بخشی از مقاله
.1 مقدمه بدافزارهای جدید میکنند که در حقیقت نسـخه جدیـدی از بـدافزار
امروزه نرخ تولید بدافزارها از برنامه های بی خطر بیشتر شده است قبلی پایه بوده اند با مسلح شدن بدافزارها بـه ایـن برنامـههـا کـه بـا
روش های مختلفی یک عملیات یکسان را انجام میدهنـد ناکارامـدی
[1] بنــابر گــزاش شــرکت McAfee از مرجــع [2] روزانــه بــیش از
برنامه های ضد ویروس مبتنی بر امضاء و تحلیل رفتـار ایسـتا نمایـان
100.000 بدافزار جدید تولید میشود یعنی 69 بدافزار در هر دقیقـه
شد و ابزارهای ضد بدافزار ناچار برای تحلیل و تشخیص ماهیت یـک
بنابراین میتوان ادعا کرد که فرکانس تولید بدافزار امـروزه تقریبـاً 1
برنامه به تحلیل رفتار پویا و اجرای آن روی آوردند علت ایـن امـر در
بدافزار بر ثانیه است که علت آن هم ابزارهای تولید کد، مـبهم سـاز و
آن است که در زمان ایستا و قبل از اجرای یک برنامـه، مـیتـوان بـا
چندریختی است. همچنین بـر حسـب گـزارش مرجـع [3] در سـال
روش های ذکر شده و روش های دیگری نظیر رمزنگاری کـد و تولیـد
2013تقریباً %47 سازمان های رسمی دولتی و خصوصی پدیده نفـوذ
کــد در زمــان اجــرا3 مبــادرت بــه مخفــی کــردن رفتــار نمــود [1] و
در شبکه و آلودگی سیستم هایشان را تجربه کرده اند با بررسی دقیـق تحلیل گرهای ایستا که فارغ از اجرا برنامه و فقط با بررسی کد منبـع
این بدافزارها به این نتیجه میرسیم که بسیاری از بدافزارهای جدید،
سعی در تشخیص رفتار برای تعیین بدافزار بودن یـا بـی خطـر بـودن
در وقاع همان بدافزارهای قبلی بوده اند که با اعمال تغییراتـی در کـد
برنامه را دارند به اشتباه انداخت و لیکن یک برنامه هرچند هم کـه از
منبع جهت دور زدن برنامه هـای ضـد ویـروس و تحلیـلگـر منتشـر
روش های مذکور برای مخفی کردن رفتار خود در زمان ایستا داشـته
شده انـد. امـروزه بسـیاری از برنامـه نویسـان بـدخواه بـا اسـتفاده از
باشد ناچار است در زمان اجرا جهت استفاده از منابع سیستم، رفتـار
موتورهایی برای انجام خود تغییری1 و مبهم سازی2 اقدام بـه انتشـار
خود را نمایان کند [1] پس میتوان در زمان اجرا با نظارت کردن بـر
اجرای برنامه رفتار آن را با توجه اسـتفاده از منـابع سیسـتم عامـل و
رایانامه نویسنده مسئول: d.javahery@iaub.ac.ir
1. Self-Modifying
2. Obfuscation 3. Dynamic Programing
66
عملیات های انجام شده مشخص نمود. چالش اساسی و مهـم در ایـن مقوله، آسیب پذیری های ناشی از اجرای یک برنامه بدخواه است . [4] راه کار برای حل این مشکل اجرای برنامه ناشناس در یک محیط امن و کنترل شـده بـرای پـی بـردن بـه ماهیـت آن اسـت لـذا برخـی از شرکت های تولید کننده ضد بدافزار مانند Comodo و Avest اقدام به طراحی و توسعه محیطهای تحلیل گر برای استفاده در برنامههای ضد بدافزار خود نمودند. این مقاله یک محیط تحلیل گر امن برای اجـرای کنترل شده و بی خطر برنامه ناشناس به منظور استخراج رفتـار بـرای تعیین ماهیت بدخواه یا بی خطر بودن آن را پیشنهاد می کند. محـیط تحلیل گر پیشنهادی این مقاله امکان اجرای ایمن بدافزارها به گونهای که به سیستم عامل کاربر آسیب وارد نشود را داشته و با نظارت دقیق بر تعاملات برنامـه تحـت تحلیـل بـا سیسـتم عامـل رفتـار برنامـه را استخراج و بستر لازم برای تحلیل رفتار پویا را فراهم میکند. هدف از طراحی و توسعه این محیط تجهیز آزمایشگاه های تحلیـل بـدافزار در داخل کشور و استفاده در ضد ویروس بومی پارسا میباشد.
این مقالـه در ادامـه چنـین تنظـیم شـده اسـت در قسـمت دوم روش های تحلیل بدافزار و محیطهای تحلیلگر معرفی مـیشـوند، در قسمت سوم روش پیشنهادی برای ایجاد یک محیط تحلیـلگـر امـن تشریح می شود، در قسمت چهـارم آسـیب پـذیریهـا و چـالشهـای محیط های امن بررسی و راه کار هایی برای مقابلـه بـا آن هـا پیشـنهاد می شود، و در قسمت پایـانی محـیط پیشـنهادی از حیـث توانـایی و قابلیت های رهگیری ارزیابی و با نمونه های خـارجی موجـود مقایسـه خواهد شد.
.2 معرفی محیطهای امن
با آنچه که در مقدمه این مقاله گفتـه شـد ضـرورت وجـود یـک محیط امن برای تحلیل بدافزار های امروزی و برنامه هـای مشـکوک و ناشناخته برای تعیین ماهیت آنها کاملاً مشـخص شـد در ادامـه بـه معرفی و بررسی محیطهای اجرای بیخطر و تحلیلگر میپردازیم.
در زمینه امنیت کامپیوتر ظرف شن یک مکانیزم امنیتـی جهـت جداسازی و ایزوله کردن برنامههای در حال اجرا است از این ویژگـی در اغلب موارد جهت اجرا و تحلیل کد یا برنامه بدخواهی کـه توسـط هیچ شخص ثالث و یـا کـاربر یـا وب سـایت مطمئنـی تأییـد نشـده باشد[ 5] این مفهوم را نیز می توان در زمینه تحلیل بدافزار توسعه داد : هدف ما اجراییک برنامه و یا فایل غیرقابل اطمینـان در داخـل یـک محیط ایزوله جهت کسب اطلاعات درباره ماهیـت و رفتـار آن اسـت جعبه شن، بدافزارها را به صورت پویا تحلیل می نمایند به عبارت دیگر بجای آنکه بدافزار به صورت ایستا تحلیل گردد آن را اجـرا کـرده و در زمان اجرا رفتار آن نظارت می شود این رویکرد دارای جوانب مثبت و منفی است اما مهم آن است که این روش بـه دلیـل کسـب اطلاعـات موثر و مفید در مورد بدافزار همانند رفتارهای تحت شبکه بسیار بـا ارزش و مفید است البته جهت کسب اطلاعات عمیق و موثر در مورد بدافزار بهتر است که در مواجه با بدافزار هم بـه صـورت ایسـتا و هـم بهصورت پویا تحلیل گردد .[6]
مجله علمی- پژوهشی » پدافند الکترونیکی و سایبری«؛ سال دوم، شماره 3، پاییز 1393
.1 .2 محیط ماشین مجازی1
ماشین های مجازی محیطهای مناسبی برای اجرای بیخطر یـک بدافزار یا برنامه مشکوک به منظور تحلیل آن مـیباشـد در ایـن روش یک سیستم عامل در یک ماشین مجـازی توسـط یکـی از ابـزارهـای
مجــازیســازی نظیــر VM-Ware ، Hyper-V ، Xen و VirtualBox
تحت عنوان ماشین میهمان بر روی یک سیستم عامل و ماشین دیگر تحت عنوان ماشین میزبان نصـب و راه انـدازی مـی شـود [7] سـپس بدافزار یا برنامه مشکوک در محیط ماشین میهمان اجـرا مـی شـود و نتایج اجرا و خروجی آن بـرای تحلیـل بـه ماشـین میزبـان فرسـتاده می شود این محیط به دلیل اینکه تمام امکانات یک سیسـتم عامـل را در اختیار برنامه قرار می دهد امکان رهگیـری و تشـخیص دقیـق تـر بدافزار را نسبت به سایر روش ها ممکن می سـازد و همچنـین امکـان تشخیص جعلی بودن محیط را برای بدافزار هایی که قصـد جلـوگیری از اجرا و افشای عملکرد خود در این محیطها دارند را نیـز سـختتـر می کند این محیط های امن در پایان اجرا در صورت تشخیص بـدافزار و آسیب وارد شدن به ماشین میهمان اقـدام بـه نصـب و راه انـدازی مجدد سیستم عامل روی ماشین میهمان می نمایند و همواره تعدادی ماشین آماده برای تحلیل در اختیار خواهند داشت این روش بهدلیـل حجم منابع مورد نیاز برای راه اندازی امکان استفاده در سـمت کـاربر بسیار سخت میکند لذا این روش غالباً در سمت سرور ارائه می شـود که اغلب با تعریف وب سرویس امکان استفاده را برای کاربران فـراهم می کنند [8] از جمله پرکـاربردترین ایـن تحلیـلگرهـا مـیتـوان بـه Anubis و Cuckoo اشاره کـرد، محـیط تحلیـل گـر Cuckoo از یـک ماشین میزبان لینوکس اوبونتو و یک ماشین میهمان ویندوز XP sp3 بهره می برد البته این محیط قابلیت استفاده از سیسـتم عامـل MAC بهعنوان میزبان و ویندوز 7 بهعنوان میهمان را نیز دارد .[9]
.2 .2 محیط جعبه شن2
جعبه شن ها محیط هـای اجرایـی هسـتند کـه بـا شـبیه سـازی، مجازی سازی و مخفی سازی امکانات سیستم عامل، محـیط ایمنـی را برای اجرای تحت کنترل بدافزار ها فراهم می کنند. جعبه شنهـا ایـن موارد را بـا قـلاب انـدازی3 بـه امکانـات سیسـتم عامـل و یـا تزریـق کتاب خانه های پیوند پویا4 به برنامـه هـای مـورد نظـر بـرای تحلیـل انجام میدهند و عمـدتاً در دو نسـخه سـمت کـاربر و کـارگزار ارائـه میشوند .[5]
.3 .2 جعبه شن سمت کاربر5
این جعبه شن ها دارای امکانات کمتری نسبت جعبـه شـن هـای سمت کارگزار هستند زیرا میزان استفاده از منابع سیستم و همچنین
1. Virtual Machine Environment 2. Sandbox Environment 3. Hooking 4. DLL Injection
5. Client Side Sandbox
ارائه یک محیط امن برای تحلیل رفتار بدافزارها: دانیال جواهریان و همکاران
قابلیت حمل برنامه بسیار حایز اهمیت است و چون قرار است برنامـه در سیستم های مختلف با پیکربندی های مختلف اجرا شـود بنـابراین باید تا حد امکان از لحاظ میران مصرف منابع بهینه باشند همچنـین بحث امنیت و ایجاد محیط امن که در هنگام تحلیل بـدافزار را تحـت کنترل داشته باشد بسیار حایز اهمیت اسـت زیـرا بـدافزار یـا برنامـه مشکوک و ناشناخته تحت سیستم عامل کاربر اجرا شده که در صورت از دست رفتن کنترل خسارات وارده به کاربر جبران ناپذیر اسـت لـذا این محیط ها برخی از امکانات سیستم عامـل کـه مـی توانـد عامـل از دست رفتن کنترل شود را محدود میکنند.
.4 .2 جعبه شن سمت کارگزار1
این جعبه شن ها چون در سمت کارگزار اجرا میشوند معمولاً بـا محدودیت چندانی بـرای اسـتفاده از منـابع مواجـه نخواهنـد بـود و مصرف بهینه منابع بهعنوان یک گزینه جانبی ملاک قرار میگیرد این جعبه شن ها می تواننـد بـا شـبیهسـازی و مجـازیسـازی بسـیاری از امکانات و سرویسهای سیستم عامل امکان کشف دقیقتر بدافزارها را با شانس کمتر برای شناسایی شدن توسط بدافزار ها را فـراهم آورنـد [10] مضاف به اینکه در صورت از دست دادن کنترل بدافزار، امکـان بازیابی و نصب مجدد سیستم عامل در سمت کارگزار مشکلی چندانی نخواهد بود ولی در سمت کـاربر شـرایط کـاملاً متفـاوت اسـت و در صورت وارد شدن خسارت به سیسـتم کـاربر اعتبـار سـازنده از بـین خواهد رفت و اعتماد دیگران نیز سلب خواهد شد.
شکل .1 مقایسه بین محیطهای تحلیلگر
همان گونه که در شکل فوق مشخص است امکان کشـف محـیط تحلیل گر در جعبه شن های سمت کاربر به دلیل محدودیت های ناشی از اجرا بروی سیستم کاربر از سایر روشها بیشـتر بـوده و بـه همـین دلیل کمترین میزان کشف و عمق تحلیل را دارند. بیشترین دقـت در کشف و عمق تحلیل را ماشین های مجازی داشته حـال آنکـه جعبـه شن های سمت کاربر بیشـترین قابلیـت حمـل را بـا کمتـرین میـزان مصرف منابع به همراه دارند در ایـن خصـوص ماشـینهـای مجـازی بیشترین میزان مصرف منبع و کمتـرین قابلیـت حمـل قراردارنـد در تمامی موارد جعبه شنهای سمت کارگزار حالت میانی دارند.
1. Server Side Sandbox
67
.5 .2 قلابسازی
قلاباندازی ، یک مفهوم استفاده شده برای بهدست آوردن کنترل جریان اجرایی برنامه بدون تغییر و کامپایل مجدد کد منبع آن اسـت این کار، توسط متوقفسازی فراخوانی تابع و هدایت مجدد آن به کـد سفارشی شده، بهدست میآید با ارائه کد سفارشـی، هـر عملیـاتی را میتوان اجرا نمود پس از آن، قابلیتهای اصلی تابع میتواند اجراشده و نتیجه میتواندیا به سادگی برگشت داده شود و یا تغییر داده شده و برای انتقال کنترل به کدی که تابع قـلاب شـده را فراخـوانی کـرده، برگشت داده شود بنابراین، قلابسازی، یک ابزار مناسـب و کـاملی را برای تحلیـل مخـرب هـا بـه صـورت پویـا، فـراهم مـیکنـد 11]،[12 قلاب سازی انـواعی دارد، قـلاب هـای درون خـط بـه طـور مسـتقیم، بایت های کد تابع را در حافظه بازنویسی میکنند بهطور خاص، تنهـا چند دستورالعمل با یک دستورالعمل پنج بایتی پرش (jmp) به تـابع قلاب جایگزین میشوند دسـتورالعمل هـای جـایگزین شـده در تـابع trampoline که به عنوان نقطه ورودی جدید به فراخوانی API اصـلی استفاده میشود، ذخیره میشـوند در تـابع قـلاب، ثبـت اطلاعـات و اصلاح آرگومان ها قبل از اجرای تابع API اصلی میتواند انجـام شـود [13] این نوع از قلاباندازی مستلزم تغییر در فایلهای سیستم عامل است لذا پیـاده سـازیآن بسـیار سـخت بـوده و گاهـاً سـبب ایجـاد ناسازگاری در سیستم عامل میشود.
روش دیگر در قلاباندازی، تغییر آدرس وقفههای سیستمی است اما پیاده سازی این روش بسـیار سـخت و در بسـیاری از مواقـع غیـر ممکن است زیرا به ندرت اطلاعاتی در خصوص وقفه هـای سیسـتمی منتشر شده است و نمیتوان دریافت که یک وقفه با یـک کـد خـاص برای چه رویدادی تعریف شده است. جدول توصیف گر این وقفـه هـا2 در پایینترین سطح در هسـته سیسـتم عامـل قـرار داشـته و تعـداد وقفه های تعریف شده در آن زیاد است لذا امکـان شناسـایی عملکـرد آن ها با راهکار هایی نظیر اشکال زدایی هسته سیستم توسط ابزار هـای اشکالزدا مانند Windbgعملاً غیر ممکن است.
روش دیگری برای قلاب سازی که بیشترین کاربرد را دارد تغییـر آدرس توابــع سیســتمی3 اســت آدرس توابــع سیســتمی در جــدول توصیف گـر توابـع سیسـتمی(SSDT) 4 و جـدول توصـیف گـر توابـع سیســتمی ســایه(SSDT Shadow) 5 بــهترتیــب در فایــل هــای ntoskrnl.exe و user32.dll ذخیره شده اند که یکـی از مناسـبتـرین نقاط برای قلاب سازی و به دست آوردن جریان کنترلی می باشند ایـن دو جدول مشـخصکننـده آدرس توابـع سیسـتمی سـطح هسـته در حافظه سیستم هستند بنابر این تمام درخواست هـای گـذار از سـطح کاربر برای رسیدن به سطح هسته نیاز به یـافتن آدرس توابـع مـورد نظرشان در این جدولها هستند .[14]
تفاوت دو جدول SSDT و SSDT Shadow در این است، جـدول
2. Interrupt Descriptor Table 3. System Function Address Patching 4. System Service Descriptor Table (SSDT) 5. Shadow SSDT
68
SSDT نگاه دارنده آدرس توابع سیستمی برای کار با هسـته سیسـتم عامل و جدول SSDT Shadow حاوی آدرس توابع سیستمی مـرتبط با کارهای گرافیکی و پنجرههای سیستم عامل ویندوز است .[15]
انجام تبدیل گذار سطح هسته به کاربر توسط دسـتور SysEnter برای سیستم عامل های ویندوز از XP به بعد و قبل از آن توسط وقفه شماره Int 2e H صورت میگیرد بـا قـلاب انـدازی بـه ایـن جـداول و جایگزین کردن آدرس توابع موجود در آن ها با آدرس توابـع متنـاظر جعلی از پیش مهیا شدهه مـیتـوان کنتـرل را بـهدسـت گرفـت و از بافرهای ورودی و پارامترهای ارسال شده به توابع مورد نظر آگاه شـد سپس می توان مجدد تابع سیستمی اصلی را با پارامتر های درخواست شده یا تغییر داده شده فراخوانی نمود؛ تا در روند اجرایـی برنامـه هـا خللی ایجاد نشود .[16]
در تصویر زیر روش های ذکر شده از نظر میزان آسیب پـذیری در مقابل روش های ضد تحلیل، عمق و دقت تحلیل، سختی پیاده سـازی و هزینه یافتن نام توابع سیستمی معـادل کـه در ادامـه توضـیح داده شده با یک دیگر مقایسه شدهاند.
مجله علمی- پژوهشی » پدافند الکترونیکی و سایبری«؛ سال دوم، شماره 3، پاییز 1393
.3 معماری محیط تحلیلگر پیشنهادی
در این قسمت معماری محیط پیشنهادی که یک محـیط جعبـه شن سـمت کـاربر مـی باشـد نشـان داده شـده در روش پیشـنهادی درخواست های برنامه یا پردازه1 تحت تحلیل بـرای اسـتفاده از توابـع سیستمی در سطح کاربر و هسته سیستم عامل رهگیـری مـی گـردد. هــدف از ایــن رهگیــری نظــارت بــر عملکــرد برنامــه تحــت تحلیــل، محــدودســازی و مجــازیســازی امکانــات حیــاتی سیســتم عامــل و منحرف سازی یا فریب درخواست های برنامه تحت تحلیـل بـا ثبـت و تغییر در پارامترها و مقادیر بازگشتی توابع سیستمی است. موارد فوق در کنار خصوصیات دیگر برنامه شامل معمـاری فایـل و اطلاعـاتی از ساختار 2PE برنامه مورد تحلیل از جمله تعداد، اندازه، نـام و خـواص قسمت ها[ 17] 3 در قالب تعریف شده، خروجی لازم برای تعیین رفتار و کشف ماهیت بدخواهانه یا بیخطر بودن را فراهم میکنند.
در روش پیشنهادی رهگیری توابع سیستمی در سطح هسـته بـا قلاب اندازی به امکانات سیستم عامل به خصوص جـدول توصـیفگـر سرویس های سیستم عامل4 و جدول توصیف گر سرویس های سیستم عامل سایه و رهگیری توابع سطح کاربر با تزریق کتابخانه های پیونـد پویا به حافظه برنامه مورد نظر صورت میگیرد در شکل زیر معمـاری کلان محیط پیشنهادی آورده شده است.
شکل .2 مقایسه روشهای قلابسازی برای رهگیری رفتار
رهگیری در سطح کاربر با تزریق کتابخانه پیوند پویـا کـم تـرین عمق رهگیری را دارد به همین دلیل در مقابل راهکار های ضد تحلیل پویا بیشترین آسیبپذیری را دارد ولی در عین حال پیادهسازی آن از همه روشها نیز سادهتر است هر چقدر به سختافزار نزدیـک شـویم عمق رهگیری بیشتری خواهیم داشت ولی در عین حال پیاده سـازی نیز سخت تر می شود. رهگیری وقفهها در سطح هسته سیسـتم عامـل بیشترین عمق رهگیری را دارد بنـابراین کمتـرین آسـیب پـذیری در مقابل روش های ضد تحلیل را دارد ولی پیاده سازی آن بسیار سـخت است با توجه به اینکه روش پیشنهادی تحلیل رفتاری را بر اساس نام توابع سیسـتمی یـا WinAPI انجـام مـیدهـد .[1] بـه غیـر از روش رهگیری در سطح کاربر توسط تزریـق کتابخانـه در سـایر روش هـای سطح هسته دارای هزینه یافتن تابع سیسـتمی یـا WinAPI معـادل، وجود دارد این هزینه با نزدیک شدن به سخت افزار بیشتر می شود در تمام موارد ذکر شده، رهگیریهـای توابـع در سـطح هسـته بـر پایـه قلاباندازی به جـداول SSDT و SSDT Shadow و فیلتـر درایـورهـا حالت میانی دارند.
شکل .3 طرح معماری کلان محیط تحلیلگر پیشنهادی
همان طور که در شکل فوق نشان داده شده است 7 درایور بـرای رهگیری، محدود سازی و استخراج رفتارهای مبتنی بر تعامل با فایـل سیستم، رجیستری، شـبکه، پـردازه، سـرویس هـای سیسـتم عامـل، موشواره و صفحه کلید در سطح هسته و 3 کتابخانه تزریق شونده در سطح کاربر برای رهگیری توابع سیستمی سطح کـاربر کـه در سـطح هسته قابل رهگیری نیستند یا رهگیری آنها هزینه زیـادی خصوصـاً هزینه برگشت به عقب دارند طراحی و پیاده سازی شده اسـت. نتـایج حاصل از رهگیری درایورهای سـطح هسـته در یـک مخـرن و نتـایج
1. Process 2. Portable Executable 3. Sections
4. System Service Descriptor Table
ارائه یک محیط امن برای تحلیل رفتار بدافزارها: دانیال جواهریان و همکاران
حاصل از رهگیری توسط قلاب های تزریق شونده نیز در یـک مخـزن جداگانه در سطح کاربر ذخیره می شوند آنگاه محتویات این دو مخزن به صورت بلادرنگ توسط ماژول همگامساز، بر اساس زمـان فراخـوانی همگام شده و آماده تهیه گزارش عملکرد، بصریسازیو نهایتاً تحویل به کاربر می شود. ارتباط بین درایورهـا و برنامـههـای سـطح کـاربر از طریق تعریف خط لوله نامدار و ایمن شده با مکانیسـم احـراز هویـت مبتنی بر تعریف کلید تصادفی در مبداء و مقصد برقـرار شـده اسـت. طرح پیشنهادی در سطح کاربر توسط زبان C++ Native و در سـطح هسته توسط درایورهای با زبان C پیادهسازی شده است.
در طول مدت تحلیل جعبه شن مسـئول پاسـخ گـویی بـه تمـام درخواستهای برنامه تحت تحلیل است. تصـمیم گیـری در خصـوص نحوه پاسخ به این درخواست ها یکی از مهم ترین جنبه های طراحی و ساخت یک محیط تحلیلگر است که در ادامه توضیح داده میشود.
.1 . 3 سیاست پاسخ به درخواستها
در طول زمان تحلیل پاسخ به درخواست های برنامه تحت تحلیل به عهده جعبه شن می باشد. روش پیشـنهادی 5 نـوع سیاسـت را در پاسخ بـه درخواسـت هـای برنامـه تحـت تحلیـل مـد نظـر دارد ایـن سیاستها در ادامه ذکر شدهاند.
شکل .4 سیاستهای پاسخ به درخواستهای برنامه تحت تحلیل توسط ماژولهای کنترلی جعبه شن
• فقـط ثبــت: ایــن وظیــف بـر عهــده مــاژول ثبـتکننــده یــا Logger Module از سامانه رهگیری محیط تحلیلگر است.
• محدودسازی: این وظیفـه بـر عهـده مـاژول محدودسـاز یـا Limiter Module از سامانه رهگیری محیط تحلیلگر است.
• منحرفسازی: این وظیفه بر عهـده مـاژول منحـرف سـاز یـا Redirector Module از سـامانه رهگیـری محـیط تحلیـلگــر است.
• فریب دادن: این وظیفه بـر عهـده مـاجول فریـب دهنـده یـا Cheater Module از سامانه رهگیری محیط تحلیلگر است.
• مجازیسـازی: ایـن مهـم بـر عهـده مـاژول شـبیه سـاز یـا
Emulator module از سامانه رهگیری محیط تحلیلگر است. بــرای تصــمیمگیــری در خصــوص ارائــه پاســخ مناســب بــه درخواست های وارده لازم است نوع درخواست تشخیص داده شود که
69
در ادامه نحوه دسته بندی درخواست ها برای انجام واکـنش صـحیح از جعبه شن تشریح میشود.