Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

Mersin Böcek İlaçlama - Sağlıklı Günler Sunuyoruz - 0532 132 91 97
Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

SGS Böcek İlaçlama (Sağlıklı Günler Sunuyoruz)


    BİLGİSAYAR GÜVENLİĞİ (3)

    Paylaş
    avatar
    MersinLee
    Admin

    Mesaj Sayısı : 178
    Usta : 545
    Kayıt tarihi : 29/01/08
    Yaş : 30
    Nerden : Mersin

    BİLGİSAYAR GÜVENLİĞİ (3)

    Mesaj tarafından MersinLee Bir 24th Temmuz 2009, 17:02

    3) C:\WIDOWS\SYSTEM dizini

    c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.

    c:\windows>

    şeklinde bir satır karşınıza çıkacak.

    c:\windows>cd system

    yazıp enter a basarsanız

    c:\windows\system>

    satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise

    c:\windows\system>del winloger.exe

    satırını yazıp enter a basarsak dosya sistemden silinmiş olur.

    4)Registery

    Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi
    buradan

    HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
    bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz

    Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aşağıdakine benzer bir ekran görürüz.

    burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).

    START UP PROGRAMLARININ KONTROLÜ :

    Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.

    Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.
    Ayrıca yukarıda görülen başlangıç kartını aktif yaparsanız aşağıdaki gibi bir ekranla karşılaşırsınız.
    yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini ve c:\windows\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz. Çoğunlukla msconfig ile sisteminizde trojan olup olmadığını anlamak mümkün olur. Bilgisayarınızın kullandığı programları biliyorsanız. Geriye kalanlar tehlike işaretidir. Özellikle yukarıda da görüldüğü gibi c:\windows, c:\windows\system veya c:\windows\temp dizini altındaki dosyalara dikkat edilmesi gereklidir.
    Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa aşağıdakine benzer bir ekran çıkar.
    buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler. Başlangıç programını aktif hale getirirseniz msconfig den tanıdığımız programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa
    bilgisayarınızda çalışan system dizini de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, değişiklik buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından system dizinine yerleştirilen trojandır. Diğerleri benim kontrolümde sisteme yüklenmiş olan www.ntvmsnbc.com haber uyarı programı ile homesite 4.0 site yapım programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan bir program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları işinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi tür trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde trojan olduğunu zannettiğiniz bir program var. Bu program c:\windows dizini altında ve yaptığınız araştırmalar onun hakkında pek de iyi şeyler söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır.

    PORTLARIN KONTROLÜ:

    Yazımızda da belirttiğimiz gibi trojanlar açık olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak trojanlar tarafından kullanılan portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada

    c:\windows>netstat -an
    yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir. (Portları kontrol için totostat adında bir programı tavsiye ederim. Netstat ile aynı işlemi yapıyor. Kullanımı daha pratik. Buraya tıklayarak download edebilirsiniz.)

    Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 numaralı portlar açık görünüyor. Bunlar kesinlikle bilgisayarda trojan olduğunun göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor. Şayet web sayfasına bağlanırsak karşı bilgisayarın kullandığı port olarak 80 (8080 de olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat ve Chat ve proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)

    Bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda görüldüğü gibi 54321 numaralı port açık fakat yabancı adreste bir bağlantı görünmüyor. Bu o anda bağlantı olmadığını gösterir. 54321 numaralı porta bir bağlantı olduğunu görmüş olsaydık. Kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik.

    TROJANLARIN KULLANDIĞI PORTLAR:

    Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.

    TROJAN İSMİ
    KULLANDIĞI PORT : icqtrojana 4950- girlfriend 21554 -bo 31337 -ftp99cmp 1492- master paradise 40421-fire hotker 5321-sockets de troje 30303 -executor 80 -gate crasher 6969-hackers paradise 456-hack99 keyloger 12223-netspy 31339-net monitor 7300-subseven 1243-27374 -invasor 2140-Wincrach 1.03 5742 -Wincrach 2.0 2583-Silencer 1001 -Devil 65000 -Millenium 20001-Phineas 2801-Backdoor 1999 -Evilftp 23456-Phasezero 555 -Psyber Streaming Server 1509 -SSTROJG 11000 -Voice Client 1514 -Netbus 12345-20034 -Schoolbus 54321 .
    MAİL BOMBALARI:

    İnternet ortamında mail hesabının olması olmazsa olmaz şartlardan birisi. Ne varki insanların rahatı onları rahatsız eden kötü niyetli kişiler tarafından yazılan mail bomber lar ile mail hesabınız işleyemez hale gelebilir. Sahip oldukları bir mail bomber programı ile istediği mail hesabına sayısı oldukça yüksek mail gönderebilirler. Mail göndermenin ne zararı olabilir diyebilirsiniz. Fakat mail hesapları belli bir kapasiteyle sınırlıdır. Mesela 5 Mb kapasiteye sahip mail hesabınıza her biri 20 Kb lık 300 e-mail gönderilmesi durumunda hesabınız çalışamaz durumu gelecek ve size gelen mailler yerine ulaşamayacaktır.

    Bu operasyonun zarar vermek isteyen kişiye kaybettirdiği zaman ise sadece yarım saattir. O yarım saat sörf yaparken aynı zamanda program size mailleri gönderecektir.


    NÜKELER:

    Windows işletim sistemi (özellikle Win 95) aslında sanıldığı kadar kusursuz değildir. İşte nuke diye bilinen programlar işletim sisteminizin bu açıklarını iyi bilen ve sürekli yeni açıklar bulmaya çalışan programcılar tarafından yazılan programlardır. Çeşitleri bir hayli fazladır. Özellikle win 95 işletim sistemini tehdit ederler. Mavi ekran hataları sonrası sisteminizin yeniden başlatılması, hattınızın kopması(şu an çok popüler olan ve modem resetleyici diye bilinen nuke çeşitlerine karşı ise korunma neredeyse imkansız) ya da internette sörf hızınızın yavaşlamasına sebep olan değişik bir çok çeşidi vardır. Hatta çoğu kullanıcı sürekli hattan düştüğünü ve bunun nedeninin internet servis sağlayıcısı olduğunu zanneder. Gerçekte işler biraz farklıdır. Bunu anlamanın en kolay yolu ise firewall(aşağıda anlatılacak) diye bilinen programlardan birinin sisteminize kurularak saldırılara şahit olmanızdır. Hatta işin boyutları o kadar büyümüştür ki. Nuke programları temin eden sitelerden bazıları işin çığırından çıktığını fark ederek bu işi yapmaktan vazgeçmiş, hatta koruma yollarını anlatmaya başlamışlardır. Bilgisayar kullanıcılarının büyük bir çoğunluğu internette güvenlik meselesinin halâ lüks olduğunu zannetmektedirler. Hedef kitle ise bu çoğunluktur. Aşağıda anlatılacak tekniklerin uygulanmasıyla internette rahatça sörf yapabilecek yapılan saldırıları çoğunlukla emin olarak tebessüm ederek seyredeksiniz. Nukelerden yüzde yüz korunmanın bir yolu yoktur. Fakat güvenlik için uygulanacak teknikler sayesinde büyük çoğunluğu bertaraf edebilirsiniz. Hatta nuke atanların çoğu işin teknik detayını bilmeden ellerindeki nuke programını kullanan liseli öğrencilerdir.



      Forum Saati 24th Eylül 2017, 10:22