fatema
12-04-2011, 10:25 AM
روشهای راه اندازی Trojan
روشهاي راه اندازي استاندارد:
اكثر افراد از راههاي متفاوتي كه هكرها براي راه اندازي فايلهاي Trojan استفاده ميكنند آگاه نيستند. اگر هكري كامپيوتر شما را با يك Trojan آلوده كند، نياز به انتخاب يك روش راهاندازي خواهد داشت، بگونهاي كه در زمان راهاندازي مجدد كامپيوتر شما Trojan بارگذاري شود. روشهاي معمول راهاندازي شامل كليدهاي اجرايي registry، فولدر راه اندازي ويندوز، Windows Load= يا run=lines يافته شده در فايل win.ini و shell=line يافته شده در system.ini ويندوز ميباشند.
روشهاي راه اندازي خطرناك:
از آنجايي كه فقط تعداد اندكي از اين روشهاي راه اندازي وجود دارند، هكرهاي زيادي را يافتهايم كه در پيدا كردن روشهاي جديد راهاندازي افراط ميكنند. اين شامل استفاده از تغييرات خطرناكي در سيستم registry ميباشد، كه در صورتي كه فايل Trojan يا فايل همراه آن از بين برود سيستم را بصورت بلااستفاده درخواهد آورد. اين يك دليل استفاده نكردن از نرم افزار ضد ويروس براي از بين بردن Trojanهاست. اگر يكي از اين روشها استفاده شود، و فايل بدون ثابت كردن registry سيستم از بين برود، سيستم شما قادر به اجراي هيچگونه برنامهاي پس از راه اندازي مجدد كامپيوترتان نخواهد بود.
قبل از آنكه سراغ registry برويم لازم به توضيح است كه يك فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد كه هر فايلي در اينجا باشد هنگام راه اندازي ويندوز اجرا خواهد شد.توجه داشته باشيد كه هرگونه تغييري ميتواند سيستم شما را به خطر بياندازد بنابراين، هرچه ما ميگوييم انجام دهيد. براي دستيابي به registry به منوي start>run> برويد و "regedit" را بدون علامت " " تايپ كنيد. در registry چندين مكان براي راه اندازي Startup وجود دارد كه ليستي از آنها را در اينجا مي آوريم.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command]="\"%1\"%*"
اگر اين كليدها مقدار "\"%1\"%*" را نداشته باشند و به جاي اجراي فايل در هنگام راه اندازي به "\"Server.exe %1\" %*" تغيير يابد به احتمال زياد يك Trojan است.
:روش راه اندازي ICQ
روشي راه اندازي ديگري كه امروزه استفاده از آن معمول است شناسايي شبكه ICQ ميباشد. بسياري از كاربران ICQ نميدانند كه هكر ميتواند يك خط پيكربندي را به ICQ اضافه نمايد تا با هر بار بارگذاري شدن برنامه Trojan نيز راه اندازي شود. به عنوان آزمايش مراحل زير را انجام دهيد:
ICQ را باز كنيد. روي آيكن ICQ كليك كنيد و preference را انتخاب نماييد. روي Edit launch List كليك كنيد. روي Add كليك كنيد. روي Browse كليك كنيد. فايلي را براي اضافه كردن به Windows\notepad.exe بيابيد كه به كار اين آزمايش بيايد. روي Open و سپس OK كليك كنيد. زماني كه شما ICQ را راه اندازي مجدد ميكنيد فايل اجرا خواهد شد.
روشهاي راه اندازي استاندارد:
اكثر افراد از راههاي متفاوتي كه هكرها براي راه اندازي فايلهاي Trojan استفاده ميكنند آگاه نيستند. اگر هكري كامپيوتر شما را با يك Trojan آلوده كند، نياز به انتخاب يك روش راهاندازي خواهد داشت، بگونهاي كه در زمان راهاندازي مجدد كامپيوتر شما Trojan بارگذاري شود. روشهاي معمول راهاندازي شامل كليدهاي اجرايي registry، فولدر راه اندازي ويندوز، Windows Load= يا run=lines يافته شده در فايل win.ini و shell=line يافته شده در system.ini ويندوز ميباشند.
روشهاي راه اندازي خطرناك:
از آنجايي كه فقط تعداد اندكي از اين روشهاي راه اندازي وجود دارند، هكرهاي زيادي را يافتهايم كه در پيدا كردن روشهاي جديد راهاندازي افراط ميكنند. اين شامل استفاده از تغييرات خطرناكي در سيستم registry ميباشد، كه در صورتي كه فايل Trojan يا فايل همراه آن از بين برود سيستم را بصورت بلااستفاده درخواهد آورد. اين يك دليل استفاده نكردن از نرم افزار ضد ويروس براي از بين بردن Trojanهاست. اگر يكي از اين روشها استفاده شود، و فايل بدون ثابت كردن registry سيستم از بين برود، سيستم شما قادر به اجراي هيچگونه برنامهاي پس از راه اندازي مجدد كامپيوترتان نخواهد بود.
قبل از آنكه سراغ registry برويم لازم به توضيح است كه يك فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد كه هر فايلي در اينجا باشد هنگام راه اندازي ويندوز اجرا خواهد شد.توجه داشته باشيد كه هرگونه تغييري ميتواند سيستم شما را به خطر بياندازد بنابراين، هرچه ما ميگوييم انجام دهيد. براي دستيابي به registry به منوي start>run> برويد و "regedit" را بدون علامت " " تايپ كنيد. در registry چندين مكان براي راه اندازي Startup وجود دارد كه ليستي از آنها را در اينجا مي آوريم.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command]="\"%1\"%*"
اگر اين كليدها مقدار "\"%1\"%*" را نداشته باشند و به جاي اجراي فايل در هنگام راه اندازي به "\"Server.exe %1\" %*" تغيير يابد به احتمال زياد يك Trojan است.
:روش راه اندازي ICQ
روشي راه اندازي ديگري كه امروزه استفاده از آن معمول است شناسايي شبكه ICQ ميباشد. بسياري از كاربران ICQ نميدانند كه هكر ميتواند يك خط پيكربندي را به ICQ اضافه نمايد تا با هر بار بارگذاري شدن برنامه Trojan نيز راه اندازي شود. به عنوان آزمايش مراحل زير را انجام دهيد:
ICQ را باز كنيد. روي آيكن ICQ كليك كنيد و preference را انتخاب نماييد. روي Edit launch List كليك كنيد. روي Add كليك كنيد. روي Browse كليك كنيد. فايلي را براي اضافه كردن به Windows\notepad.exe بيابيد كه به كار اين آزمايش بيايد. روي Open و سپس OK كليك كنيد. زماني كه شما ICQ را راه اندازي مجدد ميكنيد فايل اجرا خواهد شد.