نظارت به‌جای مهندسی معکوس

تا به‌حال فکر کرده‌اید نرم‌افزارهایی که با رمز عبور حفاظت می‌شوند، رمز مربوط را چطور و در کجا ذخیره می‌کنند؟ قفل‌های نرم‌افزاری و سخت‌افزاری چطور؟ به‌نظر شما پس از وارد کردن شماره سریال یک برنامه جهت اجرا، آن سریال در کدام بخش از نرم‌افزار، سیستم‌عامل یا هارد‌دیسک رایانه شما ذخیره می‌شود و چگونه امکان استفاده از برنامه بدون درخواست مجدد شماره سریال در اختیار شما قرار می‌گیرد؟

بسیاری از فعالیت‌های فوق به‌صورت پنهان و کاملا مخفی در سیستم‌عامل به‌انجام می‌رسند و دانستن برخی از آنها نیز به‌هیچ وجه برای شما لازم نیست! اما گاهی اوقات کشف این رازها می‌تواند مفید و نیز بسیار مخرب باشد! به‌عنوان مثال با زیرنظر گرفتن فعالیت‌های پنهانی یک ویروس می‌توانید عکس عملیات انجام شده توسط آن را به انجام برسانید و در جهت حذف ویروس یا ساخت نرم‌افزار موردنیاز برای پاکسازی آن اقدام کنید. اما در جای دیگر نیز با زیرنظر گرفتن چگونگی ذخیره رمزعبور برای دسترسی به یک برنامه و حذف فایل یا کلید رجیستری دربردارنده این رمز، می‌توانیم به بخش‌های حفاظت شده یک نرم‌افزار دسترسی پیدا کنیم بدون آن‌که مجوز دسترسی به آن را در اختیار داشته باشیم!

همان‌طور که می‌دانید آگاهی از بسیاری از مثال‌های فوق با تسلط به علم مهندسی معکوس نرم‌افزارها امکان‌پذیر است. این علم به شما این امکان را می‌دهد تا بدون نیاز به اجرای نرم‌افزارها و با بررسی کدهای دودویی (باینری) آنها، عملکردشان را کشف کنید و به‌طور کامل از ریز فعالیت‌های یک نرم‌افزار آگاه شوید. مهندسی معکوس پیچیدگی‌های بسیار زیادی دارد و به‌‌طور خلاصه می‌توانیم بگوییم یادگیری و به‌کارگیری آن، کار هر کسی نیست! به‌نظر شما با وجود این پیچیدگی آیا راه حل دیگری برای کشف رازهای پنهان نرم‌افزارها و سیستم‌عامل (که به‌نوعی یک نرم‌افزار بزرگ و پیچیده به‌شمار می‌رود) وجود دارد؟ برای پاسخ به این سوال قصد داریم نرم‌افزار SysTracer را به شما معرفی کنیم.

نرم‌افزار SysTracer ابزاری قدرتمند با روش کار بسیار ساده است. این برنامه قادر است همچون یک فرد بسیار کنجکاو یا یک کارآگاه بسیار باهوش، تمام فعالیت‌ها و تغییرات رخ داده در سیستم‌عامل را زیرنظر بگیرد و ریز به‌ریز گزارش آنها را در اختیار شما قرار دهد.

همان‌طور که گفتیم این نرم‌افزار روش عملکرد بسیار ساده‌ای دارد و این روش چیزی نیست جز مقایسه! در این روش شما باید پیش از وقوع تغییرات یک کپی برابر با اصل را توسط این برنامه از اطلاعات و تنظیمات سیستم‌عامل تهیه کنید. سپس به اجرای نرم‌افزار یا نرم‌افزارهای موردنظرتان بپردازید یا تغییرات دلخواه را در سیستم‌عامل و برنامه‌های مربوط اعمال و پس از وقوع این تغییرات نیز یک کپی دیگر از اطلاعات و تنظیمات موجود تهیه کنید. حالا به ‌کمک ابزارهای طراحی شده در برنامه، کپی‌های پیش و پس از وقوع تغییرات را با یکدیگر مقایسه کرده و تمام تغییرات به‌وجود آمده در بخش‌های مختلف را مشاهده می‌کنید! به‌این ترتیب می‌توانید بسادگی مطلع شوید که چه کارهایی به‌صورت پنهانی انجام گرفته تا تغییرات موردنظر شما اعمال شود.

اگر یک کارآگاه برای تحت نظر گرفتن یک فرد در منزلش فقط به کنترل در ورودی و خروجی اکتفا کند، این احتمال وجود دارد که فرد مذکور از پنجره خارج شود! باتوجه به این مثال، کاملا مشخص است که چنانچه نرم‌افزار فوق فقط به کنترل تغییرات به‌وجود آمده در فایل‌ها بپردازد ممکن است در رجیستری، سرویس‌های سیستمی و... تغییراتی ایجاد شودکه از دید نرم‌افزار پنهان بماند. پس برای جلوگیری از بروز این مشکلات و عملکرد دقیق نرم‌افزار باید تمام بخش‌های سیستم‌عامل کنترل شود و مورد بررسی ویژه‌ای قرار گیرند که این کنترل‌ها به‌طور کاملا دقیق توسط SysTracer به‌انجام می‌رسند. این نرم‌افزار قادر است تغییرات به‌وجود آمده در بخش‌های مختلف اعم از فایل‌ها و پوشه‌ها، کلیدهای رجیستری، سرویس‌های سیستمی، درایورهای سیستم، نرم‌افزارها و پروسه‌های فعال، دی‌ال‌ال‌های فراخوانی شده و... را مورد بررسی قرار داده و بروز کوچک‌ترین تغییر در آنها را به شما اعلام کند.

اگر دوست دارید عملکرد واقعی این نرم‌افزار را مورد سنجش قرار دهید و با روش استفاده از آن نیز آشنا شوید، با مثال زیر همراه شوید!

در این مثال ما قصد داریم بدون در اختیار داشتن رمزعبوری که برای حفاظت از بخش تنظیمات نرم‌افزار!avast استفاده می‌شود، آن را حذف کنیم و به این تنظیمات دسترسی یابیم. برای انجام این کار و کشف فایل حاوی رمز عبور یا بخش‌های شامل تغییرات موردنیاز جهت حفاظت از برنامه به روش زیر عمل می‌کنیم:

1ـ ابتدا نرم‌افزار SysTracer را اجرا می‌کنیم و با انتخاب گزینه Take snapshot از سمت راست برنامه در تب Snapshots، عملیات تهیه کپی از اطلاعات فعلی را آغاز می‌کنیم.

2ـ با انتخاب گزینه فوق، پنجره‌ای با گزینه‌های مختلف در اختیار شما قرار خواهد گرفت. در این پنجره با انتخاب گزینه Full scan، تمامی اطلاعات و فایل‌های موجود در عملیات مورد بررسی قرار خواهند گرفت (که این کار نیازمند صرف زمان طولانی خواهد بود) با انتخاب گزینه Only selected items، فقط اطلاعات و بخش‌هایی که شما مشخص کنید بررسی می‌شوند.

3ـ با مشخص کردن نوع بررسی و کلیک روی دکمه Start عملیات بررسی وضعیت فعلی رایانه آغاز می‌شود. (پیشنهاد می‌شود تا اتمام این کار از رایانه استفاده نکنید تا هیچ‌گونه تغییری در اطلاعات ایجاد نشود)

4ـ پس از اتمام بررسی وضعیت فعلی، پیغامی شامل موفقیت‌آمیز بودن مراحل انجام کار و تعداد اطلاعات، فایل‌ها، کلیدهای رجیستری و... که مورد بررسی قرار گرفته‌اند نمایش داده می‌شود.

5 ـ تا این مرحله شما یک کپی از وضعیت پیش از اعمال تغییرات را در اختیار دارید و کاری که در این مرحله ‌باید انجام دهید اعمال تغییرات موردنیاز در نرم‌افزار موردنظرتان است. به‌عنوان مثال ما قصد داریم برای دسترسی به بخش تنظیمات نرم‌افزار !Avastیک رمز عبور تعیین کنیم. در این مرحله این کار را انجام می‌دهیم و ادامه مراحل را به روش زیر به‌انجام می‌رسانیم.

6 ـ مراحل یک تا چهار را برای ایجاد یک کپی دیگر از وضعیت سیستم پس از اعمال تغییرات ایجاد شده در مرحله 5، تکرار می‌کنیم. به‌این ترتیب یک کپی دیگر از وضعیت سیستم در اختیار ما قرار خواهد گرفت که شامل تغییرات ایجاد شده در مرحله 5 خواهد بود.

7 ـ حالا دو وضعیت ایجاد شده که یکی مربوط به پیش از اعمال تغییرات و دیگری مربوط به پس از اعمال تغییرات است را انتخاب کرده و با کلیک روی گزینه Compare به بررسی تفاوت‌های میان آنها می‌پردازیم.

8 ـ با کمی دقت و البته چند مرتبه سعی و خطا در این مثال مشاهده می‌شود که رمزعبور مربوط جهت حفاظت از بخش تنظیمات برنامه !Avast در فایلی با نام aswResp.dat ذخیره شده و با حذف این فایل از روی هارد‌دیسک، رمز عبور برنامه نیز حذف شده است و دسترسی به بخش تنظیمات آن بدون در اختیار داشتن رمز امکان‌پذیر می‌شود.

توجه: از آنجا که نرم‌افزارهای مختلف از جمله ویروس‌یاب‌ها، ابزارهای آنلاین و... در هر لحظه عملیات پشت پرده‌ای را به انجام می‌رسانند و ممکن است حجم اطلاعات قابل مقایسه بین دو وضعیت سیستم‌عامل را برای شما پیچیده کنند، پیشنهاد می‌کنیم کشف اسرار برنامه‌های موردنظرتان را در یک ویندوز فاقد برنامه‌های مختلف به‌انجام برسانید تا علاوه بر کاهش تفاوت‌های بیهوده که توسط دیگر نرم‌افزارها در فایل‌های وضعیت برنامه ایجاد می‌شوند، سرعت ایجاد صورت وضعیت از اطلاعات نیز افزایش یابد.

نرم‌افزار SysTracer در نسخه‌های 32 و 64 بیت سیستم‌عامل‌های ویندوز اکس‌پی، 2003، 2008، ویستا و 7 قابل اجراست و می‌توانید نسخه محدود آن را باتوجه به 32 یا 64 بیت بودن سیستم‌عامل رایانه خود از لینک‌های زیر دانلود کنید:

X86 Version (32Bit):