دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

**masoudm989** · 24-10-2010, 18:49

تست پست 1183

تست پست 1184

**01110362** · 24-10-2010, 21:24

بابا مهران جان چه ویروسهای تر و تازهای
ویروسهای پست1383 پک 10 تایی روبا کسپر2011 ورژن 556 با آخرین آپدیت تست کردم نتیجه به شرح ذیل بدست اومده :
4 تا رو بعد از اکسترکت شناخت .
2-3تاشو اجرا کردم بعدش شناخت.
موند یه 4 تا ویروس دیگه .ما هم بر حسب عادت کمودو با خیال راحت البته تو SAFERUN اجراش کردیم
که کسپر هم ازشون استقبال کرد ویکیشون که یه برنامه به نام SECURITY TOOLS نصب و یه کپی هم تو APP DATA تولیدکرد وسریع شروع به اسکن کردن کرد که چند تا از فایلهای dllویندوز به عنوان ویروس شناخت وسریع درخواست پاک کردن داد ناقلا؟

یکیشون هم که اجرا کردم سریع سیستم ریست شد.
یکی دیگه رو اجرا کردم صفحه سیستم آبی و شروع به لود کردن کرد
دیگه رفتیم سراغ فایروال comodo که دیدیم یکی پس از دیگری بدون اجرا شروع به درخواست اتصال به اینترنت کردن که بلاک شدن.

در کل حال داداین ویروس بازی .حالا بریم سراغ Malwarebytes' Anti-Malware وفول اسکن با آویرا (فعلا رفتیم سراغ آویرا+کمودو )
خلاصه :
سیستم بدون comodo سیستم مباد .
البته با تمامی احترامات برای کسپر
موفق باشید

**edi2** · 24-10-2010, 21:34

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

با این پیغام بالا در کمودو خیلی حال میکنم. میگه هم ایزوله اش کردم و هم این جونوره میخواد حملۀ buffer overflow بکنه

اقا مهران میشه درباره حملۀ buffer overflow یکم توضیح بدید؟ اخه موقع که کومودو پیغام داد مفهوم کلیش رو فهمیدم اما تخصصی تر میتونی توضیح بدی؟

**jax2** · 24-10-2010, 21:53

نوشته شده توسط edi2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اقا مهران میشه درباره حملۀ buffer overflow یکم توضیح بدید؟ اخه موقع که کومودو پیغام داد مفهوم کلیش رو فهمیدم اما تخصصی تر میتونی توضیح بدی؟

من فقط میدونم که این کلمه یعنی سر ریز بافر
که یکی از اصطلاحان مربوط به -- میشه

اینم آدرس یه کتاب در این مورد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**M E H R A N** · 24-10-2010, 21:58

نوشته شده توسط edi2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اقا مهران میشه درباره حملۀ buffer overflow یکم توضیح بدید؟ اخه موقع که کومودو پیغام داد مفهوم کلیش رو فهمیدم اما تخصصی تر میتونی توضیح بدی؟

سرریز بافر (Buffer overflow) چیست؟
نویسنده: بهرنگ فولادی

سرریز بافر (Buffer overflow) از قدیمی‌ترین مشکلات امنیتی سیستم‌های کامپیوتری بوده است. در حال حاضر اگر به ضعف‌های امنیتی نرم‌افزارهای مختلف که در سایت‌هایی مثل securityfocus ثبت شده اند، گاهی نگاه بیاندازید، متوجه می‌شوید که حداقل ۳/۱ از این ضعف‌ها مربوط به Buffer overflow می‌شوند. این مشکل در تمام سیستم‌های عامل دیده شده است. در این مقاله با یک مثال ساده، موضوع Buffer overflow و چگونگی استفاده نفوذگرها از آن جهت نفوذ به سیستم‌های کامپیوتری بررسی خواهد شد. در پایان روش‌هایی برای جلوگیری از این نوع جملات ارائه خواهند شد. برنامه‌های ذکر شده در این مقاله به زبان c نوشته شده‌اند و باید تحت سیستم عامل windows کامپایل شوند...

