تروجان ها چگونه كار می كنند؟

تروجان ها به دو قسمت تقسیم می شوند. یك قسمت Client (خدمات گیرنده) و دیگری Server (خدمات دهنده). وقتی قربانی ندانسته قسمت Server را روی سیستم خودش اجرا می كند. حمله كننده بوسیله قسمت Client با Server كه روی كامپیوتر قربانی است متصل می شود و از آن پس می تواند كنترل سیستم قربانی را در دست بگیرد . پروتكل TCP/IP كه استاندارد معمول برای برقراری ارتباطات است به این تروجان آلوده میشود و تروجان از طریق آن كارش را انجام می دهد. البته لازم به ذكر است كه برخی اعمال تروجانها نیز از پروتكل UDP استفاده می كنند. معمولاً زمانی كه Server روی كامپیوتر قربانی اجرا می شود. خود را در جایی از حافظه مخفی می كند تا پیدا كردن یا تشخیص آن مشكل شود و به برخی درگاههای خاص (Port) گوش می دهد تا ببیند درخواست ارتباطی به سیستم از طرف حمله كننده آمده است یا نه، از طرفی رجیستری را نیز به گونه ای ویرایش می كند كه برخی از اعمال بطور خودكار روی سیستم شروع به كار كنند.

برای نفوذ كننده لازم است كه IP قربانی را بداند برای اینكه بتواند به سیستم او متصل شود. اكثر قریب به اتفاق تروجانها بصورتی برنامه ریزی شده اند كه IP قربانی را برای حمله كننده ارسال می كنند همانند سیستم پیغام گذار از طریق ICQ یا IRS . این زمانی اتفاق می افتد كه قربانی IP دینامیك داشته باشد بدین معنی كه هر زمان به اینترنت متصل میشود و یك IP متفاوت از قبل داشته باشد كه اغلب سیستم هایی كه به روش dial- up به اینترنت متصل می شوند از این قانون پیروی می كنند. كاربران ASDL معمولا IP های ثابت دارند به همین علت IP آلوده شده همواره برای حمله كننده شناخته شده است و این حالت باعث تسهیل درامر اتصال به سیستم قربانی می گردد.

اغلب تروجانها از روش شروع اتوماتیك استفاده می كنند. بصورتی كه اگر شما كامپیوترتان را خاموش كنید آنها قادر خواهند كه فعالیتهایشان را مجددا ً آغاز كنند و دسترسی لازم به حمله كننده را روی سیستم شما بدهند و ساختن تروجانها با قابلیت شروع روشهایی هستند كه همیشه مورد استفاده قرار می گیرند. یكی از این روشها، محلق كردن تروجان به یك فایل اجرایی كه كاربرد زیادی دارد می باشد، به عبارت دیگر محلق نمودن تروجان به یك برنامه پركاربرد ، موجب عملی شدن تفكرات حمله كننده خواهد شد. روشهای شناخته شده نیز همانند دستكاری فایلهای ریجستری ویندوز می تواند به عملی شدن افكار حمله كننده بیانجامد. فایلهای سیستمی ویندوز قرار دارند كه می توانند بهترین انتخابهای حمله كنندگان باشند.

به جهت اینکه دوستان بتوانند سیستم خود را در برابر این حمله ها محافظت نمایند، قسمتهای مختلف ویندوز که می توان از آن استفاده نمود را در اینجا بررسی می کنیم.

پوشه شروع خودكار

پوشه ای كه بصورت خودكار در شروع كار ویندوز فراخوانی می شود و فایلهای داخل آن بصورت اتوماتیك اجرا می شوند در آدرس زیر قرار دارند.


C:\ windows\ start Menu \ programs \startup

البته فرض برای این است كه سیستم عامل ویندوز در درایو C و در شاخه windows نصب شده باشد.

فایل Win.ini

فرمت شروع خودكار در این فایل بصورت زیر می باشد :

Load = Trojan.exe

Run = Trojan.exe

فایل System.ini

فرمت بكارگیری تروجان در این فایل سیستمی بصورت زیر است:

Shell = explorer.exe Trojan.exe

كه باعث می شود بعد از هر بار اجرای Explorer فایل Trojan.exe اجرا شود.


فایل Wininit.ini

این فایل توسط Setup.exe برنامه های نصب شوند مورد استفاده قرار می گیرد.

بدین صورت كه یك بار اجرا شود، قابلیت حذف خودكار را نیز دارد كه برای تروجان ها بسیار سهل می باشد.

Winstart.bat

این فایل دسته ای هم در ابتدای شروع به كار ویندوز فراخوانی شده و فرامین داخل آن به ترتیب اجرای می شوند كه تروجان می تواند با افزودن خط زیر خود را در حافظه بار كند.

@ Trojan.exe

فایل Autoexec.bat

این فایل دسته ای هم از فایلهای معروف فراخوانی شده در ابتدای كار سیستم عامل می باشد كه می توان با دستكاری و اضافه نمودن خط زیر بر آن تروجان مورد نظر را در سیستم قربانی اجرا نمود:

C:\ Trojan.exe

فایل Config.sys

این فایل نیز از معروفترین فایلهای پیكر بندی سیستم است و می تواند در امر اجرای تروجان كاربرد داشته باشد.