1. Ana Sayfa
  2. Bilgisayar
  3. Trojan

Trojan

Son güncelleme: 26.04.2012 18:30
.Ness.Quik. .Ness.Quik. foto
  • Trojan - Trojandan Nedir - Trojandan nasıl kurtulunur?

    Pcnizde Trojan Varmı?

    Pcnizde Trojan Olup Olmadıgını Biliyormusunuz?
    Bunu anlamanin bir cok yolu var ornegin:
    1) Bilgisayarmizda Kontrolumuz Disinda Calismalar Oluyorsa:
    Internetteyken siz herhangi bir islem yapmamaniza ragmen bilgisayariniz bir seyler yuklemeye devam ediyor,
    CD kapaginiz acilip kapaniyor, fareniz isteginizin disinda hareket ediyor, ekraniniza resim veya yazilar geliyorsa.
    Yani bilgisayrinizda sizin kontrolunuz disinda herhangi bir olay gerçekleşiyorsa bilgisayranizda Trojan vardir diyebiliriz.
    Ama yinede bu kesindir diye bir yargi verilemez.

    2) Anti-Trojan Programi kullanmak:
    Bir Anti-Trojan programiyla bilgisayarinizi Scan ederek bilgisayarimizdaki Trojan’ lari bulabiliriz.
    Ancak genelde yeni cikan Trojan’ lar genelde bu tip programlarla bulunamıyor.
    Bu yuzden surekli olarak programi resmi Web sayfasindan Update eytmekte yarar var.
    Bilgisayarimizda Baslat (Start) tusundan Programlar (Programs) ordanda Baslangic (Startup) tusuna bastıgimiz zaman bilgisayarimizin acilisiyla birlikte calisan programlari goruruz.
    Eger burada bizim kurmadigimiz herhangi bir program varsa bu program bir Trojan olabilir.
    Diger ve en kesin yontemlerden birisi ise

    3) Dos Mode’ una dusup komut satirinda netstat -a yazmaktır.
    Bu komut sizin bilgisayariniz Internette kimlerle hangi Port’ a bagli oldugunu gosterir.
    Eger bu program bilgisayarinizda calismiyorsa herhangi bir problem yok, eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa bilgisayarınızda Netbus isimli bir Trojan vardır.
    Trojan’ lar bilgisayarimiza baglanmak icin bilgisayarimizdaki Port’ lari kullanirlar.
    Trojan’ lar arasindan Netbus ise bilgisayrimiza baglanmak icin 12345 Port’ unu kullanir.

    Diger Trojan’ larin kullandigi Port’ lar aşağıdadır:
    1 31 Hackers Paradise
    2 41 Deep Throat
    3 58 DMSetup
    4 79 FireHotcker
    5 121 BO jammerkillahV
    6 421 TCP Wrappers
    7 456 Hackers Paradise
    8 531 Rasmin
    9 555 Stealth Spy
    10 666 Attack FTP
    11 911 Dark Shadow
    12 999 Deep Throat
    13 1001 Silencer
    14 1011 Doly
    15 1012 Doly
    16 1024 NetSpy
    17 1033 NetSpy
    18 1042 Bla
    19 1045 Raspin
    20 1080 WinGate
    21 1090 Xtreme
    22 1095 Rat
    23 1097 Rat
    24 1098 Rat
    25 1099 Rat
    26 1170 Streaming Audio
    27 1234 Ultors
    28 1243 SubSeven
    29 1245 Voodoo
    30 1269 Mavericks Matrix 31 1492 FTP99CMP
    32 1509 Psyber Streming Server
    33 1600 Shiva Burka
    34 1807 SpySender
    35 1981 ShockRave
    36 1999 BackDoor
    37 2001 TrojanCow
    38 2023 PassRipper
    39 2115 Bugs
    40 2140 The Invasor
    41 2283 HVL Rat5
    42 2565 Striker
    43 2583 WinCrash
    44 2600 Digital RootBeer
    45 2801 Phineas
    46 2989 Rat
    47 3024 WinCrash
    48 3129 Masters Paradise
    49 3150 Deep Throat
    50 3700 Portal Of Doom
    52 4567 FileNail
    53 4590 ICQ Trojan
    51 4902 WinCrash
    54 5000 Sockets De Troje
    55 5001 Sockets De Troje
    56 5321 Firehotcker
    57 5400 Blade Runner
    58 5401 Blade Runner
    59 5402 Blade Runner
    60 5550 XTCP
    61 5555 ServeMe
    62 5556 BO Facil
    63 5557 BO Facil
    64 5569 RoboHack
    65 5742 WinCrash
    66 6400 The Thing
    67 6670 Deep Throat
    68 6671 Deep Throat
    69 6776 SubSeven
    70 6883 Delta Source
    71 6939 Indoctrination
    72 6969 GateCrasher
    73 7000 RemoteGrab
    74 7300 NetMonitor
    75 7301 NetMonitor
    76 7306 NetMonitor
    77 7307 NetMonitor
    78 7308 NetMonitor
    79 7789 ICKiller
    80 9872 Portal Of Doom
    81 9873 Portal Of Doom
    82 9874 Portal Of Doom
    83 9875 Portal Of Doom
    84 9989 IniKiller
    85 10067 Portal Of Doom
    86 10167 Portal Of Doom
    87 10520 Acid Shivers
    88 10607 Coma
    89 11000 Senna Spy
    90 11223 Progenic Trojan
    91 12067 Gjamer
    92 12223 Hack'99 KeyLogger
    93 12345 NetBus
    94 12346 NetBus
    95 12361 Whack A Mole
    96 12362 Whack A Mole
    97 12631 WhackJob
    98 13000 SennaSpy
    99 16969 Priority
    100 17300 Kuang2 The Virus
    101 20000 Millenium
    102 20001 Millenium
    103 20034 NetBus PRO
    104 20331 Bla
    105 21554 GirlFriend
    106 22222 Prosiak
    107 23456 WhackJob
    108 23476 Donald Dick
    109 23477 Donald Dick
    110 26274 Delta
    111 29891 The Unexplained
    112 30029 AOL Trojan
    113 30100 NetSphere
    114 30101 NetSphere
    115 30102 NetSphere
    116 30103 NetSphere
    117 30303 Socket23
    118 30999 Kuang
    119 31337 Back Orifice
    120 31338 Deep Back Orifice
    121 31339 NetSpy
    122 31666 BOWhack
    123 31787 Hack Attack
    124 32100 B
    125 33333 Prosiak
    126 33911 Trojan Spirit 2000
    127 34324 Big Gluck
    128 40412 The Spy
    129 40421 Masters Paradise
    130 40422 Masters Paradise
    131 40423 Masters Paradise
    132 40426 Masters Paradise
    133 47262 Delta
    134 50505 Sockets De Troje
    135 50766 Fore
    136 53001 Remote Windows Shutdown
    137 54320 Back Orifice 2000
    138 54321 SchoolBus
    139 60000 Deep Throat
    140 61466 Telecommando
    141 65000 Devil

    xxxxxx


    Trojan nedir?
    Trogenlar girdiği bilgisayarın belirli bir portunu açıp bağlanacak client programından gelecek komutları dinler. Genelde server client mantığı ile çalışırlar. Server programları çalıştıkları sistemlerde sürekli açık bulunmak zorundadırlar. Sistemin kullanamadığı portlardan (1-65535) birisi sürekli açık durur. Gelen paketler bu porttan alınarak server programınca işleme geçirilir. Genelde trojanlar istisna olmadıkça Windowsun açıklarını kullanırlar. Backorifice çıktığında Bill Gatesin sarfettiği kelimeler gerçekten çok komikti " Back Orifice programını download etmeyin. Bu program zararlı." Çok doğru ve hiçbir işe yaramayacak bir öğüt. Trojanlar uzun bir zamandır vardı. Değişik amaçlarla kullanılırlardı. Mesela sistemin bilgilerini çalıp trojanı yazana ulaştırmak gibi... Ama son zamanlarda sayıları müthiş bir artış gösterdi. Netbus ve Back Orifice ile başlayan trojan salgını gittikçe yaygınlaştı. Artık trojan yardımı ile birisinin bilgisayarına girip dosyalarını karıştıran herkes kendini hacker zannediyor. Bu trojanlardan en yaygını netbus oldu. Öyleki trojan deyince Netbus akla gelmeye başladı. O kadarki artık bilgisiz kullanıcılar, birkerelik deneme amacıyla en yakın arkadaşına bile bu trojanı program, oyun vs. diye vermeye başladı. Bir anlık aldıkları zevkten sonra çıkarken unutulan serverlar başkalarının o bilgisayara hükmetmesini sağladı. Bu şekilde kişiden kişiye müthiş bir hızla yayıldı. Pek çok kişi sadece bir kez aktif olacağını düşünmüştü. Ama böyle bir şey trojan mantığına ters düşerdi.

    Neyseki trojanlarında açıkları var. İlk trojanlar kendilerini hiç iyi gizleyememişti.
    Çeşitleri;

    Netbus:
    Mesela çok popüler olan 1.53 trojanı CTRL+ALT+DEL tuşuna basınca çıkan TERMINATE PROGRAM menüsünde gözüküyordu. Buradan deaktif hale gelebiliyordu. Sonra çıkan 1.60 sürümünde dahada iyi gizlenmeye başladı. CTRL+ALT+DEL menüsünde başka isimlerle görünmeye başladı. Siz oradan kapattığınızı sandığınız bir anda başka bir isimle aktif hale geliyordu. 1.70 sürümünde bu menüden tamamen uzaklaştı. Artık CTRL+ALT+DEL tuşuna bastığınızda görmiyeceğiniz bir trogen ortaya çıktı. 2.0 Pro ise ücretli bir sürüm olarak dağıtılmaya başladı. Bu sürümde serevr programının tüm ayarlarını menü aracılıyla yapabiliyorsunuz. Böylece serverin görünmez, her açılışta aktif olan, açacağı port gibi ayarları size bırakmışlar. Bu trojan sürekli aktif hale gelmek için registry başlangıcını kullanıyor. Registryinin
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    Anahtarına kendisini yazıyor böylece windows her açılışta bu programı aktif hale getiriyor. Trojan aktif haldeyken 12345 veya 12346 portlarından birisini açıyor. (Default olarak) Bu portlar client sahibi tarafından değiştirlebiliyor. 1.70 sürümüyle gelen özellikler sayesinde server yüklü bilgisayar internete bağlandığında e-mail yoluyla client sahibine haber veriyor. Trojanı pek çok cleaner temzileyebiliyor. Temsilemek için önce yukardaki anahtarda serverin ismini bulun. Sonra windowsu kapatın MSDOS modunda açın bilgisayarı. Şimdi c:\Windows kalsöründe bu dosyayı bulup silin. Genelde patch.exe isminde dir bu dosya. Bir çark, Mavi bir meşale, uydu ikonu şekline değişik ikonlara sahiptir. MSDOS ta bu dosyayı sildikten sonra tekrar windowsa dönüp registryden bu anahtarda serverin bulunduğu satır silin.
    Netbus 2.0 Pro ise netbus programcılarının oldukça ilerlediğini gösteren bir trogen olmuş. Trogen serverinin şifresinin değişmesi portunun değişmesi görünür yada görünmez olması tamamen insayitife bırakılmış. Arayüü çok değişik. 20034 portunu kullanıyor. Dediğim gibi kullanıcı isterse server programı full visible olabiliyor. Yani ekranınızda bir pencerede çıkıyor. Gireni çıkanı gösteriyor. Ama istemezse normal netbus bulma yöntemi var )


    Back Ofrice:
    Çok güçlü bir trojan. Netbus kadar populer olamamasının tek sebebi kullanımının netbusa oranla zor olması. Ama çok fonksiyonel bir trogen. Rakiplerine pek çok konuda fark atabilecek bir yapıda. Bu trojan gizlenme konusunda çok yetenekli. Diğer trojalar gibi CTRL+ALT+DEL menüsünde görünmez. Dosya ismini boşluk karakterine çevirebilir. Böylece Explorer penceresinden baktığınızda özelliklede bilinen dosya türleri için uzantıları gizle seçili ise ikonuda olmayan !! bu programı göremezsiniz. 31337 nolu portu açık bırakır bu trojan. İnanılmaz fonsiyonel bir trojandır. Birisine sesli komut vererek kendi bilgisayarınızı yönetmek gibi bir şeydir. Özellikle client programını kullanan kişi komutları nasıl kullanacağını biliyorsa kullanıcı için kabus olabilir. Bu trojanın tek bir sürümüçıktı (bildiği kadarıyla) 1.30 versiyonu. Ama bu trojan için Plug-inler kullanıma sunuldu. DLL dosyaları sayesinde çok rahatça gelişti. Bu trojanın arayüzünü beğenmeyenler kendilerine bir GUI (Kullanıcı Grafik Arayüzü) yaparak piyasaya sürdüler. Bu trojan bulaşmayı çok iyi beceriyor. Yine netbus gibi çalıştığında hiçbir şey hissetmiyorsunuz. Bir kere çalıştırmak yeterli. Kendisini registrye yazarak sürekli aktif halde kalmayı beceriyor. Yazdığı anahtar ise;
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices
    Anahtarı. Burada etarfında bir yazı olmayan " .exe" gibi yada " " gibi bir satır varsa bu satır silin. Bu trojanı windows altında silmeyin kendisini bir çok yere kopyalıyor. MSDOS komut istemine çıkıp bellekten silinmesini sağlayın. Sonra dosta bu dosyayı c:\Windows\System klasöründen temizleyin. En son windowsa girip registryi son bir defa kontrol edin.
    Bu trojan sadece bir server olarak geldiği gibi, bir e-mail, bir kurulum programı yada bir oyun olarak gelebilir. Bu yüzden oldukça kolay bulaşır zor temizlenir başa beladır. PWL dosyalarını kırmaya gerek kalmadan deşifre edebilir. Full Access verir.



