Ana sayfa
Forumlar
Yeni mesajlar
Forumlarda ara
Blog
Neler yeni
Yeni mesajlar
Son aktiviteler
Giriş yap
Kayıt ol
Neler yeni
Ara
Ara
Sadece başlıkları ara
Kullanıcı:
Yeni mesajlar
Forumlarda ara
Menü
Giriş yap
Kayıt ol
Install the app
Yükle
Forumlar
Bilgisayar ve Teknoloji ve İnternet
Webmaster Dünyası
İnternet , Ağ ve Bilgisayar Güvenliği
Bilgisayar Güvenliği..!
JavaScript devre dışı. Daha iyi bir deneyim için, önce lütfen tarayıcınızda JavaScript'i etkinleştirin.
Çok eski bir web tarayıcısı kullanıyorsunuz. Bu veya diğer siteleri görüntülemekte sorunlar yaşayabilirsiniz..
Tarayıcınızı güncellemeli veya
alternatif bir tarayıcı
kullanmalısınız.
Konuya cevap cer
Mesaj
<blockquote data-quote="el-fetih" data-source="post: 257944" data-attributes="member: 1015316"><p style="text-align: left"><span style="color: #ff0000"><span style="font-family: 'arial black'"><em><strong><strong>NOT: Arkadaşlar bu yöntem ileri düzey bilgisayar kullanıcıları için geçerlidir.</strong></strong></em></span></span></p> <p style="text-align: left"><span style="color: #ff0000"><span style="font-family: 'arial black'"><em><strong><strong></strong></strong></em></span></span></p> <p style="text-align: left"><span style="color: #ff0000"><span style="font-family: 'arial black'"><em><strong><strong></strong></strong></em></span></span><span style="color: #0000ff"><span style="font-family: 'arial black'"><em><strong><strong>İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken, başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol tarafından suç işlediği için Türk yetkililerine bildirilerek yakalanmıştır. Öğrencimizin suçsuz olduğu daha sonradan anlaşılmıştır. Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına uğramıştır. Örneklerin sayısı her geçen gün artmaktadır.</strong></strong></em></span></span></p> <p style="text-align: left"><span style="color: #0000ff"><span style="font-family: 'arial black'"><em><strong><strong>Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel birkaç bilginin verilmesi gerekiyor. Ağ (Network) birden fazla bilgisayarın birbirlerine bağlanarak bilgilerin paylaşımı esasıyla çalışır. Ağ daki her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak diğerine giden bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir ağdır. İnternational Network (uluslar arası ağ)kelimelerinin kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP olarak isimlendirilen bir adresi vardır.</strong></strong></em></span></span></p> <p style="text-align: left"><span style="color: #ff0000"><span style="font-family: 'arial black'"><em><strong><strong>Her İP adresi ***.***.***.*** formatındadır. Örneğin superonline kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde olabilir. Kulanıcıların İP adresleri internete her bağlantı kurulduğunda değişir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve tarihte, hangi telefon ve İP numarası ile nereye bağlanıldığı gibi bilgiler İSS(İnternet servis sağlayıcısı) tarafından dosyalandığı için yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet üzerinde nasıl tanındığını çok basit bir şekilde anlattıktan sonra bilgisayarların internete bağlanırken nasıl çalıştığı üzerine de birkaç şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda yapabileceğiniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları kontrol etmekten geçtiği elbette anlaşılmıştır. (isteyen kullanıcılar için meselenin teknik detayını içeren dosyaları gönderebilirim). Temel bilgileri verdikten sonra bilgisayarınıza yapılabilecek saldırılar ve bunları önlemenin yolları üzerine yazıya devam edebiliriz.</strong></strong></em></span></span></p> <p style="text-align: left"><span style="color: #ff0000"><span style="font-family: 'arial black'"><em><strong><strong></strong></strong></em></span></span><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"> <p style="text-align: left"><span style="color: #00ffff"><strong>TROJANLAR </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"></p> <p style="text-align: left"><span style="color: #ff8c00"><strong>Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıştırmasını sağlayabiliriz. (Aslında trojanlar başka programlara entegre edilerekte karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların dergimiz aracılığıyla bu işi öğrenmelerini istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün benim girebildiğim bu bilgisayara yarın başka birisi girerek istediğini yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanın nasıl temizleneceği anlatılıyor.) . Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmediği sürece zararsızdır. İnternette iken bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı size bulaştırmak isteyen kişi) isteğine göre değişebilen portları açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir. Aşağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir. Aşağıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış. </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff8c00"><strong>(Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat Çoğunlukla ayarlar değiştirilmeden kullanılır)</strong></span></p> <p style="text-align: left"><span style="color: #0000ff"><strong>SUBSEVEN:</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Boyutu: 374 KB</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Yerleştiği yer: Çalıştırıldığı dizin</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Start up yöntemi: Win.ini dosyasına ekleme yaparak</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Özellikleri: </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur. </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte, programlarınız çalışmayı durdurabilmektedir.</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur. </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Temizlenmesi: </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek. Burada </strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>[windows]</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>NullPort=None</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>Options=85663</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>device=TRIO DATAFAX,DATAFAX,WINSERVE:</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #0000ff"><strong>run=nyuw.exe</strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff">[Desktop]</span></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff">TileWallpaper=0</span></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff">WallpaperStyle=0</span></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff">Pattern=(None)</span></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff">Wallpaper=C:\WINDOWS\WEBSHOTS.BMP</span></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #0000ff"></span>.........</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows> işareti gelecek.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows>del nyuw.exe</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>SCHOOLBUS:</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Adı: grcframe.exe(hidden olarak bulunur), runonce.exe</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Boyutu: 321 KB</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Yerleştiği yer: c:\windows\system</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Start up yöntemi: System dizinine yerleştiği için açılışta sisteme yüklenir.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Özellikleri:</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildiği şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır. </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür. </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Temizlenmesi:</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda söylenenleri yapın</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>C:\windows> cd system </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>C:\windows\system>del grcframe.exe </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>C:\windows\system>del runonce.exe </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın. </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>BO (BACK ORİFİCE)(BO2K 2000):</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Adı: bo2k.exe </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Boyutu: 112 KB</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Yerleştiği yer: Çalıştırıldığı dizin.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Özellikleri:</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını alırsınız. </strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Temizlenmesi:</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong>Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız gelecek.</strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/troj1.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></strong></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong></strong><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'">Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.</span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/troj2.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /> </span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'">Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın.</span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/troj3.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'">Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız TCP/IP yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-denetim masası buradan ağa tıkladığımızda karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.</span></em></strong></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/troj4.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></span></em></strong></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"></span></em></strong></span></em></strong></span></em></strong></span></p></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"> <p style="text-align: left"><strong>Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)</strong></p></p> <p style="text-align: left"></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><p style="text-align: left"></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>START UP (BAŞLANGIÇ) PROGRAMLARI:</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler. </strong></span></p> <p style="text-align: left"><span style="color: #008000"><strong>1) Win.ini</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>[windows]</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>NullPort=None</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>Options=85663</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>load=</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>device=TRIO