Ahmed R.H .
عدد المساهمات : 76 نقاط : 143 تاريخ التسجيل : 15/04/2011 العمر : 32 الجنس :
| موضوع: موضوع شامل ومشوق عن الفيروسات السبت أبريل 23, 2011 12:20 am | |
| بسم الله الرحمن الرحيم[center]موضوع شامل ومشوق عن الفيروسات للمحترفين والمبتدئين
أول شيء يا أحبائي محور الموضوع هو فهم تكتيكات الفيروسات وكيفية تصرفها والآثار التي تتركها في أجهزتنا وبالطبع الهدف الأول والأخير من هذا الموضوع هو العلم والفائدة وهذا الموضوع مليان أكشن وأشياء عملية أكثر من الكلام النظري الممل وحتى لا تؤثر هذه النقطة سلبا في الموضوع فقد أشرت إلى روابط خارجية فيها شرح أوسع عن النقاط النظرية التي لن أتوسع بذكرها.
نبدأ على بركة الله
قمت بتقسيم الموضوع إلى هذه النقاط :
1- تعريف سريع للفايروس. 2- كيف ينتشر؟! 3- فهم آلية عمله التخريبية (وهو موضوعنا). 4- التخلص من الفايروسات. 5- هل تخلصت من الفايروس >>> مهلا هذا لا يكفي!! 6- نصائح عامة. 7- أدوات هامة.
أولا: تعريف الفايروس. الفايروس حسب تعريفي واجتهادي الشخصيهو بكل بساطة برنامج يهدف إلى الضرر بالكومبيوتر (بياناته ،نظامه أو قِطَعه) أو صاحب الكومبيوتر طبعا الفايروسات لها عوائل وقبائل فمنها الديدان ومنها الفايروس التقليدي ومنها أحصنة طروادة وتنتشر الفايروسات غالبا في امتدادات تنفيذية أي ملفت تعمل (يتم تنفيذها) بمجرد الضغط عليها وأشهر هذه الامتدادات هو exe وأيضا قد تراها أحيانا بالامتدادين الأخوين bat,cmd وهناك الامتداد com ولكن يندر استخدامه الآن فهو قديم جدا وقد تنتشر بامتدادات حوافظ الشاشة screen savers ورمزه scr والذي يجمع بين هذه الامتدادات exe,bat,cmd, com,scr أنها كلها تنفيذية كما أسلفنا الذكر أي أنها تعمل بمجرد فتحها وقد تنتشر الفايروسات عبر الملفات غير التنفيذية مثل dll وعندما تكون بهذه الصيغة أو ما يشابهها فغالبا ما يكون هناك مشغل يقوم بتنفيذ هذه الملفات إذ أن فتح هذه الملفات لا يفعلها وأشبه لكم الأمر بالامتداد الصوتي mp3 فليك تستمع لهذا الملف قد تقوم بتشغيله بـ windows media player ودون وجود ذاك البرنامج أو ما يقوم محله فإنك لن تستطيع الاستماع للملف الصوتي الأمر نفسه في ملفات الـ dll أعتقد أن الكلام أعلاه معظمنا ولكن هل تعلم أن الفايروسات قد تنتشر عبر ملفات الأوفيس مثلا doc, xls ,ppt نعم قد تنتشر عبر ملفات الوورد والإكسل والباور بوينت وغيرها إذ يوجد في هذه البرامج ما يسمى وحدات ماكرو حيث يمكن أن تضيف ملف exe كوحدة ماكرو في ملف الوورد لاحظو الصورة أحيانا تتخفى الفايروسات بأيقونات لأشياء غير تنفيذيةثانيا: لماذا يصنعونه!!صراحة هذا أصعب سؤال بالموضوع أنا أستخدم أحد برامج الحماية الذي يمتاز يقاعدة بيانات كبيرة في ضيط الفايروسات حيث بلغت 4336293 بتاريخ هذا اليوموأنا لا أستطيع فهم هذه النقطة يعني لا يوجد أربعة ملايين وثلاث مئة ألف سبب لكي يتم صنع هذه الفايروسات أترككم مع هذا السؤال المتعلق بموضوعنا
س1:أعاني كثيرا من إصابة جهازي بالفيروسات، مما يجعلني أتساءل .. لماذا يصنعون الفيروسات ؟ وما مصلحتهم من انتشارها ؟
محمد - الرياض ج1: ظهر أول فيروس حاسب آلي عام 1986 عندما قام الأخوان بسيط و أمجد فاروق (من دولة باكستان) باكتشاف أنه بإمكانهما كتابة نص برمجي يتم تخزينه على القرص المرن بحيث يعمل تلقائيا عند تشغيل الجهاز بواسطة القرص المرن، حيث قاما بكتابة برنامج يقوم بنسخ نفسه مع تغيير volume الخاص بالقرص المرن إلى (c ) brain وانتشر هذا الفيروس بشكل كبير مما أدى إلى ظهور مصطلح فيروس حاسب آلي. ولعل هذه كانت هي الشرارة التي أدت إلى انتشار نيران الفيروسات في أوساط الحاسب الآلي.لا أحد يستطيع الإجابة عن السبب الذي يدفع المبرمجين لكتابة الفيروسات، فبعض الدراسات النفسية تبين أنها مسألة تحدي للذات لكي يثبت المبرمج لنفسه قدرته على كتابة نص برمجي مخالف للعادة. والبعض يعزو ذلك إلى أنها مسألة بحث عن الشهرة بتسمية الفيروس باسم معين ونشره حتى ينتشر معه الاسم كما حدث في فيروس ميليسا الشهير والذي أطلق على اسم راقصة.وبعض الفيروسات قد وضعت تخليدا لذكرى شخص أو مناسبة، مثل فيروس مايكل أنجلو. وغيرها من الأسباب الأخرى.كما يعتقد البعض أن الشركات المنتجة لبرامج الحماية تقوم بإصدار فيروسات جديدة ونشرها وذلك حتى تزيد مبيعات برامجها.ولكن على الرغم من جميع هذه الاحتمالات، تبقى الفيروسات ومصادرها أحد الجوانب الغامضة في مجال الحاسب الآلي، فلا يمكن أن نتنبأ بما سوف تكشف الأيام القادمة من فيروسات بطبائع وهيئات مختلفة.ثالثا: كيف ينتشر!!ينتشر الفايروس عادة عبر وحدات التخزين الخارجية المصابة وذلك بطريقةautorun أو فتح ملفات مصابة (كانت أصلا نظيفة)
أو عبر الإيميلات مجهولة المصدر أو المواقع المشبوهة (الإباحية...) وغيرها راجع
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] t.com/middleeast /.../virus101. mspx رابعا: فهم آلية عمله التخريبية (وهو موضوعنا).وأخيرا بدأنا الموضوع خلصنا من الفذلكة المكتوبة فوقطبعا الفايروسات لا تسير كلها على نفس النهج ولكن هناك الكثير من التكتيكات والآليات التي تتخذهاوسأقوم هنا بشرح أكثرها انتشارا وأيضا توضيح بعض المواضع التي تشترك فيها أكثر الفايروسات انتشاراaتقنية autorunهذه الكلمة تعني التشغيل التلقائي
1 فمثلا لنأخد هذا المثال لنرى كيف تعمل هذه الطريقة في الصورة يوجد ملفان متعلقان بالقضية هما autorun.inf و lol.exe لاحظ أن محتوى ملف الأوتورن يأمر بأن يتم فتح ملف lol.exe عند الدخول للقرص (c) مباشرة أو حتى اختيار أحد هذه الأوامر open ,explore, auto playوهذا دليل على أن طريقة فتح القرص المفيرس من خلال النقر عليه باليمين ثم اختيار explore غير ناجحة إذا كان هذا السطر موجود في ملف الأوتورن shell\explore\ command =lol.exe2 وأيضا ما يتعلق بموضوعنا هو فايروسات الـrecycler حيث تعمل بطريقة الأوتورنمثل فايروس ise32.exe
3 آخر نقطة هنا هي الأوتورن المليانة خرابيش وهناك نوعان الأول على الخفيف لاحظوا موضوع الفاصلة والتي تضاف في بداية سطر الخرابيش
لكي يتم التغاضي عن السطروالثاني مبالغ فيه ويصعب نوعا ما العثور على الأوامر في النوع الثانيولكن إن أجريت بحثا على كلمة open أو shellستجد باقي الأوامر الأوامر بسهولة4 بقي نوع آخر من الأوتورن شرحه في الفقرة القادمةنقطة مهمة جدا كما ذكرنا أحيانا النقر المباشر و open ,explore, auto playكلها تقوم بتفعيل الفايروس ما الحل إذا هناك حلان الأول بسيط جدا ولكن أحيانا لا يعمل وهو أن تفتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب c: أو d: أو e: أو f: إلخ start > run > c: or d: or e: etcعلى حسب الدرايفر الذي تود فتحه وسيفتح دون تشغيل الفايروسالحل الثاني
استخدم هذه الأداة هنا
استرجاع إدارة المهام و محررالسجل و خيارات النجلد و تصحيح خيارات عرض ملفات النظام والملفات المخفية أيضا تعطيل خاصية الأوتورن (التشغيل التلقائي)
تقنية التخفي والخداع تقوم الفايروسات بعدة طرق لخداع المستخدم بحيث يعتقد أنها ملفات عادية دون أدنى شك ،ومن هذه الطرق طريقة الفايروس brontokوهو أول فايروس أصابني على ما أذكر حيث ينسخ الفايروس نفسه داخل كل مجلد بنفس اسم المجلد وبأيقونة المجلد المعروفة مثل هذا المثال هنا حيث يوجد مجلد اسمه hello وبداخله ستلاحظ مجلد اسمه hello أيضا لكن في الحقيقة ذاك الثاني ليس مجلد بل ملف وهذه الصورة توضح حيث بعد النظر في خصائص hello تجد أن نوعه حافظة شاشة أي أنه فايروس بامتداد scr الذي ذكرناه ومتخفي باسم وأيقونة مجلدوأيضا نوع مشابه لهذا هو فايروس سمعت عنه لكن لم أرهيقال أنه يتخفى بأيقونة مجلد ويقوم بإخفاء أحد المجلدات ويأتي هو مكانه وبنفس الاسم ليقوم المستخدم بفتحه وتصير الكوارث
***ومن الطرق أيضا وهي تابعة لموضوع الأوتورن***
هذه الطريقة وهي أن الفايروس يتخفى بامتداد jpg الصوري مثل o_o.jpgلكي يوهم المستخدم بأنه صورة ولكن ملف الأوتورن التابع له يوضح أن الفايروس عبارة عن سكربت script بامتداد vbs وهذا الامتداد يعمل عن طريق الملف wscript.exe والواضح في ملف الأوتورن أنه أمر الـ wscript.exe أن يقوم بتشغيل الـفايروس كود:[autorun]shellexecute= wscript.exe /ebs (o_o).jpg***ومن تقنيات التخفي والخداع***
التخفي بأيقونات وأسماء ملفات النظام الأساسية مثلحيث تخفىالفايروس svchost باسم ملف النظام svchostوالفايروسsmss باسم ملف النظام smssوإن لاحظت أن الفايروس services قد تخفى بأحد أيقونات النظاملكن السؤال هنا كيف أعلم متى يكون svchost وغيره فايروس ومتى يكون ملف نظام مهم!!الجواب بسيط جدالاحظ أن جميع الملفات المدعوة بـ svchost مظللة بالأخضرإن التي ذكر أمامها system أو local service أو network serviceهي في الغالب ملفات للنظام مهمة جداأما ما ذكر أمامها اسم المستخدم وهو هنا lola فهو في الغالب فايروسإذا الملف المظلل بالأخضر الالأول هو الفايروس لأن ما بعده اسم المستخدم وليس إحدى الكلمات السابقةنقطة أخيرة في هذه الفقرة وهي أنكم كما تعلمون معظم الفايروسات تقوم بإخفاء نفسهاوتظهر بأيقونة باهتة (في حال أنه خيار إظهار الملفات المخفية مفعل وسليم)والمشكلة فيها هي أنه عند المحاولة للتعديل في خصائصها لا تستطيع وذلك لأنها غير مفعلةولكي نتمكن من تحويلها لملفات عادية أي غير مخفية نتبع الآتيافتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب cmdstart > run > cmdثم اكتبattrib -r -s -hثم مسار الملف كاملا بين “ “مثال كود:attrib -r -s -h"c:\lol.exe"عندها سيتم إزالةread only , system , hiddenمن خصائص الملف وحتى ولو لم يمكن إزالتها بالطريقة العاديةcدراسة متعمقة في بعض عمليات فايروس نموذجيفي هذه النقطة سنقوم بافتراض وجود فايروس نموذجي وسنتتبع أهم ما يفعله الفايروس في النظاموهذه أجمل نقطة بالموضوعطيب أنا يمكن نص ساعة صارلي أدور على فايروس يعجبني ما لقيتقلت أحسن شي أسويه أناوفعلا سويت واحد عالسريع لكن يفي لما نحتاجهأولا الفايروس اسمه htw.trojan by loersianلنفترض أنه الفايروس تم تشغيله بتقنية الأوتورن السالفة الذكرأول ما قام به الفايروس هو نسخ نفسه c:\system.exec:\windows\system32 \lasso.exeلاحظ أنه استخدم تقنية تقليد ملفات النظام____________ملاحظة للفتح الريجستري اذهب إلى تشغيل من قائمة ابدأ واكتب regedittart < run < regeditثم توجه (الفايروس) ليس أنت لهذا المفتاح في الريجستريhkey_local_machine\ software\ microsoft\ windows\curr entversion\runوقام بإضافة القيمة systemوالتي تساويc:\system.exeلاحظإن الذي قام به الفايروس هنا هو إضافة نفسه إلى بدأ التشغيل أي ليعمل مع كل مرة يعمل فيها الحاسببإمكانه استخدام أكثر من طريقة منها إضافة القيم إلىhkey_current_ user\software\ microsoft\ windows\currentv ersion\runوهي الأكثر شيوعا وهذه قائمة بأخرى مستخدمةhkey_current_ user\software\ microsoft\ windows\curre ntversion\runoncehkey_current_ user\software\ microsoft\ windows\curre ntversion\runoncehkey_local_machine\ software\ microsoft\ windows\curr entversion\runhkey_local_machine\ software\ microsoft\ windows\curr entversion\runoncehkey_local_machine\ software\ microsoft\ windows\curr entversion\runoncee xhkey_local_machine\ software\ microsoft\ windows\curr entversion\runservi ceshkey_local_machine\ software\ microsoft\ windows\curr entversion\runservi cesonceوبإمكان الفايروس وضع اختصار لنفسه في المجلداقتباس:{currentuserdirecto ry}\start menu\programs\ startup أواقتباس:{currentuserdirecto ry}\start menu\programs\ startup لكي يعمل مع بدء التشغيلوهناك طرق أخرى كثيرةنرجع للي سواه الفايروسملاحظة المقصود بـ /t نوع القيمة في الريجستري وبالـ /d مقدار القيمةقام بـhkey_current_ user\software\ microsoft\ windows\curre ntversion\explorer\ advanced\ hidden /t eg_dword /d 0hkey_current_ user\software\ microsoft\ windows\curre ntversion\explorer\ advanced\ superhidden /t reg_dword /d 0hkey_current_ user\software\ microsoft\ windows\curre ntversion\explorer\ advanced\ showsuperhidden /t reg_dword /d 0hkey_local_machine\ software\ microsoft\ windows\curr entversion\explorer \advanced\ hidden /t reg_dword /d 0hkey_local_machine\ software\ microsoft\ windows\curr entversion\explorer \advanced\ superhidden /t reg_dword /d 0hkey_local_machine\ software\ microsoft\ windows\curr entversion\explorer \advanced\ showsuperhidden /t reg_dword /d 0تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار 0 وهذه القيم لتعطيل رؤية ملفات النظام والملفات المخفيةالجدير بالذكر هنا أن بعض الفيروسات يغير هذه القيم كل بضع ثواني أي يرجعها إلى الصفربحيث لو أن المستخدم تمكن من إصلاحها تعطب تلك القيم مرة أخرىثم قام الفايروس بمسح القيمتينhkey_local_machine\ software\ microsoft\ windows\curr entversion\explorer \advanced\ folder\hidden\ showall \checkedvaluehkey_local_machine\ software\ microsoft\ windows\curr entversion\explorer \advanced\ folder\hidden\ showall \defaultvalueلتخريب خيار إظهار المجلدات المخفية في الـ folder options
| اضغط هنا لمشاهدة الصورة بالحجك الطبيعي. | وقام بمنع الوصول للريجستري وإدارة المهام من خلال القيم التاليةhkey_current_ user\software\ microsoft\ windows\curre ntversion\policies\ system\disableta skmgr /t reg_dword /d 1hkey_current_ user\software\ microsoft\ windows\curre ntversion\policies\ system\disablere gistrytools /t reg_dword /d 1hkey_local_machine\ software\ microsoft\ windows\curr entversion\policies \system\disablet askmgr /t reg_dword /d 1كما قام بمنع ظهور خيارات المجلد folder optionshkey_current_ user\software\ microsoft\ windows\curre ntversion\policies\ explorer\ nofolderoptions /t reg_dword /d 1hkey_local_machine\ software\ microsoft\ windows\curr entversion\policies \explorer\ nofolderoptions /t reg_dword /d 1أعتقد ما قام به الفايروس من آثار تخريبية هي الأمثر شيوعا باستثناء عمليات الديدان وجعل الملفات التنفيذية السليمة في الكومبيوتر مصابة ومن ناحيتي لا أعلم عن هذا النوع وليس لدي الخلفية للكتابة عنه ،ربما في المستقبل إن شاء الله [/center] | |
|
شخصية مهمة .
عدد المساهمات : 137 نقاط : 238 تاريخ التسجيل : 29/03/2011 العمر : 36 الجنس :
| موضوع: رد: موضوع شامل ومشوق عن الفيروسات السبت أبريل 23, 2011 4:29 am | |
|
موضوع رائع جداً يستفاد منه فهو في غاية الأهمية
مشكور رائع يا وحش جاري فحص الجهاز وتطبيق العمليات
دمت في أمان الله ورعايته
| |
|