michelangelo
Well-Known Member
ويروس ها چگونه پخش مي شوند
راه هاي بسيار زيادي براي انتقال ويروسها موجود مي باشد كه يكي از آنها روش زير مي باشد:
1) يك ديسك فلاپي كه داراي بوت سكتور ويروسي مي باشد را درون كامپيوتر قرار داده و كامپيوتر را خاموش مي كنيد
2) هنگامي كه كامپيوتر را دوباره روشن مي كنيد ديسك هنوز در درايو A: موجود مي باشد پس بوت سكتور ويروس آن فعال مي گردد
3) ويروس يك كپي از خود را درون بوت سكتور هارد كامپيوتر ذخيره كرده بدين ترتيب ديگر هيچ نيازي به وجود ديسك نخواهد بود!!
4) هر بار كه ديسكتي را درون درايو a: قرار مي دهيد ويروس در بوت سكتور ديسكت كپي مي گردد.
5) سرانجام اين ديسكت را به دوست يا همكار خود غرض مي دهيد.
6) اين چرخه از كامپوتري به كامپيوتر ديگر ادامه پيدا كرده و ...
البته نياز به يادآوري نيست كه مطالب فوق تنها جهت كسب اطلاع و آشنايي شما با پخش ويروس ها است. از اين رو از بكار بردن آن بطور عملي جداً خود داري كنيد. زيرا ممكن است علاوه بر آسيب رسيدن به سيستم خودتان ديگران را نيز با مشكل مواجه كنيد.
نكته: مواظب Autorun سي دي ها باشيد چون آنها هم مثل بوت سكتور فلاپي عمل مي كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشويد براي حل اين مشكل هنگامي كه Cd را در درايو قرار داديد براي اجرا نشدن Autorun بايد كليد Shift را پايين نگه داريد تا اجرا نشود بعد Cd را با يك آنتي ويروس اسكن كنيد.
نحوه مخفي شدن ويروسها و نحوه اطلاع ما از وجود ويروس
ويروس كامپيوتري معمولاً برنامه اي كوتاه مي باشند كه خود را ضميمه يك برنامه ديگر مثلاً پردازشگر word مي كند . رفتار اين ويروسهاي كامپيوتري كاملاً شبيه به ويروس آنفولانزا است، كه پس از وارد شدن به بدن شروع به تكثير كرده و در صورت نبودن مراقبت لازم سيستم دفاعي بدن را از كار مي اندازد .
حجم يك ويروس كامپيوتري مي تواند تنها 90 بايت بوده كه حتي از طول اين پاراگراف كه با احتساب فضاي خالي تنها 191 بايت مي باشد كوتاه تر است با اين حال ميانگين اندازه اين ويروسها برابر 2000 كاراكتر مي باشد.
هنگامي كه يك ويروس خود را به برنامه ديگري اضافه مي كند در حقيقت سبب مي شود تا آن برنامه افزايش حجم پيدا كند از آنجا كه اين برنامه ها خود به خود حجيم نمي شوند پس مي توان يكي از راههاي از بين بردن اين ويروسها يا پي بردن به وجود آنها را در كامپيوتر از طريق همين برنامه هاي حجيم شده تشخيص داد.
تمام اين ويروسها داراي سه مشخصه اساسي زير مي باشند:
1- روشي براي تكثير و پخش خود در ديگر كامپيوترها.
2- انجام دادن عملياتي خاص در كامپيوتر (مثلا در تاريخي مشخص).
3- از كار افتادن برنامه پس از انجام عملياتي خاص از قبيل نمايش يك پيغام كاملا بي ضرر مانند "free frodo" تا از بين بردن تمام محتويات هارد.
