بعض المفاهيم الخاطئه

seebawi · 6 مارس 2009، 14:55

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

دائما يخلط البعض في المصطلحات فيسمي التروجان والدودة فيروسا. وهذا غير صحيح فالكلمات تروجان وفيروس ودودة هي مصطلحات تطلق على أنواع مختلفة من البرمجيات المؤذية للحاسب.
كل نوع له طريقة عمل خاصة به ولذالك أطلقت التسميات المختلفة .

الفيروس

الفيروس يلحق نفسه ببرنامج أو ملف وينتشر من جهاز إلى جهاز مثل انتشار مرض الإنسان.

في كل جهاز يدخله الفيروس يخلف وراءه العدو. خطر الفيروسات يختلف من نوع إلى آخر بعضها قد يؤدي إلى بعض الأعطال البسيطة وبعضها قد يسبب تلف الهاردوير أو البرامج لديك وحتى ملفاتك المهمة.

في العادة معظم الفيروسات تأتي على شكل ملف تنفيذي
exe
وهذه الملفات عند نزولها في جهازك لن تعمل حتى تقوم أنت بمحاولة تشغيلها. وللمعلومة الفيروسات لا تنتقل ذاتيا وإنما عن طريق الإنسان وذلك عندما يحاول تشغيلها أو إرسالها عن طريق الإيميل وهو لا يعلم بأنها تحتوي فيروسا.

ولكي تحمي نفسك من الفيروسات تحتاج إلى برنامج مكافحة الفيروسات وهو يعمل مثل المضاد الحيوي للإنسان فهذا البرنامج يقوم بزيادة مناعة جهازك ضد الفيروسات وبذلك تقل فرص إصابتك بهذه البرمجيات الخبيثة.

الدودة

الدودة قريبة من الفيروس في التصميم ولكن تعتبر جزءاً فرعياً من الفيروس. الاختلاف الذي يفرق الفيروس عن الدودة بأن الدودة تنتشر بدون التدخل البشري حيث تنتقل من جهاز إلى آخر بدون عمل أي إجراء.

الجزء الخبيث في الدودة هو قدرتها على نسخ نفسها في جهازك بعدة أشكال وبذالك يتم إرسالها بدلا من مرة وحدة سترسل آلافاً من النسخ للأجهزة الأخرى. مما يحدث مشاكل كبيرة. وتستغل الدودة طرق الاتصال التي تقوم بها لإتمام هذه العملية لذالك قد ترى في بعض الأحيان ظهور نافذة طلب الاتصال اتوماتيكيا بدون طلبك أنت فانتبه فقد يكون لديك دودة.

وآثار الدودة عادة هي زيادة في استخدام مصادر الجهاز فيحصل في الجهاز تعليق بسبب قله الرام المتوفر وأيضا تسبب الدودة في توقف عمل الخوادم فعلا سبيل المثال يمكنك تخيل التالي. لو كان عندك دودة فستقوم الدودة بنسخ نفسها ثم إرسال لكل شخص من هم لديك في القائمة البريدية نسخة وإذا فتح احدهم هذه الرسالة ستنتقل إلى كل من لديه هو في قائمته البريدية وهذا يولد انتشاراً واسعاً جداً.

وأفضل مثال على الدودة هي ما حصل العام الماضي دودة البلاستر التي كانت تدخل لجهازك لتسمع ببعض الأشخاص بالتحكم بجهازك عن بعد . أيضا يقوم برنامج الكاسبرسكاي أعلاه بحمايتك من هذا النوع أيضا.

التروجان

التروجان يختلف كليا عن الفيروس والدودة . التروجان صمم لكي يكون مزعجاً أكثر من كونه مؤذياً مثل الفيروسات.

عندما تقوم بزيارة احد المواقع المشبوهة أحيانا يطلب منك تحميل برنامج معين. الزائر قد ينخدع في ذلك فيعتقد انه برنامج وهو في الحقيقة تروجان .

يقوم التروجان في بعض الأحيان بمسح بعض الأيقونات على سطح المكتب. مسح بعض ملفات النظام. مسح بعض بياناتك المهمة. تغير الصفحة الرئيسية للإنترنت إكسبلورر. عدم قدرتك على تصفح الانترنت. وأيضا عرف عن التروجانات أنها تقوم بوضع باكدور في جهازك من ما يسمح بنقل بياناتك الخاصة إلى الطرف الآخر بدون علمك.

وهذا هو الخطير في الأمر. علما بأن التروجان لا يتكاثر مثل الدودة ولا يلحق نفسه ببرنامج مثل الفيروس ولا ينتشر أيضا سواء عن تدخل بشري أو لا، أيضا يقوم الكاسبرسكاي يقوم بحمايتك من هذا النوع أيضاً

SNOOP · 8 مارس 2009، 0:23

السلام عليكم ورحمه الله

صح فعلا عزيزي السيباوي انا لاحظت كثير من الناس عندهم نفس الاعتقاد ..!!
ماقصرت بارك الله فيك وعسى ان شاء الله الكل يطلع على هالموضوع لما فيه من اهميه ...

تحياتي لك

seebawi · 8 مارس 2009، 10:48

SNOOP كتب:

السلام عليكم ورحمه الله

صح فعلا عزيزي السيباوي انا لاحظت كثير من الناس عندهم نفس الاعتقاد ..!!
ماقصرت بارك الله فيك وعسى ان شاء الله الكل يطلع على هالموضوع لما فيه من اهميه ...

تحياتي لك

مرااحب سنوب

شكرا عالمشاركه .. ويعطيك العافيه صديقي |a

ناقوس الخطر · 8 مارس 2009، 21:33

السلام عليكم

موضوع رائع أخي seebawi

إنما ليس هناك تصنيف دقيق بكل هذه التصنيفات لأن العملية أشبه بتصميم برنامج
فيمكن مثلا للفيروس أن يشمل التخريب و أيضا التجسس و التروجن ممكن له أن
يشمل التخريب مع التجسس بنسبة لطرق الإنتقال فهي معروفة الملفات المرفقة
البريد الإلكتروني أو محركات REMOVABLE و هي محركات القابلة للإزالة مثل
الفلاش مموري و ما شابه و أيضا أيت طريقة تستخدم لنقل البيانات من جهاز إلى أخر

بنسبة لنوعية ملف التجسس

- المشهورة و المعروفة هي الملفات التنفيذية EXE و أيضا COM هذان الإمتدادان هما
إمتدادات جميع التطبيقات التنفيذية للبرامج التي تعمل على الويندوس مع ملاحضة بلإمكان
مثالا تصميم برنامج على ملف DLL ثم تشغيله عن طريق ملف تنفيذي EXE أو COM
و يمكن تشغيله بعدة طرق عن طريق الإتصال بملف المكتبات DLL أو مثلا عن طريق
أوامر أخرى مثل أوامر Process مثل CreateProcess

و يمكن مثلا تصميم برنامج عادي جدا كأي برنامج ثم تصميم فيروس أو تروجن منثم
دمج الملف التنفيذي لهذا الفيروس أو التروجن مع البرنامج يتم ذالك عن طريق محرر
اللغة البرمجية المستخدمة في تصميم البرنامج و يتم دمج الفيروس في جزء من
البرنامج يطلق عليه اسم resource و تختص بعمليات resource مكتبة برمجية
خاصة موجودة بمجلد النظام بالويندوس يطلق عليها اسم Kernel32.dll حيث
من الممكن أيضا إستخدام أوامر برمجية لدمج هذا التروجن أو الفيروس و بدون
استخدام محرر اللغة البرمجية حتى من بعد ضغط البرنامج على محرر اللغة
و من هذه الأوامر UpdateResource

و هناك نوعيات أخرى و تسمى السكاربتات الخبيثة و يمكن تصنيفها لعدة أنواع
فالويندوس مثلا يدعم ما تسمى بلغات السكاربت و هي لغات يمكن إستخدامها
و بدون استخدام محرر لغة برمجية يقوم بضغط هذه الأوامر لكي يحولها من بعد لملف
تطبيق برمجي مثلما البرامج الإعتيادية .... حيث يمكن كتابة الأوامر بملف اللغة و الذي
يدعمه الويندوس ثم تشغيله ليقوم الويندوس مباشرة بتنفيذ الأوامر المكتوبة عليه
و دائما ما تكون هذه اللغات منبثقة عن لغات برمجية أساسية و منها Javascript
و أيضا VBScript و أيضا لغة الدوس المشهورة و المعروفة و التي تنفذ على سكربتات
الدوس مثل سكاربت CMD و سكاربت BAT

حيث يمكن عمل سكاربت من السكاربتات للغات السابقة يتضمن أوامر تقوم بتخريب
الويندوس و هي خطيرة فعلا حيث إمكانيات لغات السكاربت لا يستهان بها

بنسبة لكشف الكاسبر سكاي للفيروس أو التروجن فهي عملية إما أن تكون دقيقة
إذا كان الفيروس محدد من قبل مبرمجي الكاسبر سكاي أي معروف الهوية و بذالك
تكون العملية سهلة حيث يكشف عنه عن طريق محتواه من البيانات و غالبا ما يكون
فيروس مشهور أو تروجن مشهور و معروف من قبل مبرمجي الحماية

طرق أخرى يستخدمها الكاسبر و أغلب برامج الحماية و هي الطرق التي يمكن من
خلالها أن تحدد مدى كفائة برنامج الحماية و قدرته على حماية الويندوس من القرصنة
و الفيروسات و يمكن تبسيط هذه العمليات في التالي

هناك أوامر برمجية يمكن من خلالها مراقبة الأجزاء الحساسة بنظام الويندوس و منها
التالي

- محرر التسجيل و هووه Registry في هذا الجزء الويندوس تتم عمليات دقيقة حيث يمكن
عن طريق محرر التسجيل الوصول إلى كافة العمليات التي يقوم بها المستخدم و أيضا ممكن
الكشف عن العمليلت التي يقوم بها برنامج ما يعمل على الويندوس و بذالك لو قام برنامج
الحماية بمراقبة محرر التسجيل سيتمكن من معرفة العمليات المشتبه بها أو المخربة و يمكن
من بعد إيقافها أو إظهار رسالة للمستخدم بأن البرنامج الفلاني يقوم بالعملية الفلانية غير
ذلك محرر التسجيل يمكن عن طريقه لو قام فيروس أو تروجن بتعامل معه بحرية من تخريب
الويندوس تخريبا كاملا لذالك أول ما يقوم به برنامج الحماية مراقبة محرر التسجيل عن طريق
الأوامر البرمجية المختصة بذالك و منها

RegNotifyChangeKeyValue
function مستقل بذاته يعمل على المكتبة Advapi32.dll البرمجية

و ممكن استخدام إيفنت الأوبجيت WbemScripting.SWbemSink و هووه الأيفنت
RegistryKeyChangeEvent
و الأمر الأخير للأوبجيت أقل إمكانيات من الأمر السابق

Event و أيضا Notify تعمل هذه الأوامر على ما يسمى الثيرد Thread و الثريد عبارة عن
دالة برمجية مستقلة أي و كأنها برنامج أخر منفصل عن البرنامج الأم لماذا لضمان السرعة
و أيضا الكفائة بحيث لا يمكن لأي برنامج بسرعته تخطي هذه الأوامر

أي تغير على محرر التسجيل يتم أولا إستلامه من قبل الأوامر السابقة و يمكن إيقافه لفترة زمنية
و إظهار رسالة للمستخدم ... عموما يمكن عن طريق هذه الأوامر مراقبة المحرر مراقبة دقيقة

الجزء الأخر الحساس من الويندوس ما يسمى بالـ process

البروسس هووه عبارة عن برنامج قيد العمل معنى ذالك يقوم الويندوس برصد أي برنامج يتم
تشغيله على الويندوس أثناء التشغيل مباشرة و يضع له فلنقل تعريف إفتراضي يسمى
process و يدخل في هذا التعريف مجموعة كبيرة من الأوامر البرمجية منها للمرقبة و الرصد
و منها لتشغيل برنامج مثلا مثل الأمر السابق CreateProcess أو أمر إغلاق برنامج مثل
TerminateProcess و هناك أوامر لمراقبة أي برنامج يتم تشغيله أو حتى في حين أن
البرنامج قام بفتح منفذ خارجي للإتصال بلإنترنت و يمكن الرصد بعدة أنواع من الإتصال
بلإنترنت و أيضا يمكن المراقبة باستخدام أبوجيت Win32 فبها أقسام لنوت ورك و أيضا
أقسام للبروسس و حتى هناك أوامر أخرى تخص بعض المكتبات البرمجية مثل مكتبة
Kernel32.dll و تصنف تحت وظائف WinAPI الشهيرة

و من هذه الأوامر و التي تختص بالمراقبة التالي

الأبوجيت Win32_Process

Win32_ProcessStartup
Win32_ProcessStopTrace

في أمان الله