الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

الموضوع في 'قسم الحماية من الأختراق وكشف الدمج والتلغيم' بواسطة zidanimeh, بتاريخ ‏31 مايو 2013.

  1. zidanimeh

    zidanimeh Excellent

    [​IMG]


    الْحَمْدُ لِلِهُ الَّذِي خَلَّصَ قَلُوبُ عُبَّادِهِ
    المتقين مِنْ ظُلْمِ الشَّهَوَاتِ وَأَخْلُصُ عُقُولَهُمْ عَنْ ظُلَمِ الشُّبْهَاتِ أَحَمْدَهُ
    حَمْدِ مِنْ رَأَى آيات قُدْرَتَهُ الْباهِرَةِ وَبَراهينَ عَظْمَتِهِ الْقَاهِرَةِ
    وَأَشْكُرُهُ شُكْرَ مِنْ اِعْتَرَفَ بِمُجِدِّهِ وَكَمَالَهُ وَاِغْتَرَفَ مِنْ بَحْرِ
    جُودِهِ وَأَفْضَالَهُ وَأَشْهَدُ أَنْ لَا إلَهَ إلّا اللهَ فَاِطْرَ الأرضين وَالسَّمَاواتَ
    شَهَادَةَ تُقَوِّدُ قَائِلُهَا إِلَى الْجَنَّاتِ وَأَشْهَدُ أَنْ سَيِّدَنَا مُحَمَّدَا عَبْدِهِ وَرَسُولَهُ
    وَحَبيبَهُ وَخَلِيلَهُ وَالْمَبْعُوثَ إِلَى كَافَّةٍ الْبَرِّيَّاتِ بالآيات الْمُعْجِزَاتِ وَالْمَنْعُوتِ
    بِأشرفِ الْخِلاَلِ الزّاكِيَاتِ صَلَّى اللَّهُ عَلَيه وَعَلَى آله الْأئِمَّةَ الْهُدَاةَ وَأَصْحَابَهُ
    وَالصَّلاَةِ وَالسّلامِ عَلَى النَّبِيِّ الْمُصْطَفى وَالرَّسُولِ المجتبى الْمَبْعُوثَ
    رَحْمَةَ لِلْعَالِمِينَ وَقُدْوَةَ لِلْمَالِكِينَ وَعَلَى آله وَصَحِبَهُ وَمِنْ تَبِعَهُمْ
    بِإحْسَانِ إِلَى يَوْمِ الدِّينِ


    [​IMG]


    سنبدأ بالمفضل لدي

    DARK Comet

    [​IMG]

    أولا إفتح

    run


    وكتب %appdata%

    [​IMG]


    اضغط ok

    سيضهر لك مجلد مثل الصورة

    إذا وجدت مجلد إسمه dclogs

    فاعلم أنك مصاب بسرف Dark comet

    هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته

    مخزن في ملف ذو امتداد .dc

    [​IMG]

    [​IMG]



    Nj Rat



    ---------
    ابق في نفس المجلد

    و هذه المرة إبحث عن ملفات ذات امتداد
    exe.tmp.
    وستجد بالقرب منها برنامج له نفس الإسم
    مثال
    yu.exe.tmp
    yu.exe


    ثم أدخل إلى مجلد بدأ التشغيل
    dossier de démarrage

    في وندوز 7

    [​IMG]




    في xp

    Démarrer > Tous les programmes > Démarrage

    إذا وجدت برنامج اسمه هكذا
    45ca55fc1756e880072f0dde4455397b.exe

    اسم طويل به أرقام و حروف

    و ادخل هنا
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    ستجده



    فإنك مصاب بسرف nj
    [​IMG]

    spy-net

    ندهب لمجلد الملفات المؤقتة

    [​IMG]

    ثم ابحث عن ملف ذو امتداد .xXx


    أو ملف اسمه XX--XX--XX.txt

    اذا وجدته فأنت مصاب

    [​IMG]

    4- bifrost
    وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي)



    إفتح الرجستر

    [​IMG]




    و ادهب إلى هذا المسار


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

    [​IMG]


    حتى تجد مفتاح اسمه


    StubPath =C:\Program Files\Bifrost\server.exe s

    ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية

    إذا وجدته ادخل لذالك المسار و حذفه
    و أعد تشغيل الحاسوب

    [​IMG]

    XtremeRAT

    ادخل

    [​IMG]

    و ابحث عن مجلد


    \Microsoft\Windows\

    ستجد به ملفات ذات امتداد .dat

    وهو مجل الكيلوغر

    وفي الاخير تقبلو تحيياتي

    :rolleyes::rolleyes:

    MisterMDE999:rolleyes::rolleyes:

    [​IMG]
     
  2. Estudiante de hack

    Estudiante de hack تْلـمَێـےڎ الـہَگر

    رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

    الله يعطيك الف عافية
    جاري التجربة
     
  3. Estudiante de hack

    Estudiante de hack تْلـمَێـےڎ الـہَگر

    رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

    يعطيك العافية
    لاهنت على الطرح
    تم تقيمك
    بس في ملاحظة بالشرح
    الحقوق
    تقبل مروري المتواضع

     
  4. رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

    يعطيك العافيةة,ِ
    جاري التجربةةِ
    لاهنت على الطرح
     
  5. الدكتورة هدى

    الدكتورة هدى .:: إدارية الأقـسـام العامـة ::.

    رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

    شكرا
    شرح رائع لكشف جميع السيرفرات
    شكرا لك
     
  6. ddt

    ddt V.I.P

    رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

    طريقة ممتازة وسريعة يسلمو
     

مشاركة هذه الصفحة