WHITE HATطراحی وب قالب وبلاگ دانلودموزیک

سال  نو  مبارک

يك درخت را در نظر بگيريد كه از ريشه - تنه - شاخه - برگ - گل - ... تشكيل شده است يعني از اگر از ريشه شروع كنيم و همين طور جلو بريم به برگها يا گلها ميرسيم ، ريجستري در ويندوز هم يك ساختار درختي دارد ، البته در نگاه اول ممكنه براي شما عجيب و غير قابل فهم باشد ،اما windows Explorer را در ويندوز در نظر بگيريد كه از My Computer شروع شده بعد به درايوها ميرسيم بعد شاخه ها يعد زير شاخه ها .... تا نهايتا به فايلها ميرسيم ساختار ريجستري نيزدقيقا چنين ساختاري را دارد.

هر شاخه اصلي با آيكون Folder نمايش داده مي شود كه به آنها اصطلاحا Hive نيز گفته مي شود. هر شاخه خود مي تواند شامل زير شاخه هايي باشد تا نهايتا به متغيرها يا مقادير برسند. در متغيرها است كه اطلاعات واقعي رجيستري ذخيره مي شود.

در رجيستري سه نوع متغير وجود دارد كه عبارتند از :String , Binary , Dword كه هر كدام از آنها در شرايط خاصي قابل استفاده مي باشد. به طور شش شاخه اصلي در رجيستري وجود دارند كه هر كدام بخشي از اطلاعات ذخيره شده در رجيستري را نگهداري مي كنند كه در اينجا اشاره اي كوتاه بر هر كدام داريم:

HKEY_CURRENT_USER: اين شاخه به بخشي از اطلاعات شاخه HKEY_USERS اشاره مي كند كه در آن خصوصيات و اطلاعات كاربر فعلي از قبيل نام كاربر، تنظيمات ميز كاري (Desktop) ، تنظيمات منوي شروع (Startmenu) و ... در سيستم نگهداري مي شود.

HKEY_CLASS_ROOT: اين شاخه شامل اطلاعاتي از قبيل :نگاشت پيوستگي فايلها براي پشتيباني از ويژگي كشيدن و رها كردن (Drag-and-Drop) ، اطلاعات OLE ، ميانبرهاي ويندوز(Shortcuts) ، و هسته اصلي واسط كاربري ويندوز (User Interface) ميباشد.

HKEY_LOCAL_MACHINE: اين شاخه شامل اطلاعاتي در مورد خصوصيات سيستم كامپيوتر از قبيل سخت افزار ، نرم افزار و ديگر مشخصه هاي كامپيوتر مي باشد، كه ان اطلاعات براي تمام كاربراني كه از سيستم استفاده مي كنند يكسان مي باشد.

HKEY_USERS:  اين شاخه محتواي اطلاعات انتخابات و تنظيمات مربوط به هر كاربر مي باشد.هر كاربر يك SID در اين شاخه دارد .

HKEY_CURRENT_CONFIG: اين شاخه نيز به شاخه LOCAL_MACHINE اشاره ميكند و در ارتباط ميباشد و شامل پيكربندي سخت افزار سيستم مي باشد.

HKEY_DYN_DATA: اين شاخه نيز به شاخه HKEY_LOCAL_MACHINE اشاره مي كند و براي استفاده از خاصيت PLUG & PLAY در ويندوز مي باشد . اين بخش پويا مي باشد يعني بر اساس هر وسيله يا دستگاه جانبي كه به سيستم متصل مي شود تغيير مي كند.

پنج نوع متغير نيز وجود دارد كه هر كدام در زير شرح داده شده اند:

REG_BINARY : اين نوع متغير داده نوع باينري خام را ذخيره مي كند.اكثرا اطلاعات سخت افزار و اجزاء در اين نوع متغير ذخيره مي شود و همچنين در ويرايشگر رجيستري ويندوز قابليت نمايش اين نوع متغير به صورت هگزا دسيمال نيز وجود دارد.

REG_DWORD : اين نوع متغير براي نمايش داده هاي 4 بايتي و همچنين براي ذخيره كردن مقادير منطقي درست يا غلط(TRUE OR FALSE) به كار ميروند.بدين ترتيب كه براي نمايش غلط ار عدد "0" و براي نمايش درست از "1" استفاده ميشود . علاوه بر اين براي نگهداري پارامترهاي گرداننده‏ ددستگاهها و سرويس دهنده ها از اسن نوع پارامتر لستفاده مي كنند.و در REGEDT32 قابليت نمايش به صورت باينري ،هگزا و دسيمال را دارد.

REG_EXPAND_SZ : اين يك نوع متغيررشته اي فابل گسترش مي باشد كه نرم افزار ها جهت بعضي اعمال خود از اين متغير استفاده مي كنند.براي مثال در ويندوز 2000 ياNT به جاي عبارت %SYSTEM ROOT% با مقدار واقعي خود يعني مسير نصب ويندوز (مثلا C:WINDOWS) جايگزين مي شود. بايد توجه داشته باشيد كه اين نوع متغير فقط در ويرايشگرهاي پيشرفته رجيستري از قبيل REGEDT32 قابل استفاده است.

REG_MULTI_SZ : اين نوع متغير رشته اي چند گانه مي باشد كه براي مقاديري كه شامل يك ليست يا چندين مقدار ميباشد به كار مي رود كه هر مقدار با كاراكتر NULL از بقيه جدا مي شود. بايد توجه داشته باشيد كه اين نوع متغير فقط در ويرايشگرهاي پيشرفته رجيستري از قبيل REGEDT32 قابل استفاده است.

