نفوذ با سواستفاده از ابزار ASSOC در ویندوز

۶ ۱۱ ۱۳۸۹

همانطور که می‌دانید ویندوز فایل ها را با استفاده از پسوند آنها می‌شناسد. مثلآ وقتی اسم فایل به txt. ختم میشه ویندوز میفهمه که فایل متنی است. این به ویندوز کمک می‌کنه تا بدونه فایل را با چه برنامه ای باز کنه. مثلآ به عنوان پیش‌فرض فایل متنی با notepad باز میشه.

حالا ASSOC دیگه چیه؟
ASSOC یکی از ابزار موجود در ویندوز است که به ویندوز «یاد میده» هر پسوند مربوط به چه نوع فایلیه. مثلآ بهش میگه txt. یعنی متن. نام ASSOC از ابتدای کلمه Associate به معنی «ارتباط دادن» گرفته شده.

گفتی سو‌استفاده؟
یه زمانی هکر ها توی چت فایل های اجرایی را به جای عکس به قربانی ها می فرستادند مثلآ پسوند آن را می گذاشتند jpg.exe. (ویندوز به طور پیش فرض پسوند را نشان نمی دهد در نتیجه پسوند واقعی (سه حرف آخر) که exe باشد پنهان می شد و کاربر اشتباهآ فکر می کرد پسوند jpg است) و آیکون آن را هم تغییر می دادند به آیکون عکس. اگر کاربر مبتدی باشد و تفاوت یا معنی پسوند ها را نداند این طوری به دام می افتد. اما کاربر های حرفه ای تر ویندوز خود را از قسمت Folder Options تنظیم می کنند تا کل نام فایل دیده شود و در این صورت ترفند فرد نفوذگر لو می رفت.

فرض کنید با استفاده از ASSOC از قصد و اشتباهآ به ویندوز بگیم پسوند jpg. (عکس) مربوط به فایل های اجرایی است. حالا از این به بعد ویندوز با فایل های حاوی عکس مثل برنامه های اجرایی رفتار می کند. یعنی دیگه نیازی به پسوند exe. نیست و یک فایل مثلآ با نام image.jpg عینآ همانطور اجرا می شود که image.exe اجرا می شود.

پس اگر سیستم قربانی را با استفاده از ASSOC گول بزنیم در مرحله بعد می توانیم با مثلآ یک فایل تصویری یک فایل مخرب را روی سیستم اجرا کنیم.

نحوه استفاده از ASSOC
اگر در CMD تایپ کنید assoc لیست کاملی از extension association های موجود در ویندوز تان را می بینید.

برای تغییر اینها باید ابتدا بنویسید assoc بعد نقطه بعد حروف پسوند مورد نظر بعد علامت مساوی بعد نوع فایل.

به عنوان مثال اگر من بخواهم به ویندوز بگم فایل txt. متنی هست تایپ می کنم،

ASSOC .txt=txtfile

حالا می خواهم الکی بگم jpg. همان فایل اجرایی است. اول از لیست assoc به هر دو پسوند exe. و jpg. نگاه می کنیم،

ASSOC File Associations JPG JPEG EXE

با توجه به عکس بالا به راحتی می فهمیم که برای تغییر jpg. به عکس کافی است دستور زیر را اجرا کنیم،

ASSOC .jpg=exefile

نتیجه را ببینید:

Windows ASSOC Executes JPG File

خوب احتمالآ می‌گید Icon فایل همچنان کار را لو میده، برای حل این مشکل دو راه حل داریم.

راه اول، فایل اجرایی را ویرایش کرده و آیکون jpg برایش انتخاب کنیم.

این راه یک مشکل اساسی داره، آیکون فایل های تصویری مثلآ در ویندوز 7 متفاوت از ویندوز XP است. در نتیجه اگر شما آیکون ویندوز 7 را انتخاب کنید و فرد قربانی ویندوز XP داشته باشد قضیه لو میره. یا شاید مثلآ طرف از یک theme خاص استفاده کنه که آیکون ها را برایش تغییر داده باشه. در نتیجه این روش موقعی خوبه که بدانید آیکون فایل های تصویری روی ویندوز قربانی دقیقآ چیست.

راه دوم، این راه سخت‌تر است اما نتیجه بهتری دارد. در این روش بعد از استفاده از ASSOC کلید های رجیستری سیستم قربانی را نیز تغییر می دهیم تا Icon پیش‌فرض برای فایل های اجرایی را تغییر بدهد به آیکون پیش‌فرض فایل های تصویری، حالا هر آیکونی که می خواهد باشد.

یعنی مقدار HKEY_CLASSES_ROOT\exefile\DefaultIcon را برابر با مقدار HKEY_CLASSES_ROOT\jpegfile\DefaultIcon قرار می دهیم. نحوه انجام و جزئیات این روش را به عهده خودتان می‌گذارم.

نکته: تنها تفاوت آشکار فایل ها در عکس های بند‌انگشتی یا Thumbnail ها خواهد بود. چون فایل تصویری ما در اصل یک فایل اجرایی است در نتیجه ویندوز نمی تواند تصویر بند‌انگشتی از آن تهیه کند. مانند مثال زیر.

Thumbnail is not generated for a fake image

منبع قسمت ASSOC، این مقاله از Mi4night.

+ دسکتاپ فیشینگ، سرقت پیشرفته اطلاعات که احتمالآ چیزی از آن نمی دانید

+ مخفی سازی فایل ها با تغییر پسوند و معرفی راه های تشخیص

+ از هنر «پنهان نگاری» یا Steganography چه می دانید؟



چگونه می توانم عضو توییتر بشوم؟ [از زنگوله بپرسید]

۱ ۱۱ ۱۳۸۹

خواننده محترم زنگوله، شادی، پرسیده اند «چگونه می توانم عضو توییتر بشوم؟»

توییتر دیگه چیه؟
توییتر سایتیه که توش عضو میشید و می توانید احساسات، افکار و اتفاقات روزانه تان را در قالب پیغام های کوتاه با همه یا با دوستان تان به اشتراک بگذارید.

عضویت در این سایت بسیار ساده است. اگر مرحله اول را رد کنید حله!

1. وارد www.twitter.com شوید.

2. روی دکمه Sign up در سمت راست صفحه کلیک کنید.

3. فرم باز شده در صفحه را مطابق با راهنمای تصویری زیر پر کنید.

عضویت در توییتر

4. اگر با صفحه ای مثل صفحه زیر مواجه شدید حروف داخل کادر را در کادر متنی بنویسید (اگر نمی توانید حروف را بخوانید روی Get two new words کلیک کنید که کلمات جدید ظاهر شوند).

کپچا توییتر captcha

5. شما عضو توییتر شدید! حالا می توانید در صفحه باز شده افراد مورد علاقه تان را دنبال کنید تا از حال آنها با خبر شوید.

یا در صفحه خود چیزی بنویسید.

* از نوار بالای صفحه گزینه Profile را انتخاب کنید و عکس پروفایل، ساعت، توضیح راجع به خودتان و… را اضافه کنید.

* برای پیدا کردن دوستان یا افراد مورد علاقه تان از گزینه Who To Follow استفاده کنید.

اگر شما هم سوالی دارید که فکر می کنید پاسخ آن به درد افراد دیگری هم می خورد می توانید از زنگوله بپرسید!

پ.ن: بابت تاخیر های بلند مدت در بروزرسانی زنگوله از همه خوانندگان عزیز صمیمانه عذرخواهی می کنم. لطفآ مشترک زنگوله شوید تا هر موقع مطلب جدید منتشر شد مطلع شوید.



بانک اطلاعات تور ها و گردشگری LastSecond.ir [پشتیبان زنگوله]

۲۴ ۰۸ ۱۳۸۹

این دفعه که تصمیم به مسافرت رفتن می گیرید به جای استفاده از روش های سنتی همیشگی سری به بانک اطلاعات تور ها و گردشگری LastSecond بزنید. این سایت قابلیت های فراوانی را در قالب یک ساختار ساده و کاربر پسند ارائه می کند. به نظر من مهم ترین مزیتش لیست «تور های لحظه آخری» است. «تور های لحظه آخری» به تور هایی گفته می شود که مدت زمان کمی به شروع آنها باقی مانده اما هنوز چند ظرفیت خالی وجود دارد. در نتیجه شرکت های گردشگری تخفیف های فوق العاده ای برای آنها در نظر می گیرند.

LastSecond.ir تور و گردشگری

با جستجو در این سایت می توانید تور هایی با قیمت های ارزان پیدا کنید که همینجوری در آژانس ها پیدا نمیشه. حتی می توانید مشترک فید تور های لحظه آخری بشوید تا زودتر از همه از آنها با خبر شوید.

اما به اینجا ختم نمیشه، مثلآ یک بخش سفرنامه وجود دارد که کاربران نظر خودشان را راجع به مقاصد گردشگری مختلف می نویسند و حتی عکس هایی از تور هایی که می روند می گذارند. این طوری به جای اطلاعات کلیشه ای که در تبلیغات روزنامه ها و… می بینید به یک منبع بی طرف دسترسی دارید که افراد واقعی در آن از تجارب خودشان می نویسند. این امکانات به صورت ‘ویکی’ ارائه شده که بعد از عضویت رایگان در سایت همگی برای شما در دسترس خواهند بود.

قابلیت های دیگر نظیر جستجوی پیشرفته و… هم در سایت هست که توصیه می کنم خودتان ببینید.

بانک تور و گردشگری



مخفی سازی فایل ها با تغییر پسوند و معرفی راه های تشخیص

۸ ۰۸ ۱۳۸۹

یکی از راه های خیلی ساده و قدیمی برای مخفی کردن فایل ها این است که پسوند را تغییر دهید. هر چند این یک راه درست و واقعی نیست و بیشتر یک کلک است. اما به هر حال گاهی اوقات خصوصآ برای مخفی کردن اطلاعات از دست افراد مبتدی بسیار کارآمد است.

* باید ویندوز خودتان را تنظیم کنید تا پسوند فایل ها را هم نشان بدهد (چطوری؟)

ویندوز با نگاه کردن به سه حرف آخر هر فایل تشخیص میده که باید آن فایل را با کدام برنامه باز کند. مثلآ یک فایل با پسوند jpg را با برنامه ای که عکس ها را نمایش می دهد باز می کند. حالا اگر آن فایل را تغییر نام بدهید و پسوندش را بگذارید mp3 ویندوز آن را با برنامه مربوط به فایل های صوتی باز می کند و به نظر می رسد که فایل فقط یک آهنگ خراب است.

Ahang.mp3 Secret Message Blah Blah

اکثر افراد با دیدن پیغام خطا نمی توانند کار را از آنجا جلوتر ببرند. اگر کسی بداند که ممکنه پسوند تغییر داده شده باشد می تواند فایل را توسط نت پد باز کند و محتویات آن را ببیند. در این مرحله اگر شما مثلآ یک فایل متنی را به یک mp3 تغییر داده باشید اطلاعات همانطور به صورت متنی در نت پد دیده می شود. اما اگر فایل های دیگر باشد تشخیص آن سخت تر و سخت تر می شود. چون در نت پد فقط یک سری نوشته چرت و پرت دیده میشه و هر کسی نمی تونه از آن اطلاعات فرمت اصلی فایل را تشخیص بدهد.

اینجا ترفند ها و نرم افزار هایی هست که می تونه باعث تشخیص فرمت اصلی فایل بشه تا فایل با برنامه مربوطه باز بشه و اطلاعات اصلی معلوم بشه. جدای از این سناریوی مخفی سازی و اینها ممکنه حتی خودتان فایل هایی داشته باشید که اشتباهآ پسوند شان تغییر داده شده باشد و بخواهید بدانید فرمت اصلی آنها چه بوده تا بتوانید بازشان کنید.

هر فایل یک سربرگ یا header داره که اطلاعاتی راجع به فرمت آن فایل به ما میده. برای خیلی از فرمت ها فقط با بررسی این header ها می توانیم فرمت فایل را تشخیص بدهیم. مثلآ فایل های gif با عبارت GIF87a یا GIF89a شروع می شوند. در نتیجه اگر مثلآ یک فایل mp3 را با نت پد باز کنید و در ابتدای آن نوشته شده باشد GIF89a می فهمید که فرمت واقعی gif بوده.

Document.pdf Document.gif GIF89a File Extension

به این اطلاعات گاهآ File Signature یا «اثر انگشت فایل» گفته میشه. لیست بلند بالایی از اینها را می توانید از سایت Gary Kessler بگیرید.

حالا که تئوری پشت قضیه را فهمیدیم می خواهیم یکم از کامپیوتر کمک بگیریم که خودمون مجبور نباشیم به طور دستی این اطلاعات را بررسی کنیم. برای این کار از برنامه TrID استفاده می کنیم. این برنامه توسط Marco Pontello، یک برنامه نویس ایتالیایی نوشته شده که قابلیت های فراوانی در اختیار ما می گذاره.

اگر یک فایل کم حجم و غیرخصوصی دارید می توانید خیلی ساده از طریق تشخیص گر آنلاین TrID آن را بررسی کنید.

Online File Analyzer TrID

اگر فایل تان حجیم یا خصوصی است می توانید نرم افزار مستقل TrID را دانلود کنید (فراموش نکنید که بانک اطلاعاتی مربوطه را هم باید جداگانه دانلود کنید). این برنامه ظاهر گرافیکی کاربر پسندی هم دارد که کار را ساده تر می کند.

TrIDNet Marco Pontello File Analyzer

برای گزینه های بیشتر می توانید از خط فرمان TrID استفاده کنید که به شما این قابلیت را میده که مثلآ کل درایو تان را جستجو کنید و فایل هایی که فرمت شان صحیح نیست را پیدا کنید.

TrID File Identifier Command Line

TrID بیش از 4000 اثر انگشت مختلف در بانک اطلاعاتی اش دارد و روز به روز به این تعداد افزوده می شود. این برنامه نه فقط سربرگ فایل بلکه جزئیات دیگری را بررسی می کند تا نتیجه ای دقیق به شما بدهد.

- چگونه فایل های مهم خود را از دیگران مخفی کنیم [از زنگوله بپرسید]

- چگونه فایل های مهم را برای همیشه پاک کنیم؟

- از هنر «پنهان نگاری» یا Steganography چه می دانید؟



 صفحه قبل