نقاط شروع کار ویروس ها در ویندوز

[Magsoud]

توضیح
======
چند سال پیش مطلب زیر را برای اولین بار در سایت انگلیسی زبان http://virusremoval.pro (که در حال حاظر
تعطیل شده است) نوشتم.
در آن زمان کاربری با نام کاربری Buster ، که ایشان هم مثل بنده از اعضای سایت مذکور بودند ، به نوشته بنده
اعتراض کردند.
توضیح اینکه این شخص همان کسی است که برنامه معروف سندباکسی را ساخته است که امروزه کاربران زیادی
از آن استفاده مینمایند.
اعتراض ایشان بجا بود . من نوشته بودم محل هائیکه ویروس ها و بدافزار ها در ویندوز ،از آن جا ها شروع بکار میکنند
و بعد محل هائی را که میدانستم معرفی کرده بودم
و ایشان در اعتراض خود اعلام کرد که نقاطی که من معرفی کرده ام همه نقاط نیستند و ادامه داد که حدود صد محل
دیگر را هم می شناسند که محل شروع بکار ویروس هاست.

منظور از این مقدمه نکته زیر است که بنده در آن زمان به ایشان جواب دادم:

... چگونگی ساخت سیستم عامل های مایکروسافت تا به امروز سری بوده و مخفی نگهداشته شده است.
و در نتیجه هیچ کسی جز مایکروسافت از تمام توانائی ها و یا نقاط ضعف ویندوز ها اطلاعی ندارد.
بیشتر اطلاعاتی که ما ها در مورد ویندوز داریم ، اکثر ترفند هائیکه برای بهیود کار ویندوز انجام میدهیم و ووو
هیچکدام توسط مایکروسافت گفته نشده و فقط و فقط حاصل تلاش و تجربه های تلخ و شیرین کاربران گمنام
در سراسر دنیا است که در اینترنت منتشر شده است.
ما در این انجمن ها جمع شده ایم تا هرکدام دانسته های خود را با دیگران به اشتراک بگذاریم و راه های بهتر
و جدید تر را پیدا کنیم.
لذا این ها دانسته های بنده در مورد موضوع تاپیک هستند ، نه همه موضوع..........

و کاربر Buster هم بعد از دیدن جواب بنده ، دانسته های خودش را در قالب یک فایل فشرده آپلود کرد.
متاسفانه بنده فایل آپلود شده ایشان را دیگر ندارم و از این بابت متاسف هم هستم.
===============================

از این انشا نتیجه می گبریم که نقاطی که در جلسه بعدی گفته خواهند شد ، همه نقاط نیستند و کاربران باید این
نقاط را شناخته ولی به آن ها بسنده نکنند.

[Magsoud]

اطلاعاتی که در زیر گفته میشوند برگرفته از مطالب موجود در صد ها صفحه وب است

هر برنامه مخربی که ساخته میشود ، هدف یا هدف هائی را دنبال میکند .
برنامه مخرب برای اینکه به هدف هایش برسد باید بتواند دو تا کار را در کامپیوتر قربانی انجام دهد:

1. خودش را به طریقی مخفی کند یعنی کاری کند که کاربر کامپیوتر نتواند پیدایش کند .
2. باید بتواند در داخل کامپیوتر قربانی در زمان های لازم بطور اتوماتیک اجرا شده و کار های مورد نظرش را انجام دهد.

ما در این تاپیک در رابطه با این نکته که اکثر برنامه های مخرب از کجا و چگونه اجرا میشوند صحبت میکنیم و بدیهی
است که اگر ما بتوانیم چگونگی اجرای یک فایل مخرب را تشخیص دهیم ، دسترسی به فایل مخرب و از بین بردن آن
کار راحتی خواهد بود.

اولین نکته ای که در اینجا لازم میدانم یاد آوری کنم این است که تعداد خیلی زیادی از برنامه های مخرب با استفاده
از خاصیت مسخره اتو ران ویندوز ( Autorun) ، میلیون ها کامپیوتر را آلوده کردند و میکنند.
متاسفانه مایکروسافت با وجود مشاهده خرابکاری های بیشماری که با استفاده از این ویژگی ویندوزش صورت میگرفت
این ویژگی را از سیستم هایش حذف نکرده و تنها کاری که کرد این بود که این خاصیت اتوران را از ویندوز 7 ببعد در
حالت غیر فعال قرار داد. که براحتی میشود آن را دوباره فعال کرد.
بهر حال ، یک کاربر آگاه بایستی ویژگی اتوران را در ویندوزش غیر فعال نگهدارد.

اما نقاطیکه ویروس ها میتوانند از آنجا ها اجرا شوند
یک بدافزار ، یک موجود افسانه ای و جادوگر نیست ، او فقط کاری را میتواند انجام دهد که ویندوز اجازه دهد. لذا باید
از ویژگی های مختلف ویندوز استفاده کرده و اتوماتیک اجرا شود.
بنابر این ما در سطور زیر از نقاطی از ویندوز صحبت میکنیم که میشود فایل های خودمان را هم از آن جا ها بطور
اتوماتیک اجرا نمائیم

1. پوشه Startup
-------------------
عمومی ترین و ساده ترین جائیکه هر کاربر عادی ای هم میتواند کاری کند که برنامه های مورد نظرش موقع بالا آمدن
ویندوز ، بطور اتوماتیک اجرا شوند ، این پوشه است. کافی است که شورت کات فایل های مورد نظرمان را در این پوشه
قرار دهیم که موقع logon اجرا خواهند شد .

2. کلید Run در رجستری
----------------------------
اگر ما نام فایل هائی را در کلید Run از رجستری ویندوز قرار دهیم ، در هر بار روشن کردن کامپیوتر ، ویندوز در حین
پروسه Logon آن ها را اتوماتیک اجرا خواهد کرد.
کلید های Run در نقاط زیر از رجستری قرار دارند:

کد HTML:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

3. کلید های RunOnce در رجستری
----------------------------------------
دو تا محل زیر در رجستری مثل مورد بالا عمل میکنند با این فرق که نامی که در این قسمت ها قرار داده شود فقط
یک بار اجرا خواهد شد.

کد HTML:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

4. کلید های RunServices و RunServiceOnce در رجستری
-----------------------------------------------------------------
فایل هائیکه بصورت سرویس کار میکنند از محل های زیر اجرا می شوند.
توضیح اینکه دستورات این محل ها قبل از اجرای RunOnce که در بالا توضیح داده شد اجرا خواهند شد

کد HTML:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

5. چند جای دیگر از رجستری
----------------------------------
نقاط زیر نقاط مهمی در رجستری هستند.ویندوز برای اجرای فایل های اجرائی دستورات موجود در این محل ها را اجرا
میکند.

کد HTML:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\" %*"

یعنی وقتیکه شما در ویندوز روی یک فایل اجرائی دابل کلیک می کنید ، ویندوز برای آن فایل دستورات موجود در این
نقاط را انجام میدهد.
که همانطور که می بینید ، دستور پیشفرض در این جا عبارت است از:

کد HTML:

"\"%1" %*"

که اگر ما دستور را بصورت زیر تغییر دهیم در موقع بوت فایل xxx.exe بطور خودکار اجرا خواهد شد.

کد HTML:

"\"xxx.exe %1\" %*\"

تا زمانی دیگر و ادامه بحث

[Magsoud]

6. فایل WIN.INI
---------------------
ویندوز در حین بالا آمدن دستورات داخل چند فایل نوع INI را اجرا میکند که فایل WIN.INI جزو این فایل هاست که در
داخل پوشه ویندوز قرار دارد.
یک ویروس یا بد افزار میتواند از این فایل برای اجرا شدنش استفاده کند.معمولا" دستورات جلوی عبارات زیر از این
فایل اجرا میشوتد

کد HTML:

"RUN=" 
"LOAD="

7. فایل system.ini
---------------------
این فایل نیز داخل پوشه windows قرار دارد.
اگر دستوری مثل دستور زیر داخل این فایل بنوبسیم ، فایل xxx.exe همزمان با شروع ویندوز اجرا خواهد شد:

کد HTML:

[boot]
shell=explorer.exe C:\windows\xxx.exe

8. فایل explorer.exe
---------------------------
این فایل درون پوشه windows قرار گرفته و در حین پروسه logon اجرا میشود.
یکی از اشکالات یا باگ های ویندوز این است که با اینکه محل قرار گرفتن فایل explorer.exe داخل پوشه windows
است و ویندوز موقع logon باید این فایل را از داخل پوشه ویندوز اجرا نماید ، ولی در عمل اگر ما فایلی به همین نام
(explorer.exe) در روت درایو C داشته باشیم ، ویندوز بجای فایل موجود در پوشه ویندوز ، این فایل را اجرا خواهد کرد.