زبان: فارسی

حجم کتاب: ۲۶۵ کیلوبایت
تعداد صفحات: ۷
نوع فایل:PDF

دانلود: یکی از لینک های زیر را برای دانلود انتخاب کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

توضیح ساده تر:
overflow چیه؟ buffer overflow یه روش قدیمیه هـک که خیلی هم در هـک بکار می ره این روش میاد اطلاعات رو سرریز می کنه بعد به هدف مقابل حمله میکنه حالاه چه سودی سرریز کردن داره؟؟اگه buffer overflow انجام بشه حاظه هدف حالاه چه سرور باشه چه کلاینت پر می شه و راحت تر میشه نفوذ کرد به سیستم buffer overflow بعد از سر ریز کردن حافظه یه پورتی رو روسیستم هدف برای ما باز میکنه buffer overflow خوبیش اینه که وقتی اطلاعات سرریز میکنه فایروال طرف هم زیاد نمیتونه کاری کنه و نفوذ برای هـکر ساده میشه اما!!! دیگه امروزه اگر buffer overflow انجام بشه فایر والها جوری تنظیم شدن رو بعضی از سرور ها که یه پورتهای خاصی روسرور بازه که خودشون تعین میکنن و فایر وال دیگه اجازه نمیده که یه پورتی که غیره اون پورتایی که تنظیم شده رو سیستم باز بشه در نتیجه هـکر نمیتونه shell بگیره ولی هکرها اومدن یه فکری برای این موضو کردن حالاه این فکر چی میتونه باشه ؟؟؟؟؟ هکر ها اومدن جوری exploit buffer overflow رو نوشتن که دیگه نیاد پورت باز کنه رو سیستم هدف تا هـکر Shell بگیره چون این کار با بودن فایر والهای تنظیم شده امکان پذیر نیست هـکرها برای shell گرفتن کاری کردن که بعد از buffer overflow
cmd طرف برای هـکر بیاد یعنی کلا الان دو نوع shell هستش :

تو shell مستقیم روش اول buffer overflow انجام میشه تو reverse shell برعکس روش اول هستش که اسمش شل معکوس هستش یعنی اولی ما یه پورتی باز میکنیم رو سیتم هدف Shell میگیریم در دومی shell طرف بعد از buffer overflow برای ما میاد .
خیلی از باگ های که شما تو سرور ها پیدا میکنید اگه بخونین کلمه buffer overflow توشون هستش الان خیلی باگ ها هستن شاید شل هم نگیرند کاره دیگه ای انجام بدن اما buffer overflow رو انجام میدن یکی از این باگهای معروف همون باگ lasses هستش که میشه از یه سیستم shell گرفت
نکته:buffer overflow به cpu هم خیلی بستکی داره. 1.shell مستقیم 2.reverse shell (معکوس)

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**jax2** · 24-10-2010, 22:00

راستی مهران جان

در مورد safe run کسپرسکای یه موردو بگم
این گزینه فوق العاده است
وقتی ویروس رو اجرا میکنی باهاش دقیقا مثل سند باکس کومودو میمونه
ویروس هر کار دلش بخواد می کنه ولی فکر کنم اینترنت نداره(فکر کنم)
من ویروس ها رو اینجوری اجرا می کنم که بعد اجرا کسپر اونا رو میشناسه

در مورد یdeep freez
من ازش خوشم نمیاد
این ورژنی هم که من دارم جدیده .Net framewolk3 sp1 میخواد که نصبش زیاد طول میکشه حوصله ندارم

به جاش returnil نصب کردم و با این که پروتکشنشو غیر فعال می کردم و وفقط virtual system رو فعال میکردم
بازم ویروسو میشناخت
اعصابم خرد شد

به جاش اومدم virtual box نصب کردم
یه ایکس پی روش نصب کردم که رو اون تست کنم که وقتی بعد نصب کسپرو نصب کردم و اکتیو شد همین که اجرا میشد و شروع به فعالیت میکرد سیستم(مجازی)هنگ میکرد
با این که 1 گیگ رم بهش اختصاص داده بودم و 5گیگ هارد

دیگه موندم چیکار کنم؟؟؟

اینکارو کردم

**M E H R A N** · 24-10-2010, 22:26

نوشته شده توسط jax2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

راستی مهران جان

در مورد safe run کسپرسکای یه موردو بگم
این گزینه فوق العاده است
وقتی ویروس رو اجرا میکنی باهاش دقیقا مثل سند باکس کومودو میمونه
ویروس هر کار دلش بخواد می کنه ولی فکر کنم اینترنت نداره(فکر کنم)
من ویروس ها رو اینجوری اجرا می کنم که بعد اجرا کسپر اونا رو میشناسه

در مورد یdeep freez
من ازش خوشم نمیاد
این ورژنی هم که من دارم جدیده .Net framewolk3 sp1 میخواد که نصبش زیاد طول میکشه حوصله ندارم

به جاش returnil نصب کردم و با این که پروتکشنشو غیر فعال می کردم و وفقط virtual system رو فعال میکردم
بازم ویروسو میشناخت
اعصابم خرد شد

به جاش اومدم virtual box نصب کردم
یه ایکس پی روش نصب کردم که رو اون تست کنم که وقتی بعد نصب کسپرو نصب کردم و اکتیو شد همین که اجرا میشد و شروع به فعالیت میکرد سیستم(مجازی)هنگ میکرد
با این که 1 گیگ رم بهش اختصاص داده بودم و 5گیگ هارد

دیگه موندم چیکار کنم؟؟؟

اینکارو کردم

jax عزیز, کلا اگر بخوای حساب بکنی دنبال Virtual نباید بری... چرا؟ چون ویروسها و تروجانهای امروزی که تعدادشون روز به روز هم داره زیاد میشه وقتی در یک سیستم Virtual یا مجازی اجرا بشند خودشون, خودشون رو غیر فعال میکنند و حتی اگر خودشون رو غیر فعال نکنند هیچ اقدامی برای آلوده کردن سیستم را انجام نمیدند.

مثلا اگر یک Trojan Dropper در یک سیستم واقعی اجرا بشه خیلی راحت رجیستر کی ها رو تغییر میده و تروجانهایی رو که بعد از اجرا شدن خودش در حافظه اش نوشته شده اند در سیستم درست میکنه و اونها رو در مسیر های مختلف مانند system32 کپی میکنه. هر کدوم از این تروجانهای ساخته شده نوعشون با دیگری فرق میکنه و همه یکی نیستند. برای همین اگر آنتی ویروس سیستم یکی یا 2 تا از اینها را کشف کرد بقیه میتونند به کارشون ادامه بدند.

اما اگر همین Trojan Dropper در یک Virtual Machine اجرا بشه یا ممکنه بعد از اجرا شدن سریع بسته بشه

یا ممکنه بعد از اجرا شدن فقط در حافظۀ فیزیکی رم قرار بگیره اما هیچ کدام از اقدامهایی را که در بالا گفتم روی یک سیستم واقعی انجام میده را نمیکنه.

این مورد رو من بارها دیدم و حتی در مورد کرمها و ویروسها هم صدق میکنه.

حالا دلیل اینکه اینها چرا خودکشی میکنند چیه؟

تروجانها و کلا هر برنامه های که نوشته میشه یک سورس داره که اینها همشون هم کد گذاری شده هستند. یک سرکت آنتی ویروس فقط میتونه خود فایل آلوده رو تشخیص بده اما نمیتونه سورس ویروس رو براحتی بدست بیاره. بنابراین این شرکت ها مانند MalwareBytes اومدن از یک روش دیگر برای شناسایی تروجانها و کرمهای ساخته شده بعد از اجرای نمونۀ اصلی استفاده میکنند. این شرکتها میان دونه به دونۀ نمونه های کشف شده را در یک سیستم کاملا اتوماتیک مثل Sandbox اجرا میکنند تا نمونۀ آلوده بتونه بدون محدودیت در سیستم اجرا بشه, بعد هر فایلی که ساخت و هر کلیدی که در رجیستری تغییر داد در دیتابیس MalwareBytes ثبت میشه. اما آنتی ویروسهای دیگه که اسمشون رو نمیبرم... مثلا Avira میاد و فقط خود فایل آلوده رو در دیتابیس وارد میکنه و نه نمونه هایی که ممکنه بعد از اجرای فایل آلوده ساخته بشند.

مثلا ویروس test1.exe در یک سیستم با محافظت Avira اجرا میشه و Avira نمیتونه اونو تشخیص بده. این ویروس میاد بعد از اجرا شدن 3 ویروس دیگه رو به اسم های زیر درست میکنه..

test2.exe
test3.exe
test4.exe

بعد از گذشت 24 ساعت و شایدم کمتر Avira میاد فایل test1.exe را بعنوان یک فایل آلوده و ویروس در دیتابیسش ثبت میکنه. اما پس نمونه های ساخته شدۀ دیگه چی میشه؟ یا باید اونها رو هم کسی برای Avira بفرسته تا در دیتابیس ثبت بشه و یا شخصی که سیستمش آلوده میشه دست به دامان اسکنر های دیگه میشه.

این روند با نوشته شدن 50 هزار ویروس, کرم و تروجان هر روز ادامه داره.

برای اینکه ویروسها بدون محدویت بخوان اجرا بشند میتونید از VMware استفاده کنید.
موفق باشید.

**jax2** · 24-10-2010, 22:59

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

jax عزیز, کلا اگر بخوای حساب بکنی دنبال Virtual نباید بری... چرا؟ چون ویروسها و تروجانهای امروزی که تعدادشون روز به روز هم داره زیاد میشه وقتی در یک سیستم Virtual یا مجازی اجرا بشند خودشون, خودشون رو غیر فعال میکنند و حتی اگر خودشون رو غیر فعال نکنند هیچ اقدامی برای آلوده کردن سیستم را انجام نمیدند.

مثلا اگر یک Trojan Dropper در یک سیستم واقعی اجرا بشه خیلی راحت رجیستر کی ها رو تغییر میده و تروجانهایی رو که بعد از اجرا شدن خودش در حافظه اش نوشته شده اند در سیستم درست میکنه و اونها رو در مسیر های مختلف مانند system32 کپی میکنه. هر کدوم از این تروجانهای ساخته شده نوعشون با دیگری فرق میکنه و همه یکی نیستند. برای همین اگر آنتی ویروس سیستم یکی یا 2 تا از اینها را کشف کرد بقیه میتونند به کارشون ادامه بدند.

اما اگر همین Trojan Dropper در یک Virtual Machine اجرا بشه یا ممکنه بعد از اجرا شدن سریع بسته بشه

یا ممکنه بعد از اجرا شدن فقط در حافظۀ فیزیکی رم قرار بگیره اما هیچ کدام از اقدامهایی را که در بالا گفتم روی یک سیستم واقعی انجام میده را نمیکنه.

این مورد رو من بارها دیدم و حتی در مورد کرمها و ویروسها هم صدق میکنه.

