🛡️ كيفية فحص حاسوبك من التجسس باستخدام PowerShell (دليل عملي للمبتدئين)

Monsif Hmouri

في عالم تكثر فيه البرمجيات الخبيثة وملفات التجسس، أصبح من الضروري أن يعرف كل مستخدم كيف يفحص جهازه بطريقة يدوية دون الحاجة إلى برامج خارجية.
في هذا الدليل، سنتعلم خطوة بخطوة كيف نكتشف إذا كان هناك من يتجسس علينا، باستخدام أوامر PowerShell البسيطة والفعالة.

—

🖥️ المتطلبات:

نظام تشغيل Windows 10 أو 11
استخدام PowerShell بصلاحيات المسؤول
(اضغط بزر الفأرة الأيمن على PowerShell ثم “تشغيل كمسؤول”)

—

الخطوة 1: فحص العمليات النشطة

$$
Get-Process | Sort-Object CPU -Descending | Select-Object -First 20
$$

يعرض هذا الأمر أكثر العمليات استهلاكًا للمعالج. ابحث عن أي أسماء مشبوهة أو غير مألوفة.

—

الخطوة 2: فحص برامج الإقلاع التلقائي

للمستخدم الحالي:

$$
Get-CimInstance -ClassName Win32_StartupCommand | Select-Object Name, Command, Location
$$

لكل المستخدمين:

$$
Get-ItemProperty -Path “HKLM:\Software\Microsoft\Windows\CurrentVersion\Run”
$$

الإقلاع لمرة واحدة فقط:

$$
Get-ItemProperty -Path “HKCU:\Software\Microsoft\Windows\CurrentVersion\RunOnce”
$$

راجع النتائج جيدًا. أي سكريبتات .py أو ملفات .exe غير معروفة يجب فحصها يدويًا أو حذفها.

—

الخطوة 3: فحص مجلد التشغيل التلقائي

$$
Get-ChildItem “$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup”
$$

أي سكريبت موجود هنا يعمل تلقائيًا عند تشغيل النظام. مثلًا:

malicious_script.py
phich.py

—

الخطوة 4: فحص الاتصالات النشطة

$$
netstat -ano | findstr ESTABLISHED
$$

يعرض الاتصالات المفتوحة من جهازك إلى الإنترنت. راقب العناوين المشبوهة (ليست عناوين Google أو Microsoft).

—

الخطوة 5: فحص الخدمات النشطة

$$
Get-Service | Where-Object {$_.Status -eq “Running”} | Select-Object Name, DisplayName
$$

تحقق من وجود خدمات غريبة تعمل في الخلفية.

—

الخطوة 6: فحص المهام المجدولة

$$
Get-ScheduledTask | Where-Object {$_.State -eq “Ready”} | Select TaskName, TaskPath
$$

قد تستخدم بعض البرمجيات الخبيثة المهام المجدولة لتعيد تشغيل نفسها.

—

❌ حذف البرامج الخبيثة من التشغيل التلقائي

إذا وجدت برنامجًا مشبوهًا، احذفه باستخدام الأمر التالي:

$$
reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v Malware /f
$$

غيّر كلمة Malware إلى اسم القيمة المشبوهة التي ظهرت في نتائج الفحص.

—

🔒 نصائح للحماية الإضافية:

افحص الملفات المشبوهة عبر VirusTotal.com
لا تثق في السكريبتات .py أو .exe غير المعروفة.
استخدم أداة Autoruns من Microsoft لفحص شامل للإقلاع التلقائي.

—

🧠 الخلاصة:

استخدام PowerShell يمنحك تحكمًا كاملاً في فحص النظام والكشف عن أي نشاط غير طبيعي. لا تحتاج إلى أن تكون خبيرًا، فقط اتبع هذه الخطوات وستتمكن من حماية نفسك من التجسس أو البرمجيات الخبيثة.