جب ایک دن باس نے سوال اٹھایا: "کچھ لوگوں کے پاس کام کے کمپیوٹر تک ریموٹ رسائی کیوں ہے، بغیر استعمال کے لیے اضافی اجازتیں حاصل کیے؟"
یہ کام خامی کو "بند" کرنے کے لیے پیدا ہوتا ہے۔
نیٹ ورک پر ریموٹ کنٹرول کے لیے کافی ایپلی کیشنز موجود ہیں: کروم ریموٹ ڈیسک ٹاپ، ایمی ایڈمن، لائٹ مینجر، ٹیم ویور، اینی پلیس کنٹرول، وغیرہ۔ اگر کروم ریموٹ ڈیسک ٹاپ کے پاس سروس تک رسائی کا مقابلہ کرنے کے لیے ایک آفیشل مینوئل ہے، تو ٹیم ویور کو وقت یا درخواستوں پر لائسنسنگ کی پابندیاں ہوتی ہیں۔ نیٹ ورک اور صارفین سے "اپنے دانت پیستے ہیں" کسی نہ کسی طریقے سے ایڈمنز کے ساتھ "چمکتے ہیں"، پھر ذاتی استعمال کے لیے بہت سے لوگوں کا پسندیدہ - AnyDesk اب بھی خصوصی توجہ کی ضرورت ہے، خاص طور پر اگر باس نے کہا کہ "نہیں!"
اگر آپ جانتے ہیں کہ نیٹ ورک پیکٹ کو اس کے مواد سے مسدود کرنا کیا ہے اور آپ اس سے مطمئن ہیں، تو باقی مواد
ارادہ نہیں آپ کے لیے
حقیقت میں، مخالف سے جانے کی کوشش کرنا یہ کہتا ہے کہ پروگرام کو کام کرنے کی کیا اجازت ہونی چاہیے؛ اس کے مطابق، DNS ریکارڈ کو بلاک کر دیا گیا تھا۔ *.net.anydesk.com. لیکن AnyDesk آسان نہیں ہے؛ اسے ڈومین نام کو بلاک کرنے کی کوئی پرواہ نہیں ہے۔
ایک زمانے میں، میں نے "Anyplace Control" کو بلاک کرنے کا مسئلہ حل کیا تھا، جو ہمارے پاس کچھ مشکوک سافٹ ویئر کے ساتھ آیا تھا، اور یہ صرف چند IPs کو بلاک کرکے حل کیا گیا تھا (میں نے اینٹی وائرس کا بیک اپ لیا تھا)۔ AnyDesk کے ساتھ مسئلہ، جب میں نے دستی طور پر ایک درجن سے زائد IP پتے جمع کیے، مجھ پر انڈا ڈالا معمول کی دستی مشقت سے دور رہیں۔
یہ بھی پتہ چلا کہ "C:ProgramDataAnyDesk" میں سیٹنگز وغیرہ کے ساتھ بہت سی فائلیں ہیں اور فائل میں ad_svc.trace رابطوں اور ناکامیوں کے بارے میں واقعات جمع کیے جاتے ہیں۔
1. مشاہدہ
جیسا کہ پہلے ہی ذکر کیا گیا ہے، *.anydesk.com کو بلاک کرنے سے پروگرام کے آپریشن میں کوئی نتیجہ نہیں نکلا، اس کا تجزیہ کرنے کا فیصلہ کیا گیا۔ دباؤ والے حالات میں پروگرام کا رویہ. آپ کے ہاتھ میں Sysinternals سے TCPView اور جاؤ!
