[پنام]

با سلام به دوستان و اساتید
عزیز برنامه نویسی محترم پارسی کدرز


من از یکی از دوستم بنام آقا محمد در خواست کردم یک برنامه ای با
ویژوال بنویسند که به محض این که یک فلش به یو اس بی کامپیوتر وصل شد 2تا از
فایلهایم را که همان یک نسخه از ویروس و فایل infبود را
داخلش کپی کنه و ایشون هم این برنامه را ساختنند و طبق توضیحات ایشان این برنامه
هر 10 ثانیه یکبار این 2فایل را میخواهد کپی کنه و اگر توی این 10 ثانیه یک فلش
جدید به یو اس بی وصل باشه کپی انجام میشه که در واقع این بخش انتشار دهنده ویروس
من هست که خیلی خوب و درست کار میکنه اما یک مشکل اساسی توی این برنامه وجود داره
و من بخاطر برطرف کردن همین مشکل از شما درخواست کمک دارم ؛ چونکه نمی دونم توی
نوشتن این برنامه از چه کدی یا دستورهایی نوشته که آنتی ویروسم که نود32 هست بهش
گیر میده و پاک میکنه (توضیح اینکه خود این برنامه ویروس نیست و فایل ویروس یک
فایل دیگه جداگانه است و فقط کار این برنامه اینه که دو تا فایل را بطور اتوماتیک
هر 10 ثانیه به داخل فلش کپی میکنه و خالی از ویروسه) و چون من از برنامه نویسی سر
در نمی آورم آواره موندم؛ نمی تونم خودم مشکل رو حلش کنم بخاطر همین دست به دامن
شما اساتید بزرگ برنامه نویسی شدم که انشاالله بخاطر خدا هم که شده این مشکل برادر
کوچکتون را حل کنید. البته خود آقا محمد سازندش میگه که نود 32 به هر برنامه ای که
با ویژال نوشته بشه حتی یک برنامه جمع و
تفریق دو عدد هم گیر میده و مشکلی از برنامه نیست اما من چندید برنامه از ویژوال
دارم که اصلا به اونا گیر نمی ده (البته بگم آویرا-پاندا-کاسپر-مک آفی گیر نمی ده و چون اکثر مردم از نود32 استفاده
میکنند برام نتیجه نود اهمیت داره!) و بعد یک احتمال داد که شاید سیستمم ویروس
داره و موقع کامپابل ویروسها کد های خودشون را وارد برنامه می کنند که این هم بعدا
اثبات شد که اینطور نیست.


خلاصه سرتون رو درد نیارم ، من لینک سورس برنامه را براتون میگذارم
لطفا یه نگاهی به دستوراتش بندازید که چرا و به چه دلیل نود 32 بهش گیر میده ؟ آیا
مشکل از نوع دستوراتشه؟ یا کد هاش مشکل دارند؟اگه لطف کنین مشکلش را حل کنید از
شما یک دنیا سپاسگذار خواهم شد.


راستی این اطمینان را هم می دم که این ویروس مخرب و موجب اذیت مردم
نیست بلکه یک ویروس مفیدی خواهد بود و در صورت کمک شما برای حل این مشکل برای خیلی
از مردم مفید واقع خواهد شد.


این را هم خدمت دوستان گرامی عرض کنم من از برنامه نویسی اصلا سر در
نمیارم و اصلا بلد نیستم پس لطفا اگه خواستید مشکل را برطرف کنید خودتون زخمتشو
بکشید بی زحمت!


درخواست اصلی: کاری کنید که این برنامه توسط آنتی ویروس نود 32 شناخته
نشه لطفاً !


[font=&quot]از اینکه وقت گرانبهاتون رو برای خواندن و حل مشکل به بنده دادبد از
شما بینهایت سپاسگذارم[/font]
تورو خدا کمکم کنید



[font=&quot]با احترام " پنام"[/font]
[font=&quot]لین دانلود[/font]
http://panamm.persiangig.com/Programs/Copycon.zip

[Amin_Mansouri]

درود

حتی یک برنامه جمع و
تفریق دو عدد هم گیر میده و مشکلی از برنامه نیست



اقا دروغ میگه این چه حرفیه؟

تمام سورس تک تک خدهاش همه انتی ها میشناسن !

هر برنامه ای که بدو اجازه بر روی سیستم کسی نصب بشه مخربه

حالا حتی برنامه مفید باشه

[پنام]

سلام امین جان خیلی خوشحالم که دوباره شمارو می بینم
راستش خداخدا کردم که شما جواب بدین
نه نمیدونم کدهای سورس رو مطالعه فرمودید یانه؟اگه بله است یک اوکی بنویسید.
بله این حرف شما کاملا درست و مطابقه استاندارده که هر برنامه ای که بخواهد بدون خواست کاربر نصب بشه حتی اگر مفید هم باشه مخرب گفته میشه .
البته منظورم از مخرب نبودن این بود که این ویروس هیچ کاری که دیگرویروسها مانند پایین آوردن سرعت سیستم حذف یا جابجایی یا مخفی کردن فایلها یا جاسوسی و ارسال فایل و از اینجور کاراها را نمی کنه!
نمی دونم تاریخچه اون کرم رو خوندین (البته اسمش رو یادم رفته)که توسط یکی از برنامه نویسان مایکروسافت نوشته شده بود که وقتی روی سیستم کسی نصب میشد ضعفهای امنیتی سیستم کاربر را بطور اتوماتیک برطرف میکرد البته درسته که بدون خواست کاربر این ویروس این کارا رو می کرد ولی در کل کارش مفید بود!
اگه خود این سورسی را که براتون گذاشتم مطالعه کنید خواهید فهمید که ویروس نیست و هیچ کاری بجز کپی کردن دوتا فایل ساده که اونا هم خارج از خود این برنامه است و ویروس هم نیستند رو روی فلش کپی میکنه .
سوالم اینه که چرا این برنامه که فقط یک برنامه کپی کن اتوماتیک ساده است و ویروسی نیست بازم آنتی ویروس نود 32 گیر میده؟
میتونی یک نگاهی به سورس بندازی و دلیلشو کشف کنی و برام بنویسی بی زحمت؟

[Amin_Mansouri]

چون مشابه این سورس کد توی خیلی از سور های ویرو دیگه هم دیدم !

شما هر جوری که فایل autorun.inf رو بسازید انتی بهش گیر میده

حتی اگر بخوام اندکیت هم کنم بازم موقع ساخت فایل autorun.inf انتی هر گونه که بتونه بلاکش میکنه !

[پنام]

پس اینطور ؛ بنظر شما مشکل از اینه که این برنامه می خواد فایلی به نام autorun.inf را به فلش کپی کنه !(البته این برنامه خودش autorun.inf نمی سازه بلکه آمادشو از فولدر کپی میکنه!)
پس بنظر شما اگه از سورس این برنامه دستور کپی کردن autorun.inf را حذف کنیم مشکل گیر دادن آنتی ویروسها حل میشه ؟
صبر کن خودم امتحان کنم ببینم اگه قسمت دستور کپی autorun.inf به فلش را حذفش کنم آنتی ویروس بازم گیر میده یا نه ؟!!
لطفا چند لحظه صبر کن.
..
...
....
......
من دستور کپی autorun.inf را حذف کردم اما بازم آنتی گیر داد و فایلو پاک کرد؟!!
امین جان یادم میاد شما توی سایتتون با چند تا از دوستا برای اینکه پوز این عربهای نامرد رو که به خلیج فارس خلیج عرب می گفتند یک ویروس به نام اگه اشتباهنکنم خلیج فارس برای عربها ساختین و فکر کنم تجربه اش را هم دارید.
بنظر شما چطوری میشه این مشکل شناسایی شدن توسط نود32 را از بین برد که دیگه قابل شناسایی نباشه؟

[Amin_Mansouri]

ساده میگم

کل سورس باید از اول نوشته بشه

[Kei armin]

من سورستون رو نگاه کردم. چیزایی که آنتی بهشون گیر میده اون Hide_Process هستش که تو تمام ویروس ها استفاده میشه معمولا". دوم اینکه شما دارین برنامه رو تو Run ثبت میکنین. خب این دو تا با هم یعنی ویروس واسه آنتی. فایل Autorun.inf به تنهایی فکر نکنم مشکل خاصی ایجاد کنه ولی اگه فایل مشکوکی رو اجرا کنه بازم ویروس حساب میشه. من نود الان ندارم ولی avast اصلا" گیر نداد گفت این ب این بوق میگی ویروس (شوخی)
ولی چون راسته کار شما نوده اون Hide_Process رو حذف کنین ببینین چی میشه.
بعدش دقیقا" بگین همینجوری به فایل گیر میده یا وقتی اجرا م کنین و فلش میزنین به اتوران گیر میده ؟ در صورت اول که همونطور که گفتم اون Hide_Process رو تست کنین و در مورد حالت دوم که انتی معمولا به اتوران گیر میده دیگه ... این روش جواد شده

[پنام]

هم از داداش امین منونم و هم از داداش گلم آقای Kei Armin
اولا سلام به Kei Armin که اولین باره که با شما آشنا میشم و یک تشکر جانانه از شما که وقت گرانبهاتون را به حقیر اختصاص دادید.
آره راست میگی Hide_Process رو گذاشته ولی برنامه بازم تو تکس منیجر بازم دیده می شه و این کد کار نمی کنه ولی حرف معقولیه و دلیل خوب و منطقیه !
درمورد Run هم درسته ولی من تو اکثر برنامه هایی که توی استارت آپ (ریجستری) قرار میگیرن ندیدم که بخاطر این ؛ آنتی حتی نود 32 گیر بدن.بخاطر همین این احتمال ضعیفه اما ممکنه درکنار دستور های دیگه معنی ویروس رو به آنتی القاء کنه !
عرض کردم فقط نود 32 گیر میده و آنتی های آویرا-پاندا-کاسپراسکی-مک آفی ،گیر نمی دند و چون اکثر مردم از نود32 استفاده میکنند برام نتیجه نود 32 ملاکه و اهمیت داره! و شمام که از آواست استفاده میکنید هم دیدید که آنتی ویروس گیر نداد!!!!
آره منم فکر نمی کنم بخاطر Autorun.inf آنتی گیر بده چون زمانی باید گیر بده که Autorun.inf بخواد یک فایل مشکوک رو راه بندازه و من حتی این دستور رو حذف کردم اما بازم مشکل حل نشد.
اما در مورد نحوه گیر دادن نود هم اینطوریه که :
اگه اجراش کنی (روش دابل کلیک کنی)گیر نمیده و اجازه اجرا را می دهد ؛اما وقتی بخواهی خود برنامه را اسکن کنی ویروس شناسایی میکنه. و وقتی بخواهی همین برنامه را جای دیگه کپی کنی باز گیر میده و حذفش می کنه!
داداش Kei Armin (مدیر ارشد) اگه کمکم کنی تا مشکل حل بشه فقط خدا می دونه که چقدر ثواب میکنی!

راستی یه چیز دیگه ؛ نکنه مشکل از زبان برنامه نویسی ویژوال باشه ؟ بنظتون اگه به زبان دیگه مثلا اسمبلی نوشته بشه دیگه گیر نمیده؟

[Kei armin]

گفتم که Run همراه با اون Hidden Procces به عنوان ویروس شناخته میشه.
در مورد اتوران الان دیگه حقیقتا" همه برنامه های امنیتی می شناسن و عملا" از این راه برین کار خاصی پیش نمی برین.
واسه اینکه آنتی نشناسه یه خورده کد رو دستکاری کنین. مثلا" همون تابع Hidden Process رو حذف کنین کامپایل کنین. و یا بقیه جاهایی مثل ثبت در Run. اول این کد ها به نوبت ' بزارین و کامپایل کنین تا دربیارین از کجا ایراد میگیره نود. بعد رو اونجا میشه تمرکز کرد.

[پنام]

یاشه ممنون از راهنماییتون ؛ راه نمایی خوبی بود پیام شما را به برنامه نویس اصلی آقا محمد منتقل کردم و ایشون زحمت میکشند این اصلاح را انجام می دهند. من این پست را به ایشون معرفی می کنم تا ایشون هم اگه راهنمایی خواستند تو این پست از شما راهنمایی بگیره!
آره منم به این نتیجه رسیدم که Autorun.inf دیگه یک روش تابلو و لو رفته ایه و امروزه اکثر برنامه های ویروسی از این روش استفاده می کنند و اکثر آنتی ویروس ها هم دربرابر Autorun.inf مصون هستند و به راحتی مقابله میکنند. و من هم بیشتر محض اطمینان این روش را گذاشتم و برای اینکه جلوی شناسایی شدن را بگیریم و انتشار به صورت وسیع و تضمینی باشه از یک روش پیچیده و مهمی استفاده کردیم که در حال تکمیل کردنش هستیم . البته الان نمی تونم توضیح زیادی بدم ولی به محض اینکه تکمیل شد و انتشار پیدا کرد براتون توضیح خواهم داد.

بازم از رین راهنمایی خوبتون کمال سپاس را دارم و براتون آرزوی موفقیت را دارم
با احترام : " پنام"