بحث امروز در مورد یکی از تکنیک های تشخیص عملکرد ویروس ها توسط آنتی ویروس های مختلف است که یکی از چند روشه گفته شده در مطالب قبلی می باشد.

روش تشخیص رفتار ویروس ها یا روش hueristic بر مبنای درک کد برنامه های مورد نظر پایه ریزی شده.به طور کلی این روش برای ویروس های پولیمورفیک و متامورفیک و خود اصلاح به کار میره.

نوع تشخیص:

مخرب های نامبرده هیچکدام در روش های الگویی قابل تشخیص نیستند.پس دنبال راهی میگردیم که بتوانیم کد های این برنامه ها رو تشخیص بدیم.عموماً برای روش تشخیص رفتار ویروس ما بدنبال اثراتی از برنامه مخرب می گردیم تا بتونیم اسم اون برنامه رو(ویروس)یا (مخرب)بگذاریم.در این مورد حدودا 20 پرچم موجود تعریف شده ما رو به سمت تشخیص مخرب بودن و یا نبودن یک برنامه می رساند.البته توجه کنید که فقط یک پرچم و یک اخطار برای تشخیص کافی نیست ولی میانگین پرچم ها به ما اجازه زدن برچسب "مخرب"را میدهد.

این پرچم ها از این قرار هستند:

F=دسترسی مشکوک به فایل ها.برنامه ای که می خواهد به برنامه ای دسترسی پیدا کند

R=نقل مکان.برنامه ای که میخواهد به طور مشکوک نقل مکان کند.

A=درخواست حافظه غیر معمولی.برنامه ای که از روش های غیر استاندارد برای اختصاص دادن حافظه استفاده می کند.

N=ایجاد فرمت مغایر.برنامه ای که دارای فرمت هایی مغایر با استاندارد های ساختاری سیستم است.

S=برنامه ای که به دنبال فایل های اجرایی میگردد.

#=برنامه ای که روش هایی برای رمزنگاری دارد.البته این روش در بسیاری از برنامه ها کاربرد دارد

ٍE=نقطه ورودی متغیر.برنامه ای که آدرس ورودی آن آدرس ورودی یک فایل اجرایی باشد

L=برنامه ای که بارگذاری برنامه دیگر را مختل می کند.

D=برنامه ای برای نوشتن روی دیسک عمل کند شده باشد.

M=برنامه ای که در رم مقاوم شود.یعنی در رم باقی بماند و تغییر آن سخت باشد.

!=برنامه ای که دستوراتی مغایر با اندازه و حدود پردازشگر داشته باشد.

T=برچسب زمانی غلط.بعضی از ویروسها از این تکنیک برای برچسب گذاری فایل های آلوده استفاده می کنند.

J=پرش های مشکوک.برنامه هایی که دارای پرش های نامعین در ابتدای کد خود دارند

?=هدر های اجرایی متناقض

G=دستورالعمل های پاکسازی اضافی.این نوع برنامه ها ممکن است از دستورات garbage به عنوان رمزنگاری استفاده کنند

U=وقفه های بی اساس و بی سند.مثل وقفه های دسترسی به سخت افزار

Z=برنامه هایی که اجرایی بودن و یا نبودن فایل های دیگر را تشخیص می دهند.

o=فایل هایی که قصد دوباره نویسی حافظه را دارند.

B=برنامه هایی که دارای کد های برگشت به ابتدای برنامه هستند.

K=ایجاد صف های غیر استاندارد و اضافی

برای مثال ویروس backfont دارای پرچم های FRALDMUZK است.

در کل اگر ساخت یک آنتی ویروس را دنبال می کنید روش نامبرده یکی از روش های اساسی و مشکل در پیاده سازی آنتی ویروس می باشد.توجه کنید که با آین روش ها می توانید یک قدم از انواع ویروس جلوتر باشید....

سلام

امروز مطلبی در باره تست آنتی ویروس ویندوز 8 براتون دارم.آنتی ویروسی که همون ویندوز دیفندر اسمشه!

با ارائه نسخه جدید ویندوز و شنیدن خبر ارائه آنتی ویروس ویندوز 8 به همراه ویندوز مشتاق دیدن این آنتی ویروس built-in بودیم.

برای تست آنتی ویروس خطرناکترین کار تست ویروس های دم دست هست!!!!برای این کار سایت های زیادی مثل eicar.org راه اندازی شده.EICAR فایل های قابل اطمینان که شبیه سازی شده اند در اختیار قرار می دهد.

در ابتدا فایل تست EICAR باید از سرور آن دریافت شود.هنگام دریافت این فایل خطایی از ویندوز دیفندر ویندوز 8 دریافت می کنید مبنی بر این که این فایل به عنوان فایل مخرب شناخته شده است!موفقیت آمیز بود!!!!تست اول جواب داد حالا تست های بعدی...

تست بعدی باز کردن notepad نوشتن کد جادویی 68 و سپس ذخیره فایل با پسوند COM است.در این مورد فایل را باز میکنیم اما میبینیم که فایل محو می شود!بدون هیچ پیغام و یا اخطاری.در صورتی که باید به عنوان فایل مخرب شناسایی می شد.!××نا موفقیت آمیز××!

همچنین اگر این فایل ذخیره شده را از روی usb مموری اجرا کنیم تنها با خطای win32 معمول مواجه میشیم و نا با خطای نرم افزاری و یا بد افزاری.

تست بعدی تست مدل های آزمایشگاهی ویروسی مربوط 6 و 12 ماه پیش است...البته 50 درصد از این مخرب ها توسط آنتی ویروس به درستی تشخیص داده شد اما هنوز خیلی باید روش کار بشه!

تست 3 فایل مختلف از 3 سیستم عامل مختلف MAC LINUX WINDOWS برای تشخیص کراس پلتفرم با موفقیت انجام شد.البته نتیجه خوبه چون تشخیص ویروس از هر 3 پلتفرم میتونه برای شروع کار مناسب باشه.

پیشنهاد این است که حتما پس از استفاده از ویندوز 8 و آنتی ویروس آن از یک اینترنت سکیوریتی هم استفاده شود چون به نظر میاد که از لحاظ تشخیص مخرب های روی شبکه زیاد قوی عمل نمیکند!

این هم قسمتی از نتایج تشخیص این آنتی ویروس: