بحـث
المواضيع الأخيرة
تسجيل صفحاتك المفضلة في مواقع خارجية
قم بحفض و مشاطرة الرابط منتدى البشرى على موقع حفض الصفحات
قم بحفض و مشاطرة الرابط منتدى البشرى على موقع حفض الصفحات
أفضل 10 أعضاء في هذا المنتدى
| سالم |
| |||
| بشرى |
| |||
| يافا 1 |
| |||
| منية الروح |
| |||
| امير |
| |||
| @البرنس@ |
| |||
| عفاف |
| |||
| ســــيباويه |
| |||
| zeyad mosleh |
| |||
| simona |
|
موضوع شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
صفحة 1 من اصل 1
موضوع شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
من طرف ???? السبت يناير 02, 2010 4:15 am
موضوع
شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
محور
الموضوع هو فهم تكتيكات الفيروسات وكيفية تصرفها والآثار التي تتركها في أجهزتنا
وبالطبع الهدف الأول والأخير من هذا الموضوع هو العلم والفائدة وهذا الموضوع مليان
أكشن وأشياء عملية أكثر من الكلام النظري الممل وحتى لا تؤثر هذه النقطة سلبا في
الموضوع فقد أشرت إلى روابط خارجية فيها شرح أوسع عن النقاط النظرية التي لن أتوسع
بذكرها.
نبدأ
على بركة الله قمت بتقسيم
الموضوع إلى هذه النقاط :1-
تعريف سريع للفايروس.
2- كيف ينتشر؟!
3- فهم آلية عمله التخريبية (وهو موضوعنا).
4- التخلص من الفايروسات.
5- هل تخلصت من الفايروس >>> مهلا هذا لا يكفي!!
6- نصائح عامة.
7- أدوات هامة.
أولا:
تعريف الفايروس.
الفايروس
حسب تعريفي واجتهادي الشخصي
هو بكل بساطة برنامج يهدف إلى الضرر بالكومبيوتر (بياناته ،نظامه أو
قِطَعه) أو صاحب الكومبيوتر
طبعا الفايروسات لها عوائل وقبائل
فمنها الديدان ومنها الفايروس التقليدي ومنها أحصنة طروادة
وتنتشر الفايروسات غالبا في امتدادات تنفيذية أي ملفت تعمل (يتم تنفيذها)
بمجرد الضغط عليها
وأشهر هذه الامتدادات هو exe
وأيضا قد تراها أحيانا بالامتدادين الأخوين bat,cmd
وهناك الامتداد com ولكن يندر استخدامه الآن فهو قديم جدا
وقد تنتشر بامتدادات حوافظ الشاشة Screen
Savers ورمزه scr
والذي يجمع بين هذه الامتدادات exe,bat,cmd,
com,scr
أنها كلها تنفيذية كما أسلفنا الذكر
أي أنها تعمل بمجرد فتحها
وقد تنتشر الفايروسات عبر الملفات غير التنفيذية مثل dll وعندما تكون بهذه الصيغة أو ما يشابهها فغالبا ما يكون هناك مشغل
يقوم بتنفيذ هذه الملفات إذ أن فتح هذه الملفات لا يفعلها
وأشبه لكم الأمر بالامتداد الصوتي MP3 فليك تستمع لهذا الملف قد تقوم بتشغيله بـ Windows
Media Player
ودون وجود ذاك البرنامج أو ما يقوم محله فإنك لن تستطيع الاستماع للملف
الصوتي
الأمر نفسه في ملفات الـDll
أعتقد أن الكلام أعلاه معظمنا
ولكن هل تعلم أن الفايروسات قد تنتشر عبر ملفات الأوفيس مثلا doc, xls
,ppt
نعم قد تنتشر عبر ملفات الوورد والإكسل والباور بوينت وغيرها
إذ يوجد في هذه البرامج ما يسمى وحدات ماكرو
حيث يمكن أن تضيف ملفexe كوحدة ماكرو في ملف الوورد
لاحظو الصورة
أحيانا
تتخفى الفايروسات بأيقونات لأشياء غير تنفيذية
ثانيا:
لماذا يصنعونه!!
صراحة
هذا أصعب سؤال بالموضوع أنا أستخدم أحد برامج الحماية الذي يمتاز يقاعدة بيانات
كبيرة في ضيط الفايروسات حيث بلغت 4336293 بتاريخ هذا اليوم
وأنا لا أستطيع فهم هذه النقطة يعني لا يوجد أربعة ملايين وثلاث مئة ألف
سبب لكي يتم صنع هذه الفايروسات
أترككم مع هذا السؤال المتعلق بموضوعنا
س1:أعاني كثيرا من إصابة جهازي بالفيروسات، مما يجعلني أتساءل .. لماذا
يصنعون الفيروسات ؟ وما مصلحتهم من انتشارها ؟
ج1: ظهر أول فيروس حاسب آلي عام 1986 عندما قام الأخوان بسيط و أمجد فاروق (من
دولة باكستان) باكتشاف أنه بإمكانهما كتابة نص برمجي يتم تخزينه على القرص المرن
بحيث يعمل تلقائيا عند تشغيل الجهاز بواسطة القرص المرن، حيث قاما بكتابة برنامج
يقوم بنسخ نفسه مع تغيير Volume الخاص بالقرص المرن إلى (c ) Brain
وانتشر هذا الفيروس بشكل كبير مما أدى إلى ظهور مصطلح فيروس حاسب آلي. ولعل هذه
كانت هي الشرارة التي أدت إلى انتشار نيران الفيروسات في أوساط الحاسب الآلي.
