بستگی به ویروس نویس داره خیلی قوی بنویسه حتی آنالیزشم کار هر کسی نیست.
ولی مثل همیشه میگم کار نشد نداره. هم ویروسی میشه نوشت که کسی نتونه حذفش کنه ! هم هر ویروسی رو میشه حذف کرد
نتیجه گیری با خودتون.
درود:
دوستان به نظرمن دیگه دوران ویروس ها تمام شده انتی ویروس ها به %99 درصد شون گیر میدن الان روت کیت و رات ها رو دور هستند که انتی کمتر بهشون گیر میدن پیدا کردنشود سخت هست بهتر هست دیگه این قدر بحث الکی نکنیم چون اگه کسی بخواهد به شما حمله کنه از روت کیت استفاده میکنه در ضمن این تایپک ما سال پیش هست و دیگه قدیمی شده .
می تونیم یک بحث بهتر مثل حملات MAN IN MIDDLE رو شروع کنیم که الان رو بورس هست البته به این موضوع ربطی نداره یا در مورد انالیز ویروس ها بحث کنیم (نوع رفتار آن ها)
بدرود .
(08-13-2012، 08:30 AM)Amin_Mansouri نوشته: [ -> ]درود
من ویروسی مینویسم که به هیچعنوان در رجیستری نبینیش
vb decompiler هم خیلی راه داره برای باز نکردن فایل
بعد یه ویروس اینجکت کنه به پروسه ها تکلیفش چیه؟ :d
موفق باشید
همیشه چند جا بیشتر برای استارت آپ کردن ویروس نیست میشه از این آدرسا ویروسو پیدا کرد
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
اونوقت دیگه فایل اصلی رو گیر اوردیم
حالا کافیه برنامه Notepad++ رو توسیستم داشته باشیم که من براتون میزارم
روی ویروس کلیک راست میکنید بعدشم گزینه ی Edit Whit Notepad++ رو میزنید بهتون سورس ویروس رو نشون میده البته کد شده حالا کافیه همه سورس هارو پاک کنیم و بعد ذخیره بعدشم ریستارت دیگه ویروس کار نمیکنه.
اینم لینک دانلود
http://uplod.ir/w4xxoxbi4wsg/Notepad__.rar.htm
من ازاونجا هم برات مخفی میکنم
خب دیگه اونوقت کامپیوترو باید بندازیم سطل زباله
(08-14-2012، 05:28 PM)Amin_Mansouri نوشته: [ -> ]من ازاونجا هم برات مخفی میکنم
البته من فکر نکنم بشه از اینجا مخفیش کرد اگه سورس داری بده تا بگم چیکار باید کرد
واسه من بطور رسمی دو تا آدرس دیگه هست که تمام برنامه ها از اون استفاده می کنن (WOW6432Node) !
ضمنا" وقتی ویروس در حال اجرا هستش چطوری با نت پد باز می کنیش و بد رو خودش سیو می کنی ؟
این برام سئواله
بعدشم این راه حل ها برای ویروس های معمولیه. یه خورده حرفه ای کار بشه این کارا هیچ فایده نداره.
امین جان باز اگه با VBDecompiler باز نشه با WinHex که باز میشه ( مگه اینکه ویروس نویس رشته های سورسشو رمزی بنویسه )
دوستان من پاسخ های قبلی رو نخوندم.(پوزش
). اما می تونید از نرم افزار Deep Freeze استفاده کنید. به صورت زیر:
ابتدا ویندوز رو مجدد نصب کنید.(درایو C رو حتما فرمت کنید).
برنامه Deep Freeze نصب کنید.
هدف برنامه رو روی درایو C قرار بدید.
حال هر تغییری که در درایو C ایجاد بشه، با خاموش شدن رایانه به حالت اول بر می گرده.
دانلود Deep Freeze
کد:
http://dl.downloadha.com/Adel/1389/03/File/DeepFreeze_Standard_7.0.020.3172_[www.Downloadha.Com].zip
منبع نرم افزار: downloadha.com
توجه: برای ورود به نرم افزار از رمز "MRT" و برای غیر فعال کردن کلید شیفت رو نگه داشته و آیکون آن را انتخاب کنید.
با تشکر
(08-14-2012، 05:11 PM)alakimalaki نوشته: [ -> ] (08-13-2012، 08:30 AM)Amin_Mansouri نوشته: [ -> ]درود
من ویروسی مینویسم که به هیچعنوان در رجیستری نبینیش
vb decompiler هم خیلی راه داره برای باز نکردن فایل
بعد یه ویروس اینجکت کنه به پروسه ها تکلیفش چیه؟ :d
موفق باشید
همیشه چند جا بیشتر برای استارت آپ کردن ویروس نیست میشه از این آدرسا ویروسو پیدا کرد
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
اونوقت دیگه فایل اصلی رو گیر اوردیم
حالا کافیه برنامه Notepad++ رو توسیستم داشته باشیم که من براتون میزارم
روی ویروس کلیک راست میکنید بعدشم گزینه ی Edit Whit Notepad++ رو میزنید بهتون سورس ویروس رو نشون میده البته کد شده حالا کافیه همه سورس هارو پاک کنیم و بعد ذخیره بعدشم ریستارت دیگه ویروس کار نمیکنه.
اینم لینک دانلود http://uplod.ir/w4xxoxbi4wsg/Notepad__.rar.htm
سلام. بحث خیلی بیراهه رفته تا جایی که این 4 صفحه رو خوندم. دوست عزیزم به تعداد موی سر بنده و شما راه برای StartUp کردن هست موندم چرا میگین : "
چند جا بیشتر برای استارت آپ کردن ویروس نیست "
خیلی خوش بینانه فکر میکنید، با notepad و یا winhex برنامه رو باز کنید و مسیرهای رجیستری استفاده شده رو بدست بیارید!! (برای بدست آوردن string های درون یک برنامه، یک نرم افزار کوچولو از McAfee هست که راحت Ascii, Unicode هارو بهت میده [
+] )
نمیدونم چرا اینقدر این ویروس نویس های گنگ و نابلد فرض می کنید؟!؟
یعنی اینقدر که string هاشو توی برنامه encode نکنه!!! مطمئن باشید حتما اینکار رو انجام میده، شاید و اگر درکارنیس (مگراینکه واقعا ویروس نویس ناشی باشه که مطمئن باشید اگر اینطورم باشه در دم آنتی ویروس خفه اش کرده و صداشم درنیومده).
ویروس های Autorun دیگه کارایی ندارند.