כותב |
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 26 April 2005 בשעה 20:19 | | IP רשוּם
|
|
|
|
השאלה הבאה לא פשוטה כמו שהיא נראית בהתחלה:
ידוע שוירוסים מסוגלים ליצור קבצי LNK, שכאשר פותחים את קובץ הLNK ירוץ הוירוס. הוירוס הוא למעשה קובץ EXE המצטרף לתוך הLNK.
הרבה מקומות באינטרנט מספרים שדבר כזה קיים, אבל אני כבר כמה חודשים מחפש
ולא מוצא איך בדיוק דבר כזה נעשה. אני רוצה להבין איך אני יכול לקחת קובץ
EXE ולחבר אותו לקובץ LNK.
למישהו יש רעיון?
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 28 April 2005 בשעה 13:17 | | IP רשוּם
|
|
|
|
אבל אני זוכר שכן הגענו לאיזה קצה חוט בפעם שעברה.. לא?
אם אתה זוכר, הפנתי אותך לרג'סטרי בערך:
קוד:
HKEY_CLASSES_ROOT\.lnk\ShellNew
|
|
|
ושם אתה יכול לראות תחת המפתח "Command" שהפקודת מערכת היא:
קוד:
rundll32.exe appwiz.cpl,NewLinkHere %1
|
|
|
ועוד דבר, ברג'סטרי אפשר גם לקבוע את היחס של כל הExplorer ("הסייר") כלפי
קבצים כאלה, זה יכול להיות מאוד שימושי, תסתכל בערך:
קוד:
HKEY_CLASSES_ROOT\lnkfile
|
|
|
ועוד דבר נחמד הוא דרך לבצע את זה בצורה קצת אחרת, צור קובץ Exe של מה שאתה
רוצה, שנה את הסיומת שלו ל:
קוד:
{48F45200-91E6-11CE-8A4F-0080C81A28D4
|
|
|
או ל:
קוד:
{00021401-0000-0000-C000-000000000046}
|
|
|
והמערכת תתייחס אליו כאל קובץ Lnk רגיל ביותר :), עד ש... יפתחו אותו P:
אפילו תוכל לקבוע את היעד שלו ע"י הפקודת מערכת שהצגתי קודם.
אני מקווה שזה עזר :)
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 28 April 2005 בשעה 13:32 | | IP רשוּם
|
|
|
|
זה לא הכיוון. הכיוון בסוף הרבה יותר פשוט ממה שחשבנו ![](smileys/smiley1.gif)
הצלחתי למצוא את התשובה. בערך עוד שבוע אני אפרסם את כל מה שמצאתי.
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 28 April 2005 בשעה 14:29 | | IP רשוּם
|
|
|
|
אולי זה לא הכיוון- אבל זאת גם זאת דרך- והיא פשוטה ביותר.
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 28 April 2005 בשעה 14:43 | | IP רשוּם
|
|
|
|
למה לחשוב רחוק? קבל את העובדה הבאה: אם יש לך Windows 2000, ואתה לוחץ על קובץ EXE ששינו לו את השם לLNK, קובץ הLNK ירוץ כמו גדול.
כזה פשוט
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 28 April 2005 בשעה 15:24 | | IP רשוּם
|
|
|
|
אולי, אבל כמה אנשים שיש להם Win2000 אתה מכיר?
אם אני אשמע "כל משתמשי Win2000 מתו בתאונת אופנוע" אני לא אתפלא ;)
הפתרון שלי פועל על כל מערכת Windows, או לפחות על כל מערכת Windows מבוססת NT!
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 28 April 2005 בשעה 15:27 | | IP רשוּם
|
|
|
|
נכון. אנחנו פשוט הסתכלנו על שאלה שונה אולי. השאלה שהייתה לי בראש היא: אומרים ש-LNK מסוכנים - מאיפה זה התחיל?
התשובה: SirCam
שבא ב2001 כשהיו הרבה מחשבים עם Win2000
זו לדעתי הסיבה שהקבצים הנ"ל הוגדרו כמסוכנים
|
חזרה לתחילת העמוד |
|
|
SBD פורומיסט על
![פורומיסט על](forum_images/4_star_rating.gif)
![סמל אישי](avatars/box_avatar.gif)
הצטרף / הצטרפה: 13 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 1194
|
נשלח בתאריך: 28 April 2005 בשעה 16:09 | | IP רשוּם
|
|
|
|
cp77fk4r כתב:
אבל אני זוכר שכן הגענו לאיזה קצה חוט בפעם ועוד דבר נחמד הוא דרך לבצע את זה בצורה קצת אחרת, צור קובץ Exe של מה שאתה
רוצה, שנה את הסיומת שלו ל:
קוד:
{48F45200-91E6-11CE-8A4F-0080C81A28D4
|
|
|
או ל:
קוד:
{00021401-0000-0000-C000-000000000046}
|
|
|
והמערכת תתייחס אליו כאל קובץ Lnk רגיל ביותר :), עד ש... יפתחו אותו P:
אפילו תוכל לקבוע את היעד שלו ע"י הפקודת מערכת שהצגתי קודם.
|
|
|
לא עבוד אצלי לפחות =\
__________________ ~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 28 April 2005 בשעה 16:12 | | IP רשוּם
|
|
|
|
גם אצלי לא.. אני על XP SP2
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 28 April 2005 בשעה 17:09 | | IP רשוּם
|
|
|
|
גם אני על XP SP2, ואצלי זה פועל חלק.
תסבירו בדיוק מה אתם עושים ואני אגיד לכם איפה אתם טועים.
זה חייב לעבוד, לקחתי את הקוד הזה מהרג'סטרי, המערכת משתמשת בו!
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 28 April 2005 בשעה 17:36 | | IP רשוּם
|
|
|
|
החלפתי את הסיומת .exe לסיומת שציינת.
הוא משנה סיומת והופך להיות לא נגיש, כשהסיומת החדשה היא כל המספר הארוך שציינת
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 29 April 2005 בשעה 02:00 | | IP רשוּם
|
|
|
|
נתחיל בזה- תקח תיקיה מסויימת ותשנה את השם שלה ל:
קוד:
Name.{00021401-0000-0000-C000-000000000046}
|
|
|
וכתוב פה איך המערכת הגיבה.
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 29 April 2005 בשעה 02:07 | | IP רשוּם
|
|
|
|
כמו שצריך - נראה שהפך למעין קישור
|
חזרה לתחילת העמוד |
|
|
Alias משתמש חבר
![משתמש חבר](forum_images/3_star_rating.gif)
![סמל אישי](http://alias.off.co.il/alias.jpg)
הצטרף / הצטרפה: 13 January 2005
משתמש: מנותק/ת הודעות: 344
|
נשלח בתאריך: 29 April 2005 בשעה 02:20 | | IP רשוּם
|
|
|
|
אצלי זה הופך לקובץ לא מזוהה... (דף עם ציור של ווינדוס)
עריכה: אממ בדקתי עכשיו גם את הקודמים שהבאת בראשון: אם אני מעתיק בדיוק כמו שרשמת (סיפי) זנ משאיר את הסיומת עם המספר הארוך. אם אני מוסיף '{' בסוף זה מעלים את הסיומת (למרות שבהגדרות הוא אמור להראות את הסיומת גם אם היא מזוהה) והקובץ הופך ל"לא מזוהה" (עם הסמל שאמרתי למעלה).
כשאני מנסה את השני זה מגיב כמו הקודם רק שעכשיו זה מראה את החץ למטה בסמל (כמו שיש בכל לינק).
בכל מקרה, בכל מה שניסיתי ואחרי זה ניסיתי להפעיל את הקובץ זה פשוט לא הגיב אז אני מניח שאם זה היה וירוס הוא גם לא היה מורץ...
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 29 April 2005 בשעה 04:46 | | IP רשוּם
|
|
|
|
א- זה מפני שסתם הפכת תיקיה ("קובץ שאחרי השם שלו יש "\") לקובץ הזה, עכשיו אנחנו צריכים לברר איפה בדיוק הבעיה.
ב- כן, שכחתי להוסיף "{".
ג- אל תשנו את מיקום ההצבעה ע"י שינוי בהגדרות הקובץ, תשתמשו בפקודה שכתבתי למעלה.
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 29 April 2005 בשעה 04:50 | | IP רשוּם
|
|
|
|
cp77fk4r כתב:
א- זה מפני שסתם הפכת תיקיה ("קובץ שאחרי השם שלו יש "\") לקובץ הזה, עכשיו אנחנו צריכים לברר איפה בדיוק הבעיה.
ב- כן, שכחתי להוסיף "{".
ג- אל תשנו את מיקום ההצבעה ע"י שינוי בהגדרות הקובץ, תשתמשו בפקודה שכתבתי למעלה. |
|
|
לגבי ב' שמתי לב לזה וכתבתי כבר אז עם {.
קובץ רגיל שאני מנסה לשנות את השם באותו אופן לא מושפה.
|
חזרה לתחילת העמוד |
|
|
cp77fk4r מנהל פורומים
![מנהל פורומים](forum_images/5_star_rating.gif)
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 501
|
נשלח בתאריך: 29 April 2005 בשעה 05:05 | | IP רשוּם
|
|
|
|
פאק.. אתה פשוט לא הולך לישון ><' חח.
וכן, אני מנסה לחשוב על הבעיה פה, זה מוזר- עוד אנשים אמרו לי שגם איתם יש בעיה, זה מוזר, אני אשן על זה.
לילה טוב ניר.
__________________ [Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
חזרה לתחילת העמוד |
|
|
ניר מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](avatars/moon.jpg)
הצטרף / הצטרפה: 12 January 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 3296
|
נשלח בתאריך: 29 April 2005 בשעה 05:29 | | IP רשוּם
|
|
|
|
ניסיתי את אותו דבר גם עם קבצי URL.
גם איתם זה לא עובד.
|
חזרה לתחילת העמוד |
|
|
shoshan מנהל האתר
![מנהל האתר](forum_images/5_star_rating.gif)
![סמל אישי](uploads/shoshan/2005-08-27_154130_SnowDog64x64.jpg)
הצטרף / הצטרפה: 16 July 2005 מדינה: Israel
משתמש: מנותק/ת הודעות: 4637
|
נשלח בתאריך: 14 January 2006 בשעה 14:45 | | IP רשוּם
|
|
|
|
נעול [אני יודע שזה מוקפץ, פשוט שולחים פה מדי פעם הודעות קזינו.]
__________________ עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
חזרה לתחילת העמוד |
|
|