+ çalışan programları görmek için adresi verilen siteden "process explorer" programını downloıad edin.
http://www.sysinternals.com/
+ sistemde çalışan programların bilgisayar her acıldıgında açılması için başlangıç ayarlarının olması gerekir.
sistem her açıldıgında otomatik olarak çalışan programları görmek için "autoruns" adlı programı download edin.
http://www.sysinternals.com/
+ güvenlik önleminizi saglamak için uygun bir zamanda "kaspersky anti virüs" yukleyin
http://www.kaspersky.com/
+ dialer gibi programlara karşı extra önlem için adresten "spy sweeper" programını indirin.
http://www.webroot.com/
+ sistem her açıldıgında otomatik olarak çalışan programları görmek için diger yol
başlat tan çalıştıra geliyoruz ve msconfig yazıyoruz. ekrana gelen menüden başlangıç sekmesini seçiyoruz.
ve tüm çalışan programları görüyoruz.
eger sisteminizde zararlı programların oldugunu düşünüyorsanız tüm başlangıçları iptal edip bilgisayarınızı yeniden başlatın. bu işlem sonrasında zararlı programlar sistemde olsa bile çalışmadıgı için zarar görmezsiniz.
================================================================================================================
sistem : windows xp
1) sistemi tanıyalım.
windows xp altında çalışan bazı standart programlar vardır.
bunlar sırası ve çalıştıgı yere göre şu şekildedir.
csrss.exe c:windowssystem32csrss.exe
explorer.exe c:windowsexplorer.exe
lsass.exe c:windowssystem32lsass.exe
services.exe c:windowssystem32services.exe
svchost.exe c:windowssystem32svchost.exe
winlogon.exe c:windowssystem32winlogon.exe
bu programlar standartır.
ekran kartınıza gore ve ses kartınıza gore bazı ilave programlar çalışabilir.
mesela benim ses kartımla beraber gelen
smagent.exe d:program filesanalog devicessoundmaxsmagent.exe
gibi....
bu exe dosyaları dll adı verilen eklentileri kullanırlar. vs vs vs. bunu bilmemize şimdi gerek yok.
not1 : svchost.exe dosyası windowssystem32 altında tek olmasına karsın bir kaç tane çalışır şekilde olabilir. bunun sebebi servislerdir.
2) trojanların sistemde çalışma şekli.
trojanlar sistemde çalışırken muhtemelen her zaman çalışan bir dosyanın adını kullanarak yada sistemde var olan bir dosyanın adını kullanarak çalışırlar. kendi isimlerini kullanan troıjanlarda vardır.
buna bir kaç örnek verelim.
beast : svchost.exe
mshost.exe
cia : services.exe
winiogon.exe
turkojan : winoldapp.exe
prorat : winlogon.exe
services.exe
reverspy : services.exe
.... ... ... .. .. .. ..
buna karşılık randomize isimler kullanan serverlarda vardır. orn : subseven
gelişmiş trojanların bir özelligide server a istedigimiz ismi vere bilmemizdir.
orn : cia, beast, netdevil, turkojan, firsttime, reverspy vs vs vs..
biraz daha gelişmiş trojanlar yada spyler dll dosyalarınında ismini degiştirmeye izin verir.
orn : beast, logit ....
bir cok trojan sistemde çalışan isimlere benzer isimler uretirler.
orn : crss.exe
msconfg.exe
winiogon.exe
service.exe
bir cok trojanda sistemde çalışan programın aynı ismini kullanır ancak gercekte çalıştıgı yerden farklı bir klasör içinde çalıştırırki gerçek dosya ile karışıp sistemi bozmasın.
orn : beast ( svchost.exe windows ---- mshost.exe system32), prorat ( services.exe windows )
=========================================================================================================================
önemli not : eger sistemde yabancı bir programın çalıştıgını anlamak istiyorsak hangi programın nerede bulundugunu bilmemiz gerekir....
=========================================================================================================================
3) trojanların kullandıkları ek dosyalar ( dll, dat, atm vs vs vs )
bu dosyaların isimleri sistemde çalışanlarla aynı olmak zorunda degil ve coguda buna dikkat etmez.
ancak onemli bir husus varki enjeksiyon yapan serverlar isim benzerligini kullanırlar
orn : beast dxdgns.dll (windows) ( directx dosyasının ismini taklit etmiştir.)
bu tür gelişmiş trojanlar dll dosyasının ismine de müdahale etmemize olanak saglar..
=========================================================================================================================
onemli not : bu türde dll enjeksiyonu yapan trojanlar işlem listesinde ayrı bir dosya olarak görünmez. en çok ve en başarılı enjekte yöneti explorer.exe ve iexplore.exe dosyasını enjekte etmektir. birazdaha gelişmiş bir yöntem ise nt sistemlerde userinit.exe yi enjekte ederek explorer uzerinden çalıştırmak.
orn : institution2004 & reverspy
unutulmamalıdır ki dll dsyasını çalıştırmak için her zaman yine exe dosyası gerekir.!!!!!!
==========================================================================================================================
4) trojanı nasıl temizleriz.
ilk yapılması gereken işlem server ın kapatılmasıdır. kapatılamayan bir server yoktur... ( dll enjeksiyonu yapsa bile )
diyelim ki sisteminzide services.exe dosyası çalışıyor. ve windows klasörünün içinde.
normalde services.exe system32 klasörü içindedir. o halde bu yabancı bir dosyadır.
=========================================================================================================================
neden yabancı bir dosyadır.!!!!!
sisteme yükleyecegniz extra program ve sürücüleriniz her zaman kendi isimlerini kullanırlar. asla taklit yada aldatmaca yoluna başvurmazlar.
=========================================================================================================================
viruslu olabilir yada trojandır. etc. kapatmak gerekir...
server kapatıldıktan sonra incelememiz gerekir.
neden inceleyelim ---->>>> hangi kopyaları oluşturuyor, registry de nerelere kendini yazıyor.
aldıgı sifreler hangileri keylogger varmı vs vs....
nasıl inceleriz :
server compres edilmişse önce unpack etmemiz gerekir. zira compres edilen serverın içi okunamaz.
trojan ve virusler genel itibariyle upx yada fsg ile sıkıştırılırlar. ancak aspack, pecompack, petite, asprotect, neolite gibi çeşitli compress programlarıylada sıkıştırıldıgı olur.
serverı unpack etmek için gerekli araçlar konu dışında oldugundan burada deyinmeyecegim.
serverı unpack ettiginizi varsayarak devam ediyorum.
ben pe explorer adlı programı tavsiye ediyorum zira bu iş için cok kullanışlıdır.
pe explorer ile serverı acıp disassembler ediyoruz.
( http://www.heaventools.com/ )
string yazan menüye tıklıyoruz ve orada serverın işlemlerini bir parçada olsa okuya biliyoruz.
önemli olan .exe .dll ve software yazılarını bulmaktır.
genel itibariyle exe lerden kopyaları dll lerden ekleri software lerden ise reg kaydını bulmayı amaçlıyoruz.
dikkat etmeniz gereken bir onemli husus her dll ve exe dosyası trojanın eki degildir. her software trojanın yazıldıgı bolum degildir.
==========================================================
bunu anlamaının en kolay yolu sürüm bilgisine bakmaktır. ancak bu kesinlik katmaz sadece basarı oranınızı artırır. %80 sürüm bilgisi yoktur . varsa bile gercek klasöründe degildir.
==========================================================
trojanların başlangıç için kullandıgı yöntemlerden bazıları sunlardır.
system.ini
win.ini
explorer shell
nt run
run services
local_machine run
curent_user run
detaylı bilgi için ekteki reg klasöründeki dosyaları not defterinde acıp inceleyin.
evet serverı pe explorer da incelediginizi düşünüyorum.
bu konuya biraz egilin. cunku karışık gibi görünecektir. fakat 1-2 kez yapınca anlayacagınıza eminim.
server ve eklerini tespit ettiniz mesela
prorat 1.9'u ele alalım.
services.exe
fservices.exe
sservices.exe
reginv.dll
winkey.dll
pplugin9.dat
vs vs vs
bu dosyaları siliyoruz.
simdi sistemimiz trojandan temizlendi.
peki registryden nasıl temizleriz.
başlat tan çalıştıra regedit yazarız. ve buldugumuz registry degerini ararız. ve sileriz bu kadar dır.
