۱۹-اسفند-۱۳۸۷, ۰۱:۵۳:۴۳
۱۹-اسفند-۱۳۸۷, ۱۱:۰۰:۵۵
دوست عزیز
می تونید داخل بخش ویروس نویسی از بحث ها و سورس هایی که در این بخش وجود داره استفاده کنید.
می تونید داخل بخش ویروس نویسی از بحث ها و سورس هایی که در این بخش وجود داره استفاده کنید.
۱۹-اسفند-۱۳۸۷, ۱۸:۴۴:۰۴
راه های زیادی داره که توی همون بخش ویروس نویسی هست اما چندتا از عمده ترین کارهاش می تونه اینا باشه :
1-کدگذاری برنامه : یعنی با استفاده از الگوریتمهای کدگذاری String های داخل برنامه رو کد می کنیم و موقع استفاده دیکد می کنیم
2-نوشتن توابع جدید به جای استفاده از API ها و توابع خوده زبان برنامه نویسی : با استفاده از دیگر توانایی های زبان برنامه نویسی می شه
بعضی از توابع مثل FileCopy رو یک جور دیگه ای پیاده کرد که از دید آنتی ویروسها یک کار سالم و بدون خطر باشه
3-لود و استفاده از API ها هنگام اجرای برنامه : یعنی با استفاده از توابع API دیگر مثل LoadLibrary و GetProcAddress تابع API
مورد نظر را بارگذاری و استفاده می کنیم
البته باید توجه داشت که در بعضی مواقع که کار ویروس خیلی حساسه استفاده از حتی یک تابع API به صورت استاتیک در برنامه موجب
مرگ و شناخته شدن برنامه می شه یعنی همون LoadLibrary و GetProcAddress رو هم باید دینامیکی لود کنی
4-استفاده از روشهای جدید : بهتره از روشهایی که ویروسهای قدیمی برای انجام کاری استفاده می کردند استفاده نکنید و با نوآوری و
تغییر (چه کوچیک و چه بزرگ) در برنامه به کار ببرید
5-از کارهای خیلی مشکوک و واضح بپرهیزید : خیلی از آنتی ویروسها همه کارهای یک برنامه رو زیر نظر می گیرن و بر اساس اونها
شناسایی رو انجام می دن پس بهتره یک دفعه دست به کارهای واضح مثل پاک کردن فایلهای روی هارد و کپی شدن رو فایلها و ...
بپرهیزید و آنها را به دفعات و براساس زمان و موقعیتهای مختلف انجام دهید
============================
اینا می تونه خیلی به مخفی موندن برنامه کمک کنه که 3 تای اولی خیلی مهمه چون باعث تغییر در Import Table برنامه می شه
و خیلی از آنتی ویروسها (حتی از این دست سازها) از روی Import Table ویروس را شناسایی می کنند و با مخفی و به هم ریختن این قسمت
از فایل اجرایی حداقل یک دیوار حفاظتی نسبتا خوب و قوی دور برنامه کشیده اید
1-کدگذاری برنامه : یعنی با استفاده از الگوریتمهای کدگذاری String های داخل برنامه رو کد می کنیم و موقع استفاده دیکد می کنیم
2-نوشتن توابع جدید به جای استفاده از API ها و توابع خوده زبان برنامه نویسی : با استفاده از دیگر توانایی های زبان برنامه نویسی می شه
بعضی از توابع مثل FileCopy رو یک جور دیگه ای پیاده کرد که از دید آنتی ویروسها یک کار سالم و بدون خطر باشه
3-لود و استفاده از API ها هنگام اجرای برنامه : یعنی با استفاده از توابع API دیگر مثل LoadLibrary و GetProcAddress تابع API
مورد نظر را بارگذاری و استفاده می کنیم
البته باید توجه داشت که در بعضی مواقع که کار ویروس خیلی حساسه استفاده از حتی یک تابع API به صورت استاتیک در برنامه موجب
مرگ و شناخته شدن برنامه می شه یعنی همون LoadLibrary و GetProcAddress رو هم باید دینامیکی لود کنی
4-استفاده از روشهای جدید : بهتره از روشهایی که ویروسهای قدیمی برای انجام کاری استفاده می کردند استفاده نکنید و با نوآوری و
تغییر (چه کوچیک و چه بزرگ) در برنامه به کار ببرید
5-از کارهای خیلی مشکوک و واضح بپرهیزید : خیلی از آنتی ویروسها همه کارهای یک برنامه رو زیر نظر می گیرن و بر اساس اونها
شناسایی رو انجام می دن پس بهتره یک دفعه دست به کارهای واضح مثل پاک کردن فایلهای روی هارد و کپی شدن رو فایلها و ...
بپرهیزید و آنها را به دفعات و براساس زمان و موقعیتهای مختلف انجام دهید
============================
اینا می تونه خیلی به مخفی موندن برنامه کمک کنه که 3 تای اولی خیلی مهمه چون باعث تغییر در Import Table برنامه می شه
و خیلی از آنتی ویروسها (حتی از این دست سازها) از روی Import Table ویروس را شناسایی می کنند و با مخفی و به هم ریختن این قسمت
از فایل اجرایی حداقل یک دیوار حفاظتی نسبتا خوب و قوی دور برنامه کشیده اید