ويروسها بر حسب نحوه ورود به كامپيوتر به دو گروه مقدماتي تقسيم مي شوند. گروه اول برنامه هايي هستند كه داراي پسوندهاي .EXE ،.SYS ،و يا COM بوده و مي توانند از طريق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طريق ديگر برنامه هاي فرعي وارد كامپيوتر شده و يكي از اهداف آنها آسيب رساندن به بوت سكتورها (Boot Sector) است. هر ديسك از چند هارد درايو و يك بوت سكتور كه برنامه هاي اجرايي كامپيوتر را در بر مي گيرد تشكيل شده است و ويروسها به راحتي مي توانند در اين مكانها ذخيره شوند.
ويروسي كه در يك برنامه پنهان شده است با هر بار اجراي برنامه راه اندازي مي شود بطور مثال اگر ويروس همراه برنامه WORD شما باشد با هر بار استفاده ،ويروس موجود در آن راه اندازي مي شود. در صورتيكه ويروس هايي كه درون بوت سكتورها ذخيره شده باشند با هر بار روشن شدن كامپيوتر فعال مي شوند فرض كنيد يك ديسك را قبل از روشن كردن كامپيوتر درون درايو A: قرار داده ايد با روشن كردن دستگاه بوت سكتور موجود در ديسك فعال شده و از طريق كامپيوتر خوانده مي شود (همراه با ويروس موجود در آن).همچنين در صورتيكه هيچ ديسكتي درون درايو A: نباشد بوت سكتور موجود در درايو C: (همراه با ويروس موجود در آن)فعال مي گردد.
يك ويروس ممكن است پس از فعال سازي درون حافظه ram نفوذ كرده و به ديگر برنامه ها سرايت كند به طور مثال تعداد دفعات راه اندازي خود را محاسبه كرده و در صورتيكه اين تعداد به رقم 100 رسيد تمام اطلاعات كامپيوتر را پاك كند يا ممكن است حافظه ram را از طريق تكثير خود پر كرده و سرعت عملياتي كامپيوتر را تا حد بالايي پايين بياورد(اين گروه از ويروسها كرم ناميده مي شوند).
تاريخچه Love Bug سريعترين ويروس منتشر شده
بعد از MELISSA در چهارم ماه مي سال 2000 ويروس LOVE BUG توانست از طريق شركت خدماتي SKY INTERNET وارد شبكه شده و عنوان سريعترين انتشار را از آن خود بكند( البته اين دو ويروس جز زير مجموعه كرم ها WORMمي باشند)
love bug از آن جهت موفق شد كه داراي زيركي خاص social engineering بود. اين ويروس همانند melissa خود را از طريق كامپيوتر يك دوست ارسال كرده با اين تفاوت كه در قسمت subject آن عبارت اغوا كننده iloveyou تايپ شده و چشم پوشي از آن تا حدي غير ممكن مي نمود البته درون e-mail نيز تا حدودي گمراه كننده بود و به راحتي سبب فريفتن كاربر مي گشت:
" Kindly check the attached LOVELETTER coming from me"
LOVE - LETTER - FOR - YOU.TXT.VBS
اين پيام داراي دو نكته بسيار گمراه كننده مي باشد:.اول: استفاده از كلمه فريبنده love و ديگري استفاده از پسوند .txt با حرف درشت بود زيرا همانطور كه همه مي دانيد پسوند .txt كاملا بي ضرر بوده و تنها با notepad باز مي گردد
پسوند حقيقي اين فايل .vbs بوده و تنها افراد ماهر مي دانند كه اين پسوند مربوط به Visual Basic Script مي باشد و نشانگر برنامه بودن فايل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط مي باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخريب بسيار بالايي نيز برخوردار بوده و طبق يك برايند توانست در حدود 300 ميليون كامپيوتر را مورد تجاوز خود قرار داده و خسارتي معادل 3 تا 10 ميليارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هيچ گونه آسيبي به فايلهاي .DOC نرسانده بلكه فعاليت خود را متوجه فايلهاي با پسوند .MP3 ،.JPG،.CSS،.WSH،.VBS،.SCR،.HTA،.MP2 نمود.
