مقدمه
با گسترش فرهنگ استفاده از کامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آکادميک و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يکي از دستاوردهاي اين پيشرفت، ظهور شبکه اينترنت است که به سرعت در کشورها توسعه يافته و به يک پديده اجتماعي مبدل گشته است.
اجتماع بزرگ کاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي که باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت کسب منافع براي خود و ديگران تلاش مي کنند و عده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت که يک فرهنگ صحيح و غني بر آن حاکم شده باشد و لذا احتمال سرقت اطلاعات و يا دستکاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.
اين مجموعه که قرار است بطور منظم در نشريه تخصصي IC منتشر گردد درباره چگونگي کار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نکات مفيدي اشاره خواهد نمود. ضمناً در قسمت پاياني هر قسمت نيزآدرسهاي منابع تحقيق بصورت مستقيم در اختيار خواننده محترم قرار خواهد گرفت. همچنين علاقه مندان مي توانند براي دريافت اطلاعات بيشتر به سايت هاي معرفي شده مراجعه نموده و نرم افزارهاي مربوط را دريافت نمايند. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهاي تحت ويندوز مي باشد.
? يک Trojan Horse چيست؟
مي توان تعاريف زير را مطرح کرد:
يک برنامه ظاهراً بدون نويسنده يا به عبارتي با يک نويسنده غير مشخص که اعمال ناشناخته و حتي ناخواسته از طرف کاربر انجام دهد.
يک برنامه قانوني و معروف که داخلش دگرگون شده است، بطوري که کدهاي ناشناخته اي به آن اضافه گرديده و اعمال شناخته نشده اي بطور ناخواسته از طرف کاربر انجام مي دهند.
هر برنامه اي که ظاهر مطلوب پسنديده اي به همراه برخي از اعمال مورد نياز داشته باشد بطوريکه کدهاي محقق شده اي که از نظر کاربر مخفي است درون آن موجود مي باشد. يک سري اعمال نا شناخته و غير منتظره اي که بطور حتم با نظر کاربر نبوده است را انجام مي دهد.
اسب تراوا نامي است که از يک افسانه قديمي گرفته شده که درباره چگونگي نفوذ يونانيان بر محل دشمنان خود از طريق ساختن يک اسب بزرگ و هديه دادن آن به دشمن که نيروهايشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان يوناني اسب را شکستند و به دشمنانشان حمله نمودند و بطور کامل آنها غافلگير کردند و در جنگ فاتح ميدان شدند.
تروجان ها چگونه کار مي کنند؟
تروجان ها به دو قسمت تقسيم مي شوند. يک قسمت Client (خدمات گيرنده) و ديگري Server (خدمات دهنده). وقتي قرباني ندانسته قسمت Server را روي سيستم خودش اجرا مي کند. حمله کننده بوسيله قسمت Client با Server که روي کامپيوتر قرباني است متصل مي شود و از آن پس مي تواند کنترل سيستم قرباني را در دست بگيرد . پروتکل TCP/IP که استاندارد معمول براي برقراري ارتباطات است به اين تروجان آلوده ميشود و تروجان از طريق آن کارش را انجام مي دهد. البته لازم به ذکر است که برخي اعمال تروجانها نيز از پروتکل UDP استفاده مي کنند. معمولاً زماني که Server روي کامپيوتر قرباني اجرا مي شود. خود را در جايي از حافظه مخفي مي کند تا پيدا کردن يا تشخيص آن مشکل شود و به برخي درگاههاي خاص (Port) گوش مي دهد تا ببيند درخواست ارتباطي به سيستم از طرف حمله کننده آمده است يا نه، از طرفي رجيستري را نيز به گونه اي ويرايش مي کند که برخي از اعمال بطور خودکار روي سيستم شروع به کار کنند.
براي نفوذ کننده لازم است که IP قرباني را بداند براي اينکه بتواند به سيستم او متصل شود. اکثر قريب به اتفاق تروجانها بصورتي برنامه ريزي شده اند که IP قرباني را براي حمله کننده ارسال مي کنند همانند سيستم پيغام گذار از طريق ICQ يا IRS . اين زماني اتفاق مي افتد که قرباني IP ديناميک داشته باشد بدين معني که هر زمان به اينترنت متصل ميشود و يک IP متفاوت از قبل داشته باشد که اغلب سيستم هايي که به روش dial up به اينترنت متصل مي شوند از اين قانون پيروي مي کنند. کاربران ASDL معمولا IP هاي ثابت دارند به همين علت IP آلوده شده همواره براي حمله کننده شناخته شده است و اين حالت باعث تسهيل درامر اتصال به سيستم قرباني مي گردد.
اغلب تروجانها از روش شروع اتوماتيک استفاده مي کنند. بصورتي که اگر شما کامپيوترتان را خاموش کنيد آنها قادر خواهند که فعاليتهايشان را مجددا ً آغاز کنند و دسترسي لازم به حمله کننده را روي سيستم شما بدهند و ساختن تروجانها با قابليت شروع روشهايي هستند که هميشه مورد استفاده قرار مي گيرند. يکي از اين روشها، محلق کردن تروجان به يک فايل اجرايي که کاربرد زيادي دارد مي باشد، به عبارت ديگر محلق نمودن تروجان به يک برنامه پرکاربرد ، موجب عملي شدن تفکرات حمله کننده خواهد شد. روشهاي شناخته شده نيز همانند دستکاري فايلهاي ريجستري ويندوز مي تواند به عملي شدن افکار حمله کننده بيانجامد. فايلهاي سيستمي ويندوز قرار دارند که مي توانند بهترين انتخابهاي حمله کنندگان باشند.
به جهت اينکه دوستان بتوانند سيستم خود را در برابر اين حمله ها محافظت نمايند، قسمتهاي مختلف ويندوز که مي توان از آن استفاده نمود را در اينجا بررسي مي کنيم.
? پوشه شروع خودکار
پوشه اي که بصورت خودکار در شروع کار ويندوز فراخواني مي شود و فايلهاي داخل آن بصورت اتوماتيک اجرا مي شوند در آدرس زير قرار دارند.
C: windows start Menu programs startup
البته فرض براي اين است که سيستم عامل ويندوز در درايو C و در شاخه windows نصب شده باشد.
فايل Win.ini
فرمت شروع خودکار در اين فايل بصورت زير مي باشد :
Load = Trojan.exe
Run = Trojan.exe
فايل System.ini
فرمت بکارگيري تروجان در اين فايل سيستمي بصورت زير است:
Shell = explorer.exe Trojan.exe
که باعث مي شود بعد از هر بار اجراي Explorer فايل Trojan.exe اجرا شود.
فايل Wininit.ini
اين فايل توسط Setup.exe برنامه هاي نصب شوند مورد استفاده قرار مي گيرد.
بدين صورت که يک بار اجرا شود، قابليت حذف خودکار را نيز دارد که براي تروجان ها بسيار سهل مي باشد.
Winstart.bat
اين فايل دسته اي هم در ابتداي شروع به کار ويندوز فراخواني شده و فرامين داخل آن به ترتيب اجراي مي شوند که تروجان مي تواند با افزودن خط زير خود را در حافظه بار کند.
@ Trojan.exe
فايل Autoexec.bat
اين فايل دسته اي هم از فايلهاي معروف فراخواني شده در ابتداي کار سيستم عامل مي باشد که مي توان با دستکاري و اضافه نمودن خط زير بر آن تروجان مورد نظر را در سيستم قرباني اجرا نمود:
C: Trojan.exe
فايل Config.sys
اين فايل نيز از معروفترين فايلهاي پيکر بندي سيستم است و مي تواند در امر اجراي تروجان کاربرد داشته باشد
منبع:www.aftabir.com ارسال توسط کاربر محترم سايت :mohamadaminsh