة فقط في علامة التبويب "الملف الشخصي العام".
    • سيتم الآن إنشاء السجلات لكل من الاتصالات العامة والخاصة. يمكنك عرض الملفات في محرر نصي مثل المفكرة(Notepad) أو استيرادها في جدول بيانات.
    • يمكنك الآن تصدير ملفات السجلات إلى برنامج محلل قاعدة بيانات مثل IP Traffic Spy لتصفية حركة المرور وفرزها لسهولة التعرف عليها.

ترقب أي شيء خارج عن المألوف في ملفات السجل. حتى أدنى خطأ في النظام يمكن أن يشير إلى إصابة بالجذور الخفية. يمكن أن يكون شيء ما على غرار الاستخدام المفرط لوحدة المعالجة المركزية(CPU) أو النطاق الترددي عندما لا تقوم بتشغيل أي شيء متطلبًا للغاية ، أو على الإطلاق ، دليلًا رئيسيًا.



About the author

أنا مسؤول Windows 10 و Windows 11/10 ذو خبرة ولدي بعض الخبرة في Edge. لدي ثروة من المعرفة والخبرة لأقدمها في هذا المجال ، ولهذا السبب أعتقد أن مهاراتي ستكون رصيدًا قيمًا لشركتك. تمنحني سنوات خبرتي في كل من Windows 10 و Edge القدرة على تعلم التقنيات الجديدة بسرعة وحل المشكلات بسرعة وتحمل المسؤولية عندما يتعلق الأمر بإدارة عملك. بالإضافة إلى ذلك ، فإن تجربتي مع Windows 10 و Edge تجعلني على دراية كبيرة بجميع جوانب نظام التشغيل ، مما سيكون مفيدًا لإدارة الخوادم أو إدارة تطبيقات البرامج.



Related posts