آی پی امداد
آی پی امداد
آریا الکترونیک parcham تکشو

آشنايی با ويروس های کامپيوترى

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
آشنايی با ويروس های کامپيوترى :

آشنايی با ويروس های کامپيوترى

پيش از شروع بد نيست تا اين نکته را هم بدانيد که در حالت دسته بندی کلی تر می توان همه ويروسها را به دو نوع زير تقسيم بندی نمود:

ويروسهای با عملکرد مستقيم
(Direct Action Viruses)
ويروسهای با عملکرد غير مستقيم يا ويروسهای مقيم در حافظه
(Non Direct Action or Memory Resident Viruses)
لازم به ذکر است که ويروس ها می توانند همزمان خصوصيات هر دو دسته را نيز داشته باشند.

ويروسهای مقيم در حافظه می توانند همه اعمال سيستم را زير نظر بگيرند و به محض اجرا شدن يک برنامه يا ساير دسترسی ها، برنامه های ديگر را آلوده نمايند.

ويروسها به دو روش کلی در حافظه مقيم می شوند
:

با استفاده از وقفه ها

با استفاده از دستکاری زنجيره (Memory Control Block يا MCB) در حافظه

البته سيستم عامل ويندوز حالت در حافظه مقيم بودن ويروسها را که از جهاتی يک امتياز محسوب می شود، تقريبا از بين برده است، به همين دليل امروزه شاهد ظهور بسياری از ويروسهايی هستيم که علاوه بر مقيم بودن در حافظه، توانائی عملکرد مستقيم را نيز دارند
!

ويروسهای باينری فايل:


يک ويروس فايلی خودش را به يک فايل برنامه (يا در اصطلاح ميزبان) ضميمه می نمايد و از تکنيکهای مختلفی برای آلوده ساختن فايل های اجرايی ديگر استفاده می کند.
ويروسهای فايلی بر اساس بکار بردن اين تکنيکها به انواع مختلف تقسيم می شوند، مهمترين اين انواع به شرح زير می باشند:


 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
ويروسهای رونويسی کننده (Overwriting Viruses):

ويروسهای رونويسی کننده خودشان را در ابتدای برنامه و مستقيما روی کدهای آن جايگزين می نمايند، بنابراين برنامه اصلی آسيب ديده و تبديل به يک ويروس می شود، پس وقتی تلاش می کنيم تا اين برنامه را اجرا نماييم نه تنها برنامه اجرا نمی شود بلکه ويروس فايلهای ديگری را نيز آلوده می نمايد.
اين ويروسها را می توان به راحتی شناسايی و نابود کرد برای همين ميزان پراکندگی آنها بسيار ناچيز است.

ويروسهای همراه (Companion Viruses):


ويروسهای همراه ميزبانشان را مستقيما تغيير نمی دهند و بجای اين کار با ترفندهايی باعث می شوند تا سيستم عامل ويروس را به جای برنامه مورد نظر اجرا نمايد.
گاهی اين کار با تغيير دادن نام فايل ميزبان به نامی ديگر و واگذاری نام آن برنامه به ويروس، انجام می شود.
در برخی مواقع هم ويروس، فايل EXE را از طريق توليد يک فايل COM به همان نام و در همان دايرکتوری، آلوده می نمايد.

به اين ترتيب که سيستم عامل داس هميشه يک فايل COM هم نام با يک فايل EXE را ابتدا اجرا می نمايد.

ويروسهای پيوند دهنده (Link Viruses):


ويروسهای پيوند دهنده تغييراتی را در طرز کار سطح پائين (Low Level) سيستم فايل می دهند اين تغييرات موجب می شود که نام برنامه تا مدتها بجای پيوند (اشاره داشتن) به فايل برنامه به کپی ويروس پيوند داده شود.
اين امکان نيز فراهم است تا نام همه برنامه ها به فايل ويروس اشاره داشته باشند.

ويروسهای ابتدا قرار گيرنده (Prepending Viruses):


اين ويروسها به سادگی کدشان را در بالای برنامه اصلی قرار می دهند، بنابراين در زمان اجرای برنامه ای که توسط ويروسهای ابتدا قرار گيرنده آلوده شده باشد، کد ويروس قبل از برنامه اصلی اجرا می گردد.

 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
ويروسهای داخل شونده (Inserting Viruses):

ويروسهای داخل شونده خودشان را در ميان برنامه ميزبان کپی می نمايند.
گاهی اوقات برنامه ها دارای فضاهای استفاده نشده ای هستند، اين ويروسها می توانند چنين فضاهايی را يافته و خودشان را در ميان آنها وارد نمايند.
اين ويروسها همچنين می توانند طوری طراحی شوند که قطعه بزرگی از برنامه ميزبان را به جای ديگری منتقل نموده و به سادگی از فضای خالی استفاده نمايند
.