نحوه كار LOVE BUG بدين ترتيب بود كه پس از تغييرات اندكي در REGISTERY آن را جستجو كرده و در صورت يافتن هرگونه رمز عبوري فعال آن را به آدرسي در فيليپين ارسال (ديگر وجود ندارد) كرده و سپس چندين كپي از خود را به تمام آدرسهاي موجود در OUTLOOK EXPRESS مي فرستاد پس از آن ابتدا HOME PAGE اينترنت كاربر را RESETكرده و پس از آن تمام فايلهاي با پسوند ذكر شده را پاك و در عوض يك كپي از خود را در جاي آنها قرار مي داد.
لغات آسيب رسان نيستند
تا چند سال پيش خواندن E-Mail يا يك فايل .DOC برنامه Word كاملاً بي خطر بوده و نيز مطمئن بوديد كه هيچ آسيبي متوجه شما نخواهد بود.در حاليكه اكنون فايلهاي اطلاعاتي نظير Excel ، Word و ... نيز توانايي حمل و انتقال برنامه را داشته و عمليات معيني را براي كامپيوتر تعريف مي كنند . ويروسها نيز چيزي غير از برنامه ها ولي با اهداف غير اخلاقي نمي باشند. در حال حاضر براي اجراي برنامه ها نيازي به پسوند .EXE نداريد. تنها فعل خواندن يك فايل .DOC نيز مي تواند ويروسي را وارد كامپيوتر كرده و فعال كند. يكي از انواع برنامه هايي كه درون فايل .Doc قرار مي گيرد Macro ها مي باشند تمام برنامه هاي اصلي مايكروسافت از جمله Word ، Excel ، Access با زبان VBA كه همان زبان Macro ها مي باشد نوشته مي شوند .
آيا E-MAIL هاي معمولي خطرناك هستند؟
همانطور كه مي دانيد يكي از راههاي جلوگيري از ورود ويروسهايي مانند melissa به كامپيوتر باز نكردن فايلهاي ضميمه e-mail هايي مي باشد كه انتظار آنها را نداريم اما آيا باز كردن e-mail هايي كه هيچ فايل ضميمه ندارند نيز خطرناك مي باشد؟
متاسفانه بله . در حقيقت مشكل همان اسكريپت ها مي باشند. اسكريپتها برنامه هاي كوچكي مانند Macro ها هستند كه توانايي بسيار اندكي دارند . به عنوان مثال بر خلاف Macro و ديگر زبانهاي كامپيوتري زبان اسكريپت قدرت پاك كردن فايلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسيار معروف مي باشند كه در هيچ كدام از آن دو فرمانهايي كه بتواند به كامپيوتر خسارت بزند وجود ندارد با اينكه اين زبانها خود به تنهايي نمي توانند هدف خاصي را درون خود قرار دهند پس نصيحت من به شما اين مي باشد كه هرگز از دست افراد غريبه سيبي را دريافت نكنيد!!!
تكنيك MATA HARI تله گذاري
يك تكنيك جالب استفاده شده در آنتي ويروس ها فرستادن يك برنامه درون كامپيوتر و جلب كردن توجه ويروسها مي باشد اين برنامه شرايط نفوذ ويروسها را در خود فراهم كرده و با بررسي مداوم برنامه از لحاظ افزايش حجم و ... به نفوذ برنامه ويروس پي مي برد.
همانطور كه مي دانيد بعضي از فايلها داراي پسوند .EXE مي باشند .EXE مربوط به فايلهاي اجرايي مانند Winword.
EXE مي باشد كه تنها كاربردشان اجرا كردن برنامه ها مي باشد يكي از راههاي شناسايي ويروسها جستجو كردن فعاليتهاي غير عادي درون كامپيوتر مي باشد يكي از اين فعاليتها باز كردن و خواندن بوت سكتور و كپي كردن چيزهاي جديد بر روي آها و فايلهاي .EXE مي باشد كه همگي جز فعاليتهايي غير عادي تلقي مي شوند.
شاخص بررسي براي تغييرات فايل
عمومي ترين آنتي ويروس بررسي كننده فايل، بطور پيوسته اي تمام قسمتهاي يك فايل كه توسط ويروس ها تغيير داده مي شوند را امتحان كرده و هر گونه تغييري در سايز و اسم و تاريخ و checksum هر فايل را شناسايي مي نمايد. يك ويروس به راحتي مي تواند سايز ، اسم و همچنين تاريخ يك فايل را ثابت نگاه دارد اما ثابت نگه داشتن checksum يك فايل پس از انجام هرگونه تغيير جزئي يا كلي بر روي برنامه بسيار مشكل مي باشد.
Checksum چيست ؟ به خاطر بياوريد كه هر بايت يك برنامه عددي بين 0 و 255 مي باشد بعضي از اين كدها براي نشان دادن متن، بعضي براي ذخيره اطلاعات گروهي براي انجام عمليات محاسبه (جمع ، ضرب ،هجي كردن لغات) و ... مي باشند. با اين حال همه آنها از اعدادي بين 0 و 255 تشكيل شده اند.
فرض كنيد كه يك فايل ذخيره اي داراي 10 دستورالعمل 27 ،157 ، 2 ،88 ، 240 ،240 ، 8 ، 99 ، 201 ، 84 مي باشد. براي بدست آوردن CHECKSUM مربوط به اين فايل ارزش اين كدها را با يكديگر جمع كنيد: CHECKSUM بدست آمده اين فايل مقدار 84+99+8+240+240+88+2+157+27 يا 1146 مي باشد .
ويروس به راحتي مي تواند بعضي از اين كدها را تغيير دهد ولي امكان تغيير checksum فايل در هنگام هرگونه جايگزيني بسيار زياد مي باشد پس به راحتي مي توان به كمك checksum هرگونه تغييري در فايل را رديابي كرد. ولي مشكلاتي نيز وجود دارد، به خاطر بياوريد كهword2000 داراي 8799232 بايت مي باشد هر چقدر كامپيوتر ها نيز سريع باشند محاسبه مجموع اين بايتها در برنامه هاي حجيم امروزي وقت زيادي مي گيرد .
برگرفته از سايت irsecure
راه هاي بسيار زيادي براي انتقال ويروسها موجود مي باشد كه يكي از آنها روش زير مي باشد:
1) يك ديسك فلاپي كه داراي بوت سكتور ويروسي مي باشد را درون كامپيوتر قرار داده و كامپيوتر را خاموش مي كنيد
2) هنگامي كه كامپيوتر را دوباره روشن مي كنيد ديسك هنوز در درايو A: موجود مي باشد پس بوت سكتور ويروس آن فعال مي گردد
3) ويروس يك كپي از خود را درون بوت سكتور هارد كامپيوتر ذخيره كرده بدين ترتيب ديگر هيچ نيازي به وجود ديسك نخواهد بود!!
4) هر بار كه ديسكتي را درون درايو a: قرار مي دهيد ويروس در بوت سكتور ديسكت كپي مي گردد.
5) سرانجام اين ديسكت را به دوست يا همكار خود غرض مي دهيد.
6) اين چرخه از كامپوتري به كامپيوتر ديگر ادامه پيدا كرده و ...
البته نياز به يادآوري نيست كه مطالب فوق تنها جهت كسب اطلاع و آشنايي شما با پخش ويروس ها است. از اين رو از بكار بردن آن بطور عملي جداً خود داري كنيد. زيرا ممكن است علاوه بر آسيب رسيدن به سيستم خودتان ديگران را نيز با مشكل مواجه كنيد.
نكته: مواظب Autorun سي دي ها باشيد چون آنها هم مثل بوت سكتور فلاپي عمل مي كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشويد براي حل اين مشكل هنگامي كه Cd را در درايو قرار داديد براي اجرا نشدن Autorun بايد كليد Shift را پايين نگه داريد تا اجرا نشود بعد Cd را با يك آنتي ويروس اسكن كنيد.
نحوه مخفي شدن ويروسها و نحوه اطلاع ما از وجود ويروس
ويروس كامپيوتري معمولاً برنامه اي كوتاه مي باشند كه خود را ضميمه يك برنامه ديگر مثلاً پردازشگر word مي كند . رفتار اين ويروسهاي كامپيوتري كاملاً شبيه به ويروس آنفولانزا است، كه پس از وارد شدن به بدن شروع به تكثير كرده و در صورت نبودن مراقبت لازم سيستم دفاعي بدن را از كار مي اندازد .
حجم يك ويروس كامپيوتري مي تواند تنها 90 بايت بوده كه حتي از طول اين پاراگراف كه با احتساب فضاي خالي تنها 191 بايت مي باشد كوتاه تر است با اين حال ميانگين اندازه اين ويروسها برابر 2000 كاراكتر مي باشد.
هنگامي كه يك ويروس خود را به برنامه ديگري اضافه مي كند در حقيقت سبب مي شود تا آن برنامه افزايش حجم پيدا كند از آنجا كه اين برنامه ها خود به خود حجيم نمي شوند پس مي توان يكي از راههاي از بين بردن اين ويروسها يا پي بردن به وجود آنها را در كامپيوتر از طريق همين برنامه هاي حجيم شده تشخيص داد.
تمام اين ويروسها داراي سه مشخصه اساسي زير مي باشند:
1- روشي براي تكثير و پخش خود در ديگر كامپيوترها.
2- انجام دادن عملياتي خاص در كامپيوتر (مثلا در تاريخي مشخص).
3- از كار افتادن برنامه پس از انجام عملياتي خاص از قبيل نمايش يك پيغام كاملا بي ضرر مانند "free frodo" تا از بين بردن تمام محتويات هارد.
ويروسها بر حسب نحوه ورود به كامپيوتر به دو گروه مقدماتي تقسيم مي شوند. گروه اول برنامه هايي هستند كه داراي پسوندهاي .EXE ،.SYS ،و يا COM بوده و مي توانند از طريق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طريق ديگر برنامه هاي فرعي وارد كامپيوتر شده و يكي از اهداف آنها آسيب رساندن به بوت سكتورها (Boot Sector) است. هر ديسك از چند هارد درايو و يك بوت سكتور كه برنامه هاي اجرايي كامپيوتر را در بر مي گيرد تشكيل شده است و ويروسها به راحتي مي توانند در اين مكانها ذخيره شوند.
ويروسي كه در يك برنامه پنهان شده است با هر بار اجراي برنامه راه اندازي مي شود بطور مثال اگر ويروس همراه برنامه WORD شما باشد با هر بار استفاده ،ويروس موجود در آن راه اندازي مي شود. در صورتيكه ويروس هايي كه درون بوت سكتورها ذخيره شده باشند با هر بار روشن شدن كامپيوتر فعال مي شوند فرض كنيد يك ديسك را قبل از روشن كردن كامپيوتر درون درايو A: قرار داده ايد با روشن كردن دستگاه بوت سكتور موجود در ديسك فعال شده و از طريق كامپيوتر خوانده مي شود (همراه با ويروس موجود در آن).همچنين در صورتيكه هيچ ديسكتي درون درايو A: نباشد بوت سكتور موجود در درايو C: (همراه با ويروس موجود در آن)فعال مي گردد.
يك ويروس ممكن است پس از فعال سازي درون حافظه ram نفوذ كرده و به ديگر برنامه ها سرايت كند به طور مثال تعداد دفعات راه اندازي خود را محاسبه كرده و در صورتيكه اين تعداد به رقم 100 رسيد تمام اطلاعات كامپيوتر را پاك كند يا ممكن است حافظه ram را از طريق تكثير خود پر كرده و سرعت عملياتي كامپيوتر را تا حد بالايي پايين بياورد(اين گروه از ويروسها كرم ناميده مي شوند).
تاريخچه Love Bug سريعترين ويروس منتشر شده
بعد از MELISSA در چهارم ماه مي سال 2000 ويروس LOVE BUG توانست از طريق شركت خدماتي SKY INTERNET وارد شبكه شده و عنوان سريعترين انتشار را از آن خود بكند( البته اين دو ويروس جز زير مجموعه كرم ها WORMمي باشند)
love bug از آن جهت موفق شد كه داراي زيركي خاص social engineering بود. اين ويروس همانند melissa خود را از طريق كامپيوتر يك دوست ارسال كرده با اين تفاوت كه در قسمت subject آن عبارت اغوا كننده iloveyou تايپ شده و چشم پوشي از آن تا حدي غير ممكن مي نمود البته درون e-mail نيز تا حدودي گمراه كننده بود و به راحتي سبب فريفتن كاربر مي گشت:
" Kindly check the attached LOVELETTER coming from me"
LOVE - LETTER - FOR - YOU.TXT.VBS
اين پيام داراي دو نكته بسيار گمراه كننده مي باشد:.اول: استفاده از كلمه فريبنده love و ديگري استفاده از پسوند .txt با حرف درشت بود زيرا همانطور كه همه مي دانيد پسوند .txt كاملا بي ضرر بوده و تنها با notepad باز مي گردد
پسوند حقيقي اين فايل .vbs بوده و تنها افراد ماهر مي دانند كه اين پسوند مربوط به Visual Basic Script مي باشد و نشانگر برنامه بودن فايل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط مي باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخريب بسيار بالايي نيز برخوردار بوده و طبق يك برايند توانست در حدود 300 ميليون كامپيوتر را مورد تجاوز خود قرار داده و خسارتي معادل 3 تا 10 ميليارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هيچ گونه آسيبي به فايلهاي .DOC نرسانده بلكه فعاليت خود را متوجه فايلهاي با پسوند .MP3 ،.JPG،.CSS،.WSH،.VBS،.SCR،.HTA،.MP2 نمود.
نحوه كار LOVE BUG بدين ترتيب بود كه پس از تغييرات اندكي در REGISTERY آن را جستجو كرده و در صورت يافتن هرگونه رمز عبوري فعال آن را به آدرسي در فيليپين ارسال (ديگر وجود ندارد) كرده و سپس چندين كپي از خود را به تمام آدرسهاي موجود در OUTLOOK EXPRESS مي فرستاد پس از آن ابتدا HOME PAGE اينترنت كاربر را RESETكرده و پس از آن تمام فايلهاي با پسوند ذكر شده را پاك و در عوض يك كپي از خود را در جاي آنها قرار مي داد.
لغات آسيب رسان نيستند
تا چند سال پيش خواندن E-Mail يا يك فايل .DOC برنامه Word كاملاً بي خطر بوده و نيز مطمئن بوديد كه هيچ آسيبي متوجه شما نخواهد بود.در حاليكه اكنون فايلهاي اطلاعاتي نظير Excel ، Word و ... نيز توانايي حمل و انتقال برنامه را داشته و عمليات معيني را براي كامپيوتر تعريف مي كنند . ويروسها نيز چيزي غير از برنامه ها ولي با اهداف غير اخلاقي نمي باشند. در حال حاضر براي اجراي برنامه ها نيازي به پسوند .EXE نداريد. تنها فعل خواندن يك فايل .DOC نيز مي تواند ويروسي را وارد كامپيوتر كرده و فعال كند. يكي از انواع برنامه هايي كه درون فايل .Doc قرار مي گيرد Macro ها مي باشند تمام برنامه هاي اصلي مايكروسافت از جمله Word ، Excel ، Access با زبان VBA كه همان زبان Macro ها مي باشد نوشته مي شوند .
آيا E-MAIL هاي معمولي خطرناك هستند؟
همانطور كه مي دانيد يكي از راههاي جلوگيري از ورود ويروسهايي مانند melissa به كامپيوتر باز نكردن فايلهاي ضميمه e-mail هايي مي باشد كه انتظار آنها را نداريم اما آيا باز كردن e-mail هايي كه هيچ فايل ضميمه ندارند نيز خطرناك مي باشد؟
متاسفانه بله . در حقيقت مشكل همان اسكريپت ها مي باشند. اسكريپتها برنامه هاي كوچكي مانند Macro ها هستند كه توانايي بسيار اندكي دارند . به عنوان مثال بر خلاف Macro و ديگر زبانهاي كامپيوتري زبان اسكريپت قدرت پاك كردن فايلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسيار معروف مي باشند كه در هيچ كدام از آن دو فرمانهايي كه بتواند به كامپيوتر خسارت بزند وجود ندارد با اينكه اين زبانها خود به تنهايي نمي توانند هدف خاصي را درون خود قرار دهند پس نصيحت من به شما اين مي باشد كه هرگز از دست افراد غريبه سيبي را دريافت نكنيد!!!
تكنيك MATA HARI تله گذاري
يك تكنيك جالب استفاده شده در آنتي ويروس ها فرستادن يك برنامه درون كامپيوتر و جلب كردن توجه ويروسها مي باشد اين برنامه شرايط نفوذ ويروسها را در خود فراهم كرده و با بررسي مداوم برنامه از لحاظ افزايش حجم و ... به نفوذ برنامه ويروس پي مي برد.
همانطور كه مي دانيد بعضي از فايلها داراي پسوند .EXE مي باشند .EXE مربوط به فايلهاي اجرايي مانند Winword.
EXE مي باشد كه تنها كاربردشان اجرا كردن برنامه ها مي باشد يكي از راههاي شناسايي ويروسها جستجو كردن فعاليتهاي غير عادي درون كامپيوتر مي باشد يكي از اين فعاليتها باز كردن و خواندن بوت سكتور و كپي كردن چيزهاي جديد بر روي آها و فايلهاي .EXE مي باشد كه همگي جز فعاليتهايي غير عادي تلقي مي شوند.
شاخص بررسي براي تغييرات فايل
عمومي ترين آنتي ويروس بررسي كننده فايل، بطور پيوسته اي تمام قسمتهاي يك فايل كه توسط ويروس ها تغيير داده مي شوند را امتحان كرده و هر گونه تغييري در سايز و اسم و تاريخ و checksum هر فايل را شناسايي مي نمايد. يك ويروس به راحتي مي تواند سايز ، اسم و همچنين تاريخ يك فايل را ثابت نگاه دارد اما ثابت نگه داشتن checksum يك فايل پس از انجام هرگونه تغيير جزئي يا كلي بر روي برنامه بسيار مشكل مي باشد.
Checksum چيست ؟ به خاطر بياوريد كه هر بايت يك برنامه عددي بين 0 و 255 مي باشد بعضي از اين كدها براي نشان دادن متن، بعضي براي ذخيره اطلاعات گروهي براي انجام عمليات محاسبه (جمع ، ضرب ،هجي كردن لغات) و ... مي باشند. با اين حال همه آنها از اعدادي بين 0 و 255 تشكيل شده اند.
فرض كنيد كه يك فايل ذخيره اي داراي 10 دستورالعمل 27 ،157 ، 2 ،88 ، 240 ،240 ، 8 ، 99 ، 201 ، 84 مي باشد. براي بدست آوردن CHECKSUM مربوط به اين فايل ارزش اين كدها را با يكديگر جمع كنيد: CHECKSUM بدست آمده اين فايل مقدار 84+99+8+240+240+88+2+157+27 يا 1146 مي باشد .
ويروس به راحتي مي تواند بعضي از اين كدها را تغيير دهد ولي امكان تغيير checksum فايل در هنگام هرگونه جايگزيني بسيار زياد مي باشد پس به راحتي مي توان به كمك checksum هرگونه تغييري در فايل را رديابي كرد. ولي مشكلاتي نيز وجود دارد، به خاطر بياوريد كهword2000 داراي 8799232 بايت مي باشد هر چقدر كامپيوتر ها نيز سريع باشند محاسبه مجموع اين بايتها در برنامه هاي حجيم امروزي وقت زيادي مي گيرد .
برگرفته از سايت irsecure
