ورود به دنيای هک - اجرای همزمان برنامه ها با ويندوز

آخرين به روز رسانی: 31 شهريور 1382

بازگشت به صفحه اصلی هک

احــســان رياضی

        همانطور که در شماره قبل وعده داده بوديم، در اين شماره به بررسی روشهای مختلف به کار گرفته شده توسط ترواها برای اجرا شدن با هر بار اجرای ويندوز می پردازيم تا بتوانيم از اين طريق آنها را شناسايی و حذف کنيم. اگرچه به روشهای قديمی هم اشاره مختصری خواهيم کرد، فقط به بررسی روشهای امروزی می پردازيم. با اينکه در مورد حذف ترواها بعداً بيشتر خواهيم نوشت، پس از مطالعه اين مقاله شما بايد بتوانيد نه تنها ترواها، بلکه ساير برنامه های احتمالاً مزاحمی را که با هر بار اجرای ويندوز شما خود را اجرا می کنند بيابيد. اگرچه اين متن کمی تخصصی به نظر می رسد، اصلاً وحشت نکنيد، يکبار آن را با حوصله بخوانيد و سپس بار دوم ضمن خواندن متن، کارهای نوشته شده در آن را انجام دهيد.

 روشهای مختلفی که يک برنامه می تواند از طريق آنها خود را با هر بار اجرای ويندوز اجرا کند عبارتند از:

 1- استفاده از winstart.bat: در اين روش که مناسب ويندوزهای قديمی است، فايلی به نام winstart.bat در شاحه ويندوز ساخته می شود و برنامه از اين فايل فراخوانی می شود؛ به اين صورت که اگر اين فايل موجود نباشد ساخته می شود و در غير اين صورت فقط نام برنامه به آن اضافه می شود.

2- استفاده از win.ini: در اين روش که امروزه زياد مورد استفاده قرار نمی گيرد، با نوشتن عبارت load=filename.exe (که به جای filename.exe نام برنامه قرار می گيرد) يا Run=filename.exe در قسمت [windows]، برنامه مورد نظر با هر بار اجرای ويندوز اجرا خواهد شد. برای باز کردن فايل Win.ini و مشاهده محتويات آن، بهترين روش استفاده از برنامه System configuration editor ويندوز است. برای اجرای اين برنامه از منوی Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد)، تايپ کنيد SysEdit و OK را فشار دهيد. از بين فايلهای باز شده فايل مورد نظر را پيدا کنيد. اگر دقيقاً با اين فايلها آشنايی نداريد، مواظب باشيد که تغييری در اين فايلها ندهيد و اگر داديد، تغييرات خود را ضبط نکنيد.

 3- استفاده از System.ini: اين روش بسيار مشابه روش بالاست. و مانند بالا اين فايل هم درون System configuration editor قابل مشاهده است. اگر در اين فايل به عبارتی مشابه shell=Explorer.exe trojan.exe برخورد کرديد، سيستم شما بلافاصله پس از اجرای explorer.exe، trojan.exe را اجرا خواهد کرد.

 4- استفاده از Start up: هر برنامه ای که در منوی Start داخل قسمت Startup قرار بگيرد، با هر بار اجرای ويندوز خود به خود اجرا خواهد شد. Startup در ويندوزهای جديدتر در قسمت All programs منوی Start قرار دارد.

 5- استفاده از رجيستری: اين روش که در حال حاضر متداولترين روش مورد استفاد ترواها و کرمها می باشد به اين صورت است که نام فايل اجرايی به قسمت Run در رجيستری اضافه می گردد. رجيستری ويندوز حاوی اطلاعات مختلفی از سخت افزارها و نرم افزارهای گوناگون نصب شده روی سيستم شماست. برای مشاهده رجيستری، از منوی Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد) و در داخل جعبه متن آن تايپ کنيد: RegEdit و OK را فشار دهيد. اگر دقيقاً با رجيستری آشنايی نداريد، مواظب باشيد که تغييری در آن ندهيد. از ميان قسمتهای مختلف رجيستری در اينجا ما با HKEY_CURRENT_USER و HKEY_LOCAL_MACHINE سروکار داريم. يکی از ايندو را انتخاب کنيد و روی آن Double Click کنيد (يا روی علامت + کنار آن کليک کنيد) حال به ترتيب گزينه های زير را انتخاب کنيد تا به Run برسيد:

Software -> Microsoft -> Windows -> Current Version -> Run

      در شرايطی که بيش از يک نفر از يک رايانه استفاده می کنند و روی آن کاربران مختلف تعريف کرده اند، معمولاً برنامه هايی که در قسمت Run موجود در HKEY_LOCAL_MACHINE نامشان نوشته شده باشد با هر بار اجرای ويندوز برای تمام کاربران آن اجرا می شوند اما برنامه هايی که نام آنها در HKEY_CURRENT_USER آمده باشد فقط برای کاربری که در حال حاضر از سيستم استفاده می کند اجرا خواهند شد.

       ممکن است علاوه بر Run، گزينه هايی به نامهای RunOnce، RunServices يا RunServicesOnce را هم ديده باشيد که آنها هم همين اثر را دارند با اين تفاوت که اگر نام برنامه ای در RunOnce يا RunServicesOnce قرار بگيرد فقط يکبار يعنی فقط دفعه بعدی که ويندوز اجرا می شود به همراه ويندوز اجرا خواهد شد.