حالا دلیل اینکه اینها چرا خودکشی میکنند چیه؟

تروجانها و کلا هر برنامه های که نوشته میشه یک سورس داره که اینها همشون هم کد گذاری شده هستند. یک سرکت آنتی ویروس فقط میتونه خود فایل آلوده رو تشخیص بده اما نمیتونه سورس ویروس رو براحتی بدست بیاره. بنابراین این شرکت ها مانند MalwareBytes اومدن از یک روش دیگر برای شناسایی تروجانها و کرمهای ساخته شده بعد از اجرای نمونۀ اصلی استفاده میکنند. این شرکتها میان دونه به دونۀ نمونه های کشف شده را در یک سیستم کاملا اتوماتیک مثل Sandbox اجرا میکنند تا نمونۀ آلوده بتونه بدون محدودیت در سیستم اجرا بشه, بعد هر فایلی که ساخت و هر کلیدی که در رجیستری تغییر داد در دیتابیس MalwareBytes ثبت میشه. اما آنتی ویروسهای دیگه که اسمشون رو نمیبرم... مثلا Avira میاد و فقط خود فایل آلوده رو در دیتابیس وارد میکنه و نه نمونه هایی که ممکنه بعد از اجرای فایل آلوده ساخته بشند.

مثلا ویروس test1.exe در یک سیستم با محافظت Avira اجرا میشه و Avira نمیتونه اونو تشخیص بده. این ویروس میاد بعد از اجرا شدن 3 ویروس دیگه رو به اسم های زیر درست میکنه..

test2.exe
test3.exe
test4.exe

بعد از گذشت 24 ساعت و شایدم کمتر Avira میاد فایل test1.exe را بعنوان یک فایل آلوده و ویروس در دیتابیسش ثبت میکنه. اما پس نمونه های ساخته شدۀ دیگه چی میشه؟ یا باید اونها رو هم کسی برای Avira بفرسته تا در دیتابیس ثبت بشه و یا شخصی که سیستمش آلوده میشه دست به دامان اسکنر های دیگه میشه.

این روند با نوشته شدن 50 هزار ویروس, کرم و تروجان هر روز ادامه داره.

برای اینکه ویروسها بدون محدویت بخوان اجرا بشند میتونید از VMware استفاده کنید.
موفق باشید.

ممنون از توضیح کاملت عزیز
فیض بردیم

***hamedkhatar*** · 25-10-2010, 01:01

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

jax عزیز, کلا اگر بخوای حساب بکنی دنبال Virtual نباید بری... چرا؟ چون ویروسها و تروجانهای امروزی که تعدادشون روز به روز هم داره زیاد میشه وقتی در یک سیستم Virtual یا مجازی اجرا بشند خودشون, خودشون رو غیر فعال میکنند و حتی اگر خودشون رو غیر فعال نکنند هیچ اقدامی برای آلوده کردن سیستم را انجام نمیدند.

مثلا اگر یک Trojan Dropper در یک سیستم واقعی اجرا بشه خیلی راحت رجیستر کی ها رو تغییر میده و تروجانهایی رو که بعد از اجرا شدن خودش در حافظه اش نوشته شده اند در سیستم درست میکنه و اونها رو در مسیر های مختلف مانند system32 کپی میکنه. هر کدوم از این تروجانهای ساخته شده نوعشون با دیگری فرق میکنه و همه یکی نیستند. برای همین اگر آنتی ویروس سیستم یکی یا 2 تا از اینها را کشف کرد بقیه میتونند به کارشون ادامه بدند.

اما اگر همین Trojan Dropper در یک Virtual Machine اجرا بشه یا ممکنه بعد از اجرا شدن سریع بسته بشه

یا ممکنه بعد از اجرا شدن فقط در حافظۀ فیزیکی رم قرار بگیره اما هیچ کدام از اقدامهایی را که در بالا گفتم روی یک سیستم واقعی انجام میده را نمیکنه.

این مورد رو من بارها دیدم و حتی در مورد کرمها و ویروسها هم صدق میکنه.

حالا دلیل اینکه اینها چرا خودکشی میکنند چیه؟

تروجانها و کلا هر برنامه های که نوشته میشه یک سورس داره که اینها همشون هم کد گذاری شده هستند. یک سرکت آنتی ویروس فقط میتونه خود فایل آلوده رو تشخیص بده اما نمیتونه سورس ویروس رو براحتی بدست بیاره. بنابراین این شرکت ها مانند MalwareBytes اومدن از یک روش دیگر برای شناسایی تروجانها و کرمهای ساخته شده بعد از اجرای نمونۀ اصلی استفاده میکنند. این شرکتها میان دونه به دونۀ نمونه های کشف شده را در یک سیستم کاملا اتوماتیک مثل Sandbox اجرا میکنند تا نمونۀ آلوده بتونه بدون محدودیت در سیستم اجرا بشه, بعد هر فایلی که ساخت و هر کلیدی که در رجیستری تغییر داد در دیتابیس MalwareBytes ثبت میشه. اما آنتی ویروسهای دیگه که اسمشون رو نمیبرم... مثلا Avira میاد و فقط خود فایل آلوده رو در دیتابیس وارد میکنه و نه نمونه هایی که ممکنه بعد از اجرای فایل آلوده ساخته بشند.

مثلا ویروس test1.exe در یک سیستم با محافظت Avira اجرا میشه و Avira نمیتونه اونو تشخیص بده. این ویروس میاد بعد از اجرا شدن 3 ویروس دیگه رو به اسم های زیر درست میکنه..

test2.exe
test3.exe
test4.exe

بعد از گذشت 24 ساعت و شایدم کمتر Avira میاد فایل test1.exe را بعنوان یک فایل آلوده و ویروس در دیتابیسش ثبت میکنه. اما پس نمونه های ساخته شدۀ دیگه چی میشه؟ یا باید اونها رو هم کسی برای Avira بفرسته تا در دیتابیس ثبت بشه و یا شخصی که سیستمش آلوده میشه دست به دامان اسکنر های دیگه میشه.

این روند با نوشته شدن 50 هزار ویروس, کرم و تروجان هر روز ادامه داره.

برای اینکه ویروسها بدون محدویت بخوان اجرا بشند میتونید از VMware استفاده کنید.
موفق باشید.

سلام
Vmware رو من رو سیستمم دارم از الان به بعد میخوام ویروسها رو توی اون تست کنم
فقط میخوام مطمعن بشم که آیا ویروس ها میتونند از داخل ویندوز Vmware به ویندوز اصلیم نفوذ کنند یا نه؟
آخه من از ویندوز اصلی یه متن رو کپی کردم توی Vmware پیست شد حالا یعنی ویروس نمیتونه منتقل بشه؟
شاید تنظیم خاصی داره
ممنون میشم راهنمایی کنید
با شکر

**M E H R A N** · 25-10-2010, 01:03

نوشته شده توسط *hamedkhatar* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
Vmware رو من رو سیستمم دارم از الان به بعد میخوام ویروسها رو توی اون تست کنم
فقط میخوام مطمعن بشم که آیا ویروس ها میتونند از داخل ویندوز Vmware به ویندوز اصلیم نفوذ کنند یا نه؟
آخه من از ویندوز اصلی یه متن رو کپی کردم توی Vmware پیست شد حالا یعنی ویروس نمیتونه منتقل بشه؟
شاید تنظیم خاصی داره
ممنون میشم راهنمایی کنید
با شکر

شما محافظت سیستم اصلی را به Comodo بسپارید و VMware را تحت نظارت و کنترل کمودو اجرا کنید.

با این شیوه حتی اگر ویروسی هم بخواد خارج بشه, که اون هم وجود داره نمیتونه این کار رو بکنه چون یک ناظر دیگه بالا سرش وجود داره

نام تاپيک: دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

اختيارات تاپيک

6 کاربر از masoudm989 بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از 01110362 بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از edi2 بخاطر این مطلب مفید تشکر کرده اند

این کاربر از jax2 بخاطر این مطلب مفید تشکر کرده است

6 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از jax2 بخاطر این مطلب مفید تشکر کرده اند

8 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

4 کاربر از jax2 بخاطر این مطلب مفید تشکر کرده اند

4 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

Thread Information

Users Browsing this Thread

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن