לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > מערכות הפעלה
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 03-07-2007, 23:04
צלמית המשתמש של The IceMan
  The IceMan מנהל The IceMan אינו מחובר  
\dev\null
 
חבר מתאריך: 08.11.02
הודעות: 11,379
מדריך: לעצור וירוסים מלהטען אוטומתית כאשר מריצים קובץ הפעלה



הרבה וירוסים וסוסים טרויאנים מבצעים שינוים בקובץ הרשומות (Registry) של Windows
כך שהם ירוצו ברגע שמפעילים את המחשב ועל מנת שהם לא יזוהו ע"י ניטרול כלים כמו מנהל המשימות (Task Manager),עורך קובץ הרשומות (Regedit) וכ"ו.
אפשר להסיר בקלות את כל ההגבלות ע"י Remove Restriction Tool (RRT).

לאחרונה גילתי שוירוסים יכולים לשנות ערכים ב-Registry כך שהם או וירוס ירוץ ברגע שמריצים כל קובץ EXE.
דמינו את זה, ז"א שהוירוס נטעל על כל קובץ EXE (או BAT) שאתם מריצים.
שבוע שעבר יצא לי לנקות מחשב שהיה נגוע ב-Brontok. אחרי שסימתי לסרוק ולנקות את הוירוס ולשחזר את השינוים שנגרמו ע"י הוירוס,
Symantec Antivirus Corporate Edition עדין היה עולה ומתריע שהוירוס Brontok נמצא ונמחק אוטומתית.
זה קרה כל פעם שהיתי מריץ איזה קובץ EXE.

עכשיו הבנתי איך זה עובד, ואיך לבטל את המצב שהוירוס היה רץ כל פעם שהיתי מריץ קובץ.
זה קורה כאשר וירוס משנה ערך או כמה במפתחות shell\open\command. אם המפתחות האלה שונו, התולעת או סוס טרויאני ירוץ כל פעם שתריצו קובץ מסויים.

לדוגמא, אם המפתח \exefile\shell\open שונה, הוירוס ירוץ כל פעם שנריץ כל קובץ EXE.
זה גם עלול למנוע ממך להריץ את RegEdit על מנת לתקן את התקלה.
הוא יכול גם לשנות ערכים מסויים ב-registry כך שלא נוכל להריץ את regedit בכלל.

ערכתי ניסוי ע"י הוספת הנתיב של notepad.exe למפתח \exefile\shell\open\ ואז נסתי להריץ כל קובץ EXE, זה הריץ את הקובץ EXE יחד עם notepad.exe! עבור Brontok הוא טען דלת אחורית שנקראת "shell.exe".

אתם לא תרגישו במשהו חריג כשתנסו להריץ את הקובץ EXE.

תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה


תודות ל- Symantec Security Response עבור יצירת הסקריפט שיכול לאתחל את הערכים הנ"ל ב-regisrty לערכים המקורים.
אז מה יש לנו סקריפט:

קוד:
[Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1""" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools,0x00000020,0

מכול המפתחות הנ"ל, המפתח exefile נמצא בשימוש בתדירות הכי גבוה כאשר אנו מפעילים את המחשב.
כאשר המחשב עולה הוא טוען המון קבצי EXE. כאשר אנחנו מפעלים תוכנה, היא גם טוענת קבצי EXE.
שאר הסיומות, נעשה בשם שימוש לעיטים יותר רחוקות.
על מנת להיות בצד הבטוח עדיף לתת ל- Symantec לשחזר את כל הערכים לברירת המחדל למפתחות shell\open.

איך להתקין את הסקריפט:

1. הורידו את הקובץ המצורף, ושמרו אותו למחשב.
2. לחיצה ימנית על הקובץ, ובחרו ל-install

תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה



כלי מאוד נחמד להלחם בוירוסים דביקים כמו Brontok
http://securityresponse.symantec.co.../UnHookExec.inf





תורגם מהבלוג של Raymond.CC
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 21-07-2007, 02:35
צלמית המשתמש של קוביבי
  משתמש זכר קוביבי מנהל קוביבי אינו מחובר  
מנהל פורום מערכות הפעלה - הרובע המייקרוסופטי.
 
חבר מתאריך: 07.10.04
הודעות: 13,777
LinkedIn profile
...
בתגובה להודעה מספר 5 שנכתבה על ידי sh770 שמתחילה ב "הקפצה השאלה בעינה עומדת"

מומלץ לא לעשות זאת...
תתניע registry
גש למפתח הבא:
hkcr\exefile\shell\open\command
תשנה את מה שרשום ב default לאיזה קובץ הרצה שאתה רוצה (notepad לדוגמה)
זהו, מעכשיו כל קובץ exe שאתה הולך להריץ לא יפעל, אלא ה notepad יעלה במקומו

אם תסגור את ה regedit לא תוכל להפעיל אותו, כי זהו קובץ exe.
כדי "לעקוף" את העניין תצטרך להפעיל את הקובץ לא תחת תהליך explorer.exe, לדוגמה להריץ דרך ה command prompt (שזה cmd.exe)
אבל... גם cmd הוא קובץ exe ולא יפעל (לכן לא מומלץ)


אם בכ"ז החלטת לעשות זאת ונתקעת - תוכל להשתמש ב command, כי זהו קובץ com והפעולה שלו זהה ל cmd.
או זהו, או safe mode with command prompt, תיאורטית (לא ניסיתי) זה אמור לעבוד.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 09:22

הדף נוצר ב 0.04 שניות עם 10 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר