درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      علیرضا
      امتیاز: 62433
      رتبه:13
      0
      568
      27
      407
      کارشناس نرم افزار-کارشناس ارشد فناوری اطلاعات-مدرس کامپیوتر-مدیر فناوری اطلاعات -net+,mcse,ccna,ceh certificate پروفایل کاربر

      ویدیوهای پیشنهادی

      رفتارشناسی بدافزارها (قسمت۸)

      تاریخ 26 ماه قبل
      نظرات 0
      بازدیدها 222

      رفتارشناسی بدافزارها (قسمت۸)


      ویروس ها بر اساس روش های آلودگی


      ویروس های بوت


      ویروس ها همانطور که قبلا کفته شد برای آلودگی نیاز به میزبان دارند و برای آلودگی فایل میزبان روشهای مختلفی وجود دارد و علت این روشهای کوناکون به دلیل جلوکیری از شناسایی شدن توسط ضد ویروس ها و نرم افزارهای امنیتی می باشد.برخی از ویروس ها خود میزبان را از بین می برند و برخی دیکر به میزبان چسبیده و از طریق این روش عملیات تخریب را انجام می دهند.ویروس ها برای آلوده کردن فایل میزبان می توانند در هر قسمت فایل ، مانند انتها فایل، ابتدای فایل، وسط فایل خود را قرار دهند . برخی ویروس ها خود را چند تکه کرده و در قسمت های مختلف خود را قرار می دهند.برخی ویروس ها ابتدا خود را اجرا بعد برنامه میزبان را اجرا می کنند و تعدادی دیگر به گونه ای عمل می کنند که ابتدا قسمتی از فایل اصلی اجرا شود بعد ویروس اجرا گردد.با اضافه شدن ویروس به فایل، مقداری حجم فایل افزایش پیدا کرده . در برخی موارد ویروس به گونه ای عملکرده که در ظاهر اندازه فایل را بدون تغییر نمایش دهد.

      انواع روش های رایج آلودگی ویروس


      ویروس های بوت


      روند اولیه بوت شدن هیچ ارتباطی با نوع سیستم عامل ندارد و در تما م سیستم عاملها یک فرایند را برای بوت را طی می کنند. ( اولین ویروس رایانه ای که بوت سکتور را آلوده کرد به نام برایان توسط دو فرد پاکستانی سال 1986 ایجاد شد ).bios سیستم وظیفه دارد اولین سکتور دیسک را در حافظه بارگذاری کند. محتوای این سکتور کد ماشینی است که مسولیت شناسایی دیسک و نوع قالب بندی و ... را به سیستم دارد.البته می توان با برنامه هایی مانند winhex محتوای سکتورها و پارتیشن ها را دید.به اولین سکتور دیسک MBR گویند و کد ماشینی که MBR وجود دارد به طور پیش فرض یک کد خاصی است که به BOOT STRAP LOADER نام داردو بعد این کد، جدول پارتیشن دیسک وجود دارد که این کد از آن استفاده می کند و بعد آنکه کارش تمام شدبه مکانی به نام سکتور راه انداز پرش کرده تا سیستم راه اندازی شود.در سکتور راه انداز نیز کد خاصی وجود دارد که تا با استفاده از آن سیستم عامل بالا می آید.ویروس ها برای انتشار خود به این وسیله می توانند هم قسمت MBR و هم قسمت سکتور راه انداز را آلوده کنند و بجای کد ماشینی که در آنجا قرار دارد، کد ویروس را قرار دهند.

      آلودگی MBR


      ساختار MBR به گونه ای است که تنها می تواند 446 بایت را در به عنوان کد درون خود نگه دارد و این برای ویروس جای کمی نیست.معمولا این گونه ویروس ها از وقفه 13 برای دسترسی به دیسک استفاده می کنندو این ویروس ها با جایگزین کردن کد BOOT STRAP بدون آنکه جدول پارتیشن را تغییر دهند MBR را آلوده می کنند.برخی ویروس ها مانند آزوسا با جانویسی کد درون MBR نیازی به ذخیره سازی MBR اولیه نداشتند . این ویروس ها هم آلودگی و هم عمل مربوط به MBR را انجام می دهند لذا برای پاکسازی این نوع ویروس ها، کد استاندارد بوت باید توسط ضد ویروس در این قسمت بازنویسی شده.
      • برخی ویروس ها ارجاع کننده پارتیشن فعال را دستکاری کرده و کد خود را به آن متصل می کنندو بدین ترتیب کد ویروس اجرا می شود.
      • برخی ویروس ها MBR اصلی را در قسمتی از انتهای دیسک سخت ذخیره می کنند(ویروس تکیلا)

      آلودگی سکتور راه انداز


      سکتور راه انداز یک سکتور خاص است که برای هر سیستم عاملی متفاوت است و دارای کد راه اندازی سیستم است.آلوده شدن قسمت کد سکتور راه انداز و بالا آمدن با آن باعث نشر آلودگی می گردد. سکتور راه انداز بطور استاندارد 512 بایت است و برخی ویروس ها برای ذخیره ساز سکتور راه انداز اصلی از انتهای ریشه استفاده می کنند.حجم اغلب دیسکت ها از حجم اسمی آنها بزرگتر است که با قالب بندی مناسب می توان به سکتورهای اضافه دست پیدا کرد البته همه دیسک گردان ها از این قابلیت پشتیبانی نمی کنند. برخی از برنامه ها از این موضوع برای قفل گذاری بر روی دیسک بهره گرفته و ویروس ها هم همینطور تا علاوه بر اینکه حجم بیشتری را برای خود در اختیار دارند موجب شوند ضد ویروس ها هم در پیدا کردن آنها با مشکل مواجه گردند.(ویروس دن زوکا در اندونزی سال 1988) برخی ویروس ها کد اصلی سکتور راه انداز را در یک سکتور خالی ذخیره می کردند و آن را در حالت بد سکتور در می آورند. تا اطلاعات دیگری در آنجا ذخیره نشود.برخی ویروس ها اصلا سکتور اصلی راه انداز را ذخیره نمی کند وخودکار سعی می کنند که کار راه اندازی سیستم را بر عهده بگیرند. البته این کار برای سیستم عامل های مختلف متفاوت است.

      مرجع: تحلیل بدافزار (زارع - سعدی)

      برچسب ها
      ردیفعنوان
      1واژه شناسی انواع بدافزارها قسمت اول
      2واژه شناسی انواع بدافزارها قسمت دوم
      3واژه شناسی انواع بدافزارها قسمت سوم
      4رفتارشناسی بدافزارها (قسمت 4)
      5رفتارشناسی بدافزارها (قسمت ۴)
      6رفتارشناسی بدافزارها (قسمت 6)
      7رفتارشناسی بدافزارها (قسمت7)
      8رفتارشناسی بدافزارها (قسمت۸)
      9رفتارشناسی بدافزارها (قسمت 9)
      10رفتارشناسی بدافزارها(قسمت 10)
      11رفتارشناسی بدافزارها (قسمت 11)
      12رفتارشناسی بدافزارها(قسمت 11)
      13رفتارشناسی بدافزارها (قسمت 12)
      14رفتارشناسی بدافزارها
      15رفتار شناسی بدافزارها(14)
      16اگه جرات داری منو(ویروس) پاک کن
      17آشنایی با نحوه کار آنتی ویروس ها
      18آنتی ویروس ها معجزه نمی کنند
      19کیبرد، ابزار جاسوسی هکرها
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید