البرامج الضاره تقنيات الحفاظ على الذات

لقد قمنا ناقش مجموعة متنوعة من الاساليب الدفاعيه لمكافحة الفيروسات. ومع ذلك ، فان فيروس الكتاب هم وادراكا منا لدفاعات ، والعمل بنشاط على تقويض لها. أ البرامج الضاره النموذج يمكن ان تستخدم اساليب عدة في محاولة لتجنب كشف والقضاء ، بما في stealthing ، الحصر ، تحول ، ومضادات التعطيل. ولندع اتخاذ نظرة سريعه فى هذه المحافظة على النفس تقنيات واحدة في المرة الواحدة.

Stealthing

Stealthing يشير الى عملية اخفاء وجود البرامج الضاره على نظام مصاب. Stealthing طريقة بداءيه في كثير من الاحيان هو ان تستخدمها الفيروسات مصاحب يتضمن ببساطة تحديد "خفية" من صفات هذا الفيروس الملف الى جعلها أقل احتمالا ان الضحيه سوف نكتشف الملف في الدليل قائمة. الرافد الفيروسات مصاحب لها stealthing العنصر الاقوى - عندما يعلقونها على المضيف ، اي ملفات جديدة يتم انشاؤها ، ومعظم الأدوات سوف التقرير ان حجم الملف الاصلي ، لم يتغير. نوافذ على الآلة التي تستخدم نظام تشفير الملف ، هذه الفيروسات مدرجة في الجدول مناوبا البيانات المرتبطه ببعض العادي الملف على النظام.

والطريقة الأخرى التي يمكن ان فيروسا التمويه هو نفسه به اعتراض مضادات البرنامج محاولة لقراءة الملف ، وتقديم نظيفة نسخة من الملف الى ماسحه. ماسحه عندما يلقي نظرة على المصابين الملف ، ملف المصابين ويعرض صورة نافع الى ماسحه. في سيناريو آخر stealthing ، فيروسا قد يؤدى الى ابطاء معدل الذي يصيب الملفات او الاضرار ، بحيث انه يأخذ المستخدم وقتا طويلا كي ادرك ما يجري.

وتحول جزيء

تعدد هو عملية خبيثة من خلال القانون الذي يعدل ظهورها الى احباط دون الكشف عن الواقع المتغير الكامنة وظيفة. متعلق ب تعدد الأشكال مصطلح يدل على ان المدونه يمكن ان تحمل اشكالا عديدة ، كل مع نفسه وظيفة. وباستخدام هذا الأسلوب ، الفيروس المدونه ديناميكيه التغيرات نفسها في كل مرة يديرها. الفيروس لا يزال لديه نفس الغرض ، ولكنها مختلفة جدا مدونة قاعدة. أي توقيعات ركزت على شكل في وقت سابق من هذا القانون لن يعود اكتشاف الجديد ، روائي النسخ. لعل واحدة من اسهل الطرق لتنفيذ هذا الأسلوب في الكتابة القائمة على الفيروسات هو ان تكون النموذج تعديل اسماء المتغيرات الداخلية والوظائف الفرعية قبل اصابة جديدة المضيفه. هذه الأسماء هي عادة مختارين عشوائيا الى تعقيد المهمة التي تتمثل في انشاء التوقيع لالنموذج.

وهناك طريقة اخرى للتحقيق تعدد ينطوي على تغيير النظام في التعليمات التي ترد في متن هذا الفيروس. هذا يمكن ان يكون لتنفيذ العويصه ، لأن النموذج تحتاج إلى التأكد من أن النظام الجديد لا يغير من وظيفة للقانون. الفيروسات ويمكن ايضا تعديل توقيعها باضافه تعليمات الى مدوناتها ان لا نفعل شيئا ، مثل طرح وثم اضافة 1 الى قيمة. هذه ظيفيا خامله تعليمات تسمح للحفاظ على القانون الاصلي وظيفة ، ولكن بعض التهرب من التوقيع على اساس الكشف.

في آخر متعلق ب تعدد الأشكال تقنيه ، فيروسا يرمز اكثر من مدونتها ، تاركا واضحة في النص فقط التعليمات اللازمة لتلقائيا فك شفره نفسها الى الذاكرة اثناء وقت التشغيل. الفيروس عادة استخدام مختلف وبطريقة عشواءيه ولدت مفتاح شفر دورته الهيءه ، وترسيخ مفتاح في مكان ما في مدونتها ، وتختلف النظرة من الحل خوارزميه الخلط القائم على التوقيع الماسحات الضوءيه. فان طفره محرك الخاصة ، افرج عن حوالى 1992 ، وكانت أول أداة للبسهولة اضافة الى قدرات متعلق ب تعدد الأشكال التعسفيه الكيديه المدونه في حين تركيب فان decryptor.

تحول تأخذ عملية التغيير النموذج خطوة أبعد قليلا عن طريق تغيير الخصائص الوظيفيه للفيروس كما انه ينتشر. هذا هو غالبا ما فعلت في طرق ملتويه لضمان ان يتجنب الكشف عن الفيروس دون ان يفقد فعالية. متحوله الفيروسات في كثير من الأحيان تغيير هيكل ملفاتهم بتغيير مكان من التغيير وتشفير الروتينيه. وبالاضافة الى ذلك ، متحوله نماذج مثل التشبيه لديها القدرة على تفكيك ديناميكيه انفسهم ، او ان يغير القانون ، وعندئذ اعادة تجميع انفسهم في شكل قابل للتنفيذ.

مضادات التعطيل

واحدة من الطرق التي المدونه محاولات خبيثة لحمايه العشب هو تعطيل الفيروس عن طريق آليات الحمايه على آلة المستهدفة. ومن ابرز المرشحين لتعطيل العمليات هي التي تنتمي الى مضادات البرمجيات بالظهور على النظام المصاب. أنجح الفيروسات استخدام هذا الاسلوب يمكن ان احصل على هذا النظام غير معترف بها ، وبعد ذلك الى تعطيل عجلة مضادات البرمجيات البرامج الضاره قبل ان يحصل على اكتشاف او قبل المستخدم تحديثات قاعدة البيانات من فيروس التوقيعات.

فان prockill طروادة هي مثال واحد من البرامج الضاره ان النموذج يتضمن قائمة اكثر من 200 عملية الأسماء التي تنتمي عادة الى مضادات الشخصيه وبرامج الجدار الناري. بعد تركيبه على النظام ، prockill تفتيش قائمة على التوالي ينهي تلك العمليات وانه تسلم. بدون مناسبة مضادات جدار الحمايه الشخصيه والعمليات الجاريه على الآلة ، الفيروس قد عهد الى نقل العدوى الحر وتغيير النظام.

جديرا بالاهتمام تمديد هذا الاسلوب نفذه mtx فيروس / الدوده التي شاعت في 2000. بعد اصابة النظام ، mtx ترصد الضحيه محاولات الوصول الى شبكة الانترنت ، ومنع الوصول الى المجالات التي كان من المحتمل ان ينتمي الى مضادات البائعين. مثل هذا النهج يمنع المستخدم من السهل تركيب البرمجيات أو من مضادات تحديث التوقيعات ، ذكية بعد المزعجين النهج لسوء الرجال. اذا كنت لا تستطيع تصفح التوقيع على الفيروس تحديث قاعدة البيانات الميزه ، لن تكونوا قادرين على كشف البرامج الضاره الجديدة على المربع الخاص بك.

بعض الفيروسات أيضا محاولة لتجاوز القيود الامنية التي تفرضها مايكروسوفت اوفيس ان بحثناه في وقت سابق. لكم ان اشير الى ان مايكروسوفت اوفيس يسمح لنا لمنع الوصول الى وجوه vbproject ان يتضمن الاوامر التي يكثر استخدامها من قبل الكليه لنقل العدوى والفيروسات وثائق جديدة. هذا القيد هو يسيطر عليها قلم تحديد ان الفيروس يمكن التلاعب. اذا سمح المستخدم ماكرو المصابين فى الوثيقة على ان تنفذ ، الفيروس يمكن عندئذ تغيير وضع هذا السجل لازالة القيود المفروضة على الوصول الى vbproject الجسم. وهذا الاسلوب نفذه listi (المعروف أيضا باسم kallisti) الفيروس.

Listi يبدأ هذا الجزء من الشفره عن طريق فحص القيمه للمفتاح التسجيل accessvbom. إذا ومن مجموعة الى 1 ، ثم الوصول الى vbproject ليس حكرا ، وهذا الفيروس يمكن ان يستمر مع الاصابة. اذا كان الوصول الى vbproject تسد (إي ، وقيمته اكبر من او اقل من 1) ، ثم listi يضع مفتاح التسجيل ل1 ، ومخارج مايكروسوفت عبر wordbasic.fileexit الكلمه. كلمة لا بد من العودة لادخال تغييرات على accessvbom الرئيسية لتحدث اثرها. في المرة القادمة المستخدم يفتح المصابين الوثيقة ، والوصول الى vbproject لن تكون مقيده والفيروس يمكن ان يستمر لنشر الدعوة.

احباط البرامج الضاره تقنيات المحافظة على النفس

وكما ترون ، هناك عدد غير قليل من التدابير التي يمكن ان تتخذ المدونه خبيثة في محاولة لتجاوز الآليات امننا. من اجل كل تدبير ثمة مضادة للقياس ، والتي لديها قناعاتها المضاد المضاد ، وهلم جرا. تبقى فعالة في مثل هذه البيئة ، والتأكد من انك تفهم التهديدات وكيف انها تنطبق على رسالتكم البيئة ، ويتكلون على طبقة واحدة دفاعية لحمايه نفسك من البرامج الضاره ضد الالتهابات. كل واحد من هذه المحافظة على النفس وتقنيات يمكن ان تعوقها المتقن تطبيق مضادات البرمجيات ، وتشكيل تصلب ، وتثقيف المستخدم. مضادات حلول البرمجيات الذكيه قد نمت بشكل متزايد في قدراتهم على البقعه شبحي قانون متعلق ب تعدد الأشكال والبقاء على قيد الحياة بسيطة محاولات التعطيل. حفظ الخاص بك عن طريق مضادات التوقيعات ومسح محرك احدث ، you'll تستفيد من هذه السلف. وبالاضافة الى ذلك ، مع الصوت المستخدم في التعليم ، بل غاية خبيثة ماكره المدونه ستكون اقل احتمالا لتجد طريقها إلى حسابك نظم في المقام الأول.

هذا هو مقال ليفي اضافها د. جونسون