‫  ها ا

ب   آ
‬
‫‪www.kutub.info‬‬
‫ &‪  2#$‬ا 
‪-. / 01‬ت ا ‪&'( ، *!+‬ا ‪#$%‬ر!‬ ‫ام 
ور ا ‪,,,‬‬

‫)( '&& ا‪%‬م ‪$‬ف " آ إاج اوا  ا اي ‪ ,‬و‪$‬ف‬
‫ " ‪ 123‬إ‪.‬ام ا‪.‬وال ‪./‬ا‪ ,-‬ا‪+‬ا* ‪,,,‬‬

‫'&ل ‪ :‬ه‪&A ,‬ه‪.‬ت ‪> *&6/‬ي ‪%=2‬ي " زر أ و ‪ .‬ا‪%12 67)  89:‬م ‪ & ,$/‬؟!‬
‫' )‪ C‬ا‪.‬ي ‪ ,,‬إ‪&DE‬ر ‪)&6‬ة ‪ , $‬إ‪I‬ق ا‪&DG‬ز ‪ ,‬إ‪&DE‬ر ‪ ,, $ %$‬وا
'‪..‬‬

‫ه‪ )$ .2> ,‬ا

‪%‬د أو )
ة ا
‪%‬د ا
‪%‬ب ‪./‬ا‪ ,-‬ها ا ؟!‬
‫ه‪ .2> ,‬إاف ا‪ () M+‬أآ‪%‬اد ا اي ؟!‬

‫)( ا ا)‪>  .G N‬ي ‪ ,‬وه‪ %‬ا اي ‪  N+P‬ا‪.‬رس‬
‫و‪ .G‬أ‪%9:  &ً:2‬ط ‪ Scode R&/ -S‬ها ا ‪%=2‬ي " ا‪Z‬ة‬
‫ا[‪.‬ر‪  2‬اي 
( ‪&16‬رن ‪ G+&/  &[& /‬ا‪ , 
$‬و‪ /‬ا
‪%‬د ا](‬

‫‪.+6‬أ )( ا‪%_%‬ع ‪:‬‬

‫‪ ,9A‬ا اي ‪ ,‬و`ب اوا ا‪%`%‬دة )( ا&)ة ‪ ,‬و‪ .$/‬ذ‪ a‬أ‪ NI‬ا‪*&6+‬‬
‫‪-7/ c d‬اج ا اي  ا ا‪%9:‬ط إ" أي ‪, .G‬‬

‫‪ olly *&6/ ,9A‬و ‪%G> , Open d file g&c‬ل )( ا‪&DG‬ز وإ‪ -‬ا اي‬
‫و‪ .$/‬أن ‪ a)  olly (D2‬ا‪ ,9A oG‬ا‪ *&6+‬اا‪ N23  nc‬ا&ح ‪F9‬‬

‫وا‪r‬ن ‪%1‬م ‪.2.` 12P/‬ة )( إاج اوا ‪ () =_% 

>  ,‬ا' ا&‪, 1/‬‬
‫‪ .$/‬أن >ى ‪)&6‬ة ا‪ *&6+‬اا‪DE .c nc‬ت ‪ ,‬إر`‪ o‬إ" ‪ olly‬وإ_‪ " 89‬ف ‪W‬‬
‫أو  ‪Windows d View g&c‬‬

‫‪)&6 a Dy‬ة `‪.2.‬ة >=‪%‬ي " أ&ء اوا وا‪%‬ا) ا‪%`%‬دة )( ا‪D/ , *&6+‬ا ا‪,
Z‬‬

‫وا‪r‬ن إ‪ -‬ا&)ة او" وه( ا&)ة ا‪ d , g‬إ_‪ " 89‬ا‪z‬ر ا‪& 2‬وس‬
‫‪ g&c a Dy‬إ‪ -‬ا ا&{ ‪Message breakpoint on Classproc‬‬

‫‪)&6 a Dy‬ة ‪&-R‬ر ‪ " c%> P16‬ر&‪ ,g‬ا‪&y‬م ‪D/ ,‬ا ا‪,
Z‬‬

‫‪„&/‬آ‪%1 &67) .‬م ‪&-7/‬ر ا& ‪ WM _COMMAND‬ور‪111 &Dc‬‬

‫و>‪ " c%> P16 ($‬أي زر أ )( ا‪ , *&6+‬و>‪ oP‬أن >ا‪ nc‬أي ر& )( ا‪&y‬م‬

‫ا‪ .2.=> .$/ D‬ا& ‪ ,‬إ_‪ " 89‬زر ‪%$ , OK‬د إ" ‪ g&c‬ا‪%‬ا)‬
‫‹ >‪% 9‬ن ‪%‬ان ا&)ة او" إ" ا‪%‬ن ا‪%‬ردي ‪D/ ,‬ا ا‪,
Z‬‬

‫وا‪r‬ن إر`‪ o‬إ" ‪)&6‬ة ا‪ *&6+‬اا‪ d , nc‬إ_‪ " 89‬أول أ ‪CMD 01‬‬
‫ها ا ‪%12‬م ‪$/‬ض &)‪ y‬ا‪ A&Z‬ا‪c%‬‬

‫و ‪ .‬ا‪ c%> ‹  89:‬ا ‪ .‬ا‪%$‬ان ‪address 004010E0‬‬

‫ها ا‪%$‬ان ‪% ,'2‬ان ‪./‬ا‪ 2‬دا ‪ G&$‬ا&‪)& ,g‬ة ا‪, g‬‬
 6‫&ر‬1 ‫ وهة أوا‬case ‫ و‬switch ‫ل‬-  CMD 1  ‫د‬%
‫ ا‬2&D6‫ و‬2‫ا‬./ &)
F8 ‫ &ح‬N23  8/ ,=‫ ا‬, &D)$> ’ “‫ وإذا آ‬, G+‫& ا‬D)$2
‫ ا‬,12‫ و‬CMD 1 2 d ‫&رن اوا‬12 *&6+‫ أن ا‬.G 89:‫د إار ا‬G/

,D‫ أ‬12P‫ وا‬,, ‫وال‬.‫ام ا‬.‫ إ‬123 ‫د‬.=6 ‫( أن‬1/ ‫د ا اول‬%‫& آ‬6‫د‬. ‫ أن‬.$/

‫رة‬%[‫ )( ا‬C_% %‫ آ& ه‬, ‫م دا‬.‫ إ‬CMD 1 ‫د ا‬%‫ )( آ‬6„/ .G6 2‫ا‬.+‫)( ا‬
GetActiveWindow ‫ و‬SendMessage : &‫ا ه‬.‫وا‬
‫ى‬-‫ دا أ‬,-‫ دا‬. ‫„ن دا‬/ ‫ط‬%P‫ل ا‬-  a +2 olly *&6/ ‫„ن‬/ ‹>‫و‬
8P‫ا ا‬D/ , SendMessage ‫ا‬.‫&رات ا‬/ a +2‫و‬
{
$&/ n
> (+R‫ ا‬9 ()‫ و‬, ‫&رات‬/ o/‫& أر‬D sendmessage ‫ا‬.‫ ا‬y
: ‫رة‬%[‫ )( ا‬C_%‫د ا‬%
‫’‹ ا‬
‫د‬%‫آ‬
or = NULL 0= // o/‫&ر اا‬+‫ا‬ B :PUSH 00040112
x0F1400= //  &'‫&ر ا‬+‫ا‬ D :PUSH 0F1400040112
..…………
or = WM_SYSCOMMAND 112=// (6&'‫ا‬ B :PUSH 1120040113
CALL GetActiveWindow: 00401140
// hWnd // ‫&ر اول‬+‫ا‬ PUSH EAX: 00401146
CALL SendMessageA: 00401147

%‫ ا( ه‬9/ ‫د ا‬%‫ت أن آ‬.`% *&6+ ‫ري‬.[‫د ا‬%

‫ )=“ ا‬%
‫د‬%‫آ‬
SendMessage(GetActiveWindow(),WM_SYSCOMMAND,SC_SCREENSAVE,NUL
;(L

2  ‫ن ا‬7) olly () C_% %‫&م آ& ه‬c‫&ر‬/ C_%‫د ا‬%
‫“ ا‬+‫وإذا آ‬
: (‫ ا‬9/ n
2 ‫
 أن‬2 ‫د‬%
‫{ ا‬6 ‫ '&ل‬, ‫&م‬c‫ ار‬n
2 2&D‫ن ا` )( ا‬
‫د‬%‫آ‬
;(SendMessage(GetActiveWindow(),0x112,x0F140,0x0

z‫ ا‬9> y o , a/ ‫ل‬%G‫ا* ا‬/ () " ‫د‬%

‫{ ا‬6 n
2 ‫
 أن‬2‫و‬
h112 a/ ‫ل‬%G‫ )( ا‬n
2 x1120 c‫ ' ا‬, {
D‫&م ا‬c‫ر‬

!‫س ؟‬.
‫ ا‬N23  ‫ة‬z‫ و`&ه‬+> ‫&رات‬+‫&د ا‬G2‫ إ‬oP>‫و‬
address 00401147 ‫ان‬%$‫ إ" ا‬,[> ‫ إ" أن‬F8 " 89:‫إ )( ا‬
‫ان‬%$‫ ا إ" ها ا‬,[2 ‫ أن‬.$/‫ و‬sendmessageA ‫ا‬. ‫ &ء‬.R‫ أ ا‬%‫وه‬

,‫ )( ا&)ة ا" )( ا‬C_%‫ ا‬1‫ ا‬%‫ وه‬, ‫س‬.

‫ ا‬c " o3‫ إ‬81)
‫ري‬.[‫د ا‬%
‫“ )( ا‬+‫ آ& آ‬+> ‫&رات‬+‫ ا‬.G

2‫ر‬.[‫ة ا‬Z‫ ا‬2‫ >=“ زر ا دون رؤ‬n‫د اي آ‬%

‫ إ`& ا‬.c ‫ن‬%
6 ‫ا‬D/‫و‬
( *‫ا‬+‫اد ا‬%‫) أآ‬$ ) 
$‫ ا‬G+‫ )( ا‬.g‫ا‬%‫  أه ا‬+$> 12P‫وهة ا‬
 ‫‪-----------------------‬‬
‫‪7/ “c %‬آ&ل إاج اآ‪%‬اد ‪ 1+‬اوا ‪&[ ,‬د)‪  -S ,
A a‬ا‪.‬وال وه(‬
‫ا‪.‬وال ا&] )( ا‪ ,1> .. *&6+‬ا  > ‪   %G‬ا‪.‬وال‬
‫و„‪&' -‬ل ‪,,,‬‬

‫ا ا'&‪ D/&Z CMD 02 (6‬ول ‪ o‬إ‪-‬ف ا‪&+‬ر ا'&‪ ‬‬

‫و‪.2‬م ‪$‬ض ‪ g&c‬إ‪./‬أ ‪start‬‬

‫ا ا'&‪: CMD 03  ‬‬

‫ها ا ‪)&6 ,9Z2‬ة إ ‪.‬ادات ا‪$‬ض  ‪ % N23‬ا=
‪ ,,‬آ؟‬
‫‪%
> .c‬ن هة ا‪.‬ا ‪./ ,[> &D6 ,, 2%3‬ا دا‪ ,-‬ا‪%1> *&6+‬م ‪./‬وره& ‪&[>R&/‬ل ‪.$/‬ة دوال‬
‫وها ه‪ %‬ا‪ ,
Z‬ا'&‪ (6‬وا ‪ ,,‬و
 ا‪! 8/ 9Z‬‬

‫‪ &/‬أ‪./ () &6‬ا‪ 2‬ا‪%_%‬ع ‪.‬د‪ " c%> P16 &6‬آ‪ ,‬اوا ‪&=6 ) ,‬ج  ‪-S‬‬
‫‪ ,9A‬ا‪ *&6+‬اا‪ .$/ , F9 N23  nc‬ذ‪ 6 a‬ا ‪CMD 03‬‬
‫‪ c%‬ا ‪./ .‬ا‪ G&$ 2‬ا&‪ ,, ,g‬ا‪%‬ن ا‪%‬ردي‬

‫‪ .$/‬ذ‪ a‬إ )( ا ‪&G F8‬وز دوال ا‪&1‬ر‪ , ,g& 6‬و‪ a1‬ا‬
‫إ" ‪./‬ا‪ 2‬آ‪%‬د ا ‪ . CMD 03‬ا‪%$‬ان ‪address 00401152‬‬
‫وه‪ ,'2 %‬دا ‪ () ]&-‬ا‪ *&6+‬و>‪.‬م ‪&/‬ر وا‪.‬‬
‫آ‪%‬د‬
‫‪;"PUSH ASCII "Desk.cpl: 00401152‬‬
‫‪CALL 004014F0: 00401157‬‬

‫هة اوا >'‪ () ,‬ا‪Z‬ة ا[‪.‬ر‪ 2‬ا‪&16R‬ل ‪.‬ا ا‪.‬ا‪ -‬ا&] )( ا‪*&6+‬‬
‫وه( ‪LaunchControlPanelApplet‬‬

‫ا‪ " ّ D‬ا‪%$‬ان ‪ 00401157‬وه‪ ,'2 %‬ا‪CALL $‬‬

‫‪ d‬إ_‪ 89‬ا‪z‬ر ا‪& 2‬وس وإ‪ -‬ا ‪ a1 Follow‬ا‪ *&6+‬إ" ‪%‬ان `‪.2.‬‬
‫وه‪ %‬ا‪%$‬ان ‪ " c%> P16 o_ , address 004014F0‬ا‪%$‬ان‬
‫‪.7/‬ام ‪ 6 d , F2‬ا‪.7/ *&6+‬ام ‪ c% , F9‬ا )( ‪./‬ا‪ 2‬ا‪.‬ا‬

‫‹ ‪„/‬ن ا‪.‬ا >‪.+‬أ ‪./‬وال ‪ n>/ ]&-‬ا[‪%‬ص ‪ &D2 & ,‬ه( دا‬
‫ا‪ , ,9Z‬إ )( > ا
‪%‬د إ" أن >[‪ ,‬إ" ا‪.‬ا ‪CreateProcess‬‬

‫ى آ آ‪ “+‬ا‪.‬ا ‪ ,‬وا‪&+‬رات )( ‪ ,G‬ا

‪.‬س‬

‫أ ‪„/ .1‬ن ‪&/‬رات ا‪.‬ا وا_= ‪ ,‬و‪ {/‬ا>‪ n‬ا‪%`%‬د )( ا

‪%‬د ا[‪.‬ري‬

‫‪&/ -S (1/‬ر‪ () 2‬ا‪.‬ا وه& ‪ pStartupInfo ,‬و ‪pProcessInfo‬‬

‫هة ا‪&+‬رات ‪&+‬رة  إ>=&د ‪   %G‬ا‪9‬ات‬
‫و‪$‬ض ‪ c‬ا‪9‬ات ا‪ () .‬ا‪.‬ا ‪,,‬‬
‫إ‪ -‬ا‪ +‬أو ا‪&=>R‬د ‪ d ,‬إ_‪& 89‬ح ‪Enter‬‬
‫أو  ‪-‬ل ا‪z 89:‬ر ا‪& 2‬وس وإ‪&-‬ر ‪Follow in stack‬‬

‫‪-------------‬‬
‫و‪D/‬ا ‪%
6‬ن ‪ .c‬أ‪ &D6‬ا'ث أوا ‪ ,,‬و>‪(A &$‬ء ‪ () D‬ا‪ G+‬ا‪
$‬‬
 ‫إاج أ)
&ر ودوال ا‪+‬ا*‬

‫هة ا‪ % 9Z‬إ‪ &D “2‬و&و“ ‪ M+6‬أآ‪%‬اد أي ‪> *&6/‬اة ‪) .$/ ,,,‬ة‬
‫[‪ / () +- C+‬ا‪+‬ا* و‪ , 123‬ا‪ ,, y6‬وأي ‪(A‬ء ‪.=2‬ث أ&‪ " a‬ا‪$ (c.] A&Z‬ف‬
‫[‪.‬رة ‪ ,,‬وآ >  دون ا=&` ‪ a‬ا‪ oG‬؟!!‬