REG_SZ : اين نوع متغير رشته اي استاندارد مي باشد كه براي ذخيره كردن متن قابل خواندن توسط كاربر استفاده مي شود.

انواع ديگر نوع داده كه در ويرايشگرهاي استاندارد قابل استفاده نيستند عبارتند از :
 
REG_DWORD_LITTLE_ENDIAN : كه يك عدد 32 بيتي از نوع LITTLE_ENDIAN را مي توانند در خود ذخيره كنند.

REG_DWORD_BIG_ENDIAN : كه يك عدد 32 بيتي از نوع BIG_ENDIAN را مي توانند در خود ذخيره كنند.

REG_LINK : كه يك پيوند نماد ين يونيكد مي باشد و به طور داخلي استفاده ميشود و نرم افزارها قادر به استفاده كردن از آن نمي باشند.

REG_NONE : كه نوع خاصي براي آن تعريف نشده است.

REG_QWORD : اين نوع متغير مي تواند يك عدد 64 بيتي را در خود ذخيره كند.

REG_QWORD_LITTLE_ENDIAN : اين نوع متغير نيز مي تواند يك عدد 64 بيتي با فرمت LITTLE_ENDIAN را در خود ذخيره كند .

REG_RESOURCE_LIST : ليست منبع گرداننده هاي دستگاه ها مي باشد 
 

در قسمت قبل تعدادی از موارد مهم که کاربران و مدیران شبکه باید برای داشتن بستر ارتباطی امن درنظر بگیرند مطرح شد. در این قسمت تعداد دیگری از توصیه‌های مهم در این  زمینه ارائه می‌گردد.

۶- کد‌های دودویی موجود بر روی سیستم خود را چک کنید که تغییر نکرده‌باشند. برای این کار فایل‌های موجود بر روی سیستم را با نسخه‌هایی از فایل‌ها که به اصالت آنها اطمینان دارید و در محل‌های امن ذخیره شده‌اند (به عنوان مثال رسانه‌هایی که فایل‌های اولیه برای نصب نرم‌افزار بر روی آنها قرار گرفته‌اند) مقایسه کنید. در استفاده از نسخه‌های پشتیبان‌ دقت کنید، ممکن است حاوی اسب‌های تروا باشند.

اسب‌های تروا فایل‌های با اندازه و برچسب‌های زمانی مشابه نسخه‌های اصلی ایجاد می‌کنند. بنابراین تنها مقایسه اندازه و برچسب‌های زمانی فایل‌ برای دریافتن اصالت آن‌ها کافی نیست. به جای این کار باید از MD5، Tripwire و سایر ابزارهای رمزنگاری Checksum فایل‌ها برای آشکارسازی اسب‌های تروا استفاده کنید. حتما از اصالت این ابزارها اطمینان حاصل کنید و مطمئن شوید که با امنیت نگه‌داری شده و امکان تحریف آنها توسط نفوذگران وجود نداشته است. می‌توانید برای امضای خروجی‌های تولید شده توسط MD5 و Tripwire از نرم‌افزارهایی مانند PGP‌ بهره بگیرید تا در ارجاعات بعدی با اطمینان از این گزارشات استفاده کنید.

برنامه‌های ضدویروس هم می‌توانند برای مقابله با ویروس‌های کامپیوتری، اسب‌های تروا و درهای پشتی به کار گرفته شوند. به خاطر داشته باشید برنامه‌های مخرب همواره تولید می‌شوند، بنابراین درصورت استفاده از این برنامه‌ها از به‌روز بودن آنها مطمئن شوید.

۷- پیکربندی‌های سیستم محلی و شبکه خود را بررسی کرده، اطلاعات غیرمجاز وارد شده را شناسایی نمایید. مداخل غیرمجاز پیکربندی‌ بخش‌هایی مانند WINS، DNS و IP forwarding را بررسی نمایید. برای این کار می‌توانید از ابزار Network Properties و یا دستور "ipconfig /all" بهره بگیرید.

اطمینان حاصل کنید که تنها سرویس‌های شبکه‌ای که مورد نیاز است در حال اجرا بر روی سیستم هستند.

با استفاده از دستور "netstat -an" پورت‌های نامعمولی را که برای ارتباط از سایر میزبان‌ها در حال گوش دادن هستند را چک کنید. دستورات زیر که به صورت یک فایل دسته‌ای قابل اجرا می‌باشند رفتار همه پورت‌هایی که در حالت گوش دادن هستند را تحلیل کرده و سپس می‌تواند سرویس‌هایی که در حال اجرا بر روی آن پورت‌ها هستند را اعلام می‌نماید. برای استفاده از این فایل شماره پورت‌های شناخته شده را از آدرس زیر دریافت کنید:

http://www.iana.org/assignments/port-numbers

سایر شماره پورت‌هایی که توسط محصولات مایکروسافت مورد استفاده قرار می‌‌گیرند را می‌توان از مقالات پایگاه دانش مایکروسافت دریافت نمود. به این ترتیب می‌توان فایلی با فرمت فوق ساخت که سرویس‌های مختلف در حال اجرا بر روی سیستم‌های NT‌ را لیست می‌کند.

