پاورپوینت ویروس های کامپیوتری و راههای شناسایی و مقابله با آنها Computer Viruses & Methods of Detection

بخشی از پاورپوینت

اسلاید 1 :

مرکز فناوری اطلاعات دانشگاه رازی

اسلاید 2 :

ويروس های کامپیوتری و راههای شناسايي و مقابله با آنها
Computer Viruses & Methods of Detection

اسلاید 3 :

مقدمه
امروزه مسئله ويروسهاي رايانه اي به يک معضل بسيارجدي
تبديل شده است. براي يک کاربر PC ممکن است حداکثر ضرر
ناشي از يک ويروس مخرب،ازبين رفتن اطلاعات وبرنامه هاي
مهم موجود روي سامانه اش باشد در حاليکه وجود يک ويروس در سامانه هاي رايانه اي يک پايگاه نظامي هسته اي مي تواند وجود بشريت و حيات کره زمين را تهديد کند.

رشد سرطان گونه ويروس ها متخصصين را بر آن داشت که برنامه هايي براي نابودي ويروس ها بسازند.

اسلاید 4 :

اولين ويروس رايانه اي توسط ”کوهن“ ساخته شد. کوهن صرفا به عنوان يک پروژه دانشجويي ، برنامه اي را نوشت که مي توانست خود را تکثير کرده و انگل وار به ديگر برنامه ها متصل شود ونوعي تغيير درآنها به وجود آورد.

علت نامگذاري ”ويروس“ بر روي اينگونه برنامه ها ، تشابه زياد آنها با ويروس هاي بيولوژيکي بود.
اولين ويروس

اسلاید 5 :

ويروسهاي رايانه اي برنامه هايي هستند که مي توانند تکثيرشوند و با اتصال به يک برنامه اجرايي و يا نواحي سامانه اي ديسک،همراه آنها اجرا گردند.
ويروس ها مي توانند کد خود را در قسمتهاي مختلف رايانه مثل هاردديسک يا فلاپي کپي کنند ويا خود
را درون حافظه بارگذاري کنند، اين درحالي است که کاربرازوجود ويروس واعمالي که انجام مي دهد کاملا بي اطلاع است.
ويروس رايانه اي چيست؟

اسلاید 6 :

خطراتی که ما با آن مواجه هستيم
1- برنامه های مخرب ویروسها- Worms ( توجه به حفره (
2- حمله نفوذ گران و سارقان
3- حملات Dos و DDos
4- مشکل شبکه های بی سیم ( Wireless )
5-برنامه جاسوسی ( Spywarc ) و تروجان ها- روت کیت
6- هرز نامه SPAM و .

اسلاید 7 :

دلايل وجود اين حوادث
1- نداشتن نرم افزار قانونی و عدم توجه به کپی رایت در سازمانها و شرکتها

2- حفره های نرم افزاری و عدم به روز کردن نرم افزار خارجی ( ایرانی )

3- عدم دقت در تنظیمات امنیتی برنامه- سیستم عامل- سرور- شبکه- روتر و .

4-نداشتن مشاوران امنیت اطلاعات در کنار متخصصان IT

5- عدم توجه به امنیت در فرایند مکانیزاسیون سازمان

و . . .

اسلاید 8 :

)Cert موسسه ( ICT نمودار وضعيت

اسلاید 10 :

ويروس هم مانند هر برنامه رايانه اي نياز به محلي براي ذخيره خود دارد.منتهي اين محل بايد به گونه اي باشد که ويروس ها را به وصول اهداف خود نزديک تر کند.

فايل هاي اجرايي : که معمولا با پسوندهاي .dll,.ovl,.bin,.sys,.com,.exe,.sc وجوددارند.
قطاع راه انداز(Boot Sector) : واحد
راه اندازي سامانه عامل است ودر قطاع شماره
صفر ديسک سخت قرار دارد.
جدول بخش بندي ديسک
(Partition Table) : شامل اطلاعات
تقسيم بندي ديسک سخت است و در قطاع
شماره صفر ديسک سخت قرار دارد.
خانه ويروس

اسلاید 11 :

عملکرد ويروس ها
ايجاد تاخير يا وقفه در حين عمليات سامانه اعم از اجراي برنامه ها و يا راه اندازي رايانه
تخريب يا حذف برنامه ها و اطلاعات بخش هاي مختلف ديسک ها و يا حتي فرمت کردن ديسک ها
اشغال حافظه و تکثير در حافظه به نحوي که در حافظه جايي براي اجراي ديگر بر نامه ها نمي ماند و يا باعث اختلال در کار برنامه هاي موجود در حافظه مي شود.
اشغال فضاي ديسک

اسلاید 12 :

فايلهاي exe وcom رشد مي کنند و حجمشان زياد مي شود
سامانه يک ويروس الصاقي دارد.
برنامه هايي که اجرايشان مي کنيم بدرستي اجرا نمي شوند و با چند پيغام خطا از ادامه کار باز مي مانند.
تغييرات مشکوک در پوشه ها.
کاهش درحافظه سامانه يک ويروس TSR در سامانه شما زندگي مي کند.
پيغامهاي خطاي مشکوک.
پايين آمدن سرعت در عمليات سامانه.
علائم ويروسي شدن سامانه

اسلاید 13 :

انواع ويروس ها
ويروس هاي فايلي (File Viruses): اين ويروس ها معمولا فايل هاي اجرايي را آلوده مي کنند.فايل هاي آلوده به اين نوع ويروس ها اغلب داراي پسوند .comيا .exe هستند.
ويروس هاي ماکرو(Macro Viruses): اين ويروس ها فايل هاي برنامه هايي را که داراي زبان ماکرو هستند(مانندWord MS وMS Excel و.) آلوده مي کنند.
ويروس هاي بوت سکتور(Boot Sector Viruses) : اين گونه ويروس ها قطاع راه انداز ديسک سخت يا جدول بخش بندي ديسکهاي سخت را آلوده مي کنند.

اسلاید 14 :

ويروسهاي اسکريپتي(Script Viruses) : اين ويروسها که اسکريپتهاي نوشته شده به زبان ويژوال بيسيک يا جاوا مي باشند ، تنها در رايانه هايي که برروي آنها Internet Explorer نصب شده باشد و توانايي اجراي Script ها را داشته باشند ، اجرا
مي شوند و فايلهاي با پسوند html,htm,vbs,js,htt,.asp را آلوده
مي کنند.
ويروسها ممکن است در يک يا چند دسته ازدسته هاي زير قرار بگيرند:
ويروسهاي مقيم در حافظه(Memory Resident Viruses) :
اينگونه ويروسها با مقيم شدن در حافظه،هنگام دسترسي به فايل هاي ديگر آنها را آلوده مي کنند.

اسلاید 15 :

ويروسهاي کد شده (Encrypting Viruses) : اين ويروسها پس از هربارآلوده سازي، با استفاده از شيوه هاي
خود رمزي شکل ظاهري خود را تغيير مي دهند.

ويروسهاي مخفي (Stealth Viruses): اين ويروسها به روشهاي مختلف ردپاي خويش را پاک مي کنند و خود را از سامانه عامل و نرم افزار هاي ضد ويروس مخفي نگه مي دارند.آنها درحافظه مقيم شده ودر اين صورت کليه درخواست هايي که نرم افزار ضد ويروس به سامانه عامل مي دهد را دريافت مي کنند وبه اين ترتيب ضد ويروس را هم فريب مي دهند.

اسلاید 16 :

اسب هاي تروا(Trojan) : تظاهر مي کنند کارخاصي را انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند.

بمب هاي منطقي(Logic Bomb): برنامه هايي هستند که در زمانهاي از قبل تعيين شده، مثلا يک روز خاص ، اعمالي غير منتظره انجام مي دهند. اين برنامه ها بر خلاف ويروس ، فايل هاي ديگر راآلوده نکرده و خود را گسترش نمي دهند

کرم ها(Worms) :برنامه هايي هستند که مشابه ويروس توان تکثير کردن خود را دارند، ولي برعکس آنها براي گسترش خود نياز به برنا مه هاي ديگر ندارند.کرم ها معمولا از نقاط آسيب پذير برنا مه هاي E-Mail براي توزيع وسيع خود استفاده مي کنند مثل کرم mydoom يا I LOVE YOU.

اسلاید 17 :

ويروسهاي چند ريخت(Polymorphic Viruses) :
اين ويروسها در هرفايل آلوده به شکلي ظاهر مي شوند و از
الگوريتم هاي کدگذاري استفاده مي کنند ورد پاي خود را پاک ميکنند.

گول زنک ها (HOAX): اين نوع از ويروس ها در قالب پيامهاي فريب آميزي ،کاربران اينترنت راگول زده و به کام خود مي کشد.آنها معمولا
به همراه يک نامه ضميمه شده ازطريق پست الکترونيک وارد سامانه
مي شوند . پيغام ها مي توانند مضموني تهديد آميز يا محبت آميز داشته باشند.تغيير پيام و يا ارسال آن بسيار ساده بوده و با دستور Forward امکان پذير است. ويروسي که پشت اين پيغام ها مخفي شده مي تواند يک
بمب منطقي، يک اسب تروا و يا يکي از فايل هاي سامانه اي ويندوز باشد.

اسلاید 18 :

ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه هااطلاق مي شود که براي محافظت از رايانه ها در برابر ويروس ها استفاده مي شوند.مهمترين قسمت هر برنامه ضد ويروس موتور اسکن (Scanning Engine) آن است.جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه شناسايي فايل هاي آلوده به ويروس را به عهده دارند ودربيشترموارد در صورتي که فايل آلوده باشد ضد ويروس قادربه پاکسازي و از بين بردن آن است.
نرم افزار ضد ويروس چيست؟

اسلاید 19 :

دونوع از نرم افزارهاي آنتي ويروس عبارتند از:
نرم افزار Monitoring : نرم افزار نظارت متفاوت از نرم افزارscanning است. اين نرم افزار خسارتهاي ناشي از فعاليتهاي ويروسي غير قانوني مثل overwrite کردن فايلهاي رايانه يا دوباره فرمت کردن hard drive رايانه را تشخيص مي دهد و کشف مي کند.

نرم افزار : Scanningنرم افزار پويش گرمي تواند ويژگي هاي کدهاي ويروس رايانه اي را شناسايي کند و درفايلهاي رايانه به دنبال آن جستجو کند.
بيشتر نرم افزارهاي ضد ويروسي از اسکنرهاي On-demand وOn-access
استفاده مي کنند.
اسکنرهاي On-demand : زماني که کاربر آنها را فعال کند اقدام مي کنند .
اسکنرهاي On-access : به طورمداوم به دنبال ويروس روي رايانه نظارت دارند،اما فعاليتهاي آنها براي کاربر قابل مشاهده نيستند و هميشه در پشت صحنه قرار دارند.
انواع نرم افزارآنتي ويروس

اسلاید 20 :

نرم افزارهاي آنتي ويروس عموما از دو تکنيک براي تشخيص ويروسها استفاده مي کنند:
1. استفاده از فايل امضاي ويروس : اين تکنيک توانايي شناسايي ويروسهايي را دارد که شرکتهاي آنتي ويروس تا کنون براي آنها امضا يا Signature توليد کرده اند. در اين روش ضد ويروس متن فايلهاي موجود دررايانه را هنگامي که سامانه عامل آنها را بازمي کنديامي بندد ياارسال ميکند امتحان مي کند و آن را به فايل امضاي ويروس که نويسندگان آنتي ويروس تشخيص داده اندارجاع مي دهد.
فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتامورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسانها مي باشد.
روشهاي شناسايي ويروسها