چگونه از تغیراتی که ویروس ها در سیستم ایجاد می کنند مطلع شویم؟

با سلام

من این تاپیک رو ایجاد کردم تا با گفتگو درباره ی اینکه «چگونه از تغیراتی که ویروس ها در سیستم ایجاد می کنند مطلع شویم؟» بتوانیم در موقعیت های اورژانسی به مقابله با این بد افزار ها بپردازیم.

موفق باشید ...

با سلام مجدد

Process Explorer:
این برنامه که از برنامه های مجانی شرکت microsoft محسوب می شود، دارای قابلیت ها ی فراوانی است که به مرور توضیح می دهم، آدرس شرکت سازنده برنامه:

کد:

---

http://www.sysinternal.com/

---

در این برنامه شما می توانید Process ها را به صورت درختی ببینید، از لیست DLL های مرتبط با Process مطلع شوید، از شرکت سازنده ی Process و وضیفه ی Process مطلع شوید و ... .

همچنین این برنامه این قابلیت را دارا می باشد که جایگذین taskmgr شود.

به علاوه ی یک عکس مفصل(حتما ببینید):

کد:

---

http://www.box.net/shared/27f5eqko0g

---

موفق باشید

سلام دوست عزیز

پس اجازه بدید در مورد این که ویروس ها چی هستند و چگونه یک فایل را الوده می کنند توضیحی بدم .

ویروس های کامپیوتری ، نرم افزار های بسیار کوچکی هستند که کارهای مخربی انجام می دهند و به همین دلیل ما به انها ویروس می گوییم .

هر برنامه یا نرم افزاری که ساخته یا نوشته می شود دارای کدهاییست که این کدها برای کامپیوتر به صورت صفر و یک هستند .
وقتی ویروس می خواهد فایلی را الوده کند ، ان فایل را ویرایش می کند .
در واقع ویروس کدهای خود را جایگزین کدهای فایل می کند . به این صورت یک فایل الوده می شود .

در واقع ویروس ها هر فایلی را الوده نمی کنند بلکه فقط فایلهایی که قابلیت اجرا شدن به صورت مستقیم یا غیر مستقیم ( توسط هر برنامه دیگر ) را الوده می کنند .
به هیمن خاطر ویروسی که قابلیت تشخیص فایلها از یکدیگر را دارد موفق تر است .

در ضمن نحوه اولوده کردن ویروس ها با یکدیگر فرق می کند . بعضی از انها کدهای فایل ها را تماما پاک می کنند و کدهای خود را جایگزین می کنند که در این صورت فایل الوده شده قابل درمان توسط انتی ویروس ها نخواهد بود . و فایل به طور کامل از بین رفته و به ویروس تبدیل خواهد شد اما شکل ظاهری ان باقی خواهد ماند .

تذکر : گاهی اوقات کاربران گله از این مشکل دارند که انتی ویروس تمام فایلهای انها را ویروس تشخیص داده و پاک کرده است . دلیل این مشکل همان چیزی هست که در بالا توضیح دادم . ویروس تمام کدهای خود را جایگزین کدهای برنامه ها یا فایلها کرده .

اما بعضی از ویروس ها کدهای فایلهای الوده را از بین نمی برند بلکه کدهای خودشان را کنار کدهای فایل الوده قرار می دهند . اما در هر صورت هنگامی که فایل در هر کامپیوتری اجرا شود انگار ویروس اجرا شده است .


موفق باشید .

با سلام

بله من هم با صحبت ها ی شما کاملا موافق هستم، و خوشحال شدم که شما هم در این تاپیک شرکت کرده اید.

من فقط این موضوع را اضافه میکنم که همان طور که می دانید گاهی ویروس ها تغییراتی نیز در رجیستری بوجود می آورند و گاهی نیز جهت ارتباط با ویندوز و ایجاد خرابی، در system32 فایل هایی می سازند، همچنین گاهی ...

که من با ساخت این تاپیک می خواهم به معرفی برنامه هایی بپردازم که این ارتباطات را فاش کنند.

سلام

به این میگن یه موضوع حسابی، یکی از سرگرمی های منم آنالیز ویروسهاست خوشحال میشم بتونم کمکی اینجا بکنم

شاد باشید

صد سلام و درود بر شما...