Windows NT, Terminal Server, and Microsoft Exchange Services Use TCP/IP Ports http://support.microsoft.com/support/kb/articles/q150/5/43.asp

SMS: Network Ports Used by Remote Helpdesk Functions http://support.microsoft.com/support/kb/articles/q167/1/28.asp

XGEN: TCP Ports and Microsoft Exchange: In-depth Discussion http://support.microsoft.com/support/kb/articles/q176/4/66.asp

How to Configure a Firewall for Windows NT and Trusts http://support.microsoft.com/support/kb/articles/q179/4/42.asp

در فایل دسته‌ای عبارت “TAB”‌ را با یک tab‌ واقعی جایگزین کنید. این فایل هیچ یک از فایل‌های موجود بر روی سیستم را تغییر نداده و بر روی آنها نمی‌نویسد. برای اجرای این برنامه نیاز به فایلی با نام “port-numbers.txt” دارید که شماره پورت‌ها و سرویس‌های ممکن بر روی هر یک از آنها را در خود دارد. شماره‌ پورت‌های ارائه گردیده در لیست فوق را می‌توان در فایلی با این نام ذخیره کرد.

متن فایل دستوری به صورت زیر است:

@echo off

      for /f "tokens=1,2 delims=:" %%I in ( 'netstat -an ^| findstr "0.0.0.0:[1-9]"' 

) do call :CLEAN %%I %%J

   goto :EOF

 :CLEAN

     set X=0

     for /f "tokens=1,2,3 delims=TAB " %%A in ( 'findstr /I "\<%3/%1\>" port-
numbers.txt' ) do call :SETUP %%A %%C %3 %1

     if %X% == 0 echo %3/%1 ***UNKNOWN***

   goto :EOF

   :SETUP

     echo %3/%4 %1 %2

     set X=1;

   goto :EOF

۸- منابع به اشتراک گذاشته شده در سیستم را بررسی نموده، موارد غیر مجاز را شناسایی نمایید. با استفاده از دستور "net share" و یا ابزار Server Manager می‌توان لیست منابع به اشتراک گذاشته شده را مشاهده نمود. در NT‌ فایل‌های اشتراکی پنهان با افزودن یک علامت $‌ به انتهای نام نمایش داده می‌شوند. در این سیستم عامل تعدادی نام اشتراکی پیش‌فرض مانند PRINT$ استفاده می‌شود. در صورتی که چاپگر اشتراکی در سیستم وجود ندارد باید چک شود که این پوشه اشتراکی چرا و چگونه اینجاد شده است. اگر نام اشتراکی عجیبی در لیست سیستم مشاهده ‌شود ابزارهای موجود مکان واقعی پوشه مورد نظر را بر روی سیستم نشان می‌دهد. می‌توان برای یک درایو و یا یک پوشه چندین نام‌ اشتراک گذاشت، و هر یک از این نام‌ها مشخصات و حقوق دسترسی خاص خود را دارند.

۹- همه وظایف زمان‌بندی شده در سیستم را بررسی نمایید. نفوذگران می‌توانند درپشتی را از طریق برنامه‌هایی که  برای اجرا در آینده برنامه‌ریزی شده‌اند ایجاد نمایند. علاوه بر این مطمئن شوید که امکان نوشتن بر روی فایل‌ها و برنامه‌هایی که توسط برنامه زمان‌‌بندی به آنها ارجاع شده است وجود ندارد. برای دیدن لیست وظایف در انتظار می‌توانید از دستور "at" استفاده کنید و یا ابزار WINAT‌ را از NT resource kit اجرا نمایید.

۱۰- فرآیندهای غیرمعمول در سیستم را شناسایی نمایید. برای جمع‌آوری اطلاعات در مورد فرآیندهای در حال اجرا بر روی سیستم می‌توانید از ابزار Tool Manager یا دستورات Pulist.exe و tlist.exe از NT resource kit استفاده نمایید.

۱۱- سیستم را با هدف یافتن فایل‌های مخفی و یا نامتعارف جستجو کنید. این فایل‌ها برای مخفی نگه‌داشتن ابزارها و اطلاعات (به عنوان مثال برنامه‌های سرقت گذرواژه، فایل‌های گذرواژه سایر سیستم‌ها و ...) به کار می‌رود. فایل‌های مخفی را می‌توان با استفاده از مرورگر NT‌ (در صورتی که در صفحه Options از منوی View گزینه Show all files انتخاب شده باشد) و همینطور با تایپ دستور "dir /ah" مشاهده نمود.

۱۲- فایل‌ها و کلید‌های رجیستری را بررسی کنید که مجوزهای آنها تغییر نیافته باشند. یکی از قدم‌های اساسی در تامین امنیت یک سیستم مبتنی بر NT تنظیم صحیح مجوزهای دسترسی به فایل‌ها و کلیدهای رجیستری است به نحوی که کاربران غیرمجاز نتوانند برنامه‌های خود (مانند درهای پشتی و یا ثبت‌کنندگان فعالیت‌های کاربران) را اجرا کرده و یا فایل‌های سیستمی را تغییر دهند. با استفاده از برنامه XCACLS.EXE که بخشی از NT Resource Kit می‌باشد می‌توان ویژگی‌های فایل‌ها را چک کرد. علاوه بر این می‌توان از NT Security Configuration Manager هم برای تحلیل پیکربندی سیستم استفاده نمود.

۱۳- تغییرات سیاست‌های کام‍پیوتر و کاربر را بررسی نمایید. سیاست‌ها در سیستم‌های مبتنی بر NT‌ برای تعریف دامنه گسترده‌ای از پیکربندی‌ها به کار می‌روند و مشخص می‌سازند که یک کاربر مجاز به انجام چه کارهایی می‌باشد.

۱۴- مطمئن شوید که سیستم در دامنه‌ای به غیر از دامنه پیش‌فرض تعریف نشده است. نفوذگران برای داشتن دسترسی با حقوق مدیریت سعی می‌کنند سیستم را در دامنه‌ای که خود حقوق مورد نیاز را در آن دارند عضو نمایند.

۱۵- هنگام جستجو برای یافتن رد‌پای نفوذگران همه سیستم‌های موجود در شبکه محلی را بگردید. در بیشتر مواقع اگر یک دستگاه در خطر افتاده باشد، امکان اینکه سایر دستگاه‌ها هم مورد هجوم قرار گرفته باشند وجود دارد.

ب. بروز بودن با مراجعه به مراکز اطلاع‌رسانی معتبر

برای این کار می‌توانید به سایت‌ مرکز هماهنگی گروه‌های امداد امنیت رایانه‌ای (CERT/CC) و یا مرکز امداد امنیت رایانه‌ای ایران (IRCERT) مراجعه نمایید.

ج. استفاده از نرم‌افزارهای تشخیص نفوذ

تعدادی از نرم‌افزارهای مجانی و یا مدت‌دار تشخیص نفوذ در آدرس زیر قابل دسترسی می‌باشند:

http://www.cerias.purdue.edu/coast/ids/

تعدادی از نسخه‌های نرم‌افزارهای تشخیص نفوذ که به صورت تجاری ارائه می‌شوند در زیر ارائه شده است:

Kane Security Monitor (KSM)
http://centauri.ods.com/security/products/ksm.shtml

OmniGuard/ITA (OmniGuard/Intruder Alert)
http://www.axent.com/Axent/Products/IntruderAlert

Real Secure
http://solutions.iss.net/products/rsecure/rs.php

CyberCop Monitor
http://solutions.sun.com/catalogs/all/Internet_and_Intranet/Security/42189.html

Intact
http://pedestalsoftware.com/intact

الف. ردیابی علائمی که خطرات احتمالی سیستم  را نشان می دهند:

۱- Log  فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[1]، خادم وب و یا مسیریاب  سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها  هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log  ردپای خود را از روی سیستم پاک می کنند.

۲- کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.

۳- همه گروه ها را چک کنید که کاربران نامعتبر عضو آنها نباشند. بعضی از گروه های پیش فرضNT اختیارات خاصی را به اعضای خود می دهند. اعضای گروه Administrators می توانند بر روی سیستم محلی هر گونه فعالیتی را انجام دهند. کاربران Backup operator می توانند همه فایل های موجود بر روی سیستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سیستم را دارند.

۴- حقوق کاربران را بررسی کنید و امکان انجام فعالیت های غیرمنطقی را از آنها بگیرد. برای این کار می توان از Administrative Tools آیکون Local Security Settings را انتخاب کنید. حقوق مختلفی که می توان به کاربران و گروه های مختلف داد در بخش User Rights Assignment قابل مشاهده می باشد. ۲۷ حق مختلف وجود دارد که قابل تخصیص دادن به کاربران و گروه های کاربری می باشد. پیکربندی پیش فرض حقوق کاربران معمولا امنیت مناسبی را داراست.

۵- از عدم اجرای برنامه های غیر مجاز اطمینان حاصل کنید. یک نفوذگر می تواند با استفاده از روش های متنوعی یک برنامه درپشتی را اجرا کند. بنابراین از موارد زیر مطمئن شوید:

·         پوشه های Startup موجود بر روی دستگاه را بررسی کنید. دقت کنید که دو پوشه Startup  وجود دارد که یکی مربوط به کاربر محلی است و دیگری به همه کاربران ارتباط دارد. در زمان ورود یک کاربر به سیستم همه برنامه های کاربردی موجود در “All Users” و پوشه Startup  کاربران اجرا می شوند. بازرسی دقیق همه پوشه های Startup برای کشف برنامه های مشکوک ضروری است.

·         رجیستری سیستم را چک کنید. لیست زیر نقاطی که باید در رجیستری مورد بررسی قرار گیرند را نشان می دهد:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

·         سیستم را برای شناسایی سرویس های نامعتبر مورد بازرسی قرار دهید. برخی از برنامه های درپشتی خود را به عنوان سرویس بر روی دستگاه نصب کرده و در زمان روشن شدن دستگاه فعال می شوند. در چنین شرایطی سرویس می تواند با استفاده از حق “Logon as Service” به عنوان هر یک از کاربران سیستم اجرا شود. سرویس هایی که به صورت خودکار آغاز می شوند را بررسی کنید و از ضرورت وجود آنها اطمینان حاصل کنید. علاوه بر این مطمئن شوید که فایل اجرایی سرویس اسب تروا و یا برنامه در پشتی نیست.

دستورات زیر که می توان آنها را در یک فایل دسته ای قرار داد برای جمع آوری اطلاعات در مورد سرویس هایی که در حال اجرا هستند مفید هستند. خروجی این برنامه شامل کلید سرویس ها، مقدار پارامتر Startup  و فایل اجرایی سرویس می باشد. این برنامه از دستور REG.EXE استفاده می کند که بخشی از NT Resource Kit می باشد. اجرای این برنامه باعث تغییر محتویات رجیستری و یا فایل ها نمی شود.

