ترفند های امنیتی( بخش سوم)
ترفند های امنیتی( بخش سوم)
شناسایی فایلهای هک
وقتي شخصي فايلي را براي شما از طریق یاهو مسنجر ارسال مي كند در پيغامي كه براي شما مبني بر تاييد آن مي آيد نام شخص فرستنده نام فايل حجم آن و همچنين فرمت و از اين قبيل اطلاعات در آن قيد شده است . شما بايد توجه داشته باشيد كه آيا فايلي كه براي شما ارسال شده از لحاظ نوع و فرمت همان فايلي است كه قرار بوده ارسال شود يا خير ؟ در حقيقت مثلا اگر عكسي مي خواهيد دريافت كنيد ايد فايل مربوطه پسوند JPG و يا يكي از پسوندهاي فايلهاي گرافيكي را داشته باشد.
نه اينكه فايلي با پسوند اجرايي Exe و يا Bat براي شما ارسال شود و فرستنده هم مدعي باشد كه اين يك فايل تصويري است.
در واقع فايلهاي هك كه با نرم افزارهای تروجان ساز ساخته مي شوند ، در قسمت پسوند داراي پسوندهايي مثل SCR يا ExE و ... و يا مثل mypic. jpg.scr مي باشند كه نشان دهنده آن است كه فايل فرستاده شده يكي از انواع فايل هاي ساخته شده توسط نرم افزارهای مخرب است كه براي بدست اوردن پسورد شما مي باشد.
بنابراين همواره نوع پسوند فايلهاي دريافتي را زير نظر داشته باشيد و بدانيد كه از اين طريق و قبل از هر چيز (حتي قبل از استفاده از نرم افزارهاي ضد هك و ضد ويروس) مي توانيد تا حد زيادي از كيفيت نوع و چگونگي عملكرد و ماهيت يك فايل اطلاع حاصل كنيد.
فرضأ مطمئن باشيد كه يك فايل ويروسي نباشد ميتواند پس از اجرا بلا هاي ناخواسته برسر سيستم شما بياورد.
فرستادن چندین pm به یک شخص در یک لحظه!
تنها كافيست كه در قسمت : send to در yahoo messenger جلوي id طرف shift رو بگيريد بعد 2 تا + بذاريد مثلا ((++ send to:Naslejavan )) بعد در قسمت text box (همان قسمتي كه مي نويسيد) برويد و همزمان كليد هاي shift و enter و هر حرفي كه دلتون ميخواد رو بزنيد اين كار بايد خيلي سريع انجام بشه مثلا 30 دفعه پشت سر هم چنين كاري رو كنيد. حالا براي طرف به تعداد دفعاتي كه اين كار ميكنيد صفحه باز ميشه اگر چنين كاري رو بيش از 100 مرتبه انجام بديد ممكن كه كامپيوتر طرف هنگ كنه! اگه بخواهيد ببينيد كه چه اتفاقي براي طرف ميفته ميتونيد id خودتون رو امتحان كنيد.
فعال سازی قابلیت مقابله با هکرها در ویندوز XP
برای فعال سازی آن:
2- بر روي Network and Internet Connections کليک کنيد.
3- سپس Network Connections را انتخاب کنيد.
4- حال بر روي اتصال اينترنت خود، کليک راست کرده و از منوي باز شده Properties را انتخاب کنيد.
5- از Tab, Advanced گزينه ي Internet Connection Firewall را فعال کنيد.
6- بر روي OK کليک کنيد.
فوت و فن های آنتی ویروسها
اشاره :
ضدويروسها چگونه كار ميكنند؟
پس از آشنايي با خصوصيات يك ضدويروس، واژگاني كه در اين زمينه استفاده ميشود، را خواهيد شناخت. اينكه بدانيد ضدويروس چه كارهايي ميتواند انجام بدهد و چه كارهايي نميتواند انجام دهد، به شما كمك ميكند كه انتظارات معقولي از آن داشته باشيد.
يك ضدويروس چگونه ويروسها را شناسايي ميكند؟ روشهاي مختلفي براي شناسايي ويروسها وجود دارد.
ويروسها (بهطور معمول) چيزي بيشتر از كد يك برنامه نيستند. بنابراين اگر ما بدانيم كه هر كدي چه كاري انجام ميدهد قادر خواهيم بود كه كد حامل ويروس را به محض رويت شناسايي كنيم.
اين كار اولين عملي است كه انجام ميگيرد و به نام Signature Matching معروف است.
نرمافزارهاي ضدويروس كه به اين روش كار ميكنند داراي يك بانك اطلاعاتي هستند كه شامل Virus signature ها است و به محض اينكه كدي را ملاحظه كرد كه معادل يكي از ركوردها باشد آن را به عنوان ويروس شناسايي ميكند. به نظر ميرسد كه موثرترين راه براي كشف ويروسها همين باشد. روش فوق ذاتاً بهگونهاي است كه اول ويروس را شناسايي ميكند و بعد متناظر با آن يك ركورد ( virus signature ) به بانك اطلاعاتي اضافه ميكند و حالا اگر ويروسي پيدا كند، در صورتيكه متناظر با اين ويروس ركوردي در بانك اطلاعاتي باشد قادر به شناسايي آن خواهد بود و همين امر ايجاب ميكند شركتهايي كه از اين فناوري در نرمافزار خود استفاده ميكنند مدام آن را بروز نگه دارند. به هر حال اين يك نقطه ضعف ميباشد و براي فائق آمدن بر آن دو روش ديگر در نرمافزارهاي ضدويروس معرفي شده است.
1- Heuristic method (روش مكاشفهاي)
اين كار با استفاده از يك بانك اطلاعاتي كه ركوردهاي آن حاوي Virus behavior signature ميباشد قابل انجام است. ركوردهاي اين بانك اطلاعاتي امضاي ويروس خاصي را نگهداري نميكنند بلكه بيشتر رفتارهاي (رفتار بد) ويروسها را ذخيره ميكنند. مثلاً اينكه هر كجا تشخيص بدهند كدي قصد پاك كردن Boot Sector را دارد از آن جلوگيري ميكنند.
الگوريتمهاي Heuristic به دو صورت پيادهسازي ميشوند:
● اگر تكنولوژي Heuristic كد هر برنامه را با Virus behavior Signature مقايسه كند و مورد آناليز قرار دهد آن را روش static heuristic ميناميم.
● در بعضي مواقع اين تكنولوژي قطعه كد را در يك ماشين مجازي اجرا ميكند تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic ميگوييم. اين روش ممكن است نتايج غلطي نيز توليد كند.
2- Integrity checksum (جامعيت سرجمع)
اگر يك كد مزاحم از تمام الگوريتمهاي يك ضدويروس كه تاكنون نام برديم بگذرد، در گام آخر توسط فناوري ديگري به نام Activity Blocker از فعاليت آن جلوگيري ميشود. اين تكنولوژي از تمام فعاليتهايي كه ممكن است توسط يك كد مخرب صورت بپذيرد جلوگيري ميكند مثلاً اگر تشخيص دهد كه هاردديسك در حال فرمت شدن است از آن جلوگيري ميكند.
يك ضدويروس چه موقع ويروسها را شناسايي ميكند؟ معمولاً ضدويروسها به دو روش ميتوانند ويروسها را شناسايي كنند.
در روش اول ضدويروس، به صورت Real Time (بلادرنگ) و همان موقع كه فايل مورد دسترسي قرار ميگيرد عمل ميكند. در اين روش، ضدويروس درون حافظه مقيم ميشود و تمام فعاليتهاي مربوط به سيستم را مورد ارزيابي و بررسي قرار ميدهد. اين نرمافزارها با همكاري سيستمعامل متوجه ميشوند كه هماكنون قرار است فايلي مورد دسترسي قرار بگيرد. سريعاً اين فايل را بررسي و نتيجه را گزارش ميدهند. به اين روش on-access ميگويند.
مزيت اين روش در ارايه يك حفاظت دايمي است ولي اشكالي كه دارد اين است كه تنها فايلها را به هنگام دسترسي مورد بررسي قرار ميدهد. يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته باشد و در ديسك ذخيره شده باشد، با اين روش قابل شناسايي نيست. در روش دوم اين امكان به كاربر داده ميشود كه خودش نرمافزار ضدويروس را براي بررسي كردن ديسك يا يك فايل به كمك بگيرد. براي اينكه فعاليت فوق بازده بهتري داشته باشد بايد ضدويروس را طوري تنظيم كرد كه در دورههاي زماني معين اقدام به اسكن كند. اين روش به on-demand معروف است.
ضدويروسها چه كارهايي را ميتوانند انجام دهند و چه كارهايي را نميتوانند انجام دهند؟
1- محافظت صددرصدي
به خاطر داريد كه ضدويروسها براي شناسايي يك ويروس بهطور معمول نياز به virus signature دارند و البته هنگامي كه اين signature موجود نباشد از روشهاي heuristic استفاده ميشود كه اين روش نيز هميشه جواب درست را برنميگرداند. با اين همه، ضدويروسها در مقابل ويروسهاي شناخته شده (بيش از60 هزار عدد) يك حفاظت همه جانبه از سيستم شما به عمل ميآورند.
بيشتر ضدويروسها در صورت بروز و ظهور يك ويروس جديد قادر خواهند بود كه به سرعت آن را شناسايي كنند و سيستم شما را از وجود اين ويروس پاك نگه دارند.
2- بازسازي فايلهاي ويروسي شده
بعضي از ويروسها مانند ويروسهاي ماكرويي به راحتي توسط نرمافزار ضدويروسي تشخيص داده ميشوند و از فايل بيرون كشيده ميشوند و پاك ميشوند. اين فايلها هيچ آسيبي به فايل ميزبان خود نميرسانند.
اما بعضي از ويروسهاي ديگر نيز هستند كه بر روي فايل ميزبان چيزي مينويسند يا اينكه اصلاً كدويروس را درون فايل ميزبان قرار ميدهند. يكي از انواع اين ويروسها Loveletter است. در اين مورد به وضوح ديده ميشود كه فايل ميزبان قابل بازيابي نيست و تنها راهحل اين است كه اين فايل را پاك كنيم.
دسته ديگري از ويروسها وجود دارند (مانند ويروس Nimda ) كه علاوه بر ايجاد تغييرات بر روي فايل، قابليت دستكاري فايلهاي سيستم و رجيستري را نيز دارند. در اين موارد ضدويروس به تنهايي نميتواند كاري بكند. شما به ابزاري نياز داريد كه بتواند فايل ويروسي را حذف كند و تغييرات اعمال شده در سيستم شما را به حالت اوليه برگرداند. معمولاً اين ابزار كمكي بر روي وب سايتهاي فروشندگان نرمافزار ضدويروس موجود ميباشد.
معيارهاي انتخاب يك ضدويروس
1- شناسايي
پرسش اول: نرمافزار ضدويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد. از اين پارامتر عموماً با نام detection Rate ياد ميشود.
پرسش دوم: نرمافزار ضدويروس تحت چه شرايطي ميتواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضدويروس قابل تشخيص است؟
توصيه هاي مهم
دوم: اگر شما واقعاً ميخواهيد مطمئن شويد كه يك ضدويروس قادر به انجام چه كارهايي است ميتوانيد در سايت www.eicar.org يك سري آزمايشهاي بيخطر جهت آزمايش ضدويروس پيدا كنيد. در اين سايت فايلهاي آزمايشي و بيخطري وجود دارند كه بيشتر ضدويروسها آنها را به عنوان ويروس شناسايي ميكنند.
در اين حالت اگر ضدويروس موفق به از بينبردن ويروس شود چه بهتر و چنانچه نتواند، شما هيچگونه اطلاعاتي از دست نخواهيد داد. بدينترتيب ميتوانيد يك روش امن براي آزمايش ضدويروس به كار ببنديد.
سوم: شما ميتوانيد از منابع موجود كه قبلاً اين كار را انجام دادهاند استفاده كنيد. بعضي از سازمانها، متولي انجام همين فعاليت ميباشند. ليستي از ويروسها توسط http://www.wildlist.org/ <http://www.wildlist.org/> نگهداري ميشود. در اين سايت ميتوانيد ببينيد كه detection Rate يا نرخ شناسايي هر ضدويروس چقدر است.
اين سايتها نيز براي اين منظور مفيد ميباشند:
http://www.virusbtn.com
اين سايت، آماري از توان ضدويروسها براي شناسايي ويروسهاي موجود در سايت wildlist (در دو مورد on-demand,Real-time ) را اراعه ميكند.
www.chech-mark.com/cgi-bin/Redirect.pl
در اين سايت ضدويروسها در دو سطح مورد بررسي قرار ميگيرند. سطح اول همان است كه در سايت Virusbtn نيز انجام ميشود يعني فقط شناسايي ويروسها.
نرمافزارهايي در سطح دوم موفق هستند كه قادر به از بين بردن ويروس نيز باشند.
2- امكانات
1- سازگاري سختافزاري و نرمافزاري سيستم شما با ضدويروس انتخاب شده.
در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرمافزار ضدويروس خود را كه تنها با جديدترين سيستمعاملها كار ميكنند، ارايه ميدهند.
بنابراين منطقي به نظر ميرسد كه قبل از اقدام به خريد نرمافزار حتماً به اين نكته توجه كنيد.
2- توانايي پويش( on-Access Real time ) را داشته باشد.
اين يكي از ويژگيهاي اساسي است كه يك ضدويروس بايد دارا باشد. اين بخش نرمافزار باعث ميشود كه نرمافزار ضدويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري ميشود ويروس را شناسايي و خنثي كند.
اين بخش نرمافزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد، Mabter Boot Record) MBR ) و حافظه سركشي كند.
3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستمتان بايد انجام دهيد اين است كه هرازچندگاهي وضعيت سيستم خود را با اجراي ضدويروس بررسي كنيد.
مخصوصاً هنگامي كه آخرين نسخه ضدويروس را دريافت ميكنيد حتماً اين كار را انجام دهيد. سناريوي زير انجام توصيه بالا را توجيه ميكند.
شما يك e-mail دريافت ميكنيد كه اين e-mail شامل يك ضميمه و ويروسي است. منتهي شما اين ضميمه را هيچگاه باز نكردهايد. اجراي ضدويروس بروز شده باعث ميشود كه (احتمالاً) ويروس فوق شناسايي شود.
4- از الگوريتمهاي Heuristic پشتيباني كند.
5- بتواند انواع فايلها با فرمتهاي مختلف را پويش كند.
اگر شما ويروسي در سيستم داشته باشيد كه قادر باشد به هر نوع فايلي بچسبد، نياز به ضدويروسي داريد كه بتواند فايلهاي مختلف با پسوندهاي مختلف را مورد بررسي قرار دهد. قبلاً تنها راه انتشار يك ويروس اين بود كه به فايلهاي برنامهاي بچسبد، اما امروزه اين امكان وجود دارد كه ويروس براي انتشار خودش از فايلهاي غيراجرايي نيز استفاه كند.
6- توانايي جلوگيري از فعاليت اسكريپتهاي مخرب را داشته باشد. بعضي از ويروسها هستند كه با استفاده از اسكريپتها طراحي شدهاند. كرمهاي I Love You از اين نوع است.
موتور ضدويروس بايد اين قابليت را داشته باشد كه كدهاي VBS و JS را شناسايي كند و در صورتي كه آنها را مخرب تشيخص دهد از فعاليتشان جلوگيري كند.
7- توانايي بررسي ضميمه e-mail را داشته باشد.
امروزه بسياري از ويروسها توسط e-mail انتشار پيدا ميكنند.
بعضي از آنها مانند كرم KAK حتي اين توانايي را دارند تا در سيستمهايي كه خوب پيكربندي نشدهاند، بدون اينكه ضميمه e-mail باز شود شروع به انتشار خود بنمايند.
8- قابليت بررسي فايلهاي فشرده را نيز داشته باشد. اگر چه يك ويروس هنگامي كه در يك فايل فشرده قرار دارد نميتواند آسيبي به سيستم برساند ولي بهتر است است كه اصلاً اين ويروس در سيستم شما وجود نداشته باشد.
9- قابليت اين را داشته باشد كه اسبهاي تراوا، جاوااپلتهاي مخرب و اكتيوايكسهاي مزاحم را شناسايي كند. نرمافزارهاي ضدويروس نه تنها بايد اين قابليت را داشته باشند كه ويروسها و كرمها را شناسايي كنند بلكه بايد بتوانند از فعاليتاسبهاي تراوا، اكتيويكسها و اپلتهاي جاوا نيز جلوگيري كنند.
امروزه بيشتر ضدويروسها داراي اين خصوصيت ميباشند.
