ویروس های VBS

تو این آموزش ها ما می خوایم به روش های مختلف نوشتن ویروس های VBS بپردازیم

WSH* یکی از تکنولو*ی های اسکریپت نویسی در ویندوز می باشد .دلیل نامگذاری آن به عنوان HOST این است کهبه زبان های برنامه نویسی آشنایی ندارد و به همین خاطر مایکروسافت آن را Language Agnostic می نامد .

WSH *از موتور زبان های برنامه نویسی VB , C , C++ استفاده می کند که آن را با نام VBScript و Jscript* استفاده می کند . اجرا کننده ی این کد ها فایلی با نام Wscript.exe می باشد .
اگر شما به زبان برنامه نویسی Visual Basic* آشنایی داشته باشید می توانید خیلی ساده با VBS هم برنامه هایی را که برای کارتان مورد نیاز است را بنویسید .

در این درس ما می خواهیم یک ویروسی را بنویسیم که از اجرای فایل ها با پسوند مشخص جلوگیری کند و در نهایت ژروسه ی explorer.exe را یک بار end* کند و دوباره آن را اجرا کندد .
اگر ما بخواهیم این کار را به صورت دستی انجام دهیم باید موارد زیر را اعمال کنیم .

Programming Anti Virus with Vbscipt and Bat file

یا ربالعالمین 

امروز می خوام طریقه ی نوشتن آنتی ویروس رو برای ویروس ها روبا استفاده از زبان برنامه نویسی VBscript   و با استفاده از فایل های Bat رو بگم

 

برای این کار من یک ویروسی رو که دیده بودم رو اسم می برم  و اون رو انالیز می کنم براتون و میام آنتیشو می نویسم

 

اسم ویروس RegSVR.exe هست

آموزش نوشتن SERVICE MANAGER با استفاده از کلاس های Win32 و کدهای wql

تو این آموزش می خوام شما رو با نحوه ی نوشتن یک سرویس منسجر با استفاده از کدهای WMI ویندوز آشنا کنم

برنامه با استفاده از vb.net نوشته میشه

اینجا می خوام لیستی از سرویس های ویندوز رو بگیرم و جزپیات اون ها رو هم بیارم 

این کار رو با استفاده از زبان VB.net *انجام میدم

آموزش ساخت taskmgr ویندوز در زبان vb.net

شاید همیشه براتون مهم بوده باشه که بدونید taskmgr ویندوز چطوری ساخته شده و بخواید خودتون با اون رو خودتون بسازید

البته تو این یکی موضوع برنامه های قوی زیاد داریم که قوی ترین اونها process hacker هستش

برای ساختن یک Taskmanager می تونیم از هم کد های خود vb.net ( Getprocess ) استفاده کنیم هم از Win32_class فرقی نداره

هر دو گزینه رو شرح می دم

اول از همه یک متغیر از نوع process تعریف می کنیم

آموزش نوشتن attribute changer و file browser

اینکه این برنامه به چه دردی می خوره باید بگم همیشه دیدید که وقتی ویروس وارد سیستم میشه میاد خیلی از فایل ها رو به صورت hidden , system و … می کنه اینجا ما می تونیم از طریق این برنامه اون فایل ها رو به حالت عادی برگردونیم و یا تشخیص بدیم که فایل دارای چه خاصیتی هست 

بعد اینکه تو خیلی از بد افزار ها مخصوصا سری autorun این مشکل بوده که وقتی با windows explorer وارد درایو شدیم اتوماتیک ویروس از طریق فایل autorun.inf وارد سیستم شده و اگه از طریق این برنامه واردش بشید دیگه این مشکل هم وحود نداره 

در مرحله ی اول آموزش نوشتن یک file browser رو داریم که می خوام با کلیک روی هر کدوم از فایل ها بتونم Attribute اون رو تغییر بدم 

اول از همه شروع به نوشتن یک folder browser میکنیم

روش های کلی در حذف بد افزار های ویندوزی

وقتی بد افزاری ( ویروس – تروجان و یا هر نوع جاسوسی و … هرچند که اینها زمین تا آسمان با هم فرق دارن) وارد سیستم میشه باید بفهمید که این بد افزار چه کاری انجام میده وقتی فهمیدین بعد دیگه واقعا نیازی به آنتی ویروس ندارید .

من اینجا فقط مختصر اینا رو میگم چون نمی خوام در مورد بد افزار هابنویسم می خوام فقط روش های کلی حذف کردن اونها رو بدون آنتی ویروس بگم

۱ – بد افزار معمولا از طریق net- usb – cd , … وارد سیستم شما میشه

۲ – بعد از ورود به سیستم عامل اولین کاری که انجام میدن پخش کردن خودشان در سیستم عامل و کپی خود در شاخه های اصلی ویندوز و دیگر مسیر ها (بسته به برنامه نویسش )

۳ – جلوگیری از حذف شدن خود توسط کاربر و یا آنتی ویروس

• شاید از طریق ایجاد پروسه مخفی و یا معمولا ۲ پروسه ی مخفی در Task mgr کنند اما چرا ۲ پروسه چونکه اگه یکیو حذف کنیم اون یکی فورا پروسه ی حذف شده رو دوباره اجرا می کنه

• از طریق hidden و SYstem کردن خود برای پنهان شدن و بستم folder option و یا جلوگیری از نشان دادن فایل های مخفی Show hiiden file و جلوگیری از نشان دادن فایل های سیستمی Hiiden protect operating system file و …

• بستن رجیستری و Taskmgr و کلا امثال این خرابکاری ها

• یا اجرا کردن خود با استفاده از یک پروسه ی مهم مثل Explorer و…

۴ – startup کردن خود در رجیستری اونم به این دلیله که اگه سیستم عامل خاموش شد و یا از نو راه اندازی شد دوباره اجرا بشه و به کار خودش ادامه بده

• اینجا شما می توانید محل هایی که بد افزار خودش رو startup میکنه رو ببینید

۵ – که مهمترینشم شاید باشه اینه که برنامه نویش بد افزار تو فکر اینه که اگه بد افزارش در سیستم عامل حذف شد کاری کنه که دوباره اجرا بشه که همیشه از اشتباهات کاربر استفاده میکنه

• مثلا کپی کردن خود در تمامی درایو ها مخصوصا سیدی و فلش مموری ها و گذاشتن یک فایل autorun.inf جهت اجرای ویروس که ممکنه این فایل به صورت رمز نگاری باشه و یا …

اما روش هایی که رو خیلی از حرفه ای ترین ویروس ها هم جواب داده رو میگم

Advanced NTFS Alternate Data Stream in windows 8

در این مقاله سعی شده که به بررسی حرفه ای تر در مورد روش مخفی سازی اطلاعات در سیستم فایل NTFS بپردازیم

به طور کل هر فایل در سیستم NTFS می تواند یک Stream داشته باشد که اطلاعات و توضیحاتی که برای فایل لازم است را در آن قسمت ذخیره کند

در اینجا بررسی میکنیم که چگونه می توان کد های مخرب و فایل هایی با پسورد EXE را در Streram یک فایل ذخیره و سپس آن را اجرا کرد

و در نهایت به روش های مختلف طریقه ی شناسایی آنها می پردازیم .

کلیه ی موارد بر روی ویندوز 8 کاملا تست شده است .

مشاهده ایپی واقعی در CMD و Powershell

همان طور که همگی می دونن می توان با فرمان ipconfig /all ایپی مربوط کامپیوتر رو بدست بیاوریم اما اون در اصل ایپی شبکه داخلی خودمان است  .

اگر بخواهیم ایپی خارجی که از طریق آن در اینترنت رفت و آمد می کنیم را بدست آوریم نمی توانیم از این فرمان استفاده کنیم .

جهت بدست آوردن ip خارجی از طریق cmd و یا powershell ویندوز می توانید فرمان زیر را تایپ کنید