سلام
برنامه هایی که تا به حال ارائه کرده این بسیار عالیست ولی یه سوال؟
این برنامه process explorer که به هر حال برنامه خیلی قوی است پروسسهای در حال اجرا را نمایش میده، درست؟
ولی چرا به عنوان مثال پروسس در حال اجرای بعضی از ویروسها رو نمایش نمیدهد مثل کظم غیظ یا elman ...نمیدونم ولی آیا چیزی هست که بتوان با آن برنامه های نشسته در رم را مشاهده کرد و یه همچین ویروسهایی رو تشخیص داد؟
اگه هست ممنون میشم کمی هم در مورد چگونگی این کار توضیح بدین....
ممنون:46::46:
کسی نبود جواب این حقیر رو بده!!!:41:
اگه میشه نرم افزار هایی رو برای فعال کردن task manager و regedit و folder option بعد از حذف ویروس قرار بدید
اینو اجرا کن تا آلودگیهایی که خواستی رو از تو رجیستری پاک کنه...
کد:http://www.2shared.com/file/4341333/a46d141f/policies.html
اینو اجرا کن تا آلودگیهایی که خواستی رو از تو رجیستری پاک کنه...
اگه لینک قبلی کار نکرد از این لینک استفاده کن (بدون مشکل).
کد:http://rapidshare.de/files/40986946/policies.reg.html
Zero Wine
این برنامه یه ویروس آنالایزر هست اینجور که از سایت سازنده خوندیم از سیستم عامل دبیان و ابزار wine (که برای اجرای برنامه ای ویندوزی در لینوکس هست) استفاده کرده.
که همه اینا تحت یه ایمیج که باید با QEMU (یه نوع ماشین مجازی متن باز ) اجراش کنید. خوده پروژه Zero Wine هم متن باز هست
متاسفانه به خاطر حجم بالا این ابزار فعلا نتونستم تستش کنم اگه کسی تست کرد نتیجه رو اینجا بزاره
ولی نحوه استفاده به این صورت که بعد اجرا ایمیج در QEMU و بالا آمدن کامل سیستم دبیان شما از یه مرورگر وب استفاده میکنید
و با استفاده از این دسنور وارد محیط تحلیلگر برنامه میشین
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]کد:http://localhost:8000
بعد ویروستون رو بهش میدین و این ابزار براتون تحلیلش میکنه در این فرصت میتونید یه قهوه میل کنید و در نهایت جنازه ویروس رو تحویل بگیرین(API ها، رشته های، فایل هدر و ...)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
لینک دانلود ، حجم حدود 430 مگ :
سایت سازنده برای اطلاعات بیشتر:کد:http://sourceforge.net/projects/zerowine
شاد باشیدکد:http://zerowine.sourceforge.net
قسمت Program Controloe از ZoneAlarm این کاررو براتون می کنه.
Anubis یک سایت اینترنتی هست به این آدرس :
این سایت یه ویروس آنالایزر آنلاین هست، کارش نسبتا خوبه کار کردن باهاش هم ساده استکد:http://anubis.iseclab.org/?action=home
کافیه فایلتون رو بدین بعد آنالیز نتیجه به چند فرمت مختلف مثل HTML و PDF و ... قابل مشاهده هست
برای تست کردنش من دو تا ویروس رو باهاش آنالیز کردم میتونید نتیجه هاش رو پایین ببینید:
kazme__gheyz
Documentکد:http://anubis.iseclab.org/?action=result&task_id=190526dca421701d481bc8a37ed00203b
شاد باشیدکد:http://anubis.iseclab.org/?action=result&task_id=1aa7612e41fa716b45dcb0c6aa1dcdd0e
سلام
امروز می خوام یکسری ابزار برای پیدا کردن rootkit ها بزارم حالا حتما میگین این دیگه چی هست،
خوب به صورت کلی بخوایم بگیم یکسری تکنیکها که یه برنامه استفاده میکنه برای گرفتن دسترسی
root که بالاتیرین دسترسی در یه کامپیوتر هست. بطوری که بسادگی قابل شناسایی نباشن
در حال حاظر برخی از ویروسها از این تکنیک برای مخفی کردن خودشون یا در حالت بدتر کنترل سیستم
برای مقاصد خاص و ... استفاده میکنند
نمونش ویروس kazme gheyz هست که البته فقط برای مخفی کردن پروسه خودش بوده،
و اما ابزارها، من چهار ابزار معرفی میکنم اینکه چطور باهاشون میشه کار کرد رو خودتون باید برین دنبالش
RootKit Unhooker
توضیحات و امکانات
لینک دانلود:کد:SSDT Hooks Detection and Restoring
Shadow SSDT Hooks Detection and Restoring
Hidden Processes Detection/Terminating/Dumping
Hidden Drivers Detection and Dumping
Hidden Files Detection/Copying/Deleting
Code hooks Detection and Restoring
Report generation
==================================کد:http://forum.sysinternals.com/uploads/20071210_182632_rku37300509.rar
GMER
توضیحات و امکانات
لینک دانلود:(نمیدونم چرا لینکش برام فیلتره اگه برای شماهمین طور بود از یه ف.ی.ل.ت.ر ش.ک.ن استفاده کنید)کد:It scans for:
hidden processes
hidden threads
hidden modules
hidden services
hidden files
hidden Alternate Data Streams
hidden registry keys
drivers hooking SSDT
drivers hooking IDT
drivers hooking IRP calls
inline hooks
GMER also allows to monitor the following system functions:
processes creating
drivers loading
libraries loading
file functions
registry entries
TCP/IP connections
=================================کد:http://www.gmer.net/gmer.zip
CMC CodeWalker
توضیحات و امکانات
لینک دانلود:کد:+ Detect hidden processes
+ Detect hidden drivers
+ Detect hidden files (support NTFS only)
+ Detect hooks in both kernel mode and usermode.
+ Works on Windows English 2000/XP/2003/Vista/2008.
کد:http://cmcinfosec.com/download/cmcark.zip
=================================
MANDIANT Memoryze
توضیحات و امکانات(این برنامه به صورت خط فرمانی هست)
این لینک یه آموزش در مورد این برنامه داره بد نیت ببینید، اینجا یک ابزار گرافیکی هم معرفی میکنندکد:MANDIANT Memoryze can:
image the full range of system memory (not reliant on API calls).
image a process’ entire address space to disk. This includes a process’ loaded DLLs, EXEs, heaps, and stacks.
image a specified driver or all drivers loaded in memory to disk.
enumerate all running processes (including those hidden by rootkits). For each process, Memoryze can:
report all open handles in a process (for example, all files, registry keys, etc.).
list the virtual address space of a given process including:
displaying all loaded DLLs.
displaying all allocated portions of the heap and execution stack.
list all network sockets that the process has open, including any hidden by rootkits.
output all strings in memory on a per process basis.
identify all drivers loaded in memory, including those hidden by rootkits.
report device and driver layering, which can be used to intercept network packets, keystrokes and file activity.
identify all loaded kernel modules by walking a linked list.
identify hooks (often used by rootkits) in the System Call Table, the Interrupt Descriptor Tables (IDTs), and driver function tables (IRP tables).
که گزارشهایی که Memoryze میگیره رو در یک محیط گرافیکی نشون میده:
لینک دانلودکد:http://www.openrce.org/articles/full_view/32
شاد اشیدکد:http://fred.mandiant.com/MemoryzeSetup.msi
تو همین سایت یه برنامه ای هست بنام AutoRuns که تمای درایوها و اتورانها و کلا برنامه های که با ویندوز اجرا میشن رو نشون میده. خیلی مفید بوده برای پاک کردن ویروسها.