شناسایی و حذف تروجان و مقابله با آن
اجزای تروجان
تروجان ها از دو بخش تشکیل شده اند:
- یک جزء کلاینت
- یک جزء سرور
به جزئی که روی کامپیوتر قربانی برای سرقت اطلاعات نصب می شود، سرور تروجان می گویند و به جزئی که روی کامپیوتر نفوذگر برای دسترسی از راه دور به کامپیوتر قربانی نصب می شود. کلاینت تروجان می گویند.
- جزء سرور تروجان یک پورت را در کامپیوتر قربانی باز می کند و نفوذگر را به اتصال و اداره ای کامپیوتر دعوت می کند.
- جزء کلاینت تروجان تلاش می کند تا به کامپیوتر قربانی متصل شود و کامپیوتر را بدون اجازه ای کاربر اداره کند.
Wrapper
Wrapper، یک برنامه است که برای ترکیب دو یا چند فایل اجرایی به یک برنامه ای واحد مورد استفاده قرار می گیرد. Wrapper یک فایل اجرایی بی ضرر را مثل یک بازی بسه یک پیلود تروجان پیوست مي كند. كد فایل اجرایی، آسیب واقعی نمی رساند چراکه به نظر می رسد فایل بی ضرر است اما در پشت این فایل، یک تروجان مخرب اجرا می شود.
هکرها از Wrapper ها برای چسباندن جزء سرور، پشت هر عکس یا هر فایل دیگری استفاده می کنند Wrapperها با عنوان Binder ها نیز شناخته می شوند.
به طور کلی، بازی ها با دیگر بسته های نصبی انیمیشینی نیز با عنوان Wrapper مورد استفاده قرار می گیرند چرا که آنها نیز کاربر را سرگرم می کنند همان گونه که برنامه های به ظاهر مفید و سالم که پشت آن یک تروجان مخرب است، کاربر را سرگرم می کنند تا تروجان نصب شود. به این ترتیب، کاربر به پردازش پایین توجه نمی کند در حالی که تروجان به روی سیستم نصب شده است، کاربر تنها برنامه ی قانونی نصب شده را می بیند و بس.
اتصال معکوس در تروجان ها
اتصال معکوس تروجان ها به نفوذگر اجازه می دهد که آن خارج، به ماشینی بر روی یک شبکه ای داخلی دسترسی داشته باشند. هکر می تواند یک برنامه ای ساده تروجان را به روی سیستم شبکه ای داخلی نصب کند. به طور منظم (معمولا هر ۱۰ ثانیه) سرور داخلی تلاش می کند تا برای انتخاب، دستورات، به سیستم خارجی اصلی دسترسی دهد. اگر نفوذگر هر چیزی را در سیستم اصلی تایپ کند، این دستور باریابی شده و به روی سیستم داخلی اجرا می شود، شل معکوس WWW از استاندارد HTTP استفاده می کند. این شل خطرناک است؛ چرا که به سختی تشخیص داده می شود، این فایل مثل یک کلاینت، وب را از شبکه های داخلی مرور می کند.
شناسایی و حذف تروجان ها
رفتار غیر معمولی از سیستم معمولا نشانه ای از حمله ای یک تروجان است، اقدامات و علائمی مانند:
- آغاز و اجرای برنامه ها بدون اجازه و اجرای کاربر
- باز و بسته شدن درایورهای CD – ROM
- تغییر تنظیمات تصویر پس زمینه و محافظ نمایش
- وارونه شدن تصویر صفحه نمایش
- باز شدن وب سایت های غیرمنتظره و عجيب توسط برنامه ی مرورگر
تمام موارد بالا نشانه ای از حمله ی تروجان ها می باشد. هر عملی که مشکوک باشد یا توسط کاربر آغاز نشده باشد می تواند نشانه ای از حمله ی یک تروجان باشد. یکی از کارهایی که می توانید انجام دهید بررسی برنامه هایی است که در حال ساخت اتصالات شبکه با دیگر کامپیوترها می باشد. یکی از این برنامه ها پردازش آغاز شده توسط یک سرور تروجان می باشد.
همچنین می توانید از نرم افزار Process Explorer که بر پردازش های اجرا شده به روی کامپیوتر با نام اصلی و نام فایل نظارت می کند، استفاده کنید. هرچند، برخی از تروجان ها نام خودشان را در پردازش سیستم تغيير می دهند تا قربانی نتواند بین تروجان و پردازش اصلی سیستم در برگه ای Process پنجره Task Manager تفاوتی قائل شود، در حالی که به آن پردازش نیاز دارد.
TCP View
- TCP view، یک برنامه ی ویندوزی است که به شما ليست دقيق تمام نقاط پایانی TCP و UDP را به روی سیستم تان نشان می دهد؛ مانند آدرس های از راه دور و محلی و وضعیت اتصالات TCP . TCP View همچنین نام فرایندی که دارای نقطه پایانی است را گزارش می دهد.
- در این برنامه، ارتباطات فعال به رنگ سبز نشان داده می شود. می توانید همیشه با کلیک راست به روی هر پردازش، تنظیمات برنامه را بررسی کنید.
- می توانید اتصال فعالی را از بین ببرید و یا برنامه ای را پاک کنید.
راه های مقابله با حمله های تروجان
بیشتر برنامه های ضد ویروس تجاری، قابلیت ضد تروجان و نیز تشخيص جاسوس افزارها و قابليت های حذف آنها را دارند. این ابزارها می توانند به طور خودکار درایوهای هارد را در هنگام راه اندازی سیستم برای تشخیص درب پشتی و تروجان ها پیش از اینکه آنها بتوانند آسيب برسانند، پویش کنند. هنگامی که سیستم آلوده شده است، تمیز کردن آن مشکل تر است اما می توانید این کار را با ابزارهای تجاری موجود انجام دهید، این مهم است که از برنامه های تجاری برای پاک کردن بدافزارها به روی سیست تان به جای ابزارهای رایگان استفاده کنید؛ چراکه بسیاری از ابزارهای حذف بدافزارهای رایگان می توانند بیشتر سیستم تان را آلوده کنند. افزون بر این، ابزارهای نظارت پورت می توانند پورت هایی را که باز شده و با فایل هایی را که تغییر داده شده اند شناسایی کنند.
کلید جلوگیری از درب های پشتی و تروجان های نصب شده به روی سیستم، عدم نصب برنامه های دانلود شده از اینترنت با باز نکردن پیوستهای پست الکترونیکی از اشخاصی که نمی شناسید، می باشد. بسیاری از مدیران سیستم ها به کاربران اجازه نمی دهند که برنامه ها را به روی سیستم، به همان دلیل گفته شده، نصب کنند.
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید