واژه نامه:
- Cyclyc Redundancy Check: CRC. يک Hash که در ابتدا براي تشخيص خطا توسعه يافته بود.
- Emulator: يک مکانيزم اجرائي که جاي مکانيزم اجرائي ديگري را مي گيرد. در اين مورد، اصطلاح مذکور عموماً به يک پردازنده و حافظه شبيه سازي شده اشاره دارد.
- Hash: يک تابع رياضي که يک جريان داده با طول اختياري را گرفته و يک مقدار واحد با طول ثابت را توليد مي کند. اندازه و منحصر بفرد بودن مقدار بدست آمده، به تابع Hash بستگي خواهد داشت.
- Heuristic: يک تکنيک حل مسئله که از « حدسهاي آموزش ديده» براي يافتن بهترين راه حل استفاده مي کند. در اين مورد، به شناسائي عناصر احتمالاً مشکوک و انجام تشخيص همانند واقعي که شواهد کافي براي تعيين حضور يک کد خصمانه وجود دارد، اشاره مي نمايد.
- Honey Pot: سيستمي که با هدف وقايع نگاري تلاشهاي انجام شده براي بهره برداري و يا جمع آوري Malwareها نقش يک سيستم آسيب پذير را بازي مي کند.
در طول دو دهه گذشته، فناوري آنتي ويروس، بطور قابل ملاحظه اي تکامل پيدا کرده است. طبيعت متغير تهديدها، تبديل به عاملي محرک براي تحقيق و توسعه( با هدف مبارزه با سيل Malwareهاي جديد) گرديده است.
در حاليکه رويکردهاي متفاوتي در زمينه فناوري اسکن وجود دارد و مطمئناً فروشندگان مختلف، تصميم گيريهاي متمايزي را در حوزه پياده سازي و معماري انجام مي دهند، اما شباهت هاي خاصي نيز وجود دارند که در اکثر اسکنرهاي مدرن آنتي ويروس به چشم مي خورند. ما در اين مقاله يک چشم انداز کلي از تاريخچه فناوري اسکن، توضيحي از متداولترين تکنيک ها و تصويري از پيشرفتهاي احتمالي آينده را در اختيار شما قرار خواهيم داد.
براي آنکه فناوري آنتي ويروس را بهتر درک کنيد، شناخته عرصه تهديدهاي Malware الزامي خواهد بود. بنابراين بايد تعريف مشخصي را براي چند اصطلاح معين ارائه نمائيم:
-Malware( بدافزار): يک اصطلاح عمومي براي تمام دسته بندي هاي نرم افزارهاي بدخواهانه
- Sample: يک قطعه از Malware
-Virus: يک کد با قابليت تکرار خود( Self-Replicating) که ساير فايل ها را آلوده مي کند.
-Worm: يک برنامه با قابليت تکرار و تکثير که کپيهاي کاملي از خود را پخش مي نمايد.
-Trojan Horse: يک برنامه خصومت آميز فاقد قابليت تکرار که تلاش مي کند قانوني به نظر برسد.
- Rootkit: يک برنامه يا مجموعه اي از برنامه ها که ساير برنامه هاي بدخواهانه يا فعاليت هاي سيستم را مخفي مي کند.
-Variant: يک نمونه از Malware که به خانواده بزرگتري از Malwareهاي وابسته تعلق دارد.
موارد فوق الذکر، طبقه بندي هاي اصلي کدهاي بدخواهانه هستند؛ هرچند که در بعضي از موارد، امکان ترکيب اين خصوصيات نيز وجود دارد. هريک از اين انواع کدهاي بدخواهانه مي تواند به شيوه هاي تشخيص و پاکسازي متفاوتي نياز داشته باشد. بعلاوه، نويسندگان Malwareها از تکنيک هاي پنهان سازي و سخت گرداني( Hardening) متعددي استفاده مي کنند که کار تشخيص و پاکسازي را بيش از پيش دشوار مي نمايند. اين تکنيک ها عموماً با به دام انداختن سرويس هاي مختلف سيستم عامل، براي پنهان نمودن حضور Malware يا فعاليت هاي خصمانه و همچنين استفاده از روشهاي پيشگيرانه( نظير بهره گيري از رويه هائي که به فعاليت نرم افزار امنيتي خاتمه داده و در صورت نياز فرآيندهاي خودشان را مجدداً راه اندازي مي کنند).
اسکنرهاي آنتي ويروس، براي آنکه عملکرد خود را بطور صحيح حفظ نمايند به سطح قابل ملاحظه اي از پشتيباني نياز دارند. اگرچه محصولاتي در سالهاي اخير ارائه شده اند که کاملاً رفتارگرا هستند، اما نياز به اسکن مبتني بر امضاء همچنان وجود دارد. به همين دليل، در اختيار داشتن پرسنل و زيرساختار لازم براي جمع آوري نمونه ها( Samples)، تجزيه و تحليل آنها و توليد مجموعه امضاهاي بدست آمده، کاملاً الزامي خواهد بود. اين فرآيند نيازمند مهارت و منابع گسترده اي است. محافظت تأمين شده توسط اسکنرهاي آنتي ويروس، به هر دو جنبه فناوري اسکنر و توانائي مؤسسات تحقيقاتي در زمينه توليد مجموعه امضاها بستگي خواهد داشت. تصور سناريوئي که در آن اسکنرهائي که از نظر فناوري ممتاز هستند، نتوانند به خوبي اسکنرهاي ضعيفي که توسط يک گروه تحقيقاتي بهتر پشتيباني مي شوند عمل نمايند، کاملاً قابل قبول خواهد بود.
اين واقعيت، خصوصيت متمايز کننده اصلي اسکن آنتي ويروس مبتني بر امضاء را نشان مي دهد: يک فرآيند اساساً واکنشي. در حاليکه امکان تشخيص هاي عمومي( Generic) و اکتشافي( Heuristic) وجود دارد، فناوري اسکن آنتي ويروس تا حدود زيادي بر تشخيص و حذف تهديدهاي شناخته شده، تکيه دارد. مزاياي اين روش عبارتند از افزايش قابليت پاکسازي، سرعت و تعداد کمتر تشخيص هاي مثبت اشتباهي ( False Positive).
شکل [1] يک سيکل عرضه نمونه را براي مجموعه هاي امضاء نشان مي دهد.
طبيعت Malware، نويسندگان Malware و محققين آنتي ويروس، بطور چشمگيري در طول سالهاي متمادي تغيير کرده است.
در حاليکه در ابتدا بعضي پرسشهاي قانوني در رابطه با طبيعت کدهائي با قابليت خود تکراري وجود داشت، به سرعت مشخص گرديد که چنين کدي مي تواند شديداً خطرناک باشد. به همين دليل، اکثر نويسندگان Malwareها افرادي بودند که با فعاليتهاي ناهنجار و تبهکارانه سر و کار داشتند. رسوائي، يکي از عوامل محرک اصلي به حساب مي آمد. با اينحال، وضعيت مذکور در سالهاي اخير به تدريج کمتر و کمتر ديده مي شود. حالا اکثر Malwareها به نتيجه کار گروه هاي کاملاً سازمان يافته اي به حساب مي آيند که به دنبال سود مالي هستند. بطور جالب توجهي، اين تغيير باعث فرونشاندن طغيان شده است. نويسندگان Malwareها امروزه انگيزه بسيار محکمي براي ايجاد Malwareهاي خاموش و بي صدا و اجتناب از جلب توجه درباره آنها دارند. اين روش باعث مي شود که فرآيند تشخيص و پاکسازي Malware بسيار دشوارتر باشد. شيوه هاي پنهان سازي و سخت گرداني که زماني به ندرت مورد استفاده قرار مي گرفتند، امروزه کاملاً متداول شده اند.
تکامل فناوري اسکن
در سالهاي اخير، فناوري آنتي ويروس توجه خاصي را در خارج از جوامع تحقيقاتي و فروش به سمت خود جلب نموده است. سرويس هائي نظير VirusTotal و رقابتهائي نظير Race To Zero، مباحث مرتبط با آن را به حوزه گسترده تري از مخاطبان کشانده اند. با اينحال، بعضي تصورات غلط نيز در اين بين وجود داشته است: خصوصاً اين ايده که اسکن مبتني بر امضاء، صرفاً با اسکن براي يافتن رشته هائي از بايتها در داخل يک فايل انجام مي شود. در حاليکه اين تکنيک عموماً براي اولين نسل از اسکنرها بکار گرفته مي شد، اما همه چيز در طول 20 سال گذشته بطور چشمگيري تکامل پيدا کرده است. در زير يک فهرست با ترتيب زماني از پيشرفتهاي مهم بدست آمده در حوزه فناوري اسکن را مشاهده مي کنيد. ممکن است فروشندگان مختلف اين تکنيکها را در زمانهاي متفاوتي در محصولات خود پياده سازي کرده باشند:
- اسکن رشته
- اسکن هوشمند رشته
- اسکن هوشمند Hash/CRC
- تشخيص عمومي
- تشخيص اکتشافي( Heuristic)
- تقليد( Emulation) و Unpacking
اسکن رشته
اولين تکنيک اسکني که مورد استفاده قرار گرفت. اينکار به دلايل متعددي الزامي بود: سرعت، اندازه مجموعه امضاء و اين واقعيت که بسياري از ويروسهاي اوليه عملاً« آلوده کننده هاي فايل» بودند. به همين دليل، تلاش براي انجام يک اسکن کامل فايل کاملاً غيرعملي بود. از آنجائيکه رشته هاي معيني از بايتها در هر فايل آلوده شده وجود داشتند، اين يک قدم منطقي بود که اسکن تنها براي کوچکترين قطعه ممکن از يک فايل که مي توانست تشخيص صحيح را ايجاد نمايد، انجام شود.
