مقاله : راههای مقابله با Keylogger ها و RAT ها

توسط وحید علمی در دی ۲۸, ۱۳۹۶
در این مقاله سعی میکنم راههای مقابله با Keylogger ها و RAT  ها را به شما بگم که انشاالله بتونید امنیت خودتون رو در برابر این نوع تروجان ها تضمین کنید .

کیلاگرها :

خب ابتدا توضیح مختصری در مورد کیلاگرها به شما میگم :

کیلاگرها بدافزارهایی هستند که توسط یک هکر ساخته میشوند و توسط آن فایلی ساخته میشود که به طرف مقابل اونو باید داد تا طرف هک شود .

خب کیلاگرها چه کارهایی انجام میدهند ؟

کیلاگر ها طوری ساخته میشوند که وقتی طرف مقابل برروی آنها کلیک کند تمامی کلید هایی که تایپ میکنید رو برای هکرارسال میکنند.بعضی کیلاگرها هم امکاناتی از قبیل غیرفعال سازی رجیستری و تسک منیجر رو در خود گنجانده اند .

بعضی مواقع کیلاگرها را با نرم افزار دیگری میچسبانند که به این روش بایندر میگویند .

شناسایی این نوع کیلاگرها به این صورت است که باید از نرم افزار مدیریت پردازشگر سیستم استفاده کنید.

بهترین نرم افزار در زمینه شناسایی کیلاگرهای بایند شده نرم افزار System Explorer میباشد که میتونید از لینک زیر این

نرم افزار رو دریافت کنید :

http://systemexplorer.net/download-archive/4.7.0/SystemExplorerSetup_470.exe

به کمک این نرم افزار کافیست برروی فایل های مشکوک راست کلیک کرده و گزینه End Process Tree کلیک کنید و برروی

گزینه YESکلیک نمایید تا فایل بصورت موقت بسته شود.

خب ما با این آموزش سرور کیلاگر رو بلاک کرده ایم و حالا باید قسمت های ورود این کیلاگرها رو تشخیص بدیم و غیرفعال کنیم

اولین و مهمترین مسیری که هر تروجان و بدافزار خودش رو اونجا جا میده مسیر زیر میباشد :

Start > Run > Msonfig

سپس به تب Stratup رفته و تیک فایل مشکوک  رو غیر فعال میکنیم .

خب روش دیگری هم هست که میتونیم فایل های بایند شده را پیدا کنیم !در مسیر زیر میتونیم مسیر فایل ویروس رو پیدا کنیم

ابتدا به تسک منیجر میریم و به تب Processes رفته و برروی فایل مشکوک راست کلیک کرده و گزینه Open File Location

کلیک میکنیم خواهید دید که فایل های ویروس معمولا در درایو :

C:/Windows

یا

C:/windows/system32

قرار میگیرند.

روش های شناسایی کیلاگرها فراوان هستند که اگر بخواهیم توضیح دهید خیلی زمانبر هستند و روش های بالا حتما جوابگو

هستند.

RAT ها

RAT مخفف کلمه  Remote Administrator Tools میباشد که به معنی ابزار مدیریت از راه دور میباشد.

این نوع بدافزارها بسیار خطرناک هستند و هکر بکمک این تروجانساز میتواند تمام سیستم شما را کنترل کند.

خب یک نکته رو به شما بگم :

هیچ وقت کسی از این نوع تروجان هک نخواهد شد جز اینکه طرف روی فایل کلیک کند یا فایلی رو دانلود کند !

این جمله آخر خیلی مهم و خطرناک میباشد که شما در صورتی که فایلی رو دانلود نکنید با این حال باز هم هک خواهید شد !

Downloader یا دانلودرها : نرم افزارهایی هستند که فایل ویروسی هکر را به برنامه میدهد و فایلی رو به خود شخص میدهد

سپس هکر فایل را در آپلودسنترهایی که فایل های Exe را ساپورت میکنند  آپلود میکند!

خب شما چطور از این روش هک میشوید؟! :

این فایل ها طوری تنظیم شده اند زمانیکه شما فایل رو دانلود کنید بدون اینکه برروی فایل کلیک کنید بطور اتوماتیک اجرا میشود!

حواستون باشه این روش جدیدا خیلی رایج شده و خیلی از هکرها از این روش استفاده میکنند !

خب حالا در این قسمت از مقاله ما سعی میکنیم مسیر بدافزار (رت) را تشخیص و مسدود کنیم .

این بدافزار اگر بایند نشده باشد زمانیکه شما اونو اجرا میکنید هیچ چیزی برای شما نمایش داده نمیشود و اگر از خود شخس سوال کنید به شما خواهم گفت که سیستم شما نرم افزار را پشتیبانی نمیکند ! در چنین جاهایی شما حرف شخص مقابل رو قبول نکنید و طبق آموزش های زیر عمل کنید تا هک نشوید و اطلاعاتتان را از دست ندهید !

به تسک منیجر میرویم و به تب Processes رفته و برروی فایل مشکوک راست کلیک کرده و گزینه Open File Location

کلیک میکنیم سپس فایل را در سایت زیر آنالیز میکنیم :

https://malwr.com/submission

در صورتی که فایل از نوع رت باشد مشخصات هکر همانند تصویر زیر دیده میشود :

سپس در همان صفحه در قسمت فایل مسیر نصب تروجان در سیستمتان را خواهید دید :

 

در این تصویر محل نصب فایل اصلی در :

C:\DOCUME~1\User\LOCALS~1\Temp\svchost.exe

و نام فایلی که در استارت آپ قرار دارد در مسیر زیر :

C:\Documents and Settings\User\My Documents\MSDCSC\msdcsc.exe

قرار میگیرید و شما کافیست نام msdcsc.exe را در مسیر زیر پیدا و آنرا غیرفعال کنید :

Start > Run > Msconfig > Tab Startup > Disable msdcsc.exe

با این حال شما باید به مسیر زیر بروید و همه مواردی که از Startup پنهان هستند را غیرفعال کنید :

Start > Type “Task Scheduler “

سپس از سمت چپ برروی فولدر Task Scheduler Library  کلیک کرده و برروی تمامی محتویاتی که آنجا قرار دارند راست کلیک کرده و گزینه Disable را بزنید .

توصیه : سعی کنید کنار آنتی ویروستون نرم افزار انتی تروجان مثل Trojan Killer  و Anti Malware Byte نصب کنید چون انتی ویروس قادر به شناسایی این بدافزارها نمیباشد

با تشکر از Ahwaz Hacker برای تهیه این آموزش

 

 

یک نظر بدهید

پنج × 1 =

فونت توسط فونت گوگل. آیکن های Fontello. سابقه کامل اینجا »