عملکرد ویروس ها

[فاطمه وطن دوست]

سلام

منبعی هست که بشه از روش نحوه ی عملکرد تغییرات در رجیستری و امثالهم رو

توسط ویروس،شناسائی کرد؟

مثلاً >

-------ویروس a : در رجیستری تغییر a را انجام میده.
-------ویروس b : در رجیستری تغییر b را انجام میده.

و از روی اون منبع بشه، تغییرات را به حالت قبل برگردوند؟

[lord_viper]

مگه اینکه یه کپی از رجیستری داشته باشین
و در ماقع لزوم مقایسه و باز سازی کنین

برنامه ای بود به اسم registry firewall که هر برنامه ای قصد تغییر در رجیستری رو داست این برنامه اعلام میکرد که اجازه بده یا خیر

البته یک تابع api هم برای این کار وجود داره

کد:

function RegNotifyChangeKeyValue(
    hKey : HKEY, // handle of key to watch
    // flag for subkey notification
    bWatchSubtree : LongBool,
    // changes to be reported
    dwNotifyFilter : Cardinal,
    // handle of signaled event
    hEvent : Cardinal,    
    // flag for asynchronous reporting  
    fAsynchronous : LongBool
   ) : integer;

که با استفاده از اون میتونین بخشهای مختلف رجیستری رو مانیتور و در هنگام اعمال تغییرات یه notify دریافت کنین

[__Genius__]

Regmon

کد:

http://www.ryutlism.org/oreilly_full/books/mwin2reg/ch09-18794.html

کد:

http://delphi.about.com/od/kbwinshell/l/aa052003a.htm