درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
علیرضا
امتیاز: 62432
رتبه:13
0
568
27
406
کارشناس نرم افزار-کارشناس ارشد فناوری اطلاعات-مدرس کامپیوتر-مدیر فناوری اطلاعات -net+,mcse,ccna,ceh certificate پروفایل کاربر

رفتارشناسی بدافزارها (قسمت 9)

تاریخ 31 ماه قبل
نظرات 0
بازدیدها 288

رفتارشناسی بدافزارها (قسمت 9)

روش های آلودگی فایل


بسیاری از ویروس ها، فایل های موجود در سیستم را آلوده می کنند به این صورت که کد خود را در محل شروع برنامه گذاشته تا اول ویروس اجرا شده و در نهایت برنامه اصلی اجرا گردد.
انواع آلودگی که ویروس ها برای آلوده سازی فایل میزبان بکار می گیرند به یکی از روشهای زیر می تواند باشد:
1. ویروس های جانویس:ساده ترین و بدترین نوع که بسیار مخرب هستند . این نوع ویروس ها خود را روی ابتدای فایل میزبان مقرار می دهند و داده های اصلی فایل را از بین می برند و بعبارتی این نوع ویروس، فقط خودشان را اجرا می کنند و فایل میزبان را اجرا نمی کنند و به علت اینکه حجم فایل میزبان تغییر نمی کند، تشخیص ویروسی شدن راحت نیست.

2. ویروس جانویس تصادفی:این نوع ویروس بجای اینکه خود را در ابتدای فایل جانویسی کند، یک آدرس تصادفی ایجاد کرده و خود را در آنجا قرار می داد و در این حالت امکان اینکه ویروس به درستی کار نکند وجود دارد، ویروس یاب ها در این وضعیت برای پاکسازی تنها باید فایل میزبان را بطور کامل پاک کنند.(ویروس omud)

3. ویروس ته نویس(پرش دار)::این نوع ویروس ها خود را به انتهای فایل میزبان چسبانده (اکثر ویروس ها) و مراحل کار به این ترتیب است که نخست در ابتدای فایل یک پرش به انتهای فایل که کد ویروس است ایجاد کرده و بعد از اجرای خود ، پرش به ابتدای فایل که اجرای خود فایل میزبان است فراهم می کند.(انجام کار در حافظه و نه در فایل)

4. ویروس های سرنویس:در این نوع ویروس، سرعت آلوده سازی پایین بوده و مراحل کار به این صورت است که ابتدا کل فایل توسط ویروس خوانده شده و در یک مکان موقت در حافظه ذخیره می گردد، سپس ویروس را در ابتدای فایل نوشته و پس از آن نیز فایل میزبان را که در حافظه نوشته ایم در انتهای ویروس وارد کرده.(ویروس های نوشته شده به زبان c یا پاسکال یا دلفی از این روش استفاده کرده)

5. ویروس های انگلی:ابتدا ویروس به اندازه خود از ابتدای فایل میزبان را خوانده و در انتهای همان فایل اضافه می کندو پس از آن خود را روی ابتدای فایل رونویسی می کند.لذا ابتدا ویروس اجرا می شود.

6. ویروس های میان نویس::این نوع ویروس خود را نه در ابتدا و نه در انتهای فایل میزبان قرار می دهد بلکه در قسمت های میانی جانویسی می کند.

7. ویروس های میان نویس انگلی::مانند ویروس میان نویس، ویروس خود را در قسمت میانی قرار داده با این تفاوت که ابتدا یک نقطه بین عدد 3 و "طول ویروس-طول فایل" به تصادف پیدا کرده و سپس از آن قسمت به اندازه حجم ویروس برداشته و در انتهای فایل میزبان قرار می دهد و سپس خود را بر روی آن قسمتی که حالا یک کپی از آن در انتهای فایل قرار گرفته، رونویسی می کند.
در این روش برای اینکه فایل میزبان اجرا شود، باید یک روتین که وظیفه انتقال کپی تکه رونویسی شده از انتهای فایل به سر جای اولش و دادن کنترل به ابتدای برنامه در حافظه را دارد، در قسمت خالی از حافظه قرار گیرد و بعد از اینکه ویروس عملیات خود را انجام داد، کنترل را به روتین بدهد تا اعمال فوق را انجام دهد.

8. ویروس پرش دار::در این روش ویروس خود را در انتهای فایل اضافه می کند ولی برای پرش به ابتدای فایل میزبان بجای دستور jump در ابتدای ویروس بدنبال دستور jmp در خود فایل میزبان می گردد.

9. ویروس های حفار::این ویروس ابتدا شروع به پیدا کردن جای خالی در فایل میزبان می گردد و در صورت پیدا کردن مکان مناسب و هم اندازه خود، کد خود را در آنجا قرار داده.

10. ویروس های چند حفره ای::این ویروس از چند حفره در فایل میزبان استفاده می کند و با تغییر محل شروع برنامه و پرش به حفره های مختلف سعی در منحرف کردن ضد ویروس ها دارد.

11. ویروس های فشرده::این ویروس ها علاوه بر آلودگی، سایز فایل میزبان را کوچکتر از اندازه فعلی می کنند و فایل اصلی همراه با آلودگی فشرده می شود و اول ویروس اجرا و عمل آلودگی را انجام داده و میزبان به حالت غیر فشرده در آورده و کنترل را در اختیار آن قرار می دهد.

12.ویروس های آمیبی::این نوع ویروس هم سرنویس است و هم ته نویس. بعبارتی ویروس خودش را به دو قسمت سر و ته تقسیم و به ابتدا و انتهای فایل اصلی اضافه می کند.

13.ویروس رمزگشای جا سازی شده:در این نوع ویروس، کد ویروس رمز گردیده و در رمز گشای آن درون برنامه میزبان جاسازی می شود تا پاکسازی را برای ضد ویروس ها سخت تر کند.(ویروس وان هالف) . این نوع ویروس قسمت هایی از فایل اصلی ر که جانویسی کرده در بدنه ویروس به صورت کد شده قرار می دهد تا بعد از اجرای ویروس این قسمت ها را در جای اصلی خود جانویسی کند و کنترل را به برنامه اصلی باز گرداند.

14.ویروس رمزگشای جاسازی شده 2:در این روش ، ویروس خود را به چند تکه تقسیم و در موقعیت های تصادفی در فایل میزبان جانویسی می کند تا در نهایت بدنه ویروس در فایل اصلی بطور کامل قرار گیرد.(ویروس کاماندر بومبر)

15.ویروس epo:در این نوع ، ویروس برای اینکه اول خود اجرا گردد ، نقطه شروع برنامه میزبان را تغییر داده و به همین دلیل ویروس از نقاط شروع مشکوک برای آلوده سازی بهره گرفته و این باعث شده کشف ویروس سخت تر گردد که دارای روشهای مختلفی است
  • روش ساده epo در dos
  • روش api-hooking در ویندوز 32 بیتی
  • روش function call hooking در ویندوز 32 بیتی
  • روش جایگزین کردن import table
  • استفاده از tls
  • یکپارچگی کد میزبان و ویروس

منبع: تحلیل بدافزار -سعدی و زارع
نویسنده : علیرضا(ARAF)
منبع: ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان
1 واژه شناسی انواع بدافزارها قسمت اول
2 واژه شناسی انواع بدافزارها قسمت دوم
3 واژه شناسی انواع بدافزارها قسمت سوم
4 رفتارشناسی بدافزارها (قسمت 4)
5 رفتارشناسی بدافزارها (قسمت ۴)
6 رفتارشناسی بدافزارها (قسمت 6)
7 رفتارشناسی بدافزارها (قسمت7)
8 رفتارشناسی بدافزارها (قسمت۸)
9 رفتارشناسی بدافزارها (قسمت 9)
10 رفتارشناسی بدافزارها(قسمت 10)
11 رفتارشناسی بدافزارها (قسمت 11)
12 رفتارشناسی بدافزارها(قسمت 11)
13 رفتارشناسی بدافزارها (قسمت 12)
14 رفتارشناسی بدافزارها
15 رفتار شناسی بدافزارها(14)
16 اگه جرات داری منو(ویروس) پاک کن
17 آشنایی با نحوه کار آنتی ویروس ها
18 آنتی ویروس ها معجزه نمی کنند
19 کیبرد، ابزار جاسوسی هکرها
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید