هک نشوید ! (شماره 93)
متاسفانه این روزها بارها و بارها دیده میشود که تعدادی از وبلاگها و سایتها با روشهای فریبکاری اجتماعی و چند شیوه تکنیکی و روانشناسی ساده مورد حمله هکرها واقع میشوند.
رعایت این توصیههای ساده ولی مهم میتواند تا حد زیادی جلوی چنین اتفاقی را بگیرد. این توصیهها تضمین نمیکند که با رعایت آنها هرگز هک نخواهید شد، همیشه ممکن است یک سایت به دلیل نقایص امنیتی هک شود، ولی این دلیل نمیشود که پسورد خود را دو دستی در اختیار شیادان قرار دهید!
1- گول ایمیلهای قلابی را نخورید. هرگز و تحت هیچ شرایطی مدیران سایتها و سایتهای سرویس دهنده ایمیل و وبلاگ از شما پسوردتان را نمیخواهند. اگر خود بیل گیتس هم با امضا و اثر انگشت خودش برای شما ایمیل زد یا نامه فرستاد یا شخصاً به در منزل شما آمد و به علت بهروز رسانی یا هر دلیل دیگری پسورد شما را خواست، شک نکنید که ایمیل جعلی و قلابی است و شخصی که جلوی در منزل شما آمده است را تحویل پلیس دهید! مدیران سایتها احتیاجی به دریافت پسورد شما برای تایید هیچ چیزی ندارند. هر ایمیلی که چنین درخواستی از شما داشت بدون کوچکترین شکی نادیده بگیرید.
همچنین اگر ایمیلی دریافت کردید که هنگام باز کردن آن با صفحهای مواجه شدید که از شما میخواست به هر علت مجدداً در همان صفحه login کنید، بدون تردید از انجام این کار خودداری کنید.
2- در صفحههای مشکوک Login نکنید.
به جز صفحه اصلی سایتی که از سرویس ایمیل یا وبلاگ آن استفاده میکنید، در هیچ صفحه دیگری Login نکنید. یکی از روشهای مرسوم برای به دست آوردن پسورد اشخاص ساختن صفحهای شبیه یاهو یا بلاگر است که هر کس پسورد خود را در آن وارد کند بلافاصله سر از ایمیل شخص هکر در میآورد.
دقت کنید که به عنوان مثال http://www.blogger.tk/ یا yahoo.8m.com آدرسهای واقعی بلاگر و یاهو نیستند. همیشه به آدرس سایتی که وارد آن شدهاید توجه کنید و هرگز از آدرسهای ناآشنا یا مشکوکی که برای شما فرستاده میشود برای ورود به وبلاگ یا ایمیل خود استفاده نکنید.
3- مراقب ضمیمه ایمیلها باشید.
ضمیمه یک ایمیل را حتی اگر از جانب نزدیکترین دوستتان ارسال شده باشد بدون بررسی توسط یک آنتیویروس به روز شده باز نکنید. از باز کردن ایمیلهایی که ضمیمهای با پسوند exe , com , pif , scr , vbs و سایر پسوندهای اجرایی دارند به طور کلی خودداری کنید. فایلهای zip شده را قبل از باز کردن توسط آنتیویروستان بررسی کنید.
فایلهای عکس حتماً باید با یکی از پسوندهای JPG , GIF , TIFF , PNG یا BMP ختم شوند. فایلی با نام مشابه Picture.jpg.exe بدون هیچ تردیدی یک تروجان یا ویروس است. اگر از یاهو یا Hotmail استفاده میکنید حتماً قبل از دریافت فایل ضمیمه، اجازه دهید آنتیویروس خودِ سایت، فایل را بررسی کند. تحت هیچ شرایطی بدون داشتن یک آنتیویروس به روز شده و مطمئن در کامپیوترتان، از برنامه Outlook یا Outlook Express برای ارسال و دریافت ایمیل استفاده نکنید. دقت کنید که حتماً برنامه آنتیویروستان به روز شده باشد و طوری تنظیم شده باشد که ایمیلها را قبل از دریافت بررسی کند. همیشه آخرین اصلاحات ویندوز و Outlook یا Outlook Express را از سایت مایکروسافت دریافت کنید. این کار را عقب نندازید!
4- فایل مشکوک را اجرا نکنید.
اگر هنگام چت کردن کسی برای شما فایلی فرستاد بدون بررسی توسط یک آنتیویروس مطمئن از اجرای آن خودداری کنید. از دریافت فایلهایی با پسوند exe , com , pif , scr , vbs همیشه و تحت هر شرایطی خودداری کنید. حتی از نزدیکترین دوستتان هم چنین فایلهایی دریافت نکنید چون خود او ممکن است هک شده باشد یا ناآگاهانه اقدام به ارسال ویروس یا تروجان کند.
5- پسورد مناسب انتخاب کنید.
نام پدر و مادر، تاریخ تولد، نام کوچه یا خیابان، نام دوستان و آشنایان دور یا نزدیک، نام دوست پسر یا دوست دختر، 123456789 ، کلمات زیر 6 حرف و کلمات معنیدار انگلیسی یا فارسی بدترین پسوردهای ممکن هستند. I LOVE YOU یا کامبیز یا حسین جزو اولین کلماتی هستند که یک هکر بررسی میکند. در انتخاب پسورد سعی کنید همیشه از ترکیب حروف بزرگ و کوچک و اعداد بیمعنی یا ترکیب جملههای طولانی با اعداد و حروف دیگر که فقط برای شخص شما معنی خواهد داشت استفاده کنید.
از انتخاب پسوردهای طولانی نترسید! سعی کنید از بیشترین حد مُجازی که هر سایت برای کلمههای عبود در نظر میگیرد استفاده کنید.
6- با نامی متفاوت با نام وبلاگتان Login کنید.
به هیچ وجه نامی که برای ثبت نام در بلاگر یا پرشینبلاگ استفاده میکنید را مشابه آدرس وبلاگ خودتان انتخاب نکنید. اگر آدرس وبلاگ شما iman.blogspot.com باشد، User Name تان باید هر کلمهای باشد به جز ایمان و مشتقات آن! با ایمیلی که از آن برای ثبت نام در بلاگر یا پرشینبلاگ استفاده کردهاید، چت نکنید و آن را در وبلاگتان قرار ندهید. همیشه لااقل دو ایمیل با پسوردهای متفاوت داشته باشید که از یکی برای کارهای روزمره و ارتباط با دوستان، و از دیگری برای ثبت نام در سایتها استفاده کنید. دلیلی ندارد که همه دوستان شما ایمیل دیگر شما را هم بدانند.
هنگام ثبت نام در سایتهای بلاگر یا پرشین بلاگ، از پسوردی متفاوت با پسورد ایمیلتان استفاده کنید.
7- کلمه امنیتی بازیابی پسوردتان را به خاطر بسپارید.
هنگام ثبت یک ایمیل در یاهو یا Hotmail تاریخ تولد و کد پستی و کلمه امنیتیای که برای بازیابی پسورد فراموش شده وارد میکنید را به خاطر بسپارید.
8- به هیچ فرمی اعتماد نکنید.
به جز سایت اصلی یاهو و Hotmail ، در هیچ فرمی پسورد خودتان را وارد نکنید. اگر جایی فرمی دیدید که ادعا میشد با وارد کردن User Name و پسوردتان مثلاً به شما 8 مگابایت فضای اضافی میداد یا ایمیل شما را به کلی حذف میکرد یا هر امکان مشابه دیگر، شک نکنید که تنها کار آن فرم ارسال پسورد شما به شخص هکر است! اگر جایی دیدید که با دریافت پسورد و User Name شما و User Name دوستتان، پسورد او را برای شما پیدا میکنند گول نخورید! تنها کاری که انجام خواهد شد ارسال پسورد شما به یک هکر است.
9- از کامپیوترهای عمومی پرهیز کنید.
تا حد امکان در کافینتها و مکانهای عمومی با ایمیل اصلیتان Login نکنید و از User Name و پسورد وبلاگتان استفاده نکنید. احتمال آلودگی کامپیوترهای کافینتها و کامپیوترهایی که افراد متعددی به آنها دسترسی دارند، به تروجانها یا برنامههای ثبت کلیدهای فشار داده شده بسیار بالا است. حتی کامپیوتر دوستتان هم ممکن است آلوده به یکی از این برنامهها باشد. اگر وبلاگ یا حساب ایمیلتان برای شما مهم است از کامپیوترهای عمومی دوری کنید.
چگونه هکرها حمله می کنند؟ (بخش دوم) (شماره 44)
در بحث قبلی اشاره شد که حمله یا از طریق محلی صورت می گیرد و یا از راه دور در حمله محلی حمله به ورک استیشن صورت می گیرد.
ماشین ورک استیشن (work station) همان ماشینی محسوب می شود که کاربر پشت آن نشسته و با آن کار می کند.
اما دلایلی که باید نسبت به این گونه حملات که بعضا در بعضی مواقع دودمان یک سازمان را به باد می دهد حساس باشیم ، به شرح زیر است :
یکی این که دسترسی هکر به ورک استیشن متصل به شبکه بدین معناست که وی می تواند به راحتی به لیست کاربران ، اطلاعات دوباره سیستم ها و سرورها دسترسی نامحدود پیدا کند.
نکته بعدی این که هکرها می توانند از طریق فیزیکی و نشستن پشت یک رایانه ساده ، ابتدا کلمه عبور آن را کشف کرده و وقتی وارد آن شدند دسترسی به سرورها را به راحتی آب خوردن برای خود فراهم نمایند.
نکته مهم تر این که اگر یک کاربر ساده از طریق ورک استیشن یک برنامه جاسوسی یا اسب تروا را نصب کند آن وقت تمامی اطلاعات حساس شبکه به یغما رفته بدون این که کسی متوجه شود.
انواع حملات محلی روی ورک استیشن
الف - عمومی ترین نوع حمله روی یک ماشین ورک استیشن به دست آوردن توانایی راهبری (Admin در ویندوز Root در سیستم های اوپن سورس مثل لینوکس) سیستم است.
معمولا در ویندوز ورک استیشن هکرها با تغییرنام (Rename) یا پاک کردن پوشه SAM در آدرس زیر به راهبری ماشین دست می یابند.
C:\ winnt\ system32\ config\ SAM
و در لینوکس با پرامت تحت Lilo و تایپ کلمه Linuxs می توان به توانایی راهبری سیستم بعنوان یک هکر دسترسی یافت.
ب : راه دیگر شکستن کلمه عبور است که معمولا با برنامه های پسوردشکن مثل Lophtcrack (LC) هکر موفق به انجام این کار می شود و در بوت مجدد سیستم به راهبری دسترسی می یابد.
ج : نوع بعدی حمله روی ورک استیشن سرقت هارد ماشین و قراردادن آن روی یک رایانه دیگر در همان مجموعه یا جای دیگر است که به همین راحتی اجازه سرقت اطلاعات بدون نفوذ از راه دور را می دهد.
معمولا سازمانهای بزرگ که دیتاهای حساس را روی شبکه نگه نمی دارند هزینه زیادی برای حفظ امنیت فیزیکی ورک استیشن های خود می کنند تا بند را آب ندهند.
د: آخرین نوع حمله روی ورک استیشن اجرای کامندها و دستورات خاص هنگام Login کردن به سیستم و یا سوء استخراج کردن فایل ها (Exploiting files) است تا بوسیله آن به سیستم از طریق فیزیکی دسترسی یافت.
یک راه بسیار حیاتی اضافه کردن یک user یا اسم کاربری به سیستم از طریق دستورات ادیت در رجیستری است که بوسیله آن می توان بدون داخل شدن به سیستم از طریق Regedit یک اسم کاربری در حد راهبر ساخت و وارد آن شد.
راه دیگر دسترسی به لیست برنامه های مشترک میان کاربران در شاخه زیر است:
c:\ Document and settings\ All users\ start menu\ programs\ startup
تروجان ها چگونه کار می کنند؟ قسمت دوم (شماره38)
پوشه شروع خودکار
پوشه ای که بصورت خودکار در شروع کار ویندوز فراخوانی می شود و فایلهای داخل آن بصورت اتوماتیک اجرا می شوند در آدرس زیر قرار دارند.
C:\ windows\ start Menu \ programs \startup
البته فرض برای این است که سیستم عامل ویندوز در درایو C و در شاخه windows نصب شده باشد.
فایل Win.ini
فرمت شروع خودکار در این فایل بصورت زیر می باشد :
Load = Trojan.exe
Run = Trojan.exe
فایل System.ini
فرمت بکارگیری تروجان در این فایل سیستمی بصورت زیر است:
Shell = explorer.exe Trojan.exe
که باعث می شود بعد از هر بار اجرای Explorer فایل Trojan.exe اجرا شود.
فایل Wininit.ini
این فایل توسط Setup.exe برنامه های نصب شوند مورد استفاده قرار می گیرد.
بدین صورت که یک بار اجرا شود، قابلیت حذف خودکار را نیز دارد که برای تروجان ها بسیار سهل می باشد.
Winstart.bat
این فایل دسته ای هم در ابتدای شروع به کار ویندوز فراخوانی شده و فرامین داخل آن به ترتیب اجرای می شوند که تروجان می تواند با افزودن خط زیر خود را در حافظه بار کند.
@ Trojan.exe
فایل Autoexec.bat
این فایل دسته ای هم از فایلهای معروف فراخوانی شده در ابتدای کار سیستم عامل می باشد که می توان با دستکاری و اضافه نمودن خط زیر بر آن تروجان مورد نظر را در سیستم قربانی اجرا نمود:
C:\ Trojan.exe
فایل Config.sys
این فایل نیز از معروفترین فایلهای پیکر بندی سیستم است و می تواند در امر اجرای تروجان کاربرد داشته باشد.
تروجان ها چگونه کار می کنند؟ قسمت اول(شماره38)
مقدمه
با گسترش فرهنگ استفاده از کامپیوتر و راهیابی آن به ادارات، منازل، این ابزار از حالت آکادمیک و تحقیقاتی بدر آمد و مبدل به پاره ای از نیازهای معمول زندگی شد. یکی از دستاوردهای این پیشرفت، ظهور شبکه اینترنت است که به سرعت در کشورها توسعه یافته و به یک پدیده اجتماعی مبدل گشته است.
اجتماع بزرگ کاربران اینترنت در سرتاسر دنیا از هر منطقه و نژادی که باشند شامل افراد خوب و بد خواهند بود، عده ای در جهت کسب منافع برای خود و دیگران تلاش می کنند و عده ای در جهت جذب منابع دیگران برای خود. با توجه به نو پا بودن اینترنت نمی توان انتظار داشت که یک فرهنگ صحیح و غنی بر آن حاکم شده باشد و لذا احتمال سرقت اطلاعات و یا دستکاری و انهدام آنها بنا به انگیزه های ناسالم، اهداف سیاسی، جذب نامشروع ثروت می رود.
این مجموعه که قرار است بطور منظم در نشریه تخصصی IC منتشر گردد درباره چگونگی کار تروجان ها، انواع آنها و چگونگی تشخیص و مقابله با آنها به نکات مفیدی اشاره خواهد نمود. ضمناً در قسمت پایانی هر قسمت نیزآدرسهای منابع تحقیق بصورت مستقیم در اختیار خواننده محترم قرار خواهد گرفت. همچنین علاقه مندان می توانند برای دریافت اطلاعات بیشتر به سایت های معرفی شده مراجعه نموده و نرم افزارهای مربوط را دریافت نمایند. ذکر این نکته لازم است که به دلیل گستردگی استفاده از سیستم عامل ویندوز در ایران، مطالب ارائه شده درباره تروجانهای تحت ویندوز می باشد.
یک Trojan Horse چیست؟
می توان تعاریف زیر را مطرح کرد:
یک برنامه ظاهراً بدون نویسنده یا به عبارتی با یک نویسنده غیر مشخص که اعمال ناشناخته و حتی ناخواسته از طرف کاربر انجام دهد.
یک برنامه قانونی و معروف که داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گردیده و اعمال شناخته نشده ای بطور ناخواسته از طرف کاربر انجام می دهند.
هر برنامه ای که ظاهر مطلوب پسندیده ای به همراه برخی از اعمال مورد نیاز داشته باشد بطوریکه کدهای محقق شده ای که از نظر کاربر مخفی است درون آن موجود می باشد. یک سری اعمال نا شناخته و غیر منتظره ای که بطور حتم با نظر کاربر نبوده است را انجام می دهد.
اسب تراوا نامی است که از یک افسانه قدیمی گرفته شده که درباره چگونگی نفوذ یونانیان بر محل دشمنان خود از طریق ساختن یک اسب بزرگ و هدیه دادن آن به دشمن که نیروهایشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان یونانی اسب را شکستند و به دشمنانشان حمله نمودند و بطور کامل آنها غافلگیر کردند و در جنگ فاتح میدان شدند.
تروجان ها چگونه کار می کنند؟
تروجان ها به دو قسمت تقسیم می شوند. یک قسمت Client (خدمات گیرنده) و دیگری Server (خدمات دهنده). وقتی قربانی ندانسته قسمت Server را روی سیستم خودش اجرا می کند. حمله کننده بوسیله قسمت Client با Server که روی کامپیوتر قربانی است متصل می شود و از آن پس می تواند کنترل سیستم قربانی را در دست بگیرد . پروتکل TCP/IP که استاندارد معمول برای برقراری ارتباطات است به این تروجان آلوده میشود و تروجان از طریق آن کارش را انجام می دهد. البته لازم به ذکر است که برخی اعمال تروجانها نیز از پروتکل UDP استفاده می کنند. معمولاً زمانی که Server روی کامپیوتر قربانی اجرا می شود. خود را در جایی از حافظه مخفی می کند تا پیدا کردن یا تشخیص آن مشکل شود و به برخی درگاههای خاص (Port) گوش می دهد تا ببیند درخواست ارتباطی به سیستم از طرف حمله کننده آمده است یا نه، از طرفی رجیستری را نیز به گونه ای ویرایش می کند که برخی از اعمال بطور خودکار روی سیستم شروع به کار کنند.
برای نفوذ کننده لازم است که IP قربانی را بداند برای اینکه بتواند به سیستم او متصل شود. اکثر قریب به اتفاق تروجانها بصورتی برنامه ریزی شده اند که IP قربانی را برای حمله کننده ارسال می کنند همانند سیستم پیغام گذار از طریق ICQ یا IRS . این زمانی اتفاق می افتد که قربانی IP دینامیک داشته باشد بدین معنی که هر زمان به اینترنت متصل میشود و یک IP متفاوت از قبل داشته باشد که اغلب سیستم هایی که به روش dial- up به اینترنت متصل می شوند از این قانون پیروی می کنند. کاربران ASDL معمولا IP های ثابت دارند به همین علت IP آلوده شده همواره برای حمله کننده شناخته شده است و این حالت باعث تسهیل درامر اتصال به سیستم قربانی می گردد.
اغلب تروجانها از روش شروع اتوماتیک استفاده می کنند. بصورتی که اگر شما کامپیوترتان را خاموش کنید آنها قادر خواهند که فعالیتهایشان را مجددا ً آغاز کنند و دسترسی لازم به حمله کننده را روی سیستم شما بدهند و ساختن تروجانها با قابلیت شروع روشهایی هستند که همیشه مورد استفاده قرار می گیرند. یکی از این روشها، محلق کردن تروجان به یک فایل اجرایی که کاربرد زیادی دارد می باشد، به عبارت دیگر محلق نمودن تروجان به یک برنامه پرکاربرد ، موجب عملی شدن تفکرات حمله کننده خواهد شد. روشهای شناخته شده نیز همانند دستکاری فایلهای ریجستری ویندوز می تواند به عملی شدن افکار حمله کننده بیانجامد. فایلهای سیستمی ویندوز قرار دارند که می توانند بهترین انتخابهای حمله کنندگان باشند.
به جهت اینکه دوستان بتوانند سیستم خود را در برابر این حمله ها محافظت نمایند، قسمتهای مختلف ویندوز که می توان از آن استفاده نمود را در اینجا بررسی می کنیم.
ترفندهای هکری! (شماره 36)
افشای هکرها
هدف ما این است که با افشای “ترفندهای هکر” استفاده کنندگان از اینترنت با دانش و ابزارهای مورد نیاز، آمادگی بهتری پیدا کنند تا فریب ترفندهای هکر را نخورند.
پسوندهای پنهان فایلهای ویندوز
ممکن است از این موضوع آگاهی نداشته باشید، اما حتی اگر به ویندوز بگویید که تمام پسوندهای فایل را نشان دهد، هنوز هم فایلهایی وجود دارند که بطور پیش فرض مخفی شدهاند. همچنین هر برنامه نصب شدهایی میتواند پسوندها را پیکربندی کند تا پنهان شوند. در اینجا در مورد چگونگی انجام این کار و همچنین دلیل اینکه چرا برخی از پسوندهای پنهان میتوانند برای تعدادی از کاربرهای کامپیوتر خطرناک باشند، مثالهایی آورده شده است. به فرض اینکه شما قبلا ویندوز explorer را برای نشان دادن تمام پسوندهای پیکربندی کردهاید.
پسوندهای SHS
یک کپی از notepad.exe بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز کنید. روی notepad.exe کلیک کنید و آن را به سمت سند باز شده wordpad بکشید. روی notepad.exe کلیک کنید و آن را به عقب به سمت desktop بکشید. فایلی را که ایجاد شده است (Scrap) به Readme.txt تغییر نام دهید.
حالایک آیکن که نشان دهنده سند متنی است و فایلی با نام مشخص readme.txt بر روی desktop شما وجود دارد کلیک کردن بر روی فایل فوق باعث میشود notepad باز شود. اگر این فایل یک Trojan باشد، شما فریب خوردهاید و توسط آنچه که یک فایل متنی بیخطر بنظر میرسید آلوده شدهاید. اگر اجازه نمایش این پسوند داده می شد شما فریب فایل Readme.txt.shs را نمیخوردید.
پسوندهای PIF
اگر سعی کنید تا notepad.exe را به anything.txt.pif تغییر نام دهید، تنها فایلی با نام anything.txt روی desktop خود خواهید دید. و این بدین دلیل است که PIF پسوند دیگری است که ویندوز بطور پیش فرض پنهان میکند. اگر شما فایل را اجرا کنید برنامه اجرا خواهد شد، به خاطر اینکه ویندوز پسوندهای PIF را اجرا خواهد کرد حتی اگر آنها فایلهای اجرایی باشند.
پسوندهای SCR
پسوند دیگری که باید مراقب آن بود SCR است. کپی notepad.exe خود را به notepad.scr تغییر نام دهید و روی آن کلیک کنید. Notepad به عنوان یک فایل اجرایی اجرا خواهد شد. بسیاری از افراد توسط هکرهایی فریب میخورند که account یک قربانی را بدست آوردهاند. هکر email یا هر نوع پیغامی را به تمام دوستان قربانی میفرستد که "این صفحه نمایش جدید و بامزه را ببینید از خنده روده بر خواهید شد!" از آنجایی که این پیغام از یک منبع مطمئن آمده، اکثر افراد فریب خورده و فایل SCR را اجرا میکنند که در نهایت به هکری ختم میشود که به کامپیوتر شما متصل شده است.
فرمانهای خطرناکی که میتوانند گنجانده شوند
پسوندهای میانبر PIF
برخی از پسوندهای پنهان فایل قادرند به سادگی با فرمانهای پنهان شدهای که میتوانند برای سیستم شما مخرب باشند برنامهریزی شوند. این یک آزمایش ساده است:
دکمه راست ماوس خود را روی desktop کلیک کنید و New و سپس Shotcut را انتخاب نمایید. در Command line تایپ کنید:
format a:/autotest
Next را کلیک کنید. در "Select a name for the shortcut" تایپ کنید: readme.txt سپس Next را کلیک کنید. یک آیکن notepad را انتخاب کرده و Finish را کلیک کنید. حالا شما در desktop خود فایلی با نام readme.txt و با آیکن notepad دارید. مطمئن شوید که در درایو شما دیسکی است که از دست دادن آن برای شما اشکالی ندارد و روی آیکن کلیک کنید. فایلی که شما روی آن کلیک کردهاید درایو A: را فرمت خواهد کرد. البته آیکن هکر درایو دیگری را مورد هدف قرار خواهد داد یا ممکن است نامی همچون ‘game.exe’ و فرمانی برای حذف کردن دایرکتوری ویندوز شما یا (deltree /y C:\*.*) کل درایو C شما داشته باشد. اگر پسوند PIF پنهان نشود، قادر به فریب شما نخواهد بود.
پسوند SHS
فایلهای Scrap نیز میتوانند فرمانهای گنجانده شده را پنهان کند. این یک آزمون ساده است: از notepad.exe یک کپی بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز کنید.Notepad.exe را کلیک کنید و آن را به سمت سند باز شده wordpad بکشید. روی Edit کلیک کنید و Package Object و سپس Edit package را انتخاب کنید. روی Edit و سپس Command Line کلیک کنید.
در کادر، دستوری مانند format a:/autotest را تایپ کنید و روی OK کلیک کنید. آیکن نیز میتواند از این پنجره تغییر یابد. از پنجره خارج شوید، این کار سند را به روز خواهد کرد. روی notepad.exe کلیک کنید و آن را به عقیب به سمت Desktop بکشید. فایلی را که ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.
حالا شما آنچه را که شبیه یک فایل متنی است دارید. اگر این فایل اجرا شود درایو A: را فرمت خواهد کرد. همانگونه که در مثال بالا برای پسوندهای میانبر PIF دیده شد، هکر میتواند از فرمانهای خطرناکتری استفاده کند.
روشهای Trojan در هنگام راه اندازی
روشهای راه اندازی استاندارد
اکثر افراد از راههای متفاوتی که هکرها برای راه اندازی فایلهای Trojan استفاده میکنند آگاه نیستند. اگر هکری کامپیوتر شما را با یک Trojan آلوده کند، نیاز به انتخاب یک روش راهاندازی خواهد داشت، بگونهای که در زمان راهاندازی مجدد کامپیوتر شما Trojan بارگذاری شود. روشهای معمول راهاندازی شامل کلیدهای اجرایی registry، فولدر راه اندازی ویندوز، Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته شده در system.ini ویندوز میباشند.
روشهای راه اندازی خطرناک
از آنجایی که فقط تعداد اندکی از این روشهای راه اندازی وجود دارند، هکرهای زیادی را یافتهایم که در پیدا کردن روشهای جدید راهاندازی افراط میکنند. این شامل استفاده از تغییرات خطرناکی در سیستم registry میباشد، که در صورتی که فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد. این یک دلیل استفاده نکردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست. اگر یکی از این روشها استفاده شود، و فایل بدون ثابت کردن registry سیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامهای پس از راه اندازی مجدد کامپیوترتان نخواهد بود.
قبل از آنکه سراغ registry برویم لازم به توضیح است که یک فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد که هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید که هرگونه تغییری میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام دهید. برای دستیابی به registry به منوی start>run> بروید و "regedit" را بدون علامت " " تایپ کنید. در registry چندین مکان برای راه اندازی Startup وجود دارد که لیستی از آنها را در اینجا می آوریم.
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]="\"%1\"%*"
اگر این کلیدها مقدار "\"%1\"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "\"Server.exe %1\" %*" تغییر یابد به احتمال زیاد یک Trojan است.
روش راه اندازی ICQ
روشی راه اندازی دیگری که امروزه استفاده از آن معمول است شناسایی شبکه ICQ میباشد. بسیاری از کاربران ICQ نمیدانند که هکر میتواند یک خط پیکربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:
ICQ را باز کنید. روی آیکن ICQ کلیک کنید و preference را انتخاب نمایید. روی Edit launch List کلیک کنید. روی Add کلیک کنید. روی Browse کلیک کنید. فایلی را برای اضافه کردن به Windows\notepad.exe بیابید که به کار این آزمایش بیاید. روی Open و سپس OK کلیک کنید. زمانی که شما ICQ را راه اندازی مجدد میکنید فایل اجرا خواهد شد.
آموزش کامل Sub7 (شماره 16)
را که برای ساختن برنامه (Server) یعنی فایلی را که می خواهید برای کسی بفرستید و وارد کامپیوتر آن شوید را اجرا کنید.وقتی این برنامه اجراء میشود 2 گزینه روی صفحه می آید. Run is a advanced Mode Run is a normal
Mode گزینه Run is a normal Mode را انتخاب کنید. یک صفحه باز میشود این صفحه چند گزینه دارد.=> که اولی آنها SERVER SETTINGS است. در قسمته سمته چپ و بالا، SERVER SETTINGS را انتخاب کنید که خودش هم رو همون هست. یک صفحه باز می شود که چند گزینه دارد.که اولی آنها در بالای صفحهPort مىباشد.به نظر من بهتر است آن را اصلا تغیر ندهید.
زیره کلمه پورت Port نوشته است => ______ password ______ re_enter password ______ victim namel ______ protect passwordl ______ re_inter
password
شما در قسمت password می توانید رمزی بگذارید که با این کار پس از بدست آوردن آپی و پورت و نفوذ در comuter قربانی، فقط شما می توانید به comuter آن نفوذ کنید و دسته دیگر نفوذ گران از آن کوتاه می شود.من توصیه میکنم که اگر شما ابتدایی هستید این کار لازم نیست. در قسمت victim name که خوده برنامه اسمی به نامه=> 2.2.srv است که این هم ضرورتی ندارد تغییرش دهید.
حالا می رسیم به آن طرف صفحه که چند گزینه دارد . 1:use rabdom port 2:melt server after installation 3:wait for reboot ..server filename.. 4:random filename 5:spectify که شماره ۵ با اسمه (srv32.exe) آمده است.
خوب شما اصلا هیچ گونه تغییری در آن ۵ گزینه ی بالا انجام ندهید.(البته اگر وارد نیستید) خوب حالا قسمت دوم بحثمون اینه که باید شما بروید روی گزینه (STARTUP METHODS) که در سمت چپ و زیره همون گزینه SERVER SETTINGS قرار دارد. وقتی که شما( STARTUP METHODS) را باز کردید یک صفحه باز می شود که ۷ گزینه دارد و خوده برنامه رویه گزینه ۲ و گزینه آخر ( ۷ ) کلیک کرده است.
شما هم میتوانید دستش نزنید و هم میتوانید برای پیشرفته کردن سرور خود روی گزینه ( ۳ ) و(4) نیز کلیک کنید. بعد از اتمام عملیات بالا باز به سمت چپ یک نگاه خشمگینانه میندازین و با سرعت به طرف گزینه (NOTIFICATIONS) که در زیر همون گزینه STARTUP METHODS قرار دارد می روید. خوب حالا که ( NOTIFICATIONS ) را باز کردید.
اگر که آدرس e_mail شما در ICQ است شما روی گزینه اولی که (add ICQ notify) است کلیک کنید و در صفحهای که باز می شود آدرس را بنویسید. حالا اگر آدرس e_mail شما در یاهو باشد شما باید روی گزینه add e_mail notify کلیک کنید و آدرسه e_mail یاهوی خود را بنویسید در آن قسمت.
بعد از آن شما باز هم از اون نگاههای ترسناک به سمته چپ صفحه می اندازید و روی گزینه ی BINDED FILES کلیک کنید. شما باید بعد از انجام عملیات قبلی روی گزینه PLUGINS در سمت چپ صفحه زیر همون گزینه ی BINDED FILES کلیک کنید. بعد از کلیک کردن گزینه PLUGINS که در حقیقت مهمترین بخش برای هک و هکر می باشد یک صفحه باز می شود.
در این صفحه میتوانید چند فایل را انتخاب کنید تا امکانات بیشتری برای هک کردن داشته باشید و حالا کاری که شما باید انجام بدید این است که بروید در همان صفحهای که برای شما باز شده روی گزینه add binded plugin کلیک کنید و در همان صفحه کوچکی که باز میشود بروید درشاخه یا درایوی که برنامه sub7 را در آنجا کپی کردهاید. بعد از پیدا کردن sub7 بروید بر روی آن کلیک کنید و آن را باز کنید و روی گزینه plugin که در همان پوشه است کلیک کنید.
بعد از باز کردنplugins شما باید به دنبال گزینهای به اسم s7moreinfo.dll بگردید و روی آن کلیک کنید و دکمه open را بفشارید. فقط توجه داشته باشید که اگر شما از plugins های بیشتری استفاده کنید اصلا مفید نیست چون باعث می شود که سرعت شما در هنگام onlineشدن دچار مشکل شوید.
خوب حالا شما باید باز هم نگاهی به سمت چپ بندازید و روی گزینه RESTRICTIONS که زیر همان گزینه ی plugin قرار دارد کلیک کنید. بعد از باز شدن RESTRICTIONS یک صفحه باز می شود که در این صفحه شما می توانیداز یک فیلتر استفاده کنید.
منظور من از فیلتر این است که شما میتوانید چندین گزینه را انتخاب کنید که مهمتر از بقیه هستند. و کاربرد مهمتری دارند نسبت به بقیه. شما برای استفاده از این امکانات باید بر روی گزینه ی :enable filter.allowed features کلیک کنید که اون جای خالی کنار آن تیک بخورد. حالا شما بروید روی گزینه ی ...add allowed feature کلیک کنید و بعد از باز شدن آن صفحه و انتخاب آن گزینههای دلخواه روی گزینه [add selected features] کلیک کنید. و هر کدام هم که دوستشون نداشتید می توانید delete کنید.
بعد از انجام عملیات بالا این دفعه نگاهی با لطافت به سمت چپ بندازید و روی گزینه e_mail کلیک کنید و بعد از باز شدن صفحهای که در آن 3 گزینه وجود دارد شما باید در هر 3 جای خالی آدرس e_mail خود را که در یاهو است را بدهید البته اگر دوست دارید پسورد و بقیه اطلاعات نازنین و خوشحال کننده برای شما بیاید. تیک جفتشون یادتون نره. خوب حالا باز هم سمت چپ رو با آرامش نگاه کنید و روی گزینه EXE ICON / OTHER که زیر همان گزینه e_mail قرار دارد کلیک کنید.
بعد از کلیک کردن روی آن و باز شدن صفحه EXE ICON / OTHER که در آن صفحه 2 گزینه وجود دارد که یکی از آن ها بالای صفحه است که آن برای فعال کردن یکerror نمایشی است که با اسم enable fake error message در بالای صفحه آمده است که شما با کلیک کردن بر روی آن و فشردن دکمه رو به روی آن که با اسم configure error message آمده است می توانید در این مکان error خود را بنویسید و بعد از اتمام کار و بستن آن پنجره بروید روی گزینه ی پایین صفحه که با اسم change server icon آمده است کلیک کنید تا گزینه کنار آن فعال شود در آن قسمت پایین بگردید به دنبال آیکن(icon) مورد دلخواه خود که با کلیک کردن روی آن و انتخاب هر کدام شما سرور خود را به پایان می رسانید البته هنوز خوشحال نشوید چون باید بروید به پایین صفحه در سمت چپ بروید و روی گزینه ی ...save as کلیک کنید.
بعد از کلیک کردن روی آن یک صفحه با لطافت خاصی برای شما باز می شود که شما باید اول مسیر ذخیره ی سرور را انتخاب کنید و بعد از آن سرور خود را با هر اسمی که دوست دارید و پسوند EXE در همان محل save کنید.
ببینید بچه ها یک مطلب مهمی که دراینجا لازم به ذکر است این است که پسوند سرور شما حتما باید باEXE باشد و گر نه سرور شما کامل نخواهد بود. مثلا شما به این شکل توجه کنید:==>exe. ... که شما می توانید به جای 3 نقطه چین اول هر اسم مورد دلخواهی بنویسید و بعد آن را save کنید. خوب دیگه دوستان فکر می کنم تمام شد. حالا فقط تنها کاری که شما باید بکنید این است که آن سرور را برای شخص قربانی بفرستید. و آن شخص با کلیک کردن بر روی آن و مواجه شدن با پیغام خطا آن ip , port سیستم شخص برای شما می آید.
اما عجله نکنید چون شما باید منتظر online شدن بعدی شخص باشید. و مطمئن باشید که اگر شخص قربانی روی آن کلیک کرده باشد آن اطلاعات به e_mail شما فرستاده می شود. و شما بعد از گرفتن آن e_mail باید برنامه sub7 را اجرا کنید و در بالای صفحه ip , port را وارد کنید و بعد connect را بزنید و صبر کنید تا وارد سیستم شخص شوید.