DATAFAX,DATAFAX,WINSERVE:</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>run=</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong></strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>[Desktop]</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>TileWallpaper=0</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>WallpaperStyle=0</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>Pattern=(None)</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>Wallpaper=C:\WINDOWS\WEBSHOTS.BMP</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong></strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>[intl]</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iCountry=90</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>ICurrDigits=2</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iCurrency=3</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iDate=1</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iDigits=2</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iLZero=1</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iMeasure=0</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iNegCurr=8</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iTime=1</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>iTLZero=1</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>s1159=</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>s2359=</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sCountry=Turkey</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sCurrency=TL</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sDate=.</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sDecimal=,</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sLanguage=trk</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sList=;</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sLongDate=dd MMMM yyyy dddd</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sShortDate=dd.MM.yyyy</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sThousand=.</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>sTime=:</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>..................</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #008000"><strong>...............</strong></span></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><span style="color: #008000">yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir</span>.</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>2) System.ini</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>[boot]</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>oemfonts.fon=vgaoem.fon</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>system.drv=system.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>drivers=mmsystem.dll ctpnpscn.drv power.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>shell=Explorer.exe</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>gdi.exe=gdi.exe</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>sound.drv=mmsound.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>dibeng.drv=dibeng.dll</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>comm.drv=comm.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>mouse.drv=mouse.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>keyboard.drv=keyboard.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>*DisplayFallback=0</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>fonts.fon=vgasys.fon</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>fixedfon.fon=vgafix.fon</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>386Grabber=vgafull.3gr</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>display.drv=pnpdrvr.drv</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>scrnsave.exe=</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>user.exe=user.exe</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>[keyboard]</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>keyboard.dll=</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>oemansi.bin=xlat857.bin</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>subtype=</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>type=4</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>[boot.description]</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>system.drv=Standart PC</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>aspect=100,96,96</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>mouse.drv=Standart fare</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>display.drv=3D Artist PA50</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>.........................</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>.........................</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadığını ayıretmek sizin elinizde). örneğin:</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>shell=Explorer.exe Winlog.exe </strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>shell=Explorer.exe</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>3) C:\WIDOWS\SYSTEM dizini </strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır. </strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows></strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>şeklinde bir satır karşınıza çıkacak.</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows>cd system</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>yazıp enter a basarsanız</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows\system></strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>c:\windows\system>del winloger.exe</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>satırını yazıp enter a basarsak dosya sistemden silinmiş olur.</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>4)Registery </strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong>Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi</strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/reg1.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></strong></p></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"> <p style="text-align: left"><span style="color: #ff0000"><strong>buradan</strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/</strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz</strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/reg2.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'">Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aşağıdakine benzer bir ekran görürüz</span><span style="font-family: 'Courier New'"><span style="color: #9acd32">.</span></span></em></strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"><span style="color: #9acd32"></span></span></em></strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"><span style="color: #9acd32"><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/reg3.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></span></span></em></strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"><span style="color: #9acd32"></span></span></em></strong></strong></span></p></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"><span style="color: #9acd32"></span></span><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><p style="text-align: left"><strong>burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).</strong></p></p> <p style="text-align: left"></span></strong></em></span></em></strong></strong></span><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><p style="text-align: left"></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>Start up programlarının kontrolü:</strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.</strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong>Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.</strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/reg4.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'">Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.</span></em></strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"></span></em></strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"><img src="http://www.bilgisayarogren.com/bilgisayarguvenligi/reg6.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></span></em></strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"></span></em></strong></strong></span></p></span></strong></em></span></em></strong></strong></span></strong></em></strong></span></strong></em></span></em></strong></span></em></strong></span></em></strong></span></strong></em></strong></strong></em></span></p><p style="text-align: left"><span style="font-family: 'arial black'"><em><strong><strong><em><strong><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><strong><em><strong><span style="font-family: 'Courier New'"><strong><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><span style="color: #ff0000"><strong><strong><em><span style="font-family: 'Courier New'"></span></em></strong></strong></span></p></p> <p style="text-align: left"></span><p style="text-align: left"></p></p> <p style="text-align: left"></strong><p style="text-align: left"></p></p> <p style="text-align: left"></em><p style="text-align: left"></p></p> <p style="text-align: left"></span><p style="text-align: left"></p></p> <p style="text-align: left"></em><p style="text-align: left"></p></p> <p style="text-align: left"></strong><p style="text-align: left"></p></p> <p style="text-align: left"></strong><p style="text-align: left"></p> </p></p> <p style="text-align: left"></span><p style="text-align: left"><p style="text-align: left"></p> </p></p> <p style="text-align: left"></strong><p style="text-align: left"><p style="text-align: left"></p> </p></p> <p style="text-align: left"></em><p style="text-align: left"><p style="text-align: left"></p> </p></p> <p style="text-align: left"></strong><p style="text-align: left"><p style="text-align: left"><strong><strong><em><span style="font-family: 'Courier New'"><strong><em><span style="font-family: 'Courier New'"><em><strong><span style="font-family: 'Courier New'"><p style="text-align: left"> </p></p> <p style="text-align: left"></span></strong></em></span></em></strong></span></em></strong></strong></p> </p> </p></p> <p style="text-align: left"></span></strong></em></span></em></strong></span></em></strong></span></em></strong></p></p> <p style="text-align: left"></span></strong></em></strong></strong></em></span></p></blockquote><p></p>
