ویروس و تروجانها کجا مخفی میشوند؟
معرفی مسیرهای
Startup در ویندوز
ویروس و تروجانهای سیستم
عامل ویندوز، هر بار به هنگام بالاآمدن سیستم، خود را به صورت خودکار در حافظه مقیم
میکنند. لازم به اشاره است که سیستم عامل ویندوز به هنگام راهاندازی، محتویات
پوشه ها و مسیرهای روی
هارددیسک یا رجیستری را بدون اینکه کاربر بداند اجرا نموده و ویروسها در حقیقت از
همین قابلیت ذاتی ویندوز سوء استفاده کرده و خود را در این مسیرها قرار می دهند.
حال با این دانش نسبی در ادامه مقاله به بررسی و معرفی مهمترین مسیرها میپردازیم
تا به هنگام آلوده شدن سیستم و عدم دسترسی به آنتیویروس، توان مقابله متقابل با
این نرم افزارهای مخرب را داشته باشید.
پوشه Start up ویندوز
این پوشه در مسیر Start>All Programs
واقع شده و محتویات آن اعم از فایلهای اجرایی و Shortcut برنامهها، به هنگام بالا
آمدن ویندوز اجرا خواهند شد.
رجستری ویندوز
رجیستری ویندوز که توسط Start>Run>RegEdit
اجرا میشود، مسیرهای پر رمز و راز بسیاری دارد که برخی از آنها حاوی آدرس
فایلهای اجرایی بوده و به منظور اجرا در زمان راهاندازی ویندوز تعبیه شدهاند.
یکی از این مسیرهای مهم، Run نام دارد که توسط آدرسهای زیر قابل دسترسی است:
همانطور که ملاحظه نمودید، به راحتی با تعییر مقادیر فوق و قرار دادن مقادیر دلخواه خود، برنامههای مورد نظرتان را در هنگام بالا آمدن ویندوز اجرا نموده و یا از اجرا شدن برنامههای مختلف آگاه شوید.
علاوه بر مسیرهایی که بیان شد، مسیرهای دیگری چون RunServices ، RunOnceو RunServicesOnce وجود دارند که به هنگام راه اندازی ویندوز، مورد بررسی و اجرا قرار میگیرند. نکته قابل توجه اینکه مسیر RunOnce تنها برای یکبار اجرا شدن برنامه(معمولاً بعد از نصب هر نرم افزار)مورد استفاده قرار میگیرد. همچنین علاوه بر مسیرهای ذکر شده، مسیر دیگری در رجیستری وجود دارد که تمام دستورالعملهای آن نیز اجرا میشود.
همانطور که پیشتر نیز بیان شد، رجیستری دالانهای پرپیچ و خمی دارد که در زیر لیستی از مسیرهایی که دستورالعملهای آن اجرا میشود مشاهده مینمایید. در صورت قرار گرفتن نام یک فایل در Keyهای فوق، (مانند "*%"somefilename.exe %1\ "\")، آن فایل اجرا خواهد شد.
Batch File
فایلهای دستهای(دارای پسوندBat) از
دیرباز تاکنون به عنوان فایلهای اجرایی شناخته شده هستند. فایل دستهای Winstart
در ویندوز که احتمالاً نام آن کمی برایتان ناآشنا است، از همین دسته بوده و آن را
به طور دستی ایجاد کرده و در ریشه پوشه ویندوز قرار داد.
فایلهای سریبندی شده یا Initialization
در پوشه ویندوز، فایلی به نام Win.ini
قرار دارد که در خط=Run وLOAD آن، امکان قرار گرفتن دستورالعملهایی برای اجرا در
زمان بالا آمدن ویندوز وجود دارد. همچنین دستوراتی را که در خط=Shell فایل
System.ini(درون پوشه ویندوز) آمدهاند نیز اجرا میگردند.
زمانبندی کارها یا Task Scheduler
Task Scheduler یکی دیگر از قسمتهای
ویندوز است که با برنامهریزی قبلی، امکان اجرا شدن برنامههایی را در زمانها
فراهم میکند. برای دسترسی به این برنامه میبایست به مسیر زیر مراجعه نمایید:
برنامههای تعریف شده در Services
برخی برنامهها به عنوان یک Windows
Serviceدر ویندوز تعریف شده و با هربار اجرای سیستمعامل، به همراه WinLogonاجرا
میشوند. برای دسترسی به لیست سرویسها میبایست به مسیر Start>Control Panel و سپس
بخش Administrative Tools مراجعه نمود. البته در نظر داشته باشید که برنامه مورد
نظر باید برای اجرا شدن خودکار در هنگام بالا آمدن ویندوز، تنظیم شده باشد. لازم به
اشاره است که آنتیویروس Kaspersky که در صفحه Login اول ویندوز یک لوگو از خود به
جا میگذارد، دقیقاً از این روش استفاده کرده است.
روش Explorer.exe
باید بدانید که به هنگام بالا آمدن
ویندوز، همواره فایل Explorer.exe که در پوشه ویندوز یا System32 قرار دارد، اجرا
میشود. حال اگر فایلی با همین نام ولی با محتوای ویروس یا تروجان در مسیر
C:\explorer.exe قرار گیرد، ویندوز گاهی آن را به جای explorer.exe اصلی اجرا نموده
و در زمانی دیگر اختلال به وجود خواهد آمد.
سخن
پایانی
معمولاً با کندشدن ناگهانی سرعت ویندوز
و اینترنت، احتمال وجود یک برنامه مخرب در سیستم بالا میرود که میبایست آدرسهای
ذکر شده در این مقاله را به دقت بررسی کنید. این کار زمانی که ضدویروسها قادر به
شناسایی برنامه مخرب نیستند، به عنوان یک ضرورت محسوب میشود.
منبع: ماهنامه دانش و کامپیوتر
تهیه کننده: سیاوش دوراندیش