آموزش نفوذ با sub 7


((به نام خدا))روشهاي هک با sub7

در ابتدا شما رو با چنتا اصطلاح آشنا مي کنم كه بعداً سر در گم نشيد :

آشنايي با  (ISP   (Internet Service Provider :

يعني تامين کنندة خدمات اينترنت . اداره يا شرکتي که اتصال اينترنتو براي من وشما و… فراهم ميکنه و البته همين کارتايي که منو شما مي خريمو استفاده مي کنيم.

 آشنايي با IP :

وقتي شما به اينترنت وصل مي شين يا اين که هر کامپيوتر به اينترنت وصل بشه يک آدرس منحصر به فردي داره که از اين طريق اين کامپيوتر از ميليونها کامپيوتره حاظر در اينترنت شناسايي  و تشخيس داده مي شه. به چنين آدرسي اصطلاحاً Ip Address ميگن . که شما نمونه اي ازشو مي بينيد:  213.218.25.36

تو مثال بالا مي بينيد که  IP از چهار قسمت تشکيل شده و هر قسمت با يه نقطه جدا شده و هر عدد بين ۰تا ۲۵۵ هست . (در آينده سه چهارتا روش براي پيدا کردن Ip به شما ياد ميدم. چون تقريباً بيشتر روشهاي هک با Ip Address هس)

 آشنايي با port :شمارة پورت عدديه که به شما امکان ارسال بسته هاي

IP رو به يک فرايند خواص مثل ارسال و دريافت اطلاعات ميده.

آشنايي با Trojan Horses :

Trojan Horses يا اسبهاي تروا برنامه هاي مخربي هستنند که بخش عمدة کار منو در اين وبلاگ به خودشون اختصاص دادن و عمدتاً به صورت يک بازي يا يک برنامة کاربردي يا برنامة خدماتي ظاهر مي شن .  

اين فايلها عمدتاً فايلهاي اجرايي ولي با يکي از پسوندهاي File.mp3.exe ظاهر مي شن .من تو اين بخش شمارو هم با دستور

ping آشنا ميکنم هم با روش پيدا کردن Ip سايتا.

يه راه سودمندي براي پيدا کردن IP ي هر آدرس URL اي وجود داره که فرمان سودمند Ping ه .اگه صبر کنيد مي فهميد که اين فرمان استفاده هاي ديگه اي غير از پيدا کردن آدرس

IP داره و منم در ادامه کار با بعضي از اين قابلييتهاي زياد (البته مفيد تريناشو) به هتون ياد ميدم.

آشنايي و کار با دستوره Ping ؟فرمان

ping بخشي از پروتکل   Iternet Control Message Protocol) ICMP)  هس که در اشکال زدايي شبکه هايي که تحت پروتکل TCP/IP کار مي کنه مورد استفاده قرار مي گيره .(اگر تا اينجا از حرفاي من سر در نيا وردين هيچ اشکالي نداره ، اينن چيزارو گفتم که اگه تو مجله و يا … به هش بر خورديد به مشکل بر نخوريد.)اما به زبون ساده تري بگم دستوره ping به شما اين امکانو ميده که بتونيد چک کنيد که کامپيوتري که تو اون لحظة خواص تو محيط شبکه اي (مثل شبکة جهاني اينترنت) حضور فعال داره يا نه.

به اين خاطر که اولين گام در هک کردن هر کامپيوتري در اينترنت کسب اطلاع از online بودن کامپيوتر ه پس فرمان ping يه فرمان کيليدي براي هکرهاست . هکرها ابتدا با اجراي فرمان ping يا به اصطلاح ping کردن به کامپيوتر از حضور کامپيوتر اطمينان حاصل ميکنن وبعد براي هک کردن سيستم قرباني خودشون اقدام مي کنن.شيوة کار با

ping در محيط DOS اجرا ميشه يا به اين شکل که وقتي شما اجراش کنيد يا به اصطلاح به کامپوتري ping ميکنيد کامپيوتر شما چهار بسته حاوي اطلاعاتو به کامپيوتر مورد نظر ارسال ميکنه ومنتظر ميشه تا در صورت online بودن کامپيوتر در اينترنت حداقل يکي از بسته هاي ارسالي برگشت داده و دريافت مشه.(البته در صورت online بودن هر چهارتا بسته برگشت داده ميشه)     

   براي روشن شدن بهتر غضيه براي شما تمرين زيرو انجام بدين:

۱)همونطور که گفتم فرمان ping تو محيط DOS ه .پس ما اول بايد به محيط DOS وارد شيم.براي رفتن به DOS مثل پايين عمل کنيد :

                                     Start——-> Programs > ——-> MS-DOS ۲)درحالت پش فرض

c:\\windows نوشته شده.

۳)به اينترنت وصل شيد . مثلاً من در اينجا پيدا کردن IP ه سايت ياهو رو بهتون ياد ميدم.براي پيدا کردن اين ip در محيط DOS فرمان روبرو رو بنويسيد:      ping yahoo.com  نيازي نداره که شما حتماً http:\\www بنويسيد . شما براي يا فتن ip هاي سايتهاي ديگه اسم سايت رو به جاي yahoo.com در بالا بنوي.

چه طوري مي تونيم آدرس ip ي فردي رو پيدا کنيم؟

اين يه سوال خيلي مهمه که بيشتر اوقات تو همون جلسة اول از من پرسيده مي شه.در واقع اين اولين گام براي هک بشمار ميره و اگه ندونيم آدرس ip يه فرد قرباني چيه نمي تونيم هکش کنيم.من بزودي چنتا روش عالي بهتون ياد ميدم پس نترسيد و پس خيالتون راحت باشه که شما يه گام از جويندگانه روشهاي هک جلو ترين به خاطر اينکه به جرات ميگم روشهايي که به بررسي يه اون مي پر دازم تو هيچ وبلاگي در مورد sub7 نيست.

قبل از شروع کار مي خوام شمارو با يه فرمان کيليديه ديگه آشنا کنم:

استفاده و کار با فرمان netstat :

فرمان netstat يکي ديگه از فرمانهايي يه که تحت DOS اجرا ميشه .با netstat ميشه هم ip ي خودمونو دراريم هم ip هاي ديگرانو (تو چت و …).حتي ميشه پورتهاي باز شده رو تو کامپيوتريمون تشخيص بديم(من بعداً در مورد پورت(port ) مفصلاً توضيح ميدم. فرمان netstat هم مثل هر فرمان ديگه تو DOS سويچهاي ديگري هم داره که عبارتند از: NETSTAT  [-a] [-e] [-n] [-s] [-p proto] [-r] [-inteveral]                                   

    کارايي هر کدام در زير به صورت مختصر هستش:

کارايي                                                                                                             سويچ           

1)تماميه پورتهايي که در وضعيت شنود (listenind) بسر ميبرند به                       1)   a  همراه بقيية اتصالات (connections) نشان ميدهد.     

2)آمار اترنت (Ethernet) را نشان مي دهد.                                                        2)   e

3)آدرس و اعداد پورتها را به فرم عددي نشان ميدهد.                                         3)   n

4)تماميه اتصالات (connections) مربوط به پروتکلي که توسط                           4) –p proto

proto مشخص شده را نشان ميدهد.5)تماميه محتويات جدول مسير يابي (

roting table) را نشان ميدهد.                  5)   r

6)آمار هر پروتکل را نشان ميدهد.در حالت پيش فرض آمار                                 6)   s– پروتکل هاي 

TCP , UDP , IP را نشان داده ميشوند. 

7)آمار انتخابي را مجدداً به نمايش در مي آورد.                                                7 ) interval

از تمام سوييچ هاي بالا فقط اوني که با رنگ ديگه مشخص شده (=[n]) براي هک کارايي بيشتري داره و منم به آموزشش و کاراييش مي پردازم.متذکر شم که تايپ درست netstat تو سوييچ بلا مثل روبروه : netstat -n .

من کار با netstat رو بهتون ياد دادم و بهتون گفتم چند حالت داره  پس الآن ميدونيد netstat چيه و همونطور که بهتون گفتم nestat يه حالت داره که براي ما خيلي مهمه و اونم netstat -n هستش .شما به اين فرمان براي پيدا کردن ip نياز دارين :خوب حالا يه تمرين با هم انجام بديم :(امروز نحوۀ کارشو و گزينه ها رو بهتون ميگم و جلسۀ بعد پيدا کردن ip رو):

خوب شما در محيط DOS فرمان netstat -n رو تايپ بعد براتون يه سري نوشته مياد که به طور مثال به شرح زيره:

Proto               Local Address                Foreign Address                  State

TCP       215.175.136.226:1026     216.13.169.145:5050   ESTABLISHED

من در اينجا در مورد گزينه هاي بالا يه کم توضيح بدم :

Porto  :معرف نام پروتکلي است که مورد استفاده قرار مي گيرد – پروتکل(protocol) مجموعه اي از قواعدي را گويند که کامپيوتر ها از طريق آنها با هم ارتباط بر قرار مي کنند و صحبت مي کنند، اگه بالا رو نگاه کنيد مي بينيد که پروتکل استفاده شده TCP هستش .يک دستۀ دگر هم از پروتکل ها هست که UDP ناميده مي شه و مورد استفادۀ آن به اندازۀ TCP نبوده و شما کمتر با هاش رو برو شدين.

Local Address :در اين قسمت آدرس ipي کامپيوتر شما رو نشون ميده براي مثال در بالا در زير Local  Address شماره هاي 215.175.136.226:1026 اومده و ip باز شده روي کامپيوتر من بوده و پورت باز شده هم 1026بوده.اينگونه پورتها به صورت تصادفي باز ميشن وتا از طرق آن با دنيا ارتباط برقرار کنيم(بزودي در مورد پورتها مفصلاً صحبت مي کنيم)

Foreingn Address : در اين قسمت آدرس Ipي کامپوتر طرف مقابل ذکر ميشه براي مثال اگر نگاه کنيد آدرس ipي کامپيوتر راه دور من 216.13.169.145:5050 اعلام شد.در اينجا هم مثل قبل 216.13.169.145 ip بوده و 5050 پورت اعلام شده.

State :اين بخش وضعيت خط اتصال (connection) اعلام مي شود.يک اتصال حلالت مختلفي ميتونه داشته باشه که من تو جدول زير توضيح ميدم.

وضعيت

به معناي آن است که

 CLOSED

هيچ اتصالي ميان کامپيوتر شما و کامپيوتر راه وجود ندارد.

 CLOSING

کامپيوتر شما و کامپيوتر راه دور موافق هستندتا اين اتصال خاتمه يابد.

 CLOSE WAIT

کامپيوترراه دور اقدام به بستن اتصالش با شما کرده است.

 ESTABLISHED

اتصال پايداري بر قرار است.

 

 

 

 

آموزش هک به وسيله نرم  افزار sub seven

 شروع: فايل edit server را اجرا كنيد .
ان را در حالت
normal يعني گزينه دوم اجرا كنيد .
در قسمت
server setting به port كاري نداشته باشيد.
در قسمت
password و re_enter password مي توانيد براي سرورتان password بذاريد .
در قسمت
viktim name نام قرباني را انتخاب كنيد.گزينه protect password و re_enter password را مانند بالا پر كنيد .
گزينه
use random port و melt server ofter installation را فعال كنيد . همچنين گزينه specify را فعال كنيد و زيرش بنويسيد
win.ini .startup methods

تمام گزينه هاي اين صفحه را فعال كنيد و در قسمت key name بنويسيد notifications. win.ini
در اين قسمت بر روي
add e_mail notify كيليك كنيد و ايميل خود را بنويسيد .
binded failes
در اين قسمت مي توانيد يك فايل به سرور بچسبانيد .
plugins
بر روي
add binded plugin كيليك كنيد و در قسمتplugins يك plugin كه ممكن است مخفي باشد انتخاب كنيد .
restrictions
گزينه
enable filter.allowed features را فعال كنيد .
e_mail
3 گزينه را علامت بزنيد و در هر 3 جا ادرس ايميل خود را بنويسيد .
exe icon/other
در اين قسمت در
configure error message مي توانيد يك error گمراه كننده انتخاب كنيد .در قسمت پايين هم مي توانيد ايكن را تغيير دهيد .
سپس
save as را زده و سيو كنيد .

 

 

 

 

 

اموزش هك با Sub Seven

ابتدا روي فايل
server.exe راست كليك كنيد و تيك جلوي read only را خارج كنيد.بعد فايلedite serverرا اجرا كنيد.در قسمت start up فايل win.ini را نتخاب كنيد.
browse را بزنيد از انجا server.exe انتخاب نماييد.روي read current setting كليك كنيد.در قسمت notify ادرس ايميل خود را وارد كنيد.بهتر است اين ادرس ادرس ايميل اصلي شما نباشد.ميتوانيد يك ايميل فقط براي اين كار بسازيد در قسمت server بايد ادرس سرور ايميل را بنويسيد.مثلا براي ياهو بايد بنويسيد mail.yahoo.com
.در قسمت
user id هم كد كاربري را وارد نماييد.سپس تيك جلوي enable e_mail را فعال كنيد.
ميتوانيد از قسمت
change server icon يك ايكون براي گول زدن فرد تايين كنيد مثلا ميتوانيد ايكون شكل يك عكس را انتخاب كرده و براي طرف به عنوان عكس بفرستيد.
در قسمت
vactim name نام كامپيوتر فرد را بنويسيد(اين نام ميتواند هر نامي كه دوست داريد باشد و فقط جنبه شناسايي براي شما دارد).حال save new setting را بزنيد.
شما بايد اين فايل را به هر طريق براي شخص بنويسيد مثلا از طريق چت به عنوان اهنگ يا عكس(دقت كنيد كه شكل ايكوني كه انتخاب ميكنيد در اين كه شخص ان را باز كند تاثير دارد)
وقتي شخص ان را اجرا كند يه ايميل به ادرسي كه قبلا ثبت كرديد فرستاده شده و
IP وPORT‌شخص براي شما ارسال ميشود.
پس از دريافت ايميل
sub seven را اجرا كنيد . IP در يافت شده را در قسمت IP/uin و پورت را در قسمتPORT بنويسيد.حال با كليك روي connect ميتوانيد كامپيوتر مورد نظر را تحت كنترل خود بگيريد.
بعد از اين كه مراحل را با موفقيت انجام داديد ميتوانيد در قسمت
keys/messages كيبورد فرد را خاموش و غير فعال كنيد.
در قسمت چت ميتوانيد يك صفحه مانند صفحه
pm‌ياهو مسنجر بر كامپيوتر فرد باز كنيد و از اين طريق با او حرف بزنيد.
در قسمت
advanced password‌ميتوانيد پسورد و user name و شماره اتصال اكانت فرد را ببينيد.
miscellaneous -file manager‌هم براي كنترل روي فايلها و پوشه هاي شخص است و از اين طريق ميتوانيد انها را ديده اجرا و يا پاك كنيد.
در قسمت
fun manager-desktop webcam ميتوانيد صفحه desktop فرد را ببينيد.و در قسمت flip screen‌صفحه فرد مورد نظر را وارونه ميكنيد.
همچنين در قسمت
extra fun ميتوانيد چراغ كيبورد .مانيتور فرد و در cd rom شخص را خاموش و باز و بسته كنيد يا حتي كامپيوتر شخص را reset كنيد.
——————————————————————————–
Email Bomber


نرم افزارهاي
emai bomber دو ويژگي دارند اول فرستادن ايميل به تعدا زياد و در نتيجه خرابي mailbox دوم فرستادن ايميل وپنهان نگه داشتن نام شما
طرز كار
مثلا شما در برنامه quick fly در قسمت target ادرس email مورد نظر خود را تايپ كنيد.در قسمت sender ادرس خود يا ادرس دلخواهي براي مخفي كردن ادرس خودتان را تايپ كنيدو در قسمت server‌ادرس سرور ايميل شخص مثلا mail.yahoo.com رابنويسيد.
در قسمت
copies عددي كه منيخواهيد به تعداد ان ايميل براي شخص ايجاد كنيد.سپس دكمه مايل را بزنيد.
——————————————————————————–

در اوردن پسورد ايميل


اين كار معمولا با شكست روبروست ولي امتحان ان خالي از لطف نيست.در ابتداي كار بايد يك برنامه
dictionary maker يك فايل pass ;ist اجرا كنيد.سپس وارد يكي از برنامه هاي e-mail cracker شويد.در قسمت server بايد ادرس سرورايميل مورد نظر را بنويسيد مثلا mail.yahoo.com يا mail.hotmail.comحال يك فايل text ايجاد كنيد و ID مورد نظر را وارد كنيد.و از فايلي هم كه توسط dictionary maker استفاده شده براي password list استفاده كنيد.وقتي تمام مراحل تمام شد دكه begin رابزنيد.اين برنامه تمامي كاراكترها را بررسي ميكند و كلمه عبور را در قسمت get به شما ميدهد.——————————————————————————–

چگونه هك نشويم:


اگر شما از ويندوز
xp استفاده ميكنيد ميتوانيد از فايروال(ديوار اتش يا انتي هك)خود ويندوز xp استفاده كنيد.
به كنترل پنل رفته و وارد
Networking Connection شويد.در انجا روي ايكون dial up كه ساخته ايد راست كليك نيد و properties را انتخاب كنيد سپس تب Advanced را انتخاب كنيد و تيك مخصوص فعال كردن فايروال را فعال كنيد.
تجربه نشان داده كه ويندوزهاي 98 ,
me به راحتي هك ميشوند.بهتر است از ويندوز 2000 و xp استفاده كنيد.و حتما براي ويندوز 2000 هر سه سرويس پك موجود را نصب كنيد.همچنين براي ويندوز XP هم سرويس پك 1 عرضه شده كه ان را ميتوانيد از بازار به راحتي تهيه كنيد ويندوز XP به همراه سرويس پك 1 امن ترين سيستم عامل ميباشدهمچنين ميتوانيد از فرمت امن NTFS روي اين ويندوزها استفاده كنيد كه خود عاملي جهت جلوگيري از دستيابي ديگران به داده هاي شماست.اگر در ياهو ايميل داريد و چنانچه فايلي براي شما فرستاده شد ميتوانيد از طريق خود Norton Anti Virus سايت ياهو چك كنيد.چنانچه در چت كسي به شما پيشنهاد دادن عكس يا فايل داد بدون رودرواسي درخواست كنيد به ادرس ايميل شما بفرستد.از ورود به سايتهاي شخصي كه به شما پيشنهاد ميشود خودداري كنيد مخصوصا اگر ادرس به صورت چند عدد كه مثل يك ادرس IP ميباشد.ياهو مسنجر خود داراي يك فايروال ميباشد.ميتوانيد از منوي Login گزينه Privacy Setting را انتخاب كنيد و در داخل تنظيمات Connection فايروال را انتخاب كنيد.برنامه هاي انتي ويروس و انتي هك هم انواع زيادي دارند كه در اينجا نمونه ها را براي دانلود گذاشته ايم.——————————————————————————–
سايتهاي هك
http://www.hackers.com
http://www.happyhacker.com
http://www.geocities.com/brut692001/hacker.html
http://www.sabrekiller.hpg.ig.com.br/Hfiles.htm
http://www.cracks.am
http://www.2600.com

سايتهاي crack
http://www.cracks.amسايتهاي تروجان
http://digilander.iol.it/m3xican/pagine/download/trojan.htm
http://www.uic.nnov.ru/~dsb/troj.htm
http://www.gothichacker.com/trojans.htm
http://utenti.lycos.it/universal2/trojan.htm
http://www.kamikasehp.hpg.ig.com.br/trojans.htm
http://www.sevgidolu.8k.com/hack_trojan.htm
http://www.cibomens.yo.lv/trojans.htm

سايتهاي ساب سون
site 1 site 2سايتهاي دانلود نرم افزارهاي هك
http://www.sabrekiller.hpg.ig.com.br/Hfiles.htm
http://sybor.com.sapo.pt/Download_files1.htm
http://www.kroeninger-privat.de
http://www.cibomens.yo.lv/trojans.htm
http://www.smarthack.com

سايت بوت
http://www.booters-r-us.com/yahoo.htm

سايتهاي اموزش هك
http://www.cyberarmy.com
http://www.cultdeadcow.com
http://www.red-demon.com or http://www.red_demon.com
http://www.portwolf.com
http://www.geocities.com/brut692001/hacker.html

 

 

 

اين صفحه براي کساني نوشته مي شه که قصد دارند از کامپيوتر و اينترنت بيشتر بدونن و به قولي پشت صحنه را ببينند.

شايد شما هم با هکرهايي ارتباط داشته ايد که به شما گفته اند: «براي هکر شدن اول بايد لينوکس نصب کني، بعد cgi و php ياد بگيري بعد…» اما ما در تمام نوشته هاي آتي اين ستون فرض را بر اين مي گذاريم که شما Microsoft Windows XP داريد. در ويندوز XP، يکي از بهترين ابزارهايي که در دست شماست، همان صفحه مشکي Command prompt است. در ويندوز XP دو نوع DOS وجود دارد. يکي cmd.exe و ديگري command.com که cmd.exe براي کارهاي ما مناسبتر است و کليک روي دگمه Start و انتخاب All programs و انتخاب Accessories و سپس کليک روي Command prompt نيز همين را باز خواهد کرد. (راه مناسبتر: دگمه ويندوز کيبورد را به همراه حرف R فشار دهيد، تايپ کنيد cmd و Enter کيبورد را فشار دهيد). تايپ کردن Help و فشردن Enter ليستي از دستورات را براي شما به نمايش در مي آورد که متاسفانه دستورهاي مناسب براي هک را از قلم انداخته است. (ناگفته نماند که Help ويندوزXP اگر بدانيد که در کجاي آن به دنبال چه بگرديد نسبتاً کامل است). از جمله مهمترين اين دستورها مي توان به دستورات زير اشاره کرد:

TCP/IP command: telnet, netstat, nslookup, tracert, ping, ftp
NetBIOS commands: nbtstat, net use, net view, net localgroup (و چند دستور ديگر)

 

در اين شماره، براي اينکه هم کمي با telnet (که به عنوان يکي از مهمترين ابزارهاي هک مطرح بوده و هست) آشنا شويد هم از موضوعي شروع کرده باشيم که ملموس و جذاب باشد، فرستادن ايميل از طرف هرکسي به هرکسي با telnet را آموزش مي دهيم (من هم مي دونم که راههاي آسونتري براي اين کار هست و راحتترين راهش استفاده از Outlook مايکروسافت است، اما مطمئنم از ديدن پشت صحنه نمايش فرستادن ايميل لذت خواهيد برد). قبل از هر چيز بگم که telnet کردن به خودي خود جرم نيست و استفاده از telnet براي فرستادن يا گرفتن ايميل نه ضرري براي شما دارد و نه ميزبان. اما شما اين حق را نداريد که از طرف کسي به کس ديگر ايميل بزنيد مگر با اجازه آنها.اول وارد صفحه سياه خط فرمان شويد (مراحل نوشته شده در بالا)، حالا مي خواهيم از دستور telnet استفاده کنيم: telnet target port به جاي target آدرس سايت يا کامپيوتر و به جاي port بايد آدرس پورت را وارد کنيد. در مثال اين شماره با فرستادن ايميل (smtp) سروکار داريم که پورت آن 25 است و آدرس نيز آدرس يک سرور ايميل بايد باشد. به عنوان مثال telnet mail.hamsafar.com 25 را خواهيم داشت. همسفر، وب سايت من که عضويت در آن را به شما توصيه مي کنم، فقط يک مثال است و شما مي توانيد از هر آدرس مشابهي استفاده کنيد. جوابي دريافت خواهيد کرد که معمولا شامل نام ميزبان ايميل است. حالا وقت سلام کردن با دستور helo است (دستور ehlo هم داريم که مي توانيد امتحانش کنيد). بهتر است جلوي helo آدرس ايميل فرستنده را درج نماييد.  

با گرفتن جواب سلام، براي فرستادن ايميل از دستور mail استفاده مي کنيم:mail from leyli@masalan-ye-sity.com بعد از گرفتن OK حالا گيرنده را معرفي مي کنيم: rcpt to: majnoon@hamsafar.com اين بار بعد از گرفتن OK دستور data را تايپ و Enter کنيد. توجه کنيد که ميزبان به شما مي گويد وقتي کارتان تمام شد <CRLF>.<CRLF> بزنيد که اين يعني زدن يک Enter، تايپ کردن يک نقطه و دوباره زدن Enter. حالا وقت وارد کردن Subject، to و from و سپس زدن دو Enter و وارد کردن متن ايميل و سپس زدن Enter، تايپ کردن نقطه و زدن Enter دوم است. در عکس بالا فقط Subject  وارد شده است. نمونه کاملتري که شامل To و From مي باشد به صورت زير است:


data
354 ok, send it; end with <CRLF>.<CRLF>
From: Leyli@masalan-ye-sity.com
To: Majnoon@hamsafar.com
Subject: Salam!
 
In email faghat be ghasde azmayesh ferestade shode ast.
Rooze khooby dashte bashid
.
250 Message queued

به تفاوت اين دو مورد در عکس زير توجه کنيد:

 

توجه کنيد که همسفر فقط به شما اجازه خواهد داد به آدرسهايي که به hamsafar.com ختم مي شوند ايميل بزنيد. اگر تمايل به خريد ايميل روي همسفر (webmail & pop3) را داريد، با ما به آدرس sales@hamsafar.com مکاتبه کنيد. اما دستوراتي که گفته شد روي هر ميزباني کار خواهد کرد. به احتمال زياد جايي که از آن اينترنت گرفته ايد اگر درخواست ايميل POP3 از آنها بکنيد به رايگان به شما خواهند داد و شما آدرسي که به عنوان SMTP يا Outgoing server از آنها دريافت مي کنيد را به جاي mail.hamsafar.com خواهيد نوشت. در هر صورت شما اين اجازه را داريد که با روش فوق با من به آدرس ehssanr@hamsafar.com مکاتبه کنيد و به اين شکل روش را آزمايش کنيد. به ياري خدا در شماره آينده با آموزش نحوه نصب و استفاده از ميزبان SMTP خود ويندوز XP، خواهيد آموخت که چگونه بي نياز از هر SMTP ايميل بفرستيد.

