سلام
ببخشید میخواستم بدونم چطوری میشه یک برنامه ساده را به پایگاه داده یه آنتی ویروس به عنوان یه ویروس یا بدافزار اضافه کرد البته اون برنامه ویروس نیست ولی من میخوام آنتی ویروس اونا به عنوان ویروس بشناسه، امضای اون را بسازه و اجازه اجرا را بهش نده.
خوب کاری نداره هر ویروس کش یه قسمت معرفی دستی داره اون قسمت بده بهش بعد اه تو حتی مرورگر فایرفاکس رو بهش هم بدی گیر میده بهش و نمیزاره اجرا بشه فایرففاکس هم کلا هرچی بهش بدی
موفق باشی
خب منم همین کارو کردم و اون فایلو به عنوان یه فایل مشکوک علامت گذاری کرده ولی اصلا بهش گیر نمیده در ضمن من از آنتی ویروس آویرا استفاده می کنم.
این مورد بهد از گزارش به سایت شرکت تا 7 روز بعد اعمال میشه روی بانک
شما بخ صورت محلی شاید بتونید در لیستی اونرو بن کنید اما به بانک انتی اضافه نمیکنیدش
آخه مشکل اینه که برنامه من ویروس نیست که بخام بفرستم به آزمایشگاه آنتی ویروس و اونا چکش کنند و به پایگاه داده آنتی ویروس اضافه کنند، من میخام به صورت لوکال و فقط در سیستم خودم به عنوان ویروس شناسایی بشه و اجازه اجرا بهش داده نشه.
نمیدونم برنامتون چیه، و اصلا هدفتون از اینکار چیه، اگر لازم نیس برنامه خوب چرا نصبش کردین و کلی سوال دیگه.
متناسب با حرفاتون که ناقص هست.
می تونید فایل رو به Quarantine آنتی ویروس بفرستین و هر زمان که نیاز داشتین restore کنین.
اگر میخایین اجرا بشه و به اینترنت دسترسی پیدا نکنه و ... می تونید از فایروال ها استفاده کنید، مثل comodo,zone alarm و ....
من دارم روی مبهم سازی کار می کنم میخام که برنامه یه ویروس را مبهم کنم یعنی کاری کنم که آنتی ویروس اون ویروس را نشناسه، البته من ویروسی با مشخصاتی که نیاز داشتم پیدا نکردم برای همین یه برنام ای نوشتم که میخام به عنوان ویروس توسط آنتی ویروس شناسایی بشه بعدش من اونا مبهم کنم طوری که در اجراهای بعدی آنتی ویروس متوجه نشه این برنامه همان برنامه قبلی است.
(۱۴-بهمن-۱۳۹۱, ۰۱:۵۰:۳۹)حمزه 327 نوشته است: [ -> ]من دارم روی مبهم سازی کار می کنم میخام که برنامه یه ویروس را مبهم کنم یعنی کاری کنم که آنتی ویروس اون ویروس را نشناسه، البته من ویروسی با مشخصاتی که نیاز داشتم پیدا نکردم برای همین یه برنام ای نوشتم که میخام به عنوان ویروس توسط آنتی ویروس شناسایی بشه بعدش من اونا مبهم کنم طوری که در اجراهای بعدی آنتی ویروس متوجه نشه این برنامه همان برنامه قبلی است.
خوب دوست عزیز این شد یک سوال خوب
UD بسیار کارپسندیده و نیکویی هستش.
مگه مشخصاتت که برای فایل در نظرگرفتین چی هستش؟؟ که نتونستین پیداکنید.
برای اینکار شمامیتونید از فایل های خیلی مشهور و بقولی ضایع استفاده کنید. مثلا netcat و یا سرور sub7 (یادمه از از همون روز اول آنتی ها بهش گیر میدادن
)
ویا اینکه خودتون برنامه ای بنویسین که تقریبا کارهایی مثل بدافزارها انجام بده، مثلا کارابا Group-Policy و یا سعی بر روش های قدیمی startup نمودن برنامه. یعنی باید دست به کدنویسی بشین.
برای دانلود هم اینترنت رو سرچ بزنید. مثلا برای sub7 :
کد:
http://home.scarlet.be/~tsb64544/trojan/dl_s7.htm
http://home.scarlet.be/~tsb64544/trojan/files/subseven_server.zip
http://home.scarlet.be/~tsb64544/trojan/files/subseven_client.zip
و اگر درخواست بدافزارهای دیگری رو دارین بحث جداست و جهت جلوگیری از گمراهی یک تاپیک دیگه بازکنید.
ممنون دوست عزیز
ولی نگفتید چطوری این برنامه را به پایگاه داده آنتی ویروس اضافه کنم که اجازه اجرا بهش نده.
(۱۴-بهمن-۱۳۹۱, ۲۰:۴۳:۵۶)godvb نوشته است: [ -> ]و اگر درخواست بدافزارهای دیگری رو دارین بحث جداست و جهت جلوگیری از گمراهی یک تاپیک دیگه بازکنید.
البته من تو بخش ویروس یه تاپیک با عنوان ویروس چندریخت ایجاد کردم ولی کسی هنوز جوابی نداده.ممنون میشم اگه بدافزاری با مشخصات داده شده معرفی کنید.
(۱۵-بهمن-۱۳۹۱, ۰۲:۵۱:۱۷)حمزه 327 نوشته است: [ -> ]ممنون دوست عزیز
ولی نگفتید چطوری این برنامه را به پایگاه داده آنتی ویروس اضافه کنم که اجازه اجرا بهش نده.
خواهش.
نگاه کنید یک مرور کلی کنیم: شما میخایین روی بدافزاری کارکنین که دیگه آنتی ویروس ها اون رو شناسایی نکند که همون UD و Full UD هست.
پس باید بدافزاری باشه که آنتی ها اون رو شناسایی میکنند و نمیزارند اجرابشه و بصورت Real-Time برنامه رو میفرستن قرنطینه.
خوب خودتون میتونین ویروس بنویسین که آنتی ویروس ها اون رو شناسایی کنند و روی فایل خودتون کارکنید. ویا راه دیگر کار برروی فایل هایی اجرایی (همان انوع ویروس ها) که موجود هست و آنتی ویروس ها اون هارو شناسایی میکنند.
شما همین sub7 که لینک دادم رو گرفتین که آنتی ویروستون اجازه اجرا داده که بازهم شما میگین میخایین به دیتابیس اضافه کنید؟؟
خوب وقتی آنتی ویروس اون رو شناسایی میکنه و میبره توی قرنطینه خودش، یعنی توی دیتابیسش هست دیگه!!!
(۱۵-بهمن-۱۳۹۱, ۰۲:۵۱:۱۷)حمزه 327 نوشته است: [ -> ]البته من تو بخش ویروس یه تاپیک با عنوان ویروس چندریخت ایجاد کردم ولی کسی هنوز جوابی نداده.ممنون میشم اگه بدافزاری با مشخصات داده شده معرفی کنید.
بدافزارهای چندریخت و دگرشکل بحثشون جداست (اگر بخایین فایل رو غیرقابل شناسایی کنید ربطی به چندریخت بودن و یانبودن نداره)، اگر میخایین با تکنیک های دگرشکل بودن ( Polymorphic , Metamorphic , Oligomorphism) آشنابشین.
برای این مدلی مثلا میتونین از Sality استفاده کنین و آنالیز رو انجام بدین .هرچند مدلهای گوناگونی از این بدافزار اومد که آخرین نوع دارای روت کیت است.
لینک دانلود بدافزار Sality.bh :
کد:
http://wdl.persiangig.com/pages/download/?dl=http://godvb.persiangig.com/application/Sality.bh.zip
password: infected
size :83.83 KB
موفق باشید.