مقاله در مورد بررسی رفتار و ساختار ویروسهای کامپیوتری

word قابل ویرایش
38 صفحه
8700 تومان
87,000 ریال – خرید و دانلود

بررسی رفتار و ساختار ویروسهای کامپیوتری

آشنایی با برنامه های مخرب و مفهوم ویروس کامپیوتری

۱-۱ آشنایی با برنامه های مخرب
هر نرم افزار با توجه به دستورالعمل هایی که در آن وجود دارد عملیات خاصی را انجام می دهد . برنامه نویس یک نرم افزار با توجه به هدفی که از ایجاد نرم افزار دارد یکسری دستورالعمل هایی را در نرم افزار پیش بینی می کند. حال اگر یک برنامه نویس قصد داشته باشد برنامه ای تولید کند که به برنامه های دیگر و فایلها و اطلاعات کامپیوتر آسیب برساند یکسری دستورالعمل را جهت نابود کردن و یا خراب کردن فایلهای کامپیوتر در نرم افزار قرار می دهد.

برنامه های مخرب با اهداف مختلفی تولید می شوند. گاهی اوقات یک برنامه مخرب جهت ضربه زدن به شرکت های رقیب نرم افزاری و بدنام کردن محصولات شرکت رقیب تهیه می شود . گاهی اوقات برنامه مخرب توسط برنامه نویسان حرفه ای جهت ضربه زدن به اطلاعات شبکه های کامپیوتری کشورهای دیگر و یا نشان دادن قدرت نرم افزاری خود و مطرح کردن نام یک گروه در دنیای برنامه- نویسان باشد .

۱-۲ انواع برنامه های مخرب
برنامه های مخرب را از لحاظ نوع آسیب رسانی می توان به چهار دسته تقسیم کرد :

• برنامه های مخرب نرم افزارها
این برنامه ها برای ضربه زدن و نابود کردن یک نرم افزار مشخص یا محصولات یک شرکت خاص تولید می شوند .

• برنامه های مخرب سخت افزارها

این برنامه ها جهت آسیب رساندن به یک قطعه سخت افزاری نظیر مانیتور، کارت گرافیکی ، Hard Disk ، BIOS IC و … تهیه می شوند.

• برنامه های مخرب اطلاعات

این برنامه ها فقط به اطلاعات موجود در بانکهای اطلاعاتی آسیب می رساند .

• برنامه های جاسوسی و نفوذ کننده
این برنامه ها توسط نفوذ کننده ها (Hackers) جهت نفوذ به شبکه ها کامپیوتری ، کامپیوترهای شبکه ،کامپیوترهای شخصی و … تهیه می شوند .
۱-۳ راههای انتقال برنامه های مخرب
از طرق مختلفی می توان برنامه های مخرب را مثل دیگر برنامه های کامپیوتری بر روی کامپیوترها منتفل کرد . ولی اگر دریافت کننده این برنامه بداند که ممکن است این برنامه مخرب باشد آنرا اجرا نمی کند . به همین منظور تولید کنندگان برنامه های مخرب سعی می کنند این برنامه ها را بدون اطلاع کاربران روی کامپیوتر آنها منتقل کرده و اجرا کنند و یا اینکه به روشهای مختلفی اطمینان کاربران کامپیوتر را جلب کنند و برنامه های مخرب را برنامه هایی مفید و سودمند جلوه دهند .

۱-۴ آشنایی با مفهوم ویروس کامپیوتری

۱-۴-۱ بمبهای منطقی (Logical Bombs)
یک بمب منطقی مجموعه ای از دستورالعمل هاست که به برنامه موجود اضافه می گردد و با پیش- آمدن وضعیت مناسب و بر اساس یک شرط منطقی فعال می شود . بمب منطقی توسط افراد آشنا که هدفی خصمانه نسبت به محیط کار یا یک سازمان دارند و کلیه نرم افزار های اداری و حسابداری و … آنها توسط یک سیستم سرویس داده می شود وارد سیستم می گردند .
از آنجا که فقط یک برنامه کاربردی خاص آلوده می شود در انتها شخص تهیه کننده آن قادر است بمب منطقی را به راحتی از برنامه جدا و سیستم را پاکسازی نماید . برای مثال یک بمب منطقی می تواند به نحوی برنامه ریزی شود که به برنامه Calculate.exe متصل شده و در هر بار اجرا تاریخ سیستم را بررسی نماید و در صورتی که برابر با تاریخ مشخصی باشد شرط برنامه بمب منطقی برقرار شده عمل تخریب و پاک کردن بانکهای اطلاعاتی و مختل شدن سیستم انجام می پذیرد .

۱-۴-۲ کرمها (Worms)
نوع دیگری از برنامه های مخرب که روی داده ها ، اطلاعات حافظه و سطح دیسک می خزند و مقادیر را تغییر می دهند کرمها (Worms) نامیده می شوند . یک کرم می تواند همه محتویات قسمتی از حافظه را صفر کرده و باعث از کاراندازی سیستم گردد . برای مثال تکنیک به کار برده شده در ویروس چرنوبیل که حافظه CMOS را صفر می کند خود یک کرم خزنده

است . همچنین به عنوان مثالی دیگر می توان فرمولهای کد کننده استفاده شده در کرمها را نام برد که کد داده های تایپ شده در یک فایل TXT را تغییر داده و باعث تخریب اطلاعات تایپ شده می شود .

۱-۴-۳ Trojan ها
یک Trojan برنامه مخربی است که هیچگونه عوامل مشکوکی ندارد و ظاهرا بی خطر و طبیعی جلوه می نماید . مثلا یک Trojan ممکن است یک برنامه ترسیماتی و گرافیکی

مفید باشد که اعمال روزمره یک سازمان را انجام می دهد ولی در حین ترسیمات و نمایشات به کد کردن تعدادی از سیلندرهای هارد دیسک نیز می پردازد .
Trojan ها می توانند ساختار بسیار پیچیده و بزرگ داشته باشند و ضررهای جبران ناپذیری را نیز به امکانات سخت افزاری که برنامه کاربردی منبع با آن درگیر است وارد نماید . مثلا شماره شیار و سکتور را مقداری خارج از محدوده وارد نماید . حین عمل خواندن و نوشتن هد آن گرداننده گیر کند و دیگر قادر به خواندن و نوشتن روی سطح آن دیسک نباشد .
تفاوت Trojan ها با بمب منطقی در این است که بمب منطقی محدود به یک شرط و پیش آمدن یک شرایط مناسب است ولی Trojan ها در هر بار اجرای برنامه تاثیر مخرب خود را روی سیستم گذاشته و محدود به شرایط خاصی نیستند .

۱-۴-۴ ویروسها (Viruses)
ویروسهای کامپیوتری به برنامه های مخرب کوچکی گفته می شوند که مخفیانه وارد کامپیوتر می شوند و بدون اطلاع و اختیار کاربر خود را تکثیر می کنند .
نام ویروس به این علت روی اینگونه از برنامه ها گذاشته شده است که عملکردی مشابه ویروسهای بیولوژیک دارند . یک ویروس بیولوژیک از طرق مختلفی ممکن است وارد بدن انسان شود و ممکن است تا مدت زیادی به فعالیت مخفیانه در بدن بپردازد و پس از مدتی علائم وجود ویروس مشخص شود . یک ویروس کامپیوتری نیز از طرق مختلفی ممکن است وارد کامپیوتر شود و تا مدتها به فعالیت خود ادامه دهد و پس از مدتی اختلالاتی را در کامپیوتر ایجاد نماید . ویروسهای کامپیوتری می توانند به اطلاعات و برنامه های موجود در کامپیوتر آسیب رسانده و آنها را از بین ببرند .
برنامه های ویروس کامپیوتری از نظر تخریب کنندگی کامل ترین برنامه ها و در بر گیرنده خصایص ویژه بمبهای منطقی ، کرمها و Trojan ها می باشند . علاوه بر این دارای قدرت تکثیر و قابلیت سرایت از فایل به حافظه ، فایلی به فایل دیگر ، از دیسکی به دیسک دیگر و در کل از سیستمی به سیستم دیگر می باشند .

۲-۱ انواع ویروس از نظر محل تاثیرگذاری
ویروسها مثل سایر برنامه های کامپیوتری نیاز به محلی برای ذخیره خود دارند با این تفاوت که ویروسها محلی را انتخاب می کنند که برای رسیدن به اهداف خود در دسترس تر و نزدیکتر باشند .
محلهایی که ویروسها آنها را برای جایگیری خود در نظر می گیرند به شرح زیر می باشند :
• فایلهای اجرایی
• فایلهای غیر اجرایی
• رکورد راه انداز (Boot Record)

• جدول پارتیشن (Partition Table یا Master Boot Record)

۲-۱-۱ ویروسهای تاثیرگذار بر روی فایلهای اجرایی
بیشتر ویروسها بطور انگل وار به فایلهای اجرایی می چسبند و آنها را آلوده می کنند تا پس از اجرا شدن آنها فعال شده و ضمن تکثیر خود اطلاعات را از بین ببرند . به همین منظور اغلب نرم افزارهای ضد ویروس ، فایلهای اجرایی یا انعشاب های زیر را بررسی یا پاکسازی می کنند :
بنابراین فایلهای اجرایی با انشعاب های فوق از اصلی ترین محلهای جایگیری ویروسها می باشند .

۲-۱-۲ ویروسهای تاثیرگذار بر روی فایلهای غیر اجرایی
به ندرت ویروسها در فایلهای غیر اجرایی مثل فایلهای متنی یا بانکهای اطلاعاتی جای می گیرند . از این نوع ویروسها می توان به ویروسهایی اشاره کرد که در انتهای اسناد Word یا Excel خود را پنهان می کنند . این ویروسها بصورت دستورات نرم افزارهای Word یا Excel هستند که پس از باز شدن سند بصورت خودکار اجرا می شوند . معمولا آثار مخرب ویروسها بر روی فایلهای غیر اجرایی نمایان می شود و کمتر مشاهده شده است که ویروسها خود را در فایلهای غیر اجرایی پنهان کنند .

۲-۱-۳ ویروسهای تاثیرگذار بر روی رکورد راه انداز (Boot Record)
این نوع ویروسها به Boot Record سیستم آسیب می رسانند و اطلاعات این بخش را از بین می برند در نتیجه موقع شروع به کار سیستم برنامه Bootstrap که عملیات راه اندازی DOS را آغاز می کند وجود نداشته در نتیجه کامپیوتر راه اندازی نمی شود و پیغام خطایی از طرف سیستم مبنی بر عدم وجود فایلهای سیستمی در صفحه نمایش ظاهر می شود .

۲-۱-۴ ویروسهای تاثیرگذار بر روی جدول Partition دیسک
این ویروسها تمایل خاصی به پنهان شدن در جدول Partition دارند زیرا این جدول شامل اطلاعات تقسیم بندی هارد دیسک است که در سکتور شماره صفر هارد دیسک قرار دارد (Master Boot Record) . ویروسهای تاثیرگذار روی جدول Partition دیسک می توانند از نظر منطقی ظرفیت تک تک Partition ها را به هم ریخته آنها را کم یا زیاد کرده و یا حتی روی نحوه تقسیم بندی دیسک تاثیر بگذارند . در این صورت ممکن است نتوان به بعضی از فایلها در جایگاه خودشان دسترسی پیدا کرد .
همچنین ویروسهایی یافت می شوند که اطلاعات مربوط به setup سیستم را نیز خراب کرده یا تغییر می دهند .

۲-۲ روشهای انتقال ویروس
ویروسهای کامپیوتری ممکن است از راههای زیر به کامپیوتر انتقال یابند :

۲-۲-۱ انتقال ویروس از طریق دیسکت یا CD آلوده
بعضی از ویروسها با چسبیدن به انتهای فایلهای اجرایی (با پسوند EXE و COM) یا با قرار گرفتن روی سکتور دیسکت یا سی دی خود را به روی کامپیوتر منتقل می کنند . با اجرای فایلهای آلوده یا با قرار دادن دیسکت یا سی دی آلوده در کامپیوتر و استفاده از آن ویروس به کامپیوتر من

تقل شده و فعالیت خود را آغاز می کند .

۲-۲-۲ انتقال ویروس از طریق شبکه
چنانچه یکی از کامپیوترهای متصل به شبکه آلوده به ویروس باشد ممکن است ویروس از

طریق شبکه همه کامپیوترها را آلوده نماید . بعضی از ویروسها مخصوص شبکه هستند و ابتدا کامپیوتر سرویس دهنده (Server ) را آلوده می کنند و سپس توسط کامپیوتر سرویس دهنده کلیه کامپیوترهای شبکه را آلوده می سازند .

۲-۲-۳ انتقال ویروس از طریق اینترنت
با گسترش استفاده از اینترنت ویروسهای اینترنتی به عنوان نسل جدیدی از ویروسها مطرح شدند . ویروسهای اینترنتی بسیار سریعتر از ویروسهای دیگر در سطح دنیا انتشار می یابند بصورتیکه ظرف چند روز میلیونها کامپیوتر در سراسر دنیا به یک ویروس جدید آلوده می شوند . این نوع ویروسها ممکن است از طریق پست الکترونیک (E-mail) ویا از طریق دریافت فایل از اینترنت و … به کامپیوتر منتقل شوند .

۳-۱ تشخیص ویروسی شدن سیستم
عملکرد ویروسها که در واقع راههایی جهت تشخیص ویروسی شدن سیستم می باشند را می توان به شرح زیر دسته بندی کرد :
• ایجاد تاخیر ، وقفه یا اختلال در عملیات راه اندازی کامپیوتر یا اجرای برنامه ها و فایلهای اجرایی .
• تخریب یا حذف اطلاعات و برنامه ها و یا حتی فرمت کردن دیسکها .
• اشغال حافظه و تکثیر در حافظه بطوریکه جایی برای اجرای برنامه های دیگر وجود نداشته باشد .
اختلالات فوق ممکن است به محض فعال شدن ویروس انجام شوند .
بطور کلی علائم زیر می تواند نشان دهنده ویروسی شدن کامپیوتر باشد :

۳-۱-۱ کند شدن سیستم
البته هر نوع کند شدن سیستم را نمی توان در رابطه با ویروسها قلمداد کرد . کند شدن سیستم ممکن است به علت اجرای برنامه های متعدد ، کم بودن حافظه اصلی کامپیوتر ، پایین بودن مشخصات کامپیوتر و … باشد . ولی اگر کامپیوتری قبلا با همین وضعیت سرعت مناسبی داشته و هم اکنون سرعت اجرایی برنامه ها کم شده است این امکان وجود دارد که سیستم ویروسی شده باشد .

 

۳-۱-۲ ایجاد اشکال در راه اندازی سیستم
اگر هنگام راه اندازی کامپیوتر مشکلی پیش آید و کامپیوتر راه اندازی نشود ممکن است کامپیوتر ویروسی شده باشد . معمولا این ویروسها بر روی سکتور صفر هارد دیسک (Boot Sector) قرار می گیرند و وارد حافظه اصلی می شوند و شروع به فعالیت می کنند و اشکالاتی را ایجاد می نمایند . بعضی از این ویروسها هنگام راه اندازی سیستم پیغامی را نمایش می دهند و به کاربر اعلام می کنند که کامپیوتر ویروسی است . یکی از این ویروسها ، ویروس One Half اس

ت که در هنگام راه اندازی کامپیوتر عبارت زیر را نمایش می دهد :
This is One Half …

۳-۱-۳ ایجاد اشکال در اجرای فایلهای اجرایی
ویروسهایی که به فایلهای اجرایی حمله می کنند خود را به آنها می چسبانند و با هر بار اجرای این فایلها به همراه آنها وارد حافظه شده و فعالیت خود را شروع می کنند . بعضی از ویروسها هر بار که به فایلی اضافه می شوند یک نسخه از خود را روی فایل تکثیر می کنند . بدین ترتیب طول فایل اصلی با هر بار اجرا بیشتر می شود که این خود نشانه ای از وجود ویروس در آن فایل است و به راحتی قابل تشخیص می باشد .

۳-۱-۴ پیغام Program big to fit in memory
پیغام Program big to fit in memory به این معناست که برای اجرای برنامه به حافظه بیشتری احتیاج است . این احتمال وجود دارد برخی از برنامه هایی که قبلا اجرا شده اند هنوز قسمتی از حافظه را اشغال کرده باشند در این صورت برای خالی کردن حافظه می توان سیستم را مجددا راه- اندازی نمود . اما اگر دوباره این پیغام نمایش داده شد این احتمال وجود دارد که کامپیوتر ویروسی شده باشد چون بعضی از ویروسها با روشن کردن کامپیوتر از دیسک آلوده به حافظه RAM منتقل شده و تا وقتیکه کامپیوتر خاموش نشود در حافظه اصلی (RAM ) باقی می مانند (ویروسهای مقیم حافظه) در نتیجه قسمتی از حافظه را اشغال می کنند و به همین دلیل است که برای اجرا و شروع به کار برنامه ها در حافظه RAM فضای کمتری باقی می ماند .

۳-۱-۵ کند شدن ارتباط با اینترنت
بعضی از ویروسها اطلاعات کامپیوتر را بصورت مخفیانه از طریق اینترنت به نویسنده ویروس ارسال می کنند . بعضی از ویروسها ممکن است از طریق اینترنت خود را تکثیر کنند . یعنی پس از متصل شدن کامپیوتر به اینترنت شروع به تکثیر خود در اینترنت نمایند . بنابراین کند شدن ارتباط با اینترنت نیز می تواند یکی از دلایل ویروسی شدن کامپیوتر باشد .

۴-۱ مقابله با ویروسی شدن سیستم
بطور کلی راههای اصلی مقابله و مبارزه با ویروسها به دو دسته زیر تقسیم می

شوند :
• شناسایی ویروسها و جلوگیری از ورود آنها به کامپیوتر (پیشگیری)
• از بین بردن ویروسهای وارد شده به کامپیوتر و در صورت لزوم به وضعیت عادی برگرداندن سیستم (درمان)

این فقط قسمتی از متن مقاله است . جهت دریافت کل متن مقاله ، لطفا آن را خریداری نمایید
word قابل ویرایش - قیمت 8700 تومان در 38 صفحه
87,000 ریال – خرید و دانلود
سایر مقالات موجود در این موضوع
دیدگاه خود را مطرح فرمایید . وظیفه ماست که به سوالات شما پاسخ دهیم

پاسخ دیدگاه شما ایمیل خواهد شد