الى المحترفين

تنزيل الباتش من خلال تصفح الأنترنت
كما وعدتكم بأني سأشرح لكم الطرق لتنزيل الباتش من خلال تصفح الأنترنت و سيأخذ ذلك عدة مواضيع لأني سأشرحها بالكامل .

الطريقة هذه تم ابتكارها و لأول مرة من قبل Georgi Guninski و كانت في أول الأمر عند تشغيل الصفحة يتم إصدار إنذار من المتصفح بأن الActiveX غير آمن و تتطلب أن يكون تشغيلها دون اتصال .
و كما استخدم هذه الثغرة و طورها في إيجاد ثغرة بالOutlook بأنه عندما تستعرض الرسالة يتم تشغيل الكود و من الممكن تنزيل باتش فقامت مايكروسوفت بسدها لكنه عاد و اكتشف ثغرة ثانية تسمح بتنزيل ملف الـ HTA في الـ StartUp folder و دون أن يظهر مربع تحذير و حتى ولو كان المستخدم على الخط و قام باكتشاف ثغرة ثانية بالـ Outlookتسمح بتنزيل البريمج بمجرد عرض الرسالة مستخدماً الجافا أبلتس فكان ذلك بالنسبة للأصدارات 5,5 ..
و قام فريق من المبرمجين بعمل برنامج ليستغل هذه الثغرة و التي تسمح بحفظ ملف HTA على هارد ديسك الهدف دون علمه فقامو بعمل سلسلة من البرامج أسموها أولاً God Message ثم أسموها في النسخ الـ Visual بالأسم GodWill .
لتحميل البرنامج ابحث في ال

فقط الأعضاء المسجلين يمكنهم رؤية الروابط قم بتسجيل الدخول اولا

اسم المستخدم		تذكرني؟
كلمة المرور

[نشط عضويتي] - [طلب كود التنشيط] - [نسيت كلمة السر] - [لأصحاب ايميلات الهوتميل ] - [تسجيل كعضو جديد]

...
عبر هذا البرنامج بإمكانكم عمل ملف الـ HTML المصاب .

عمل ملف الـ HTML :
--------------------
عند تشغيل الملف يقوم المتصفح بتنفيذ الكود و يقوم هذا الكود أولاً باختبار لغة بيئة العمل فإن كانت إنكليزية مثلاً يكون مسار مجلد بدء التشغيل لكل المستخدمين %windir%\all users\startup...... و إن كانت اللغة كذا فالمسار كذا و هكذا .
و بعدها يستخدم الجافا سكريبت لتحميل الـ Object و تشغيله (هون هي الثغرة ) و البيانات التي تجدها في قسم الـ VBSCRIPT تحت الأسم doc أي أغلب المستند سيتم كتابتها داخل ملف HTA في مسار بدء التشغيل و عند عند إعادة تشغيل الكومبيوتر ملف الـ HTA هذا سيقوم سيفسره برنامج ال MSHTA.exe و بيانات هذا الملف عادة تكون VBSCRIPT .
عندما يعمل هذا الملف يقوم السكريبت بتشغيل أمر الدوس الـ Debug و يرسل له بيانات المتغير U الذي يحوي على كود صغير بالأسمبلي يقوم بترجمة البيانات هذه من أحرف ASCII إلى بيانات رقمية BINARY و يكتبها لملف هو الباتش النهائي ثم تكمل السكريبت عملها و تقوم بنقل الملف إلى مسار الوندوز و تشغيله .
وتقوم السكريبت أيضاً بعدة عمليات أخرى كتغيير أيقونة الملفات الـ HTA من الريجيستري و إخفاء ملحقاتها و حذف الملف الـ HTA من خلال الـ Wininit.ini .
و بالنهاية يعطي أمر الدوس Pause ليش ياترى ؟
لأنه بدون هذا الأمر ستظهر نافذة غريبة بعد تشغيل الكود لذلك نريد إيقاف البرنامج حتى أجل غير مسمى لذلك إذا اشتغل الكود على جهازك سترى بالTask manager برنامج الـ HTA .

معلومة : حالياً تم حل هذه المشكلة على الوندوز Xp و الآوتلوك 6 لكن لأول مرة استطعت تشغيل الكود على الوندوز XP لكن كما كان سابقاً سيظهر مربع تحذير قبل .
معلومة : لقصور من الـ VBscript لا يمكن أن يكون حجم الملف أكثر من 34 كيلو و يتم تحويل بيانات الملف من بيناري لآسكي عبر برنامج الـ Bin2ASCII.exe ...
ملحوظة : كل برامج الفيروسات بتحس على هذا الكود على أنه فيروس لذلك عليك تغيير الكود و الأمر بسيط جداً أكثر ما تتصور و لو أنه متعب و يحتاج تجريب فمثلاً الNorton يبحث عن جملتين فإن رآهما فسيقوم بتعريفه على أنه فيروس فما علينا هو التجريب لمعرفة هذه الجملة و محاولة تغييرها بالأستعانة بالبرمجة إما بتقسيم الجملة لعدة أجزاء أو باستخدام الCHR أو إذا كان يحس على أسم لمتغير منغيره من كل الكود و بالنسبة للمكافي فهو من أعند برامج الفيروسات لأنه راح يحس على ملف الـ Hta و ملف الـ Html و بطريقة صعبة نوعاً ما .
أو الأبسط أننا نستخدم برامج التشفير لتشفير الكود أو الصفحة كلها .

سأعمل لكم برموج يعمل كل هذا الشغل من تغيير و تشفير الكود .
لكن هل يسمح المشرفين بنشره لأنه إذا انتشر هذا البرموج ووقع بإيد بعض المؤذيين (وهم كثر) سيؤدي لكارثة في المنتديات ومنهم هذا المنتدى لأنه أي شخص بيصير يحط بالتوقيع فريم مخفي (أبعاده 0 0 ) للصفحة المصابة و يؤدي ذلك إلى كارثة لكل من يقرأ المواضيع التي يوجد فيها رد ذلك المؤذي و إن أقفلتم الـ HTML يبقى المنتديات الأخرى و كما أنه يوجد طريقة أخرى للأصابة لكل الموجودين بالمنتدى عبر فلم فلاشي صغير ذو أبعاد صغيرة يقوم بتشغيل كود يفتح صفحة أبعادها صغيرة و موقعها بعيد عن الشاشة يعني ما تتسكر (و هي الصفحة المصابة ) .
إن قلتم لا فلن أنشره و إن قلتم نعم فهل تتحملون المسؤولية .



---------------------------------------------------------------------------------


ملاحظه / الموضوع منقول ويشكر صاحب هذا الجهد و ما قام به