       6- روش ShellOpen رجيستری: در رجيستری و در زير کليدهای زير بايد هميشه عبارت "%1" %* نوشته شده باشد اما اگر به عبارتی مانند trojan.exe "%1" %*  برخورد کرديد، بدانيد که فايل Trojan.exe سعی دارد کاری کند با هر بار اجرای هر فايل اجرايی روی رايانه شما، او هم اجرا شود:

  [HKEY_CLASSES_ROOT\exefile\shell\open\command]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

       7- استفاده از روشهايي مانند  Binding و جايگزينی: اگرچه روشهايی که در بالا نوشته شد حاوی تمامی روشهايی است که امروزه مورد استفاده قرار می گيرند، روشهای اجرا هرگز به موارد فوق ختم نمی شوند و هميشه جای ابتکار يا استفاده از روشهايی که فقط روی سيستمها يا در شرايط خاصی عمل کنند باز است بنابراين به صرف اينکه مطمئن شويد از طريق روشهای بالا سيستم شما آلوده نشده است کفايت نمی کند. به عنوان نمونه در روشهايی مانند  Binding و جايگزينی که هنوز چندان مورد استفاده قرار نگرفته و پيش بينی می شود در آينده نزديک بيشتر مورد استفاده قرار بگيرند، فايلی که قرار است با هر بار اجرای ويندوز خود را اجرا کند، فايل ديگری را پيدا می کند که اين کار را انجام دهد و سپس خود را به آن می چسباند. به عنوان نمونه با تشخيص اينکه روی سيستم، فايل مربوط به ويندوز مسنجر با هر بار اجرای ويندوز اجرا می شود، کاری می کند که در هنگام اجرای ويندوز مسنجر، آن برنامه هم اجرا شود. اگر برنامه برای اين کار خود را به فايل اجرايی مسنجر ويندوز بچسباند، می گويند از Binding استفاده کرده است اما اگر خود را جايگزين آن کند، می گويند از روش جايگزينی استفاده کرده است. اگرچه اين روشها از قديم توسط ويروسهای مختلف برای آلوده کردن فايلهای اجرايی به کار گرفته می شدند اما استفاده از اين روش برای اجرای همزمان با ويندوز احتمالاً به زودی بيشتر مورد استفاده قرار خواهد گرفت.

      پس از مطالعه روشهای بالا، احتمالاً شما هم با من هم عقيده هستيد که پيدا کردن يک تروا به روش دستی کار چندان ساده ای نيست؛ اما اکثريت قريب به اتفاق ترواها از روشهای رجيستری استفاده می کنند و شما از تغييرات ايجاد شده در قسمتهای Run می توانيد به آلوده شدن سيستم پی ببريد. يک ابزار بسيار عالی که در اکثر ويندوزها وجود دارد (در ويندوز 2000 وجود ندارد) ابزاری به نام System Configuration Utility است. برای اجرای اين ابزار، از منوی Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد) و در داخل جعبه متن آن تايپ کنيد: MSConfig و OK را فشار دهيد. اگرچه اين ابزار کاربردهای مختلفی دارد، ما در اينجا فقط به ذکر کاربردهايی از آن می پردازيم که به موضوع بحث ما بيشتر مربوط هستند. پس از باز شدن صفحه System Configuration Utility، از بالای صفحه Startup را انتخاب کنيد. خواهيد ديد که اکثر فايلهايی که خود به خود همراه ويندوز شما اجرا می شوند در اينجا ليست شده اند و شما با حذف تيک کنار اسم آنها می توانيد آنها را از کار بيندازيد. در قسمت Startup item نامی که برنامه برای خود برگزيده است، در قسمت command، آدرس فايل اجرايی برنامه و در قسمت Location تکنيک مورد استفاده توسط برنامه برای اجرا را خواهيد ديد. توجه به نکات زير هم در استفاده از MSConfig به شما کمک خواهد کرد:

1- چون معمولاً قسمتهای command و location فضای کافی برای نمايش کامل محتويات خود را ندارند، موش رايانه را روی خط جداکننده command از location يا خط انتهای location ببريد تا بتوانيد اندازه اين قسمتها را تغيير دهيد.

 2- عبارتهای HKCU و HKLM به ترتيب مخفف HKEY_LOCAL_MACHINE و HKEY_CURRENT_USER می باشند که در بالا و در تکنيک شماره 5 به آنها اشاره شد.

 3- برای مشاهده فايلهای System.ini و win.ini، علاوه بر روش گفته شده در بالا (در مورد شماره 2) کافی است که از قسمت بالای MSConfig گزينه های SYSTEM.INI و WIN.INI را انتخاب کنيد.

 سوالات خود را در زمينه هک ، امنيت و حفظ اطلاعات شخصی روی اينترنت با ما در ميان بگذاريد تا حتی الامکان در همين سايت جواب آنها را دريافت نماييد. به ايميلهايی که به جای سوال، درخواست انجام هک داشته باشند، حتی پاسخ هم داده نخواهد شد.
 

تمامی حقوق مربوط به اين نوشته برای نگارنده محفوظ است.

لازم به يادآوری است که چاپ و يا استفاده از تمام يا بخشی از اين مطالب بدون اجازه کتبی نويسنده حتی با ذکر منبع ممنوع است.

 لينک دادن به اين صفحه (حتی از داخل frame) بدون اشکال است.