بخشی از پاورپوینت
اسلاید 1 :
برنامه های مخرب برنامه هایی هستند که در صورت ورود به سیستم می توانند در عملکرد کامپیوتر ایجاد اختلال کنند و دارای انواع زیر هستند:
- کرمها (worms)
- ترواها (trojans)
- ویروسها (viruses)
اسلاید 2 :
ویروسها
برنامه ویروس کامپیوتر از نظر تخریب کنندگی ؛ کامل ترین برنامه ها و در بر گیرنده خصایص ویژه ترواها و کرمها هستند . علاوه بر این دارای قدرت تکثیر و قابلیت سرایت از فایل به حافظه ؛فایلی به دیگر ؛ دیسک دیگر و در کل از سیستمی به سیستم دیگر هستند.
ویروسهای کامپیوتری علاوه بر انواع دیسک ها ؛ به وسیله روشهای ارتباطی مانند شبکه ها و خطوط تلفن ؛ پست الکترونیکی ؛ سرویسهای اطلاعاتی و اطلاع رسانی ؛ ارسال و بار گذاری اطلاعات و... قادر به تکثیر هستند .
یک ویروس ایده آل دارای خصوصیت پنهان سازی برای قرار گرفتن در کد برنامه و مخفی ماندن از دید کابر وتخریب و آسیب رسانی به اطلاعاعات در سیستم است .
ویروسها ی کامپیوتری با اندازه و انواع مختلف را می توان با هر زبان برنامه سازی سطح بالا یا سطح پایین نوشت و در محلهایی مانند حافظه ؛ بوت سکتور ؛ جدول پارتیشن یا روی سطح دیسک و ... نگهداری کرد تا در زمان و شرایط مناسب بارگذاری و اجرا شوند .
بمبهای منطقی نیز نوعی ویروس هستند ؛ یک بمب منطقی مجموعه ای از دستورالعملهاست که به برنامه موجود اضافه می شود و همان گونه که از نامش پیداست با پیش آزمون وضعیت مناسب و بر اساس یک شرایط منطقی؛ فعال می شود. برای مثال یک بمب منطقی به نحوی برنامه ریزی شده است که به calculate .exeمتصل ودر هر بار اجراتاریخ سیستم را بررسی کند و در هرصورتی که برابر 25نوامبر باشد؛ شرط برنامه بمب منطقی برقرار شده و عمل تخریب و پاک کردن بانک های اطلاعاتیو مختل شدن سیستم انجام می پذیرد . از معایب بمب منطقی می توان اتصال آن به برنامه های ویژه؛ روی سخت افزارهای بخصوص و همچنین وجود شرایط مطلوب و مناسب جهت اجرا را نام برد. از این رو این بمب ها به اندازه ترواها وویروسها روی سیستم تاثیر می گذارند. تفاوت ترواها با بمب منطقی در این است که بمب منطقی با پیش آزمون وضعیت مناسب و بر اساسیک شرایط منطقی ؛ فعال می شود ولی تراوها در هر بار اجرای برنامه تاثیر مخرب خود را روی سیستم گذاشته و محدود به شرط خاص نیستند.
اسلاید 3 :
2-1راههای انتقال برنامه های مخرب
- هریک از دستگاههای ورودی می تواند راهی برای انتقال برنامه های مخرب به داخل سیستم باشد:
- کپی کردن فایل از روی فلاپی از طریق صفحه کلید
- کپی کردن فایل از روی فلاپی دیسک ( این وسیله ورودی متداول راه ورود برنامه است.)
- کپی کردن فایل از روی CD-ROM ( امروزه به دیل استفاده زیاد از این وسیله ورودی ؛ بهترینراه ورود برنامه های مخرب به داخل سیستم شماست و متاسفانه به دلیل اینکه اطلاعات روی CD-ROMقابل پاک شدن نیست ؛ لذا اگر برنامه مخربی نیز بر روی آن یافت شود ؛ نمی توان آن را پاک کرد. در صورتی که پاک کردن برنامه مخرب رویفلاپی دیسک امکان پذیر است.)
- استفاده از مودم )استفاده از مودم به عنوان یک وسیله ورودی می تواند راهی برای انتقال برنامه مخرب به داخل سیستم شما باشد .)
- استفاده از کارت شبکه(استفاده از کارت شبکه به عنوان یک وسیله ورودی می تواند راهی برای انتقال برنامه های مخرب به داخل سیستم باشد.)
