در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

رفتار شناسی بدافزارها(14)

رفتار شناسی بدافزارها(14)

انواع نفوذها

روشهای مختلف زیادی وجود دارد که هکرها از آنها برای نفوذ، استفاده می کنند. شاید مهمترین آنها، استفاده از برنامه های سرریز بافر، EXPLOIT، DOS ویا DDOS باشد و در ادامه مقاله با بحث سرریز بافر در خدمتتون هستم.

انواع نفوذ:

  • سرریز حافظه میانجی (BUFFER OVERFLOWS)
  • حملات نوع اول
  • حملات نوع دوم
  • حملات نوع سوم

سرریز حافظه میانجی


برنامه ها از بافر برای اجرای عملیات کاری خود استفاده می کند که توضیح عملکرد آن در حوصله این مبحث نیست، اما سریز بافر موقعی اتفاق می افتد که اندازه داده ها بزرگتر از حجم بافری باشد که به آن تعلق گرفته و همین امر موجب می ردد داده های اضافی در موقعیت های حافظه مجاور رخنه و یا حتی مسیر اجرای برنامه اصلی را به سمت یک کد خراب تغییر دهدو این امر موقعیتی را برای هکرها بوجود می آورد تا به داخل سیستم نفوذ و عملیات خرابکارانه خود را انجام دهند.سرریز های بافر را می توان به انواع زیر تقسیم کرد:

نوع اول که شامل جانویسی حافظه پشته است

نوع دوم که شامل اشاره گر به توابع و اکسپلویت ها است

نوع سوم که شامل حمله های با رشته های رسمی و آسیب پذیری ها در مدیریت اشاره گرهاست.

رفتار شناسی بدافزارها(14)

حملات نوع اول

سرریز های بافر نسل اول شامل بافری می شوند که بر روی پشته قرار می گیرند.

سرریز پشته :پشته محلی ست برای ذخیره کردن آدرس برگشت و اختصاص دادن فضا برای متغیرهای محلی و در روش سرریز بافر از این روش استفاده می شود تا کنترل برنامه از مکان اصلی خارج شده و به مکان دیگری ارجاع شود.

علت اصلی بروز این مشکل، در این است که برنامه نویسان از توابعی استفاده می کنند که می توانند بافری را با هر طول دلخواهی به ورودی بدهند، بطور مثال STRCPY تابعی است که یک رشته را در رشته ای دیگر کپی می کند و رشته ها در C به NULL ختم می شوند و تابع STRCPY آنقدر کپی می کند تا به NULL برسد.در واقع این توابع هیچ گاه اندازه رشته ورودی را نمی شمارد که برای رفع این مشکل می توان از تابع STRNCPY استفاده کرد.

رفتار شناسی بدافزارها(14)

حملات نوع دوم

سرریز از نوع OFF-BY-ONE

سرریز HEAP OVERFLOW: هاHEAP در واقع حافظه ای است که برنامه نویسان از آن استفاده می کنند تا بصورت پویا بتوانند حافظه را اختصاص دهند و برای ایجاد این حافظه ها از دستوراتی مانند NEW و یا MALLOC استفاده می شود و برای از بین بردن آنها از DELETE و یا FREE استفاده می گردد ولی اینطور نیست که بگوییم استفاده از HEAP می تواند مشکلات سرریز را برای ما حل کند و اگر چه HEAP ها حافظه های موقت هستند و آدرس بازگشت را در خود ندارند ولی برنامه نویسی اشتباه طبق نمونه زیر می تواند منجر به سرریز گردد.

رفتار شناسی بدافزارها(14)

رفتار شناسی بدافزارها(14)

کدهای آسیب پذیر : یک اشکال در برنامه نویسی است ، بطو مثال یک برنامه ای که حافظه ای را برای دو بافر اختصاص می دهد . یکی از بافرها را با A پر می کند و دیگری را از خط فرمان مقدار دهی می کند . حال اگر تعداد کاراکترهای وارد شده در خط فرمان از مقدار پیش فرض ما بیشتر باشد سریز HEAP اتفاق می افتد. چون اول به متغیر INPUT حافظه داده شده و بعد متغیر BUFFER حافظه می گیرد ، حال اگر بیش از اندازه داده وارد این برنامه شود متغییر BUFFER داده هایش غیر معتبر می شودو این باگی است که بر اثر اشتباه برنامه نویس بوجود آمده، سرریز HEAP هم مانند سر ریز پشته می تواند موجب عدم پذیرش سرویس شود و به یک مهاجم اجازه دهد کاربری را متوقف کند.

حملات نوع سوم:

این حملات به علت استفاده نادرست مهندسین نرم افزار از توابع رشته ای در زبان C رخ می دهند.این توابع که کارشان قالب بندی رشته هاست، این رشته ها را چاپ می کنند یا در بافر می ریزند یا در فایل ذخیره می کنند.

بطور مثال در زیر یک برنامه مورد دار که کلمه HELLO را نمایش می دهد آمده و شکل صحیح هم ارائه شده.

#INCLUDE <STDIO.H>	
VOID MAIN(VOID)
{ CHAR BUFFER[5]="HELLO";
PRINTF(BUFFER); 

در صورتیکه شکل صحیح به این صورت است

PRINTF("%S%,BUFFER)

اعتبار سنجی ورودی ها و رمزگذاری از روشهای جلوگیری از نفوذگرها بحساب می آید.

و یا MIME HEADER ها می توانند به گونه ای قالب بندی شوند که حاوی یک ویروس و بدافزار باشند. بطور مثال، در نمونه زیر که یک فایل اجرایی در قالب یک فایل صوتی آمده که با اجرای آن ، کاربر منتظر یک فایل صوتی است که بجای آن فایل اجرا شده و ویروس منتقل می شود.

CONTENT-TYPE: AUDIO/X-WAV;
NAME="FOOBAR.EXE"
CONTENT-TRANSFER-ENCODING:BASE64
CONTENT-ID:<CID>

و یا اسکریپت ها و ACTIVEX ها که می توانند فرصتی را برای هکرها فراهم کنند و موجب ویروسی شدن سیستم گردند، لذا باید کلیه تمهیدات امنیتی در مورد آنها صورت گیرد.

و یا قسمتهای به اشتراک گذاشته در شبکه مانند پوشه های SHARE شده توسط کاربران و یا حتی پوشه ADMIN$ که در تمام سیستم های ویندوز به اشتراک گذاشته شده، راهی را برای نفوذ فراهم می کند.

اطلاعات کاملتر: Buffer Overflow Attack

معرفی کتاب:Buffer Overflow Attacks: Detect, Exploit, Prevent 1st Edition

مطالب این بخش از تحلیل رفتار بدافزارها در این قسمت تکمیل و در فصل جدید به نرم افزارهای کاربردی در تحلیل بدافزار می پردازیم.

مرجع : تحلیل بدافزار ( سعدی و زارع )

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#رفتارشناسی_بدافزارها #سرریز_بافر #تحلیل_بدافزار
عنوان
1 واژه شناسی انواع بدافزارها قسمت اول رایگان
2 واژه شناسی انواع بدافزارها قسمت دوم رایگان
3 واژه شناسی انواع بدافزارها قسمت سوم رایگان
4 رفتارشناسی بدافزارها (قسمت 4) رایگان
5 رفتارشناسی بدافزارها (قسمت ۴) رایگان
6 رفتارشناسی بدافزارها (قسمت 6) رایگان
7 رفتارشناسی بدافزارها (قسمت7) رایگان
8 رفتارشناسی بدافزارها (قسمت۸) رایگان
9 رفتارشناسی بدافزارها (قسمت 9) رایگان
10 رفتارشناسی بدافزارها(قسمت 10) رایگان
11 رفتارشناسی بدافزارها (قسمت 11) رایگان
12 رفتارشناسی بدافزارها(قسمت 11) رایگان
13 رفتارشناسی بدافزارها (قسمت 12) رایگان
14 رفتارشناسی بدافزارها رایگان
15 رفتار شناسی بدافزارها(14) رایگان
16 اگه جرات داری منو(ویروس) پاک کن رایگان
17 آنتی ویروس ها چگونه کار می کنند؟ رایگان
18 آنتی ویروس ها معجزه نمی کنند رایگان
19 کیبرد، ابزار جاسوسی هکرها رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....