Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
چگونه با يک ويروس،کرم يا تروجان ناشناخته مبارزه کنيم
-(6 Body) 
چگونه با يک ويروس،کرم يا تروجان ناشناخته مبارزه کنيم
Visitor 1124
Category: دنياي فن آوري
اين مطلب حاصل مدتها دست و پنجه نرم کردن با عوامل مخرب فراوان و ناکامي هاي فراوان در يافتن يک آنتي ويروس هميشه کارآمد و کاملاً قابل اعتماد است .
تصورم بر اين است که اين مطلب مي بايست دو قسمت داشته باشد.
1- چگونه از آلودگي بيشتر جلوگيري کنيم؟
2- چگونه رايانه را از لوث وجود ويروس/کرم/تروجان (از اين به بعد عوامل مخرب) پاک نماييم؟

1- چگونه از آلودگي بيشتر جلوگيري کنيم؟

عمده عامل آودگي رايانه ها بدون در نظر گرفتن اينترنت حافظه هاي الکترونيکي و به طور مشخص فلش ديسک هاي يو اس بي مي باشند. اين حافظه ها هم بدليل کاربرد فراوانشان و هم بدليل سهولت اتصالشان به کامپيوترها به راه تکثير ويروس ها مبدل گشته اند.
-چگونه عوامل مخرب خود را از طريق USB Flash Disk منتشر مي کنند؟
ساده ترين راه تکثير يک عامل مخرب از طريق حافظه هاي قابل حمل کپي مخفيانه يا آشکار و خودکار موتور توليد کننده عامل مخرب بر روي فلش ديسک و اجراي آن توسط بازخواني آن از طريق يک فايل Autorun.inf ايجاد شده بر روي فلش ديسک و در حقيقت سواستفاده از يک قابليت ويندوز به هنگام اتصال حافظه به رايانه هاي ديگر است.
در حقيقت قابليت Autoplay ويندوز ( به خصوص Windows Xp)که اغلب هم مزاحم به يک عامل مخرب تبديل مي شود.
- چگونه يک فلش ديسک ايمن داشته باشيم؟
يا حداقل چگونه فلش ديسک يا حافظه قابل حمل ما عامل تکثير کننده عوامل مخرب نباشند؟
شايد بتوان گفت که تمام عوامل مخربي که بدون دخالت کاربر و تنها به هنگام اتصال فلش ديسک به رايانه بصورت خودکار تکثير مي شوند با استفاده از يک فايل کوچک اما مشهور و صد البته در اينگونه مواقع مزاحم و اضافي Autorun.inf تکثير مي شوند. براي اينکه اين اتفاق نيافتد مي بايست خود را براي هميشه از شر Autorun.inf خلاص کنيد. براي اينکار چند راه و جود دارد:

1- راه نخست ايجاد يک فولدر به نام Autorun.inf

نخست از Folder option تمامي محدوديت هاي ديدن فايل هاي ويندوز را لغو کنيد. فايل Autorun .inf بر روي مسير اصلي(Root) فلش ديسک را بيابيد و بلافاصله پس از پاک کردن آن فولدري با همين نام يعني Autotun.inf ايجاد کنيد.
عامل مخرب قادر نخواهد بود autorun.inf مخرب خود را کپي کند چون ويندوز اجازه ايجاد فايل همنام با فولدري که اينجاد کرديد را نخواهد داد.

2- راه دوم ايجاد يک فولدر غير قابل پاک شدن به نام Autorun. inf

بيشتر مواقع عوامل مخرب فايل Autorun.inf را که از پيش بر روي فلش ديسک بوده باشد را پاک مي کند. پس براي پرهيز از اين موضوع بايد کاري کرد که عامل مخرب توانايي پاک کردن فايلي که ما ايجاد کرده ايم را نداشته باشد.
- با استفاده از يک برنامه ساده و کوتاه (makesuperdir.vbs) يک فولدر لاک شده با حجم صفر بر روي فلش ديسک ايجاد کنيد. autorun.inf ايجاد شده بر روي فلش ديسک غيرقابل پاک شدن است. بدين ترتيب که پس از اجراي آن و تايپ تنها نام درايو مورد نظر در فضاي مربوطه در نرم افزار هر درايوي را که دوست داشتيد از وجود فايل Autorun.inf (فراموش نکنيد که اين فايل مي بايست از پيش پاک شده باشد) خلاص نماييد.
نحوه عمل اين برنامه بدين ترتيب است که با استفاده از چند خط دستور و پارامترها مشخص يک فولدر به نام Autorun.inf بر روي فلش ديسک ايجاد مي گردد سپس داخل اين فولدر نيز يک فولدر با نام مشابه “locker608 . “ايجاد مي گردد. توجه داشته باشيد که فولدر يا فايلي با نام اينچنيني (نامي با انتهاي فاصله نقطه فاصله) غير قابل تعريف است و اساساً ويندوز قار به اعمال هيچ تغييري بر روي آن نيست.
- با استفاده از Unicode از پاک شدن فولدر Autorun.inf که ايجاد کرده ايد بپرهيزيد. در فولدري که ايجاد کرده ايد يک فايل text جديد اينجاد کنيد و نام آنرا ” ?????.txt” بگذاريد توجه کنيد که اين نام با استفاده از کاراکترهاي CJK (Chinese-Japanese-Korean) نوشته شده است و اگر قادر به ديدن آنها نيستيد از تصوبر زير استفاده کنيد. توجه داشته باشيد که نام فايلي که ايجاد مي کنيد به صورت مربع-مربع ديده خواهد شده که طبيعي است.
بيشتر عوامل مخرب از Unicode پشتيباني نمي کنند و چون ويندوز از UTF-8 استفاده مي کند مجموعه پنج کاراکتر CJK به گونه درکنار هم قرار گرفته است که به چندين کد lC1 control codes آدرس دهي مي شود که نمي تواند با فراخواني هاي non-unicode نتيجه اي به همراه داشته باشد. در نتيجه چون فولدر autorun.inf که ايجاد کرده ايم حاوي فايلي است که به نان م unicode ي محافشت شده است عوامل مخرب قادر به پاک کردن آن نحواهد بود.
توجه: اين روش با وجود پيچيدگي اش کاملاً مطمئن نيست . پس خودتان را اينهمه در دسر ندهيد و از همان روش نخست که بسيار مطمئن است بهره ببريد

2- چگونه رايانه را از لوث وجود ويروس/کرم/تروجان ( عوامل مخرب) پاک نماييم؟

“آنتي ويروس ها هر چقدر هم که بروز باشند هميشه کارآمد نيستند”
اگر به يک عامل مخرب ناشناخته برخورديد. حتي از جستجوي نام آن هم در اينترنت نتيجه نگرفتيد. خود را نبازيد و سريع به فکر نصب مجدد ويندوز نيافتيد. سعي کنيد که عمل مخرب را فلج کنيد و سپس آثار آن را بيابيد و در نهايت موتور ايجاد کننده آن را نابود کنيد.
- چگونه عامل مخرب را فلج کنيم؟
براي درک بيشتر مطلب از اينجا به بعد از يک مثال عملي که چند روز ي مرا درگير کرده بود استفاده مي کنم. براي نابود کردن اين عامل ناشناخته که هيچ مطلبي هم در مورد آن نيافتم نزديک به دو روز زمان مصرف و حدو 50 عدد log نرم افزار Silent Runners.vbs را مطالعه کردم.
x.s0s.a.exe نام عامل ناشناخته ايست که تمام رايانه ها و حافظه هاي قابل حمل اطراف مرا آلوده کرده بود. اگر جستجو کنيد هيچ مطلبي در اين اين عامل نحواهيد يافت. تا ديروز هم هيچ آنتي ويروسي اين عامل را نشناخت :!: . اين عامل مخرب با تکثير خود و يک فايل autorun.inf تغيير يافته بر روي تمامي درايوهاي کامپيوتر ضمن تگثير خود و درگير کردن دائم درايوها رايانه را به خود مشغول کرده و مقداري از عملکرد آن مي کاهد.
براي فلج کردن بسياري از عوامل مخرب ، اعمال تغييرات(پاک سازي رجيستري،اصلاح در msconfig و پاک کردن فايل هاي آلوده) در محيط safe mode بسيار کارآمد خواهد بود.در اين مثال پس از پاک کردن فايل هايي با نام x.s0s.a.exe با اعمال تغييري کوچک در متن makesuperdir.vbs و جايگزيني خط p = p+”:\autorun.inf” با p = p+”:\x.s0s.a.exe” از اين نرم افزار براي توليد فولدري با نام x.s0s.a.exe در درايوهاي مختلف و البته فلش ديسک استفاده کردم. بدين ترتيب علاوه بر اينکه امکان کپي شدن اين عامل مخرب را از بين بردم اين فرصت را نيز بدست آوردم که پس اجراي normal ويندوز موتور توليد کننده اين عامل را که به صورت متناوب سعي در کپي ناکام x.s0s.a.exe را داشت به شدت مشغول کنم تا در مرجله بعد شانس بيشتري براي يافتنش داشته باشم.
- چگونه موتور توليد کننده عامل مخرب (ويروس/وورم/تروجان) را بيابيم؟
در يک کلام با استفاده از hijackthis (نرم افزار مفيدي که توسط يک برنامه نويس نوشته شده است و به ترندميکرو فروخته شده است. براي استفاده از اين نرم افزار رايگان،مفيد و کارآمد آنرا از سايت رسمي اش دانلود کنيد. اين نرم افزار به شما اين امکان را مي دهد که از فعاليتهاي پنهان و بسيار پنهان رايانه تان آگاه شويد. شما خواهيد توانست علاوه بر فعاليتهاي مشکوک در رايانه تان از بسياري از عوامل کاهنده سرعت ويندوز نيز بازديد به عمل آوريد lol.gif
در اين مورد خاص و پس از دقت فراوان متوجه شدم که فايل x.s0s.a.exe توسط فايل اجرايي که نام بسيار آشنا دارد توليد مي شود. “framwork.exe -instal” موتور توليد کننده عامل مخرب بود که در مسير D:\Documents and Settings\user\Local Settings\Temp نشسته بود. با استفاده از نرم افزار hijackthis پس از انتخاب مسير و فايل مربوطه با استفاده از گزينه fix cheked رايانه را از لوث وجود اين عامل نفوذي پا کردم.

معرفي سايت مرتبط با اين مقاله
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.