1

فصل اول

آشنايي با آدرس IP در اينترنت

به محض حضور هر كامپيوتر در اينترنت آدرس منحصر به فردي به آن تعلق مي گيرد كــه

از طريق آن كامپيوتر مذكور از بين ميليون ها كامپيوتر حاضر در اينترنت شناسايي مي شود

ــر يـك چنين آدرسي اصطالحاً آدرس IP مي گويند كه از چهار بخش تشكيل شده كه ه

ــام فعـاليت هـاي كـامپيوتر بـا دنيـاي عددي از ٠تا ٢٥٥ را شامل مي شود اين آدرس در تم

خارج مانند گپ زني download,(chat) كــردن يـك فـايل،نمـايش صفحـه وب و.....

نقش اساسي دارد .

اگر فرد از طريق خط تلفن (Dial-up) به اينتر نت وصل شــود در اينصـورت بـه احتمـال

ــتر نـت آدرس IP جديـدي بـه او تعلـق مـي گـيرد زيـرا زياد با هربار برقراري ارتباط با اين

ــداد محـدودي آدرس IP اسـتفاده مـي كننـد و بـا پايـان گرفتـن تمـاس فـرد ISPها از تع

آدرسIP ازاو پس گرفته شده و به فردي ديگري كه در همان زمان براي ورود به اينتر نت

به ISP شماره گيري ميكند داده مي شود .

IP ها داراي٥ كالس هستند كه به صورت زير تعريف مي شوند :

آدرس هاي كالس A : قالب ٣٢ بيتي آدرس در كالس A به صورت زير است .

١٠ ٩ ٨ ٧ ٦ ٥ ٤ ٣ ٢ ١ ٠ ١١ ١٢ ١٣ ١٤ ١٥ ١٦ ١٧ ١٨ ١٩ ٢٠ ٢١ ٢٢ ٢٣ ٢٤ ٢٥ ٢٦ ٢٧ ٢٨ ٢٩ ٣٠

٣١

Host ID Nerwork ID0

ــت از آدرس مقـدار صفـر دارد و ايـن بيـت كـالس A را از در اين كالس پر ارزشترين بي

ــبكه“ و سـه بـايت باقيمـانده ديگر كالسها متمايز مي كند ٧ بيت بعدي “مشخصه آدرس ش

2

آدرس ماشين ميزبان را تعيين مي كند . بنابراين در اين كالس بايت پــرارزش در محـدوده

ــي كنـد. چـون بـا ٢٤ بيـت مـي تـوان حـدود ١٧ ميليـون ماشـين ميزبـان را ٠تا ١٢٧ تغيير م

ــوان بـه ايـن نتيجـه رسـيد كـه آدرس هـاي ايـن كـالس بـايد بـراي آدرسدهي كرد مي ت

ــاي عظيـم اختصـاص داده شـده باشـد مشـخصه آژانسهاي ستون فقرات اينترنت يا شبكه ه

ــاب شـود زيـرا ايـن دو شبكه در اين كالس به هيچ وجه نمي تواند اعداد صفر يا ١٢٧ انتخ

A ــايي كـه مـي تواننـد از كـالس عدد در شبكه معناي خاص دارند بنابراين تعداد شبكه ه

استفاده كنند ١٢٦ تا خواهد بود كه بسيار كم است .

وقتي به يك آدرس IP كه در قالب ده دهي نوشته شده نگاه مي كنيد براحتي مــي توانيـد

A كالس آنرا تشخيص دهيد اگر عدد سمت چپ بين ٠تا ١٢٧ باشد آن آدرس در كالس

خواهد بود .

74 . 103 . 14. 138 NetIP Host IP

آدرس كالس B : در اين كالس قالب ٣٢ بيتي به صورت زير است

١٠ ٩ ٨ ٧ ٦ ٥ ٤ ٣ ٢ ١ ٠ ١١ ١٢ ١٣ ١٤ ١٥ ١٦ ١٧ ١٨ ١٩ ٢٠ ٢١ ٢٢ ٢٣ ٢٤ ٢٥ ٢٦ ٢٧ ٢٨ ٢٩ ٣٠

٣١

Host ID Nerwork ID01

ــر ارزش از آدرس IP مقـدار ١٠ باشـد آن آدرس از كـالس B اسـت ١٤ هرگاه دو بيت پ

بيت باقيمانده از ٢ بايت سمت چپ آدرس شبكه را تعيين مي كند و دو بايت اول از سمت

ــد بـود در آدرس هـاي كـالس B تعـداد ١٦٣٨٢ شـبكه راست آدرس ماشين ميزبان خواه

گوناگون قابل تعريف خواهد بود و هر شبكه مي تواند ٦٥٥٣٤ ماشين ميزبان تعريــف كنـد

3

ــراي شـبكه هـاي بـزرگ مناسـب اسـت امـروزه عمـالً اختصاص آدرس هاي اين كالس ب

نميتوان آدرس كالس B گرفت چرا كه تقريبــاً همـه آنـها تخصيـص داده شـده انـد اگـر

آدرس IP به صورت دهدهي نوشته شود و عدد سمت چپ آن بين ١٢٨ تا ١٩١ باشــد آن

آدرس از كالس B است:

134.64.143.24

NetIP Host IP آدرس كالس C : در اين كالس قالب ٣٢ بيتي به صورت زير است .

١٠ ٩ ٨ ٧ ٦ ٥ ٤ ٣ ٢ ١ ٠ ١١ ١٢ ١٣ ١٤ ١٥ ١٦ ١٧ ١٨ ١٩ ٢٠ ٢١ ٢٢ ٢٣ ٢٤ ٢٥ ٢٦ ٢٧ ٢٨ ٢٩ ٣٠

٣١

Host ID Nerwork ID011

كالس C مناسب ترين و پركاربردترين كالس از آدرس هاي IP اســت همانگونـه كـه از

شكل مشخص است در اين كالس سه بيت پــر ارزش داراي مقـدار ١١٠ اسـت و ٢١ بيـت

ــابراين در بعدي از ٣ بايت سمت چپ براي تعيين آدرس شبكه مورد نظر بكار رفته است بن

اين كالس مي تــوان حـدود ٢ ميليـون شـبكه را در جـهان آدرس دهـي كـرد و هـر شـبكه

ميتواند تا ٢٥٤ عدد ماشين ميزبان تعريف نمايد براي تشخيص آدرس هاي اين كــالس بـه

ــم اگـر عـدد عدد سمت چپ از آدرس IP كه به صورت ده دهي نوشته شده نگاه مي كني

بين ١٩٢ تا ٢٢٣ بود آن آدرس از كالس C خواهد بود .

199 . 164 . 78 . 132

Net IP Host IP

4

آدرس كالس D : قالب ٣٢ بيتي آدرس در اين كالس به صورت زير است . ١٠ ٩ ٨ ٧ ٦ ٥ ٤ ٣ ٢ ١ ٠

١١ ١٢ ١٣ ١٤ ١٥ ١٦ ١٧ ١٨ ١٩ ٢٠ ٢١ ٢٢ ٢٣ ٢٤ ٢٥ ٢٦ ٢٧ ٢٨ ٢٩ ٣٠

٣١

Multicast Address0111

در اين كالس چهار بيت پر ارزش داراي مقــدار ١١١٠ و٢٨ بيـت باقيمـانده از كـل آدرس

براي تعيين آدرسهاي “چنــد مقصـده“ (آدرس هـاي گروهـي) اسـت از ايـن آدرس بـراي

ــين ميزبـان كـاربرد دارد و بـه منظـور ارسال يك دياگرام به طور همزمان براي چندين ماش

عمليات رسانه اي و چند پخشي به كار مي رود .

ــج بيـت پـرارزش آنـها در سـمت چـپ آدرس كالس E: فعالً اين دسته از آدرس هاكه پن

١١١١٠ است كاربرد خاص ندارند و براي استفاده در آينده بدون استفاده رها شده اند البتـه

گاهي به منظور آزمايشي از اين آدرس ها استفاده شد ولي تا كنون جهاني نشده اند .

چگونه مي توان آدرس IP كامپيوتر خود را پيدا كرد؟

بـراي پيـدا كـردن آدرس IP در سيسـتم عـامل windows 98 كـافي اسـت در كـــادر

ok ــد و بـر روي دكمـه محاورهاي Run از منوي Start عبارت winipcfgر ا تايپ كني

كليك كنيم تا در صفحه IP configuration در مقابل كادرIP Address بـه آدرس

IP خود پي ببريم البته روش هاي ديگري براي پيدا كردن IP در سيستم هاي عامل ديگر

وجود دار دكه بعدًا به آنها اشاره مي شود .

5

چگونه مي توان IP فرد ديگري را پيدا كرد؟

اين سئوال اساسي ترين سئوال و در واقع اولين گام در هك كردن است براي اين كار الزم

است با فرمان netstat كه از فرمان هاي Dos است آشنا شويم.

ــوان از طريـق آن عـالوه بـر فرمان netstat يكي از فرمان هاي تحت Dos است كه مي ت

آدرس IP كامپيوتر خودآدرس IP هر كامپيوتر ديگري را ا زراه دور شناســايي كـرده واز

طريق آن تشخيص دهيم كه آيا كامپيوتر مذكور هك شده يا خير .

فرمان netstat مانند هر فرمان تحت Dos داراي سويچهاي بسياري است كه كـارايي هـر

كدام در جدول زير آمده است .

سوييچ كارايي

a-تمام پورتهاي در وضعيت listening را به همراه بقيه Connection ها نشان مي دهد

e-آمار Ethernet را نشان مي دهد

n-آدرس ها و اعداد پورتها را به فرم عددي نمايش مي دهد .

na-فهرست تمام پورتهاي باز ماشين را مي توان به دست آورد

p proto-تمامي connection هاي مربوط به پروتكلي كه توسط proto مشخص شده را نشان مي دهد

r-تمامي محتويات جدول مسير يابي (routing table) را نشان مي دهد

آمار هر پروتكل را نشان مي دهد در حالت پيش گزيده آمار پروتكلهاي TCPو IP,UDP نشان

داده مي شود .

-s

inteval-آمار انتخابي را مجددًا به نمايش در مي آورد

6

از ميان تمامي سويچهاي معرفي شده در جدول از همــه بيشـتر سـويچ [n-] كـه در هـك

ـــردن فرمــان كـردن هـم كـارايي بيشـتر دارد اسـتفاده مـي شـود فرمـت درسـت تـايپ ك

(space) ــه اي netstat -n به اين صورت است كه ميان عبارت netstat وn-بايد فاصل

وجود داشته باشد.

براي استفاد ه از اين فرمان كافي اســت در MS-Dos prompt فرمـان netstat -n را

اجرا كنيم اگر بر روي كامپيوتر هيچ برنامه اي مانند ICQ يا MSN Messenger يـا

Yaho Messenger و يا هر برنامه اي ديگر از اين دست كه به محض كسب اطــالع از

ــراري ارتبـاط مـي كنـد اجـرا نشـده ورود كامپيوتر به اينتر نت به طور خودكار اقدام به برق

ــرروي كـامپيوتر وجـود نداشـته باشد انتظار مي رود هيچ آدرس IP يا پورت باز شده اي ب

ــوق بـر روي كـامپيوتر آدرس IP اي در ايـن پنجـره باشد(اما اگربا در نظر گرفتن موارد ف

ــده اسـت و يـك server هـك آمده است در اينصورت به احتمال زياد كامپيوتر هك ش

بدون اطالعتان بررروي كامپيوتر نصب شده است)ولي اگر يكــي از ايـن برنامـه هـا نصـب

شده باشد با اجراي فرمان netstat -n بسته هايي حاوي اطالعات به كــامپيوتري در يـك

شبكه فرستاده مي شود و از كامپيوتر مذكور خواسته مي شود تا در صورت online بودن

ــا در شبكه آن بسته ها دريافتي و يا هر جواب ديگري را كه اصالح مي داند پس فرستاده ت

از اين طريق حضورش در شبكه اعالم شود پس از ارسال جواب عباراتي در صفحــه ظـاهر

مي شود كه با توضيح آن مي پردازيم .

Porto : معرف نام پروتكلي است كه مــورد اسـتفاده قـرار مـي گـيرد در واقـع پروتكلـها

مجموعه اي از قواعدي هستند كه كامپيوترها از آن طريق با هم ارتباط برقرار مي كنند و با

7

TCPنـام پروتكـل porto هم صحبت مي كنند به طور معمول در صفحه در زير عبــارت

ــي شـود ايـن (Transfer Control protocol) يا همان پروتكل كنترل انتقالي ظاهر م

پروتكل از آن دسته پروتكل هايي است كه تقريباً از همه بيشتر استفاده مــي شـود پروتكـل

ديگر UDP نيز هست كه مورد استفاده آن بــه انـدازه TCP نيسـت وكمـتر بـا آن مواجـه

ميشويم.

Local Address : در اين بخش آدرس IP كامپيوتري كه با آن عمــل هـك صـورت

ميگيرد مشخص مي شود به عنوان مثال 213.217.50.139:1026 يــك نمونـه از ايـن

Local Address است كه قســمت 213.217.50.139 آدرس IP كـامپيوتر خـود و

1026 شماره پورت باز شده است اينگونه پورتها توسط هــر كـامپيوتر بـه شـكل تصـادفي

ايجاد مي شود تا از طريق آن امكان برقراري ارتباط با دنياي خارج فراهــم شـود( در فصـل

بعد به معرفي اين پورتها خواهم پرداخت)

Foreign Address : در اين بخــش آدرس IP كـامپيوتر راه دور ذكـر مـي شـود بـه

ــه از ايـن آدرس هـا اسـت كـه درآن عنوان مثال 216.136.175.226:5050 يك نمون

216.136.175.226 معرف IP كامپيوتر راه دور و5050 معرف پورت باز شده برروي

كامپيوتر است.

State : دراين بخش وضعيت خط اتصال (Connection) اعالم مي شود يــك اتصـال

حالت مختلفي مي تواند داشته باشد كه در جدول زير اين حالتها معرفي مي شود .

8

وضعيت به معناي آن است كه

CLOSED هيچ اتصالي ميان كامپيوتر شما و راه دور وجود ندارد.

CLOSING كامپيوتر شما و راه دور هر دو موافق خاتمه اتصال اند .

CLOSE WAIT كامپيوتر راه دو اقدام به بستن اتصالش با شما كرده است .

ESTABLISHED اتصال پايداري برقرار شده است .

نرم افزاري كه از اين اتصال استفاده مي كرد (مانند yahoo messenger) اكنون

به استفاده خود پايان داده است . FIN WAIT 1

FIN WAIT 2 كامپيوتر راه دور نيز موافق بستن و اين اتصال است.

LAST ACK اتصال منتظر از بين رفتن تمام بسته هاي اطالعات است .

كـامپيوتر شـما در وضعيـت litening قـرار گرفتـه تـــا پذيــراي اتصــالي از خــارج

(incoming) باشد. LISTEN

SYN RCVD كامپيوتر راه دور در خواستي براي برقراري اتصال مي فرستد.

SYN SEND كامپيوتر شما براي باز شدن اتصالي اقدام كرده است .

TIMED WAIT همان كارايي LAST ACK را دارد .

ــيز وجـود داردكـه از طريـق آن مـي تـوان پـورت هـاي بـاز شـده بـر روي فرمان ديگري ن

كـامپيوتر خـود و آدرس IP متنـاظر بـا كـامپيوتر خـود را در آن يـافت(يـافتنIP در ســاير

netstat –n است كه اين فرمان مــانند فرمـان netstat -na ها) اين فرمان windows

احتياج به هيچ يك از برنامه هاي ذكر شده ندارد و با برقراري اتصال بــا اينـترنت و اجـراي

اين فرمان مي توان به آدرس IP و پورتهاي باز شده روي كامپيوتر خود پي برد

ــخ سـئوالي كـه مطـرح كـرده بوديـم و اينكـه چگونـه بعد از معرفي فرمان netstat به پاس

ميتوان آدرس IP شخصي را پيدا كرد مي پردازيم.

9

در ادامه به بررسي ٣ روش عملي براي پيدا كردن IP كامپيوتر راه دور اشاره خواهيم كرد.

:(I Seek you) ICQ الف) دعوت به گپ زني از طريق

MSN messenger مشهوري نظير (Messenger) از ميان تمام برنامه هاي پيام رسان

Yahoo messenger و نرم افزار ICQ يكي از پر طرفدارترين نرم افزارهاي گپ زني

است و بيش از ١١٠ ميليون كاربردارد كه از طريق آن مي توان به راحتي و آسان به آدرس

IP كامپيوتر راه دور و طرف مقابلي كه با آن در حال گپ زدن هستيم دسترسي پيدا كنيـم

براي پيدا كردن آدرس IP كامپيوتر راه دور از اين طريــق كـافي اسـت از فـرد مـورد نظـر

ــد سـپس در حيـن دعوت كنيم تادرICQ حضور پيدا كرده و باشما شروع به گپ زدن كن

گپ زني فرمان netstat -n را اجرا ميكنيم.

ب) فرستادن يك فايل يا گــپ زنـي صوتـي(voice chat) از طريـق يـك

پيامرسان:

ــوان بـه بر خالف نرم افزار ICQ كه تنها با شروع گپ زني و اجراي فرمان netstat مي ت

ــانند: آدرس IP ي طـرف مقـابل دسـت پيـدا كـرد در پيـام رسـانهاي متـداول و مشـهور م

MSN messenger و yahoo messenger ديگـر تنـها بـا گـپ زدن نمـي تــوان

آدرس IP ي طرف مقابل را به دست آورد بلكه الزمست تا ابتدا فايلي را ارسال كرده و يا

اينكه به گپزنــي از طريـق صـوت بپردازيـم و بعـد فرمـان netstatر ا بـراي پيـدا كـردن

آدرس IP ي طرف مقابل به اجرا در آوريم.

ــان netstat -n بـر روي كـامپيوتر چنديـن اتصـال بـه نمـايش در شايد بعد از اجراي فرم

آيدكه اين مسئله پيدا كردن آدرس مورد نظر را تا حدي دشوار كند به هر حال بايد هميشه

10

ــژگـي زيـر را در ستون Foreign Address به دنبال آدرس هاي IP ي باشيم كه دو وي

داشته باشند:

١) وضعيت اتصال آن ESTABLISHED باشد.

٢) در همـان سـطر و در زيـر سـتون Local Address ،آدرس IPي كـامپيوتر بــه

همراه پورت باز شده ٨٠ آمده باشد.

اگر آدرس IP را در بخش نور آدرس(address bar) پويشـگر اينـترنت مايكروسـافت

(Internet Explorer) تايپ كنيم و كليد Enter را بزنيم صفحه خانگي ISP كه فـرد

ــايش در مـي آيـد مقابل از طريق آن با كامپيوتر خود در اينترنت حضور پيدا مي كند به نم

پس از اين طريق نيز مي توان شخص مزاحم را رديابي كرد و به ISP او گزارش داد .

حال به بررسي اين مسئله مي پردازيم كه چه لزومي دارد كه براي پيدا كردن آدرس IP ي

طرف مقابل خود به انتقال يك فايل يا گپ زدن از طريق صوت بپردازيم؟

جواب اين است كه در حقيقت زماني كه ما از طريــق Yahoo messenger بـا فـردي

گپ ميزنيم سرور گپ زني ياهو ميان ما و طــرف مقـابل قـرار مـي گـيرد و ديگـر اجـازة

ــا اجـراي فرمـان دسترسي به آدرس IPي طرف مقابل را به ما نمي دهد در چنين مواقعي ب

ــي آيـد .امـا زمانيكـه netstat –n تنها آدرس IP ي سرور گپ زني yahoo به دست م

ــيپردازيـم ديگـر سـرور گـپ زنـي اقدام به انتقال فايل مي كنيم و يا به گپ زني صوتي م

ــاه مـي تـوان بـه راحتـي آدرس IP ي yahoo بين ما وطرف مقابل قرار نمي گيرد و آنگ

طرف را به دست آورد .

11

ج) دعوت براي بازديد ا زيك صفحه وب:

تا اينجا به معرفي دو روش پرداختيم كه مورد استفاده اكثر هكرهاي تازه كار قرار ميگيرد

اما يكي از مشكالتي كه عمدتاً اين دسته ازهكرها با آن روبرو هستند آن اســت كـه طـرف

مقابل يا به نرم افزار ICQ دسترسي ندارد و از آن استفاده نمــي كنـد يـا اينكـه تمـايلي از

ــايل را خود براي دريافت فايلي از طريق پيام رسان ها نشان نمي دهد و درخواست ارسال ف

رد مي كند .(فرستادن فايل و پذيرفتن آن توسط فرد مقابل بستگي به روان شناسي ما دارد)

ــر گونـه فـايل ميتواننـد زيرا بسياري تصور مي كنند كه با رد كردن درخواست دريافت ه

خود را از دست شما خالصكنند حال آنكه قضيه به همين جا ختم نمي شود زيرا ميتــوان

با ترفند ديگري حمله را ا زيك صفحه وب آغاز كرد.

ـــك ســايت وب نظــير پيـش از تشـريح ايـن مسـاله مـايلم بـه ايـن مطلـب بپـردازم كـه ي

ــد در اختيـار صـاحب www.yahoo.com چه اطالعاتي از روي كامپيوتر ما را مي توان

آن سايت قرار دهــد . اگـر در قسـمت نـوار آدرس پويشـگر اينـترنت مايكروسـافت خـود

آدرس http://privacy.net/analyze را تايپكنيم و enter را بزنيم پس از گذشت

ــوي عبـارت اندك زماني صفحه اي باز مي شود كه مي توان آدرس IP ي خود را در جل

Trace Route يـافت بقيـه اطالعـاتي كـه در ادامـه مـي آيـد مربـوط بــه آدرس IP ي

كامپيوترهايي است كه در مسير رسيدن اطالعــات از كـامپيوتر راه دور بـه كـامپيوتر مـن و

بالعكس قرار گرفته ( اين كامپيوترها مي توانند به منزله يك مركز شنود باشند).

به طور كلي اطالعات زير توسط اين سايت از روي كامپيوتر برداشت مي شود .

12

١)نام كامپيوتر

٢)نوع سيستم عامل ٣)آدرس IPي كامپيوتر

٤)نوع پردازنده (CPU) كامپيوتر ٥)درجه وضوح(Resolution color)صفحه نمايش

٦) تعداد رنگ صفحه نمايش ٧)صفحات وبي كه قبالً از طريق اين پنجره از آنها بازديد كرده ايد

ــي پردازيـم كـه از تمام اين اطالعات آدرس IP مهمترين آنها است و حال به اين مطلب م

ــه وب بـه دسـت چگونه آدرس IP ي طرف مقابل رابا دعوت ا زاو براي ديدن يك صفح

آوريد؟

شيوه كار اينگونه است كه ابتدا از ميان ارائه دهندگان ســرويس صفحـات وب رايگـان بـر

روي اينترنت يكي را انتخاب كرده و صفحه وب رايگــاني بـراي خـود طراحـي مـي كنيـم

سپس شمارش گري را بر روي آن نصب مي كنيم و بعد از فرد قرباني دعــوت مـي كنيـم

ــردن بـر روي پيونـدي كه از اين صفحه وب ديدن كند نتيجه آنكه فرد قرباني با كليلك ك

(آدرس صفحه وب) كه ما براي او مي فرستيم به صفحه وب رفته و شمارشگر صفحه وب

آدرس IP فرد مذكور را اسكن كرده سپس بــر طبـق قـراري كـه مـا در هنگـام راهانـدازي

شمارشگر با او گذاشته ايم كــه مثـالً آدرس IPي تمـامي بـازديد كننـدگـان سـايت را بـه

آدرس پست الكترونيكي ما ارسال كند نهايتاً به آدرس IPي طرف پي مي بريم.

[ براي قرار دادن شمارگر (counter) بر روي سايت وب شخصي مي توان به ســايتهاي

www.hitboxcentral.com www.gostats.comـــــا www.webctat.comي

13

مراجعه كرد و يك شمارشگر رايگان دريافت نموده و بر روي صفحــه وب شـخصي قـرار

داد] .

چگونه مي توان آدرس IP ي مناظر با سايت وبي را پيدا كرد؟

ــراي ذهـن مشـكل اسـت عمومـاً بـه جـاي آن از آن جايي كه به خاطر سپردن آدرس IP ب

ازيك آدرس اسمي يا URL استفاده مي شــود بـراي بـه دسـت آوردن آدرس IP سـايت

ميتوان از فرمان ping تحت Dos استفاده كرد .

