بخشی از پاورپوینت
اسلاید 1 :
ويروس های کامپیوتری و راه های شناسايي و مقابله با آنها
Computer Viruses & Methods of Detection
اسلاید 2 :
مقدمه
امروزه مسئله ويروسهاي رايانه اي به يک معضل بسيارجدي تبديل شده است. براي يک کاربر PC ممکن است حداکثر ضرر ناشي از يک ويروس مخرب،ازبين رفتن اطلاعات وبرنامه هاي مهم موجود روي سامانه اش باشد در حاليکه وجود يک ويروس در سامانه هاي رايانه اي يک پايگاه نظامي هسته اي مي تواند وجود بشريت و حيات کره زمين را تهديد کند.
رشد ويروس ها متخصصين را بر آن داشت که برنامه هايي براي نابودي ويروس ها بسازند.
اسلاید 3 :
اولين ويروس رايانه اي توسط ”کوهن“ ساخته شد. کوهن صرفا به عنوان يک پروژه دانشجويي ، برنامه اي را نوشت که مي توانست خود را تکثير کرده و انگل وار به ديگر برنامه ها متصل شود ونوعي تغيير درآنها به وجود آورد.
علت نامگذاري ”ويروس“ بر روي اينگونه برنامه ها ، تشابه زياد آنها با ويروس هاي بيولوژيکي بود.
اولين ويروس
اسلاید 4 :
ويروسهاي رايانه اي برنامه هايي هستند که مي توانند تکثيرشوند و با اتصال به يک برنامه اجرايي و يا نواحي سامانه اي ديسک،همراه آنها اجرا گردند.
ويروس ها مي توانند کد خود را در قسمتهاي مختلف رايانه مثل هاردديسک يا فلاپي کپي کنند ويا خود را درون حافظه بارگذاري کنند، اين درحالي است که کاربرازوجود ويروس واعمالي که انجام مي دهد کاملا بي اطلاع است.
ويروس رايانه اي چيست؟
اسلاید 5 :
خطراتی که ما با آن مواجه هستيم
1- برنامه های مخرب ویروسها- Worms(توجه به حفره ها (
2- حمله نفوذ گران و سارقان
3- حملات Dos و DDos
4- مشکل شبکه های بی سیم ( Wireless )
5-برنامه جاسوسی ( Spywarc ) و تروجان ها- روت کیت
6- هرز نامه SPAM و .
اسلاید 6 :
عملکرد ويروس ها
ايجاد تاخير يا وقفه در حين عمليات سامانه اعم از اجراي برنامه ها و يا راه اندازي رايانه
تخريب يا حذف برنامه ها و اطلاعات بخش هاي مختلف ديسک ها و يا حتي فرمت کردن ديسک ها
اشغال حافظه و تکثير در حافظه به نحوي که در حافظه جايي براي اجراي ديگر بر نامه ها نمي ماند و يا باعث اختلال در کار برنامه هاي موجود در حافظه مي شود.
اشغال فضاي ديسک
اسلاید 7 :
فايلهاي exe وcom رشد مي کنند و حجمشان زياد مي شود
سیستم يک ويروس الصاقي دارد.
برنامه هايي که اجرايشان مي کنيم بدرستي اجرا نمي شوند و با چند پيغام خطا از ادامه کار باز مي مانند.
تغييرات مشکوک در پوشه ها.
کاهش درحافظه سیستم يک ويروس TSR در سیستم شما زندگي مي کند.
پيغامهاي خطاي مشکوک.
پايين آمدن سرعت در عمليات سامانه.
علائم ويروسي شدن سیستم
اسلاید 8 :
انواع ويروس ها
ويروس هاي فايلي (File Viruses): اين ويروس ها معمولا فايل هاي اجرايي را آلوده مي کنند.فايل هاي آلوده به اين نوع ويروس ها اغلب داراي پسوند .comيا .exe هستند.
ويروس هاي ماکرو(Macro Viruses): اين ويروس ها فايل هاي برنامه هايي را که داراي زبان ماکرو هستند(مانندWord MS وMS Excel و.) آلوده مي کنند. ویروس ماکرویی به فایل های اجرایی کاری ندارد بلکه مستقیما به داده ها حمله می کند . اکثر اوقات ،ماکروها طوری فایل ها را پاک می کنند که غیر قابل بازگشت باشد.
ويروس هاي بوت سکتور(Boot Sector Viruses) : اين گونه ويروس ها قطاع راه انداز ديسک سخت يا جدول بخش بندي ديسکهاي سخت را آلوده مي کنند.
اسلاید 9 :
ويروسهاي اسکريپتي(Script Viruses) : اين ويروسها که اسکريپتهاي نوشته شده به زبان ويژوال بيسيک يا جاوا مي باشند ، تنها در رايانه هايي که برروي آنها Internet Explorer نصب شده باشد و توانايي اجراي Script ها را داشته باشند ، اجرا
مي شوند و فايلهاي با پسوند html,htm,vbs,js,htt,.asp را آلوده
مي کنند.
ويروسها ممکن است در يک يا چند دسته ازدسته هاي زير قرار بگيرند:
ويروسهاي مقيم در حافظه(Memory Resident Viruses) :
اينگونه ويروسها با مقيم شدن در حافظه،هنگام دسترسي به فايل هاي ديگر آنها را آلوده مي کنند.
اسلاید 10 :
ويروسهاي کد شده (Encrypting Viruses) : اين ويروسها پس از هربارآلوده سازي، با استفاده از شيوه هاي
مختلف شکل ظاهري خود را تغيير مي دهند.
ويروسهاي مخفي (Stealth Viruses): اين ويروسها به روشهاي مختلف ردپاي خويش را پاک مي کنند و خود را از سیستم عامل و نرم افزار هاي ضد ويروس مخفي نگه مي دارند.آنها درحافظه مقيم شده ودر اين صورت کليه درخواست هايي که نرم افزار ضد ويروس به سیستم عامل مي دهد را دريافت مي کنند وبه اين ترتيب ضد ويروس را هم فريب مي دهند.
اسلاید 11 :
اسب هاي تروا(Trojan) : تظاهر مي کنند کارخاصي را انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند.
هدف آنها تکرار خودشان نیست بلکه سیستم را در اختیار مهاجم قرار می دهند . بمب هاي منطقي(Logic Bomb): برنامه هايي هستند که در زمانهاي از قبل تعيين شده، مثلا يک روز خاص ، اعمالي غير منتظره انجام مي دهند. اين برنامه ها بر خلاف ويروس ، فايل هاي ديگر راآلوده نکرده و خود را گسترش نمي دهند
کرم ها(Worms) :برنامه هايي هستند که مشابه ويروس توان تکثير کردن خود را دارند، ولي برعکس آنها براي گسترش خود نياز به برنا مه هاي ديگر ندارند.کرم ها معمولا از نقاط آسيب پذير برنا مه هاي E-Mail براي توزيع وسيع خود استفاده مي کنند مثل کرم mydoom يا I LOVE YOU.
اسلاید 12 :
ويروسهاي چند ريخت(Polymorphic Viruses) :
اين ويروسها در هرفايل آلوده به شکلي ظاهر مي شوند و از
الگوريتم هاي کدگذاري استفاده مي کنند ورد پاي خود را پاک ميکنند.
گول زنک ها (HOAX): اين نوع از ويروس ها در قالب پيامهاي فريب آميزي ،کاربران اينترنت راگول زده و به کام خود مي کشد.آنها معمولا
به همراه يک نامه ضميمه شده ازطريق پست الکترونيک وارد سامانه
مي شوند . پيغام ها مي توانند مضموني تهديد آميز يا محبت آميز داشته باشند.تغيير پيام و يا ارسال آن بسيار ساده بوده و با دستور Forward امکان پذير است. ويروسي که پشت اين پيغام ها مخفي شده مي تواند يک
بمب منطقي، يک اسب تروا و يا يکي از فايل هاي سامانه اي ويندوز باشد.
اسلاید 13 :
ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه هااطلاق مي شود که براي محافظت از رايانه ها در برابر ويروس ها استفاده مي شوند.
مهمترين قسمت هر برنامه ضد ويروس موتور اسکن آن است. جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه شناسايي فايل هاي آلوده به ويروس را به عهده دارندودربيشترموارد در صورتي که فايل آلوده باشد ضد ويروس قادر به پاکسازي و از بين بردن آن است.
نرم افزار ضد ويروس چيست؟
اسلاید 14 :
دونوع از نرم افزارهاي آنتي ويروس عبارتند از:
نرم افزار Monitoring : نرم افزار نظارت متفاوت از نرم افزارscanning است. اين نرم افزار خسارتهاي ناشي از فعاليتهاي ويروسي غير قانوني مثل overwrite کردن فايلهاي رايانه يا دوباره فرمت کردن hard drive رايانه را تشخيص مي دهد و کشف مي کند.
نرم افزار : Scanningنرم افزار پويشگر ميتواند ويژگي هاي کدهاي ويروس
رايانه اي را شناسايي کند و درفايلهاي رايانه به دنبال آن جستجو کند.
بيشتر نرم افزارهاي ضد ويروسي از اسکنرهاي On-demand وOn-access
استفاده مي کنند.
اسکنرهاي On-demand : زماني که کاربر آنها را فعال کند اقدام مي کنند .
اسکنرهاي On-access : به طورمداوم به دنبال ويروس،بر روي رايانه نظارت دارند،اما فعاليتهاي آنها براي کاربر قابل مشاهده نيستند و هميشه در پشت صحنه قرار دارند.
انواع نرم افزارآنتي ويروس
اسلاید 15 :
نرم افزارهاي آنتي ويروس عموما از دو تکنيک براي تشخيص ويروسها استفاده مي کنند:
استفاده از فايل امضاي ويروس : اين تکنيک توانايي شناسايي ويروسهايي را دارد که شرکتهاي آنتي ويروس تا کنون براي آنها امضا يا
Signature توليد کرده اند. در اين روش ضد ويروس متن فايلهاي موجود دررايانه را (هنگامي که سیستم عامل آنها را بازمي کنديامي بندد ياارسال ميکند) امتحان مي کند و آن را به فايل امضاي ويروس که نويسندگان آنتي ويروس تشخيص داده اند ارجاع مي دهد.
فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتامورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسانها مي باشد.
روشهاي شناسايي ويروسها
اسلاید 16 :
اگر يک تکه کد در فايلي با ويروس موجود با فايل امضاي ويروس مطابقت داشت نرم افزار ضد ويروس يکي از کارهاي زير را انجام مي دهد:
سعي مي کند تا فايل را توسط از بين بردن ويروس به تنهايي تعمير کند.
قرنطينه کردن فايل(فايل قابل دسترسي توسط برنامه هاي ديگر نباشدو ويروس آن نمي تواند گسترش يابد.)
فايل ويروسي و آلوده را پاک کند.
دراين تکنيک ، فايل امضاي ويروس يا همان پايگاه داده ويروسهاي شناخته شده ، بايد به طور متناوب update شودتا آخرين اطلاعات را راجع به آخرين ويروسها به دست آورد.
اسلاید 17 :
Dynamic Heuristic analysis : شبيه سازي کد– به اين معني که فايل در يک محيط محافظت شده در داخل ماشين مجازي شروع به اجرا مي کند سپس به برنامه آنتي ويروس اجازه مي دهد تا رفتار يک فايل مشکوک را به هنگام اجرا شبيه سازي کند در حالي که کد مشکوک اصلي ازماشين واقعي کاملامجزا شده است.وبعدبرفعاليتهاي ويروسي مثل تکرار کد ، دوباره نويسي فايل ، و تلاش براي پنهان سازي فايلهاي مشکوک نظارت مي کند. هرگاه يک يابيشتر از آن فعاليتهاي شبه ويروس را پيدا کرد، فايل مشکوک علامت گذاري
مي شود و به کاربر اطلاع داده مي شود. مثلا اگر برنامه اي از رمزخود تصحيح کننده استفاده کرده ويروس به شمارمي آيد.
اين تکنيک حفاظت بيشتري را در مقابل ويروسهاي جديد تجاري که هنوز وارد پايگاه داده نشانه هاي ويروسي نشدند ،به وجود مي آورد.
اسلاید 18 :
2. Behavior Blockers : محدود کننده رفتارها .تقريبا حدود 13 سال پيش به وجود آمدند و مورد توجه قرار نگرفته اند!!
اما در سالهاي اخير با پخش شدن سريع کدهاي مخرب اين روش هم رونق پيدا کرده است . اين روش به رفتارهاي مشخص و واضح کرمها و ويروسها توجه ميکند ودر صورت کشف چنين رفتاري اجازه انجام شدن آن را نمي دهد.
Prehistoric behavior blockers : در واقع همان behavior blocker هاي قديمي.کار اين نوع که اولين نسل بودند خيلي ساده بود: رفتارهاي اتفاقي را به کاربر هشدار مي داد و به او اختيار انجام يا توقف آن را مي داد.
اسلاید 19 :
راه مقابله با ویروسAutorun.inf
این مشکل معمولاً برای سیستم هایی که از آنتی ویروس های قوی استفاده می کنند به صورت اتوماتیک به دست آنتی ویروس رفع می شود. اما یک راه حل جانبی برای سیستم هایی که آنتی ویروس آن ها فقط این ویروس را شناسایی کرده ولی آن را از بین نمی برد وجود دارد. برخی سایت ها از این فایل به عنوان Trojan یاد کردند که ممکن است نرم افزارهای از بین برنده Trojan نظیر Trojan Hunter نیز بتوانند در رفع آن کمک کنند.
مشکلی که بسیاری از کاربران پس از رفع این ویروس دارند این است که به جای آن ، یک فایل دیگر که آن هم پنهان است و نمی توان آن را حذف نمود ایجاد می شود که folder was created by Flash_Disinfector نام دارد. توجه کنید که این فایل ، ویروس نیست. برای حذف این فایل باید روش زیر را به کار ببندید. ابتدا یک NotePad باز کنید. برای این کار می توانید در Run تایپ کنید NotePad. سپس پنج خط دستور را در آن کپی نمائید:
اسلاید 20 :
@echo offset drv=c:\ attrib -A -H -S -R %drv%\autorun.inf del \\.\%drv%\autorun.inf\"lpt3.This folder was created by Flash_Disinfector" rd %drv%\autorun.inf
اکنون این فایل را با نام Flash Disinfector.bat ذخیره کنید. آیکن آن به رنگ سفید است که وسط آن تصویر یک چرخ دنده خواهد بود. حال می توانید آن را مانند یک فایل exe اجرا کنید. روی آن دوبار کلیک کنید. آن فایل مزاحم از Drive C شما حذف می شود. برای سایر Drive ها هم لازم است چنین فایلی بسازید ؛ با این تفاوت که در سطر دوم به جای حرف C ، حرف مربوط به Drive مورد نظر را تایپ کنید.
