در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

رفتارشناسی بدافزارها (قسمت 11)

رفتارشناسی بدافزارها (قسمت 11)

روند پیشرفت و توسعه فناوری ویروس نویسی


در روند پیشرفت ویروس نویسی ، ویروس ها سعی بر آن داشتند که توسط ویروس یابها شناسایی نشوند. بطورمعمول ویروس یابها از روش یکسانی برای یافتن ویروس استفاده می کنند و آن اینست که از رفتار ویروس الگوبرداری کرده و هرگاه ردی از این رفتار در سیستم دیده شد ، پی به ویروسی بودن سیستم برده و این ردپا می تواند عملکرد یک ویروس در یک مکان خاص و یا استفاده از یک تابع خاص و یا یا موارد مشابه باشد که ویروس یابها با بانک اطلاعاتی که در خود دارند و این علائم پی به ویروس و بدافزار می برند، البته با توسعه ویروس ها ، نحوه عملکرد آنها نیز تا حدی تغییر کرده به این صورت که ویروس ها دیگر عملکرد یکسانی در همه میزبان ها نداشته و به همین جهت نمی توان الگوی ثابتی از رفتار آنها ترسیم کرد. ولی آنچه که مسلم است جنگی است بین ویروس ها و ویروس یابها همواره ادامه دارد و به نظر می رسد که ویروس ها، یک گام جلوتر از ویروس یابها عمل می کنندو شاید این به این دلیل است که سازمانهای جاسوسی انگیزه بیشتری برای تخریب دارند و یا اینکه خود شرکتهای ویروسیاب همکاری ویژه ای با سازمانهای جاسوسی .

نمونه هایی از الگوریتم های ویروس های پیشرفته

ویروس های رمز شده


ویروس ها با رمزنگاری خود سعی بر مخفی نگه داشتن کدهای خود و همچنین قابل شناسایی نبودن دارند. در ویروس های تحت داسی، شناسایی ویروس با وجود کد 13 و یا 21 در برنامه، به راحتی می توان پی به ویروس برد(مقالات آموزشی قبلی) ولی ویروس ها با توسعه خود و سعی بر رمزنگاری خودشان این امکان را از ویروس یابها گرفته اند که به راحتی شناسایی شوند.البته نکته دیگری که وجود دارد این است که وجود رمز بر روی کد ، خود شبه برانگیز است که موجب افزایش شک و تردید نسبت به فایل مربوطه مبنی بر اینکه ویروسی است می باشد.رمزنگاری در برخی ویروس ها به این صورت است که با عملگر xor کد را رمز و با همین عملگر و داشتن کلید ، مجدد از کد خارج می گردد.ضد ویروس ها برای شناسایی در طی سه مرحله زیر عمل می کنند:

  • جستجوی روش رمزنگاری
  • معکوس رمزنگاری را بر روی بدنه ویروس اعمال کنند
  • بررسی وجود الگو در داده رمزبرداری شده

رمزنگاری بر روی بدنه ویروس ها می تواند به چندین روش باشد که متداولترین آنها به شرح زیر است:

  • برنامه رمزگشا در بالای کد اصلی قرار دارد
  • برنامه رمزگشا در پایین کد قرار دارد
  • چندین رمزگشا در ابتدا یا انتهای بدنه ویروس وجود دارد، به گونه ای که اول رمزگشای اولی کار می کند و رمزگشاهای بعدی رمزبرداری می کند.

روش ترکیبی


برخی ویروس ها مانند فونو از طریق جابجا کردن حروف بطور مثال a با c و به همین ترتیب بر اساس یک الگوی خاص، عمل رمزگذاری را انجام دادهو یا ویروس چبا که از نام میزبان خود استفاده کرده و عمل رمزنگاری را انجام می دهد و به همین ترتیب در میزبانهای مختلف با استفاده از این الگوریتم ، رمزنگاری مختلف انجام می دهد و یا ویروس کریپتو که از دو کلید عمومی و خصوصی برای رمزنگاری و رمزگشایی استفاده می کند.

ویروس های چند شکلی ساده


ویروس نویسان متوجه شدند در صورتیکه روش رمزنگاری درون ویروس جایگذاری گردد، توسط ویروس یابها قابل شناسایی هستند.به همین ترتیب ویروس ها، با نوشتن دو یا چند تایع برای یک رویه خود که با ورودی های یکسان، خروجی یکسان داده.

ویروس های چند شکلی


این نوع ویروسها با اضافه کدن دستورات بی ارزش در داخل کد ویروس ، موجب سردرگمی برای تحلیلگران را فراهم کرده و در واقع این کدهای اضافه جزء افزایش حجم فایل کاری دیگری نداشته و به این کد اصطلاحا زباله می گویند.

دستورات زباله چند گونه هستند که عبارت هستند از:

  • دستور nop که ماهیتا هیچ کاری انجام نداده
  • دستوراتی که خود دستور عملی را انجام می دهند ولی آرگومانهای آن تاثیری در اجرا ندارد
  • دستورات eaxو mov eax
  • دستوراتی که هم خود دستور و هم آرگومانهایش با معنی است ولی نسبت به برنامه هیچ تاثیری ندارد.

البته ابزارهایی مانند mte وجود دارد که تحت عنوان موتور ویروس ساز نام دارد با این توضیح که کافیست این موتور به عنوان یک شی به ویروس اضافه شده و موجب چند ریختی در ویروس شده.

موتور ویروس یاب دیگر تحت عنوان موتور tpe که از موتور قبلی پیشرفته تر عمل کرده.

ویروس hps یکی از ویروس های چند شکلی بود که از چندین روش رمزگذاری استفاده می کرد که برای هر فایل میزبانی متفاوت بود مانند رمزگذاری add و sub و dec و inc و not و xor که کلیدهای آن 8و16و32 بیتی بوده.

ویروس کوک نمونه دیگری از ویروس های چند شکلی است که از ماکرونویسی در نرم افزارهای آفیس استفاده می کردند که علاوه بر دستورات زباله از تغییر حروف بزرگ ب هکوچک و برعکس و تغییر نام متغیرها و تغییر اعداد شمارش حلقه و ... استفاده کرده.این نوع ویروس کند بوده.

ویروس یابها در مواجه با این نوع ویروس ها باید از روشهای هوشمند و پیچیده استفاده کرده.

ویروسهای دگرشکلی


این نوع ویروس ها رمزگذاری یا چندشکلی عمل نکرده و این نوع ویروس رویکرد متفاوت از خود نشان می دهند در واقع در صورت و ظاهر مشابه ولی از نظر ژنتیکی تغییر می کنند.

نمونه های از ویروس های دگرشکلی


ویروس رج سواپ ظاهر خود را تغییر نداده ولی از نظر کد بانیری تغییر می کند.این نوع ویروس سعی می کند op code های متفاوتی را برای عملکرد های مشابه در نظر بگیرد.

ویروس بدبوی خود را به چندین قسمت تقسیم کرده و از طریق پرش ، عمل جابجایی را انجام داده .

ویروس ایول ساده ترین اعمال را به پیچیده ترین حالتها اجرا می کرد، این گونه ویروس با استفاده از اعمال ریاضی دستورات زباله و تغییر op-code ویروس دگرشکلی پیشرفته ای بسازند، در این روش op code ها تغییر می کند، رجیستری تغییر می کند، دستورات زباله اضافه شده و خود دستور عوض می گردد و همه اینها موجب پیچیدگی بیشتر در ویروس شده.

نتیجه: ویروس می تواند با استفاده از کلیه روشها ، جایگشت های متفاوتی از آلودگی داشته باشند و ضد ویروس ها نمی توانند همه حالتهای آلودگی را شناسایی کنند و برای هر کدام روشی برای پاکسازی در نظر می گیرد.به همین دلیل ضد ویروس ها از روشهایی مانند شبیه سازی دستورات برای شناسایی ویروس ها استفاده می کنند.

نویسنده : علیرضا(ARAF) - تحلیل بدافزار سعدی و زارع

منبع : ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#فناوری_ویروس_نویسی #رفتارشناسی_بدافزارها #تحلیل_بدافزار
عنوان
1 واژه شناسی انواع بدافزارها قسمت اول رایگان
2 واژه شناسی انواع بدافزارها قسمت دوم رایگان
3 واژه شناسی انواع بدافزارها قسمت سوم رایگان
4 رفتارشناسی بدافزارها (قسمت 4) رایگان
5 رفتارشناسی بدافزارها (قسمت ۴) رایگان
6 رفتارشناسی بدافزارها (قسمت 6) رایگان
7 رفتارشناسی بدافزارها (قسمت7) رایگان
8 رفتارشناسی بدافزارها (قسمت۸) رایگان
9 رفتارشناسی بدافزارها (قسمت 9) رایگان
10 رفتارشناسی بدافزارها(قسمت 10) رایگان
11 رفتارشناسی بدافزارها (قسمت 11) رایگان
12 رفتارشناسی بدافزارها(قسمت 11) رایگان
13 رفتارشناسی بدافزارها (قسمت 12) رایگان
14 رفتارشناسی بدافزارها رایگان
15 رفتار شناسی بدافزارها(14) رایگان
16 اگه جرات داری منو(ویروس) پاک کن رایگان
17 آنتی ویروس ها چگونه کار می کنند؟ رایگان
18 آنتی ویروس ها معجزه نمی کنند رایگان
19 کیبرد، ابزار جاسوسی هکرها رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....