Loading...

تروجان ها چگونه كار مي كنند ؟

مقدمه



با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است.



اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند و عده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.



در اينجا درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره ميشود. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد.

يك Trojan Horse چيست؟



مي توان تعاريف زير را مطرح كرد:



يك برنامه ظاهراً بدون نويسنده يا به عبارتي با يك نويسنده غير مشخص که اعمال ناشناخته و حتي ناخواسته از طرف كاربر انجام دهد.



يك برنامه قانونی و معروف كه داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گرديده و اعمال شناخته نشده اي بطور ناخواسته از طرف كاربر انجام مي دهند.



هر برنامه اي كه ظاهر مطلوب پسنديده اي به همراه برخي از اعمال مورد نياز داشته باشد بطوريكه كدهاي محقق شده اي كه از نظر كاربر مخفي است درون آن موجود مي باشد. يك سري اعمال نا شناخته و غير منتظره اي كه بطور حتم با نظر كاربر نبوده است را انجام مي دهد.



اسب تراوا نامي است كه از يك افسانه قديمي گرفته شده كه درباره چگونگي نفوذ يونانيان بر محل دشمنان خود از طريق ساختن يك اسب بزرگ و هديه دادن آن به دشمن كه نيروهايشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان يوناني اسب را شكستند و به دشمنانشان حمله نمودند و بطور كامل آنها غافلگير كردند و در جنگ فاتح ميدان شدند.

تروجان ها چگونه كار مي كنند؟

تروجان ها به دو قسمت تقسيم مي شوند. يك قسمت Client (خدمات گيرنده) و ديگری Server (خدمات دهنده). وقتي قرباني ندانسته قسمت Server را روي سيستم خودش اجرا مي كند. حمله كننده بوسيله قسمت Client با Server كه روي كامپيوتر قرباني است متصل مي شود و از آن پس مي تواند كنترل سيستم قرباني را در دست بگيرد . پروتكل TCP/IP كه استاندارد معمول براي برقراري ارتباطات است به اين تروجان آلوده ميشود و تروجان از طريق آن كارش را انجام مي دهد. البته لازم به ذكر است كه برخي اعمال تروجانها نيز از پروتكل UDP استفاده مي كنند. معمولاً زماني كه Server روي كامپيوتر قرباني اجرا مي شود. خود را در جايي از حافظه مخفي مي كند تا پيدا كردن يا تشخيص آن مشكل شود و به برخي درگاههاي خاص (Port) گوش مي دهد تا ببيند درخواست ارتباطي به سيستم از طرف حمله كننده آمده است يا نه، از طرفي رجيستري را نيز به گونه اي ويرايش مي كند كه برخي از اعمال بطور خودكار روي سيستم شروع به كار كنند.



براي نفوذ كننده لازم است كه IP قرباني را بداند براي اينكه بتواند به سيستم او متصل شود. اكثر قريب به اتفاق تروجانها بصورتي برنامه ريزي شده اند كه IP قرباني را براي حمله كننده ارسال مي كنند همانند سيستم پيغام گذار از طريق ICQ يا IRS . اين زماني اتفاق مي افتد كه قرباني IP ديناميك داشته باشد بدين معني كه هر زمان به اينترنت متصل ميشود و يك IP متفاوت از قبل داشته باشد كه اغلب سيستم هايي كه به روش dial- up به اينترنت متصل مي شوند از اين قانون پيروي مي كنند. كاربران ASDL معمولا IP هاي ثابت دارند به همين علت IP آلوده شده همواره براي حمله كننده شناخته شده است و اين حالت باعث تسهيل درامر اتصال به سيستم قرباني مي گردد.

اغلب تروجانها از روش شروع اتوماتيك استفاده مي كنند. بصورتي كه اگر شما كامپيوترتان را خاموش كنيد آنها قادر خواهند كه فعاليتهايشان را مجددا ً آغاز كنند و دسترسي لازم به حمله كننده را روي سيستم شما بدهند و ساختن تروجانها با قابليت شروع روشهايي هستند كه هميشه مورد استفاده قرار مي گيرند. يكي از اين روشها، محلق كردن تروجان به يك فايل اجرايي كه كاربرد زيادي دارد مي باشد، به عبارت ديگر محلق نمودن تروجان به يك برنامه پركاربرد ، موجب عملي شدن تفكرات حمله كننده خواهد شد. روشهاي شناخته شده نيز همانند دستكاري فايلهاي ريجستري ويندوز مي تواند به عملي شدن افكار حمله كننده بيانجامد. فايلهاي سيستمي ويندوز قرار دارند كه مي توانند بهترين انتخابهاي حمله كنندگان باشند.



به جهت اينکه دوستان بتوانند سيستم خود را در برابر اين حمله ها محافظت نمايند، قسمتهای مختلف ويندوز که می توان از آن استفاده نمود را در اينجا بررسی می کنيم.



پوشه شروع خودكار



پوشه اي كه بصورت خودكار در شروع كار ويندوز فراخواني مي شود و فايلهاي داخل آن بصورت اتوماتيك اجرا مي شوند در آدرس زير قرار دارند.

C: windows start Menu programs startup



البته فرض براي اين است كه سيستم عامل ويندوز در درايو C و در شاخه windows نصب شده باشد.

فايل Win.ini

فرمت شروع خودكار در اين فايل بصورت زير مي باشد :



Load = Trojan.exe



Run = Trojan.exe



فايل System.ini



فرمت بكارگيري تروجان در اين فايل سيستمي بصورت زير است:



Shell = explorer.exe Trojan.exe



كه باعث مي شود بعد از هر بار اجراي Explorer فايل Trojan.exe اجرا شود.



فايل Wininit.ini



اين فايل توسط Setup.exe برنامه هاي نصب شوند مورد استفاده قرار مي گيرد.



بدين صورت كه يك بار اجرا شود، قابليت حذف خودكار را نيز دارد كه براي تروجان ها بسيار سهل مي باشد.



Winstart.bat



اين فايل دسته اي هم در ابتداي شروع به كار ويندوز فراخواني شده و فرامين داخل آن به ترتيب اجراي مي شوند كه تروجان مي تواند با افزودن خط زير خود را در حافظه بار كند.

@ Trojan.exe

فايل Autoexec.bat



اين فايل دسته اي هم از فايلهاي معروف فراخواني شده در ابتداي كار سيستم عامل مي باشد كه مي توان با دستكاري و اضافه نمودن خط زير بر آن تروجان مورد نظر را در سيستم قرباني اجرا نمود:



C: Trojan.exe



فايل Config.sys



اين فايل نيز از معروفترين فايلهاي پيكر بندي سيستم است و مي تواند در امر اجراي تروجان كاربرد داشته باشد.




نظرات

 

لطفاً برای ارسال نظر ابتدا وارد حساب کاربری خود بشوید
اگر تاکنون ثبت نام نکرده اید ، روی این لینک کلیک کنید

از مجموع 96,939 مطلب نوشته شده توسط 1033 نویسنده در 96 وب سایت و وبلاگ آی تی فارسی زبان، تاکنون 9,012 مقاله دست چین و در نشریه خوارزمی منتشر شده اند. در حال حاضر 8746 مقاله دریافت شده در انتظار نشر قرار دارند. تا امروز بیش از 202,624,000 بار این مقالات خوانده شده اند.

لوازم جانبی موبایل با قیمتهای غیر قابل رقابت

https://drjanebi.com

نشریه خوارزمی آگهی می پذیرد.

https://kharazmi.org

نام کاربری:
کلمه عبور: