Anti.Hack
20-08-2006, 03:09 PM
السلام عليكم،
نعود بعد غيبة بهذا النقاش...
لنمسك بطرف الخيط، ولنتذكر ذاك الصراع الكبير الذي نشب بين برنامجي
Norton AV و McAfee AV ، في بداية الألفية الثانية، أو بمعنى أدق الصراع
الذي كان بين مستخدمي وأنصار البرنامجين، حينها كان هذان البرنامجان متواجدين
في غالبية الأجهزة التي تعمل تحت بيئة ويندوز، في تلك الفترة أيضا كانت إصدارة
ويندوز اكس بي قد بزغت بشكل رسمي، ونحن لسنا على خطأ إن قلنا أن الديناميكية
المختلفة والجديدة نسبيا التي طورها مبرمجو Microsoft في نظامهم الجديد (إكس بي)
قد أثرت وغيرت كثيرا في شعبية بعض مقاومات الفيروسات، أمثال المكافي والنورتن
بالتالي تراجعت شعبية بعضها وارتفعت عند الأخرى، وإنْ لم أكن على خطأ فإن
برنامج KasperSky AV كان أحد البرامج التي ارتفعت شعبيتها بشكل ملموس
ذلك لما أظهره من خفة على النظام الجديد على نقيض بعض البرامج الأخرى، إضافة
إلى ما اشتهر عنه أنه من أسرع البرامج في تحديث قواعد بياناته بتواقيع الفيروسات
والبرامج الخبيثة، وأذكر أيضا أن برنامج Bit Defender قد نهض بقوة بسبب خفته
أيضا، لكنه لم يستطع مجاراة أقرنائه من البرامج حينها مجاراة حقيقية..
(على الأقل من وجهة نظري الشخصية)...
برامج المقاومة و "السمنة الزائدة" !
وأعوذ بالله من السمنة الزائدة، إن أردنا إدراك التضخم الكبير في أحجام برامج المقاومة،
فلنقارن بين إصداراتها الأقدم فالأحدث، وأعني بالتضخم في الحجم هو مدى توسع الحجم في
قواعد البيانات فيها، نستطيع القول أن هذا التضخم منطقي جدا في ظل التطور الهائل الحاصل
في طرق وتقنيات البريمجات الخبيثة والفيروسات بدءً من استغلال الخدمات التي يقدمها ويندوز
في محرر التسجيل (الريجستري) و ملفات التأسيس وغيرها، وانتهاءً عند تقنيات الإخفاء
والحقن “RootKit” & “Injecting” ولمن أراد الاستزادة في ذا المجال فقد تعرض لكل
هذه التقنيات- بشكل سطحي- النابغة JAAS (مؤسس شركة جاسسكويس) ،......
ليس هذا فحسب!..
شهدت السنوات الأخيرة ارتفاعا كبيرا في عدد مبرمجي البرامج الخبيثة (Malicious Programs)
هذه البرامج كثيرا ما تسبب خطورة لكل هاوٍ قد يستخدمها وبالتالي كثيرا ما يكون هؤلاء
الهواة ضحايا للمبرمج نفسه أصلا!..
لن نقف عند هذا الحد فقط في تفسيرنا للحجم الزائد ، فمن الملاحظ أيضا الانتشار الواسع في ما
يسمى بـ"تشفير الفيروسات من برامج الحماية "، مع أني لا أوافق على إطلاق مصطلح
" تشفير" أو “Encryption” على هذه العملية، لأن التشفير كمصطلح علمي في الكمبيوتر
مختص(محجوز) في أشياء أخرى، والضالعين في مجال أمن تطبيقات الويب والأجهزة، أدرى
بهذا المصطلح من غيرهم، على العموم لنخرج عن العُرف المتبع ولنسمي هذه العملية
"بالتعمية" وأنا لست الأول والأخير الذي أطلق عليها "التعمية"..
تعتمد التعمية على فكرة تغيير تعريفات وتواقيع البريمحات والفيروسات الخبيثة(تغيير في القليل من الرموز الست عشرية)
، وبسبب توفر الأدوات والأساليب المستخدمة في التعمية وسهولتها، فقد ساعد هذا في تزايد
عدد اللذين يستخدمون هذه الأساليب، ونتيجة لذلك نرى أن بعض الفيروسات تصنف بأكثر من
عشرة تصنيفات ذلك لتعدد تواقيعها "المغيّرة"،..!
إضافة إلى كل ما سبق، نضيف أنه بتزايد البرامج والتطبيقات في شتى المجالات تتزايد
الثغرات والفجوات مما يؤدي إلى تزايد في عدد الفيروسات المخلّقة أصلا بهدف استغلال مثل
هذه الثغرات..، لكن..
إلى متى هذا التزايد المستمر في أحجام مقاومات الفيروسات؟؟!!
إذاً " في ماذا يكمن الحل يا ترى؟ "
الإجابة على هذا التساؤل قد تكون صعبة وسهلة في نفس الوقت، والمنهج المتبع في آلية
عمل مقاومات الفيروسات قد يعطي إجابة مبدئية لمثل هكذا سؤال..!
لكن ما هو المنهج المتبع المشار له؟!
نحتاج هنا للدخول في بعض التفاصيل – ولو بشكل بسيط- ،..
يعتمد أي برنامج (Anti Virus) على أربعة أسس لاكتشاف وإزالة
الفيروسات وملفات التجسس من أنظمة التشغيل بشتى أنواعها..هي
» تحليل الملف
» تعريف أكواد خبيثة فيه
» إصدار توقيع له
» ومن ثم اصطياده
و تحليل الملف يعتبر من أرهق الخطوات لدى مبرمجي مقاومات الفيروسات، لأن هذه
العملية تحتاج مراقبة دائمة ومستمرة لشتى أنواع الملفات ومصادرها وطبيعة العمل والتدفق
البرمجي الخاص بها،..
لندخل أكثر في التفاصيل،..
exe و DLL و OCX ..الخ، تعرف بالملفات التنفيذية، هذه الملفات مقسمة أساسا إلى
مقدمة + محتوى
والمقدمة بحد ذاتها مقسمة إلى 3 أقسام:
- مقدمة DOS
- مقدمة PE
- الأقسام
PE اختصارا لـ (Portable Executable)
http://raqee.jeeran.com/droos/Exefiles.gif
الفيروسات الحديثة أهملت مقدمة DOS لأنها لن تحتاجها في ذا الجيل من الأنظمة،و لكل
مقدمة من هذه المقدمات قيم مصنفة بالرموز الست عشرية (Hexadecimal) ولها وظائف
معينة، ولا يفقه هذه الوظائف إلا من له شأن في لغة التجميع (الأسمبلي)، وأبسط برامج
المقاومة في العمل هي التي تقوم بحفظ" كل قيم المقدمات" (كتوقيع) للتعرف على الملف
كونه خبيث أم لا.
وهذا تفسير آخر - لمن أراد - للزيادة في حجم قواعد بيانات برامج المقاومة، مع العلم أنه
ليس التفسير الأخير..!!
كل هذا لا يعني أن برامج المقاومة كلها تستخدم نفس الفكرة بالطبع لا!
الطرق متعددة جدا، مثلا بعض المقاومات، تقوم بتشفير بعض من أكواد الفيروسات عن طريق MD5 ومن ثم تقوم بالمقارنة لتميز الملفات..
المهم هو إيجاد بصمة للملف يصعب تواجدها في غيره..
قد يسأل سائل: كيف تستطيع شركات مقاومات الفيروسات اكتشاف الفيروسات الجديدة؟
ظهور أي خبر عن وجود ثغرة جديدة في نظام ويندوز "مثلا" ينبأ عن ظهور فيروس
سيستغل تلك الثغرة، بالتالي يقوم خبراء شركات المقاومة بتقصي ومراقبة تلك الثغرات
ليتصيدوا أي بريمج خبيث يحاول الاستغلال، وتوفر مواقع السيكيورتي المعلومات اللازمة
عن الثغرات، هنالك أيضا مجموعات (جروبات) الهكرز التي تتزايد يوما بعد يوم مثل
http://vx.netlux.org (http://vx.netlux.org/)
أيضا المواقع مثل
http://virusscan.jotti.org/ (http://virusscan.jotti.org/)
و
http://www.virustotal.com/ (http://www.virustotal.com/)
هذه المواقع توفر خدمة لفحص الملفات ببرامج مقاومة متعددة، مثل هذه المواقع توفر بيانات
عن الفيروسات وأحصنة طروادة وحتى المعدلة منها تكشف عن طريق هذه المواقع..
من هنا نجد أن تحليل الفيروسات سيضع نقطة بداية!!
كيف يضع تحليل الفيروسات نقطة بداية؟!
صعّب مهمة التحليل لدى المبرمجين أنه يتم بشكل يدوي، لكن لا يظن ظان أنهم لا يعتمدون
على أدوات قد تساعدهم في التحليل!..
وعلى ذكر الأدوات، فقد ظهرت عدة أدوات خفيفة من شركة Sys Internals، تساعد في
تقصي ومراقبة ما تقوم به الملفات وقد تكلمت عن بعضها سابقا، لكن سأضطر هنا للتحدث
عنها مرة أخرى لأهميتها..
أولها برنامج Files Monitor
http://raqee.jeeran.com/droos/Filemonit.png
هذه الأداة تقوم بمراقبة الملفات بشتى أنواعها، من حيث الاماكن والملفات التي تحاول
قراءتها والملفات التي تنشئها وعمليات الكتابة
http://raqee.jeeran.com/droos/Filemonit2222.png
تستطيع إلزام البرنامج على مراقبة ملف معين دون غيره وذلك من الخاصية الموضحة في
الصورة الأولى، وإن كنت تريد مراقبة الملفات ككل يمكنك وضع * بدل اسم الملف الذي
تريد مراقبته..
برنامج Reg Mon مقدم من نفس الشركة أيضا ويقوم بنفس عمل File Mon إلا أنه
يراقب محرر التسجيل في النظام والمفاتيح المغيرة أو القيم المضافة،،،.
هناك أداة صغيرة كذلك أعجبت بها شخصيا وهي أداة مجانية لمراقبة أي محاولة للكتابة في
الريجستري..
http://raqee.jeeran.com/droos/regport.png
ظهرت أيضا أدوات بسيطة قد تخالف مبدأ "تواقيع الفيروسات" لاكتشاف هوية الملفات،
نذكر على سبيل المثال برنامج Fearless Bound File Detector
http://raqee.jeeran.com/droos/Fearless.png
مثل ما نرى أن هذه الأداة تعطي تقريرا ما إنْ كان الملف المشكوك فيه مربوط بتروجان
وموقع الربط بالقيم الست عشرية ، كما أن البرنامج مزود بخاصية التنظيف إن أردت..
ليس هذا فحسب، هنالك برامج تستطيع من خلالها مراقبة دوال الربط البينية API للملفات
التنفيذية مثل برنامج
KaKeeware Application Monitor
والعملية ليست منتهية ولن تنهتي أبدا، شركة Sys Internals كان لها السبق أيضا في طرح أداة لمراقبة وفضح
الملفات التي تحقن نفسها على طريقة “RootKit” اسم الأداة RootkitRevealer
http://raqee.jeeran.com/droos/RootkitRevealer.png
والحقيقة أن هذه الأداة تم تجاوزها من قبل الفيروسات الجديدة والمتقدمة، أذكر أن أحدها
ProAgent...
هناك أداة قوية مختصة هي الأخرى في ذا المجال وهي مقدمة من http://www.rootkitdetector.com (http://www.rootkitdetector.com/)
http://raqee.jeeran.com/droos/RKDetect.gif
وإذا ما واصلنا الحديث عن أدوات التحليل فأعتقد أننا لن ننتهي..! لتعددها وكثرتها
علما أن ظهور بعض الأدوات التي تقوم بإظهار أكواد البرامج والفيروسات قد يفتح مجال
جديد في التحليل، وأذكر هنا على سبيل المثال أداة VB Decompiler Lite التي تقوم
بإظهار أكواد وتعليمات البرامج المترجمة بغلة بيسك المرئي (فيجوال بيسك)، وبصورة
مبسطة خالية من تعقيد برامج التنقيح الاحترافية مثل Ollydbg و PEBrowseDbg وغيرها..
لكن!..ماذا يعني كل هذا؟!
بكل تأكيد أن شركات الحماية بدأت تدرك أن مربط الفرس سيكون في عملية التحليل نفسه،
بل أن هناك مؤسسات وشركات مختلفة قامت بإنتاج برامج ذكية واحترافية للتحليل
الأوتوماتيكي، وطبعا برامج مثل هذه البرامج تحتاج إلى ذكاء اصطناعي خالي من الإطناب
والتزيين!!
برنامج Tds كان له دور جيد في تحليل أحصنة الطروادة بدون قواعد البيانات، ظهر على
الساحة برنامج فذ آخر هو نظام
Advanced Malware Detection System
الذي يقوم بتحليل الملفات أيضا دون استخدام قواعد البيانات ، هدفه تحليل النظام واعطاء
تقارير عن ملفات التجسس وملفات الروت كيت والفيروسات والملفات الضارة
يتطلب البرنامج
Microsoft .Net Framework 2.0
اضافة إلى ذاكرة لا تقل عن 512!
والبرنامج مرفق "إن لم أنس!"
http://raqee.jeeran.com/droos/Helios.jpg
ما تدّعيه شركات الأنتي فيرس من أن برامجها قادرة على إكتشاف حتى الفيروسات الجديدة
والغير موجودة في قواعد بياناتها لا يعطي الصورة الحقيقة لدى المستخدم أصلا.. الأمر هدفه الدعاية البحتة!
لا نستطيع إنكار أن لديها تقنيات قد تساعدها في هذا الأمر، لكنها – وأقولها عن تجربة –
أضافت الكثير بل والكثير الكثير من التزيين والزخرفة على مثل هذه التقنيات التي وضعتها
في برامجها..
برامج التحليل دون قواعد البيانات التي ذكرتها، تحتاج إلى قدر كبير نسبيا من الذاكرة لتقوم
بعملية التحليل، إضافة أن التحليل لا يعطي دائما النتائج المرجوة، خصوصا مع ظهور عصر الفيروسات الذكية وتقنياتها المتقدمة، حيث أن انتشار ما يسمى
Polymorphic Viruses قد غير مسار العمل كلياً! مثل هذه الفيروسات تستطيع إتباع
آلية عمل متقدمة وذكية، تقوم من خلالها بتغيير نفسها- بفترات- من خلال أكواد معقدة
وبالتالي تغيُّر في ملف الفيروس أساسا، ذلك يؤدي إلى عدم تعرف مقاوم الفيروسات على
مثل هذا النوع لأن شفراته قد تغيرت!!:
في الجانب الآخر أثبت المبرمج Shapeless أن حلول القراصنة في تخليق الفيروسات
متعددة جداً، هل تصدقون أنه قام ببرمجة حصان طروادة بحجم ضئيل جدا ويقوم بعمليات
جبارة! اذا علمنا أنه استخدم الاسمبلي في برمجته سنزداد عجباً، لأن من المعلوم أن لغة
مثل الأسمبلي صعبة جدا خصوصا أن حصانه يحتوي على تقنيات RootKit!
من المعلوم كذلك أن مثلها لغة تولد برامج ضئيلة الحجم على نقيض
بعض اللغات.. خرجنا عن الموضوع قليلاهه. عموما
ليس بالبعيد أن نرى فيروسات تستطيع أن تغيّر من تدفقها البرمجي كليا!
هل "فتح المصدر" أحد أركان الحل؟!
إن تحدثنا عن الأنظمة مفتوحة المصدر فإننا سنتحدث عن برنامج Linux على أنه البارز
منها..
وإن تحدثنا عن مقاومات الفيروسات مفتوحة المصدر فإننا سنتحدث عن برنامج Clam AV
على أنه المتفرد منها..
http://www.clamav.net/img/clam.png
سأضع باب فتح المصدر مفتوح للمناقشة، لأني أعلم أن الآراء هنا تتباين من شخص لآخر
فليدلوا من لديه الخبرة بدلوه...
ملاحظة لم أستطع ارفاق الملفات والبرامج الموجودة في الموضوع لكثرتها
لذا لمن أراد تجربتها فليبحث عنها
www.google.com (http://www.google.com/)
- نشرت الموضوع في عدد من المنتديات لتحقيق أكبر تدارس ونقاش..
بالتوفيق
-مرفقات
http://www.ggate.net/up/files/antihack_montools.zip
نعود بعد غيبة بهذا النقاش...
لنمسك بطرف الخيط، ولنتذكر ذاك الصراع الكبير الذي نشب بين برنامجي
Norton AV و McAfee AV ، في بداية الألفية الثانية، أو بمعنى أدق الصراع
الذي كان بين مستخدمي وأنصار البرنامجين، حينها كان هذان البرنامجان متواجدين
في غالبية الأجهزة التي تعمل تحت بيئة ويندوز، في تلك الفترة أيضا كانت إصدارة
ويندوز اكس بي قد بزغت بشكل رسمي، ونحن لسنا على خطأ إن قلنا أن الديناميكية
المختلفة والجديدة نسبيا التي طورها مبرمجو Microsoft في نظامهم الجديد (إكس بي)
قد أثرت وغيرت كثيرا في شعبية بعض مقاومات الفيروسات، أمثال المكافي والنورتن
بالتالي تراجعت شعبية بعضها وارتفعت عند الأخرى، وإنْ لم أكن على خطأ فإن
برنامج KasperSky AV كان أحد البرامج التي ارتفعت شعبيتها بشكل ملموس
ذلك لما أظهره من خفة على النظام الجديد على نقيض بعض البرامج الأخرى، إضافة
إلى ما اشتهر عنه أنه من أسرع البرامج في تحديث قواعد بياناته بتواقيع الفيروسات
والبرامج الخبيثة، وأذكر أيضا أن برنامج Bit Defender قد نهض بقوة بسبب خفته
أيضا، لكنه لم يستطع مجاراة أقرنائه من البرامج حينها مجاراة حقيقية..
(على الأقل من وجهة نظري الشخصية)...
برامج المقاومة و "السمنة الزائدة" !
وأعوذ بالله من السمنة الزائدة، إن أردنا إدراك التضخم الكبير في أحجام برامج المقاومة،
فلنقارن بين إصداراتها الأقدم فالأحدث، وأعني بالتضخم في الحجم هو مدى توسع الحجم في
قواعد البيانات فيها، نستطيع القول أن هذا التضخم منطقي جدا في ظل التطور الهائل الحاصل
في طرق وتقنيات البريمجات الخبيثة والفيروسات بدءً من استغلال الخدمات التي يقدمها ويندوز
في محرر التسجيل (الريجستري) و ملفات التأسيس وغيرها، وانتهاءً عند تقنيات الإخفاء
والحقن “RootKit” & “Injecting” ولمن أراد الاستزادة في ذا المجال فقد تعرض لكل
هذه التقنيات- بشكل سطحي- النابغة JAAS (مؤسس شركة جاسسكويس) ،......
ليس هذا فحسب!..
شهدت السنوات الأخيرة ارتفاعا كبيرا في عدد مبرمجي البرامج الخبيثة (Malicious Programs)
هذه البرامج كثيرا ما تسبب خطورة لكل هاوٍ قد يستخدمها وبالتالي كثيرا ما يكون هؤلاء
الهواة ضحايا للمبرمج نفسه أصلا!..
لن نقف عند هذا الحد فقط في تفسيرنا للحجم الزائد ، فمن الملاحظ أيضا الانتشار الواسع في ما
يسمى بـ"تشفير الفيروسات من برامج الحماية "، مع أني لا أوافق على إطلاق مصطلح
" تشفير" أو “Encryption” على هذه العملية، لأن التشفير كمصطلح علمي في الكمبيوتر
مختص(محجوز) في أشياء أخرى، والضالعين في مجال أمن تطبيقات الويب والأجهزة، أدرى
بهذا المصطلح من غيرهم، على العموم لنخرج عن العُرف المتبع ولنسمي هذه العملية
"بالتعمية" وأنا لست الأول والأخير الذي أطلق عليها "التعمية"..
تعتمد التعمية على فكرة تغيير تعريفات وتواقيع البريمحات والفيروسات الخبيثة(تغيير في القليل من الرموز الست عشرية)
، وبسبب توفر الأدوات والأساليب المستخدمة في التعمية وسهولتها، فقد ساعد هذا في تزايد
عدد اللذين يستخدمون هذه الأساليب، ونتيجة لذلك نرى أن بعض الفيروسات تصنف بأكثر من
عشرة تصنيفات ذلك لتعدد تواقيعها "المغيّرة"،..!
إضافة إلى كل ما سبق، نضيف أنه بتزايد البرامج والتطبيقات في شتى المجالات تتزايد
الثغرات والفجوات مما يؤدي إلى تزايد في عدد الفيروسات المخلّقة أصلا بهدف استغلال مثل
هذه الثغرات..، لكن..
إلى متى هذا التزايد المستمر في أحجام مقاومات الفيروسات؟؟!!
إذاً " في ماذا يكمن الحل يا ترى؟ "
الإجابة على هذا التساؤل قد تكون صعبة وسهلة في نفس الوقت، والمنهج المتبع في آلية
عمل مقاومات الفيروسات قد يعطي إجابة مبدئية لمثل هكذا سؤال..!
لكن ما هو المنهج المتبع المشار له؟!
نحتاج هنا للدخول في بعض التفاصيل – ولو بشكل بسيط- ،..
يعتمد أي برنامج (Anti Virus) على أربعة أسس لاكتشاف وإزالة
الفيروسات وملفات التجسس من أنظمة التشغيل بشتى أنواعها..هي
» تحليل الملف
» تعريف أكواد خبيثة فيه
» إصدار توقيع له
» ومن ثم اصطياده
و تحليل الملف يعتبر من أرهق الخطوات لدى مبرمجي مقاومات الفيروسات، لأن هذه
العملية تحتاج مراقبة دائمة ومستمرة لشتى أنواع الملفات ومصادرها وطبيعة العمل والتدفق
البرمجي الخاص بها،..
لندخل أكثر في التفاصيل،..
exe و DLL و OCX ..الخ، تعرف بالملفات التنفيذية، هذه الملفات مقسمة أساسا إلى
مقدمة + محتوى
والمقدمة بحد ذاتها مقسمة إلى 3 أقسام:
- مقدمة DOS
- مقدمة PE
- الأقسام
PE اختصارا لـ (Portable Executable)
http://raqee.jeeran.com/droos/Exefiles.gif
الفيروسات الحديثة أهملت مقدمة DOS لأنها لن تحتاجها في ذا الجيل من الأنظمة،و لكل
مقدمة من هذه المقدمات قيم مصنفة بالرموز الست عشرية (Hexadecimal) ولها وظائف
معينة، ولا يفقه هذه الوظائف إلا من له شأن في لغة التجميع (الأسمبلي)، وأبسط برامج
المقاومة في العمل هي التي تقوم بحفظ" كل قيم المقدمات" (كتوقيع) للتعرف على الملف
كونه خبيث أم لا.
وهذا تفسير آخر - لمن أراد - للزيادة في حجم قواعد بيانات برامج المقاومة، مع العلم أنه
ليس التفسير الأخير..!!
كل هذا لا يعني أن برامج المقاومة كلها تستخدم نفس الفكرة بالطبع لا!
الطرق متعددة جدا، مثلا بعض المقاومات، تقوم بتشفير بعض من أكواد الفيروسات عن طريق MD5 ومن ثم تقوم بالمقارنة لتميز الملفات..
المهم هو إيجاد بصمة للملف يصعب تواجدها في غيره..
قد يسأل سائل: كيف تستطيع شركات مقاومات الفيروسات اكتشاف الفيروسات الجديدة؟
ظهور أي خبر عن وجود ثغرة جديدة في نظام ويندوز "مثلا" ينبأ عن ظهور فيروس
سيستغل تلك الثغرة، بالتالي يقوم خبراء شركات المقاومة بتقصي ومراقبة تلك الثغرات
ليتصيدوا أي بريمج خبيث يحاول الاستغلال، وتوفر مواقع السيكيورتي المعلومات اللازمة
عن الثغرات، هنالك أيضا مجموعات (جروبات) الهكرز التي تتزايد يوما بعد يوم مثل
http://vx.netlux.org (http://vx.netlux.org/)
أيضا المواقع مثل
http://virusscan.jotti.org/ (http://virusscan.jotti.org/)
و
http://www.virustotal.com/ (http://www.virustotal.com/)
هذه المواقع توفر خدمة لفحص الملفات ببرامج مقاومة متعددة، مثل هذه المواقع توفر بيانات
عن الفيروسات وأحصنة طروادة وحتى المعدلة منها تكشف عن طريق هذه المواقع..
من هنا نجد أن تحليل الفيروسات سيضع نقطة بداية!!
كيف يضع تحليل الفيروسات نقطة بداية؟!
صعّب مهمة التحليل لدى المبرمجين أنه يتم بشكل يدوي، لكن لا يظن ظان أنهم لا يعتمدون
على أدوات قد تساعدهم في التحليل!..
وعلى ذكر الأدوات، فقد ظهرت عدة أدوات خفيفة من شركة Sys Internals، تساعد في
تقصي ومراقبة ما تقوم به الملفات وقد تكلمت عن بعضها سابقا، لكن سأضطر هنا للتحدث
عنها مرة أخرى لأهميتها..
أولها برنامج Files Monitor
http://raqee.jeeran.com/droos/Filemonit.png
هذه الأداة تقوم بمراقبة الملفات بشتى أنواعها، من حيث الاماكن والملفات التي تحاول
قراءتها والملفات التي تنشئها وعمليات الكتابة
http://raqee.jeeran.com/droos/Filemonit2222.png
تستطيع إلزام البرنامج على مراقبة ملف معين دون غيره وذلك من الخاصية الموضحة في
الصورة الأولى، وإن كنت تريد مراقبة الملفات ككل يمكنك وضع * بدل اسم الملف الذي
تريد مراقبته..
برنامج Reg Mon مقدم من نفس الشركة أيضا ويقوم بنفس عمل File Mon إلا أنه
يراقب محرر التسجيل في النظام والمفاتيح المغيرة أو القيم المضافة،،،.
هناك أداة صغيرة كذلك أعجبت بها شخصيا وهي أداة مجانية لمراقبة أي محاولة للكتابة في
الريجستري..
http://raqee.jeeran.com/droos/regport.png
ظهرت أيضا أدوات بسيطة قد تخالف مبدأ "تواقيع الفيروسات" لاكتشاف هوية الملفات،
نذكر على سبيل المثال برنامج Fearless Bound File Detector
http://raqee.jeeran.com/droos/Fearless.png
مثل ما نرى أن هذه الأداة تعطي تقريرا ما إنْ كان الملف المشكوك فيه مربوط بتروجان
وموقع الربط بالقيم الست عشرية ، كما أن البرنامج مزود بخاصية التنظيف إن أردت..
ليس هذا فحسب، هنالك برامج تستطيع من خلالها مراقبة دوال الربط البينية API للملفات
التنفيذية مثل برنامج
KaKeeware Application Monitor
والعملية ليست منتهية ولن تنهتي أبدا، شركة Sys Internals كان لها السبق أيضا في طرح أداة لمراقبة وفضح
الملفات التي تحقن نفسها على طريقة “RootKit” اسم الأداة RootkitRevealer
http://raqee.jeeran.com/droos/RootkitRevealer.png
والحقيقة أن هذه الأداة تم تجاوزها من قبل الفيروسات الجديدة والمتقدمة، أذكر أن أحدها
ProAgent...
هناك أداة قوية مختصة هي الأخرى في ذا المجال وهي مقدمة من http://www.rootkitdetector.com (http://www.rootkitdetector.com/)
http://raqee.jeeran.com/droos/RKDetect.gif
وإذا ما واصلنا الحديث عن أدوات التحليل فأعتقد أننا لن ننتهي..! لتعددها وكثرتها
علما أن ظهور بعض الأدوات التي تقوم بإظهار أكواد البرامج والفيروسات قد يفتح مجال
جديد في التحليل، وأذكر هنا على سبيل المثال أداة VB Decompiler Lite التي تقوم
بإظهار أكواد وتعليمات البرامج المترجمة بغلة بيسك المرئي (فيجوال بيسك)، وبصورة
مبسطة خالية من تعقيد برامج التنقيح الاحترافية مثل Ollydbg و PEBrowseDbg وغيرها..
لكن!..ماذا يعني كل هذا؟!
بكل تأكيد أن شركات الحماية بدأت تدرك أن مربط الفرس سيكون في عملية التحليل نفسه،
بل أن هناك مؤسسات وشركات مختلفة قامت بإنتاج برامج ذكية واحترافية للتحليل
الأوتوماتيكي، وطبعا برامج مثل هذه البرامج تحتاج إلى ذكاء اصطناعي خالي من الإطناب
والتزيين!!
برنامج Tds كان له دور جيد في تحليل أحصنة الطروادة بدون قواعد البيانات، ظهر على
الساحة برنامج فذ آخر هو نظام
Advanced Malware Detection System
الذي يقوم بتحليل الملفات أيضا دون استخدام قواعد البيانات ، هدفه تحليل النظام واعطاء
تقارير عن ملفات التجسس وملفات الروت كيت والفيروسات والملفات الضارة
يتطلب البرنامج
Microsoft .Net Framework 2.0
اضافة إلى ذاكرة لا تقل عن 512!
والبرنامج مرفق "إن لم أنس!"
http://raqee.jeeran.com/droos/Helios.jpg
ما تدّعيه شركات الأنتي فيرس من أن برامجها قادرة على إكتشاف حتى الفيروسات الجديدة
والغير موجودة في قواعد بياناتها لا يعطي الصورة الحقيقة لدى المستخدم أصلا.. الأمر هدفه الدعاية البحتة!
لا نستطيع إنكار أن لديها تقنيات قد تساعدها في هذا الأمر، لكنها – وأقولها عن تجربة –
أضافت الكثير بل والكثير الكثير من التزيين والزخرفة على مثل هذه التقنيات التي وضعتها
في برامجها..
برامج التحليل دون قواعد البيانات التي ذكرتها، تحتاج إلى قدر كبير نسبيا من الذاكرة لتقوم
بعملية التحليل، إضافة أن التحليل لا يعطي دائما النتائج المرجوة، خصوصا مع ظهور عصر الفيروسات الذكية وتقنياتها المتقدمة، حيث أن انتشار ما يسمى
Polymorphic Viruses قد غير مسار العمل كلياً! مثل هذه الفيروسات تستطيع إتباع
آلية عمل متقدمة وذكية، تقوم من خلالها بتغيير نفسها- بفترات- من خلال أكواد معقدة
وبالتالي تغيُّر في ملف الفيروس أساسا، ذلك يؤدي إلى عدم تعرف مقاوم الفيروسات على
مثل هذا النوع لأن شفراته قد تغيرت!!:
في الجانب الآخر أثبت المبرمج Shapeless أن حلول القراصنة في تخليق الفيروسات
متعددة جداً، هل تصدقون أنه قام ببرمجة حصان طروادة بحجم ضئيل جدا ويقوم بعمليات
جبارة! اذا علمنا أنه استخدم الاسمبلي في برمجته سنزداد عجباً، لأن من المعلوم أن لغة
مثل الأسمبلي صعبة جدا خصوصا أن حصانه يحتوي على تقنيات RootKit!
من المعلوم كذلك أن مثلها لغة تولد برامج ضئيلة الحجم على نقيض
بعض اللغات.. خرجنا عن الموضوع قليلاهه. عموما
ليس بالبعيد أن نرى فيروسات تستطيع أن تغيّر من تدفقها البرمجي كليا!
هل "فتح المصدر" أحد أركان الحل؟!
إن تحدثنا عن الأنظمة مفتوحة المصدر فإننا سنتحدث عن برنامج Linux على أنه البارز
منها..
وإن تحدثنا عن مقاومات الفيروسات مفتوحة المصدر فإننا سنتحدث عن برنامج Clam AV
على أنه المتفرد منها..
http://www.clamav.net/img/clam.png
سأضع باب فتح المصدر مفتوح للمناقشة، لأني أعلم أن الآراء هنا تتباين من شخص لآخر
فليدلوا من لديه الخبرة بدلوه...
ملاحظة لم أستطع ارفاق الملفات والبرامج الموجودة في الموضوع لكثرتها
لذا لمن أراد تجربتها فليبحث عنها
www.google.com (http://www.google.com/)
- نشرت الموضوع في عدد من المنتديات لتحقيق أكبر تدارس ونقاش..
بالتوفيق
-مرفقات
http://www.ggate.net/up/files/antihack_montools.zip