نویسنده موضوع: آموزش هک ، نوشتن ویروس ، در اختیار گرفتن و بهم ریختن سیستم  (دفعات بازدید: 20955 بار)

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
با سلام و احترام
اینجا میخوام یه کار بزرگ کنم و آموزش هک و نوشتن ویروسهای مختلف و صد البته آموزش نوشتن آنتی ویروس آنها و نحوه شناسایی این ویروسها را بگذارم . و البته آموزش نصب و کار با آنتی ویروسهای مختلف و ویروسهای روز رو به امید خدا در همین مباحث با کمک دوستان داریم .
امیدوارم و از دوستان خواهش می کنم از این مطالب سود استفاده کنند و نه سوء استفاده کنند .
ضمنا مسئولیت کلیه استفاده های غیر اصولی و اخلاقی از این مطالب به عهده شخص مطالعه کننده می باشد و هدف اینجانب از این مباحث فقط آموزش طریقه مواجه شدن با خطر ویروسهای مختلف و مقابله با آنها است.

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
ویروس Win32/PSW.Agent.NDP

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .

نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe

بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
اینجا لازم دونستم قبل از ادامه بحث در مورد ویروسها یک مقدمه کلی از ویروس کامپیوتری و چگونگی مقابله مقدماتی با اونها رو بیان کنم
امروزه با توجه به تعدد ویروس های کامپیوتری در کشور،که اغلب آنها نیز ایرانی می باشند، شناخت و جلوگیری از تخریب آنها مفید ولازم به نظر می رسد . پیش از هر گونه بحث فنی لازم است توضیحی در مورد ویروس و خوب وبد بودن ویروس سازی از دیدگاه مثبت آن بررسی شود تا مبادا افراد بد گمان و احتمالا متنفر از ویروس ، سیل بدو بیراه خود را نثار ویروس نویسان! کنند بد نیست بدانیم جدای از هنر و تکنیک زیبای عملکرد ویروس های مختلف و شیرینی جدال با ویروس یابها ، خود ویروس عاملی برای حمایت از برنامه های کاربردی می توامند به شمار آید، چرا که اولین ویروس ها در راه جلوگیری از کپی برداریهای غیر مجاز طرح و نوشته شده و زمان فعالیت آن را موکول به وقتی کرده اند که فرد خاطی از " خواهش عدم کپی غیر مجاز" نیاز به گوش مالی دارد ! تا شاید همین فرد عادت به خرید و تهیه ی برنامه های مورد استفاده خود از طریق اصولی بنماید.
واما ویروس ها برنامه هایی هستند که به شکل پنهانی، موقع اجرا شدن برنامه آلوده خود را به برنامه های اجرایی نظیر فایل های COM و EXE می چسبانند و معمولا بدون اینکه تاثیری در کار اصلی برنامه آلوده بگذارند، منتظر زمان فعالیت نهایی یا برقراری شرط خاصی می شوند . حال این فعالیت می تواند بزرگتر کردن فایلهای مختلف DATA باشد ، یا آلوده کردن فایلهای اجرایی و یا از بین بردن اطلاعات PARTITION TABLE، معدوم کردن اطلاعا ت با ارزش یا از کار انداختن فایل های اجرایی و ... باشد .
ولی در هر حال یک چیز در اکثر ویروس ها مشترک می باشد و آن انتقال ویروس از فایل های آلوده به فایل های سالم است . در این مقاله سعی شده است که نحوه عملکرد یکی از انواع ویروس های کامپیوتری بیان شود که قبل از مطالعه لازم است به نکته ذیل توجه گردد.
افرادی که مایل به مطالعه مقاله می باشند لازم است که :
۱) با زبان اسمبلی آشنا باشند .
۲) به DEBUG و دستورات آن مسلط باشند .
۳) از اطلاعات برنامه نویسی سیستم در حد آشنایی با Header فایل های اجرایی برخوردار باشند .
بنابراین اگر ملاحظه می شود که روشها بسیار خلاصه مطرح شده، تنها بدلیل عدم دسترسی عمومی به اطلاعاتی که ممکن است خطرناک باشد،است و هدف، ارائه روش بوده و باقی جزئیات بر حسب توان با خود برنامه نویس است .
(توضیح اینکه ویروس ها برنامه کامپیوتری هستند و نه چیز دیگری و می توانند با انواع زبان های برنامه سازی Assenbly، C++، Pascal،Basic، ... طراحی شوند و  قویترین زبان جهت اینکار اسمبلی است )
قبل از بیان الگوریتم کلی ویروس نویسی بهتر است به توضیح یکسری عناوین زیر بپردازیم :
▪ انواع دستکاری و تخریب ویروس های کامپیوتری
صرف نظر از ویروس هایی که کاربران را مورد لطف قرارداده و تنها با صدورپیامی، نمایش تصویری و یا پخش موزیکی حضور خود را اعلام می کنند،سایر ویروس ها به گونه های مختلف باعث نابودی اطلاعات و در برخی موارد باعث خرابی سخت افزار کامپیوتر می شوند. در زیر نمونه هایی از خسارات ویروس ها بیان می شود:
الف) اختلال در کار سیستم(تخریب نرم افزاری)
در این حالت ویروس با ایجاد خطا دربرنامه موجب اختلال در اجرای آن می شود. این اختلال گاه همراه با تصویری بر روی صفحه نمایش و یا صدای خاصی بلندگو یا قفل شدن کامپیوتر می باشد .
بعضی از دلایل اختلال در سیستم بدلیل ویروس ها عبارتند از:
۱) خطاهای برنامه نویسی توسط برنامه نویس ویروس
۲) ناسازگاری ویروس با سیستم یا نرم افزارهای نصب شده بر روی آن
۳) تخریب اطلاعات که شامل حذف، تغییر ویا اشغال و تکثیر در حافظه
۴) اختلال عمدی سیستم توسط ویروس(اهداف نویسندگان ویروس) که به عنوان مثال می توان به کندی سرعت سیستم اشاره کرد.
ب) تخریب سخت افزاری
عده ای معتقدند که ویروس ها نمی توانند به سخت افزار آسیب برسانند وتا به امروز، هیچ ویروسی پیدا نشده است که که این کار را انجام دهد. ولی در خلاف انتظار از بین بردن سخت افزار توسط برنامه های نرم افزاری امکان پذیر و عملی است . گرچه خسارات سخت افزاری در موارد اندکی توسط ویروسها وجود دارد ولی باید آنها را جدی گرفت . به عنوان مثال کامپیوترهای سری آمیگا از شرکت کمو دور، به خاطر نداشتن کنترل در قسمت های مختلف در مقابل ویروس آسیب پذیرند.
در این کامپیوتر ها می توان به کمک نرم افزار ،موتور دیسک گردان را از حرکت باز داشت و همزمان فرمان خواندن یک تراک که وجو ندارد ، را به هد داد به این ترتیب هد به دیواره های دیسک گردان برخورد کرده و می شکند . نمونه دیگر این است که CPU و Icهای آمیگا از جمله اگنس ، دنیس و پائولا از نوع CMOS بوده و در مقابل الکتریسیته حساس هستند . اگر همزمان به تمام ورودیهای بیت یک اعمال می شود ولتاژ اضافی باعث خرابی ICها می شود.به کمک یک برنامه کوتاه چند خطی به زبان ماشین می توان کلیه ثباتهایی که به نام CPU می روند را حاوی بیت یک نمود و CPU را خراب کرد .
در رایانه های شخصی ویروس می تواند هد خواندن و نوشتن دیسک گردان را روی یک تراک داخلی ، که وجودندارد قرار بدهد. در بعضی از دیسک گردانها، اینکار باعث می شود که هد ، به بستی در داخل دیسک گردان گیرکندو فقط با باز کردن دیسک گردان و جابه جا کردن هد با دست ، مشکل حل می شود.
ویروس می تواند تراک صفر دیسک را نابود کند در اینصورت ، این دیسک دیگر قابل استفاده نیست یا اینکه ویروس بطور مکرر هد از سیلندر بیرونی به سیلندر داخلی حرکت دهد این امر سبب سایش ونهایتا خرابی دیسک خواهد شد . در اینجا ممکن است مستقیما چیزی تخریب نشود ولی باعث فرسودگی می شود. برای مثال ویروس AMP۲P که روی فایل CAMMAND.COM ویندوز ۹۵ وجود دارد ،قادر است تنظیم اصلی کارخانه را تغییر دهد و ویروسی که بتواند اینکار را انجام دهد قادر است به تمام اجزای سیستم دسترسی داشته و آنها را خراب کند . این ویروس معمولا هارد دیسک را دچار تعدادی بد سکتور می کند ویا تراک صفر را از کار می اندازد که با فرمت فیزیکی مجدد نیز دیسک قابل اصلاح نیست .
تا چندی قبل ویروس ها فقط فایل ها را خراب می کردند که معمولا چاره اینکار آسان بود ولی اکنون ویروس ها به آنچنان توانایی رسیده اند که قادرند سخت افزار سیستم را مورد هدف قرار دهند که در این صورت خسارات ایجاد شده شدید و جبران آن سنگین است . تازه ممکن است پس ازتعویض قسمت خراب شده ، ویروس مجددا آنرا تخریب کند.
معمولا و نه همیشه اولین دستور از فایل های اجرایی COM، حاوی یک آدرس پرش (Jump) می باشد که اجرای برنامه را به مکان دیگری از داخل حافظه انتقال می دهد و سپس دستورات اصلی برنامه از مکان XXXXX در شکل فوق آغاز می گردد. اما اگر همین آدرس پرش اولیه را بتوانیم طوری تغییر دهیم که به ابتدای برنامه خودمان منتقل شود .می توان گفت که نصف کار آلوده سازی را انجام داده ایم .
بصورت کلی جهت انجام این کار ابتدا آدرس پرش اولیه XXXXX را در مکانی از حافظه ذخیره کرده (برای استفاده بعدی ) و سپس آدرس شروع برنامه خود را درآن قرار می دهیم . خوب تا اینجا توانسته ایم کنترل اجرایی فایل های COM را بدست گیریم . سپس کافی است در داخل ویروس عملیات مربوط به یافتن فایل های اجرایی غیر آلوده ، درستکاری آنها و انجام یکسری تخریب ها ( چاپ یکسری مطالب جهت ترساندن کاربر و معرفی خود) و نهایتا برگشت به آدرس اولیه پرش XXXXX جهت اجرای عادی فایل آلوده شده مراجعه کرده تا برنامه ازاین پس روال عادی اجرایی خود را انجام دهد.
ساختار کلی فایل های EXE پیچیده تر است . تمام فایل های EXE دارای یک Header یا عنوان بوده که شامل اطلاعات تخصصی فایل اجرایی نظیر مشخصه فایل،اندازه واقعی فایل،آدرس های Data Segment،Code Segment و..... می باشد. بنابراین بر خلاف فایل های COM که اولین دستور از آنها حاوی آدرس شروع برنامه است ، در این فایل ها بایت های ۲۰و۲۲ در داخل Header حاوی آدرس شروع برنامه است و چون فایل های EXE از نظر اندازه می توانند خیلی بزرگتر از COM باشند، این آدرسها شامل SEGMENT:OFFSET است
با توجه به توضیح فوق در مورد نحوه آلوده سازی فایل های COM کافی است آدرس های X۱:X۲ را به ابتدای برنامه خود تغییر داده وسپس در پایان کار نیز به محل اولیه X۱:X۲ باز گردیم . اما این نکته قابل ذکر است که بدلیل پیچیدگی ساختار فایل های EXE، آلوده سازی اینگونه فایل ها از فایل های COM مسکلتر است .
▪ دلایل خراب شدن فایل های اجرایی
همانطور که توضیح داده شد، به هنگام آلوده سازی فایل های اجرایی ممکن است، در محاسبه تغییر آدرس ها اشتباهاتی صورت گیرد و یا یک فایل اجرایی چندین بار آلوده گرددو در جریان چنین اعمالی نیز امکان دارد سیستم روال اجرایی عادی خود را ازدست داده و داخل یک حلقه بی نهایت قرار گیرد و یا به مکانی از حافظه پرش کند که هیچگونه دستور العملی وجودنداردو سرانجام باعث HANG کردن یا قفل کردن کامپیوتر می شود که گاهی اوقات بعضی از ویروس ها به هنگام آلوده سازی دچار این مشکل شده و احتمالا با این مسئله برخورد کرده اید که به هنگام آلوده بودن کامپیوترتان سیستم بدلیل نامشخصی قفل می کند.
باتوجه به توضیحات داده شده،هم اکنون الگوریتم کلی یکی از انواع ویروس های کامپیوتری را به صورت زیر می نویسیم :
۱) اولین فایل اجرایی در مسیر جاری را پیدا کنید
۲) اگر فایل پیدا شده ، آلوده است و دیگر فایل آلوده دیگری جهت جستجو وجود ندارد به مرحله ۶بروید.
۳) اگر فایل پیدا شده آلوده است به مرحله ۱بروید
۴) فایل آلوده شده را پیدا کنید و فایل را طوری تغییر بدهید تا به صورت عادی کار کند(آسیب نبینید)
۵) به مرحله ۷بروید
۶) عملیات مربوط به دستکاری یا تخریب را انجام دهید
۷) برنامه اولیه را اجرا کنید
● نتیجه گیری
با توجه به اینکه اغلب ویروس ها جهت آلوده سازی کامپیوتر ، طبق توضیحات داده شده، فایل های اجرایی حمله ور می شوند و آدرس های داخل فایل را تغییر می دهند، پس چه بهتر است بتوانیم این مکان ها را هر چه دقیقتر کنترل کنیم و همچنین با شناخت هر چه بیشتر کار ویروس ها، آمادگی کاملتری جهت مبارزه با آنها کسب نماییم .

zsobhani

  • Hero Member
  • *****
  • ارسال: 827
  • Karma: +2/-6
  • تعجیل در فرج آقا امام زمان صلوات
سلام ممنون از مطالب خوبتون
والعصر که بی عشق تو در خسرانم ...
*اللهم عجل لولیک الفرج*

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
نقل قول
سلام ممنون از مطالب خوبتون

با سلام و احترام
خواهش میکنم ، امیدوارم این مطالب بتونه مفید باشه و دوستان حداقل در مواجه با ویروسهای مختلف بتوانند تدابیر خوبی را اتخاذ کنند .
منم ممنونم از حسن توجهتون

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
اینجا میخوام نوشتن یه ویروس کوچولو رو با هم کار کنیم البته آنتی ویروسش هم همینجاس:
مثل من مراحل زیر رو یکی یکی انجام بدین :
1- یک فایل متنی مثل notpad باز کنید سپس دستور روبرو رو توی اون تایپ کنید Attrib +h +s +r
2- فایل رو با پسوند bat  ذخیره کنید .
3- به همین راحتی شما الان یه ویروس نوشتید که اونو توی هر فولدری اجرا کنید فایلهای موجود رو مخفی می کنه که حتی با گذاشتن تیک show hidden file در tools----option نیز فایلها نمایش داده نمیشن . شما قابلیت های بیشتری هم برای این ویروس می تونید در نظر بگیرید مثل اینکه آدرس مسیر مورد نظرتون رو جلوی دستور Attrib +h +s +r بنویسید تا فقط همون مسیر ویروسی شه .
4- برای پاک کردن اثر ویروس میتونید همون مراحل 1 و 2 و 3 رو انجام بدین اینبار با این دستور Attrib -h -s -r که می یاد خواص سوئیچهای دستور مذکور را بر می دارد .
یه نکته مهم که اینجا باید یاد آور شم اینه :
هر وقت دیدید فایلها یا پوشه هاتون مخفی شدن یا شاید با تصور اشتباه پاک شده باشند فقط کافیه روی پوشه یا درایو مربوط کلیک راست کرده و در prorerties آن حجم فولدر و تعداد فایلهای آنرا ببینید تا از پاک کردن نا خود آگاه آنها جلوگیری شود  .
حالا یک سری خواص دستور attrib رو برای دوستانی که به این مطلب علاقه دارند میذارم :
دستور Attrib:
برای نسبت دادن خصیصه های فقط خواندنی، مخفی، آرشیو و سیستمی به فایل یا فولدر استفاده میشه. که دارای سوئیچ های :
+ برای قرار دادن خصیصه
- برای پاک کردن خصیصه
S برای سیستمی کردن فایل یا فولدر
A برای آرشیو کردن فایل یا فولدر
H برای مخفی کردن فایل یا فولدر
R برای فقط خواندنی کردن فایل یا فولدر
و دو سوئیچ فوق العاده زیر
D برای پردازش فولدرها
S برای تعیین صفت خاصه به تمامی فایل ها و ساب فولدر های موجود

User

  • Newbie
  • *
  • ارسال: 3
  • Karma: +0/-0
    • دانلود رایگان
  • نام: علی
  • نام خانوادگی: رضایی
انشاالله که استفاده مفید بشه و بیشتر بخاطر دفاع استفاده بشه نه بخطر انداختن امنیتی سیستم دیگران و آزار رسانی..

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
سلام دوست عزیز من هم با همین هدف این کار رو آغاز کردم و مطمئنم دوستان برای دفاع و آمادگی جهت مقابله با نفوذ و خرابکاری بیگانگان از این اطلاعات استفاده می کنند نه برای آزار رساندن به دوستان و خودی ...

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
اینجا میخوام آموزش نصب آنتی ویروس nod32 که یکی از آنتی ویروسهای خوبه بگذارم . دوستان میتوانند آموزش نصب را از طریق دانلود فایل پیوست ببینند .

ramezani

  • Hero Member
  • *****
  • ارسال: 2670
  • Karma: +16/-7
  • نام: مجتبی
  • نام خانوادگی: رمضانی
یه روش نسبتا خوب برای تست قدرت آنتی ویروس
« پاسخ #9 : فبریه 18, 2013, 05:41:15 pm »
اگر می خواهید ببینید آنتی ویروستان چند مرده حلاجه ! بیایید با یه روش ساده قدرت آنتی ویروستان رو تست کنید

به گزارش ورد آی تی , این روشی است برای تست آنتی ویروس توسط افراد و شرکتها بدون نیاز به ویروس واقعی که می تواند به کامپیوتر شما صدمه بزند.

روش انجام این آزمایش را ببینید :

1: یک فایل دفترچه یادداشت ( txt ) باز کنید

۲: متن زیر را در آن کپی و ذخیره کنید

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3: نام فایل را از New Text Document.txt به myfile.com تغییر دهید

۴: فایل را اجرا کنید

اگر آنتی ویروس درست کار کند باید بلافاصله بعد از اجرای فایل پیام اخطار بدهد در غیر این صورت پیشنهاد میکنم آنتی ویروس جدید نصب کنید


moslem123

  • Newbie
  • *
  • ارسال: 3
  • Karma: +1/-0
  • نام: moslem
  • نام خانوادگی: bazrafkan
سلام
میخواستم با دستکاری ترک صفر ظرفیت یک هار د را کاهش دهم که روی هر سیستم عاملی ظرفیت کاهش یافته جدید را نمایش دهد آیا امکانش هست؟
لطفا راهنمایی فرمایید با تشکر