در اين سري از مقالات ميخواهم راجع به موضوعي بحث كنم كه شايد مشكل بسياري از كاربراني باشد كه با ويندوز سرو كار دارند !
همان طور كه ميدانيد در حال حاضر انواع و اقسام برنامه هاي مخرب براي سيستم عامل ويندوز ساخته شده اند كه هر كدام اثرات مضري را بر ويندوز ميگذارند و موجب ناراحتي كاربران ميشوند. در اين خصوص تروجانها سهم عمده اي در اين گونه خرابكاريها دارند.
عمده اشكالاتي كه معمولا در بين اكثر تروجانها شيوع دارد و به وجود مي آورند اين است كه باعت ميشوند دسترسي كاربر به برخي قسمتهاي مهم ويندوز محدود شده و در نتيجه كاربر نتواند آن فايل مخرب را شناسايي و يا از بين ببرد.
در يكي از مقالات راجع به قسمت Task Manager و نحوه بازگرداني آن در صورت بروز چنين مشكلي بحث كردم. در اين مقاله ميخواهم در مورد قسمت Registry ويندوز صحبت كنم كه شايد مهم ترين و حساس ترين قسمت در اين زمينه باشد.
تقريبا تمام تروجانها قابليت محدود كردن دسترسي به اين قسمت مهم را دارند. اين قسمت علاوه بر محدود شدن توسط يك تروجان ممكن است توسط مدير سيستم نيز غير فعال شده باشد ( براي محدود كردن دسترسي كاربران ).
در اين مقاله ميخواهم به شما آموزش دهم كه چگونه ميتوان اين قسمت را در صورتي كه غير فعال شده باشد ، مجددا فعال كرد. البته در شرايطي كه توسط مدير سيستم غير فعال شده باشد كار كمي پيچيده خواهد شد و اين روش تنها در شرايط خاصي كه ذكر خواهم كرد قابل اجرا خواهد بود.
نكته بعدي اينكه در اين زمينه يعني بازگرداني رجيستري غير فعال شده چند روش ديگر نيز وجود دارد كه آنها را در مقالات بعدي بررسي خواهيم كرد و تك تك اين روشها را فراخواهيد گرفت ( اين روش فقط يكي از روشها است ! ).
پس با ادامه مقاله همراه باشيد :
اما چاره كار :
در اين روش ما از يك Script به زبان VBScript استفاده خواهيم كرد.
همان طور كه ميدانيد فايلهاي VBScript يا VBS به راحتي توسط يك اديتور متني مانند Notepad قابل ايجاد و اجرا شدن هستند ، بنابراين ما نياز به هيچ ابزار اضافه اي نخواهيم داشت ( معمولا Notepad به وسيله تروجان محدود نميشود و توسط مديران نيز از نظر دسترسي محدود نميشود ! ).
پس مراحل زير را با دقت و به ترتيب انجام دهيد :
ابتدا Notepad را باز كنيد.
متن زير را كپي كرده و درون آن پيست كنيد ( در صورت به وجود آمدن مشكل ميتوانيد خود ابزار را در پايان مقاله دانلود كنيد و از آن استفاده نماييد ) :
Option Explicit
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype
Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off or restart your pc to effect" & vbCR & "the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "
t = "RegTools ( www.P30world.com )"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number
if errnum <> 0 then
WSHShell.RegWrite p, 0, itemtype
End If
If n = 0 Then
n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If
بعد در برنامه Notepad ، از منوي File گزينه Save را انتخاب كرده و آن را با هر نام دلخواهي و فقط با پيوند vbs. ذخيره كنيد ( براي مثال با اين نام RegTools.vbs ).
حال به محل ذخيره فايل رفته و آن را اجرا كنيد.
اين ابزار طوري طراحي شده است كه حتي يك مدير هم ميتواند از آن استفاده كند.
پس از اجراي آن ، اگر رجيستري در سيستمي غيرفعال باشد و كاربري بخواهد آن را فعال كند با پيغام زير مواجه خواهد شد و سپس رجيستري فعال خواهد شد ( و بعد كاربر ميتواند در صورتي كه از رجيستري اطلاعات كافي داشته باشد ساير قسمتهاي محدود شده را نيز به راحتي فعال نمايد !!! ) :
و اگر هم رجيستري فعال باشد و براي مثال مدير بخواهد آن را غير فعال كند ، با اجراي ابزار پيغام زير نمايش داده خواهد شد و پس از آن رجيستري غير فعال شده و مجددا پس از اجراي رجيستري پيغامي كه در بالا به آن اشاره كردم ظاهر خواهد شد :
توجه داشته باشيد كه اين ابزار از نظر امنيتي ميتواند بسيار مخرب باشد ، زيرا قسمتي را فعال ميكند كه تمام قسمتهاي محدود شده زير نظر آن قرار دارند و ميتوان به راحتي ساير محدوديت ها را حذف كرد. بنابراين با دقت از آن مراقبت كنيد !!!
اگر در ساخت Script به مشكلي برخورد كرديد ميتوانيد آن را ( به صورت ساخته شده ) از اين آدرس دانلود و اجرا نماييد ( حجم = 2 كيلوبايت ).
اما توصيه هاي ايمني براي مديران عزيز :
چند روش براي محدود كردن اين ابزار وجود دارد كه ساده ترين روش را به شما آموزش ميدهم :
ساده ترين روش اين است كه شما وقتي كه در حال ساخت كاربر جديد هستيد از همان ابتدا آن را در حالت Limited بسازيد و سپس از همان يوزر Admin آن را با نرم افزارهاي محدود ساز يا از طريق رجيستري و يا Group Policy محدود كنيد.
توجه داشته باشيد كه اگر يوزري را به صورت Admin با تمام امكانات بسازيد و سپس آن را محدود كنيد ، يعني اگر بعد از ساخت به صورت Admin آن را Limit كنيد ، از همان قسمت User Accounts ويندوز و نه توسط هيچ ابزاري و يا رجيستري و ... ، اين اسكريپت در آن يوزر محدود شده به راحتي اجرا خواهد شد و در اين صورت بايد روش ديگري را انجام دهيد. بنابراين در اين مورد كاملا دقت كنيد.
اما مشكلي كه در اين روش ساده وجود دارد اين است كه با وجود اين كار نيز باز امكان دارد در برخي از سيستم ها اجازه اجراي اسكريپت به يوزر داده شود ( حتب اگر از همان ابتدا محدود ساخته شود ). بنابراين اين روش ساده نيز در تمام موارد جواب نخواهد داد.
بهترين روش براي پيش گيري از اجراي اين اسكريپ اين است كه قابليت Windows Script Host يا همان WSH در ويندوز ( براي آن يوزر ) غير فعال شود. در آن صورت يوزر توانايي اجراي هيچ گونه اسكريپتي در محيط خودش را نخواهد داشت و البته هيچ اسكريپتي نيز پنهاني اجرا نخواهد شد ( كه اين كار نيز در شرايطي مشكلاتي را از قبيل اجرا نشدن برخي سايتهاي اينترنتي و ... براي يوزر به وجود خواهد آورد ! ).
در يكي از مقالات بعدي به طور مفصل راجع به چگونگي فعال يا غير فعال كردن WSH بحث خواهم كرد.
در نهايت اينكه مديران عزيز بايد در اين زمينه كاملا دقت كنند. اين روش اگر چه ميتواند در صورت بروز مشكل توسط يك تروجان در سيستم كاربران بسيار مفيد باشد اما ميتواند از نظر امنيتي براي مديران بسيار خطرناك باشد.
مسئوليت استفاده از اين ابزار تماما به عهده كاربران ميباشد.