لا أحد يستطيع الإجابة عن السبب الذي يدفع المبرمجين لكتابة الفيروسات، فبعض
الدراسات النفسية تبين أنها مسألة تحدي للذات لكي يثبت المبرمج لنفسه قدرته على
كتابة نص برمجي مخالف للعادة. والبعض يعزو ذلك إلى أنها مسألة بحث عن الشهرة
بتسمية الفيروس باسم معين ونشره حتى ينتشر معه الاسم كما حدث في فيروس ميليسا
الشهير والذي أطلق على اسم راقصة.
وبعض الفيروسات قد وضعت تخليدا لذكرى شخص أو مناسبة، مثل فيروس مايكل أنجلو.
وغيرها من الأسباب الأخرى.
كما يعتقد البعض أن الشركات المنتجة لبرامج الحماية تقوم بإصدار فيروسات جديدة
ونشرها وذلك حتى تزيد مبيعات برامجها.
ولكن على الرغم من جميع هذه الاحتمالات، تبقى الفيروسات ومصادرها أحد الجوانب
الغامضة في مجال الحاسب الآلي، فلا يمكن أن نتنبأ بما سوف تكشف الأيام القادمة من
فيروسات بطبائع وهيئات مختلفة.
ثالثا: كيف
ينتشر!!ينتشر
الفايروس عادة عبر وحدات التخزين الخارجية المصابة وذلك بطريقةAutoRun
أو فتح ملفات مصابة (كانت أصلا نظيفة)
أو عبر الإيميلات مجهولة المصدر
أو المواقع المشبوهة (الإباحية...)
وغيرها
راجع[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
t.com/middleeast /.../virus101. mspx
رابعا:
فهم آلية عمله التخريبية (وهو موضوعنا).
وأخيرا بدأنا الموضوع خلصنا من الفذلكة المكتوبة فوق
طبعا الفايروسات لا تسير كلها على نفس النهج ولكن هناك الكثير من
التكتيكات والآليات التي تتخذها
وسأقوم هنا بشرح أكثرها انتشارا وأيضا توضيح بعض المواضع التي تشترك فيها
أكثر الفايروسات انتشارا
A
تقنية AutoRun
هذه الكلمة تعني التشغيل التلقائي
1 فمثلا لنأخد هذا المثال لنرى كيف تعمل هذه الطريقة
في الصورة يوجد ملفان متعلقان بالقضية هما
Autorun.inf
و
lol.exe
لاحظ أن
محتوى ملف الأوتورن يأمر بأن يتم فتح ملف lol.exe عند الدخول للقرص (C) مباشرة أو حتى اختيار أحد هذه الأوامر open
,explore, auto play
وهذا دليل على أن طريقة فتح القرص المفيرس من خلال النقر عليه باليمين ثم
اختيار explore غير
ناجحة إذا كان هذا السطر موجود في ملف الأوتورنshell\explore\ command =lol.exe
2 وأيضا
ما يتعلق بموضوعنا هو فايروسات الـRECYCLER حيث تعمل بطريقة الأوتورن
مثل فايروس ise32.exe
3
آخر نقطة هنا هي
الأوتورن المليانة خرابيش وهناك نوعان الأول على الخفيف
لاحظوا موضوع الفاصلة والتي تضاف في بداية سطر الخرابيش
لكي يتم التغاضي عن السطر
والثاني
مبالغ فيه
ويصعب نوعا ما العثور على الأوامر في النوع الثاني
ولكن إن أجريت بحثا على كلمة open أو shell
ستجد باقي الأوامر الأوامر بسهولة
4
بقي نوع آخر من الأوتورن شرحه في الفقرة القادمةنقطة
مهمة جدا
كما
ذكرنا أحيانا النقر المباشر و open ,explore, auto
play
كلها تقوم بتفعيل الفايروس ما الحل إذا هناك حلان
الأول بسيط جدا
ولكن أحيانا لا يعمل
وهو أن تفتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب
C: أو D: أو E: أو F: إلخStart > Run > C: or D: or E: etc
على حسب
الدرايفر الذي تود فتحه وسيفتح دون تشغيل الفايروس
الحل الثاني
استخدم هذه الأداة هنا
FROM HERE
أوFROM
HERE
حيث تقوم
الأداة بـRestore Task MnagerandRestore Regisrty EditorandRestore Folder Optionsandand correct hidden and system files settingsalsoDisable AutoRun feature
[b]استرجاع
إدارة المهام
و
محررالسجل
و
خيارات النجلد
و
تصحيح خيارات عرض ملفات النظام والملفات المخفية
أيضا
تعطيل خاصية الأوتورن (التشغيل التلقائي)تقنية
التخفي والخداع
تقوم
الفايروسات بعدة طرق لخداع المستخدم بحيث يعتقد أنها ملفات عادية دون أدنى شك ،ومن
هذه الطرق طريقة الفايروس Brontok
وهو أول فايروس أصابني على ما أذكر
حيث ينسخ الفايروس نفسه داخل كل مجلد بنفس اسم المجلد وبأيقونة المجلد
المعروفة
مثل هذا المثال هنا
حيث يوجد مجلد اسمه hello وبداخله ستلاحظ مجلد اسمه hello أيضا
لكن في الحقيقة ذاك الثاني ليس مجلد بل ملف
وهذه الصورة توضح حيث بعد النظر في خصائصhello تجد أن نوعه حافظة شاشة أي أنه فايروس بامتداد SCR الذي ذكرناه ومتخفي باسم وأيقونة مجلد
وأيضا
نوع مشابه لهذا هو فايروس سمعت عنه لكن لم أره
يقال أنه يتخفى بأيقونة مجلد ويقوم بإخفاء أحد المجلدات ويأتي هو مكانه
وبنفس الاسم ليقوم المستخدم بفتحه وتصير الكوارث
***ومن الطرق أيضا وهي تابعة لموضوع الأوتورن***
هذه الطريقة وهي أن الفايروس يتخفى بامتداد jpg الصوري مثل o_o.jpgلكي يوهم
المستخدم بأنه صورة
ولكن ملف الأوتورن التابع له يوضح أن الفايروس عبارة عن سكربت script بامتداد vbs
وهذا الامتداد يعمل عن طريق الملف Wscript.exe
والواضح في ملف الأوتورن أنه أمر الـ Wscript.exe أن يقوم بتشغيل الـفايروس
كود:
[autorun]
shellexecute= Wscript.exe /e:vbs (o_o).jpg
***ومن تقنيات التخفي والخداع***
التخفي بأيقونات وأسماء ملفات النظام الأساسية مثل
حيث تخفى
الفايروس svchost باسم ملف النظام svchost
والفايروسsmss باسم ملف النظام smss
وإن لاحظت أن الفايروس services قد تخفى
بأحد أيقونات النظام
لكن السؤال هنا كيف أعلم متى يكون svchost وغيره
فايروس ومتى يكون ملف نظام مهم!!
الجواب بسيط جدا
لاحظ أن جميع الملفات المدعوة بـ svchost مظللة
بالأخضر
إن التي ذكر أمامها SYSTEM أو LOCAL
SERVICE أو NETWORK SERVICE
هي في الغالب ملفات للنظام مهمة جدا
أما ما ذكر أمامها اسم المستخدم وهو هنا Lola فهو في الغالب فايروس
إذا الملف المظلل بالأخضر الالأول هو الفايروس لأن ما بعده اسم المستخدم وليس إحدى
الكلمات السابقة
نقطة أخيرة في هذه الفقرة وهي أنكم كما تعلمون معظم الفايروسات تقوم بإخفاء نفسها
وتظهر بأيقونة باهتة (في حال أنه خيار إظهار الملفات المخفية مفعل وسليم)
والمشكلة فيها هي أنه عند المحاولة للتعديل في خصائصها لا تستطيع وذلك لأنها غير
مفعلة
ولكي
نتمكن من تحويلها لملفات عادية أي غير مخفية نتبع الآتي
افتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب cmdStart > Run > cmd
ثم اكتب
Attrib -r -s -h
ثم مسار الملف كاملا بين “ “
مثال
كود:
Attrib
-r -s -h"C:\lol.exe"
عندها سيتم إزالة
Read only , System , Hidden
من خصائص الملف وحتى ولو لم يمكن إزالتها بالطريقة العادية
C
دراسة متعمقة في بعض عمليات فايروس نموذجي
في هذه النقطة سنقوم بافتراض وجود فايروس نموذجي وسنتتبع أهم ما يفعله الفايروس في
النظام
وهذه أجمل نقطة بالموضوع
طيب أنا يمكن نص ساعة صارلي أدور على فايروس يعجبني ما لقيت
قلت أحسن شي أسويه أنا
وفعلا سويت واحد عالسريع لكن يفي لما نحتاجه
أولا الفايروس اسمه HTW.Trojan by Loersian
لنفترض أنه الفايروس تم تشغيله بتقنية الأوتورن السالفة الذكر
أول ما قام به الفايروس هو نسخ نفسه c:\System.exeC:\Windows\System32 \lasso.exe
لاحظ أنه استخدم تقنية تقليد ملفات النظام
____________
ملاحظة للفتح الريجستري اذهب إلى تشغيل من قائمة ابدأ واكتب regedittart < Run < regedit
ثم توجه
(الفايروس) ليس أنت لهذا المفتاح في الريجستري
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Run
وقام بإضافة القيمة System
والتي تساوي
c:\System.exe
لاحظ
إن الذي قام به الفايروس هنا هو إضافة نفسه إلى بدأ التشغيل أي ليعمل مع كل مرة
يعمل فيها الحاسب
بإمكانه استخدام أكثر من طريقة منها إضافة القيم إلى
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV
ersion\Run
وهي الأكثر شيوعا وهذه قائمة بأخرى مستخدمة
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\RunOnceHKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\RunOnceHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunOnceHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunOnceE xHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr entVersion\RunServi
cesHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunServi cesOnce
وبإمكان الفايروس وضع اختصار لنفسه في المجلد
اقتباس:
{CURRENTUSERDIRECTO
RY}\Start Menu\Programs\ Startup
أو
اقتباس:
{CURRENTUSERDIRECTO
RY}\Start Menu\Programs\ Startup
لكي يعمل مع بدء التشغيل
وهناك طرق أخرى كثيرة
نرجع للي سواه الفايروس
ملاحظة المقصود بـ /t نوع
القيمة في الريجستري وبالـ /d مقدار
القيمة
قام بـ
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ Hidden /t EG_DWORD /d 0HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ SuperHidden /t REG_DWORD /d 0HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ ShowSuperHidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Hidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ SuperHidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ ShowSuperHidden /t REG_DWORD /d 0
تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار 0 وهذه القيم لتعطيل رؤية ملفات
النظام والملفات المخفية
الجدير بالذكر هنا أن بعض الفيروسات يغير هذه القيم كل بضع ثواني أي يرجعها إلى
الصفر
بحيث لو أن المستخدم تمكن من إصلاحها تعطب تلك القيم مرة أخرى
ثم قام الفايروس بمسح القيمتين
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Folder\Hidden\ SHOWALL \CheckedValueHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Folder\Hidden\ SHOWALL \DefaultValue
لتخريب خيار إظهار المجلدات المخفية في الـ Folder options
وقام بمنع الوصول للريجستري وإدارة المهام من خلال القيم التالية
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Policies\ system\DisableTa skMgr /t REG_DWORD /d 1HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre ntVersion\Policies\
System\DisableRe gistryTools /t REG_DWORD /d 1HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Policies \system\DisableT askMgr /t REG_DWORD /d 1
كما قام بمنع ظهور خيارات المجلد Folder optionsHKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Policies\ Explorer\ NoFolderOptions /t REG_DWORD /d 1HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Policies \Explorer\ NoFolderOptions /t REG_DWORD /d 1
أعتقد ما قام به الفايروس من آثار تخريبية هي الأمثر شيوعا باستثناء عمليات
الديدان وجعل الملفات التنفيذية السليمة في الكومبيوتر مصابة ومن ناحيتي لا أعلم
عن هذا النوع وليس لدي الخلفية للكتابة عنه ،ربما في المستقبل إن شاء اللهخامسا: التخلص
من الفايروسات.
إن الكلام عن التخلص من الفيروسات ليس بذاك الموضوع السهل
فالفيروسات عادة تنسخ نفسها بأكثر من مكان وتموه نفسها مع برامج النظام كما تقوم
بتخريب الكثير من القيم داخل النظام كما ذكرنا
والحل الأمثل للتخلص من إحدى الفايروسات هو استخدام برامج الحماية وعمل فحص عميق
بها .
في بعض الأحيان قد لا تستطيع تشغييل الويندوز في الوضع العادي للنظام فتضطر عندها
للإقلاع من الوضع الآمن Safe Mood
وذلك بضغط F8 فور تشغيل
الكومبيوتر مرات متتالية حتى تظهر خيارات نختار منها safe mood
في هذا الوضع لن تعمل معظم الفيروسات
وبإمكانك تنظيف جهازك بحرية إن كنت خبيرًا أو القيام بعملية فحص من خلال بعض
الأدوات المقدمة من شركات الحماية مثل Macafee والتي تتيح لك عمل فحص داخل الوضع الآمن
ومن الحلول أيضا افحص عن طريق الدوسوهذا
اقتباس من موضوع ليشرح بها الطريقةAvira Rescue CD .. أو
لو أمكنك أي مضاد فيروسات يفحص من خلال السيدي في وضع الدوس (DOS)
وبآخر تحديث .. لكني أنصح بالأفيرا لأنه أفضل برنامج قابلته حتى الآن .. (ولو كان
ما اكتشف الفيروس المشروح بالأعلى)
لأنه لا يوجد برنامج حماية يحميك من كل الفيروسات ..
السؤال هنا لماذا أفحص من خارج الويندوز ؟
لأن الفيروسات تعمل في بيئة الويندوز لذلك يصعب حذفها ..
لكنها لا تستطيع العمل في بيئة الدوس DOS و يصبح حذفها أسهل ..
اقتباس:
يمكنك أن تحمل ملف بامتداد ISO على الرابط ..
و الملف يتم تحديثه أكثر من مرة باليوم (حسب كلام الشركة) .. و بعدها تنسخه على
سيدي
ببرامج حرق السيديات مثل النيروNero ..
و بالطبع تغير في اعدادات البيوس BIOS في
جهازك ليتم الإقلاع من السيدي أولاً ..
أترككم مع الصور من تحميل هذا الملف من موقع الافيرا Avira إلى فحص الجهاز ..
ملاحظة مهمة ذكرها أخوي في موضوعه هي أن استخدام طريقة الفحص من الدوس قد تؤدي إلى
حذف بعض ملفات النظام المصابة والذي قد يؤدي إلى دمار النظام وعدم القدرة على
الإقلاع منه
------------ ---------
أحيانا قد تصيب الفايروسات معظم ملفات exe الموجود بالكومبيوتر فتصبح كلها مصابة ومثلا فتحها في جهاز سليم
سيؤدي إلى إصابتها الحل هنا هو تطهير هذه الملفات
وأنصح ببرامج الحماية التالي في عملية التطهير على التوالي
Dr.webBitDefenderAvira
أحيانًا يفشل التطهير حيث يبقى خيار واحد فقط هو حذف الملف أو أحيانا يتم التطهير
ولكن يصبح الملف تالف
------------ ---------
وأحيانا لحل الوحيد للتخلص من الفايروس هو الفورمات
ولكن انتبه بعد الفورمات من فيروسات الأوتورن فقد تنتشر مرة أخرى إن قمت بفتح أحد
أقسام الهاردسك المصابة مثلاسادسا: هل
تخلصت من الفايروس مهلا هذا لا يكفي!!في كثير
من الأحيان يحصل أننا تخلصنا من الفايروس ولكن نلاحظ أن النظام على حاله من ناحية
البطء وتعطل بعض الأوامر
السبب في الغالب يكون آثار الفايروس
للتخلص من مشكلة البطء أنصحك بتنظيف الجهاز باستخدام
البرامج التالية CCleanerوTune Up و WindowsDoctor
راجع هذا الموضوع
أما الآثار التخريبية كذهاب إدارة المهام ومحرر السجل وخيارات المجلد والملفات
المخفية
Task Manager : control +alt + deleteRigestry Editor : RegeditFolder OptionsHidden and Systems Files
فاستخدم هذه الأداة هناسابعا: نصائح عامة. بالنسبة للنصائح العامة ..... فأنصحكم كما هو معروف بعدم فتح
الملفات الغريبة وخصوصا المرفقات عبر الإيميل المجهولة والغير متوقعة أو القادمة
من أشخاص مجهولين.
شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
محور
الموضوع هو فهم تكتيكات الفيروسات وكيفية تصرفها والآثار التي تتركها في أجهزتنا
وبالطبع الهدف الأول والأخير من هذا الموضوع هو العلم والفائدة وهذا الموضوع مليان
أكشن وأشياء عملية أكثر من الكلام النظري الممل وحتى لا تؤثر هذه النقطة سلبا في
الموضوع فقد أشرت إلى روابط خارجية فيها شرح أوسع عن النقاط النظرية التي لن أتوسع
بذكرها.
نبدأعلى بركة الله قمت بتقسيم
الموضوع إلى هذه النقاط :1-
تعريف سريع للفايروس.
2- كيف ينتشر؟!
3- فهم آلية عمله التخريبية (وهو موضوعنا).
4- التخلص من الفايروسات.
5- هل تخلصت من الفايروس >>> مهلا هذا لا يكفي!!
6- نصائح عامة.
7- أدوات هامة.
أولا:تعريف الفايروس.
الفايروس
حسب تعريفي واجتهادي الشخصي
هو بكل بساطة برنامج يهدف إلى الضرر بالكومبيوتر (بياناته ،نظامه أو
قِطَعه) أو صاحب الكومبيوتر
طبعا الفايروسات لها عوائل وقبائل
فمنها الديدان ومنها الفايروس التقليدي ومنها أحصنة طروادة
وتنتشر الفايروسات غالبا في امتدادات تنفيذية أي ملفت تعمل (يتم تنفيذها)
بمجرد الضغط عليها
وأشهر هذه الامتدادات هو exe
وأيضا قد تراها أحيانا بالامتدادين الأخوين bat,cmd
وهناك الامتداد com ولكن يندر استخدامه الآن فهو قديم جدا
وقد تنتشر بامتدادات حوافظ الشاشة Screen
Savers ورمزه scr
والذي يجمع بين هذه الامتدادات exe,bat,cmd,
com,scr
أنها كلها تنفيذية كما أسلفنا الذكر
أي أنها تعمل بمجرد فتحها
وقد تنتشر الفايروسات عبر الملفات غير التنفيذية مثل dll وعندما تكون بهذه الصيغة أو ما يشابهها فغالبا ما يكون هناك مشغل
يقوم بتنفيذ هذه الملفات إذ أن فتح هذه الملفات لا يفعلها
وأشبه لكم الأمر بالامتداد الصوتي MP3 فليك تستمع لهذا الملف قد تقوم بتشغيله بـ Windows
Media Player
ودون وجود ذاك البرنامج أو ما يقوم محله فإنك لن تستطيع الاستماع للملف
الصوتي
الأمر نفسه في ملفات الـDll
أعتقد أن الكلام أعلاه معظمنا
ولكن هل تعلم أن الفايروسات قد تنتشر عبر ملفات الأوفيس مثلا doc, xls
,ppt
نعم قد تنتشر عبر ملفات الوورد والإكسل والباور بوينت وغيرها
إذ يوجد في هذه البرامج ما يسمى وحدات ماكرو
حيث يمكن أن تضيف ملفexe كوحدة ماكرو في ملف الوورد
لاحظو الصورة
أحياناتتخفى الفايروسات بأيقونات لأشياء غير تنفيذية
ثانيا:لماذا يصنعونه!!
صراحة
هذا أصعب سؤال بالموضوع أنا أستخدم أحد برامج الحماية الذي يمتاز يقاعدة بيانات
كبيرة في ضيط الفايروسات حيث بلغت 4336293 بتاريخ هذا اليوم
وأنا لا أستطيع فهم هذه النقطة يعني لا يوجد أربعة ملايين وثلاث مئة ألف
سبب لكي يتم صنع هذه الفايروسات
أترككم مع هذا السؤال المتعلق بموضوعنا
س1:أعاني كثيرا من إصابة جهازي بالفيروسات، مما يجعلني أتساءل .. لماذا
يصنعون الفيروسات ؟ وما مصلحتهم من انتشارها ؟
ج1: ظهر أول فيروس حاسب آلي عام 1986 عندما قام الأخوان بسيط و أمجد فاروق (من
دولة باكستان) باكتشاف أنه بإمكانهما كتابة نص برمجي يتم تخزينه على القرص المرن
بحيث يعمل تلقائيا عند تشغيل الجهاز بواسطة القرص المرن، حيث قاما بكتابة برنامج
يقوم بنسخ نفسه مع تغيير Volume الخاص بالقرص المرن إلى (c ) Brain
وانتشر هذا الفيروس بشكل كبير مما أدى إلى ظهور مصطلح فيروس حاسب آلي. ولعل هذه
كانت هي الشرارة التي أدت إلى انتشار نيران الفيروسات في أوساط الحاسب الآلي.
لا أحد يستطيع الإجابة عن السبب الذي يدفع المبرمجين لكتابة الفيروسات، فبعض
الدراسات النفسية تبين أنها مسألة تحدي للذات لكي يثبت المبرمج لنفسه قدرته على
كتابة نص برمجي مخالف للعادة. والبعض يعزو ذلك إلى أنها مسألة بحث عن الشهرة
بتسمية الفيروس باسم معين ونشره حتى ينتشر معه الاسم كما حدث في فيروس ميليسا
الشهير والذي أطلق على اسم راقصة.
وبعض الفيروسات قد وضعت تخليدا لذكرى شخص أو مناسبة، مثل فيروس مايكل أنجلو.
وغيرها من الأسباب الأخرى.
كما يعتقد البعض أن الشركات المنتجة لبرامج الحماية تقوم بإصدار فيروسات جديدة
ونشرها وذلك حتى تزيد مبيعات برامجها.
ولكن على الرغم من جميع هذه الاحتمالات، تبقى الفيروسات ومصادرها أحد الجوانب
الغامضة في مجال الحاسب الآلي، فلا يمكن أن نتنبأ بما سوف تكشف الأيام القادمة من
فيروسات بطبائع وهيئات مختلفة.
ثالثا: كيفينتشر!!ينتشر
الفايروس عادة عبر وحدات التخزين الخارجية المصابة وذلك بطريقةAutoRun
أو فتح ملفات مصابة (كانت أصلا نظيفة)
أو عبر الإيميلات مجهولة المصدر
أو المواقع المشبوهة (الإباحية...)
وغيرها
راجع[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
t.com/middleeast /.../virus101. mspx
رابعا:فهم آلية عمله التخريبية (وهو موضوعنا).
وأخيرا بدأنا الموضوع خلصنا من الفذلكة المكتوبة فوق
طبعا الفايروسات لا تسير كلها على نفس النهج ولكن هناك الكثير من
التكتيكات والآليات التي تتخذها
وسأقوم هنا بشرح أكثرها انتشارا وأيضا توضيح بعض المواضع التي تشترك فيها
أكثر الفايروسات انتشارا
A
تقنية AutoRun
هذه الكلمة تعني التشغيل التلقائي
1 فمثلا لنأخد هذا المثال لنرى كيف تعمل هذه الطريقة
في الصورة يوجد ملفان متعلقان بالقضية هما
Autorun.inf
و
lol.exe
لاحظ أن
محتوى ملف الأوتورن يأمر بأن يتم فتح ملف lol.exe عند الدخول للقرص (C) مباشرة أو حتى اختيار أحد هذه الأوامر open
,explore, auto play
وهذا دليل على أن طريقة فتح القرص المفيرس من خلال النقر عليه باليمين ثم
اختيار explore غير
ناجحة إذا كان هذا السطر موجود في ملف الأوتورنshell\explore\ command =lol.exe
2 وأيضا
ما يتعلق بموضوعنا هو فايروسات الـRECYCLER حيث تعمل بطريقة الأوتورن
مثل فايروس ise32.exe
3آخر نقطة هنا هي
الأوتورن المليانة خرابيش وهناك نوعان الأول على الخفيف
لاحظوا موضوع الفاصلة والتي تضاف في بداية سطر الخرابيش
لكي يتم التغاضي عن السطر
والثانيمبالغ فيه
ويصعب نوعا ما العثور على الأوامر في النوع الثاني
ولكن إن أجريت بحثا على كلمة open أو shell
ستجد باقي الأوامر الأوامر بسهولة
4
بقي نوع آخر من الأوتورن شرحه في الفقرة القادمةنقطة
مهمة جدا
كما
ذكرنا أحيانا النقر المباشر و open ,explore, auto
play
كلها تقوم بتفعيل الفايروس ما الحل إذا هناك حلان
الأول بسيط جدا
ولكن أحيانا لا يعمل
وهو أن تفتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب
C: أو D: أو E: أو F: إلخStart > Run > C: or D: or E: etc
على حسب
الدرايفر الذي تود فتحه وسيفتح دون تشغيل الفايروس
الحل الثاني
استخدم هذه الأداة هنا
FROM HERE
أوFROM
HERE
حيث تقوم
الأداة بـRestore Task MnagerandRestore Regisrty EditorandRestore Folder Optionsandand correct hidden and system files settingsalsoDisable AutoRun feature
[b]استرجاع
إدارة المهام
و
محررالسجل
و
خيارات النجلد
و
تصحيح خيارات عرض ملفات النظام والملفات المخفية
أيضا
تعطيل خاصية الأوتورن (التشغيل التلقائي)تقنية
التخفي والخداع
تقوم
الفايروسات بعدة طرق لخداع المستخدم بحيث يعتقد أنها ملفات عادية دون أدنى شك ،ومن
هذه الطرق طريقة الفايروس Brontok
وهو أول فايروس أصابني على ما أذكر
حيث ينسخ الفايروس نفسه داخل كل مجلد بنفس اسم المجلد وبأيقونة المجلد
المعروفة
مثل هذا المثال هنا
حيث يوجد مجلد اسمه hello وبداخله ستلاحظ مجلد اسمه hello أيضا
لكن في الحقيقة ذاك الثاني ليس مجلد بل ملف
وهذه الصورة توضح حيث بعد النظر في خصائصhello تجد أن نوعه حافظة شاشة أي أنه فايروس بامتداد SCR الذي ذكرناه ومتخفي باسم وأيقونة مجلد
وأيضانوع مشابه لهذا هو فايروس سمعت عنه لكن لم أره
يقال أنه يتخفى بأيقونة مجلد ويقوم بإخفاء أحد المجلدات ويأتي هو مكانه
وبنفس الاسم ليقوم المستخدم بفتحه وتصير الكوارث
***ومن الطرق أيضا وهي تابعة لموضوع الأوتورن***
هذه الطريقة وهي أن الفايروس يتخفى بامتداد jpg الصوري مثل o_o.jpgلكي يوهم
المستخدم بأنه صورة
ولكن ملف الأوتورن التابع له يوضح أن الفايروس عبارة عن سكربت script بامتداد vbs
وهذا الامتداد يعمل عن طريق الملف Wscript.exe
والواضح في ملف الأوتورن أنه أمر الـ Wscript.exe أن يقوم بتشغيل الـفايروس
كود:
[autorun]
shellexecute= Wscript.exe /e:vbs (o_o).jpg
***ومن تقنيات التخفي والخداع***
التخفي بأيقونات وأسماء ملفات النظام الأساسية مثل
حيث تخفىالفايروس svchost باسم ملف النظام svchost
والفايروسsmss باسم ملف النظام smss
وإن لاحظت أن الفايروس services قد تخفى
بأحد أيقونات النظام
لكن السؤال هنا كيف أعلم متى يكون svchost وغيره
فايروس ومتى يكون ملف نظام مهم!!
