سلام دوستان ::
می خوام یک برنامه بنویسم که آنتی ویرو س خومو ببندم با هاش

تو ویندوز دو تا دستور وجود داره
1-net stop
2-taskklii
اما موقعی که می خواد این کارو انجام بده ، می نویسه acsses denide
در حالی که acount خودم admine
از اینا گذشته ::اصلا این آنتی ویروس ها کجای سیستم عامل مستقر میشن که این قدر دور از دسترس میشن
و برای از کار انداختنشون به کجای سیستم عامل باید روجو کنم

:::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::::::::

آخردستور Taskkill از سوییچ F/ استفاده کن ببین جواب میده :

Taskkill /im "ProcessName" /F

اگه اشتباه نکنم داری یه ویروس می نویسی .
عوضش من دارم یه آنتی ویروس مینویسم .

سلام::

از همون سوئیچ هم استفاده کردم جواب نداد

اول میخواستم در مورده سوئیچ های taskkill بیشتر بدونم
s/ - / p- /u
f/ /fi /pid /im /t

اگه دقت کرده باشی تو سرویس هایی که به صورت گرافیکی در کنترل پنل میشه دست

پیدا کرد و هر کدومو که دوست نداری از کار میندازی :: اما در مورده آنتی ویروس ها ::این مویسر نیست :: احتمال خیلی زیاد تو رجستری دست کاری میکنه
و یا کاره دیگه :: میخوام بدونم که این انتی ویروس ها را از کجا ی ویندوز می شه از کار انداخت

قدیما :: انتی ویروسه مک آفی رو راحت میشد از کار انداخت

اما جدیدا نمیدونم از چه روشی دارن استفاده میکنن که نمیشه

:::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::

نه من ویروس نمی نویسم ::

بلکه دارم یه برنامه می نویسم که با اختیاره کاربر هر برنامه ایی که دوست داره تو ویندوز

در حاله اجراست :: فقط با دادن اسم اون :: برنامه رو ببنده

این انتی ویروس ها منو گذاشته تو منجلاب :گیج:

تازه فهمیدم این دستور چه قدرتی داره .(Taskkill )
فکرشو بکن میتونی برنامتو طوری تنظیم کنی که اگه یه پردازه میزان استفاده از حافظش مثلا بیشتر از 7800 کیلو بایت شد سریع بسته بشه . همین طور برای میزان استفاده از CPU بر اساس زمان :

TASKKILL /F /FI " MEMUSAGE eq 7800" /IM * /T
یا اینکه تمام پردازه هایی که با حرف D شروع میشن رو ببنده :

TASKKILL /FI "IMAGENAME eq D*" /F

/T : منجر به بسته شدن پروسسهای فرزند پروسس اصلی میشه
/FI : برای اعمال شرایط یا همون فیلتر :
eq یعنی برابر - ne یعنی نابرابر - gt یعنی بزرگتر ....
/IM :بستن پروسس بر اساس نام
/PID : بستن پروسس بر اساس شماره شناسایی
/P - /S - /u :نمیدونم
اینم راهنمای کاملش :

اغلب آنتی ویروسها رو اساسا" نمیتونی ببندی مگر از طریق رابط کاربری خودشون . چون :

الف. قسمتهای مهمی از اونها بصورت Kernel Mode نوشته شده و تو با یک برنامه User Mode امکان حذف اونها از حافظه رو نداری ، و توابعی که پتانسیل از کار انداختن سرویسهای کرنل رو دارند نیز توسط خود انتی ویروس Hook و redirect شده اند ، یعنی مطابق انتظار کار نمیکنند .

ب. رابطهای کاربری شان هم Message های استاندارد ویندوز را نمیپذیرند یعنی امکان ارسال پیام ویندوز ، و بستن انتی ویروس از طریق خودکار کردن رابط کاربریش هم موجود نیست .

اکثر انتی ویروسها این دو خاصیت رو انحاء مختلف دارند ، به همراه موارد متعدد دیگر . برای بستن آنتی ویروس مورد نظرت شاید بهترین روش از حالت نصب خارج کردن سرویسهاش و سپس reboot کردن سیستم است ، که برای هر محصول باید دنبال روش مناسب بگردی .

با سلام
از مطالبی که آقای Inprise ارائه کردن خیلی متشکرم چوو مفید بودن ولی باید خدمتتون عرض کنم ما در سیستم چندین نوع پردازش داریم که سیستم عامل به اون ها دیدگاه های متفاوتی داره (منظورم در سطوح دسترسی هست) مثلا ما پردازشهای (User,System,Network,....) داریم که خلاصه مطلب شما می تونید با کد نویسی (نه با این برنامه های از قبل طراحی شده) یک پردازش خاص رو در سیستم مسدود کنید که این هم ممکنه سیستم به شما اجازه این کار رو نده(در وحله اول) اما با متدهایی که سیستم خودش از همون ها استفاده می کنه می تونید یک پردازش رو به زور از سیستم پس بگیرید و اون رو مسدود کنید.
من خودم در این مورد هیچ وقت به مشکلی (نتونم پردازشی رو ببندم) بر نخوردم، حتی در مورد برنامه های حفاظت شده از سوی خوده سیستم. البته من به دلیل بی علاقگی به برنامه های آنتی ویروس اون ها رو روی سیستمم نصب نمی کنم چون از روش کارشون چندان خوشم نمیاد. پس در مورد خاص شما هیچ نظری ندارم.
امیدوارم تونسته باشم کمی کمکتون کنم.

جناب اینپرایز پس ویروس ها چه طوری میان آنتی ویروس رو از کار می اندازند؟ برای هر ویروس یاب کد خاص دارند؟ ( حجم رو بالا نمی بره؟) ( با ویروس یاب های جدید چه کار می کنند؟)

با سلام
شما می تونید با کد نویسی (نه با این برنامه های از قبل طراحی شده) یک پردازش خاص رو در سیستم مسدود کنید که این هم ممکنه سیستم به شما اجازه این کار رو نده(در وحله اول) اما با متدهایی که سیستم خودش از همون ها استفاده می کنه می تونید یک پردازش رو به زور از سیستم پس بگیرید و اون رو مسدود کنید.
امیدوارم تونسته باشم کمی کمکتون کنم.

برای اینکه واقعا کمک کرده باشید یه نمونه برای از بین بردن پروسسهایی که به زور بسته می شن ارائه بدید . (با برنامه نویسی )

سلام دوستان ::

با یکی از بچه های گروه امنیتی کروز که مدیر بود صحبت کردم

حر فاشون گفته های دوستمون (Inprise) رو تائید می کرد

اما میگفت ::میشه انتی ویروس ها رو از کار اندخت ..اما این انتی ویروس ها توسط hook

ها مواتظبت میشن ::

گفت مبحث hook یکی از مباحث پیچیده است و به روزه دنیاست

:::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::

توی پرانتز بگم برنامه ای که دارین تولید میکنید مشابه خارجی اون unlocker assistant است که میتونید از عملکرد ظاهری او الهام بگیرید

موفق باشید

من این برنامه که میگی گرفتم

امااون جوری نیست که گفته بودم و اینکه کاره اون فقط move,delet,rename
هستش

من میخوام که آنتی ویروس ها که به وسیله hook ها همایت می شن ببندم

سلام دوستان ::

با یکی از بچه های گروه امنیتی کروز که مدیر بود صحبت کردم

حر فاشون گفته های دوستمون (Inprise) رو تائید می کرد

اما میگفت ::میشه انتی ویروس ها رو از کار اندخت ..اما این انتی ویروس ها توسط hook

ها مواتظبت میشن ::

گفت مبحث hook یکی از مباحث پیچیده است و به روزه دنیاست

:::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::
با کدامیک از مدیران کروز حرف زدید ؟
چون برام خیلی جالب که بدونم کی این حرف را زده؟

ایبجا را هم ببین : http://www.barnamenevis.org/forum/showpost.php?p=295844&postcount=47

جناب اینپرایز پس ویروس ها چه طوری میان آنتی ویروس رو از کار می اندازند؟ برای هر ویروس یاب کد خاص دارند؟ ( حجم رو بالا نمی بره؟) ( با ویروس یاب های جدید چه کار می کنند؟)

مدتها قبل که آنتی ویروسها فقط نرم افزارهای User Mode ساده ای بودند که بر اساس بررسی امضای باینری عمل میکردند این حرفها وجود داشت اما این روزها ویروسها به بستن آنتی ویروس فکر نمیکنند چون عموما" یا عملی نیست یا اگر هم باشه دشواریهای متعددی داره . بیشتر تلاشها معطوف به فریب دادن آنتی ویروس و مخفی ماندن هست .

آنتی ویروسها قسمتهای Kernel Mode ای دارند که با هوک توابع مختلف امکان دستکاری کد آنتی ویروس در زمان اجرا یا بستن اون و مواردی مثل این رو نمیدهند . مثلا Nod32 یک Sandbox دارد که هر باینری ای قبل از فراخوانی از این جعبه عبور میکنه و رفتارهای مخربش شناسائی و متوقف میشن ، Norman هم همینطوره . Kaspersky بجای Sandboxing از Remote Thread Injection برای بررسی دائمی عملکرد باینری در حافظه استفاده میکند و ...

بهر حال بسته به نوع و نحوهء عملکرد آنتی ویروس ممکن است نقصی در طراحی یا نوع عملکرد بتونه باعث بشه روشی برای بستنش وجود داشته باشه ، اما این مسئله رو نمیشه کلی کرد و به هر آنتی ویروسی نسبت داد .

آقای ایپرایز. واقعا شما اطلاعات وسیعی دارید.
اگر لطف کنید درباره AV ها و نحوه عملکرد کلی شون و چگونگی نوشتن یک AV کتاب معرفی کنید ممنون میشوم. اگر کتابی که معرفی می کنید نسخه warez ان نیز در دسترس ما بی پول ها هم باشد که عالی می شود. چون تو ایران برای خرید یک کتاب اصل باید کلی پول داد و فقط پستش 25/000 تومان آب می خوره :((

یه کتاب پیدا کردم . لینک میدم : http://www.amazon.com/Computer-Virus-Research-Defense-Symantec/dp/0321304543/sr=1-1/qid=1170651498/ref=pd_bbs_1/104-5200413-9643144?ie=UTF8&s=books