بخشی از پاورپوینت

اسلاید 1 :

بدافزارها

اسلاید 2 :

بدافزارهای متحرک
برنامه های مخرب که بدون رضایت صاحب/کاربر/اپراتور از یک ماشین به یک ماشین دیگر منتقل می شوند.
به روزرسانی خودکار ویندوز (از لحاظ عملکردی) رضایتی است.
گونه های مختلفی دارد:
ویروسها
کرمها
به روزرسانیهای خودکار که مورد تسخیر قرار گرفته اند.
نیازی به کنش کاربر ندارند و بسیار خطرناک هستند.

اسلاید 3 :

نرم افزارهای مخرب

اسلاید 4 :

Trapdoors (درب مخفی)
یک راه مخفی برای ورود به برنامه
به کسانی که از این درب مخفی اطلاع دارند اجازه می دهد که از مراحل امنیتی مثل احراز هویت عبور کنند.
توسعه دهندگان نرم افزار از این موضوع خیلی استفاده می کنند.
یک تهدید است که می تواند مورد استفاده ی مهاجمین قرار گیرد.
سیستم عامل به سختی می تواند مانع این تهدیدات شود.
لازم است که توسعه ی نرم افزار و به روزرسانی آن به درستی انجام شود.

اسلاید 5 :

بمب منطقی
یکی از قدیمیترین گونه های نرم افزارهای مخرب
کد مخرب در یک برنامه مفید جاسازی شده است.
اگر شرایط برقرار باشد، فعال می گردد.
وجود یا عدم وجود بعضی فایلها
زمان یا تاریخ خاص
کاربر خاص
یک دنباله ی خاص از فشردن کلیدها
بعد از فعال شدن به سیستم آسیب می زند.
تغییر/حذف فایلها/دیسکها

اسلاید 6 :

اسب تروجان
برنامه ای که به نظر می رسد کار مشخصی انجام دهد اما در واقع کار دیگری انجام می دهد.
مثل به روزرسانی نرم افزار و بازی
بعد از اجرا وظایف دیگری را نیز انجام می دهد.
به مهاجم اجازه می دهد تا به طور غیرمستقیم مجوزهایی به دست بیاورد که به صورت مستقیم نداشت.
معمولاً برای نشر کرم/ویروس و نصب درب مخفی استفاده می شود.
یا حتی حذف و تخریب داده های کاربر

اسلاید 7 :

زامبی و باتنت
برنامه ای که از طریق شبکه و به صورت مخفی وارد یک کامپیوتر متصل به شبکه می شود.
سپس، از کامپیوترهای تسخیرشده استفاده می کند تا به صورت غیر مستقیم به یک جای دیگر حمله کنند.
باتنت به شبکه ای از کامپیوترهای تسخیر شده گفته می شود.
معمولاً، حمله ی DDoS به این صورت انجام می شود.
از نقصهایی مشهود سامانه های تحت شبکه استفاده می کند.

اسلاید 8 :

ویروسها
تعریف طبق RFC1135: ویروس کدی است که خودش را در یک میزبان، شامل سیستم عامل، جاسازی می کند تا منتشر شود. ویروس به صورت مستقل قابل اجرا نیست و به یک برنامه ی میزبان برای اجرا و فعال شدن نیاز دارد.
هنگام اجرا
دنبال فایلهای هدف معتبر می گردد.
که معمولاً فایلهای اجرایی هستند.
اغلب فقط فایلهای سالم را آلوده می کند.
یک نسخه از ویروس را داخل فایل هدف قرار می دهد.
هنگام اجرای فایل هدف، ویروس نیز اجرا می شود.
انتشار ویروس به این صورت است که از طریق انتقال فایل آلوده از یک ماشین به ماشین دیگر منتشر می شود.
امروزه دفاع در برابر ویروسها راحت است.

اسلاید 9 :

آمار رشد ویروسها
1988: Less than 10 known viruses
1990: New virus found every day
1993: 10-30 new viruses per week
1999: 45,000 viruses and variants

اسلاید 10 :

عملکرد ویروس
فازها:
مقیم: منتظر یک رخداد فعال کننده است.
انتشار: از طریق برنامه ها و دیسکها تکثیر می شود.
تحریک: رخدادی که باعث اجرای برنامه ی حامل می شود.
اجرا: اجرای برنامه ی حامل
جزییات وابسته به دستگاه و سیستم عامل است.
از خصوصیات و ضعفهای موجود سیستم استفاده می کند.

اسلاید 11 :

تشریح یک ویروس
دو جزء اصلی:
مکانیسم انتشار
حامل
انتشار
روشی که ویروس از طریق آن خود را تکثیر می کند.
قبلاً از طریق فلاپی دیسک و امروزه از طریق اینترنت و فلش تکثیر می شود.

اسلاید 12 :

ساختار یک ویروس
Virus() {
infectExecutable();
if (triggered()) {
doDamage();
}
jump to main of infected program;
}

void infectExecutable() {
file = choose an uninfected executable file;
prepend V to file;
}

void doDamage() { . }
int triggered() { return (some test? 1 : 0); }

اسلاید 13 :

مثال: ویروس فشرده سازی

اسلاید 14 :

ماکرو
ویروس معمولاً از فایلهای اجرایی مثل .com, .exe و .bat استفاده می کند.
کدهای ماکرو به فایلهای داده متصل هستند.
برنامه ای که فایل داده ای را باز می کند، مثل ورد و اکسل، ماکرو را اجرا می کند. ماکروها کارهای مفیدی، مثل امور تکراری، انجام می دهند.
این نوع کدها از پلتفرم مستقل هستند.
مرز بین فایلهای برنامه و داده ای کمرنگ شده است.
ماکرو یک مصالحه بین امنیت و سادگی استفاده است.
امروزه برنامه هایی مثل ورد خیلی ایمن شده اند.

اسلاید 15 :

انواع ویروسها
ویروسهای سکتور سیستم
سکتور کنترلی دیسک را آلوده می کند
سکتور راه اندازی DOS
سکتور MBR
ویروسهای سکتور سیستم به راحتی از طریق فلاپی و فلش منتقل می شوند.
ویروسهای همراه
برای هر فایل exe یک فایل com درست می کند.
DOS فایل com را قبل از فایل exe اجرا می کند.
پیدا کردن و حذف آن راحت است.
ویروسهای کلاستر
اطلاعات فهرستهای DOS را طوری تغییر می دهد که نقطه ی شروع فهرست به جای برنامه ی واقعی، کد ویروس باشد.
اگر چه ممکن است تمام برنامه های روی دیسک آلوده باشند، در حقیقت فقط یک نسخه از کد ویروس روی دیسک قرار دارد.

اسلاید 16 :

ویروسهای متغییر
ویروسهای چندریختی
بعد از آلوده کردن تغییر شکل می دهند.
قسمت اجرایی کد ویروس تغییر می کند.
جریان کنترلی برنامه (از طریق goto ها) دارای جایشگتهای مختلفی است.
هدف ویروس شکست دادن اسکنر است.
امروزه ابزارهای نوشتن ویروس وجود دارند.

اسلاید 17 :

تشخیص/فرار ویروس
روش تشخیص آنتی ویروس
جستجو برای تغییر در اندازه ی فایل
چک کردن مهرهای زمانی فایل
جستجو برای رفتارهای مخرب
جستجوی الگوهای بایتی یکتا در کد ویروس
جستجوی تغییرات جمع کنترلی فایل
روش فرار ویروس
فشرده سازی کد فایل و ویروس
دستکاری مهرهای زمانی و بازگرداندن آنها به حالت اولیه
انجام رفتار مخرب به صورت خائنانه
تغییر الگوها- چندریختی
جابجایی داده ها در فایل
غیر فعال کردن آنتی ویروس

اسلاید 18 :

تشخیص ویروس
اسکن کردن
ما باید اطلاعات قبلی راجع به ویروس داشته باشیم
کنترل برنامه قبل از اجرا
به روزرسانی مداوم
کنترل جامعیت دیسک
کل دیسک را می خوانیم و داده های جامعیت برای سکتورهای سیستم و فایلها که مثل امضا عمل می کنند را ضبط می کنیم.
به جای استفاده از جمع کنترلی ساده از تکنیکهای رمزنگاری استفاده می کنیم.

اسلاید 19 :

تشخیص ویروس
جلوگیری
نظارت بر روتینهای سطح سیستم که کارهای مخرب انجام می دهند.
برای تشخیص بمبهای منطقی و اسبهای تروجان خوب است.
نمی توان فقط به نظارت بر رفتار تکیه کرد زیرا به راحتی قابل دور زدن است.
ترکیب سه روش قبلی اکثر ویروسها را تشخیص می دهد.

اسلاید 20 :

بازیابی
جدا کردن ویروس از فایلهای آلوده و بازیابی فایلهای اصلی
حذف ارجاعات به کد ویروس
بازیابی فایل سالم از طریق نسخه ی پشتیبان
حذف فایلهای آلوده

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید