ويروس‌های کامپیوتری و راه‌های شناسايی و مقابله با آن‌ها

صفحه 1:
AS ke) oo. Sy] ose) ‏مسعود مردان نبا‎ 

صفحه 2:
Byer ere) ‏راههای شناسابی و مخابله با آنها‎ Computer Viruses & Methods of Detection 

صفحه 3:
امروزه مستله ويروسهاي رایانه اي به یک معضل بسيارجدي تبديل شده است. براي يك كاربر 60 ممكن است حداكثر ضرر ناشي از يك ويروس مخربءازبين رفتن اطلاعات وبرنامه هاي مهم موجود روي سامانه اش باشد در حاليكه وجود يك ويروس ‎eer Wee OS Cee CUP CCE BVP T CEC rEpS)‏ 6 له وجود بشریت و حیات کره زمین را تهدید کند. | 6 رشد سرطان گونه ویروس ها متخصصین را بر آن داشت که برنامه ‎RCs Ted‏ لل سنن 

صفحه 4:
و لین و بر وس ‎er Tee Brees Tre" er)‏ ا ا ات ‎Pe Poe ey ery Pech rare Cr‏ ‎POV EV SEN Deore rier tee ee ee er eyes)‏ ‏علت نامگذاری "ویروس" بر روی اینگونه برنامه ها » تشابه زیاد آنها ‎eset]‏ ی لا ‎ 

صفحه 5:
ویروس ‎abl,‏ اي جيست ‎We‏ ويروسهاي رایانه اي برنامه هايي هستند که مي توانند تکثیرشوند و با اتصال به یک برنامه اجرايي و یا نواحي سامانه اي دیسکهمراه آنها اجرا گردند. ویروس ها مي توانند کد خود را در قسمتهاي مختلف رایانه مثل هارددیسک یا فلاپي كپي کنند ویا خود را درون حافظه بارگذاري کنند» این درحالي است که کاربرازوجود ویروس واعمالي که انجام مي دهد ‎DUIS‏ ‏بي اطلاع است. 

صفحه 6:
خطراتی که ما با آن مواجه هستیم 1- برنامه های مخرب ویروسها- ۱۷۷۵0۲۳۸5 ( توجه به حفره ( 2- حمله نفوذ گران و سارقان 3- حملات 05 و ۱۳05 ‎Wireless )‏ ( 5-برنامه جاسوسی ( 5۳۱۷۷۵۲ ) و تروجان ها- روت کیت 6- هرز نامه ‎SPAM‏ و ...۰ ........- 

صفحه 7:
دلایل وجود این حوادت 1- نداشتن نرم افزار قانونی و عدم توجه به کپی رایت در سازمانها و شرکتها 2- حفره هاى نرم افزارى و عدم به روز كردن نرم افزار خارجى ( ايرانى ) 3- عدم دقت در تنظیمات امنیتی برنامه- سيستم عامل- سرور- شبکه- روتر و ... 4-نداشتن مشاوران امنیت اطلاعات در کنار متخصصان 1۲ 5- عدم توجه به امنیت در فرایند مکانیزاسیون سازمان دح 

صفحه 8:
نمودار جضعيت1 10 ) موسسه 66۲( اينترنتو ايميل ‎a TB‏ دسترسى كاركنان به وب == اجازه دستوسى راه دور به شبکه شبكه بى سيم وب‌سایت تعاملی 

صفحه 9:


صفحه 10:
خانه وپروس ا ل ‎Cel ta ee‏ ی دآرد.منتهی این محل باید به گونه ای باشد که ویرروس ها را به وصول اهداف خود نزدیک تر کن | ee ee ee ‏ا‎ wer) RENT EA (CeCe ae Behan SOTA rom ener Annes hb) Pe ha rere erre erences جدول بخش بندي دیسک ۱ eer ee) ‎Ieee es Renton eure RCC)‏ و ‎ED p etcenn ers er ‎ 

صفحه 11:
my ‏سر‎ ایجاد تاخیر یا وقفه در حین عملیات سامانه اعم از اجراي برنامه ها و یا راه اندازي رایانه تخريب يا حذف برنامه ها و اطلاعات بخش هاي مختلف ديسك ها وو يا حتي فرمت كردن ديسك ها 0 ‏ا‎ wg ER) ‏جايي براي اجراي دیگر بر نامه ها نمي ماند و یا باعث‎ ‏اختلال در كار برنامه هاي موجود در حافظه مي شود.‎ ۳ le se) 

صفحه 12:
کلائم ويروسي شدن سامانه فايلهاي ©غ© و0012 رشد مي كنند و حجمشان زياد مي شود ل ل ل ۱ بيغام خطا أز ادامه كار باز مي مالند. ‎p tr]‏ ا 0 ‎ECS MN) Cee TONE Beene Serer‏ زندگي مي کند. يمنال و فا مشکررکر پایین آمدن سرعت در عملیات ساماند. 

صفحه 13:
رد۳ ‎Pe 1‏ ۱ ۱۳7 ‎a nuCs Ser ries ara UC reed‏ ۱ ومروسها اغلب داراى يسوند .6011يا .©)7© هستتد. <ویروس های ماکرو( ۱۷۱۲۷۸565 ۵6۲۵): این وروس ها فایل های بم‌نامه هایی را که دارای زبان ماکرو هستند(مانتد15/! 010لالا واع©<7] 115! و...) آلوده مى كنند. ‎a‏ ا 0ت ا ا ل ‎foe‏ ‏جدول بخش بندى ديسكهاى سخت را آلوده مى كنند. 

صفحه 14:
< ویروسهای اسکریپتی( ۱۷۱۲۷565 60۲۱۳0۲ : این ‎oa ae ey)‏ ۳ جاوامی بان تا در رنه هایی که وی نا ۲ ۱۲۱۲۵۲۲۱6 نصب شده باشد و توانایی اجرای ار مى شوند و فايلهاى ‎Re 3 Anan ۳۳‏ الت می کنند. و ویروسها ممکن است در یک با چند دسته ازدسته هساى زير قرار بكيرند: ‎YI)‏ رت یرت ‎Viruses‏ : BOLD eee nery erat ese eanea eed ee ey LUE er) 

صفحه 15:
‎ocp rele Ayr] Cer yt‏ “لد شك وبروسها يس از هربا رآلوده سازى» با استفاده از ث خود رمزى شكل ظاهرى خود را تغييس مى دهند. ‏0 ا ل | روشهای مختلف ردپای خویش را پاک می کنند و خود را از سامانه عامل و نرم افزار هاى ضد وبروس مخنفى نكّه مى دا رند.آنها درحافظه ‎Ee er‏ ا ل ا ا ل ‎EN)‏ ‏ویمروس به سامانه عامل می دهد را دریافت می کنند وبه این ترتیب ضد 0 ‎an 

صفحه 16:
‎ee MARL ya aan‏ كا ‎Be Ee Wo cra OPES COTE NY WPA CEO EU SPY Le‏ ‏رج بعب هاىئى منطقمر ( 801110 10012 ): برنامه ا ل ا ا ل ‎net er)‏ ل ا ل ل ل ‎Sus‏ بش نمی دهند. ‎Js‏ ار ا ؛برتامه هات هستتد كه مشابه ودروس توان تكفيى كردن خود را دارنده ولی اا مه ها ات ل وسیع خود استفاده می کنند مثل کرم ۲0۷/0001۲ یا لا۷۵ ‎ ‎ ‎ ‎ ‎ 

صفحه 17:
‎ITY‏ لت" ‎ ‎eel mt eS yen‏ بر ‎T DYN)‏ ا ا ل 00 ‏ل ا ل ا ا ا 200 فریب آمییزی » کاربران اینترنت راگول زده و به کام خود می کشد.آنها معمولا ‎Ea Tee eee)‏ | می شوند . پیفام ها می توانند مضمونی تهدید آمین يا محبت آمیین داشته باشند.تخییم پیام و یا ارسال آن بسیار ساده بوده و با دستور لهس ‎SOE Pe ene Ney Crs ote ONEOy Tom Eyer‏ بمب منطقی» یک اسب ترروا و یا یکی از فایل های سامانه ای ویندوز باشد. 

صفحه 18:
ضد ويروس اصطلاحي است كه به بررينامه يا مجموعه اي ان برنامه هااطادق امي شود كه براي محافظت از رايانه ها دن ا ال ا ا ا ضد ویروس موتور اسکن (۴۳90106 5620۳01۳9) آن است.جزئيات عملكريد هر موتورٍ متفاوت است ولي همه آنها وظيفه شناسايي فايل هاي آلوده به ويروس را به عهده دارند ‎ee rer Oe We Sree ED Epo e ey)‏ ۱ قادربه پاكسازي و از بین بردن آن است. 

صفحه 19:
انواع نرم افزارانتي وپروس ‎a‏ از نرم افزارهاي آنتي ويروس عبارتند از: نیم نرم افزار 1101115011130 : نرم افزار نظارت متفاوت از نرم ‎Sr Oa I) 9‏ و ۰ ۱0۲( 0 ۱۳ آنوني مثل 0۷6۳۷۷۲۱۲6 ا دن ‎ene‏ 0 رایانه را تشخیص مي دهد و کشف مي کند ‎IVES TE Tee er wb Slr l Til lil: ie er ie ‏گدهاي ویروس رایاه اي را شناسايي کند و درفايلهاي رایانه به دنبال آن جستجو‎ ‏بیشتر نرم افزارهاي ضد ويروسي از اسکنرهاي 00-06۳0۱۵۲0 و-0۳ 266695 لت استفاده مي كنند. ‎Ves‏ 07-630 : زماني كه كاربر آنها را فعال كند اقدام مي كنند . بكر قي 07-5 : به طورمداوم به دنبال ویروس روي ‎CRIED‏ ‏0 ‎ed ee Pen Pr‏ ا قرار دارند. 

صفحه 20:
رم افزارهای آنتی وی‌وس عموما از دو تکنیک بای تشخیص ویروسها استفاده می کنند: ور 2 ويروسهايي را دارد که شركتهاي آنتي ویروس تا کنون براي آنها امضايا 51017311416 توليد كرده اند. در اين روش ضد ويروس متن فايلهاي موجود دررايانه را هنكامي كه سامانه عامل آنها را بازمي كنديامي بندد ياارسال ميكند امتحان مي كند و آن را به فايل ا ا | 01000 i gary pat) ‏فایل امضای ویروس یک را‎ =a ویروس را به صورت یکنامورد شناسایی قرار داد و از این جهت مشابه اآثر ال 20 

صفحه 21:
اگر یک تکه کد در فايلي با ویروس موجود در فایل امضاي ویروس مطابقت داشت نرم افزار ضد ویروس يکي از كارهاي زیر را انجام مي دهد: *** سعي مي كند تا فايل را توسط از بين بردن ويروس به تنهابي تعمير كند. ESE Te ‏ا ا‎ wr a ‏يل(فايل‎ 9 ene فایل ويروسي و آلوده ۳ و كند. ته دراين تكنيك » فايل امضاي ويروس يا همان ‎Stn UP eee ELAS ees‏ شده » بايد به طور متناوب 14001366 شودتا أخرين اطلاعات را راجع به آخرين ويروسها به دست آورد. كاربران وقتي. وسهاي جديد(ناشناخته) راتشخيص دادندء مي توانندفايل هاي 6 , آلوده را به أنتي ويروس رس 

صفحه 22:
۲ استفاده از الگوریتم اکتشافی (۳۱۵۱۷26۲ ۱516 ۲با۲۱6): وقتي تعداد كدهاي مخرب به بيش از هزاران مورد رسيد و كميانيهاي ضدويروس ديدند كه نمي انند براي هر ويروسء یک امضاي جداگانه تهيه كنندء به فكر اين روش افتادند. اين تكنيك براي كشف ويروسهاي ‎Ir cer ue cevery‏ ف ا ا ا ا 22 24 S eve Pern Pe Ste ae eect oe 

صفحه 23:
‎mates ic Heuristic analysis‏ : شبيد ‎gn ene‏ ا 0 محافظتشده در دلخلماشينمجازيشروع به لجرا ميكند سيسبه برنامه لنتي ‎cerns pe‏ ل ا ۱۳۹ شبیه سازیک ند در حا لک ه کد مشکوک لصلیا زماشين و لقعي کاماهجزا شدم لستوبعدبرفعا لتهایویروسیش‌تکرار کد » ‎eae eran ee te eee‏ الك نظارنميک ند. هیام که ايشتي از آن‌فعالتهايشبه ویروس‌را پیدا کرد» فایلمشکوک عاهتگذاري ‎SePyen‏ و اطلاع داده مي شود. مثلا اگر برنامه اي از ‎rence shee ET Sey)‏ ل ا ‎١ ‏این تکنیک حفاظت پيشتري را در مقابل ويروسهاي جدید تجاري که هنوز‎ ‏وارد پایگاه داده نشانه ها ا 1۱۳ ‎ 

صفحه 24:
‎COME BIEN Oy ey Pel eee‏ ا ل له ‎Instruction Prevention 4‏ رای رم سامانه است که در واقع قبل از آنکه یک کد مخرب حمله خودش را آغاز کنده راه ورود وتخريبش را مى بندد. ‏0 يك فتاورى وب عليه هكرها و ويروسها وكرمهاى 80011655 . ‎ew Lede ICIS Sere)‏ ا ۱ ها موش نیست. 

صفحه 25:
؟. 851012615 واه وا 1۱39 حدود 1 سال بيش به وجود آمدند ومورد توجه قرار نكررفته اند!! اما در سالهاى انيس با يبخش شدن سريع كدهاى مخرب اين روش هم رونق بيدا 0 ‏ا ل ل ل‎ Lee ا لحن ل ل اهم" 31,42: Prehistoric behavior blocke ‏ولقع‎ ‎el (ole <1 ean)‏ ات۱20 ‎PORE rs ‏ا‎ nityer| mayne pes ‏كارب هشدار موداد وبه ا ولختيار ‏انجام یا توقن آن را می داد. 

صفحه 26:
behavior blockers for vba RSP ST eS Bir rset arr mes 5 ۱۳ Drees ‏ا ا ل‎ wr) ‏مخرب وجه رفتارى نيست. ولى اين بلوكرها قدرت تشخيص در مخرب بودن‎ ‏را نسبت به نوع اولیه بيشتر داشتند.‎ Second generation behavior Pere ‏وتا‎ ‎eee eras Sere ster Seater oe ey Rn rere pee eR PuTE ees. Benny Us a4 ‏كيروكاهثمويابد.‎ ‎)7۰/ ‏رخ شناسایی این روش زیاد است . (بیش از‎ 

صفحه 27:
SO) ated cet SYS ‏ا‎ ‎| ‎5 © كند. ی ۴ ۷ 0۵560 20112 : این روش هم یکی از روشهای موش در جلوگیرری از اجرای کد های مخرب از طمریق تعررین ۷ برای منابع به شمار می رود.ش رکت های زیادی از این راهیرد ‎ae eee SEN On| PREY Bs Bvt Tn wr‏ خوب مى تواند از حمله هاى بسيارى از هكرها وكدهاى مخرب جلوكيسى 

صفحه 28:
‎:Check Summing v3) .¥‏ ا ل ال ا ‎Bee CBI‏ از آنکه آنها اجرا شوند مقایسه کند.اگر مجموع (6۱661500) ‎evr ieee eye eon reer rer PCr ane erst ce‏ ۱۳ فقط بعد از زمانى كه وبروس سامانه را آلوده كرده كشف كند. از آنجا كه ‎or‏ ۱ كنند؛ اممروزه اين روش به ندرت استفاده مى شود. ‏هميشه تركيبى از جند روش بكى از راهكار هاى اساسى ‎PY ey‏ ‎ ‎ ‎ ‎ 

صفحه 29:
۱ 0 ee Sele SSCL Se etter See) روا رت واه ۱ طور دستی. "'. ارسال كدهاى مخرب جديد توسط كا ربران از طريق ايميل يا سامانه هاى تعبيه شده درون شرم اضزار: ‎ae‏ ا ال ‎run en ese‏ ل ا الل ‎PES‏ ‏هميشه در پایین تررین سطح امنیتی و بال تررین شانس آسیب پذیر‌ی قررار دارند. ‎PRO Peer ‏ا ا ل ل‎ ‏”. تبادل فايلهاى آلوده بين كميانى هاى ضد وبروس. 

صفحه 30:
1۹ a 5116 CSR a ac ne مج امجدطا. بدمدميا. © علا .اجاج دمج ورصاجمصل. >] ام 000 © ‏ننانتاست:‎ aN eA ann lime ach aU ate ‏تومت‎ ‏و(‎ OR ‏اک‎ Nie ee ee ene ‏0,کتاب ويروسهاي رایانه اي و بيماري فثاوری -نویسنده : رالف بورگر - مترجم : امیر صادقي‎ 

صفحه 31:
ددع۶ با کتالی اد مت ها