(Internet Control MessageProtocol) ICMP بخشي از پروتكل ping فرمان

است كه در اشكال زدايي شبكه هايي كه تحت پروتكل TCP/IP كــار مـي كننـد مـورد

استفاده قرار مي گيرد امــا بـه زبـان سـاده ping فرمـاني اسـت كـه بـه مـا كمـك ميكنـد

ــبكه فرسـتاده و از كـامپيوتر مذكـور بستههايي حاوي اطالعاتي را به كامپيوتري در يك ش

بخواهيم تا در صورت online بودن همان بسته هاي دريافتي اوليه يا هر جوابيد ديگري را

ــا را از وضعيـت online و حضـور كه صالح مي داند براي ما پس فرستاده از اين طريق م

فعالش در شبكه مطلع سازد به عبارت ديگر از طريق فرمان ping ما مي توانيم چك كنيـم

كه آيا كامپيوتري در آن لحظه خــاص در محيـط شـبكه اي حضـور فعـال دارد يـا خـير از

آنجايي كه اولين گام در هك كردن هر كامپيوتري در اينتر نت كسب اطــالع از وضعيـت

ــن كليـدي online و حضور فعال آن در اينترنت است از اينرو فرمان ping يكي از فرامي

هكرها به حساب مي آيد بدين ترتيب كه هكر ابتدا بــا اجـراي فرمـان ping يـا اصطالحـاً

ping كردن به يك كامپيوتر از حضور آن در اينترنت اطمينان حاصل كرده و بعد اقدام به

برنامه ريزي برهك كردن سيستم قرباني ميكند.

14

شيوه كار ping اينگونه است كه وقتي آنرا اجــرا مـي كنيـم كـامپيوتر چـهار بسـته حـاوي

on line اطالعات را به كامپيوتر مورد نظر ارسال كرده و منتظر مي مــاند تـا در صـورت

بودن حداقل يكي از بسته هاي ارسالي برگشت داده شود و البته در اكثر موارد در صــورت

on line بودن كامپيوتر راه دور هر چهار بسته ارسالي برگشت داده مي شود.

براي ping كردن يك سايت كافي است در محيط MS-Dos prompt فرمان ping و

Ping Yahoo.com :بعد نام سايت را تايپ كنيم به عنوان مثال

15

فصل دوم

آشنايي با مفهوم و تاريخچهtorjan ها

ـــايي بــا عنــوان يكـي ا زراه هـاي هـك كـردن كـامپيوتر ا ز راه دور اسـتفاده از برنامـه ه

Torjanhorses (اسبهاي تراوا) است كه مختصرًا torjan (تراوا) ناميده مــي شـوند و از

ديدگاه هكر اين نرم افزارهاي آلوده نقش يك ستون پنجم تحت فرمان را بــر روي ماشـين

قرباني ايفا مي كنند .

ــطح گزارشها حاكي است كه حتي در شركتهاي مانند مايكرو سافت كه كاربران آنها از س

ــل ( اسـب تـروا) خسـارت معلومات بااليي برخوردارند آلودگي با نرم افزارهاي مخرب مث

زيادي به بار آورده است .

راه هاي زيركانه و روان شناختي بسيار متنوعي وجود دار دكه از طريق آن مــي تـوان يـك

ــاي كـامپيوتر را بـه نـرم افـزار آلـوده كـرد محيطـهاي گـپ زنـي اينـترنتي (chat) نامـه ه

ــروزه ارائـه دهنـدگـان سـرويس e-mail بـا الكترونيكي با ضمائم اجرايي آلوده ( البته ام

ــات نصب ضد ويروس اجازه فرستادن اين نرم افزار از طريق e-mail را نميدهند و صفح

ــدگـان هسـتند و وب به همراه قطعه كدهاي اجرايي ابزار خدمت به نفوذ گران و حمله كنن

معموالً آنها با توسل به اين روش ها طعمههاي خود رابا كمترين زحمت بدام مي اندازند.

ــاميده انـد خـود داسـتاني دارد قضيـه از اينكه چرا اين نوع برنامه ها را Trojan horses ن

اينجا آغاز مي شود كه در قرن ١٢ پيش از ميــالد دو گـروه بـا عنـوان Greeks,Troy بـه

مدت ١٠ سال با هم مي جنگيدند ولي هيچيك موفق به شكست ديگري نمـي شـدند دايـن

ــه اي بودنـد كـه شكسـت نـاپذيـر لقـب بيشتر از بابت اين بود كه گروه Troy صاحب قلع

16

گرفته بود ولي سرانجام گروه Greeks با به كار بستن حقه ساده اي بــه قلعـه Troy نفـوذ

كرده و بر آنها پيروز شدند Greeks هاتنديس فوق العاده بزرگي از چوب به شــكل يـك

اسب ساختند و گروهي از سربازان را در آن قرار دادنــد سـپس ايـن مجسـمه را بـه كمـك

ــد گريختنـد Troy هـا بـه چرخهايي كه در زير آن بود تا نزديك در بهاي قلعه بردند و بع

گمان اينكه اين يك هديه از طرف Greeks است پس از فرار آنها مجســمه را بـه داخـل

قلعه بردند غافل از اينكه شــب هنگـام زبـده تريـن سـربازان Greeks از داخـل آن بـيرون

آمدند و درها را براي ورود سربازان ديگر باز كردند.

دقيقاً همين مساله بر روي كامپيوتر قرباني رخ مي دهد بدين ترتيــب كـه مـا فـايلي را بـراي

فرد قرباني مي فرستيم و وي به گمان آنكــه ايـن فـايل مثـالً تصويـري از شـما يـا موزيكـي

ــد هرزمـان بـه محـض دلنشين است آنرا اجرا مي كند كه در اين صورت از اين لحظه به بع

ورود كامپيوتر قرباني به اينتر نت دربهاي كامپيوتر وي بر روي ما باز مي شود و اين امكــان

را پيدا مي كنيم تا هر باليي كه مايل بوديم بر سر فرد قرباني و كامپيوترش بياوريم .

آشنايي با انواع پورتهاي فيزيكي و مجازي يك كامپيوتر

هر كامپيوتر عموماً دوپورت سريال دارد كه در بيشتر مــوارد يكـي بـه مـوس و ديگـري بـه

يك دستگاه مودم خارجي وصل مي شود همچنين اسكنرها و چاپگرها نيز از طريق پـورت

ــاي جديـد از ٢ تـا٦ موازي( parallel ) به كامپيوتر وصل مي شوند امروزه در كامپيوتره

پورت USB نيز اســتفاده ميشـودكه ميتواننـد بـه دوربينـهاي ديجيتـال ، مـوس ،كيبـورد

،webcam اسـكنر و دسـتگاه هـاي بسـيار ديگـري وصـل مي شـوداينها همـــه پورتــهاي

ــن پورتـهاي سـخت افـزاري داراي ٦٥٥٣٥ سختافزاري هستند اما هر كامپيوتر عالوه بر اي

17

ــرار پورت مجازي نيز هست كه به عنوان كانالي براي ارتباط با دنياي خارج مورد استفاده ق

ميگيرد.

اين قبيل پورتهاي مجازي به سه دسته تقسيم مي شوند:

١)پورتهايي باشماره هاي از ٠تا ١٠٢٣ كه قبالً سرويسي خاص براي آنها تعريف شده است

براي مثال پروتكل ftp(file transfer protocol) كه به انتقال فايل ها بــر روي شـبكه

جهاني اينتر نت و پروتكل http كه به انتقال صفحات وب در اينتر نت اختصاص دارند بــه

ترتيب از پورتهاي ٢١و٨٠ استفاده مي كنند .

٢)پورتهايي با شــماره هـاي از١٠٢٤تـا ٤٩١٥١ كـه بـه هيـچ سـرويس يـا پروتكـل خـاصي

اختصاص ندارد بلكه عموماً تمام برنامه هاي تحت شبكه مثل مــرورگرهـا يـا برنامـه پسـت

الكترونيكي نظير out look Express يا هر برنامه ديگري از اين دست به طور تصـادفي

پورتي از اين محــدوده را انتخـاب كـرده و از آن بـراي برقـراري ارتبـاط بـا دنيـاي خـارج

ــر ايـن محـدوده از پورتـهاي مجـازي بـر روي كامپيوترهـا استفاده مي كنند در حقيقت اگ

وجود نداشت . ما هرگز نمــي توانسـتيم در محيـط وب گـردش كنيـم يـا پيـام هـاي پسـت

الكترونيك دريافتي را از روي جعبه پستي خود بر روي كامپيوترمان منتقــل كنيـم و آن را

بخوانيم.

بسياري از torjan ها ربراي هك كردن كامپيوتر ها از همين محدوده استفاده مي كنند از

Sub7 ــه بررسـي آنـها مـيپـردازم مـي تـوان بـه مشهرترين torjan هاي فعلي كه ب

Back Orifice اشاره كرد كه در حالت پيــش گزيـده بـه ترتيـب از مجموعـه پورتـهاي

<٦٧١١و٦٧٧٦>و<٣١٣٣٧> استفاده مي كنند .

18

ــهاي بـاز همـان طـور كـه قبـالً اشـاره شـد اسـتفاده از فرمـان يكي ا زراه هاي مشاهده پورت

netstat -n و يا netstat -na است با اجراي اين فرمان و يادداشت كــردن شـماره تمـام

ــا پورتهاي در وضعيت شنود(listening) كه به آنها مشكوك هستيم و نهايتاً تطبيق آنها ب

ليست پورتهاي اختصـاصي torjon هـا كـه در ضميمـه آمـده مـي تـوان پـي بـرد كـه آيـا

ــماره كامپيوتر تا اين لحظه توسط هكرهاي مورد حمله قرار گرفته يا خير در صورتي كه ش

پورت بر روي كامپيوتر با هر يك از شماره پورتهاي trajon هاي داخل ليست تطبيق مــي

كـرد فـورًا بـه وضعيـت اتصـال (connection) آن توجـه كنيـد اگـر هنـوز در وضعيـت

ــورد نظـر بـر روي كـامپيوتر بـاز listening به سر مي برد اين بدان معنا است كه پورت م

شده ولي تا اين لحظه هنوز هيچ هكري از اين پورت براي هــك كـردن كـامپيوتر اسـتفاده

نكرده است اما اگر پورت در وضعيت Established قرار گرفته بود اين به آن معنا است

كه هم اكنون هكر در حال هك كردن اطالعات كامپيوتر شماست پس بــهترين كـار ايـن

است كه اتصال به اينترنت را قطع كــرده وديـوار آتـش (firewall) را بـر روي كـامپيوتر

نصب كنيم و براي پاك كردن برنامه Trojan نصب شده بر روي كامپيوتراقدام كنيم.

ــايي كـه تـاكنون بـراي نصـب شـدن بـر روي كامپيوترهـاي شـخصي از ميان firewall ه

ــت بـاز شـدن پورتـي بـر روي كـامپيوتر مطلـع طراحي شده برخي درابتدا ما را از درخواس

ــر ايـن كـار حتـي ميكنند سپس اجازه انجام اين كار را مي گيرند اما برخي ديگر عالوه ب

ــماره اطالعات فني مفيدي را در اختيار مان قرار مي دهندكه از طريق آنها حتي مي توان ش

IP كامپيوتر هكر و نوع حمله او را شناسايي كرد .

19

ــام هـاي درخواسـت ارتبـاط بـا اما اگر ديوار آتش را به درستي تنظيم نكنيم با انبوهي از پي

دنياي خارج روبرو مي شويم كه در نهايت مجبور مي شويم كه سطح امنيتي برنامه را پائين

ــئله مـي توانـد بـر عملكـرد درسـت آن در برابـر torjan هـا تـاثير سـوء آوريم كه اين مس

بگذارد.

به عنوان مثال يكي از پيام هايي كه بيشتر بر اثر نصب firewall بــا آن مواجـه مـي شـويم

Netbios ـــاري پيـامي بـا ايـن مضمـون اسـت كـه IP ايـي سـعي دارد تـا يـك جلسـه ك

( از پروتكل هاي قديمي شبكه است كه امروزه اهميت و كــاربري خـود را از دسـت داده

اند و استفاده از آن امنيت شبكه هاي عظيم را به خطــر مـي انـدازد زيـرا ايـن پروتكـل در

مقابل حمالت نوع Dos آسيب پذير است وهمچنين احتمــال نفـوذ بـه شـبكه و دسترسـي

ــد غير مجاز از طريق اين پروتكل وجود دارد )را بر روي عموماً پورت ١٣٧ راه اندازي كن

ــباهت اسـمي Netbios بـه نـام NetBus torjan اغلـب كـاربران در نظر اول به دليل ش

اجراي اين درخواســت را رد مـي كننـد در صورتـي كـه ايـن امـر بـه ويـژگـي موجـود در

windows بر ميگردد كه وقتي برنامه اي آدرس URL اي را به آدرس IP ي متناظر با

ــه آدرس IP مذكـور بفرسـتد كـه آن بر مي گرداند ممكن است جوابيد netbios اي را ب

اين امري طبيعي و بي خطر است .

ويا درد سر ديگري كه اغلب بر سر اشخاصي كه اندكي معلومات بيشتر دارند مي آيد ايــن

است وقتي به ISP شماره گيري كرده و به آن وصل مي شوند و در اينــترنت حضـور مـي

يابند غير مترقبه و بدون آنكه تا آن لحظه برنامه اي را براي حضـور در اينـترنت و برقـراري

ــرده باشـد بـر روي ديـوار آتـش خـود ارتباط با دنياي خارج بر روي كاميپوتر شان اجرا ك

20

پيامي دريافت مي كنند . مبني بر اينكه فالن IP قصد اســتفاده از فـالن پـورت را دارد اگـر

پورتهاي مذكور در ليست پورتهاي مورد استفاده trojon هــا كـه در ضمينـه اسـت نباشـد

جاي نگران نيست اين مساله از آنجا نشات مي گــيرد كـه احتمـاالً فـرد قبلـي كـه از هميـن

آدرس IP ي فعلي ما براي وصل شدن به اينترنت استفاده مــي كـرده و هـم اكنـون آدرس

IP ي او به ما تعلق گرفته تا همين چند لحظه پيش به جاي آنكه ابتدا Disconnect كنــد

احتماالً به طور ناگهاني كامپيوتر خود را خاموش كرده بدين ترتيــب از نظـر ISP تـا چنـد

لحظه اول اين تلقي وجود دارد كه جلسه كاري فرد قبلي تحت اين آدرس IP هنوز پايــان

نيافته است از اين رو اگر شخص قبلي از برنامه هاي chat استفاده مــي كـرده يـا اينكـه در

ــون شـما حال بازي كردن روي اينترنت بوده يا هر عملي از اين دست را انجام مي داده اكن

در حال دريافت بقيه ارتباطات او هستيد كه دريك چشم به هم زدن قطع مي شود .

ــتن اطالعـات كـافي درصـورت پس همانطور كه مالحظه مي كنيم چه دانستن و چه نداس

عدم انتخاب و تنظيم درســت ديـوار آتـش مـي توانـد دردسـرهايي را در پـي داشـته باشـد

بنابراين توصيه مي كنم درانتخاب و تنظيم firewall دقت كافي شود.

٣) پورتهايي با شماره هاي ٤٩١٥٢ تا ٦٥٥٣٥ كه غالباً توسط torjan ها مورد اســتفاده

قرار گرفته و كمتر به مصارف ديگري مي رسند البته در موارد نادري هم بعضي از شــركت

SUN ها در محصــوالت و تكنولـوژي هـاي خـود از آنـها اسـتفاده مـي كننـد بـراي مثـال

پورتهاي PRC ي خود را از شماره ٣٢٧٦٨ آغاز مي كند .

21

Trojan horses ساختار برنامه هاي

torjan ها اغلب از سه فايل اجرايي با پسوند exe تشكيل شــده انـد اينـها عمومـاً نامـهايي

ـــه نظـير Clientoexe. Editserver.exe .Server.exeرا دارا هسـتند در ادامـه ب

بررسي مختصر كارايي هر يك از فايلهاي اجرايي مي پردازيم و بحث كاملتر در فصلهاي

آينده خواهد بود.

Server .exe معرفي فايل اجرايي

ــا آنـرا بـر فايل اجرايي Server .exe همان فايلي است كه براي فرد قرباني مي فرستيم ت

روي كامپيوترش نصب كند البته بايد محتاط باشيد كه هرگز تصادفاً يا سهوًا اين فايل را بر

روي كامپيوتر خود اجرا نكنيد.

با اجرا شدن فايل Server .exe بر روي هركامپيوتري registry ويندوز آن مورد حمله

Trojan ــود همچنيـن بسـته بـه نـوع قرار گرفته و تنظيمات الزمه برروي آن اعمال مي ش

ممكن است در موقعيتهاي كليدي ديگري در ويندوز نظــير : پوشـه programs يـا ديگـر

پوشه هاي سيستمي نيز فايل هايي ذخيره شوند تا كنترل كامپيوتر را در دســت گرفتـه و از

اين به بعد به محض راه اندازي كامپيوتر و شروع به كار ويندوز و حضور قرباني دراينترنت

در بهايي را بر روي كامپيوتر وي به بيرون باز كنند.

Edit server .exe معرفي فايل اجرايي

ــيله يـك Trojan ابتـدا بـايد فـايل اجرايـي براي هك كردن كامپيوتري ا زراه دور به وس

سرور هك مربوط به آن Trojan را بر روي كامپيوتر قرباني نصب و اجرا كنيم اما هميشه

ــه تنظيمـات مـورد نظرتـان را بـر پيش از ارسال كردن فايل اجرايي سرور هك الزمست ك

ــي ديگـري اسـتفاده مـي شـود كـه روي آن اعمال كنيم براي اين كار عموماً از فايل اجراي

22

اغلب Edit server .exe ناميده مي شود در حقيقت با اجرا كردن اين فــايل اجرايـي بـر

روي كامپيوتر خودتان پنجره اي باز شده و اين اجــازه را مـي دهـد تـا تمـامي گزينـه هـا و

امكانات موردنظر را در فايل سرور هك ذخيره كنيم.

Client.exe معرفي فايل اجرايي

ــه آن پس از تنظيم كردن فايل Server و نصب و اجراي آن روي كامپيوتر قرباني نوبت ب

مي رسد كه منتظر بمانيم تا كامپيوتر قرباني online شود و بعد حمله را آغــاز كنيـم. ايـن

ــايل اجرايـي حمله كه برنامه ريزي آن از طريق كامپيوتر شما صورت مي گيرد . از طريق ف

ــي شـود در حقيقـت وقتـي فـايل اجرايـي Client .exe بـر روي Client.exe عملي م

كامپيوترتان اجرا مي شود پنجره اي باز شده و اين امكانات را مــي دهـد تـا هـر باليـي كـه

مايل بوديد بر سر كامپيوتر قرباني بياوريد .

23

فصل سوم:

Trojan آشنايي با چند

NetBus (١)

ــــــام NetBus در ســــال ١٩٩٨ توســــط يــــك برنامــــه نويــــس ســــوئدي بــــه ن

ــت كـردن و شـوخي بـا Card.fredrikNeikter نوشته شد او از اين Trojan براي اذي

ــاربران اينـترنت پخـش شـد و دوستانش استفاده كرد پس ازمدتي اين Trojan در ميان ك

مورد استفاده قرار گرفت تا امروز كه يكي از مهشــورترين Trojan هـاي وب بـه حسـاب

مي آيد .

pro 2.00,pro 2.00beta,1.70,1.60,1.53,1.20 تــــا كــــنون نــــسخه هـاي

pro 2.10,pro 2.01 از NetBus عرضـه شـده اندكـه بـر روي نسـخه هـاي وينـدوز

ME,NT.98.95,2000 كار مي كنند و به زودي نسخه اي براي تاثير بر روي xp ارائــه

خواهد شد . ،

مانند تمام Trojan ها ، NetBus هم يــك فـايل اجرايـي سـرور هـك داردكـه بـايد بـر

كامپيوتر قرباني نصب شود در نســخه NetBus1.70 ايـن فـايل در حـالت پيـش گزيـده

patch.exe نام داشته و ٤٨٣ كيلو بايت نــيز حجـم دارد فـايل Client نسـخه 1.70 ايـن

ــق كـامپيوتر Trojan كه قرار است بر روي كامپيوتر كامپيوتر خود اجرا كنيم و ازآن طري

قرباني را هدف قرار دهيم NetBus.exe نام دارد و٥٨٥ كيلو بايت هم حجم دارد .

24

NetBus قابليتهاي

نسخه Net Bus 1.70 قابليتهاي زير را دارد .

• باز وبسته كردن درب CD-Driver ( براي فقط يك بار يا دربازه هاي زماني مشخص)

IPG يا BMP به نمايش در آوردن هر تصويري با پسوند •

• جابه جا كردن عملكرد دكمه راست و چپ موس

wav اجرا كردن هر فايل صوتي دلخواه با پسوند •

• هدايت اشاره گر ماوس فرد قرباني به هر موقعيت دلخواهي بر روي مانيتور كامپيوترش

• به نمايش در آوردن كادر پيامي بر روي صفحــه مـانيتور كـامپيوتر قربـاني جـهت ارسـال و دريافت پيام .

ـابريش • Shut down كردن كامپيوتر قرباني يا logoff كردن فرد قرباني از اشتراك كبر روي كامپيوتر

• باز كردن پنجره مرورگر پيش گزيده كامپيوتر كه اكـثرًا پويشـگر اينـتر نـت مـايكرو سـافت

(Internet Exploren) مي باشد و نمايش صفحه وبي تحت آدرس URL خاصي

• ارسال ضربه كليدهايي (keystrokes) به كامپيوتر قرباني براي مثال در صورتيكه فــرد

قرباني برنامه word را باز كرده باشد شما مي توانيد ازراه دور متن خود را در داخل ايـن

پنجره فعال تايپ كنيد.

• دريـافت ضربـه كليدهـاي كـامپيوتر قربـاني كـه مـي تـوان بـا ايـن روش كلمـات عبـــور

(password) كامپيوتر قرباني را كشف كرد.

ـايش • دريافت محتويات صفحه نمايش كامپيوتر قرباني كه از طريق عكس برداري از صفحه نمــازي قرباني و ارسال براي كامپيوتر ما صورت مي گيرد و ماننددور بين مخفي است كه جاس

شده تا محتويات مانيتور را نشان دهد .

• دريافت اطالعات درباره كامپيوتر قرباني

ــامپيوتر قربـاني • امكان uplood كردن و نشاندن هر فايلي از روي كامپيوتر شما بر روي ك

در واقع از اين طريق مي توان Server راغ update كرد.

• اضافه و كم كردن ولوم صداي بلند گو

25

ــن متصـل بـه كـامپيوتر و بعـد • ضبط كردن صداهاي اطاق كامپيوتر قرباني از طريق ميكروفپخش كردن صداهاي ضبط شده براي قرباني

• در آوردن صداي كليك ماوسي با هر بار زدن كليدي از صفحه كليد

• Down load از روي كامپيوتر قرباني

• غير فعال كردن كليد هاي صفحه كليد

(password protection) به دست گرفتن مديريت محافظت از كلمه عبور •

• به نمايش در آوردن و بستن هر پنجره اي برروي كامپيوتر قرباني

نسخه آخر اين Trojan يعني NetBus pro 2.10 ويژگي هاي زير را نيز همراه دارد:

ــات عبـور (password) ذخـيره شـده در حافظـه نـهان كـامپيوتر • امكان خواندن كلم

(cache)• اجازه دادن تنها به IP هاي خاصي براي برقراري اتصال

• زمان بندي كردن فرمانهايي كه قرار است تا پشت سر هم اجرا شوند .

• چاپ كردن يك فايل برروي چاپگر كامپيوتر قرباني

• راه اندازي كنترگرهاي مديريتي چون : حذف كردن و بستن سرور هــك يـا حتـي تنظيـم كردن كلمه عبور براي دسترسي به آن

(Real time) با سرور به صورت بالدرنگ و همزمان (chat) گپ زدن •

telent و تبديل سرور هك به يك سرور telent پشتيباني از •

شناسايي حمله NetBus به يك كامپيوتر

ــي بـراي شناسـايي احتمـال نصـب سـرور هـك Net bus بـر روي يـك روشهاي مختلف

ــي تريـن آن اجركـردن فرمـان netstat -n درسـت بعـد از كامپيوتر وجود داردكه اساس

حضور در اينترنت است از آنجايي كه نسخه هاي قبلي NetBus در حــالت پيـش گزيـده

ـــايل از پورتـهاي ١٢٣٤٥,١٢٣٤٦ ونسـخه آخـر آن از پـورت ٢٠٠٣٤ بـراي ارتبـاط ميـان ف

اجرايي سرور هك بر روي كامپيوتر قرباني و برنامهClient بر روي كامپيوتر هكر استفاده

26

ــورت هـاي پيـش گزيـده اسـتفاده ميكردند انتظار مي رود تا اگر هكري از همان شماره پ

كرده باشد با اجراي فرمان netstat -n درست پس از حضور كامپيوتر قرباني در اينتر نت

netstat -n ــر نمـايي ا زاجـراي فرمـان هر يك از پورتها به نمايش در آيند در شكل زي

درست پس از حضور كامپيوتر قرباني كه سرور هك NetBus اي بر روي آن اجرا شــده

آمده است . به خاطر داشته باشيد كه ســرور هـك Net Busبـر اسـاس win sock اي

time ــي توانـد در وضعيـت اتصـال ١است كه بر روي ويندوز شما نصب شده است هم م

wait و هم listening قرار گيرد تا اينكه نهايتاً هكر حمله خود را ا زراه دور آغاز كند.

Active Connections Proto local Address Foreign Address StateTCP dpc 16:1025 127.0.0.1:12345 Time –waitTCP dpc 16:1026 127.0.01:12345 Time -wait

شيوه پاك كردن Net Bus از روي يك كامپيوتر

روشهاي بسياري براي پاك كــردن NetBus از روي يـك كـامپيوتر وجـود دارد كـه در

ادامه به يكي از روشهاي ابتدايي و اساسي آن مي پردازيم در نظــر داشـته باشـيد كـه پـاك

ــد در ايـن قسـمت بـه پـاك كردن نسخه هاي مختلف Net Bus تفاوت جزئي با هم دارن

كردن نسخه NetBus1.7 كه شباهت زيادي به نسخه هاي بعد خود دارد مي پردازيم.

١ عالمت اختصاري Windos Sokets استاندارد برنامه نويسي كاربردي براي نرم افزار ، كه تحت ويندوز رابط TCP/IP را فراهم ميكند

ــن عرضـه كننـدگـان نـرم افـزار استاندارد Winsock در خارج ميباشد مربوط به BOF طراحي شده كه در سال ٩١ در كنفرانس UNIX بيتوزيع شد اين رابط ، پشتيباني عمومي از جمله مايكروسافت را به خود جلب كرد .

27

از آنجايي كه Net Bus در registry ويندوز قسمت: HKEY-LOCAL-MACHINE/Software/Microsoft /Windows/CurrentV ersion/Run

را دستكاري مي كند بنابراين ابتدا بايد به اين موقعيت در registry ويندوز رفته و كــار را

از آنجا شروع كرد.

١) به آدرس اشاره شده مي رويم. HKEY-LOCAL-MACHINE/Software/Microsoft /Windows/CurrentV ersion/Run

٢) در قاب سمت راست پنجره فايلي با نام patch.exe را جستجو كنيد اگر اين فايل

وجود ندارد هنوز كار پايان نيافته است زيرا اين احتمال مي رو دكه نام سرور هك

تغيير داده شده است .

٣) نام تمامي فايل هايي با پسوند exe كـه در قـاب سـمت راسـت آمـده را يادداشـت

كنيد سپس برنامه Explorerر ا باز كرده و به دايركتــوري وينـدوز برويـد اكنـون

نام تك تك فايل هاي اجرايي كه يادداشت كرده بوديد را جستجو كرده و ببينيــد

ــي تـوان بـه جـاي كه آيا حجم تقريبي آنها ٤٧٠ كيلو بايت است يا خير همچنين م

رفتن به موقعيت داير كتوري windows فايل هاي مورد نظر را از طريق ويژگــي

Search نيز جستجو كرد .

از آنجايي كه در نسخه NetBus pro 2.10 حجم ســرور هـك ٦٦٣ كيلـو بـايت اسـت

پس بايد به هر فايلي كه حجمي بين ٤٧٠-٦٦٣ كيلو بايت داشت مشكوك بود .

اگر هيچ يك ازفايل هاي اجرايي با پسوند exe اي كه يادداشت كرده بوديد ويژگي فوق

را نداشته در اينصــورت كـامپيوتر عـاري از سـرور NetBus اسـت . امـا اگـر فـايلي را بـا

28

NetBus ــد در ايـن صـورت ايـن فـايل همـان سـرور هـك مشخصات مذكور پيدا كردي

خواهد بود كه بايد آنرا از روي كامپيوتر پاك كرد .

٤) با كليك بر روي گزينه Windows Explorer كه در منوي شروع آمده پنجره

Explorer را باز كرده و به دايركتوري حاوي فايل سرور هك برويد سپس فايل

سرور هكي كه آن را پيدا كرده بوديدرا حذف كنيد.

ــار دهيـد تـا refershشـود ٥) به پنجره Registery Editor رفته و كليد F5 را فش

view كـه در منـويrefersh ميتوان گزينـه F5 مي توان بجاي فشار دادن كليد )

آمده را نيز كليك كرد) پس از انجــام عمـل تـازه سـازي (refersh) اكنـون بـايد

ورودي مربوط به فايلي كه آنرا حذف كرديم پاك شده باشد اگر چنيــن اسـت از

Registery Editor خارج شويد.

NetBus 2pro ويژگي هاي جديد نسخه

ــال آنكـه آخريـن روش فوق مربوط به پاك كردن نسخه هاي پيشين NetBusا ست و ح

NBSur.exe نام دارد از سرور هكــي بـه نـام NetBus 2pro كه Trojan نسخه اين

استفاده مي كند كه حدود ٥٩٩ كيلو بايت حجم دارد همچنين براي پاك كردن اين نسخه

جديد از روي كامپيوتر بايد به موقعيت زير در Registery برويم . HKEY-LOCAL-MACHINE/Software/Microsoft /Windows/CurrentV ersion/Run

رفته و در قاب ســمت راسـت اگـر سـرور روي كـامپيوتر نصـب شـده باشـد فـايلي بـا نـام

NBSVB.EXE مشاهده مي شودكه بايد آن را پاك كرد .

29

Back Orifice آشنايي با Back Orifice (رخنه پشتي)

اين نرم افزار توسط گروهي كه خود را The Cult of the Dead Cow مـي نـامند

ــد و در سـال برنامه ريزي شده در سال ١٩٩٨ براي استفاده همگان در اينتر نت پخش گردي

ــد قصـد ايـن ١٩٩٩ در كنفرانس DefCon7 كه در الس وگاس برگزار شد معرفي گردي

گروه در طراحي Back Orificeكه اصطالحاً BO نيز ناميده مي شود آشــكار سـاختن

خالء امنيتي سيستم عاملي نظير ويندوز از شركت مايكرو سافت ا ست .

ــرم افـزاري متعـدد و نسخه اوليه BO كه درسال ١٩٩٨ ارائه شده بود گذشته از اشكاالت ن

ــرم قابليتهاي كم فقط بر روي windows قابل اجرا بود اين گروه بعدًا نسخه2000 اين ن

ـــــــــزار مديريــــــــت و نظــــــــارت از راه دور افـــــــزار را تحـــــــت عنـــــــوان اب

ــه صـورت رايگـان و بـه همـراه Remote Administration and Control-tool ب

كدهـاي آزاد برنامـه رسـماً عرضـه كردنـد قابليتـهاي ويـژه و انعطـاف پذيـري بسـيار زيــاد

BO2k را به ابزاري تبديل كرده كه واقعاً مي توان از آن به منظور “مديريت از راه دور“و

ــوء اسـتفاده گسـترده نظارت بر كاربران و ماشينها استفاده كرد ولي پيشينه آن و همچنين س

اي كه از آن مي شود باعث شده است تا تمام ويروس يا بها آن را به عنوان يك نــرم افـزار

مخرب و مضر بشناسند و ضمن جستجوي آن تالش كنند تا به طــور كـامل از روي ماشـين

ريشه كن شود اعتراض اين گروه به جائي نرسيد وفشار بر روي آنها باعث گرديد كه بعــد

ــه آمريكـا سـايت آنـها www.bo2k.com نـيز بسـته شـود از حمله ١١ سمپامبر ٢٠٠١ ب

ــتييبان آن ( براي استفاده از اين نرم افزار مي توان با جستجو در google از سايت هاي پش

در اروپا، برزيل، روسيه و هند استفاده كرد ).

30

اسـتداالل ايـن گـروه در مفيـد بـودن BO2K آن بـــود كــه چــرا نــرم افزارهــايي مثــل

Pc Anywhere يا Control IT كه نرم افزارهاي تجاري و مجاز هستند و عملكــردي

مشابه با BO2K دارند مضر و مخرب شناخته نمي شوند و قــانون از فـروش آنـها حمـايت

ــر مخـرب و مي كند در حالي كه در BO2K با همين قابليتها و حتي بهتر و قابل انعطاف ت

ــم كـدآن آزاد و بـاز مضر شناخته شده و با آن مبارزه مي شود درحالي كه هم رايگان و ه

ــها بـه نتيجـه اي نرسـيد و Bo2K هنـوز در فهرسـت ابزارهـاي است به هرحال استدالل آن

آلوده و مخرب ويروس ياب ها قرار دارد و با آن مبارزه مي شود .

ــايل اجرايـي سـرور هكـي كـه بـايد همانند بسياري از Trojan ها Back Orifice هم ف

برروي كامپيوتر قرباني نصب شــود در نسـخه BO2K در حـالت پيـش گزيـده ايـن فـايل

UMGR32.EXE نام دارد( حجم سرورهاي هك مختلف BO حدود ١٢٢ كيلو بايت

است) همچنيــن فـايل اجرايـي Client درنسـخه BO2K نـيز BO2KGUI.EXE نـام

دارد .

Back Orifice هــم همچـون NetBus اغلـب بـه بيشـتر بازيـهاي رايگـان، فـايل هـاي

ــده و پـس موزيك از نوع MP3 ، عكس هاي زيباي رايگان بر روي اينترنت پيوند زده ش

ــود بـر جـاي از اجرا كردن فايل اصلي به طور كامالً مخفي و پنهاني بدون اينكه اثري از خ

بگذارند بر روي كامپيوتر قرباني نصب مي شوند.

ــرپورتـي را بـر روي كـامپيوتر دارد همچنين از آنجايي كه BO قابليت استفاده كردن از ه

ــب ديوارهـاي آتـش را ضريـب (حتي پورتهاي ftp,http) بنابراين به راحتي مي تواند اغل

داده و ازآن ها گذر كنند .

31

Back Orifice 2000 قابليتهاي

ــايش پنجـره هـاي • گزينه Create Dialog Box يا امكان ايجاد و نم

محاورهاي (Dialog Box) بر روي ماشين قرباني: با توجه به آنكه قرباني

از وجود سرويس دهنده BO2k روي ماشينش مطلــع نيسـت لـذا نفـوذ گـر مـي

ــره محـاوره اي روي ماشـين او ايجـاد كـرده و پيغامـهاي تواند از راه دور يك پنج

دروغين و جعلي روي آن درج كند .مثالً ا زاو بخواهد برخي از اطالعــات كليـدي

مثل User ID با كلمه عبور خود را وارد كند معموالً ايجاد و نمايش چنين پنجره

هايي بر روي ماشين قرباني او را گمــراه مـي كنـد و احتمـاالً او در پاسـخ بـه پيغـام

درون پنجره اطالعات خواسته شــده را وارد خواهـد كـرد چـرا كـه در ذهـن اكـثر

ــه هـر چـه رايانـه از آنـها بخواهـد بـايد كاربران عادي اين نكته حك شده است ك

ــرقت اطالعـات يـك اطالعات كنند! در ادبيات نفوذ گران به چنين روشي براي س

ــر عليـه كاربر استفاده از روش هاي مهندسي اجتماعي و تكنيكهاي روان شناختي ب

قرباني اطالق مي شود .

ــت كليـه هـاي فشـار داده • گزينه log keystrokes ( توانايي اخذ و ثب

شده توسط كاربر) : برنامه سرويس دهنــده BO2K قـادر اسـت تحـت فرمـان

نفوذگر تمام اطالعاتي را كه كاربر از طريق صفحه كليد تايپ مــي كنـد .در يـك

فايل محلي درج نمايد ( اين اطالعات به همراه نام پنجــره اي كـه اطالعـات در آن

درج شده در فايل ذخيره مي شود) هرگاه نفوذ گر اراده كند مي تواند اين فــايل را

دريافت كرده و درون آن به دنبال اطالعات كليدي مثل كلمات عبور گردد.

32

BO2K سـرويس دهنــده : List detailed system in format on •

ــه اطالعاتي را از ماشين قرباني شامل نوع و شماره نسخه سيستم عامل ، حجم حافظ

موجود نوع CPU ، تعداد و فضاي پارتيشن هاي ديسك سخت به نفوذ گر عرضه

مي كند .

• Gather password : ســرويس دهنـده BO2K قـادر اسـت در كـل سيسـتم بـه

دنبال كلمات عبور ارتباطات تلفي (Dial up) و كوكي هـا بگـردد و بـه صـورت

خود كار آنها راجع آوري كند و براي نفوذ گر ارسال كند خطرنــاكترين وضعيـت

(Administration level) زماني است كه قرباني داراي باالترين سطح مجوز

ــانك اطالعـاتي SAM را بـراي نفـوذگـر بوده باشد در اين حالت BO2K كل ب

ـــات عبــور ارسـال مـي كنـد او بـا دريـافت ايـن بـانك اطالعـاتي كـه در آن كلم

ومشخصات كاربران به صورت رمز ذخيره شده ســعي در بـيرون كشـيدن كلمـات

عبور مي نمايد براي اين كار از اصول رمز شكني كلمات عبور بهره مي گــيرد و بـا

استفاده از ابزار Lopht Crack آنها را مي شكند .

Renome ,Delete ,Search or Compress ony file on the system •ــامل بررسـي و BO2K : View,Copy تمام عمليات الزم براي مديريت فايل ، ش

ــرده سـازي فـايل را بـر روي ديدن محتواي فايل،حذف،كپي و تغيير نام فايل يا فش

ــرط آنكـه مشـخص قربـاني چنيـن مجوزهـايي را ماشين قرباني انجام مي دهد به ش

داشته باشد قابليت فشرده ســازي BO2K نشـان مـي دهـد كـه پيـادهكنندگـان آن

زيركانه به اين نكته دقت داشتند كه يك نفوذگر مايل است از راه دور فايل هــا را

به صورت فشرده شده انتقال بدهد تا بر سرعت انتقال بيفرايد .

33

ــه • تغيـير در Registry Setting : فـايل هـاي رجيسـتري فـايل هـايي هسـتند ك

ــده را پيكربندي سيستم عامل ، نرم افزار هاي كاربردي و تنظيمات هر سرويس دهن

در محيط ويندوز تعيين مي كنند سرويس دهنده BO2K اين امكان را به نفوذ گر

مي دهد تا بتواند از راه دور پيكر بندي يك سيستم را به شكل دلخواه تغيير دهد .

ــده BO2K مـي توانـد فهرسـت پروسـه • عمليات روي پروسه ها: سرويس دهن

ــر قـرار هاي در حال اجرا روي ماشين قرباني را به دست آورده و در اختيار نفوذ گ

(kill process)ــبرد بدهد سپس به دلخواه او هر يك از اين پروسه ها را از بين ب

يا پروسه جديدي را اجرا و توليد كند .

ــه ماشـين قربـاني • تغيير ميسر بسته ها: BO2K قادر است از تمام بسته هائي كه ب

ــد بديـن نحـو ميرسد يك نسخه توليد كرده و آنرا براي ماشين نفوذ گر ارسال كن

نفوذگر قادر به استراق سمع تمام داده هاي قرباني است .

• تغيير مسير برنامه كــاربردي: بـا ايـن قـابليت ،BO2K قـادر اسـت هـر برنامـه

كاربردي را بر روي ماشين قرباني قرباني اجرا كند تا به يك شــماره پـورت تعييـن

Net Cat ــا شده توسط نفوذ گر گوش بدهد بعنوان مثال او قادر است Telent ي

را براي گوش دادن به يك شماره پورت روي ماشين قرباني اجرا نمايد .

• كنترل ابزارهاي چند رسانه اي : با استفاده از BO2K نفوذ گر قــادر اسـت

به طور همزمان جريان تصاوير لحظه به لحظه صفحه نمايش قربــاني را تماشـا كنـد

در ضمن حركت مكان نماي مــوس و فشـار دكمـه هـاي صفحـه كليـد درا تحـت

نظارت خواهد داشت البته اين قابليتهاي BO2K از طريق نصب يك plug-in به

34

نام BOPeep در اختيار او قرار مي گيرد plug-in هاي ديگري هم هستند كه بــا

استفاده از آنها BO2K قادر است دوربين قرباني را به كار گيرد و تصــاوير آن را

براي نفوذ گر ارسال نمايد .

ــهاي بسـيار تكنيكـي BO2K آن اسـت • HTTP File Server : يكي از قابليت

كه مي تواند ماشين قرباني را تبديل به يك سرويس دهنــده سـاده http نمـايد لـذا

ــا اسـتفاده از نفوذگر بدون آنكه نياز به هيچ نرم افزار خاصي داشته باشد مي تواند ب

ــايي را از ماشـين قربـاني بـر روي ماشـين يك مرورگر عادي(Browser) فايل ه

خود منتقل نمايد.

• در دسـت گرفتـن مديريـت ويـژگـي اشـتراك فـايل و چـــاپگــر

(file and print sharing) : در صورت فعال كردن اين ويژگي حتــي بـا پـاك

ــه تمـامي محتويـات كردن BO2K از روي كامپيوتر هم هكر قادر خواهد بود تا ب

درايوهاي كامپيوتر قرباني دسترسي پيدا كند .

• قابليت توسعه عملكرها و قابليتهاي ســرور هـك بـا اضافـه كـردن بـر

ــاء نصـب و يـا از نصـب خـارج plog-in ها را راه دور و قابليت ارتق

كردن BO2K از راه دور

١DNS قابليت نمايان ساختن •

١ DNS مخفف Domain Name System است سيستمي آه به ميزبانهاي موجود در اينترنت آدرس هاي نام

حوزه و آدرسهاي IP مربوط را اختصاص ميدهد. DNS مخفف Domain Name System است ، برنامه آمكي اينترنت آه سيستم نامگذاري حوزه را پپاده سازي

ميآند هاي IP مربوط را اختصاص ميدهد.

35

• مشخصات ديگر BO2K : سرويس دهنده BO2K اين قابليت را دارد كــه بـه

ــه اي صورت كامالً مخفي و بدون هيچ عالمتي روي ماشين قرباني اجرا شود بگون

windows ـــرا بــروي كـه حتـي نـام آن در فهرسـت پروسـه هـاي در حـال اج

NT/2000 ظـاهر نخواهـد شـــد بديــن معنــا كــه اگــر قربــاني بــا فشــار دادن

Ctrl+Alt+Del گزينه Task/Porcessر ا انتخاب كند هيچ اثري از ســرويس

دهنده BO2K در اين فهرســت نخواهـد ديـد ايـن مشـخصه كمـك مـي كنـد تـا

ــاني ادامـه داشـته فعاليت اين اسب تراوا براي مدت هاي طوالني بر روي ماشين قرب

باشد و دسترسي بلند مدتي براي نفوذگر فراهم شود .

• BO2K : Installation wizard بــه همـراه يـك ويـزاد نصـب بسـيار سـاده

وقوي ارائه ميشود و به استفاده كنندگان اين امكان را مي دهد تا در يك محــاوره

ساده و گــام بـه گـام BO2K را پيكـر بنـدي نمـايد شـماره پـورت و نـوع پـورت

(UDPيا TCP) را تنظيم كرده و يك كلمه عبور براي آن تعيين كند كلمه عبور

بدان علت الزم است كه هرگاه سرويس دهنده BO2K روي ماشــيني نصـب شـد

ــود از راه دور بـا آن ارتبـاط برقراركـرده و اهـداف خـود را هر كس قادر خواهد ب

دنبال كند در حالي كه با تنظيم كلمه عبــور حـق بـهره بـرداري از سـرويس دهنـده

ــه موفـق شـده آن را روي ماشـين قربـاني BO2K در انحصار كسي خواهد بود ك

نصب كند .

بر خالف بسياري از اسب هاي تراوا BO2K هيچ شماره پــورت پيـش فرضـي را انتخـاب

Back Orifice نكرده و حتماً بايد در هنگام نصب تعيين شود ( در حالي كه نسخه قبلي

36

به طور پيش فرض از پورت UDP 31337 استفاده كرد) عدم تعييــن يـك پـورت پيـش

فرض براي BO2K باعث مي شود تا نتوان از طريق پويش پورتهاي مشــخص حضـور آن

را در ماشين قرباني كشف كرد( جستجوي تمام ٦٥٥٣٥ پورت بر روي يك ماشين وقتگــير

است و معموالً انجام نمي شود لذا با انتخاب يك شماره پورت تصادفي از بين انبوه شــماره

ها ، BO2K مخفي خواهد ماند).

: Active X از طريق كنترل هاي BO2K آلوده شدن ماشين ها به

ــده و كنترل هاي Active X تكنولوژي خاصي هستند كه توسط مايكرو سافت ا بداع ش

به منظور مبادله كدهاي اجرايي بين سرويس دهنده وب و مرورگر كاربر نوشــته مـي شـود

در حقيقت Active X حاصل رقابت شركت مايكرو سافت با شركت ســان بـود شـركت

ــوان كدهـاي اجرايـي از سـرويس سان قبل از آن اپلتهاي جاوا را ابداع كرده بود كه به عن

دهنده وب ارسال و در محيطهاي مرورگر اجرا مي شوند البته سان در اپلتهاي جــاوا اصـول

امنيتي را رعايت كرده است به نحوي كه هيچ اپلتي قادر نيست بــه سيسـتم فـايل دسترسـي

Active X داشته باشد ، فايلي را بخواند .بنويسد يا تغيير دهد مايكرو سافت كنترل هــاي

را براي اجرا در محيط مروگر بگونه اي ارائه كرد كه تمام قابليتهاي يك برنامه معمولــي را

داشته باشد يعني از طريق ارسال كنترل Active X هر كاري مي توان روي ماشين كــاربر

ــظ امنيـت مـايكرو سـافت كنـترل هـاي Active X رابـا امضـاي انجام داد البته براي حف

ــر ديجيتالي خاصي كه Microsoft AathenticodeTM نام دارد عرضه كرد و مرور گ

قبل از اجراي يك كنــترل Active X آن را احـراز هـويت مـي كنـد و در صورتـي كـه

سالمت آن تائيد شد آن را اجرا كند بسياري از كاربران به دليــل مزاحتمـهاي مكـرري كـه

37

مرورگر در هنگام تائيد واحراز هويت اين كدهاي اجرايي بوجود مــي آورد در مـرور گـر

خود گزينه بررسي هويت كنترلهاي Activex را غير فعال كرده اند كه بسيار خطر نــاك

است چرا كه يك كنترل Activex مي تواند آلوده به يك ســرويس دهنـده اسـب تـراوا

باشد و با اجرا در مرورگر قرباني سريعاً نصب خواهد شد .

پاك كردن Back Orifice از روي يك كامپيوتر

از آنجايي كه BO هم مانند Net Bus 2.0pro در Registry ويندوز قسمت: HKEY-LOCALMACHINE/Software/Microsoft/Windows/CurrentVersion/RunSerices

ــه و را مورد حمله قرار مي دهد بنا براين ابتدا بايد به اين موقعيت در registry ويندوز رفت

كار را از آنجا شروع كرد در اين قسمت به پاك كردن BO2K مي پردازيم .

ــه قسـمت آدرس مـورد نظـر در Registry رفتيـد در قـاب سـمت (١) وقتي ب

راست پنجره به دنبال فايلي بــه نـام exe . بگرديـد ( ايـن فـايل اسـم نـدارد و فقـط

umger32.exe بايد به دنبال فايلي به نــام BO2K دارد) در نسخه .exe پسوند

گشت .

اگر اين فايل بر روي كامپيوترتان وجود دارد براي ادامه كار به مرحله ٣ برويد.

(٢) در صورتيكه فايلي با نام exe. يا umge 32.exe در قاب سمت راســت

ــامي فـايل هـاي بـا پسـوند exe اي را كـه در ايـن قـاب آمـده پيدا نكرديد نام تم

ــر يادداشـت كـرده سـپس برنامـه windows Explorer را بـاز كـرده و بـه داي

كتوري اصلي ويندوز (windows/system) برويد اكنون تك تك فايل هــاي

اجرايي با پسوند exe اي كه يادداشت كــرده بوديـد را جسـتجو كـرده و ببينيدكـه

38

ــايت اسـت اگـر فـايلي رابـا ايـن حجم تقريبي كداميك از آنها حدودًا ١٢٣ كيلو ب

مشخصات يافتيد به احتمال زياد اين همان فايل سرور هك BO است .

(٣) براي پاك كردن اين فايل يا هر فايلي با نام ديگري كه همين مشخصات را

دارد و آن را پيدا كرده ايد مراحل زير را انجام دهيد .

١- در قاب سمت راست registry ويندوز بر روي ورودي حاوي فايل اجرايي سرور

هك كليك كرده و آن رابازدن دكمه delete از registry حذف كنيد و سپس

از محيط registry خاج شده و كامپيوتر را دوباره راه اندازي كنيد .

٢- پس از شروع به كار ويندوز برنامه windows explorer را شــروع كـرده و بـه

دايركتوري اصلي windows /system وينــدوز بـر روي كـامپيوتر برويـد بعـد

فايل اجرايي سرور هك BO اي كه پيدا كرده بوديــد بـه همـراه فـايل ديگـري بـا

نامwindll.dll را حذف كنيد و سپس كامپييوتر را دوباره راه اندازي كنيد .

٣- اكنون سرور BO از روي كامپيوتر پاك شده است .

39

SubSeven

SubSeven آشنايي با

SubSeven (Sub7) توسط شخصي به نام Mobmanنوشته شد و تاكنون نسخه هاي

2.2b1,2.1Bonus,2.1.3Muie,2.1Gold,2.0,2.0,1.9b,1.9,1.8,1.7,1.6,1.5,1.4,1.3,1.2,1.1,1.0 از ايــن

Trojan معرفي شده اند .

ــر روي خطرنـاكترين نسـخه ايـن Trojan تـا ايـن لحظـه SubSeven 2.2 اسـت كـه ب

نسخههاي ويندوز ٩٨،٩٥،NT,ME و٢٠٠٠ بخوبي كار مي كند .

همچون بسياري از SubSeven ,Trojan هم فايل اجرايي سرور هكي دار دكه بـر روي

كامپيوتر قرباني نصب مي شود . اين فايل هر اسمي مــي توانـد داشـته باشـد، امـا در حـالت

ــــا پيــش گزيــده يكــي از اســامي server.exe ,rundll16.exe,systray.dll وي

Task-Bar.exe را داشته وحدودًا٣٢٨ KB هم حجم دارد . همچنين عالوه بر فايلي كـه

در دايركتوري اصلي ويندوز قرار مي گيرد، فايل دومــي نـيز بـا هـر اسـم دلخواهـي يـا در

favpnmcfee.dll,mvokh-: حــــالت پيــــش گزيــــده بــــا يكــــــي از اســـــامي

ــر كتـوري dll,nodll.exe.32 يا watching.dll و حجم تقريبي KB٣٥ در داخل داي

/Windows/System قرار خواهد گرفت

40

SubSeven قابليتهاي

امروزه SubSeven يكي از توانمندترين Trojan هاي دنياي وب به حســاب مـي آيـد ،

زيرا قابليت انجام كارهاي فراواني را دارد كه ما در ادامه به تعدادي از آنها اشاره كردهايم:

ــامپيوتر • تغيـير دادن درجـه وضـوح (resolution) صفحـه نمـايش ك

قرباني

ــق دريـافت يـك • كسب اطالع از وضعيت Online فرد قرباني از طري

ICQ يا پيامي در (E-mail) نامه پست الكترونيك

• مشاهده تمامي فرآيندهايي كه بر روي كامپيوتر درحال اجرا هستند (حتي اگر

فرايند مخفي اجرا شده باشد هم فاش خواهد شد).

• چاپ كردن متن يا فايلي بر روي چاپگر كامپيوتر قرباني

• ويرايش registry ويندوز

• برخورداري از ويژگي جستجوي فايلهاي مورد نظر بر روي كامپيوتر قرباني

LED ــــــــن كـــــــردن هـــــــر يـــــــك از • خــــــاموش و روش

هايNumLock,CapsLock,ScrollLock بر روي صفحه كليد

• قطع كردن اتصال فرد قرباني به اينترنت

• امكان مشاهده آنچه بر روي مانيتور كامپيوتر قرباني به نمايش در ميآيد .

• وارون كردن ،دوران دادن و آينه اي ساختن محتويات صفحه مانيتور كامپيوتر

قرباني

• پنهان و نهان ساختن آيكن هاي موجود بر روي دسك تاپ كامپيوتر قرباني

• استفاده از سرور ftp براي uplosd ,download كردن كامپيوتر قرباني

41

ــاني و گـپ زدن • باز كردن كادر متني بر روي دسك تاپ ويندوز كامپيوتر قرب

اجباري با فرد قرباني

Ctrl+Alt+Del فعال يا غير فعال ساختن عملكرد دكمه هاي •

ــك تـاپ وينـدوز • تايپ كردن در داخل كادرها و پنجره هايي كه بر روي دس

كامپيوتر قرباني ظاهر مي شوند .

ــه صفحـه وب خـاصي • باز كردن پنجره مرور گر پيش گزيده كامپيوتر و رفتن ب

كه مدنظر هكر است.

• پنهان و نهان ساختن دكمه شروع و نوار وظيفه دســك تـاپ وينـدوز كـامپيوتر

قرباني

• از كار انداختن صفحه كليد كامپيوتر قرباني بطور كامل

• ضبط كردن صدا از طريق ميكروفن متصل به كامپيوتر قرباني و بعد پخش آن

• روشن و خاموش كردن بلند گوي كامپيوتر قرباني

• شروع بكار كردن مجدد (restart) ويندوز

ــامپيوتر قربـاني و مشـاهده آنچـه درمعـرض ديـد • روشن كردن webcam ك

دوربين قرار دارد.

CD-ROM باز كردن و بستن درب •

• اضافه كردن و كاستن به / از دنباله اشاره گر ماوس

• تعويض عملكر دكمه هاي چپ و راست ماوس متصل به كامپيوتر قرباني

• كار با پنجره هاي باز شده بر روي دسك تاپ كامپيوتر قرباني براي مثال:

42

بستم يك پنجره خاص،فعال يا غير فعال كردن يــك پنجـره، فعـال يـا غـير فعـال

كردن دكمه بستن (Close) يك پنجره، نهان يا پنهان ساختن يك پنجره خاص

• دريافت ليستي از تمامي درايوهاي موجود بر روي كامپيوتر قرباني

• خاموش و روشن كردن مانيتور كامپيوتر قرباني

ــام كـاربري، • دريافت اطالعاتي درباره كامپيوتر قرباني نظير: نسخه ويندوز،ن

نام شركت، درجه وضوح صفحه نمايش و غيره

• خواندن ضربه كليدهاي كامپيوتر قرباني چــه در وضعيـت Online و چـه

Offline حتي

ــامپيوتر • دريافت تمامي كلمات عبور (password) ذخيره شده بر روي ك

و حافظه نهان (cache) آن

شناسايي SubSeven بر روي يك كامپيوتر

براي شناسايي احتمالي نصب سرور هكرSubSeven بر روي كامپيوتر راهــهاي بسـياري

وجود دارد كه يكي از اساسي ترين آنها اجراي فرمان netstat -n درست پس از حضــور

كامپيوتر در اينترنت است .

از آنجـايي كـه SubSeven در حـالت پيـش گزيـد هـــاز پورتــهاي ٦٧١١،١٢٤٣و٦٧٧٦

ــي از هميـن پورتـهاي پيـش استفاده مي كند، بنابراين انتظار مي رود در صورتيكه هكر يك

ــان netstat -n درسـت گزيد هرا انتخاب كرده و آنرا تغيير نداده باشد شما با اجراي فرم

پس از حشور كامپيوتر قرباني در اينترنت جوابي به شكل زير دريافت كنيد.

43

Active Connections

Prot Local Addres Foreign Addres State

TCP dpc 16:1025 127.0.1:1242 TIME –WAST

TCP dpc16:1026 127.0.0.1.:1243 TIME –WAIT

ــورت ديگـري نـيز بـراي در نظر داشته باشيد كه سرو هك SubSeven مي تواند از هر پ

برقراري ارتباط با دنياي خارج استفاده كند .

پاك كردن SubSeven از روي يك كامپيوتر

بايد بدانيدكه سرور هك SubSeven فوق العــاده مـوزي اسـت و بـراي پيـدا كـردن آن

ــها عبـارتند گاهي الزمست كه به چهار موقعيت سر زده و همگي آنها را جستجو كنيد . اين

از :

موقعيت اول: فايل system.ini وسطر Shell در انست .

موقعيت دوم: فايل WIN.INI و سطرهاي =run=,load در آنست .

موقعيت سوم: در registry ويندوز در زير شاخه:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ RunServices/

است .

موقعيت چهارم : در registry ويندوز و در زير شاخه:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Run

است.

44

در مرحله اول فايلهاي WIN.INI ,SYSTEM.INI را وارسي كرده و مــورد بررسـي

قرار خواهيم داد . براي اين كار مراحل زير را دنبال كنيد:

١) از منوي شروع بر روي گزينه Run كليك كنيد تا كادر محــاوره اي Run ظـاهر

ــد Enter را بفشـاريد تـا پنجـره شود. سپس عبارت sysedit را تايپ كرده و كلي

System Configuration Editor به نمايش در آيد.

٢) بر روي پنجره SYSTEM.INI كليلك كنيد تا محتويات آن به نمايش در آيد .

Shell=Explorer.exe بـه سـطري كـه بـا عبــارت [boot] سـپس در قسـمت

شروع شده برويد.هيچ فايلي با پسوند exe ديگري نبايد در ادامه سطر فــوق آمـده

باشد. براي مثال اگر اين سطر بر روي كامپيوتر شما به شكل:

Shell=Explorer.exe Task-Bar.exe آمــده اســت . فــــايل exe دوم يعنـــي:

Task –Bar همان فايل اجراي سرور هك SubSevenا ست . در اينصورت شــما بـايد

فايل Task-Bar .exe را از اين سطر حـذف كـرده سـپس بـراي ذخـيره شـدن تغيـيرات

اعمالي ، در منوي File بر روي Save كليك كنيد.

ــن كـار مراحـل زيـر در ادامه نوبت مي رسد به بازبيني محتويات فايل WIN.INI براي اي

راد نبال كنيد:

45

WIN.INI اين بار بر روي پنجره Syste Configuration Editor ٣) در پنجره

كليك كنيد تــا محتويـات آن بـه نمـايش در آيـد. سـپس درقسـمت [windows] بـه دو

سطري كه با عبارات =load= , run شروع مي شوند دقت كنيد .

شما بايد هر فايل اجرايي كه در اين دو سطر آمــده انـد را تسـت كـرده و از عملكـرد آنـها

اطمينان حاصل كنيد. بايد تمامي فايلهاي مشكوكي كه در اين دو سطر آمده اند را وارسـي

كنيد . در صورتيكه مطمئن شديد فايلي همان سرو هم SubSeven است آنرا پاك كرده

و مجددًا از منوي File بر روي Save كليك كنيد تا تغييرات انجام گرفته ذخيره شوند .

در ادامه نوبت مي رسد به وارسي registery ويندوز، براي ايــن كـار مراحـل زيـرا دنبـال

كنيد:

HKEY_LOCAL-MACHINE ١-در قاب سمت چــپ بـر روي عالمـت كنـاري

ــير Software>Microsoft>Windows>Current Version>Run و كليك كرده، سپس در مس

Software>Microsoft>Windows>Current Version>Run Services رفتـه ، نـــهايتا در قــاب

systray.dll,rundll 16.exe,server.exe سمت راست به دنبال هر يك از فايلهاي

و يا Task-Bar.exe يا هر فايل ديگــري كـه احتمـاالً در مراحـل قبلـي وارسـي فايلـهاي

ــدا SYSTEM.INI,WIN.INI آنها را پيدا كرديد بگرديد . اگر فايلي با اين اسم را پي

كرديد همين حاال به مرحله ٣ برويد، اما اگر هيچيك از اين فايلها را نيافتيد بــاز هنـوز كـار

46

پايان نيافته ، زيرا اين احتمال هست كه فايل سرور هك خود را تغيير نام داده باشــد. هميـن

حاال اسم تمام فايلهايي كه با پسوند اجرايي exe آمده اند را يادداشت كنيد.

٢-برنامه Windows Explorer را اجرا كــرده، سـپس بـه دايركتـوري وينـدوز رفتـه و

تمامي فايلهايي كه يادداشت كرده بوديــد را جسـتجو كـرده و ببينيـد كـه آيـا حجـم آنـها

نزديك به KB٣٢٨ است يا خير .

همچنين به غير از فايلهايي كه يادداشت كرده بوديد يكبــار ديگـر ايـن دايركتـوري را بـه

ــد. اگـر فـايلي را بـا دنبال هر فايل ديگري كه حجمي در حدود KB٣٢٨ دارد وارسي كني

ــان فـايل سـرور هـك اسـت كـه بـايد آنـرا از اينجـا و اين خصوصيات پيدا كرديد اين هم

همچنين registry ويندوز پاك كنيد. براي اين كار ادامه كار را دنبال كنيد. اما اگر فايلي

ــاد ايـن كـامپيوتر عـاري از سـرور با مشخصات فوق الذكر پيدا نكرديد ديگر به احتمال زي

هك SubSevenا ست .

٣-نام فايل سرور هكي كه پيدا كردي درا داخل پنجره registry ويندوز انتخاب كنيد تا

هاي اليت شود، سپس با زدن كليد Delete بر روي صفحه كليد آنرا حذف كنيد.( بــراي

ــهايتاً از حـذف شـدن بـايد yes را در كـادر محـاوره اي كـه بـاز ميشـود انتخـاب كنيـد) ن

registry ويندوز خارج شده و كامپيوتر خود را راه اندازي مجدد (restart) كنيد .

٤- پس از راه اندازي مجدد(restart) كامپيوتر بار ديگــر برنامـه Windows Explorer را

اجرا كرده و اين بار فايلهاي سرور هكي كه پيدا كرده بوديد را حذف (Delete) كنيد.

47

SubSeven كنيد تا سرور هك (restart) ٥- يكبار ديگر كامپيوتر را راه اندازي مجدد

بطور كامل از روي كامپيوترتان حذف شود.

ــاي مشـهور بـه اتمـام رسـيد، نوبـت مـي رسـد بـه اكنون كه بحث درباره انواع Trojan ه

Trojan اي با نام SubSevenكه موضوع اصلي بحــث اسـت . در ادامـه و در دو فصـل

بعدي بطور كامل كار كردن با فايلهاي اجرايي SubSevenر ا به شيوه اي عملي و گام به

گام مورد بررسي قرار خواهيم داد .

48

فصل چهارم

تنظيم سرور هك SUB7 و نصب آن بر روي كامپيوتر راه دور

موضوعات مورد بحث در اين فصل:

ــپس در اين فصل ما ابتدا چگونگي تنظيم سرور هك Sub7 را مورد بررسي قرار داده ، س

ــراي نصـب آن از راه دور بـر روي كـامپيوتر قربـاني معرفـي خواهيـم كـرد . روشهايي را ب

ــرد آخريـن نسـخه نسخهاي كه ما در اين فصل و فصل آتي راجع به آن صحبت خواهيم ك

اصلي Sub7 يعني : Sub7 2.2 اسـت . بـايد بدانيـد ايـن نسـخه از آنجـايي كـه زيـاد از

Sub7 روبرو است كه استفاده از بعضي ويژگيهاي (bugs) عمرش نميگذرد با باگهايي

را ناممكن مي سازد .

Sub7 2.2 همان گزينه هاي نسخه Sub7 2.2 خوشبختانه گزينه هاي موجود در نسخه

و يا نسخه هاي قديمي تر است و تنها رابط گرافيكي آن كمي منظم تر شده است . بنابراين

شما در صورتيكه مايل بوديد تا از نسخه بدون باگ Sub7(bug) استفاده كنيد مي توانيد

به سايت تحت آدرس www.sub7hacker.com مراجعه كنيد .

Sub7 تنظيم سرور هك

١) پس از download كردن فــايل zip شـده نسـخه Sub7 2.2 از روي سـايت و

خارج كردن آن از حالت فشرده و زيپ شده ، پوشه اي ايجاد مي شود كــه در آن

سه فايل اجرايي Sin.exe,Sub7.exe,Editserver .exe آمده اند .

49

ــد تـا كـادر محـاوره اي S7 select بـه ٢) بر روي Editserver دابل كليك كني

نمايش در آيد .

٣) پيشنهاد مي كنم كه هميشه بر روي عبارت run in normal mode كليـك

كنيد تا كادر محاوره اي S7 Editserver به نمايش در آيد .

اين كادر از ٨ برگه تشكيل شده كه در ستون سمت چپ كادر قرار گرفته اند .

٤) در حالت پيش گزيده محتويات برگه اول يعني:Server Setting بــه نمـايش در

مي آيد .

Server Setting Port برگه

ــود. در در اين بخش شماره پورتي كه بر روي كامپيوتر قرباني باز خواهد شد آورده مي ش

حالت پيش گزيده شماره اين پورت ٢٧٣٧٤ اســت . البتـه مـي توانيـت هـر شـماره پـورت

ديگري كه مايل بوديد تا از آن استفاده كنيد را در اين كادر متن تايپ كنيد.

Password

ــر در صورت تايپ كلمه عبوري(Password) د راين بخش ديگر استفاده از پورتي كه ب

روي كامپيوتر قرباني باز مي شود تنها محدود به كساني مي شود كه اين كلمه عبور را مــي

IP ــد تـا بـا اسـتفاده از برنامـه دانند. به عبارت ديگر اگر شخص ثالث يا هر هكري بخواه

ــاني مطلـع شـده واقـدام بـه اسـتفاده Scanner اي از باز بودن پورتي بر روي كامپيوتر قرب

ــادر بـه انجـام ايـن كـار نخواهـد بـود. در ازآن كند، هرگز تا وارد كردن كلمه عبور شما ق

50

حقيقت با اختصاص كلمه عبوري به يك پورت باز شده بر روي كامپيوتر قرباني ، شما مي

توانيد استفاده از آنرا براي خود انحصاري كنيد.

Re-enter Password

اگر در قسمت قبل در كادر متن جلويي عبارت Password كلمه عبوري را براي پورتــي

كه قرار است برروي كامپيوتر قرباني باز شود تايپ كرده باشيد، اكنــون يكبـار ديگـر بـايد

براي تاييد شدنش آنرا در كادر متن اين قسمت نيز تايپ كنيد.

Victim name

در كادر متن اين قسمت بايد نامي كه مايل هستيد تا بر روي كامپيوتر فرد قرباني بگذاريــد

ــه معنـي قربـاني مـن) را وارد كنيد. برحذر باشيد كه هميشه نبايد اسم را my vitamin (ب

انتخاب كنيد، بلكه توصيه مي شود تا در انتخاب اين نام كمي دقت كنيد تا تشــخيص فـرد

قرباني برايتان آسانتر شود. زيرا فرض كنيد كه مثــالً شـما كـامپيوتر ١٠ نفـر را هـك كـرده

ــي باشيد. حال اگر در زمانيكه در وضعيت Online به سر مي بريد پيامي دريافت كنيد مبن

بر اينكه يكي از قربانيان شما Online شده ، تنها اگر براي هر ١٠ نفر نام درستي را تعيين

ــه منظـور چـه كرده باشيد قادر خواهيد بود تا آنها را از هم تفكيك كرده ومتوجه شويد ك

كسي است. اما اگر هر ١٠ نفر را My vitamin ناميده باشيد كه ديگر كار خيلي دشــوار

ــرد قربـاني اسـتفاده خواهد شد. من توصيه مي كنم كه براي نامگذاري هر كامپيوتر از نام ف

كنيد.

Protect Password

51

در كادر متن اين قسمت شما بايد كلمه عبوري را وارد كنيد كه هر كسي براي بروز كردن

(update) ودست كاري سرور هك بر روي كامپيوتر قرباني بايد آنــرا بدانـد. بـه عبـارت

ديگر اين كلمه عبوري (Password) كه انتخــاب مـي كنيـد قفلـي بـراي فـايلي اجرايـي

سرور هكــي اسـت كـه شـايد در آينـده مـايل باشـيد تـا از راه دور تنظيمـات آنـرا بـرروي

كامپيوتر قرباني تغيير دهيد.

Re-enter Password

اگر در قسمت قبل كلمه عبوري (password) را براي دسترسي به ســرور هـك بـر روي

كامپيوتر قرباني وتغيير دادن تنظيمات آن از راه دور در آينــده اي نزديـك انتخـاب كـرده

ــرا در كـادر متـن ايـن قسـمت باشيد، در اينصورت بايد براي تاييد شدن آن يكبار ديگر آن

تايپ كنيد.

Use random Port

در صورتيكه كادر عالمت كناري اين عبارت را كليك كرده وآنرا عالمت بزنيــد ، از ايـن

به بعد هر بار با Online شدن كامپيوتر قرباني وحضور آن در اينترنت به شــكلي تصـادفي

شماره پورتي انتخاب شده وبر روي كامپيوتر قرباني باز مي شــود. سـپس شـما بـا دريـافت

پيامي از طريق نامه پست الكترونيك (E-mail) يا يك پيام فوري در ICQ از اين شماره

پورت جديد ، نام كامپيوتر قرباني وشماره IP ي وي مطلع خواهيد شد.

Melt server after installation

52

در صورتيكه كادر عالمت كناري اين عبارت را كليك كرده وآنرا عالمت بزنيــد، پـس از

ــرا ونصـب شـدن آن بـر روي قرار دادن سرور هك بر روي كامپيوتر قرباني وبه محض اج

ــه كامپيوتر مذكور فايل سرور هم نيز ناپديد مي شود. بر حذر باشيد كه با انتخاب اين گزين

شايد فرد در زمان اجراي اين فايل وقتي با ناپديد شدن فايل مواجه مي شــود متوجـه مسـاله

ــاهي اوقـات بـه دليـل بـاگـهايي شود به خاطر داشته باشيد كه اين ويژگي در نسخه ٢و٢ گ

ــي كنـد ولـي نسـخه هـاي (bugs) كه در اين نسخه جديد وجود دارد به درستي عمل نم

١و٢ وما قبل آن به خوبي كار مي كند.

Wait for report

در صورتيكه كادر عالمت كناري اين عبارت را كليك كرده وآنرا عالمت بزنيد، پــس از

اجرا شدن سرور هك بر روي كامپيوتر قرباني ديگر سرور هك ناپديد نخواهد شــد. بلكـه

ناپديد شــدن فـايل مذكـور موكـول مـي شـود بـه زمانيكـه كـامپيوتر قربـاني يكبـار ديگـر

كامپيوترش را راه اندازي مجدد (restart) كند.

ــاني ديگـر پـس از يكبـارراه انـدازي انتخاب اين گزينه بسيار توصيه مي شود . زيرا فرد قرب

ــد داشـت . ايـن كـار مزايـاي فراوانـي دارد. يكـي كامپيوترش به فايل شما دسترسي نخواه

آنست كه ديگر احتمال هك شدن آسانتر كامپيوتر شما توسط فرد خبره اي كه در پشــت

كامپيوتر قرار گرفته پايين خواهد آمد .

53

Server filename

اين قسمت دو گزينه دارد كه از طريق آنها شما مي توانيد نام سرور هكي كه قرارســت بـر

روي كامپيوتر قرباني قرار گرفته و اجرا شود را تعيين كنيد .

Random filename

ــر روي درصورتيكه اين گزينه آنرا انتخاب كنيد. از اين به بعد پس از دابل كليك كردن ب

ــادفي اسـمي بـراي فايلـهاي اجرايـي هكـي كـه قرارسـت بـر روي سرور هك، به طور تص

كامپيوتر قرباني در دايركتوري خاصي قرار گــيرند انتخـاب ميشـود . انتخـاب ايـن گزينـه

پيشنهاد ميشود . زيرا از اين طريق اكثر ضد وسيروسها گمراه مي شوند !

Specify

در صورتيكه اين گزينه آنرا انتخاب كرده و بعد در كادر متن زيرين آنهم نام و پسوندي را

ــا نـام مـورد نظـر شـما بـر روي كـامپيوتر براي فايل سرور خود انتخاب كنيد، سرور هك ب

ــده فـايلي بـا اسـم srv32.exe انتـخاب شـده قرباني ذخيره مي شود . در حالت پيش گزي

است.

Startup methods برگه

از طريق اين برگه شما مي توانيــد تعييـن كنيـد كـه هـر بـار سـرور هـك چگونـه بـر روي

كامپيوتر قرباني شروع بكار كرده و اجرا شود .

54

Registry Run

در صورت كليك كردن بر روي دكمه كناري اين گزينه و انتخاب آن، از اين به بعد براي

هر بار شروع سرور هــك و فعـال شـدنش بـر روي كـامپيوتر قربـاني، از قسـمت Run در

Registry ويندوز استفاده خواهد شد .

Registry Run Services

در صورت كليك كردن بر روي دكمه كناري اين گزينه و انتخاب از اين به بعــدئ بـراي

Run ــر روي كـامپيوتر قربـاني، از قسـمت هربار شروع شدن سرور هك و فعال شدنش ب

ــه Services در Registry ويندوز استفاده خواهد شد . در حالت پيش گزيده اين گزين

انتخاب شده است .

Key name

در صورتيكه شما هر يك از دو گزينــه قبلـي مبنـي بـر شـروع شـدن سـرور هـك بـر روي

كامپيوتر قرباني از طريق Registry وينـدوز را انتخـاب كـرده باشـيد، اكنـون مـي توانيـد

registry ــام فـايل كليـدي كـه قـرار اسـت تـا سـرور هـك در دركادر متن اين قسمت ن

Run ــالت پيـش گزيـده نـام ويندوز كامپيوتر قرباني با آن ثبت شود را تعيين كنيد. در ح

DLL32 پيشنهاد مي شود .

Win.ini

در صورت كليك كردن بر روي دكمه كناري اين گزينه وانتخاب آن، از اين به بعد بــراي

هربار شروع شدن سرور هــك و فعـال شـدنش بـر روي كـامپيوتر قربـاني، از داخـل فـايل

55

ــخه هـاي وينـدوز ٩٨،٩٥ Win.ini ويندوز اقدام خواهد شد . اين ويژگي تنها بر روي نس

كار مي كند .

System.ini

در صورت كليك كردن بر روي دكمه كناري ايــن گزينـه و انتخـاب آن ، از ايـن بـه بعـد

ــايل براي هر بار شروع شدن سرور هك و فعال شدنش بر روي كامپيوتر قرباني، از داخل ف

ــن ويـژگـي تنـها بـر روي نسـخه هـاي وينـدوز system.ini ويندوز اقدام خواهد شد . اي

٩٨،٩٥ كار مي كند .

New method #1

در صورت كليك كردن بر روي دكمه كناري ايــن گزينـه و انتخـاب آن ، از ايـن بـه بعـد

براي هر بار شروع شدن سرور هك و فعال شدنش بر روي كامپيوتر قرباني، از دو قســمت

در registry ويندوز اقدام خواهد شد، اينها عبارتند از :

HKEY_CLASSES-ROOT/exefile/shell/open/command

و

HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command

كـه در ايـن روش فـايلي بـه عنـوان RUN.EXE مسـئوليت اجـراي سـرور هـــك را در

صورتيكـه قبـال در حافظـه بـارگـذاري شـده باشـد بـر عـهده دارد . همچنيـن خـود فـــايل

RUN.EXE نيز هر بار كه برنامه كاربردي درويندوز اجرا شود شروع به كار ميكند .

56

New method #2[explorer]

در صورت كليك كردن بر روي دكمه كناري اين گزينه و انتخاب آن، از اين به بعد براي

هر بار شروع شدن سرورهك و فعال شدنش بر روي كامپيوتر قرباني از قسمت:

HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Explorer

Bars/ {C4EE31F3-4768-11D2-BE5C00A0C9A83DA1}/FilesNamed MR

ــــا فـــايلي در موقعيـــت در registry وبنــدوز اقــدام خواهــد شــد. همچنيــن شــما ب

C:/Explorer.exe نيز روبرو خواهيد بود .

Newmethod#3marklord

ــه و انتخـاب آن، از ايـن بـه بعـد در صورت كليك كردن بر روي دكمه كناري اين گزين

براي هر بار شروع شدن سرور هــك و فعـال شـدنش بـر روي كـامپيوتر قربـاني از قسـمت

HKEY_LOCAL_MACHINE/Software/Microsoft/ActiveSetup/Installed Components در

registry ويندوز اقدام مي شود . از آنجايي كه كشف اين روش بسيار دشــوارتر ازروش

بكار گيري win.ini,system.ini است، بنابراين بسيار مورد استفاده Trojan هــا قـرار

ــروع مي گيرد .در اين روش اجزاي نصب شده Activex براي اجراي برنامه ها و زمان ش

بكار ويندوز مورد استفاده قرار مي گيرند .

notifications برگه

از طريق گزينه هاي موجود در اين برگــه شـما مـي توانيـد نحـوه كسـب خـبر ازوضعيـت

online كامپيوتر قرباني را تعيين كنيد. در نظر داشته باشيد كه شما در پيامي كــه دريـافت

57

ــم تـا در كجـا بـايد مي كنيد عالوه بر نام كامپيوتر قرباني (victim name) كه قبال گفتي

آنرا تعيين كنيد، همچنين آدرس IP و شماره پورت باز شده فعلي بر روي كامپيوتر قرباني

را هم دريافت كرد .

ــاني hasan ، پـورت بـاز شـده بـر روي كـامپيوتر وي نـيز براي مثال فرض كنيدكه نام قرب

٢٧٣٧٤ و آدرس IP ي نيز ٣٧,٥٢,٢١٧,٢١٣ باشد. در اينصورت اگــر سـرور هـك نصـب

ــه شـما پيـامي مطـابق شده بر روي كامپيوتر وي Sub Seven2.2 باشد، انتظار مي رودك

شكل زير دريافت كنيد .

Victim hasan is online with ip 213.217.52.37 on port 27374.Server :2.2

Add ICQ notify

اگر مايل به كسب خبر از طريق پيام رســان ICQ(I Seek You) هسـتيد بـرروي ايـن

ــهايتاok را كليـك كنيـد تـا آدرس دكمه كليك كنيد. شماره ICQ خود را وارد كرده، ن

جديد شما به ليست Current notifications اضافه كرد .

Add e-mail notify

اگر مايل به كسب خبر از طريق نامه پســت الكـترونيك (E-mail) هسـتيد. بـر روي ايـن

دكمه كليك كنيد و آدرس پســت الكـترونيك خـود را وارد كـرده سـپس ok را كليـك

Current notifications شما بــه ليسـت (E-mail) كنيد تا درس پست الكترونيك

اضافه شود . شما هر زمان مي توانيد بــادابل كليـك كـردن بـر روي ورودي آدرس پسـت

الكترونيك خود،آنرا از ليست Current notifications حذف كنيد .

58

Add IRC notify

ــتيد، بـر روي ايـن اگر مايل به كسب خبر از طريق IRC(Internet Relay Chat) هس

ــد دكمه كليك كنيد و پس از وارد كردن اطالعات خواسته شده نهايتا ok را كليك كني

تا مشخصات IRC ي شما به ليست Current notifications اضافه شود .

Current آنـرا از ليسـت IRC شـما مـي توانيـد بـادابل كليـك كـردن بـر روي ورودي

notifications حذف كنيد .

Add SIN notify

اگر مايل به كسب خبر از طريق برنامه SIN( Static IP Notification) هسـتيد بـر

(space) و شماره پورت مورد نظرتانرا با يك فاصله IP روي دكمه كليك كنيد .آدرس

ــد تـا مشـخصات SIN شـما بـه ليسـت از هم تايپ كرده ، نهايتا دكمه ok را كليك كني

Current notifications اضافه شود .

در اينجا توضيحي راجع به SIN مي دهم تا بيشــتر بـا آن آشـنا شـويد. همـانطور كـه قبـال

ــزار SubSeven2.2 از اشاره شده شما پس از download كردن بسته زيپ شده نرم اف

روي سايت تحــت آدرس: www.sub7hacker.com و خـارج كـردن آن از حـالت

ــر خواهيـد رسـيد . در ايـن پنجـره فـايل اجرايـي بـا نـام زيپ شده، نهايتا به پنجره مورد نظ

ــر روي صفحـه sin.exe آمده است . بر روي آن دابل كليك كنيد تا پنجره برنامه SIN ب

مانيتور ظاهر شود .

59

اگر شماره پورتي كه براي سرور هــك نصـب شـده بـر روي كـامپيوتر قربـاني خـود وارد

ــه در قسـمت SIN وارد كرديـد يكسـان باشـند ، در كرده ايد با شماره پورت SIN اي ك

ــه سـرور مـورد اينصورت به محض وارد شدن كامپيوتر قرباني به اينتر نت ،آيكن مربوط ب

نظر در ليست برنامه SIN به رنگ سبز در خواهد آمد . اما اگر كامپيوتر مذكور در حـالت

offline باشد، آيكن آن به رنگ قرمز در آمده و پــس از گذشـت ٢ دقيقـه نـيز از ليسـت

حذف خواهد شد. شما هر زمان با دابل كليك كردن بر روي ورودي SIN مي توانيد آنرا

از ليست Current notifications حذف كنيد .

Add CGI notify

اگر مايل به كسب خير از طريق CGI(Common Gateway Interface) هسـتيد،

(Uniform Resource Locator)URL بر روي اين دكمــه كليـك كنيـد. آدرس

سايتي كه قرارست تا اطالعات بــه آن فرسـتاده شـود، را وارد كـرده ، نـهايتاً دكمـه ok را

كليك كنيد تا مشخصات CGI ي شما به ليست Current notifications اضافه شود

ــرده .حتماً تابحال در اينترنت با سايتهايي روبرو شده ايد كه اطالعاتي را از شما دريافت ك

ــد .مثـال در زمـان ثبـت نـام كـردن و دريـافت يـك آدرس پسـت و بعد آنرا آناليز مي كنن

on line شما مجبور به پر كردن فرمهايي به شكل (yahoo)الكترونيك رايگان در ياهو

CGIــها همـه از ويـژگيـهايي مي شويدكه بطور همزمان مورد پردازش قرار مي گيرند . اين

60

هستند . در اينجا هم در حقيقت شما با راه اندازي يك CGI اطالعــات كـاربر را دريـافت

كرده وآنها را براي پردازش ذخيره مي كنيد .

More info

با كليك كردن بر روي اين دكمه كادري ظاهر مي شــود كـه در آن اطالعـات راهنمـايي

آمده است .

binded files برگه

ــه فـايل اجرايـي سـرور هـك خـود از طريق اين برگه شما مي توانيد هر فايل ديگري را ب

ــافت سـرور هـك نشـود پيوند (bind) بزنيد تا از طريق فرد قرباني ديگر هرگز متوجه دري

ــيقي بـا پسـوند wav يـا mp3 را بـه .براي مثال شما مي توانيد قطعه كوچكي ا زيك موس

سرور هك خود پيوند زده (bind) و براي فرد قرباني بفرستيد تا به محض اجرا شدن فايل

سرور هك بر روي كامپيوتر قرباني عالوه بر اجرا شدن سرو هك ، بطور همزمان موزيكي

نيز پخش شود . در اين صورت ديگر فرد قرباني هر گز بويي از مسئله نخواهد برد.

Add executed file

ــا عنـوان open بـاز مـي شـو دكـه شـما از با كليك كردن بر روي اين دكمه پنجره اي ب

طريق آن مي توانيد فايلي را كه مايل هستيد به فايل سرور هك پيوند بزنيد (bind) راپيـدا

كنيد . پس از انتخاب فايل و كليك كردن بر روي دكمه open، نهايتاً فايل شما درليســت

ظاهر مي شود .

61

ــرور هـك كـه در گوشـه سـمت راسـت و دقت كنيد كه با اضافه كردن اين فايل حجم س

ــش پايين پنجره S7 Edit Server[normal mode] آمده نيز از ميزان قبلي خود افزاي

پيدا مي كند. اين امري طبيعي است و به زودي در بررسي برگــه plugin هـا نـيز خواهيـم

ديد كه با اضافه كردن هر plugin اي باز هم بر حجم سرور هك اضافه مي شود .

ــم مـي آيـد نـوع (Type) فـايل اسـت كـه اما نكته حائز اهميتي كه در اين ليست به چش

ــرا شـدن فـايل executed (اجرايي) اعالم شده است. اين بدين معناست كه به محض اج

سرور هك اصلي توسط فرد قرباني فايلي كه هم اكنون آنرا پيوند زده ايــم نـيز همزمـان بـا

آن اجرا خواهد شد. به عبارت ديگر براي مثال اگر ما فايل موزيكي با پسوند mp3 را بــه

ــك هـم پخـش سرور هك پيوند زده باشيم ، به محض اجرا شدن سرور هك ، فايل موزي

خواهـد شـد. از ايـن طريـق فـرد قربـاني كمـتر متوجـه اجـرا شـدن سـرور هـك بــر روي

ــه پـس كامپيوترش مي شود، بخصوص اگر سرور هك را به گونه اي تنظيم كرده باشيد ك

از اجرا شدن از روي كامپيوتر ناپديد شود .

نكته آخري كه ذكر آن در اينجا باقي است آنكه در بحث بعدي خواهيم گفت كــه بجـاي

extracted ( اجرايي) مي توانيد آنرا به شـكل executed پيوند زدن يك فايل به شكل

ــدن بسـته ارسـالي شـما ، فـايل نيزپيوند بزنيدكه در اين صورت به محض download ش

مورد نظر هم در همان داير كتوري كه سرور هك ذخيره مي شود همراه با آن قرار خواهد

گرفت، اما ديگر همزمان و همراه با اجرا شدن سرور هك اجرا نخواهد شد .

62

Aad extracted file

با كليك بر روي اين دكمه پنجرهاي با عنـوان open بـاز مـي شـودكه شـما از طريـق آن

ميتوانيد فايلي را كه مايل هستيد آنرا پيوند (bind) بزنيد پيدا كنيد .

پس از انتخاب فايل و كليك كردن بر روي دكمــه open نـهايتا فـايل شـما در ليسـت بـه

نمايش در مي آيد .

نكته حانز اهميــت نـوع (type) فـايل پيونـد زده شـده اسـت كـه extracted مـي باشـد.

همانطور كه در قسمت قبلي گفتم با انتخاب extract ديگر با اجرا شدن فايل سرور هــك

اين فايل بهمراه آن اجرا نشده (run)، بلكه فايل مذكـور تنـها در همـان دايـر كتـوري كـه

فايل سرور هك ذخيره مي شود قرار مي گيرد.

Delete

ــود. بـراي ايـن كـار از اين دكمه براي پاك كردن يك فايل پيوند زده شده استفاده مي ش

كافيست ابتدا بر روي فايل مورد نظرتان كليك كنيد تا هاي اليت شود ، سپس اين دكمــه

را كليك كنيد تا ورودي فايل مذكور از داخل ليست حذف شود .

Edit name

از اين دكمه براي تغيير دادن نام فايل استفاده مي شود . بديــن ترتيـب كـه شـما ابتـدا فـايل

ــا كليـك بـر روي آن مورد نظرتان را به فايل سرور هك اصلي پيوند زده (bind) سپس ب

در داخل ليست و بعد كليك كردن دكمهedit name نام آنرا تغيير مي دهيد .

63

plugins برگه

S7 Edit Server [normal mode] ــره اين برگه يكي از مهمترين برگه هاي پنج

ــوط بـه اتفاقـات و بالهـايي كـه است . شما از طريق اين برگه مي توانيد plugin هاي مرب

ــود بيـاوريد را بـر روي سـرور هـك مـورد نظرتـان مايل هستيد تا بر سر كامپيوتر قربان خ

نصب كنيد .

به زبان ساده تر بگوئيم شما براي آنكــه بتوانيـد از قابليتـهاي بـالقوه Sub7 اسـتفاده كـرده

وآنها را بر روي كامپيوتر قرباني اجرا كنيد، پيش از آن بايد plugin مربوط به آن دسته از

اعمال را بر روي سرور هك نصــب كنيـد. از آنجـايي كـه نصـب كـردن تمـامي امكانـات

Sub7 نهايتا منجر به آن مي شود كه حجم سرور هك از MB1 تجاوز كرده و اين مسئله

شك فرد قرباني را برانگيزد، از اين رو تعدادي از امكانات Sub7 دســته بنـدي شـده و در

dll ماهيتا فايلي با پسوند plugin هايي در دسترس قرار گرفته است. يك plugin قالب

اســــت. خوشــــــبختانه بســـــته نـــــرم افـــــزاري Sub7 اي كـــــه از روي ســـــايت

plugin ــامي www.sub7hacker.com به روي كامپيوتر download مي كنيد تم

هاي موجود براي دسترسي به همه قابليتهاي Sub7 در پوشه اي به نام pluginآ مده است

ــد تـا محتويـات آن بـه . براي مشاهده اين plugin ها بر روي پوشه plugins كليك كني

نمايش در آيد .

64

تعجب نكنيد كه در اين پوشه فعال فقط دو فايل متني matrix ,icqpwsteal قرار گرفته

اند . زيرا بقيه فايلهاي مربوط به plugin ها فعال پنهان (hidden) مي باشند . بنابراين شما

بايد نحوه نمايش پنجره هايتان را به وضعيت نمايش حتي فايلهاي پنـهان در آوريـد. ( البتـه

ــيد اكنـون قـادر خواهيـد بـود تـا تمـامي فايلـهاي مربـوط بـه اگر اين كار را قبال كرده باش

pluginر ا مشاهده كنيد).

Add binded plugin

از اين دكمه براي اضافه كردن plugin اي به فايل سرور هك استفاده مي شود . براي اين

ــت كار بر روي اين دكمه كليك كنيد تا كادر محاوره اي open باز شود . سپس به موقعي

ــهايتا پوشه plugin بر روي كامپيوترتان رفته و plugin مورد نظرتان را انتخاب كنيد تا ن

درليست plugin ها درج شود.

ــدن plugin اي بـه نـام s7fun1 بـا حجـم١٦٦ همانطور كه مالحظه مي كنيد با اضافه ش

KB حجم كل سرور هك به ٢٢٢ KB افزايش پيدا مي كند . هميشه حتـي المقـدور بـايد

ــه سـرور هـك اوليـه سعي شود تا فقط plugin هايي كه مايل به استفاده از آنها هستيد راب

خود اضافه كرده و ازاضافه كردن ما بقي آنها حد امكان پرهيز كنيد تا حجــم سـرور هـك

شما افزايش زيادي و غير معقولي پيدا نكند.

65

اما نكته حائز اهميتي آنست كه از ميان اين pulgin١٢ كدامها مناسب تر است كه انتخاب

شوند. مــن در ادامـه توضيـح مختصـري دربـاره قابليتـهاي چنـد pulgin اصلـي و مشـهور

آوردهام كه از نظرتان مي گذرد.

s7fun1 اي با نام pulgin قابليتهاي

اين pulgin ويژگيهاي زير را باخود بهمراه دارد:

• Filp screen (چرخش و دوران صفحه نمايش )

• Show picture ( به نمايش در آوردن عكس)

• Clipboard manager (مديريت محتويات حافظه كليپ بورد)

• Print text ( چاپ متن بر روي چاپگر)

• Text2speech (خواندن شدن متن)

• Tic-tac-toe ( بازي)

s7fun2 اي با نام pulgin قابليتهاي

اين pulgin ويژگيهاي زير رابا خودبهمراه دارد:

• Open browser ( باز كردن پنجــره مـرورگـر و بـازديد از صفحـه وب

خاصي)

• Change resolution ( تغيير دادن درجه وضوح صفحه نمايش)

• Change windows colors ( تغيير دادن رنگ پنجره ها )

• Restart computer ( راه اندازي مجدد كامپيوتر)

66

• Mouse( سويچ كردن دكمــه هـا ، حركـت دادن و گذاشـتن دنبالـه اي

براي اشارهگر ماوس)

• Sound settings ( كم و زياد كردن ولوم صداي بلند گو)

• Time/date settings ( تغيير دادن و تنظيم كردن تاريخ و زمان)

• Keyboard lights ( خاموش و روشن كردن LED هاي صفحه كليد)

s7keys اي با نام plugin قابليتهاي

اين pulgin ويژگيهاي زير رابا خود بهمراه دارد :

• Keylogger( ارسال ضرب كليد)

• Logged keys ( خواندن ضرب كليدها)

• Disable/replace keys (جابه جا و غير فعال كردن عملكرد دكمه هــاي

صفحه كليد)

• Spies ( فعال شدن قابليتهاي جاسوسي)

• Send keys ( ارسال كليدهاي زده شده)

• Keylogger e-mail report( ارسـال ضـرب كليدهـا از طريـق پســت

الكترونيك)

s7passwords ا ي با نامpulgin قابليتهاي

اين pulgin ويژگيهاي زير با خود بهمراه دارد:

• Cached (خواندن كلمات عبور واطالعات حافظه نهان)

• Sereen saver( تغيير دادن و تنظيم كردن محافظ صفحه نمايش)

67

(RAS كسب اطالع از طريق سرويس ) RAS •

(ICQ كسب اطالع از طريق سرويس) ICQ •

(AIM كسب اطالع از طريق سرويس AIM •

ــق پسـت • E-mailing passwords (ويژگي دريافت كلمات عبور از طري

الكترونيك)

s7capture ا ي با نامpulgin قابليتهاي

اين pulgin ويژگيهاي زير را با خود بهمراه دارد:

• Screen capture (دريافت تصويري از صفحه نمايش كامپيوتر قرباني)

• Mouse clicks( انتقال كليكهاي ماوس)

(webcam دريافت تصويري از )Webcam capture •

s7advanced ا ي با نامpulgin قابليتهاي

اين pulgin ويژگيهاي زير را با خود بهمراه دارد:

• App redirect (استفاده از ويژگي redirect كردن)

(netstat استفاده از ويژگي فرمان )Netstat •

• Port redirect ( استفاده از ويژگي redirect كردن يك پورت)

(ftp استفاده از ويژگي تبديل كامپيوتر قرباني به يك سرور ) ftp server •

• process manager ( مديريت فرايندها)

• registry editor ( استفاد هاز ويژگي ويرايش رجيســتري وينـدوز از راه

دور)

68

restrictions برگه

ــان را بـر روي يـك سـرور از طريق اين برگه مي توانيدتنها تعدادي از قابليتهاي مورد نظرت

هك فعال كنيد. براي مثال ممكن اســت از ميـان ٢٠ قابليتـهاي كـه يـك pulginبـا خـود

بهمراه دارد تنها پنج تاي آنرا فعال كرده و الباقي را غير فعال كنيد . اين ويژگي زماني مفيد

ــد، است كه شما امكان استفاده از سرور هك را برروي كامپيوتري به همه هكر ها داده اي

ــراي اسـتفاده از پـورت بـاز ( قبالً گفتم كه شما مي توانيد با عدم انتخاب يك كلمه عبور ب

شده بر روي كامپيوتر قرباني به هر هكــر ديگـري هـم اجـازه ورود بـه كـامپيوتر قربـاني را

بدهيد)ولي در عين حال مايل هستيد كه بقيه هكرها فقط بتوانند كارهــاي كـه شـما صـالح

مي دانيد را بر روي كامپيوتر قرباني انجام دهند . مثــال فقـط بتواننـد كـامپيوتر قربـاني را در

زمان حضور آن در اينترنت راه اندازي مجدد (restart) كنند .

ــان بـر روي دكمـه add allowed feature كليـك براي انتخاب قابليتهاي مورد نظرت

كنيد تا كادر …add allowed feature به نمايش در آيد.

ــهاي موجـود در ايـن بـرگـه و بعـد اكنون شما مي توانيد با كليك بر روي هر يك از قابليت

كليك بر روي دكمه add selected feature(s) آنرا به كادر خود بيافزاييد.

در نظر داشته باشيد كه براي فعال شدن اين ويژگي حتما بايد بر روي كادر عالمت كنـاري

جمله enable filter كليك كنيد.

69

: e-mail برگه

از طريـق ايـن بـرگـه شـما مـي توانيـد از سـرور هـك بخواهيـد تـا تمـامي كلمـات عبـــور

ــاني و نـيز تمـامي كليدهـاي زده شـده بـر (password) ذخيره شده بر روي كامپيوتر قرب

ــه آدرس پـست الكـترونيك شـما بفرسـتد. در ايـن روي صفحه (pressed keys) آنرا ب

برگه سه گزينه آمده است كه به ترتيب عبارتند از :

: e-mail all pressed keys to

با كليك در كادر عالمت كناري اين عبارت و وارد كردن آدرس پســت الكـترونيك تـان

در داخل كادر متن روبرويي آن ، از ايــن بـه بعـد بـه محـض حضـور كـامپيوتر قربـاني در

اينترنت ، سرور هك تمامي كليدهاي فشرده شده از آن جمله كلمه عبور اشتراك اينترنت

كامپيوتر قرباني را به آدرس پست الكترونيك شما ارسال خواهد كرد.

: e-mail all passwords to

با كليك دركادر عالمت كناري ايــن عبـارت و وارد كـردن آدرس پسـت الكـترونيك در

داخل اشتراكهاي فرد قرباني اعم از : اشتراك يا هو ICQ,MSN ,(yahoo) و بسـياري

ديگر به آدرس پست الكترونيك شما ارسال خواهد شد .

: e-mail recorded passwords to

با كليك در كادر عالمت كناري اين عبارت و وارد كردن آدرس پســت الكـترونيك تـان

در داخل كادر متن روبرويي آن، از اين به بعد بــا هـر بـار وارد شـدن كـامپيوتر قربـاني بـه

70

ـــه آدرس پســت اينـترنت تمـامي كلمـات عبـور ذخـيره شـده بـر روي كـامپيوتر قربـاني ب

الكترونيك شما ارسال خواهد شد .

: exe icon/other برگه

از طريق اين برگه مي توانيد آيكن فايل اجرايي سرور هك خود را تغيير دهيد تــا كمـتر از

سوي فرد قرباني مورد شك قرار گيرد. همچنين اين امكان نيز وجود دارد كه پيغام خطايي

ــاني را طراحي كنيد تا در زمان اجراي فايل سرور هك بر روي صفحه نمايش كامپيوتر قرب

ــا بـا ظـاهر شـدن ايـن پيـام ظاهر شده و فرد قرباني را گمراه كند . اين در حاليست كه توام

برروي صفحه نمايش فايل سرور هك مخفيانه اجرا مي شود .براي طراحي يك كادر پيغام

ــا كـادري بـه خطا كافيست بر روي دكمه configure error message كليك كنيد ت

نمايش در آيد. از طريق اين كادر شما مي توانيد هم آيكــن ، هـم متـن و هـم دكمـه هـاي

كادر پيغام خطايتان را طراحي كنيد.

ــايل اجرايـي سـرور هـك نـيز كافيسـت كـه در كـادر همچنين براي عوض كردن آيكن ف

ــك كـرده،سـپس از ميـان آيكنـهاي عالمت كناري عبارت change server icon كلي

ــه مـايل بـه اسـتفاده از آن هسـتيد كليـك كنيـد. مـن توصيـه موجود بر روي آن آيكني ك

ــال اگـر فـرد ميكنيم كه اين آيكن را بر اساس عاليق فرد قرباني خود تعيين كنيد. براي مث

قرباني عالقه زيادي به فايلهاي mp3 دارد بهتر است كه آيكن مربوط به فايلـهاي mp3 را

71

بر گزينيد تا فرد قرباني تصور كند كه فايل موزيكي را براي او ارسال كــرده ايـد و بـه ايـن

بهانه آنرا بر روي كامپيوترش اجرا كند.

ــك شـما بـايد آنـرا ذخـيره نهايتا پس از انجام تنظيمات مورد نظرتان بر روي فايل سرور ه

كنيد. براي اين كار كافيســت بـر روي دكمـه save as در پنجـره SubSeven كليـك

ــون نـامي را بـراي فـايل اجرايـي سـرور هـك خـود كنيد تا كادري به نمايش در آيد . اكن

ــر انتخاب كرده و بر روي دكمه save كليك كنيد. مراقب باشيد كه اين فايل را اشتباها ب

روي كامپيوتر خود اجرا نكنيد!!!

ــراي دريـافت معرفي ترفندهايي براي گول زدن فرد قرباني و تشويق او ب

فايل اجرايي سرور هك

ترفند اول براي گول زدن فرد قرباني: استفاده از uploader ها

اكثرًا ديده شده كه افراد در قبول فايلي با حجم بيش از KB١٠٠ ابا داشته و بيشتر از خــود

ــا فـايلي بـا حجـم تقريبـي ٤٠-KB٥٠ از ايـن رو شـايديكي از حساسيت نشان مي دهند ت

بهترين روشها استفاده از برنامه هايي به نام uploader باشــد. Uploder برنامـهاي اسـت

ــامپيوتر قربـاني در كه پس از نصب شدن بر روي كامپيوتر قرباني از اين به بعد به محض ك

اينترنت پورتي را بر روي كامپيوتر مذكور باز كرده و به شما اين اجازه را مي دهد كه هــر

فايلي را به روي كامپيوتر قرباني خود upload كنيد. از اين رو شما مي توانيد ابتدا برنامـه

72

ــايد بيشـتر از ٤٠-KB٥٠ حجـم نداشـته باشـد بـرروي كـامپيوتر uploader ا ي را كه ش

ـــافت فــايل و نصــب آن بــر روي قربـاني خـود ارسـال كـرده وپـس از قبولـي وي و دري

كامپيوترش از هر زمان مناسبتري براي فرستادن فــايل اجرايـي هـك اصلـي خـود اسـتفاده

كنيد.

ترفند دوم براي گول زدن فرد قرباني : طراحي يك CD ي آلوده

گاهي پيش مي آيد كه شما به كامپيوتر قرباني خود تا حدي دسترسي فيزيكي داريد. براي

ــر روي كـامپيوتر مثال ممكن است به منزل دوستي برويدكه مايل هستيد تا سرور هكي را ب

اونصب كنيد ولي اين امكان وجود ندار دكه سرور هك را بر روي يــك فـالپـي ديسـك

ــرار داده و فـايل اجرايـي سـرور كپي كرده و بعد آنرا در داخل درايو فالپي دوست خود ق

هك مورد نظرتان را از روي فالپي اجرا كنيد. در چنين مواردي بهترين روش آنســت كـه

ــم خـود اسـتفاده كنيـد. CDي آلوده اي را توليد كرده و از آن براي نصب سرور هك ه

اين روش آنقدر ســريع اسـت كـه در مـدت زمـان يـك دقيقـه شـما مـي توانيـد حتـي ١٠

كامپيوتر را آلوده كنيد. شيوه كار اين گونه اســت كـه ابتـدا شـما CD ي آلـوده اي را در

ــرا خـارج داخل درايو CD-ROM دوستتان قرار داده،و بعد پس از گذشت 7-5 ثانيه آن

ــار روشـن و خـاموش شـود كنيد. در حقيقت تا همين حد كه LED ي CD-ROM يكب

كافيست . بدين ترتيب سرور هك بر روي كامپيوتر قرباني نصب مــي شـود . ايـن روش از

ــو آنجائيكه به ذهن كمتر كسي خطور مي كند كه تنها با گذاشتن يك CD در داخل دراي

73

CD-ROM و بدون حتي حركت دادن ماوس يا زدن كليدي بر روي صفحه كليد بتوان

فايلي را بر روي كامپيوتر قرباني نصب و اجرا كرد بسيار حائز اهميت و استثنايي به نظر مي

رسد .

ــان اسـت . اما چگونه مي توان CD ي آلوده اي را ايجاد كرد؟ جواب اين مسئله بسيار آس

فقط كافيست برنامه notepad را شروع كرده و بعد فرامين زير را تايپ كنيد:

[autorun] Open=yourfile.exe

ــيد كـه شـما بـه جـاي yourfile بـايد پس از وارد كردن دو سطر فوق ( توجه داشته باش

notepad ــد) در پنجـره نامي را كه بر فايل اجراي سرور هك خود گذارده ايد وارد كني

از منـوي File بـر روي Save as كليـك كـرده و بعـد فـايل خـود را بـا نـــام و پســوند

ــايل را بـه همـراه فـايل سـرور هـك autorun.inf ذخيره كنيد. اكنون كافيست كه اين ف

خود بر روي CD اي كپي كنيد. از اين لحظه به بعد شما با قرار دادن اين CD بر روي هر

ــوده كنيـد.يادتـان باشـد كـه هـرگـز كامپيوتري مي توانيد در يك چشم به هم زدن آنرا آل

براي امتحان هم كه شده اين CD را نبايد در درايو CD-ROM خود قرار دهيد!!

ــير دادن پسـوند وآيكـن فـايل ترفند سوم براي گول زدن فرد قرباني : تغي

اجرايي سرور هك

يكي ديگر از روشهاي گمراه كردن فرد قرباني همانطور كه قبــال گفتـم تغيـير دادن آيكـن

فايل بهمراه پسوند آنست. براي مثال شــما مـي توانيـد آيكـن ايـن فـايل را بـه آيكـن فـايل

74

ــم متناسـب بـا آن بـه jpg يـا هـر پسـوند فـايل تصويري تغيير داده ، همچنين پسوند آنرا ه

گرافيكي ديگري تغيير دهيد.

ــا پيونـد ترفند چهارم براي گول زدن فرد قرباني: استفاده از پيغام خطا و ي

زدن آن به يك فايل

ــايي اسـت كـه بـه يكي از بهترين روشهاي گمراه كردن فرد قرباني استفاد هاز پيامهاي خط

ــوند. از ايـن طريـق ديگـر محض اجرا شدن فايل قرباني بر روي صفحه نمايش ظاهر مي ش

تقريبا شك فرد قرباني به صفر رسيده و تصور مي كند كه فايل download شده ايـرادي

داشته است. يا روش بهتر ديگر است. در اين روش براي مثال وقتي فرد قرباني فايل ســرور

هك را اجرا مي كند همزمان با آن فايل موسيقي نيز شروع به پخش كرده و حواس وي را

از بابت نصب شدن سرور هك بر روي كامپيوترش پرت مـي سـازد. يكـي از بـهترين نـوع

فعاليتهايي كه مناسب پيوند زدن هستند فايلهاي اجرايي هستند كه دربرنامــه flash نوشـته

مي شوند. اين نوع فايلها از انجايي كه پسوند exe دارند ميتوانند به راحتــي فـرد قربـاني را

گول بزنند.

ترفند پنجم براي گول زدن فرد قرباني: چســباندن سـرور هـك بـه يـك

برنامه مفيد

معموالً سرور را در قالب يك برنامه مفيد براي قربانيان ارسال مي شــوند تاقربانيـان ترغيـب

ــعه داده اندكـه شده و آنرا باز ئ اجرا كنند.گروه هاي زير زميني ابزارهايي را نوشته و توس

75

wrapper قادرند هر نوع اسب تراوايايي را به يك برنامه اجرايي بچسانند اين ابزارها كــه

نام دارند در اختيار عموم قرار گرفته اند .

يكي از اين ابزارها Silk Rope نام دارد به عنوان مثال مــي تـوان برنامـه مفيـد و سـودمند

WINWORD.exe را با هسته سرويس دهنده BO2K آلوده شده و فايل آلوده اي بـه

نام infected.exe يا هر نام دلخواه ديگــري سـاخت و بـا توجـه بـه حجـم بـاالي برنـامع

word حجم كم سرور به چشم نمي آيد .

وقتي كاربر برنامه آلوده را اجرا مي كند ابتدا سرور اجرا و نصب مي شود و سپس در ادامه

ــذا قربـاني شـك نخواهـد كـرد البتـه نفـوذ برنامه بصورت كامالً عادي اجرا خواهد شد و ل

Real يـا winamp گران اسبهاي تراوا را به برنامه هاي رايگــان كـوچـك و زيبـا مـانند

Audioمي چسبانند تا قربانيان بيشتري داشته باشند .

76

فصل پنجم

استفاده از گزينه هاي مختلف پنجره SubSeven براي حملــه بـه كـامپيوتر

قرباني

ــاط بـا سـرور هكـي اولين گام پيش از حمله به كامپيوتر قرباني متصل شدن و برقراري ارتب

IP ــت . بـراي ايـن كـار شـما بـايد آدرس است كه برروي كامپيوتر قرباني نصب شده اس

وشماره پورت كامپيوتر قرباني را در قسمت باالي پنجره SubSeven تايپ كــرده و بعـد

دكمه connect را كليك كنيد . در صورتيكه همه چيز به خوبي پيش برويد نهايتا ارتباط

ــا كامپيوتر شما با سرور هك كامپيوتر قرباني برقرار مي شود . شما مي توانيد اين مسئله را ب

ظاهر شدن عبارت Ready در پايين پنجره SubSeven تشــخيص دهيـد. پـس از وصـل

شدن به كامپيوتر قرباني شما مي توانيد كار را شروع كنيد.

shortcuts بررسي امكانات گزينه

ــه در اين قسمت ميانبرهايي به برنامه ها و فعاليتهاي بسيار ديگري آمده است .بر روي گزين

shortcuts كه در ستون سمت چپ پنجره SubSeven كليك كنيد تا زير منوهــاي آن

باز شده و به نمايش در آيند .

local shortcuts بررسي امكانات گزينه

بر روي گزينه اول با نام Local shortcuts كليك كنيد تا زير منوهاي آن به نمايش در

آيند .

77

ip tool بررسي امكانات گزينه

برروي گزينه ip tool كليك كنيد تا كادر محاوره اي ip toolبه نمايش در آيد.

از طريق اين كادر محاوره اي كه بيشتر به يك برنامه كمكي شباهت دارد شما مــي توانيـد

هر يك از اعمال زير را انجام دهيد:

١) به كامپيوتري ping كنيد: براي اين كار كافيست آدرسIP ي كامپيوتر مورد

ــر نظرتان را در داخل كادر متن جلويي عبارت ip address تايپ كرده، سپس ب

روي دكمه ping ip كليك كنيد.

ــردن آدرس IPي متنـاظر بـا هـر آدرس اسـمي (URL) در ٢) پيدا ك

اينترنت:براي اين كار كافيســت آدرس URL سـايت وب موردنظـر خـود را در

resolve تايپ كرده و بعــد دكمـه host nameداخل كادر متن جلويي عبارت

host name را كليك كنيد.

٣) پيدا كردن آدرسIPي كامپيوتري كه كــاربر آن باشـماره ICQ ي

ــار كافيسـت شـماره ICQ ي فـرد خاصي مشغول گپ زني است:براي اين ك

ــد مورد نظرتان را در داخل كادر متن جلويي عبارت UIN ICQ تايپ كرده و بع

دكمه resolve UIN را كليك كنيــد. از ايـن طريـق در صورتيكـه فـرد قربـاني

تحت اين شماره ICQ در حال گــپ زدن باشـد شـما بـه راحتـي بـه آدرس IP ي

كامپيوتر وي دسترسي پيدا خواهيد كرد.

78

همچنين شما مي توانيد در كــادر محـاوره اي ip tool بـا كليـك كـردن بـر روي دكمـه

clear تمامي نوشته هاي موجود در كادرهاي مختلف اين پنجره را پاك كنيد.

address book بررسي امكانات گزينه

address book ــك كنيـد تـا كـادر محـاوره اي بر روي گزينه address book كلي

ــما از طريـق ايـن كـادر كـه نقـش يـك دفـترچـه آدرس را دارد مـي توانيـد ظاهر شود .ش

، ICQ آدرس سـايت، شـماره،IP ــاني خـود نظـير :آدرس مشخصاتي درباره كامپيوتر قرب

شماره پورت يا هر مشخصات ديگري را ذخيره كنيد. بدين ترتيب ايــن امكـان فراهـم مـي

آيد تا شما در آينده بتوانيد هر چه سريعتر به كامپيوتر قرباني خود دسترسي پيدا كنيد.

ــه يـك يـا چنـد همچنين شما از طريق يكي از دكمه هاي اين كادر محاوره اي مي توانيد ب

كامپيوتري كه در اين ليست آمده اند بطور همزمان ping كنيد.

console بررسي امكانات گزينه

در اين كادر محاوره اي آن دسته از فرمانهايي كه قبال توسط شما صادر شده اند ولي به هر

دليلي موفق به اجرا نگرديده اند مي آيند .

misc shortcuts بررسي امكانات گزينه

در قسمت Shortcuts بر روي گزينه misc shortcuts كليك كنيد تا زير منوهــاي

آن به نمايش درآيند .

79

file manager بررسي امكانات گزينه

ــد تـا كـادر محـاوره اي file manager بـه بر روي گزينه file manager كليك كني

نمايش در آيد .از طريق اين كادر محاوره اي شما مي توانيد در صورت اتصال به كامپيوتر

ــارد ديسـك كـامپيوتر وي را مشـاهده كنيـد. همچنيـن از طريـق قرباني تمامي محتويات ه

ــارد دكمه هايي كه در سمت راست اين پنجره آمده اند شما مي توانيد هر باليي رابر سر ه

ديسك كامپيوتر قرباني خود بياوريد . براي مشاهده عملكرد هر دكمــه كافيسـت بـا اشـاره

گر ماوس بر روي دكمه مورد نظرتان رفته و قدري مكث كنيد تا عملكــرد دكمـه مذكـور

ــه بـه معرفـي تعـدادي از مـهمترين ايـن دكمـه هـا در داخل كادري ظاهر شود. من در ادام

پرداخته ام .

• Refresh current path: از ايــن دكمـه زمـاني اسـتفاده مـي شـودكه شـما

ــايل هسـتيد تـا تغييراتي را در داير كتوري كامپيوتر قرباني خود داده ايد و اكنون م

نتيجه آنرا به عينه ببنيد.

ــق ايـن دكمـه شـما • Download selected file(s)or folder(s) : از طري

ميتوانبد پس از انتخاب چندين فايل يا پوشــه آنـها را از روي كـامپيوتر قربـاني بـه

روي كامپيوتر خودتان download كنيد.

ــما مـي توانيـد فايلـهاي موردنظرتـان را بـه • Upload file : از طريق اين دكمه ش

كامپيوتر قرباني upload كنيد.

80

• Run selected file: از طريق اين دكمه شـما مـي توانيـد فايلـهايي را بـر روي

كامپيوتر قرباني خود اجرا كنيد.

• Delete selected files or folders: از طريق ايــن دكمـه شـما مـي توانيـد

فايلها يا پوشه هايي را بر روي كامپيوتر قرباني خود حذف كنيد.

• Create a new folder in the current path: از طريـق ايـن دكمـه

شما مي توانيد پوشه جديدي را به هراسمي كه مايل بوديد بر روي كامپيوتر قرباني

خود ايجاد كنيد.

• Play wav file on the remote computer: از طريق ايــن دكمـه شـما

ــاني خـود بـه اجـرا مي توانيد فايلهاي صوتي با پسوند wav را برروي كامپيوتر قرب

درآورده و پخش كنيد.

• Set selected file as wallpaper on the remote computer: از

ــوان كـاغذ ديـواري كـامپيوتر قربـاني طريق اين دكمه شما مي توانيد عكسي را بعن

خود انتخاب كنيد. در اين صورت ازاين به بعد فرد قرباني عكس مورد نظر شــما را

برروي دسك تاپ خود مشاهده خواهد كرد.

• Rename file or folder: از طريق اين دكمــه شـما مـي توانيـد هـر فـايل يـا

پوشه اي رابر روي كامپيوتر قرباني خود تغيير نام دهيد.

81

• Search file: از طريق اين دكمه شما مــي توانيـد بـه دنبـال فـايل مـورد نظرتـان

جستجويي را بر روي كامپيوتر قرباني به اجرا در آوريد.

queue بررسي امكانات گزينه

برروي گزينه queue كليك كنيد تا كادر محاوره اي qupeue به نمايش در آيد.

از طريق اين كادر محاورهاي شما مي توانيد بر ترتيب و ميزان پيشرفت عمليات انتقال فايل

ميان كامپيوتر خودتان و كامپيوتر قرباني نظار كنيد.

windows manager بررسي امكانات گزينه

از طريق اين كادر محاورهاي شما مي توانيد تمامي پنجره هاي باز شــده بـر روي كـامپيوتر

قرباني را مديريت كنيد. براي مثال بــه كمـك دكمـه هـايي كـه در ايـن كـادر محاورهـاي

آمدهاند مي توانيد هر يك ازاعمال زير را به انجام برسانيد:

• پنجره اي كه در زير پنجره هاي ديگر قرار گرفته اســت را بـر روي بقيـه

بياندازيد.

ــن • دكمه بستن (close) را بر روي پنجره اي از كار بياندازيد تا ديگر از اي

طريق بسته نشود.

• پنجره اي را از معرض ديد خارج كرده ودوباره آنرا ظاهر سازيد.

• پنجره اي را فعال و غير فعال سازيد.

82

screen capture بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مــي توانيـد صفحـه نمـايش كـامپيوتر قربـاني را بـرروي

كامپيوتر خودتان مشاهده كنيد. شيوه كار اينگونه است كه شما بازه زماني را بر حسب ثانيه

ــي گرفتـه شـده و تعيين مي كنيد .كه با گذشت آن از صفحه نمايش كامپيوتر قرباني عكس

interval ــروي عبـارت براي شما فرستاده شود. اين كار از طريق اهرم كشويي كه در روب

آمده صورت مي گيرد.

progress windows بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد شاهد و ناظر ميزان و سرعت تبادل اطالعــات

ميان كامپيوتر خود و كامپيوتر قرباني باشيد.

plugin manager بررسي امكانات گزينه

از طريق اين پنجره شما مي توانيد تمامي plugin هايي كه بر روي يك سرور هك نصب

ــك شده اند . را مديريت كنيد. براي مثال مي توانيد plugin هايي را از / به روي سرور ه

مورد نظر خود upload/download كنيد. همچنين حتــي مـي توانيـد pluginاي را از

روي سرورتان حذف كنيد.

connection بررسي امكانات گزينه

بر روي گزينه connection كه درستون سمت چپ پنجره Sub Seven آمده كليــك

كنيد تا زير منوهاي آن باز شوند.

83

proxies بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد درصورتيكه برروي خــط اينـترنتي كـه از آن

ــد . بـراي استفاده مي كنيد يك پروكسي (proxy) نصب شده باشد آنرا پشت سر بگذاري

اين كار كافيست مشخصات پروكســي خـود را كـه آنـرا از مديـر ISP ي خـود دريـافت

ميكنيد در داخل كادرهاي متن نمربوطه وارد كنيد.

pc info بررسي امكانات گزينه

اين كادر محاوره اي در حال حاضر خالي است اما اگر شما به كامپيوتر راه دوري كه قبال

سرور هكي را بر روي آن نصب كرده ايد وصل شده باشيد دراين كادر محاورهاي تمـامي

مشخصات اوليه كامپيوتر مورد نظر ليست خواهد شد.

more pc info بررسي امكانات گزنه

ــو دكـه در آن با كليك بر روي گزينه more pc info كادر محاوره اي ديگر باز مي ش

اطالعات بيشتر و پيشرفته تري درباره مشخصات كامپيوتر قربان آمده است.

home info بررسي امكانات گزينه

با كليك بر روي گزينه home info كادر محاوره اي باز مي شو دكــه در آن اطالعـات

شخصي صاحب كامپيوتر قرباني آمده است .

84

server options بررسي امكانات گزينه

ــد تـا كـادر server options در پنجـره بر روي گزينه server options كليك كني

SubSeven به نمايش در آيد.در قاب ســمت راسـت پنجـره SubSevenد كمـه هـايي

ــاني آمـده انـد كـه مـا در ادامـه بـه بررسـي براي مديريت سرور هك بر روي كامپيوتر قرب

هريك از آنها مي پردازيم:

ــي را كـه • دكمه change port: از طريق اين دكمه شما مي توانيد شماره پورت

قرارست تا سرور هك به محض وارد شدن كامپيوتر قرباني به اينترنت آنرا بر روي

ــد . درحـالت پيـش گزيـده شـماره ايـن پـورت كامپيوتر مذكور باز كند تعيين كني

٢٧٣٧٤ مي باشد.

• دكمه remive server: از طريق اين دكمــه شـما مـي توانيـد فرمـان دهيـد تـا

سرور هك از روي كامپيوتر قرباني پاك شود .

ــق ايـن دكمـه شـما مـي توانيـد كلمـه عبـوري • دكمه set password : از طري

(password) را بايد دسترسي به سرور هك بر روي كامپيوتر قرباني تعيين كنيد.

• دكمه remove password : از طريـق ايـن دكمـه شـما مـي توانيـد كلمـه

عبوري (password) را كه قبال براي دسترسي به سرور هك نصب شده بر روي

كامپيوتر قرباني خود تعيين كرده بوديد حذف كنيد.

85

ــق ايـن دكمـه شـما مـي توانيـد پـس از اعمـال • دكمه restar server : از طري

تغييرات مورد نظرتان يكبار سرور هــك را بـر روي كـامپيوتر قربـاني شـروع بكـار

مجدد(restart) كنيد تا تغييرات صورت گرفته ترتيب اثر داده شوند.

• دكمه close server : از طريق اين دكمه شما مي توانيد درطــول يـك جلسـه

كاري استفاده هر شخصي از كامپيوتر قرباني سرور هك را از كار بياندازيد. البته با

ــود . راه اندازي مجدد كامپيوتر انتظار مي رود كه سرور هك مجددا راه اندازي ش

ــاني نـيز اين مسئله مي تواند حتي با سويچ كردن ميان كاربران بر روي كامپيوتر قرب

اتفاق افتد.

ــه شـما مـي توانيـد • دكمه update server from file : از طريق اين دكم

ــاني را بانسـخه بـروز شـده اي از ايـن فايل سرور هك موجود بر روي كامپيوتر قرب

فايل كه بر روي كامپيوتر شما قرار گرفته است بروز نماييد .

• دكمه update server from URL : از طريق اين دكمه شــما مـي توانيـد

نسخه بروز شده اي از ســرور هـك را بـر روي سـايت وب خـود upload كـرده،

ــرور هـك نصـب سپس با تنظيم آدرس URL سايت وب مورد نظرتان بر روي س

ــد تـا خـودش را بـه شده بر روي كامپيوتر قرباني، اين امكان را به سرور هك بدهي

طور خود كار بروز كند.

86

connect commands بررسي امكانات گزينه

بر روي گزينــه connect commands كليـك كنيـد تـا زيرمنوهـاي بـه آن نمـايش

درآيند.

open OnConnect بررسي امكانات گزينه

از طريق دكمه هايي كه در اين پنجــره آمـده انـد شـما مـي توانيـد نحـوه بـا خـبر شـدن از

وضعيت online كامپيوتر قرباني خود را تعيين كنيــد. بـراي مشـاهده عملكـرد هـر دكمـه

كافيست با اشاره گر ماوس خود بر روي آن رفته و قدري مكث كنيــد تـا عملكـرد دكمـه

مذكور در داخل كادري به نمايش در آيد. ما در ادامه به معرفي عملكــرد تعـدادي از ايـن

دكمه ها پرداخته ايم .

• دكمه get server OnConnect commands :از طريق اين دكمــه شـما

ميتوانيد تمامي روشهايي كه قبال بر روي سرور هك كامپيوتر قرباني تنظيم كــرده

ايد تا از طريق آنها از وضعيت online وي مطلع شوي درا دريافت كنيد.

• دكمه save OnConnect commands to server : از طريـق ايـن

دكمه شما مي توانيد تمامي روشهاي جديدي كه صالح مي دانيد تا ازاين به بعد از

طريق آنها از وضعيت online كامپيوتر قرباني خود مطلع شويد را بر روي سرور

هك كامپيوتر راه دور و قرباني خود ذخيره كنيد.

87

ــما مـي توانيـد بـراي • دكمهset /change password : از طريق اين دكمه ش

تغيير دادن نحوه با خبر شدن از وضعيت online كامپيوتر قرباني كلمــه عبـوري را

تعيين كرده، يااينكه كلمه عبور قبلي خودتان را تغيير دهيد.

• دكمه addICQ notification : از طريق اين دكمه شما مي توانيد از سرور

ــامپيوتر قربـاني راب ا ارسـال پيـامي از طريـق هك بخواهيد تا وضعيت online ك

سرويس گپ زني ICQ به استحضار شما برساند .

• دكمه add-e-mail notification : از طريق اين دكمه شــما مـي توانيـد از

ــاني را بـا ارسـال نامـه پسـت سرور هك بخواهيد تا وضعيت online كامپيوتر قرب

الكترونيكي به استحضار شما برساند.

• دكمه add irc notification : از طريق اين دكمه شما مــي توانيـد از سـرور

ــامپيوتر قربـاني راب ا ارسـال پيـامي از طريـق هك بخواهيد تا وضعيت online ك

سرويس گپ زني irc(internet relay chat) به استحضار شما برساند.

• دكمه add CGI notification : از طريـق ايـن دكمـه شـما مـي توانيـد از

سرور هك بخواهيد تا وضعيت online كامپيوتر قرباني را باارسال اطالعيه اي به

CGIاي كه بر روي سايت وبي راه اندازي كرده ايد به استحضار شما برساند .

• دكمه add staticIP otification : از طريق اين دكمه شــما مـي توانيـد از

IP كامپيوتر قرباني رابا اختصاص آدرس online سرور هك بخواهيد تا وضعيت

88

ثابتي به كامپيوتر قرباني مذكور به اطالع شما برساند . قبال گفتيم كه بـراي اسـتفاده

از اين ويژگي شما مي بايست برنامه اجرايي بــا عنـوان sin را كـه همـراه بـا پوشـه

برنامه sub7 است اجرا كنيد.

Clear commands بررسي امكانات گزينه

ــا كـادر محـاوره اي بـه نمـايش در بر روي گزينه cleaer commands كليك كنيد ت

آيد. در صورتيكه دركادر بر روي yes كليك كنيد تمامي شيوه هــاي مختلفـي كـه بـراي

كسب اطالع از وضعيت online كامپيوتر قرباني تعيين كرده بوديد پاك مي شوند .

add command بررسي امكانات گزينه

شما از طريق كادر محاوره اي مي توانيد فراميني را براي تعيين شيوه هــاي مختلـف كسـب

اطالع از وضعيت online كامپيوتر قرباني خود اجرا كنيد. الزم به ذكر اســت كـه امكـان

انجام اين كار از طريق دكمه هاي موجود نيز وجود دارد. بنابراين اگــر بـا فراميـن مربوطـه

آشنا نيستيد از طريق همان پنجره OnConnect command اقدام كنيد.

others بررسي امكانات گزينه

بر روي گزينه others كليك كنيد تا زير منوهاي آن به نمايش در آيند .

89

web status بررسي امكانات گزينه

بررسي امكانات گزينه Web down load با كليــك بـر روي ايـن گزينـه كـادر آن بـه

ــادر web status در پنجـره نمايش در ميآيد با كليك بر روي گزينه web status ك

SubSeven به نمايش در مي آيد.

destination file د و كادر متن تحت نانم هايSubSeven در قاب سمت راست پنجره

ــايت وب مـورد نظرتـان در داخـل و url آمده اند . شما مي توانيد با وارد كردن آدرس س

كادر متن روبروي عبارت url ،و همچنين تعيين موقعيت فــايل مـورد نظـر بـر روي سـايت

وب مربوطه در داخل كــادر متـن روبرويـي عبـارت destination file از سـرور هـك

ــه نصب شده بر روي كامپيوتر قرباني بخواهيد تا فايل مورد نظر شما رااز روي سايت وب ب

روي كامپيوتر قرباني download كرده و آنرا نصب كند!

scanner بررسي امكانات گزينه

بر روي گزينه scanner كليك كنيد تا زير منوهاي آن به نمايش در آيند.

remote scanner بررسي امكانات گزينه

شما مي توانيد از طريق گزينه هاي اين كادر كه شــباهت زيـادي بـه يـك اسـكنر آدرس

IP (IP scanner) دارد كامپيوترهاييي كه توسط خود شــما يـاهر وسـيله ديگـري هـك

ــايد شـماره شده و هم اكنون در وضعيت on line هستند را پيدا كنيد. براي اين كارابتدا ب

پورت مورد نظرتان را در كادر متن جلويي عبارت port و بعد دوآدرس IP ي ابتدايي و

90

انتهايي بازه اي كه مايل هستيد تــا مـورد جسـتجو قـرار گـيرد را هـم بـه ترتيـب در جلـوي

عبارات end ip ,start ip وارد كرده ،. نهايتا دكمه start scanner را كليك كنيد.

عموما توصيه مي شودكه شماره پورت را همان شمارههاي پيش فرض Trojan مشـهور

( كه مثال براي Sub7 ٢٧٣٧٤ است) انتخاب كنيد. همچنين پيشــنهاد مـي شـود كـه دامنـه

IP ي خود را هم محدود به تغييراتي در رقم آخر سمت راست يك آدرس IP آدرسهاي

كنيد.

keys/messages بررسي امكانات گزينه

بر روي گزينه keys/messages كه در ستون سمت چــپ پنجـره SubSeven آمـده

كليك كنيد تا زير منوهاي آن باز شوند.

keyboard بررسي امكانات گزينه

بر روي گزينه keyboard كليك كنيد تا زيرمنوهاي آن به نمايش در آيند .

open keylogger بررسي امكانات گزينه

از طريق دكمه هايي كه در اين كادر محاوره اي آمده اند شما مي توانيد فعاليتهاي كيبورد

كامپيوتر قرباني خود را مديريت كنيد. براي مشاهده عملكرد هر دكمه كافيست با اشارهگر

ــا عملكردكمـه مذكـور در داخـل ماوس خود بر روي آن رفته ، سپس قدري مكث كنيد ت

كادري به نمايش در آيد.

91

ــد • دكمه enable/disable keylogger : از طريق اين دكمه شما مي تواني

keylogger ــق ويـژگـي ويژگي keylogger را فعال يا غير فعال كنيد . از طري

شما مي توانيد از تمامي كليدهايي كه بر روي صفحــه كليـد كـامپيوتر قربـاني زده

ــات مي شوند مطلع شويد. اين يكي از روشهايي است كه شما با آن مي توانيد كلم

عبور اشتراكهاي Hotmail,Yahoo(accounts) را كشف كنيد .

• دكمه clear log : از طريق اين دكمه شما مــي توانيـد صفحـه keyloggerر ا

پاك كنيد.

ــما مـي توانيـد تعـدادي از دكمـه • دكمه disable keys : از طريق اين دكمه ش

هاي صفحه نمايش كامپيوتر قرباني را از كار بياندازيد، براي اين كــار كافيسـت بـر

روي اين دكمه كليك كنيد تا در محاوره اي به نمايش درآيد.

اكنون كافيست تا براي از كار انداختن هر كليدي بــر روي صفحـه كليـد كـامپيوتر قربـاني

خود در داخل كادر متن كليد مربوط هــرا وارد كـرده و دكمـه ok را كليـك كنيـد. مثـال

براي از كار انداختن كليد A كافيست در داخل اين كادر a را تايپ كنيد.

ــه هـاي صفحـه • دكمه replace keys : از طريق اين دكمه شما مي توانيد دكم

كليد كامپيوتر قرباني خود را با هم تعويض كنيد. مثال كاري كنيد كه وقتي كــاربر

ــود. بـراي ايـن كـار كامپيوترقرباني a را تايپ مي كند به جاي آن فرضا h تايپ ش

كافيست بر روي اين دكمه كليك كنيد تا كادر محاوره اي به نمايش در آيد.

92

ــه كافيست براي تعويض عملكرد كليدها آنها را دو به دو در داخل كادر متن واردكنيد . ب

ــراي عنوان مثال براي جابه جا كردن عملكرد كليد aباs كافيست تايپ كنيد as. همچنين ب

تعويض عملكرد چندين كليد نيز بايد آنها را بدون هرگونه فاصلــه اي در كنـار هـم تـايپ

aderfF :كنيد، مثل

open logged keys بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد تمامي كليدهايي كه بر روي كامپيوتر قرباني

زده شده و در سرور هك ذخيره شده اندر ا بر اساس روز، ماه و سال وقوع آنــها مشـاهده

كنيد.

همچنين از طريق دكمه هايي كه در كادر آمده اند شما مي توانيد هر يك از اعمال زيــر را

به انجام رسانيد:

• دكمه get logged keys : از طريق اين دكمه شما مــي توانيـد تمـامي دكمـه

ــل سـرور هـك نصـب شـده بـر روي كـامپيوتر قربـاني را هاي ذخيره شده در داخ

دريافت كنيد .

ـه delete all logged keys: از طريـق ايـن دكمـه شـما مـي توانيـد • دكم

محتويات كادر logged keys كه شامل تمام دكمه هايي اســت كـه توسـط فـرد

قرباني بر روي صفحه كليد كامپيوترش زده شده اند را پاك كنيد.

93

• دكمه save all logged keys to a text file : از طريق ايــن دكمـه شـما

مي توانيد تمامي كليدهاي زده شده را براي آناليز آن در فرصتي مناسب در داخــل

فايل متني ذخيره كنيد .

send keys بررسي امكانات گزينه

از طريق كادر شما مي توانيد كليدهايي را برروي صفحه كليد خود تايپ كرده سپس آنها

را براي كامپيوتر قرباني خود بفرستيد. براي اين كار كافيست ابتدا متن مــورد نظرتـان را در

داخل كادر تايپ كرده، و بعد دكمه send keys را كليك كنيد.

disable all keys بررسي امكانات گزينه

شما با كليك برروي گزينه disable all keys مي توانيد تمامي كليدهاي صفحه كليــد

كامپيوتر قرباني خود را از كادر بياندازيد.

re-enable all keys بررسي امكانات گزينه

شما با كليك بر روي گزينه re-enable all keys مي توانيد تمــامي كليدهـاي صفحـه

كليد كامپيوتر قرباني را كه از كار انداخته بوديد مجددا فعال كنيد.

matrix بررسي امكانات گزينه

Matrix يكي از شگفت انگيزترين ويژگيهاي برنامه Sub7 به حساب مي آيد . از طريق

اين ويژگي شما مي توانيد كادري را بر روي مانيتور كامپيوتر قربــاني خـود بـاز كـرده و از

طريق آن به گپ زني با فرد قرباني بپردازيد.ويژگي اصلي اين كادر متن آنست كه هــرگـز

94

ــد شـود نمي تواند توسط كاربر كامپيوتر قرباني در طول يك جلسه كاريش حذف يا ناپدي

،مگر آنكه كامپيوتر خود را راه اندازي مجدد (restart) كند.

start ــامي كافيسـت ابتـدا پيـام خـود را تـايپ كـرده، سـپس دكمـه اما براي ارسال هر پي

matrix را كليك كنيد.

message manager بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد كادرهايي مشابه با همان كــادر هـاي معمـول

ــانيتور كـامپيوتر قربـاني ويندوز كه در مواقع بروز ايرادي به نمايش در مي آيدرا بر روي م

خود ظاهر سازيد.براي اين كار كافيست ابتدا در قســمت اول تحـت عنـوان icon بـر روي

آيكني كه مايل هستيد تا در داخل كادري كه قرارست بر روي مانيتور كامپيوتر قربــاني بـه

نمايش درآيد كليك كرده وآنرا انتخاب كنيد، سپس در قسمت buttons بر روي دكمه

ــادر شـما بيـايند راديويي كناري گزينه اي كه مايل هستيد تا دكمه هايي با آن عناوين درك

كليك كرده، بعد در قسمت text,title به ترتيب عنوان و متن كادر مــورد نظرتـان را هـم

ــهايتا بـا كليـك بـر روي send message كـادر مربـوط همـراه بـاتركيب وارد كرده، ن

موردنظرتان به روي كامپيوتر قرباني بفرستيد. همچنين اين امكان نيز وجود دارد تا پيــش از

ارسال كادر طراحي شده يكبار آنرا بر روي كامپيوتر خود پيـش نمـايش دهيـد. بـراي ايـن

كار كافيست پس از انجام تنظيمات مورد نظرتان ، بر روي دكمه test message كليك

كنيد.

95

spy manager بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد كلمات عبور اشتراكهاي (accounts) كاربري هريـك

از سرويسهاي aim,ICQ,MSN,yahoo موجود بر روي كامپيوتر قرباني را بر باييد.

براي اين كار كافيست بر روي دكمه متناظر با هر يك از سرويســهاي فـوق الذكـر كـه در

ــال باالي اين كادر آمده است كليك كنيد تا سيستم جاسوسي شنود آن سرويس خاص فع

ــايين ايـن دكمـه هـا آمـده انـد شود. سپس با كليك بر روي هريك از برگه هايي كه در پ

اطالعات به دست آمده مربوط به آن سرويس خاص را مشاهده كنيد.

ICQ takeover بررسي امكانات گزينه

ــانل نـرم افـزار از طريق اين كادر محاوره اي شما مي توانيد تمامي UIN هاي موجود در پ

ICQ ي كامپيوتر قرباني خود را صاحب شويد. براي اين كار كافيست بــر روي دكمـه اي

تحت عنوان get list of UIN and nicknames كليك كنيد.سپس براي تصــاحب

takeover و گرفتن كنترل آنها بايد كاربران مورد نظرتان را انتخاب كرده و نهايتا دكمه

selected UIN را كليك كنيد.

advanced بررسي امكانات گزينه

بر روي گزينه advanced كه در ستون سمت چپ پنجره SubSeven آمـده كليـك

كنيد تا زير منوهاي آن باز شوند

96

fty server بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد كامپيوتر قرباني خود را به يــك سـرور هـك بـدل كـرده

ــد را ،سپس از طريق هريك از برنامه هاي ftp نظير :CuteFTP . هر فايلي كه مايل بودي

ــه بـه كـامپيوتر قربـاني خـود upload كنيـد. بـراي ايـن كـار تنـها كافيسـت كـه در برنام

CuteFTPيا هر برنامه ديگري كه با آن كار مي كنيــد ،آدرس IP ي كـامپيوتر قربـاني و

شماره پورتي را كه در حالت پيش گزيده ٢١ مي باشد وارد كرده و نهايتا Connect را

كليك كنيد. همچنين در صورتيكه كلمه عبوري را در كادر براي دسترسي به سرور هــك

بر روي كامپيوتر قرباني تعيين كرده باشيد الزمست كه آنرا هم در اينجا وارد كنيد.

find files بررسي امكانات گزينه

بر روي گزينه find files كليك كنيد تا زير منوهاي آن مطابق نمايش درآيند .

find files بررسي امكانات گزينه

از طريق اين كادر محاوره اي شــما مـي توانيـد بـه دنبـال فايلـهاي مـورد نظرتـان بـر روي

كامپيوتر قرباني جستجويي را به انجام برسانيد. براي اين كار كافيست نام فايل موردنظرتـان

را به همراه پسوند آن در كادر متن جلويــي عبـارت find what تـايپ كـرده، سـپس بـا

ــاري يكـي از گزينـه هـاي folder يـا all drives بـه كليك بر روي دكمه راديويي كن

ترتيب پوشه اي خاص يا تمامي درايوهــاي كـامپيوتر قربـاني را جسـتجو كنيـد. شـما حتـي

ميتوانيد در صــورت انتخـاب دكمـه راديويـي كنـاري عبـارت folder، در داخـل كـادر

97

ــهايتا روبرويي آن مسيري كه مايل هستيد تا جستجو در آنجا انجام گيرد را نيز وارد كنيد. ن

بايد براي انجام عمليات جستجو بر روي دكمه search كليك كنيد.

show found files بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيــد تمـامي فايلـهاي جـواب جسـتجوي خـود را

ــــــن مـــــي توانيـــــد بـــــا كليـــــك بـــــر روي دكمـــــه مشــــاده كنيــــد . همچني

move found files to file manager تمامي فايلهايي كه پيدا شده اندر ا به بخـش

file manager كه قبال راجع به آن صحبت كرديم منتقل كنيد.

packet sniffer بررسي امكانات گزينه

بر روي گزينه packet sniffer كليك كنيد تا زير منوهاي آن به نمايش در آيند .

enable/disable بررسي امكانات گزينه

ــرور از طريـق ايـن كـادر محـاوره اي شـما مـي توانيـد بسـته هـاي اطالعـاتي كـه ميـان س

(server) وكالينت(client) كامپيوتر قرباني مبادله مــي شـوند را مـانيتور كـرده، از ايـن

طريق به اطالعــات نـابي چـون شـماره كارتـهاي اعتبـاري يـا اطالعـاتي از ايـن دسـت كـه

ــد دسترسـي پيـدا كامپيوتر قرباني با كامپيوتر شبكه بانكي يا هر مركز ديگري مبادله مي كن

كنيد. براي اين كار كافيست آدرس IP ي كامپيوتر قرباني خود را در كـادر متـن جلويـي

عبارت receiving IP تايپ كرده و بعد دكمه start snifferر ا كليك كنيد. همچنين

98

براي توقف فرآيند مانيتور كردن بسته هاي مبادالتي نيز كافيست دكمه stop snifferر ا

كليك كنيد.

log window بررسي امكانات گزينه

ــها از طريق اين كادر محاوره اي شما مي توانيد تمامي بسته هاي حاوي اطالعاتي كه به آن

log گرديده است را مشاهده كنيد.

passwords بررسي امكانات گزينه

بر روي گزينه passwords كليك كنيد تا زير منوهاي آن به نمايش درآيند.

screensaver بررسي امكانات گزينه

ــه محـافظ با كليك بر روي اين گزينه شما مي توانيد كلمه عبور (password) مربوط ب

صفحه نمايش(screen saver) كامپيوتر قرباني را كشف كنيد.

cached بررسي امكانات گزينه

شما مي توانيد در اين كادر با كليك بر روي دكمه get cached passwords تمـامي

ــه نـهان كـامپيوتر ذخـيره شـده انـد را برمـال سـاخته و كشـف كلمات عبوري كه در حافظ

ــراي اتصـال كنيد.از اين رو اكثرا توصيه مي شود كه مثال در كادر connect to كه شما ب

به اينــترنت از طريـق آن شـماره گـيري مـي كنيـد هـرگـز كـادر عالمـت كنـاري عبـارت

ــل كلمـه save password را كليك نكرده و آنرا عالمت گذاري نكنيد. زيرا با اين عم

عبور در حافظه نهان كامپيوتر ذخيره شده و در چنين مواقعي به راحتي افشا مي شود .

99

ras passwords بررسي امكانات گزينه

شما مي توانيد در ايــن كـادر بـا كليـك بـر روي دكمـه get ras passwords تمـامي

ــي از راه دور (remote access servers) كـه بـراي كلمات عبور سرورهاي دسترس

دسترسي به فايلها و چاپگرهاي به اشتراك گذاشته شده در يك شبكه مورد اســتفاده قـرار

مي گيرند را كشف كنيد.

icq passwords بررسي امكانات گزينه

شما مي توانيد در اين كــادر بـا كليـك بـر روي دكمـه get icq passwords تمـامي

كلمات عبور سرويس ICQ نصب شده بر روي كامپيوتر قرباني را كشف كنيد.

aim passwords بررسي امكانات گزينه

ــادر بـا كليـك بـر روي دكمـه get aim passwords تمـامي شما مي تواند در اين ك

كلمات عبور سرويس aimي نصب شده بر روي كامپيوتر قرباني را كشف كنــيد. الزم بـه

ــام رسـاني اسـت كـه بيشـتر ذكر است كه aim يا همان AOL Instant Messeger پي

توسط كاربران AOL و در آمريكا مورد استفاده قرار مي گيرد.

recorded بررسي امكانات گزينه

ــوري (passwords) كـه شما مي توانيد از طريق اين كادر محاوره اي تمامي كلمات عب

در داخل پنجره ها يا كادرهاي باز شده بر روي كامپيوتر قرباني ذخيره شده اند را برباييد.

100

ICQ pass stealer بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد تمامي كلمات عبور ICQ (passwords) را برباييد.

registry editor بررسي امكانات گزينه

از طريق اين كادر محاوره اي شــما مـي توانيـد رجيسـتري (registry) وينـدوز كـامپيوتر

قرباني خود را ويرايش كنيد.

network browser بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيددر صورتيكه كامپيوتر قرباني به عنوان سروري

در يـك شـبكه مـورد اسـتفاده قـرار گرفتـه بـود . تمـامي درايواهـاي موجـود در شــبكه را

نگاشت(map) نمود و محتويات آنرا مشاهده كنيــد. ايـن كـار از طريـق كليـك بـر روي

دكمه map network drive كه در باالي اين كادر محاوره اي قرار گرفته صورت مي

disconnect network drive گيرد . همچنين شما مي توانيد با كليك بر روي دكمه

درايوهاي نگاشت شده (mapped) را پاك كنيد.

process manager بررسي امكانات گزينه

ــامي پروسـه هـايي كـه بـر روي كـامپيوتر از طريق اين كادر محاوره اي شما مي توانيد تم

قرباني در جريان هستند را مشاهده كرده و در صورت تمايل به كار يا عملكــرد پروسـه اي

پايان دهيد. اين كار در مرحله اول با انتخاب يــك يـا چنـد پروسـه و بعـد كليـك بـر روي

kill selected process صورت مي گيرد. براي مثال شما مي توانيد چنانچه فرد قرباني

101

ــه كـار كـاربر بر روي كامپيوترش در حال كار با برنامه واژپرداز word است. ا زراه دور ب

بابرنامه مذكور خاتمه دهيد.

app redirect بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد پورتي را بر روي كامپيوتر قرباني خود بار كرده و بعــد از

طريق سرويس تلنت (telnet) به آن نفوذ كنيد. براي ايــن كـار كافيسـت پـس از انتخـاب

شـماره پـورت كـه مـي توانـد همـان مقـدار پيـش فـرض ٢٣ را بپذيــرد، بــر روي دكمــه

enable app redirect كليــك كنيـد تـا ارتبـاط بـرقرار شـده و پـورت مذكـور بـراي

برقراري تماس از طريق تلنت(telnet) باز شود، سپس با كليك تــا ارتبـاط برقـرار شـده و

پورت مذكور براي برقراري تماس از طريق تنت (telnet) باز شود، سپس بــا كليـك بـر

روي دكمه run telnetبرنامه تلنت (telnet) را شروع كرده و كار با آن را آغاز كنيد.

port redirect بررسي امكانات گزينه

از طريـق ايـن كـادر شـما مـي توانيـد بـا بـاز كـردن پورتـي بـر روي كـــامپيوتر قربــاني از

ــوان سرويسهايي نظير:http,ftp ,irc و بسياري ديگر بهره مند شويد. به زبان ساده تر مي ت

گفت كه از طريق اين ويژگي شما مي توانيد هويــت واقعـي خودتـان را پنـهان كـرده و بـا

هويت كامپيوتر قرباني خود دست به هر كاري بزنيد.

102

netstat بررسي امكانات گزينه

ــه netstat شـما مـي توانيـد برنامـه netstat رابـاز كـرده و شـاهد با كليك بر روي گزين

تمامي ارتباطات كامپيوتر قرباني خود با ديگر كامپيوتر ها باشيد.

miscellaneous بررسي امكانات گزينه

ــتون سـمت چـپ پنجـره SubSevenآ مـده بر روي گزينه miscellaneous كه در س

كليك كنيد تا زير منوهاي آن باز شوند.

file manager بررسي امكانات گزينه

misc و يكي از زير منوهاي آن تحت عنوان shortcuts در زمان بررسي امكانات گزينه

shortcts با كــادر محـاوره اي file manager روبـرو شـديم كـه در همانجـا مفصـال

درباره كارايي اين كادر محاوره اي و هر يك از دكمه هاي آن صحبت كرديم

windos manager بررسي امكانات گزينه

ــي امكانـات گزينـه shortcuts و يكـي از زيـر منوهـاي آن تحـت عنـوان در زمان بررس

misc shortcuts با كــادر محـاوره اي windows manager روبـرو شـديم كـه در

همانجا مفصال درباره كارايي اين پنجره و هر يك از دكمه هاي آن صحبت كرديم.

103

text-2-speech بررسي امكانات گزينه

ــن از طريق اين كادر شما مي توانيد پس از تايپ متن مورد نظرتان در داخل كادرمتن زيري

ــان را پخـش كنيـد بـراي ايـن عبارت text وكليك بر روي دكمه!say it متن مورد نظرت

ــاني كار حتماً بايد از قبل موتور سخن گفتن (Speech engine) را بر روي كامپيوتر قرب

نصب كرده باشيد.

Clip board managerبررسي امكانات گزينه

از طريق اين كادر شما مي توانيد متــن موجـود در كليـپ بـورد(clipboard) را مشـاده و

ـــود در كليــپ بــورد كافيســت بــر روي دكمــه تنظيـم كنيـد. بـراي دريـافت متـن موج

ــاك كـردن كليـپ get clipboard text كليك كنيد. همچنين براي تنظيم و يا كامال پ

clear clipboard و يـا set clipboard text بورد نيز به ترتيب بر روي دكمه هاي

كليك كنيد.

print manager بررسي امكانات گزينه

ــن مـورد نظرتـان را تـايپ كـرده، سـپس آنـرا بـر روي از طريق اين كادر شما مي توانيدمت

چاپگر كامپيوتر قرباني خود به چاپ برسانيد. همچنين مي توانيد از طريق هر يك از گزينه

ــن خـود را تـيره، ايتـاليك،زيـر هاي italic,bold,strikeout,underline به ترتيب مت

ــدازه خط دار و خط خورده كنيد. حتي اين امكان نيز وجود دارد تا از طريق كادر font ان

فونت متن خود را هم تغيير دهيد.

104

fun manager بررسي امكانات گزينه

بر روي گزينه fun manager كه درستون سمت چپ پنجره SubSeven آمده كليك

كنيد تا زير منوهاي آن باز شوند.

screen capture بررسي امكانات گزينه

ــه Shortcuts ويكـي از زيـر منوهـاي آن تحـت عنـوان ما در زمان بررسي امكانات گزين

misc shortcuts با كادر محاوره اي Screen Capture روبرو شديم كه در همانجا

مفصالً درباره كارايي اين پنجره و هر يك از دكمه هاي آن صحبت كرديم.

webcom بررسي امكانات گزينه

از طريق اينكادر محاوره اي شما مي توانيــد در صـورت اسـتفاده كـامپيوتر قربـاني ا زيـك

webcom يا همان دوربين وب، دستگاه مورد نظر را روشــن كـرده و از طريـق آن اطـاق

كــامپيوتر قربــاني را ديــد بزنيــد.بــراي ايــن كــار كافيســت يكبــار بــــر روي دكمـــه

enable/disable webcom capture كليك كنيد . همچنين براي غــير فعـال كـردن

اين ويژگي نيز كافيست تا يكبار ديگر بر روي اين دكمه كليك كنيد.

file screen بررسي امكانات گزينه

ــامپيوتر قربـاني را بچرخـانيد.ايـن دوران از طريق اين كادر شما مي توانيد صفحه نمايش ك

ــي (horizontall) ، عمـودي (verticall) يـا هـر دو صـورت مي تواند حول محور افق

گيرد. براي اين كار كافيست ابتدا بر روي دكمه راديويي كناري هر يك از سه عبارتي كه

105

به ترتيب از باال بــه دوران حـول محـور افقـي، عمـوي ويـا هـر دو محـور عمـودي و افقـي

اختصاص دارند كليك كرده ،سپس دكمه filp screen را كليك كنيد.

print manager بررسي امكانات گزينه

در زمان بررسي امكانات گزينه miscellaneous دريكــي از زيـر منوهـاي آن بـا كـادر

print manager روبرو شديم كه در همانجا مفصال درباره كارايي اين پنجره و هر يـك

از بخشهاي آن صحبت كرديم .

open browser بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد پنجره مرورگــري چـون پويشـگر اينـترنت مايكروسـافت

(Internet Explorer) را بر روي كامپيوتر قرباني باز كرده و صفحه وب خــاصي را در

آن به نمايش درآوريد. براي اين كار كافيســت آدرس URL سـايت وب موردنظرتـان را

ــن عبـارت url تـايپ كـرده و بعـد دكمـه open browser را در داخل كادر متن زيري

كليك كنيد.

resolutionبررسي امكانات گزينه

از طريق اين كادر شما مي توانيد درجــه وضـوح (resolution) صفحـه نمـايش مـانيتور

كامپيوتر قرباني را كشف كرده،سپس آنرا بر حسب مقادير موجود تغيــير دهيـد.بـراي پيـدا

get available كردن درجــه وضـوح فعلـي صفحـه نمـايش كافيسـت بـر روي دكمـه

ــه resolutions كليك كنيد. همچنين براي تغيير دادن آن به هر درجه وضوح ديگري ك

106

در ليســـت آمـــده نـــيز كافيســـت ابتـــدا آنـــرا انتخـــــاب كــــرده ســــپس دكمــــه

change resolution to selected را كليك كنيد.

windows colors بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد رنگ پس زمينه (background) . منوي شروع ،تمامي

منوها ، نوار وظيفه (taskbar) و دكمه هاي (buttons) ويندوز كامپيوتر قرباني خــود را

ــان را انتخـاب كـرده، سـپس بـر تغيير دهيد.براي اين كار كافيست ابتدا رنگهاي مورد نظرت

روي دكمه change colors كليك كنيد. براي انتخاب رنــگ هـر گزينـه شـما بـايد بـر

روي رنگ مربوطه يكبار كليــك كنيـد تـا كـادر رنگـي بازشـده و امكـان انتخـاب رنـگ

موردنظرتان فراهم شود.

همچنين براي برگرداندن وضع به حالت اوليه و پيش فرض وينــدوز نـيز كافيسـت بـر روي

دكمه restore default colors كليك كنيد.

tic-tac-toe بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد پنجره اي را بر روي كامپيوتر قرباني باز كرده

و با وي شروع به بازي كنيد. براي اين كار كافيست بر روي دكمه start game كليـك

كنيد. براي انجام اين بازي كه بسيار هم مشــهور مـي باشـد شـما بـايد در داخـل كادرهـاي

ــه تـايي مربعي يكبار كليك كنيد تا عالمت زده شوند.هر بازيكني كه بتواند يك رديف س

107

پشت سر هم را با نشانه خود عالمت گذاري كند برنده مسابقه خواهد بود. شما مــي توانيـد

هر زمان با كليك كردن بر روي دكمه stop game بازي را متوقف كنيد.

Realistic matrix بررسي امكانات گزينه

از طريق اينكادر شما مي توانيد كادري را بر روي صفحه نمايش كامپيوتر قرباني باز كــرده

و از طريق آن با وي شروع به گپ زني كنيد. براي اين كار كافيســت ابتـدا بـر روي دكمـه

ــايپ open matrix كليك كرده تا كادري بر روي كامپيوتر قرباني باز شده ، سپس با ت

كردن متن موردنظرتان در داخل كادر متن زيريــن عبـارت message و كليـك بـر روي

ــر روي send message آنرا ارسال كنيد. شما هر زمان مي توانيد براي بستن كادر متن ب

ــته كـادر matrix آنسـت دكمه close matrix كليك كنيد. از ويژگيهاي بارز و برجس

كه هرگز تا زمانيكه فرد قرباني كامپيوترش را راه اندازي مجدد(restart) كند ايــن كـادر

از روي صفحه نمايش وي پاك نخواهد شد.

fun other بررسي امكانات گزينه

بر روي گزينه fun other كه در ستون ســمت چـپ پنجـره SubSeven آمـده كليـك

كنيد تا زير منوهاي آن باز شوند.

restart computer بررسي امكانات گزينه

ــالت زيـر سـوق از طريق اين كادر شما مي توانيد كامپيوتر قرباني خود را به يكي از پنج ح

داده وآنرا از فعاليت معمولش باز داريد. اين حاالت عبارتنداز:

108

• shut down computer: بـا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد

كامپيوتر قرباني خود را shut down كنيد.

ــد • power off computer : بـا كليـك بـر روي ايـن گزينـه شـما مـي تواني

كامپيوتر قرباني خود راخاموش كنيد.

ــد كـامپيوتر قربـاني خـود • hibernate: با كليك بر روي اين دكمه شما مي تواني

ــا تكـان دادن رابه حالت خواب ببريد. در اين وضعيت فرد قرباني مجددا مي تواندب

ماوس خود يا زدن هر يك از كليدهاي صفحه كليد مجددا به حالت فعال قبلي بـاز

گرديده و مانيتور خود را روشن كند.

• Reboot: با كليك بر روي اين دكمه شما مي توانيد كامپيوتر قرباني خــود را راه

اندازي مجدد (restart) كنيد.

• Log off user : با كليك برروي اين دكمه شــما مـي توانيـد فـرد قربـاني را از

كامپيوترش log off كنيد.

mouse بررسي امكانات گزينه

ــاني خـود بـازي كنيـد . ايـن بازيـها از طريق اين كادر شما مي توانيد با ماوس كامپيوتر قرب

عبارتند از:

• Reverse mouse buttons : با كليك بر روي ايــن دكمـه شـما مـي توانيـد

عملكرد دكمه هاي چپ و راست ماوس كامپيوتر قرباني را تعويض كنيد.

109

ــن دكمـه شـما مـي توانيـد • Restore mouse buttons : با كليك بر روي اي

ــاني خـود را بـا هـم تعويـض عملكرد دكمه هاي چپ و راست ماوس كامپيوتر قرب

كرده بوديد به حالت اول باز گردانيد.

• Hide mouse : با كليك بر روي اين دكمه شما مي توانيد اشاره گــر مـاوس را

بر روي كامپيوتر قرباني غيب كنيد.

• Show mouse : با كليك بر روي اين دكمه شما مي توانيد اشــاره گـر ماوسـي

را كه بر روي كامپيوتر قرباني خود غيب كرده بوديد مجددا نمايان كنيد.

• Control mouse : با كليك برروي اين دكمه شما مي توانيد كنترل اشاره گر

ماوس بر روي كامپيوتر قرباني را به دست گيريد. به عبارت ديگر از لحظــه اي كـه

بر روي اين دكمه كليك كنيد ديگــر بـا حركـت دادن اشـاره گـر مـاوس بـر روي

كامپيوتر خودتان اشاره گر كامپيوتر قرباني راه دور نيز به همان سو حركت خواهد

كرد.

• Stop controlling : با كليك بر روي اين دكمه شما مي توانيد كنترل اشــاره

ــت گرفتـه بوديـد مجـددا بـه همـان كـاربر گر ماوس كامپيوتر قرباني را كه در دس

قرباني باز گردانيد.

ــن قسـمت • Mouse trails :شما از طريق كادري به نام trail length كه در اي

ــر كـامپيوتر قربـاني پيـدا آمده مي توانيد اندازه دنباله اي كه مايل هستيد تا اشاره گ

110

ــه كند را تعيين كرده. سپس با كليك بر روي دكمه set آنرا به اجرا درآوريد. البت

شما هر زمان با كليك بر روي دكمه no trail مـي توانيـد ايـن دنبالـه را حـذف

كنيد.

volume settings بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد ولوم صداي كامپيوتر قرباني خــود را كـم يـا زيـاد كنيـد.

synth balance .wave براي اين كار كافيست در كادر روبرويي هريك از عبارات

balance و يا CD balance شماره هاي بين ٠تا ٢٥٥ را انتخاب كرده، نهايتا با كليــك

بر روي دكمه change volume settings تنظيمات مورد نظــر خـود را اعمـال كنيـد.

الزم به ذكر است كه عدد ٢٥٥ مربوط به حداكــثر و عـدد مربـوط بـه حداقـل مـيزان صـدا

ميباشـــــد. شـــــما همچنيـــــن مـــــي توانيـــــــد بــــــاكليك بــــــر روي دكمــــــه

read current volume settings تنظيمات فعلــي ولـوم صـداي كـامپيوتر قربـاني را

بخوانيد.

record micبررسي امكانات گزينه

ــما مـي توانيـد در صـورت اتصـال ميكروفـون (microphone) يـا از طريق اين كادر ش

هدستي (headset) به كامپيوتر قرباني، صداي مكــاني كـه كـامپيوتر قربـاني در آن قـرار

گرفته است را ضبط كرده، و بعد مجددا آنرا براي فرد قرباني و بر روي كامپيوترش پخـش

كنيد. در اين كادر همچنين اين امكان نيز فراهم شده تا بر اساس طول مدت كليپ صــدا و

111

همچنين كيفيت آن كه مي تواند بر روي عالي (high) يا پايين (low) تنظيم شود حجــم

فايل صداي تخميني را هم محاسبه كنيد.شما بايد براي شروع شدن عمليات ضبط بـر روي

دكمه start recrording كليك كرده، و براي پخش كردن كليپ صوتــي ضبـط شـده

بر روي خود كامپيوتر قرباني نيز دكمه play record wav را كليك كنيد.

time/date بررسي امكانات گزينه

از طريق اين كادر شما مي توانيد عالوه بر خواندن تاريخ و زمان تنظيمي بر روي كامپيوتر

قرباني، آنها را بنا به ميل خود تغيــير دهيـد. بـراي خوانـدن زمـان و تـاريخ تنظيمـي بـرروي

ــك كنيـد. كامپيوتر قرباني كافيست بر روي دكمه get current dete and time كلي

همچنين براي تغيير دادن اين زمان و تاريخ به هر مقدار ديگري ابتدا بايد به ترتيــب آنـها را

در كادر متن روبرويي عبارات server time,server date وارد كـرده،وبعـد دكمـه

هاي set date,set time را كليك كنيد.

extra fun بررسي امكانات گزينه

ـــد • Show desktop icons : بـا كليـك بـر روي ايـن دكمـه شـما مـي تواني

آيكنهايي را كه بر روي دســك تـاپ وينـدوز پنـهان كـرده بوديـد مجـددا ظـاهر

سازيد.

ــهاي • Hide desktopicons : با كليك بر روي اين دكمه شما مي توانيد آيكن

دسك تاپ ويندوز كامپيوتر قرباني خود را پنهان كنيد

112

ــن دكمـه شـما مـي توانيـد دكمـه • Hide start button : با كليك بر روي اي

شروع (start button) دسكتاپ ويندوز كامپيوتر قرباني را پنهان كنيد.

ــر روي ايـن دكمـه شـما مـي توانيـد دكمـه • Show start button :با كليك ب

شروع (start button) دسك تــاپ وينـدوز كـامپيوتر قربـاني را كـه قبـال پنـهان

كرده بوديد مجددا به نمايش درآوريد.

• Open CD-ROM: بـا كليـك بـر روي ايـن دكمـه شـما مـي توانيـــد درب

CD_ROM كامپيوتر قرباني خود را باز كنيد.

ـــد درب • Close CD-ROM : بـا كليـك بـر روي ايـن دكمـه شـما مـي تواني

CD-ROM كامپيوتر قرباني خود را باز كرده بوديد مجددا ببينديد.

ــا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد سـاعتي كـه در • Hide click : ب

منتهياليه سمت راست و پايين دسك تاپ كامپيوترقرباني آمده را پنهان كنيد.

• show clock :بــا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد سـاعتي كـه در

منتهياليه سمت راست و پايين دسك تاپ كامپيوتر قرباني آمده و آنرا پنهان كرده

بوديدرا مجددا به نمايش درآوريد.

• Start speaker : با كليك بر روي اين دكمه شما مي توانيد بلند گوي متصــل

به كامپيوتر قرباني را شروع كنيد.

113

• Stop speaker : با كليك بر روي اين دكمه شما مي توانيد بلند گــوي متصـل

به كامپيوتر قرباني را كه قبال شروع كرده بوديد مجددا متوقف سازيد.

ــك بـر روي ايـن دكمـه شـما مـي توانيـد نـوار وظيفـه • Hide taskbar : با كلي

(taskbar) دسك تاپ ويندوز كامپيوتر قرباني را پنهان كنيد.

ــر روي ايـن دكمـه شـما مـي توانيـد نـوار وظيفـه • Show taskbar : با كليك ب

ــدوز قربـاني را كـه پنـهان كـرده بوديـد مجـددا نمايـان (tasbar) دسك تاپ وين

سازيد.

• Turn monitor off : با كليك بر روي ايــن دكمـه شـما مـي توانيـد مـانيتور

كامپيوتر قرباني خود را خاموش كنيد.

• Turn monitor on: با كليــك بـر روي ايـن دكمـه شـما مـي توانيـد مـانيتور

كامپيوتر قرباني خود را كه خاموش كرده بوديد مجدداروشن كنيد.

keys fun بررسي امكانات گزينه

ـــي توانيــد LED ي • Num lock on: بـا كليـك بـر روي ايـن دكمـه شـما م

Num lock را بر روي صفحه كليد كامپيوتر قرباني خود روشن كرده وآنرا فعال

سازيد.

114

• Num Lock off : بــا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد LED ي

Num lock را كه بر روي صفحه كليد كامپيوتر قرباني خود روشن كرده بوديد

مجددا خاموش كنيد.

ــا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد LED ي • Caps Lock on : ب

Caps lock را بر روي صفحه كليد كامپيوتر قرباني خود روشن كرده وآنرا فعال

سازيد.

• Caps lock off : بـا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد LED ي

Caps lock اي را كه بر روي صفحه كليد كــامپيوتر قربـاني خـود روشـن كـرده

بوديد مجددا خاموش كنيد.

• Scroll Lock on : با كليــك بـر روي ايـن دكمـه شـما مـي توانيـد LED ي

Scroll lock را بر روي صفحه كليد كامپيوتر قربــاني خـود روشـن كـرده وآنـرا

فعال سازيد.

ــر روي ايـن دكمـه شـما مـي توانيـد LED ي • Scroll Lock off : با كليك ب

ــود روشـن كـرده Scroll lock اي را كه بر روي صفحه كليد كامپيوتر قرباني خ

بوديد مجددا خاموش كنيد.

• Disable Ctrl+Alt+Del : با كليـك بـر روي ايـن دكمـه شـما مـي توانيــد

عملكرد دكمه هاي Ctrl+Alt+del را از كار بياندازيد.

115

• Enable Ctrl+Alt+Del : بـا كليـك بـر روي ايـن دكمـه شـما مـي توانيـد

ــه بوديـد مجـددا فعـال عملمكرد دكمه هاي Ctrl+Alt+del اي را از كار انداخت

كنيد.

plugins بررسي امكانات گزينه

ــده كليـك بر روي گزينه plugins كه در ستون سمت چپ پنجره SubSeven آم

كنيد تا زير منوهاي آن باز شوند.

list plugins بررسي امكانات گزينه

بر روي گزينه list plugins كليك كنيد تا كادر محاوره اي آن به نمايش در آيد.

از طريق اين كادرمحاوره اي شــما ميتوانيـد plugins هـايي را بـه سـرور هـك خـود

اضافه يا كم كنيد.

• Refresh plugin list: با كليك بر روي اين دكمه شما مي توانيد ليسـت

plugin هاي خود راتازه سازي كنيد.

ــد تعـدادي • Uninstall plugin : با كليك بر روي اين دكمه شما مي تواني

از plugin هاي موردنظرتان را از حالت نصب خارج كنيد.

• Upload and install plugin: بـا كليـك بـر روي ايـن دكمـه كـادر

محاوره اي بــا عنـوان open بـاز مـي شـو دكـه شـما از طريـق آن مـي توانيـد

116

ــاني خـود download كـرده و نصـب plugin هايي را به روي كامپيوتر قرب

كنيد.

ـــادر • Manually install aplugin: بـا كليـك بـر روي ايـن دكمـه ك

ــود كـه در آن شـما مسـير pluginا ي كـه قبـال بـه روي محاوره اي باز مي ش

كامپيوتر قرباني خود upload كرده بوديد را وارد كرده ، از اين طريق آنرا بر

روي سرور هك كامپيوتر قرباني نصب و راه اندازي مي كنيد.

• Download plugin from the web : كادر باز مي شود شــما در آن

ــر روي مي توانيد آدرس URL سايت وبي كه plugin هاي موردنظرتان را ب

ــا آنـها را بـر روي آن قرار داده ايد وارد كرده ، سپس از سرور هك بخواهيد ت

كامپيوتر قرباني download كرده و نصب كند.

get commands بررسي امكانات گزينه

از طريق اين گزينه شما مي توانيد فرمانهاي صادره را دريافت كنيد.

plugins بررسي امكانات گزينه

ـــا كــادر درزمـان بررسـي امكانـات گزينـه list plugins و يكـي از زيـر منوهـاي آن ب

محاورهاي plugin روبرو شديم كه همانجا مفصال درباره كارايي اين كادر محــاوره اي و

عملكرد هريك از دكمه هاي آن صحبت كرديم.

117

local options بررسي امكانات گزينه

بر روي گزينه local options كـه در سـتون سـمت چـپ پنجـره SubSeven آمـده

كليك كنيد تا زير منوهاي آن باز شوند.

ip tool بررسي امكانات گزينه

در زمان بررسي امكانــات گزينـه local shortcuts و يكـي از زيـر منوهـاي آن بـا نـام

ــت ip tool مفصال درباره كارايي اين كادر محاوره اي و هر يك از دكمه هاي آن صحب

كرديم.

address book بررسي امكانات گزينه

در زمان بررسي امكانــات گزينـه local shortcuts و يكـي از زيـر منوهـاي آن بـا نـام

address book مفصال درباره كارايي اين كادر محاوره اي صحبت كرديم.

proxies بررسي امكانات گزينه

در زمـان بـررس امكانـات گزينـه connection و در يكـي از زيـر منوهـــاي آن بــا نــام

proxies مفصال درباره كارايي اين كادر محاوره اي صحبت كرديم.

preferences بررسي امكانات گزينه

در زمان بررسي امكانات گزينه local shortcuts و در يكي از زيــر منوهـاي آن بـا نـام

settings مفصال درباره كارايي اين پنجره صحبت كرديم .

118

install plugin بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد plugin هاي مورد نظر خود را سوار كنيد.

advanced بررسي امكانات گزينه

بر روي گزينه advanced كليك كنيد تا زير منوهاي آن به نمايش درآيند.

commands بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد فراميني را براي اجرا شدن وارد كنيد.

script editor بررسي امكانات گزينه

از طريق اين كادر محاوره اي شما مي توانيد فرامين نوشته شده خود را تست كنيد.