تم إتلاف ملحق محفظة المتصفح فجأة. كيف يمكن تجنب الخطر؟

المؤلف: ليزا وأرو

في بيئة الإنترنت اليوم، تظهر تهديدات مثل البرامج الضارة والفيروسات وهجمات التصيد الاحتيالي في تيار لا نهاية له. يمكن أن يساعد تثبيت برامج مكافحة الفيروسات (مثل AVG وBitdefender وKaspersky وMalwarebytes وغيرها من المنتجات المشهورة عالميًا) المستخدمين على منع البرامج الضارة وتحسين أمان النظام. ومع ذلك، فإن دور برامج مكافحة الفيروسات هو توفير الحماية الأمنية الأساسية. فهي لا تستطيع سوى تقليل المخاطر ولكنها لا تستطيع ضمان الأمان المطلق. إن المواجهة عملية ديناميكية، وتثبيت برنامج مكافحة الفيروسات ما هو إلا الخطوة الأولى لتحسين الأمان. وفي الوقت نفسه، قد يعطي برنامج مكافحة الفيروسات نفسه نتائج إيجابية خاطئة، مما يجلب مخاطر إضافية.

في الآونة الأخيرة، أبلغ بعض المستخدمين أنه بعد استخدام برنامج مكافحة الفيروسات، تم الإبلاغ عن بعض ملحقات المتصفح (وخاصة ملحقات محفظة العملات المشفرة) عن طريق الخطأ على أنها برامج ضارة، مما تسبب في عزل ملفات JavaScript الخاصة بالملحق أو حذفها، وفي النهاية تعرضت محفظة الملحق للتلف ولم يعد من الممكن استخدامها بشكل طبيعي. بالنسبة لمستخدمي Web3، فإن هذا الموقف خطير بشكل خاص لأن ملحقات محفظة التشفير تخزن عادةً مفاتيح خاصة. إذا تم التعامل معها بشكل غير صحيح، فقد يؤدي ذلك إلى فقدان بيانات المحفظة أو حتى عدم القدرة على استرداد الأصول. لذلك، من المهم فهم كيفية استرداد البيانات الممتدة التي تم عزلها بسبب نتائج إيجابية خاطئة بشكل صحيح.

كيفية التعامل معها؟

إذا وجدت أن ملحق المتصفح تالف بسبب إيجابيات خاطئة من برنامج مكافحة الفيروسات، فمن المستحسن استعادته باتباع الخطوات التالية:

1. استرداد الملفات من منطقة الحجر الصحي وعدم إلغاء تثبيت الملحق

إذا وجدت أنه لا يمكن تشغيل برنامج أو ملحق معين، فتحقق فورًا من "الحجر الصحي" أو "السجل" لبرنامج مكافحة الفيروسات للعثور على الملفات المبلغ عنها بشكل خاطئ ولا تحذف الملفات المعزولة.

• إذا كان الملف لا يزال في الحجر الصحي، حدد "استعادة" وأضف الملف أو الامتداد إلى القائمة الموثوقة لمنع ظهور النتائج الإيجابية الخاطئة مرة أخرى.

• إذا تم حذف الملف، يرجى التحقق مما إذا كان هناك نسخة احتياطية تلقائية أو استخدام أدوات استرداد البيانات لاستعادته.

• تذكر: لا تقم بإلغاء تثبيت الامتداد! حتى لو تعرض الامتداد للتلف، فمن الممكن أن تظل الملفات المشفرة المتعلقة بالمفتاح الخاص مخزنة محليًا، كما أن الاسترداد لا يزال ممكنًا.

2. ODBEFGPGKNN):

• مرجع مسار MAC:
  ~/Library/Application Support/Google/Chrome/Default/Local Extension تجدر الإشارة إلى أنه إذا كان Chrome يستخدم تكوينات حسابات متعددة، فقد يصبح الإعداد الافتراضي في المسار هو الملف الشخصي 1/الملف الشخصي 2. تحتاج إلى التحقق من دليل الملف الشخصي المحدد وضبط المسار وفقًا للموقف الفعلي. يوصى بالنسخ الاحتياطي الكامل للدليل الخاص بالامتداد المستهدف في أقرب وقت ممكن لتسهيل الاسترداد في حالة حدوث مشكلات. 3. طريقة الاسترداد التقريبية: الكتابة فوق دليل الامتداد المحلي

  إذا تعرض الامتداد للتلف بسبب إنذار كاذب، فإن الطريقة الأكثر مباشرة هي الكتابة فوق بيانات الامتداد التي تم نسخها احتياطيًا مباشرةً إلى دليل الامتداد المقابل للمسار المحلي على جهاز كمبيوتر جديد أو بيئة متصفح جديدة، ثم إعادة فتح برنامج الامتداد. 4. طريقة الاسترداد المتقدمة: فك تشفير بيانات المفتاح الخاص يدويًا

  إذا لم تتمكن من فتح الامتداد أو كانت البيانات مفقودة، فيمكنك تجربة طريقة استرداد أكثر تقدمًا، وهي فك تشفير بيانات المفتاح الخاص يدويًا لاستعادتها. خذ MetaMask كمثال:

  • ابحث عن معرف امتداد MetaMask محليًا على جهاز الكمبيوتر الخاص بك وابحث عن الدليل التالي: C:\Users\[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn

  • قد يحتوي هذا الدليل على ملفات ldb/log، التي تخزن بيانات المفتاح الخاص المشفرة. يمكنك استخدام أداة فك تشفير Vault الرسمية من MetaMask (https://metamask.github.io/vault-decryptor/) لفك التشفير. خطوات فك التشفير: افتح أداة فك تشفير MetaMask Vault -> انسخ المحتوى المشفر في ملف ldb/log -> فك التشفير باستخدام كلمة المرور الأصلية الممتدة -> بعد الحصول على المفتاح الخاص، أعد استيراد المحفظة.

  

  إذا لم تتمكن الطريقة المذكورة أعلاه من استرداد بيانات المحفظة، فيمكن للمستخدم كتابة برنامج نصي لاستخراج بيانات التخزين الموسعة من ملف قاعدة البيانات المحلية ثم فك تشفيرها. هنا، يتم استخدام PhantomKeyRetriever كقالب لكتابة المبادئ الأساسية وتنفيذات أدوات استرداد المحفظة المختلفة على النحو التالي:

  عادةً ما تخزن مكونات المحفظة البيانات الحساسة في قواعد البيانات أو الملفات الموجودة على النظام المحلي. تستخدم محافظ امتداد المتصفح (مثل Phantom و MetaMask وما إلى ذلك) واجهة برمجة التطبيقات للتخزين التي يوفرها المتصفح لحفظ البيانات المشفرة في منطقة التخزين المحلية للمتصفح، عادةً في نظام قاعدة بيانات مثل LevelDB أو IndexedDB. بغض النظر عن نوع المحفظة، فإن المبدأ الأساسي هو أن البيانات يتم تخزينها دائمًا في شكل مشفر، مما يضمن أنه حتى لو تم نسخ البيانات، فلا يمكن الوصول إليها بدون كلمة المرور الصحيحة. تستخدم معظم محافظ العملات المشفرة بنية تشفير متعددة الطبقات لتعزيز الأمان. أولاً، يتم استخدام كلمة المرور الرئيسية للمستخدم لتشفير مفتاح وسيط (يُطلق عليه غالبًا "مفتاح التشفير" أو "مفتاح فك التشفير"). يتم بعد ذلك استخدام هذا المفتاح الوسيط لتشفير المفتاح الخاص الفعلي أو المفتاح التذكاري. يضمن هذا التصميم أنه حتى في حالة العبث بكود تطبيق المحفظة، فإن المهاجم يحتاج فقط إلى معرفة كلمة مرور المستخدم للحصول على المفتاح الخاص. يسمح هذا التصميم متعدد الطبقات أيضًا لتطبيق المحفظة بفك تشفير المفتاح الوسيط فقط بعد تسجيل دخول المستخدم، دون الحاجة إلى إعادة إدخال كلمة المرور الرئيسية لكل عملية.

  تتضمن عملية كتابة أداة استرداد المحفظة عادةً ما يلي:

  • تحديد موقع البيانات المشفرة واستخراجها (قراءة البيانات من LevelDB/IndexedDB).

  • قم بتحليل بنية البيانات وتحديد المفتاح الخاص/المفتاح المشفر.

  • يتطلب من المستخدمين إدخال كلمة مرور المحفظة وحساب مفتاح فك التشفير من خلال KDF (مثل PBKDF2 أو Scrypt).

  • فك تشفير المفتاح الوسيط ثم فك تشفير المفتاح الخاص/المفتاح المساعد. تتطلب هذه العملية معرفة دقيقة بنظام تشفير المحفظة وتنسيق تخزين البيانات، والتي عادة ما يتعين الحصول عليها من خلال الهندسة العكسية أو تحليل الكود مفتوح المصدر للمحفظة.

    خذ أداة PhantomKeyRetriever كمثال. هذا نص برمجي مصمم خصيصًا لاستخراج رموز المحفظة الوهمية أو المفاتيح الخاصة من بيانات متصفح Chrome. وقد قامت SlowMist الآن بجعل هذه الأداة مفتوحة المصدر على GitHub (https://github.com/slowmist/PhantomKeyRetriever). مبادئها الأساسية هي كما يلي:

    • اقرأ قاعدة بيانات Chrome LevelDB وانسخ البيانات ذات الصلة إلى دليل مؤقت.

    • قم بفحص قاعدة البيانات للعثور على مفتاح التشفير ومعلومات بذرة المحفظة المخزنة في محفظة Phantom.

    • يقوم المستخدم بإدخال كلمة مرور Phantom، ويستخدم البرنامج النصي PBKDF2/Scrypt لحساب مفتاح فك التشفير.

    • فك تشفير بيانات مخزن المحفظة واستخراج الرمز BIP39 أو المفتاح الخاص Base58. في عملية فك التشفير ذات الطبقتين هذه، يدعم البرنامج النصي وظيفتين لاشتقاق المفتاح، PBKDF2 وScrypt، ويستخدم SecretBox من مكتبة NaCl لفك التشفير الآمن. أخيرًا، اعتمادًا على نوع البيانات التي تم فك تشفيرها، يقوم البرنامج النصي بإنشاء وسيلة مساعدة متوافقة مع BIP39 أو استخراج مفتاح خاص مشفر باستخدام Base58.

      

      تجدر الإشارة إلى أن المتصفحات الأخرى التي تدعم المحافظ الموسعة (مثل Edge وFirefox) لها أيضًا مبادئ مماثلة ولن يتم تكرارها هنا.

      كيفية منع ذلك؟

      لتقليل خطر النتائج الإيجابية الخاطئة، يمكن للمستخدمين اتخاذ التدابير التالية:

      • قم بعمل نسخة احتياطية منتظمة للملفات المهمة وبيانات امتداد المتصفح بحيث يمكن استعادتها بسرعة عند حدوث نتيجة إيجابية خاطئة.

      • أضف قواعد الثقة يدويًا في برنامج مكافحة الفيروسات. بالنسبة للبرامج أو الملحقات المهمة (مثل MetaMask)، يمكنك إضافتها يدويًا إلى قائمة الثقة لمنع النتائج الإيجابية الخاطئة.

      • استخدم القنوات الرسمية لتنزيل البرامج وتجنب تثبيت التطبيقات غير الرسمية أو المعدلة لتقليل احتمالية تصنيفك كخطر محتمل بواسطة برامج مكافحة الفيروسات.

      الملخص

      إن المواجهة تتغير دائمًا بشكل ديناميكي، كما أن استراتيجيات الأمن تحتاج أيضًا إلى تعديل مستمر. يعد تثبيت برنامج مكافحة الفيروسات أمرًا مهمًا، ولكن في النهاية، يعتبر المستخدمون هم خط الدفاع الأخير لحماية أصولهم. عند مواجهة نتائج إيجابية خاطئة، يجب على المستخدمين التعامل مع الأمر بهدوء وتجنب حذف الملفات المهمة بشكل مباشر واستخدام طرق الاسترداد المناسبة. لا يمكنك ضمان أمان بياناتك حقًا إلا من خلال إتقان المعرفة الأمنية الصحيحة.