@echo off

REM The 'delims' parameter of PULLINFO1 and PULLINFO2 should be a single TAB.

for /f "tokens=1 delims=[]" %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services') do

 call :PULLINFO1 %%I

set START_TYPE=

goto :EOF

:PULLINFO1

for /f "tokens=3 delims=           " %%I in ('reg query

 HKLM\SYSTEM\CurrentControlSet\Services\%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I

goto :EOF

:PULLINFO2

for /f "tokens=3,4 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services\%1

 ^| findstr "ImagePath" ') do call :SHOWINFO %1 %2 %%I %%J

goto :EOF

:SHOWINFO

if /i {%2}=={0} set START_TYPE=Boot

if /i {%2}=={1} set START_TYPE=System

if /i {%2}=={2} set START_TYPE=Automatic

if /i {%2}=={3} set START_TYPE=Disabled

if not "%4" == "" (echo %1 -%START_TYPE%- %3\%4) else (echo %1 -%START_TYPE%- %3)

goto :EOF

سایر نکات ضروری برای تامین امنیت سیستم عامل Windows NT در بخش های بعدی از این مجموعه مقالات ارائه خواهد شد.

می خوایم نوشتن ۲ تا ازساده ترین و آزار دهنده ترین ویروس های دنیا رو برای شما دوستان بزاریم

توجه : ویروس ها رو روی سیستم خوتون اجرا نکنید!!!!!!!!!!!!!!!!!!!!!!!

بنا بر اعلام شركت امنيتي Panda Security، تمامي اين كدهاي مخرب داراي نوع ساختار، روش انتشار و يا عملكردهاي خاصي بوده‌اند كه به نحوي موجب افزايش وسعت و ريسك تخريب و يا ايجاد جذابيت در روش عملياتي آنها شده است. علاوه بر اين، روش‌هاي عجيب و نامتعارف در طراحي، توليد و انتشار كدهاي مخرب همواره مورد توجه خرابكاران اينترنتي قرار داشته است. زيرا استفاده از اين روش‌ها، علاوه بر اين افزايش محبوبيت و شهرت آنها در ميان همكاران زيرزميني‌شان،‌ كاربران اينترنت را نيز به انجام فعاليت‌هاي پرخطر و غير ايمن در وب ترغيب مي‌كند.

كارشناسان امنيتي پاندا بر اين عقيده‌اند كه خلاقيت مجرمان اينترنتي در طراحي روش‌هاي عجيب تخريب بي‌تأثير نيست. اما علاوه بر اين عامل مهم، تأثير اتفاقات سياسي، اقتصادي و اجتماعي بزرگ مانند بحران جهاني اقتصاد و نيز روانشناسي فردي اجتماعي كاربران و همينطور سوءاستفاده از علايق، سلايق و موضوعات مورد توجه كاربران چندان دور از نظر نبوده است. لطفا به شيوه تخريبي اين كدهاي مخرب توجه كنيد:

P2Pshared.U، کرم رایانه‌ای در منوی غذاهای آماده!
با انتشار این کرم در اوايل دسامبر 2008، شرکت امریکایی مک دونالد، بزرگترین رستوران زنجیره‌ای غذاهای آماده، مورد استفاده ابزاری در طراحی حملات وسيع اینترنتی قرار گرفت. این کرم به صورت ضمیمه یک نامه با موضوع تبریک سال نو میلادی به كاربران ارسال می‌شود. در این نامه به شما گفته می‌شود که یک بن تخفیف برایتان در نظر گرفته شده که می‌توانيد در هنگام مراجعه به هر کدام از رستوران‌های مک دونالد از آنها استفاده کنيد. اما این بن تخفیف، چیزی نیست به جز یک کرم رایانه‌ای که با کلیک بر روی آن، رایانه شما با آلودگی نسبتا شدیدی مواجه خواهد شد.

Agent.JEN، پستچی قلابی
تصور كنيد كه يك پستچي به درب منزل شما مراجعه مي‌كند تا یک بسته پستی را به شما تحویل دهد اما به محض این که شما درب خانه را باز کردید، لشكري از مجرمان و جنايتكاران مسلح آماده‌اند تا به خانه شما سرازیر شوند و تا جايي كه قدرت دارند آن را زير و رو و حتي به طور كامل ويران كنند. اين تروژان و به دنبال آن دسته‌اي از كدهاي مخرب ريز و درشت در پس نامه‌اي مخفي شده‌اند كه شايد شما هم آن را در صندوق پست الكترونيك خود پيدا كنيد. به هر حال اين نامه از يكي از ادارات محلي يا مركزي پست به شما ارسال شده‌اند كه اگر به هر دليل فايل ضميمه آن را اجرا كنيد، شاهد يك فاجعه ديجيتال خواهيد بود.

Banbrd.FXT، به هر حال شما بی‌گناه نیستید (قسمت اول)!
این کرم خطرناک هم در نامه‌های الکترونیک مخفی می‌شود، اما برای انتشار از روش بسیار جالبی استفاده می‌کند. در این نامه‌ها که به ظاهر از طرف اداره محلی پلیس و یا یک مرکز امنیتی به کاربر ارسال می‌شوند، وی متهم به مشارکت در جرم‌های رایانه‌ای و اینترنتی شده و IP وی توسط ماموران امنیتی ردیابی و ثبت گردیده است. سپس از وی خواسته می‌شود که گزارش اتهام خود را با کلیک بر روی ضمیمه نامه دریافت کند، اما این فایل متنی هم چیزی نیست به جز نسخه‌ای از یک بدافزار که با نصب خود در سیستم رمزهای عبور و شماره‌های حساب بانکی شما را در حین اتصال به بانک‌های آنلاین، سرقت می‌کند.

Sinowal.VTJ، پيش‌دستي فوق‌العاده
این کد مخرب یکی از عجیب‌ترین و منحصر بفردترین ویروس‌های منتشر شده در سال 2008 میلادی بوده است. ابتدا نامه‌ای را در صندوق پستی خود مشاهده مي‌کنید که از طرف شخصي ناشناس برایتان ارسال شده. آن را باز می‌کنید ... شخص ناشناس به شما گفته است که تا کنون چندین بار از آدرس شما برای وی ویروس‌هاي خطرناكي ارسال شده است و این که وی به عمدی یا غیرعمدی بودن این مسئله اهمیتی نمی‌دهد؛ اما در صورت تکرار، این مسئله را با مستندات موجود به پلیس اطلاع خواهد داد. مستندات موجود برای اطلاع شما نيز به نامه ضمیمه شده‌اند... اما دستپاچگي و سپس کلیک بر روی اين فايل، رایانه خود را در معرض حمله کرم Sinowal.VTJ قرار خواهید داد که یکی از مخرب‌ترین و سمج‌ترین ویروس‌های رایانه‌ای است.

Bat.Gen.D آشپز بی‌مزه
اگر به فایلی مشکوک برخورد کردید که نام آن «دستور پخت انواع کیک به شیوه اسپانیایی» بود روی آن کلیک نکنید. البته اگر هم روي آن كليك كنيد اتفاق خاصي نمي‌افتد؛ چون در ابتدا همه چیز خوب پیش می‌رود. این فایل خود را دستورالعمل کامل آشپزی و پخت شیرینی معرفی می‌کند. اما پس از مدتی می‌فهمید که در حقیقت این کد، ابزاری را در رایانه شما نصب کرده که خود یک موتور ساخت و تولید ویروس‌های رایانه‌اي است. از این به بعد داستان را خودتان حدس بزنید!

Aidreder.A، این یکی را اصلا جدی نگیرید
تاکنون ویروس‌های زیادی تولید شده‌اند که با موضوع پیشگویی آینده و فال‌بینی، كاربران را به دانلود فایل‌های آلوده تحریک کرده‌اند، اما بی‌شک این ویروس سمج، عجیب‌ترین آنهاست؛ چون پس از نفوذ در سیستم، پیغام‌هایی را به صورت پی در پی به شما نمایش می‌دهد مبنی بر این که شما به زودی کشته خواهید شد یا به نحو مرموزی خواهید مرد! تصور کنید که این پیغام‌ها به صورت پی در پی و آزارنده‌اي نيز برای شما نمایش داده شوند. مضاف بر این اگر شما گزینه OK را كه در زیر این پیغام قرار داده شده کلیک نکنید، پنجره حاوی آن روی صفحه نمایش شما باقی خواهد ماند. شاید منتشر کننده این ویروس فکر کرده اين یعنی این که شما با مرگ خود در آینده‌ای نزدیک موافقید!!

Banker.LLN، همه خرابکاری‌های رئیس‌جمهور!
اگر با یک فایل با تصوير پرچم ایالات متحده برخورد کردید، حتما به آن شک کنید. به احتمال زیاد این فایل، به یک کرم رایانه‌ای آلوده است که از طریق حافظه‌های جانبی، صندوق‌های پست الکترونیک و یا از طریق کنجکاوی شما برای مشاهده یک فیلم اينترنتي جذاب از انتخابات اخير ايالات متحده در رایانه شما وارد شده است. رمزهای عبور و اطلاعات بانکی شما هدف اصلی این کرم محسوب می‌شوند. پس يا از ضدويروس‌هاي به روز استفاده كنيد و يا هفته‌اي يكبار تمام اطلاعات بانكي خود را تغيير دهيد!

Banbra.GDB به هر حال شما بی‌گناه نیستید (قسمت دوم)!
اگر روزي پلیس به منزل شما مراجعه کند، شاید در را به روي او باز کنید و وي را به منزل خود راه دهید و شاید از او درخواست مدارک شناسایی کنید. در مورد انتشار کرم Banbra.GDB نیز دقیقا همین شرایط حاکم است. این بدافزار خود را به عنوان يك اطلاعيه پلیسي جا می‌زند و به کاربر اعلام می‌کند که متأسفانه از رایانه وی در یک حمله خرابکارانه اینترنتي استفاده شده و از وي مي‌خواهد كه اطلاعات مفصل را با مراجعه به لينك زير دريافت نمايد. به محض اين كه کاربر برای درخواست اطلاعات بیشتر، روی لینک موجود در پايين نامه کلیک می‌کند یک کرم اینترنتی به شکل نامحسوس در رایانه وی نصب می‌شود و به سرقت اطلاعات شخصی وی می‌پردازد.

بر اساس اعلام PandaLabs، لابراتوارهاي امنيتي پاندا، با توجه به منسوخ شدن بسیاری از روش‌های فریبکارانه که کاربران را به دانلود فایل‌های آلوده یا کلیک بر روی لینک‌های مخرب تحریک می‌کنند، بکارگیری روش‌های جدید مانند استفاده از کدهایی به نام ترس‌افزار یا Shockware مورد توجه خرابکاران اینترنتی قرار گرفته است. این نوع بدافزار كه نمونه‌هايي از آنها را در همين گزارش ملاحظه فرموديد، با دستپاچه کردن کاربران و ایجاد ترس و دلهره آنها را به انجام عملکردهای سریع و ناآگاهانه که معمولا بسیار ناایمن هستند، وادار می‌کند.

