مشاهده نسخه کامل
: masoud79
23-12-2010, 10:42
از اولین نشانه های وجود آلودگی در غالب سیستمها ، عدم دسترسی کاربر به ابزارهای مهم مدیریت سیستمی نظیر Task Manager و یا ویرایشگر رجیستری Registry Editor و ... میباشد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در حقیقت یک ویروس خوب !!! باید بتواند به محض امکان کنترل سیستم ، دسترسی کاربر را به taskmgr.exe ، regedit.exe ، cmd.exe و msconfig.exe محدود نماید چرا که کاربران خبره حتی در صورت عدم دسترسی به ابزارهای پاک کننده و آنتی ویروس میتوانند توسط ابزارهای فوق و با اندکی تجربه و دقت ، موتور اصلی آلودگی را متوقف نموده و سرانجام آن را از سیستم پاک نمایند .
یک کاربر با تجربه میتواند با استفاده از Task Manager سرویسهای جدید و ناشناخته را Kill Task غیر فعال نماید . با استفاده از msconfig میتواند Startup ویندوز را مشاهده و موارد اضافه شده به آن را حذف نماید و نیز بسیاری از کاربران حرفه ای میتوانند توسط regedit نقاط حساس رجیستری ویندوز را از وجود کلیدهای مربوط به آلودگی پاک نمایند .
همچنین بسیاری از آلودگی ها با غیر فعال کردن Folder Option مانع مشاهده فایلهای Hidden و فایلهایی با مشخصه سیستمی میگردند .
اغلب ویروسها و بدافزارها به دو صورت مانع استفاده از ابزارهای نامبرده میگردند :
-- نخست از طریق ایجاد تغییرات در رجیستری ویندوز
این روش که ساده ترین روش میباشد توسط اکثر بدافزارها مورد استفاده قرار میگیرد و در طی آن با تغییر کوچکی در رجیستری استفاده از ابزار سیستمی محدود گردیده و در صورت وجود تقاضا برای استفاده از آن با پیغام :
disabled by your administrator ..... روبرو میشویم . و چون دسترسی به خود رجیستری و Group Policy نیز محدود گردیده راهی برای بازگرداندن آن موجود نمیباشد .
--در روش دوم بدافزار با خراب کردن فایل اصلی ابزار مورد نظر و یا حذف سرویسهای مورد نیاز برای اجرای ابزار مورد نیاز ، به طور بسیار اساسی و عمیق دسترسی به آن ابزار را محدود مینماید . این روش بسیار خطرناکتر بوده به طوری که گاه حتی پس از پاک سازی سیستم نیز امکان استفاده مجدد از ابزارهای کنترل سیستمی را نخواهیم داشت.
هنوز ویروس و یا آلودگی خاصی شناسایی نگردیده است که به صورت ذاتی سرویسهای نامبرده را غیر فعال نماید بلکه در اکثریت غریب به اتفاق موارد ، شناسایی هر سرویس به صورت مشخص و با شناسایی نام و یا سایر مشخصات آن صورت میگیرد. این خصوصیت به ما این امکان را میدهد که در صورت غیر فعال شدن هر کدام از ابزارهای کنترل سیستمی ، از ابزارهای مشابه ( و گاه با قابلیتهای بیشتر ) که توسط موتور آلودگی شناخته نمیگردد استفاده نماییم .
جهت استفاده در مواقع اضطراری و موقعیتهای بحرانی عدم دسترسی به ابزارهای مهم سیستمی در ویندوز میتوانیم از ابزارهای جایگزین ذیل به خوبی استفاده نماییم .
نرم افزار جایگزین taskmgr.exe :
Proces***plorer نرم افزار Potable ، رایگان و زیبایی میباشد که به خوبی میتواند کلیه وظایف ابزار مدیریت Task در ویندوز را بر عهده گیرد . همچنین در این ابزار علاوه بر امکانات استاندارد ویندوز نظیر امکان حذف Process خاص و درصد استفاده هر Task از CPU و ... ، امکانات دیگری مانند یافتن Hamdle به DLL خاص ویا جستجو آنلاین در مورد هر کدام از Task های در حال اجرا در نظر گرفته شده است
نرم افزار جایگزین msconfig.exe
پس از Task Manager مهمترین هدف اکثر بدافزارها Startup ویندوز میباشد چرا که در صورت عدم نفوذ در Startup پس از اولین Restart اجرای آلودگی متوقف گشته و سیستم به حالت نرمال باز میگردد.
جهت دسترسی به Startup و حذف عوامل نامطلوب از آن میتوان از نرم افزار Autoruns استفاده نمود که امکان مدیریت بسیار عالی را بر کلیه آیتمهای موجود در Startup فراهم میکند .
Autoruns علیرغم حجم بسیار کم نرم افزاری کاملا حرفه ای میباشد که در 16 گروه مختلف طبقه بندی های متفاوتی را از اجرای کلیه Task های برنامه ریزی شده در Startup ارائه دهد . دسته بندی فوق شامل موارد زیر میباشد :
Logon , Explorer , Internet Explorer , Services , Drivers , Scheduled Tasks , AppInit DLLs , Boot Execute , Image Hijacks , Known DLLs , Winlogon Notifications , Winsock Providers , LSA Providers , Printer Monitor
Drivers , Sidebar
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نرم افزار جایگزین Command Prompt :
نرم افزار gs.exe نرم افزار کاملا Portable و بسیار کم حجمی میباشد که میتواند دقیقا جایگزین cmd.exe در ویندوز گردد . نرم افزار نیازمند توضیح زیادی نمیباشد جز اینکه به دلیل دوری از خطرات احتمالی نام آن دقیقا با کلماتی متمایز از نرم افزار ویندوز انتخاب گردیده است.
نرم افزار جایگزین Registry Editor :
بدون دسترسی به رجیستری امکان هیچ تغییر اساسی در ویندوز موجود نمیباشد کاربران با تجربه به سهولت میتوانند توسط ویرایشگر regedit رد پای اکثر آلودگی ها را در رجیستری یافته و پاک نمایند . به همین دلیل هم غیر فعال کردن دسترسی به رجیستری درچارت عملیاتی بیشتر بد افزارها برنامه ریزی شده است .
RegAlyzer میتواند جایگزین مناسب و کاملی جهت regedit.exe ویندوز باشد . این نرم افزار بر پایه نرم افزار آنتی اسپای ور معروف SpyBot توسعه یافته و علاوه بر کلیه امکانات نرم افزار ویندوز امکانات چندی را نیز افزون بر آن ارائه نماید نرم افزار رایگان ولی نیازمند نصب میباشد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
علاوه بر چهار ابزاری که در بالا شرح آن رفت این مجموعه حاوی چند ابزار کوچک دیگر نیز میباشد :
- توسط Isreset.exe میتوان تنظیم فایلها و پوشه ها را به حالت پیش فرض آن بازگرداند.
- با اجرای NoAutoRun.reg میتوان کلیه آیتمهای موجود در مسیر :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
رجیستری را از Startup حذف نمود .
- RunScanner.exe یک برنامه کامل و Portable میباشد که میتواند با جستجو در Program Files و System32 کلیه Process های اجرایی اتوماتیک را یافته و نمایش دهد . همچنین امکان بررسی امنیتی هر کدام از آنها به صورت آنلاین و مطابق نظر نرم افزار موجود میباشد .
- FreeCommander نرم افزار Portable و رایگانی میباشد که توسط آن میتوان نقل و انتقال فایلها را از پوشه ها و درایوهای مختلف به یکدیگر با سرعت و دقت مناسب صورت داد.
مجموعه ابزارهای ذکر شده میتواند در صورت بروز آلودگی ، توسط یک کاربر خبره به عنوان یک عامل بازدارنده و موثر به خاتمه آلودگی کمک نماید .
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در حقیقت یک ویروس خوب !!! باید بتواند به محض امکان کنترل سیستم ، دسترسی کاربر را به taskmgr.exe ، regedit.exe ، cmd.exe و msconfig.exe محدود نماید چرا که کاربران خبره حتی در صورت عدم دسترسی به ابزارهای پاک کننده و آنتی ویروس میتوانند توسط ابزارهای فوق و با اندکی تجربه و دقت ، موتور اصلی آلودگی را متوقف نموده و سرانجام آن را از سیستم پاک نمایند .
یک کاربر با تجربه میتواند با استفاده از Task Manager سرویسهای جدید و ناشناخته را Kill Task غیر فعال نماید . با استفاده از msconfig میتواند Startup ویندوز را مشاهده و موارد اضافه شده به آن را حذف نماید و نیز بسیاری از کاربران حرفه ای میتوانند توسط regedit نقاط حساس رجیستری ویندوز را از وجود کلیدهای مربوط به آلودگی پاک نمایند .
همچنین بسیاری از آلودگی ها با غیر فعال کردن Folder Option مانع مشاهده فایلهای Hidden و فایلهایی با مشخصه سیستمی میگردند .
اغلب ویروسها و بدافزارها به دو صورت مانع استفاده از ابزارهای نامبرده میگردند :
-- نخست از طریق ایجاد تغییرات در رجیستری ویندوز
این روش که ساده ترین روش میباشد توسط اکثر بدافزارها مورد استفاده قرار میگیرد و در طی آن با تغییر کوچکی در رجیستری استفاده از ابزار سیستمی محدود گردیده و در صورت وجود تقاضا برای استفاده از آن با پیغام :
disabled by your administrator ..... روبرو میشویم . و چون دسترسی به خود رجیستری و Group Policy نیز محدود گردیده راهی برای بازگرداندن آن موجود نمیباشد .
--در روش دوم بدافزار با خراب کردن فایل اصلی ابزار مورد نظر و یا حذف سرویسهای مورد نیاز برای اجرای ابزار مورد نیاز ، به طور بسیار اساسی و عمیق دسترسی به آن ابزار را محدود مینماید . این روش بسیار خطرناکتر بوده به طوری که گاه حتی پس از پاک سازی سیستم نیز امکان استفاده مجدد از ابزارهای کنترل سیستمی را نخواهیم داشت.
هنوز ویروس و یا آلودگی خاصی شناسایی نگردیده است که به صورت ذاتی سرویسهای نامبرده را غیر فعال نماید بلکه در اکثریت غریب به اتفاق موارد ، شناسایی هر سرویس به صورت مشخص و با شناسایی نام و یا سایر مشخصات آن صورت میگیرد. این خصوصیت به ما این امکان را میدهد که در صورت غیر فعال شدن هر کدام از ابزارهای کنترل سیستمی ، از ابزارهای مشابه ( و گاه با قابلیتهای بیشتر ) که توسط موتور آلودگی شناخته نمیگردد استفاده نماییم .
جهت استفاده در مواقع اضطراری و موقعیتهای بحرانی عدم دسترسی به ابزارهای مهم سیستمی در ویندوز میتوانیم از ابزارهای جایگزین ذیل به خوبی استفاده نماییم .
نرم افزار جایگزین taskmgr.exe :
Proces***plorer نرم افزار Potable ، رایگان و زیبایی میباشد که به خوبی میتواند کلیه وظایف ابزار مدیریت Task در ویندوز را بر عهده گیرد . همچنین در این ابزار علاوه بر امکانات استاندارد ویندوز نظیر امکان حذف Process خاص و درصد استفاده هر Task از CPU و ... ، امکانات دیگری مانند یافتن Hamdle به DLL خاص ویا جستجو آنلاین در مورد هر کدام از Task های در حال اجرا در نظر گرفته شده است
نرم افزار جایگزین msconfig.exe
پس از Task Manager مهمترین هدف اکثر بدافزارها Startup ویندوز میباشد چرا که در صورت عدم نفوذ در Startup پس از اولین Restart اجرای آلودگی متوقف گشته و سیستم به حالت نرمال باز میگردد.
جهت دسترسی به Startup و حذف عوامل نامطلوب از آن میتوان از نرم افزار Autoruns استفاده نمود که امکان مدیریت بسیار عالی را بر کلیه آیتمهای موجود در Startup فراهم میکند .
Autoruns علیرغم حجم بسیار کم نرم افزاری کاملا حرفه ای میباشد که در 16 گروه مختلف طبقه بندی های متفاوتی را از اجرای کلیه Task های برنامه ریزی شده در Startup ارائه دهد . دسته بندی فوق شامل موارد زیر میباشد :
Logon , Explorer , Internet Explorer , Services , Drivers , Scheduled Tasks , AppInit DLLs , Boot Execute , Image Hijacks , Known DLLs , Winlogon Notifications , Winsock Providers , LSA Providers , Printer Monitor
Drivers , Sidebar
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نرم افزار جایگزین Command Prompt :
نرم افزار gs.exe نرم افزار کاملا Portable و بسیار کم حجمی میباشد که میتواند دقیقا جایگزین cmd.exe در ویندوز گردد . نرم افزار نیازمند توضیح زیادی نمیباشد جز اینکه به دلیل دوری از خطرات احتمالی نام آن دقیقا با کلماتی متمایز از نرم افزار ویندوز انتخاب گردیده است.
نرم افزار جایگزین Registry Editor :
بدون دسترسی به رجیستری امکان هیچ تغییر اساسی در ویندوز موجود نمیباشد کاربران با تجربه به سهولت میتوانند توسط ویرایشگر regedit رد پای اکثر آلودگی ها را در رجیستری یافته و پاک نمایند . به همین دلیل هم غیر فعال کردن دسترسی به رجیستری درچارت عملیاتی بیشتر بد افزارها برنامه ریزی شده است .
RegAlyzer میتواند جایگزین مناسب و کاملی جهت regedit.exe ویندوز باشد . این نرم افزار بر پایه نرم افزار آنتی اسپای ور معروف SpyBot توسعه یافته و علاوه بر کلیه امکانات نرم افزار ویندوز امکانات چندی را نیز افزون بر آن ارائه نماید نرم افزار رایگان ولی نیازمند نصب میباشد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
علاوه بر چهار ابزاری که در بالا شرح آن رفت این مجموعه حاوی چند ابزار کوچک دیگر نیز میباشد :
- توسط Isreset.exe میتوان تنظیم فایلها و پوشه ها را به حالت پیش فرض آن بازگرداند.
- با اجرای NoAutoRun.reg میتوان کلیه آیتمهای موجود در مسیر :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
رجیستری را از Startup حذف نمود .
- RunScanner.exe یک برنامه کامل و Portable میباشد که میتواند با جستجو در Program Files و System32 کلیه Process های اجرایی اتوماتیک را یافته و نمایش دهد . همچنین امکان بررسی امنیتی هر کدام از آنها به صورت آنلاین و مطابق نظر نرم افزار موجود میباشد .
- FreeCommander نرم افزار Portable و رایگانی میباشد که توسط آن میتوان نقل و انتقال فایلها را از پوشه ها و درایوهای مختلف به یکدیگر با سرعت و دقت مناسب صورت داد.
مجموعه ابزارهای ذکر شده میتواند در صورت بروز آلودگی ، توسط یک کاربر خبره به عنوان یک عامل بازدارنده و موثر به خاتمه آلودگی کمک نماید .
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید