مرکز فناوری اطلاعات دانشگاه رازی مسعود مردان نیا
DESCRIPTION
مرکز فناوری اطلاعات دانشگاه رازی مسعود مردان نیا. ويروس های کامپیوتری و راههای شناسايي و مقابله با آنها. Computer Viruses & Methods of Detection. مقدمه. امروزه مسئله ويروسهاي رايانه اي به يک معضل بسيارجدي تبديل شده است. براي يک کاربر PC ممکن است حداکثر ضرر - PowerPoint PPT PresentationTRANSCRIPT
مرکز فناوری اطالعات دانشگاه رازی
مسعود مردان نیا
ويروس های کامپیوتری و راههای شناسايي و
مقابله با آنها
Computer Viruses & Methods of Detection
مقدمه
معضل يک به اي رايانه ويروسهاي مسئله امروزهبسيارجدي
. کاربر يک براي است شده است PCتبديل ممکنضرر حداکثر
اطالعات رفتن مخرب،ازبين ويروس يک از ناشيهاي وبرنامه
وجود حاليکه در باشد اش سامانه روي موجود مهمپايگاه يک اي رايانه هاي سامانه در ويروس يک
کره حيات و بشريت وجود تواند مي اي هسته نظامي. کند تهديد را زمين
رشد سرطان گونه ويروس ها متخصصين را بر آن داشت که برنامه هايي براي نابودي ويروس
ها بسازند.
. “ شد ” ساخته کوهن توسط اي رايانه ويروس اوليناي برنامه ، دانشجويي پروژه يک عنوان به صرفا کوهنوار انگل و کرده تکثير را خود توانست مي که نوشت را
به درآنها تغيير ونوعي شود متصل ها برنامه ديگر به. آورد وجود
علت نامگذاري ”ويروس“ بر روي اينگونه برنامه ها ، تشابه زياد آنها با ويروس هاي بيولوژيکي
بود.
اولين ويروس
که هستند هايي برنامه اي رايانه ويروسهايبرنامه يک به اتصال با و تکثيرشوند توانند ميديسک،همراه اي سامانه نواحي يا و اجرايي
. گردند اجرا آنهاقسمتهاي در را خود کد توانند مي ها ويروسکپي فالپي يا هاردديسک مثل رايانه مختلف
خود ويا کننددرحالي اين کنند، بارگذاري حافظه درون را
که واعمالي ويروس کاربرازوجود که است. است اطالع بي کامال دهد مي انجام
که ما با آن مواجه خطراتیهستيم
Worms- برنامه های مخرب ویروسها- 1) توجه به حفره )
- حمله نفوذ گران و سارقان2DDos و Dos- حمالت 3- مشکل شبکه های بی سیم 4
(Wireless) ( و Spywarc-برنامه جاسوسی ) 5
تروجان ها- روت کیت و ...SPAM- هرز نامه 6
وجود اين حوادث داليل- نداشتن نرم افزار قانونی و عدم توجه به کپی رایت در 1
سازمانها و شرکتها
- حفره های نرم افزاری و عدم به روز کردن نرم افزار 2خارجی ) ایرانی (
- عدم دقت در تنظیمات امنیتی برنامه- سیستم عامل- 3سرور- شبکه- روتر و ...
IT-نداشتن مشاوران امنیت اطالعات در کنار متخصصان 4
- عدم توجه به امنیت در فرایند مکانیزاسیون سازمان 5
و . . .
)Cert موسسه ( ICT نمودار وضعيت
وبسایتتعاملی
شبکهبیسیم
اجازهدسترسیراهدوربهشبکه
دسترسیکارکنانبهوب
اینترنتوایمیل
سال2005
سال 2002
CERT
0 25 50 75 100
مشکلهرزنامه
آاودگیبهویروس
ازدستدادنداده
مشکلامنیتی
سال 2005سال 2002
ويروس هم مانند هر برنامه رايانه اي نياز به محلي براي ذخيره خود دارد.منتهي اين محل بايد به
گونه اي باشد که ويروس ها را به وصول اهداف خود نزديک تر کند.
