murat kırbıyık !!!herşeyi bilmene gerek yok haddini bil yeter!!! Sende Güzel Bir Söz Ekle
AnasayfaFlash ŞiirlerForumlarDuygusal KliplerGüzel SözlerSohbet GirişiŞiirler Sitede şuan 7 Kalp Atıyor
Sonsuzluk.Net :: Başlığı Görüntüle - 1. Start up Dosyaları :
Forum Anasayfası  •  Yardım  •  Forumlarda Ara  •  Bilgileriniz  •  Arkadaş Listeniz  •  İstatislikler 

1. Start up Dosyaları :

 
Yeni Başlık Gönder   Cevap Gönder    Sonsuzluk.Net Forum Ana Sayfası -> GÜVENLİK ve GÜVENLİK AÇIKLARI Sayfayı Yazdır
Yazar Mesaj

Black_Rose


Uzman



Kayıt: Aug 03, 2008


Mesajlar: 731


Yaş: 41


Cinsiyet:<b>Cinsiyet</b>:Bayan


Teşekkür Etti: 42


Teşekkür Edildi 41


81.50 Rep




Durum: Çevrimdışı




Seviye:24
 
0 / 1353
646 / 646
33 / 68



MesajTarih: 06 Arl Cmt, 2008 6:04 pm    Mesaj konusu: 1. Start up Dosyaları : Alıntıyla Cevap Ver


1. Start up Dosyaları :
Start up dosyaları bilgisayarınızın her açılışında sizin onayınız ve haberiniz olmaksızın otomatik olarak çalıştırılan dosyalardır. Antivirüs program paketlerinin shield programları, getright ya da netzip gibi download araçları, printer ya da scanner gibi donanımlarınızı yöneten programlar bu yöntemle çalıştırılmaktadır. Ancak bilgisayarınızda trojan ya da bazı pws (password stealer) programları bir defa bile çalıştırılsa kendilerine autostart özelliği kazandıracak bir dizi işlem yaparlar ve her açılışta aktif hale gelirler. Şimdi programların start up özelliği için sisteminizde ne tür değişiklikler yaptıklarını görelim. Programların kendilerini yazabilecekleri yerleri tanıttıktan sonra zararlı programları nasıl tanıyabileceğimizi açıklamaya çalışacağım.

Start up özelliği için en basit yöntem programın başlangıç (start up) klasörüne kısayolunu kopyalamasıdır. Bu klasör

C:\WINDOWS\Profiles\*oturum logininiz*\Start Menu\Programlar\Başlangıç

adresinde bulunur. Bu klasöre START menüsünden rahatlıkla ulaşabilirsiniz.

İkinci yöntem programın kendisini

C:\WINDOWS\

dizinine kopyalayıp windows un yapılandırma ayarlarını düzenleyen dosyalara kendisini yazmasıdır. Bu dosyalar windows klasörü altında yer alan WIN.INI ve SYSTEM.INI dosyalarıdır. Dosyalar ASCII modda olduklarından herhangi bir editör yardımıyla (notepad gibi) açılıp kolayca düzenlenebilirler. Aşağıda söz konusu iki dosyanın start up fonksiyonu için kullanılan bölümlerini görebilirsiniz.


[windows]
NullPort=None
DOSver=3D213E3C6D66
StartUp=3F70
load=
run= [boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
shell=Explorer.exe

WIN.INI ve SYSTEM.INI dosyalarının ilgili bölümleri

WIN.INI dosyasında run anahtarı, SYSTEM.INI de ise shell anahtarı start up sırasında çalıştırılacak dosya adını saklı tutar. SYSTEM.INI de Explorer.exe default olarak kayıtlı durumdadır. Yeni bir dosya eklendiğinde Explorer.exe'nin sağ tarafına yazılır.

Üçüncü yöntem programın windows dizinine kopyalandıktan sonra register anahtarlarını kullanarak autostart özelliği almasıdır. Windows register'ı işletim sisteminin ve install edilen program kayıtlarının ve bazı yapılandırma ayarlarının saklı tutulduğu bir yapıdır. Bilgisayarın isminden, faks için kullanılan telefon numarasına kadar bütün bilgilere buradan erişip değişiklik yapmak mümkündür. Register'ı düzenlemek için windows dizini altında yer alan REGEDIT.EXE programını kullanabilirsiniz. Programlar autostart özelliği almak için registry'de çoğunlukla

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\App s\ICQ]

Anahtarlarını kullanırlar. Sisteminizin söz ettiğimiz bölümlerinde birçok program dosyası kayıtlı durumdadır. Bu dosyalar arasından zararlı olanları ayırabilmek biraz dikkat ve birikim ister. Sizlere kolaylık olması açısından normal ve zararlı dosyalar için örnekler vermeye çalışacağım.

Casus programların registry'de aldıkları isimler programı konfigüre eden kişilerin isteğine göre değişebilir bu nedenle standart bir liste vermek mümkün değildir. Fakat yine de Türkiye'de sık kullanılan trojan serverlarının sisteme yerleştikten sonra default olarak aldıkları isimleri açıklamakta fayda görüyorum.

- systray.dl
- systray.exe (system klasöründeki değil)
- msrexe.exe
- grcframe.exe
Sisteminizde şüpheli bir dosya bulunuyorsa (şüpheli dosyalar konusunu birazdan açıklamaya çalışacağım) ve o dosyanın ismi de start up dosyalarınız arasında yer almışsa, söz konusu dosya şüpheli olmaktan çıkmış ve bilgisayarınızdaki verileri başkalarının hizmetine sunmaya başlamış demektir..

(¯`·._.·[Sonsuzluk.Net İmza Alanı]·._.·´¯)


PİŞMANIM...!!! Senide İnsan Sanıp Saçmaladım...
Başa dön
Kullanıcı profilini gör Özel mesaj gönder MSN Messenger
Yeni Başlık Gönder   Cevap Gönder   Sayfayı Yazdır
1. sayfa (Toplam 1 sayfa)


 
Forum Seçin:  
Bu forumda yeni konular açamazsınız
Bu forumdaki mesajlara cevap veremezsiniz
Bu forumdaki mesajlarınızı değiştiremezsiniz
Bu forumdaki mesajlarınızı silemezsiniz
Bu forumdaki anketlerde oy kullanamazsınız
Bu foruma eklenti gönderemezsiniz
Bu forumdan eklenti indiremezsiniz


Powered by phpBB © 2006 phpBB Group

© Tasarım ibrahim Demircan

Resmi Facebook Sayfamıza Girmek İçin Tıklayın

[ Forum Arşivi | Sitemap | Forum PDA | Alt Yapı : Php-Nuke - Belediye Forumu - Teknik Servis Yazılımı ]