Yeni baslayanlar için PC Güvenligi Konusu ve Birazda Trojan vs. ile ilgili temel bilgiler bulacaksiniz.
Bu dokümanin bazi kisimlari çeviri, bazi kisimlari da tarafimdan eklentidir.
Baglantiniz süresince gözünüz Windows görev çubugundaki modem göstergesinde olsun. Eger modem durumunu göremiyorsaniz görünür kilmak için asagidakileri uygulayin:
start menu/programlar/aksesuarlar/komünikasyon/network ve dialup baglantilar
1. Açilan "Dial up" klasöründe internete baslanmanizi saglayan ikon üzerine fareyi getirip sag fare tusuna basip çikan menüden "Özellikler" i seçin.
2. Çikan pencerenin altinda kullandiginiz modem tanimi yer almaktadir. Alt kismindaki "Yapilandir"
düsmesini klikleyin.
3. Buradan da "Seçenekler" sekmesini seçin.
4. Son pencerede "Modem durumunu göster" seçenegini seçili duruma getirin.
5. "Tamam" düsmelerine klikleyip menülerden çikin.
Artik internete baslandiginizda Windows görev çubugunda modem simgesi belirecek ve yapilan tüm islemler es zamanli olarak gözükecektir. Modem durumunu izlemek çok önemlidir. Unutulmamalidir ki komutunuz harici bir islemin yapilip yapilmadigini ancak bu sekilde anlayabilirsiniz. Denemek için internete önce baglanin ve hiçbir islem yapmayip bir süre bekleyin. Modem isigi kisa süreli yanip sönüyorsa birileri! sizin orada olup olmadiginizi arastiriyor demektir.
Eger sizin komutunuz harici modem/ya da network simgesi isiklari sürekli yaniyorsa çift tiklayarak modem durum göstergesini açin. "veri alma" isigi sürekli yaniyorsa ve sabit diskiniz çildirmisçasina çalisiyorsa DERHAL baglantinizi kesin çünkü sisteminizde bir truva ati olabilir.
Truva Ati (Trojan Horse yada kisaca Trojan ) Nedir?
Eglenceli yada faydali bir program gibi gözüken, ancak maksadi hedef sisteme zarar vermek olan programlardir. Bilmeyen yoktur: eskiden basimizda programlarimizi yok eden Trojanlar vardi simdi ise ayni isi yapabilen ama uzaktan kontrol edilebilen Trojanlar var.
En Yayginlar "Back Orifice, kisaca BO) " ve "NetBus"
Her iki Truva Ati (Trojan), yukarida anlatildigi yolla sisteme girmektedir. Kendi baslarina sisteme dokunmazlar. Ancak sisteme girdikten sonra Windows kayitlarinda degisiklik yaparak her Windows oturumunda kendilerini çalisir hale getirirler. Her iki Trojani de uzaktan kontrol edebilmek için ayni adi tasiyan programlar mevcuttur.
söyle düsünelim:
Siz internet baglantisi olan bir bilgisayar kullanicisisiniz. Aksamlari internete baglanip söyle bir gezintiye çikiyorsunuz. Bilgisayarin karsisinda çayinizi içerken E-Mektuplarinizi kontrol ediyor, arkadaslarinizla sohbet ediyorsunuz. Her ne sekilde olursa olsun yukarida anlatilan Truva Atlari sisteminize bulasmis olsun. Eser önleyici programlariniz yoksa, söz konusu Trojan kontrol eden programi olan herkes sisteminize girebilir. Burada Truva Ati, bilgisayarinizi bir tür server haline sokar ve internet üzerinden gelen komutlari sizin bilgisayarinizda uygulayip sonucunu hizmet ettigi karsi tarafa iletir. Eger dikkatli bir kullanici degilseniz tüm bunlardan haberiniz dahi olmaz. Daha yeni versiyonlarinda ise, girilen bilgisayari kontrol etmek için Trojan tarafindan açilacak olan port degistirilebilmektedir. Daha da önemlisi, gelistirilen bazi trojanlarda, portun belirli süreler ya da uzaktan kontroller degistirilebilmesi, trojanin çalistigi portun degismesine sebep olacaktir ki bu sayede izlenmeleri de gayet zorlasacaktir.
Trojan kontrol programlariyla gönderilen komutlardan en önemlileri sunlardir:
-Klasör içerisine bakma, Klasör yaratma/silme
-Dosya arama, dosya silme, dosya içerisine bakma
-Bilgisayarinizi hizmetçi hale getirme (sabit diskinizde gezinebilir, dosya çekebilir)
-Windows oturumunu kapatma, windowsu kilitleme
-Windows kayitlarina erisme, kayit silme, kayit yaratma
-Sistem bilgisini alma, zuladaki sifreleri alma
-Dosya gönderme, dosya alma
Görüldügü üzere Trojan, internet hattinin diger ucundaki sahibi için yukaridaki komutlari sizin bilgisayarinizda uygulayabilmektedir.
Trojan tespiti ve yok edilmesine geçmeden evvel "Bütün bunlar nasil olabilir?" sorusuna cevap arayalim. Bildiginiz gibi (bilmiyorsaniz açikliyorum) bir çok programci, masum programlarina "Arka Kapi (Back Door)" tabir edilen kodlar ilave ederler. Kullanicilar bunlari bilmezler. Ancak gerektiginde programci tarafindan kullanilirlar. Mesela sifre korumali bir program satin aldiysaniz düsünün, Program bir ara çalismaz oldu ve teknik destek istediniz. Programci sizin sifrenize ihtiyaç duymadan programini çalistirabilmesi için programa bir parametre ile kendini tanitir. Program, içerdigi rutin icabi, çalistiranin kendi programcisi oldugunu anlar ve hata analiz prosedürünü çalistirir. Böylece programci hatalari bulur, onarir ve programi çalisir hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu çok basit bir Arka Kapi. Elbette ki kötü niyetli degil, sadece uzman olmayan kisilerin ulasmasini engellemek amaciyla yapilmis bir prosedür.
Delikler sadece yazilimlarda degil, bilgisayar entegrelerinde de olabilmektedir. Mesela bir zamanlarin en yaygin ev bilgisayari olan Commodore 64ün en alt ekran satiri haricinde normalde kimsenin ulasamadisi bir satirinin da oldugunu üreticileri bile bilmiyordu. Bir grup programci, bilgisayar entegresindeki delikten faydalanarak bu satiri kullanmayi basardi.
Görünüse bakilirsa, Windows var oldugu sürece back door açiklari kapanmayacaktir. Zaten pek de mümkün gözükmemektedir.
BO ve NetBus Trojanlarinin Tespiti ve Yok Edilmesi
UYARI:
Windows kayit düzenleyicisi (Registry Editor) kullanimi ile ilgili deneyiminiz yoksa yardim alin!
Ayrica herhangi bir hataya karsi Windows klasöründeki USER.DAT ve SYSTEM.DAT dosyalarini ayri bir klasöre kopyalayin. Yapacaginiz islemler bu dosyalarda gerçeklesecektir.
BO Trojan Tespiti
1. Baslat/Çalistirdan Kayyt Düzenleyicisini Çalistirin (REGEDIT yazyp Entere basyn).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtaryny açyn.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
".EXE" satirini gördüyseniz sisteminizde BO Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows\System klasörüne bakyn. Burada 122 kBayt uzunlusunda ady
olmayan bir dosya göreceksiniz. Silin! Ayny klasörde WINDLL.DLL dosyasyny bulun ve
önyargysyz silin. Her iki dosya da BO Trojany dosyalarydyr.
BO Trojanyndan kurtuldunuz, simdi Bilgisayarinizi yeniden baslatin.
Trrojany dosyalary farkly isimlerde olabilir. Emin olmak için, Baslat/Bul/Dosyalar ve Klasörler sekmesini seçin. Konum olarak Windows klasörünü belirtin ve Gelismis sekmesine geçin. Yçerdisi Metin kutusuna "bofile" yazarak aramaya baslayin. Bulunan dosyalar BO Trojani dosyalaridir.
Dosya isimlerini biryere not edin ve yukarydaki kayyt anahtarynda bu isimleri bulun ve o anahtari silin. Ayrica dosyalari da silmeyi unutmayin.
NetBus Trojani Tespiti
1. Baslat/Çalistirdan Kayit Düzenleyicisini Çalistirin (REGEDIT yazip Entere basin).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtarini açin.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
"PATCH.EXE" satirini gördüyseniz sisteminizde NetBus Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows çekmecesine bakin. Burada 400 Kb civari uzunlugunda "PATCH.EXE"
dosyasini göreceksiniz. Silin! NetBus Trojanindan kurtuldunuz.
6. Bilgisayarinizi yeniden baslatin.
SIMDI BÜTÜN INTERNET SIFRELERINIZ DEGISTIRIN
Internete baglanmanizi saglayan sifrelerinizi ve diger tüm önemli internet sifrelerinizi degistirmeyi de unutmayin, zira birileri! bu sifreleri kullaniyor olabilir.
Sistemleri koruma ile ilgili öneriler ise söyle;
Bilindigi ya da CWnin ilgili bölümünde de yazdigi gibi, bilgisayariniza korunma için artik personel yani kisisel firewalllar kurabilir, yada ileri düzeyde, son trojan ve virüs tanimlamalarini içeren Anti-Virüs yazilimlari kurabilirsiniz ancak, kisisel tavsiyem kaynagini bilmediginiz programlari sisteminizde pek Çalistirmamaniz, en azindan ileri düzeyde kullanici seviyesine gelene kadar. Buna ilaveten, süpheli sitelerden program indirmeyin. Kullanacaginiz Anti- Virüs yazilimlari zaten çogu popüler virüs ve trojani bulup etkisiz hale getirecek yada sizi ikaz edecektir ancak unutulmamasi gereken önemli bir konu, eger yeni virüs ya da trojanlar çikmazsa Anti-Virüs Yazilimi sirketlerinin para kazanamayacagi, hatta kisisel düsüncem ise, bu virüs ve trojanlarin çogunun yine anti-virüs yazilim sirketleri tarafindan yazildigi ya da en azindan desteklendigi yönünde. Internette aradiginiz zaman, ileri düzeyde programcilik bilgisi gerektirmeyen ve virüs yazilimi gerçeklestirmek için yapilmis programlar görebilirsiniz. Unutmayin ki bunlarla yaratacaginiz virüsler, yine anti-virüs yazilim sirketlerinin kasasina para olarak dönecektir.
Saygilar.
Bu dokümanin bazi kisimlari çeviri, bazi kisimlari da tarafimdan eklentidir.
Baglantiniz süresince gözünüz Windows görev çubugundaki modem göstergesinde olsun. Eger modem durumunu göremiyorsaniz görünür kilmak için asagidakileri uygulayin:
start menu/programlar/aksesuarlar/komünikasyon/network ve dialup baglantilar
1. Açilan "Dial up" klasöründe internete baslanmanizi saglayan ikon üzerine fareyi getirip sag fare tusuna basip çikan menüden "Özellikler" i seçin.
2. Çikan pencerenin altinda kullandiginiz modem tanimi yer almaktadir. Alt kismindaki "Yapilandir"
düsmesini klikleyin.
3. Buradan da "Seçenekler" sekmesini seçin.
4. Son pencerede "Modem durumunu göster" seçenegini seçili duruma getirin.
5. "Tamam" düsmelerine klikleyip menülerden çikin.
Artik internete baslandiginizda Windows görev çubugunda modem simgesi belirecek ve yapilan tüm islemler es zamanli olarak gözükecektir. Modem durumunu izlemek çok önemlidir. Unutulmamalidir ki komutunuz harici bir islemin yapilip yapilmadigini ancak bu sekilde anlayabilirsiniz. Denemek için internete önce baglanin ve hiçbir islem yapmayip bir süre bekleyin. Modem isigi kisa süreli yanip sönüyorsa birileri! sizin orada olup olmadiginizi arastiriyor demektir.
Eger sizin komutunuz harici modem/ya da network simgesi isiklari sürekli yaniyorsa çift tiklayarak modem durum göstergesini açin. "veri alma" isigi sürekli yaniyorsa ve sabit diskiniz çildirmisçasina çalisiyorsa DERHAL baglantinizi kesin çünkü sisteminizde bir truva ati olabilir.
Truva Ati (Trojan Horse yada kisaca Trojan ) Nedir?
Eglenceli yada faydali bir program gibi gözüken, ancak maksadi hedef sisteme zarar vermek olan programlardir. Bilmeyen yoktur: eskiden basimizda programlarimizi yok eden Trojanlar vardi simdi ise ayni isi yapabilen ama uzaktan kontrol edilebilen Trojanlar var.
En Yayginlar "Back Orifice, kisaca BO) " ve "NetBus"
Her iki Truva Ati (Trojan), yukarida anlatildigi yolla sisteme girmektedir. Kendi baslarina sisteme dokunmazlar. Ancak sisteme girdikten sonra Windows kayitlarinda degisiklik yaparak her Windows oturumunda kendilerini çalisir hale getirirler. Her iki Trojani de uzaktan kontrol edebilmek için ayni adi tasiyan programlar mevcuttur.
söyle düsünelim:
Siz internet baglantisi olan bir bilgisayar kullanicisisiniz. Aksamlari internete baglanip söyle bir gezintiye çikiyorsunuz. Bilgisayarin karsisinda çayinizi içerken E-Mektuplarinizi kontrol ediyor, arkadaslarinizla sohbet ediyorsunuz. Her ne sekilde olursa olsun yukarida anlatilan Truva Atlari sisteminize bulasmis olsun. Eser önleyici programlariniz yoksa, söz konusu Trojan kontrol eden programi olan herkes sisteminize girebilir. Burada Truva Ati, bilgisayarinizi bir tür server haline sokar ve internet üzerinden gelen komutlari sizin bilgisayarinizda uygulayip sonucunu hizmet ettigi karsi tarafa iletir. Eger dikkatli bir kullanici degilseniz tüm bunlardan haberiniz dahi olmaz. Daha yeni versiyonlarinda ise, girilen bilgisayari kontrol etmek için Trojan tarafindan açilacak olan port degistirilebilmektedir. Daha da önemlisi, gelistirilen bazi trojanlarda, portun belirli süreler ya da uzaktan kontroller degistirilebilmesi, trojanin çalistigi portun degismesine sebep olacaktir ki bu sayede izlenmeleri de gayet zorlasacaktir.
Trojan kontrol programlariyla gönderilen komutlardan en önemlileri sunlardir:
-Klasör içerisine bakma, Klasör yaratma/silme
-Dosya arama, dosya silme, dosya içerisine bakma
-Bilgisayarinizi hizmetçi hale getirme (sabit diskinizde gezinebilir, dosya çekebilir)
-Windows oturumunu kapatma, windowsu kilitleme
-Windows kayitlarina erisme, kayit silme, kayit yaratma
-Sistem bilgisini alma, zuladaki sifreleri alma
-Dosya gönderme, dosya alma
Görüldügü üzere Trojan, internet hattinin diger ucundaki sahibi için yukaridaki komutlari sizin bilgisayarinizda uygulayabilmektedir.
Trojan tespiti ve yok edilmesine geçmeden evvel "Bütün bunlar nasil olabilir?" sorusuna cevap arayalim. Bildiginiz gibi (bilmiyorsaniz açikliyorum) bir çok programci, masum programlarina "Arka Kapi (Back Door)" tabir edilen kodlar ilave ederler. Kullanicilar bunlari bilmezler. Ancak gerektiginde programci tarafindan kullanilirlar. Mesela sifre korumali bir program satin aldiysaniz düsünün, Program bir ara çalismaz oldu ve teknik destek istediniz. Programci sizin sifrenize ihtiyaç duymadan programini çalistirabilmesi için programa bir parametre ile kendini tanitir. Program, içerdigi rutin icabi, çalistiranin kendi programcisi oldugunu anlar ve hata analiz prosedürünü çalistirir. Böylece programci hatalari bulur, onarir ve programi çalisir hale getirir. Siz bu prosedürü bilmiyordunuz bile. Bu çok basit bir Arka Kapi. Elbette ki kötü niyetli degil, sadece uzman olmayan kisilerin ulasmasini engellemek amaciyla yapilmis bir prosedür.
Delikler sadece yazilimlarda degil, bilgisayar entegrelerinde de olabilmektedir. Mesela bir zamanlarin en yaygin ev bilgisayari olan Commodore 64ün en alt ekran satiri haricinde normalde kimsenin ulasamadisi bir satirinin da oldugunu üreticileri bile bilmiyordu. Bir grup programci, bilgisayar entegresindeki delikten faydalanarak bu satiri kullanmayi basardi.
Görünüse bakilirsa, Windows var oldugu sürece back door açiklari kapanmayacaktir. Zaten pek de mümkün gözükmemektedir.
BO ve NetBus Trojanlarinin Tespiti ve Yok Edilmesi
UYARI:
Windows kayit düzenleyicisi (Registry Editor) kullanimi ile ilgili deneyiminiz yoksa yardim alin!
Ayrica herhangi bir hataya karsi Windows klasöründeki USER.DAT ve SYSTEM.DAT dosyalarini ayri bir klasöre kopyalayin. Yapacaginiz islemler bu dosyalarda gerçeklesecektir.
BO Trojan Tespiti
1. Baslat/Çalistirdan Kayyt Düzenleyicisini Çalistirin (REGEDIT yazyp Entere basyn).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtaryny açyn.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
".EXE" satirini gördüyseniz sisteminizde BO Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows\System klasörüne bakyn. Burada 122 kBayt uzunlusunda ady
olmayan bir dosya göreceksiniz. Silin! Ayny klasörde WINDLL.DLL dosyasyny bulun ve
önyargysyz silin. Her iki dosya da BO Trojany dosyalarydyr.
BO Trojanyndan kurtuldunuz, simdi Bilgisayarinizi yeniden baslatin.
Trrojany dosyalary farkly isimlerde olabilir. Emin olmak için, Baslat/Bul/Dosyalar ve Klasörler sekmesini seçin. Konum olarak Windows klasörünü belirtin ve Gelismis sekmesine geçin. Yçerdisi Metin kutusuna "bofile" yazarak aramaya baslayin. Bulunan dosyalar BO Trojani dosyalaridir.
Dosya isimlerini biryere not edin ve yukarydaki kayyt anahtarynda bu isimleri bulun ve o anahtari silin. Ayrica dosyalari da silmeyi unutmayin.
NetBus Trojani Tespiti
1. Baslat/Çalistirdan Kayit Düzenleyicisini Çalistirin (REGEDIT yazip Entere basin).
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion anahtarini açin.
3. Bu anahtarda iken Run, RunOnce, RunOnceEX, RunServices, RunServicesOnce alt tuslarina
tek tek bakarak asagidakine benzer degerleri arayin.
"PATCH.EXE" satirini gördüyseniz sisteminizde NetBus Trojani var demektir.
Bu program, her windows oturumunda çalismasi gereken diger programlarla birlikte Çalisir.
Dolayisi ile diger satirlara dokunmadan, yukaridaki adi içeren satiri silin.
4. Bilgisayarinizi yeniden baslatin.
5. Windows gezginiyle Windows çekmecesine bakin. Burada 400 Kb civari uzunlugunda "PATCH.EXE"
dosyasini göreceksiniz. Silin! NetBus Trojanindan kurtuldunuz.
6. Bilgisayarinizi yeniden baslatin.
SIMDI BÜTÜN INTERNET SIFRELERINIZ DEGISTIRIN
Internete baglanmanizi saglayan sifrelerinizi ve diger tüm önemli internet sifrelerinizi degistirmeyi de unutmayin, zira birileri! bu sifreleri kullaniyor olabilir.
Sistemleri koruma ile ilgili öneriler ise söyle;
Bilindigi ya da CWnin ilgili bölümünde de yazdigi gibi, bilgisayariniza korunma için artik personel yani kisisel firewalllar kurabilir, yada ileri düzeyde, son trojan ve virüs tanimlamalarini içeren Anti-Virüs yazilimlari kurabilirsiniz ancak, kisisel tavsiyem kaynagini bilmediginiz programlari sisteminizde pek Çalistirmamaniz, en azindan ileri düzeyde kullanici seviyesine gelene kadar. Buna ilaveten, süpheli sitelerden program indirmeyin. Kullanacaginiz Anti- Virüs yazilimlari zaten çogu popüler virüs ve trojani bulup etkisiz hale getirecek yada sizi ikaz edecektir ancak unutulmamasi gereken önemli bir konu, eger yeni virüs ya da trojanlar çikmazsa Anti-Virüs Yazilimi sirketlerinin para kazanamayacagi, hatta kisisel düsüncem ise, bu virüs ve trojanlarin çogunun yine anti-virüs yazilim sirketleri tarafindan yazildigi ya da en azindan desteklendigi yönünde. Internette aradiginiz zaman, ileri düzeyde programcilik bilgisi gerektirmeyen ve virüs yazilimi gerçeklestirmek için yapilmis programlar görebilirsiniz. Unutmayin ki bunlarla yaratacaginiz virüsler, yine anti-virüs yazilim sirketlerinin kasasina para olarak dönecektir.
Saygilar.
