Ir para conteúdo
  • Cadastre-se

Aof

Membros
  • Total de itens

    43
  • Registro em

  • Última visita

Reputação

17 Good

1 Seguidor

Últimos Visitantes

1.072 visualizações
  1. Aof

    Vacina: Vírus atalho

    Ok @Fernando Mercês Obrigado pelo feedback @diego.rax muito boas essas dicas. link: JS.Bondat.rar pass: infected
  2. Aof

    AnalyseMe - Nível 02

    Muito legal esses samples que vc posta @Leandro Fróes parabéns.
  3. Aof

    Resolver Criptografia

    @trevizan muito bom. voce consegue fazer isto em alguma linguagem e posta aqui para ajuda o pessoal? abraço.
  4. Aof

    Vacina: Vírus atalho

    Obrigado pelo feedback @gnoo. fiz alguns novos comentários e modificações no código. respondendo sua duvida: esse caminho é o local onde o worm esta localizado no sistema, a variável username é utilizada para armazena o nome do usuário logado no sistema, fazendo com que este código rode em qualquer maquina, seja qual for o nome de usuário. "C:\\Users\\"+username+"\\AppData\\Roaming\\" Eu tenho sample dele, só que não sei se é permitido compartilha link de virus real aqui no forum. abraço.
  5. Aof

    Vacina: Vírus atalho

    Tudo bem, Caro @gnoo documentei todo o script para facilita o intendimento de todos. respondendo suas perguntas. taskkill Programa padrão para finaliza processo do windows parâmetros /t Finaliza o processo e os filhos do mesmo /f Força a finalização /IM Especifica o nome do processo a ser finalizado. wscript.exe Programa padrão do windows para execução de script javascript Obrigado pelo feedback. abraço.
  6. Aof

    Vacina: Vírus atalho

    Fiz esse script em Python, pra automatiza o processo de remoção worm que se replica em diversos hardwares HDs e PenDrives. podem dar dicas sugestivas para haver uma melhora significativa no mesmo, afinal não e só meu script e nosso a parti de agora. heheheh atenção: essa vacina apenas apaga o arquivo infectado dentro do windows. Ainda não limpa pendrives. abraço a todos. import os def Deleta_Worm(): username = os.environ['username'] ##pega o nome do usuario logado e armazena na variavel 'username'. path = "C:\\Users\\"+username+"\\AppData\\Roaming\\" ## caminho onde o worm esta localizado, a variavel 'username' e utilizada pelo fato de haver diferentes nomes de usuarios. pasta = "" ##seta o local do virus com variavel 'path' os.chdir(path) diretorio = [] for p in os.listdir(): ##lista pastas diretorio.append(p) ## add as pasta a list diretorio for d in diretorio: ## percorrer a lista diretorio pasta = d ##pasta recebe valor de diretorio os.chdir(path+pasta) ##seta novo caminho, com a cocatenaçao das varias path e pasta for file in os.listdir(): ## Dentro da nova pasta lista todos arquivos f = file.split('.') ##divide arquivos com . ex: virus.exe = 'virus' . 'exe' try: ##primeira verificaçao a preocura da extencao js ## 0 pos 1 pos if f[1] == "js": ## se a segunda posiçao de f e igual a js, encontrou o virus. ex: 'virus' , 'exe' deletefile = "del " + file ## variavel deletefile recebe a cancatenaçao, ex: "del virus.exe" print(deletefile) ## mostra o arquivo a ser deletado os.system(deletefile) ## deleta o arquivo for ff in os.listdir(): #lista arquivos da pasta do virus s = ff.split('.') ## divide novamente try: ## tenta os argumentos abaixo ##segunda verificaçao dentre da pasta do virus if s[1] == "exe": deletefile = "del " + ff print(deletefile) os.system(deletefile) except IndexError: ## se for encontrado uma pasta, da IndexError e vai da pass nessa pasta ## e continuar a localizaçao de arquivo com extençao pass print("\n\n Worm Removido com sucesso. Reinicie o pc.") os.system("pause > null") break except IndexError: pass result = os.system('taskkill /T /F /IM wscript.exe ') ##finaliza o processo e retorna um valor inteiro ## taskkill finaliza processo do windows ## /t Finaliza o processo e o filhos do mesmo ## /f Força a finalização ## /IM Especifica o nome do processo a ser finalizado. ## wscript.exe programa padrao do windows para execuçao de script javascrip if result != 0:##verificaçao se wscript esta rodando no windows. ## se o wscript nao estiver rodando no windows. print("Nenhum processo Malicioso foi encontrado!") os.system("pause > null") exit() else:##se o wscript estiver rodando Deleta_Worm()##chama a funcao para deleta o worm
  7. Aof

    As maquinas querem saber

    b
  8. Aof

    Registradores Assembly

    Um exercício bem legal @Lincoln Arantes vlw.
  9. Aof

    Modificando modem 3g

    Bom @Washington Barbosa mesmo que você modifique o firmware , você teria que troca peças, o equipamento precisara de modificações no Hardware, como uma implementa de antena wireless, e de drives para reconhecer no Sistema operacional. acredito que não seja impossível, mas vai dar um bom trabalho.🤑 abs.
  10. Aof

    AnalyseMe - Nível 01

    muito bom @Leandro Fróes esse sample. só o que ta faltando e influenciar o pessoal, a postar seus resultados mesmo que já tenha sido resolvido. Com suas próprias palavras.
  11. Aof

    AnalyseMe - Nível 00

    obg @Fernando Mercês aguardando o próximo.
  12. Aof

    Quero me tornar um desenvolvedor de Games

    Espero te ajudar Entra nesse link: https://torrentz2.torrsite.xyz/search?f=game+development+unity
  13. Aof

    AnalyseMe - Nível 00

    Não querendo desmerecer a analise do amigo @rcimatti, afinal fiz a mesma analise e deu os mesmos resultados, o motivo de não ter posta o resultado da minha analise, foi essas strings dentro da Section .rdata. Mas meu conhecimento ainda não abrange essa área ainda! Acredito que tem um outro sample para analisar. .text .text$mn .idata$5 .rdata .rdata$zzzdb .idata$2 .idata$3 .idata$4 .idata$6 .CRT$XCA .CRT$XCZ .data .bss
  14. Aof

    AnalyseMe - Nível 00

    Estou com uma duvida @Leandro Fróes. Esse malware tem algum packer ou outro tipo de proteção? Quando analisei ele com o RDG retornou pra mim como Microsoft Visual c++ v6.0 SPx e abaixo FAKE SING. Existem fake sing nesse malware? Se houver proteção no malware qual material devo estuda pra bypass isso. Pfv
  15. Aof

    VB.crypt

    Estou analisando um malware que esta com esse crypt VB.Crypter.Vi mas consegui bypass por não ter encontrado nada pra tirar ele na internet, mas se alguém tive como me ajudar, agradeço.
×