ايران ويج

سلام

ویروس هایی که فایل هایی مثل LSASS, SVCHOST, EXPLORER, SERVICES رو آلوده میکنند، آیا با اولین باری که اجرا میشن این کار رو میکنن یا بعد از یک بار Restart فایل سیستمی مورد نظر رو با فایل خودشون Replace می کنند؟
چون یک بار که یک ویروس اجرا شد ابتدا به نام Administrator (کلا اسم یوزر ویندوز) بود ولی بعد از Restart دیگه System محسوب میشد.
من هر دو پروسه جدید رو Suspend کردم بعد بستمشون؛ تو بخش Startup از msconfig هم Item جدید اضافه نشده بود ولی بعد از Restart ......

از کجا بفهمیم فایل های سیستمی نسخه اصل هستند یا دستکاری شده توسط ویروس؟

برنامه ای هست برای این کار؟

دوستانی که آنتی استفاده نمی کنند و ویروس ها رو دستی پاک میکنند، شده تا به حال از پس ویروسی بر نیان؟ اینجور مواقع چیکار می کنید؟ (تعویض ویندوز رو نمیگم؛ پاک کردن ویروس رو میگم)

برای اینکه فایل ویروس رو از فایل سیستمی اصلی تخیص بدی می تونی از روی اندازه، اطلاعات فایل، تاریخ

ساخت فایل و ... در اولین نگاه تشخیص بدی اما برای اطمینان و همینطور مطلع شدن از نحوه عملکرد ویروس باید

اون رو با دیباگر و Spy زیر نظر بگیری تا بتونی راه مقابله با اون رو پیدا کنی و به راحتی براش آنتی تهیه کنی.

البته نکته مهم اینجاست برخی از ویروس ها خود فایل های سیستمی رو آلوده می کنن که کار با اونها کمی

سخت تر هست.در این حالت بهترین کار ریستارت سیستم و پاک سازی اون از طریق لینوکس یا داس یا ویندوزهای

لایو هست.

چنانچه برای بررسی ویروس اون رو روی سیستمتون اجرا می کنید بهتره از دیپ فیریز یا ماشین مجازی یا ..

هم استفاده کنید تا کارتون سریعتر پیش بره.

لطفا یک نمونه دیباگر و Spy برای مبتدی ها معرفی بفرمایید تا دانلود کنم.

برای دیباگر بهتره از ollydbg استفاده کنید و برای Spy هم از RegMon و Filemon

لینک این برنامه ها همراه با توضیحات بیشتر در قسمت "ابزار کرک" موجود هست.