    Backdoor Trogen:
    Contact:
    ICQ: 5760044
    Email: [email]zemac@bigfoot.com[/email]
    HP: http://www.ufl.edu/~cycy92n/
    MsgBoard http://disc.server.com/discussion.cgi?id=33748
    Zemac tarafından kodlanmış bir trogen. Kendisini gizleyebiliyor. Ne yazıkki tam deneme fırsatım olmadı çünkü serveri bile çalıştıramadım L (Hata verdi ) Hangi portu kullandığını söyleyemiyorum ama bulaşma şekli konusunda bilgi verebilirim. Kendisini ismini değişitirip Windows klasörüne kopyalıyor. Notepa.exe ismini alıyor. Dikkatsiz bir kullanıcı bunu notepad zannedebilir rahatça. Registry kullanıyor aktif hale gelmek için.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Anahtarına; Notepad(c:\windows\notpa.exe /o=yes) komutunu yazarak sürekli aktif halde bulunmayı garantiliyor. Temizlemek için önce registryi bu trojandan kurtarın. Sonra MSDOS komut istemine inerek notepa.exe dosyasını silin. Tekrar windowsa registrye dönüp trogen kalmışmı kontrol edin.
    Devil 13:
    Devil 13 kısıtlı özellikleri olan bir trogen. Aşırı tehlikeli bir trogen değil. Ama sonuçta bir trogen ve burada yer alıyor. 65000 portu kullanıyor. Çeşitli isimlerde gelebiliyor default olarak ICQFlood, OPScript, Socket, winamp, wingenocide gibi adlarla karşınıza çıkabilir. Daha çok saldırgan özellikleri ile dikkat çekiyor. Spy olmaktan çok bir asker gibi hareket ediyor. J Sistemi yeniden başlattığınızda aktif hale gelmiyor. Sadece server programını el ile çalıştırdıysanız aktif durumda bulunuyor.

    Net Monitör:
    Bu trogen Netbusun az fonksiyonlu hali gibi bir şey. Üç değişik server tipi var genelde çok ufak server dosyaları var (zipli hali 13 kb). Göze batan özellikleri screenshotları bir web sitesine bağlanrak buradan almanız. VE 3 portu birden açması.
    TCP 0.0.0.0:7306 0.0.0.0:0 LISTENING
    TCP 0.0.0.0:7307 0.0.0.0:0 LISTENING
    TCP 0.0.0.0:7308 0.0.0.0:0 LISTENING
    Portlarını açarak clientten komut bekliyor. Sistem açılışında aktif hale geliyor. Bunun için Registry kullanıyor. Ama ilginç yanı registryden sildiğinizde hala hafızada aktif ise hemen registrye tekrar yazılıyor.
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run-]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
    anahtarlarına "netspy"="netspy.exe" şeklinde yazılıyor. Temzilemek için windowsu kapatıp MSDOS komut isteminde açın sistemi. Yukardaki anahtarda yazılı değerdeki server dosyasının ismini windows klasöründe bulup silin. Sonra windowsa dönüp registryden bu değeri silin.

    Girl Friend:
    İşte tehlikeli bir trojan daha. En büyük özelliklerinden birisi windowsta casus gibi çalışıp yazdığınız tüm passwordleri log tutarak client istediğinde listeleyebiliyor. 21554 nolu portu kullanıyor. Bulaşması kolay ama temizlenmesi oldukça uğraştırıcı. Back Orificenin silkrope adlı plug-in kullanarak başka bir program içine gizlenebiliyor. Böylece aslında sistem dosyası çalışıyor gözüküyor ama gerçek sistem dosyası yanında trojan server 'inide çalıştırıyor. Her açılışta aktif hale geliyor. Port numarası değişitirilen trojanlardan. Kendisini registrye yazarak aktif halde kalıyor.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Anahtarına yazılıyor. Temizlik için diğer trojanlar ile aynı yolu izleyin önce MSDOS başlatıp trojanın server dosyasını silin. Sonra registry temizliği yapın.
    Master Paradise:
    Çok ilginç bir trojan. 40421 nolu portu işgal ediyor.Normal trojanların tersine gizlenmek için bri şey yapmıyor. Pek kullanılmayan bir trojan. Sistemde sürekli aktif halde bulunması veya bulunmaması client sahibine bağlı. Ama çok kolay tespit edilebiliyor. Kendisini sistem çubuğuna yerleştirip hemen fark edilmesini sağlıyor. Böylece temzilemek oldukça kolay oluyor. Geliş şekillleri ise ilginç. Bir oyun olarak gelebiliyor. Siz oyunu çalıştırınca oda aktif hale geçiyor. Mesela Bill Gatesin yüzüne şapka fırlattığınız bir oyun yerine geçebiliyor. Keyhook.dll dosyasına ihtiyaç duyuyor. Otomatik başlama yeri klasik anahtar,
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Temizlemek için bu registryden silmeniz yeterli.


    Millenium:
    Bu trojanın server dosyası oldukça küçük. Sistemi update ettiği öne sürüyor çalıştığında şüphe uyandırmıyor. 20000 ve 20001 portlarını açık bırakıyor. Sistem reboot sırasında aktif hale geçiyor. CTRL+ALT+DEL menüsünde sistem dosyası halinde gözükerek bir bakıma gizleniyor. Fazla bir tehlike teşkil etmiyor özellikleri itibari ile. Ama sonuçta trogen olması önemli. Sistem açılış dosyalarına yazıyor kendini. Diğerlerinin aksine sadece registry kullanmıyor. Win.ini dosyasının run parametresini de kullanıyor.
    Registryde,
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
    "Millenium"="C:\\windows\\system\\reg66.exe"
    şeklinde yer alırken win.ini dosyasına
    [windows]
    load=
    run=C:\windows\system\reg66.exe
    NullPort=None
    Şeklinde yazılıyor. Temizlik için diğer trojanlardan farklı olarak win.ini dosyasında
    run=C:\windows\system\reg66.exe satırını
    run=
    olarak değiştirmek yeterli oluyor. Trogeni açığa çıkaran bir diğer açık ise sistemi yawaşlatması.
    TROJAN PORTLARI
    Netbus 1.53 : 12345
    Netbus 1.60 : 12345
    Netbus 1.70 : 12345, 12346
    Netbus 2.0 Pro : 20034
    Back Orifice : 31337
    Deep Bo : 31338
    Girl Friend : 21554
    Millenium : 20000, 20001
    Master Paradise : 40421
    Hacker Paradise : 456
    Socket De Troge: 30303
    Netmonitör : 7306, 7307, 7308
    Devil 13 : 65000
    Gjammer : 12076

    Trojanları nasıl buluruz
    Trojanları bulmak için kullanacağımız programlar aslında siz,n bilgisayarınızda olan programlar. Ama bunları çoğu zaman verimli bir şekilde kullanamayız. Sadece yer kaplar şimdi onlardan yararlanma zamanı geldi.
    Netstat.exe (c:\Windows--- Windows 95-98)
    MSCONFIG (c:\Windows--- Windows 98 - Windwos 95 çalışır)
    MSINFO c:\Windows--- Windows 98 sürümü --Windows 95 çalışır.)

    Eğer sisteminizde trojan olduğundan şüpheleniyorsanız MSDOS Promtunu açın başlat menüsünden. " netstat -a -n " yazın. Bu komut sizin aktif haldeki tüm portlarını gösterir. Yalnız bu komutu hiçbir internet bağlantısını yapmadan ve tüm programlarınız kapalı iken yapın. Aşağıdaki gibi bir ekran gelmeli;
    C:\WINDOWS>netstat -a -n
    Etkin Bağlantılar
    Proto Yerel Adresi Yabancı Adres Durum
    TCP 192.168.0.1:137 0.0.0.0:0 LISTENING
    TCP 192.168.0.1:138 0.0.0.0:0 LISTENING
    TCP 192.168.0.1:139 0.0.0.0:0 LISTENING
    UDP 192.168.0.1:137 *:*
    UDP 192.168.0.1:138 *:*
    C:\WINDOWS>

    Burada ip numaraları her zamna değişiktir. Ama genelde 127.0.0.1 dir. Bu internete bağlı değilken LOCAL Hostunuzun aldığı ip numarasıdır. Yukardaki örnekte ethernet kartının ip numarası gözüküyordu. Bu komutu kullanmamızın sebebi trojanların en büyük açıkalrından birinden faydalanmak. Trojanlar siz internete bağlı değilken bile belirli portlarınızı açık tutarlar. Netstat komutu ile sistemimizdeki açık portları görmüş oluyoruz. Böylece sıradışı portları tespit ederiz. Aşağıda genel portlar verilmiştir.
    Proto Yerel Adresi Yabancı Adres Durum
    TCP 193.192.111.35:1340 193.192.100.100:21 ESTABLISHED -> FTP portu
    TCP 193.192.111.35:1343 193.192.100.100:110 TIME_WAIT -> POP 3
    TCP 193.192.111.35:1344 195.174.173.72:5103 ESTABLISHED ->ICQ Mesajı
    TCP 193.192.111.35:1346 195.174.93.150:6667 ESTABLISHED -> IRC Server
    TCP 193.192.111.35:137 0.0.0.0:0 LISTENING
    TCP 193.192.111.35:138 0.0.0.0:0 LISTENING
    TCP 193.192.111.35:139 0.0.0.0:0 LISTENING
    TCP 193.192.111.35:12345 194.174.56.100:12345 ESTABLISHED -> Netbus
    C:\WINDOWS>
    Burada son satıra bakınca 12345 portuna bir bilgisayarın bağlandığını bu bilgisayarın ip numarasının 194.174.56.100 olduğu gözüküyor. Eğer burada yukarıda verdiğimiz trogen portlarından birisini bulamazsanız trojan yüklü değildir.
    Başka bir yol daha var. O an çalışmakta olan tüm programları kapatın. Hoparlör simgesinin olduğu menü bardaki programlarıda kapatın. Sonra MSINFO.exe programını çalıştırın. Soldaki pencereden "Yazılım Ortamı ->Çalışan Görevler'e" gelin. Burada sağ pencerede o an çalışan tüm programları verecektir. Yukarıda bir örneği var.
    Burada çalışan tüm programları görebilir ve normal dışı bir program var ise bunuburada görebilirsiniz.
    Trojan tespiti için bir diğer yol ise windows açılımında çalışan programları incelemek. Bunun içinde MSConfig.exe programını kullanacağız. Programı çalıştırıp en sağdaki Başlangıç (Startup) Sekmesine gidin. Aşağıdaki gibi bir ekran çıkar..

    Burada her sistem açılışında aktif olaack tüm dosyaları görebiliriz. Buraya bakarak açılışta trogen çalışıp çalışmadığını anlayabiliriz.
    NOT: Sistem açılışta belirli dosyaları yükler. Autoexec.bat, Config.sys, System.ini, win.ini vb.. Autoexec.bat, win.ini, Registry ve Başlangıç(Startup) klasörü bir programın çalışması için kullanılabilir. Autoexec.bat dosyasına bir win32 uygulaması yazmanız işe yaramaz. Çünkü windows açılamdan önce bu dosya işleme konulur. Windows tabanlı program çalışmaz. Başlangıç veya startup menüsü ise bir trogen için hiç uygun değildir. Çünkü gizlilik en az seviyededir.En amatör kullanıcı bile start menüsünde bu dosyaları görebilir. Silebilir. Bu yüzden iki seçenek kalıyor. Birisi Win.ini dosyasının Run= satırı diğeri ise Registrynin,
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
    anahtarları kalıyor. Buraları dikkatli kontrol etmek yeterli olacaktır.
#26.04.2012 18:30 0 0 0