دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[*Batman*]

سلام امید جان
دلیلش اینه که فایل exe هم نوعی زیپ هست که تنها تفاوتش با فایل زیپ یکی این هست که اجرایی هست و بعدی هم این که فشرده نمیشه
به همین خاطر داخل هر فایل exe کلی فایل دیگه هست که یک آنتی ویروس همشونو سرچ میکنه
ولی Malware با توجه به نوع خاصی که هست باعث میشه که فقط یک سری از File types ها رو اسکن کنه و بقیه از حیطه ی Malware خارج میشن
Take Care

سلام.
من خوندم که فایل اجرایی یا EXE دارای هدر و سکشن های مختلفی هستش.
برنامه های معروف به Binder و یا Packer میتونن چند فایل رو در یک فایل قرار بدن.
مثلا در حالت ساده از سکشن Resource برای این کار استفاد میشه.
این فایلها به عنون Container هم شناخته میشن.یعنی تو خودشون فایلهای دیگری دارن.
فکر کنم منظور شما هم همین بود.
آنتی ویروسها با تکنیکهای مختلف اینا رو آنپک میکنن. اما با برنامه های معمولی که فرمت های ZIP یا RAR را پشتیبانی میکنن نمیشه اینا رو آنپک کرد.
در واقع فشرده سازی در مورد پکرها مثل UPX با ساختن یک سکشن جدید انجام میشه و موقع اجرا تو حافظه آنپک میشه.
منم یکبار به صورت تمرینی تو محیط ویژوال استادیو یک فایل exe رو بردم تو فایل اجرایی خودم و موقع اجرا استخراجش کردم.(خیلی ابتدایی)

==================================================

خوب یه کم بحث رو شیرین تر کنیم:

بعضی از ویروسها عمل Overwrite انجام میدن.یعنی کدهای مخرب رو با کدهای اصلی فایل میزبان تعویض میکنن.
همین مساله باعث میشه که عمل پاکسازی (DisInfection) تقریبا غیر ممکنه بشه.
چون آنتی ویروس بیچاره بعد از پاک کردن ویروس نمیدونه اون کدهای حذف شده چی بودن؟!
بنابراین یه فایل پاک سازی شده بلا استفاده خواهیم داشت!
ما امروزه نمونه های بسیار کمی از پاکسازی می بینیم چون ویروس ها این امکان رو فراهم نمیکنن!
یادمون باشه که پاکسازی رو با بیرون کشیدن فایل ویروسی از داخل یه فایل دیگه اشتباه نگیریم!(هر چند اینم نوعی گندزدایی حساب میشه)
در حقیقت منظور اصلی ما پاک کردن کد مخرب هستش نه فایل مخرب!

[A M ! N]

من خوندم که فایل اجرایی یا EXE دارای هدر و سکشن های مختلفی هستش.

یک فایل exe اجرایی تحت ویندوز دارای 2 سرآمد یا Header هست که شامل سرآمد MS-DOS و سرآمد Windows میشه و همینطور خود MS-DOS هم به 4 قسمت تقسیم میشه که فعلا بیخیالش میشم !
سرآمد Windows هم حاوی اطلاعاتی هست که loader برای فایلهای قسمت بندی شده ی exe نیاز داره که باز این هم انواع مختلفی از اطلاعات هست مثل جدول تقسیم بندی داده ها و .....

و اما درکل بستگی به برنامه ی exe کننده داره ، که چی هست مثلا شما میتونید یک BAT رو به راحتی در DOS طراحی کنین و یا همین رو با خروجی EXE تعریف کنین ، یا اینکه ( نمیدونم باهاش کار کردین یا نه ) مثلا هز IEXPRESS ابزار internal ویندوز که برای ویندوز های XP و بالاتر طراحی شده که نوعی Cabinet self extractor محسوب میشه باز Output رو EXE تعریف کرد و یا یک فایل فقط حاوی Code & Data رو با VB طراحی کرد

برنامه های معروف به Binder و یا Packer میتونن چند فایل رو در یک فایل قرار بدن.

دقیقا همون ابزار Iexpress ویندوز هست که به نوعی میشه ازش به عنوان Windows installer هم استفاده کرد و امکانات زیادی هم داره

مثلا در حالت ساده از سکشن Resource برای این کار استفاد میشه.

البته یک فایل EXE استاندارد تحت ویندوز در وهله ی اول میتونه ترکیب Data & Code باشه و یا بعد ترکیب Data & Code & Resource باشه که همون کد ، داده و منبع هستش

فکر کنم منظور شما هم همین بود.

کمی تا قسمتی ابری!!!

آنتی ویروسها با تکنیکهای مختلف اینا رو آنپک میکنن. اما با برنامه های معمولی که فرمت های ZIP یا RAR را پشتیبانی میکنن نمیشه اینا رو آنپک کرد.

درسته و برای یک آنتی ویروس کار سختی نیست اگه exe یک container باشه که به راحتی بدون نیاز به UNpack کردن اسکن میکنه و اگه هم Data & code باشه که مستقیما کدها رو Compile میکنه برای خودش،،، همچنین فایلهای exe که فقط ترکیب Data & Code نباشن رو میشه با Winrar به راحتی Extract کرد

منم یکبار به صورت تمرینی تو محیط ویژوال استادیو یک فایل exe رو بردم تو فایل اجرایی خودم و موقع اجرا استخراجش کردم.(خیلی ابتدایی)

ساده تر از این هم همون Iexpress هست که عرض کردم

بعضی از ویروسها عمل Overwrite انجام میدن.یعنی کدهای مخرب رو با کدهای اصلی فایل میزبان تعویض میکنن.
همین مساله باعث میشه که عمل پاکسازی (DisInfection) تقریبا غیر ممکنه بشه.
چون آنتی ویروس بیچاره بعد از پاک کردن ویروس نمیدونه اون کدهای حذف شده چی بودن؟!
بنابراین یه فایل پاک سازی شده بلا استفاده خواهیم داشت!
ما امروزه نمونه های بسیار کمی از پاکسازی می بینیم چون ویروس ها این امکان رو فراهم نمیکنن!
یادمون باشه که پاکسازی رو با بیرون کشیدن فایل ویروسی از داخل یه فایل دیگه اشتباه نگیریم!(هر چند اینم نوعی گندزدایی حساب میشه)
در حقیقت منظور اصلی ما پاک کردن کد مخرب هستش نه فایل مخرب!

فرمایشاتون خیلی خوب هست عالی
یک چیزی هم من بگم یک نوع ویروس هایی هستن که به چندریختی معروف هستن که وقتی که در حال تکثیر هستن خودشون رو به چندین روش مختلف Encrypt میکنن که شناساییشون برای یک اسکنر معمولی مثل ناد32 عملا غیر ممکن هست و خوبی هم که داره اینه که در طی این مدت تعداد زیادی ازش Duplicate میشن یک نمونش Marburg هست

راستی دوستای ویروس باز !!! میشه یک لطفی بکنین و لینک Stuxnet رو بدین به شرط این که لینک سالم و محتویات هم سالم باشه

Taker Care

[Karkas20]

این هم یه مخرب درجه یک !

با امضای دیجیتالی : دی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد :123

[V A L L I O]

این هم یه مخرب درجه یک !

با امضای دیجیتالی : دی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد :123

خوب شد کومودو رو پاک کردم !

اینم از نود اسمارت 5 ، با آپدیت 5 دقیقه پیش :
( قبل از اکسترکت کردن پاکش کرد ) .

[Karkas20]

سلام من امدم این مخربا با کسپر تست زدم

دفعه اول سوال کرد و من بهش الاو زدم / به عنوان یه کاربر مبتدی: دی

ولی بعدش که دیدم داره سوالات عجیب میکنه / مانند دیزیبل کردن تسک منیجر / بلک کردم سوالاتشا.

گرچه قبل تست من یه بار مخربا تست زدم که / کسپر هشدار فایروال هم داد ولی اگر در این تست چیزی مشاهده نکردید / برای این بودش که من سوال کسپر در مورد این مخرب که فایروال هشدار داده بود را always زدم و بعد بلوک کردم برای همین دیگه برای دفعه دوم سوال نکرد و خوده کسپر پیشفرض بوک میکرد درخواست مخرب که میخواد به نت وصل بشه.

من یه سوتی هم دادم تو این فیلم !

هرکی مچم را گرفت میفهمم فیلم را کامل دیده.

بزار یه راهنمایی بکنم من شوهیدن را تیکشا برداشتم و داشتم دنبال یه فایلی میگشتم !


که اصلا نبود !

سوال چرا نبود اخه؟

دلیلش چی بود؟

راهنما از این بهتر!

و اخر هم دییدد مخرب کلا نابود شد / چون کار نتوانست بکنه !

لینک دانلود فیلم:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشید
شب همگی خش

[AlexanderMahone]

این هم یه مخرب درجه یک !

با امضای دیجیتالی : دی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد :123

بلافاصله بعد از اکسترک:

[omid-p30]

Avast Free 6

Hitman Pro

KIS 2012

MAM

[omid-p30]

خوب شد کومودو رو پاک کردم !

اینم از نود اسمارت 5 ، با آپدیت 5 دقیقه پیش :
( قبل از اکسترکت کردن پاکش کرد ) .

لا مصب همین دیتابیسش هست که نگهش داشته.

[*Batman*]

من همیشه هوش مصنوعی NOD32 رو تحسین میکنم.
ممکنه قدرت پاکسازی خوبی نداشته باشه یا پایداری خوبی نداشته باشه اما بیشتر مواقع یه جواب به کاربر میده.
تو این مورد هم باتوجه با سرعت اسکن بالایی که داره خیلی خوب تونست یقه مخرب رو بگیره.
اگه بازم بتونه از این نتایج بهمون نشون بده معلوم میشه حداقل روی Fake Alert ها حسابی کار کردن.

==============================================

داشتم با خودم فکر میکردم چقدر خوب شد که این Reputation Scan یه لایه حفاظتی جدید برای نورتون ایجاد کرد.
با این حالDownload Insight رو غیر فعال کردم تا ببینم SONAR به عنوان لایه بعدی چکار میکنه!
چند دقیقه ای گذشت و نا امید شدم ! اما مدتی بعد مخرب شناسایی شد!



=============================================

امــیر جان من قبلا بدقولی کردم و فیلمای قبلی رو ندیدم.اما این یکی رو برای جبران تا آخر دیدم.
این کســپرسکی چقدر چیزمیز داره
خوب دائم Block میکردی و نمیتونست کاری انجام بده.از آخر هم که بسته شده بود!
به نظرم صحنه ها تکرار میشد!

[Karkas20]

من همیشه هوش مصنوعی NOD32 رو تحسین میکنم.
ممکنه قدرت پاکسازی خوبی نداشته باشه یا پایداری خوبی نداشته باشه اما بیشتر مواقع یه جواب به کاربر میده.
تو این مورد هم باتوجه با سرعت اسکن بالایی که داره خیلی خوب تونست یقه مخرب رو بگیره.
اگه بازم بتونه از این نتایج بهمون نشون بده معلوم میشه حداقل روی Fake Alert ها حسابی کار کردن.

==============================================

داشتم با خودم فکر میکردم چقدر خوب شد که این Reputation Scan یه لایه حفاظتی جدید برای نورتون ایجاد کرد.
با این حالDownload Insight رو غیر فعال کردم تا ببینم SONAR به عنوان لایه بعدی چکار میکنه!
چند دقیقه ای گذشت و نا امید شدم ! اما مدتی بعد مخرب شناسایی شد!



=============================================

امــیر جان من قبلا بدقولی کردم و فیلمای قبلی رو ندیدم.اما این یکی رو برای جبران تا آخر دیدم.
این کســپرسکی چقدر چیزمیز داره
خوب دائم Block میکردی و نمیتونست کاری انجام بده.از آخر هم که بسته شده بود!
به نظرم صحنه ها تکرار میشد!

سلام بر داش مسعودم

اقا من اگر همون تو وهله اول برای استارت بلوک میزدم که دیگه این چیزا نمیومد برای دیزیبل کردن تسک منیجر و انجام کارهای دیگه.

بعد اینکه جلود دسترسی شا گرفتم بسته شد.

نه بابا صحنه ها چیه.

بزار بگم / من مخربا تو سیف ران کسپر ران کردم و انوقت انتظار دارم که فایلی که میخواد مخرب اجرا بکنه در سیستم اصلی بلشه و من داشتم دنبال اون میگشتم در صورتی که فایل در یه محیط مجازی بود

یه لحظه سیستم مجازی را با اصلی اشتباه گرفته بودم و داشتم دنبال مخرب میگشتم

این سوتی من بو

چرا دروغ بگم.

یه زمانی از این کسپر بدم میومد چون مثل کومودو از کاربر سوال نمیکرد !

ولی گفتم این که اپ کنترل داره باید یه جایی باشه که سوال بکنه !

((به قول یکی از دوستان هیچ کاری نشد نداره! / فقط باید ببینیم چطوری انجام میشه ))

رفتم فروم کسپر و زیرو کردم ودیدم بله با برداشتن یه تیک کسپر از حالت اتوماتیک به حالت سوالی در میاد در همه قسمت پروتکشن.

و خب یکم در نت جست و جو کردم و یکم تنظینمات که برای محافظت از فایل های سیستمی هست را تغییر دادم / که الان برای خودش یه غولی شده.

چقدر پشت سر این کسپر حرفیدم ولی الان که ردیفش کردم با هیچ سوییتی تغییرش نمیدم.

و از این صحبتا

حدود 1ماه فقط داشتم میگشتم چطوری میشه کسپرا سوالی کرد و کاری که همه قسمت های سیستم را محافظت بکنه.

حتی من یه کدی به قسمت security file

دادم مبنی بر محافظت از فلاش که این بود ولی نشد / یعنی کار نمیداد. که اتوران و فایل مخرب که میخواد در دایرکتوری ران بشه را از طریق hips بلوکش بکنه
.

%Removable Disk%\*.exe|

%Removable Disk%\*.inf


نمیدونم نشد وگرنه خیلی عالیه میشد.(شاید در خوده کسپر این قسمت نبوده که از طریق hips بیاد از فلش محافظت بکنه مثل کومودو / ولی خیالی نیست با برنامه usb disk security هم میشه جلو اتوران را گرفت.

شاید این کد برای قسمت پروتکتت فایل کومودو کارایی داشته باشه نمیدونم.

ولی خب یه چیزی که فهمیدم اینه سوییت 50درصد از امنیت را به صورت پیش فرض انجام میده و بقیش به دسته کاربر هست که تا مرز 99درصد هم برسونه یعنی با بهتر کردن و بهینه تر کردن تنظیمات سوییت سیستم و کمتر کردن اشتباهات کابری خودش / در کنار اینکه سوییتش هم خوب کانفیگ کرده.

سرتون را درد نیارم.


خش باشید.

مخلصیم.