folder Tahribat.com Forumları
linefolder Virüs - Trojan - Keylogger - BotNet
linefolder Virüsler Ve Trojanların Gizlendiği Yerler



Virüsler Ve Trojanların Gizlendiği Yerler

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    diamonique
    diamonique's avatar
    Banlanmış Üye
    Kayıt Tarihi: 23/Temmuz/2009
    Erkek

    Virüsler ve Trojanların Başlangıç Sırasında Gizlendiği Yerler

    1) Başlangıç Klasörü: Windows, Başlat Menüsü’nün Başlangıç Klasörü’ndeki her öğeyi açmaktadır. Bu dosya, Başlat Menüsü’nün Programlar kısmındaki dikkati çeken bir klasördür.

    Windows’un Başlangıç Klasörü’nde bulunan her programı çalıştırdığını söylemediğime dikkat edin. Windows buradaki her öğeyi açmaktadır. Burada önemli bir fark vardır.

    Başlangıç Klasöründeki programlar tabii ki çalışacaktır. Ama Başlangıç Klasörü’nde kısayol olarak program değil de dökümanlar da bulundurabilirsiniz.

    Örneğin, Eğer Başlangıç Klasörü’ne Microsoft Word belgesi koyarsanız, Word, bu dökümanı makineniz açıldıktan sonra otomatik olarak çalıştıracaktır. Eğer oraya bir Wav dosyası koyarsanız, audio yazılımınız otomatik olarak çalışacaktır ve eğer favori web sitenizi koyarsanız, Internet Explorer veya seçtiğiniz tarayıcı, bilgisayarınızı başlattığınızda otomatik olarak bu web sayfasını açacaktır.

    2) Registry: Windows, registrydeki Çalıştır bölümünde bulunan tüm yönergeleri çalıştırır. Çalıştır bölümünde(ve aşağıda sıralanan diğer registry bölümlerinde) bulunan öğeler program veya başka programların açtığı herhangi bir dosya olabilir.(1. Örnek)

    3) Registry: Windows, registrydeki “RunServices” bölümünde bulunan tüm yönergeleri çalıştırır.

    4) Registry: Windows, registrydeki “RunOnce” bölümünde bulunan tüm yönergeleri çalıştırır.

    5) Registry: Windows, registrydeki ” RunServicesOnce” bölümünde bulunan tüm yönergeleri çalıştırır.(Windows, programları çalıştırmak için 2 tane “RunOnce” bölümü kullanır.)

    6) Registry: Windows, registrydeki HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\command “%1″ %* bölümünde bulunan yönergeleri çalıştırır. Herhangi bir exe dosyası çalıştırılacağı zaman komutlar buraya yerleştirilir.

    Diğer Olasılıklar:

    [HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
    [HKEY_CLASSES_ROOT\\\\comfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
    [HKEY_CLASSES_ROOT\\\\batfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
    [HKEY_CLASSES_ROOT\\\\htafile\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\” %*”
    [HKEY_CLASSES_ROOT\\\\piffile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”
    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\batfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
    %*”
    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\comfile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
    %*”
    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\exefile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
    %*”
    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\htafile\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\”
    %*”
    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\piffile\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\”
    %*”

    Eğer anahtar, gösterildiği gibi “\\\\”%1\\\\” %*” değerine sahip değilse ve “\\\\”başkabirdosya.exe %1\\\\” %*” gibi farklılık gösteriyorsa, otomatik olarak o belirlenmiş dosyayı çağırıyordur.

    7) Toplu Dosya: Windows, Windows dosyasında bulunan Winstart toplu dosyasındaki tüm yönergeleri çalıştırır.(Bu dosya neredeyse tüm Windows kullanıcıları ve birçok Windows uzmanı tarafından bilinemez ve sisteminizde de olmayabilir. Ama çok kolay bir şekilde oluşturabilirsiniz. Windows’un bazı versiyonlarında Windows klasörünün “WinNT” adıyla bulunduğunu unutmayalım.) Dosyanın tam ismi “WINSTART.BAT” dır.

    8 ) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “RUN=” satırında bulunan tüm yönergeleri çalıştırır.

    9) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “LOAD=” satırında bulunan tüm yönergeleri çalıştırır.

    Windows aynı zamanda System.ini veya c:\\\\windows\\\\system.ini deki “shell=” satırında bulunan yönergeleri de çalıştırır.

    [boot]
    shell=explorer.exe C:\\\\windows\\\\dosyaismi

    Windows her ne zaman başlar ise,  explorer.exe yi takip eden dosya ismi de başlayacaktır.

    Win.ini’de olduğu gibi, dosya isimleri birbirinden önce bulunabilir. Normal olarak dosyaların tüm yolu, bu girişte bulunacak. Eğer bulunmuyorsa Windows dizinini kontrol edin.

    10) Yeniden Başlatma: Windows, bir uygulama yürütülürken o uygulamayı kapatırsa, yeniden o uygulamayı çalıştırır. Windows, Microsoft’a ait olmayan programlarda yeniden çalıştırma işlemini gerçekleştiremez. Ama Internet Explorer ve Windows Explorer ile bunu kolay bir şekilde yapacaktır. Eğer Internet Explorer’a sahipseniz; Windows’u sonlandırırken I.E’yi açın. Bilgisayarı yeniden başlattığınızda Windows, aynı sayfalarla Internet Explorer’ı yeniden açacaktır.(Eğer Windows makinenizde bu işlem gerçekleşmezse, bu özellik kapatılmış demektir. Microsoft Windows kullanıcı arayüz yönetim programı olan Tweak UI programını kullanın ve “Explorer Ayarlarını Hatırla” veya Windows versiyonunuzda nasıl isimlendirilmişse o özelliği aktif hale getirin.)

    11) Görev Zamanlayıcısı: Windows, Windows Görev Zamanlayıcısında(veya Görev Zamanlayıcısının yerine veya ona eklenen diğer Zamanlayıcılarda) bulunan autorun yönergeleri çalıştırır. Görev Zamanlayıcısı, ilk versiyon olan Windows 95 haricinde Windows’un tüm versiyonlarında resmi bir bölümdür ama eğer Windows 95’te Microsoft Plus Pack yüklüyse burada da bulunmaktadır.

    12) İkincil Yönergeler: Windows başlarken çalışan programlar, birbirinden bağımsız olarak çalışan ayrı programlardır. Teknik olarak bunlar Windows’un çalıştırdığı programlar değillerdir; ama temel programların hemen ardından çalışan sıradan programlarla sıklıkla karıştırılmaktadırlar.

    13) C:\\\\EXPLORER.EXE Metodu

    C:\\\\Explorer.exe

    Windows; ön yükleme yani açılış sırasında (genel olarak Windows dizininde bulunan) Explorer.exe’yi yükler. Ama eğer c:\\\\explorer.exe varsa, bu uygulama Windows explorer.exe yerine çalıştırılacaktır. Eğer c:\\\\explorer.exe bozuksa; kullanıcı, sisteminden dışarıda bırakılacaktır.

    Eğer c:\\\\explorer.exe bir trojan ise, çalıştırılacaktır. Birbirinden farklı diğer autostart metodları, herhangi bir dosyaya veya registry değişikliklerine ihtiyaç duymayacaktır. Dosya basit bir şekilde yalnızca c:\\\\explorer.exe olarak isimlendirilmelidir.

    14) İlave Metodlar

    İlave autostart metodları. İlk ikisi Trojan SubSeven 2.2 tarafından kullanılmaktadır.

    HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Active Setup\\\\Installed Components
    HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\explorer\\\\Usershell folders

    Icq Inet

    [HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\\\\Agent\\\\Apps\\\\test]
    “Path”=”test.exe”
    “Startup”=”c:\\\\\\\\test”
    “Parameters”=”"
    “Enable”=”Yes”

    [HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\\\\Agent\\\\Apps\\\\]

    Bu anahtar; eğer ICQNET herhangi bir internet bağlantısını saptarsa, tüm uygulamaların çalıştırılacağını belirler.

    [HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\ShellScrap] =”Scrap object”
    “NeverShowExt”=”"

    Bu anahtar, dosyaların belirlenmiş uzantılarını değiştirir.

    Kaynak: http://www.governmentsecurity.org/articles/Placesthatvirusesandtrojanshideonstartup.php

    Çeviri: diamonique

     

    Pdf şeklinde okumak isteyenler:

    http://www.scribd.com/doc/17775654/Virusler-ve-Trojanlarn-Gizlendii-Yerler

     


    Reecep Tayyip'in Askerleriyiz
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    legion_of_doom
    legion_of_doom's avatar
    Kayıt Tarihi: 04/Mayıs/2009
    Erkek

    çeviri için eline sağlık, ancak;

    ShaolinTiger isimli şahıs makaleyi çok eksik yazmış. Mesela ben yazdığım trojanı bazı exelerin üzerinden çalıştırabiliyorum. Örnek olarak explorer.exe yi vermiş ama oradaki kastı explorer.exe isimli bir virus yada trojan olması. Ama benim dediğim ise windowsun kendi explorer.exe si üzerinden dosya çalıştırmak, aynı şey userinit.exe içinde geçerli. yada svchost.exe.. bu exelere injeksiyon edilebiliniyor. (injeksiyondan kastım exenin kodlarıyla oynayıp yeniden compile edilmesi değildir)

    ayrıca şuan üstünde çalıştığım belirttiğim exeyi servis olarak çalıştırırsam nasıl bulacak bu adam? dediği hiçbir yerde exem görünmeyecek... taskmanegerda system olarak görülecek exe ve kapatmak istediğinde kritik işlem, taskamanger kapatamıyor bu işlemi diye hata verecek :) bunlar local olan servisler..

    dediğim gibi makale çok yetersiz.. zamanım olsaydı güzel bir makale hazırlamak isterdim..

    çeviri için tekrar teşekkürler.. arkadaşlara fikir verir en azından


    Biraz bilmek tehlikelidir. Ya derinliklerden iç ya da bilgeliğin tadını tatmaya kalkma! Çünkü sığ sular beyni zehirler, bol sular insanı temizler....-------------------pompey--------
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Mx0TBT
    Mx0TBT's avatar
    Kayıt Tarihi: 13/Haziran/2007
    Erkek
    Cok güzel makale arsivlik not saolasın

    Ölümlü dünya. Yasin 38. Ayet
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    poison_ivy
    poison_ivy's avatar
    Kayıt Tarihi: 23/Temmuz/2009
    Erkek
    hocam saolasın dogru ve güzel konu

    GOA/PSYCHEDELİC TRANCE
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Sigortacı
    DJ_Alper
    DJ_Alper's avatar
    Bilgi/Destek Madalyası
    Kayıt Tarihi: 03/Ocak/2006
    Erkek

    poison_ivy bunu yazdı:
    -----------------------------
    hocam saolasın dogru ve güzel konu
    -----------------------------

    kefili kim olum:)

    ben tahribata sakat adam alırmıyım hiç :)


    Sorularınızı cilginsigortaci@gmail.com a yazabilirsiniz cevaplar instagram sayfasında >>>instagram/cilginsigortaci/ █║▌│█│║▌║││█║▌║▌║
Toplam Hit: 1467 Toplam Mesaj: 5