مشاهده نسخه کامل
: bahareh_bus
21-09-2005, 06:27
خوب فعلا به کوری چشم چال دشمنان ما هنوز اینجا هستیم ( تا میتوانید سرتان را به در دیوار بکوبید ) !! نمیدانم چرا هر وقت کسی میخواهد در مورد در پشتی یا اسب تروا و اینجور چیزها صحبت کند همه فکر میکنند که کلاس کار پایین آمده این مطلب را شما میتوانید در دیگر سایتهای امنیتی به وضو ح ببینید ، ولی به نظر من موضوع فوق العاده با اهمیتی وقتی شما میتوانید با یک کار ساده به هدف خود برسید چرا خودتان را زجر کش کنید و کلی عذاب بکشید . شاید یکی از عوامل منفی سوءاستفاده یک عده نو نهال از این ابزارها است که بقیه فکر میکنند افت کلاس برایشان که از آن ابزارها دیگر استفاده بکنند و .... بگذریم !! { من اینگونه نیستم شما را نمیدانم }.
یکی از مشکلات این روش که من قصد دارم در این پست به آن به پردازم موضوع شناسایی شدن اینگونه ابزارها به وسیله خود شخص کاربر یا برنامه های دفاعی مثل آنتی ویروس یا تروجان یا ... میباشد ، برای رفع این مشکل معمولا راههای بسیاری وجود دارد و ابزارهای بسیار خوبی هم تهیه و به رایگان برای اهداف شوم و پلید توسط انسانهای خیر خواه توزیع شده است !! که اگر بخواهیم دسته بندی کنیم مجموعا در 4 الی 5 دسته کلی جای میگیرند و اکثر هم با تغییر نوع فایل یا چسباندن ان به یک فیل بی خطر و جذاب کاربر هدف را ترغیب میکند به باز کردن آن و اجرای آن !! من شخصا به آن ها Wrapper میگویم البته نام های مشهور دیگری هم وجود دارد که به اشتباه اطلاق میشوند . این ابزارها از چند روش کلی استفاده میکنند که عده از آنها به نامهای :
1- protector و یا packer (البته کار واقعی این دسته محافظت از فایلهای اجرایی میباشد و به نوعی ما داریم از آنها سوءاستفاده میکنیم ) محتویات فایل را به کل تغییر میدهند به گونهای که در عمل فایل تغییری ایجاد نشود ؛ البته ویروس یاب ها هم ابزارهای معروف از این دست را به خوبی میشناسند !! از این دسته میتوان به Armadillo و ASPack و ASProtect و UPXR و … نام برد البته چند سال پیش چند شرکت ایرانی چند برنامه کوچک نوشته اند که واقعاً به درد میخورد !!
2- Exe joiner و یا Exe Binder (البته معمولا joiner میگویند) ؛ در واقع این ابزارها توانایی ادغام چند فایل ( اعم از اجرایی یا نوشته یا عکس و صدا و ... ) را به گونه ای که به هم صدمه وارد نکنند و مشکلی در اجرای هر کدام پیش نیاید را دارا میباشند ، این دسته بیشتر مورد توجه انسانهای پلید قرار دارد چون باز هم به دسته های ریز تری تقسیم میشوند که ما از داخل شدن به آنها صرف نظر میکنیم اگر بخواهیم به نام بعضی از این ابزارها اشاره کنیم میتوان به inPEct و One EXE Maker 2000 و Alloy و BigJackJoiner و BladeStoner و Gobowrap و TrojanMan و ....
3- Exe Sleathers ؛ این همین جا بگم که دیگه کارای زیادی ندارند و به نوعی منسوخ شدن ولی میشود با استفاده از این ابزارها فایل را حجم آن را اندکی تغییر دهیم (مثلا با اضافه کردن چندین رشته کد NULL و ...) یا کارهای دیگر و بعد بی آیم و با استفاده از protector و یا packer ها کار را تمام کنیم !! از این دست ابزارها میتوان به add bytes و Sleath tools و Embedder و Infector اشاره کرد.
خوب فکر میکنم یک 10 الی 15 برنامه ای معرفی کردم !!! حالا حتما متوجه شدید به هیچ فایلی نباید اعتماد کرد حتی اگر پسوند ان TXT یا MP3 یا PDF یا ZIP یا RAR یا ... باشد !! باز هم تکرار میکنم به هیچ فایلی .
نکته امنیتی : برای رفع این خطر محتمل باید از سازنده فایل ( سازمان یا شرکت و ...) کد رمزنگاری MD5 آن را بگیرید و با کد MD5 بدست آمده از آن برنامه دریافتی مقایسه کنید تا به صحت درست بودن فایل و عدم دستکاری شدن آن مطمئن باشید !! انشاالله در یک پست مجزا به شیوه کشف این گونه دست کاری ها و .. میپردازم البته اگر عمری باقی بود .
++ نکته اخلاقی : یک بار برای همیشه { سیگار } ؛ همیشه برای یک بار { کنکور } !! این دوتا هیچ فرقی با هم ندارند یک دفعه گول نخورید چون هر جفت آنها همیشگی هستند بر خلاف ....
یکی از مشکلات این روش که من قصد دارم در این پست به آن به پردازم موضوع شناسایی شدن اینگونه ابزارها به وسیله خود شخص کاربر یا برنامه های دفاعی مثل آنتی ویروس یا تروجان یا ... میباشد ، برای رفع این مشکل معمولا راههای بسیاری وجود دارد و ابزارهای بسیار خوبی هم تهیه و به رایگان برای اهداف شوم و پلید توسط انسانهای خیر خواه توزیع شده است !! که اگر بخواهیم دسته بندی کنیم مجموعا در 4 الی 5 دسته کلی جای میگیرند و اکثر هم با تغییر نوع فایل یا چسباندن ان به یک فیل بی خطر و جذاب کاربر هدف را ترغیب میکند به باز کردن آن و اجرای آن !! من شخصا به آن ها Wrapper میگویم البته نام های مشهور دیگری هم وجود دارد که به اشتباه اطلاق میشوند . این ابزارها از چند روش کلی استفاده میکنند که عده از آنها به نامهای :
1- protector و یا packer (البته کار واقعی این دسته محافظت از فایلهای اجرایی میباشد و به نوعی ما داریم از آنها سوءاستفاده میکنیم ) محتویات فایل را به کل تغییر میدهند به گونهای که در عمل فایل تغییری ایجاد نشود ؛ البته ویروس یاب ها هم ابزارهای معروف از این دست را به خوبی میشناسند !! از این دسته میتوان به Armadillo و ASPack و ASProtect و UPXR و … نام برد البته چند سال پیش چند شرکت ایرانی چند برنامه کوچک نوشته اند که واقعاً به درد میخورد !!
2- Exe joiner و یا Exe Binder (البته معمولا joiner میگویند) ؛ در واقع این ابزارها توانایی ادغام چند فایل ( اعم از اجرایی یا نوشته یا عکس و صدا و ... ) را به گونه ای که به هم صدمه وارد نکنند و مشکلی در اجرای هر کدام پیش نیاید را دارا میباشند ، این دسته بیشتر مورد توجه انسانهای پلید قرار دارد چون باز هم به دسته های ریز تری تقسیم میشوند که ما از داخل شدن به آنها صرف نظر میکنیم اگر بخواهیم به نام بعضی از این ابزارها اشاره کنیم میتوان به inPEct و One EXE Maker 2000 و Alloy و BigJackJoiner و BladeStoner و Gobowrap و TrojanMan و ....
3- Exe Sleathers ؛ این همین جا بگم که دیگه کارای زیادی ندارند و به نوعی منسوخ شدن ولی میشود با استفاده از این ابزارها فایل را حجم آن را اندکی تغییر دهیم (مثلا با اضافه کردن چندین رشته کد NULL و ...) یا کارهای دیگر و بعد بی آیم و با استفاده از protector و یا packer ها کار را تمام کنیم !! از این دست ابزارها میتوان به add bytes و Sleath tools و Embedder و Infector اشاره کرد.
خوب فکر میکنم یک 10 الی 15 برنامه ای معرفی کردم !!! حالا حتما متوجه شدید به هیچ فایلی نباید اعتماد کرد حتی اگر پسوند ان TXT یا MP3 یا PDF یا ZIP یا RAR یا ... باشد !! باز هم تکرار میکنم به هیچ فایلی .
نکته امنیتی : برای رفع این خطر محتمل باید از سازنده فایل ( سازمان یا شرکت و ...) کد رمزنگاری MD5 آن را بگیرید و با کد MD5 بدست آمده از آن برنامه دریافتی مقایسه کنید تا به صحت درست بودن فایل و عدم دستکاری شدن آن مطمئن باشید !! انشاالله در یک پست مجزا به شیوه کشف این گونه دست کاری ها و .. میپردازم البته اگر عمری باقی بود .
++ نکته اخلاقی : یک بار برای همیشه { سیگار } ؛ همیشه برای یک بار { کنکور } !! این دوتا هیچ فرقی با هم ندارند یک دفعه گول نخورید چون هر جفت آنها همیشگی هستند بر خلاف ....