بالفعل موضوع رائع ارجو الاستمرار في كتابة مثل هذة المواضيع
السلام عليكم ورحمة الله وبركاته
اليوم هنستكمل الحلقة الثانية من كلامنا على ملف الــ Rundll32.exe وهو الموضوع المتعلق بالفيروسات
وهذا الملف تستغله العديد من الفيروسات باسمه صحيح Rundll32.exe او مع تحريف بسيط كتغيير حرفى ll الى ii ليصبح rundii32.exe (حرف L فى اللغة الانجليزية فى بعض الخطوط مشابه الى حد مع حرف I على شكل حروف صغيرة Small) كتغيير svchost.exe الى svohost.exe الفيروس اللعين.
وعند فتح مدير المهام Task Manager ((كليك يمين على شريط المهام Task bar واختيا ر Task manager او كتابة taskmgr فى قائمة Run)) لا يمكنك سوى رؤية اسم العملية Process لهذا الملف ولا تستطيع ان ترى ملفات المكتبات الديناميكية DLL'S للبرامج التى يقوم الملف بتحميلها .
ولرؤية تلك الملفات فى بيئة ويندوز اكس بى بروفيشنال هناك طريقتين واحدة عن طريق برنامج Hijackthis الغنى عن التعريف وذلك بالقيام بعمل فحص للنظام System Scan والنظر الى تقرير الفحص الذى يظهر فى الصورة تحميل الــ rundll32.exe لملفين dll هما NvCpl.dll و NvMcTray.dll مع كل مرة يقلع فيها الويندوز
اما الطريقة الاخرى يدوية عن طريق سطر الاوامر command-line (افتح run واكتب فيها cmd وانتر )
فى شاشة سطر الاوامر اكتب الامر التالى:
كود:tasklist /m /fi "IMAGENAME eq rundll32.exe"
لاحظ ان الامر tasklist غير موجود فى نسخة Home edition
فى الشاشة التالية تظهر ملفات الــ dll التى يقوم بتحميلها ملف الــ rundll32.exe على يمين الشاشة واذا استثنينا ملفات النظام يمكنك رؤية ملفات الــ dll الضارة واذا كان عندك شك فى احداها يمكنك البحث عنها فى جوجل و اذا لاحظنا قليلا فى نتائج البحث سنجد ملف NvMcTray.dll الذى ظهر فى تقرير برنامج Hijackthis
تبقى مشكلة خطيرة وهى ان بعض الفيروسات والسباى وير Spyware تقوم باستبدال ملف الـ Rundll32.exe الاصلى باخر مزيف مما يتسبب فى ظهور رسائل خطأ عند القيام بفتح مهام معينة على سبيل المثال لوحة التحكم او ابعاد الشاشة وغيرها الكثير جدا من التطبيقات ولكن كيف يمكن معرفة ان الملف مضروب ؟ افتحه بالمفكرة Notepad واعمل بحثCtrl+F عن كلمة "Paddings" فاذا كانت موجودة فهذا معناه ان الملف فعلا مضروب ولازم يتغير طب ازاى؟
ممكن تنزل الملف من على الانترنت جاهز من هنـــــــــــــــــــــا وتستبدله بالمزيف او لو عندك اسطوانة الويندوز ضعها فى السيدى روم وروح لنافذ الاوامروأكتب الامر التالى :
كود:expand D:\i386\rundll32.ex_ %Systemroot%\rundll32.exe
مهـــــــــم جـــــــــدا:: :لاحظ تغيير حرف الــ D بحرف السيدى روم عندك
ياريت الموضوع يكون عجبكوا لانه حصرى جدااااااااا
بالفعل موضوع رائع ارجو الاستمرار في كتابة مثل هذة المواضيع
شكرا ليك يا اخى ان شاء الله دائما مواضيع هامة و حصرية
جزاك الله عنا كل خير
بارك الله فيك
جزاك الله خيرا
موضوع رائع يعطيك العافية
يارب ان عظمت ذنوبى كثرة فلقد علمت بان عفوك اعظم
ان كان لا يرجوك الا محسن فبمن يلوذ ويستجير المجرم
ادعوك ربى كما امرت تضرعا فاذا ردت يدى فمن ذا يرحم
مالى وسيلة غير الرجا وجميل عفوك
ثم انى مسلم
جزاكاللهكل خير
رائع اخي مواضيعك مفيدة جدا
بالتوفيق ان شاء الله
المفضلات