------------------------------------------------------------------------------------------------- # Konu : Temizlik Tarih : 28/04/2007 Saat : 01:59 Yazar : Khalsa Düzenle.: Ibrahim BALIÇ # ------------------------------------------------------------------------------------------------- İçerik : 1.Giriş 2.Dosyalar Hakkında Bilinmesi Gerekenler 2-1.Dikkat Edilecek Uzantılar 2-2.Dikkat Edilecek Icon Hileleri 3.Virüslerin Çalışmaları. ================================================================================================= [1.Giriş] ''''''''' ------------------------------------------------------------------------------------------------- Bu Konumuzu Okuman Once; Virusler, Wormlar, Trojenler (VWT) Konumuzu Okumanızı Kesinlikle ve Kesinlikle Tavsiye Ediyoruz... Konumuzda Windows Xp Üzerinde Virüslerin Ufakcik Hilelerle Biz lere Kan Kusturan Saatleri/Zamanları Atlatabilmek İçin Yapmamız Gereken Şeyleri Anlatacağız.. Girişi Uzatmadan Konuya Girelim...(ben bazı sekillerde, resimlerde server 2003^dn kullandım xp dede ayni konsolları bulabilirsiniz, karişiklik olmasın.) [2.Dosyalar Hakkında Bilinmesi Gerekenler] '''''''''''''''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Kesinlikle AKLINIZA Sokmanız Gereken Bişi, Ne Olursa Olsun Programlar Mutlaka İşlem Yapab ilmek İçin Sistemde Calişmak Zorundadir Ve Sistemde Çalışan, Programlar Silinemezler Veya Mudahe le Edilemezler.Bu Bilgiler Çok Önemlidir Arkadaşlar.Bunlari Eğer Aklınızdan Cıkartırsanız İlerde Çok Yorulursunuz.Ve Aşagıda Sunacağım Resimdeki Uyarı Mesajını Alırsınız. Hata Mesajı: ================================================================================================= _________________________________________________________________ | Dosya Silme Hatası X | |----------------------------------------------------------------| | x x Kodyaziyorum.com Silinemiyor:Erişim Engellendi. | | x | | x x Diskin dolu veya yazmaya karşı korumalı olmadığından ve | | dosyanın şuanda kullanımda olmadığından emin olun. | | _______ | | | Tamam | | | '-------' | |________________________________________________________________| ================================================================================================= Bu Görmüş Olduğunuz Uyarı Mesajı Çalışır Durumdaki Bir Dosyanın Silinmesi İstediğinde Alınır.Dos yalarda, Klasörlerde Her Türlü Dosya Silinmeden Yada Değiştirilmeden Önce; Muhakkak Kullanilmadı ğından Emin Olunmalıdır. Dosyalar Hakkında Bilmeniz Gereken Önemli Bir Nokta Daha Uzantıları Ve Iconlarıdır [2-1.Dikkat Edilecek Uzantılar] ''''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- .exe .com .bat .cmd .js .vbs .scr .pif Bu Dosya Uzantıları Çalıştırılabilir Dosyalara Ait Dosya Türleridir. Virüslerin Dosya Virüslerinin Ve Wormların Spamların Bulasacakları Yada Alacak ları Dosya Uzantılarıdır.Bu Uzantıları Windows İşletim Sistemi Otamatik Gelen Ayarlar Sonucu Gizl emektedir.Siz Dosya Uzantisini Göremezsiniz(Default Olarka Gelen Ayarı Değiştirmediyseniz. ) Buda Büyük Sorunlar Yaratabilir.Dosya Uzantısını Göremediğiniz İçin Icona Aldana Bilirsiniz. Biz Bunun Önüne Gecebilmek İçin Öncelikle Birkaç Değişiklik Yapacaz. Explorerı Acalım Ve Resimdeki Araçlar Sekmenini Tıklayalım: ================================================================================================= ________________________________________________________________________________________ ||Dosya||||Düzen||||Görünüm||||Sık Kullanılanlar|||[Araçlar]|||Yardım||||||||||||||||||| ---------------------------------------------------------------------------------------- | Ağ Sürücüsüne Bağlan.. | | Ağ Sürücüsü Bağlantısı Kes..| | Eşitle | |------------------------------| Klasör Seçeneklerini Tıklayalım.=> | Klasör Seçenekleri <---- | '''''''''''''''''''''''''''''''' Daha Sonra Açılan Klasor Seçenekleri Konsolundan Görünüme Gelerek. [Bilinen Dosya Türleri İçin Uzantıları Gizle] Seçeneğini Kaldıralım. ================================================================================================= __________________________________________________________________________ | Klasör Secenekleri X | |-------------------------------------------------------------------------| | __________________________________________________________ | | ( Genel | +Görünüm | Dosya Türleri | Çevrimdışı Dosyalar ) | | |'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''| | | | -----Klasör Görünümleri------------------------------------------ | | | | | Bu Klasörde Kullandığınız(Ayrıntılar yada Döşeme gibi) | | | | | | ^^^^^^^ görünümleri tüm klasörlere uygulayabilirsiniz. | | | | | | | | _________________________ ________________________ | | | | | | |_____| | Bütün Klasörlere Uygula | | Tüm Klasörleri Sıfırla | | | | | | | ''''''''''''''''''''''''' '''''''''''''''''''''''' | | | | | |_________________________________________________________________| | | | | | | | | | | | | Gelişmiş Ayarlar: | | | | ----------------------------------------------------------------- | | | | | # Dosya ve Klasörler | | | | | | [x] Adres çubugunda tam yolu görüntüle | | | | | | [x] Ağ klasörlerini ve yazıcıları otomatik olarak ara | | | | | | [x] Başlık çubuğunda tam yolu görüntüle | | | | | | [ ] Bilgisayarım'da Denetim Masası'nı Göster | | | | | | [x] Bilinen dosya türleri için uzantı gizle | | | | | | [x] Gezgin Klasörleri listesinde basit klasö görüntüle | | | | | | # Gizli dosya ve klasörler | | | | | | (%) Gizli dosya ve klasörleri göster | | | | | | (%) Gizli dosya ve klasörleri gösterme | | | | | | [X] Her bir klasörün görünüm ayarlarını anımsa | | | | | |_________________________________________________________________| | | | | ___________________ | | | | | Varsayılanı Yükle | | | | | ------------------- | | | |_____________________________________________________________________| | | _______ _______ ________ | | | Tamam | | Iptal | | Uygula | | | ------- ------- -------- | |_________________________________________________________________________| ================================================================================================= Bu İşlem Bittikten Sonra Dosyaların Uzantıları Artık Görüntülenebilecek. Bu İşlemin Fayda sını Birazdan Çok Daha Iyı Anlayacaksınız. Ve Faydalanacaksınız.Simdi Gelelim Iconlarımıza. [2-1.Dikkat Edilecek Icon Hileleri] ''''''''''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Dosya Türleri Bir Yana Insanların En Cok Yanılgıya Düştükleri Bir Konudur!... Ezberlenmiş Bilinen Iconlardır. Insanlar Bu Gorunen Sımgelere Guvenerek Cok Zarar Gorebilmekte. Ornek Vermek Gerekirse; Bmp Iconu; www.turksecuritymaster.com/Security/Turkish/Dersler/uygulamalar/Genel/Temizlik/Resimler/bmp5rv.png Adresinden Bakabilirsiniz. ( Bu iconu gormuş/biliyor Oldugunuzu varsayıyorum ) Bu Icon Cogunuzunda Bildiği Uzere Bitmap Yani Resim Türündeki Dosyaların Kulladığıdır. Fakat Bil indiği Üzere Program Yazılırken İstenen İcon Türü Seçilebilir. Şimdi Derlemiş Olduğum Bir Exe'ye Verdiğim Icona 2 Farklı/Ayrı Resim Ile Bakalım ve Dikkat Edin. 1.Ss Aşağıda; www.turksecuritymaster.com/Security/Turkish/Dersler/uygulamalar/Genel/Temizlik/Resimler/feykbmp5tt.gif 2.Ss Aşağıda; www.turksecuritymaster.com/Security/Turkish/Dersler/uygulamalar/Genel/Temizlik/Resimler/feyk24ot.gif Burada Anlamanızı Umduğum Şey Dosyanın Gerçek Uzantısının .exe Olduğu Fakat Icon Ve Isımde Biraz Bosluk Verdiğimizde Gercek Dosya Uzantısı Sona Kaldıgı İcin Gozukemiyor. Exe Ismim: ================================================================================================= Kodyaziyorum.bmp .exe ================================================================================================= Olarak Bir İsim Almiş Bir Dosyadır. Fakat Windows Eğer Uzantıyı Exe Olarka Tanıdıgını Varsayıp G izlerse Bize kodyazıyorum.bmp Kalıyor. Burada Yanılgılar Cok Ve Zararlar Büyük Olabiliyor. Simdi Bu Basit Bir Örnek Hayal Gücünüz İle Neler Yapılınabileceğini Geliştirin Bizde Konumuza Devam Ed elim. [3.Virüslerin Çalışmaları.] ''''''''''''''''''''''''''' ------------------------------------------------------------------------------------------------- Her Virüs Yada Kötü Yazılımlar Kendilerini Başlatacak Bişilere İhtiyac Duyarlar. Bu Genel Olarak Registyden Gerçekleşir. Yada Bir Servis Araci İle Otamtik Başlatılır. Servisler Cok Sonra Gorulenecek Simdilik Basit Registry Anahtarlarına Gözatalim. İlk Olarak Calşitiğinda Kendini Registrye Kayit Ederler.Windows Her Acılıştan Sonra Bu Yazılımla rı Otamatık Caliştirir. Bunları Kontrol Altına Almak İcin Spy Remover Yazılımlarını Kullanabilir siniz. Bu Size Kolaylık Sağlar Ama Programlara İhtiyac Duymam Diyenler Kendileri Manuel Olarakta Registry Konsolundan Ulasabilirler. Registry Başlatmak İçin. ================================================================================================= ------------------------------------------------- | Administrator | |_________________________________________________| | | | | Sunucunuzu Yönetin |(#) Bilgisayarım | | Komut Istemi |-------------------------| | Windows Gezgini |(+) Denetim Masası ->| |-----------------------| | | Not Defteri |(*) Yönetimsel Araçlar ->| | Msn Messenger 7.5 | | | WinRAR |(&) Bağlan ->| | Windows Media Player | | | Ozy |(/) Yazıcı Ve Faxlar ->| | Adobe Photoshop CS |-------------------------| | |[?] Yardım Destek | |-----------------------|[/] Ara | | Tüm Programlar -> |[-] Çalıştır <-[Tıklayın]| |_________________________________________________| | [] Oturumu Kapat [] Kapat | |-------------------------------------------------| | Başlat | '-------------------------------------------------- ================================================================================================= Başlat -> Çalıştırı Tıkladıktan Sonra. Acılan Çalıştır Konsolula Regedit Yazip Tamam Dem eniz Yeterlidir. ================================================================================================= ____________________________________________________ | Çalıştır ? X | |---------------------------------------------------| | ++++++ Bir Program, klasör belge kaynağın adını | | ++++++ yazın Windows Sizin İçin açacaktır. | | | | _______________________________________ | | Aç : | regedit.exe |&| | | --------------------------------------- | | _______ _______ ________ | | | Tamam | | Iptal | | Gözat. | | | '-------' '-------' '-------- | |___________________________________________________| ================================================================================================= Daha Sonra Regedit Başlatilmiştir. ================================================================================================= _______________________________________________________________________________________ |,^ Kayıt Düzenleyicisi _ [] X | |--------------------------------------------------------------------------------------| |__Dosya___Düzen___Görünüm___Sık Kullanılanlar__Yardım_________________________________| |--------------------------------------------------------------------------------------| | ------------------------------------------------------------------------------------ | | |[-]-Bilgisayarım | | Ad | Tür | Veri | | | | \ | |----------------------------------------------------| | | | [+] HKEY_CLASSES_ROOT | | | | | | | | | | | | | [+] HKEY_CURRENT_USER | | | | | | | | | | | | | [+] HKEY_LOCAL_MACHINE | | | | | | | | | | | | | [+] HKEY_USERS | | | | | | | | | | | | | [+] HKEY_CURRENT_CONFIG | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |----------------------------------------------------| | | |---------------------------| |_____________________<_____________>________________| | |--------------------------------------------------------------------------------------| | Bilgisayarım | ---------------------------------------------------------------------------------------- ================================================================================================= Burada Önemli Ikı Adım Ve Dize Var. HKEY_CURRENT_USER HKEY_LOCAL_MACHINE Bu Ikı Dize Girdilerin Uygulanması Gerektiği Hakkı Belirler. User Kullanıcı Ayarları Mach ine İse Genel Ayarlardir.Eğer Pc İki Kullanıcı Varsa Selim ve Administartor. Burada Administrator Oturumu Acikken Girilen Değer, Makine Ayarlarinda YOksa Administator Oturumu Acildiğinda Bu Girdi nin İşlevi Yok Olur.Şimdi Gelelim Windowsun Başlamasindan Sonra Otamatik Çalıştırılan Uygulamalar ın Girdilerine.Ss Te Göreceğiniz Anahtarlar Ve Değerleri Konumlarini Ve Başlatilmasi Gereken Uygu lamanın İsmini Gosteriliyor. ================================================================================================================ _______________________________________________________________________________________________________ |,^ Kayıt Düzenleyicisi _ [] X | |------------------------------------------------------------------------------------------------------| |__Dosya___Düzen___Görünüm___Sık Kullanılanlar__Yardım_________________________________________________| |------------------------------------------------------------------------------------------------------| | ---------------------------------------------------------------------------------------------------- | | | [+] Internet Settings | | Ad | Tür | Veri | | | | [+] Multimedia | |--------------------------------------------------------------------| | | | [+] Policies | |[](Varsayılan) REG_SZ (Değer Atanmamış) | | | | [\] Run | |[]CTFMON.EXE REG_SZ F:\Windows\system32\ctfmon.exe | | | | [+] RunOnce | |[]MessengerPlus3 REG_SZ F:\Program Files\MessengerPlus\Msg.. | | | | [+] Settings | |[]msnmsgr REG_SZ F:\Program Files\MSN Messenger\Msn.. | | | | [+] Syncmgr | |[]Ozy-Mes REG_SZ D:\Document and Settings\Guvenlik\.. | | | | [+] Telephony | | | | | | [+] Themes | | | | | | | |--------------------------------------------------------------------| | | |---------------------------| |_____________________<_____________>________________________________| | |------------------------------------------------------------------------------------------------------| | Bilgisayarım\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | -------------------------------------------------------------------------------------------------------- ================================================================================================================ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run Ornek Olarak Değerindeki Ozy-Mes Uygulamasının Yeri Veri Tabınn Altında Bulunuyor.Windows Bunu Buradan Okuyup Administrator Oturumu Acildiğinda Uygulamayı BaşlatIyor.Kotu Yazilimlarda Ge nel Olarka Bu Sayede Calışıyor.Biz Tamamen Bunlari Silmek İçin 2 Adım İzleyebiliriz. 1.Adım Regedit Uzerinde F3 Tusuna Basarak, Veri Tabındaki Dosya Yoluna Bakım Gercek Dosya İsimini Ogrenip Bunu F3 Tuşuyla Actiğimiz Arama Konsoluna Yazip Tarama Yapmak.Ve Cıkan Tum Değerleri Silmek. 2.Adım Run , Runonce, Runservice Ve Service Dizelerine Gelip Buradan Programın Değerlerini Silmektir. Not: İkinci Adım Genel Olarka Bilincsiz Kullanıcıların Yapmaması Gereken Yoldur.Cünkü Yanlışlıkla Silebilecekleri Bir Servis Uygulamalarin Calişmamasına Sebeb Olabilir. Regeditten Degerleri Sildikten SOnra Yapmanız Gereken Uygulamının Çalışır Durumda Olup Olmadığıdır. Cunku Uygulama Cakışır Durumda İse Tekrar Aynı Ayarları Girebilir. Uygulamının Calişip Calişmadıgını Windows Task Manager | Windows Görev Yöneticisinden İşlemlere Ge linerek Kontrol Edilebilir.[Daha Önceki Güvenlik 2 - Trojenlerde Anlatmıştım Hatırlamayan Göz Atab ilir] ================================================================================================= ________________________________________________________________________ |,^ Windows Görev Yöneticisi _ [] X | |-----------------------------------------------------------------------| | Dosya | Secenekler | Görünüm | Yardım | |-----------------------------------------------------------------------| | ___________________________________________________________________ | | ( Uygulamalar | İşlemler | Performans | Ağ iletişimi | Kullanıcılar ) | | |-------------' '------------------------------------------| | | | --------------------------------------------------------------- | | | | | Yansıma Adı | Kullanıcı Adı | Cpu | Bellek Kullanımı | | | | | |---------------------------------------------------------------| | | | | | | | | | | | mspaint.exe Administrator 00 8.880k | | | | | | cmd.exe Administrator 00 48k | | | | | | VB6.EXE Administrator 00 7.536k | | | | | | taskmgr.exe Administrator 02 6.540k | | | | | | cmd.exe Administrator 00 48k | | | | | | ctfmon.exe Administrator 00 4.444k | | | | | | wpabaln.exe Administrator 00 2.664k | | | | | | dllhost.exe SYSTEM 00 8.780k | | | | | | regedit.exe Administrator 00 8.056k | | | | | | IEXPLORE.exe Administrator 00 24.960k | | | | | | wmiprvse.exe SYSTEM 00 5.472k | | | | | | VB6.EXE Administrator 00 1.948k | | | | | | msnmsgr.exe Administrator 02 37.512k | | | | | | explorer.exe Administrator 00 37.820k | | | | | | IEXPLORE.EXE Administrator 00 18.916k | | | | | | VB6.EXE Administrator 00 5.576k | | | | | | gcasDtServ.exe Administrator 00 11.744k | | | | | | fwsrv.exe Administrator 00 9.824k | | | | | | zlclient.exe Administrator 00 8.848k | | | | | |---------------------------------------------------------------| | | | | |_<___________________________________________________________>_| | | | | | | | | [ ] Tüm kullanıcıların işlemlerini göster __________________ | | | | | İşlemi Sonlandır | | | | | ------------------ | | | |___________________________________________________________________| | |-----------------------------------------------------------------------| |İşlemler:57 | CPU Kullanımı: 11% | Ayrılmış Bellek: 639/2467 /'| |_____________________________________________________________________\_| ================================================================================================= Burada, Regeditte Okudugumuz Dosyanin Gerçek İsimini Bularak İşlemini Sonlandırabilirsini z.Daha Sonra Tekrar Regedit İşlemlerini Kontrol Ediniz. Bu İşlemler Esnasında Karşılaşılabilecek Hatalar Ve Kısıtlamalardan Bazıları İse Bir Sonraki Temizlik Dersinde Göreceğiniz.System Dosyala rı Sistem Klasorleri Ve Kapatılamıyan Dosyalar. Silinemeyen Dosyaları Daha Ayrıntılı İnceleyeceğ iniz. ================================================================================================= ######## BİTİŞ ######## ------------------------------------------------------------------------------------- Bu Ders Khalsa Tarafından kodyazıyorum.com'a Yazılmıştır. Ibrahim BALIÇ Tarafından www.turksecuritymaster.com Kullanıcıları İçin Düzenlenmiştir. ======================== Ibrahim BALIÇ TSM Security Programmer. ========================