برد پیت ! چه کسی فکرش را میکرد , یک ستاره بزرگ سینما اینگونه خطر آفرین شود , خودش که نه ولی اسمش چرا !

طبق بررسی تیم امنیتی McAfee جستجوی نام این بازیگر خطرناک ترین و آسیب رسان ترین حرکت یک کاربر در دنیای سایبر میتواند باشد . وقتی یک خرابکار اینترنتی میخواهد دست به کار شود و مشکل آفرینی کند برای آسان تر شدن عملیات , کار خود را بر مسائل و اخبار مهم روز یا افراد خاص متمرکز میکند . هم اکنون برد پیت در صدر جدول اخبار روز جهان است , فرض کنید شما به دنبال یک عکس پس زمینه یا Screen saver از این بازیگر میگردید , نامش را در موتور جستجو وارد میکنید و منتظر نتیجه میمانید و وارد یک وبسایت میشود و … اوضاع خراب میشود ! ۱۸ درصد امکان دارد که سیستم شما آلوده شود .

سال گذشته خانم هیلتون معروف ! اینچنین وضعیتی داشت ولی امسال آقای پیت در صدر جدول ایستاده است .

پایین لیستی از ۱۰ شخصیت را میبینید که به ترتیب از بالا به پایین خطرناک ترین موضوع برای جستجو میباشند :
Brad Pitt
Beyoncé
Justin Timberlake
Heidi Montag
Mariah Carey
Jessica Alba
Lindsay Lohan
Cameron Diaz
George Clooney
Rihanna

چه کاری برای جلوگیری از چنین آلودگی هایی انجام دهیم ؟

اول : هرگز بر روی وبسایت هایی که نمیشناسید و تابحال حتی نامشان را نشنیده اید کلیک نکنید .

دوم : MacAfee ابزاری برای شما دارد که نتایج جستجو را برای شما علامت گذاری میکند تا مطمئن ترین را انتخاب کنید

با این نرم افراز اطلاعات رايانه‌تان در اختيار اسرائیل است!
برنامه مذكور متعلق به رژيم اشغالگر قدس است و در سيستم جاسوسي يهوديان به كار مي‌رود.
جهان - اخيراً نوعي برنامه نرم‌افزاري جاسوسي روي رايانه‌ها نصب مي‌شود كه به راحتي قادر است اطلاعات موجود در رايانه كاربر را به سايتهاي رژيم صهيونيستي ارسال نمايد.

اين برنامه جاسوسي به نام (BaBYLMDictionary) توانايي پشتيباني از برنامه‌هاي مختلف با زبانهاي متفاوت را دارد.

برنامه مذكور متعلق به رژيم اشغالگر قدس است و در سيستم جاسوسي يهوديان به كار مي‌رود.

گفته مي‌شود اين برنامه نرم‌افزاري كه يك برنامه مخفيانه ديگر نيز به همراه خود دارد و بر روي رايانه كاربر نصب مي‌شود قادر است به راحتي اطلاعاتي و برنامه‌ها و اعداد و ارقام دستگاه را نيز ضبط كند و به هنگام اتصال به اينترنت براي مسير اينترنتي مشخص شده در برنامه‌ بفرستد.

اغلب اين برنامه به صورت ديكشنري در اغلب رايانه‌ها نصب مي‌شود.

TCP/IP يکي از معروف‌ترين پروتکل‌هاي شبکه‌اي است که کاربرد بسيار گسترده‌اي دارد.


طبق ادعاي محققان شرکت امنيتي Outpost24، در پروتکل TCP/IP رخنه‌اي کشف شده که به وسيله آن مي‌توان عملکرد هر رايانه يا سروري را مختل کرد.

به گزارش computerworld.co.nz اين باگ به گونه‌اي است که هکرها با ارسال بسته‌هاي کوچک TCP/IP، مي‌توانند رايانه‌ها و سرورها را فلج کنند.
در مقام مقايسه، چنين چيزي را مي‌توان مشابه حملات denial of service دانست که طي آن شبکه‌ها با ترافيک بسيار زياد مواجه گشته و سردرگم مي‌شوند. البته با اين تفاوت که در باگ تازه کشف شده، يک ترافيک بسيار ناچيز هم هکرها را به مقصود مي‌رساند.

Jack Lewis يکي از محققان ارشد Outpost24 به Webwereld گفته است: «ما با ارسال 10 بسته در ثانيه، توانستيم سرويس را به هم بريزيم.»

کارشناسان اميدوارند با فاش شدن اين باگ که سال‌ها مخفي و مسکوت مانده است، راه حلي براي آن عرضه شود.

کارشناسان شرکت امنيتي آلماني Fox-IT نيز اين معضل را تاييد کرده اند.
Erwin Paternotte، يکي از محققان اين شرکت مي‌گويد: «طبق اطلاعات موجود، اين آسيب‌پذيري مي‌تواند مشکل بزرگي براي رايانه‌ها ايجاد کند.»

وي افزود: «اين معضل به گونه‌اي است که انتشار عمومي جزئيات فني آن، حمله denial of service را تحت‌الشعاع خود قرار خواهد داد.»

اين مشکل به دنبال تست پويش 67 ميليون ميزبان اينترنتي (host) آشکار شد و محققان هشدار داده‌اند که طي انجام تست، بعضي از ميزبان‌ها دچار اختلال شده و قادر به پاسخگويي نبوده‌اند.
بررسي‌هاي بيشتر حاکي از آن است که مشکل اصلي در پشته TCP/IP نهفته است.

گفتني است ديواره آتش يا سيستم‌هاي ضدنفوذ، نمي‌توانند در برابر اين رخنه امنيتي کاري از پيش ببرند زيرا اينها خود، از TCP/IP پشتيباني مي‌کنند و به همين دليل بالقوه در معرض حمله قرار دارند.

                    

دوستان عزیز قصد داریم از این به بعد روش های جاسوسی و نفوذ درشبکه را آموزش دهیم

یک جاسوس همه کاره Real Spy Monitor V2.56

چگونه یک هکر شوید:                                              

براي هكر شدن بايد يادبگيريد كه چگونه برنامه نويسي كنيد، البته برنامه نويسي از مهارت هاي اصلي(پايه) هك كردن است.اگر شما هيچ زبان برنامه نويسي بلد نيستيد توصيه مي كنيم با زبان python شروع كنيد. اين زبان بطور عالي طراحي ومستند سازي شده است ،و براي مبتدي ها بسيار مناسب است.

با وجود اينكه اولين زبان مفيد برنامه نويسي است اما اسباب بازي نيست و خيلي قدرتمند و انعطاف پذير است. وبراي پروژه هاي بزرگ مناسب است. من دريك صفحه بنام سايت ارزيابي زبان python جزئيات بيشتري را توضيح داده ام ، خود آموزهاي خوبي هم در وب سايت python در دسترس است.

Java هم يك زبان خوب براي يادگيري برنامه نويسي است . اين زبان مشكل تر از زبان python است.اما توليد كد آن سريعتر است.من فكر ميكنم زبان دوم براي شما عالي به حساب آيد. اما آگاه باشيد شما به سطح مهارتهاي يك هكر و حتي يك برنامه نويس نخواهيد رسيد اگرفقط يك يا دو زبان را بدانيد.

شما لازم است ياد بگيريد كه چطور راجع به مسئله هاي برنامه نويسي در يك راه عمومي (جامع)فكر بكنيد.

براي اينكه يك هكر واقعي شويد، بايد به نقطه اي برسيد كه درآن بتوانيد براساس چيزهايي كه ميدانيد ،يك زبان را در ظرف چند روز ياد بگيريد .

اين بدين معني است كه شما بايد چند زبان خيلي سخت مختلف را يادبگيريد. اگر شما قرار است بطور جدي وارد برنامه نويسي شويد ،شما بايد زبان C كه هسته اصلي سيستم عامل يونيكس است را ياد بگيريد.

C++ خيلي به C نزديك است(مشابه است). اگر شما يكي را(c/c++ )بدانيد، يادگيري ديگري مشكل نخواهد بود. به هر حال هيچكدام از اين دو زبان براي شروع يادگيري برنامه نويسي خوب نيست. واقعاً شما هرچه از برنامه نويسي در C پرهيز كنيد ،كاراتر خواهيد بود.C خيلي كار آمد است . وخيلي در منابع ماشيني صرفه جو مي باشد.

متاسفانه ،C بخاطر نياز داشتن به مديريت منابع سطح پايين (مانندحافظه) كارايي را كم ميكند ، كه شما بايد آنرا بوسيله دستي انجام بدهيد. كد گذاري زبانهاي سح پايين ،پيچيده و همراه با اشكال وعيب است.و مقدار زيادي از وقت شما در اشكال زدايي هدر مي دهد. با ماشينهاي امروزي كه قدرتمند هستند،اين زرنگي است كه از يك زبان برنامه نويسي كه وقت كمتري ميگيرد استفاده كنيد.بنابراين از python استفاده كنيد.

زبان هاي ديگري كه اهميت ويژهاي براي هكرها دارند ،زبانهاي Lisp و Perl هستند. Perl به علت قدرت استدلال مفيدش ارزش يادگيري دارد.براي فعال كردن صفحات وب و سيستم مديريت شبكه هاي كامپيوتري زياد مورد استفاده قرا مي گيرد.

بنابراين حتي اگر هيچ وقت قرارنيست با Perl برنامه بنويسيد اما حداقل خواندن آنرا يادبگيريد.اغلب مردم از Perl استفاده مي كنند در صورتي كه من توصيه مي كنم از python استفاده كنيد. براي اجتناب كردن از برنامه نويسي C در كارهايي كه اين زبان كارآيي ندارد لازم است كه كدهاي آنرا(Perl)ياد بگيريد.

يادگيري Lisp نيز به دلايل مختلفي با ارزش است زيرا وقتي آنرا تمام كرديد ،تجربه اي عميق واساسي خواهيد يافت.

آن تجربه از شما يك برنامه نويس بهتري خواهد ساخت حتي اگر در آينده از Lisp استفاده نكنيد . واقعاً اين عالي است كه تمام اين 5 زبان(perl,java,(c/c++),lisp,perl ) را يادبگيريد.   

   خوشوقتیم   که سرانجام  اولین  پست  را  در  وبلاگ  گروهی TNT20 قراردادیم 

             قصد داریم  جدیدترین مطالب  آموزنده وسرگرم کننده را در معرض دید شما دوستان     

             عزیز وگرامی قرار درهیم.

                 درحال حاضر بخش  دانلود آهنگ و کد موزیک    برای وبلاگ فراهم کردیم.

             دوستان عزیز به زودی زود منتظر بخش های  متنوع دیگر  باشید.

              از قبیل :

                               س قالب های آماده زیبا برای وبلاگتان

                               ـ  گالری عکس های متنوع

                         ـ جدیدترین مطالب ومقالات آموزنده

                        "منتظر پیشنهادهای شما هستیم"