Trojanların çalışma mantıkları

[ercan07]

Trojanların çalışma mantıkları

Trojanlar kabaca bir bilgisayara, bilgisiyar sahibinin izni olmaksizin girmeye yarayan programlardir. Trojanlarin bircogu iki programdan olusur. Bunlardan biri client biri serverdir. Server kismi baglanmak istedigimiz bilgisayara gonderdigimiz kisimdir. Client kismi ise bizim kullandigimiz, servera baglanmaya yarayan kisimdir.

Bircok trojanda server gonderilen makinede bir port acilir ve bilgisayar bu port uzerinden baglanti beklemeye baslar. Bu trojanlara ornek olarak Subseven, Netbus, BO verilebilir. Bu trojanlarin serverlari calistirildigi zaman bilgisayarda bir port acilir ve bilgisayar bu port uzerinden disaridan baglanti bekler. Bu nedenden dolayi bu tür trojanlarda karsi tarafin ip adresi bilmek baglanmak icin kesinlikle gereklidir. Trojan yazan kisiler bu ip adreslerini client sahibine bildirmek icin gerekli teknikler kullanmislardir. Bircok trojanda server olustururken client e ip adresinin nasil ulastirilacagi kismi yer alir. Bunlar e-mail, ICQ, IP adresi uzerinden olabilir.

Biraz daha yuzeysel anlatayim. Mesela internetten bir trojan indirdiniz. Bu trojan yrni bir trojan ise genellikle sadece clietten yani sizin kendi bilgisayarinizda calistirmaniz gereken. Baglanmak istediginiz bilgisayara yollayacaginiz server kismini bu clienttin icinden olusturursunuz. Tabiki bu clienti olustururken kendi mail adresinizi veya icq numaranizi da yazarsiniz. Bunun nedeni serveri yedirdiginiz kisinin ip adresini ogrenmek zorunda olmanizdir. Server karsi makinede aclidiginda size e-mail le baglanmak istediginiz bilgisayarin ip adersi gelir. Bazi trojanlarda duzenli olarak kurbanin giris, cikislariyla ilgili bilgi gonderir.

Evet trojanlarin bircogunun calisma mantigi budur. Simdi gelelim firewall meselesine. Simdi firewall nedir. Firewalli bilgisayari trojanlara karsi korunmak icin yazilmis olan programlardir. Firewalllar herzaman bir bilgisayar uzerinde bulunmak zorunda degildirler. Modem uzerinde de bulunabilirler. Ben modemin oldugunu varsayarak anlaticam. Bu sekilde daha anlasilir oluyor. Mesela bir internet kafe ya da okul ortami dusunun. Internete cikis modem uzerinden olur. Bu modem genellikle hub a bagli olur. (Hub: 2 den fazla bilgisayarin yer aldigi aglarda kullanilan cihaz). Modem internete cikis yaptiginda bir ip adresi alir ve tum bilgisayarlar internete bu ip adresi uzerinden baglanmis olurlar. Bu nedenden dolayi bir bilgisayara trojan atsaniz bile disaridan baglanti saglayamazsiniz. Cunku size gelen ip adresi modemin ve trojani attiginiz makinenin ag ip si olur. Modem in ip sinden baglanamazsiniz cunku siz agdaki bir bilgisayara trojan attiniz modeme degil. Ag ip sinden ise ag disindan baglanmak mumkun degildir cunku en basit sekilde siz o agda degilsiniz. Yani burada modem ve hub firewall gorevi gormektedirler. Eger agdaki bir makine internete direk cikis yapmis ve diger makineler bunun uzerinden internete giriyor olsaydi bu makineye baglanabilirdik. Cunku bu makinenin ip adresi direk olarak internete baglanmaktadir. Bu makineye trojan attiginizda disaridan gelen baglantilara bir port acilmis olur ve sizde bu porttan girebilirsiniz. Tabiki programcilar internet kullanan kisileri bu tur saldirilardan korumak icin firewalllar yazmislardir. Bunlarda bir bilgisayarin internete direk cikis yapmasini engeller ve direk ag arkasindaymis gibi davranmasini saglar.

Kisaca firewalli soyle aciklayalim. Firewall dahil bir sistemde olan bir bilgisayar internetteki bilgisayarlara baglanabilirler fakan internetten bu bilgisayarlara direk baglanti kurulamaz.

Peki ya firewall kullanilmis bir sisteme girekmek inkansizmidir. Nothing is impossible mantigindan bakarsak imkansiz degildir. Bu tur durumlar icin yazilmis trojanlar da vardir. Bunlar Remote Connection ozelligine sahiptirler. Peki nedir bu Remote Connection yenir mi? Remote connection aslinda calisma mantigi trojanlarin tam tersi olan bir baglanti turudur. Bu baglantida client servera degil server cliente baglanmaktadir. Yani olay sudur. Clienti olustururken clientte kendi ip adresinizi girersiniz. Server calistirilmis makine belirli araliklarla bu sizin girmis oldugunuz ip ye baglanmaya calisir. Yani firewall i olan makine disaridaki makineye baglaniyor. Yani port acik beklemek server icin gecerli degil. Remote Connection da baglantiyi yapan server baglanilan makine client oluyor. Peki bu sistemi kullanan trojanlar nelerdir derseniz bunlarin basinda beast geliyor.