اختر لونك:
وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ وَرَسُولُهُ وَالْمُؤْمِنُونَ ۖ وَسَتُرَدُّونَ إِلَىٰ عَالِمِ الْغَيْبِ وَالشَّهَادَةِ فَيُنَبِّئُكُم بِمَا كُنتُمْ تَعْمَلُونَ [ التوبة : ( 105 )] كلمة الإدارة

يرجى إختيار القسم المناسب قبل النشر وسيعاقب المخالف بإنذار أول مرة وسيتم حظره إذا تكرر ذلك كلمة الإدارة

يُمنع كتابة مواضيع السحر والشعوذة والروحانيات والابراج بكافة الأشكال والمخالف سيعاقب بحظر مؤقت وإذا تكرر سيكون حظر دائم تنبيه هام جداً



أضف رد جديد

قديم 31-03-2019, 09:52 PM   #1
تاريخ التسجيل: Feb 2019
المشاركات: 1,010
التقييم: 10
تاريخ التسجيل: Feb 2019
المشاركات: 1,010
التقييم: 10
افتراضي بصمة البرمجيات الخبيثة و كفائة برامج مكافحة الفيروسات

قد يتساءل الكثير حول ما هي الطريقة التي تعتمدها برمجيات مكافحة البرمجيات الخبيثة Anti-malware في التعرف على هذه الأنواع من البرمجيات الخبيثة كالفيروسات و برامج التجسس و خلافهما. الحل يكمن في العامل الأقوى في التمييز بين برمجيات مكافحة البرمجيات الخبيثة و يستطيع وحده أن يهوي بإحدى هذه البرمجيات الى الهوة أو يصعد بها عنان السماء. انه “بصمة البرمجيات الخبيئة” أو ما يعرف بـ malware signature

تستطيع من كلمة “بصمة signature” ان تأخذ فكرة أولية عن كون هذه المصطلح يشير الى علامة مميزة تميز هذه البرمجية الخبيثة عن غيرها من البرمجيات كما تميز بصمات الأصابع و قرنية العين أي إنسان عن آخر. و لكن كيف نستطيع تمميز بصمة للبرمجيات الخبيثة ؟ بل ما البصمة البرمجية software signature في الأساس؟

لفهم هذه الجزئية يتوجب علينا الاشارة الى طريقة برمجيات مكافحة البرمجيات الخبيثة في فحص الملفات, حيث أنها تعتمد في الاساس الى قراءة الملف في صورة أدق من التي كتب بها كفرائته في صورة الكود الثنائي Binary code لكون هذه الوسيلة تعطيه القدرة على تحديد معالم الملف المفحوص بصورة أدق. و هنا تأتي البصمة و هي التي يتم تعريفها بأنها مجموعة من الخانات المتتالية sequence bits التي تميز كود هذه البرمجية عن قريناتها. أي أن الطريقة تقتضي أن كل برمجية ضارة لا بد أن يتم تعريفها عن طريق مجموعة من الخانات bits التي يصعب تواجدها بنفس الترتيب في أي برمجية أخرى. و للتعرف أكثر على بصمات البرمجيات الخبيثة يمكننا أخذ مثال على برمجية klez من نوع الدودة worm و التي يتم التعرف عليه فور العثور على هذه الشيفرة ضمن أي ملف

33be732d4000bd08104000e89eeaffff80bd08104000be7d2d 4000e849eaffff6a00e83500000064756d6d792
e65786500653a5c77696e646f77735c53795374656d33325c6 44c6c63616368655c6464642e65786500ff25
4c404000ff25544040

هل استوعبت الطريقة ؟ الكود السابق من المفترض ألا يتواجد في أي ملف من نوع آخر, و حال تواجده فإن برمجية مكافحة الفيروسات سيقوم بالتبليغ عنه و التعامل معه حسب نوعيته و درجة خطورته. و فيما يلي بعض الأسئلة التي قد تطرح للوهلة الأولى فور استيعابك هذه الطريقة في الكشف عن البرمجيات الخبيثة

الى أي درجة تبلغ دقة البصمة ؟

كلما زادت حجماً كلما كان افضل لتحديد البرمجية المستهدفة و كذلك أسهل على برمجية المكافحة في البحث و التدقيق. لنفترض أن بصمة عبارة عن خانات bits محدودة كما B6A51152, المشكلة هنا أننا قد نصادف آلاف البرمجيات التي تحتوى على هذا الكود نظراً لكونه قصير و احتمالية تكراره كبيرة و هو ما يؤدي بنا الى حالة “التحديد الخاطيء false positive” و التي تعني ان تقوم برمجية المكافحة بالتبليغ عن برمجية صالحة على أنها خبيثة لمجرد احتوائها على بصمة برمجية خبيثة, و هو ما كان يتكرر كثيراً في الماضي نظراً لصعوبة استخلاص بصمات بحجم اكبر من البرمجيات الخبيثة و النتيجة أن تجد ملفات بالجملة قد تم حذفها أو اعطابها من قبل برمجية المكافحة بعد كل مرة تقوم بها بفحص ذاكرة جهازك

هل يجب توفر بصمة فريدة لكل برمجية خبيثة تظهر على الساحة ؟

نظراً لانه في العموم يكون تطوير البرمجيات الخبيثة من قبل أفراد لا مؤسسات, فغالباً ما ترى تكراراً في الخوارزميات المستخدمة في تلك البرمجيات لأن أغلبها ينتج عن أفراد غير متخصصين بدرجة عالية و يستعينون بخبرات سابقة في صنع تلك البرمجيات. و لذلك فلربما اشتركت بصمة واحدة مع آلاف البرمجيات الخبيثة لاشتراكها في جزء من نفس الخوارزمية, و على النقيض لربما نجد بصمة فريدة لبرمجية خبيثة واحدة و هي تلك التي تخرج على فترات متباعدة و من قبل متخصصين يستطيعون ابتكار خوارزمية جديدة لم يتم التعرف عليها من قبل برمجيات المكافحة, و هنا يحدث ما يسمى بـ”التجاهل الخاطئ false negative” و هو ما يعني فحص برمجية خبيثة و عدم التعرف عليها نظراً لعدم توافر بصمة لها. و لذلك يعتمد أصحاب هذه الأنواع من البرمجيات الخبيثة على الاستفادة من الضربة الأولى لأنها تقريباً تكون الأكثر ربحاً نظراً لأنها –عادة- ليست سوي أيام و يستطيع خبراء مكافحة هذه البرمجيات في التعرف على البصمة و يتعطل عمل البرمجية الضارة على نطاق واسع. ايضاً من الجدير بالذكر ان بعض اصحاب البرمجيات الخبيثة يلجأون دائماً إلى استخدام تنقيات التشفير Encryption و التشويش Obfuscation لتغير شكل بصمة البرمجيات الخبيثة حتى لا يستطيع اي من برامج الحماية التعارف عليها .

هل هذه الطريقة مستخدمة الى الآن ؟

نظراً لأن هذه الطريقة تم الكشف عنها لأول مرة في الثمانينات, و على الرغم من قدمها و بدائيتها. فأنها لا زالت الطريقة الأمثل في التعامل مع البرمجيات الخبيثة و المعتمدة الى الآن في كبرى شركات برمجيات المكافحة.

هل يمكنني كمطور الكشف عن بصمة أي برمجية ؟

هناك العديد من الخوارزميات الخاصة بتحدد بصمة أي برمجية و من أشهرها تلك التي اعتمدها باحثو IBM و التي تتطب منك معرفة بالرياضيات و علوم تأمين الحواسب computer security بشكل جيد. و يمكنك البحث عن طرق آخرى تستخدم برمجيات جاهزة كما في هذه التدوينة البسيطة

هل تنصيب برنامج مكافحة على جهازي كاف ؟

عادة. فإن نقطة القوة التي قد تميز أي برنامج مكافحة برمجيات خبيثة عن الآخر هي عكوف فريق عمله على تحديث قاعدة بيانات البرنامج بشكل أسرع كلما ظهر على الساحة أي برمجية ضارة, و لذا فلا نر أي فائدة لبرنامج مكافحة دون تحديث دورى لقاعدة بياناته, و هو لا يتأتي غالباً الا لأصحاب النسخ المرخصة غير المسروقة.
و لكن نظراً لأن البرمجيات الخبيثة منها ما يظهر منه أنواع جديدة يومياً كالفيروسات viruses و تلك ربما تطلب أكثر من تحديث يومياً في حالات الذورة و هي التي كثرت في ظل الهجمات الشرسة التي تعتمد الشبكة العالمية internet لجنى الأرباح بسرعة شديدة قبل الكشف عنها من قبل باحثي برمجيات المكافحة. و منها ما يتطلب منك التحديث على فترات متباعدة كما في برمجيات مكافحة ملفات التجسس و الاعلانات anti-spyware & anti-adware. لذلك عليك الانتباه الى نوعية الملفات التي يكافحها برنامج المكافحة لديك قبل استخدامه.

و أخيراً. فإن مجال مكافحة الفيروسات يعتبر من أسرع المجالات التي تطرأ عليها تغييرات سريعة على فترات متقاربة خصوصاً في ظل هذه الهجمات الشرسة الأخيرة بعد أن أصبح الوصول بالبرمجية الضارة الى مئات الآلاف من الاجهزة خلال دقائق ضرباً من السهولة piece of cake مما يحعلنا معرضين و ملفاتنا و حساباتنا الشخصية على المواقع و أرقام بطافاتنا الائتمانية و خصوصيتنا و غير ذلك مهدد بالانتهاك في أي لحظة هفوة تفتح فيها رابطاً أو تستخدم ذاكرة محمولة تحوى برمجية خبيثة لا يبلغ عنها برنامج المكافحة لديك .. لذلك عزيزى المستخدم لا تملك الا أن تتأكد من حيازتك نسخة مرخصة من برنامج مكافحة فيروسات ذي سمعة حسنة يعكف فريق باحثيه على فحص البرمجيات الخبيثة الحديثة بسرعة شديدة, و حينها لا تنس انت أن تسارع الى تحديث برنامجك كلما طلب منك ذلك , ايضاً لا يجب ان تقوم فقط بالاعتماد على برنامج مكافحة الفيروسات لأنه لا يوفر حماية بنسبة 100% لذلك يجب ان تعتمد على انواع و اساليب اخرى من الحماية مثل الجوء إلى إستخدام Virtualization Envoriment مثل Vmware لتشغيل اي ملفات مشكوك فيها و إستخدام الجدران النارية و انظمة كشف و مكافحة التسلل IDS / IPS و التعرض فقط للروابط و الملفات الموثوق فيها, حيث أن التجربة قد تكلفك الكثير.

الفارس غير متواجد حالياً   اقتباس
أضف رد جديد

الكلمات الدلالية (Tags)
منتديات رحيل, رحيل, شبكة رحيل, r7il, r7il.com


الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)
 
أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة


المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
تحميل برنامج نود 32 انتى فايرس لحذف الفيرسات والبرمجيات الخبيثة القيصر قسم الكمبيوتر وملحقاته 1 27-07-2019 04:59 AM


الساعة الآن 06:51 PM

 


Content Relevant URLs by vBSEO ©2010, Crawlability, Inc.