حالا که به اينجا رسيديم اميدوارم اين سه سوال براي شما پيش آمده باشد که اگر جوابشان را هم مي دانستيد که هيچ وگرنه ما به آنها جواب مختصر و مفيد خواهيم داد. اگر هم هيچ سوالي برايتان پيش نيامده اين قسمت را باز هم به دقت بخوانيد چرا که مهمترين مفاهيم را به سادگي توضيح داده ايم. باز هم تاکيد مي کنم که اين سه سوال و پاسخ آنها را با دقت بخوانيد و بفهميد.

(آشنايي با مفهوم Telnet و کاربردهاي يک سرويسگير Telnet و يک کار عملي با پروتکل Telnet🙂

سوال يکم: اين telnet اصلا چي هست و به چه دردي مي خوره؟ فقط مال windows XP است يا نه؟ راه ويندوزي تري براي اين کار نيست؟

پاسخ: Telnet در اصل پروتکلي است که براي login و استفاده از يک کامپيوتر ديگر به کار مي رود. روش اجراي Telnet در لينوکس يا انواع ديگر Unix و نيز ويندوز 2000 تا حد خيلي زيادي شبيه چيزي است که ما گفتيم. براي آشنايي بيشتر با telnet و گرفتن جواب دقيقتر سوالات بالا روي مـــن کليک کنيد که به يک ميزبان واقعي Telnet شما را متصل مي کند که مي توانيد به رايگان عضو شويد و از خدمات آن استفاده کنيد. خواهيد ديد که لينک فوق در حقيقت Hyper Terminal را باز مي کند. در حقيقت هم اگر به درون Hyper Terminal برويد مي توانيد در قسمت برقراري تماس با انتخاب TCP/IP مستقيما از آن به عنوان Telnet استفاده کنيد. اما اينکه Telnet در هک چه نقشي داره و چه فايده اي داره کلاً رو از زبان «کارولين مينل» برايتان مي نويسم: «فقط با يک سرويسگير Telnet [مثل همين Telnet خودمون در ويندوز] شما مي توانيد:

· ايميل بفرستيد.

· سورس (متن برنامه) سايتها را بخوانيد.

· به ميزبانهاي وب وروديهاي غير منتظره بفرستيد که مي تواند سبب دريافت پاسخهاي شگفت انگيز و گاهي غير قانوني شود.

· به بسياري از ديگر سرويسهاي کامپيوترهاي ميزبان وب ورودي دلخواه خود را بدهيد.

· در سرويسهايي که ميزبانها، روترها و حتي کامپيوترهاي شخصي مردم در منزلشان در اختيار شما مي گذارند کاوش و جستجو کنيد.»

(مفهوم IP و روش به دست آوردن IP يک سايت يا IP خودتان به همراه مفهوم Domain name🙂

سوال دوم: اسم Target که در قالب Telnet target port مطرح کرديم چيست و چرا برخي به جاي آن 4 تا عدد مي زنند؟

پاسخ: هر کامپيوتر روي اينترنت با 4 عدد بين 0 تا 255 که با نقطه از هم جدا مي شوند مشخص مي شود. در XP براي فهميدن IP خود کافي است که روي مانيتورهاي نشاندهنده اتصال شما به اينترنت دابل کليک کنيد و از بالاي پنجره ظاهر شده  با انتخاب قسمت جزئيات (Details) آدرس IP خود را خواهيد ديد.(براي کساني که ويندوز قديمي دارند معمولا يک راه مناسب تايپ کردن winipcfg در پنجره Run و فشردن Enter است). حال وقتي که کسي يک Domain ثبت مي کند، در واقع روي اين عددها يک اسم مي گذارد. اين کار دو فايده اساسي دارد. يکي اينکه اگر عدد فرد به هر دليل عوض شود لازم نيست دوباره به همه خبر دهد و دليل ديگر آن اين است که اسم ساده تر به خاطر سپرده مي شود و احتمال اشتباه در آن کمتر است. همانطور که مي بينيد تشبيه IP به شماره تلفن تا حدي به فهم آن کمک خواهد کرد. در اينجا قصد نداريم وارد بحث دقيق IP بشويم اما دو عدد اول IP حتما به اينکه از کجا اينترنت داريد مربوط است و به طور تئوري با داشتن IP شما مي توان مکان شما را به صورت فيزيکي هم در روي کره زمين مشخص کرد. براي دانستن IP يک سايت کافي است که از داخل Command Prompt، دستور Ping را اجرا کنيد. به سادگي تايپ کنيد Ping yahoo.com يا Ping hamsafar.com تا IP را ببينيد. پس حالا ديديد که در واقع منظور از Target شماره آن کامپيوتري است که قصد داريد به آن متصل شويد.

 

(مفهوم Port و کمي از پروتکل Telnet🙂

سوال سوم: اصطلاح port که در قالب Telnet target port مطرح کرديم چيست  و چرا ما آنرا برابر 25 گرفتيم؟ اگر جاي آن را خالي بگذاريم چه مي شود؟

پاسخ: ترجمه کلمه port به فارسي «بندر» مي شود. کامپيوتر مقصد را به صورت جزيره اي تصور کنيد که چندين بندر دارد و هرکدام تخصص خاص خود را دارند. يکي براي نفتکشهاست يکي براي صادرات سنگ معدن و… . Port روي کامپيوتر هم در حقيقت همچين مفهومي داره. Port کامپيوتر جايي است که اطلاعات مي توانند از آن خارج يا به آن وارد شوند. کيبورد، پرينتر، نمايشگر و مودم از پورتهايي هستند که به راحتي از آنها درک فيزيکي داريد اما پورتهاي مجازي توسط نرم افزار ايجاد مي شوند. وقتي پورت مودم شما به اينترنت متصل مي شود، کامپيوتر شما مي تواند هر کدام از پورتها را که تعدادشان بيش از 65000 عدد است ببندد يا باز بگذارد و نيز مي تواند به هر کدام از اين پورتهاي يک کامپيوتر ديگر متصل شود (البته در صورتي که آن کامپيوتر بر روي اين پورت چيزي در حال اجرا داشته باشد و نيز ديوارآتش (firewall) آن را نبسته باشد. (در ويندوز XP هنگامي که اينترنت خود را تنظيم مي کنيد اين امکان را به شما مي دهد که با استفاده از ديوار آتش جلوي نفوذ ديگران به شما را بگيرد که به طور پيش فرض خودش آنرا فعال مي کند). پورتهاي خاص کاربردهاي خاص دارند. پورت 25 معمولا براي SMTP (مخفف Simple mail transfer protocol ) است و ما براي ارسال ايميل از آن استفاده کرديم. اگر قصد دريافت ايميلهايمان را داشتيم به چورت 110 سر مي زديم، براي مشاهده صفحات وب به سراغ پورت 80 مي رويم و… (درست حدس زديد! Outlook هم به طور پيش فرض براي ارسال ايميل از پورت 25 و براي دريافت آن از پورت 110 استفاده مي کند و اينترنت اکسپلورر هم به پورت 80 شماره IP آدرس سايتي که مي نويسيد سر مي زند.) و در پايان اگر پورت را ننويسيد، پورت برابر 23 فرض مي شود که پورت Telnet است. به پاسخ سوال اول دوباره سر بزنيد. وقتي روي لينکي که داده ام کليک مي کنيد در حقيقت به پورت 23 آن ميزبان متصل مي شويد. امروزه بسياري از سايتها بخصوص سايتهايي که از ميزباني ويندوزي استفاده مي کنند سرويس Telnet ندارند و امکان اتصال به پورت 23 وجود ندارد اما من باز هم توصيه مي کنم که براي تجربه Shell Account هم که شده Telnet واقعي را تجربه کنيد. اين Telnet در حقيقت معمولا يک BBS هم هست اما امکانات بسيار زيادي هم براي يک هکر دارد. براي آشنايي اوليه صرف اينکه کمي انگليسي بفهميد و هرموقع گير کرديد تايپ کنيد Help و Enter کنيد بايد کافي باشد.

     در ادامه بحث قبليمان، به پاسخ يک سوال اساسي مي پردازيم که بسياري از دوستان از طريق ايميل از ما پرسيده بودند و آن اين است که آدرس مورد استفاده در Telnet براي سايتهاي مختلف را چگونه پيدا کنيم… اگرچه بسياري از سايتها از همان mail.domain-name.com استفاده مي کنند، اين امر همه گير نيست. در ويندوز و با استفاده از cmd.exe خودمان به راحتي مي توانيم اين آدرس را براي 99% دومينها تعيين کنيم.      پس از اجراي

cmd، دستور nslookup را با تايپ کردن اين کلمه و فشردن Enter اجرا کنيد. از آنجايي که ما قصد گرفتن اطلاعات در مورد سامانه دريافت ايميل آن سايت را داريم، از کد mx که مخفف mail exchanger است استفاده مي کنيم. به طور کلي اطلاعات يک domain شامل چند قسمت است که براي مورد ما فقط اين اطلاعات مورد نياز است. پس تايپ کنيد set q=mx و Enter را فشار دهيد. حال کافي است نام domain را تايپ و Enter کنيد.

    در برخي موارد مانند مثال زير فقط يک جواب مي گيريد:

> irib.com
Server: UnKnown
Address: 213.165.123.1
irib.com MX preference = 60, mail exchanger = mail.irib.com
mail.irib.com internet address = 62.220.119.60

و يا مثال زير:
irna.com MX preference = 10, mail exchanger = irna.com
irna.com nameserver = ns1.gpg.com
irna.com nameserver = ns1.irna.net
irna.com nameserver = ns1.simorgh.com
irna.com nameserver = ns2.irna.net
irna.com internet address = 209.1.163.101
ns1.irna.net internet address = 217.25.48.18
ns1.irna.net internet address = 194.126.61.8
ns2.irna.net internet address = 194.126.61.7
ns2.irna.net internet address = 217.25.48.17
 

که نشان مي دهد براي آدرس irib.com بايد از mail.irdir.com استفاده کرد و براي آدرس irna.com بايد از irna.com استفاده کرد. به قسمت قرمز رنگ دقت کنيد. هميشه پاسخ مورد نظر ما بعد از عبارت mail exchanger قرار مي گيرد. گاهي تعداد جوابها بيشتر است:

hamsafar.com MX preference = 10, mail exchanger = mail.hamsafar.com
hamsafar.com
MX preference = 15, mail exchanger = hamsafar.com
mail.hamsafar.com internet address = 38.118.143.98
hamsafar.com internet address = 38.118.143.98

و يا مثال زير:


hotmail.com
MX preference = 5, mail exchanger = mx4.hotmail.com
hotmail.com MX preference = 5, mail exchanger = mx1.hotmail.com
hotmail.com MX preference = 5, mail exchanger = mx2.hotmail.com
hotmail.com MX preference = 5, mail exchanger = mx3.hotmail.com
hotmail.com nameserver = ns1.hotmail.com
hotmail.com nameserver = ns2.hotmail.com
hotmail.com nameserver = ns3.hotmail.com
hotmail.com nameserver = ns4.hotmail.com
mx4.hotmail.com internet address = 65.54.254.151
mx4.hotmail.com internet address = 65.54.253.230
mx1.hotmail.com internet address = 65.54.254.129
mx1.hotmail.com internet address = 65.54.252.99
mx1.hotmail.com internet address = 65.54.166.99
mx2.hotmail.com internet address = 65.54.254.145
mx2.hotmail.com internet address = 65.54.252.230
mx2.hotmail.com internet address = 65.54.166.230
mx3.hotmail.com internet address = 65.54.254.140
mx3.hotmail.com internet address = 65.54.253.99
ns1.hotmail.com internet address = 216.200.206.140
ns2.hotmail.com internet address = 216.200.206.139
ns3.hotmail.com internet address = 209.185.130.68
ns4.hotmail.com internet address = 64.4.29.24

 

و يا مثال زير:

cnn.com MX preference = 10, mail exchanger = atlmail4.turner.com
cnn.com MX preference = 20, mail exchanger = atlmail2.turner.com
cnn.com MX preference = 30, mail exchanger = nymail1.turner.com
cnn.com MX preference = 10, mail exchanger = atlmail1.turner.com
cnn.com nameserver = twdns-04.ns.aol.com
cnn.com nameserver = twdns-01.ns.aol.com
cnn.com nameserver = twdns-02.ns.aol.com
cnn.com nameserver = twdns-03.ns.aol.com
atlmail1.turner.com internet address = 64.236.240.146
atlmail4.turner.com internet address = 64.236.221.5
atlmail2.turner.com internet address = 64.236.240.147
nymail1.turner.com internet address = 64.236.180.95
    اگر کمي دقت کنيد، قسمت MX preference همواره داراي يک عدد است. اگر جوابهاي متفاوتي پيدا شد، جوابي که عدد MX preference آن کمتر باشد به طور معمول انتخاب مناسبتري است و بايد اولين جوابي باشد که امتحان مي کنيد.

    با اين روش شما مي توانيد بدون استفاده از SMTP خاصي ايميلهاي خود را ارسال کنيد يا برنامه اي بنويسيد که ايميل ارسال کند.    سوالي که در اينجا پيش مي آيد اين است که چه کارهايي در اين زمينه مجاز و چه کارهايي غيرقانوني است. فرستادن ايميل به هزاران نفر طوري که به هر کدام فقط يک ايميل برسد و آنها راهي براي خروج از ليست شما داشته باشند غيرقانوني نيست اما ممکن است

ISP يا Host شما را عصباني کند، بنابراين بهتر است از آنها سوال کنيد يا حداقل مطمئن باشيد که در قراردادي که با آنها امضا کرده ايد ممنوعيت اين مورد ذکر نشده باشد. البته اگر اين ايميل طوري فرستاده شود که فرستنده آن صحيح نباشد و به نظر برسد که از طرف کس ديگري آمده است قابل پيگرد قانوني است و افراد زيادي در دنيا به اين دليل محاکمه شده اند. فرستادن چندين ايميل به يک فرد طوري که سبب مزاحمت وي يا از دست رفتن برخي از اطلاعات وي شود جرو است و از طريق مراجع ذيصلاح قابل پيگرد قانوني مي باشد. فرستادن ايميل طوري که به نظر برسد از آدرسي ديگر آمده است، اگر آن آدرس ديگر متعلق به شما نباشد علاوه بر غير اخلاقي بودن عمل، انشاءالله قابل پيگيري قانوني مي باشد.     از توضيح نصب و کار با SMTP روي ويندوز شخصي منصرف شديم، اما همين قدر بدانيد که از control panel-> add/remove programs بايأ به قسمت add/remove windows components برويد و از آنجا IIS و Message queuing را نصب کنيد و سپس در صورت نياز آنها را تنظيم کنيد. به اين شکل شما قادر به فرستادن ايميل با telnet کردن به آدرس localhost يا آدرس IP 127.0.0.1 به هر آدرسي خواهيد بود.

    اميدوارم بعد از خواندن اين صفحات به اين نتيجه رسيده باشيد که هرکسي به راحتي مي تواند هر ايميلي را از طرف کس ديگري براي شما ارسال کند و در مورد ايميلهاي مشکوک بايد احتياط کنيد. البته مشکلات ايميل به اينجا ختم نمي شود… ايميل را به طور معمول به کارت پستال بدون پاکت تشبيه مي کنند به اين مفهوم که در مسير رايانه شما به رايانه گيرنده نامه در تمام مسيرهاي مياني و توسط پستچيها قابل خواندن است! اگرچه متاسفانه در ايران به دليل اهميت ندادن به امنيت اطلاعات، تمامي مکالمات تلفني (بخصوص تلفن همراه)، فکس و مانند آنها هم همين حکم را دارند و در مقايسه وضع ايميل کمي بهتر است (بعد بگيد چرا تجارت الکترونيکي نداريم… يا بگيد چرا بانکها خودشون برا خودشون شبکه راه مي اندازند يا…)!

سوالات خود را در زمينه هک ، امنيت و حفظ اصلاعات شخصي روي اينترنت با ما در ميان بگذاريد تا حتي الامکان در همين سايت جواب آنها را دريافت نماييد. به ايميلهايي که به جاي سوال، درخواست انجام هک داشته باشند، حتي پاسخ هم داده نخواهد شد.
 

 

 

ورود به دنياي هک – يافتن آدرس IP

     با وجود اينکه به احتمال قوي اين مقاله نه تنها کاملترين نوشته در مورد روشهاي يافتن IP به زبان فارسي، بلکه به طور کلي کاملترين نوشته در اين زمينه بر روي اينترنت مي باشد، فراموش نکنيد که روشهاي يافتن IP به اين موارد محدود نمي شوند و به همين دليل در زير ابتدا مقدمه اي در مورد کليت روشهاي يافتن IP و مجاز يا غيرمجاز بودن آنها آورده ايم و سپس به چند روش مهم اشاره کرده ايم.

     هر بار که يک کامپيوتر به کامپيوتر ديگري متصل مي شود، حداقل اطلاعاتي که بايد به آن بدهد آدرس IP خود است؛ بنابراين يافتن IP کسي که به دليلي قصد اتصال به رايانه شما را داشته است نه تنها غير قانوني نيست بلکه يک موضوع کاملاً طبيعي است. تمامي روشهاي يافتن IP به نوعي به اين اصل کلي برمي گردند. شايد به نظرتان بيايد که هنگامي که با کسي روي مسنجر صحبت مي کنيد بايد کامپيوترهاي شما به هم متصل باشند و بنابر اين به سادگي بتوان IP فرد مقابل را به دست آورد، اما مسنجرهاي معتبر مانند Yahoo يا MSN در حقيقت ميزبان خود را بين شما و فرد مقابل قرار مي دهند به اين صورت که شما و دوستتان هر دو به سرور مسنجر متصل مي شويد و همه پيامها از آن عبور مي کنند. پس پيامي که شما مي نويسيد وارد سرور مسنجر مي شود و سپس از طريق سرور مسنجر به فرد مقابلتان مي رسد و بالعکس. اما نگذاريد اين موضوع شما را نااميد کند! هنگامي که شما و دوستتان در يک بازي مسنجري شرکت کنيد يا فايلي را به طور مستقيم براي او بفرستيد دو کامپيوتر به طور مستقيم به هم متصل هستند! اين روش يکي از مناسبترين روشهاست. در زير چند روش مناسب يافتن IP را براي شما توضيح مي دهيم، اما قبل از آن، نکته مهمي را يادآوري مي کنيم: اگر کسي از اينترنت قطع شود، IP او عوض مي شود! پس اگر شما امروز IP کسي را به دست آوريد که با خط تلفن و مودم به اينترنت وصل مي شود، ممکن است 30 ثانيه بعد او Disconnect کند و دوباره Connect شود که در اين شرايط قاعدتاً IP ديگري خواهد داشت که اين موضوع اطلاع قبلي شما را بي فايده مي کند! اما اگر کسي به هردليل قصد حمله و آزار شما را داشت، بلافاصله IP او را به دست آوريد که از طريق آن بتوانيد به طور قانوني از وي شکايت کنيد. تمامي مدارک را نگه داريد. من حاضرم به محض دريافت IP آنها و مدارکي که دلالت به مهاجم بودن آنها کند، اطلاعات کامل مربوط به صاحب IP شامل شماره تلفن و آدرس ايميل او را براي شما ارسال کنم تا از اين طريق و با دادن زمان دقيقي که فردي با آن IP قصد آزار شما را داشته است به صاحب IP، وي را به دام بيندازيد. از طرف ديگر اگر کسي از Proxy استفاده کند، به دست آوردن IP او بسيار دشوار مي شود (اگر فرد  Java Script را از کار نينداخته باشد با استفاده از آن مي توانيد IP را به دست آوريد!)

· خواندن IP از طريق ايميل:

    هنگامي که شما يک ايميل از فردي مي گيريد، معمولاً آدرس IP وي در آن نامه وجود دارد. ابتدا بايد با رفتن به قسمت تنظيمات ايميل خود آن را در حالتي قرار دهيد که تمامي Header نامه را به شما نشان دهد که با کمي گردش در قسمت تنظيمات ايميل خود آن را پيدا خواهيد کرد. حال به بالاي ايميل دقت کنيد و به دنبال عبارت Received: from باشيد. شما معمولاً دو يا چند بار عبارت «Received: from» را در بالاي ايميل خواهيد ديد که ما فقط با پاييني کار داريم که معمولاً کمي با بالاييها فاصله دارد و بعد از Message ID قرار مي گيرد. آدرس IP فرستنده ايميل درست در ابتداي اين عبارت قرار مي گيرد. دادن روش دقيق غير ممکن است، اما معمولاً همانطور که گفتيم در پايينترين Received بايد به دنبال IP باشيد. با اين حال در شرايطي که فقط در بالاترين Received عددي شبيه IP مشاهده کنيد، IP همان است. از سوي ديگر بسياري از ميزبانان ايميل، راه آسانتري هم براي کمک به شما در نظر مي گيرند به اين صورت که قسمتي با نامي شبيه به X-Originating-Ip براي شما قرار مي دهند و IP فرستنده نامه را در آن مي نويسند. به مثالهاي زير توجه کنيد که IP فرستنده به رنگ قرمز مشخص شده است:

Received: from yechizi@yechizi.com [62.145.61.1] by server4pfs
(SMTPD32-7.12 ) id A90313018E; Mon, 30 Jun 2003 00:38:43 -0700
Message-Id: <200306300104500.SM01212@yechizi@yechizi.com>
From: yechizi@yechizi.com
Date: Mon, 30 Jun 2003 01:06:38 -0700
X-RCPT-TO: yechizi@yechizi.com
Status: U
X-UIDL: 347731237
Received: from spf1.us.outblaze.com [205.158.62.158] by server4pfs
(SMTPD32-7.12 ) id AC9E5400EA; Sat, 07 Jun 2003 09:02:38 -0700
Received: (qmail 31068 invoked from network); 7 Jun 2003 16:03:39 -0000
Received: from unknown (205.158.62.68)
by spf1.us.outblaze.com with QMQP; 7 Jun 2003 16:03:39 -0000
Received: (qmail 61611 invoked from network); 7 Jun 2003 16:03:37 -0000
Received: from unknown (HELO ws1-7.us4.outblaze.com) (205.158.62.57)
by 205-158-62-153.outblaze.com with SMTP; 7 Jun 2003 16:03:37 -0000
Received: (qmail 54891 invoked by uid 1001); 7 Jun 2003 16:03:35 -0000
Message-ID: <20030607160335.54889.qmail@mail.com>
Content-Type: multipart/mixed; boundary=»———-=_1055001809-54370-0″
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
X-Mailer: MIME-tools 5.41 (Entity 5.404)
Received: from [217.218.57.55] by ws1-7.us4.outblaze.com with http for
yechizi@yechizi.com; Sat, 07 Jun 2003 11:03:29 -0500
From: «Reza» <yechizi@yechizi.com>
To: yechizi@yechizi.com
Date: Sat, 07 Jun 2003 11:03:29 -0500
Subject: The Interactive Matrix
X-Originating-Ip:
217.218.57.55
X-Originating-Server: ws1-7.us4.outblaze.com
X-RCPT-TO: <yechizi@yechizi.com>
Status: U
X-UIDL: 344393350
 

اما يک استثنا: اگر فرد براي فرستادن ايميل از فرمهاي موجود در برخي سايتها مانند سايتهايي که اجازه ارسال يک خبر يا کارت را مي دهند يا سايتهايي که ادعاي ارسال ايميل فارسي را دارند (هرچند واقعاً فارسي تايپ کردن در ياهو از اکثر آنها بهتر است) يا فرمهاي «تماس با ما» در سايتها استفاده کنند، بعيد است IP آنها در ايميل شما باشد و معمولاً IP سرور خود سايت را در آن مي بينيد. در مثال زير که ايميلي است که با استفاده از فرم «تماس با ما» سايت همسفر براي مدير آن ارسال شده بوده است، فقط IP خود همسفر را مشاهده مي کنيد:


Received: from server4pfs [38.118.143.98] by hamsafar.com with ESMTP
(SMTPD32-7.12 ) id A5C54400DC; Sat, 07 Jun 2003 06:16:53 -0700
From: <yechizi@yechizi.com>
To: <yechizi@yechizi.com>
Subject: hadirayaneh
Date: Sat, 7 Jun 2003 06:16:53 -0700
Message-ID: <000301c32cf7$1046b740$628f7626@server4pfs>
MIME-Version: 1.0
Content-Type: text/plain;
charset=»iso-8859-1″
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Thread-Index: AcMs9xBGKda5j5B/RZms1WTby6vhkQ==
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-RCPT-TO: <yechizi@yechizi.com>
Status: U
X-UIDL: 347730753

· به دست آوردن IP از طريق سايت خودتان:

    اگر سايت يا وبلاگي داريد، راههاي بسياري براي به دست آوردن IP بازديدکنندگانتان داريد و با دادن آدرس سايت يا وبلاگتان به يکي از دوستان مي توانيد IP او را به دست آوريد. از آنجايي که در يک لحظه ممکن است چندين بازديد کننده داشته باشيد، بهتر است صفحه زيبايي مخصوص اين کار بسازيد که هيچ لينکي به آن نباشد و آن را براي به دست آوردن IP مورد استفاده قرار دهيد.

