۰۱-اردیبهشت-۱۳۸۷, ۱۹:۰۵:۰۷
۰۱-اردیبهشت-۱۳۸۷, ۲۲:۳۷:۴۴
براي نوشتن آنتي ويروس بايد اول ويروس رو بشناسي.
بهترين راه شناخت ويروس اجراي اون روي سيستمه تا ببينيد چه كار مي كنه، به كجا ها سر مي زنه ، كجا كپي مي شه و چه كليدهايي در رجيستري رو تغيير مي ده. براي اين كار مي تونيد از ابزارهاي مونيتورينگي مثل RegMonو FileMon ( مراجعه شود به بخش ابزارهاي كرك ) استفاده كنيد.
پس از شناخت كامل ويروس براي از بين بردنش به ترتيب بايد مراحل زير رو طي كنيد.
اول بايد ويروس رو از حالت اجرا در بياريد و حافظه رم رو پاك سازي كنيد. كافيه اسم پروسه ويروس يا .. رو به دست بياري و اون رور EndProssec كني
حال بايد فايل يا فايل هاي ويروس از روي سيستم رو حذف كني. اين شمال دو بخش هست
بخش اول فايلهايي كه معمولا در روت اصلي ويندوز هستند و وظيفه اجراي ويروس در ابتداي راه اندازي ويندوز رو دارن. آدرس اونها رو مي تونيد از داخل رجيستري پيدا كنيد يا فايلهايي با حجم ويروس رو داخل ويندوز سرچ كنيد.
بخش دوم هم به ويروس هايي مثل برونتك مربوط مي شه كه خودشنو رو روي سيستم پخش مي كنن كه بايد اونها رو سرچ و حذف كنيد.
در نهايت براي جلوگيري از پيغام هاي خطايي كه سيستم ممكنه بده ( در اثر حذف شذن فايلهاي ويروس كه بايد اول ويندوز اجرا مي شدند ) بهتره رجيستري رو هم تميز كنيد و كليدهاي ويروس رو حذف كنيد.
بهترين راه شناخت ويروس اجراي اون روي سيستمه تا ببينيد چه كار مي كنه، به كجا ها سر مي زنه ، كجا كپي مي شه و چه كليدهايي در رجيستري رو تغيير مي ده. براي اين كار مي تونيد از ابزارهاي مونيتورينگي مثل RegMonو FileMon ( مراجعه شود به بخش ابزارهاي كرك ) استفاده كنيد.
پس از شناخت كامل ويروس براي از بين بردنش به ترتيب بايد مراحل زير رو طي كنيد.
اول بايد ويروس رو از حالت اجرا در بياريد و حافظه رم رو پاك سازي كنيد. كافيه اسم پروسه ويروس يا .. رو به دست بياري و اون رور EndProssec كني
حال بايد فايل يا فايل هاي ويروس از روي سيستم رو حذف كني. اين شمال دو بخش هست
بخش اول فايلهايي كه معمولا در روت اصلي ويندوز هستند و وظيفه اجراي ويروس در ابتداي راه اندازي ويندوز رو دارن. آدرس اونها رو مي تونيد از داخل رجيستري پيدا كنيد يا فايلهايي با حجم ويروس رو داخل ويندوز سرچ كنيد.
بخش دوم هم به ويروس هايي مثل برونتك مربوط مي شه كه خودشنو رو روي سيستم پخش مي كنن كه بايد اونها رو سرچ و حذف كنيد.
در نهايت براي جلوگيري از پيغام هاي خطايي كه سيستم ممكنه بده ( در اثر حذف شذن فايلهاي ويروس كه بايد اول ويندوز اجرا مي شدند ) بهتره رجيستري رو هم تميز كنيد و كليدهاي ويروس رو حذف كنيد.
۰۲-اردیبهشت-۱۳۸۷, ۰۷:۱۹:۱۷
البته نباید به طور مستقیم روی سیستم اجرا کرد بلکه برای اجرای ویروس و دیدن فعالیتهاش میتونین از virtual machin استفاده کنین
۰۲-اردیبهشت-۱۳۸۷, ۱۳:۵۴:۳۹
میشه این رنامه ای که اقای لرد گفتن بزارید و توضیح بیشتری بدید
۰۲-اردیبهشت-۱۳۸۷, ۱۴:۱۷:۰۰
virtual machin یه برنامهیه که یه کامپیوترو برای شما شبیه سازی میکنه. حالا میتونید هر بلایی که خواستید سرش بیارید.نمونهش MS Vitual PC یا VMWare. کار باهاشون آسونه یعنب عملا کاری نباید باهاش بکنید فقط یه کامپیوتر میسازید و بقیش مثل یه کامپیوتر معمولیه. من فکر کنم vitual pc برای نصب ویندوز بهتر باشه. البته vmware هم این مزیت رو داره که محصول مایکرسافت نیست.
۰۲-اردیبهشت-۱۳۸۷, ۱۷:۰۰:۱۳
كلا توصيه اكيد مي كنم براي دفعات اول يا كار با ويروس هايي كه خطرناك مي زنن ( ممكنه هوس كنن هاردتون رو فرمت كنن ! ) حتما از كامپيوتر مجازي استفاده كنيد.
اما كار با ويروس رويه سيستم خودتون يه چيز ديگه است!! گذشته از هيجان و لذت خاصي كه داره مي تونه شما رو با گوشه هاي نهان كارهاي ويروس آشنا كنه كه ممكن نيست داخل ماشين مجازي با اونها روبه رو بشيد.
مثلا همين ياكوزا رو مي تونيد داخل ماشين مجازي لود و مانيتور كنيد و بلافاصله آنتي اون رو بنويسيد و كار تمومه .... اما ياكوزا براي دست يابي به اطلاعات تغييراتي در رجيستري اعمال مي كنه كه باعث ايجاد مشكلاتي در سيستم مي شه. اين مشكلات تنها زماني نمايان مي شن كه با بقيه نرم افزارها داخل سيستم كار كنيد.
مثلا حذف كوكي ها ، برداشتن تيك ذخيره پسورد ياهو و .... از اين جمله هستند.
اما كار با ويروس رويه سيستم خودتون يه چيز ديگه است!! گذشته از هيجان و لذت خاصي كه داره مي تونه شما رو با گوشه هاي نهان كارهاي ويروس آشنا كنه كه ممكن نيست داخل ماشين مجازي با اونها روبه رو بشيد.
مثلا همين ياكوزا رو مي تونيد داخل ماشين مجازي لود و مانيتور كنيد و بلافاصله آنتي اون رو بنويسيد و كار تمومه .... اما ياكوزا براي دست يابي به اطلاعات تغييراتي در رجيستري اعمال مي كنه كه باعث ايجاد مشكلاتي در سيستم مي شه. اين مشكلات تنها زماني نمايان مي شن كه با بقيه نرم افزارها داخل سيستم كار كنيد.
مثلا حذف كوكي ها ، برداشتن تيك ذخيره پسورد ياهو و .... از اين جمله هستند.