با عرض تشکر خدمت hoax3r عزیز:10:

ادامه ...

این برنامه همان طور که از سایت اش (

کد:

---

http://www.sysinternal.com

---

) پیداست برنامه ی کامل و جامعی است:5:.برای مثال اگر من به ویروس mahrud.exe دچار شوم (:2:!) به راحتی متوجه میشوم کهاین ویروس با فایل کتابخانه ای example.dll در ارتباط است در نتیجه پس از حدف ویروس، اگر آن فایل توسط ویروس ساخته شدهباشد که به کل del اش کنم ولی اگر نه، یعنه شرکت سازندهاش Microsoft بود آن را از سایت های به خصوص دانلود و جایگزین کنم... .


از دیگر قابلیت های این برنامه این است که هنگامی که Process جدیدی باز می شود آن Process برای چند لحظه به رنگ سبز در می آید که این بدین معناست که یک Process جدید باز شده است. همچنین اگر Processیی بسته شود (مثلا بسته شدنProcess مطعلق به آنتی ویروس توسط یک Process آلوده)، پس از بسته شدن آن Process آیکون آن بلافاصله نمیرود بلکه برای چند لحظه به رنگ قرمز در می آید، و سپس میرود... .جالب نیست...:27:


بقیه ی موارد خیلی به درد کار ما نمی خورد به همین دلیل خودتان بروید پیدایشان کنید...:31:!

موفق باشید:8:

نقل قول:

---

نوشته شده توسط hoax3r [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام

به این میگن یه موضوع حسابی، یکی از سرگرمی های منم آنالیز ویروسهاست خوشحال میشم بتونم کمکی اینجا بکنم

شاد باشید

---

سلام دوست عزیز

خوب پس به این تاپیک هم سر بزن:31:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشی .

با عرض سلام مجدد:20:

این بار قصد دارم به معرفی برنامه ای بپردازم که این هم نشون میده که هر Process یا هر فایل کتابخانه ای به کدام Process ، فایل کتابخانه ای یا کد رجیستری و یا حتی کدام IP و با کدام port ارتباط داده شده و یا link داده شده داده شده است:18: همچنین این برنامه از قابلیت جالبی برخوردار است و آن این است که چون مطعلق به سایت ESET است می تواند همچون نوعی آنتی ویروس عمل کند.:18:


بیش از این معطلتان نمی گذارم ...بفرمایید دانلود::11:

کد:

---

http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe

---

این برنامه خود به تنهایی وبدون نیاز به آنتی ویروس خودش کار می کند و میتواند همه چیز را از نظر امنیتی بررسی کرده و در در جه بندی قرار دهد...:21:


بعدا باز هم توضیح میدهم ولی این عکس به اندازهی کافی جامع است...:46:

کد:

---

http://www.box.net/shared/tp94e1zs4c

---

موفق باشید:11:
تا بعد

پ.ن.:کسانی که برنامه نویسی شون خوبه به email ام یک email بزنند که کارشان دارم!:5:

Mahrud برنامه جالبیه نمیدونم چرا با اینکه اینقدر طرفتار ESET و محصولاتشم تا حالا این برنامه رو ندیده بودم:18:
یه چنتا برنامه هم بعدا من معرفی میکنم.:10:

mahdi7610 ممنون دوست من بابت لینک، رو دو تا از ویروساش قبلا کار کرده بودم ولی بقیه برام جدید بود:31:

پ.ن: Mahrud جان میخوای چکار کنی، من یکمی برنامه نویسی بلدم.

شاد باشید

SysAnalyzer

این برنامه یکی از ابزارهای مفید برای آنالیز ویروسها و برنامه های مخرب هست یعنی میاد تمام تغییراتی
که مثلا تو هارد و رجیستری و .. ایجاد شده رو بهتون نشون میده، البته باید توجه کرد برای استفاده از این برنامه
باید ویروس رو اجرا کنین. پس اگه احیانا خاستین ویروس تست کنین کامپیوترتون رفت هوا تقصیر خودتونه:31:

توضیحات سایت سازنده :

کد:

---

SysAnalyzer is an automated malcode run time analysis application that monitors various aspects of system and process states.

SysAnalyzer was designed to enable analysts to quickly build a comprehensive report as to the actions a binary takes on a system.

SysAnalyzer can automatically monitor and compare:
Running Processes
Open Ports
Loaded Drivers
Injected Libraries
Key Registry Changes
APIs called by a target process
File Modifications
HTTP, IRC, and DNS traffic

---

سایت سازنده که لینک دانلود اوجاست (یه فیلم آموزشی تو همین صفحه هست میتونین ببینین)

کد:

---

http://labs.idefense.com/software/malcode.php

---

شاد باشید

سلام

بابا شما که دست ما را خواندی ...:18:
این برنامه ای بود که برای روز شنبه رزرو کرده بودم ...و علت اینکه چرا شنبه این بود که می خواستم امروز برنامه ای رو معرفی کنم که مشکلی که گفتید رو بر طرف کنه... .


Microsoft Virtual PC:

این برنامه همان طوری که از نامش پیداست (کامپیوتر مجازی ماکروسافت) کارش آنالیز کردن ویروس ها نیست (:27:) اما من این برنامه را برای این می خواهم معرفی کنم که همان طور که دوست عزیزمان گفت با وجود تمام این برنامه ها ما باز هم مجبور به اجرای فایل های ویروسی هستیم ( :41:!) و از انجا که اگر این کار را انجام دهیم احتمالش هست که بیاییم ثواب کنیم، کباب شویم (!) باید این کار را روی PC دیگری انجام دهیم ; اما خدا وکیلی خود شما بودید اجازه ی این کار را به کسی می دادید ؟؟!!؟؟!!:13:.خب معلوم است نه...:27:.به همین دلیل باید آن را روی یک PC مجازی اجرا کنیم :31:!
این برنامه هم همین کار را می کند.


کار با آن ساده است و در خودp30world فروم هم جایی درباره ی این برنامه توضیح داده شده که من آدرسش را یادم نیست .

دانلودش را بعدا میگذارم...الآن وقت ندارم.

موفق باشید.

اینم دانلود:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

:31: سلام :31:

حتما خودتان از موضوع بحث و توضیحات hoax3r متوجه کار این برنامه شده اید. به همین دلیل من از توضیح کار برنامه صرف نظر کرده و مستقیما به آموزش می پردازم.:46:

در منوی اول برنامه 4 بخش قرار دارد:

1- محلی که آدرس را وارد می کنیم.

2- محلی که می گوید پس از چند ثانیه برنامه ویروس را آنالیز کند (زیراممکن است برای اجرای کامل ویروس به مدت زمانی نیاز باشد.).

3- options .که خود به سه بخش :

Use Directory Watcher: به تغیرات Hard Disk توجه می کند.
Use Api Loger: نمی دانم.
Use Sniffhint: این یکی به درد backdoor ها و rootkit ها می خورد.

4-start, help ,skip.

که شما فقط آدرس ویروس را وارد می کنید ،سپس start را می زنید; برنامه خودش به طور اتوماتیک تغیرات را نمایش می دهد.

شاد باشید

با سلام
با اجازه آقا Mahrud ما هم یه برنامه معرفی میکنیم:20:
و ممنون بخاطر توضیحات تکمیلی

Sandboxie

این برنامه کارش اینه که هر برنامه که توش اجرا بشه نمیزاره تغییرات مستقیم تو کامپیوترتون انجام بشه
یعنی بصورت مجازی میاد یه محیطی برای فایلی که اجرا شده ایجاد میکنه، که فایل فکر کنه تو محیط واقعی هست
از یه نظرایی شاید بگین اینم تقریبا مشابه برنامه ای هست که Mahrud معرفی کرد. ولی خوبی که این برنام داره اینه که حتی اگه با Virtual PC هم کار میکنید با نصب این برنامه تا حد ممکن خرابی توسط ویروس رو کم میکنید

توضیحات از سایت سازنده رو اینجا ببینید

کد:

---

http://www.sandboxie.com/

---

برنامه از این صفحه قابل دانلوده:

کد:

---

http://www.sandboxie.com/index.php?DownloadSandboxie

---

کیجنش:

کد:

---

http://rapidshare.com/files/129069080/keygen.exe.html

---

شاد باشید

سلام
بازم سلام

نقل قول:

---

با سلام
با اجازه آقا Mahrud ما هم یه برنامه معرفی میکنیم
و ممنون بخاطر توضیحات تکمیلی

---

:11:خواهش میکنم...:11:اختیاردارید...:11:ما را خجالت ندهید... .


و اینکه برنامه ی Virtual PC یک کامپیوتر مجازی می سازد که ارتباطی به کامپیوتر ما ندارد و حتی شما باید خودتان هاردش را فورمت کرده وجدای از ویندوز خودتان، روی آن ویندوز نصب کنید.

بازم خیلی ممنون

نقل قول:

---

نوشته شده توسط Mahrud [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
بازم سلام

:11:خواهش میکنم...:11:اختیاردارید...:11:ما را خجالت ندهید... .


و اینکه برنامه ی Virtual PC یک کامپیوتر مجازی می سازد که ارتباطی به کامپیوتر ما ندارد و حتی شما باید خودتان هاردش را فورمت کرده وجدای از ویندوز خودتان، روی آن ویندوز نصب کنید.

بازم خیلی ممنون

---

درسته ولی تو همین کامپیوتر مجازی اگه ویروس ویندوز داخلش رو صدمه بزنه باز اینجا هم مجبوریم وقت برای نصب ویندوز بزاریم:19:
مگه اینکه چنتا کپی از همون ویندوز مجازیمون داشته باشم:31:

سلام

نقل قول:

---

درسته ولی تو همین کامپیوتر مجازی اگه ویروس ویندوز داخلش رو صدمه بزنه باز اینجا هم مجبوریم وقت برای نصب ویندوز بزاریم

---

بله درسته به این موضوع دقت نکرده بودم.:11:


اینم از برنامه ی جدید:
:18:Autoruns::18:

بازم یه برنامه از سایت sysinternals ...
آخه برنامه هاش خیلی با حاله ...
این برنامه هم از اون باحالاشه .

همون طور که می دانید بجز sturtup که در واقع autorun ویندوز explorer هست autorun های دیگه ای هم در ویندوز وجود داره که هنگام اجرای برنامه های مختلف اجرا میشه.

البته همه ی autorun ها بصورت فایل اجرایی نیستن و بعضی از اونا از فایل های DLL هستن ...

همون طور که حتما تا حالا خودتون تا ته ماجرای این برنامه رو خوندین این برنامه یک نمایش دهنده، سازنده و از بین برنده ی autorun فوقالعاده قوی و مطمئن هستش.:18:

این برنامه میره autorun ها رو از اعماق رجیستری می آره بیرون و جاشون رو هم نشون میده و در عین حال ساده هست.

لینک دانلود:

کد:

---

http://www.box.net/shared/576p95ukgg

---

سایت سازنده:

کد:

---

http://www.sysinternals.com

---

موفق باشید

با سلام

خوب حتما تا حالا متوجه شدین که برنامه هایی که تا الان معرفی شدن چندان نمیتونن دقیق باشن و تمام جزئیات رو به ما بگن
و همیشه هم باید ویروس رو اجرا کنیم تا از عمل کردن برنامه با خبر بشیم ، حتی بعضی موقع ها ویروس تشخیص میده که روی کامپیوتر مجازی
اجرا شده و سعی میکنه برای مخفی نگه داشتن خودش هیچ عکس العمل نشون نده. خوب پس چاره چیه؟

برنامه ای که امروز قرار هست معرفی کنم برای همین منظور هست این برنامه اسمش IDA هست(اون دانلود منجره نها)
IDA یه دی اسمبلر فوقالعاده قدرتمند هست، و کارش تبدیل یه برنامه به کدهای اسمبلی هست که اکثر فایلها رو پشتیبانی میکنه، نه فقط فایلهای مختص ویندوز بلکه برای لینوکس و مکینتاش و pda و .. هم کاربرد داره، و باید بگم که بجز اینا خیلی از پردانزنده ها رو هم پشتیبانی میکنه
با این برنامه میتونیم یک ویروس رو بصورت کامل برسی کنیم که نیازمند حوصله و وقت زیادی هم هست ولی بهترین نتیجه رو هم خواهیم گرفت
یادگیری این برنامه هم وقت زیادی رو می طلبه. ولی در موردش مقالات زیادی وجود داره

لینک دانلود هم پیدا شد، حجم 65 مگ:

کد:

---

http://www.fixdown.com/soft/9083.htm

---

سایت سازنده:

کد:

---

http://www.hex-rays.com/idapro/

---

شاد باشید

سلام

خیلی ممنونم hoax3r جان برنامه ی فوق العادهای بود.:46:

خب برای امروز دو تا پیشنهاد عالی دارم (که البته شاید خیلی به این موضوع مرتبط نباشه ولی فوق العاده مفید و پر کاربرده):

اول اینکه برید در سایت sysinternals بگردید یه جا هست نوشته sysinternals suite بروید دانلودش کنید چون خیلی برنامه های پر کاربردی داره که حتی بعضی هاشون به درد داس هم می خوره ...:18:

دوم اینکه برید از سایت زیر برنامه های زیر رو دانلود کنید:

کد:

---

http://www.imenantivirus.com/dwnloadf/dwnloadf.htm

---

گارد ایمن تحت داس
ویروس یاب ایمن تحت داس
ابزار برطرف سازی حالت مخفی از فايل‌ها و فولدرها
ابزار برطرف سازی مشكل باز نشدن درايوها
ابزار برطرف سازی مشكلات
سيستم ناشی از فعاليت ويروس‌ها پس از پاكسازی (تصحيح رجيستری)

اگر خواستید نسخه ی ویندوز ویروس یاب ایمن رو هم بگیرید ولی من پیشنهاد نمی کنم :13:؛اما اونای دیگه رو حتما دانلود کنید و یه جای سر دست داشته باشین که وقتی عین ... تو گل موندین می کشتتون بالا .:18:

نکته : شاید به نظر بیاد چون ایمن ایرانیه خوب نیست (:2:!) ولی محض اطلاع که این آنتی ویروس ویروس هایی رو که ایرانی ها ساختن و شرکت های خارجی تو شون موندن رو مثل آب خوردن می شناسه و شما فقط باید با یه سرچ ساده تو گوگل (خدا گوگل رو از ما نگیره) راه کشتنشو یاد بگیرید .:18::27:
(یادتون باشه یه کپی از ویروس رو zip کنین بعد هم این شکلیش کنین: virus.zip.vir بعد هم برای من بفرستین):11:

موفق باشید

و اینکه امیدوارم خوشتون اومده باشه

سلام

Mahrud جان ممنون بخاطر معرفی ابزارهای خوبتون :46:

حالا یه ابزار دیگه می خوام معرفی کنم برای مواقعی که ویروس با اینترنت ارتباط برقرار کنه، oSpy ابزاریست برای کنترل ترافیک شبکه
شما میتونید پروسه ویروس رو بهش بگین بعد برنامه شروع به کار کنه تمام اطلاعات رد و بدل شده رو میتونین برسی کنید حتی به شما
api هایی که استفاده شده رو هم نشون میده

سایت سازنده :

کد:

---

http://code.google.com/p/ospy

---

لینک دانلود :

کد:

---

http://projects.collabora.co.uk/~oleavr/oSpy/oSpy-1.9.6.zip

---

شاد باشید

سلام

برای دوستانی که علاقمند هستند نسخه کامل یک نرم افزار جدید برای مدت کوتاهی به صورت رایگان عرضه می شود.

این نرم افزار که AnVir Task Manager 5.2.0 نام دارد از نظر کارکرد شبیه به Process Explorer می باشد ولی امکانات آن

بیشتر بوده و کار کردن با آن نیز راحت تر است و در ضمن اطلاعات بیشتری نیز در اختیار کاربر می گذارد:

برای دانلود به سایت زیر بروید هنگام نصب شماره سریال توسط برنامه در اختیارتان قرار می گیرد :

کد:

---

http://www.giveawayoftheday.com/anvir-task-manager-520/

---

نقل قول:

---

نسخه کامل یک نرم افزار جدید برای مدت کوتاهی به صورت رایگان عرضه می شود.

---

نرم افزار جالبيه . از كدوم لينك دانلود كنم . يه راهنمايي بكنيد . ميشه دقيقا خود لينك دانلودش را بذاريد

نقل قول:

---

نوشته شده توسط mahdi1535 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نرم افزار جالبيه . از كدوم لينك دانلود كنم . يه راهنمايي بكنيد . ميشه دقيقا خود لينك دانلودش را بذاريد

---

سلام

متاسفانه ظاهرا از امروز صبح آن فرصت کوتاه عرضه رایگان این محصول به پایان رسیده است.:41:

سلام
من قبلا این برنامه را داشتم ولی سیستم ام را به هم ریخت!
می توانید خودتان آپلود کنید.(البته اگر خودتان دانلود اش کرده اید).
ممنون

نقل قول:

---

نوشته شده توسط Mahrud [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
من قبلا این برنامه را داشتم ولی سیستم ام را به هم ریخت!
می توانید خودتان آپلود کنید.(البته اگر خودتان دانلود اش کرده اید).
ممنون

---

سلام

روی سیستم من مشکلی ندارد آپلود ان مشکلی نیست شما حتی می توانید نسخه ازمایشی 30 روزه آن را از سایت

شرکت سازنده دانلود کنید ولی شماره سریال به هنگام نصب با سرور مرکزی چک می شود بنابراین فکر نمی کنم با

شماره سریالی که به من داده اند کس دیگری بتواند این محصول را رجیستر کند با این وجود لینک دانلود :

کد:

---

http://www.softpedia.com/get/Security/Security-Related/AnVir-Task-Manager-Free.shtml

---

گفتین این برنامه ی sysinspector مثل یه انتی ویروس عمل میکنه.پس با برنامه کاسپراسکای تداخل نداره؟مثل رقیبش عمل نمیکنه؟

سلام

بعد از این همه مدت دوباره برگشتم :46:( مشغول ثبت نام دبیرستان بودم .آخرشم علامه حلی قبول شدم:31::5:.)

نقل قول:

---

AOM:گفتین این برنامه ی sysinspector مثل یه انتی ویروس عمل میکنه.پس با برنامه کاسپراسکای تداخل نداره؟مثل رقیبش عمل نمیکنه؟

---

نخیر خیالتان راحت باشد:46: .علت این گونه اختلالاتی که شما می فرما یید برمی گرده به این که هر آنتی ویروسی می خواهد کامپیوتر را (و البته پوشه ی آن یکی آنتی ویروس را ) اسکن کند در نتیجه ....:2:

موفق باشید

تا حالا دوستان عزيز نرم افزارهايي براي اين كار معرفي كردند . تا حدي هم راجع به شناسايي بدون برنامه صحبت بشه .
يه آموزش كوچيك با اجازه بقيه
در صورت مشاهده علائم زير بدون اينكه كاري كرده باشيد ( مانند نصب برنامه يا تغيير تنظيمات ) بايد به وجود كد مخرب شك كرد :
1- كاهش فضاي آزاد ديسك
2- از كار افتادن سرويسهايي مانند Task Manager و Registry Editor
3- تغيير حجم يا خصوصيات فايلها مانند تاريخ ساخت
4- كند شدن سيستم
5- رفتارهاي عجيب و غريب مانند اجرا شدن اشتباه برنامه ها - اجرا شدن خود به خود برنامه ها - پخش ناگهاني موسيقي و ...
6- فعال شدن شديد برنامه هاي امنيتي
7- از كار افتادن برنامه هاي امنيتي يا عدم دسترسي به سايتهاي امنيتي زمان آنلاين شدن
8- تغيير مسير فايلها - گم شدن آنها
9- فعاليت زياد هارد ديسك

سلام

بله تمام گفته های Hossein bandarie جان درست است ؛ولی منظور من از ساخت ای تاپیک این نبود ، بلکه منظورم این بود که از کجا بفهمیم که ویروس چه تغیراتی در سیستممان ایجاد کرده تا بوسیله ی آن ها ویروس را نابود کنیم .بنا بر این هدف ما شناسایی بوده ولی این هدف اصلی ما نبوده بلکه هدف اصلی مقابله با آن ها از راه ضربه زدن به پایه های اصلی ویروس (مانند کد های رجیستری ،فایل های sturtup، dllها و...) است.

با تشکر مجدد از شما [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
موفق باشید

سلام در حال دانلود هستم

اميدوارم كه مشكلات حل شود

موفق باشيد

سلام
برنامه هایی که تا به حال ارائه کرده این بسیار عالیست ولی یه سوال؟
این برنامه process explorer که به هر حال برنامه خیلی قوی است پروسسهای در حال اجرا را نمایش میده، درست؟
ولی چرا به عنوان مثال پروسس در حال اجرای بعضی از ویروسها رو نمایش نمیدهد مثل کظم غیظ یا elman ...نمیدونم ولی آیا چیزی هست که بتوان با آن برنامه های نشسته در رم را مشاهده کرد و یه همچین ویروسهایی رو تشخیص داد؟
اگه هست ممنون میشم کمی هم در مورد چگونگی این کار توضیح بدین....
ممنون:46::46:

کسی نبود جواب این حقیر رو بده!!!:41:

اگه میشه نرم افزار هایی رو برای فعال کردن task manager و regedit و folder option بعد از حذف ویروس قرار بدید

اینو اجرا کن تا آلودگیهایی که خواستی رو از تو رجیستری پاک کنه...

کد:

---

http://www.2shared.com/file/4341333/a46d141f/policies.html

---

اینو اجرا کن تا آلودگیهایی که خواستی رو از تو رجیستری پاک کنه...
اگه لینک قبلی کار نکرد از این لینک استفاده کن (بدون مشکل).

کد:

---

http://rapidshare.de/files/40986946/policies.reg.html

---

Zero Wine

این برنامه یه ویروس آنالایزر هست اینجور که از سایت سازنده خوندیم از سیستم عامل دبیان و ابزار wine (که برای اجرای برنامه ای ویندوزی در لینوکس هست) استفاده کرده.
که همه اینا تحت یه ایمیج که باید با QEMU (یه نوع ماشین مجازی متن باز ) اجراش کنید. خوده پروژه Zero Wine هم متن باز هست

متاسفانه به خاطر حجم بالا این ابزار فعلا نتونستم تستش کنم اگه کسی تست کرد نتیجه رو اینجا بزاره

ولی نحوه استفاده به این صورت که بعد اجرا ایمیج در QEMU و بالا آمدن کامل سیستم دبیان شما از یه مرورگر وب استفاده میکنید
و با استفاده از این دسنور وارد محیط تحلیلگر برنامه میشین

کد:

---

http://localhost:8000

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بعد ویروستون رو بهش میدین و این ابزار براتون تحلیلش میکنه در این فرصت میتونید یه قهوه میل کنید و در نهایت جنازه ویروس رو تحویل بگیرین(API ها، رشته های، فایل هدر و ...)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لینک دانلود ، حجم حدود 430 مگ :

کد:

---

http://sourceforge.net/projects/zerowine

---

سایت سازنده برای اطلاعات بیشتر:

کد:

---

http://zerowine.sourceforge.net

---

شاد باشید

قسمت Program Controloe از ZoneAlarm این کاررو براتون می کنه.

Anubis یک سایت اینترنتی هست به این آدرس :

کد:

---

http://anubis.iseclab.org/?action=home

---

این سایت یه ویروس آنالایزر آنلاین هست، کارش نسبتا خوبه کار کردن باهاش هم ساده است
کافیه فایلتون رو بدین بعد آنالیز نتیجه به چند فرمت مختلف مثل HTML و PDF و ... قابل مشاهده هست

برای تست کردنش من دو تا ویروس رو باهاش آنالیز کردم میتونید نتیجه هاش رو پایین ببینید:

kazme__gheyz

کد:

---

http://anubis.iseclab.org/?action=result&task_id=190526dca421701d481bc8a37ed00203b

---

Document

کد:

---

http://anubis.iseclab.org/?action=result&task_id=1aa7612e41fa716b45dcb0c6aa1dcdd0e

---

شاد باشید

سلام

امروز می خوام یکسری ابزار برای پیدا کردن rootkit ها بزارم حالا حتما میگین این دیگه چی هست،
خوب به صورت کلی بخوایم بگیم یکسری تکنیکها که یه برنامه استفاده میکنه برای گرفتن دسترسی
root که بالاتیرین دسترسی در یه کامپیوتر هست. بطوری که بسادگی قابل شناسایی نباشن
در حال حاظر برخی از ویروسها از این تکنیک برای مخفی کردن خودشون یا در حالت بدتر کنترل سیستم
برای مقاصد خاص و ... استفاده میکنند
نمونش ویروس kazme gheyz هست که البته فقط برای مخفی کردن پروسه خودش بوده،

و اما ابزارها، من چهار ابزار معرفی میکنم اینکه چطور باهاشون میشه کار کرد رو خودتون باید برین دنبالش


RootKit Unhooker

توضیحات و امکانات

کد:

---

SSDT Hooks Detection and Restoring
Shadow SSDT Hooks Detection and Restoring
Hidden Processes Detection/Terminating/Dumping
Hidden Drivers Detection and Dumping
Hidden Files Detection/Copying/Deleting
Code hooks Detection and Restoring
Report generation

---

لینک دانلود:

کد:

---

http://forum.sysinternals.com/uploads/20071210_182632_rku37300509.rar

---

==================================

GMER

توضیحات و امکانات

کد:

---

It scans for:
hidden processes
hidden threads
hidden modules
hidden services
hidden files
hidden Alternate Data Streams
hidden registry keys
drivers hooking SSDT
drivers hooking IDT
drivers hooking IRP calls
inline hooks                       


GMER also allows to monitor the following system functions:
processes creating
drivers loading
libraries loading
file functions
registry entries
TCP/IP connections

---

لینک دانلود:(نمیدونم چرا لینکش برام فیلتره اگه برای شماهمین طور بود از یه ف.ی.ل.ت.ر ش.ک.ن استفاده کنید)

کد:

---

http://www.gmer.net/gmer.zip

---

=================================

CMC CodeWalker

توضیحات و امکانات

کد:

---

+ Detect hidden processes
+ Detect hidden drivers
+ Detect hidden files (support NTFS only)
+ Detect hooks in both kernel mode and usermode.
+ Works on Windows English 2000/XP/2003/Vista/2008.

---

لینک دانلود:

کد:

---

http://cmcinfosec.com/download/cmcark.zip

---

=================================

MANDIANT Memoryze

توضیحات و امکانات(این برنامه به صورت خط فرمانی هست)

کد:

---

MANDIANT Memoryze can:
image the full range of system memory (not reliant on API calls).
image a process’ entire address space to disk. This includes a process’ loaded DLLs, EXEs, heaps, and stacks.
image a specified driver or all drivers loaded in memory to disk.
enumerate all running processes (including those hidden by rootkits). For each process, Memoryze can:
report all open handles in a process (for example, all files, registry keys, etc.).
list the virtual address space of a given process including:
displaying all loaded DLLs.
displaying all allocated portions of the heap and execution stack.
list all network sockets that the process has open, including any hidden by rootkits.
output all strings in memory on a per process basis.
identify all drivers loaded in memory, including those hidden by rootkits.
report device and driver layering, which can be used to intercept network packets, keystrokes and file activity.
identify all loaded kernel modules by walking a linked list.
identify hooks (often used by rootkits) in the System Call Table, the Interrupt Descriptor Tables (IDTs), and driver function tables (IRP tables).

---

این لینک یه آموزش در مورد این برنامه داره بد نیت ببینید، اینجا یک ابزار گرافیکی هم معرفی میکنند
که گزارشهایی که Memoryze میگیره رو در یک محیط گرافیکی نشون میده:

کد:

---

http://www.openrce.org/articles/full_view/32

---

لینک دانلود

کد:

---

http://fred.mandiant.com/MemoryzeSetup.msi

---

شاد اشید

تو همین سایت یه برنامه ای هست بنام AutoRuns که تمای درایوها و اتورانها و کلا برنامه های که با ویندوز اجرا میشن رو نشون میده. خیلی مفید بوده برای پاک کردن ویروسها.