: اجرايي هاي با فايل معموال که.dll,.ovl,.bin,.sys,.com,.exe,.sc.پسوندهاي وجوددارند
( انداز راه واحد( : Boot Sectorقطاعشماره قطاع ودر است عامل سامانه اندازي راه
. دارد قرار سخت ديسک صفر ديسک بندي بخش جدول
( Partition Table : ) اطالعات شاملقطاع در و است سخت ديسک بندي تقسيم
. دارد قرار سخت ديسک صفر شماره
عملکرد ويروس ها
سامانه عمليات حين در وقفه يا تاخير ايجادرايانه اندازي راه يا و ها برنامه اجراي از اعم
بخش اطالعات و ها برنامه حذف يا تخريبکردن فرمت حتي يا و ها ديسک مختلف هاي
ها ديسک که نحوي به حافظه در تکثير و حافظه اشغال
ها نامه بر ديگر اجراي براي جايي حافظه درهاي برنامه کار در اختالل باعث يا و ماند نمي
. شود مي حافظه در موجود ديسک فضاي اشغال
فايلهايexe وcom زياد حجمشان و کنند مي رشدشود مي
. دارد الصاقي ويروس يک سامانه نمي اجرا بدرستي کنيم مي اجرايشان که هايي برنامه
. مانند مي باز کار ادامه از خطا پيغام چند با و شوند. ها پوشه در مشکوک تغييرات ويروس يک سامانه درحافظه در TSRکاهش
. کند مي زندگي شما سامانه. مشکوک خطاي پيغامهاي. سامانه عمليات در سرعت آمدن پايين
انواع ويروس ها
ويروس هاي فايلي (File Viruses): اين ويروس ها معموال فايل هاي اجرايي را آلوده مي کنند.فايل هاي آلوده به اين نوع ويروس ها اغلب
هستند. exe.يا com. داراي پسوند ويروس هاي ماکرو(Macro Viruses): اين
ويروس ها فايل هاي برنامه هايي را که داراي MS Excel وWord MSزبان ماکرو هستند(مانند
و...) آلوده مي کنند.ويروس هاي بوت سکتور)Boot Sector
Viruses : ( اين گونه ويروس ها قطاع راه اندازديسک سخت يا جدول بخش بندي ديسکهاي
سخت را آلوده مي کنند.
ويروسهاي اسکريپتي(Script Viruses): اين ويروسها که اسکريپتهاي نوشته شده به
زبان ويژوال بيسيک يا جاوا مي باشند ، تنها Internetدر رايانه هايي که برروي آنها
Explorer نصب شده باشد و توانايي ها را داشته باشند ، اجرا Scriptاجراي
مي شوند و فايلهاي با پسوند html,htm,vbs,js,htt,.aspرا آلوده
مي کنند.ويروسها ممکن است در يک يا چند دسته
ازدسته هاي زير قرار بگيرند: Memoryويروسهاي مقيم در حافظه(
Resident Viruses: ( اينگونه ويروسها با مقيم شدن در
حافظه،هنگام دسترسي به فايل هاي ديگر آنها را آلوده مي کنند.
) : Encrypting Viruses( ويروسهاي کد شده اين ويروسها پس از هربارآلوده سازي، با
استفاده از شيوه هاي خود رمزي شکل ظاهري خود را تغيير مي
دهند.
اين ):Stealth Viruses ( ويروسهاي مخفيويروسها به روشهاي مختلف ردپاي خويش را پاک مي کنند و خود را از سامانه عامل و نرم
افزار هاي ضد ويروس مخفي نگه مي دارند.آنها درحافظه مقيم شده ودر اين صورت کليه
درخواست هايي که نرم افزار ضد ويروس به سامانه عامل مي دهد را دريافت مي کنند وبه اين ترتيب ضد ويروس را هم فريب مي دهند.
تظاهر مي کنند کارخاصي ) : Trojan( اسب هاي تروارا
انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند.
برنامه هايي ): Logic Bomb(بمب هاي منطقي هستند
که در زمانهاي از قبل تعيين شده، مثال يک روز خاص ، اعمالي غير منتظره انجام
مي دهند. اين برنامه ها بر خالف ويروس ، فايل هاي ديگر راآلوده نکرده و خود را گسترش نمي دهند.
برنامه هايي هستند که مشابه ) :Wormsکرم ها( ويروس توان تکثير کردن خود
را دارند، ولي برعکس آنها براي گسترش خود نياز به برنا مه هاي ديگر ندارند.کرم ها معموال از نقاط آسيب پذير برنا مه
براي توزيعE-Mailهاي I LOVE يا mydoom وسيع خود استفاده مي کنند مثل کرم
YOU.
) Polymorphic Viruses(ويروسهاي چند ريختاين ويروسها در هرفايل آلوده به شکلي ظاهر مي :
شوند و از الگوريتم هاي کدگذاري استفاده مي کنند ورد پاي
خود را پاک ميکنند.
اين نوع از ويروس ها در :)HOAX( گول زنک هاقالب پيامهاي فريب آميزي ،کاربران اينترنت راگول
زده و به کام خود مي کشد.آنها معموال به همراه يک نامه ضميمه شده ازطريق پست
الکترونيک وارد سامانه مي شوند . پيغام ها مي توانند مضموني تهديد آميز يا محبت آميز داشته باشند.تغيير پيام و يا ارسال آن
امکان پذير Forwardبسيار ساده بوده و با دستور است. ويروسي که پشت اين پيغام ها مخفي شده
مي تواند يک بمب منطقي، يک اسب تروا و يا يکي از فايل هاي
سامانه اي ويندوز باشد.
يا برنامه به که است اصطالحي ويروس ضدبراي که شود مي هااطالق برنامه از اي مجموعه
استفاده ها ويروس برابر در ها رايانه از محافظت . ويروس ضد برنامه هر قسمت مهمترين شوند مي
اسکن آن( Scanning Engine)موتوراست. متفاوت موتور هر عملکرد جزئيات است
به آلوده هاي فايل شناسايي وظيفه آنها همه وليدر ودربيشترموارد دارند عهده به را ويروس
قادربه ويروس ضد باشد آلوده فايل که صورتي . است آن بردن بين از و پاکسازي
: از عبارتند ويروس آنتي افزارهاي نرم از دونوع افزار از :Monitoringنرم متفاوت نظارت افزار نرم
افزار . scanningنرم از ناشي خسارتهاي افزار نرم اين استمثل قانوني غير ويروسي فايلهاي overwriteفعاليتهاي کردن
کردن فرمت دوباره يا مي hard driveرايانه تشخيص را رايانه. کند مي کشف و دهد
افزار تواند Scanning: نرم گرمي پويش افزار نرمو کند شناسايي را اي رايانه ويروس کدهاي هاي ويژگي
. کند جستجو آن دنبال به رايانه درفايلهاياسکنرهاي از ويروسي ضد افزارهاي نرم On-demandبيشتر
On-accessو. کنند مي استفاده
کند : On-demandاسکنرهاي فعال را آنها کاربر که زمانيکنند . مي اقدام
روي : On-accessاسکنرهاي ويروس دنبال به طورمداوم بهمشاهده قابل کاربر براي آنها فعاليتهاي دارند،اما نظارت رايانه
. دارند قرار صحنه پشت در هميشه و نيستند
نرم افزارهاي آنتي ويروس عموما از دو تکنيک براي تشخيص ويروسها استفاده مي
کنند:تکنيک . استفاده از فايل امضاي ويروس :1 اين
آنتي شرکتهاي که دارد را ويروسهايي شناسايي توانايييا امضا آنها براي کنون تا توليد Signature ويروس
. موجود فايلهاي متن ويروس ضد روش اين در اند کردهبازمي را آنها عامل سامانه که هنگامي را دررايانه
به را آن و کند مي امتحان ميکند ياارسال بندد کندياميويروس آنتي نويسندگان که ويروس امضاي فايل
. دهد مي اندارجاع داده تشخيصفايل امضاي ويروس يک رشته بايت است که با استفاده از آن
مي توان ويروس را به صورت يکتامورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسانها مي باشد.
امضاي فايل در موجود ويروس با فايلي در کد تکه يک اگرکارهاي از يکي ويروس ضد افزار نرم داشت مطابقت ويروس
: دهد مي انجام را زير تنهايي به ويروس بردن بين از توسط را فايل تا کند مي سعي
. کند تعمير ( هاي برنامه توسط دسترسي قابل فايل فايل کردن قرنطينه
). يابد گسترش تواند نمي آن ويروس نباشدو ديگر. کند پاک را آلوده و ويروسي فايل
پايگاه همان يا ويروس امضاي فايل ، تکنيک دراينمتناوب طور به بايد ، شده شناخته ويروسهاي داده
update آخرين به راجع را اطالعات آخرين شودتا. آورد دست به ويروسها
) ( راتشخيص ناشناخته جديد ويروسهاي وقتي کاربراننويسندگان به را آلوده هاي توانندفايل مي دادند،
. کنند ارسال ويروس آنتي
Heuristic( . استفاده از الگوريتم اکتشافي2Analyzer:(
رسيد مورد هزاران از بيش به مخرب کدهاي تعداد وقتيهر براي توانند نمي که ديدند ضدويروس کمپانيهاي و
روش اين فکر به کنند، تهيه جداگانه امضاي يک ويروس،که. ناشناخته ويروسهاي کشف براي تکنيک اين افتادند
. رود مي کار به ندارد وجود آنها امضاي فايل
دراين تکنيک از روش زير استفاده مي شود:
Dynamic Heuristic analysis: شبيه – محيط يک در فايل که معني اين به کد سازي
اجرا به شروع مجازي ماشين داخل در شده محافظتتا دهد مي اجازه ويروس آنتي برنامه به سپس کند مي
سازي شبيه اجرا هنگام به را مشکوک فايل يک رفتارواقعي ازماشين اصلي مشکوک کد که حالي در کند
. مثل ويروسي وبعدبرفعاليتهاي است شده کامالمجزاپنهان براي تالش و ، فايل نويسي دوباره ، کد تکرار . يک هرگاه کند مي نظارت مشکوک فايلهاي سازي
فايل کرد، پيدا را ويروس شبه فعاليتهاي آن از يابيشترگذاري عالمت مشکوک
. اگر مثال شود مي داده اطالع کاربر به و شود ميکرده استفاده کننده تصحيح رمزخود از اي برنامه
. آيد شمارمي به ويروس
ويروسهاي مقابل در را بيشتري حفاظت تکنيک اينداده پايگاه وارد هنوز که تجاري جديد
. آورد مي وجود ،به نشدند ويروسي هاي نشانه
بعضي از آنتي ويروسها از روشهاي ديگر اکتشافي :استفاده مي کنند
1. Instruction Prevention System)IPS( : اين روش متکي بر بستن آسيب
پذيرهاي يک سامانه است که در واقع قبل از آنکه يک کد مخرب حمله خودش را آغاز کند، راه ورود و
تخريبش را مي بندد.
يک فن�اوری خوب عليه هکرها و .bodilessويروسها و کرمهاي
براي ديگر کدهاي مخرب مثل کرمهاي ايميل ، ويروسهاي عادي و تروجان ها موثر
نيست.
2. Behavior Blockers : محدود کننده سال پيش به وجود 13رفتارها .تقريبا حدود
آمدند و مورد توجه قرار نگرفته اند!! اما در سالهاي اخير با پخش شدن سريع
کدهاي مخرب اين روش هم رونق پيدا کرده است . اين روش به رفتارهاي مشخص و واضح کرمها و ويروسها توجه ميکند ودر
صورت کشف چنين رفتاري اجازه انجام شدن آن را نمي دهد.
Prehistoric behavior blockers: در هاي behavior blockerواقع همان
قديمي.کار اين نوع که اولين نسل بودند خيلي ساده بود: رفتارهاي اتفاقي
را به کاربر هشدار مي داد و به او اختيار
انجام يا توقف آن را مي داد.
behavior blockers for vba programs : اين نوع سپر دفاعي هم از
کاربر دستور مي گرفت و همين کار را انجام مي داد چون خودش نمي توانست بفهمد چه رفتاري مخرب وچه رفتاري نيست. ولي اين
بلوکرها قدرت تشخيص در مخرب بودن را نسبت به نوع اوليه بيشتر داشتند.
Second generation behavior blockers : در اين روش که نسل بعدي
بلوکرها است، به جاي بلوک کردن تک تک رفتارها ؛ يک رشته از رفتار آناليز و بلوکه
مي شود و به اين صورت اخطارهايي که به کاربر داده مي شود به طور چشم گيري
کاهش مي يابد. نرخ شناسايي اين روش زياد است .
(60)بيش از %
به روز آوری هاي منظم احتياج ندارد. از منابع سامانه به ميزان خيلي کم استفاده مي
کند. کاربر را در تصميم گيري براي متوقف ساختن
يک کد مخرب درگير مي کند.
3 .Policy based security : اين روشهم يکي از روشهاي موثر در جلوگيري از
اجراي کد هاي مخرب از طريق تعريف Policy براي منابع به شمار مي رود.شرکت
هاي زيادي از اين راهبرد براي جلوگيري از طيف وسيعي از آلودگي ها استفاده مي کنند. يک طراحي خوب مي تواند از حمله
هاي بسياري از هکرها وکدهاي مخرب جلوگيري کند.
:Check Summingروش. 4ازمحاسبات رياضي استفاده مي کند تا وضعيت
برنامه هاي اجرايي راقبل و بعد از آنکه آنها اجرا (checksum)شوند مقايسه کند.اگر مجموع
تغيير نکند، بنابراين سامانه آلوده نشده است.اين روش مي تواند آلودگي را فقط بعد از زماني که
ويروس سامانه را آلوده کرده کشف کند. از آنجا �اوری منسوخ و کهنه شده و بعضي از که اين فنويروسها مي توانند از آن فرار کنند ، امروزه اين
روش به ندرت استفاده مي شود.
هميشه ترکيبي از چند روش يکي از راهکار هاي اساسي خواهد بود
:Check Summingروش. 4ازمحاسبات رياضي استفاده مي کند تا وضعيت
برنامه هاي اجرايي راقبل و بعد از آنکه آنها اجرا (checksum)شوند مقايسه کند.اگر مجموع
تغيير نکند، بنابراين سامانه آلوده نشده است.اين روش مي تواند آلودگي را فقط بعد از زماني که
ويروس سامانه را آلوده کرده کشف کند. از آنجا �اوری منسوخ و کهنه شده و بعضي از که اين فنويروسها مي توانند از آن فرار کنند ، امروزه اين
روش به ندرت استفاده مي شود.
هميشه ترکيبي از چند روش يکي از راهکار هاي اساسي خواهد بود
رباتهاي مخصوص اين کار ؛ مانند ربات . 1 .Symantec ”سارا “ متعلق به شرکت
ها و يافتن Virus Researcher. استخدام 2کدهاي مخرب جديد به طور دستي.
. ارسال کدهاي مخرب جديد توسط کاربران 3از طريق ايميل يا سامانه هاي تعبيه شده
درون نرم افزار.. رايانه هايي در سراسر اينتر نت که وظيفه 4
جمع آوري کدهاي مخرب را دارند.اين سامانه ها با ربات هايي که ترافيک را کنترل
مي کنند فرق دارند و هميشه در پايين ترين سطح امنيتي و بال ترين شانس آسيب پذيري
قرار دارند.. اسکنر هايي که کاربرا ن فايلها يشان را 5
براي تشخيص آلودگي به آنها آپلود مي کنند، .jotti,virus totalمانند اسکنرهاي
. تبادل فايلهاي آلوده بين کمپاني هاي ضد 6ويروس.
1.www.en.wikipedia.org The free ensyclopedia
2.www.academist.ir3.www.ircert.com4.www.developercenter.ir5.www.grisoft.com6.www.mehranco.com7.http://forum.irvirus.com8.http://forum.p30world.com9.Encarta Refrence library 2004 The free ensyclopedia
رالف. - : 10 نويسنده فن�اوری بيماري و اي رايانه ويروسهاي کتابصادقي - : امير مترجم بورگر
با تشکر از توجه شما