بخشی از پاورپوینت

اسلاید 1 :

آشنايي با ويروسهاي كامپيوتري
و روشهاي مقابله با آنها

اسلاید 2 :

ویروسها چیستند و چه انواعی دارند؟

تعریف ویروس: برنامه یا قطعه کدی است که بدون اطلاع وارد سیستم شده و برخلاف تمایل شما عمل میکند. برخلاف ویروسهای فیزیولوژیکی، این ویروسها ساخته دست بشر بوده و در بسیاری موارد قابلیت تکثیر خودکار دارند. برای این منظور، آنها خود را به یک فایل اجرایی متصل کرده و بدین ترتیب با هر بار اجرای آن فایل، قطعه کد ویروس نیز اجرا میشود.
باید توجه داشته باشید که اجرای این ویروسها معمولاً به گونهای است که کاربر تا بعد از اجرای کامل کد، متوجه عملکرد آن نمیشود و در این بین معمولاً تصاویر یا آهنگهایی پخش میشود که توجه کاربر را از وجود ویروس در داخل سیستم منحرف کند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 3 :

انواع ویروسها:

ویروسها را براساس دو فاکتور شیوه انتشار و نحوه عملکرد دستهبندی میکنند. براساس فاکتور اول، ویروسها به دو دسته ویروسهای کامپیوتری و ویروسهای تحت شبکه تقسیم میشوند. دستهبندی دوم، ویروسها را براساس نحوه عملکرد به چهار دسته ویروسهای سکتور راهاندازی (Boot Sector) فایلها (Files)، ماکرو (Macro) و تحت شبکه تقسیم میکند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 4 :

به طور کلی میتوان ویروسهای کامپیوتری را به بخشهای زیر طبقهبندی کرد:
ویروسها (Viruses)
کرمها (Worms)
اسبهای تروا (Trojans)
بمبهای منطقی (Logical Bombs)
اسب های تروجان
درب پشتی
خرگوش
جاسوس
روت کیت
Adware
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 5 :

بمب های منطقی
اسب های تروا
کرم ها
ویروس ها
ویروسها (Viruses):
ویروس، برنامه یا قطعه کدی است که بدون اطلاع وارد سیستم شده و برخلاف تمایل شما عمل میکند. برخلاف ویروسهای فیزیولوژیکی، این ویروسها ساخته دست بشر بوده و در بسیاری موارد قابلیت تکثیر خودکار دارند. برای این منظور، آنها خود را به یک فایل اجرایی متصل کرده و بدین ترتیب با هر بار اجرای آن فایل، قطعه کد ویروس نیز اجرا میشود. باید توجه داشته باشید که اجرای این ویروسها معمولاً به گونهای است که کاربر تا بعد از اجرای کامل کد، متوجه عملکرد آن نمیشود و در این بین معمولاً تصاویر یا آهنگهایی پخش میشود که توجه کاربر را از وجود ویروس در داخل سیستم منحرف کند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 6 :

کرمها (worms):
کرمها نیز مانند ویروسها قطعه برنامههای کامپیوتری هستند و از آن جهت که نیازمند اتصال به برنامههای اجرایی نیستند، پیشرفتهتر از ویروسها محسوب میشوند. این گونه برنامهها به درون حافظه یا هارددیسک کامپیوترها خزیده و اطلاعات آنها را تغییر میدهند.
بمب های منطقی
اسب های تروا
کرم ها
ویروس ها
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 7 :

اسبهای تروا (trojans):
این گونه برنامهها معمولاً ظاهر عادی و مناسبی دارند. اما در درون خود حاوی برنامه دیگری هستند که آن برنامهها معمولاً مضر است. به عنوان مثال ممکن است آنها در قالب یک محافظ صفحه نمایش (Screen Saver) وارد سیستم کاربر شوند و به فعالیتهای مخرب بپردازند. اگر این گونه ویروسها تحت شبکه منتقل شوند، یک پورت خاص را روی سیستم کاربر باز میکنند و از آن پس سیستم آلوده همانند سروری خواهد بود که آنچه را نفوذگر به آن دیکته کند، اجرا خواهد کرد.
بمب های منطقی
اسب های تروا
کرم ها
ویروس ها
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 8 :

بمبهای منطقی (Logical Bombs):
اساساً قطعه کد کوچکی است که به عنوان یک برنامه اصلاحی به یک نرمافزار یا برنامه اصلی اضافه میشود. این گونه برنامهها معمولاً مدتی را به صورت مخفی درون برنامه اصلی باقیمانده و هنگامی که تاریخ و زمان فعال شدن آنها فرا میرسد، شروع به انجام فعالیتهای مخرب خود میکنند.
(البته در این جا هر جا صحبت از ویروس میشود، منظور هر چهار دسته گفته شده از ویروسها است، مگر اینکه به طور خاص نام کرمها یا اسبهای تروا و غیره ذکر شود).
بمب های منطقی
اسب های تروا
کرم ها
ویروس ها
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 9 :

آنتی ویروس چیست و چگونه عمل می كند؟
نرمافزارهای آنتیویروس اختصاصاً برای دفاع از سیستمها در برابر تهدیدهای ویروسها طراحی و نوشته میشوند. متخصصان امنیتی قویاً توصیه به استفاده از آنتیویروس میكنند زیرا آنتیویروس از رایانه شما نه تنها در برابر ویروسها بلكه در برابر انواع بدافزارها نیز محافظت میكند. در واقع آنتیویروس یك برنامه كامپیوتری است كه برای مرور فایلها و تشخیص و حذف ویروسها و دیگر بدافزارها از آن استفاده میشود.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 10 :

در این جا برخی از تكنیكهای رایج در بین آنتی ویروسها را كه برای تشخیص بدافزارها به كار برده میشوند مورد بررسی قرار خواهیم داد. در حالت كلی آنتی ویروسها از دو تكنیك اصلی برای رسیدن به اهدافشان استفاده میكنند:

روش مبتنی بر كد (امضا): در این روش با استفاده از یك دیكشنری ویروس كه حاوی امضای ویروسهای شناخته شده است، احتمال وجود ویروسهای شناخته شده در فایلها مورد بررسی و آزمایش قرار میگیرند.

روش مبتنی بر رفتار: در این روش هدف شناسایی رفتارهای مشكوك هر برنامه كامپیوتری است، زیرا احتمال دارد رفتار مذكور نشان دهنده یك آلودگی ویروسی باشد.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 11 :

اغلب آنتیویروسهای تجاری از هر دو روش فوق ولی با تأكید بر روی امضای ویروس، استفاده میكنند. در زیر روشهای مذكور را با تفصیل بیشتری توضیح میدهیم.
روش مبتنی بر كد (امضا)

روش مبتنی بر رفتار

روشهای دیگر
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 12 :

روش مبتنی بر كد (امضا)

اغلب برنامههای آنتیویروس در حال حاضر از این تكنیك استفاده میكنند. در این شیوه، رایانه میزبان، درایوهای حافظه و یا فایلها با هدف پیدا كردن الگویی كه نشان دهنده یك بدافزار باشد، مورد جستجو قرار میگیرند. این الگوها معمولاً در فایلهایی به نام فایلهای امضا ذخیره می شوند. فایلهای مذكور توسط فروشندگان نرم افزارهای آنتی ویروس طبق یك برنامه منظم به روز رسانی می شوند تا قادر باشند بیشترین تعداد ممكن حمله های بدافزاری را شناسایی كنند. مشكل اصلی تكنیك بررسی امضا این است كه نرم افزار آنتی ویروس باید قبلاً به روز رسانی شده باشد تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد و لذا بدافزارهای جدیدی كه هنوز شناسایی نشده و به فایلهای امضا اضافه نشده اند تشخیص داده نمی شوند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 13 :

ادامه روش مبتنی بر كد (امضا)

در این شیوه زمانی كه نرم افزار آنتی ویروس یك فایل را مورد آزمایش قرار می دهد، به یك دیكشنری ویروس كه حاوی امضای ویروسهای شناخته شده است مراجعه می كند. در صورتی كه هر تكه از كد فایل با یك ویروس شناخته شده مطابقت داشته باشد، فایل مذكور به عنوان یك فایل آلوده شناسایی شده و آنتی ویروس یا آن را پاك می كند و یا آن را قرنطینه می نماید تا برنامه های دیگر به آن دسترسی نداشته و همچنین از انتشار آن جلوگیری به عمل آید. در برخی موارد نیز امكان بازسازی فایل آلوده از طریق حذف ویروس از فایل اصلی وجود دارد كه در صورت امكان آنتی ویروس این كار را انجام می دهد.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 14 :

ادامه روش مبتنی بر كد (امضا)
همان طور كه در بالا نیز گفتیم، آنتی ویروسهای مبتنی بر امضا برای موفق بودن در درازمدت، نیاز دارند كه مرتباً دیكشنری حاوی امضاهای ویروس را به صورت آنلاین به روز رسانی نمایند. زمانی كه یك ویروس جدید در دنیای رایانه پدیدار می شود، كاربران با تجربه تر فایلهای آلوده را برای نویسندگان آنتی ویروس ها ارسال می كنند تا آنها بتوانند ویروس مزبور را شناسایی كرده و مشخصات آن را به دیكشنری اضافه كنند.

آنتی ویروس های مبتنی بر امضا غالباً فایلها را در زمان اجرا، باز و بسته شدن و همچنین زمانی كه ایمیل می شوند، مورد آزمایش قرار می دهند. به این وسیله یك ویروس شناخته شده به محض وارد شدن به رایانه تشخیص داده می شود. همچنین می توان برنامه های آنتی ویروس را طوری برنامه ریزی كرد كه در زمانهای معینی به بررسی كل فایلهای موجود بر روی دیسك سخت بپردازند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 15 :

ادامه روش مبتنی بر كد (امضا)
با وجودی كه روش مبتنی بر امضا مؤثر شناخته شده است ولی ویروس نویسان همواره تلاش می كنند تا یك قدم جلوتر از آنتی ویروس ها حركت كنند و این كار را از طریق ایجاد ویروسهای چندریختی انجام می دهند. ویروسهای چندریختی در واقع دارای یك مكانیزم دفاعی رمزنگاری هستند. بدافزارهایی از این نوع رمزنگاری به عنوان یك مكانیزم دفاعی استفاده می كنند كه می خواهند خود را تغییر دهند تا از خطر تشخیص داده شدن توسط نرم افزارهای آنتی ویروس در امان بمانند. این بدافزار ها معمولاً خود را با یك الگوریتم رمزنگاری به صورت رمزی درآورده و سپس برای هر دگرگونی از یك كلید رمزگشایی متفاوت استفاده می كنند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 16 :

ادامه روش مبتنی بر كد (امضا)
بنابراین بدافزار های چندریختی می توانند از تعداد نامحدودی الگوریتم رمزنگاری به منظور ممانعت از تشخیص استفاده كنند. در هر بار تكرار بدافزار جزئی از كد رمزگشایی دچار تغییر می شود. بسته به نوع هر بدافزار، عملیات خرابكارانه یا دیگر اعمالی كه توسط بدافزار انجام می شوند می توانند تحت عملیات رمزنگاری قرار بگیرند. معمولاً یك موتور دگرگونی در بدافزار رمزنگاری شده تعبیه شده است كه در هر بار تغییر، الگوریتم های رمزنگاری تصادفی را تولید می كند. سپس موتور مذكور و بدافزار توسط الگوریتم تولیدی رمزنگاری شده و كلید رمزگشایی جدید به آنها الصاق می شود.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 17 :

ادامه روش مبتنی بر كد (امضا)
نكته ای كه نباید آن را از نظر دور داشت اینست كه روشهای متنوعی برای رمزنگاری و بسته بندی بدافزارها وجود دارد كه تشخیص انواع شناخته شده بدافزارها را برای آنتی ویروسها بسیار سخت یا غیرممكن می سازد. لذا تشخیص اینگونه ویروسها نیازمند موتورهای قوی باز كردن بسته بندی است كه بتوانند فایلها را قبل از آزمایش رمزگشایی نمایند. متأسفانه بسیاری از آنتی ویروس های محبوب و معروف امروزی فاقد توانایی تشخیص ویروس های رمزنگاری شده هستند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 18 :

روش مبتنی بر رفتار

روش مبتنی بر رفتار بر خلاف روش پیشین تنها در تلاش برای شناسایی ویروسهای شناخته شده نیست و به جای آن رفتار همه برنامهها را نظارت می كند. این تكنیك سعی در تشخیص انواع شناخته شده و همچنین انواع جدید بدافزار دارد و این كار را از طریق جستجوی ویژگیهای عمومی و مشترك بدافزارها انجام می دهد. برای مثال اگر یك برنامه سعی در نوشتن داده بر روی یك برنامه اجرایی دیگر را داشته باشد، این رفتار به عنوان یك رفتار مشكوك شناسایی شده و به كاربر هشدار لازم داده می شود. سپس از او در مورد اینكه چه كاری باید انجام شود سؤال می شود.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 19 :

ادامه روش مبتنی بر رفتار
آنتی ویروس های مبتنی بر رفتار بر خلاف آنتی ویروس های مبتنی بر امضا از رایانه در برابر ویروسهای جدید نیز كه امضای آنها در هیچ دیكشنری موجود نیست، محافظت به عمل می آورند. البته مشكل این آنتی ویروسها تعداد زیاد تشخیصهای مثبت اشتباه و هشدارهای به كاربر است كه موجب خستگی و سر رفتن حوصله كاربران می شود. در صورتی كه كاربران به همه هشدارها پاسخ Accept را بدهند عملاً آنتی ویروس بلااستفاده شده و كارایی خود را از دست خواهد داد، به همین دلیل آنتی ویروس ها استفاده از این روش را روز به روز محدودتر می كنند.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

اسلاید 20 :

به روش مبتنی بر رفتار جستجوی اكتشافی یا Heuristic نیز گفته می شود زیرا سعی در كشف رفتارهای مشكوك و شناسایی بدافزارها دارد. مهمترین فایده این روش تكیه نكردن آن بر فایلهای امضا برای تشخیص و مقابله با بدافزار است. به هر حال همان طور كه گفتیم بررسی اكتشافی نیز با مشكلات خاصی روبرو است از جمله:

تشخیص مثبت اشتباه یا False Positive
این روش از ویژگیهای عمومی بدافزار ها استفاده می كند، و بنابراین ممكن است برخی از نرم افزارهای قانونی و معتبر را در صورتی كه خصوصیاتی شبیه بدافزارها داشته باشند، نیز به اشتباه بدافزار شناسایی كند.

بررسی كندتر
پروسه جستجوی ویژگیها برای یك نرم افزار بسیار سخت تر از جستجوی الگوهایی مشخص است. به همین دلیل جستجوی اكتشافی مدت زمان بیشتری نسبت به جستجوی امضا جهت شناسایی بدافزارها نیاز دارد.

ندیدن ویژگیهای جدید
در صورتی كه یك حمله بدافزاری جدید ویژگیهایی را از خود به نمایش بگذارد كه پیش از این شناسایی نشده اند، جستجوی اكتشافی نیز آن را شناسایی نمی كند مگر اینكه به روز رسانی شده و ویژگی مذكور به حافظه آن اضافه شود.
آشنايي با ويروس هاي كامپيوتري و روش هاي مقابله با آنها

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید