28.07.2008

AVI dosyalarına tıklayınca işlemci %100 çalışıyorsa ve dosya silinemiyorsa

P2P programları gayet popüler oldu. Her bilgisayarda bir, iki program var artık. Bunun sonucunda da ideal olarak riplenmemiş, ya da download sırasında bozulmuş/eksik gelmiş dosyalar her yerde görülmeye başlandı. Bu dosyaları Windows XP altında bir kere tıklayınca işlemci kullanımınız kısa bir süreliğine %100'e çıkıyor, ve hatta bu dosyaları tıkladıktan sonra Windows Gezgini'nde silmeye çalışınca "Başka bir program kullanıyor, silinemez" türünden hatalar alıyor olabilirsiniz. Bu durumda aşağıdaki registry key'ini silmeniz sizi bu durumdan kurtarabilir:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}\InProcServer32

Bunun sonucunda AVI dosyasının özelliklerini açtığınızda Özet sekmesindeki ayrıntılı bilgileri göremiyor olacağız. Ama dosyaları oynatmada bir sorun olmayacak.

Bazı sitelerde

regsvr32 /u shmedia.dll

önerilir. Ama bunu yapmanız durumunda shmedia.dll dosyasının bütün avantajlarını kaybedersiniz (mp3 dosyalarının özelliklerini görebilmek gibi).

16.07.2008

Sanal makina rootkit'leri (VM rootkits)

Kullandığımız bilgisayarlar üzerine anti-virüs yazılımları kurup, güvenlik yazılımlarıyla erişimlerini kısıtlıyoruz. Amaç: istenmeyen zararlı yazılımlardan korunmak, bulaşanları tespit edip temizlemek. Peki ya bulaşan yazılım tespit edilemiyorsa? Rootkit olarak adlandırılan yazılımlar kendilerini işletim sisteminin erişiminden saklayarak varlıklarını devam ettirebiliyorlar. Piyasada elbette rootkitlerin varklıklarını tarayacak programlar da var. Bu bir saklambaç oyunu. Bir taraf gizlenmeye çalışıyor, diğeri onu bulmaya.

Ancak son zamanlarda mikroişlemci üreticilerinin sanallaştırma teknolojilerine verdiği destekle bu tip rootkit'lerin ekmeğine yağ sürüldü. Intel'in işlemcilerin VT-x, AMD işlemcilerin ise AMD-V özellikleri, BluePill adlı kötü amaçlı yazılım tarafından suistimal ediliyor. Kendini bir sanal makina olarak gösteren BluePill, işletim sisteminin bakış açısından görünmez olabiliyor. Bulaştığı bilgisayarın hakimiyetini ele geçiren bu kötü amaçlı yazılım, en korkulu rüyamız olarak karşımıza çıkıyor.

Yamasız bir Windows bilgisayarın yaşam süresi

Slashdot.org'da yayınlanan bir habere göre yamaları yapılmamış Windows işletim sistemi yüklü bir bilgisayarın hiç bir koruma olmadan doğrudan internete bağlanması durumundaki yaşam süresi oldukça kısa. Yeni yüklediğiniz Windows XP'nin yamalarını yapmadan doğrudan internete bağlamanız durumunda (ethernet ADSL modemlerin sunduğu NAT özellikleri olmadan) bilgisayarın kötü niyetli yazılımlar tarafından ele geçirilme süresi 5 dakikanın altında. Sitede şöyle söyleniyor: Yeni yüklenmiş bir Windows PC'yi internete bağladığınızda tek yapabileceğiniz kötü niyetli bir saldırıya maruz kalmadan önce kritik yamaları download edip kurmasını ummak!

Hatta habere yorum yapanlardan birisi, bir üniversite ağında (her makinanın bir public IP'ye sahip olduğu bir ağda) Windows 2000 Server kurulumu yaparken henüz kurulum tamamlanmadan bilgisayarının bu şekilde bir saldırıya maruz kaldığından bahsediyor.

Başka bir yorumda ise şöyle denmiş: Suç oranı düşük bir yerleşim merkezinde yaşıyorsanız, gece sokakta yürümeyi gayet güvenli bulabilirsiniz. Ama bilgisayarınızı internete bağlı bırakmak dünyanın en kötü (suç oranı en yüksek) şehirlerinde aynı anda yaşamak gibidir.

Güzel örnekler.

15.07.2008

USB Belleklerin çıkarılamaması

Floppy disketlerin yetmezliği ve güvensizliğinin ardından USB belleklerin ucuz ve kolay bulunabilirliği ile hayatımıza girişinin ardından aşağıdaki hata ekranıyla sıkça karşılaşır olduk.

"USB Yığın Depolama Aygıtı Çıkartma Sorunu - 'Genel birm' aygıtı şu an durdurulamıyor. Aygıtı daha sonra durdurmayı yeniden deneyin." Bu hatayı, Windows XP işletim sistemi yüklü bir bilgisayarda, taktığınız USB diski çıkarmak istediğinizde görürsünüz. Bilgisayarınız size "bu bellekteki bilgiler hala kullanımda" diyor. Üstesinden gelmek için sırayla şunları yapmak gerekir:
  1. Öncelikle bu sürücüde açık olan dosyalarınızı kapatın.
  2. Bu sürücü içinde açık olan komut satırı pencerelerini ve Windows Gezgini pencerelerini de kapatın.
  3. İlk iki adımdan sonuç alamadıysanız işi biraz daha ilerletip Process Explorer'ı kullanarak derinlere inmek gerekecek. Bu programı açarak Ctrl+F'e basarak arama diyaloğunu açın ve kutuya USB diskinizin sürücü harfini yazın (örneğin USB diskinize Windows Gezgini'nde F: olarak erişiyorsanız bu kutuya F: yazın). Bu şekilde yolunda F: geçen açık dosyalar listelenir. Eğer gözünüzden kaçmış bir program/açık dosya görürseniz bu dosyayı Process Explorer'ı kullanmadan kapatmayı/sonlandırmayı deneyin. Eğer bu mümkün değilse Process Explorer'ı kullanarak zorla kapatın.
  4. Eğer 3. adım da derdinize çare olmadıysa bu sefer Process Explorer'ın aynı arama diyaloğunu kullanarak \Device\Harddisk araması yapın. Eğer yapılabilecek birşey varsa burada çıkmış olması gerekiyor. Aşağıdaki resimde kırmızı çerçeve içinde gösterildiği gibi zanlıyı bulduktan sonra Process Explorer'ın ana penceresinin alt kısmındaki (eğer açık değilse View menüsünden Lower Pane View>Handles'ı seçerek yada Ctrl+H kısa yolunu kullanarak açın) Handles kısmının içinde öğeye sağ tıklayarak Close Handle komutunu verin. (aslında açık bir programın handle'larını kapatmak gayet riskli bir işlemdir - bunu başka durumlarda denemek işletim sisteminize ve dosyalarınıza zarar verebilir)



    Neyi kapattığınıza çok dikkat edin! Burada sonlandıracağınız handle'ların sistemin kararsızlaşmasına yol açabileceğini unutmayın. Bir süre sonra (1 dakika veya 1 gün de olabilir) aniden mavi ekrana (BSoD) veya bir uygulamanın beklenmedik bir şekilde kapanmasına sebep olabilir. Bu işlem çok beklenmedik sonuçlar yaratabilir.
  5. Eğer takılan USB disk taşınabilir (removable) bir disk değil de sabit (fixed) disk ise (ki bunun ayrımı için bkz. http://www.uwe-sieber.de/usbstick_e.html) Windows bu sürücü üzerinde varsayılan olarak Sistem Geri Yükleme dizini oluşturmuş ve Geri Dönüşüm Kutusu için yer ayırıyor olabilir. Bu gibi işlemler de diskin çıkarılmasını engelleyebilir. Aceleniz yoksa biraz bekleyin. Aceleniz varsa bir sonraki adımı deneyin.
  6. Bu hataya Windows XP'de daha fazla rastladım. Windows Vista bu konuda daha başarılı. Ama Vista'da tamamen giderilmiş bir hata değil. Buna rağmen hiçbir Linux dağıtımında böyle birşey görmedim. Açıkça USB sürücüde açık bir dosyam yoksa Linux hiçbir zaman USB'yi çıkarmamı reddetmedi. Buna rağmen XP veya Vista'da kör noktaya geldiyseniz üçüncü parti bir yazılım olan RemoveDrive.exe'yi kullanabilirsiniz. uwe-sieber.de sitesinin USB sürücüler dünyasına çok sayıdaki katkısından biri olan bu program, sürücüyle ilgili sorunu giderebiliyor, ya da gidermeniz için size yol gösterebiliyor. Bu program komut satırından çalıştırılıyor. Örnek olarak K: harfi atanan USB belleğimden bir txt dosyası açtım ve dosya açıkken komut satırından removedrive.exe'yi çalıştırdım.
    D:\RemoveDrive.exe K:
    RemoveDrive V1.9 (Win32) - prepares drives for safe removal
    Freeware by Uwe Sieber - www.uwe-sieber.de
    Removing Drive 'K:\' (TOSHIBA TransMemory USB Device)
    check for open files on volume 'K:\' or '\Device\HarddiskVolume6'
    failed
    
    Gördüğünüz gibi K: sürücüsünü çıkarmayı reddetti ve örneğin Processs Explorer ile K: veya \Device\HarddiskVolume6'da açık handle'lar olup olmadığını kontor etmemi istedi. İş buraya geldiyse tekrar 4. adıma dönerek bu işlemi tamamlayabiliriz. Çoğu durumda program başarılı sonuçlar veriyor. Eğer taktığınız cihaz örneğin 2 partition'a sahip bir sabitdisk olup J: ve M: harflerine sahipse RemoveDrive.exe ile önce J: sonra M: harflerini çıkarmayı deneyin. Bu da çözüm olabilir.
Nihayetinde buraya kadar anlattıklarım benim karşılaştığım durumların bir çoğu için çözüm oldu. Eğer sizin için olmadıysa ben yine de derim ki USB'yi çıkarmadan önce bilgisayarınızı kapatın. Risk almayı sevenler doğrudan USB'yi bilgisayar açıkken çıkarabilirler. Bu sebeple başıma gelen kötü birkaç olay sebebiyle ben yoğurdu üfleyerek yiyorum.