۰۷-خرداد-۱۳۸۷, ۱۶:۳۷:۲۴
۰۷-خرداد-۱۳۸۷, ۱۷:۴۰:۰۷
1= regmon با این برنامه هر کلیدی که تو رجیستری دست بخوره شما متوجه میشین(کلیدهایی که ویروس سرکشی میکنه یا عوض میکنه)
2= filemon این برنامه هم هر ارتباطی بین فایلها بوجود بیاد ثبت میکنه(فایلهایی که ویروس چک میکنه یا میسازه یا تغییر میده یا حذف میکنه رو به شما نشون میده)
3=process explorer برای دیدین inject و اینکه چه پروسه هایی در حال فعالیت هستند و غیر فعال کردنشون
قبل از انالیز ویروس از نرم افزارهای محافظ مثل virtual pc یا deep freez استفاده کنین تا مشکلی برای سیستم خودتون بوجود نیاد و با یه رستارت همه چی به حالت اولیه برگرده
2= filemon این برنامه هم هر ارتباطی بین فایلها بوجود بیاد ثبت میکنه(فایلهایی که ویروس چک میکنه یا میسازه یا تغییر میده یا حذف میکنه رو به شما نشون میده)
3=process explorer برای دیدین inject و اینکه چه پروسه هایی در حال فعالیت هستند و غیر فعال کردنشون
قبل از انالیز ویروس از نرم افزارهای محافظ مثل virtual pc یا deep freez استفاده کنین تا مشکلی برای سیستم خودتون بوجود نیاد و با یه رستارت همه چی به حالت اولیه برگرده
۰۷-خرداد-۱۳۸۷, ۱۹:۰۴:۱۱
سلام . من فقط اين virtual pc رو موندم موقعه اي كه ميزارم بالا بياد اين پيغام رو ميده شرمنده نمي تونم عكس بگيرم و بزارم .
هر كاري هم كه ميكنم نميشه
کد:
reboot and select proper boot device
or insert boot media in selected boot device۰۷-خرداد-۱۳۸۷, ۱۹:۳۹:۵۷
سلام دوستان
بچه ها نمیشه یه جوری سرور مثلا تروجان یا کیلاگری که نوشتیم فایل مون و رگمون و پی ای اکسپلورر رو غیر فعال کنه
من از این 3 برنامه تا حالا استفاده نکردم
ولی فکر کنم اگر این برنامه ها در استارت آپ باشن یعنی همیشه پروسشون در حال اجرا باشه میشه با این روش غیر فعالشون کرد . پروسش به دست بیاریم بعد این کارو کنیم
Shell "taskkill /f /im process Name.exe", vbhideFocus
اگر سرورمون در حال اجرا بود بعدش این برنامه ها اجرا بشن چی؟؟ فکر نکنم بشه دیگه با دستور بالا غیر فعالشون کرد
بچه ها نمیشه یه جوری سرور مثلا تروجان یا کیلاگری که نوشتیم فایل مون و رگمون و پی ای اکسپلورر رو غیر فعال کنه
من از این 3 برنامه تا حالا استفاده نکردم
ولی فکر کنم اگر این برنامه ها در استارت آپ باشن یعنی همیشه پروسشون در حال اجرا باشه میشه با این روش غیر فعالشون کرد . پروسش به دست بیاریم بعد این کارو کنیم
Shell "taskkill /f /im process Name.exe", vbhideFocus
اگر سرورمون در حال اجرا بود بعدش این برنامه ها اجرا بشن چی؟؟ فکر نکنم بشه دیگه با دستور بالا غیر فعالشون کرد
۰۷-خرداد-۱۳۸۷, ۲۱:۵۰:۰۷
برنامه های زیادی واسه شناسایی پروسس ترجانها هست من از proccess explorer و یه تسک منجر که خودم نوشتم استفاده میکنم شما به فرض تو تایمر همه اینها رو چک کنی و ببندی اولا این خودش نشون میده که یه برنامه رو سیستم در حال اجراست و دوم اینکه تو تسک منجر خودم پروسستو میبینم و میبندمش
(تروجانی که مخفی تره موندگاریش بیشتره)
(بهتره در کنار برنامت یا توی اون یه روتکیت هم بگزاری که ردپاهاتو مخفی کنه که تو ویبی نمیتونی این کارو بکنی)
(تروجانی که مخفی تره موندگاریش بیشتره)
(بهتره در کنار برنامت یا توی اون یه روتکیت هم بگزاری که ردپاهاتو مخفی کنه که تو ویبی نمیتونی این کارو بکنی)
۰۸-خرداد-۱۳۸۷, ۱۰:۴۵:۰۶
یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشه
راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست
کلا چند روش برای مخفی کردن پروسه وجود داره
راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست
کلا چند روش برای مخفی کردن پروسه وجود داره
۰۸-خرداد-۱۳۸۷, ۱۱:۲۶:۵۸
sayberiya نوشته است:یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشهتو وبیب رو نمیدونم ولی تو دلفی میشه
نقل قول: راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هستراهای زیادی وجود داره مثل autorun.inf نوشتن تو بعضی فایلها و جاهای خاصi
نقل قول: کلا چند روش برای مخفی کردن پروسه وجود دارهاستفاده از اینجکشن و استفاده از hook_api و بیند کردن
۰۸-خرداد-۱۳۸۷, ۱۱:۵۱:۳۶
سلام.
پروسس اینجکش که جناب lord فرمودن روش حرفه ایه و در نتیجه خیلی مشکله. میشه پروستو به اکسپلورر تزریق کنی.
بایند کردن بعید میدونم پروسه رو مخفی کنه. بعد از اجرای فایل بایند شده معمولا 2 تا فایل تو تمپ اکسترکت میشن و جفتشون اجرا میشن که هر دو تو تسک منیجر نمایش داده میشن.
sayberiya نوشته است:یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشهwinlogon برنامه رو از استارت آپ مخفی میکنه. ولی پروسه برنامه همچنان تو تسک منیجر دیده میشه.
راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست
کلا چند روش برای مخفی کردن پروسه وجود داره
پروسس اینجکش که جناب lord فرمودن روش حرفه ایه و در نتیجه خیلی مشکله. میشه پروستو به اکسپلورر تزریق کنی.
بایند کردن بعید میدونم پروسه رو مخفی کنه. بعد از اجرای فایل بایند شده معمولا 2 تا فایل تو تمپ اکسترکت میشن و جفتشون اجرا میشن که هر دو تو تسک منیجر نمایش داده میشن.
۰۸-خرداد-۱۳۸۷, ۱۵:۲۹:۰۲
یه کار دیگه هم می شه کرد : (برای مخفی ماندن در تسک منجر ها )
اول ما بیام با توابع API تمام لیست های برنامه ها رو پیدا کنیم و یک پروسه مشخص را که می دونیم همیشه در حال
اجراست رو از TaskManager ویندوز بخونیم و سپس در لیست های پیدا شده این پروسه رو جستجو و اگر پیدا کردیم اون برنامه
رو ببندیم البته یه جورایی می شه این برنامه رو گول زد ولی بازم به احتمال زیاد می تونیم حتی TaskManager های
غیر تسک منجر ویندوز رو هم شناسایی و ببندیم
اول ما بیام با توابع API تمام لیست های برنامه ها رو پیدا کنیم و یک پروسه مشخص را که می دونیم همیشه در حال
اجراست رو از TaskManager ویندوز بخونیم و سپس در لیست های پیدا شده این پروسه رو جستجو و اگر پیدا کردیم اون برنامه
رو ببندیم البته یه جورایی می شه این برنامه رو گول زد ولی بازم به احتمال زیاد می تونیم حتی TaskManager های
غیر تسک منجر ویندوز رو هم شناسایی و ببندیم
۰۸-خرداد-۱۳۸۷, ۱۶:۱۶:۰۳
Payman62 نوشته است:بایند کردن بعید میدونم پروسه رو مخفی کنهممنون پیمان جان
منظورم از بایند static injection بود تزریق کد باینری
۰۹-خرداد-۱۳۸۷, ۲۰:۲۳:۴۰
پس قرار بود یه چیز جدید بزارید