سلام خسته نباشید
چطور میتونم از اجرای فایلهای اجرایی که توسط Autorun ها اجرا میشن جلوگیری کنم؟

سلام دوست عزیز

من سعی میکنم بیشتر راه ها رو توضیح بدم.

ابتدا توضیح کوتاه:

1) در داخل فایل اتوران دستوری نوشته شده که وقتی روی یک درایوی دابل کلیک بشه به جای باز شدن درایو ، ویندوز رو به عملیات دیگری هدایت میکنه. اون عملیات میتونه اجرا کردن یک ویروس از نوع فایل اجرایی و یا .... باشه. که در داخل همون درایو قرار داره (معمولا)

2) برای دیدن دستورات داخل یک اتوران کافیه با کلیک راست کردن روی فایل اتورات اون رو با برنامه ی notepad باز کنید. دیتورات خاصی داخل اون میبینید.

3) پسوند فایل های اتوران inf. هستند

4) علاوه بر داشتن کاربرد های مفید فایل های اتوران ، ویروس نویس ها از این تکنیک برای انتقال و اجرای ویروس خودشون استفاده کردن. به طوری که:

اگه کامپیوتر ویروسی باشه (ویروس در سیستم اجرا باشه )و درایو قابل نوشتنی مثل flash memory به کامپیوتر متصل بشه ، ویروس اول یه نمونه از خودش رو سریعا در اون کپی میکنه و در مرحله ی بعد یک اتوران میسازه که کاربر بعدی اگه روی درایو کلیک کرد ویروس رو پخش کنه. (تکنیک باحالیه) :شیطان::شیطان:

چطوری ویروسی نشویم.:عصبانی++:

فرض کنیم در جایی هستیم که سیستم فاقد آنتی ویروسه و ما نیاز به متصل کردن فلش یا موبایل به سیستم داریم.. ساده ترین راه حلی که من برای این کار پیدا کردم اینه که به جای دابل کلیک کردن روی درایو مورد نظر (برای مثال فلش) ، آدرس اون درایو رو (مثلا \:m) در آدرس بار تایپ کنیم و وارد فلش بشیم. اینطوری اتوران اجرا نمیشه در نتیجه ویروس پخش نمیشه

راه دیگه استفاده از cmd هستش. به طوری که وارد منوی استارت ، سپس run و cmd رو تایپ میکنیم و ok رومیزنیم. وقتی داس باز شد مراحل زیر رو دنبال میکنیم.

1- نام یا letter درایو مورد نظر رو به همراه دو نقطه : مینویسیم تا به اون درایو سویچ بشیم. مثال:


:m<<

منظروم از نام درایو label اون نیست. شماره یا letter اونه مثله c یا دی

2- دستور attrib رو تایپ کرده اینتر میکنیم.

نگاه میکنیم که نتیجه چیه ، این دستور مخفف کلمه ی attribute یعنی مشخصه هست و وقتی این دستور رو اجرا میکنیم تمام فایل هایی رو که در اون درایو یا دایرکتوری هستند با هر ویژگی ای که دارند لیست میکنه. ویژگی های یک فایل در ویندوز عبارتند از

h: hidden
a:archive
s:system
r:read only

یعنی یک فایل در ویندوز میتونه در کل این چهار ویژگی رو داشته باشه.

حالا نوبت به حذف فایل اتوران هست (البته اگر باشه) ، باید به نتیجه دستور قبل نگاه کنید.

ولی اگه فایل وجود داشت و ویژگی s یا r رو داشت چی؟ برای حذف شدن مقابله میکنه. راه حل اینه که با همین دستور قبلی میتوان ویژگی های ذکر شده رو حذف یا اضافه کرد . از + برای اضافه کردن و از - برای برداشن ویژگی از فایل استفاده میکنیم پس نتیجه این شد که تایپ میکنیم attrib -s -r -h autorun.inf دوستان به فاصله های توجه کنند.

حالا فایل ما آماده ی پاک شدنه . تایپ میکنیم : del/f autorun.inf و اینتر رو میزنیم. کار حله
ولی دوستان این روش موقعی جواب میده که کامپیوتر شما ویروسی نیست.

راه بعدی استفاده از یک ویروس یاب خوبه که من بعد از یک هفته این در اون در زند و این سایت اون سایت رفتن به کاسپرسکی 2009 یا 2010 رسیدم که حرف ندارن. الته نورتون هم خوبه ولی سیستم رو خیلی سنگین میکنه. بهترینش کاسپرسکی 2009 هست که خیلی سریع هم آپدیت میشه.

اگه آنتی ویروس خوب نداشتین میتونید یک آنتی اتوران خوب مخصوص این ویروس های کثیف دانلود کنید که اجازه ی ویروسی شدن و اجرا ی ویروس ها رو نمیده مثله USB_Virus_Scan_2.3_Build_0813 که از سایت _www.bindownload.com میتونید دانلود کنید.

آهان یه راه دیگه هم استفاده از همین ویبی یا دات نت یا هر چیز دیگه هست. الگوریتم کلی رو با یک زبان پیاده کن و به صورت یک نرم افزار در بیار ئ خودت رو راحت کن. اگه وقت شد در پست بعدی حتما میزارم +

روش از بین بردن انواع این ویروس ها رو وقتی سیستم به اونها آلوده شد . که خیلی کاربرد داره ، فعلا بای :بوس:


http://a.imagehost.org/0986/k.jpg


www.innovation.iranblog.com (http://www.innovation.iranblog.com)



:اشتباه:

دوست عزیز ممنون از توضیحاتتون ولی اینا رو که همه خودم میدونستم:متفکر:
یه بار دیگه سوال بنده رو بخونید !
من نگفتم که ساختارش چطوریه فقط میخوام از اجراش جلوگیری کنم ،پاکشم نمیخوام بکنم !
البته فکر کنم باید دسترسی هسته ای داشته باشم که یکم پیچیده میشه

خوب عزیز سوال شما مورد داره .

این فایل اتوران هستش که تو بخشی از اون اجرای فایل نوشته شده ، شما در درجه ی اول باید نگذارید فایل اتوران اجرا بشه نمیتونید کاری بکنید که اتوران اجرا بشه ولی ویروس رواجرا نکنه .... !!

اگه باز بد متوجه شدم توضیح بیشتر بده. تازه روش اول با آدرس بار که دسترسی admin نمیخواد. خیلی هم خوبه ، توضیح بیشتر بده که هدف و نیاز چیه

تا حالا شده یه فایل که از نظر آنتی ویروسها آلوده شناخته میشه تو کامپیوتر داشته باشید؟!
زمانی که میخواید فایل رو اجرا کنید آنتی بهتون این اجازه رو نمیده ! درسته ؟!
در حقیقت هدف من جلوگیری از اجرای هر نوع برنامه اجراییه که در اینجا از اتورانها گفتم !


تازه روش اول با آدرس بار که دسترسی admin نمیخواد.
منظور بنده دسترسی سطح هسته ایه نه Admin
یعنی انقدر به هسته سیستم عامل نزدیک شده باشی که قبل از اینکه عملی انجام شه کد شما اونو چک کنه،کاری که آنتی ها انجام میدن

ششما می تونید با یه تایمر و یک لیست آرایه ای که شامل پروسه های ویندوزه کارتون رو انجام بدید.
مثلا به محض اجرای یک پروسه که در لیست نیست اونو Kill کنه .

نه دوست خوبم
با این کار که ویورس کار خودشو کرده،من نمیخوام بذارم اجرا بشه
از بزرگترای سایت راهنمایی میخوام

تو میخوای یکسری پروسه های مخصوص از قبل شناخته شده رو اجازه ندی باز بشن یا یک سری فایل با پسوند خاصی رو (مثلا رده ی اجرایی ها رو)
بازم بیشتر توضیح بدی ممنون ، راه حلش هست احتمالا

سلام به همگی.
ببین دوست عزیز شما باید از طریق group plicy عمل کنی .
با این روش میتونی از اجرای فایلهای اتوران در هنگام اتصال یک فلش و یا وارد کردن یک سی دی جلوگیری کنی .
روش کار :
1- از طریق Run وارد group policy بشید . با این دستور gpedit.msc
2- از قسمت سمت چپ گزینه Computer Configuration رو کلیک کنید و اون رو گسترش بدید .
3- از زیر شاخه های باز شده گزینه Administrative Tools رو کلیک کنید و اونو گشترش بدین.
4- از زیر شاخه های باز شده روی گزینه System کلیک کنید .( اونو گسترش ندید )
5- از قسمت سمت راست روی گزینه Turn Off Autoplay دوبار کلیک کنید تا باز بشه .
6- گزینه Enable رو انتخاب کنید و از قسمت زیرش هم گزینه All drive رو از داخل لیست انتخاب کنید .
به همین سادگی ، به همین خوشمزگی .
امیدوارم کار شما رو راه بندازه .

تو میخوای یکسری پروسه های مخصوص از قبل شناخته شده رو اجازه ندی باز بشن یا یک سری فایل با پسوند خاصی رو (مثلا رده ی اجرایی ها رو)
ببین دوست عزیز اینو واسه یه آنتی ویروس میخوام که زمانی که یه ویروس رو شناسایی کرد دیگه اجازه اجرا بهش نده


6- گزینه Enable رو انتخاب کنید و از قسمت زیرش هم گزینه All drive رو از داخل لیست انتخاب کنید .
بله با این روش میشه جلوی اجرای اتوماتیک رو گرفت اما هدف اینجا کد نویسیه و مهمتر اینکه نمیخوایم به یک فایل اجازه اجرا رو بدیم نه همه اتوران ها
با این کار هر سی دی یا هر فلاشی که به سیستم متصل بشه دیگه اتورانش اجرا نخواهد شد؛اما میبینید که آنتی ویروسها این کار رو انجام نمیدن و از تکنیک دیگه ای استفاده میکنن

اینجا رو یه نگاهی بندازید


http://dotnethook.sourceforge.net

فکر کنم از این طریق بشه ، منتظر جواب دوستانی که در این زمینه آگاهی دارن هستم !
با سپاس از شما ...

با سلام
این همه الکی نوشتین که چی ؟
میری تو رجیستری
HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2
رو همون پوشه کلیک راست می کنی و Permission .. منظورم پوشه MountPoints2
حالا Advanced
حالا تیک inherit from parent the permission....... رو بردار و OK
حالا اینجا بزن Remove .
بعدش هم همه پنجره ها OK یا YES .

بیشتر بخوان در مورد AUTORUN
http://en.wikipedia.org/wiki/AutoRun

تغییر زیر در رجیستری هم یک راهشه



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

در مورد آنتی ویروسها
اونها بانک اطلاعاتی دارند که در اون اطلاعات چگونگی فایل ها ی که بعنوان ویروس شناخته شدن وجود داره
الان هم اگر آنتی ویروس آپدیت نباشه مسلما خیلی از همون ویروس ها رو نمی شناسه
از طرفی متاسفانه خیلی از این ویروس ها توسط بچه های عقدهخ ای همین ایران نوشته می شن و مسلما توسط آنتی ویروس ها (حتی آپدیت شده ) هم تشخیص داده نمی شوند
!

دوستان یه بار دیگه سوال منو بخونید
من نمیخوام از این راههای که گفتین جلوی اجرای فایل اتوران رو بگیرم،میخوام هوک کنم و از این طریق مانع اجرا بشم

عزیز اگه بدونی چند بار سوالت رو خوندم ؟؟؟ به خدا واضح نیست.
هر کی اومد یه روش برای جلوگیری از اجرا شدن اتوران ارائه داد.

مهندس هر آنتی ویروسی وقتی ویروسی رو شناسایی میکنه دیگه نمیزاره اجرا بشه تازه بیشتر آنتی ها پاکش هم میکنند. اگه این کار رو نکنند که دیگه آنتی ویروس نیستند. در ضمن فکر نکنم بشه کدی نوشت که اگه یه آنتی ویروس ویروسی رو شناسایی کرد اون وقت طبق دستور برنامه ی نوشته شده شما عملیاتی مشخصی انجام بشه . در اینجا کار خیلی مشکل میشه و موضوع ارتباط بین دو تا نرم افزار است نه ارتباط بین یک نرم افزار و سیستم عامل

تا اینجا که اوکی

در رابطه با کد نویسی هم بگم که تو میتونی با استفاده از یک تایمر و توابع ا پی آی هر نیم ثانیه چک کنی ببینی که درایو مویبلی به سیستم متصل شده یا نه ، تا اینجا ما میتونیم تشخیص بدیم که یه چیزی مثل فلش به سیستم وصل شده یا نه، حالا میتونی اتوران رو سرچ کنی و حذفش کنی یا اتوران رو بخونی و بر اساس دستورات داخلش اون فایل ویروسی رو حذفش کنی. یا سوسپاندش کنی

دیگه وسلام


:اشتباه:




http://a.imagehost.org/0721/k_9.jpg (http://www.innovation.iranblog.com)


www.innovation.iranblog.com (http://barnamenevis.org/forum/www.innovation.iranblog.com)

ممنون از کمک دوستان
کلا بیخیال این تایپیک شدم:عصبانی++:
شما هم بیخیالش بشید

حالا فهمیدم
فکر کنم جوابت اینه :
شما میتوانید به محض دیدن اتوران که در اون مسیر فایل EXE با استفاده از Shell لینک شده رو بخونید فایل EXE رو با برنامه خودتون Lock کنید . یا طوری بازش کنید که Shared نباشه
1 - منظورم اینه که با همون تایمر اگر فلشی وصل شد نگاه کنید اتوران داره
2 - اگه داره نام فایل EXE رو از داخل اون بگیرید
3 - بعدش با FileOpen اونو باز کنید اما Shared نباشه

اونوقت اجرا نمی شه ( خود فایل اتوران هم همونطوری کن . )

همون بهتر بی خیال شدی ، اصلا تاپیکت ربطی به اون چیزی که میخوای نداره. :اشتباه:

بیا اینم کدی که می خواهی فقط بعدش باشید ریستارت کنی

Microsoft.Win32.Registry.SetValue("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\", "HonorAutorunSetting", "1", Microsoft.Win32.RegistryValueKind.DWord)