حالت موضوعی | حالت خطی

reza_g

كدهاي زير به زبان vbs هست.خط اول تا پنجم خودشو(wscript.scriptfullname) مي خونه.اين روش براي encrypt كردن ويروس ها به كار مي رفت.اما آنتي ويروسا ديگه اين كدا رو ميشناسن.كسي بلد نيست همين كد ها رو به روش ديگه اي بنويسه؟

Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile(wscript.scriptfullname)
for i=1 to 5
line = f.readline
next

reza_g

بعضي از آنتي ويروس ها حتي خط اول كدها رو ويروسي مي دونند.با اين ايده تقريبا بيشتر فايل هاي vbs يك ويروس مي شوند.مسلما با اين آنتي ويروس ها نميشه كاري كرد.بهتره رو خط هاي ديگه كار كنيم.

**lord_viper**

میتونین یه کار دیگه بکنین اطلاعات داخل فایل txt رو کد کنین تا انتیها نتونن انالیزش کنن و موقع اجرا شما میتونین اون اطلاعات رو دیکود کرده و فایل اولیه را ایجاد کنید

reza_g

lord_viper نوشته است:میتونین یه کار دیگه بکنین اطلاعات داخل فایل txt رو کد کنین تا انتیها نتونن انالیزش کنن و موقع اجرا شما میتونین اون اطلاعات رو دیکود کرده و فایل اولیه را ایجاد کنید

ما اين جا داريم با Vbs كار مي كنيم.براي اين كه كدها رو داخل فايل txt يا هر پسوند ديگه اي بذاريم بايد اون كدها رو داخل خود ويروس داشته باشيم.با اين وجود ديگه آنتي ويروس اجازه ي اجرا شدن فايل رو به ما نميده.

**lord_viper**

خب در این حالت شما جواب سوال اولتونو دادین

reza_g

من هم دنبال يك روش جديد مي گردم.آنتي ويروس ها در بررسي كد ويروس ها فقط كدهاي خاصي رو مقايسه مي كنند.اين كار باعث ميشه نتونن كدها و روش هاي جديد رو شناسايي كنند.

**lord_viper**

1 روش چسبوندن با stub
2 اضافه کردن سکشن
3 اضافه کردن کد باینری یه ته فایل و تغییر jump

**lord_viper**

در مورد مقایسه که بستگی به نوع انتی داره بعضی از انتی ها رو با دستکاری سیگناچر و اضافه کردن تعدادی nop به فایل و بعضی چیزهای دیگه میشه فریب داد اما بعضی ها با این چیزها گول نمیخورن

reza_g

ببينم.كسي اين جا هست بدونه vbs يعني چي؟

reza_g

كارهايي كه گفتيد بسيار عالي هستند.اما انجام دادنشون حتي با برنامه هاي پيشرفته ي معروف هم نياز به دقت بالايي داره.انجام اون كارها با يك فايل متني مثل bat يا js ممكن نيست.چون ساختارشون با هم فرق داره.اونا pe هستند ولي اينا text .فايل هاي vbs ساختار خاص خودشون رو دارن و همين طور هم فقط كارهاي خاصي رو مي تونن انجام بدن.

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	به نظر شما آنتي ويروس ها اشتباه مي كنن يا اين فايل ويروسه؟؟؟	ΛΛ Θ l-l $ Σ Ω	3	5,096	۱۶-فروردین-۱۳۹۴, ۰۲:۱۳:۴۵ آخرین ارسال: alimogmov
	[سوال] ويروس RECYCLER	arezoobandar	2	2,826	۱۴-خرداد-۱۳۹۳, ۰۸:۵۸:۱۷ آخرین ارسال: lord_viper
	[ایرانویجی] مطالب بخش ويروس و آنتي ويروس	godvb	1	3,361	۱۸-مرداد-۱۳۹۲, ۲۰:۱۸:۰۹ آخرین ارسال: Di Di
	كارگاه آناليز ويروس	Di Di	6	6,127	۱۱-خرداد-۱۳۹۲, ۱۴:۱۳:۰۳ آخرین ارسال: Di Di
	دليل جعلي بودن انتي ويروس شيد	parham2010	6	9,598	۱۱-بهمن-۱۳۹۱, ۰۲:۵۵:۴۱ آخرین ارسال: Scorpion
	بهترين آنتي ويروس	ali_rahmati	8	8,743	۳۰-آبان-۱۳۹۰, ۱۳:۴۵:۱۵ آخرین ارسال: IISecurity.C
	مهم ترين ويروس های رايانه ای سال 2006 در ايران	Darg	2	5,030	۲۵-فروردین-۱۳۹۰, ۱۰:۱۴:۳۲ آخرین ارسال: parsdarab
	راهنمائي براي حذف ويروس به نام Bi mat	غلام علي	2	3,728	۲۵-فروردین-۱۳۹۰, ۱۰:۱۱:۲۰ آخرین ارسال: parsdarab
	كمك در مورد نصب آنتي ويروس	barni	3	3,962	۲۹-بهمن-۱۳۸۸, ۱۰:۲۲:۲۶ آخرین ارسال: Payman62
	چگونگي غير فعال كردن دستور TaskKill	shedayat	5	6,400	۱۵-اردیبهشت-۱۳۸۸, ۱۰:۵۴:۰۲ آخرین ارسال: Morpheus

حالت موضوعی \| حالت خطی روش هاي جديد رمزي كردن ويروس ها
نویسنده	پیام