3- نگهداري از نرمافزار
1- بروز كردن مداوم ضدويروس براي مقابله با ويروسهاي جديد.
در بخشهاي قبل لزوم بروز نگهداشتن بانكاطلاعاتي ضدويروس توضيح داده شد. بنابراين ضدويروس منتخب شما بايد به گونهاي باشد كه به راحتي قابليت روزآمد شدن را داشته باشد و علاوهبرآن بهطور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزمهايي جهت بروز نگهداشتن ضدويروس استفاده ميشود. آيا نسخههاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت ميباشد؟ و آيا شما به راحتي ميتوانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟ اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرمافزار بسيار خستهكننده ميباشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت روزآمد شده نرمافزار دريافت شود.
نكته ديگر اينكه، نويسندگان ضدويروسها چقدر سعي ميكنند تا روشهاي جديدي كه براي توليد ويروسها استفاده ميشود بشناسند و در نرمافزار خود به كار گيرند؟ و نكته مهمتر اينكه از زمان خبر انتشار يك ويروس تا وقتي كه نرمافزار ضدويروس براي اين ويروس بروز شود چقدر طول ميكشد؟
4- نرمافزارهاي ضدويروس چقدر بر كارايي سيستم شما تأثيرگذار ميباشند؟
- آيا نرمافزار ضدويروس باعث كندتر شدن پروسه بوت سيستم شده است؟
- زمان دسترسي به يك فايل را افزايش داده است؟ پس براي انتخاب يك ضدويروس مناسب ناچاريد كه چند آزمايش را انجام دهيد.
مثلاً ميتوانيد زماني كه براي پويشهاي مختلف (تحت شرايط مختلف) توسط يك ضدويروس مصرف ميشود را محاسبه كنيد و در اين مدت، زمان ميانگين استفاده از حافظه و cpu را نيز اندازهگيري كنيد.
يا اينكه زماني كه براي اسكن on-demand نياز ميباشد را براي محصولات مختلف اندازهگيري كنيد.
يا اينكه وقتي كه ضدويروس در حال پويش Real-time ميباشد ببينيد كه باز كردن يك فايل بزرگ چقدر طول ميكشد؟ توجه به اين موضوع كه محيط تست براي همه ضدويروسها كه مورد ارزيابي قرار ميگيرند، مشابه باشد بسيار مهم است از جلمه اينكه:
حجم فايلها و نوع فايلهايي كه براي هر يك از ضدويروسها مورد بررسي قرار ميگيرد مهم است.
هر دو ضدويروس به يك ترتيب و روي يك سختافزار پيكربندي شده باشند.
5- نرمافزار ضدويروس قابل كنترل باشد.
شما بايد بتوانيد بهطور مرتب (هر زمان كه نياز داشتيد) و بدون زحمت زيادي بانك اطلاعاتي خود را كاملتر يا بروز كنيد.
به راحتي بتوانيد از سرورها خود و كلاينتهاي خود محافظت كنيد و گزارشهاي نرمافزار ضدويروس را براي هر كدام از آنها ببينيد.
6- پشتيباني ضدويروس هميشگي و موثر باشد.
فروشنده براي پشتيباني ميتواند خدمات زير را به شما ارايه دهد.
1- قادر باشد كه شما را به صورت on-line پشتيباني كند و اگر شك كرديد كه فايلي حاوي ويروس است، بتوانيد آن را براي فروشنده ارسال كنيد تا نظر خودش را راجعبه فايل بيان كند.
اگر يك ويروس جديد شناخته شود، فروشنده بايد بتواند اين موضوع را به اطلاع شما برساند تا اقدامات لازم را براي خودتان، يا براي شبكهاي كه شما مس وول آن هستيد انجام دهيد.
نتيجهگيري
اطلاعاتي كه فروشنده نرمافزار ارايه ميكند هميشه خوب است ولي انتخاب ضدويروس نبايد تنها براساس ادعاهاي فروشنده باشد.
آنتی ویروسها جادو نمیکنند!
در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.
خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.
آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.
1. چند تکنیک آنتی ویروس Kaspersky :
2. مخفی ماندن :
3. سیستم رادار :
ارسال مقاله از طرف كاربر محترم سايت : zarei6703
{{Fullname}} {{Creationdate}}
{{Body}}