وبلاگ فناوری واطلاعات (ساری)
رشته کامپیوتروبلاگ فناوری واطلاعات (ساری)
رشته کامپیوترویروسهای تلفن همراه، نگرانی جدید دنیای فناوری
ویروسهای تلفن همراه، نگرانی جدید دنیای فناوری |
با آسانتر شدن اتصال تلفن همراه به رایانهی شخصی و بالعکس، خطر موجود برای منتقل شدن ویروسهای رایانهیی به تلفن همراه موجب افزایش تقاضاها برای خرید نرمافزارهای آنتی ویروس تلفن همراه شده است. |
ویروس های کامپیوتری و نحوه عملکرد آن ها بر سیستم های رایانه ای | ||||
شنبه,13 تیر 1383 (تعداد دفعات خوانده شده:590) | ||||
| ||||
| ||||
پنجشنبه,25 اسفند 1384 (تعداد دفعات خوانده شده:92) | ||||
| ||||
ویروس کامپیوتری چیست؟
ویروس کامپیوتر برنامهای است که میتواند نسخههای قابل اجرایی از خود را در برنامههای دیگر قرار دهد. هر برنامه آلوده میتواند به نوبه خود نسخههای دیگری از ویروس را در برنامههای دیگر قرار دهد. برنامهای را باید برنامه ویروس نامید که همگی ویژگیهای زیر را داشته باشد:
1) تغییر دادن نرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی از برنامه ویروس به این برنامههای دیگر
2) قابلیت انجام تغییر در بعضی از برنامهها.
3) قابلیت تشخیص اینکه یک برنامه قبلاً تغییر داده شده است یا خیر.
4) قابلیت جلوگیری از تغییر بیشتر یک برنامه در صورتی که معلوم شود قبلاً توسط ویروس تغییر داده شده است.
5) نرم افزارهای تغییر داده شده ویژگیهای 1 الی 4 را به خود میگیرند. اگر برنامهای فاقد یک یا چند خاصیت از خواص فوق باشد، آنرا نمیتوان به طور قاطع ویروس تلقی کرد
مقدمه ای بر ویروسهای کامپیوتری
پیش از یک دههً قبل فردى به نام " فرد کوهن " اولین ویروس کامپیوترى را بعنوان یک پروژه دانشجویى نوشت که قادر
بود خود را بصورت انگل وار تکثیر کرده ، به برنامه هاى دیگر بچسباند و تغییراتى را در آنها بوجود آورد. علت نام گذارى ویروس بر روى اینگونه برنامه ها ، تشابه بسیار زیاد آنها با ویروسهاى بیولوژیکى است زیرا ویروسهاى کامپیوترى نیز مانند ویروسهاى بیولوژیکى بطور ناگهانى تکثیر مىشوند و در حالى که ممکن است بر روى یک دیسک وجود داشته باشند تا زمانى که شرایط مناسب نباشد فعال نخواهند شد .
براى کاربران معمولى ممکن است حداکثر ضرر ناشى از یک ویروس خطرناک ، نابود شدن اطلاعات و برنامه هاى مهم موجود بر روى کامپیوتر شان باشد ، اما ضرر و زیان ناشى از ویروس هاى مخرب بر روى شبکه هاى ارتباطى مراکز تجارى و اقتصادى ممکن است موجب تغییر و یا حذف اطلاعات مالى شرکت ها و اشخاص گردد و خسارات مالى ، اقتصادى و تجارى سنگین و جبران ناپذیرى را در پى داشته باشد و یا حتى تاثیر ویروس در سیستم هاى کامپیوترى یک پایگاه نظامى هسته اى ممکن است منجر به خطر افتادن حیات انسانها و کره زمین گردد .
بنابراین با عنایت به خطرات نامحدود و جبران ناپذیر ویروس هاى کامپیوترى که هر روز بطور سرطان گونه تولید مىگردند متخصیصن علوم کامپیوترى بر آن شدند تا برنامه هایى را براى نابودى ، پاکسازى و یا پیشگیرى از شیوع اینگونه ویروسها تهیه کنند . اگر چه تاکنون برنامه هاى زیادى براى این منظور طراحى و تولید شده است ولى اینگونه از برنامه ها الزاماً باید متناسب با تولید و اشاعه ویروسهاى جدید ، اصلاح و دوباره سازى گردند .
ویروسهاى کامپیوترى برنامه هاى نرم افزارى کوچکى هستند که به یک برنامه اجرایى یا نواحى سیستمى دیسک متصل شده و همراه آن اجرا مىشوند لذا ویروس کامپیوترى از جنس برنامه هاى معمولى کامپیوتر است که توسط برنامه نویسان نوشته شده ، به طور ناگهانى توسط یک فایل اجرایى یا جاگرفتن در ناحیه سیستمى دیسک به کامپیوتردیگر مستقل مىشود و پس از اجراى فایل آلوده به ویروس و یا دسترسى به یک دیسک آلوده توسط کاربر ، ویروس بطور مخفى در حافظه قرار مىگیرد و با اجراى یک برنامه غیر آلوده ، با تولید نسخه اى از خود، آن را آلوده مىکند و این روند در موقع انتقال و جابجایى اطلاعات بین کامپیوترها و اجراى برنامه ها تکرار می شود و پس از گذشت زمان کوتاهى کامپیوترهاى موجود در یک اتاق ، اداره ، کشور و یا حتى در سراسر جهان آلوده به ویروس مىگردند و از آنجا ویروس هابطور مخفیانه عمل مىکنند ، تا وقتى که کشف و پاکسازى نگردند ، برنامه ها و کامپیوتر هاى زیادى را آلوده مىکنند وبنابراین پیدا کردن سازنده اصلی آن تقریباً غیر ممکن است.
ویروسهاى اینترنتى از این گروه از ویروسها هستند که باعث خرابىهاى زیادى در سیستمهاى کامپیوترى جهان شده اند .
ویروسهاى اینترنتى
به احتمال بسیار،همگى ما درباره ویروس love که به صورت پست الکترونیک خود را براى کاربرد هاى اینترنت ارسال مى کرد، چیزهایى شنیده ایم. این ویروس پس از مورد حمله قرار دادن یک کامپیوتر، با دستبرد به دفتر آدرس ها (adress book) در برنامه ارسال و دریافت پست الکترونیک out look، با استفاده از
آدرسهاى فهرست شده درآن، خود را منتشر مى کرد. سال گذشته نیز همین روش توسط ویروس وحشتناک ملیسا(Melissa) مورد استفاده قرار مى گیرد و تا کنون ویروس هاى کوچکترى نیز مانند pretty park به این شیوه خود را پراکنده اند.چنین به نظر مى رسد که پست الکترونیک به عنوان شیوه موثر ارتباط در دنیاى اینترنت، بهترین بستر براى انتشار بعضى از ویروس ها تبدیل شده است.
در خبرها شنیده شده است که نویسنده ویروس love دستگیر شد. اما پس از دستگیرى این شخص در این مدت کوتاه با کمال تعجب شاهد انتشار ویروس دیگرى هستیم که طرز رفتارى بسیار مشابه پدر خوانده خود یعنى ویروس love دارد. به گفته متخصصان مرکز تحقیقات ویروس شناسى سیمانتیک این ویروس حتى از ویروس love مخرب تر است. این ویروس که به new love شهرت یافته ، در نخستین دو روز فعالیت خود هزاران کامپیوتر را در سر تاسر جهان آ لوده کرد. شناسایى این ویروس از آنجا که هر بار از طریق نامه اى با عنوان (subject) متفاوت خود را ارسا ل مى کند بسیار دشوارتر است. اما خوشبختانه مجموع خسارت آن به پاى ویروس love نرسیده. چرا که با آ مادگى ذهنى که ویروس love ایجاد کرده بود، بسیارى از شرکتهاى بزرگ چند میلیتى در نخستین اقدام توانستند از پذیرش نامه هاى آلوده جلوگیرى کنند ودر اصطلاح کامپیوترى آن را blick کنند.
این ویروس مخرب علاوه بر از بین بردن فایلهاى ذخیره شده در کامپیوتر ، باعث از کار افتادن سیستم عامل کامپیوتر نیز میشود. این ویروس هرچند از نظر فنى پیچیده ترازویروس love است اما فاقدهرگونه محرک خاصى است. ویروس love از یک پیام تحریک کننده (I love you) در خط عنوان خود بر خوردار است ویک پیام عاشقانه به نام (love letter) به آن پیوسته است. این ویروس حدود ده بیلیون دلار خسارت به جا گذاشت. اما ویروس new love فاقد چنین عبارت هایى است وهر بار با یک نام متفات خود را به نامه اى پیوست وارسال مى کند. تنها قسمت مشابه در نامه هاى حاوى این ویروس ، پسوند سه حرفى فایل پیوست شده به آن یعنى " .vbs" است .
ویروس love نه تنها از طریق برنامه Microsoft outlook دریافت مى شود. در بسته Microsoft office به همراه چندین برنامه مفید دیگر مانند word ، excel ، access، .... نیز دریافت
معرفی چندویروس:
همانطور که می دانیم تعداد ویروس ها بی شمار است. تمام ویروس ها از نقاط ضعف سیستم استفاده نموده، وارد سیستم می شوند و کارهای زیان آور خود را انجام می دهند.
Alabama پرونده های اجرایی و Fat را خراب می کند.
Albania دارای اثرات جانبی نیست و فقط خود را تکثیر می کند.
Anticad برنامه های اتوکد را آلوده می کند.
Antipascal پرونده های دارای پسوند bat,bak,pas را خراب می کند.
Armagdam علاوه بر ایجاد اختلال در کار مودم ها، یک شماره می گیرد و ساعت را اعلام می کند.
Baby lonia این ویروس به پرونده های hip در ویندوز علاقمند است.
Back band سندهایی را که دارای کلمه عبور هستند آلوده می کندواگر تاریخ، سال2000 را نشان دهد، آن را به 1980 تبدیل می کند.
Brain رکوردبوت را خراب می کند.
Bubble سندهای word را آماده می کند. این برنامه با استفاده از نقاط ضعف سیستمهای محافظتی ویندوز، این کاررا صورت می دهد.
Chantal پرونده های دستداری و ویژال بیسیک را آلوده می کند.
Crypto یک ویروس مقیم در حافظه است و تمام اطلاعات روی دیسک را با صورت و روش های بسیار پیچیده ای رمزگذاری می کند. اگر ویروس در حافظه، فعال باشد، پرونده های رمز شده، قابل استفاده خواهند بود. زیرا آنها را رمزبرداری می کند. اما اگر در حافظه نباشد، یعنی با ضدویروس از حافظه حذف شده باشد، پرونده های به رمز تبدیل شده، قابل استفاده نخواهند بود. ویروس هنگام راه اندازی سیستم وارد حافظه می شود و ضدویروس های مشهور را می شناسد و آنها را آلوده نمی کند.
Dbase روی رکوردبوت می نشیند و پایگاههای داده شده را آلوده می کند.
Disk killeاگر رایانه، بیشتر از 24 ساعت روشن باشد، دیسک نرم و سخت را خراب می کند.
Excel این ویروس، پرونده ها و سندهای Excel را آلوده می کند.
Lazy در حافظه مقیم می شود و سرعت رایانه و فضای حافظه اصلی را کم می کند.
Manquin بالای سر هر نوشته ای را که برای چاپ به چاپگر فرستاده می شود خراب می کند.
Mirror حروف صفحه نمایش را مانند آینه به صورت وارونه نشان می دهد.
Mypics خود را به صورت پست الکترونیک بر روی سیستم های ویندوز تکثیر می کند.
Pc-fiu کار بعضی ضدویروس ها را مختل می کند.
Vbs-Tun یک کرک است که به زبان ویژوال بیسیک نوشته شده و سعی دارد تا از طریق پست الکترونیکی خود را منتشر سازد.
Zelu یک اسب است که پیغام هایی صادر و پرونده ها را حذف می کند.
معرفی چند ضدویروس:
Antiviral
Toolkit pro (Avp): این ضدویروس به صورت مقیم و غیرمقیم کار می کند و ویروس های شناخته و ناشناخته را بررسی می کند همچنین دارای امکاناتی برای بررسی پرونده های فشرده و پست الکترونیکی است. اجرای آن بسیار ساده است و به کمک محیط گرافیکی با کاربردر ارتباط است.
Norton Anti Virus (Nav): این ضدویروس، کشف و ترمیم پرونده ها و دیسک ها را انجام می دهد و دارای امکاناتی برای حفاظت از پست الکترونیکی می باشد. پرونده های اجرای یا غیراجرایی، شبکه محلی و غیرمحلی را حفاظت می نماید. به طور متوسط هر روز، سرویس جدیدی کشف می شود که مرکز تحقیقات سیمانتک (نورتون) در کشف آنها سهیم است.
Scan: کار با آن ساده است. بدین صورت که پس از اعلام اسم پرونده یا دستگاهی که می خواهیم آزمایش کنیم، آن را با کیفیت بسیار خوبی بررسی می کند. حتی ویروس هایی را که به شکل فشرده در پرونده ها می نشینند، ردیابی می نماید.
برنامه شیلد:
هنگامی که این برنامه را اجرا می کنیم، در حافظه مقیم می شود و سیستم را در برابر حمله ویروس ها محافظت می نماید. یعنی رکوردبوت و پرونده های سیستم را بررسی می کند و مانع اجرای برنامه های آلوده می شود. بهتر است، برنامه را به ابتدای پرونده autoexec.bat اضافه کنیم تا همیشه در حافظه وجود داشته باشد. البته این کار سبب می شود که سرعت اجرای سیستم کاهش یابد. برای اجرا فرمان زیر را می نویسیم: سوئیچ ها vshield
سوئیچ ها اختیاری هستند و می توانند حذف شوند. برنامه در صورت کشف ویروس سه بار بوق سیستم را به صدا درمی آورد. تعدادی از سوئیچ های آن را در زیر شرح داده ایم:
؟/ فهرست سوئیچها را نشان میدهد.
Anyacces/ دستیابی به رکوردبوت را کنترل می کند.
پیغام contact/ هنگام کشف ویروس، پیغام را نشان می دهد.
Exclude/ پرونده هایی که نامشان در پرونده موردنظر است، کنترل نمی کند.
Fileaccess/ دستیابی به پرونده ها را کنترل میکند.
نام دیسک ignore/ پرونده های دیسک موردنظر را بررسی نمی کند.
Nomen/ حافظه را بررسی نمی کند.
Nowarmboot/ هنگام راه اندازی گرم،رکوردبوت را بررسی نمی کند.
نام دیسک only/ فقط دیسک های موردنظر را بررسی می کند.
ضدویروس تول کیت:
نرم افزار تول کیت، یکی از ضدویروس های قدرتمند است که شرکت دکتر سولومان آن را ارایه نموده است. این ضدویروس، به دوشکل خطی و محاوره ای قابل استفاده می باشد و حاوی برنامه هایی است که به سرعت و سادگی ویروس هارا شناخته و برخی از ناشناخته ها را کشف و ترمیم می کند.
نصب: برای نصب نرم افزار، برنامه ای به نام install وجود دارد که آن را به شکل زیراجرا می کنیم.
1- دیسک را در دستگاه A قرار داده، فرمان های زیر را تحریر می کنیم:
a:
install
2- پنجره ای نمایان می شود که در آن درخواست می نماید، دیسک سخت را برای نرم افزار و نصب آن اعلام کنیم. به کمک کلیدهای نشانگر سمت راست ® و ¬ چپ دیسک را انتخاب و اینتر¿ را تحریرمی کنیم.
3- راهنمای موردنظر را اعلام می کنید و کلید اینتر ¿ ´ را تحریر می کنیم.
4- پیشرفت کار را نشان میدهد.
5- اجازه نصب برنامه guard رادرخواست می کند ونیزمی خواهد که تغییراتی در پرونده های confiy.sys و autoexec. Bat را ایجاد نماید. اجازه را صادر می کنیم.
6- پرونده های موجود در دیسکها را برای عاری بودن از ویروس بررسی می کند.
7- کار نصب تمام می شود و باید یک کلید دلخواه را تحریر کنیم.
کشف ویروس 1:
وظیفه کشف ویروس به عهده findviru است، برنامه های سیستم و پرونده های دیسک را برای یافتن ویروس های شناخته شده بررسی می کندو در صورت کشف، می تواند آنها را ترمیم نماید.
برنامه می تواند علاوه بر کشف ویروس، پرونده های آلوده را ترمیم کند. در صورتیکه پرونده ای ترمیم پذیر نباشد، حرف اول پسوند آن را با حرف V عوض می کند. اگر نخواهیم پسوند را تغییر دهد به شکل زیر می نویسیم:
findviru/delete
در این صورت پرونده های آلوده را ترمیم می کند و در صورت عدم موفقیت آنها را حذف می نماید. برای اطمینان بیشتر، ابتدا نویسه هایی را در پرونده می نویسد و سپس آن را حذف می کند.
کشف تغییرات:
وظیفه پیدا کردن تغییرات ایجاد شده در پرونده ها، برعهده برنامه vireify است. بدین صورت که پرونده ها را مورد بررسی قرار می دهد و برای هر یک از آنها اطلاعاتی به نام «اثرانگشت» یا «انگشت نگاری» را در پرونده ای به نامfiles.v v l می نویسد. هر بار که پرونده را مورد بررسی قرار می دهد، اطلاعات انگشت نگاری قبل را با اطلاعات جدید مقایسه می کند و تغییرات را گزارش می نماید.
کشف ویروس 2:
برنامه guard روایت دیگری از برنامه findviru است که پس از اجرا در حافظه مقیم می شود وازاستفاده دیسک و برنامه های آلوده جلوگیری میکند. شکل اجرای برنامه به این صورت است: guard
بهتر است که این برنامه را در پرونده auto exec. Bat فرابخوانیم تا همیشه در حافظه مقیم باشد. به طور معمول برنامه از نسخه برداری پرونده های آلوده جلوگیری نمی کند. مگر آنکه از سوئیچ copy به شکل زیر استفاده کنیم. Guard/copy=no
در این صورت هنگام نسخه برداری از پرونده ها، ابتدا آنها را بررسی می کند تا آلوده نباشند و کپی اجازه کار را صادر می نماید. بدیهی است که سرعت اجرا کم می شود.
ضدویروس اسکن:
این نرم افزار محصولی از شرکت مک آفی است، ویروسهای شناخته و ناشناخته در حافظه و دیسک را جستجو می کند. در بیشتر اوقات آنها را از بین می برد و پرونده های آلوده و ناحیه سیستم رابطورکامل ترمیم می کند. برای کار با ضدویروس، آن ا به شکل زیر نصب می کنیم.
1- یک راهنما تولید می کنیم. Md/macafee cd/macafee
2- دیسک حاوی ضدویروس را در دستگاه A قرار می دهیم و پرونده های آن را در راهنمای فوق ذخیره می کنیم: copy a:*.*
3- پرونده های موجود در راهنما را از فشردگی خارج می کنیم: pkunzip*.zip
4- برنامه های آن را بررسی می کنیم تا از ویروس عاری باشند: validate scan.exe
5- تعداد پرونده با پسوند txt همراه ضدویروس است که حاوی اطلاعات مهمی در مورد ضدویروس و نحوه کار کردن با آن هستند پرونده ها را به کمک دستور type مطالعه میکنیم. برای مثال فرمان زیر را اجرا می کنیم: type scan. Txt I more
ضدویروس حاوی چندین برنامه است که کار کشف و ترمیم دیسک های آلوده را به عهده دارند. ذیلاً دو نمونه از آنها (اسکن وشیلد) را مورد بررسی قرار می دهیم.
برنامه اسکن:
وظیفه این برنامه کشف ویروس و ترمیم برنامه های آلوده است. این برنامه غیرمقیم است و پس از خاتمه اجرا،ازحافظه بیرون می رود. هر بارکه آن رافرامی خوانیم، ابتدا خود را بررسی می کند تا به ویروس آلوده نباشد. در صورت آلوده نبودن، بلافاصله به کار خود خاتمه می دهد. برای اجرای آن فرمانی به شکل زیر می نویسیم:
سوئیچ/ نام دستگاه n..... نام دستگاه2 نام دستگاه 1 scan
نام دستگاه و سوئیچ اختیاری است و می تواند حذف شود. برای مثال: c scan
دیسک c را برای کشف ویروس آزمایش می کند. اجرای اسکن ممکن است چند دقیقه طول بکشد. هنگام اجرا پیشرفت کار را فراموش می کند. اگر هیچ ویروسی پیدا نکند، پیغامی مانند شکل 6ـ4 و در غیر اینصورت پیغامی دیگر مانند شکل 7ـ4 صادر می نماید.
Virus data file v 2.10204created The Aug 3113:17:532001 No virus found in memory Scanning C: Summary report one: Files Analyzed 1500 Scanned 750 Possibly infected 0 Master boot records 1 Possibly infected 0 Boot sector(s) 1 Possibly infected 0 Time:60:00 sec |
شکل 6ـ4 ـ گزارش کار اسکن برای دیسک عاری از ویروس.
Scanning C: scanning file C:\Dos\ATTRIB.EXE Found Teguilla Virus |
شکل 7ـ4 ـ گزارش کار اسکن برای پس از کشف ویروس.
گاهی اوقات تعدادی پرونده های آلوده زیاد است و می خواهیم هنگام اجرای برنامه، رایانه را رها کرده، کار دیگری را انجام دهیم. در این صورت گزارشها را در یک پرونده می نویسیم تا در موقع مناسب آن را مطالعه کنیم.
برای پاکسازی برنامه های آلوده،دوسوئیچ /clean,/deIموجود است که به ترتیب پرونده های آلوده را حذف و ترمیم می کند. برنامه اسکن دارای تعدادی سوئیچ به شرح زیر است:
؟/ فهرستی از سوئیچ ها را نشان میدهد.
/adI تمام دیسکها غیر از دیسکهای نرم و شبکه را بررسی می کند.
/boot رکوردبوت و فضای سیستم را آزمایش می کند.
/clean پرونده های آلوده و ناحیه سیستم را پاکسازی و ترمیم می کند.
deI/ پرونده های آلوده را حذف می کند. اگر آن را همراه clean/ بنویسیم، ابتدا سعی می کند پرونده را ترمیم نماید. در غیر این صورت، آن را حذف می کند.
نام پرونده exclude/ پرونده هایی که نامشان در پرونده موردنظر وجود دارد، را مورد بررسی قرار نمی دهد.
Fast/ ویروس یابی را سریع، اما با دقت کمتری انجام می دهد.
Help/ فهرستی از سوئیچ ها را نشان می دهد.
Many/ اگر بررسی چندین دیسک موردنظر باشد، از این سوئیچ استفاده می کنیم.
نام راهنما move/ پرونده های آلوده را به راهنمای موردنظر انتقال می دهد. اگر همراه clean/ استفاده شود، ابتدا پرونده را ترمیم می کند. در صورت موفق نشدن آن را به راهنمای موردنظر منتقل می نماید.
Nomem/ حافظه را بررسی نمی کند. اگر مطمئن هستیم که حافظه آلوده نیست، از این پارامتر استفاده می کنیم.
Pause/ هنگام نشان دادن گزارش در صفحه نمایش، یک صفحه که پر شد، منتظر می ماند تا کاربر کلیدی را تحریر نماید. نام پرونده Report/ گزارش را در پرونده موردنظر می نویسد.
Sub/ راهنماهای فرعی را بررسی می کند.
Virlist/ فهرست تمام ویروس ها را همراه توضیح مختصر از آنها را نشان می دهد.
هنگامی که کار برنامه اسکن تمام می شود، یک شماره خطا نشان می دهد. اگر شماره بزرگتر از 100 باشد، آن را از عدد 100 کم می کنیم. حاصل را در راهنمای سیستم عامل جستجو می کنیم تا معنی خطا را پیدا کنیم. تعدادی از شماره های خطا به شرح زیر است:
0 موفق، هیچگونه ویروس و خطایی پیدا نشده است.
1 هنگام خواندن و نوشتن پرونده خطا تولید شده است.
3 هنگام دستیابی به دیسک خطا شده است.
5 حافظه کافی وجود ندارد.
6 خطای برنامه.
9 سوئیچ مورد استفاده غلط است.
رفتار ویروس در هنگام اجرا:
هنگامی که کنترل اجرا به یک ویروس داده می شود، ممکن است در حافظه مقیم شود و هرگاه که برنامه ای برای اجرا وارد حافظه می شود و یا یک دستیابی به دیسک صورت می گیرد، ویروس فعال شده، آن برنامه یا دیسک را آلوده می کند. برخی ازویروس های مقیم، با راه اندازی کرم (تحریر کلیدهای [DEL]-[AL+]-[Ctrl] نیز از حافظه خارج نمی شوند.
ویروس میتواند به صورت غیرمستقیم هم فعالیت کند. هنگامی که احضار شد، اجرا شود و سپس از حافظه اصلی بیرون برود. بعضی از ویروسها دو رگه هستند. یعنی قسمتی از آنها در حافظه مستقیم می شود وقسمت دیگر غیرمستقیم است.
مبارزه با ویروس:
بسیاری از کار بردن نسبت به ویروس و پیامدهای آن بی توجه هستند. متأسفانه همین امر باعث شده است که ویروس های خطرناکی در سیستم های مختلف منتشر گردند. ضرورتی ندارد که یک کارشناس باتجربه باشیم و یا بطور کامل برنامه های مخرب و تفاوت آنها را بشناسیم تا با ویروس مبارزه کنیم. آنچه باید بدانیم این است که برای مبارزه با ویروس پنج مرحله آماده سازی، پیشگیری، کشف، مقاومت و ترمیم وجود دارد.
ضدویروس:
کاربردن همواره با این مسأله مواجه هستند که چگونه خود را در برابر ویروسهای جدید محافظت کنند و چگونه آنها را آزمایش کنند. چه نرم افزاری را بگیرند و چرا؟ یکی از راههای مقابله با ویروس، استفاده از نرم افزارهای ضدویروس است. ضدویروسها را به دو گروه معین و نامعین تقسیم می کنند.
ضدویروس معین، دیسک را برای ویروس های شناخته شده جستجو می کند. فضای سیستم و پرونده های دیگر را یک به یک برای آلوده نبودن مورد بررسی قرارمی دهد. سرعت در کشف ویروس های شناخته شده، از مزیت این گونه ضدویروس هاست. اما اگر ویروس جدیدی وارد سیستم آن شود، آن را نمی شناسند.
ضدویروس نامعین، یک سری بررسی و محاسبات بر روی پرونده ها انجام می دهد و نتایج آن را نگهداری می کند و در فاصله زمان های مختلف این نتایج را با یکدیگر مقایسه می نماید. اگر با یکدیگر متفاوت نباشند، پرونده آلوده نیست. در غیر اینصورت آلوده است. کشف ویروس های جدید از مزیت این گونه ضدویروس هاست. اما از معایب آن ها، پیدا کردن ویروس پس از آلوده شدن پرونده می باشد.
ضدویروس میتواند در حافظه مقیم و یا غیرمقیم باشد. هرگاه ضدویروس غیرمستقیم را اجرا نمائیم حافظه اصلی رایانه و پرونده های روی دیسک را برای آلوده نبودن آزمایش می کند. در صورت آلوده بودن، مسأله را گزارش می کند. سپس به کار خود خاتمه داده، از حافظه خارج می شود.
اگر ضدویروس در حافظه مقیم شود، به شکل واسط عمل میکند. هنگامی که درخواست انتقال یا اجرا و یا بازکردن پرونده ای صادر شود، ابتدا ضدویروس، پرونده را بررسی می کند تا آلوده نباشد، سپس اجازه کار باآن راصادرمی نماید، تازمانی که رایانه روشن است، ضدویروس نیز درحافظه مقیم است.
| در خواست |
| در خواست | |||||||||||
|
|
|
|
|
|
| ||||||||
الف - سیستم بدون ضدویروس | ب - سیستم مجهز به ضد ویروس | |||||||||||||
هدف های ویروس:
ویروس درمکان هایی منتشرمی شودوآن ها راآلوده می کند که اجرایی و تغییرپذیر باشند. بنابراین فضای سیستم (رکوردبوت، جدول تخصیص برنامه ها، راهنما، جدول افراز) پرونده های sys,bat,com,exe ازجمله هدف های ویروس به شمار میروند. ویروس های امروزی پرونده های اطلاعاتی را نیز خراب میکنند.به پرونده هایی که واژه پردازها تولید وپردازش می نمایند «سند» می گویند. سندها از منابع بسیار مهم برای انتقال ویروس هستند.
در پاسخ به این سئوال که آیا ویروس سخت افزار را نیز تخریب می کند یا خیر؟ باید بگوئیم که ویروس چرنوبیل به سخت افزار نیز حمله می کند و به آن آسیب میرساند.
رسانه های ناقـل ویروس:
تمام دستگاههای ذخیره و انتقال اطلاعات می توانند ناقل ویروس باشند. دیسک نرم که از آن برای توزیع برنامه ها و جابه جا کردن اطلاعات در یک یا چند رایانه استفاده می شود، یکی از رایج ترین رسانه هاست. حافظه های دیگر مانند دیسک سخت، نوارکاست، دیسک نوری و ... نمونه هایی از رسانه های ناقل ویروس هستند.
اگرچه دیسک cd-Rom قابل نوشتن نیستند و ویروس ها نمی توانند آنها را آلوده کنند، اما هنگام تولید اگر محیط آلوده باشد، ویروس برای همیشه بر روی دیسک می نشیند و در زمان استفاده به مکان های دیگر سرایت می کند.
شبکه یکی از راه های انتقال اطلاعات و همچنین محل مناسبی برای ویروس هاست، یکی از راه های متداول برای آلوده سازی بقیه رایانه ها در سالهای اخیر استفاده از پست الکترونیکی است.
ساختار ویروس:
برنامه های ویروس از دوقسمت تکثیر و تخریب تشکیل شده اند. اندازه آن ها باتوجه به کاری که انجام می دهند از چند صد بایت تا چند کیلوبایت متغیرند.اغلب ویروس ها را به زبان اسمبلی می نویسند. زیرا به آسانی و سرعت زیاد می توان به اجزای مختلف ماشین دست پیداکرد. اما ویروس هایی نیزوجوددارند که به زبان های دیگری مانند c، بیسیک و پاسکال نوشته شده اند. مانند ویروس کامیکازه که به زبان پاسکال است. بیشتر ویروس ها هر برنامه رایکبارآلوده می کنندودر برنامه آلوده یک علامت می نویسندکه به آن امضای ویروس می گویند واگراین علامت در پایین برنامه نباشد ویروس هاآن راآلوده می کنند. اما ویروس اورشلیم ممکن است برنامه را چندین بار مورد حمله قرار دهد.
انواع ویروس:
کار تخریب و تکثیر ویروس ها و همچنین مکان جایگیری آن ها با یکدیگرمتفاوت است. برخی ویروس ها محتویات رکوردبات، سیستم عامل و یا جدول افزاردیسکهای موجود را تغییر می دهند. برخی دیگربه پرونده های اجرایی متصل شده آنها را آلوده میکنند. گاهی نیز مانند ویروسcrypto به انواع پرونده های مستقیم وغیرمستقیم حمله می کنند ودرآن ها منتشر می شوند. بنابراین احتمال آلوده سازی آن ها بیشترازویروس های دیگراست. برخی از ویروس ها کاکدو هستند و بعضی فیر.
در سال های اخیر، ویروس هایی به نام ماکدو نوشته شده اند که خود را مانند ماکدو به سند متصل می کنند. هنگامی که برنامه، سندی را باز می کند تا کاری انجام دهد، ویروس خود را از سند به برنامه و سپس به مکان های دیگر رسانده، آنها را آلوده می سازد.
می دانیم اگر دوبرنامه با یک اسم یکسان و پسوندهای متفاوتcom وexe در دیسک وجود داشته باشد و به سیستم عامل بگوئیم برنامه اجرا شود، سیستم، برنامه با پسوند com را اجرا می کند. برخی از این ویروس ها از این خصوصیت استفاده می کنند. یعنی، دیسک را برای پرونده های exe جستجو نموده، با مشاهده هر یک از این گونه پرونده ها، یک نسخه از خود را تکثیر و با همان اسم، اما پسوند com و مشخصه مخفی روی دیسک ذخیره می نمایند. برای مثال، اگر پرونده ای با نام exe.Prog داشته باشیم، ویروس خود را با نام com.Prog تکثیر می کند.
برخی از ویروس ها خود راتکثیرنمی کنند.اما نشانی تمام پرونده های اجرایی را تغییر می دهند.
ویروس برنامه ای با ویژگی های زیر است.
- دارای اثرات جانبی است:
ویروس حاوی قطعه برنامه ای است که دارای اثرات جانبی زیان آور می باشد و در شرایط مناسب اثراتش را نشان می دهد. البته ویروس هایی هستند که تخریب کننده نیستند.
- خود تکثیر است:
ویروس خود را تکثیر می کند و بر روی دیسک منتشر میشود. این همان خاصیت ویروسهای بیولوژیکی است. خودتکثیری یکی از مشخصه های ویروس است که آن را از سایر برنامه ها متمایز می کند.
- مخفی است:
موفقیت ویروس درآن است که قبل ازمشخص شدن اثرات جانبی آن،خود را بطور مخفیانه تکثیر می کند. این ویژگی ویروس نیز مانند ویروسهای بیولوژیکی است. این ویروس نیز در دوران نهفتگی نشانه ای ندارد.اما به بقیه انسانها سرایت می کندوبه همین دلیل افراد از ناقل کناره گیری نمی کنندوهمین امر سبب انتشارویروس می شود.معمولاًویروسهاهمراه برنامه های مخرب دیگر به رایانه حمله می کنند. ویروس armagid نمونه ای از این گونه ویروس هاست که در روز هشتم ماه مه هر سال فعال می شود و شکل مکان نما را به صورت دوخط متقاطع و به رنگ قرمز تبدیل می کند.
اثرات جانبی ویروس:
ویروس ها معمولاً کارهایی انجام می دهند که یک برنامه معمولی انجام نمی دهد. مثلاً:
1- اطلاعات غلط را بر روی پرونده ها بنویسد.
2- اطلاعات داخل پرونده ها را جابه جا کند.
3- اطلاعات پرونده ها را به رمز درآورد.
4- فظاهای خالی دیسک را با علامت خراب کند.
5- قسمتی از حافظه اصلی را اشغال کند.
6- سرعت اجرای برنامه را کم کند.
7- کلیدها را تغییر دهد.
8- سیستم را به حالت تعلیق درآورد.
انتشار ویروس:
ویروس از طریق پرونده های آلوده منتشرمی شود.هنگام اجرای برنامه های آلوده و یا پردازش پرونده های آلوده، ویروس فعال می شود و خود را تکثیر می کند. اگر رایانه را خاموش کنیم، فعالیتش متوقف می شود. فرض کنید، رایانه دارای دستگاه دیسک گردان سخت و یک دیسک گردان نرم است. همچنین یک ویروس بر روی رکوردبوت یک دیسک نرم وجود دارد. اگر رایانه را با آن دیسک راه اندازی کنیم ابتدا ویروس به حافظه اصلی منتقل و سپس فعال میشود. آنگاه دیسک سخت را آلوده می کند. اگر رایانه را خاموش کنیم، ویروس موجود در حافظه اصلی از بین می رود، اما در دیسک سخت باقی می ماند.
سیستم را بار دیگر با دیسک سخت راه اندازی می کنیم. ویروس از دیسک سخت به حافظه رفته، فعال میشود. اکنون اگر از یک دیسک نرم سالم و بدون محافظ نوشتن استفاده کنیم ویروس در دیسک نرم هم منتشر می شود. اگر رایانه را خاموش کنیم،دیسک سخت و نرم هر دو آلوده خواهند بود. به شکل 4ـ4 توجه کنید.
تمرین: فصل 4
1- چه پرونده هایی مورد علاقه ویروس است؟ چرا؟ پرونده های sys,bat,com,exe از جمله هدف های ویروس هستند. زیرا اجرایی و تغییرپذیر هستند و بنابراین فضای سیستم رکوردبوت، جدول تخصیص پرونده ها، راهنما و جدول افراز و پرونده های نام برده شده ازجمله هدف های ویروس هستند.
2- مزایا و معایب ضدویروس های نامعین چیست؟ ضدویروس نامعین به کشف ویروس های جدید می پردازد که از مزیت این گونه ضدویروس هاست و از معایب آنها پیدا کردن ویروس پس از آلوده شدن پرونده ها می باشد.
3- ضدویروس مقیم و غیرمقیم چه تفاوتی دارند؟ در صورت استفاده از ضدویروس مقیم، حافظه اصلی رایانه و پرونده های روی دیسک را برای آلوده نبودن آزمایش می کند. در صورت آلوده بودن مسئله را گزارش میکند. سپس به کار خود خاتمه داده، از حافظه خارج می شود. اگر ضدویروس در حافظه مقیم شود، به شکل واسط عمل می کند. هنگامی که درخواست انتقال یا اجرا و بازکردن پرونده ای صادر شود، البته ضدویروس پرونده را بررسی می کند تا آلوده نباشد، سپس اجازه کار با آن را صادر می نماید. تا زمانی که رایانه روشن است، ضدویروس نیز در حافظه مقیم است.
4- برنامه auto exec. Bat اضافه کنید.
آشنایی با برنامه های مخرب: هنگامی که در سال 1984 برای اولین بار در مقالات علمی، امکان وجود ویروس مطرح شد، هیچ کس آن را جدی نگرفت. اما طولی نکشید که اولین ویروس پا به عرصه وجود گذاشت. در آن زمان نیز عده انگشت شماری خطر آن را درک کردند. برخی حتی نمی دانستند که آیا ویروس بطور اتفاقی رخ میدهد یا آن را می نویسند، یک یا دو متخصص از این حد نیز فراتر رفتند و تولید ویروس را کاملاً انکار کردند. اما امروزه می بینیم که مراکز رایانه ای پر از ویروس های گوناگون است و تعداد آنها پی در پی افزایش می یابد. اولین ویرو س ها، تصاویر گرافیکی و یا پیغام هایی را بر روی صفحه نمایش نشان می دادند. اما بیشتر ویروسهای امروزی مخرب هستند. ویروس تنها برنامه رایانه ای مخرب نیست، بلکه برنامه های مخرب دیگری نیز وجود دارد. از آن جمله، اسب تروا، بمب منطقی و کرم را میتوان نام برد.
اسب تروا: اسب تروا برنامه ای است که کارهایی را انجام میدهد که در مستنداتش ذکر نشده است. معمولاً این کارها زیان آورهستند. برای مثال هنگامی که کاربرمی خواهدبا سیستم کار کند. یک برنامه Ligin تقلبی، شماره حساب و کلمه عبور را از کاربرگرفته تا اجازه ورود به سیستم و کار با آن را صادر نماید. اما پس از فهمیدن شماره حساب و کلمه عبور، اطلاعات کاربر را دستکاری می کند. نمونه ای از یک اسب تروا در شکل 1ـ4 نشان داده شده است. a: ¿ copy con a : horse.bat ¿ y ¿ cls ¿ del < a : horse.bat a:\*.* ¿ [ ctrl ] - z شکل 1ـ 4 یک نمونه اسب تروا.
اگر پرونده horse.bat را باتوجه به شکل 1ـ4 تولید کنیم و شخص علاقمند از روی کنجکاوی فرمان horse را اجرا نماید تمام پرونده های موجود در دیسکتA حذف خواهند شد. معمولاً برنامه اسب تروا بطور خودکار اجرا می شود و به سیستم آسیب می رساند. برای مثال، یک فرمان type آن را فعال می کند. فرض کنید در پرونده ای از فرمانهای ansi.sys استفاده کنیم و یکی از کلیدهای صفحه را با فرمان پاک کردن تمام پرونده های دیسکت و کلید را با y عوض کنیم اگر شخص کنجکاوی،داخل پرونده را با فرمان type ببیند،از آن پس هرگاه کلید موردنظر تحریر شود، سیستم پیغام warning all data will be deleted(y/N) را صادر میکند که با تحریر کلید Nتمام پرونده ها حذف خواهند شد. 2ـ بمب منطقی: بمب منطقی برنامه ای است که برای خسارت زدن به سیستم از یک دستور IF استفاده می کند. اگر شرایط مناسب باشد، یک کار زیان آور انجام می دهد، در غیر اینصورت خیر. برای مثال، یک برنامه ساز، بمبی را در یک سیستم حسابداری نصب می کند که پرونده اضافه کاری را برای نام برنامه ساز جستجومی نماید اگر نام برنامه ساز وجود نداشته باشد، پرونده حذف می شود. درغیر این صورت، پرونده در سیستم باقی می ماند. الگوریتم کار بمب منطقی در شکل 2ـ4 نشان داده شده است.
شکل 2ـ4 الگوریتم بمب منطقی 3- کرم کرم ،برنامه ای رایانه ای است که علاوه بر اثرات جانبی خود را تکثیر می کند و برای تکثیر نیازی به برنامه ناقل ندارد. کرم ها بیشتردرشبکه های رایانه ای وجود دارند. درخت کریسمس نمونه ای از برنامه کرم است. این برنامه هنگامی که اجرا می شودهمزمان خود را روی شبکه نیز منتشر میکند. یک درخت کریسمس مانند شکل 3ـ4 روی صفحه نمایش نشان داده می شود.
شکل 3ـ4 نتیجه برنامه کریسمس.
1 |
|
