08-15-2012، 09:58 AM
(08-14-2012، 05:11 PM)alakimalaki نوشته:(08-13-2012، 08:30 AM)Amin_Mansouri نوشته: درودهمیشه چند جا بیشتر برای استارت آپ کردن ویروس نیست میشه از این آدرسا ویروسو پیدا کرد
من ویروسی مینویسم که به هیچعنوان در رجیستری نبینیش
vb decompiler هم خیلی راه داره برای باز نکردن فایل
بعد یه ویروس اینجکت کنه به پروسه ها تکلیفش چیه؟ :d
موفق باشید
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
اونوقت دیگه فایل اصلی رو گیر اوردیم
حالا کافیه برنامه Notepad++ رو توسیستم داشته باشیم که من براتون میزارم
روی ویروس کلیک راست میکنید بعدشم گزینه ی Edit Whit Notepad++ رو میزنید بهتون سورس ویروس رو نشون میده البته کد شده حالا کافیه همه سورس هارو پاک کنیم و بعد ذخیره بعدشم ریستارت دیگه ویروس کار نمیکنه.
اینم لینک دانلود http://uplod.ir/w4xxoxbi4wsg/Notepad__.rar.htm
سلام. بحث خیلی بیراهه رفته تا جایی که این 4 صفحه رو خوندم. دوست عزیزم به تعداد موی سر بنده و شما راه برای StartUp کردن هست موندم چرا میگین : " چند جا بیشتر برای استارت آپ کردن ویروس نیست "
خیلی خوش بینانه فکر میکنید، با notepad و یا winhex برنامه رو باز کنید و مسیرهای رجیستری استفاده شده رو بدست بیارید!! (برای بدست آوردن string های درون یک برنامه، یک نرم افزار کوچولو از McAfee هست که راحت Ascii, Unicode هارو بهت میده [+] )
نمیدونم چرا اینقدر این ویروس نویس های گنگ و نابلد فرض می کنید؟!؟
یعنی اینقدر که string هاشو توی برنامه encode نکنه!!! مطمئن باشید حتما اینکار رو انجام میده، شاید و اگر درکارنیس (مگراینکه واقعا ویروس نویس ناشی باشه که مطمئن باشید اگر اینطورم باشه در دم آنتی ویروس خفه اش کرده و صداشم درنیومده).ویروس های Autorun دیگه کارایی ندارند.
معبودا مرا ببخش، بخاطر درهایی که کوبیدم ولی هیچکدام خانه تو نبود ...
