در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

رفتارشناسی بدافزارها(قسمت 10)

رفتارشناسی بدافزارها(قسمت 10)

روشهای مقیم شدن در حافظه


وقفه interrupt

وقفه ها توابع سیستم عاملی هستند که می توان با استفاده از آنها با سخت افزار های سیستم مانند دیسک سخت، حافظه، نمایشگر و چاپگر و ... ارتباط برقرار کردو برای آنها دستور فرستاد و آنها را کنترل نمود. وقفه ها در همه سیستم ها وجود دارد حال ممکن است توسط خود سیستم عامل کنترل شوند.

در سیستم عامل dos از این وقفه ها بسیار استفاده می شود ولی در سیستم عامل ویندوز از این وقفه ها تنها توسط برنامه های سیستمی و یا برنامه های سطح هسته استفاده می شود و تنها از بدافزارها، روتکیت ها و بوتکیت ها هستند که ممکن از وقفه ها استفاده کنند.

وقفه ها به دو دسته تقسیم می شوند، یکی وقفه های bios که برای همه سیستم عامل ها مشترک است و دیگری وقفه های سیستم عامل که از شماره 21 به بعد هستند.

فرض کنید، برنامه ای می خواهد فایلی را باز کند و ویروس باز کردن فایل را هوک کرده بعبارتی اول ویروس اجرا شده و عملیاتش را بر روی آن فایل انجام می دهد و بعد کنترل را در اختیار وقفه قرار می دهد.البته می تواند اول وقفه را صدا زده و بعد عملیات خودش را انجام دهد و در نهایت کنترل را به برنامه اصلی باز گرداند.

وقفه شماره 13

وقفه 13 برای کار با ساختار فیزیکی دیسک استفاده می شود که شامل توابع زیادی برای انجام عملیاتهای مختلف بر روی دیسک است و به همین جهت برای ویروس ها از اهمیت بالایی برخوردار بوده.

وقفه شماره 21

این وقفه که برای ویروس های فایلی کاربرد بسیار زیادی دارد. ویروس ها از این این وقفه برای کار با فایل استفاده می کنند. یکی از مهمترین این توابع که ویروس ها از آن استفاده می کنند تابع 0x4b است.

رفتارشناسی بدافزارها(قسمت 10)

خودیابی ویروس در حافظه

ویروس ها زمانی که در حافظه مقیم می شوند روش های مختلفی را برای آنکه دوباره در حافظه قرار نگیرند بکار می برند، مگر در حالت های خاص که اهداف مختلفی را دنبال می کنندو به این کار خودیابی می گویند. البته این کار در زمان آلوده کردن فایل نیز رخ می دهد تا دوبار یک فایل را آلوده نکنندو برای این کار روشهای مختلفی وجود دارد.

رفتارشناسی بدافزارها(قسمت 10)

ویروس های مخفی کار

این نوع ویروس ها که در حافظه مقیم بودند، نمی خواستند کسی از وجود آنها در سیستم مطلع شودو به همین دلیل روشهایی را که کاربران یا ضد ویروس ها برای شناسایی ویروس استفاده می کردند را بگونه ای تغییر می دادند که کمتر مورد سوء ظن قرار بگیرند. به این نوع ویروس ها، ویروس های مخفی کار می گویند.

بطور مثال، کاربران برای آنکه متوجه ویروسی شدن یک فایل بشوند با توجه به داشتن حجم اوله فایل و مقایسه آن با وضعیت فعلی، پی به ویروسی بودن آن می برند ولی اینگونه به این صورت عمل کرده که هر وقت برنامه ای می خواهد حجم فایل را بخواند، بالافاصله ویروس حجم خود را از حجم اصلی کم کرده و آن را به کاربر بر می گرداند و به همین دلیل کاربر متوجه ویروسی بودن خود نمی شود.

رفتارشناسی بدافزارها(قسمت 10)

  1. ویروس های نیمه مخفی کار
  • این نوع ویروس ها، سعی می کنند حجم، تاریخ و یا مسیر فایل ویروسی را مخفی کنند.ویروس های نیمه مخفی کار باید در ابتدا را هکارهای زیر را عملی کنند.
    1. هوک کردن iat:
  • با استفاده از import address table ویروس ها سعی می کنند api های موجود در برنامه را از مسیر اصلی خود منحرف کنند و کاری را که خودشان انجام دهند و بعد خروجی آن api رابه برنامه اصلی برگردانند.
  • رفتارشناسی بدافزارها(قسمت 10)

    1. مخفی کاری در خواندن فایل
    2. ویروس های کاملا مخفی کار:این ویروس ها سعی می کنند تمام راههای رسیدن به محتوای فایل و حجم فایل و تاریخ فایل را به سمت خود منحرف کنند.

مقیم در حافظه بطور موقت

برخی ویروس ها در حافظه مقیم می شوند و بعد از مدت خاصی از حافظه بیرون می آیند.

رفتارشناسی بدافزارها(قسمت 10)

ویروس ها در حالت کاربردی

ویروس هایی که در این محیط ها فعالیت می کنند سعی می کنند پروسس ها را آلوده کنند.

ویروس های در حالت هسته

این نوع ویروس ها بسیار قوی بوده و نوشتن آنها بسیار پیچیده بوده و در نهایت اینکه شناسایی آنها نیز بسیار مشکل است. بعبارتی در نوعی از این ویروس، flash bios مورد آسیب قرار گرفته.

تزریق در حافظه

منبع: تحلیل بدافزار(زارع و سعدی )

#معرفي_انواع_بدافزار #بدافزار #رفتارشناسی #رفتارشناسی_بدافزارها
عنوان
1 واژه شناسی انواع بدافزارها قسمت اول رایگان
2 واژه شناسی انواع بدافزارها قسمت دوم رایگان
3 واژه شناسی انواع بدافزارها قسمت سوم رایگان
4 رفتارشناسی بدافزارها (قسمت 4) رایگان
5 رفتارشناسی بدافزارها (قسمت ۴) رایگان
6 رفتارشناسی بدافزارها (قسمت 6) رایگان
7 رفتارشناسی بدافزارها (قسمت7) رایگان
8 رفتارشناسی بدافزارها (قسمت۸) رایگان
9 رفتارشناسی بدافزارها (قسمت 9) رایگان
10 رفتارشناسی بدافزارها(قسمت 10) رایگان
11 رفتارشناسی بدافزارها (قسمت 11) رایگان
12 رفتارشناسی بدافزارها(قسمت 11) رایگان
13 رفتارشناسی بدافزارها (قسمت 12) رایگان
14 رفتارشناسی بدافزارها رایگان
15 رفتار شناسی بدافزارها(14) رایگان
16 اگه جرات داری منو(ویروس) پاک کن رایگان
17 آنتی ویروس ها چگونه کار می کنند؟ رایگان
18 آنتی ویروس ها معجزه نمی کنند رایگان
19 کیبرد، ابزار جاسوسی هکرها رایگان
زمان و قیمت کل 0″ 0
1 نظر

این نظر توسط مهدی عادلی در تاریخ يكشنبه, 4 تیر 1396 حذف شده است.

دلیل: تبلیغات و قرار دادن لینک سایت های دیگر در پست ها ممنوع می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....