لذا اگر سازنده ویروس نویس اسم فایل ویروس را explorer.exe گذاشته و آن را در روت درایو ویندوز (درایو C ) قرار دهد
سیستم بجای فایل explorer.exe این فایل را که در حقیقت ویروس است را در حین logon اجرا حواهد کرد.

9. فایل WINSTART.BAT
-------------------------------
ویندوز دستورات داخل این فایل را اجرا خواهد کرد. محل این فایل داخل پوشه ویندوز است
تذکر اینکه ممکن است در پوشه ویندوز سیستم شما این فایل وجود نداشته باشد که درصورت نیاز میتوانید بسازید.

10. خاصیت دوباره اجرا کردن برنامه ها در ویندوز
----------------------------------------------------
یکی از خاصیت های ویندوز این است که بعضی از برنامه ها را که یکدفعه قطع میشود را دوباره اجرا میکند.
برای مثال اگر صفحه ای اینترنتی را باز کرده و مطالعه میکنید و بعد بعلت قطع برق یا هر علت دیگر بدون اینکه صفحه
را ببندید ، خاموش شود ، دفعه بعد که مرورگر خود را اجرا کنید ، خواهید دید که مرورگر اتوماتبک صفحه ای را باز میکند
که شما قبل از خاموشی باز کرده بودید.
توضیح اینکه این خاصیت ویندوز را که به Remember Explorer settings معروف است را میتوان غیر عملیاتی کرد.

یک بدافزار میتواند از این ویژگی ویندوز استفاده کرده و خود را در این ویژگی ویندوز بجای مرورگر بکار بیندازد.

11. کلید UserInit
----------------------
این کلید مشخص میکند که کدام برنامه درست بمحض ورود کاربر به ویندوز اجرا شود.

فایل اجرائی این کلید userinit.exe نام دارد که در پوشه system32 قرار دارد. و محل اجرایش از کلید رجستری زیر
است

کد HTML:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

میشود کاری کرد که همراه با این فایل ، فایل های دیگری هم اتوماتیک بکار بیفتند.

برای مثال با کلید رجستری زیر فرضا" ویروسی با نام xxx.exe هم اجرا خواهد شد.

کد HTML:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\xxx.exe.

تا روزی دیگر و ادامه بحث

[Magsoud]

12. Load Key
-------------------
این کلید امروزه دیگر استفاده نمیشود ولی بهرحال میتوان از آن برای اجرای اتوماتیک برنامه ها بهره برد.
بهر جهت این کلید در آدرس زیر از رجستری قرار دارد:

کد HTML:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

13. کلید Notify
-------------------
از این کلید برای اجرای برنامه ها در وضعیت های مشخص شده ای از قبیل logon, logoff, startup, shutdown بکار
میرود.
زمانیکه در شرایطی از قبیل حالت های بالا ، فایل Winlogon.exe یک وضعیت را گزارش می کند (generates an event )
ویندوز به این کلید مراجعه میکند تا ببیند کدام فایل DLL باعث این وضعیت شده است.

بعضی از بدافزار ها از این خاصیت ویندوز بهره برده و خودشان را در حین لاگ آن اجرا میکنند.
تذکر اینکه اجرا شدن اینگونه قابل جلوگیری کردن نیست.

بهر جهت این کلید در آدرس زیر از رجستری قرار دارد:

کد HTML:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

14. AppInit_DLLs
---------------------
این مورد مربوط به اجرای فایل هائی هست که توسط فایل های DLL اجرا میشوند.
بیشتر فایل user32.dll از اینجا استفاده شده ولی بهر حال تمام فایل های DLL موجود در این محل بار خواهند شد.
این کلید در آدرس زیر از رجستری قرار دارد:

کد HTML:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

15. ShellServiceObjectDelayLoad
-----------------------------------------
این قسمت از رجستری مقادیری شبیه مقادیر گفته شده در مورد کلید Run دارد.
با این تفاوت که برخلاف کلید Run که به خود فایل اشاره میکند ، در اینجا به CLSID's InProcServer اشاره می شود
که مشخصات مربوط به فایل DLL مورد استفاده را دارد.

فایل موجود در زیر این کلید پس از استارت ویندوز بطور اتوماتیک همزمان با اجرای فایل Explorer.exe اجرا خواهد شد.
یعنی میشود گفت که اینگونه فایل ها طوری اجرا خواهند شد که کاربر متوجه نخواهد شد.

این کلید در آدرس زیر از رجستری قرار دارد:

کد HTML:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

16. SharedTaskScheduler
---------------------------------
بیشتر مربوط به ویندوز ایکس پی و بپائین بوده و در مورد کارهائی است که توسط ویندوز تعیین میکنیم که فرضا"
در زمان مشخصی کار مشخصی را انجام دهد.

این کلید در آدرس زیر از رجستری قرار دارد:

کد HTML:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

17. دیگر موارد
-------------------
محل های فراوان دیگری هم وجود دارند که بدافزار ها از آن نقاط اجرا می شوند.
فرضا" تروجان SubSeven 2.2 از محل های زیر خودش را اجرا میکند:

کد HTML:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders 

و یا بعضی دیگر از نقاط خطرناک عبارتند از :

کد HTML:

Icq Inet 
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test] 
"Path"="test.exe" 
"Startup"="c:\\test" 
"Parameters"="" 
"Enable"="Yes" 

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\] 
This key specifies that all applications will be executed if ICQNET Detects an Internet Connection. 

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object" 
"NeverShowExt"="" 
This key changes your file's specified extension. 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute] 

This is the first thing that is run. 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell]

==========================
مطلب زیاد است و علم بنده کم
من فقط به نقاط اصلی و شناخته شده اشاره کردم ولی نقاط بیشمار شناخته نشده دیگری حتما" وجود دارند

موفق باشید.

[Mahm00d]

سلام
خدا قوت استاد گرامی...
استاد سوالی داشتم شما به برخی از مسیر های موجود در ریجستری اشاره کردین من به یکی از این مسیر های سر زدم

کد:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

در اینجا چندین مسیر دیگر وجود دارد !(دیدم که خیلی از نرم افزار ها از همین خاصیت که در ویندوز وجود دارد استفاده می کنند)

سوال من این است ما چگونه می توانیم از این مسیر های ریجستری که شما عرض کردید استفاده کنیم و ویروس ها را شناسایی کنیم؟؟؟
یا بنحوی دیگر چگونه می توانیم بفهمیم ویروسی از این مسیر های برای کارکرد خود استفاده می کند؟؟؟
امیدوارم منظورم را رسانده باشم.
بازم ممنون...

[Magsoud]

...
سوال این است ما چگونه می توانیم از این مسیر های ریجستری... ویروس ها را شناسایی کنیم؟؟؟

محمود جان
همانطوریکه گفتم ، اکثریت ویروس ها و بد افزار ها برای اینکه راحت بتوانند اجرا شوند ، دقیقا" از
خاصیت های خود ویندوز استفاده میکنند.
مسلم است که این خاصیت ها در رجستری ویندوز وجود دارند و فایل های نرمال ویندوز از این
نقاط دستور می گیرند.

تنها کاری که یک کاربر باید انجام دهد این است که همواره حواسش جمع باشد. او باید با کار
نرمال سیستمش کاملا" آشنا باشد. و بعد بمحض اینکه احساس کرد که سیستمش مقداری
بد کار میکند، بایستی فوری در پی پیدا کردن علت و رفع آن باشد.
اگر این کار را از اول انجام دهد امکان پیدا کردن عامل بد کار کردن وجود دارد ولی اگر کار را ببعد
موکول کند ، بدافزار تکثیر شده و خود را در هزار جای سیستم مخفی خواهد کرد تا اگر یک کپی
از آن را پیدا کردی کپی های دیگر کار کنند.

در این مسیر یکی از کار هائیکه کاربر میتواند انجام دهد این است که به نقاطی که بنده اشاره
کردم برود و ببیند که آیا فایل نا آشنائی در این محل ها وجود دارد یا نه.