الجمعة، 9 سبتمبر 2011

تصمييم انتي فايروس ضد فايروس الاوتوران وضد soundmax

ذكرت في مامضى في الايام الخوالي كيف تصنع فايروس محترف لكن لم اذكر كيف تقضي عليه أو على غيره من هذه البرامج الضارة التى انتشرت حديثا في كل مكان . واني وددت اليوم أن أبيين كيف تصنع الشركات (انتي فايروس ) وكيف تقضي على الفايروسات واي فايروس ينتشر حديثا ماترى الاقليل من الوقت الا ووفرت الشركة المصنعة علاج لهذا الفايروس اللعين لانعرف كيف لكن عندما ينشتر فايروس جديد في حواسبنا تطلب منا برامج الحماية التحديث نحدثها وهيا تقضي تلقائيا على الفايروس لايهمنا كيف لكن دعونا اليوم نبيين كيف يقضون
عليها كيف يعالجونها ؟. اخترت اليوم فايروس اسمه ) (Soundmix بحثت عن صفاته وطريقة انتشاره ووفرت له العلاج باذن الله وما انا الابعليل قد تتسائل لماذا هذا الفايروس عن غيره ؟لان لطالما اصبح هذا الفايروس ضيف ثقيل علينا وبالاخص على مختبراتنا حيث ماتفتح قرص صلب الا وتجد فيه فولدر اسمه ( RECYCLER) اضنك الان عرفت هذا الفايروس.
اذن لنبد بصفاته يتميز بها هذا الفايروس :-
1. يخزن ملفه الاساسي ضمن ملفات النظام بهذا المسار

C:WINDOWS\system32\soundmix.exe

لكي لايحذف من قبل برامج الحماية لانها تتجنب المسح في تلك الاماكن.




2.ويخزن ملفه ال ( DLL) له في
C:WINDOWS\system32\dllcachezipexr.dll


وشكله الخارجي الذي يظهر لنا هوا فولدر اسمه RECYCLER)) تامل ذكاء مصمم هذا الفايروس جعل نسخته الاصلية ضمن ملفات النظام ويبث على بقية الاقرص ما ان تمسحه بطريقة ما الا وتعود نسخته الاصلية ببناء النسخ المحذوفة من جديد . اذن نحتاج اولا نحذف فولدراته ومكوناتها وبنفس الوقت نحذف ملفاته الأساسية وبهذا نكون قد قضينا على الفايروس ولكثير من المعلومات عن الفايروس اكتب اسمه في اي محرك بحث وستعرف عنه الكثير .تذكر لتصمييم اي مضاد فايروس يجب ان تكون قد حللت الفايروس كاملا قبل الشروع بالعمل فالعمل بسيط لاكن التحليل يحتاج لوقت. ولا اظن الأن التحليل يحتاج لوقت فلو كتبت اسم اي فايروس في اي محرك بحث ستجد عنه كامل المعلومات:.
لنبدا بالعمل:سوف نبرمج ب vb.net2010 نكون فورم كما في الشكل


بداية نستدعي المكتبات المطلوبة في العمل 


Imports System.Collections.Generic 




Imports System.ComponentModel 
Imports System.Data 
Imports System.Drawing 
Imports System.Linq 
Imports System.Text 
Imports System.Windows.Forms 
Imports System.Collections.ObjectModel 
Imports System.IO  

الان نكتب هذا الكود في زر (بدء البحث والقضاء على الفايروس)
()ckechanddeteevirus  
ونكتب هذا الاجراء ضمن منطقة الفورم (ستجد كوده في المثال المرفق)
  
بعد ان اكملنا صناعة البرنامج الاترى ان فيه نقص ماذا لو اردنا هوا يبحث تلقائيا عن الفايروس
هل تضن ان مايكروسوفت نستنا كلا وفرت اداه ( FileSystemWatcher) متخصصة بالتحسس بحالة الغير في خصائص الملفات اذن نكتب هذا الكود في كلاس جديد  (ستجد كوده في المثال المرفق)

ولو اردنا ان يحذف فايروس الاوتوران ايضا وهو ماموجود في المرفقات يخزن الفايروس ملفه الاساسي في
C:WINDOWS\system32\kavo.exe
وملفاته في الاقراص هما ملفات 
"ntdetect.com"  و "autorun.inf" 
نطبق نفس الاكواد بالضبط مع تغير بسيط حيث الفايروس الاول يخزن الملفات داخل فولدر وهاذا يخزنها مباشرة لذاللك نستطيع حذفها مباشرة بدون حذف محتويات الفولدر اولا كما اسلفنا
إرسال تعليق