[QUOTE="el-fetih, post: 257944, member: 1015316"] [LEFT][COLOR=#0000ff][FONT=arial black][I][B][/B][/I][/FONT][/COLOR][COLOR=#ff0000][FONT=arial black][I][B][B]NOT: Arkadaşlar bu yöntem ileri düzey bilgisayar kullanıcıları için geçerlidir. [/B][/B][/I][/FONT][/COLOR][COLOR=#0000ff][FONT=arial black][I][B][B]İnternet üzerinden iletişim artık vazgeçilmez bir olay haline gelmiştir. Gelecek yıllarda tüm bilgisayarların bu devasa ağa bağlanabileceği hesaba katılırsa insanların henüz tam olarak tanıyamadıkları internet, artıları ve eksileriyle bizleri beklemektedir. Artıları elbette tartışılamayacak kadar fazladır fakat insanların fazla bilmedikleri eksileri ise neredeyse artıları kadar fazladır. Siz bilgisayarınızın başında oturarak internetin nimetlerinden faydalanırken, başka bir kullanıcı sizin bilgisayarınıza internet üzerinden girerek tahmin dahi edemeyeceğiniz zararlar verebilir. Mesela bilgisayarınızın hard diskini formatlayabilir, En tehlikeli virüsleri size bulaştırarak sisteminizin zarar görmesine sebep olabilir. Gizli zannettiğiniz şifrelerinizi alabilirler. Bunlardan daha tehlikelisi ise sizin bilgisayarınızı ya da internet giriş şifrelerinizi kullanarak suç işleyebilir ve sorumlu olarak siz aranabilirsiniz. Mesela Bursa da bir öğrenci interpol tarafından suç işlediği için Türk yetkililerine bildirilerek yakalanmıştır. Öğrencimizin suçsuz olduğu daha sonradan anlaşılmıştır. Aslında öğrencimiz sade bir internet kullanıcısıdır ve bilgisayarını kullanan kişilerin saldırısına uğramıştır. Örneklerin sayısı her geçen gün artmaktadır.[/B][/B][/I][/FONT][/COLOR] [COLOR=#0000ff][FONT=arial black][I][B][B]Güvenlik konusuna geçmeden önce bilgisayarın işleyişi ile ilgili temel birkaç bilginin verilmesi gerekiyor. Ağ (Network) birden fazla bilgisayarın birbirlerine bağlanarak bilgilerin paylaşımı esasıyla çalışır. Ağ daki her bilgisayarın bir ismi vardır ve bir bilgisayardan çıkarak diğerine giden bilgi alıcı ve gönderici bilgisayar bilgilerini kullanarak yerine ulaşır. İşte bu sırada alıcı gibi davranabilen bir bilgisayar sizin bilgilerinize ulaşabilir. İnternet de aslında büyük bir ağdır. İnternational Network (uluslar arası ağ)kelimelerinin kısaltılmasıyla ortaya çıkmıştır. İnternet ortamında her bilgisayarın İP olarak isimlendirilen bir adresi vardır.[/B][/B][/I][/FONT][/COLOR] [COLOR=#ff0000][FONT=arial black][I][B][B]Her İP adresi ***.***.***.*** formatındadır. Örneğin superonline kullanıcısı olan bir bilgisayarın İP si 212.252.145.218 şeklinde olabilir. Kulanıcıların İP adresleri internete her bağlantı kurulduğunda değişir(Şayet statik İP tercihi yapmamış iseniz.). Fakat hangi saat ve tarihte, hangi telefon ve İP numarası ile nereye bağlanıldığı gibi bilgiler İSS(İnternet servis sağlayıcısı) tarafından dosyalandığı için yapılan bir suçun tesbitide kolaylaşmaktadır. Bilgisayarların internet üzerinde nasıl tanındığını çok basit bir şekilde anlattıktan sonra bilgisayarların internete bağlanırken nasıl çalıştığı üzerine de birkaç şey söylemek gerekir. Bilgisayarlarda bulunan veriler internete giderken veya aynı şekilde bilgiler size gelirken sanal kapılar olarak kabul edilen portlardan geçerler (Bazı bilgiler hariç). Portları bilgisayara giriş kapıları olarak ta düşünebiliriz. İşte sizin internetteki en önemli güvenlik noktanız bu portlardır. Şayet portlarınız açık ise başka bir kulanıcı bilgisayarınıza girerek, sizin bilgisayarınızda yapabileceğiniz herşeyi yapabilir. Bu noktada bilgisayarı korumanın en iyi yolunun portları kontrol etmekten geçtiği elbette anlaşılmıştır. (isteyen kullanıcılar için meselenin teknik detayını içeren dosyaları gönderebilirim). Temel bilgileri verdikten sonra bilgisayarınıza yapılabilecek saldırılar ve bunları önlemenin yolları üzerine yazıya devam edebiliriz. [I][B][FONT=Courier New][COLOR=yellowgreen] [/COLOR][/FONT][/B][/I][/B][/B][/I][/FONT][/COLOR][FONT=arial black][I][B][B][I][B][FONT=Courier New] [LEFT][COLOR=#00ffff][B]TROJANLAR [/B][/COLOR] [/LEFT] [COLOR=#ff0000][FONT=arial black][I][B][B][I][B][FONT=Courier New][COLOR=yellowgreen][/COLOR][/FONT][/B][/I][/B][/B][/I][/FONT][/COLOR][LEFT][COLOR=#ff8c00][B]Trojanlar aslında sizin bilgisayarınızın başka bir bilgisayar tarafından ağ üzerinden kontrol edilmesine yarayan programlardır. Bilgisayarınızın portlarından herhangi birisini açarak diğer kullanıcıların bilgisayarınıza girmesini sağlarlar. Server ve Client dosyalarından oluşur. Server portları açarak bilgisayarınızı hedef haline getirirken, Client ise bilgisayarınıza girilmesini sağlar. Örneğin bir kullanıcıya trojan bulaştırarak bilgisayarına girelim. İcq da hedef seçtiğimiz(vaya chat te) kurbanımıza elimizde bulunan Server programını herhangi bir şekilde gönderiyoruz. Güzel bir program kullan vazgeçemeyeceksin diyebileceğimiz gibi, içinde mükemmel bir resim arşivi var istersen bir bak diyerek te kurbanın Server programını almasını ve çalıştırmasını sağlayabiliriz. (Aslında trojanlar başka programlara entegre edilerekte karşı tarafa bulaştırılabilirler(Truva atı). Mesela kurbanımıza çok popüler İcq programını trojan ile birleştirilmiş halde verebilirsiniz. Bu durumda kurban İcq yu çalıştırdığında normalde farklı hiçbir şey fark etmeyecektir.) Kurbanımız gönderdiğimiz Server programını çalıştırınca trojanı bilgisayarına bulaştırmış olacaktır. Bu aşamadan sonra kurbanımızın İP sini alarak bilgisayarına girmek kalıyor. Bizdeki Client programını çalıştırdığımızda bizden bir İP numarası isteyecek. Oraya bulduğumuz kurbanımıza ait İP yi yazarak Connect tuşuna bastığımızda kurbanımızın bilgisayarına bağlanmış oluyoruz. Artık gerisi size kalmış, ister format atın, ister internet giriş şifrelerini çalın.(Meseleyi anlatırken teknik detaya girerek insanların dergimiz aracılığıyla bu işi öğrenmelerini istemedik. Verilen bilgiler sadece korunma amaçlıdır.) Kurbanımızda varolan trojan silinmediği sürece varlığını devam ettirecektir. Bugün benim girebildiğim bu bilgisayara yarın başka birisi girerek istediğini yapabilir. İnternet ortamında trojan yediği halde haberi olmayan bir çok insan vardır. Port Scanner diye bilinen programlarla bu insanları tesbit ederek, sahip olduğu trojana göre kullanacağımız bir Client programı sayesinde bu bilgisayarlara da girebiliriz. Port Scanner programıyla kontrol etmeniz durumunda internette 10 dakika içinde Netbus 2.0 (20034 numaralı portu kullanır.) trojanını yiyen en az 5 kişi bulabilirsiniz. Norton veya Mcaffe tarafından tanınmayan trojan sayısı çok sınırlı olduğu için bu anti virüs yazılımlarından birini yüklemeniz durumunda trojanların ekserisinden korunmuş olursunuz. (kendi bilgisayarımda denemediğim trojan kalmadı Norton 5.0 anti virüs programı trojanları yakalama konusunda harika. Fakat schoolbus isimli trojanı bulamıyor. Aşağıda bu trojanın nasıl temizleneceği anlatılıyor.) . Aslında çoğu trojan internet üzerinde sörf yaparken birisi sizin bilgisayarınıza girmediği sürece zararsızdır. İnternette iken bilgisayarınızda bir trojan olup olmadığını anlamanın çok kolay bir yolu vardır. Ayrıca bir trojan varsa bile, bilgisayarınızın içindeki bu casusun kimlere bilgisayarınızın kapılarını açtığını da öğrenebiliriz. Dos ortamında netstat -an komutunu yazarak enter tuşuna basarsanız bilgisayarınızın internet ortamındaki tüm bağlantılarını görebilir ve anormal bir durum olup olmadığını kontrol edebilirsiniz. Eskiden herbir trojanın kullandığı port numarası farklı idi. Örneğin netbus ın ilk versiyonu 12345 numaralı portu kullanırken Bo trojanı 31337 numaralı portu kullanıyordu. Şimdilerde ise her bir trojan kullanıcının(trojanı size bulaştırmak isteyen kişi) isteğine göre değişebilen portları açabiliyor. Bu nedenle trojanların kullandığı portlarda bir anormallik gözünüze çarpmasa bile bu bilgisayarınızda trojan yoktur anlamına gelmez. Peki trojanlar bilgisayarımıza nasıl bulaşırlar. Chat te veya İcq da muhabbet ederken size gönderilen herhangi bir resim(aslında çalışabilir bir program olup resim iconu yerleştirilmiştir) ve dosya trojan taşıyor olabilir. Sizin o dosyayı açmanızla birlikte bilgisayarınıza da trojan bulaşacaktır. Korunmanın en iyi yolu dosya almamak. Hatta dosyayı aldığınız kişi tanıdık bile olsa dosya almamak. Çünkü o da gönderdiği programda trojan olduğunu bilmiyor olabilir. Aşağıda bilgisayarınızın kullandığı portların numaraları vardır. Bu port numaraları haricinde bir bağlantınız var ise muhtemelen bir trojandır. Fakat İcq programı çalışıyor veya Chat te muhabbet halinde iseniz. Normal harici kullanılan portlar olacaktır. Bu portları Chat programınız veya İcq programınzı açmış olabilir. Aşağıda en çok kullanılan trojanlar ve kontrol ettikleri portlar verilmiştir. Gerisi size kalmış. [/B][/COLOR] [COLOR=#ff8c00][B](Aşağıda trojanlara yönelik verilen bilgiler ve savunma yöntemleri server dosyasının ayarları değiştirilmediği takdirde geçerlidir. Fakat Çoğunlukla ayarlar değiştirilmeden kullanılır)[/B][/COLOR][/LEFT] [COLOR=#ff0000][FONT=arial black][I][B][B][I][B][FONT=Courier New][COLOR=yellowgreen][/COLOR][/FONT][/B][/I][/B][/B][/I][/FONT][/COLOR][LEFT][COLOR=#0000ff][B]SUBSEVEN:[/B][/COLOR] [COLOR=#0000ff][B]Adı: ratgele seçilmiş bir isim. (uyfghj.exe gibi)[/B][/COLOR] [COLOR=#0000ff][B]Boyutu: 374 KB[/B][/COLOR] [COLOR=#0000ff][B]Yerleştiği yer: Çalıştırıldığı dizin[/B][/COLOR] [COLOR=#0000ff][B]Start up yöntemi: Win.ini dosyasına ekleme yaparak[/B][/COLOR] [COLOR=#0000ff][B]En belirgin özelliği: Çok zengin kullanım seçenekleri sunması.[/B][/COLOR] [COLOR=#0000ff][B]Özellikleri: [/B][/COLOR] [COLOR=#0000ff][B]En yaygın trojandır. Kullanım kolaylığı ve bağlantı anında sağladığı gelişmiş özellikleriyle tercih sebebidir. Bağlanılan bilgisayarın registery ayarları, şifreleri, icq ve mail hesapları kolayca kullanılabilir. File manager ile karşı bilgisayarın dosyalarına erişebilir, key logger ile hedef bilgisayarda klavye aracılığıyla yazılan herşeyi görebilir, screen capture özelliği ile hedef bilgisayarın anlık ekran görüntüsüne mous ile müdahele edebilirsiniz. Kısacası son derece gelişmiş ve profesyonelce hazırlanmış bir remote control aracıdır subseven(daha bir çok özelliği de vardır.). Edir server ile server programı kullanıcı tarafından ayarlanabilir. Yani kullanılan port, start up metodu ve server dosyasının iconu değiştirilebilir. Bu şekilde bulunması da zorlaşmaktadır. Fakat çoğu kullanıcı subseven ı default ayarlarıyla kullanmaktadır. Aslında bu da bizim için bir avantajdır. Bu ayarlar bilindiği için bulunması da kolay olur. [/B][/COLOR] [COLOR=#0000ff][B]Subseven sadece hedef bilgisayara zarar vermeyi amaçlayan bir trojan da değildir. Aynı zamanda bu trojanı başkalarına bağlanmak için kullanan kişinin de bilgisayarında ki özel bilgileri internetten başkalarına göndermektedir(Sisteminize bir firewall programı kurarak sadece subseven client programını çalıştırmanız durumunda 20-30 dk sonra }-xæØ gibi anlamsız isimlere sahip bir dosya aracılığıyla bilgileriniz internette ilgili kişiye gönderilir. Muhtemelen subseven ı yapan şahsa. ).Ayrıca yine client programının çok kullanımı sonrasında sistem ayarlarınız değişebilmekte, programlarınız çalışmayı durdurabilmektedir.[/B][/COLOR] [COLOR=#0000ff][B]Default olarak(yani edit server ile değiştirilmemişse) 27374 numaralı port u kullanır. Start up metodu olarak kendini win.ini dosyasına Windows altına "run= dosya ismi" ekler. Dosya ismi rastgele seçilmiş bir isimdir. Bu satır sayesinde bilgisayarın her açılışında kendini yükleyerek 27374 numaralı port u açık hale getirerek bekler. Port ları açmak için kullanılan bu dosya c:\windows altında bulunur. [/B][/COLOR] [COLOR=#0000ff][B]Temizlenmesi: [/B][/COLOR] [COLOR=#0000ff][B]Öncelikle subseven ın kullandığı yardımcı server programını bulmalıyız. Biraz önce start up yöntemi olarak win.ini dosyasını kullandığını söylemiştik. Başlat tan çalıştır a gelerek win.ini yazıp enter a basın. Karşınıza win.ini dosyasının içeriği gelecek. Burada [/B][/COLOR] [COLOR=#0000ff][B][windows][/B][/COLOR] [COLOR=#0000ff][B]NullPort=None Options=85663 device=TRIO DATAFAX,DATAFAX,WINSERVE: run=nyuw.exe[/B][/COLOR] [B][COLOR=#0000ff][Desktop] TileWallpaper=0 WallpaperStyle=0 Pattern=(None) Wallpaper=C:\WINDOWS\WEBSHOTS.BMP [/COLOR].........[/B] [B]gibi satırlar karşınıza çıkmış olmalı. Windows altında run=nyuw.exe trojanımızın server programının ismi. Yani bilgisayar açıldığında bu program 27374 numaralı port umuzu açıyor. Şimdi "run=nyuw.exe" satırını silelim win.ini dosyasından saklayarak çıkalım. (fakat bahsettiğimiz bu server programı her makinede farklıdır. Yani rastgele seçilmiştir. Sizin bilgisayarınızda run= dan sonra başka bir isim yazıyor olmalı.) Burada dikkat etmemiz gereken server programımızın ismi. Bu ismi bir yere kaydederek. İşlemimize devam edelim. Buraya kadar yaptıklarımızla artık bilgisayar açıldığında portlarımızı açan programın çalışmasını önlemiş olduk. Fakat server programı her açılışta çalışmasa bile hala bilgisayarımız içinde(aslında buraya kadarki işlemlerle trojandan kurtulmuş olduk. Yani artık zararsız.). Başlat tan bilgisayarı kapat ı seçin ve çıkan ekranda ms-dos kipinde başlat seçeneğini aktif yaparak tamam tuşuna basın. Bilgisayarınız ms-dos kipinde açılacak. Karşınıza[/B] [B]c:\windows> işareti gelecek.[/B] [B]c:\windows>del nyuw.exe[/B] [B]yukarıdaki satırı yazıp enter tuşuna basınca artık server programı bilgisayarınızdan silinmiş olacak.(tabi ki siz nyuw.exe yerine win.ini de görüp kaydettiğiniz dosya ismini yazacaksınız.)[/B] [B]SCHOOLBUS:[/B] [B]Adı: grcframe.exe(hidden olarak bulunur), runonce.exe[/B] [B]Boyutu: 321 KB[/B] [B]Yerleştiği yer: c:\windows\system[/B] [B]Start up yöntemi: System dizinine yerleştiği için açılışta sisteme yüklenir.[/B] [B]En belirgin özelliği: Önceden norton ve mcafee tarafından bulunamıyordu. Fakat bu virüs tarama programlarının yeni sürümleri schoolbus ı buluyor.[/B] [B]Özellikleri:[/B] [B]Son zamanlarda özellikle Türkiye de oldukça yaygınlaşan bir trojandır. Bir Türk tarafından yapılmış olması ve norton tarafından bulunamaması en önemli yaygınlaşma sebebidir. Bağlantı yapıldıktan sonra bir çok kullanım seçeneği sunar(fakat subseven kadar zengin seçenekleri yoktur). Bu sayede karşı tarafın şifreleri, icq hesabı, dosyaları kontrol edilebilir. Edit server programı ile server dosyası istenildiği şekilde ayarlanabilir. Kullanılan port ve server dosyasının icon u değiştirilebilir. Bu trojan bilgisayarınızın 54321 ve 4****(değişiyor sürekli) numaralı portlarını açar. Elbette bu portların açık olması için bilgisayarınızda sürekli çalışır halde bir programın mevcut olması gerekli. Bu program c:\windows\system\ dizinindeki grcframe.exe isimli programdır. [/B] [B]Schoolbus sadece bulaştırılmış kişiye zarar vermez. Aynı zamanda bu trojanı kötü amaçlar için kullanan kişilerin şifrelerini de trojanı yapan kişinin mail hesabına gönderir. Kısacası kullanan da bulaştırılan da zarar görür. [/B] [B]Ayrıca trojanımız c:\windows\system dizinindeki runonce.exe isimli bir backdoor virüsünü de bilgisayarınıza bulaştırıyor. İşte bu programların silinmesiyle trojanımız da etkisiz hale geliyor. Fakat windows ortamında bu programları silmenin imkânı olmadığı için dos ortamına geçmeliyiz.[/B] [B]Temizlenmesi:[/B] [B]Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda söylenenleri yapın[/B] [B]C:\windows> cd system [/B] [B]C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)[/B] [B]C:\windows\system>del grcframe.exe [/B] [B]C:\windows\system>del runonce.exe [/B] [B]Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın. [/B] [B]BO (BACK ORİFİCE)(BO2K 2000):[/B] [B]Adı: bo2k.exe [/B] [B]Boyutu: 112 KB[/B] [B]Yerleştiği yer: Çalıştırıldığı dizin.[/B] [B]Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.[/B] [B]En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.[/B] [B]Özellikleri:[/B] [B]Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını alırsınız. [/B] [B]Temizlenmesi:[/B] [B]Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız gelecek. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/troj1.jpg[/IMG] [/B][COLOR=#ff0000][B][I][FONT=Courier New] Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/troj2.jpg[/IMG] [B][I][FONT=Courier New]Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/troj3.jpg[/IMG] [B][I][FONT=Courier New]Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız TCP/IP yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-denetim masası buradan ağa tıkladığımızda karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/troj4.jpg[/IMG] [I][B][FONT=Courier New][COLOR=yellowgreen] [/COLOR][LEFT][B]Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)[/B][/LEFT] [/FONT][/B][/I][/FONT][/I][/B][/FONT][/I][/B][/FONT][/I][/B][/COLOR][B][I][FONT=Courier New][B][I][FONT=Courier New][B][I][FONT=Courier New][I][B][FONT=Courier New][LEFT] [COLOR=#ff0000][B]START UP (BAŞLANGIÇ) PROGRAMLARI:[/B][/COLOR] [COLOR=#ff0000][B]Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler. [/B][/COLOR][/LEFT] [COLOR=#ff0000][B][I][FONT=Courier New][B][I][FONT=Courier New][B][I][FONT=Courier New][I][B][FONT=Courier New][COLOR=yellowgreen][/COLOR][/FONT][/B][/I][/FONT][/I][/B][/FONT][/I][/B][/FONT][/I][/B][/COLOR][LEFT][COLOR=#008000][B]1) Win.ini[/B][/COLOR] [COLOR=#008000][B]Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.[/B][/COLOR] [COLOR=#008000][B][windows][/B][/COLOR] [COLOR=#008000][B]NullPort=None Options=85663 load= device=TRIO DATAFAX,DATAFAX,WINSERVE: run= [Desktop] TileWallpaper=0 WallpaperStyle=0 Pattern=(None) Wallpaper=C:\WINDOWS\WEBSHOTS.BMP [/B][/COLOR] [COLOR=#008000][B][intl] iCountry=90 ICurrDigits=2 iCurrency=3 iDate=1 iDigits=2 iLZero=1 iMeasure=0 iNegCurr=8 iTime=1 iTLZero=1 s1159= s2359= sCountry=Turkey sCurrency=TL sDate=. sDecimal=, sLanguage=trk sList=; sLongDate=dd MMMM yyyy dddd sShortDate=dd.MM.yyyy sThousand=. sTime=: ..................[/B][/COLOR] [COLOR=#008000][B]...............[/B][/COLOR] [B][COLOR=#008000]yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir[/COLOR].[/B] [B]2) System.ini[/B] [B]Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.[/B] [B][boot] oemfonts.fon=vgaoem.fon system.drv=system.drv drivers=mmsystem.dll ctpnpscn.drv power.drv shell=Explorer.exe gdi.exe=gdi.exe sound.drv=mmsound.drv dibeng.drv=dibeng.dll comm.drv=comm.drv mouse.drv=mouse.drv keyboard.drv=keyboard.drv *DisplayFallback=0 fonts.fon=vgasys.fon fixedfon.fon=vgafix.fon 386Grabber=vgafull.3gr display.drv=pnpdrvr.drv scrnsave.exe= user.exe=user.exe[/B] [B][keyboard] keyboard.dll= oemansi.bin=xlat857.bin subtype= type=4[/B] [B][boot.description] system.drv=Standart PC keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye aspect=100,96,96 mouse.drv=Standart fare display.drv=3D Artist PA50 .........................[/B] [B].........................[/B] [B]yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadığını ayıretmek sizin elinizde). örneğin:[/B] [B]shell=Explorer.exe Winlog.exe [/B] [B]şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz[/B] [B]shell=Explorer.exe[/B] [B]şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.[/B] [B]3) C:\WIDOWS\SYSTEM dizini [/B] [B]c:\windows\system dizini altında bilgisayarınızın kullanmış olduğu donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır. [/B] [B]c:\windows>[/B] [B]şeklinde bir satır karşınıza çıkacak.[/B] [B]c:\windows>cd system[/B] [B]yazıp enter a basarsanız[/B] [B]c:\windows\system>[/B] [B]satırı oluşur. İşte burada silmek istediğimiz dosyanın adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise[/B] [B]c:\windows\system>del winloger.exe[/B] [B]satırını yazıp enter a basarsak dosya sistemden silinmiş olur.[/B] [B]4)Registery [/B] [B]Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/reg1.jpg[/IMG] [I][B][FONT=Courier New][COLOR=yellowgreen] [/COLOR][LEFT][COLOR=#ff0000][B]buradan[/B][/COLOR] [COLOR=#ff0000][B]HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/[/B][/COLOR] [COLOR=#ff0000][B]bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/reg2.jpg[/IMG] [B][I][FONT=Courier New][COLOR=#9acd32][/COLOR][/FONT][/I][/B][B][I][FONT=Courier New]Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aşağıdakine benzer bir ekran görürüz[/FONT][FONT=Courier New][COLOR=#9acd32]. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/reg3.jpg[/IMG] [I][B][FONT=Courier New][COLOR=yellowgreen] [/COLOR][/FONT][/B][/I][/COLOR][/FONT][FONT=Courier New][I][B][FONT=Courier New][LEFT][B]burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).[/B][/LEFT] [/FONT][/B][/I][/FONT][/I][/B][/B][/COLOR][B][B][I][FONT=Courier New][I][B][FONT=Courier New][LEFT] [COLOR=#ff0000][B]Start up programlarının kontrolü:[/B][/COLOR] [COLOR=#ff0000][B]Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.[/B][/COLOR] [COLOR=#ff0000][B]Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/reg4.jpg[/IMG] [B][I][FONT=Courier New]Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum. [IMG]http://www.bilgisayarogren.com/bilgisayarguvenligi/reg6.jpg[/IMG] [/FONT][/I][/B][/B][/COLOR][/LEFT][/FONT][LEFT][/left][/B][LEFT][/left][/I][LEFT][/left][/FONT][LEFT][/left][/I][LEFT][/left][/B][LEFT][/left][/B][LEFT][/left][/LEFT][/FONT][LEFT][LEFT][/left][/left][/B][LEFT][LEFT][/left][/left][/I][LEFT][LEFT][/left][/left][/B][LEFT][LEFT][B][B][I][FONT=Courier New][B][I][FONT=Courier New][I][B][FONT=Courier New][LEFT] [/LEFT] [/FONT][/B][/I][/FONT][/I][/B][/FONT][/I][/B][/B][/LEFT] [/LEFT] [/LEFT] [/FONT][/B][/I][/FONT][/I][/B][/FONT][/I][/B][/FONT][/I][/B][/LEFT] [/FONT][/B][/I][/B][/B][/I][/FONT][/LEFT] [/QUOTE]
Adı
İnsan doğrulaması
Peygamber Efendimiz a.s.v.'ın kabri nerededir? (Sadece şehir adını küçük harfler ile giriniz)
Cevap yaz
Forumlar
Bilgisayar ve Teknoloji ve İnternet
Webmaster Dünyası
İnternet , Ağ ve Bilgisayar Güvenliği
Bilgisayar Güvenliği..!
Bu site çerezler kullanır. Bu siteyi kullanmaya devam ederek çerez kullanımımızı kabul etmiş olursunuz.
Accept
Daha fazla bilgi edin.…
Üst