ويروسهای اضافه شونده (Appending Viruses):


اين ويروسها پرشی را در ابتدای فايل برنامه قرار می دهند، قسمت ابتدائی فايل برنامه اصلی را به انتهای آن جابجا می نمايند و خودشان را در بين قسمت انتهائی فايل برنامه اصلی و قسمت ابتدائی آن جايگزين می نمايند.
بنابراين در زمان اجرای چنين برنامه ای، پرش، ويروس را فرا می خواند و ويروس اجرا می گردد، سپس ويروس قسمت ابتدائی فايل را به مکان اصلی اش باز می گرداند و اجازه اجرا شدن را به برنامه اصلی می دهد.

ويروسهای اسکريپتی فايل:


ويروسهای اسکريپتی واقعا شاخه مستقلی از ويروسها نيستند بلکه در حال حاضر جدی ترين تهديد به شمار می آيند.
همانطور که قبلا توضيح داده شد اسکريپتها دستورات متنی خالصی هستند که بايد توسط برخی برنامه ها تفسير شوند.

زبانهای اسکريپتی تقريبا شامل انواع زير می باشند
:

اسکريپت جاوا
(Java Script)
اسکريپت ويژوال بيسيک
(VB Script)
جی اسکريپت
(JScript)
اسکريپت شل يونيکس

زبان بچ داس

اسکريپت
IRC

اسکريپتهای متفرقه مانند: سوپر لوگو، InstallShield و ويژوال فاکس پرو و ...


 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM


با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است.




اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند و عده اي در جهت جذب منابع ديگران براي خود.
با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.




اين مجموعه که قرار است بطور منظم در نشريه تخصصی ic منتشر گردد درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره خواهد نمود.
ضمناً در قسمت پاياني هر قسمت نيزآدرسهاي منابع تحقيق بصورت مستقيم در اختيار خواننده محترم قرار خواهد گرفت.
همچنين علاقه مندان مي توانند براي دريافت اطلاعات بيشتر به سايت هاي معرفي شده مراجعه نموده و نرم افزارهاي مربوط را دريافت نمايند.
ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد.
 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
يك Trojan Horse چيست؟


مي توان تعاريف زير را مطرح كرد:


يك برنامه ظاهراً بدون نويسنده يا به عبارتي با يك نويسنده غير مشخص که اعمال ناشناخته و حتي ناخواسته از طرف كاربر انجام دهد.


يك برنامه قانونی و معروف كه داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گرديده و اعمال شناخته نشده اي بطور ناخواسته از طرف كاربر انجام مي دهند.


هر برنامه اي كه ظاهر مطلوب پسنديده اي به همراه برخي از اعمال مورد نياز داشته باشد بطوريكه كدهاي محقق شده اي كه از نظر كاربر مخفي است درون آن موجود مي باشد. يك سري اعمال نا شناخته و غير منتظره اي كه بطور حتم با نظر كاربر نبوده است را انجام مي دهد.


اسب تراوا نامي است كه از يك افسانه قديمي گرفته شده كه درباره چگونگي نفوذ يونانيان بر محل دشمنان خود از طريق ساختن يك اسب بزرگ و هديه دادن آن به دشمن كه نيروهايشان در داخل مجسمه اسب قرارگرفته بودند.
هنگام شب سربازان يوناني اسب را شكستند و به دشمنانشان حمله نمودند و بطور كامل آنها غافلگير كردند و در جنگ فاتح ميدان شدند.

 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM


تروجان ها چگونه كار مي كنند؟


تروجان ها به دو قسمت تقسيم مي شوند. يك قسمت Client (خدمات گيرنده) و ديگری Server (خدمات دهنده).
وقتي قرباني ندانسته قسمت Server را روي سيستم خودش اجرا مي كند.
حمله كننده بوسيله قسمت Client با Server كه روي كامپيوتر قرباني است متصل مي شود و از آن پس مي تواند كنترل سيستم قرباني را در دست بگيرد . پروتكل TCP/IP كه استاندارد معمول براي برقراري ارتباطات است به اين تروجان آلوده ميشود و تروجان از طريق آن كارش را انجام مي دهد.
البته لازم به ذكر است كه برخي اعمال تروجانها نيز از پروتكل UDP استفاده مي كنند. معمولاً زماني كه Server روي كامپيوتر قرباني اجرا مي شود.
خود را در جايي از حافظه مخفي مي كند تا پيدا كردن يا تشخيص آن مشكل شود و به برخي درگاههاي خاص (Port) گوش مي دهد تا ببيند درخواست ارتباطي به سيستم از طرف حمله كننده آمده است يا نه، از طرفي رجيستري را نيز به گونه اي ويرايش مي كند كه برخي از اعمال بطور خودكار روي سيستم شروع به كار كنند.


براي نفوذ كننده لازم است كه IP قرباني را بداند براي اينكه بتواند به سيستم او متصل شود.
اكثر قريب به اتفاق تروجانها بصورتي برنامه ريزي شده اند كه IP قرباني را براي حمله كننده ارسال مي كنند همانند سيستم پيغام گذار از طريق ICQ يا IRS .
اين زماني اتفاق مي افتد كه قرباني IP ديناميك داشته باشد بدين معني كه هر زمان به اينترنت متصل ميشود و يك IP متفاوت از قبل داشته باشد كه اغلب سيستم هايي كه به روش dial- up به اينترنت متصل مي شوند از اين قانون پيروي مي كنند. كاربران ASDL معمولا IP هاي ثابت دارند به همين علت IP آلوده شده همواره براي حمله كننده شناخته شده است و اين حالت باعث تسهيل درامر اتصال به سيستم قرباني مي گردد.


اغلب تروجانها از روش شروع اتوماتيك استفاده مي كنند.
بصورتي كه اگر شما كامپيوترتان را خاموش كنيد آنها قادر خواهند كه فعاليتهايشان را مجددا ً آغاز كنند و دسترسي لازم به حمله كننده را روي سيستم شما بدهند و ساختن تروجانها با قابليت شروع روشهايي هستند كه هميشه مورد استفاده قرار مي گيرند. يكي از اين روشها، محلق كردن تروجان به يك فايل اجرايي كه كاربرد زيادي دارد مي باشد، به عبارت ديگر محلق نمودن تروجان به يك برنامه پركاربرد ، موجب عملي شدن تفكرات حمله كننده خواهد شد.
روشهاي شناخته شده نيز همانند دستكاري فايلهاي ريجستري ويندوز مي تواند به عملي شدن افكار حمله كننده بيانجامد.
فايلهاي سيستمي ويندوز قرار دارند كه مي توانند بهترين انتخابهاي حمله كنندگان باشند.

 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
به جهت اينکه دوستان بتوانند سيستم خود را در برابر اين حمله ها محافظت نمايند، قسمتهای مختلف ويندوز که می توان از آن استفاده نمود را در اينجا بررسی می کنيم.


پوشه شروع خودكار


پوشه اي كه بصورت خودكار در شروع كار ويندوز فراخواني مي شود و فايلهاي داخل آن بصورت اتوماتيك اجرا مي شوند در آدرس زير قرار دارند.


C:\ windows\ start Menu \ programs \startup


البته فرض براي اين است كه سيستم عامل ويندوز در درايو C و در شاخه windows نصب شده باشد.


فايل Win.ini




فرمت شروع خودكار در اين فايل بصورت زير مي باشد :


Load = Trojan.exe


Run = Trojan.exe


فايل System.ini


فرمت بكارگيري تروجان در اين فايل سيستمي بصورت زير است:


Shell = explorer.exe Trojan.exe


كه باعث مي شود بعد از هر بار اجراي Explorer فايل Trojan.exe اجرا شود.


فايل Wininit.ini


اين فايل توسط Setup.exe برنامه هاي نصب شوند مورد استفاده قرار مي گيرد.

 

kami_in2000

کاربران vip(افتخاری)
vip افتخاری
کاربر
2009-02-04
558
2,880
QOM
بدين صورت كه يك بار اجرا شود، قابليت حذف خودكار را نيز دارد كه براي تروجان ها بسيار سهل مي باشد.


Winstart.bat


اين فايل دسته اي هم در ابتداي شروع به كار ويندوز فراخواني شده و فرامين داخل آن به ترتيب اجراي مي شوند كه تروجان مي تواند با افزودن خط زير خود را در حافظه بار كند.


@ Trojan.exe


فايل Autoexec.bat




اين فايل دسته اي هم از فايلهاي معروف فراخواني شده در ابتداي كار سيستم عامل مي باشد كه مي توان با دستكاري و اضافه نمودن خط زير بر آن تروجان مورد نظر را در سيستم قرباني اجرا نمود:


C:\ Trojan.exe


فايل Config.sys




اين فايل نيز از معروفترين فايلهاي پيكر بندي سيستم است و مي تواند در امر اجراي تروجان كاربرد داشته باشد.

 
بالا