شرح مشكل عدم عمل الملفات التنفيذية والدفعية وملفات اخرى على الجهاز مع امثلة وحلول
 

http://img185.imageshack.us/img185/5415/685685.gif



http://img841.imageshack.us/img841/1369/jkgkfgf.gif

في الاونة الاخيرة لاحظت ان كثيرا من الاعضاء يعانون من مشكل عدم عمل الملفات التنفيدية او ملفات
اخرى وبالتالي يسود الشك عن مصدر هذا المشكل الا ان لديه حلولا تمكن من تجاوزه

ولهذا طرحت هذا الموضوع لاوضح المشكل وطريقة حله بشكل مبسط وامل ان يعجبكم الموضوع

http://img841.imageshack.us/img841/1369/jkgkfgf.gif

ارجو منكم ان تحملوا اولا هذا الملف قبل اي تجربة هنـــــــــا
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت

سنبدأ الان بدراسة بعض اوامر من الدوس مهمة وعادة ما تستعمل في برمجة ملفات دفعية ضارة
وساعطيكم ايضا حلولا او مضادات عبارة عن ملفات دفعية لاصلاح الضرر الذي تلحقه

ولا النظام يحتوي على لواحق عديدة وكثيرة لكل برنامج لاحقته الخاصة فمثلا هذا الملف Hisooka.txt
لاحقته هي : txt والذي يعني انه يفتح بالبرنامج Notepad.exe

وهذا الملف eset.rar يعني ان هو البرنامج الذي يفتح هذا النوع من الملفات
http://img841.imageshack.us/img841/1369/jkgkfgf.gif
والسؤال الان هو كيف نعرف البرنامج الذي يشغل الاحقة التي نبحث عنها ؟

اذهبوا الان الى start > run > cmd
واكتبوا في الدوس هذا الامر : assoc واضعطوا على enter

ماذا ترون ؟

انا ساجيبكم عن هذا السؤال انتم ترون جميع اللواحق الموجودة على نظامكم وكل واحد ستختلف عنده عدد وانواع اللواحق على حسب البرامج التي قام بتنصيبها على جهازه

واذا اردنا ان نعرف البرنامج الذي يفتح لاحقة معينة مثلا txt والكل يعرف هذه الصيغة فماذا سنفعل ؟
سنكتب في الدوس هذا الامر : Assoc.txt ثم نضغط على Enter

http://img210.imageshack.us/img210/7...2010180142.png

اي ان البرنامج المسؤول عن عمل الملف ذو اللاحقة هو : txtfile
والان نريد ان نعرف مسار تواجد هذا البرنامج txtfile

انتبهوا جيدا هذه المرحلة مهمة لموضوعنا هذا

اكتبوا في الدوس الامر : Ftype txtfile ثم enter

http://img688.imageshack.us/img688/1...2010180853.png

كما تلاحظون هذا هو مسار البرنامج وهو في الحقيقة برنامج Notepad.exe

وعلاقة بموضوعنا اليوم فقد وصلنا الان الى المرحلة المناسبة لفهم اليات عمل الفيروس
كما قلنا الامر Ftype يقوم باعطائنا مسار البرنامج الذي يشغل اللاحقة التي نبحث عنها

اذن ماذا لو غيرنا هذا المسار او بطريقة اخرى ماذا لو قمنا بتعطيل البرنامج المسؤول عن تشغيل اللاحقة ؟

هكذا لن تعمل الملفات بشكل جيد اذن لنقم بتجربة صغيرة :

اولا ادخلوا الى الدوس وقوموا بكتابة الامرالتالي assoc.exe وسيعطينا exefile
هذا الامر لمعرفة البرنامج المسؤول عن تشغيل الملفات التنفيذية ولايوجد برنامج محدد مسؤول عن عمله وانما النظام هو المسؤول

وستكون النتيجة هكذا assoc.exe=exefile الان سنبحث عن المسار انتم تعرفون الطريقة اليس كذلك ؟
اكتبوا الامر التالي : ftype exefile والنتيجة ستكون هكذا : كود PHP:


وهنا الفكرة هي تغيير هذا المسار وبالتالي لن تشتغل كل الملفات التنفيدية الموجودة في النظام ولو كانت محمولة وهناك من سيقول الدهاب للريجستري سيحل المشكلة او اخد نسخة احتياطية للريجستري اقول لهم هذا لن ينفع بتاتا

لان الدخول الى الريجستري يتم عن طريق كتابة الامر Regedit في Run
Regedit.exe هو ايضا ملف تنفيذي ولن يعمل

لتغيير مسار البرنامج نقوم بالامر التالي : كود PHP:


يمكنكم كتابة اي شيء في مكان %* ليس بالضرورة كتابة المسار هكذا المهم ان يكون خاطئا يمكنك مثلا كتابة : كود PHP:


كما رايتم لقد عدلت المسار وابتداء من اللحظة لن تعمل الملفات التنفيدية

ولكن كيف سنقوم الان بارجاع عمل الملفات التنفيذية ؟ بطبيعة الحال الامر سهل سنقوم بارجاع
المسار لما كان عليه من قبل ولكي نقوم بذلك نكتب الامر التالي :
كود PHP:


وهكذا ستعمل الملفات التنفيذية من جديد ولكن نستم شيئا مهما , اين ستقومون بكتابة الامر ؟

طبعا الجواب هو : في الدوس cmd.exe ولكنه ملف تنفيذي ايضا ولن يعمل هههههههههه :hh::hh:

اذن اين ؟ :y:

الحل المتبقي لنا الان هو الملف الدفعي الذي لاحقته هي bat وبما ان هذه اللاحقة لم يتغير مسارها
بعد فان الملف الدفعي سيعمل اذن سنفتح bloc note جديد ونكتب فيه هذه الاوامر :

كود PHP:


انتم تعرفون لماذا كتبت كود PHP:


عوضا عن كود PHP:


لاننا الان نكتب ملف دفعي ولا نكتب مباشرة في نافذة الدوس لابد ان نضيف % واحدة

اذن نحن الان كتبنا الاوامر وسنحفظ الملف باللاحقة bat عن طريق file > save as

بعد استخدامنا للملف الدفعي سترجع الملفات الدفعية الى ماكانت عليه لا لا لا لا لالا لا لا:hh::hh::hh:

لان bloc note ملف تنفيدي ايضا (Notepad.exe ) :y::y:
اذن الحل الوحيد هو ان تحتفظ بهذا الملف الدفعي قبل ان يصيبك الفيروس

ولكن نسيتم شيئا مهم ماهو يا ترى ؟

الامر المهم هو ماذا لم تم تغيير مسار تشغيل الملفات الدفعية :eek::eek:

كود PHP:


يمكننا تغيير المسار كما فعلنا مع الملفات التنفيذية

اذن سنقع في ورطة كبيرة جدا لان الفيروس الان سيصبح هكذا :

كود PHP:


break off هو امر لكي لا يتم ايقاف الملف الدفعي من قبل المستخدم

الان جميع اللواحق المهمة في النظام ستعطل بهذا الفيروس :eek: :cr:

الحل الوحيد الموجود حاليا هو ملف واحد وهو ملف ذو اللاحقة INF مثل الاوتوران

ولكن هذا الملف عبارة عن Bloc note وبالتالي لن ينفعنا اذن هذا الفيروس ليس له حل هههههه:hh:

انا امزح هذا الملف فعلا يرجع الملفات التنفيدية والدفعية تعمل وكذلك com pif scr

هذا رابط الملف هنـــــــــا

بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت في السابق



يمكنكم الان تطبيق التجربة ولكن كما قلت لكم لا بد ان تحملو الملف قبل تطبيق التجربة
وعند تطبيقها سترون ان البرامج لن تعمل ولتعمل من جديد قوموا ب Install للملف


اما بالنسبة للواحق الاخرى فليست مشكلة يمكنكم ارجاعها بانفسكم وذلك سهل والجميع يعرف الطريقة
open with > choose program واذا لم يكن في القائمة يمكن عندها الضغظ على الزر Browse ثم اختيار البرنامج من مساره في Program files

بالنسبة لتغيير اللواحق بالنسبة للملفات الاخرى كـ : wmv pdf mp3 هذا لن ينفع لان البرامج
التي تشغل هذه اللواحق تعد ملفات تنفيدية وبالتالي تعطيل عمل الملفات التنفيدية هو الدي سيؤدي
الى تعطيل جميع لواحق النظام


في الحقيقة عالم الدوس كبير جدا ومازالت فيه عدة اوامر خطيرة فيمكن برمجة ملف دفعي مثلا على ان يعمل في وقت محدد قد يكون بعد شهر او ان ستدعي برامج اخرى للعمل في فترة محددة من مبرمجه

وللاسف فالملفات الدفعية لا تثير شكوك برامج الحماية لان لها سلوك المستعمل وهذا لايعني كل الملفات الدفعية فهناك بعضها يمكن للمضادات امساكها

اعتذر ان اطلت عليكم واكثرت من الكلام اتمنى انكم قد استفدتم فالوقاية خير من العلاج لا تشغلوا اي
ملف دفعي حتي ترو ما بداخله من اوامر وتاكدوا من خلوها من هذه الاوامر الضارة

وفي الاخير انا بريئ من كل من يستخدم هذه المعلومات ليضر بها عباد الله


اتمنى ان تدعوا لي ولوالدي ولاخواني بالنجاح في الدنيا والاخرة








أكثر...