اسکن هوشمند رشته
در حاليکه اسکن رشته نقطه شروع طبيعي به حساب مي آمد، فضاي زيادي را براي پيشرفت و بهبود باقي گذاشته بود. شيوه هاي بعدي هنوز با رشته هائي از بايتها سر و کار داشتند، اما اين ايده را با يک روش هوشمندانه تر پياده سازي مي کردند. براي مثال، ساختار فايل نيز در نظر گرفته مي شد. ويروسها معمولاً فضاي استفاده نشده داخل يک فايل اجرائي را آلوده نموده و يا تغييراتي را در آن اعمال مي کردند تا کد خودشان را اجرا نمايند. اين عوامل، قسمت هائي از يک فايل که بايد براي دستيابي به يک تشخيص دقيق اسکن مي شدند را بهتر هدفگيري مي کرد.
اسکن هوشمند Hash/CRC
اين تکنيک با استفاده از Hashها و CRCها براي اجتناب از نياز به انطباق هائي با رشته هاي طولاني و Wild-Cardها، سر و کار دارد. اين روش، با ايجاد يک Hash يا CRC از کل فايل تفاوت دارد. در مقابل، يک توالي منحصر بفرد بايت ها از اسکن هاي سبک رشته اي اوليه که در بالا به آنها اشاره کرديم، براي ايجاد Hash يا CRC مورد استفاده قرار مي گيرد. اين روش هنوز قادر به شناسائي منحصر بفرد Malware مي باشد، اما زمان اسکن را کاهش داده و بهينه سازي بهتر مجموعه امضاء را امکانپذير مي سازد. بعنوان بخشي از مرحله پيش از اسکن، فايلي که بايد اسکن شود مي تواند در معرض پردازشي قرار گيرد که زمان کلي اسکن را کاهش داده و مجموعه امضاء را بر حسب تشخيص هاي احتمالي، خلاصه خواهد نمود.
تشخيص هاي عمومي
يک جنبه مهم از اسکنرهاي آنتي ويروس مدرن، توانائي انجام تشخيص هاي عمومي است. Malwareهاي نيرومند و فعال غالباً داراي چندين گونه متفاوت هستند.
نويسندگان Malware مي توانند از يک نمونه موجود بعنوان يک نقطه شروع براي اضافه نمودن ويژگيهاي جديد، صرفه جوئي در زمان و يا صرفاً اعمال تغييراتي که يک امضاء موجود را باطل و بي اعتبار مي نمايند، استفاده کنند. با اينحال، Malware بدست آمده هنوز مي تواند بعنوان يک عضو از يک خانواده بخصوص شناسائي شود.
بنابراين، امکان دستيابي به تشخيص هاي عمومي( Generic) فراهم مي گردد. از نظر پاکسازي و اطلاعات، بسيار مطلوب تر است که به دقيق ترين تشخيص ممکن برسيم. با اينحال، تشخيص هاي عمومي براي تأمين درجه اي از محافظت در برابر Malwareهاي جديد از اهميت بالائي برخوردارند. حتي اگر نمونه به تازگي ايجاد شده باشد، امضاهاي عمومي مي توانند تشخيص لازم و در بعضي از موارد حتي قابليت هاي پاکسازي را نيز فراهم کنند.