اسلاید 4 :
3-1مفهوم ویروس کامپیوتری
- ویروسهای کامپیوتری ؛ برنامه های کوچک و در عین حال مخربی هستند که در صورت ورود به سیستم می توانند در عملکرد کامپیوتر اختلال ایجاد کنند. ویروسها توسط برنامه نویسهای حرفه ای نوشته می شوند؛ بنابراین به هیچ وجه نباید تصور کرد که ویروسها خود و تصادفی به وجود می آیند ؛ شاید برایتان جالب باشد که بدانید اغلب ویروسها توسط افراد ناشناسی تولید می شوند که انگیزه های آنها برای نوشتن ویروسها نیزمختاف است. این گونه افراد معمولا ویروسها را به علت کنجکاوی ؛ سرگرمی ؛انتقام ؛انگیزه های سیاسی و حتی حقوقی و غیره می نویسند. انتخاب نام ویروس روی برنامه های مخرب؛ بدین علت است که عملکرد آنها شبیه ویروسهای بیماری زا مانند ویروس سرماخوردگی است.
- یک ویروس بیماری زا مانند سرما خوردگی از راههای مختلفی وارد بدن انسان یا سایر موجودات زنده می شود و ممکن است حتی با گذشت مدت زمان خاصی از ورود آن به بدن؛ ظاهرا در اعمال حیاتی بدن اختلال ایجاد نکند ولی بالاخره پس از گذشت زمان لازم ؛ اولین علایم وجود ویروس آشکار می شود . از آن به بعد با تکثیر مداوم ویروس ؛ اختلالات بیشتری ایجاد شده و در صورتی که به درستی با منشا اختلالات مبارزه نشود؛ در نهایت ممکن است زندگی موجود زنده به پایان رسد. عمکرد ویروسهای کامپیوتری کم و پیش مشابه با ویروسهای بیماریزاست یعنی ویروسهای کامپیوتری هم از راههای مختاف وارد سیستم می شوند و ممکن است در بعضی موارد مدت زمانی طول بکشد تا اولین علایم وجود آنها ظهور کند. به هر حال پس از نمایان شدن علایم وجود ویروسها در یک سیستم کامپیوتری در صورتی که آنها را از بین نیرید ؛ ممکن است در اندک زمان صدمات جبران ناپذیری به سیستم و اطلاعات آن وارد کنند.
اسلاید 5 :
4-1انواع ویروسها از نظر محل تاثیر گذاری ویروس
ویروس برای اینکه بتواند فعال شود معمولا خود را به یک فایل اجرایی می چسباند ؛ با اجرای این نوع فایل ها ویروس
نیز فعالیت خود را آغاز کرده و قسمتهای مختلف اطلاعات وسیستم را مورد حمله قرارمی دهد . به ندرت اتفاق افتاده که
ویروس روی یک فایل غیر اجرایی جای گیرد و آن را آلوده کند.ویروسها از نظر محل تاثیر گذاری به 3دسته زیر
.1ویروسها تاثیر گذار روی روکرد راه انداز (BOOT RECORD VIRUSES )
.2ویروسها تاثیر گذار روی جدول پارتیشن دیسک (PARTITION TABLE VIRUSES )
.3ویروسهای تاثیر گذار روی فایل های اجرایی (SOFTWARE VIRUSES )
اسلاید 6 :
1-4-1ویروسهای تاثیر گذار روی روکورد راه انداز (BOOT RECORD )
قبل از تعریف ویروسها تاثیر گذار روی روکرد راه انداز (BOOT RECORD ) ؛ ابتدا نگاه کوتاهی به
رکورد راه انداز می ندازیم تا متوجه شویم روکرد راه انداز چیست و حاوی چه اطلاعات است ؛ سپس به
بررسی ویروسهایی می پردازیم که این قسمت را تخریب می کنند.
رکورد راه انداز
چنان چه دیسکی را به صورت عادی یا به عنوان دیسک راه انداز سیستم فرمت کنید ؛ سیستم عامل اولین
سکتور آن را به رکورد راه انداز اختصاص می دهد .این روکرد حاوی اطلاعاتی از قبیل:ظرفیت دیسک؛
تعداد سکتورهای آن؛ مقدار بایت های هر سکتور و... است. حال اگر دیسک مورد نظر یک راه انداز باشد؛
رکورد راه انداز حاوی برنامه کوچکی به نام bootstrapاست که فرایند راه انداز را آغاز می کند واگر
این دیسک ؛دیسک راه انداز سیستم نباشد؛ رکورد راه انداز شامل برنامه ای است که در صورت استفاده از
دیسک مزبور برای راه انداز سیستم پیغام خطای زیر را نمایش می دهد:
Non system disk or disk error
Replace the disk- and then press any key
توجه داشته باشید که به سکتور حاوی روکرد راه انداز؛ سکتورراه انداز (BOOT sector ) گفته می شود.
اسلاید 7 :
ویروسهای تاثیر گذار روی BOOT RECORD
این ویروسها در اولین سکتور از هر دیسک (سکتور راه اندازی) مخفی می شوند و اگر از آن دیسک برای راه اندازی
کامپیوتر استفاده شود؛ از طریق سکتور راه اندازی وارد حافظه شده ؛ شروع به فعالیت می کنند.
شیوه عمل این ویروسها بسیار جالب است. به این ترتیب که پس از جایگزینی در سکتور راه انداز؛ سکتور راه انداز
واقعی را به محل دیگری انتقال می دهند در نتیجه پس از روشن شدن کامپیوتر؛ نخست ویروس خود را به حافظه
می رساند و بعد سکتور راه انداز واقعی را فرا می خواند و سیستم راه اندازی می شود. نکته مهم در مورد این ویروسها
آن است که چون در حافظه واقع می شوند؛ می توانند سایر برنامه ها را نیز آلوده کنند. برای نمونه ویروس EDWIN
یکی از ویروسهای بوت سکتوری است که پس از قرار گرفتن در حافظه ؛ اطلاعات یک قسمت از حافظه را در قسمت
دیگر کپی و باعث HANG کردن سیستم می شود.
اسلاید 8 :
2-4-1ویروسهای تاثیر گذار روی جدول پارتیشن دیسک
ویروسهای Partition Table روی اولین سکتور هارددیسک (رکورد راه انداز اصلی) قرار می گیرندو از آنجا که به جای برنامه Partition Table اجرا می شوند و برنامه نوشته شده جهت بار گذاری برنامه ویروس در حافظه داخل این سکتور قارا می گیرد؛ این ویروسها به ویروسهای Partition Table معروفند. برای نمونه
ویروس ONE Halfیا Free love ، فایل هایی با پسوند COM,EXE و همچنین Partiton Table دیسک سخت را آلوده میکند. اندازه ویروس مزبور 3544بایت بوده و جزء ویروسهای بسیار مخرب محسوب میشود.در صورتیکه Partition Table یک دیسک سخت توسط این ویروس آلوده شود با هر بار راه اندازی کامپیوتر ، مقداری از فضای انتهای دیسک تخریب میشود و پس از آنکه نیمی از فضای دیسک سخت تخریب شد در روزهای چهارم، هشتم، دوازدهم و....(مضارب4)هر ماه هنگام راه اندازی کامپیوتر؛ پیغامی به صورت زیر در صفحه نمایش
ظاهر می شود:
DIS IS ONE HALF
PRESS ANY KEY TO CONTINUN
اسلاید 9 :
3-4-1ویروسهای تاثیر گذار روی فایل اجرایی
این نوع ویروسها فایل های اجرایی را آلوده کرده و خود را به فایل های اجرایی اضافه می کنند و با هر هر بار
اجرای این نوع فایل ها به همراه آنها وارد حافظه شده و فعالیت خود را شروع می کنند. در نتیجه این نوع
ویروسها از نوع ویروسها از نوع ویروسهای خیلی خطرناک محسوب می شوند و به سرعت شیوع پیدا می کنند.
بعضی از ویروسهای نرم افزاری مانند ویروس D2هر بار که به فایلی اضافه می شوند ؛ یک نسخه از خود را
روی فایل تکثیر می کنند. بدین ترتیب طول فایل اصلی با هر بار اجرا بیشتر می شود که این خود نشانه ای از
وجود ویروس در آن فایل است وبه راحتی قابل تشخیص می باشد. برخی دیگر از ویروسهای نرم افزاری
هوشمندانه عمل می کنند یعنی اگر ویروس قیلا به فایلی چسبیده باشد دیگر به آن حمله نخواهد کرد وبدین تریب
تشخیص وجود ویروس در آن فایل مشکل تر خواهد شد.برای نمونه اندازه ویروس Night Fall ؛ 4555
بایت است و بر روی اغلب فایل ها (اعم از COM, EXE, SYS, OVL, DII و ...)قرار می گیرد و شناسایی آن
کمی مشکل است. با اجرای فایل آلوده ؛ ویروس فوق در حافظه مقیم شده و کنترل عملیات I\Oرا در اختیار خود
می گیردکه این عمل می تواند مشکلاتی را به هنگام اجرای برنامه ها به وجود آورد . پس از گذشت مدت زمانی از
فعالیت ویروس Night Fall ؛ در زمانهای خاصی ماوس غیر فعال می شود و در مواردی نیز پیغام مربوط به
این ویروس در صفحه نمایش ظاهر می شود.
اسلاید 10 :
5-1تشخیص ویروسی شدن سیستم
هرگاه کامپیوتری دچار ویروس می شود؛ در روند کاری آن اختلالاتی به وجود می آید که نشانه وجود ویروس
در آن است. این اختلالات می توانند نظیر کند شدن سیستم؛ اختلالات تصویری در صفحه نمایش ,پیغام
Program big to fit in memory ؛
اشکال در راه اندازی سیستم ؛ اشکال در فایل های اجرایی ؛ پاک شدن برنامه های مفید از دیسک سخت یا
مخدوش شدن آنها ؛ راه اندازی مجدد و غیر منتظره کامپیوتر ؛ قفل شدن سیستم ؛ مخدوش شدن جداول
دایرکتوری و FAT (جدول تخصیص فایل )و غیره باشند.
.