خودمان آنتی ویروس باشیم
تمامی ویروسها (مخصوصا تروجان ها) برای اینکه بتوانند در کامپیوتر قربانی فعالیت کنند باید با بالا آمدن ویندوز اجرا شوند. پس ناچارند که در start up های ویندوز جای بگیرند. شما اگر start up های windows را بشناسید دیگر به آنتی ویروس احتیاجی ندارید (مگر بعضی ویروسهای خاص). قبل از معرفی start up ها یک موضوعی هست و آن اینکه شما باید تمام فایلهای سیستمی ویندوز را بشناسید. احتیاجی نیست آنها را حفظ کنید. هر بار که ویندوز نصب میکنید از task manager عکس بگیرید (در ویندوزهای xp و 2000 از process tab از task manager عکس بگیرید. task manager همان پنجره ای است که بعد از زدن 3 کلید Ctrl+Alt+del باز میشود) تمام برنامه هایی که در حال اجرا میباشند در task manager نامشان وجود دارد ( در windows xp نام برنامه های در حال اجرا در پوشه process در task manager قرار دارد). البته قبل از عکس گرفتن تمامی پنجره ها را ببندید. بعد از نصب هر ویندوز و بعد از نصب درایورهای سخت افزارهایتان (که با restart کامل میشود) باید از برنامه های در حال اجرا لیست تهیه کنید. برای این کار از task manager ( در xp و 2000 از پوشه process در task manager ) عکس بگیرید.
نحوه عکس گرفتن از صفحه
Alt+Ctrl+Del را بزنید تا task manager باز شود و اگر ویندوز شما xp یا 2000 است پوشه process را انتخاب کنید. حال پنجره task manager را بزرگ کنید تا تمام اسامی معلوم باشد. کلید Print Screan از صفحه کلید را فشار دهید. حال photoshop یا paint را باز کنید. یک صفحه سفید باز کنید و paste کنید ( با زدن همزمان کلید Ctrl+V عمل paste را انجام دهید) و حالا save کنید.
حالا شما از برنامه های در حال اجرای اصلی ویندوز یک لیست دارید و هر برنامه ای که اضافه شود را شما میتوانید با مقایسه task manager با این عکس تشخیص دهید. حالا نوبت به معرفی start up های windows است.
start up های windows
اولی که همه آن را می شناسیم start menu / start up که هیچ ویروسی از آن استفاده نمیکند. چون جلوی چشم قرار دارد و سریع شناسایی میشود.
دومی رجیستری. مسیرهای زیر همه start up های ویندوز به شمار میروند:(برای باز کردن آن در Run بنویسید regedit و بعد ok کنید)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-842925246-1935655697-2146368211-1003\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run
ممکن است مسیرهای دیگری باشد که من نمیدانم اما این را بدانید که هر مسیری که به:
\Software\Microsoft\Windows\CurrentVersion\Run
ختم شود start up است. مسیرهایی که در انتها به جای Run به RunOnce ختم میشوند نیز start up هستند با این تفاوت که این مسیرها فقط یک بار اجرا میشوند و بعد خود به خود پاک میشوند اما مسیرهای گفته شده در بالا دایمی هستند. مسیر هایی که به جای Run به RunOnceEx ختم میشوند نیز start up میباشند که از جزییات آنها من اطلاعاتی ندارم. مسیرهایی که با HKEY_CURRENT_USER شروع میشوند مربوط به همان user است که با آن وارد ویندوز شدید اما بقیه برای تمامی user ها میباشد یعنی اگر فایلی در مسیرهایی جز مسیر گفته شده باشد در تمامی user های کامپیوتر با بالا آمدن ویندوز آن فایل نیز اجرا میشود. اکثر ویروسها از مسیر اول از مسیرهای بالا استفاده میکنند.
نحوه ساختن فایل
start up از طریق رجیستری
وارد یکی از مسیرهای گفته شده در بالا میشوید(مسیر اول و دوم متداول است) در سمت راست regedit بر روی قسمت سفید صفحه کلیک راست کرده و گزینه new و بعد string value را انتخاب میکنید(یعنی در واقع یک فایل از نوع sting میسازید) اسم فایل مهم نیست و هر نامی که خودتان خواستید میتوانید انتخاب کنید. حال روی فایل مورد نظر دو بار کلیک کنید. در پنجره باز شده آدرس فایلی را که میخواهید با start up اجرا شود را در این قسمت بنویسید( در واقع value باید آدرس فایل مورد نظر باشد) حال ok کنید. اگر فایل مورد نظر در مسیر تعریف شده باشد احتیاجی به نوشتن آدرس کامل آن نیست و نوشتن نام آن کافی است.برای اطلاع از مسیر میتوانید دستور path را در command prompt بنویسید و enter کنید.
حالا start up ها را میشناسیم و از برنامه های اصلی ویندوز نیز قبلا عکس گرفتیم. هر چند وقت یکبار میتوانیم تمامی پنجره های باز را ببندیم و task manager را باز کرده و برنامه های در حال اجرا را با آن عکس که قبلا گرفتیم مقایسه کنیم. اگر برنامه ای اضافه شده باشد باید به سراغ start up های ویندوز رفته (و یا نام آن را در regedit جستجو کنید) و آن را پیدا کنیم و از value آن آدرسش را پیدا کرده و بررسی کنیم که مربوط به کدام برنامه است اگر نتیجه ای نگرفتیم و ندانستیم از کجا آمده آن را از رجیستری پاک کرده و فایل اصلی آن را از جای خود به جای دیگر انتقال داده و همچنین باید در task manager آن را End Task کنید. تا چند روز صبر کنید اگراختلالی در سیستم ایجاد نشد میتوان حدس زد که ویروس بوده و فایل اصلی را که کپی کرده بودید را میتوانید از بین ببرید.
تذکر مهم
بعضی برنامه ها بعد از نصب در start up فایل میسازند (مانند yahoo messenger که در مسیر رجیستری دوم خود را قرار میدهد و برنامه nero که از مسیر اول استفاده میکند) پس باید فایلهای آنها را بشناسیم یا بعد از نصب هر برنامه و راه اندازی مجدد سیستم اگر تغییری در task manager ایجاد شد دوباره از آن عکس گرفت.
نحوه جلوگيری از ذخيره شدن اسامی در address bar و search در yahoo ,google
وارد control panel شوید و سپس internet option . حال در پوشه content روی Auto Complete.. کلیک کنید. برای جلوگیری از ذخیره شدن اسامی در address bar در پنجره باز شده تیک جلوی web addresses را بردارید و برای جلوگیری از ذخیره شدن در قسمتهای search در سایتهای مختلف از جمله google , yahoo,alltheweb,... تیک جلوی Forms را بردارید. گزینه بعدی همان طور از نامش مشخص است برای ذخیره شدن یا نشدن user name و password در فرمهایی مثل ورود به mail box یا سایتهایی که در آنها عضویت دارید و باید با وارد کردن پسورد از آنها استفاده کنید که با تیک زدن گزینه prompt me to save passwords از شما در مورد ذخیره شدن پسورد سوال میشود.
نحوه پاک کردن اسامی ذخیره شده
برای پاک کردن اسامی search ذخیره شده در فرمهایی مثل google در همان پنجره روی Clear Forms کلیک کنید که یکباره تمام اسامی ذهیره شده را پاک میکند و clear passwords برای پاک کردن پسوردهای ذخیره شده میباشد.
برای پاک کردن اسامی ذخیره شده در address bar باید از رجیستری اقدام کنید. برای اینکار در RUN بنویسید regedit و ok را بزنید تا regedit باز شود. وارد مسیر زیر شوید:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
حال هر نامی که میخواهید را delete کنید. اگر نمیخواهید مسیر بالا حفظ کنید مشکلی نیست هر بار که خواستید نامی را پاک کنید میتوانید نام آن را در regedit در قسمت edit / find وارد کنید و جستجو کنید و بعد از پیدا کردن آن را پاک کنید. فقط به خاطر داشته باشید که برای جستجو در find باید تمام folder های سمت چپ را بسته باشید و فقط my computer معلوم باشد. چون find در رجیستری در واقع find next میباشد یعنی از جایی که شما انتخاب کردید به بعد را جستجو میکند پس شما اگر میخواهید تمام رجیستری مورد جستجو قرار گیرد باید تمام folder ها را ببندید و یا اگر نبستید روی my computer یک بار کلیک کنید تا هیچ فایل یا فولدری انتخاب نشده باشد و با این کار تمام رجیستری مورد جستجو قرار میگیرد. به خاطر داشته باشید که رجیستری بسیار حساس است و ندانسته نباید تغییری در آن ایجاد کرد.
نحوه پاک کردن اسامی ذخیره شده در Run
اسامی مورد نظر را در رجیستری جستجو کنید و بعد پاک کنید. اسامی در اینجا میباشند:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
قفل کردن ID بدون برنامه
اگر پسورد ID خود را در یاهو اشتباه وارد کنید چه میشود؟ میدونستید که اگه تا پانزده مرتبه پسورد را اشتباه وارد کنید یاهو ID را تا 12 ساعت قفل میکند. پس اگر میخواهید یک ID را قفل کنید باید 15 مرتبه پسوردش را اشتباه وارد کنید.
تذکر:
به شرطی که ID مورد نظر Disconnect شده باشد. یعنی کسی با ID مذکور Online نباشد. این موضوع علاوه بر yahoo messanger برای mail box نیز صادق است.
پنهان کردن folder ها در windows xp
از folder مورد نظر properties بگیرید (با کلیک راست و انتخاب properties)، در پوشه Customize و قسمت Folder icons ، گزینه change icon رو انتخاب کنید در فایل %SystemRoot%\system32\SHELL32.dll آیکونهای بدون شکل و طرح وجود دارد، یکی را انتخاب کرده و OK کنید، properties رو هم OK کنید، حالا روی folder مورد نظر کلیک راست کنید و rename رو انتخاب کنید اسم قبلی رو پاک کنید، حالا کلید Alt رو پایین نگه داشته عدد 255 رو وارد کنید حالا کلید Alt رو رها کنید بعد Enter کنید، folder شما هیچ نام و آیکنی ندارد و فقط از جای آن میتوانید آن را تشخیص دهید. البته هر بار کلید (refresh)F5 را بزنید برای یک لحظه نمایان میشود.
گذشتن از سد پسورد در windows xp
شکستن پسورد xp تقریبا غیر ممکنه، (در قسمت شکستن پسورد windows 2000 توضیحات بیشتری میدم) اما من یک روش رو بلدم که میشه از این طریق وارد ویندوز شد البته با محدودیتهای خاص. با این روش شما فقط میتونید به فایلها دسترسی پیدا کنید،(حتی my doucument در درايوهای ntfs ) اما نمیتونید تنظیمات control panel رو عوض کنید، البته به رجیستری دسترسی دارید که به نظر من همین کافیه، چون با اون میشه همه کار کرد، در ضمن پسورد رو نمیشه از این طریق عوض کرد. اما نحوه کار:
فرض ویندوز در درایو D نصب شده باشد.
به وسیله یک سیستم عامل دیگر یا یکی از user های limited یا guest یا بوت DOS یا هر روشی که بتوان تغییرات زیر را اعمال کرد:
فایل logon.scr که در واقع screan saver ویندوز میباشد را از جای خود به جای دیگر انتقال دهید. آدرسش: (d:\windows\system32\logon.scr) حالا فایل cmd.exe که در واقع command prompt (صفحه مشکی DOS ) ویندوز میباشد را به logon.scr تغییر نام دهید. آدرسش: (d:\windows\system32\cmd.exe) حالا سیستم رو restart کنید، به صفحه خوش آمدگویی ویندوز یا همون صفحه پسورد که رسیدین، حدود 15 تا 20 دقیقه صبر کنید تا سیستم screan saver رو فعال کنه، اما از اون جایی که ما command prompt رو به جای screan saver قرار دادیم، command prompt اجرا میشود، حالا جلوی اعلان DOS ، explorer نوشته و Enter میزنیم، لازم به توضیحه که کار فایل explorer شکل دادن desktop ، start menu وپنجره های ویندوز میباشد. آدرسش:(d:\windows\explorer.exe)
تذکر مهم:
اگه با یکی از user های همان ویندوز بخواهید فایلها رو جابجا کنید به محض cut کردن logon.scr سیستم دوباره آن را میسازد و بعد هنگام عوض کردن نام cmd.exe به logon.scr سیستم خطا میگیرد، در چنین مواقعی شما باید اول cmd.exe رو به جای دیگر برده و در آنجا اسمش رو عوض کنید و بعد برگردید در آدرس قبلی روی logon.scr ساخته شده توسط سیستم over write کنید.
دستورات جابجایی با DOS
move d:\windows\system32\logon.scr d:\logon.scr
ren d:\windows\system32\cmd.exe d:\windows\system32\logon.scr
exit
***
شما با روشی که گفته شد نمیتوانید پسورد ویندوز رو عوض کنید، اما اگه ویندوز برای خودتون نیست و میخواهید پسوردش رو عوض کنید میتونید یک برنامه ساده بنویسید ( با C , Pascal, Assembly ,.. ) و آن را در start up ویندوز قرار دهید تا هر وقت که صاحب آن با وارد کردن پسورد وارد ویندوز شد پسورد عوض شود. (البته user باید حتما از نوع administrator باشد.) من روش نوشتن چنین برنامه ای رو با C میگم، که البته فکر کنم با pascal هم همینطوری باشه.
;("system("net user administrator 123 با این دستور پسورد administrator به 123 تغییر پیدا میکنه. در مورد دستور system، میدونید که در C و فکر کنم Pascal میشه با اون دستورات DOS رو وارد برنامه آورد، اما در مورد net user : با این دستور میشه پسورد ویندوز رو عوض کرد یا حتی user جدید ساخت، که به صورت زیر قابل استفاده است:
[net user [user name] [new password
به جای user name اسم اون user که میخواهید عوض کنید رو قرار میدین، و به جای new password پسورد جدید رو مینویسید.
این برنامه هر وقت اجرا بشه پسورد ویندوز رو عوض میکنه، اما چون با هر بار اجرا command prompt باز و بسته میشود روش مناسبی نیست و طرف متوجه اجرای برنامه میشه، البته اگه با assembly بنویسید command prompt باز نمیشه، چون تو اسمبلی این کار با فراخوانی تابع 4bH از وقفه 21H صورت میگیرد و اجرای وقفه ها احتیاجی به باز کردن command prompt ندارد، بهترین و ساده ترین روش استفاده از رجیستری میباشد، وارد مسیر زیر شوید:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
یک فایل از نوع string value بسازید و اسم آنرا هر چیزی که دوست داشتین بگذارید، حالا با Enter کردن فایل ساخته شده، value آن را اینچنین بنویسید: net user administrator 123 . با این روش با هر بار بالا آمدن ویندوز پسورد administrator به 123 تغییر پیدا میکند.