Wajdy.Essam

كما شاهدنا في الجزء الأول من الموضوع (1)  أن فايروسات الautorun يمكن ان تعمل من خلال 4 طرق :

• أن تعمل تلقائيا بدون تدخل المستخدم بمجرد تركيب الفلاش أو السي دي ، ولكن كما ذكرنا أن الفايروسات ذاتها لا تستخدم هذه الخاصية ، ولكن هناك فلاشات لديها برامج تدعم هذه الخاصيه ، وبالتالى في حال كان الفلاش مصاب بالفايروس ستصاب مباشره بمجرد ادخالك للفلاش . اليوم تحصلت على فلاش من نوع u3 وذكر لي صديقي انه ملئ بالفايروسات وقمت بادخاله وكنت ناسى اني لم اغلق خيار الautorun وقام ملف الautorun مباشره بالعمل ، ولكن الحمد لله الـ AntiVir كان يعمل في تلك اللحظه .

• الطريقة الثانيه وهي أن تعمل من خلال autoplay ويمكن أن تخدع المستخدم كما في فايروس kido أو الإسم الأخر له conficker

• أن تعمل عند الضغط على الجهاز دبل كليك

• أن تعمل عند عند الضغط بالزر الأيمن واختيار أحد الأزرار الملغمة .

في هذا الدرس سوف نستعرض عده طرق للحمايه من التشغيل التلقائي لهذه الفايروسات ،، وأول طريقة هي الغاء الAutorun للسواقات في الجهاز ،، ويمكن الغاء عمل الAutorun بطريقتين الأولى من خلال الGroup Policy والذي يقوم باستخدام الRegistery والطريقة الأخرى هي باستخدام الRegistry وهي تعطينا تحكم أفضل كما سنشاهد الأن .

لكي نتأكد من الطريقتين لنفس الهدف ، قم بفتح مسجل النظام من خلال start ثم run ثم regedit.exe وقم بالذهاب الى هذا المسار :

نلاحظ أن القيمه هنا 91 وسنعرف بعد قليل الى ماذا ترمز.

ننتقل الى الطريقة الثانيه وهي من خلال الGP ، من start أختر run ثم أكتب gpedit.msc وقم بالذهاب الى هذا المسار:

والأن اضغط دبل كليك ثم اختر enable ولكل الأقراص :

هكذا سنكون قد عطلنا التشغيل التلقائي لأي برنامج في ملف autorun.inf ،، نعود الأن لمسجل النظام ونفتح المسار الذي سبق وقمنا بفتحه وسنجد التغيير التالي :

تغيرت القيمه الى ff ،، حسنا هذه قيم بالHex تحدد لنا نوعيه ما نريد الغائه من العمل ، سواء كان الCD-Rom أو الRemoval Disk مثل الفلاشات وغيرها من الأجهزه ،، القائمه التاليه تحدد القيم لتعطيل جهاز معين ، وفي حال أردنا اختيار أكثر من خيار فنقوم بعملية جمع القيم ونضع الناتج النهائي (hex addition) :

لنعد الأن للمثال السابق ونقوم بتركيب الفلاش سنجده بالشكل التالي :

نلاحظ أن الضغط بالزر الأيمن واختيار اي خيار سوف يكون بالشكل الطبيعي ولن يعمل البرنامج ، نلاحظ أيضا أن الدبل كليك سوف يفتح الفلاش بشكل عادي كأنه لا وجود للautorun . فقط سوف يكون عمل autorun محصور على تغيير الlabel وتغيير الأيقونه للفلاش . (ملاحظه مهمه في حال اشتغل البرنامج بعد هذا التعديل فيعني أن نظامك غير محدث ويحتاج للتحديث راجع مقالة رقم KB967715 و 953252 من موقع مايكروسفت )

هناك من اقترح طريقة أخرى تقضي تماما على المشكله وهي باضافة قيمه لمسجل النظام تجعله يتجاهل تماما أي ملف autorun وكأنه لا يعرفه وهنا في حال استخدمنا هذه الطريقة فسوف لن تتغير ايقونه الفلاش ولا اسمه ايضا وسيكون اسمه وشكلة مشابه لبقية الأقراص .

الطريقة وهي باضافة التالية لمسجل النظام في المسار الموضح :

بعد ذلك سيتجاهل النظام أي ملف autorun ولن يقرأه من الأساس ، وهكذا سيكون فلاشنا بالشكل العادي :

وفي حال أردت ارجاع الأمور الى ما كانت عليه قم بحذف المفتاح Autorun.inf بالكامل .

هناك حل ثالث لمشاكل التشغيل الذاتي لفايروسات الautorun وهي اضافه خيار لقائمه الزر الأيمن خاص بحذف أي ملف Autorun موجود في السواقه ، ولكن هذا الحل غير كافي ويجب أستخدام أحد الحلين السابقين، وهناك برنامج بنفس الوظيفة اسمه Autorun eater ،، ان شاء الله نقوم بكتابه بريمج بسيط لنفس المهمه فيما بعد .

الى هنا نصل لنهايه هذا الموضوع وأتمنى أن تتنهي مشاكل التشغيل الذاتي لفايروسات الAutorun . وسأحاول أن أجرب الحلين أيضا على فلاشات الu3 مع أنه الحل الثاني (اضافة مفتاح autorun,inf) ينهي المشكلة تماما من جذورها ، ولكن بالنسبة للحل الأول فيجب أن أقوم بالتجربة وأوافيكم بالنتيجة .

ربما نقوم بعمل برنامج Utility بسيط للمستخدم النهائي ، يحتوي على زر لتفعيل وتعطيل الAutorun (الطريقة الأولى)، ويحتوي على زر تجاهل الAuorun بالكامل أو ارجاعها للعمل (الطريقة الثانيه) ، اضافه الى ادخال نفسه في قائمه الزر الأيمن باسم Safe Enter مثلا بحيث عندما نضغط على هذا الخيار يقوم بحذف ملف Autorun ان وجد ثم يقوم بفتح الفلاش بشكل عادي،،

والسلام عليكم ورحمه الله وبركاته،،