آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)

[yeketaz]

با PE.Explorer خیلی چیزا رو میشه فهمید.

[lord_viper]

1= regmon با این برنامه هر کلیدی که تو رجیستری دست بخوره شما متوجه میشین(کلیدهایی که ویروس سرکشی میکنه یا عوض میکنه)
2= filemon این برنامه هم هر ارتباطی بین فایلها بوجود بیاد ثبت میکنه(فایلهایی که ویروس چک میکنه یا میسازه یا تغییر میده یا حذف میکنه رو به شما نشون میده)
3=process explorer برای دیدین inject و اینکه چه پروسه هایی در حال فعالیت هستند و غیر فعال کردنشون
قبل از انالیز ویروس از نرم افزارهای محافظ مثل virtual pc یا deep freez استفاده کنین تا مشکلی برای سیستم خودتون بوجود نیاد و با یه رستارت همه چی به حالت اولیه برگرده

[godvb]

سلام . من فقط اين virtual pc رو موندم موقعه اي كه ميزارم بالا بياد اين پيغام رو ميده شرمنده نمي تونم عكس بگيرم و بزارم .

کد:

reboot and select proper boot device
or insert boot media in selected boot device

هر كاري هم كه ميكنم نميشه

[sayberiya]

سلام دوستان
بچه ها نمیشه یه جوری سرور مثلا تروجان یا کیلاگری که نوشتیم فایل مون و رگمون و پی ای اکسپلورر رو غیر فعال کنه
من از این 3 برنامه تا حالا استفاده نکردم
ولی فکر کنم اگر این برنامه ها در استارت آپ باشن یعنی همیشه پروسشون در حال اجرا باشه میشه با این روش غیر فعالشون کرد . پروسش به دست بیاریم بعد این کارو کنیم
Shell "taskkill /f /im process Name.exe", vbhideFocus
اگر سرورمون در حال اجرا بود بعدش این برنامه ها اجرا بشن چی؟؟ فکر نکنم بشه دیگه با دستور بالا غیر فعالشون کرد

[lord_viper]

برنامه های زیادی واسه شناسایی پروسس ترجانها هست من از proccess explorer و یه تسک منجر که خودم نوشتم استفاده میکنم شما به فرض تو تایمر همه اینها رو چک کنی و ببندی اولا این خودش نشون میده که یه برنامه رو سیستم در حال اجراست و دوم اینکه تو تسک منجر خودم پروسستو میبینم و میبندمش
(تروجانی که مخفی تره موندگاریش بیشتره)
(بهتره در کنار برنامت یا توی اون یه روتکیت هم بگزاری که ردپاهاتو مخفی کنه که تو ویبی نمیتونی این کارو بکنی)

[sayberiya]

یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشه
راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست
کلا چند روش برای مخفی کردن پروسه وجود داره

[lord_viper]

یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشه

تو وبیب رو نمیدونم ولی تو دلفی میشه

راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست

راهای زیادی وجود داره مثل autorun.inf نوشتن تو بعضی فایلها و جاهای خاصi

کلا چند روش برای مخفی کردن پروسه وجود داره

استفاده از اینجکشن و استفاده از hook_api و بیند کردن

[Payman62]

سلام.

یعنی تو وی بی هیچ راهی نداره پروست در بیشتر جاها مخفی باشه
راستی به جز این روش که تو winlogon مقدار شل رو به سرورمون تغیر میدیم تا سرور تو mscongif مخفی بشه راه دیگه ای هم هست
کلا چند روش برای مخفی کردن پروسه وجود داره

winlogon برنامه رو از استارت آپ مخفی میکنه. ولی پروسه برنامه همچنان تو تسک منیجر دیده میشه.

پروسس اینجکش که جناب lord فرمودن روش حرفه ایه و در نتیجه خیلی مشکله. میشه پروستو به اکسپلورر تزریق کنی.
بایند کردن بعید میدونم پروسه رو مخفی کنه. بعد از اجرای فایل بایند شده معمولا 2 تا فایل تو تمپ اکسترکت میشن و جفتشون اجرا میشن که هر دو تو تسک منیجر نمایش داده میشن.

[yeketaz]

یه کار دیگه هم می شه کرد : (برای مخفی ماندن در تسک منجر ها )

اول ما بیام با توابع API تمام لیست های برنامه ها رو پیدا کنیم و یک پروسه مشخص را که می دونیم همیشه در حال

اجراست رو از TaskManager ویندوز بخونیم و سپس در لیست های پیدا شده این پروسه رو جستجو و اگر پیدا کردیم اون برنامه

رو ببندیم البته یه جورایی می شه این برنامه رو گول زد ولی بازم به احتمال زیاد می تونیم حتی TaskManager های

غیر تسک منجر ویندوز رو هم شناسایی و ببندیم

[lord_viper]

بایند کردن بعید میدونم پروسه رو مخفی کنه

ممنون پیمان جان
منظورم از بایند static injection بود تزریق کد باینری

[yeketaz]

پس قرار بود یه چیز جدید بزارید