===============================================
===============================================
===============================================
cok cok cok onemli not : registry ayarlarıyla oynamak sisteminizi bir daha acılmamak üzere boza bilir.
bunu onlemek için en üstte bulunan bilgisarım a tıklayıp dosya menüsünden ver diyerek registry kaydınızı yenileyin.
bir sorun oldugunda uzerine çift tıklayarak sornu duzelte bilirsiniz.
===============================================
===============================================
===============================================
genel notlar :
başlatçalıştır a gelerek cmd yazıp enter a basın. açılan consol ekranına c: -s -h /d /s *.* yazarak c: sürücünüzdeki tüm dosyaları görünür yapa bilirsiniz.
http://www.sysinternals.com/ process explorer ( gelişmiş uygulama gösterici )
otomatik çalışan programları görmek için
http://www.sysinternals.com/ autoruns adlı programı download ediniz.
otomatik çalışan programları görmek için bir diger yol ise başlat tan çalıştır a msconfig yazıp enter a basmaktır.
burada başlangıç sekmesine gelip hangi programlar çalışır görebiliriz.
unutulmamalıdır ki trojanların cok buyuk cogunlugu kendini msconfig den gizleye biliyor.
=============================================================================================================
dll enjekte serverların kaldırılması:
yukarıda anlatılan buradada geçelidir.
ancak server dll uzerinden işlem yaptıgı için dll dosyası kapatılmalıdır.
örnek : beast
explorer enjekte ettigini varsayarak anlatıyorum.
process explorer da explorer.exe nin uzerine çift tıklıyoruz ve threads sekmesine geliyoruz.
burada dxdgns.dll dosyasını buluıyoruz ve kill diyoruz.
artık server kapandı.. simdi klasik dosya işlemini yapabilirisiniz.
http://www.sysinternals.com/
+ sistemde çalışan programların bilgisayar her acıldıgında açılması için başlangıç ayarlarının olması gerekir.
sistem her açıldıgında otomatik olarak çalışan programları görmek için "autoruns" adlı programı download edin.
http://www.sysinternals.com/
+ güvenlik önleminizi saglamak için uygun bir zamanda "kaspersky anti virüs" yukleyin
http://www.kaspersky.com/
+ dialer gibi programlara karşı extra önlem için adresten "spy sweeper" programını indirin.
http://www.webroot.com/
+ sistem her açıldıgında otomatik olarak çalışan programları görmek için diger yol
başlat tan çalıştıra geliyoruz ve msconfig yazıyoruz. ekrana gelen menüden başlangıç sekmesini seçiyoruz.
ve tüm çalışan programları görüyoruz.
eger sisteminizde zararlı programların oldugunu düşünüyorsanız tüm başlangıçları iptal edip bilgisayarınızı yeniden başlatın. bu işlem sonrasında zararlı programlar sistemde olsa bile çalışmadıgı için zarar görmezsiniz.
================================================================================================================
sistem : windows xp
1) sistemi tanıyalım.
windows xp altında çalışan bazı standart programlar vardır.
bunlar sırası ve çalıştıgı yere göre şu şekildedir.
csrss.exe c:windowssystem32csrss.exe
explorer.exe c:windowsexplorer.exe
lsass.exe c:windowssystem32lsass.exe
services.exe c:windowssystem32services.exe
svchost.exe c:windowssystem32svchost.exe
winlogon.exe c:windowssystem32winlogon.exe
bu programlar standartır.
ekran kartınıza gore ve ses kartınıza gore bazı ilave programlar çalışabilir.
mesela benim ses kartımla beraber gelen
smagent.exe d:program filesanalog devicessoundmaxsmagent.exe
gibi....
bu exe dosyaları dll adı verilen eklentileri kullanırlar. vs vs vs. bunu bilmemize şimdi gerek yok.
not1 : svchost.exe dosyası windowssystem32 altında tek olmasına karsın bir kaç tane çalışır şekilde olabilir. bunun sebebi servislerdir.
2) trojanların sistemde çalışma şekli.
trojanlar sistemde çalışırken muhtemelen her zaman çalışan bir dosyanın adını kullanarak yada sistemde var olan bir dosyanın adını kullanarak çalışırlar. kendi isimlerini kullanan troıjanlarda vardır.
buna bir kaç örnek verelim.
beast : svchost.exe
mshost.exe
cia : services.exe
winiogon.exe
turkojan : winoldapp.exe
prorat : winlogon.exe
services.exe
reverspy : services.exe
.... ... ... .. .. .. ..
buna karşılık randomize isimler kullanan serverlarda vardır. orn : subseven
gelişmiş trojanların bir özelligide server a istedigimiz ismi vere bilmemizdir.
orn : cia, beast, netdevil, turkojan, firsttime, reverspy vs vs vs..
biraz daha gelişmiş trojanlar yada spyler dll dosyalarınında ismini degiştirmeye izin verir.
orn : beast, logit ....
bir cok trojan sistemde çalışan isimlere benzer isimler uretirler.
orn : crss.exe
msconfg.exe
winiogon.exe
service.exe
bir cok trojanda sistemde çalışan programın aynı ismini kullanır ancak gercekte çalıştıgı yerden farklı bir klasör içinde çalıştırırki gerçek dosya ile karışıp sistemi bozmasın.
orn : beast ( svchost.exe windows ---- mshost.exe system32), prorat ( services.exe windows )
=========================================================================================================================
önemli not : eger sistemde yabancı bir programın çalıştıgını anlamak istiyorsak hangi programın nerede bulundugunu bilmemiz gerekir....
=========================================================================================================================
3) trojanların kullandıkları ek dosyalar ( dll, dat, atm vs vs vs )
bu dosyaların isimleri sistemde çalışanlarla aynı olmak zorunda degil ve coguda buna dikkat etmez.
ancak onemli bir husus varki enjeksiyon yapan serverlar isim benzerligini kullanırlar
orn : beast dxdgns.dll (windows) ( directx dosyasının ismini taklit etmiştir.)
bu tür gelişmiş trojanlar dll dosyasının ismine de müdahale etmemize olanak saglar..
=========================================================================================================================
onemli not : bu türde dll enjeksiyonu yapan trojanlar işlem listesinde ayrı bir dosya olarak görünmez. en çok ve en başarılı enjekte yöneti explorer.exe ve iexplore.exe dosyasını enjekte etmektir. birazdaha gelişmiş bir yöntem ise nt sistemlerde userinit.exe yi enjekte ederek explorer uzerinden çalıştırmak.
orn : institution2004 & reverspy
unutulmamalıdır ki dll dsyasını çalıştırmak için her zaman yine exe dosyası gerekir.!!!!!!
==========================================================================================================================
4) trojanı nasıl temizleriz.
ilk yapılması gereken işlem server ın kapatılmasıdır. kapatılamayan bir server yoktur... ( dll enjeksiyonu yapsa bile )
diyelim ki sisteminzide services.exe dosyası çalışıyor. ve windows klasörünün içinde.
normalde services.exe system32 klasörü içindedir. o halde bu yabancı bir dosyadır.
=========================================================================================================================
neden yabancı bir dosyadır.!!!!!
sisteme yükleyecegniz extra program ve sürücüleriniz her zaman kendi isimlerini kullanırlar. asla taklit yada aldatmaca yoluna başvurmazlar.
=========================================================================================================================
viruslu olabilir yada trojandır. etc. kapatmak gerekir...
server kapatıldıktan sonra incelememiz gerekir.
neden inceleyelim ---->>>> hangi kopyaları oluşturuyor, registry de nerelere kendini yazıyor.
aldıgı sifreler hangileri keylogger varmı vs vs....
nasıl inceleriz :
server compres edilmişse önce unpack etmemiz gerekir. zira compres edilen serverın içi okunamaz.
trojan ve virusler genel itibariyle upx yada fsg ile sıkıştırılırlar. ancak aspack, pecompack, petite, asprotect, neolite gibi çeşitli compress programlarıylada sıkıştırıldıgı olur.
serverı unpack etmek için gerekli araçlar konu dışında oldugundan burada deyinmeyecegim.
serverı unpack ettiginizi varsayarak devam ediyorum.
ben pe explorer adlı programı tavsiye ediyorum zira bu iş için cok kullanışlıdır.
pe explorer ile serverı acıp disassembler ediyoruz.
( http://www.heaventools.com/ )
string yazan menüye tıklıyoruz ve orada serverın işlemlerini bir parçada olsa okuya biliyoruz.
önemli olan .exe .dll ve software yazılarını bulmaktır.
genel itibariyle exe lerden kopyaları dll lerden ekleri software lerden ise reg kaydını bulmayı amaçlıyoruz.
dikkat etmeniz gereken bir onemli husus her dll ve exe dosyası trojanın eki degildir. her software trojanın yazıldıgı bolum degildir.
==========================================================
bunu anlamaının en kolay yolu sürüm bilgisine bakmaktır. ancak bu kesinlik katmaz sadece basarı oranınızı artırır. %80 sürüm bilgisi yoktur . varsa bile gercek klasöründe degildir.
==========================================================
trojanların başlangıç için kullandıgı yöntemlerden bazıları sunlardır.
system.ini
win.ini
explorer shell
nt run
run services
local_machine run
curent_user run
detaylı bilgi için ekteki reg klasöründeki dosyaları not defterinde acıp inceleyin.
evet serverı pe explorer da incelediginizi düşünüyorum.
bu konuya biraz egilin. cunku karışık gibi görünecektir. fakat 1-2 kez yapınca anlayacagınıza eminim.
server ve eklerini tespit ettiniz mesela
prorat 1.9'u ele alalım.
services.exe
fservices.exe
sservices.exe
reginv.dll
winkey.dll
pplugin9.dat
vs vs vs
bu dosyaları siliyoruz.
simdi sistemimiz trojandan temizlendi.
peki registryden nasıl temizleriz.
başlat tan çalıştıra regedit yazarız. ve buldugumuz registry degerini ararız. ve sileriz
bu kadar dır. ===============================================
===============================================
===============================================
cok cok cok onemli not : registry ayarlarıyla oynamak sisteminizi bir daha acılmamak üzere boza bilir.
bunu onlemek için en üstte bulunan bilgisarım a tıklayıp dosya menüsünden ver diyerek registry kaydınızı yenileyin.
bir sorun oldugunda uzerine çift tıklayarak sornu duzelte bilirsiniz.
===============================================
===============================================
===============================================
genel notlar :
başlatçalıştır a gelerek cmd yazıp enter a basın. açılan consol ekranına c: -s -h /d /s *.* yazarak c: sürücünüzdeki tüm dosyaları görünür yapa bilirsiniz.
http://www.sysinternals.com/ process explorer ( gelişmiş uygulama gösterici )
otomatik çalışan programları görmek için
http://www.sysinternals.com/ autoruns adlı programı download ediniz.
otomatik çalışan programları görmek için bir diger yol ise başlat tan çalıştır a msconfig yazıp enter a basmaktır.
burada başlangıç sekmesine gelip hangi programlar çalışır görebiliriz.
unutulmamalıdır ki trojanların cok buyuk cogunlugu kendini msconfig den gizleye biliyor.
=============================================================================================================
dll enjekte serverların kaldırılması:
yukarıda anlatılan buradada geçelidir.
ancak server dll uzerinden işlem yaptıgı için dll dosyası kapatılmalıdır.
örnek : beast
explorer enjekte ettigini varsayarak anlatıyorum.
process explorer da explorer.exe nin uzerine çift tıklıyoruz ve threads sekmesine geliyoruz.
burada dxdgns.dll dosyasını buluıyoruz ve kill diyoruz.
artık server kapandı.. simdi klasik dosya işlemini yapabilirisiniz.