اويرا اين پيغام را دادTR/Keygen.AO به نظرتان خطرناكه؟
اويرا اين پيغام را دادTR/Keygen.AO به نظرتان خطرناكه؟
دوست خوب من vtn
ضمن احترام به نظر شما، به نظر من اصل موضوع، درست همین است که این فایل Ashiyane بلافاصله بعد از ایجاد شدن و دست به کار شدن، نابود می شود.
در ضمن هیچ کلید یا مقدار رجیستری نیز نه ایجاد شده و نه تغییر کرده است.تنها پروسه ای که بعد از کلیک روی این فایل اجرا می شود Cmd.exe (خط فرمان داس در ویندوز ) است آن هم برای ری کانورت کردن فایل کانورت شده و نه تزریق کلیدها و مقادیر رجیستری.و چون این فایل bat است پس برای اجرا در محیط ویندوز از cmdاستفاده کند و cmd نیز برای اجرا در ویندوز نیاز به یک شبیه ساز داس دارد که آن چیزی نیست جز فایل سیستمی خود ویندوز بنام ntvdm.exe یا Windows NT Virtual DOS Machine .
البته شما درست می گویید،اگر فایل Ashiyane تشخیص داده نشود کلید های تروجان تزریق می شود.
به شکل زیر:
n Ashiyane
e 100 4D 5A 0 0 0 0 0 0 0 0 0 0 50 45 0 0
e 110 4C 1 2 0 41 59 4F 21 0 0 0 0 0 0 0 0
e 120 E0 0 F 1 B 1 0 0 0 E0 0 0 0 40 0 0
e 130 0 0 0 0 54 1 0 0 0 10 0 0 C 0 0 0
e 140 0 0 40 0 0 10 0 0 0 2 0 0 4 0 0 0
e 150 1 0 0 0 4 0 0 0 0 0 0 0 0 B0 1 0
e 160 0 2 0 0 0 0 0 0 2 0 0 0 0 0 10 0
e 170 0 10 0 0 0 0 10 0 0 10 0 0 0 0 0 0
e 180 10 0 0 0 0 0 0 0 0 0 0 0 58 A6 1 0
e 190 84 0 0 0 0 40 1 0 FC F 0 0 0 0 0 0
e 1A0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 1B0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 1C0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 1D0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 1E0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 1F0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 200 0 0 0 0 0 0 0 0 0 0 0 0 0 30 1 0
e 210 0 10 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 220 0 0 0 0 0 0 0 0 E0 0 0 C0 0 0 0 0
e 230 0 0 0 0 0 70 0 0 0 40 1 0 D9 66 0 0
e 240 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0
e 250 E0 0 0 C0 87 25 9C A6 41 0 61 94 55 A4 B6 80
e 260 FF 13 73 F9 33 C9 FF 13 73 16 33 C0 FF 13 73 1F
e 270 B6 80 41 B0 10 FF 13 12 C0 73 FA 75 3A AA EB E0
e 280 FF 53 8 2 F6 83 D9 1 75 E FF 53 4 EB 24 AC
e 290 D1 E8 74 2D 13 C9 EB 18 91 48 C1 E0 8 AC FF 53
و الی آخر....
همانطور که می دانید آنتی ویروس هائی نظیر NOD و Kaspersky حداقل این دو را می دانم که بصورت on fly فایل ها را چک می کنند یعنی قبل از نصب. و در عکسی که من قرار دادم NOD آن را به صورت Variant یعنی اول سورس کد های ویروس را با دیتابیس خود مقایسه می کند و در صورت شباهت آن را به عنوان Variant شناسایی می کند یعنی گونه ای از کد مخرب. و این یعنی سورس های ویروس را کاملا می شناسد. این دقیقا همان کار سرویس PDM کسپر است.
البته نمی دانم تا چه حد توانسته ام منظورم را بیان کنم.اگر اشتباه می کنم دوستان راهنمایی کنند.موفق باشید.
دوست خوب من ، من این را به عنوان مثال عرض کردم . البته WinRAR هم کمپرس می کند و هم کانورت. ولی کانورت فایل قبلا کمپرس شده. و این منظور مثال من بود.نوشته شده توسط BERJIS [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در ضمن من هم به دوستان توصیه می کنم که از کلیک کردن روی فایل ها خودداری کنند.
دوست عزیزنوشته شده توسط mehdi56 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سرویس PDM کاسپرسکی این گونه کار نمی کند .این سرویس یک آنالیزور رفتاری است و کاری با سورس کد ویروس
ندارد ولی شما اگر ممکن است سری به پوشه temp خودتان بزنید ببینید فایلهای زیر پس از اجرای تروجان مزبور در
آنجا ظاهر می شوند یا نه :
TMP0010.TMP
TMP0090.TMP
Trojan-
Trojan-Spy.Win32.Agent.ny.tmp
و همچنین آیا Trojan-Spy.Win32.Agent.ny.exe در پوشه temp ظاهر می شود یا نه ؟ اگر هیچکدام از اینها ایجاد
نشود حرف شما کاملا درست است و نود32 جلوی آلودگی را گرفته است .
ببیند دوست عزیز اجرا این فایل batربطی به فایلntvdm.exeچون ویژگی این تروجانی که شما روش کلیک کردید اینه که از نام فایلهای سیستمی کپی می کنه وانوقت روی سیستم اجرا میشه یعنی اینکه اگر شما دوباره اونواجرا کنید با نام دیگری یک پروسه در کامپیوتر شما ایجاد می کنه در ضمن نود فقط فایلی را که پروسه ای با نام ntvdm.exeرا که در حافظه کامپیوتر شماایجاد شده را شناسایی کرده .اگر فایلها الوده بطور کامل از سیستم شما پاک شده باشند موقعی که ویندوزتون بالا بیاید در همان ابتدا پیغامی مبنی براینکه ویندوز فایلی به نام مثلا ntvdm.exe(البته فقط در مورد سیستم شما)را پیدا نکرده مشاهده می کنید ولی اگر اینطور نباشه مطمنا سیستمتون هنوز الوده است وانتی ویروس فایل الوده را بطور کامل پاک نکرده استنوشته شده توسط mehdi56 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
از راهنمایی دوستان خوب Vtn و BERJIS تشکر می کنم.
در مورد نوشته ی Vtn باید بگویم که بله حرف شما درست است. البته من سرویس PDM کاسپرسکی رو کاملا می شناسم.و منظورم استفاده از رفتار ویروس ها برای شناسایی آنها، توسط این آنتی ویروس ها و بسیاری دیگر از آنتی ویروس ها است. ودر پوشه ی TEMP نیز چه در Documents and Settings و چه در WINDOWS چیزی پیدا نشد.
در مورد BERJIS نیز فکر کنم طبق تصویر پایین، فایل به قرنطینه رفته و یا بی اثر شده یا پاک شده و ... کاملا واضح است . فکر کنم شما به اشتباه فایل ntvdm.exe را مد نظر قرار داده اید.و شاید فکر کرده اید که NOD این فایل را پاک کرده است.چون این فایل یکی از پروسه های مهم سیستم عامل ویندوز است که اگر پاک شود و یا ... شود. نقص اساسی در ویندوز به وجود می آید. این پروسه فقط برای داس تحت ویندوز استفاده می شود و این فایل مخرب برای اجرا کردن خود می خواسته از آن استفاده کند. معمولا پروسه هایی که بوسیله ی کد های مخرب شبیه سازی می شود، و یا به قول شما کپی می شوند اگر در Task Manager آنها را مشاهده کنید معمولا منشائی غیر از Windows\System32 دارند.که کاملا می توان پروسه ی تقلبی را از پروسه ی درست تشخیص داد. البته امکان دارد که خود پروسه ی ویندوز تحت حمله قرار گیرد و ویروس کد های مخرب خود را در آن تزریق نماید، و منشا آن هم همان System32 باشد، اما نه هنگامی که آنتی ویروس فعال است و ویروس نیز برای آنتی ویروس شناخته شده است.
موفق باشید.
سلام
واقعاً چه بحثهای خوبی توی این چند صفحه اخر شده ممنون ازتون یه دوزار چیز یاد گرفتیم
22:NOD32 آپدیت شدهنوشته شده توسط BERJIS [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
28:کاسپرسکی 7
25: زون آلارم آپدیت شده
پس چرا نتایج من فرق می کنه؟؟؟؟؟؟؟؟نوشته شده توسط vtn54 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دوباره:نوشته شده توسط BERJIS [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ناد 32 هیچی پیدا نکرد
کاسپرسکی 7 هر 5تا رو شناخت
زون آلارم 3 تا رو شناخت
من تا حالا از نود و زون الارم استفاده می کردم ولی مثل اینکه باید تغییر موضع بدم
راستی اساتید محترم یه سوال؟؟؟؟؟؟
پس این مقایسه ای که توی این تاپیک شده اشتباهه ؟ غلطه؟ یا اصلا قضیه چیز دیگه ای هستش؟؟
چون اینجا گفته که نود تقریبا از بقیه جلوتره
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
احتمالا زون آلارم شما از نظر آپدیت مشکل دارد.پس چرا نتایج من فرق می کنه؟؟؟؟؟؟؟؟
اولا این تعداد نمونه ای که دوست عزیزمان اینجا برای امتحان گذاشته اند بسیار کم است و تنها بر اساس آنها نمی توان قدرت شناسایی ویروسها را با هم مقایسه کرد .دوما آن تستی که شما اشاره کرده اید در مورد قدرت هوریستیکپس این مقایسه ای که توی این تاپیک شده اشتباهه ؟ غلطه؟ یا اصلا قضیه چیز دیگه ای هستش؟؟
چون اینجا گفته که نود تقریبا از بقیه جلوتره
یا هوش مصنوعی آنتی ویروسها در مقابله با ویروسهای ناشناخته است نه قدرت کلی شناسایی ویروسها .برای اینکه میزان کلی شناسایی انتی ویروسها را در مقابل تمامی انواع ویروسها ببینی به لینکهای زیر سری بزن :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خیلی ممنون که روشنم کردیدنوشته شده توسط vtn54 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اتفاقاً زون الارم کرک شده و دائم اپدیت می شه ضمن اینکه ورژن 337/70 اون رو از خود سایتش گرفتم و اپگریت کردمنوشته شده توسط vtn54 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا که بحث به اینجا کشید میشه دوتا سوالم رو جواب بدید؟؟؟؟(البته جاش اینجا نیست ولی حالا که پیش اومده)
1- از وقتی این اپدیت جدید رو گرفتم و روی ورژن 7 نصب کردم بدجوری سرعت باز کردن برنامه هام رو کم کرده (فقط برنامه ها و نه اینترنت) در حالی که با ورژن 7 اینجوری نمی شد
2- به نظر شما من که ناد رو به همراه زون الارم استفاده می کنم امنیت کافی برقرار میشه یا بهتره کاسپر رو نصب کنم ؟؟؟ چون این کاسپر دائم باید یه keygen براش پیدا کنم و دردسر داره ولی ناد دیگه این بازی رو نداره
Last edited by cnn; 02-06-2007 at 18:15.
در مورد اول نمی توانم چیزی بگویم چون از اینترنت سکوریتی زون آلارم استفاده نمی کنم ولی نسخه 7 این نرم افزار پس از استفاده از انجین کاسپرسکی مشکلات حل نشده زیادی دارد و مدتی طول خواهد کشید تا آنها را برطرف کند .اگر شما از اینترنت سکوریتی زون آلارم با آنتی ویروس فعال همراه با نود32 استفاده می کنید در بهترین حالت ( اگر سیستمتان از نظر امنیتی دچار مشکل نشود ) دارید منابع با ارزش سیستمتان را هدر می دهید چون شما همزمان هم نود32 و هم کاسپرسکی را به صورت فعال روی سیستمتان دارید .یا نود32 را آنیستال کرده و فقط از زون آلارم استفاده کنید یا به جای اینترنت سکوریتی زون آلارم از فایروال خالی آن همراه با نود32 استفاده کنید و یا حداقل آنتی ویروس زون آلارم را به حالت فعال درنیاورید.نوشته شده توسط cnn [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)