پسوندهای پنهان فایلهای ویندوز
ممكن است از این موضوع آگاهی نداشته باشید، اما حتی اگر به ویندوز بگویید كه تمام پسوندهای فایل را نشان دهد، هنوز هم فایلهایی وجود دارند كه بطور پیش فرض مخفی شده‌اند. همچنین هر برنامه نصب شده‌ایی می‌تواند پسوندها را پیكربندی كند تا پنهان شوند. در اینجا در مورد چگونگی انجام این كار و همچنین دلیل اینكه چرا برخی از پسوندهای پنهان می‌توانند برای تعدادی از كاربرهای كامپیوتر خطرناك باشند، مثالهایی آورده شده است. به فرض اینكه شما قبلا ویندوز explorer را برای نشان دادن تمام پسوندهای پیكربندی كرده‌اید.

پسوندهای SHS
یك كپی از notepad.exe بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز كنید. روی notepad.exe كلیك كنید و آن را به سمت سند باز شده wordpad بكشید. روی notepad.exe كلیك كنید و آن را به عقب به سمت desktop بكشید. فایلی را كه ایجاد شده است (Scrap) به Readme.txt تغییر نام دهید.

حالایك آیكن كه نشان دهنده سند متنی است و فایلی با نام مشخص readme.txt بر روی desktop شما وجود دارد كلیك كردن بر روی فایل فوق باعث می‌شود notepad باز ‌شود. اگر این فایل یك Trojan باشد، شما فریب خورده‌اید و توسط آنچه كه یك فایل متنی بی‌خطر بنظر می‌رسید آلوده شده‌اید. اگر اجازه نمایش این پسوند داده می شد شما فریب فایل Readme.txt.shs را نمی‌خوردید.

پسوندهای PIF
اگر سعی كنید تا notepad.exe را به anything.txt.pif تغییر نام دهید، تنها فایلی با نام anything.txt روی desktop خود خواهید دید. و این بدین دلیل است كه PIF پسوند دیگری است كه ویندوز بطور پیش فرض پنهان می‌كند. اگر شما فایل را اجرا كنید برنامه اجرا خواهد شد، به خاطر اینكه ویندوز پسوندهای PIF را اجرا خواهد كرد حتی اگر آنها فایلهای اجرایی باشند.

پسوندهای SCR
پسوند دیگری كه باید مراقب آن بود SCR است. كپی notepad.exe خود را به notepad.scr تغییر نام دهید و روی آن كلیك كنید. Notepad به عنوان یك فایل اجرایی اجرا خواهد شد. بسیاری از افراد توسط هكرهایی فریب می‌خورند كه account یك قربانی را بدست آورده‌اند. هكر email یا هر نوع پیغامی را به تمام دوستان قربانی می‌فرستد كه "این صفحه نمایش جدید و بامزه را ببینید از خنده روده بر خواهید شد!" از آنجایی كه این پیغام از یك منبع مطمئن آمده، اكثر افراد فریب خورده و فایل SCR را اجرا می‌كنند كه در نهایت به هكری ختم می‌شود كه به كامپیوتر شما متصل شده است.

فرمانهای خطرناكی كه می‌توانند گنجانده شوند
پسوندهای میانبر PIF
برخی از پسوندهای پنهان فایل قادرند به سادگی با فرمانهای پنهان شده‌ای كه می‌توانند برای سیستم شما مخرب باشند برنامه‌ریزی شوند. این یك آزمایش ساده است:

دكمه راست ماوس خود را روی desktop كلیك كنید و New و سپس Shotcut را انتخاب نمایید. در Command line تایپ كنید:


format a:/autotest



Next را كلیك كنید. در "Select a name for the shortcut" تایپ كنید: readme.txt سپس Next را كلیك كنید. یك آیكن notepad را انتخاب كرده و Finish را كلیك كنید. حالا شما در desktop خود فایلی با نام readme.txt و با آیكن notepad دارید. مطمئن شوید كه در درایو شما دیسكی است كه از دست دادن آن برای شما اشكالی ندارد و روی آیكن كلیك كنید. فایلی كه شما روی آن كلیك كرده‌اید درایو A: را فرمت خواهد كرد. البته آیكن هكر درایو دیگری را مورد هدف قرار خواهد داد یا ممكن است نامی همچون ‘game.exe’ و فرمانی برای حذف كردن دایركتوری ویندوز شما یا (deltree /y C:\*.*) كل درایو C شما داشته باشد. اگر پسوند PIF پنهان نشود، قادر به فریب شما نخواهد بود.

پسوند SHS
فایلهای Scrap نیز می‌توانند فرمانهای گنجانده شده را پنهان كند. این یك آزمون ساده است: از notepad.exe یك كپی بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز كنید.Notepad.exe را كلیك كنید و آن را به سمت سند باز شده wordpad بكشید. روی Edit كلیك كنید و Package Object و سپس Edit package را انتخاب كنید. روی Edit و سپس Command Line كلیك كنید.

در كادر، دستوری مانند format a:/autotest را تایپ كنید و روی OK كلیك كنید. آیكن نیز می‌تواند از این پنجره تغییر یابد. از پنجره خارج شوید، این كار سند را به روز خواهد كرد. روی notepad.exe كلیك كنید و آن را به عقیب به سمت Desktop بكشید. فایلی را كه ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.

حالا شما آنچه را كه شبیه یك فایل متنی است دارید. اگر این فایل اجرا شود درایو A: را فرمت خواهد كرد. همانگونه كه در مثال بالا برای پسوندهای میانبر PIF دیده شد، هكر می‌تواند از فرمانهای خطرناكتری استفاده كند.

روشهای Trojan در هنگام راه اندازی
روشهای راه اندازی استاندارد
اكثر افراد از راههای متفاوتی كه هكرها برای راه اندازی فایلهای Trojan استفاده می‌كنند آگاه نیستند. اگر هكری كامپیوتر شما را با یك Trojan آلوده كند، نیاز به انتخاب یك روش راه‌اندازی خواهد داشت، بگونه‌ای كه در زمان راه‌اندازی مجدد كامپیوتر شما Trojan بارگذاری شود. روشهای معمول راه‌اندازی شامل كلیدهای اجرایی registry، فولدر راه اندازی ویندوز، Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته شده در system.ini ویندوز می‌باشند.

روشهای راه اندازی خطرناك
از آنجایی كه فقط تعداد اندكی از این روشهای راه اندازی وجود دارند، هكرهای زیادی را یافته‌ایم كه در پیدا كردن روشهای جدید راه‌اندازی افراط می‌كنند. این شامل استفاده از تغییرات خطرناكی در سیستم registry می‌باشد، كه در صورتی كه فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد. این یك دلیل استفاده نكردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست. اگر یكی از این روشها استفاده شود، و فایل بدون ثابت كردن registry سیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامه‌ای پس از راه اندازی مجدد كامپیوترتان نخواهد بود.

قبل از آنكه سراغ registry برویم لازم به توضیح است كه یك فولدر به صورت C:\WINDOWS\StartMenu\Program\StartUp وجود دارد كه هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید كه هرگونه تغییری می‌تواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما می‌گوییم انجام دهید. برای دستیابی به registry به منوی start>run> بروید و "regedit" را بدون علامت " " تایپ كنید. در registry چندین مكان برای راه اندازی Startup وجود دارد كه لیستی از آنها را در اینجا می آوریم.


[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command]="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command]="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command]="\"%1\"%*"




اگر این كلیدها مقدار "\"%1\"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "\"Server.exe %1\" %*" تغییر یابد به احتمال زیاد یك Trojan است.

روش راه اندازی ICQ
روشی راه اندازی دیگری كه امروزه استفاده از آن معمول است شناسایی شبكه ICQ می‌باشد. بسیاری از كاربران ICQ نمی‌دانند كه هكر می‌تواند یك خط پیكربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:

ICQ را باز كنید. روی آیكن ICQ كلیك كنید و preference را انتخاب نمایید. روی Edit launch List كلیك كنید. روی Add كلیك كنید. روی Browse كلیك كنید. فایلی را برای اضافه كردن به Windows\notepad.exe بیابید كه به كار این آزمایش بیاید. روی Open و سپس OK كلیك كنید. زمانی كه شما ICQ را راه اندازی مجدد می‌كنید فایل اجرا خواهد شد.