چگونه از تغیراتی که ویروس ها در سیستم ایجاد می کنند مطلع شویم؟

[Mahrud]

با سلام

من این تاپیک رو ایجاد کردم تا با گفتگو درباره ی اینکه «چگونه از تغیراتی که ویروس ها در سیستم ایجاد می کنند مطلع شویم؟» بتوانیم در موقعیت های اورژانسی به مقابله با این بد افزار ها بپردازیم.

موفق باشید ...

[Mahrud]

با سلام مجدد

Process Explorer:
این برنامه که از برنامه های مجانی شرکت microsoft محسوب می شود، دارای قابلیت ها ی فراوانی است که به مرور توضیح می دهم، آدرس شرکت سازنده برنامه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در این برنامه شما می توانید Process ها را به صورت درختی ببینید، از لیست DLL های مرتبط با Process مطلع شوید، از شرکت سازنده ی Process و وضیفه ی Process مطلع شوید و ... .

همچنین این برنامه این قابلیت را دارا می باشد که جایگذین taskmgr شود.

به علاوه ی یک عکس مفصل(حتما ببینید):

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشید

[mahdi7610]

سلام دوست عزیز

پس اجازه بدید در مورد این که ویروس ها چی هستند و چگونه یک فایل را الوده می کنند توضیحی بدم .

ویروس های کامپیوتری ، نرم افزار های بسیار کوچکی هستند که کارهای مخربی انجام می دهند و به همین دلیل ما به انها ویروس می گوییم .

هر برنامه یا نرم افزاری که ساخته یا نوشته می شود دارای کدهاییست که این کدها برای کامپیوتر به صورت صفر و یک هستند .
وقتی ویروس می خواهد فایلی را الوده کند ، ان فایل را ویرایش می کند .
در واقع ویروس کدهای خود را جایگزین کدهای فایل می کند . به این صورت یک فایل الوده می شود .

در واقع ویروس ها هر فایلی را الوده نمی کنند بلکه فقط فایلهایی که قابلیت اجرا شدن به صورت مستقیم یا غیر مستقیم ( توسط هر برنامه دیگر ) را الوده می کنند .
به هیمن خاطر ویروسی که قابلیت تشخیص فایلها از یکدیگر را دارد موفق تر است .

در ضمن نحوه اولوده کردن ویروس ها با یکدیگر فرق می کند . بعضی از انها کدهای فایل ها را تماما پاک می کنند و کدهای خود را جایگزین می کنند که در این صورت فایل الوده شده قابل درمان توسط انتی ویروس ها نخواهد بود . و فایل به طور کامل از بین رفته و به ویروس تبدیل خواهد شد اما شکل ظاهری ان باقی خواهد ماند .

تذکر : گاهی اوقات کاربران گله از این مشکل دارند که انتی ویروس تمام فایلهای انها را ویروس تشخیص داده و پاک کرده است . دلیل این مشکل همان چیزی هست که در بالا توضیح دادم . ویروس تمام کدهای خود را جایگزین کدهای برنامه ها یا فایلها کرده .

اما بعضی از ویروس ها کدهای فایلهای الوده را از بین نمی برند بلکه کدهای خودشان را کنار کدهای فایل الوده قرار می دهند . اما در هر صورت هنگامی که فایل در هر کامپیوتری اجرا شود انگار ویروس اجرا شده است .


موفق باشید .

[Mahrud]

با سلام

بله من هم با صحبت ها ی شما کاملا موافق هستم، و خوشحال شدم که شما هم در این تاپیک شرکت کرده اید.

من فقط این موضوع را اضافه میکنم که همان طور که می دانید گاهی ویروس ها تغییراتی نیز در رجیستری بوجود می آورند و گاهی نیز جهت ارتباط با ویندوز و ایجاد خرابی، در system32 فایل هایی می سازند، همچنین گاهی ...

که من با ساخت این تاپیک می خواهم به معرفی برنامه هایی بپردازم که این ارتباطات را فاش کنند.

[hoax3r]

سلام

به این میگن یه موضوع حسابی، یکی از سرگرمی های منم آنالیز ویروسهاست خوشحال میشم بتونم کمکی اینجا بکنم

شاد باشید

[Mahrud]

صد سلام و درود بر شما...

با عرض تشکر خدمت hoax3r عزیز

ادامه ...

این برنامه همان طور که از سایت اش (

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

) پیداست برنامه ی کامل و جامعی است.برای مثال اگر من به ویروس mahrud.exe دچار شوم (!) به راحتی متوجه میشوم کهاین ویروس با فایل کتابخانه ای example.dll در ارتباط است در نتیجه پس از حدف ویروس، اگر آن فایل توسط ویروس ساخته شدهباشد که به کل del اش کنم ولی اگر نه، یعنه شرکت سازندهاش Microsoft بود آن را از سایت های به خصوص دانلود و جایگزین کنم... .


از دیگر قابلیت های این برنامه این است که هنگامی که Process جدیدی باز می شود آن Process برای چند لحظه به رنگ سبز در می آید که این بدین معناست که یک Process جدید باز شده است. همچنین اگر Processیی بسته شود (مثلا بسته شدنProcess مطعلق به آنتی ویروس توسط یک Process آلوده)، پس از بسته شدن آن Process آیکون آن بلافاصله نمیرود بلکه برای چند لحظه به رنگ قرمز در می آید، و سپس میرود... .جالب نیست...


بقیه ی موارد خیلی به درد کار ما نمی خورد به همین دلیل خودتان بروید پیدایشان کنید...!

موفق باشید

[mahdi7610]

سلام

به این میگن یه موضوع حسابی، یکی از سرگرمی های منم آنالیز ویروسهاست خوشحال میشم بتونم کمکی اینجا بکنم

شاد باشید

سلام دوست عزیز

خوب پس به این تاپیک هم سر بزن

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشی .

[Mahrud]

با عرض سلام مجدد

این بار قصد دارم به معرفی برنامه ای بپردازم که این هم نشون میده که هر Process یا هر فایل کتابخانه ای به کدام Process ، فایل کتابخانه ای یا کد رجیستری و یا حتی کدام IP و با کدام port ارتباط داده شده و یا link داده شده داده شده است همچنین این برنامه از قابلیت جالبی برخوردار است و آن این است که چون مطعلق به سایت ESET است می تواند همچون نوعی آنتی ویروس عمل کند.


بیش از این معطلتان نمی گذارم ...بفرمایید دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این برنامه خود به تنهایی وبدون نیاز به آنتی ویروس خودش کار می کند و میتواند همه چیز را از نظر امنیتی بررسی کرده و در در جه بندی قرار دهد...


بعدا باز هم توضیح میدهم ولی این عکس به اندازهی کافی جامع است...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشید
تا بعد

پ.ن.:کسانی که برنامه نویسی شون خوبه به email ام یک email بزنند که کارشان دارم!

[hoax3r]

Mahrud برنامه جالبیه نمیدونم چرا با اینکه اینقدر طرفتار ESET و محصولاتشم تا حالا این برنامه رو ندیده بودم
یه چنتا برنامه هم بعدا من معرفی میکنم.

mahdi7610 ممنون دوست من بابت لینک، رو دو تا از ویروساش قبلا کار کرده بودم ولی بقیه برام جدید بود

پ.ن: Mahrud جان میخوای چکار کنی، من یکمی برنامه نویسی بلدم.

شاد باشید

[hoax3r]

SysAnalyzer

این برنامه یکی از ابزارهای مفید برای آنالیز ویروسها و برنامه های مخرب هست یعنی میاد تمام تغییراتی
که مثلا تو هارد و رجیستری و .. ایجاد شده رو بهتون نشون میده، البته باید توجه کرد برای استفاده از این برنامه
باید ویروس رو اجرا کنین. پس اگه احیانا خاستین ویروس تست کنین کامپیوترتون رفت هوا تقصیر خودتونه

توضیحات سایت سازنده :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سایت سازنده که لینک دانلود اوجاست (یه فیلم آموزشی تو همین صفحه هست میتونین ببینین)

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

شاد باشید