في الاونة الاخيرة لاحظت ان كثيرا من الاعضاء يعانون من مشكل عدم عمل الملفات التنفيدية او ملفات
اخرى وبالتالي يسود الشك عن مصدر هذا المشكل الا ان لديه حلولا تمكن من تجاوزه
ولهذا طرحت هذا الموضوع لاوضح المشكل وطريقة حله بشكل مبسط وامل ان يعجبكم الموضوع
ارجو منكم ان تحملوا اولا هذا الملف قبل اي تجربة
هنـــــــــا
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت
سنبدأ الان بدراسة بعض اوامر من الدوس مهمة وعادة ما تستعمل في برمجة ملفات دفعية ضارة
وساعطيكم ايضا حلولا او مضادات عبارة عن ملفات دفعية لاصلاح الضرر الذي تلحقه
ولا النظام يحتوي على لواحق عديدة وكثيرة لكل برنامج لاحقته الخاصة فمثلا هذا الملف Hisooka.txt
لاحقته هي : txt والذي يعني انه يفتح بالبرنامج Notepad.exe
وهذا الملف eset.rar يعني ان هو البرنامج الذي يفتح هذا النوع من الملفات

والسؤال الان هو كيف نعرف البرنامج الذي يشغل الاحقة التي نبحث عنها ؟
اذهبوا الان الى start > run > cmd
واكتبوا في الدوس هذا الامر : assoc واضعطوا على enter
ماذا ترون ؟
انا ساجيبكم عن هذا السؤال انتم ترون جميع اللواحق الموجودة على نظامكم وكل واحد ستختلف عنده عدد وانواع اللواحق على حسب البرامج التي قام بتنصيبها على جهازه
واذا اردنا ان نعرف البرنامج الذي يفتح لاحقة معينة مثلا txt والكل يعرف هذه الصيغة فماذا سنفعل ؟
سنكتب في الدوس هذا الامر : Assoc.txt ثم نضغط على Enter
اي ان البرنامج المسؤول عن عمل الملف ذو اللاحقة هو : txtfile
والان نريد ان نعرف مسار تواجد هذا البرنامج txtfile
انتبهوا جيدا هذه المرحلة مهمة لموضوعنا هذا
اكتبوا في الدوس الامر : Ftype txtfile ثم enter
كما تلاحظون هذا هو مسار البرنامج وهو في الحقيقة برنامج Notepad.exe
وعلاقة بموضوعنا اليوم فقد وصلنا الان الى المرحلة المناسبة لفهم اليات عمل الفيروس
كما قلنا الامر Ftype يقوم باعطائنا مسار البرنامج الذي يشغل اللاحقة التي نبحث عنها
اذن ماذا لو غيرنا هذا المسار او بطريقة اخرى ماذا لو قمنا بتعطيل البرنامج المسؤول عن تشغيل اللاحقة ؟
هكذا لن تعمل الملفات بشكل جيد اذن لنقم بتجربة صغيرة :
اولا ادخلوا الى الدوس وقوموا بكتابة الامرالتالي assoc.exe وسيعطينا exefile
هذا الامر لمعرفة البرنامج المسؤول عن تشغيل الملفات التنفيذية ولايوجد برنامج محدد مسؤول عن عمله وانما النظام هو المسؤول
وستكون النتيجة هكذا assoc.exe=exefile الان سنبحث عن المسار انتم تعرفون الطريقة اليس كذلك ؟
اكتبوا الامر التالي : ftype exefile والنتيجة ستكون هكذا : كود PHP:
exefile="%1" %*
وهنا الفكرة هي تغيير هذا المسار وبالتالي لن تشتغل كل الملفات التنفيدية الموجودة في النظام ولو كانت محمولة وهناك من سيقول الدهاب للريجستري سيحل المشكلة او اخد نسخة احتياطية للريجستري اقول لهم هذا لن ينفع بتاتا
لان الدخول الى الريجستري يتم عن طريق كتابة الامر Regedit في Run
Regedit.exe هو ايضا ملف تنفيذي ولن يعمل
لتغيير مسار البرنامج نقوم بالامر التالي : كود PHP:
ftype exefile=%*
يمكنكم كتابة اي شيء في مكان %* ليس بالضرورة كتابة المسار هكذا المهم ان يكون خاطئا يمكنك مثلا كتابة : كود PHP:
ftype exefile=hisooka
كما رايتم لقد عدلت المسار وابتداء من اللحظة لن تعمل الملفات التنفيدية
ولكن كيف سنقوم الان بارجاع عمل الملفات التنفيذية ؟ بطبيعة الحال الامر سهل سنقوم بارجاع
المسار لما كان عليه من قبل ولكي نقوم بذلك نكتب الامر التالي :
كود PHP:
ftype exefile="%1" %*
وهكذا ستعمل الملفات التنفيذية من جديد ولكن نستم شيئا مهما , اين ستقومون بكتابة الامر ؟
طبعا الجواب هو : في الدوس cmd.exe ولكنه ملف تنفيذي ايضا ولن يعمل هههههههههه :hh::hh:
اذن اين ؟ :y:
الحل المتبقي لنا الان هو الملف الدفعي الذي لاحقته هي bat وبما ان هذه اللاحقة لم يتغير مسارها
بعد فان الملف الدفعي سيعمل اذن سنفتح bloc note جديد ونكتب فيه هذه الاوامر :
كود PHP:
@echo off
ftype exefile="%%1" %%*
exit
انتم تعرفون لماذا كتبت كود PHP:
"%%1" %%*
عوضا عن كود PHP:
"%1" %*
لاننا الان نكتب ملف دفعي ولا نكتب مباشرة في نافذة الدوس لابد ان نضيف % واحدة
اذن نحن الان كتبنا الاوامر وسنحفظ الملف باللاحقة bat عن طريق file > save as
بعد استخدامنا للملف الدفعي سترجع الملفات الدفعية الى ماكانت عليه لا لا لا لا لالا لا لا:hh::hh::hh:
لان bloc note ملف تنفيدي ايضا (Notepad.exe ) :y::y:
اذن الحل الوحيد هو ان تحتفظ بهذا الملف الدفعي قبل ان يصيبك الفيروس
ولكن نسيتم شيئا مهم ماهو يا ترى ؟
الامر المهم هو ماذا لم تم تغيير مسار تشغيل الملفات الدفعية :eek::eek:
كود PHP:
assoc.bat=batfile
ftype batfile="%1" %*
يمكننا تغيير المسار كما فعلنا مع الملفات التنفيذية
اذن سنقع في ورطة كبيرة جدا لان الفيروس الان سيصبح هكذا :
كود PHP:
@echo off
break off
ftype exefile=%*
ftype batfile=%*
ftype scrfile=%*
ftype piffile=%*
ftype comfile=%*
exit
break off هو امر لكي لا يتم ايقاف الملف الدفعي من قبل المستخدم
الان جميع اللواحق المهمة في النظام ستعطل بهذا الفيروس :eek: :cr:
الحل الوحيد الموجود حاليا هو ملف واحد وهو ملف ذو اللاحقة INF مثل الاوتوران
ولكن هذا الملف عبارة عن Bloc note وبالتالي لن ينفعنا اذن هذا الفيروس ليس له حل هههههه:hh:
انا امزح هذا الملف فعلا يرجع الملفات التنفيدية والدفعية تعمل وكذلك com pif scr
هذا رابط الملف
هنـــــــــا
بعد تحميله اضغطوا عليه بالزر الايمن للفارة ثم على Install وهكذا سترجع الامور كما كانت في السابق
يمكنكم الان تطبيق التجربة ولكن كما قلت لكم لا بد ان تحملو الملف قبل تطبيق التجربة
وعند تطبيقها سترون ان البرامج لن تعمل ولتعمل من جديد قوموا ب Install للملف
اما بالنسبة للواحق الاخرى فليست مشكلة يمكنكم ارجاعها بانفسكم وذلك سهل والجميع يعرف الطريقة
open with > choose program واذا لم يكن في القائمة يمكن عندها الضغظ على الزر Browse ثم اختيار البرنامج من مساره في Program files
بالنسبة لتغيير اللواحق بالنسبة للملفات الاخرى كـ : wmv pdf mp3 هذا لن ينفع لان البرامج
التي تشغل هذه اللواحق تعد ملفات تنفيدية وبالتالي تعطيل عمل الملفات التنفيدية هو الدي سيؤدي
الى تعطيل جميع لواحق النظام
في الحقيقة عالم الدوس كبير جدا ومازالت فيه عدة اوامر خطيرة فيمكن برمجة ملف دفعي مثلا على ان يعمل في وقت محدد قد يكون بعد شهر او ان ستدعي برامج اخرى للعمل في فترة محددة من مبرمجه
وللاسف فالملفات الدفعية لا تثير شكوك برامج الحماية لان لها سلوك المستعمل وهذا لايعني كل الملفات الدفعية فهناك بعضها يمكن للمضادات امساكها
اعتذر ان اطلت عليكم واكثرت من الكلام اتمنى انكم قد استفدتم فالوقاية خير من العلاج لا تشغلوا اي
ملف دفعي حتي ترو ما بداخله من اوامر وتاكدوا من خلوها من هذه الاوامر الضارة
وفي الاخير انا بريئ من كل من يستخدم هذه المعلومات ليضر بها عباد الله
اتمنى ان تدعوا لي ولوالدي ولاخواني بالنجاح في الدنيا والاخرة
أكثر...