تشخيص هاي اکتشافي( Heuristic)
تشخيص اکتشافي در اسکنرهاي آنتي ويروس مي تواند يک موضوع گيج کننده باشد. بسياري از فروشندگان، قابليت هاي تشخيص اکتشافي را در طول ده سال گذشته ارائه کرده اند. با اينحال، اين نوع تشخيص محدودتر از چيزي بود که اخيراً تحت عنوان «اسکن مبتني بر رفتار» تشريح مي شود. با توجه به طبيعت تهديدهاي مدرن، تمرکز بيشتر بر اسکنرهاي رفتاري قرار گرفته است. با اينحال، اين اسکنرها از تشخيص اکتشافي مبتني بر امضاء، متمايز هستند.
تشخيص اکتشافي در اسکنرهاي آنتي ويروس، معمولاً به شناسائي خصوصيات معيني که در طول يک اسکن درباره کد قابل مشاهده هستند، محدود مي شود. گروه هاي معيني از رفتارها، ذاتاً مشکوک هستند. براي مثال، برنامه اي که از بخش کد خود، بعنوان مرجعي براي يک عمليات نوشتن بر روي يک فايل موجود ديگر استفاده مي کند. اينگونه خصوصيات، قابل شناسائي و ارزيابي هستند تا تعيين گردد که آيا از يک آستانه تشخيصي از پيش تعريف شده فراتر مي روند يا خير. اين فناوري در عين حال براي تشخيص انواع معيني از اسبهاي تروا( معمولاً Key-Loggerها، Auto-Dialerها و امثالهم) مورد استفاده قرار مي گيرد. با اينحال، تعيين طبيعت دقيق کدي که تکثير و تکرار نمي شود، مشکل بسيار دشوارتري است. اسکنرهاي رفتاري فوق الذکر، تلاش مي کنند تا اين مشکل را برطرف نمايند.
Emulation و Unpacking
اسکنرهاي آنتي ويروس مدرن براي آنکه کارآمد باشند، نيازمند بکارگيري اقدامات متقابل در برابر تکنيکهاي مختلف پنهان سازي و Hardening هستند. متداول ترين روش در بين اين تکنيکها، Packing است. Packer ها ذاتاً خصمانه نيستند. آنها در اصل براي صرفه جوئي در زمان در دوراني که فضاي ديسک سخت کامپيوترها بسيار گرانتر از امروز بود، توسعه يافتند. آنها بطور کارآمدي شامل يک برنامه فشرده سازي هستند که در باينري اصلي جاسازي شده است. ريشه Unpacking به بدنه اصلي کد( با کد فشرده سازي شده واقعي) تبديل مي گرديد. هنگاميکه برنامه اجرا مي شد، اين ريشه برنامه اصلي را در حافظه Uncompress نموده و سپس کنترل اجرا را به آن تحويل مي داد. متأسفانه اين فناوري داراي يک کاربرد ناخوشايند است: از آن براي مغلوب نمودن تشخيص مبتني بر امضاء استفاده مي شود. از آنجائيکه بدنه کد اکنون متفاوت است، يک امضاي استاندارد تنها با بهره گيري از تکنيک Packing يا Repacking يک باينري کاملاً بي فايده خواهد شد.
به منظور برطرف نمودن اين مشکل، اسکنرهاي آنتي ويروس مدرن غالباً مقلدها( Emulator) يا روتينهاي Unpacking اختصاصي را بکار مي گيرند تا بتوانند مجموعه امضاهاي خود را بر روي باينري آشکار شده ( De-Obfuscated) اعمال نمايند. فروشندگان آنتي ويروس غالباً مقدار قابل ملاحظه اي از منابع توسعه را براي ايجاد يک CPU مجازي سازي شده و يا احتمالاً يک محيط بزرگتر هزينه مي کنند تا اسکنر بتوانند يک باينري استتار شده را تا زمانيکه تصوير آن در يک وضعيت قابل اسکن قرار گيرد، اجرا نمايد.
جزئيات زيرساختار امضاء
بسته به روش پياده سازي اسکنر، روشهاي متنوعي براي مشخص نمودن امضاها وجود دارند.
زبان امضاء
بعضي از اسکنرها از يک زبان تعريف اختصاصي استفاده مي کنند که براي موتور اسکن قابل خواندن است. دسته اي از آنها نيز از يک زيرمجموعه از زبانهاي شناخته شده متداول نظير C استفاده مي کنند. حتي ممکن است گروهي از اسکنرها، از نوشتن مستقيم کد اسمبلي براي اين منظور استفاده نمايند. هريک از اين روشها داراي محاسن و معايب خاص خود است، اما تمام آنها بايد بتوانند عملکرد لازم براي تشخيص قابل اعتماد Malwareها را فراهم کنند.
اگر يک زبان اختصاصي براي اين منظور توسعه يافته باشد، ويژگي هاي آن بايد حداقل شامل قابليت هاي متنوع انطباق الگوي Wild-Card، دستورالعملهاي Branching، دستورالعملهاي شرطي و حسابي باشند. بعلاوه پياده سازي امکانات ماکرو براي عملکردهاي متداول و همچنين يک اينترفيس تابع خارجي براي مواردي که فراخواني توابع خاص سيستم عامل ضرورت پيدا مي کنند( براي مثال، شمارش يا حذف مقادير رجيستري بر روي سيستمهاي Win32) نيز از اهميت خاصي برخوردار است.
کامپايلر امضاء
علاوه بر توسعه خود زبان امضاء، بايد يک کامپايلر را در اختيار داشته باشيم که مجموعه امضاي نهائي را در يک قالب مناسب براي توزيع، توليد مي کند. اين موضوع براي اطمينان از عملکرد و يکپارچگي مجموعه امضاء، ضرورت خواهد داشت. در مورد سلامت و يکپارچگي، بسيار مهم است که امضاء در يک وضعيت عملياتي و بدون تغيير قرار داشته باشد. در اين بخش مي توان از امضاي ديجيتال و يا شيوه هاي ديگري استفاده کرد. در هر صورت، به قالب هائي از رمزنگاري، تلفيق( Compilation به يک فرم باينري) و يا ساير بررسي هاي يکپارچگي نياز خواهد بود. عملکرد نيز يک موضوع قابل توجه براي کامپايلر است. در حاليکه توليد کوچکترين فرم از امضاء به خودي خود از اهميت بالائي برخوردار است، اما کامپايلر در عين حال بايد تضمين نمايد که مجموعه امضا در قالبي است که مي تواند بهترين زمانهاي اسکن را توليد کند. در طول مدت يک اسکن، فرصتهاي زيادي براي دستچين کردن مجموعه باقيمانده از کانديداهاي تشخيص وجود دارد. طراحي زبان امضاء و همچنين موتور اسکن بايستي در هنگام توسعه کامپايلر در نظر گرفته شود.
بروزرساني هاي مجموعه امضاء
بروزرساني هاي مجموعه امضاء، يک مسئله دشوار و بسيار مهم براي فروشندگان آنتي ويروس به حساب مي آيد. يکي از اولين گامهاي مشکل ساز، زماني بود که اندازه مجموعه هاي امضا از ظرفيت يک ديسک فلاپي 1/44 مگابايتي فراتر رفت. در حال حاضر به هيچوجه غيرطبيعي نيست که اندازه مجموعه هاي امضا به چند ده مگابايت برسد. در حاليکه سرعت معرفي Malwareهاي جديد همچنان به افزايش خود ادامه مي دهد، اين مشکل نيز تشديد مي گردد. با در نظر گرفتن شرايط، نياز به انتشار مجموعه امضاهاي بزرگتر با فاصله گذاري نزديکتر باعث مي شود که مشکلات مربوط به شيوه هاي تحقيقاتي، محدوديتهاي زيرساختاري، پهناي باند و نياز به اتوماسيون برجسته تر گردند. فروشندگان مختلف، روشهاي متفاوتي را در پبش گرفته اند که مي توانند شامل تکنيکهائي نظير بهينه سازي بيشتر مجموعه امضا و موتور اسکن، بروزرساني هاي افزايشي( Incremental) و يا تغيير جنبه هاي معيني از مجموعه هاي امضاء براي تبديل شدن به يک سرويس شبکه( مثلاً در يک Cloud) باشند.
جزئيات فرآيند ايجاد امضاء
ايجاد امضاء يکي از وظايف اصلي بخش تحقيقات يک فروشنده آنتي ويروس به حساب مي آيد. بديهي است که يک اسکنر درست به اندازه مجموعه امضاي خود، خوب خواهد بود. به همين دليل، استحکام و قدرت فرآيند ايجاد امضاء و اجراي روان آن از اهميت تعيين کننده اي برخوردار خواهد بود. اين فرآيند با جمع آوري نمونه ها آغاز مي شود. نمونه ها مي توانند توسط مشتريان يا عموم مردم ارسال شده، در بين محققين تبادل گرديده و يا از طريق Honey-Potها جمع آوري شده باشند. بخشهاي تحقيقات غالباً حداکثر نمونه هاي ارائه شده را مي پذيرند. بنابراين لازم است که موارد بي خطر از نمونه هاي احتمالي تفکيک شوند. پس از آنکه يک نمونه احتمالي شناسائي گرديد، مورد تجزيه و تحليل قرار مي گيرد. اين تجزيه و تحليل مي تواند بطور خودکار، دستي و يا بصورت ترکيبي از هر دو انجام شود. پس از آنکه يک مورد ارائه شده بعنوان يک نمونه واقعي از Malware جديدي شناسائي گرديد، امکان ايجاد يک امضاء از آن وجود دارد. اين فرآيند با يافتن خصوصيات منحصر بفرد نمونه و توضيح آنها در زبان امضاء، سر و کار دارد. سپس، امضاي جديد مي تواند در قالبي کامپايل شود که براي اسکنر قابل استفاده است. در موارد پيچيده، يک محقق بايد خصوصيات منحصر بفرد را شناسائي کرده و آنها را بطور دستي تشريح نمايد. با اينحال، در بعضي از موارد اين فرآيند مي تواند بطور خودکار انجام شود. پس از آنکه امضاي مورد نظر ايجاد شدف مورد آزمايش قرار مي گيرد. فرآيند آزمايش معمولاً شامل تأييد تشخيص نمونه جديد توسط امضاء و همچنين بررسي اين موضوع است که امضاي مورد نظر هيچ آلارم مثبت اشتباهي را ايجاد نمي کند. در نهايت، امضاي جديد به مجموعه امضاء اضافه مي گردد.
جزئيات فرآيند اسکن
پيش از تشريح فرآيند عملي اسکن، بد نيست به دو روش متداول آغاز اسکن يعني« زمان دسترسي »( On-Access) و « زمان درخواست »( On-Demand) اشاره کنيم.
انواع اسکن
اسکنرهائي که از اسکن زمان دسترسي پشتيباني مي نمايند، بر توابع مختلف سيستم نظارت مي کنند تا يک اسکن را پيش از راه اندازي يک فايل اجرائي و يا يک سند حاوي ماکرو اجرا نمايند. اگر يک Malware در اين اسکن تشخيص داده شود، فرآيند راه اندازي فايل مورد نظر متوقف خواهد شد. اسکن زمان درخواست، صرفاً اسکني است که توسط خود کاربر اجرا مي شود.
دسته بندي انواع فايل
قابليت دسته بندي قدرتمند انواع فايل براي يک اسکنر آنتي ويروس با کيفيت بالا از اهميت حياتي برخوردار است، چه از نظر عملکرد( خصوصاً در دستچين کردن کانديداهاي تشخيص که قبلاً به آن اشاره کرديم) و چه در توانائي تشخيص انواع مختلف Malware. انواع مختلف فايلهاي اجرائي، حتي در ميان نسخه هاي متفاوت فرمت اجرائي قابل انتقال، داراي وروديها و يا فيلدهاي نسبتاً متفاوتي هستند که اگر در طول فرآيند اسکن در نظر گرفته نشوند، مي توانند مشکلاتي را در زمينه تشخيص و پاکسازي بوجود آورند. ويروسهاي ماکرو در انواع گوناگون فايلهاي سندي، چالش ديگري را به همراه دارند. بدست آوردن اطلاعات دقيق دسته بندي در ميان نسخه ها و انواع سندها براي تضمين تشخيص و پاکسازي دقيق از اهميت بسيار بالائي برخوردار خواهد بود.
تقليد( درصورت نياز )
اگرچه اين يک واقعيت است که بعضي از فروشندگان از مدتها پيش Emulator ها را در محصولات خود پياده سازي کرده بودند، اما اين فناوري در سالهاي اخير توجه فراواني را به خود جلب کرده است. اين وضعيت بخاطر افزايش چشمگير استفاده از Packerها و ساير شيوه هاي مبهم سازي، پيش آمده است. گرايش اخير به سمت Polymorphism سمت سرور( استفاده از يک اسب ترواي Downloader که يک فايل اجرائي خصمانه سفارشي يکبار مصرف را به ميزبان آلوده مي کشاند) اهميت Emulatorهاي قابل اعتماد و پيشرفته را برجسته تر کرده است.
مرحله تقليد در عين حال تا حدودي با مرحله دسته بندي فايل ترکيب شده است. اگر يک نوع فايل قابل شناسائي نبوده و در عين حال از يک Packer که خود را در داخل فايل معرفي مي نمايد نيز استفاده نکند، خصوصيات ديگري وجود دارند که بررسي آنها امکانپذير خواهد بود. حتي اگر امکان تعيين اين موضوع که فايل Pack و يا مبهم سازي شده است با يک اسکن ثابت وجود نداشته باشد، تلاش براي انجام ديناميک اينکار با يک Emulator ارزش تلاش را خواهد داشت. اگر مشخص شده باشد که يک فايل اجرائي Pack يا مبهم سازي گرديده است و Emulator توانسته باشد آن را به يک فرم قابل اسکن درآورد، بقيه مراحل اسکن طبق معمول ادامه پيدا خواهند کرد.
پيمايش ساختار فايل
پيمايش ساختار فايل در طول اسکن، بطور نه چندان تعجب آوري، با دسته بندي نوع فايل رابطه دارد. بخش تحقيقات بايد با تيم توسعه موتور اسکن و تيم زبان امضاء به همکاري بپردازد تا تضمين نمايد که با رشد و تکامل Malware و انواع فايل، ساختار اسکن موجود همچنان قادر به پيمايش و استخراج داده هاي مورد نياز با سرعت و اعتمادپذيري مطلوب را خواهد داشت.
توسعه بهره برداريهاي (Exploit) جديد براي فرمتهائي که قبلاً « امن » در نظر گرفته مي شدند، افزايش استفاده از فناوري مبهم سازي و همچنين افزايش محبوبيت فناوريهائي با قابليت جاسازي کد مرجع، باعث مي شوند تا اين وضعيت بيش از پيش پيچيده گردد. ماکروهاي جاسازي شده در اسناد گوناگون، يک مشکل ويژه را در اين حوزه بوجود مي آورند. از آنجائيکه ماکروها مي توانند با جاسازي يک زبان Runtime کاملاً جداگانه، دايرکتوريهاي داده جاسازي شده اختصاصي و يا ساير ويژگيها سر و کار داشته باشند، توسعه پيمايش فايل مناسب براي نسخه ها و يا سکوهاي ماکروي جديد مي تواند بسيار وقتگير باشد.
تشخيص
نوشتن امضاهاي کارآمد، هم يک علم به حساب مي آيد و هم يک هنر. براي نمونه، تشخيصهاي عمومي يک خط مهم دفاعي را تشکيل مي دهند، اما بايد به دقت آماده سازي شده باشند. اگر اين تشخيص ها بيش از حد عمومي باشند، کارآئي تشخيص بخاطر افزايش احتمال ايجاد آلارم هاي مثبت اشتباه، کاهش مي يابد. از سوي ديگر، اگر آنها بيش از حد خاص باشند، توانائي خود براي شناسائي گونه هاي جديد از يک خانواده مشابه را از دست مي دهند. تشخيصهاي دقيق نيز با مشکل مشابهي مواجه هستند: ممکن است جنبه هائي از يک آلودگي وجود داشته باشند که در هريک از دفعات فعال شدن Malware تغيير کنند، در عين حال ممکن است اين رفتار طبيعي يک گونه بخصوص باشد. در اين حالت، نويسنده امضاء بايد مطمئن باشد که اين موضوع را براي اجتناب از ايجاد آلارم هاي منفي اشتباه ( False-Negative) در نظر گرفته است.
بخاطر مشکلات مذکور، اکثر فروشندگان، يک فرآيند تأييد اعتبار سختگيرانه را براي مجموعه هاي امضاي خود در نظر گرفته اند. اين فرآيندها غالباً با شرايط کاذب و اسکن مجموعه هاي بزرگي از فايلهاي متداول که از سلامت آنها اطمينان حاصل شده است سر و کار دارد تا از ايجاد آلارم هاي مثبت اشتباه، اجتناب گردد. مجموعه هاي داخلي Malware نيز براي بررسي تشخيصهاي از قلم افتاده، نادرست و يا بدون دقت مورد استفاده قرار مي گيرند. البته شيوه هاي خودکار ديگري نيز در اين فرآيند شرکت دارند.
پاکسازي
پس از آنکه يک Malware تشخيص داده شد، استراتژيهاي گوناگوني براي پاکسازي آن وجو دارند. اين استراتژيها دامنه گسترده اي از حذف ساده يک فايل گرفته تا ( در بدترين موارد) عدم توانائي پاکسازي امن را در بر مي گيرند. شيوه اعمال شده معمولاً به نوع Malware که بايد پاکسازي گردد، بستگي خواهد داشت. اسبهاي تروا يا Wormهاي ساده، به آساني قابل حذف هستند. ماکروها و ويروسهاي آلوده کننده فايل بايد از فايل آلوده حذف شوند، در حاليکه تمام تلاش ممکن براي حفظ سلامت خود فايل صورت مي گيرد. در بدترين موارد که با تکنيکهاي پنهان سازي و Hooking پيشرفته سر و کار دارند، ممکن است پاکسازي و حفظ پايداري سيستم امکانپذير نباشد. در اينگونه موارد، ممکن است نياز به بوت از يک رسانه نجات( Rescue Media) که بطور خاصي آماده شده، وجود داشته باشد.
