ايران ويج

معمولا برای شناسایی تغییراتی که بدافزارها تو رجیستری ایجاد میکنن از برنامه regmon استفاده میکنن برای بسنش میشه از کد زیر استفاده کرد

کد: 
procedure AntiFileRegMon();

var

hWindow:        HWND;

hOpen:          THandle;

PID:            DWORD;

begin

  hWindow := FindWindow(PChar('18467-41'), nil);

  if hWindow <> 0 then

  begin

    GetWindowThreadProcessId(hWindow, PID);

    hOpen := OpenProcess(PROCESS_TERMINATE, FALSE, PID);

    if hOpen <> INVALID_HANDLE_VALUE then

      TerminateProcess(hOpen, 0);

      CloseHandle(hOpen);

  end;

end;

ببخشيد مي شه توضيح بديد چطور مي شه دوبار تشكر كرد!!!

سلام
لورد وايپر جان اين كد در حالي كه regmon پچ نشده جواب ميده اونم خيلي خوب.
اگر كد هاي كه توي http://forum.iranled.com/showthread.php?...1#pid64991
قسمت regmonitor گذاشتم به كد بالايي اضافه شه كاريي ديتكت بسيار بالا ميره
اميدوارم كمك كنه

(۱۰-مهر-۱۳۸۷, ۲۲:۵۳:۴۷)Di Di نوشته است: [ -> ]ببخشيد مي شه توضيح بديد چطور مي شه دوبار تشكر كرد!!!

ممنون سغید جان در مورد atch شده حق با شماست
روتکیتها زندگی رو لذت بخش تر میکنن مخصوصا اگه سطح کرنل باشه

آقا حامد يه بار ديگه به فهرست تشكر هاي مبين تو پست اول نگاه كنيد!!!!

(۲۳-مهر-۱۳۸۷, ۱۱:۰۷:۲۳)Di Di نوشته است: [ -> ]آقا حامد يه بار ديگه به فهرست تشكر هاي مبين تو پست اول نگاه كنيد!!!!

من هم برا همین تعجب کردم !!!

فکر کنم جزو معجزات باشه Confused

این بحث از بخش خصوصی به اینجا منتقل شد

lord_viper

Di Di

saeedsmk

hamed_Arfaee

lord_viper

Di Di

hamed_Arfaee

lord_viper