الجواب بسيط جدا
لاحظ أن جميع الملفات المدعوة بـ svchost مظللة
بالأخضر
إن التي ذكر أمامها SYSTEM أو LOCAL
SERVICE أو NETWORK SERVICE
هي في الغالب ملفات للنظام مهمة جدا
أما ما ذكر أمامها اسم المستخدم وهو هنا Lola فهو في الغالب فايروس
إذا الملف المظلل بالأخضر الالأول هو الفايروس لأن ما بعده اسم المستخدم وليس إحدى
الكلمات السابقة
نقطة أخيرة في هذه الفقرة وهي أنكم كما تعلمون معظم الفايروسات تقوم بإخفاء نفسها
وتظهر بأيقونة باهتة (في حال أنه خيار إظهار الملفات المخفية مفعل وسليم)
والمشكلة فيها هي أنه عند المحاولة للتعديل في خصائصها لا تستطيع وذلك لأنها غير
مفعلة
ولكينتمكن من تحويلها لملفات عادية أي غير مخفية نتبع الآتي
افتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب cmdStart > Run > cmd
ثم اكتب
Attrib -r -s -h
ثم مسار الملف كاملا بين “ “
مثال
كود:
Attrib
-r -s -h"C:\lol.exe"
عندها سيتم إزالة
Read only , System , Hidden
من خصائص الملف وحتى ولو لم يمكن إزالتها بالطريقة العادية
C
دراسة متعمقة في بعض عمليات فايروس نموذجي
في هذه النقطة سنقوم بافتراض وجود فايروس نموذجي وسنتتبع أهم ما يفعله الفايروس في
النظام
وهذه أجمل نقطة بالموضوع
طيب أنا يمكن نص ساعة صارلي أدور على فايروس يعجبني ما لقيت
قلت أحسن شي أسويه أنا
وفعلا سويت واحد عالسريع لكن يفي لما نحتاجه
أولا الفايروس اسمه HTW.Trojan by Loersian
لنفترض أنه الفايروس تم تشغيله بتقنية الأوتورن السالفة الذكر
أول ما قام به الفايروس هو نسخ نفسه c:\System.exeC:\Windows\System32 \lasso.exe
لاحظ أنه استخدم تقنية تقليد ملفات النظام
____________
ملاحظة للفتح الريجستري اذهب إلى تشغيل من قائمة ابدأ واكتب regedittart < Run < regedit
ثم توجه
(الفايروس) ليس أنت لهذا المفتاح في الريجستري
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Run
وقام بإضافة القيمة System
والتي تساوي
c:\System.exe
لاحظ
إن الذي قام به الفايروس هنا هو إضافة نفسه إلى بدأ التشغيل أي ليعمل مع كل مرة
يعمل فيها الحاسب
بإمكانه استخدام أكثر من طريقة منها إضافة القيم إلى
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV
ersion\Run
وهي الأكثر شيوعا وهذه قائمة بأخرى مستخدمة
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\RunOnceHKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\RunOnceHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunOnceHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunOnceE xHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr entVersion\RunServi
cesHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\RunServi cesOnce
وبإمكان الفايروس وضع اختصار لنفسه في المجلد
اقتباس:
{CURRENTUSERDIRECTO
RY}\Start Menu\Programs\ Startup
أو
اقتباس:
{CURRENTUSERDIRECTO
RY}\Start Menu\Programs\ Startup
لكي يعمل مع بدء التشغيل
وهناك طرق أخرى كثيرة
نرجع للي سواه الفايروس
ملاحظة المقصود بـ /t نوع
القيمة في الريجستري وبالـ /d مقدار
القيمة
قام بـ
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ Hidden /t EG_DWORD /d 0HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ SuperHidden /t REG_DWORD /d 0HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Explorer\ Advanced\ ShowSuperHidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Hidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ SuperHidden /t REG_DWORD /d 0HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ ShowSuperHidden /t REG_DWORD /d 0
تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار 0 وهذه القيم لتعطيل رؤية ملفات
النظام والملفات المخفية
الجدير بالذكر هنا أن بعض الفيروسات يغير هذه القيم كل بضع ثواني أي يرجعها إلى
الصفر
بحيث لو أن المستخدم تمكن من إصلاحها تعطب تلك القيم مرة أخرى
ثم قام الفايروس بمسح القيمتين
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Folder\Hidden\ SHOWALL \CheckedValueHKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Explorer \Advanced\ Folder\Hidden\ SHOWALL \DefaultValue
لتخريب خيار إظهار المجلدات المخفية في الـ Folder options
وقام بمنع الوصول للريجستري وإدارة المهام من خلال القيم التالية
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Policies\ system\DisableTa skMgr /t REG_DWORD /d 1HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre ntVersion\Policies\
System\DisableRe gistryTools /t REG_DWORD /d 1HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Policies \system\DisableT askMgr /t REG_DWORD /d 1
كما قام بمنع ظهور خيارات المجلد Folder optionsHKEY_CURRENT_ USER\Software\ Microsoft\ Windows\Curre
ntVersion\Policies\ Explorer\ NoFolderOptions /t REG_DWORD /d 1HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\Curr
entVersion\Policies \Explorer\ NoFolderOptions /t REG_DWORD /d 1
أعتقد ما قام به الفايروس من آثار تخريبية هي الأمثر شيوعا باستثناء عمليات
الديدان وجعل الملفات التنفيذية السليمة في الكومبيوتر مصابة ومن ناحيتي لا أعلم
عن هذا النوع وليس لدي الخلفية للكتابة عنه ،ربما في المستقبل إن شاء الله
خامسا: التخلصمن الفايروسات.
إن الكلام عن التخلص من الفيروسات ليس بذاك الموضوع السهل
فالفيروسات عادة تنسخ نفسها بأكثر من مكان وتموه نفسها مع برامج النظام كما تقوم
بتخريب الكثير من القيم داخل النظام كما ذكرنا
والحل الأمثل للتخلص من إحدى الفايروسات هو استخدام برامج الحماية وعمل فحص عميق
بها .
في بعض الأحيان قد لا تستطيع تشغييل الويندوز في الوضع العادي للنظام فتضطر عندها
للإقلاع من الوضع الآمن Safe Mood
وذلك بضغط F8 فور تشغيل
الكومبيوتر مرات متتالية حتى تظهر خيارات نختار منها safe mood
في هذا الوضع لن تعمل معظم الفيروسات
وبإمكانك تنظيف جهازك بحرية إن كنت خبيرًا أو القيام بعملية فحص من خلال بعض
الأدوات المقدمة من شركات الحماية مثل Macafee والتي تتيح لك عمل فحص داخل الوضع الآمن
ومن الحلول أيضا افحص عن طريق الدوسوهذا
اقتباس من موضوع ليشرح بها الطريقةAvira Rescue CD .. أو
لو أمكنك أي مضاد فيروسات يفحص من خلال السيدي في وضع الدوس (DOS)
وبآخر تحديث .. لكني أنصح بالأفيرا لأنه أفضل برنامج قابلته حتى الآن .. (ولو كان
ما اكتشف الفيروس المشروح بالأعلى)
لأنه لا يوجد برنامج حماية يحميك من كل الفيروسات ..
السؤال هنا لماذا أفحص من خارج الويندوز ؟
لأن الفيروسات تعمل في بيئة الويندوز لذلك يصعب حذفها ..
لكنها لا تستطيع العمل في بيئة الدوس DOS و يصبح حذفها أسهل ..
اقتباس:
يمكنك أن تحمل ملف بامتداد ISO على الرابط ..
و الملف يتم تحديثه أكثر من مرة باليوم (حسب كلام الشركة) .. و بعدها تنسخه على
سيدي
ببرامج حرق السيديات مثل النيروNero ..
و بالطبع تغير في اعدادات البيوس BIOS في
جهازك ليتم الإقلاع من السيدي أولاً ..
أترككم مع الصور من تحميل هذا الملف من موقع الافيرا Avira إلى فحص الجهاز ..
ملاحظة مهمة ذكرها أخوي في موضوعه هي أن استخدام طريقة الفحص من الدوس قد تؤدي إلى
حذف بعض ملفات النظام المصابة والذي قد يؤدي إلى دمار النظام وعدم القدرة على
الإقلاع منه
------------ ---------
أحيانا قد تصيب الفايروسات معظم ملفات exe الموجود بالكومبيوتر فتصبح كلها مصابة ومثلا فتحها في جهاز سليم
سيؤدي إلى إصابتها الحل هنا هو تطهير هذه الملفات
وأنصح ببرامج الحماية التالي في عملية التطهير على التوالي
Dr.webBitDefenderAvira
أحيانًا يفشل التطهير حيث يبقى خيار واحد فقط هو حذف الملف أو أحيانا يتم التطهير
ولكن يصبح الملف تالف
------------ ---------
وأحيانا لحل الوحيد للتخلص من الفايروس هو الفورمات
ولكن انتبه بعد الفورمات من فيروسات الأوتورن فقد تنتشر مرة أخرى إن قمت بفتح أحد
أقسام الهاردسك المصابة مثلا
سادسا: هلتخلصت من الفايروس مهلا هذا لا يكفي!!في كثير
من الأحيان يحصل أننا تخلصنا من الفايروس ولكن نلاحظ أن النظام على حاله من ناحية
البطء وتعطل بعض الأوامر
السبب في الغالب يكون آثار الفايروس
للتخلص من مشكلة البطء أنصحك بتنظيف الجهاز باستخدام
البرامج التالية CCleanerوTune Up و WindowsDoctor
راجع هذا الموضوع
أما الآثار التخريبية كذهاب إدارة المهام ومحرر السجل وخيارات المجلد والملفات
المخفية
Task Manager : control +alt + deleteRigestry Editor : RegeditFolder OptionsHidden and Systems Files
فاستخدم هذه الأداة هنا
سابعا: نصائح عامة. بالنسبة للنصائح العامة ..... فأنصحكم كما هو معروف بعدم فتحالملفات الغريبة وخصوصا المرفقات عبر الإيميل المجهولة والغير متوقعة أو القادمة
من أشخاص مجهولين.
????- زائر
رد: موضوع شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
من طرف بشرى السبت يناير 02, 2010 2:32 pm
موضوع شامل ورائع ومعلومات قيمة
مشكور سالم جزاك الله كل خير
تقبل مروري
مشكور سالم جزاك الله كل خير
تقبل مروري
بشرى- المــديرة
-
عدد الرسائل : 1491
العمر : 50
العمل/الترفيه : الديكور- النترنيت- المطبخ- الكتابة..شعر..خواطر..أعمال فنية..الاخراج
تاريخ التسجيل : 08/11/2008 -
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى
» كل عام وانتم بخير
» اشتياق *** نورس ***
» إذا ما قال لي ربي أما استحييت تعصيني Mp3
» علمتني الحياة،،،
» هذيااااااان،،،،
» في موكب الرحمن .. شعر : عبدالمجيد فرغلي
» حرب العراق .. شعر : عبدالمجيد فرغلي
» خروج الروح .. شعر : عبدالمجيد فرغلي