    براي اين کار دو روش اصلي داريم:

1- برنامه نويسي: با کمي جستجو در اينترنت کدهاي بسيار کوتاهي را مي يابيد که IP را به دست مي دهند و به سادگي مي توانيد آن را به همراه تاريخ و ساعت در يک فايل متني يا پايگاه داده ذخيره کنيد. 2- استفاده از سايتهاي ديگر: اکثر شمارنده ها اين امکان را به شما مي دهند که IP بازديد کنندگان صفحات خود (حداقل چند بازديد کننده اخير) را ببينيد. پس با نصب يک شمارنده روي آن صفحه اي که گفتيم، IP به دست آمده است.

 

· به دست آوردن IP از طريق مسنجرها:

    همانطور که در مقدمه گفتيم، فقط هنگامي که شما در حال ارسال يا دريافت فايلي به طور مستقيم (يا در برخي بازيهاي مسنجري) باشيد مي توانيد از اين روش استفاده کنيد. اين روش که به روش Netstat معروف است، از همه روشها معروفتر است ولي به نظر من به خوبي روشهاي بالا نيست. با کمي Social Engineering مي توان هر کسي را راضي به دريافت يک فايل يا عکس کرد. بهتر است حجم فايل کم نباشد که فرصت کافي داشته باشيد. البته اگر از AOL مسنجر استفاده مي کنيد، در منوهاي آن گزينه اي براي برقراري Direct connection خواهيد ديد که مناسبتر است. هنگامي که فردي در حال دريافت يا فرستادن فايل به شما به طور مستقيم (نه روش فرستادن فايل با استفاده از Upload در ياهو مسنجر) باشد، با استفاده از Netstat مي توانيد IP او را ببينيد. با توجه به شلوغ بودن خروجي Netstat يکبار قبل از آغاز به گرفتن/فرستادن فايل و بار ديگر بعد از آن اين خروجي را بگيريد تا IP فرد را که به تازگي به ليست اضافه شده تشخيص دهيد. براي ساده شدن کار بهتر است تمامي برنامه هايي که به هر طريق از اينترنت استفاده مي کنند را ببنديد که از شلوغي ليست کم شود. اگرچه در بيشتر راهنماها گفته مي شود از پسوند n– استفاده کنيد، به طور معمول در ايران استفاده نکردن از آن بهتر است. تنها تاثير n– اين است که تمام آدرسها را به طور عددي نشان مي دهد و اين کار يافتن آدرس IP ايرانيها را که به طور معمول به هر حال به شکل عددي است، در ميان عددهاي ديگر دشوارتر مي کند.

   براي اجراي netstat کافي است cmd.exe را از run اجرا کنيد و به سادگي در آن تايپ کنيد netstat و enter را فشار دهيد. ليستي از تمامي اتصالهاي موجود بين کامپيوتر شما و کامپيوترهاي ديگر را مشاهده خواهيد کرد. حال پس از برقراري ارتباط، دوباره اين کار را تکرار کنيد، آدرس جديد آدرس IP فرد مورد نظر است. اگر در ليست آدرسهاي عددي نديديد، از netstat -n استفاده کنيد. با کمي تمرين اين روش برايتان آسان مي شود. يک روش کمکي استفاده از روش رو به رو است: ‹netstat > temp1.txt‹ که اين کار خروجي netstat را به درون فايل temp1.txt مي ريزد. (که اگر وجود نداشته باشد ساخته مي شود و اگر از قبل موجود باشد اطلاعات قبلي آن پاک مي شود!) و سپس پس از برقراري اتصال، ‹netstat > temp2.txt‹ را وارد مي کنيد و سر فرصت تفاوت فايلها را بررسي مي کنيد.

· به دست آوردن IP از طريق دادن IP خودتان:

    مسخره ترين روش به دست آوردن IP آدرس اين است که اول IP خودتان را به آنها بدهيد تا شايد روي آن کليک کنند و IP آنها به دست شما بيفتد! متاسفانه برنامه هايي که براي به دست آوردن IP از اينرنت مي گيريد يا روي CDهاي بي ارزشي که به قيمت زيادي از بازار مي خريد پيدا مي کنيد، از اين روش استفاده مي کنند. IP شما را به طور واضح يا کمي کد شده به فرد مي دهند يا از شما مي خواهند که خودتان آن لينک را که چيزي جز IP شما نيست به او بدهيد تا اگر روي آن کليک کرد IP او را به شما بدهد! شکي نيست که اين روش غير منظقي ترين روش است و بهتر است از خير چنين برنامه هايي بگذريد! کار پيچيده اي هم نمي کنند، Port خاصي را زير نظر مي گيرند (کاري که با Netstat خودتان هم مي توانستيد انجام دهيد) و لينکي مي سازند که با کليک روي آن فرد به آن port شما متصل شود. جداي از خطرات اين روش و مشکلات آن با Firewallها، اين کار به طور کلي صحيح نيست اما روشي بسيار مشابه آن وجود دارد که کمي بهتر است. اگر از web server يا ftp server موجود در IIS ويندوز (يا هر ميزبان ديگري) استفاده کنيد و به اين شکل سايتي به راه بيندازيد، باز هم با دادن IP خودتان اين شانس را داريد که IP آنها را هم به دست آوريد.

 

 

ورود به دنياي هک – SOCIAL ENGINEERING (مهندسي اجتماعي)

  براي روشن تر شدن مطلب، بحث را با دو مثال آغاز ميکنم:

سناريوي اول:

– (در يک تماس تلفني، خطاب به تلفنچي يا منشي يک شرکت): سلام، ممکنه با آقاي X از بخش تحقيقات و توسعه صحبت کنم؟
– متاسفم، ايشان تا آخر هفته در مرخصي هستند.
– اوه، بسيار خوب. چه کسي در اين مدت جانشين ايشان هستند؟
– آقاي
Y. (به اين ترتيب شخص نام آقاي Y را يادگرفته و در مرحله بعد آنرا مورد استفاده قرار ميدهد)
… يکي دو روز بعد در تماس تلفني با يکي از کارمندان بخش تحقيقات و توسعه:
– جناب
Z، راستش قبل از اينکه آقاي X به مسافرت برود، از من خواستند که طرح جديد را مورد بررسي قرار دهم. من با آقاي Y صحبت کردم و ايشان گفتند کافي است شما آنرا با فکس يا E-mail براي من بفرستيد. ممکن است لطفا هرچه سريعتر اين کار را انجام دهيد؟ شماره من …است. متشکرم.

سناريوي دوم:

– سلام. من از بخش فروش شرکت X تماس ميگيرم (ممکن است واقعا شرکتي با اين نام وجود داشته باشد يا اصلا وجود خارجي نداشته باشد.). ما يک سري فروش فوق العاده در زمينه Routerها، Firewallها و Serverها داريم. ممکن است به من بگوئيد آيا از سخت افزارهاي مورد استفاده خود رضايت داريد يا خير؟…

«مهندسي اجتماعي» را مي توان Hack کردن انسانها ناميد. شخص هکر با اعمال انواع فريب ها و حقه ها شخص مورد نظر را وادار مي کند تا بطور ناآگاهانه اطلاعاتي را (در ارتباط با خودش، درباره يک سازمان و …) در اختيار او قرار دهد يا بدون اينکه خود متوجه باشد در رسيدن به هدف مورد نظر نفوذگر، با وي همکاري نمايد. و ريشه اين موضوع در خاصيت فطري انسان که اعتماد (هرچند بيجا) به اشخاص به ظاهر مورد اعتماد است دارد.
در مثال اول، نفوذگر با ممکن است به يک طرح يا برنامه مهم از شرکت مورد نظر دست يابد و در مثال دوم هرگونه اطلاعات به دست آمده از مکالمه درباره سرويس دهنده ها، مسيرياب ها و ديواره هاي آتش مي تواند جهت حمله به وب سايت شرکت مورد نظر بکار گرفته شود.
به تعريف مهندسي اجتماعي در کنسرسيوم جهاني وب (
W3W) و RFC 2828 دقت کنيد:
«استفاده از روشهاي غيرفني و يا با ارزش فني کم، مانند دروغ گفتن، جعل هويت، نيرنگ زدن، تطميع کردن، استفاده از
E-mailهاي فريب دهنده و آلوده و حتي تهديد کردن، جهت حمله به سيستم هاي اطلاعاتي.» هرگونه اقدامي از سوي شخص نفوذگر که مستقيم يا غيرمستقيم منجر به آسيب رساني به يک سيستم اطلاعاتي شود نيز در محدوده مهندسي اجتماعي قرارگرفته، جرم محسوب ميشود و در کشورهايي که براي جرايم سايبر يا جرايم اينترنتي (Cyber Crime) قانون وضع شده است، طبق قانون مجازات در نظر گرفته ميشود. شديدترين جرم اينترنتي تحت عنوان Cyber terrorism يا سايبر تروريسم است که جريمه اي معادل 392000$ دارد.!
مهندسي اجتماعي به اشکال مختلف احتمالا از بدو پيدايش بشر بر کره خاکي وجود داشته است. ابتدايي ترين و بديهي ترين دليل آن شايد اين باشد که انسان بطور ذاتي و طبيعي به همنوع خود اطمينان ميکرده و هميشه دوست داشته که براي ديگران فردي سودمند باشد. ويروس
Love Bug را به خاطر داريد؟؛ دليل موفقيت آن نگاه روانشناسانه طراح يا طراحانش به يک نياز فطري همه انسانها بوده است:«دوست دشته شدن و مورد محبت قرار گرفتن». تنها هنگامي که قربانيان, E-mailهاي آلوده به اين ويروس را گشودند، متوجه شدند که احتمالا ديگر هيچوقت دوست ندارند تا آخر عمر چنين دوست داشته شوند و مورد محبت قرار گيرند!. اجازه دهيد براي آشنايي بيشتر با مهندسي اجتماعي، برخي وضعيتها و حالات مرسوم وقوع آنرا بررسي کنيم و به خاطر داشته باشيم که مهندسي اجتماعي، به حالتهاي بيشمار ديگري مي تواند وجود داشته باشد.:
تماس گرفتن با يک کاربر، خود را بجاي
Administrator جا زدن و درخواست کردن اطلاعاتي راجع به Account مورد استفاده اش (معمولا کد کاربري و رمز عبور).
شخصي چنين وانمود مي کند که کليد اتاق
Server را گم کرده و از فردي که صاحب اختيار است مي خواهد که وي را وارد اتاق نمايد.
ورود به يک اتاق گفتگوي (
Online (chat room با استفاده از يک ID يا نام رسمي معني دار و درخواست ارائه Password به يک يا چند کاربر، ظاهرا براي تائيد هويت آنان و حتي تهديد آنها به خارج کردنشان از اتاق گفتگو در صورت سرپيچي از انجام اين کار.
ارسال
E-mail به يک شخص و تبليغ در مورد يک مسابقه با جوايز با ارزش و ارائه يک آدرس وب جهت ثبت نام در مسابقه. چنين وب سايتي طبيعتا بسيار منطقي و موجه جلوه مينمايد که در آن کد کاربري و نام عبور شخص براي ورود پرسيده شود!.
جالب است بدانيد اين تاکتيک يک روش مورد علاقه نفوذگران بوده که در يکي دو سال گذشته براي فريب دادن کابران سايت
AOL بکار رفته است. صفحه وب جعلي ارائه شده به کاربران در اين حالت درست مانند صفحه وب اصلي AOL بوده است. مورد مشابهي نيز اخيرا براي فريب کاربران سايت مشهور !Yahoo ديده شده است.
اسبهاي تراوا از جمله ابزارهاي مورد استفاده نفوذگران مي باشند که براي فعال شدن نياز به اجراي بخشي از برنامه بر روي سيستم هدف قرارگرفته شده دارند. اگرچه استفاده از اسبهاي تراوا جهت حمله به سيستمهاي کامپيوتري در زمره روشهاي فني قرار ميگيرد اما آن بخش از اين حمله که مربوط به فريب کاربر به منظور اجراي فايل اجرايي مورد نظر روي سيستم خود مي باشد و به عبارت ديگر مجموعه ترفندهايي که نفوذگر جهت ترغيب قرباني به اجراي فايل آلوده بهکار مي برد از مصاديق بارز مهندسي اجتماعي مي باشد.
حال که صحبت از
AOL و اسبهاي تراوا شد خالي از لطف نيست که بدانيد AOL يکبار با همين ترفند يعني تلفيق مهندسي اجتماعي و استفاده از يک Trojan مورد حمله قرار گرفت و هک شد.
ماجرا از اين قرار است که شخص هکر طي يک تماس تلفني با يکي از کارمندان بخش پشتيباني فني
AOL و ظاهرا جهت درخواست کمک فني به مدت يک ساعت صحبت مي کند. در حين مکالمه هکر به طريقي اظهار ميکند که ماشيني را به قيمت پاييني به فروش گذاشته است! کارمند بخش پشتيباني به اين موضوع علاقمند مي شود و متعاقب آن شخص نفوذگر يک E-mail حاوي عکس ماشين يادشده براي کارمند ارسال مي کند. فايل ذکر شده پس از گشوده شدن به اصطلاح يک Backdoor بر روي يکي از کامپيوترهاي AOL ايجاد ميکند که باعث ايجاد يک کانال ارتباطي از درون Firewall شرکت AOL به خارج ميگردد. با استفاده از اين تلفيق، يعني يک حمله فني همراه با مهندسي اجتماعي، نفوذگر به شبکه داخلي شرکت راه پيدا کرد. با وجود خطرات و تهديدات متعدد و بي شماري که منهدسي اجتماعي براي اهالي کامپيوتر و شبکه ايجاد ميکند، ممکن است اين سئوال به ذهن بيايد که چرا کمتر در مورد آن ميگوييم يا مي شنويم؟؛ شايد جواب اين باشد که مردم مهندسي اجتماعي را حمله به هوش و عقلانيت خود تلقي ميکنند. شايد کمتر کسي دوست داشته باشد که ديگران او را به دليل گشودن يک E-mail آلوده، احمق فرض کنند و همينطور کمتر کسي حاضر شود اعتراف کند که تنها از طريق يک تماس تلفني فريب خورده و اطلاعات مهمي از سازمان خود را در اختيار ديگري قرار داده است؛ زيرا چنين تصور ميکند که به دليل مورد مهندسي اجتماعي قرار گرفتنش احمق است و خود را سرزنش مي نمايد اما فريب خوردن با اين تاکتيک ساده لوح و يا احمق بودن شخص فريب خورده را نمي رساند زيرا هرکس ممکن است مورد اين حمله روانشناسانه قرار گيرد. اجازه دهيد اتفاقي که زماني براي «نِد راسل»، نويسنده امريکايي پيش آمده را برايتان بازگو کنم:
«يک
E-mail (به صورت Forward شده) از يک شخص آشنا دريافت کردم که در آن گفته شده بود ممکن است ويروس خطرناکي بنام JAVA روي کامپيوترم باشد که در فلان تاريخ و ساعت فعال خواهد شد. ممکن است شما هم آنرا به خاطر بياوريد. اين فايل در حقيقت روي همه سيستم ها وجود داشت؛ چرا که يکي از فايلهاي Windows 98 بود! به اين ترتيب گيرندکان نامه تشويق به پاک کردن آن فايل ا ز روي کامپيوتر خود شده بودند (به چنين نامه هاي الکترونيکي که بصورت زنجيره اي در اينترنت پخش مي شوند و حاوي اطلاعات جعلي براي فريب گيرنده نامه و يا آلوده به ويروسها و ابزارها براي آسيب رساندن به سيستم مقصد مي باشند، اصطلاحا Hoax E-mail گفته ميشود.)؛ من متاسفانه بدون توجه به Forward بودن نامه، بدون مطالعه دقيق آن و از آنجا که آنرا از يک شخص معتبر دريافت کرده بودم، آنرا براي تعدادي از دوستانم Forward کردم! بله من ناخواسته و از طريق يک Hoax مورد مهندسي اجتماعي قرار گرفته بودم. خوشبختانه در اين مورد خاص، فايل مورد نظر اهميت زيادي نداشت و حداقل اينکه به راحتي قابل جايگزيني مجدد بود؛ اما من هک شده بودم.!»
آنچه اهميت دارد اين است که بايد بدانيم هرکه هستيم همواره در معرض خطر حمله از نوع مهندسي اجتماعي قرار داريم. پس بهتر است با اين واقعيت روبه رو شويم، با روشهاي انجام اين حمله حتي الامکان بيشتر آشنا گرديم و راههاي مقابله با آن را بياموزيم.
نکات زير را براي مقابله با حملات مبتني بر مهندسي اجتماعي به خاطر بسپاريد:
آموزش، آموزش و آموزش. بهترين روش براي آگاهي هرچه بيشتر کارمندان اداره شما و يا کاربران شبکه تحت سرپرستي شما و يا خود شما جهت مقابله با انواع حملات مهندسي اجتماعي مي ـ باشد.
هيچ کس در هيچ شرکت يا سازماني که خدمات اينترنت به شما ارائه ميکند هرگز از شما کد کابري و يا
Password تان را نخواهد پرسيد؛ حتي اگر او Administrator شبکه شما هم باشد هيچ نيازي به دانستن رمز عبور شما ندارد؛ اگر زماني رمز عبورتان را سئوال کردند به احتمال زياد هدف يک حمله از نوع مهندسي اجتماعي قرار گرفته ايد.
از سئوال کردن هراسي به خود راه ندهيد. اگربه هنگام گفتگو با شخصي (حتي اگر ظاهرا يا واقعا رتبه کاري بالاتري از شما دارد) به نکته مبهم يا غير منطقي برخورديد، براي رفع اين ابهام پيش از پاسخگويي از او سئوال کنيد. مخصوصا ما ايرانيها به علت تعارفي بودنمان عادت به اين مسئله نداريم و اينطور تصور ميکنيم که سئوال ما بي مورد خواهد بود و چون او را قابل اعتماد ندانسته ـ ايم ادبي به طرف مقابل باشد؛ در صورتي که اين مسئله ارتباطي به مطمئن يا غير مطمئن تلقي کردن شخص مقابل ندارد و صرفا پاسخگويي به عقلانيت و منطق خود است که ميتوان آنرا «احتياط» تعبير کرد.
به عنوان يک مدير يا مقام مسئول توجه داشته باشيد که:
– کارمندان و افراد تازه کار بيش از سايرين در معرض مهندسي اجتماعي قرار دارند. افرادي را مأمور آموزش به آنان نمائيد. هنگامي که مثلا به آنها ميگوئيد که چگونه از تلفن هاي خود و ساير بخشها استفاده کنند، سياستهاي شرکت خود را در رابطه با مهندسي اجتماعي را هم برايشان توضيح دهيد.
– سرايداران، منشي ها و نگهبانان از ديگر گروه هايي هستند که ممکن است راحت تر مورد اين نوع حمله قرار گيرند؛ چرا که از پيچيدگيهاي عمل نفوذگري کمتر اطلاع دارند.
براي چندمين بار!
E-mail هاي ناشناس را هرگز باز نکنيد!!

سوالات خود را در زمينه هک ، امنيت و حفظ اصلاعات شخصي روي اينترنت با ما در ميان بگذاريد تا حتي الامکان در همين سايت جواب آنها را دريافت نماييد. به ايميلهايي که به جاي سوال، درخواست انجام هک داشته باشند، حتي پاسخ هم داده نخواهد شد.
 

 

 

 

ورود به دنياي هک – اجراي همزمان برنامه ها با ويندوز

        همانطور که در شماره قبل وعده داده بوديم، در اين شماره به بررسي روشهاي مختلف به کار گرفته شده توسط ترواها براي اجرا شدن با هر بار اجراي ويندوز مي پردازيم تا بتوانيم از اين طريق آنها را شناسايي و حذف کنيم. اگرچه به روشهاي قديمي هم اشاره مختصري خواهيم کرد، فقط به بررسي روشهاي امروزي مي پردازيم. با اينکه در مورد حذف ترواها بعداً بيشتر خواهيم نوشت، پس از مطالعه اين مقاله شما بايد بتوانيد نه تنها ترواها، بلکه ساير برنامه هاي احتمالاً مزاحمي را که با هر بار اجراي ويندوز شما خود را اجرا مي کنند بيابيد. اگرچه اين متن کمي تخصصي به نظر مي رسد، اصلاً وحشت نکنيد، يکبار آن را با حوصله بخوانيد و سپس بار دوم ضمن خواندن متن، کارهاي نوشته شده در آن را انجام دهيد.

 روشهاي مختلفي که يک برنامه مي تواند از طريق آنها خود را با هر بار اجراي ويندوز اجرا کند عبارتند از:

 1- استفاده از winstart.bat: در اين روش که مناسب ويندوزهاي قديمي است، فايلي به نام winstart.bat در شاحه ويندوز ساخته مي شود و برنامه از اين فايل فراخواني مي شود؛ به اين صورت که اگر اين فايل موجود نباشد ساخته مي شود و در غير اين صورت فقط نام برنامه به آن اضافه مي شود.

2- استفاده از win.ini: در اين روش که امروزه زياد مورد استفاده قرار نمي گيرد، با نوشتن عبارت load=filename.exe (که به جاي filename.exe نام برنامه قرار مي گيرد) يا Run=filename.exe در قسمت [windows]، برنامه مورد نظر با هر بار اجراي ويندوز اجرا خواهد شد. براي باز کردن فايل Win.ini و مشاهده محتويات آن، بهترين روش استفاده از برنامه System configuration editor ويندوز است. براي اجراي اين برنامه از منوي Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد)، تايپ کنيد SysEdit و OK را فشار دهيد. از بين فايلهاي باز شده فايل مورد نظر را پيدا کنيد. اگر دقيقاً با اين فايلها آشنايي نداريد، مواظب باشيد که تغييري در اين فايلها ندهيد و اگر داديد، تغييرات خود را ضبط نکنيد. 3- استفاده از

System.ini: اين روش بسيار مشابه روش بالاست. و مانند بالا اين فايل هم درون System configuration editor قابل مشاهده است. اگر در اين فايل به عبارتي مشابه shell=Explorer.exe trojan.exe برخورد کرديد، سيستم شما بلافاصله پس از اجراي explorer.exe، trojan.exe را اجرا خواهد کرد.

 4- استفاده از Start up: هر برنامه اي که در منوي Start داخل قسمت Startup قرار بگيرد، با هر بار اجراي ويندوز خود به خود اجرا خواهد شد. Startup در ويندوزهاي جديدتر در قسمت All programs منوي Start قرار دارد. 5- استفاده از رجيستري: اين روش که در حال حاضر متداولترين روش مورد استفاد ترواها و کرمها مي باشد به اين صورت است که نام فايل اجرايي به قسمت

Run در رجيستري اضافه مي گردد. رجيستري ويندوز حاوي اطلاعات مختلفي از سخت افزارها و نرم افزارهاي گوناگون نصب شده روي سيستم شماست. براي مشاهده رجيستري، از منوي Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد) و در داخل جعبه متن آن تايپ کنيد: RegEdit و OK را فشار دهيد. اگر دقيقاً با رجيستري آشنايي نداريد، مواظب باشيد که تغييري در آن ندهيد. از ميان قسمتهاي مختلف رجيستري در اينجا ما با HKEY_CURRENT_USER و HKEY_LOCAL_MACHINE سروکار داريم. يکي از ايندو را انتخاب کنيد و روي آن Double Click کنيد (يا روي علامت + کنار آن کليک کنيد) حال به ترتيب گزينه هاي زير را انتخاب کنيد تا به Run برسيد:

Software -> Microsoft -> Windows -> Current Version -> Run

      در شرايطي که بيش از يک نفر از يک رايانه استفاده مي کنند و روي آن کاربران مختلف تعريف کرده اند، معمولاً برنامه هايي که در قسمت Run موجود در HKEY_LOCAL_MACHINE نامشان نوشته شده باشد با هر بار اجراي ويندوز براي تمام کاربران آن اجرا مي شوند اما برنامه هايي که نام آنها در HKEY_CURRENT_USER آمده باشد فقط براي کاربري که در حال حاضر از سيستم استفاده مي کند اجرا خواهند شد.

       ممکن است علاوه بر Run، گزينه هايي به نامهاي RunOnce، RunServices يا RunServicesOnce را هم ديده باشيد که آنها هم همين اثر را دارند با اين تفاوت که اگر نام برنامه اي در RunOnce يا RunServicesOnce قرار بگيرد فقط يکبار يعني فقط دفعه بعدي که ويندوز اجرا مي شود به همراه ويندوز اجرا خواهد شد.       6- روش

ShellOpen رجيستري: در رجيستري و در زير کليدهاي زير بايد هميشه عبارت «%1» %* نوشته شده باشد اما اگر به عبارتي مانند trojan.exe «%1» %*  برخورد کرديد، بدانيد که فايل Trojan.exe سعي دارد کاري کند با هر بار اجراي هر فايل اجرايي روي رايانه شما، او هم اجرا شود:   [HKEY_CLASSES_ROOT\exefile\shell\open\command]   [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

       7- استفاده از روشهايي مانند  Binding و جايگزيني: اگرچه روشهايي که در بالا نوشته شد حاوي تمامي روشهايي است که امروزه مورد استفاده قرار مي گيرند، روشهاي اجرا هرگز به موارد فوق ختم نمي شوند و هميشه جاي ابتکار يا استفاده از روشهايي که فقط روي سيستمها يا در شرايط خاصي عمل کنند باز است بنابراين به صرف اينکه مطمئن شويد از طريق روشهاي بالا سيستم شما آلوده نشده است کفايت نمي کند. به عنوان نمونه در روشهايي مانند  Binding و جايگزيني که هنوز چندان مورد استفاده قرار نگرفته و پيش بيني مي شود در آينده نزديک بيشتر مورد استفاده قرار بگيرند، فايلي که قرار است با هر بار اجراي ويندوز خود را اجرا کند، فايل ديگري را پيدا مي کند که اين کار را انجام دهد و سپس خود را به آن مي چسباند. به عنوان نمونه با تشخيص اينکه روي سيستم، فايل مربوط به ويندوز مسنجر با هر بار اجراي ويندوز اجرا مي شود، کاري مي کند که در هنگام اجراي ويندوز مسنجر، آن برنامه هم اجرا شود. اگر برنامه براي اين کار خود را به فايل اجرايي مسنجر ويندوز بچسباند، مي گويند از Binding استفاده کرده است اما اگر خود را جايگزين آن کند، مي گويند از روش جايگزيني استفاده کرده است. اگرچه اين روشها از قديم توسط ويروسهاي مختلف براي آلوده کردن فايلهاي اجرايي به کار گرفته مي شدند اما استفاده از اين روش براي اجراي همزمان با ويندوز احتمالاً به زودي بيشتر مورد استفاده قرار خواهد گرفت.

