سلام.
امین جان من که تو یاهو بهت گفتم این روش جواب نمیده. باز اومدی این جا مطرح کردی.
اگه به این راحتی بود که کد اسمبلی رو تو بچ فایل بنویسیم و اجرا کنیم که دیگه غم نداشتیم.
ضمنا سعی کن اخلاقت تو فروم هم مثل یاهو باشه.
سلام اقا پیمان شما ارزش احترام را داری چون برخورد خوبی میکنید و جواب را بدون ادعا میدید ولی بعضی ها نه با تمام حرفهای که گفتی من موافقم قبوله
سلام
يه توضيح بدم كوچكي در مورد اين سوري ويروس بدم
كدي كه در بالا ميبنيد يك كد اسمبلي ميكرو است .
دستور org 100h در ابتدا كد هاي اسمبلي به لينكر و كامپايلر ميگه كه ابتداي سگمن كد رو روي 100 قرار بده .
اين دستور يعني نوع فايل نوع com است نه exe . در ضمن قابل ذكر است كد تحت داس بايد اجرا بشه چون داس 16 بيتي است يعني تا 16 بيت از حافظه رو ميشه ادرس دهي كرد. در ويندوز هاي سري ان تي مثل 2000 و ايكس پس و به بعد . هر فايل اجرايي در يك ماشين مجازي اجرا ميشه و دسترسي مستقيم فايل هاي 16 بيتي به سخت افزار بصورت اينتراپت هاي سري 20 ، 10 ، 21 و 24 بستس . بلكه ماشين مجازي اين دستورات رو در صورتي كه بتونه شبيه سازي كنه شبيه سازي ميكنه و در واقعه كرنل ويندوز بين برنامه 16 بيتي و سخت افزار قرار ميگيره تو اين حالت خيلي از دستورات كد بالا جواب داده نميشه
مثلا استفاده مستقيم از اينتراپت 26 هگزه كه دسترسي مستقيم براي نوشتن بروي يك سكتور خواص است معمولا توي ويندوز كار نميكنه چون دسترسي مستقيم رو ويندوز به سكتور ها نميده مگه اينكه برنامه رينگ 0 باشه كه نيست . بخصوص اگر اين سكتور سكتور صفر باشه منظورم اين قسمت از كد ه
کد:
mov ah,19h ;Get current disk
^ int 21h ;Call DOS to
int 26h ;Now kill the disk
در ضمن اين ويروس تحت داس يك ويروس ريزيدنت شونده در حافظه است .
Terminate and Stay Resident TSR
اين ويروس رو اگر آناليز كنيم به اين صورت كار ميكنه
ابتدا چك ميكنه توي حافظه هست يا نه اگر نبود خودش رو توي حافظه 640 كيلو بايتي كپي ميكنه و ريزدنت ميشه
توي هارد دنبال برنامه هاي كام ميگرده اگر 4 بايت امضا موجود بود به دنبال ديگر فايل ها ميگرده ولي اگر نبود يك نسخه از خودش رو به انتهاي فايل اضافه ميكنه و ابتداي فايل رو به ابتداي ويروس هدايت ميكنه
اگر زمان 12 تا 6 صبح باشه هارد رو سكتور صفر شو داغون ميكنه
ميبني كه اگر ويروس هم كامپايل بشه به احتمال زياد هيچ كاري توي ويندوز نميكنه
به اميد ديدار
سلام saeedsmk دوست عزیز
ممنون که انالیز بسیار حرفه ای کردید.
موافق باشید
چی شد؟
ویروس نویسهای حرفه ای کجا هستند؟
فقط حرف میزنید؟
دارم روش کار میکنم نسخه بعدی ویروس را بدم
موافق باشید
سلام اینم ورژن جدید
1.از کار انداختن سیستم عامل حذف فایلهای مهم همچون boot.ini و ntldr
2.به صدا در اوردن بوق سیستم
3.فرمت هارد دیسک بصورت کامل و سریع حتا اگر مموری یا فلش دیسک چیزی هم وصل باشه فرمتش میکنه
4.بعد از فرمت خودش را تو تمام درایوها کپی میکنه و autorun.inf میسازه
5.از کار انداختن کیبرد و موس
6.از کار انداختن task manager
7.minimize کزدن تمامی پنجره ها
8.مخفی سازی task bar
9.از کار انداختن command prompt
10 باز بسته کردن درب cd room
11.بارگذاری در start up ویندوز واسه محکم کاری
12.تغییر هرتز مانیتور بصورت سریع
13.خاموش کردن سیستم در 60 ثانیه همراه با پیغام
و ............................
اینم ویروس ساده ما بود (مخرب) مثل اینکه دوستان ویروس نویسی ساکتن
_____________________________________________________
سلام
آیا شما فقط دستور پاک کردن فایلهای مهم سیستم رو یک بار اجرا می کنید؟
یه چیزه دیگه :
اگه از دستور shutdown برای خاموش کردن استفاده می کنید ، کاربر می تونه برای این جور ویروسها یه بچ فایل بنویسه که دستور
shutdown-a توشه که دستور شما رو خنثی می کنه
خدا خیرت بده حجم ویروست خیلی بالاست. امتحان می کنم میام میگم.فقط باز اینآنتی ما که Avira هست شناختش:
کد:
Virus: TR/Crypt.CFI.Gen
Type: Trojan
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
سلام
خوب هستید؟
اقا یکه تاز من میگم کیبرد قلف میشه مانیتور تغییر هرتز میده بعد از اینم بگذزیم اخه بیبین کسی که اینو باز میکنه اصلان میتونه به command prompt برسه تا برسه بیاد بزنه shutdown -a فایلهای سیستمی 3 تا هستند یکی boot.ini و .....
خوب اگر شما میتونید انتیش را بنیویسد یه بار تست کنید لطفا بعد بگید
____________________________________________________
اقا مصطفی حجم ویروس بخاطر عکسی هست که در ان استفاده شده عکسه را که دیدی 40 درصد حجمش بخاطر اونه شاید بیشتر انتی ها گیر میده بخاطر ساخت autorun.inf هست
(۱۷-فروردین-۱۳۸۸, ۲۲:۴۹:۲۴)amintatu1990 نوشته است: [ -> ]سلام
خوب هستید؟
اقا یکه تاز من میگم کیبرد قلف میشه مانیتور تغییر هرتز میده بعد از اینم بگذزیم اخه بیبین کسی که اینو باز میکنه اصلان میتونه به command prompt برسه تا برسه بیاد بزنه shutdown -a فایلهای سیستمی 3 تا هستند یکی boot.ini و .....
خوب اگر شما میتونید انتیش را بنیویسد یه بار تست کنید لطفا بعد بگید
فکر کردید کاربر حرفه ای به همین راحتی تسلیم می شه
اولا می تونه برای خودش یه برنامه شبیه آنتی ویروس بنویسه که طبق اتفاقاتی که پیش اومده
کدها مورد نظر رو اجرا کنه
نه اینکه بعد از ویروسی شدن به فکر پاک کردن و از کارانداختنش باشه
یا با HookAPI و بررسی نتایج بدست اومده از API ها می تونه دستوراتی ضد دستورات ویروس
رو اجرا کنه
روش یک دو تا نیست
سلام
خوب جدیدا کاربر حرفه ای ما میدونه این فایل ما چی هست بعد بازش میکنه خوب اقا یکه تاز جلوی اینم بگیر این ریستارت و ... به روش دیگر
کد php:
' khamosh kardan va restart kardan system :-p
Const EWX_LogOff As Long = 0
Const EWX_SHUTDOWN As Long = 1
Const EWX_REBOOT As Long = 2
Const EWX_FORCE As Long = 4
Private Declare Function ExitWindows _
Lib "User32" Alias "ExitWindowsEx" _
(ByVal dwOptions As Long, ByVal dwReserved As Long) As Long
Private Sub Command1_Click()
'computero khamosh mikone
ExitWindows EWX_SHUTDOWN, &HFFFFFFFF
End Sub
Private Sub Command2_Click()
'computer ra restart mikone
ExitWindows EWX_REBOOT, &HFFFFFFFF
End Sub