1.1 یہ دیکھا جا سکتا ہے کہ ہمارے لیے دلچسپی کے کئی عمل "ہنگ" ہیں، اور صرف وہی جو باہر سے ایڈریس کے ساتھ بات چیت کرتا ہے ہمارے لیے دلچسپی کا باعث ہے۔ جن بندرگاہوں سے یہ جوڑتا ہے ان کا انتخاب کیا جاتا ہے، جو میں نے دیکھا: 80، 443، 6568۔ 🙂 ہم یقینی طور پر 80 اور 443 کو بلاک نہیں کر سکتے۔
1.2 روٹر کے ذریعے ایڈریس کو بلاک کرنے کے بعد، خاموشی سے دوسرا پتہ منتخب کیا جاتا ہے۔
1.3 کنسول ہماری سب کچھ ہے! ہم PID کا تعین کرتے ہیں اور پھر میں تھوڑا خوش قسمت تھا کہ AnyDesk سروس کے ذریعہ انسٹال کیا گیا تھا، لہذا ہم جس PID کی تلاش کر رہے تھے وہ واحد تھی۔
1.4 ہم پروسیس PID سے سروس سرور کے IP ایڈریس کا تعین کرتے ہیں۔
2. تیاری
چونکہ آئی پی ایڈریسز کی شناخت کا پروگرام شاید صرف میرے پی سی پر کام کرے گا، اس لیے میرے پاس سہولت اور سستی پر کوئی پابندی نہیں ہے، اس لیے C#۔
2.1 مطلوبہ IP ایڈریس کی شناخت کے تمام طریقے پہلے سے معلوم ہیں، اس پر عمل درآمد ہونا باقی ہے۔
string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//переводим ответ в массив
pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}اسی طرح، ہمیں وہ سروس ملتی ہے جس نے کنکشن قائم کیا، میں صرف مین لائن دوں گا۔
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";جس کا نتیجہ یہ ہوگا:
قطار سے، پچھلے مرحلے کی طرح، تیسرا کالم نکالیں اور ":" کے بعد ہر چیز کو ہٹا دیں۔ نتیجے کے طور پر، ہمارے پاس اپنا مطلوبہ IP ہے۔
2.2 ونڈوز میں آئی پی بلاک کرنا۔ اگر لینکس میں بلیک ہول اور iptables ہیں، تو ونڈوز میں فائر وال کا استعمال کیے بغیر IP ایڈریس کو ایک لائن میں بلاک کرنے کا طریقہ غیر معمولی نکلا،
لیکن وہاں کون سے اوزار تھے...
route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -pکلیدی پیرامیٹر "اگر 1روٹ کو لوپ بیک پر بھیجیں (آپ روٹ پرنٹ چلا کر دستیاب انٹرفیس دکھا سکتے ہیں) اور اہم! اب پروگرام کو شروع کرنے کی ضرورت ہے۔ منتظم کے حقوق کے ساتھچونکہ راستہ تبدیل کرنے کے لیے بلندی کی ضرورت ہوتی ہے۔
2.3۔ شناخت شدہ IP پتوں کو دکھانا اور محفوظ کرنا ایک معمولی کام ہے اور اس کے لیے وضاحت کی ضرورت نہیں ہے۔ اگر آپ اس کے بارے میں سوچتے ہیں، تو آپ فائل پر کارروائی کر سکتے ہیں۔ ad_svc.trace AnyDesk خود، لیکن میں نے ابھی اس کے بارے میں نہیں سوچا + شاید اس پر کوئی حد ہے۔
2.4 پروگرام کا عجیب غیر مساوی رویہ یہ ہے کہ جب ونڈوز 10 میں سروس کے عمل کو "ٹاسک کلنگ" کیا جاتا ہے، تو یہ خود بخود دوبارہ شروع ہو جاتا ہے، ونڈوز 8 میں یہ ختم ہو جاتا ہے، صرف کنسول کے عمل کو چھوڑ کر اور دوبارہ جڑے بغیر، عام طور پر یہ غیر منطقی ہے اور یہ غلط ہے۔
سرور سے جڑے عمل کو ہٹانا آپ کو اگلے ایڈریس پر دوبارہ کنکشن "زبردستی" کرنے کی اجازت دیتا ہے۔ یہ پچھلے حکموں کی طرح لاگو کیا گیا ہے، لہذا میں صرف اسے دوں گا:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";مزید برآں، AnyDesk پروگرام شروع کریں۔
//запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5 ہم ایک منٹ میں ایک بار AnyDesk کی حیثیت چیک کریں گے (یا زیادہ بار؟)، اور اگر یہ منسلک ہے، یعنی کنکشن قائم ہو گیا - اس آئی پی کو بلاک کریں، اور ایک بار پھر - اس کے جڑنے تک انتظار کریں، بلاک کریں اور انتظار کریں۔
3. حملہ
کوڈ کو "خاکہ" کیا گیا تھا اور اس عمل کو تصور کرنے کا فیصلہ کیا گیا تھا "+"پائے گئے اور بلاک شدہ آئی پی کی نشاندہی کریں، اور"."- AnyDesk سے کامیاب پڑوسی کنکشن کے بغیر چیک کو دہرائیں۔
→
اس کے نتیجے میں…
پروگرام نے AnyDesk 5 اور 6 کے ورژن کے ساتھ مختلف Windows OS کے ساتھ کئی کمپیوٹرز پر کام کیا۔ 500 سے زیادہ تکرار، تقریباً 80 پتے جمع کیے گئے۔ 2500 - 87 اور اسی طرح ...
وقت گزرنے کے ساتھ، بلاک شدہ IPs کی تعداد 100+ تک پہنچ گئی۔
فائنل کا لنک ٹیکسٹ فائل پتوں کے ساتھ: и
یہ ہو گیا ہے! آئی پی ایڈریس کے پول کو اسکرپٹ کے ذریعے مین روٹر کے قواعد میں شامل کیا گیا تھا اور AnyDesk صرف ایک بیرونی کنکشن نہیں بنا سکتا۔
ایک عجیب بات ہے، ابتدائی نوشتہ جات سے یہ واضح ہے کہ پتہ معلومات کی منتقلی میں ملوث ہے۔ boot-01.net.anydesk.com. بلاشبہ، ہم نے عام اصول کے طور پر تمام *.net.anydesk.com میزبانوں کو بلاک کر دیا، لیکن یہ کوئی عجیب بات نہیں ہے۔ ہر بار مختلف کمپیوٹرز سے عام پنگ کے ساتھ، یہ ڈومین نام ایک مختلف IP دیتا ہے۔ لینکس پر چیکنگ:
host boot-01.net.anydesk.com
DNSLookup کی طرح وہ صرف ایک IP ایڈریس دیتے ہیں، لیکن یہ ایڈریس متغیر ہے۔ TCPView کنکشن کا تجزیہ کرتے وقت، ہمیں اس قسم کے IP پتوں کے PTR ریکارڈ واپس کیے جاتے ہیں۔ relay-*.net.anydesk.com.
نظریاتی طور پر: چونکہ پنگ بعض اوقات کسی نامعلوم غیر مسدود میزبان کے پاس جاتا ہے۔ boot-01.net.anydesk.com ہم ان ips کو تلاش کر سکتے ہیں اور انہیں بلاک کر سکتے ہیں، اس نفاذ کو لینکس OS کے تحت باقاعدہ اسکرپٹ بنا سکتے ہیں، یہاں AnyDesk کو انسٹال کرنے کی ضرورت نہیں ہے۔ تجزیہ سے پتہ چلتا ہے کہ یہ آئی پی اکثر "ایک دوسرے کو کاٹنا"ہماری فہرست سے ملنے والوں کے ساتھ۔ شاید یہ صرف یہی میزبان ہے جس سے پروگرام معلوم شدہ آئی پیز کو "چھانٹنا" شروع کرنے سے پہلے جوڑتا ہے۔ میں شاید بعد میں مضمون کو میزبان کی تلاش کے دوسرے حصے کے ساتھ ضمیمہ کروں گا، حالانکہ اس وقت پروگرام خود عام طور پر نیٹ ورک بیرونی شمولیت کے اندر انسٹال نہیں ہوتا ہے۔
مجھے امید ہے کہ آپ نے مذکورہ بالا میں کوئی غیر قانونی چیز نہیں دیکھی ہے، اور AnyDesk کے تخلیق کار میرے اعمال کے ساتھ اسپورٹس مین کی طرح برتاؤ کریں گے۔
ماخذ: www.habr.com