افشاي هكرها
هدف ما اين است كه با افشاي “ترفندهاي هكر” استفاده كنندگان از اينترنت با دانش و ابزارهاي مورد نياز، آمادگي بهتري پيدا كنند تا فريب ترفندهاي هكر را نخورند.

پسوندهاي پنهان فايلهاي ويندوز
ممكن است از اين موضوع آگاهي نداشته باشيد، اما حتي اگر به ويندوز بگوييد كه تمام پسوندهاي فايل را نشان دهد، هنوز هم فايلهايي وجود دارند كه بطور پيش فرض مخفي شده‌اند. همچنين هر برنامه نصب شده‌ايي مي‌تواند پسوندها را پيكربندي كند تا پنهان شوند. در اينجا در مورد چگونگي انجام اين كار و همچنين دليل اينكه چرا برخي از پسوندهاي پنهان مي‌توانند براي تعدادي از كاربرهاي كامپيوتر خطرناك باشند، مثالهايي آورده شده است. به فرض اينكه شما قبلا ويندوز explorer را براي نشان دادن تمام پسوندهاي پيكربندي كرده‌ايد.

پسوندهاي SHS
يك كپي از notepad.exe بگيريد و آن را روي desktop خود قرار دهيد. Wordpad را باز كنيد. روي notepad.exe كليك كنيد و آن را به سمت سند باز شده wordpad بكشيد. روي notepad.exe كليك كنيد و آن را به عقب به سمت desktop بكشيد. فايلي را كه ايجاد شده است (Scrap) به Readme.txt تغيير نام دهيد.

حالايك آيكن كه نشان دهنده سند متني است و فايلي با نام مشخص readme.txt بر روي desktop شما وجود دارد كليك كردن بر روي فايل فوق باعث مي‌شود notepad باز ‌شود. اگر اين فايل يك Trojan باشد، شما فريب خورده‌ايد و توسط آنچه كه يك فايل متني بي‌خطر بنظر مي‌رسيد آلوده شده‌ايد. اگر اجازه نمايش اين پسوند داده مي شد شما فريب فايل Readme.txt.shs را نمي‌خورديد.

پسوندهاي PIF
اگر سعي كنيد تا notepad.exe را به anything.txt.pif تغيير نام دهيد، تنها فايلي با نام anything.txt روي desktop خود خواهيد ديد. و اين بدين دليل است كه PIF پسوند ديگري است كه ويندوز بطور پيش فرض پنهان مي‌كند. اگر شما فايل را اجرا كنيد برنامه اجرا خواهد شد، به خاطر اينكه ويندوز پسوندهاي PIF را اجرا خواهد كرد حتي اگر آنها فايلهاي اجرايي باشند.

پسوندهاي SCR
پسوند ديگري كه بايد مراقب آن بود SCR است. كپي notepad.exe خود را به notepad.scr تغيير نام دهيد و روي آن كليك كنيد. Notepad به عنوان يك فايل اجرايي اجرا خواهد شد. بسياري از افراد توسط هكرهايي فريب مي‌خورند كه account يك قرباني را بدست آورده‌اند. هكر email يا هر نوع پيغامي را به تمام دوستان قرباني مي‌فرستد كه "اين صفحه نمايش جديد و بامزه را ببينيد از خنده روده بر خواهيد شد!" از آنجايي كه اين پيغام از يك منبع مطمئن آمده، اكثر افراد فريب خورده و فايل SCR را اجرا مي‌كنند كه در نهايت به هكري ختم مي‌شود كه به كامپيوتر شما متصل شده است.

فرمانهاي خطرناكي كه مي‌توانند گنجانده شوند
پسوندهاي ميانبر PIF
برخي از پسوندهاي پنهان فايل قادرند به سادگي با فرمانهاي پنهان شده‌اي كه مي‌توانند براي سيستم شما مخرب باشند برنامه‌ريزي شوند. اين يك آزمايش ساده است:

دكمه راست ماوس خود را روي desktop كليك كنيد و New و سپس Shotcut را انتخاب نماييد. در Command line تايپ كنيد:

format a:/autotest

Next را كليك كنيد. در "Select a name for the shortcut" تايپ كنيد: readme.txt سپس Next را كليك كنيد. يك آيكن notepad را انتخاب كرده و Finish را كليك كنيد. حالا شما در desktop خود فايلي با نام readme.txt و با آيكن notepad داريد. مطمئن شويد كه در درايو شما ديسكي است كه از دست دادن آن براي شما اشكالي ندارد و روي آيكن كليك كنيد. فايلي كه شما روي آن كليك كرده‌ايد درايو A: را فرمت خواهد كرد. البته آيكن هكر درايو ديگري را مورد هدف قرار خواهد داد يا ممكن است نامي همچون ‘game.exe’ و فرماني براي حذف كردن دايركتوري ويندوز شما يا (deltree /y C:\*.*) كل درايو C شما داشته باشد. اگر پسوند PIF پنهان نشود، قادر به فريب شما نخواهد بود.

پسوند SHS
فايلهاي Scrap نيز مي‌توانند فرمانهاي گنجانده شده را پنهان كند. اين يك آزمون ساده است: از notepad.exe يك كپي بگيريد و آن را روي desktop خود قرار دهيد. Wordpad را باز كنيد.Notepad.exe را كليك كنيد و آن را به سمت سند باز شده wordpad بكشيد. روي Edit كليك كنيد و Package Object و سپس Edit package را انتخاب كنيد. روي Edit و سپس Command Line كليك كنيد.

در كادر، دستوري مانند format a:/autotest را تايپ كنيد و روي OK كليك كنيد. آيكن نيز مي‌تواند از اين پنجره تغيير يابد. از پنجره خارج شويد، اين كار سند را به روز خواهد كرد. روي notepad.exe كليك كنيد و آن را به عقيب به سمت Desktop بكشيد. فايلي را كه ايجاد شده (Scrap) به Readme.txt تغيير نام دهيد.

حالا شما آنچه را كه شبيه يك فايل متني است داريد. اگر اين فايل اجرا شود درايو A: را فرمت خواهد كرد. همانگونه كه در مثال بالا براي پسوندهاي ميانبر PIF ديده شد، هكر مي‌تواند از فرمانهاي خطرناكتري استفاده كند.

روشهاي Trojan در هنگام راه اندازي
روشهاي راه اندازي استاندارد
اكثر افراد از راههاي متفاوتي كه هكرها براي راه اندازي فايلهاي Trojan استفاده مي‌كنند آگاه نيستند. اگر هكري كامپيوتر شما را با يك Trojan آلوده كند، نياز به انتخاب يك روش راه‌اندازي خواهد داشت، بگونه‌اي كه در زمان راه‌اندازي مجدد كامپيوتر شما Trojan بارگذاري شود. روشهاي معمول راه‌اندازي شامل كليدهاي اجرايي registry، فولدر راه اندازي ويندوز، Windows Load= يا run=lines يافته شده در فايل win.ini و shell=line يافته شده در system.ini ويندوز مي‌باشند.

روشهاي راه اندازي خطرناك
از آنجايي كه فقط تعداد اندكي از اين روشهاي راه اندازي وجود دارند، هكرهاي زيادي را يافته‌ايم كه در پيدا كردن روشهاي جديد راه‌اندازي افراط مي‌كنند. اين شامل استفاده از تغييرات خطرناكي در سيستم registry مي‌باشد، كه در صورتي كه فايل Trojan يا فايل همراه آن از بين برود سيستم را بصورت بلااستفاده درخواهد آورد. اين يك دليل استفاده نكردن از نرم افزار ضد ويروس براي از بين بردن Trojanهاست. اگر يكي از اين روشها استفاده شود، و فايل بدون ثابت كردن registry سيستم از بين برود، سيستم شما قادر به اجراي هيچگونه برنامه‌اي پس از راه اندازي مجدد كامپيوترتان نخواهد بود.

قبل از آنكه سراغ registry برويم لازم به توضيح است كه يك فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد كه هر فايلي در اينجا باشد هنگام راه اندازي ويندوز اجرا خواهد شد.توجه داشته باشيد كه هرگونه تغييري مي‌تواند سيستم شما را به خطر بياندازد بنابراين، هرچه ما مي‌گوييم انجام دهيد. براي دستيابي به registry به منوي start>run> برويد و "regedit" را بدون علامت " " تايپ كنيد. در registry چندين مكان براي راه اندازي Startup وجود دارد كه ليستي از آنها را در اينجا مي آوريم.

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command]="\"%1\"%*"

اگر اين كليدها مقدار "\"%1\"%*" را نداشته باشند و به جاي اجراي فايل در هنگام راه اندازي به "\"Server.exe %1\" %*" تغيير يابد به احتمال زياد يك Trojan است.

روش راه اندازي ICQ
روشي راه اندازي ديگري كه امروزه استفاده از آن معمول است شناسايي شبكه ICQ مي‌باشد. بسياري از كاربران ICQ نمي‌دانند كه هكر مي‌تواند يك خط پيكربندي را به ICQ اضافه نمايد تا با هر بار بارگذاري شدن برنامه Trojan نيز راه اندازي شود. به عنوان آزمايش مراحل زير را انجام دهيد:

ICQ را باز كنيد. روي آيكن ICQ كليك كنيد و preference را انتخاب نماييد. روي Edit launch List كليك كنيد. روي Add كليك كنيد. روي Browse كليك كنيد. فايلي را براي اضافه كردن به Windows\notepad.exe بيابيد كه به كار اين آزمايش بيايد. روي Open و سپس OK كليك كنيد. زماني كه شما ICQ را راه اندازي مجدد مي‌كنيد فايل اجرا خواهد شد.

اين مقاله فكر كنم قبلا توي انجمن مقالات بوده

با اين حال ممنون

ولي من منتقلش مي كنم

ممنون از مقالت حسام جان
اینم لینکش :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

توجه : این سایتی که برا آپلود انتخاب شده محدودیت پهنای
باند و ... نداره
حالا اگه کسی به هر دلیلی نتونست این مقاله رو دانلود کنه تو تاپیکی که " تمام مقالات انجمن آموزش رو بصورت PDF دریافت کنید بالای انجمن هست یه پست بده و اسم مقاله رو بگه تا من براش مقاله رو ایمیل بزنم انتخاب با شما بصورت word یا pdf

دستت درد نكنه

Not Bad .................

در كادر، دستوري مانند format a:/autotest را تايپ كنيد و روي OK كليك كنيد

میشه یه چندتا از این دستورات معرفی کنید چون خــــــــــــــیلی بدرد وخوره :biggrin: :biggrin:
خـــــــــیلی خوب بید :tongue:

اگه می شه بازهم ادامه بدید

ممنون از همه گي :blink: :blink: :blink:

سلام دوستان ... من تازه واردم (البته پارسال توي پي سي ورلد عضو بودم ولي اسمم پاك شد) ... مي خواستم يه سوال بپرسم اون هم اينكه چطوري ميشه با command prompt يك فايل رو از حالت فشرده zip خارج كرد و اجرا كرد. اگه كسي بلد هست بگه. منمتظر ميمونم

سلام دوستان ... من تازه واردم (البته پارسال توي پي سي ورلد عضو بودم ولي اسمم پاك شد) ... مي خواستم يه سوال بپرسم اون هم اينكه چطوري ميشه با command prompt يك فايل رو از حالت فشرده zip خارج كرد و اجرا كرد. اگه كسي بلد هست بگه. منمتظر ميمونم
فكر نكنم بشه.يعني حدودا مطمئنم
متاسفم دوست عزيز

چرا نشه دوست عزيز. شما اول بايد برنامه pkunzip.exe رو از روي اينترنت بگيري.
بعد اونو داخل درايو ويندوز كپي كني. %systemroot%
بعد دستور pkzipرو داخل داس اجرا کن.
توضیحات لازم رو برات می نویسه.
حتی فایلهای مربوط به فایلهای فشره شده توسط winrar , arj و ... نیز پیدا میشه.
با تشکر

اسنیفر چیست ؟ مبانی و تشخیص
اسنیفر برنامه یا ابزاری است برای استراق سمع کردن تافیک شبکه اون هم بوسیله گرفتن اطلاعاتی که روی شبکه د حال تبادل هستند و از تکنولوژی جلوگیری اطلاعاتی استفاده میکنه . به این دلیل این کار انجام میشه چون اترنت بر مبنای اشتراک گذاری ساخته شده . بیشتر شبکه ها از تکنولوؤی broadCast استفاده میکنند که یک پیام به یک کامپیوتر میتونه توسط کامپیوتر های دیگه هم خونده بشه . به صوت معمولی کلیه کامپیوتر ها بجط کامپیوتری که مقصد پیام هست پیام را نادیده میگیرند . اما میشه کاری کرد که کامپیوتر پیامی را هم که به اون مربوط نیست را بخونه . این کار هم همان اسنیف کردن اطلاعات است . بسیاری از افرادی که توسط سوئیچ به شبکه وصل هستند از شر اسنیف در امان هستند . اما همین کامپیوتر ها نسبت به اسنیف کردن هم نقطه ضعف خواهند داشت در صورتی که سوئیچ به یک هاب وصل شده باشه .
اسنیفر چگونه کار میکند ؟
کامپیوتری که به یک LAN وصل باشه دو تا ادرس داره یکی آدرس مک که برای هر سخت افزار که آدرس مک داره یکه است و دو تا کارت را پیدا نمی کنید که ادرس مک اون با یکی دیگه یکی باشه . از این آدرس مک برای ساختن قاب های اطلاعاتی برای ارسال اطلاعات به و یا از ماشین ها استفاده میشه . اما اون یکی آدرس ادرس IP هست . لایه شبکه وظیفه نگاشت کردن آدرس آی پی را به آدرس مک به عهده داره که واسه پروتکل ارتباط دیتا مورد نیازه . برای ارسال اطلاعات به یه کامپیوتر سیستم اول توی جدول ARP به دنبال آدرس مک سیستم مقابل میگرده اگر هیچ مدخلی برای این آی پی که داره پیدا نکنه یه دونه پاکت درخواست برای همه برودکست میکنه و از همه می خواهد تا اگر آدرس آی پی اونها همین هست که می خواهد آدرس مک خودشو اعلام کنه . اینجوری اگر سیستم توی شبکه آدرس آی پی پاکت را با خودش یکی ببینه ادرس مکش را میذاره توی یه پاکت و برای سیستم درخواست کننده میفرسته . حالا سیستم آدرس فیزیکی اون یکی سیستم را داره و این آدرس را به جدول ARP خودش اضافه میکنه . از این به بعد کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده میکنه .
به طور کلی دو نوع از تجهیزات اترنت وجود داره و اسنیفر ها به طرق مختلف روی این دو نوع کار میکنند.
Shared Ethernet:
در محیط های اینچنینی همه میزبان ها به یک باس وصل میشن و برای رفتن پهنای باند با هم رقابت میکنن . توی همچین وضعیتی یه پاکت را همه کامپیوتر ها دریافت میکنن . بدین ترتیب وقتی که کامپ یک بخواهد با کامپ دو صحبت کنه اون هم توی یه همچین محیطی اونوقت پاکتش را روی شبکه میذاره اون هم با ادرس مک سیستم مقصدش به همراه آدرس مک خودش . کلیه کامپیوتر ها روی یه اترنت اشتراکی (مثلا کامپ های 3 و 4 )ادرس مک پاکت مقصد را با ادرس خودشون مقایشه میکنن و اگر این دوتا با هم مچ نشدن این پاکت را میندازه دور .
اون کامپیوتری که داره عمل اسنیف کردن را انجام میده این قاعده و قانون را میشکنه و همه پاکت ها را میگیره .
و به کل ترافیک شبکه گوش میده .
در این وضعیت عمل اسنیف بسیار فعالانه انجام میشه و بسیار سخت میشه اون رو تشخیص داد .
Swithched Ethernet:
توی این شبکه کامپیوتر ها به عوض وصل شدن به هاب به یه سوئیچ وصل میشن که بهش میگن اتنت سئویچ . سوئیچ جدولی را مدیریت میکنه که توش رد ادرس مک کارت هایی را که بهش وصل میشن را داره . توی این جدول آدرس پورت فیزیکی را که روی سوئیچ هست و به اون کارت با آدرس مک وصله را هم نگه میداره و پاکت های مقصد را روی ان پورت فیزیکی میذاره و به مقصدش تحویل میده . در واقع موقعی که یه پاکت می خواهد ارسال بشه یه مسیر فیزیکی مستقیم و بدون واسطه بین اون و مقصدش برقرار میشه . در واقع سوئیچ ماشین هوشمندی هست که میدونه با این پاکت هایی که بهش وارد میشه چه کار کنه . واسه همین هم سرعت سوئیچ از هاب بیشتره و گرونتر هم هست . و همه پاکت ها را برود کست نمیکنه . این باعت میشه تا پهنای باند هدر نره و مصرف پهنای باند بهینه بشه و امنیت بالاتر بره . حالا اگر کامپیتوری را توی این شبکه بذارن توی حالت اسنیفر واسه انکه پاکت ها را جمع کنن این کار عملی نمیشه . به همین دلیل هم هست که مدیران شبکه ها برای امنیت بیشتر این شبکه بندی را تجیح میدن . با این حال باز هم میشه سوئیچ را اسنیف کد اون هم به این روش ها
1-ARP Spoofing
قبلا توضیح دادم که جدول ARP چیه و برای گرفتن ادرس فیزیکی مک مورد استفاده قرار میگیره . این جدول بی بنیه هست و خودتون هم میتونین خیلی راحت چند تا مدخل توش درست کنین . شما میتونین یه جواب ARP بفرستین حتی اگه کسی از شما نخواسته باشه که آدرستون را بهش اعلام کنین . در این حالت جواب شما توسط سیستم مقصد قبول میشه . حالا اگه بخواهین ترافیک شبکه را اسنیف کنین اون هم از کامپ یک میتونین عمل آرپ اسپوف را روی گیت وی شبکه انجام بدین . حالا جدول آرپ سیستم 1 مسموم شده . بدین ترتیب کل ترافیک شبکه از سیستم شما رد میشه . حقه دیگه ای که میتونه استفاده بشه تا جدول ارپ میزبان ها را مسموم کنه اینکه که بیایین و ادرس مک گیت وی را بذارین FF:FF:FF:FF:FF:FF که به عنوان آدرس برود کست هم شناخته میشه . فوق العاده ترین ابزاری که واسه این مورد میشه پیدا کد ARPspoof که با Dsnif Suite هستش.

2-MAC Flooding
سوئیچ ها جدول مترجمی را نگه میدارن که نگاشت ادرس های مک را به پورت های فیزیکی را روی سوئیچ به عهده داره .به این ترتیب سوئیچ به صورت هوشمند میتونه پاکت ها را به مقصد بفرسته . اما سوئیچ برای این کار دارای حافظه محدودی هست . فلود کردن مک از این نقطه ضعف استفاده میکنه و اونقدر سوئیچ را بمب باران میکنه (با ادرس های الکی) تا موقعی که سوئیچ نتونه اطلاعات را نگه داره . و این موقع است که میره توی حالت failOpen Mode و توی این حالت مثل یه هاب عمل میکنه و واسه اینکه بتونه اطلاعات ا ارسال کنه اونها را برود کست میکنه .حالا دیگه میشه را حت عمل اسنیف را انجام داد . این کار را میتونید با استفاده از نرم افزار MacOf که ابزاری ایت که با نرم افزار dsniff suite هماه است انجام بدین .

و اما مساله اساسی تشخیص اسنیفر ها :
یه اسنیفر معمولا همیشه توی حالت فعال کار میکنه . این اسنیفر فقط اطلاعات را جمع میکنه . به طور عمده تشخیص اسنیفر ها روی شبکه اترنت کار خیلی سختیه مخصوصا اگه روی شبکه اشتراکی باشه . اما وقتی که اسنیفر داره روی یه شبکه سوئیچ کار میکنه کار کمی آسانت میشه . وقتی که یه اسنیفر فعال میشه مقداری ترافیک را تولید میکنه . اینجا چند روش برای تشخیص اسنیف کردن اطلاعات وجود داره .
ping Method
کلکی که اینجا استفاده میشه اینه که یه دونه پاکت پینگ به آی پی ماشینی که بهش مشکوک هستین بفرستین نه به آدرس مک اون .اگر اون کامپیوتر مشکوک اسنیفر داره اونوقت به پینگ شما جواب میده . این در حالی هست که قاعدتا نباید به پاکت هایی که ادرس مک اونها بهش نمیخوره جواب بده . این روشی قدیمی است و دیگه به درد نمی خوره
ARP Method
یک کامپیوتر یه آرپ نگه میداره . پس کاری که ما میکنیم اینه که یه دونه پاکت غیر برود کست آرپ بفرستیم .کامپیوتری که توی حالت بی قاعده قرار گرفته آدرس شما رو ذخیره میکنه . بعد از اون ما یه دونه پاکت پینگ به صورت برود کست با آی پی خودمون می فرستیم اما با یه آدرس مک دیگه .تنها کامپیوتری که ادرس مک واقعی ما رو از قاب اسنیف شده آرپ داره میتونه به درخواست برود کست پینگ ما جواب بده .
On local host :
اغلب وقتی که سیستم شما دچار اشتباه شد هکر ها اسنیفر را ول می کنن . حالا میتونین با زدن یه دستور ساده روی همون سیستم که بهش مشکوک بودین بفهمین که این سیستم همونی هست که داشته اسنیف میکرده یا نه
ifconfigدستوری هست که شما بهش نیاز دارین . که اگر توی خط آخر خروجی دستور به کلمه Promisc برخود کردین بدونین که این همون سیستمه .
latency Method:
این روش بر این مبنا هست که فرض میشه اسنیفر عمل پارسینگ را داره انجام میده . پس داره اطلاعات زیادی را از شبکه میگیره و حالا اگر شما بیایین و یه حجم زیاد از اطلاعات را برود کست کنید سیستم اسنیف کننده تا بخواهد جواب بده وقت زیادی را میگیره و این تفاوت زمانی میتونه مشخص کنه که کدام سیستم در حال اسنیف قرار گرفته .
ARP watch
همانطور که گفته شد یکی از روش هایی که برای اسنیف روی یک شبکه سوئیچ انجام میشه اینه که ارپ را اسپوف کنیم . ابزاری که ARPwatch نامیده میشه استفاده میشه تا ببینه که هیچ چند تایی برای یه ماشین نباشه . یعنی واسه یه سیستم چند تا مدخل توی جدول نباشه . اگر اینطور باشه برنامه اینو تشخیص میده و هشدار میده . توی یه شبکه دی اچ سی پی این میتونه باعث هشدار های اشتباه زیادی بشه کاری که میشه انجام داد تا جلوی این مشکل گرفته بشه اینه که زمان اجاره آی پی را افزایش بدین و مثلا بذارین 60 روز .

شاید روشی که بتونه بهتون کمک کنه تا بفهمین که یکی داره شبکه را اسنیف میکنه افت شدی روی سوئیچ باشه .
اما یه حرف قدیمی میگه که پیشگیری بهتره . و چون اسنیفر ها برای اجرا شدن نیاز به دسترسی مدیریت دارن (توی لینوکس) پس همیشه سیستم را قفل شده نگه دارین و ببینید که کاربری دسترسی مدری به سیستم نداشته باشه و همیش سیستم ها رو چک کنید که توی مد اسنیف نباشن . به وسیله اون روش محلی که گفتم .

اما بهترین راه برای اینکه جلوی این عمل کثیف را بگیرین مخفی سازی اطلاعات هست . حالا اگه طرف بتونه توی پاکت را هم ببینه با یه مشت چرت و پرت روبرو میشه .

مطمئنأ اکثر کسانی که با مقوله هک و امنیت آشنا هستند نام تروجان معروف Magic-PS را شنیده اند. این تروجان موجب دزدیده شدن پسورد کاربران پس از اجرا میشود و میتواند به سادگی پسورد یاهو شما را برای تروجان ساز ارسال کند. در این ترفند قصد داریم روشی را به شما معرفی کنیم که با بهره گیری از آن میتوانید کار این تروجان را کاملا ساقط کنید و خیال خود را از هک شدن بدین وسیله راحت کنید.

بدین منظور:

از منوی Start وارد Run شده و در آن عبارت regedit را وارد کرده و Enter بزنید تا رجیستری باز شود.
سپس به آدرس زیر بروید:
HKEY_CURRENT_USER/Softwaqre/microsoft/windows/current version/Runonce
سپس از قسمت دیگر دنبال متغیری با نام SVCHOST یا svchost بگردید و اگر وجود داشت آن را پاک کنید.
همین عمل را در آدرس زیر نیز اعمال کنید:
HKEY_LOCAL_MACHIN/software/microsoft/windows/curren version/run
در پایان سیستم را مجددأ راه اندازی کنید.

تمامی کسانی که در هک اندکی نیز سر رشته دارند مطمئنأ میدانند وقتی یک تروجان ساخته میشود پسوند آن exe. است. این موضوع میتواند باعث شود که فرد مورد نظر تروجان را دریافت نکند. اکنون قصد داریم یک ترفند بسیار جالب را به شما معرفی کنیم که با استفاده از آن میتوانید این پسوند را کاملا محو سازید ، به نوعی که همچنان همان کارایی را داشته باشد.

بدین منظور:
از منوی Start و سپس All Programs وارد Accessories شده و Wordpad را انتخاب کنید.
پس از باز شدن برنامه Wordpad تروجان مورد نظر را Copy کرده و در درون Paste ، Wordpad نمایید.
حال از منوی بالا وارد Edit>Package Object>Edit Package شوید.
در پنجره باز شده از منوی Edit بر روی Copy Package کلیک کنید.
در پایان وارد یکی از درایو های کامپیوتر شده و راست کلیک کنید و Paste را انتخاب کنید.
فایلی که Paste میشود تروجان جدید شما بدون پسوند exe است.

در این مبحث قصد داریم بحث آنتی ویروسها را به طور کامل برای شما بازکنیم. اینکه چه آنتی ویروسی مطمئن تر است؟ آنتی ویروسها چگونه یک ویروس را میشناسند؟ تکنیک های ویروس یابی و بسیاری مطالب دیگر. با بهره گیری از این مبحث میتوانید خودتان آنتی ویروس بهتر و مطمئن تر را انتخاب کنید.


اشاره :
در دنياي شبكه‌اي امروز، لزوم داشتن يك نرم‌افزار ضدويروس قدرتمند كه كامپيوتر ما را از انواع ويروس‌ها، كرم‌ها، بمب‌هاي منطقي و به‌طور كلي كدهاي مخرب مصون بدارد، بيش از هر زمان ديگري احساس مي‌شود. خوشبختانه (شايد هم متأسفانه) انتخاب‌هاي متعددي در اين زمينه وجود دارد. ولي واقعاً كدام يك از آن‌ها مي‌تواند بهتر مشكل كامپيوتر (يا كامپيوترهاي شبكه) ما را حل كند؟ كافي است سري به سايت‌هاي مربوط به فروشندگان اين نوع نرم‌افزارها بزنيد. به نظر مي‌رسد كه همه آن‌ها از بهترين‌ها هستند. و همه آن‌ها در تمام طول سال و در تمام 24 ساعت شبانه‌روز خدمات خود را ارايه مي‌دهند. از طرفي به دليل بازار رقابتي موجود، هيچكدام از آن‌ها اطلاعات دقيقي از نرم‌افزارخود ارايه نمي‌دهند. شما چه يك متخصصIT باشيد و چه يك كاربر معمولي، ممكن است به دليل نداشتن اطلاعات صحيح براي انتخاب ضدويروس مناسب خود با مشكل مواجه مي‌شويد. بنابراين بسيار مهم است كه بدانيد ضدويروس‌ها چگونه كار مي‌كنند و در واقع عوامل مهم براي انتخاب آن‌ها كدامند.



ضدويروس‌ها چگونه كار مي‌كنند؟
اولين قدم جهت انتخاب يك ضدويروس مناسب آشنايي با كاركرد ضدويروس‌ها مي‌باشد.
پس از آشنايي با خصوصيات يك ضدويروس، واژگاني كه در اين زمينه استفاده مي‌شود، را خواهيد شناخت. اين‌كه بدانيد ضدويروس چه كارهايي مي‌تواند انجام بدهد و چه كارهايي نمي‌تواند انجام دهد، به شما كمك مي‌كند كه انتظارات معقولي از آن داشته باشيد.

يك ضدويروس چگونه ويروس‌ها را شناسايي مي‌كند؟
روش‌هاي مختلفي براي شناسايي ويروس‌ها وجود دارد.
ويروس‌ها (به‌طور معمول) چيزي بيشتر از كد يك برنامه نيستند. بنابراين اگر ما بدانيم كه هر كدي چه كاري انجام مي‌دهد قادر خواهيم بود كه كد حامل ويروس را به محض رويت شناسايي كنيم.
اين كار اولين عملي است كه انجام مي‌گيرد و به نام Signature Matching معروف است.
نرم‌افزارهاي ضدويروس كه به اين روش كار مي‌كنند داراي يك بانك اطلاعاتي هستند كه شامل Virus signatureها است و به محض اين‌كه كدي را ملاحظه كرد كه معادل يكي از ركوردها باشد آن را به عنوان ويروس شناسايي مي‌كند. به نظر مي‌رسد كه موثرترين راه براي كشف ويروس‌ها همين باشد. روش فوق ذاتاً به‌گونه‌اي است كه اول ويروس را شناسايي مي‌كند و بعد متناظر با آن يك ركورد (virus signature) به بانك اطلاعاتي اضافه مي‌كند و حالا اگر ويروسي پيدا كند، در صورتي‌كه متناظر با اين ويروس ركوردي در بانك اطلاعاتي باشد قادر به شناسايي آن خواهد بود و همين امر ايجاب مي‌كند شركت‌هايي كه از اين فناوري در نرم‌افزار خود استفاده مي‌كنند مدام آن را بروز نگه دارند. به هر حال اين يك نقطه ضعف مي‌باشد و براي فائق آمدن بر آن دو روش ديگر در نرم‌افزارهاي ضدويروس معرفي شده است.

1- Heuristic method (روش‌ مكاشفه‌اي)
فلسفه Heuristic اين است كه بتوانيم ويروس‌هايي را شناسايي كنيم كه هنوز Virus Signature آن‌ها در بانك اطلاعاتي موجود نمي‌باشد.
اين كار با استفاده از يك بانك اطلاعاتي كه ركوردهاي آن حاوي Virus behavior signature مي‌باشد قابل انجام است. ركوردهاي اين بانك اطلاعاتي امضاي ويروس خاصي را نگهداري نمي‌كنند بلكه بيشتر رفتارهاي (رفتار بد) ويروس‌ها را ذخيره مي‌كنند. مثلاً اين‌كه هر كجا تشخيص بدهند كدي قصد پاك كردن Boot Sector را دارد از آن جلوگيري مي‌كنند.
الگوريتم‌هايHeuristic به دو صورت پياده‌سازي مي‌شوند:
اگر تكنولوژي Heuristic كد هر برنامه را با Virus behavior Signature مقايسه كند و مورد آناليز قرار دهد آن را روش static heuristic مي‌ناميم.
در بعضي مواقع اين تكنولوژي قطعه كد را در يك ماشين مجازي اجرا مي‌كند تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic مي‌گوييم. اين روش ممكن است نتايج غلطي نيز توليد كند.

Integrity checksum -2 (جامعيت سرجمع)
در روش integrity checksum، فرض براين است كه ويروس قصد اعمال تغييراتي در فايل دارد. مثلا‌ً يك ويروس مي‌خواهد كه روي يك فايل چيزي بنويسد يا اين‌كه خودش را به آخر فايلي اضافه كند. در اين روش نرم‌افزار checksum فايل غيرويروسي و يا درايورهاي تميز را ذخيره مي‌كند و هرگاه كه تغييري در اين checksum مشاهده شود متوجه مي‌شود كه احتمال دارد ويروسي اين كار را انجام داده باشد. در اين روش نيز احتمال توليد نتايج غلط وجود دارد. اين روش در مقابله با ويروس‌هاي ماكرويي يا ويروس‌هاي مانند code Red كه بدون اين‌كه در هيچ فايلي ذخيره شوند در حافظه بارگذاري و اجرا مي‌شوند، كارايي چنداني ندارد.
اگر يك كد مزاحم از تمام الگوريتم‌هاي يك ضدويروس كه تاكنون نام برديم بگذرد، در گام آخر توسط فناوري ديگري به نام Activity Blocker از فعاليت آن جلوگيري مي‌شود. اين تكنولوژي از تمام فعاليت‌هايي كه ممكن است توسط يك كد مخرب صورت بپذيرد جلوگيري مي‌كند مثلاً اگر تشخيص دهد كه هاردديسك در حال فرمت شدن است از آن جلوگيري مي‌كند.

يك ضدويروس چه موقع ويروس‌ها را شناسايي مي‌كند؟

معمولاً ضدويروس‌ها به دو روش مي‌توانند ويروس‌ها را شناسايي كنند.
در روش اول ضدويروس، به صورت Real Time (بلادرنگ) و همان موقع كه فايل مورد دسترسي قرار مي‌گيرد عمل مي‌كند. در اين روش، ضدويروس درون حافظه مقيم مي‌شود و تمام فعاليت‌هاي مربوط به سيستم را مورد ارزيابي و بررسي قرار مي‌دهد. اين نرم‌افزارها با همكاري سيستم‌عامل متوجه مي‌شوند كه هم‌اكنون قرار است فايلي مورد دسترسي قرار بگيرد. سريعاً اين فايل را بررسي و نتيجه را گزارش مي‌دهند. به اين روش on-access مي‌گويند.
مزيت اين روش در ارايه يك حفاظت دايمي است ولي اشكالي كه دارد اين است كه تنها فايل‌ها را به هنگام دسترسي مورد بررسي قرار مي‌دهد. يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته باشد و در ديسك ذخيره شده باشد، با اين روش قابل شناسايي نيست. در روش دوم اين امكان به كاربر داده مي‌شود كه خودش نرم‌افزار ضدويروس را براي بررسي كردن ديسك يا يك فايل به كمك بگيرد. براي اين‌كه فعاليت فوق بازده بهتري داشته باشد بايد ضدويروس را طوري تنظيم كرد كه در دوره‌هاي زماني معين اقدام به اسكن كند. اين روش به on-demand معروف است.

ضدويروس‌ها چه كارهايي را مي‌توانند انجام دهند و چه كارهايي را نمي‌توانند انجام دهند؟

1- محافظت صددرصدي
هيچ ضدويروسي وجود ندارد كه بتواند به صورت صددرصد سيستم شما را در مقابل ويروس‌ها ايمن كند. ويروس‌ها و كدهاي مخرب هميشه از ضد‌ويروس‌ها جلو بوده‌اند CodeRed .،Melissa ،Funlove ، Nimda و ويروس‌هاي زياد ديگر اين فرضيه را ثابت نموده‌اند و البته دليل پويايي و حيات نرم‌افزارهاي ضدويروس نيز همين قضيه مي‌باشد.
به خاطر داريد كه ضدويروس‌ها براي شناسايي يك ويروس به‌طور معمول نياز به virus signature دارند و البته هنگامي كه اين signature موجود نباشد از روش‌هاي heuristic استفاده مي‌شود كه اين روش‌ نيز هميشه جواب درست را برنمي‌گرداند. با اين همه، ضدويروس‌ها در مقابل ويروس‌هاي شناخته شده (بيش از60 هزار عدد) يك حفاظت همه جانبه از سيستم شما به عمل مي‌آورند.
بيشتر ضدويروس‌ها در صورت بروز و ظهور يك ويروس جديد قادر خواهند بود كه به سرعت آن را شناسايي كنند و سيستم شما را از وجود اين ويروس پاك نگه دارند.

2- بازسازي فايل‌هاي ويروسي شده
آيا هر ويروسي كه توسط نرم‌افزار ضدويروس شناسايي شد قابل از بين بردن است؟
بستگي دارد كه عملكرد ويروس چگونه باشد.
بعضي از ويروس‌ها مانند ويروس‌هاي ماكرويي به راحتي توسط نرم‌افزار ضدويروسي تشخيص داده مي‌شوند و از فايل بيرون كشيده مي‌شوند و پاك مي‌شوند. اين فايل‌ها هيچ آسيبي به فايل ميزبان خود نمي‌رسانند.
اما بعضي از ويروس‌هاي ديگر نيز هستند كه بر روي فايل ميزبان چيزي مي‌نويسند يا اين‌كه اصلاً كدويروس را درون فايل ميزبان قرار مي‌دهند. يكي از انواع اين ويروس‌ها Loveletter است. در اين مورد به وضوح ديده مي‌شود كه فايل ميزبان قابل بازيابي نيست و تنها راه‌حل اين است كه اين فايل را پاك كنيم.
دسته ديگري از ويروس‌ها وجود دارند (مانند ويروس Nimda) كه علاوه بر ايجاد تغييرات بر روي فايل، قابليت دستكاري فايل‌هاي سيستم و رجيستري را نيز دارند. در اين موارد ضدويروس به تنهايي نمي‌تواند كاري بكند. شما به ابزاري نياز داريد كه بتواند فايل ويروسي را حذف كند و تغييرات اعمال شده در سيستم شما را به حالت اوليه برگرداند. معمولاً اين ابزار كمكي بر روي وب سايت‌هاي فروشندگان نرم‌افزار ضدويروس موجود مي‌باشد.

معيارهاي انتخاب يك ضدويروس
حالا كه متوجه شديد ضدويروس چگونه كار مي‌كند و چه كارهايي را مي‌تواند براي شما انجام دهد، وقت آن است ببينيم چه معيارهايي براي انتخاب يك ضدويروس مهم هستند.

1- شناسايي
مهمترين وظيفه يك ضدويروس شناسايي ويروس‌ها است. اما چگونه بايد مطمئن شويم كه يك ضدويروس همان كاري را كه ادعا مي‌كند انجام مي‌دهد؟
آيا همين قدر كه برنامه ضدويروس يك گزارش مبني بر شناسايي ويروس‌ها توليد مي‌كند متقاعد مي‌شويد كه كار خود را به خوبي انجام مي‌دهد؟ پيدا كردن جواب دو سوال زير مي‌تواند به شما كمك ‌كند:
پرسش اول: نرم‌افزار ضدويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد. از اين پارامتر عموماً با نام detection Rate ياد مي‌شود.
پرسش دوم: نرم‌افزار ضدويروس تحت چه شرايطي مي‌تواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضدويروس قابل تشخيص است؟

توصيه هاي مهم
اول: يك راه‌حل اين است كه شما خودتان ضدويروس را بررسي كنيد. براي اين كار بر روي اينترنت به دنبال ويروس‌هاي مختلفي بگرديد و اين ويروس‌ها را به سيستم خودتان بياوريد و ببينيد كه آيا ضد‌ويروس مي‌تواند اين ويروس‌ها را شناسايي كند يا نه؟ ولي من شما را از انجام اين عمل شديداً منع مي‌كنم. حتي اگر فروشنده ضدويروس خودش اين پيشنهاد را به عنوان يك راه‌حل براي آزمايش ضدويروس داده باشد. همان‌طورEicar كه گفته است: استفاده از ويروس‌هاي واقعي براي تست كردن يك ضدويروس در يك محيط عملياتي مانند اين است كه شما آتش را به دفتر كار خود بياوريد و بعد بخواهيد بررسي كنيد كه آيا حسگرهاي دود‌ به خوبي كار مي‌كنند يا نه؟ شما هرگز نمي‌توانيد از نتيجه كار مطمئن باشيد. ممكن است برنامه ضدويروس نتواند همه موارد را شناسايي كند و ويروس‌ها شروع به پاك كردن داده‌هاي ارزشمند سيستم شما و پخش شدن در شبكه بنمايند. امري كه ممكن است به بهاي از دست دادن شغلتان تمام شود.
دوم: اگر شما واقعاً مي‌خواهيد مطمئن شويد كه يك ضدويروس قادر به انجام چه كارهايي است مي‌توانيد در سايت[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] يك سري آزمايش‌هاي بي‌خطر جهت آزمايش ضدويروس پيدا كنيد. در اين سايت فايل‌هاي آزمايشي و بي‌خطري وجود دارند كه بيشتر ضدويروس‌ها آن‌ها را به عنوان ويروس شناسايي مي‌كنند.
در اين حالت اگر ضدويروس موفق به از بين‌بردن ويروس شود چه بهتر و چنانچه نتواند، شما هيچگونه اطلاعاتي از دست نخواهيد داد. بدين‌ترتيب مي‌توانيد يك روش امن براي آزمايش ضدويروس به كار ببنديد.
سوم: شما مي‌توانيد از منابع موجود كه قبلاً اين كار را انجام داده‌اند استفاده كنيد. بعضي از سازمان‌ها، متولي انجام همين فعاليت مي‌باشند. ليستي از ويروس‌ها توسط [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] نگهداري مي‌شود. در اين سايت مي‌توانيد ببينيد كه detection Rate يا نرخ شناسايي هر ضدويروس چقدر است.
اين سايت‌ها نيز براي اين منظور مفيد مي‌باشند:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] اين سايت، آماري از توان ضدويروس‌ها براي شناسايي ويروس‌هاي موجود در سايت wildlist (در دو مورد on-demand,Real-time) را ارايه مي‌كند.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] در اين سايت ضدويروس‌ها در دو سطح مورد بررسي قرار مي‌گيرند. سطح اول همان است كه در سايت Virusbtn نيز انجام مي‌شود يعني فقط شناسايي ويروس‌ها.
نرم‌افزارهايي در سطح دوم موفق هستند كه قادر به از بين بردن ويروس نيز باشند.

2- امكانات

بسيار مهم است كه بدانيم چه نوع فناوري در ضدويروس موردنظر استفاده شده است و چه ويژگي‌هايي دارد.

1- سازگاري سخت‌افزاري و نرم‌افزاري سيستم شما با ضدويروس انتخاب شده.
در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرم‌افزار ضدويروس خود را كه تنها با جديدترين سيستم‌عامل‌ها كار مي‌كنند، ارايه مي‌دهند.
بنابراين منطقي به نظر مي‌رسد كه قبل از اقدام به خريد نرم‌افزار حتماً به اين نكته توجه كنيد.
2- توانايي پويش(on-Access Real time) را داشته باشد.
اين يكي از ويژگي‌هاي اساسي است كه يك ضد‌ويروس بايد دارا باشد. اين بخش نرم‌‌افزار باعث مي‌شود كه نرم‌افزار ضدويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري مي‌شود ويروس را شناسايي و خنثي كند.
اين بخش نرم‌افزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد،
Mabter Boot Record) MBR) و حافظه سركشي كند.
3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستم‌تان بايد انجام دهيد اين است كه هراز‌چندگاهي وضعيت سيستم خود را با اجراي ضدويروس بررسي كنيد.
مخصوصاً هنگامي كه آخرين نسخه ضدويروس را دريافت مي‌كنيد حتماً اين كار را انجام دهيد. سناريوي زير انجام توصيه بالا را توجيه مي‌كند.
شما يك e-mail دريافت مي‌كنيد كه اين e-mail شامل يك ضميمه و ويروسي است. منتهي شما اين ضميمه را هيچ‌گاه باز نكرده‌ايد. اجراي ضدويروس بروز شده باعث مي‌شود كه (احتمالاً) ويروس فوق شناسايي شود.
4- از الگوريتم‌هاي Heuristic پشتيباني كند.
5- بتواند انواع فايل‌ها با فرمت‌هاي مختلف را پويش كند.
اگر شما ويروسي در سيستم داشته باشيد كه قادر باشد به هر نوع فايلي بچسبد، نياز به ضدويروسي داريد كه بتواند فايل‌هاي مختلف با پسوندهاي مختلف را مورد بررسي قرار دهد. قبلاً تنها راه انتشار يك ويروس اين بود كه به فايل‌هاي برنامه‌اي بچسبد، اما امروزه اين امكان وجود دارد كه ويروس براي انتشار خودش از فايل‌هاي غيراجرايي نيز استفاه كند.
6- توانايي جلوگيري از فعاليت اسكريپت‌هاي مخرب را داشته باشد. بعضي از ويروس‌ها هستند كه با استفاده از اسكريپت‌ها طراحي شده‌اند. كرم‌هاي I Love You از اين نوع است.
موتور ضدويروس بايد اين قابليت را داشته باشد كه كدهاي VBS و JS را شناسايي كند و در صورتي كه آن‌ها را مخرب تشيخص دهد از فعاليتشان جلوگيري كند.
7- توانايي بررسي ضميمه e-mail را داشته باشد.
امروزه بسياري از ويروس‌ها توسط e-mail ‌انتشار پيدا مي‌كنند.
بعضي از آن‌ها مانند كرم KAK حتي اين توانايي را دارند تا در سيستم‌هايي كه خوب پيكربندي نشده‌اند، بدون اين‌كه ضميمه e-mail باز شود شروع به انتشار خود بنمايند.
8- قابليت بررسي فايل‌هاي فشرده را نيز داشته باشد. اگر چه يك ويروس هنگامي كه در يك فايل فشرده قرار دارد نمي‌تواند آسيبي به سيستم برساند ولي بهتر است است كه اصلاً اين ويروس در سيستم شما وجود نداشته باشد.
9- قابليت اين را داشته باشد كه اسب‌هاي تراوا، جاوااپلت‌هاي مخرب و اكتيوايكس‌هاي مزاحم را شناسايي كند. نرم‌افزارهاي ضدويروس نه تنها بايد اين قابليت را داشته باشند كه ويروس‌ها و كرم‌ها را شناسايي كنند بلكه بايد بتوانند از فعاليت‌اسب‌هاي تراوا، اكتيويكس‌ها و اپلت‌هاي جاوا نيز جلوگيري كنند.
امروزه بيشتر ضدويروس‌ها داراي اين خصوصيت مي‌باشند.

3- نگهداري از نرم‌افزار
دو مورد زير در نگهداري از نرم‌افزارهاي ضدويروس قابل توجه هستند.
1- بروز كردن مداوم ضدويروس براي مقابله با ويروس‌هاي جديد.
در بخش‌هاي قبل لزوم بروز نگه‌داشتن بانك‌اطلاعاتي ضدويروس توضيح داده شد. بنابراين ضدويروس منتخب شما بايد به ‌گونه‌اي باشد كه به راحتي قابليت روزآمد شدن را داشته باشد و علاوه‌‌‌برآن به‌طور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزم‌هايي جهت بروز نگه‌داشتن ضدويروس استفاده مي‌شود. آيا نسخه‌هاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت مي‌باشد؟ و آيا شما به راحتي مي‌توانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟
اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرم‌افزار بسيار خسته‌كننده مي‌باشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت روزآمد شده نرم‌افزار دريافت شود.
نكته ديگر اين‌كه، نويسندگان ضدويروس‌ها چقدر سعي مي‌كنند تا روش‌هاي جديدي كه براي توليد ويروس‌ها استفاده مي‌شود بشناسند و در نرم‌افزار خود به كار گيرند؟
و نكته مهم‌تر اين‌كه از زمان خبر انتشار يك ويروس تا وقتي كه نرم‌افزار ضدويروس براي اين ويروس بروز شود چقدر طول مي‌كشد؟

4- نرم‌افزارهاي ضدويروس چقدر بر كارايي سيستم شما تأثيرگذار مي‌باشند؟
همه نرم‌افزارهاي ضد‌ويروس بر كارايي سيستم شما تأثير مي‌گذارند. اغلب اوقات اندازه‌گيري ميزان اين تأثير سخت است ولي به هر حال به عنوان يك معيار مهم در انتخاب ضدويروس مطرح مي‌باشد. پرسش‌هاي زير در اين مقوله مهم مي‌باشند.
- آيا نرم‌افزار ضدويروس باعث كندتر شدن پروسه بوت سيستم شده است؟
- زمان دسترسي به يك فايل را افزايش داده است؟
پس براي انتخاب يك ضدويروس مناسب ناچاريد كه چند آزمايش را انجام دهيد.
مثلاً مي‌توانيد زماني كه براي پويش‌هاي مختلف (تحت شرايط مختلف) توسط يك ضدويروس مصرف مي‌شود را محاسبه كنيد و در اين مدت، زمان ميانگين استفاده از حافظه و cpu را نيز اندازه‌گيري كنيد.
يا اين‌كه زماني كه براي اسكن on-demand نياز مي‌باشد را براي محصولات مختلف اندازه‌گيري كنيد.
يا اين‌كه وقتي كه ضدويروس در حال پويشReal-time مي‌باشد ببينيد كه باز كردن يك فايل بزرگ چقدر طول مي‌كشد؟
توجه به اين موضوع كه محيط تست براي همه ضدويروس‌ها كه مورد ارزيابي قرار مي‌گيرند، مشابه باشد بسيار مهم است از جلمه اين‌كه:
حجم فايل‌ها و نوع فايل‌هايي كه براي هر يك از ضدويروس‌ها مورد بررسي قرار مي‌گيرد مهم است.
هر دو ضدويروس به يك ترتيب و روي يك سخت‌افزار پيكربندي شده باشند.

5- نرم‌افزار ضدويروس قابل كنترل باشد.
اگر شما نتوانيد بر روي ضدويروس خود نظارت كامل داشته باشيد مانند اين است كه ضدويروس نداريد.
شما بايد بتوانيد به‌طور مرتب (هر زمان كه نياز داشتيد) و بدون زحمت زيادي بانك اطلاعاتي خود را كامل‌تر يا بروز كنيد.
به راحتي بتوانيد از سرورها خود و كلاينت‌هاي خود محافظت كنيد و گزارش‌هاي نرم‌افزار ضدويروس را براي هر كدام از آن‌ها ببينيد.

6- پشتيباني ضدويروس هميشگي و موثر باشد.
فروشنده نرم‌افزار بايد قادر باشد كه پشتيباني مورد نظر شما را انجام دهد. مطمئناً پشتيباني كه براي كاربر در خانه ارايه مي‌شود با پشتيباني كه براي يك شركت بزرگ انجام مي‌شود با يكديگر متفاوت هستند.
فروشنده براي پشتيباني مي‌تواند خدمات زير را به شما ارايه دهد.
1- قادر باشد كه شما را به صورت on-line پشتيباني كند و اگر شك كرديد كه فايلي حاوي ويروس است، بتوانيد آن را براي فروشنده ارسال كنيد تا نظر خودش را راجع‌به فايل بيان كند.
اگر يك ويروس جديد شناخته شود، فروشنده بايد بتواند اين موضوع را به اطلاع شما برساند تا اقدامات لازم را براي خودتان، يا براي شبكه‌اي كه شما مس‡وول آن هستيد انجام دهيد.


نتيجه‌گيري
هيچ‌كدام از نرم‌افزارهاي ضدويروس بهترين نيستند. يك ضدويروس وقتي براي شما بهترين است كه بتواند نسبت به نرم‌افزارهاي ديگر به صورت كاملتري نيازهاي شما را برآورده كند.
اطلاعاتي كه فروشنده نرم‌افزار ارايه مي‌كند هميشه خوب است ولي انتخاب ضدويروس نبايد تنها براساس ادعاهاي فروشنده باشد.



آنتی ویروسها جادو نمیکنند!
آنتی ویروسها محافظان سیستم های ما هستند. این گونه نرم افزارها میتوانند بنا به ساختمان برنامه ای خود, کنترل مرکزی سیستم را در دست گیرند و مواظب رفتار مشکوک یا برنامه های مخرب اجرایی بر روی سیستم ما باشند ولی با گسترش روابط, نمیتوانیم به صورت کامل روی آنها حساب کنیم زیرا این برنامه ها از حمله ویروسها در امان نیستند .
در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.
خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.
آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.

چند تکنیک آنتی ویروس Bit Defender : (قويترين آنتي ويروس جهان)
1. تکنیک تله گذاری: در این روش آنتی ویروس توجه ویروس را به خود جلب می کند.
2. مخفی ماندن : وقتی ما آنتی ویروسی در کامپیوتر نصب میکنیم ویروسها در بین فایلها پنهان می شوند. در آنتی ویروس Bit Defender هیچ قسمتی از سیستم (نرم افزاری) متوجه نصب نمی شوند.
3. سیستم رادار : اطلاع رسانی به کاربران.

چكيده: رايج ترين مدل شبکه هاي کامپيوتري، مدل چهار لايه TCP/IP است که با بهره گيري از پشته پروتکل TCP/IP به تبادل داده و نظارت بر مبادلات داده مي پردازد ولي عليرغم محبوبيت، داراي نقاط ضعف و اشکالات امنيتي است و نحوه رفع اين اشکالات و مقابله با نفوذگران کامپيوتري، همواره بعنوان مهمترين هدف امنيتي هر شبکه تلقي مي گردد. در اين مقاله پس از بررسي انواع رايج تهديدات امنيتي عليه شبکه هاي کامپيوتري و راهکارهاي مقابله با آنها، با توجه به تنوع شبکه هاي کامپيوتري از نظر ساختار، معماري، منابع، خدمات، کاربران و همچنين اهداف امنيتي خود، با دنبال کردن الگوي امنيتي ارائه شده به راهکارهاي امنيتي مناسب دست يابد. کليد واژه ها: امنيت- حمله- تهديد- شبكه- نفوذ- مقابله 1-مقدمه: در شبکه کامپيوتري براي کاهش پيچيدگي هاي پياده سازي، آن را مدل سازي ميکنند که از جمله ميتوان به مدل هفت لايه OSI و مدل چهار لايه TCP/IP اشاره نمود. در اين مدلها، شبکه لايه بندي شده و هر لايه با استفاده از پروتکلهاي خاصي به ارائه خدمات مشخصي ميپردازد. مدل چهار لايه TCP/IP نسبت به OSI محبوبيت بيشتري پيدا کرده است ولي عليرغم اين محبوبيت داراي نقاط ضعف و اشکالات امنيتي است که بايد راهکارهاي مناسبي براي آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسي پيدا کرده و يا اينکه اطلاعات را بربايند. [1] شناسائي لايه هاي مدل TCP/IP، وظايف، پروتکلها و نقاط ضعف و راهکارهاي امنيتي لايه ها در تعيين سياست امنيتي مفيد است اما نکته اي که مطرح است اينست که تنوع شبکه هاي کامپيوتري از نظر معماري، منابع، خدمات، کاربران و مواردي از اين دست، ايجاد سياست امنيتي واحدي را براي شبکه ها غيرممکن ساخته و پيشرفت فناوري نيز به اين موضوع دامن ميزند و با تغيير داده ها و تجهيزات نفوذگري، راهکارها و تجهيزات مقابله با نفوذ نيز بايد تغيير کند. 2-مروري بر مدل TCP/IP: اين مدل مستقل از سخت افزار است و از 4 لايه زير تشکيل شده است [2]: 1- لايه ميزبان به شبکه: دراين لايه رشته اي از بيتها بر روي کانال هاي انتقال رد و بدل مي شوند و از تجهيزاتي مانند HUB,MAU,Bridge و Switch براي انتقال داده در سطح شبکه استفاده ميشود. 2- لايه اينترنت يا شبکه (IP): وظيفه اين لايه هدايت بسته هاي اطلاعاتي ( IP-Packet) روي شبکه از مبدا به مقصد است. مسيريابي و تحويل بسته ها توسط چند پروتکل صورت مي گيرد که مهمترين آنها پروتکل IP است. از پروتکلهاي ديگر اين لايه ميتوان ARP,RIP,ICMP,IGMP را نام برد. مسيرياب ( ROUTER ) در اين لايه استفاده ميشود. 3-لايه انتقال (TCP): برقراري ارتباط بين ماشينها بعهده اين لايه است که ميتواند مبتني بر ارتباط اتصال گراي TCP يا ارتباط غير متصل UDP باشد. داده هايي که به اين لايه تحويل داده مي شوند توسط برنامه کاربردي با صدازدن توابع سيستمي تعريف شده در واسط برنامه هاي کاربردي (API) ارسال و دريافت ميشوند. دروازه هاي انتقال در اين لايه کار ميکنند. 4-لايه کاربرد: اين لايه شامل پروتکل هاي سطح بالائي مانند [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است.در اين لايه دروازه کاربرد ديده ميشود. 3- تهديدات عليه امنيت شبکه: تهديدات و حملات عليه امنيت شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر ميتوان براساس عامل اين حملات آنهارا تقسيم بندي نمود. بهرحال حملات رايج در شبکه ها بصورت ذيل ميباشند [11]: 1-حمله جلوگيري از سرويس (DOS): در اين نوع حمله، کاربر ديگر نميتواند از منابع و اطلاعات و ارتباطات استفاده کند. اين حمله از نوع فعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد. 2-استراق سمع: در اين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيامها را شنود مي کند. اين حمله غيرفعال است و ميتواند توسط کاربر داخلي و يا خارجي صورت گيرد. 3-تحليل ترافيک: در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب ميکند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد. 4-دستکاري پيامها و داده ها: اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي زند و معمولا توسط کاربر خارجي صورت مي گيرد. 5-جعل هويت: يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي کند و توسط کاربران خارجي صورت ميگيرد. 4- راهکارهاي امنيتي: در اين بخش سرويس ها، مکانيزم ها و تجهيزات امنيتي نام برده ميشود. سرويس هاي امنيتي عبارتند از [3]: 1- حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند. 2- حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند. 3-احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود. 4-کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند. 5- عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند. مکانيزم هاي امنيتي عبارتند از : 1-رمز نگاري که در آن با استفاده از کليد خصوصي يا عمومي و با استفاده از الگوريتم هاي پيچيده پيام بصورت رمز درآمده و در مقصد رمزگشايي مي شود. 2-امضاء ديجيتال که براي احراز هويت بکار مي رود. تجهيزات امنيتي عبارتند از [10]: 1 - فايروال: امکاناتي است که ميتواند بصورت سخت افزاري يا نرم افزاري در لبه هاي شبکه قرار گيرد و سرويس هاي کنترل دستيابي ، ثبت رويداد ، احراز هويت و ... را انجام دهد. 2- VPN بهره مندي از شبکه عمومي براي اتصال دو يا چند شبکه خصوصي است . 3- IDS : سيستم تشخيص نفوذ است که در لايه بعد از فايروال مي تواند امنيت را تقويت کند و نفوذ مهاجمين رابر اساس تحليل هاي خاص تشخيص مي دهد. 4- IPS : سيستم جلوگيري از نفوذ است که پس از تشخيص نفوذ مي تواند به ارتباطات غيرمجاز ومشکوک بصورت يکطرفه پايان دهد. 5- AntiVirus : که مي تواند با تشخيص محتواي فايل، فايل هاي آلوده را بلوکه کند. 6- Vulnerability Scan : امکانات نرم افزاري است براي تشخيص آسيب پذيري شبکه. 7- Logserver & Analysis: امکاناتي است که براي ثبت و کنترل رويدادها مورد استفاده قرار مي گيرد. 8- سرورهاي AAA: براي احراز هويت، کنترل و نظارت بر دسترسي کاربران داخلي و خارجي استفاده مي شوند. البته بغير از تجهيزات فوق الذکر،با استفاده از مسيريابها و سوئيچ هاي مديريت پذير مي توان امنيت در مسير تبادل را نيز تا حد زيادي تامين نمود. در ادامه حملات، سرويس ها و مکانيزم ها و تجهيزات امنيتي در لايه هاي مختلف در قالب جداول 1-2-3-4 با يکديگر مقايسه مي شوند و همانطور که در جداول مذکور نشان داده شده است مي توان نتيجه گرفت که بيشترين حملات به ترتيب در لايه IP,TCP ، کاربرد و ميزبان به شبکه است و سرويس ها و مکانيزم ها بيشتر در لايه IP به چشم مي خورد و تجهيزات امنيتي با بهره گيري از مکانيزم هاي مختلف بيشتر در لايه IP , TCP و کاربرد ، کاربري دارند . در جدول 5تجهيزات امنيتي از نظر پارامترهاي مختلف با يکديگر مقايسه مي شوند و مورد ارزيابي قرار مي گيرند، استفاده از تجهيزات سخت افزاري نظير فايروال، سوئيچ ها و مسيريابهاي مديريت پذير، گران است و هزينه پشتيباني آنها نيز بالاست و از پيچيدگي نسبتا بالايي برخوردارند. در تجهيزات نرم افزاري نيز هزينه پشتيباني بدليل لزوم Update مرتب ، بالا است ولي هزينه استقرار و پيچيدگي پائين است. جدول 1. مقايسه تهديدات امنيتي در لايه هاي چهارگانه TCP/IP تهديد لايه Host to Network up TCP Application Trojan,Virus,Worm + SQL-Injection + TCP/IP Spoofing + + Session Hijacking + + Port Scan + + Physical Attacks + Phishing + + Password Attacks Packet Sniffing + + Dos/DDos Attacks + + + Network Layer Attacks + Application Layer Attacks + Buffer Over Flow Attacks + + + Replay + + + + Traffic Analysis + + + Message Modification + + + جدول 2. اهراف امنيتي در منابع شبكه منابع شبكه كاربران اهداف سخت افزارها نرم افزارها اطلاعات ارتباطات شبكه محرمانگي + + صحت + + + + قابليت دسترسي + + + + محافظت فيزيكي + محافظت فيزيكي + صدور اختيارات + حريم خصوصي + آگاهي رساني امنيتي جدول 3. سرويس هاي امنيتي در لايه هاي مختلف TCP/IP سرويس لايه Host to Network up TCP Application محرمانگي + + + + تاييدهويت + + + + رد انكار + كنترل جامعيت و صحت + + جدول 4. مكانيزم هاي امنيتي مربوط به لايه هاي مختلف TCP/IP مكانيزه لايه Host to Network up TCP Application رمزنگاري + + + + امضائ ديجيتال + + + كنترل دستيابي + + + درستي و صحت داده + + + كنترل مسيريابي + رد انكار ( سنديت ) + + جدول 5. مقايسه تجهيزات امنيتي در لايه هاي چهارگانه TCP/IP تجهيزات امنيتي لايه Host to Network up TCP Application حفاظت فيزيكي + رمزنگاري + + + + IP Sec + SSL + Firewall + + + AntiVirus + AAA Server + + + + VPN + + + + PGP + IDS/IPS + + + 5 - الگوي امنيتي 6-1 : معماري امنيتي با توجه به ساختار هر شبکه، معماري امنيتي شبکه بصورت نهفته در لايه هاي شبکه در نظر گرفته مي شود و لايه بندي با توجه به محدوده هاي داخلي ، خارجي ، ارتباط از راه دور و غيره بصورت يک معماري امنيتي 4 لايه تعيين مي گردد که عبارتند از[4]: 1 - امنيت زيرساخت که شامل پيکربندي دقيق تجهيزات شبکه است. 2 - امنيت ارتباطات که در آن با استفاده از فايروال ها، سيستمهاي IDS,IPS ، ضد ويروسها ، سرورهاي AAA، نرم افزارهاي مانيتورينگ، ثبت و تحليل رويدادها مي توان به تشخيص هويت و کنترل کاربران پرداخت. 3- امنيت سيستم ها که در آن با بهره گيري از پويشگرها ي امنيتي، آنتي ويروسها، IDS و IPS به ثبت و کنترل دسترسي کاربران به منابع پرداخته مي شود. 4- امنيت کاربردها که با بهره گيري از سيستمهاي IDS ، آنتي ويروس، پويشگر امنيتي و فيلترهاي محتوا بر دسترسي کاربران نظارت مي شود. 6-2 : الگوريتم جهت تهيه الگوي امنيتي شبکه با توجه به تنوع شبکه ها استفاده از الگوريتم ذيل در طرح الگوي امنيتي شبکه مفيد است. الگوريتم از مراحل ذيل تشکيل مي گردد: 1 - شروع 2 - در صورتي که شبکه موجود است به مرحله 10 برويد. 3 - نيازمنديهاي امنيتي را تعيين کنيد. 4- منابع راشناسايي کنيد. 5- مخاطرات مربوط به شبکه را تحليل کنيد. 6- راهکارهاي مقابله با مخاطرات را ارائه کنيد. 7- تجهيزات و امکانات امنيتي مناسب را تعيين نماييد. 8- سياستها و رويه هاي امنيتي را تدوين کنيد. 9 - سياستها و رويه هاي امنيتي اجرا کنيد. 10 - وضعيت موجود را بررسي کنيد. 11 - در صورتي که نيازمنديهاي سازمان تامين نشده است، به مرحله 3 برويد. 12 - در صورتي که نيازمنديهاي امنيتي شبکه تامين نشده است به مرحله 4 برويد. 13 - به مرحله 10 برويد. همانطور که ملاحظه مي شود اين الگوريتم يک الگوريتم گردشي است که به طور مداوم بايد براي شبکه هاي کامپيوتري اجرا گردد. 6- نتيجه گيري : از يک شبکه کامپيوتري، عوامل مهمي مانند نوع سيستم عامل، موجوديتها، منابع، برنامه هاي کاربردي، نوع خدمات و کاربران نقش مهم ومستقيمي در امنيت شبکه دارند. برقراري امنيت بصورت 100% امکان پذير نيست چرا که بعضي از عوامل از حيطه قوانين سيستمي خارج هستند، بعنوان نمونه کانالهاي مخابراتي هدايت ناپذير ( مثل امواج مخابراتي و ارتياط ماهواره اي) يا کاربران شبکه ( که هميشه از آموزشهاي امنيتي داده شده استفاده نمي کنند.). بنابراين الگوي امنيتي شبکه يک طرح امنيتي چند لايه و توزيع شده را پيشنهاد مي کند ]3[ به نحوي که کليه بخشهاي شبکه اعم از تجهيزات، ارتباطات، اطلاعات و کاربران را در برمي گيرد. در الگوي امنيتي ضمن مشخص کردن سياست امنيتي شبکه که در اصل در مورد اهداف امنيتي بحث مي کند، راهکارهاي مهندسي و پياده سازي امنيت نيز ارئه مي گردد و با آموزشهاي مختلف امنيتي و نظارت مداوم ، امنيت شبکه بطور مداوم ارزيابي مي گردد.

Hacker: به معنای نفوذگر . به شخصی که هدف اصلی او نشان دادن قدرت خود به کامپيوتر و ساير ماشين ها است وارد شدن به سيستم و يا شکست دادن محاسبات , کنجکاوی در اطلاعات محرمانه از خصوصيات يک هکر است . هکر يک برنامه نويس کنجکاو است که صدمه ای وارد نمی کند و حتی باعث تحکيم انتقالات می شود . هکر ها به چند گروه تقصيم می شوند :

1 - گروه نفوذگران کلاه سفيد ( White Hat Hacker Group ) اين گروه از هکرها در واقع همان دانشجويان و اساتيد هستند که هدفشان نشان دادن ضعف سيستم های امنيتی شبکه های کامپيوتری می باشند اين گروه به نام هکرهای خوب معروف هستند . اين دسته نه تنها مضر نيستند بلکه در تحکيم دايواره حفاظتی شبکه ها نقش اساسی دارند کلاه سفيد ها داری خلاقيت عجيبی هستند معمولا هر بار با روش جديدی از ديواره امنيتی عبور می کنند .

2 - گروه نفوذگران کلاه سياه ( Black Hat Hacker Group ) نام ديگر اين گروه Cracker است. کراکرها خرابکار ترين نوع هکرها هستند . اين گروه به طور کاملا پنهانی اقدام به عمليات خراب کارانه می کنند . کلاه سياه ها اولين چيزی که به فکرشان می رسد نفوذ به سيستم قربانی است کلاه سياه ها همه ويروس نويسند و با ارسال ويروس نوشته شده خود بر روی سيستم قربانی به آن سيستم نفوذ پيدا می کند درواقع يک جاسوس بر روی سيستم قربانی می فرستند . هميشه هويت اصلی اين گروه پنهان است .

3 - گروه نفوذگران کلاه خاکستری ( Gray Hat Hacker Group ) نام ديگر اين گروه Whacker می باشد هدف اصلی واکر استفاده از اطلاعات ساير کامپيوترها به مقصود مختلف می باشد و صدمه ای به کامپيوتر ها وارد نمی کنند . اين گروه کدهای ورود به سيستم های امنيتی را پيدا کرده و به داخل آن نفوذ می کنند اما سرقت و خراب کاری جز کارهای کلاه خاکستری نيست . بلکه اطلاعات را در اختيار عموم مردم قرار می دهند . در سال ۱۹۹۴ يک هکر ژاپنی به سايت Nasa امريکا نفوذ پيدا کرد و تمامی اسناد محرمانـه متعلق به اين سازمان را ربود و به طور رايگان بر روی اينترنت در اختيار عموم قرار داد .

4 - گروه نفوذگران کلاه صورتی ( Pink Hat Hacker Group ) نام ديگر اين گروه Booter می باشد . بوتر ها افرادی لوس و بی سودی هستند که فقط قادرند در سيستمها اخلال بوجود آورند و يا مزاحم ساير کاربران در سالنهای چت شوند. کلاه صورتی ها اغلب جوانان عصبانی و جسوری هستند که ازنرم افزارهای ديگران استفاده می کنند و خود سواد برنامه نويسی ندارند. ولی در بعضی مواقع همين هکرهای کم سواد می توانند خطرهای جدی برای امنيت باشند. ... بسياری از هکرها انسانهای هستند که خود را بسيار آزاد می داند و قصد دارند خود را در دنيای ديگر بر تر سازند.

هيچ کس نمی تواند قدرت هکرها را در نفوذ به سيستمها ناديده بگيرد...

ترمينولوژی (اصطلاح‌شناسی)
_______________________

- Hacker کيست ؟
هکر کسی است که با سيستم های کامپيوتری آشناست و می‌تواند با روش‌هايی خاص (بدون اجازه) وارد آنها شود... اين انسان می‌تواند خوب يا بد باشد ( در هر حال هکر است )

- سوال: يک هکر از چه راهی وارد يک سيستم می‌شود؟
از راه شبکه (نه بابا ! )
بايد توجه کنيد که هر سيستم کامپيوتری (به عبارت بهتر هر سيستم عامل) به هر حال محصول کار تعدادی انسان است و حتما دارای تعدادی bug (خطاهايی که بعد از ارائه محصول به بازار به تدريج کشف می‌شوند) خواهد بود. بعد از اينکه يک باگ مشخص شد، شرکت ها نرم‌افزارهايی را به‌سرعت (در عرض چند ساعت ) ايجاد می‌کنند تا مشکل رفع شود اين‌ها را patch می‌گويند. و بعد مديران شبکه (Wbemasters) در عرض چند روز تا چند سال (آين آخری در مورد ايرانه) آنها را download کرده و مشکل را حل می‌کنند. در اين فاصله هکرها دمار از روزگار اين سايت‌ها در می‌اورند...

- تعريف چند اصطلاح:

*** Hacker واقعی = سامورايی :
کسی که هدفش از نفوذ به سيستم‌ها نشان دادن ضعف سيستم‌های کامپيوتری است نه سوءاستفاده ...

*** Wacker (واکر):
کسی که هدفش از نفوذ به سيستم‌ها، استفاده از اطلاعات آن سيستم‌هاست (جرو هکر‌های کلاه‌ سياه )

*** Cracker (کراکر):
کسی که هدفش از نفوذ به سيستم‌ها، خرابکاری و ايجاد اختلال در سيستم‌های کامپيوتری است. (جرو هکر‌های کلاه‌ سياه )

*** Preaker :
از قديمي‌ترين هکرها هستند که برای کارشان نياز (و دسترسی) به کامپيوتر نداشتند و کارشان نفوذ به خطوط تلفن برای تماس مجانی، استراق‌سمع و ... بود. اين جزو آموزش من نيست چون کار درستي نيست !؟!



تقسيم‌بندی

- انواع کامپيوتر‌های شبکه:
=> کامپيوترهای Server : کامپيوترهايی که کارشان تامين اطلاعات در شبکه است، مثلآ کامپيوترهايی که سايت‌ها را نگه می‌دارند.
=> کامپبوتر‌های Client : کامپيوترهايی که استفاده کننده هستند مثل همين کامپيوتر خودتان که داريد ازش کار می‌کشيد.


- انواع سيستم‌ عامل‌هايی که Server ها از آن استفاده‌ می‌کنند:

=> سيستم‌های فعلی:
* خانواده Unix (مثل FreeBSD , Linux )
* خانواده Windows (مثل WinNT, Win2000 )
* Sun Solaris
* OsMac
=> سيستم‌های قديمی (منقرض شده - آخيش ! ):
AIX, IRIS, DEC10, DEC20 , ...


- سوال: کدام‌ها را بايد ياد گرفت؟
Win2000, Unix(Linux) را بايد ياد بگيريد. پيشنهاد من اين است که Win2000و RedHat Linux را روی کامپيوتر خود همزمان داشته باشيد.



زنگ ‌تفريح

- تقسيم بندی من برای هکر ها:

۱- جوجه‌هکرها (احمق کوچولوها):
توانايی‌ها: بلدند از Sub 7 , 187 استفاده کنند و فکر کنند ديگه همه‌چی رو ياد گرفته‌اند !

۲- خروس‌هکر‌ها يا مرغ‌هکرها (احمق‌های بزرگتر):
توانايی‌ها: Mail Box را هم می‌توانند Bomb کنند ... ماشاءالله !

۳- هکرهای قابل‌احترام ( مثل خود شما):
دارند ياد می‌گيرند و هنوز ۲،۳ سال کار دارند.

۴- هکرهای پيش‌کسوت:
ديگه آفتاب لبه بومه ... هکرهای قابل احترام را دوس دارند ...



Command Prompt چيست؟

در بسياری از درس‌های آينده از Command Prompt (خط فرمان) ويندوز استفاده خواهيم کرد. برای باز کردن آن يکی از روش‌های زير را به کار بريد:

۱- مسير زير را در ويندوز طی کنيد:
Start > Programs > Accessories > Command Prompt
۲- در قسمت Run بنويسيد: command يا cmd



FAQ

- چه چيزهايی را بايد داشته باشم تا شروع کنم؟

۱- Win2000 , Linux را روی کامپيوتر خود نصب کرده و شروع به يادگيری کنيد.
۲- شروع به يادگيری زبان C کنيد.
۳- شروع به يادگيری TCP/IP کنيد. (يک کتاب بخريد )
۴- مهمترين چيز علاقه به طی کردن يک راه بسييييييار طوووووولانی...

با آمدن رايانه هاي جديد افراد بسياري تمايل به خريد آنها پيدا مي کنند پس از خريد يک رايانه جديد و سريعتر مدل قديمي رايانه در گوشه اي انداخته ميشود .بعضي از اشخاص از رايانه هاي لپ تاپ استفاده مي کنند و مي خواهند آن را با رايانه شخصي شبکه کنند .وصل کردن دو رايانه به هم از ساده ترين مباحث شبکه به حساب مي آيد .پس از ساخت شبکه علاوه بر امکان انتقال اطلاعات از اين طريق شما مي توانيد از يک امکان لذت بخش ديگر نيز استفاده کنيد . با شبکه شدن دو رايانه شما مي توانيد بازيهاي مختلفي را تحت شبکه خانگي خودتان بازي کنيد و از آن لذت ببريد .براي شبکه کردن دو رايانه شما احتياج به سخت افزار شبکه روي هر دو سيستم و به مقدار لازم کابل شبکه داريد.بساري از مادربورد هاي جديد خودشان داراي پورت شبکه هستند .اما اگر مادربورد شما داراي سخت افزار شبکه نيست بايد کارت شبکه را براي هر دو سيستم تهيه کنيد انواع معمولي کارت هاي شبکه قيمت هاي بسيار مناسبي دارند و ... در تمام فروشگاهها نيز پيدا مي شوند .به جز کارت شبکه شما بايد به اندازه فاصله دو رايانه کابل شبکه خريداري کنيد در موقع خريد اري کابل شبکه بايد حتما به فروشنده گوشزد کنيد که کابل را براي اتصال تنها دو رايانه مي خواهيد. اين مساله باعث مي شود که فروشنده براي نصب فيشهاي دو سر کابل رشته هاي آن را به نحو خاصي که مخصوص اتصال دو رايانه است دو رايانه است مرتب کند . حتما مي دانيد براي شبکه کردن بيش از دو رايانه احتياج به سخت افزارهاي ديگري مثل سيستم ارتباط مرکزي يا هاب HUB نياز مي باشد .نحوه چيده شدن رشته هاي کابل شبکه براي اتصال به HUB و شبکه کردن بيش از دو رايانه متفاوت مي باشد. پس از خريد اين وسايل حالا بايد شما کارتهاي شبکه را روي سيستم ها نصب کنيد اين کارتها معمولا با استفاده از درايورهاي خودشان به راحتي نصب مي شوند بعد از نصب کارت هاي شبکه در قسمت Network Connections ويندوز شما گزينه اي با عنوان Local Area Connections اضافه مي شود حالا کابل را به کارت هاي شبکه دو رايانه وصل کنيد و هر دو رايانه را تحت ويندوز XP روشن نماييد .در اين مرحله براي درست کردن شبکه روي گزينه MY Computer هر دو رايانه کليک راست کرده و گزينه Properties را انتخاب نماييد. حالا به قسمت Computer Name برويد هر دو رايانه بايد داراي Workgroup يکساني باشند .براي يکسان کردن آنها روي گزينه Change کليک کرده و سپس اسمي را براي Workgroup هر دو رايانه وارد نماييد.حتما دقت نماييد که Computer Name هاي هر دو رايانه بايد متفاوت باشد . حالا روي هر دو رايانه به قسمت Network Connections برويد و روي Local Area Connections کليک کنيد و Properties را انتخاب کنيد و در پنجره باز شده دنبال خطي با عنوان Protocol TCP/internet بگرديد اين خط را انتخاب نموده و روي گزينه Properties کليک نماييد معمولاگزينه Obtain Automatically an ip Address به عنوان پيش فرض انتخاب شده است .شما گزينه Use The Following ip Address را انتخاب کنيد ، در قسمت ip Address يکي از رايانه IP را 192.168.0.1 و در رايانه ديگر 192.168.0.2 وارد نموده ، در قسمت Subnet Mask هر دو رايانه اين مقدار را وارد نماييد : 255.255.255.0 حالا ديگر کار شبکه شدن رايانه ها تمام شده است هر دو رايانه را براي اطمينان مجددا راه اندازي کنيد . به یاد داشته باشید که درايو ها و پوشه هايي را که مي خواهيد در هر رايانه روي شبکه قرار بگيرد را بايد Share کنيد براي اين کار : روي درايو ها و پوشه ها کليک راست کرده و گزينه Properties را انتخاب کنيد در قسمت Sharing اين پنجره شما بايد گزينه share this folder را انتخاب کنيد .