X
تبلیغات
رایتل
سه‌شنبه 3 اردیبهشت‌ماه سال 1387 ساعت 08:48 ب.ظ

فایل های INI. چه هستند؟

این فایل ها در حقیقت فایل های متنی (TXT) ساده هستند، که بوسیله برنامه Notepad می توان یک فایل (TXT) را به سادگی ایجاد کرد.  این فایل ها بوسیله ویندوز و برنامه های تحت ویندوز مورد استفاده قرار می گیرند تا اطلاعاتی در مورد خواسته های شما و محیط عملکرد خود ذخیره کنند. INI. مخفف initialization است.

ساختار فایل INI.:

فایل INI. شامل یک یا چند بخش است هر بخش با یک نام بخش (section name) آغاز می شود که ممکن است، هیچ یا چندین ورودی وجود داشته باشد. که بعد از آن قرار می گیرد.

[بخش]

ارزش=نام کلید

اگر توضیحی وجود داشته باشد بعد از «سمی کالن» (;) قرار می گیرد.

ویندوز از چندین استاندارد برای فایل های INI. استفاده می کند تا اطلاعات پیکر بندی کامپیوتر را ذخیره کند. فایل هایی که این اطلاعات را نگهداری می کنند عبارتند از :

WIN.INI, SYSTEM.INI, PROGMAN.INI, PROTOCOL.INI, SHARED.INI, WINFILE.INI, CONTROL.INI, SCHDPLUS.INI

نرم افزارهای تحت ویندوز هم بعد از نصب شدن ممکن است قسمتهایی به WIN.INI اضافه کنند و همچنین خود فایل های INI. به دایرکتوری ویندوز اضافه کنند.

ایجاد تغییرات در فایل های INI.

چون فایل های INI. از یک متن ساده استفاده می کنند. بوسیله یک برنامه متنی ساده مانند Notepad می توانند ویرایش شوند.

همانطور که در شماره قبل وعده داده بودیم، در این شماره به بررسی روشهای مختلف به کار گرفته شده توسط ترواها برای اجرا شدن با هر بار اجرای ویندوز می پردازیم تا بتوانیم از این طریق آنها را شناسایی و حذف کنیم. اگرچه به روشهای قدیمی هم اشاره مختصری خواهیم کرد، فقط به بررسی روشهای امروزی می پردازیم. با اینکه در مورد حذف ترواها بعداً بیشتر خواهیم نوشت، پس از مطالعه این مقاله شما باید بتوانید نه تنها ترواها، بلکه سایر برنامه های احتمالاً مزاحمی را که با هر بار اجرای ویندوز شما خود را اجرا می کنند بیابید. اگرچه این متن کمی تخصصی به نظر می رسد، اصلاً وحشت نکنید، یکبار آن را با حوصله بخوانید و سپس بار دوم ضمن خواندن متن، کارهای نوشته شده در آن را انجام دهید.

 روشهای مختلفی که یک برنامه می تواند از طریق آنها خود را با هر بار اجرای ویندوز اجرا کند عبارتند از:

 1- استفاده از winstart.bat: در این روش که مناسب ویندوزهای قدیمی است، فایلی به نام winstart.bat در شاحه ویندوز ساخته می شود و برنامه از این فایل فراخوانی می شود؛ به این صورت که اگر این فایل موجود نباشد ساخته می شود و در غیر این صورت فقط نام برنامه به آن اضافه می شود.

2- استفاده از win.ini: در این روش که امروزه زیاد مورد استفاده قرار نمی گیرد، با نوشتن عبارت load=filename.exe (که به جای filename.exe نام برنامه قرار می گیرد) یا Run=filename.exe در قسمت [windows]، برنامه مورد نظر با هر بار اجرای ویندوز اجرا خواهد شد. برای باز کردن فایل Win.ini و مشاهده محتویات آن، بهترین روش استفاده از برنامه System configuration editor ویندوز است. برای اجرای این برنامه از منوی Start، Run را انتخاب کنید (یا کلید ویندوز کیبورد خود را بگیرید و سپس کلید R را فشار دهید)، تایپ کنید SysEdit و OK را فشار دهید. از بین فایلهای باز شده فایل مورد نظر را پیدا کنید. اگر دقیقاً با این فایلها آشنایی ندارید، مواظب باشید که تغییری در این فایلها ندهید و اگر دادید، تغییرات خود را ضبط نکنید.

 3- استفاده از System.ini: این روش بسیار مشابه روش بالاست. و مانند بالا این فایل هم درون System configuration editor قابل مشاهده است. اگر در این فایل به عبارتی مشابه shell=Explorer.exe trojan.exe برخورد کردید، سیستم شما بلافاصله پس از اجرای explorer.exe، trojan.exe را اجرا خواهد کرد.

 4- استفاده از Start up: هر برنامه ای که در منوی Start داخل قسمت Startup قرار بگیرد، با هر بار اجرای ویندوز خود به خود اجرا خواهد شد. Startup در ویندوزهای جدیدتر در قسمت All programs منوی Start قرار دارد.

 5- استفاده از رجیستری: این روش که در حال حاضر متداولترین روش مورد استفاد ترواها و کرمها می باشد به این صورت است که نام فایل اجرایی به قسمت Run در رجیستری اضافه می گردد. رجیستری ویندوز حاوی اطلاعات مختلفی از سخت افزارها و نرم افزارهای گوناگون نصب شده روی سیستم شماست. برای مشاهده رجیستری، از منوی Start، Run را انتخاب کنید (یا کلید ویندوز کیبورد خود را بگیرید و سپس کلید R را فشار دهید) و در داخل جعبه متن آن تایپ کنید: RegEdit و OK را فشار دهید. اگر دقیقاً با رجیستری آشنایی ندارید، مواظب باشید که تغییری در آن ندهید. از میان قسمتهای مختلف رجیستری در اینجا ما با HKEY_CURRENT_USER و HKEY_LOCAL_MACHINE سروکار داریم. یکی از ایندو را انتخاب کنید و روی آن Double Click کنید (یا روی علامت + کنار آن کلیک کنید) حال به ترتیب گزینه های زیر را انتخاب کنید تا به Run برسید:

Software -> Microsoft -> Windows -> Current Version -> Run

      در شرایطی که بیش از یک نفر از یک رایانه استفاده می کنند و روی آن کاربران مختلف تعریف کرده اند، معمولاً برنامه هایی که در قسمت Run موجود در HKEY_LOCAL_MACHINE نامشان نوشته شده باشد با هر بار اجرای ویندوز برای تمام کاربران آن اجرا می شوند اما برنامه هایی که نام آنها در HKEY_CURRENT_USER آمده باشد فقط برای کاربری که در حال حاضر از سیستم استفاده می کند اجرا خواهند شد.

       ممکن است علاوه بر Run، گزینه هایی به نامهای RunOnce، RunServices یا RunServicesOnce را هم دیده باشید که آنها هم همین اثر را دارند با این تفاوت که اگر نام برنامه ای در RunOnce یا RunServicesOnce قرار بگیرد فقط یکبار یعنی فقط دفعه بعدی که ویندوز اجرا می شود به همراه ویندوز اجرا خواهد شد.

       6- روش ShellOpen رجیستری: در رجیستری و در زیر کلیدهای زیر باید همیشه عبارت "%1" %* نوشته شده باشد اما اگر به عبارتی مانند trojan.exe "%1" %*  برخورد کردید، بدانید که فایل Trojan.exe سعی دارد کاری کند با هر بار اجرای هر فایل اجرایی روی رایانه شما، او هم اجرا شود:

  [HKEY_CLASSES_ROOT\exefile\shell\open\command]

 

  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

       7- استفاده از روشهایی مانند  Binding و جایگزینی: اگرچه روشهایی که در بالا نوشته شد حاوی تمامی روشهایی است که امروزه مورد استفاده قرار می گیرند، روشهای اجرا هرگز به موارد فوق ختم نمی شوند و همیشه جای ابتکار یا استفاده از روشهایی که فقط روی سیستمها یا در شرایط خاصی عمل کنند باز است بنابراین به صرف اینکه مطمئن شوید از طریق روشهای بالا سیستم شما آلوده نشده است کفایت نمی کند. به عنوان نمونه در روشهایی مانند  Binding و جایگزینی که هنوز چندان مورد استفاده قرار نگرفته و پیش بینی می شود در آینده نزدیک بیشتر مورد استفاده قرار بگیرند، فایلی که قرار است با هر بار اجرای ویندوز خود را اجرا کند، فایل دیگری را پیدا می کند که این کار را انجام دهد و سپس خود را به آن می چسباند. به عنوان نمونه با تشخیص اینکه روی سیستم، فایل مربوط به ویندوز مسنجر با هر بار اجرای ویندوز اجرا می شود، کاری می کند که در هنگام اجرای ویندوز مسنجر، آن برنامه هم اجرا شود. اگر برنامه برای این کار خود را به فایل اجرایی مسنجر ویندوز بچسباند، می گویند از Binding استفاده کرده است اما اگر خود را جایگزین آن کند، می گویند از روش جایگزینی استفاده کرده است. اگرچه این روشها از قدیم توسط ویروسهای مختلف برای آلوده کردن فایلهای اجرایی به کار گرفته می شدند اما استفاده از این روش برای اجرای همزمان با ویندوز احتمالاً به زودی بیشتر مورد استفاده قرار خواهد گرفت.

      پس از مطالعه روشهای بالا، احتمالاً شما هم با من هم عقیده هستید که پیدا کردن یک تروا به روش دستی کار چندان ساده ای نیست؛ اما اکثریت قریب به اتفاق ترواها از روشهای رجیستری استفاده می کنند و شما از تغییرات ایجاد شده در قسمتهای Run می توانید به آلوده شدن سیستم پی ببرید. یک ابزار بسیار عالی که در اکثر ویندوزها وجود دارد (در ویندوز 2000 وجود ندارد) ابزاری به نام System Configuration Utility است. برای اجرای این ابزار، از منوی Start، Run را انتخاب کنید (یا کلید ویندوز کیبورد خود را بگیرید و سپس کلید R را فشار دهید) و در داخل جعبه متن آن تایپ کنید: MSConfig و OK را فشار دهید. اگرچه این ابزار کاربردهای مختلفی دارد، ما در اینجا فقط به ذکر کاربردهایی از آن می پردازیم که به موضوع بحث ما بیشتر مربوط هستند. پس از باز شدن صفحه System Configuration Utility، از بالای صفحه Startup را انتخاب کنید. خواهید دید که اکثر فایلهایی که خود به خود همراه ویندوز شما اجرا می شوند در اینجا لیست شده اند و شما با حذف تیک کنار اسم آنها می توانید آنها را از کار بیندازید. در قسمت Startup item نامی که برنامه برای خود برگزیده است، در قسمت command، آدرس فایل اجرایی برنامه و در قسمت Location تکنیک مورد استفاده توسط برنامه برای اجرا را خواهید دید. توجه به نکات زیر هم در استفاده از MSConfig به شما کمک خواهد کرد:

1- چون معمولاً قسمتهای command و location فضای کافی برای نمایش کامل محتویات خود را ندارند، موش رایانه را روی خط جداکننده command از location یا خط انتهای location ببرید تا بتوانید اندازه این قسمتها را تغییر دهید.

 2- عبارتهای HKCU و HKLM به ترتیب مخفف HKEY_LOCAL_MACHINE و HKEY_CURRENT_USER می باشند که در بالا و در تکنیک شماره 5 به آنها اشاره شد.

 3- برای مشاهده فایلهای System.ini و win.ini، علاوه بر روش گفته شده در بالا (در مورد شماره 2) کافی است که از قسمت بالای MSConfig گزینه های SYSTEM.INI و WIN.INI را انتخاب کنید. 

del.icio.us  digg  newsvine  furl  Y!  smarking  segnalo