      پس از مطالعه روشهاي بالا، احتمالاً شما هم با من هم عقيده هستيد که پيدا کردن يک تروا به روش دستي کار چندان ساده اي نيست؛ اما اکثريت قريب به اتفاق ترواها از روشهاي رجيستري استفاده مي کنند و شما از تغييرات ايجاد شده در قسمتهاي Run مي توانيد به آلوده شدن سيستم پي ببريد. يک ابزار بسيار عالي که در اکثر ويندوزها وجود دارد (در ويندوز 2000 وجود ندارد) ابزاري به نام System Configuration Utility است. براي اجراي اين ابزار، از منوي Start، Run را انتخاب کنيد (يا کليد ويندوز کيبورد خود را بگيريد و سپس کليد R را فشار دهيد) و در داخل جعبه متن آن تايپ کنيد: MSConfig و OK را فشار دهيد. اگرچه اين ابزار کاربردهاي مختلفي دارد، ما در اينجا فقط به ذکر کاربردهايي از آن مي پردازيم که به موضوع بحث ما بيشتر مربوط هستند. پس از باز شدن صفحه System Configuration Utility، از بالاي صفحه Startup را انتخاب کنيد. خواهيد ديد که اکثر فايلهايي که خود به خود همراه ويندوز شما اجرا مي شوند در اينجا ليست شده اند و شما با حذف تيک کنار اسم آنها مي توانيد آنها را از کار بيندازيد. در قسمت Startup item نامي که برنامه براي خود برگزيده است، در قسمت command، آدرس فايل اجرايي برنامه و در قسمت Location تکنيک مورد استفاده توسط برنامه براي اجرا را خواهيد ديد. توجه به نکات زير هم در استفاده از MSConfig به شما کمک خواهد کرد:1- چون معمولاً قسمتهاي

command و location فضاي کافي براي نمايش کامل محتويات خود را ندارند، موش رايانه را روي خط جداکننده command از location يا خط انتهاي location ببريد تا بتوانيد اندازه اين قسمتها را تغيير دهيد.  2- عبارتهاي HKCU و HKLM به ترتيب مخفف HKEY_LOCAL_MACHINE و HKEY_CURRENT_USER مي باشند که در بالا و در تکنيک شماره 5 به آنها اشاره شد.

 3- براي مشاهده فايلهاي System.ini و win.ini، علاوه بر روش گفته شده در بالا (در مورد شماره 2) کافي است که از قسمت بالاي MSConfig گزينه هاي SYSTEM.INI و WIN.INI را انتخاب کنيد.

 

 

 

 يک برنامه مي خواهم که ID را بگيرد و رمز را بدهد.

· من مي خواهم رمز يک نفر رو در بيارم، چي کار کنم؟

– اگر فرد مورد نظر در يک سايت کوچک که تمام آن هم نوشته شده توسط برنامه نويسان است باشد، ممکن است بتوانيد آن را واقعا Hack کنيد، من در اينجا صرفا به ذکر روشي که از همه بيشتر لو رفته است اکتفا مي کنم و آن اين است که در قسمت رمز عبور (يا در صورت نياز هم در قسمت نام کاربري و هم در قسمت رمز عبور) بنويسيد:

‹ or 1=1 —

اين يکي از ساده ترين حالتهاي روش موسوم به SQL injection است که روشي بسيار قوي است اما اين حالت ساده آن در حدود 90% سايتها کار نخواهد کرد (يعني اگر بدشانس نباشيد بايد حداقل اين را در 10 سايت امتحان کنيد تا يک جا کار کند!) اما ادامه پاسخ به سوال شما: حال فرض کنيم سايتي مثل ياهو مدنظر باشد، در اينجا اول خيال خودمون رو راحت مي کنيم که نمي تونيم رمز رو از سرور ياهو دربياريم پس يا بايد رمز امتحان کنيم (Broute force) يا رمز را از صاحب رمز بگيريم (Social engineering) يا رمز را از صاحب آن بدزديم (Trojans)! حالت اول نياز به تخصص دارد و حتي گاهي غير ممکن است زيرا سيستمها بعد از چند بار امتحان رمز اشتباه از سوي شما ديگر رمزي قبول نمي کنند. مثلا Yahoo شما را مجبور مي کند که کلمه اي که هر بار تغيير مي کند را نيز وارد کنيد. مي توانيد در صفحه ايميل Yahoo چندين بار رمز اشتباه بزنيد تا نتيجه را ببينيد و اگرچه مي توان مشکل بستن IP را با استفاده از Proxy server هاي رايگان تا حدي برطرف کرد، باز هم اين روش بيشتر مناسب سيستمهاي ساده تر است (کاربرد اين روش در صفحاتي که براي کساني که رمز خود را فراموش کرده اند طراحي شده است را فراموش نکنيد! اگر تاريخ تولد وارد شده و کد پستي کسي را بدانيد شايد حدس زدن بقيه اطلاعات عملي باشد!) بنابراين استفاده از نرم افزارهاي امتحان کننده رمز هم براي اين سرورهاي معروف نتيجه اي نخواهد داشت. راه ديگر Trojan horse است که اگر تقاضا برايش زياد باشد در مورد آن توضيح جداگانه داده خواهد شد اما از آنجايي که اولا نرم افزارهاي ضد ويروس ممکن است آن را بيابند و ثانيا سيستم عامل ويندوز XP با داشتن يک Firewall به نسبت خوب مي تواند جلوي اکثر اينها را بگيرد، عملا قابل استفاده نخواهد بود مگر روي کساني که يا به کامپيوترشان دسترسي داشته باشيد و يا اطمينان داشته باشيد که از يک سيستم عامل قديمي (باورتون مي شه کسي از ويندوز 5 سال پيش استفاده کنه؟! از ويندوز 98؟! واقعا آدم متاسف مي شه!! 5 سال!! اونم تو کامپيوتر!!) استفاده مي کند و ضد ويروس ندارد يا زياد آن را به روز نمي کند. اما راه اصلي يعني Social Enmgineering:

Social Engineering تاريخي طولاني دارد و معمولا نازيهاي آلمان را از جمله استفاده کنندگان موفق آن مي دانند. اين روش يعني کاري کنيد که خودش به ما رمز را بگويد! من فقط چند روش ممکن را براي شما مي نويسم:

1- ساختن صفحه اي شبيه صفحه ياهو. به عنوان مثال يک ايميل به شکل کارت پستال برايتان ارسال مي شود که ممکن است به نظر بيايد از طرف دوست نزديکتان آمده است و وقتي روي لينک کارت پستال کليک مي کنيد پيغامي مانند Your session has been expired و Relogin مي گيريد اما در صفحه اي بجز Yahoo هستيد! يعني اگر رمزتان را بنويسيد عملا خودتان آن را به فرد نفوذگر هديه کرده ايد. حالت ديگر ساختن صفحاتي است که جلب توجه کند مثل صفحه اي که مي گويد با ياهو قرارداد دارد و مي توانيد با اکانت ياهو خود وارد آن شويد!! به عنوان مثال صفحه اي با عکسهايي مستهجن از دختران ايراني يا… خيالتان راحت باشد که رمز و اسم ياهو فقط در ياهو کار مي کنند و هرجاي ديگر آن را بزنيد، دو دستي تقديمش کرده ايد! هميشه بايد مواظب باشيد که هرگز در صفحه اي بجز صفحه واقعي خود ياهو اسم و رمز خود را وارد نکنيد. اين روزها مد شده است که بسياري از دوستان با ساختن صفحاتي مشابه ياهو (معمولا save کردن خود صفحه sign in ياهو و سپس تغيير مسير فرمي که بايد رمز را به ميزبان ياهو انتقال دهد به صورتي که رمز شما را به سازنده صفحه ايميل کند يا در يک فايل ذخيره کند. براي اين کار کافي است يک host رايگان بگيرد و فايلهاي خود را روي آن قرار دهد، فقط بايد مواظب باشد که حتماً از Coffee net استفاده کند!) اقدام به دزدي رمز عبور مي کنند. حالا سوال اينجاست که از کجا بفهميم که صفحه اي که داخل آن هستيم واقعا از طرف خود ياهو است يا نه؟ به عنوان يک قاعده کلي، ابتدا F6 و سپس کليد Home را بزنيد. با اين کار شما ابتداي نوار آدرسي را که آدرس صفحه وب را نشان مي دهد مي بينيد. (راه ديگر: کافي است با کليک موش روي نوار آدرس آن را فعال کنيد و با فلش سمت چپ به سراغ اول آن برويد.) اگر آغاز آن به شکل زير نبود، صفحه را ببنديد (پيشنهاد مي شود قبل از بستن صفحه تعداد زيادي کلمات بي معني به عنوان اسم و رمز جهت سرگرم کردن دزد ياد شده وارد فرماييد) و اگر مانند زير بود با خيال راحت اسم و رمز خود را وارد فرماييد:

http://login.yahoo.com/هر چيزي

    البته اگر به جاي کلمه login هر چيز ديگري باشد با دقت به اينکه به yahoo.com ختم شده باشد، باز هم از صفحات خود ياهو خواهد بود.مهم: روش بالا هم قابل نقض شدن است و  100% قابل اطمينان نيست! بهتر است علاوه بر آن، با کليک روي «

Secure» منتظر شويد تا عکس يک قفل را در Internet explorer خود ببينيد. (باز هم 100% نيست!)2- فرد نفوذگر يک ID مانند auto-password-sender@yahooc.com ثبت مي کند و به شما مي گويد که اگر ايميلي به فرم خاص و عجيبي به آن آدرس بفرستيد و در جاهاي خاصي از آن آدرس ايميل خود و رمز عبور خود و در جاي ديگري ايميل کسي که رمز او را مي خواهيد بنويسيد و به آنجا ارسال کنيد تا رمز براي شما ايميل شود. زماني که ما به نيت آزمايش همين سيستم را پياده کرديم متاسفانه تعداد خيلي زيادي نامه گرفتيم که عملا رمز خود را به ما هديه کرده بودند و يک پاسخ هم ارسال مي کرديم که ظرف يک هفته رمز را مي گيريد و ظاهر آن را با تبليغات و طراحي زيبا واقعي کرده بوديم. براي کساني هم که مي فهميدند و ايميل مسخره مي فرستادند ايميل با پيغامهاي خطا مي فرستاديم طوري که آنها هم وسوسه مي شدند!! پس مواظب باشيد رمز عبور خود را به هيچ شکلي به کسي هديه ندهيد!! خيالتان راحت باشد که هرگز هيچ سيستمي از طريق ايميل يا تلفن رمز عبور شما را نخواهد پرشيد و هرگز ياهو به شما ايميل نمي زند که در آن رمز خود را بنويسيد! اگر روزي آنها نياز داشته باشند، رمز عبور شما را عوض مي کنند و آن را به شما اطلاع مي دهند نه اينکه رمز شما را بپرسند!

Social engineering به اينجا ختم نمي شود و داستانهاي زيادي از آن باقي است. در پايان اشاره اي به يک داستان واقعي مي کنيم: فردي که قصد نفوذ به يک ساختمان داراي اتاقهاي سرور کاملا حفاظت شده با انواع دوربينها و دزدگيرها را داشت، به راحتي خود را مسوول بازبيني سرورها براي سازگاري با سال 2000 معرفي مي کند و از تک تک افراد رمزشان را مي پرسد و يادداشت مي کند! حتي با گفتن اينکه بگوييد فايلهاي مهمتان کجاست تا از انها پشتيباني تهيه کنم که مبادا در حين آزمايش سيستمها به آنها صدمه اي برسد، زحمتي براي جستجو به دنبال فايلهاي مهم هم متحمل نشد! شما هرگز و تحت هيچ شرايطي نه حضوري، نه پاي تلفن و نه در ايميل نبايد رمز خود را به کسي بگوييد! حتي رمز اينترنت خود را به مدير شرکتي که از آن اينترنت گرفته ايد هم ندهيد! چون اگر او واقعا نياز داشته باشد به راحتي آن را تغيير مي دهد. در همين مورد مقاله اي در صفحه اصلي هک همسفر وجود دارد که با خواندن آن مهندسي اجتماعي را بيشتر خواهيد شناخت.

· وقتي من به سايتي سر مي زنم، مي تونه چيزي رو بدون اينکه براي من هيچ اخطاري بياد رو سيستم من اجرا کنه؟

بله!! اگر ويندوز خود را به روز نکرده باشيد و جديدترين Updateها را نصب نکرده باشيد، هم سايتها و هم ويروسها مي توانند اين بلا را سر شما بياورند. حتي مي توانند روي سيستم شما جاسوس نصب کنند يا کامپيوتر شما را به يک ميزبان ويروس تبديل کنند. ترجيح مي دهيم اطلاعات بيشتري ندهيم و به ايميلي در اين زمينه هم جواب نخواهيم داد اما با جستجو روي اينترنت مي توانيد در اين زمينه مطالبي پيدا کنيد. اين مشکل را اينترنت اکسپلورر نسخه هاي 5، 5/5 و 6 همه دارند! از طرف ديگر صرف داشتن Media player به روز نشده يا جاوا به روز نشده مي تواند باعث شود که سايتي که به آن سر مي زنيد اطلاع کاملي از شما و فايلهايتان به دست بياورد! بهترين راه، سر نزدن به سايتها و وبلاگهاي غير مطمئن و نصب تمامي updateها مي باشد.  البته براي کاربران خانگي صرف نصب تمامي updateها و استفاده از ضدويروسهاي آنلاين کافي است.

· چجوري و با چه برنامه اي ويروسها يا جاسوسهايي که روي کامپيوتر من آمده اند را پيدا کنم و پاک کنم؟

بهتر است به جاي استفاده از نرم افزارهاي ضد ويروس يا به همراه آنها هر چند وقت يکبار از طريق لينک پايين صفحه «اخبار هک» سيستم خود را چک کنيد. بار اول بايد خيلي منتظر شويد تا سيستم را روي کامپيوتر شما ضبط کند ولي از آن به بعد فقط آخرين نسخه اطلاعات ويروسها را خواهد گرفت که کمتر طول مي کشد. اين سيستم ضد ويروس و Trojan نه تنها بهترين است، بلکه کاملا هم رايگان است و حتي مي توانيد بدون عضويت هم از آن استفاده کنيد (با انتخاب Scan without registering) و ممکن است فقط اسم کشورتان را براي آمارگيري از شما بپرسد.

 

 

ويروس Blaster و پاك كردن آن

همانطور که همگی شنيده ايد و می شنويد، در روزهای اخير ويروسی روی بسياری از سيستمهای ويندوز XP و ويندوز سرور2003 فعال شده است که به محض اتصال آنها به اينترنت ظرف يک دقيقه سيستم آنها را Restart می کند. متاسفانه با وجود اينکه بسياری از فعالان اينترنت در ايران و نيز صدا و سيما به اين خبر اشاره کردند و برخی متخصصان روشهايی برای پاکسازی رايانه ها از آن اشاره کردند به نظر می رسد که هدف و نحوه کار اين ويروس برای آنها نيز به درستی شناخته شده نبوده است. در اين نوشته پس از بررسی اين ويروس و نحوه آلوده شدن سيستمها توسط اين ويروس به روشهای پاکسازی آن اشاره خواهد شد.

نه تنها نحوه کار و آلوده سازی اين ويروس، بلکه حتی اسامی مختلفی که به آن داده شده است نيز بسياری از افراد را گيج می کنند. اين ويروس را شرکت سيمانتک (نورتن) به نام W32.Blaster.Worm، شرکت McAfee به نام W32/Lovsan.worm و شرکت Trend (Pc-Cillin) به نام WORM_MSBLAST.A می شناسند. علاوه بر نامهای فوق، اين ويروس به نامهای زير نيز شناخته می شود:

DcomRPC.exploit, W32/Blaster, W32/Msblast.A, Win32/Poza.Worm, Win32.Poza

روشی که اين ويروس از آن استفاده می کن بسيار جديد است و برای اولين بار در 27 تير 1382 بود که شرکت مايکروسافت برای رفع آن اقدام کرد و صفحه http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp را که حاوی اطلاعات فنی و نحوه رهايی از اين مشکل است ايجاد کرد. بد نيست بدانيد آخرين به روز رسانی صفحه ذکر شده همين ديروز يعنی پنجشنبه 23 مرداد 1382 است! خواندن صفحه فوق به تمامی مديران ISPها و سرورها و افراد متخصص به شدت توصيه می شود. اين صفحه روش حل اين مشکل را بيان می کند و توصيه های امنيتی کلی و مهمی را يادآوری می کند. بر خلاف تصور بسياری از دوستان اين ويروس مختص ويندوز XP و ويندوز سرور 2003 نيست و سيستمهای مبتنی بر ويندوز NT و ويندوز 2000 را نيز آلوده می سازد، اما در آنها اين صفحه Restart ظاهر نمی شود.

RPC يک پروتکل است که اجازه می دهد برنامه ای که روی يک سيستم در حال اجراست، کدی را روی کامپيوتر ديگری اجرا کند. قسمتی از ويندوز که وظيفه انتقال پيامها از طريق TCP/IP را دارد در مقابل دريافت درخواستهای ناقص و بدشکل ممکن است دچار مشکل شود به طوری که اگر روی يکی از پورتهای 135، 139، 445 يا 593 درخواستی را که به شکل ويژه ای طراحی شده است ارسال کنيم خواهيم توانست تقريباً هر کاری مانند نصب برنامه، خواندن فايلها، تغيير دادن يا پاک کردن فايلها و ساختن اکانت جديد با حقوق کامل را روی آن سيستم انجام دهيم. ويروسی که در حال حاضر شيوع پيدا کرده است از همين روش استفاده می کند و از بين پورتهای مذکور در بالا پورت 135 را به کار می برد. بدون اينکه بخواهيم وارد ريزه کاريهای نحوه کار اين کرم شويم که برای اکثر خوانندگان ما مفيد نخواهد بود بايد گفت که اين ويروس پورت 4444 را نيز باز می کند و از طرف ديگر روی پورت 69 يک سرور ftp می سازد تا سيستمی که آلوده می کند بتواند با استفاده از دستور tftp ويندوز، فايل ويروس را از آنجا بگيرد و سپس با دريافت دستور مناسب آنرا اجرا کند.

اما به ويروس خودمان باز گرديم. ويروس به محض رسيدن به کامپيوتر کد زير را در رجيستری ويندوز اضافه می کند تا بتواند هر بار که ويندوز اجرا می شود خود را اجرا کند:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«windows auto update» = MSBLAST.EXE

ويروس
WORM_MSBLAST.A هر 20 ثانيه يکبار بيدار می شود و بررسی می کند که آيا سيستم به اينترنت متصل شده است يا خير. اگر اتصالی وجود نداشت دوباره به مدت 20 ثانيه می خوابد اما در غير اين صورت به تاريخ کامپيوتر شما نگاه می کند. اگر روز از 16 بزرگتر بود يا ماه بين ژانويه و آگوست بود، از طريق کامپيوتر شما با ارسال پکتهای ويژه ای که فقط شامل TCP/IP header هستند و با مهارت ساخته شده اند به سايت http://www.windowsupdate.com/ حمله می کند به طوری که در هر ثانيه 50،000 پيام از اين دست را به آن سايت ارسال می کند تا يک DOS attack را شکل دهد و سايت مذکور را فلج کند. تفاوت ظاهر فعاليت ويروس برای کاربران سيستمهای آلوده در ويندوزهای مختلف از اينجا ناشی می شود که هنگامی که RPC در ويندوز 2000 دچار مشکل شود، فعاليتش خاتمه می يابد ولی سيستم را Restart نمی کند (اين خاتمه فعاليت ساير سرويسهايی که برای اجرای خود به آن وابسته هستند را دچار مشکل خواهد کرد) در حالی که در ويندوز XP و ويندوز سرور 2003 هنگام قطع فعاليت RPC، NTAUTHORITY\SYSTEM سيستم را ظرف 60 ثانيه Restart خواهد کرد که اين يکی از تکنيکهای امنيتی به کار رفته در اين ويندوزهاست. (در حقيقت دليل اين restart ممکن است تلاش ويروس از طريق سيستم شما به آلوده کردن سيستم ديگری باشد) کاربران ويندوز XP، command prompt (از start گزينه run را انتخاب و cmd را در آن تايپ و Enter کنيد) را باز و در آن دستور shutdown –a را تايپ و Enter کنيد. اين دستور جلوی Restart شدن ويندوز را خواهد گرفت (حرف a در دستور فوق مخفف abort است).

همچنين نوشته زير داخل متن کد اين کرم به چشم می خورد:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

که در آن از Bill Gates خواسته شده است به جای کسب درآمد جلوی اجرای چنين کرمهايی را بگيرد. می توان اميدوار بود که اين کرم به بالاتر رفتن سطح کلی امنيت سيستمهای عامل و صرف هزينه بيشتر روی امنيت ويندوز و نيز از طرف ديگر به نصب به موقع به روز رسانيهای ويندوز توسط کاربران آن منجر شود.

راه حلهای رها شدن از شر ويروس فوق:

راه حلهای موقت که فقط جلوی Restart را می گيرند:

· کاربران ويندوز XP، command prompt (از start گزينه run را انتخاب و cmd را در آن تايپ و Enter کنيد) را باز و در آن دستور shutdown –a را تايپ و Enter کنيد. اين دستور جلوی Restart شدن ويندوز را خواهد گرفت (حرف a در دستور فوق مخفف abort است).

· از Control panel وارد Administrative tools شويد و از آنجا Services را انتخاب کنيد. از ليست گزينه Remote procedure call (RPC) را پيدا کنيد. روی آن کليک راست کنيد و Properties را انتخاب کنيد. در قسمت Recovery ملاحظه خواهيد کرد که اين سرويس دستور دارد در صورت بروز اشکال ويندوز را Restart کند؛ کافيست دستور آنرا عوض کنيد.

مهم: دو روش بالا ويروس را پاک نمی کنند، فقط اجازه می دهند با سرعتی شايد کمی کمتر (چون ويروس هم از اينترنت شما استفاده می کند) به اينترنت وصل شويد و بتوانيد اقدامات لازم برای پاک کردن ويروس را انجام دهيد. هرگز و تحت هيچ شرايطی تصور نکنيد در اين مرحله کار تمام شده است.

روشهای پاک کردن ويروس:


روش خودکار:
برنامه ضد ويروس خود را به روز کنيد. پس از
update شدن، آن برنامه قادر خواهد بود مشکل شما را حل کند. روش ديگر استفاده از ضد ويروس رايگان موجود در آدرس http://housecall.antivirus.com/ است. همچنين شرکت سيمانتک در صفحه ای که به اين موضوع اختصاص داده است http://securityresponse.symantec.com/avcenter/FixBlast.exe را برای دانلود در اختيار کاربران گذاشته اسن که مراحل دستی ذکر شده در زير را انجام م دهد و اين ويروس را پاک می کند. (برای اطلاعات بيشتر در مورد اين فايل آدرس http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html را ببينيد)روش دستی:
برای باز کردن
Task manager، ابتدا CTRL+SHIFT+ESC را فشار دهيد و از بالا Processes را انتخاب کنيد. حال از ليست آن MSBLAST.EXE را بيابيد و آن را End Process کنيد. با بستن و دوباره باز کردن Task manager به روش فوق مطمئن شويد کار به درستی انجام شده است.

سپس Registry editor را باز کنيد (از start گزينه run را انتخاب و regedit را در آن تايپ و Enter کنيد) حال قسمت زير را بيابيد:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

حالا عبارت «windows auto update» = MSBLAST.EXE را بيابيد و آن را حذف کنيد.

فايل MSBLAST.EXE را روی هاردتان جستجو و پاک کنيد (اين فايل را به طور معمول در پوشه سيستم ويندوز خود پيدا خواهيد کرد).برای اطلاعات بيشتر در مورد اين ويروس و ويروسهای ديگر و نيز مسائل امنيتی مشابه، از آدرس

http://www.irdir.com/hack.asp قسمت اخبار ويروسها را ببينيد.

دوستانی که نتوانستند در مرحله اول روش دستی بالا ويروس را از حال اجرا خارج کنند می توانند دستورات زير را برای غيرفعال و پاک کردن اين کرم در محيط خط فرمان (از start گزينه run را انتخاب و cmd را در آن تايپ و Enter کنيد) وارد کنند.


taskkill.exe /im msblast.exe
del %windir%\system32\msblast.exe

توجه داشته باشيد که علاوه بر نام Msblast.exe، اين کرم به اسامی «teekids.exe» و «penis32.exe» هم ديده شده است و در رجيستری ممکن است علاوه بر «windows auto update» به شکل «Microsoft Inet xp..» هم باشد.

REGEDIT2005@GMAIL.COM

 

 

 

 

 

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: