بجای این کارا بهترین راه اینه
وقتی فایلی در حال اجراست یک کپی اون در فولدر dllcash که مخفی هست نگهداری کیشه که اگر اصل فایل اسیب دید سریع جایگزین شه
واسه همین
هر دو فایل رو باید در یک زمان پاک کنید و به همین راحتی
اگر خواستید توضیح بیشتر میدم
من خودم taskmanager رو با این روش پاک کردم شما ببینید میتونید پاک کنیدیش
سلام.
عجیبه. یعنی برنامه نویسان ماکروسافت به جای مغز چی تو سرشونه. لااقل اسم فایل بکاپ رو هم عوض نکردن. با یه سرچ ساده میشه 2 تا فایل رو پیدا کرد. من بارها این فکر که سرچ کنم و فایل دوم رو پیدا کنم به سرم زده بود. ولی بعدش میگفتم مگه میشه اسم فایل ها یکی باشه. حتی پسوند فایل هارو هم عوض میکنن که کسی پیدا نکنه. ولی حالا میبینم که حتی اسم فایل ها رو هم عوض نکردن و جالبه بکاپ ها تو خود سیستم32 تو مسیر C:\WINDOWS\system32\dllcache قرار داره. مسیر رو هم میتونستن جوری انتخاب کنن که به راحتی کشف نشه. mbkxp گفته بود dllcash هر چی سرچ کردم پیداش نکردم. بعد رفتم تو سیستم 32 و بین فولدرهای هیدن dllcache رو پیدا کردم. اگه دم دست نبود به این راحتی پیداش نمیکردم.
این روش یه اشکال داره. اینه که هنگام بازسازی فایل و نیافتن فایل مورد نظر پیغام میده که CD ویندوز رو بذار. این هم شک بر انگیزه و هم فایل با گذاشتن CD بازسازی میشه. ولی با استاپ کردن سرویس نه کاربر شک میکنه نه فایلش بازسازی میشه.
Payman62 نوشته است:سلام.
عجیبه. یعنی برنامه نویسان ماکروسافت به جای مغز چی تو سرشونه. لااقل اسم فایل بکاپ رو هم عوض نکردن. با یه سرچ ساده میشه 2 تا فایل رو پیدا کرد. من بارها این فکر که سرچ کنم و فایل دوم رو پیدا کنم به سرم زده بود. ولی بعدش میگفتم مگه میشه اسم فایل ها یکی باشه. حتی پسوند فایل هارو هم عوض میکنن که کسی پیدا نکنه. ولی حالا میبینم که حتی اسم فایل ها رو هم عوض نکردن و جالبه بکاپ ها تو خود سیستم32 تو مسیر C:\WINDOWS\system32\dllcache قرار داره. مسیر رو هم میتونستن جوری انتخاب کنن که به راحتی کشف نشه. mbkxp گفته بود dllcash هر چی سرچ کردم پیداش نکردم. بعد رفتم تو سیستم 32 و بین فولدرهای هیدن dllcache رو پیدا کردم. اگه دم دست نبود به این راحتی پیداش نمیکردم.
این روش یه اشکال داره. اینه که هنگام بازسازی فایل و نیافتن فایل مورد نظر پیغام میده که CD ویندوز رو بذار. این هم شک بر انگیزه و هم فایل با گذاشتن CD بازسازی میشه. ولی با استاپ کردن سرویس نه کاربر شک میکنه نه فایلش بازسازی میشه.
موافقم ...
سلام.
یه فکر جالب در مورد روشی که mbkxp گفت که ویندوز پیغام نده و سیدی وین رو نخواد.
وقتی 2 تا فایل رو پاک کردیم تو مسیر C:\WINDOWS\system32\dllcache به جای فایلی که پاک کردیم فایل SVCHOST.EXE رو قرار بدیم. البته به اسم فایلی که پاک کردیم. SVCHOST.EXE در حالت عادی اجرا نمیشه و باید به عنوان سرویس و با پارامترهای مورد نیاز ران شه. در نتیجه فایل مورد نظر اجرا نمیشه و ویندوز هم پیغام خطایی نمیده.
Payman62 نوشته است:سلام.
یه فکر جالب در مورد روشی که mbkxp گفت که ویندوز پیغام نده و سیدی وین رو نخواد.
وقتی 2 تا فایل رو پاک کردیم تو مسیر C:\WINDOWS\system32\dllcache به جای فایلی که پاک کردیم فایل SVCHOST.EXE رو قرار بدیم. البته به اسم فایلی که پاک کردیم. SVCHOST.EXE در حالت عادی اجرا نمیشه و باید به عنوان سرویس و با پارامترهای مورد نیاز ران شه. در نتیجه فایل مورد نظر اجرا نمیشه و ویندوز هم پیغام خطایی نمیده.
ایده ی خوبیه !
موفق باشید .
شما هر فایلی رو پک کردین به جاش یک فایل exe به همون نام ایجاد کنید
مشکل حله
در ضمن chk cd رو هم میشه غیر فعال کرد.
mbkxp نوشته است:شما هر فایلی رو پک کردین به جاش یک فایل exe به همون نام ایجاد کنید
مشکل حله
در ضمن chk cd رو هم میشه غیر فعال کرد.
سلام.
نه عزیز این روش مناسب نیست. چون فایل ایجاد شده باینری نیست و موقع اجرا ارور میده. برای مثال اگه تسک منجر باشه هر بار که قربانی بخواد تسک منجر رو ببینه با پیغام خطا مواجه میشه که خوب جالب نیست. ولی اگه svchost رو جای اون exe کپی کنی دیگه پیغام خطایی نشون داده نمیشه.
بابا منظورم هر فایلی که نبود یک فایل خنثی مانند یک فرم که visable =false هست مثلا یا تو همین مایه ها
البته راه شما هم خوبه
من اینها رو تست کردم که میگم
مطمئن باشید
سلام.
خوب مرد مومن چه کاریه وقتی svchost هست. تازه روشی که گفتی یه پروسه به پروسس لیست اضافه میکنه. مگر اینکه تو فرم لود end بذاری.
سلام اساتید در جواب این سوال دوستون می تونم یک روش عالی رو بگم که ویندوز تنها از طریق نام فایل متوجه نبود این فایل Regedt32.exe میشود من یه برنامه نوشتم که مشکل شما رو کاملاً حل می کنه البته چون ویندوزم رو می خوام فایل Syskey.exe رو حذف کردم که دقیقاً مثل رجیستری توسط Backup ویندوز جایگزین میشه شما می بایست در سورس برنامه نام فایل Syskey.exe رو با Regedt32.exe جایگزین کنید
به همین ترتیب فایل BackUP اون هم از بین میره
پیمان جان من با نظر شما 100% موافقم چون این روش نسبت به روشی که توسط Stop کردن سرویس انجام میشه یه مزیت داره اونم اینه که میتونه توی Limited کار کنه بدون اینکه ویندوز متوجه بشه
یه ایده هم داشتم که فک کنم یه بار گفته باشمش خلاصه اگه تکراری بود شرمنده جمیع
تروجان نویسا میتونن برا بالا اومدن برنامشون از یه فایل استفاده کنن که موقع بالا اومدن ویندوز اون فایل هم اجرا میشه مثل Explorer.Exe
به این صورت که شما میای Explorer.exe رو یه جا Move میکنی بعد هم از مکان اصلیش (مکان قبلیش)پاکش میکنی و برنامه خودتو که با Icon اکسپلورر درست کردی جای گزین Explorer در مسیر اصلی میکنی و هر موقع که Explorer قلابی اجرا شد باید Explorer.exe اصلی رو با Command مربوطه که با برنامه خودت اونو بدست اوردی اجرا کنی
با این روش میتونی تروجانت رو حتی توی Limited به صورت Local نصب کنی