مسيرهاي آينده
در حال حاضر حوزه هاي متعددي براي بهبود اسکن آنتي ويروس مبتني بر امضاء در دست بررسي قرار دارند. بعضي از اين حوزه ها عبارتند از:
شيوه هاي آماري
در سالهاي اخير، تحقيقات و بررسي هاي زيادي در زمينه استفاده از شيوه هاي آماري صورت گرفته اند که غالباً با تجزيه و تحليل بي نظمي( Entropy)براي تشخيص عمومي Packing و طبقه بندي Malware ها سر و کار دارند. مزيت اين روشها در مورد Packing، توانائي تعيين سريع و قابل اعتماد در مواردي که يک فايل Pack شده است( حتي با يک Packer ناشناخته و بدون استفاده از Emulation) را در برمي گيرد. بسته به خط مشي هاي تشخيصي، اين روش مي تواند براي ايجاد يک تشخيص بسيار سريع کافي باشد. با اينحال، بايد به اين نکته مهم توجه داشته باشيد که استفاده صرف از Packing بعنوان معيار تشخيص، يک ايده بسيار بحث انگيز به حساب مي آيد.
در مورد طبقه بندي Malwareها، مشاهده شده است که تنوعهاي متعلق به يک خانواده واحد غالباً داراي سطح مشابهي از پيچيدگي در Gall-graphهاي خود هستند. اين يافته مي تواند به بخشهاي تحقيقاتي براي توسعه سيستمهائي با خودکار سازي بهتر، کمک نمايد.
ادغام بهتر با اسکنرهاي رفتاري
اسکنرهاي رفتاري اخيراً توجه بيشتري را به خود جلب کرده اند که اين موضوع به افزايش چشمگير botها( اسبهاي تروائي که کنترل يک ماشين را در اختيار يک فرد غيرمجاز مي گذارند) مربوط مي شود. اين وضعيت اساساً بخاطر استقرار سريع گونه هاي متعدد و همچنين اين واقعيت که تعيين طبيعت يک برنامه اجرائي قراردادي بسيار دشوار است، بوجود آمده. در نتيجه، بسياري از فروشندگان و محققين از يک ديدگاه لايه بندي شده براي امنيت، حمايت مي کنند. اين ديدگاه با بهره گيري از فايروالها، محافظت در هنگام مرور وب، تجزيه و تحليل رفتاري و اسکن مبتني بر امضاء تکيه دارد. توسعه خط مشي هاي مناسب و شيوه هاي ادغام، چه بر روي دسک تاپ و چه در بخشهاي تحقيقات، عملکرد و کارآئي شيوه لايه بندي شده را بهبود خواهد بخشيد.
Emulation بهبود يافته
درست همانند شرايط Malwareها، مبهم سازي و اقدامات ضد مبهم سازي را مي توان بعنوان يک مبارزه تسليحاتي تشريح نمود. فروشندگان، Emulation قدرتمندتري را براي تجزيه و تحليل بهتر باينري ها به کار مي گيرند و از سوي ديگر، شيوه هاي بهتري براي مبهم سازي و Hardening نيز در واکنش به آنها توسعه پيدا مي کنند. بنابراين، بهبود در سرعت، قابليت و کارآئي Emulation هميشه از عناوين محبوب در مباحث و تحقيقات به حساب مي آيند.
جمع بندي
بيست سال گذشته شاهد تغييرات چشمگيري در عرصه تهديدهاي Malware و همچنين تغييرات در نحوه مواجهه با اين مشکلات از سوي فروشندگان آنتي ويروس و بخشهاي تحقيقاتي آنها بوده است. اين گرايش بدون ترديد در آينده قابل مشاهده نيز ادامه خواهد داشت. تلاشهاي انجام شده براي ايجاد روشهاي بهتر برنامه نويسي، آموزش کاربران و افزايش استحکام سيستمهاي عامل، همگي به مقابله با تهديدها کمک کرده اند، اما در حال حاضر اسکنرهاي آنتي ويروس مبتني بر امضاء هنوز يک خط دفاعي مهم در برابر Malwareها به حساب مي آيند.
منبع: بزرگراه رايانه، شماره 128.
/ج