Tüm Platformlar için Hızlı Uygulama Geliştirme --->    Kitabımız...      Delphi

Konuyu Paylaş : facebook gplus twitter

Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5
Flash belleğe bulaşıp dosyaları gizli partitiona taşıyan virüs
#1
Merhaba.

İşyerinde flash belleklere bulaşan bir virüs var. Virüs şu şekilde çalışıyor: Önce flash bellekte bir tane isimsiz partition oluşturyor, sonra da tüm dosyaları gizli hale getirerek bu partitiona taşıyor. Virüsün kendisi de bu isimsiz partitionda yer alıyor. Virüs exe uzantılı değil, dll uzantılı, rundll yardımıyla çalışıyor, bu yüzden birçok antivirüsten kurtulabiliyor.  Kullanıcıyı kandırmak için flash bellekte kendini çalıştıracak aşağıdaki gibi bir kısayol oluşturuyor. Kullanıcı dosyalarına ulaşmak için kısayolu çift tıkladığında virüs sisteme bulaşıyor.

   

Flash bellekten bu virüsü temizlemek için, virüsün oluşturduğu isimsiz partitiona ulaşmam lazım. Bunu partitiona Delphi'den nasıl ulaşabilirim?
Cevapla
#2
Merhaba,
Flash Disk'in bulunduğu sürücüde aşağıdaki Dos komutunu çalıştırarak görünür yapabilirsiniz. 
attrib -h -s -r /d /s
Delphi ile yapacak iseniz (Test etmedim, fakat muhtemelen gizli dosya listesini alırsınız); Linkleri Görebilmeniz İçin Giriş yap veya Üye Ol metodları ile yapabilirsiniz.
WWW
Cevapla
#3
Dosyaları almakta bir sıkıntı yok, gizli partitiona nasıl ulaşacağım? yani F:\'den sonra yazmam gereken yol nedir?
Cevapla
#4
(06-02-2017, Saat: 17:37)denem3 Adlı Kullanıcıdan Alıntı: Linkleri Görebilmeniz İçin Giriş yap veya Üye OlDosyaları almakta bir sıkıntı yok, gizli partitiona nasıl ulaşacağım? yani F:\'den sonra yazmam gereken yol nedir?

Kendi dosyalarınız a ulaşmak içinmi tam anlamadım dir/b komutu ile bellekteki klasörleri görüntüleyebilirsiniz. virüs muhtemelen gizli bi klasör oluşturup dosyalarınızı oraya taşımış olabilir yada recycler isminde klasöre atmış olabilir.

“Do. Or do not. There is no try.”
Cevapla
#5
partition mı yoksa gizli klasörmü ?
klasör ise sağ klik gizli ve sistem dosyalarını göster demeniz yeterlidir.
Eğer partition ise disk yönetimine girip ordan gizli part. adını alıp dos komut isteminde (örneğin G diyelim) G: yazarak o bölüme geçip istediğinizi yapabilirsiniz.
Yada d:, e:, f: ..... diye deneyerek te bulabilirsiniz
Linkleri Görebilmeniz İçin Giriş yap veya Üye Ol
WWW
Cevapla
#6
Virüsü biraz daha inceleyince şunu fark ettim. Virüs partition oluşturmuyor galiba, bir klasör oluşturup adını Alt+255 yapıyor, simgesini disk simgesiyle değiştiriyor. Sorun şu hale geldi: DeleteFile vs fonksiyonlarda klasör adındaki Alt+255 karakterini nasıl kullanırım?
Cevapla
#7
Gizli dosya oluşturuyor. Tüm dosyaları buraya atıyor. Sistem dosyalarını ve gizli dosyaları göster ile görebilirsiniz. Ayrıca kendini PC de belli klasörlere kopyalıyor.
Eset bu türe karşı etkili.
Kendiniz bir şeyler yapacaksanız her zaman farklı isimde ve farklı dosya imzasıma sahip içerio üretiyor.

Antivirüs ile beraber Zemana kurun. Özellikle fidye virüslerine karşı etkili.
Ağlarsa kablosuz ağlar, gerisi yerel ağlar...
Cevapla
#8
@engerex, virüsün ürettiği kısayoldan ismin öğrenmek mümkün oluyor, ama Alt+255 olan klasör ismini DeleteFile vs. gibi fonksiyonlarda nasıl kullanacağımı bulamadım. Boşluk karakterini denedim, olmadı.
Cevapla
#9
'D: \' +chr(255) +'\'
Böyle bir şey dene.
Ağlarsa kablosuz ağlar, gerisi yerel ağlar...
Cevapla
#10
o virüsün çalışma mantığı dosyalarınızı sistem dosyası haline getirip gizli klasör yapar yerlerinede lnk uzantılı kısayol oluşturur. Gizli klasörleri göster desenizde göremezsiniz fakat dosyanız hala aynı dizin ve yerdedir dolayısı ile basit directory komutlarını kullanarak dosyalarınıza ulaşabilrsiniz. Virüsten kurtulmak isterseniz, klasör seçeneklerinden gizli dosyaları gösteri ve bilinen sistem dosyalarını gösteri seçerek ayarlarınızı değiştirin. Ana dizinde bulunan exe dosyasını ve diskinizdeki lnk uzantılı dosyaları silin. Ayrıca ana dizindeki autron inf dosyasınıın içini tekrar düzenleyin. Dosyalarınızı görünür haline getirmek için malesef görsel menü işe yaramıyor o yüzden ya dostan attrib komutlarını kullanarak dosya niteliklerini değiştirin veya attribchanger gibi tool kullanın. Kolay gelsin
Cevapla

Konuyu Paylaş : facebook gplus twitter



Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  Unit.pas dosyaları ve Uses kullanımı nehirnnn 2 147 05-01-2018, Saat: 01:52
Son Yorum: masteryoda
  Dosyaları Belirli Boyutta Gruplandırma yhackup 5 261 30-11-2017, Saat: 00:30
Son Yorum: SimaWB
  Flash player izin verme Lord_Ares 23 999 08-10-2017, Saat: 23:29
Son Yorum: Lord_Ares
  XML Json dosyaları ile Çalışma masteryoda 8 333 30-09-2017, Saat: 22:32
Son Yorum: Fesih ARSLAN



Konuyu Okuyanlar: 1 Ziyaretçi