منتديات المُنى والأرب - العمليات الخفـيــــــة و الفيروسات المشفرة

العمليات الخفـيــــــة و الفيروسات المشفرة

عندما يصاب الجهاز بفايروس او تروجان فإن التخلص منه ليس بالأمر الصعب

السبب يعود الى برامج الانتي فايروس المحدثة دورياً او مضادات التروجونات
و في اسوأ الحالات فإن العمليات و المنافذ المفتوحة تقودنا الى اكتشاف الإصابة
فماذا اذا كانت الإصابة غير مرئية ؟
الأصابة موجودة و لكنها غير مريئة لبرامج الانتي فايروس !!!
تتصل و لا تراها الحواجز النارية
غير موجودة في العمليات و لا في بداية التشغيل و غير موجودة في الريجستري !
يحدث هذا عند الإصابة بـ ( Root Kit )
الــ Root Kit تدخل الى الجهاز بإعتبار انها احد مشغلات النظام Device Driver بالإمتداد sys في الأنظمة NT/2K/XP
و بالصيغة vxd في الأنظمة 95/98/ME
و تقوم بتنصب نفسها بحيث تتداخل مع جميع العمليات التي يقوم يها النظام
Application Program Interface (API)
فلا تتم عملية الا بعد المرور بها تسمح بما تريد و تلغي ما تريد
تقوم بإخفاء التروجونات و استثنائها من العمليات من النظام و تعمل المثل مع سجل الريجستري
لا يهم كثرة الملفات التجسسية او قلتها فبإستطاعتها اخفاء مثلاً جميع الملفات من نوع JPG
أو mp3 او اي نوع آخر
حقيقة الهكرز يقومون بعمل مثل هذه البرمجيات منذ فترة و لا تعتقد أنك في أمان مطلق مع برامج الحماية
موقع مثل http://www.blackhat.com يقوم بتدريب من يريد على برمجة الروت
كيت مقابل 1200 دولار في كورس مدته يومين
طبعاً لا تنسى السكن مجاناً فندق سياتل شيراتون مع وجبة غداء
بعد نهاية اليومين جميع الطلاب يصبحون قادرون على برمجة الروت كيت بأنفسهم يخفون
العمليات _ الملفات والمجلدات التي يريدون بكل بساطة
ربما ان الجيل القادم من القيروسات و التروجونات ستكون متطورة للغاية و التعرف عليها أمر صعب
عموماً طرق اكتشاف الروت كيت * المعروفة * يكون بإستخدام برامج مثل Rootkit Detector V0.62
و تعمل الأداة الصغيرة على الانظمة 2000/XP/2003
و ماذا لو كانت جديدة و غير معروفة ؟؟؟؟
للأسف في هذه الحالة اما بإعادة التشغيل في الوضع الآمن و كما نلاحظ ان هناك عدد محدد من
ملفات SYS التي تقلع في الوضع الآمن و في هذه الحالة يتسنى لبرامج الانتي فايروس رؤية
التروجان و الامساك به .. ولكن هذه الطريقة ليست ناحجة دائماً
طريقة أخرى هي بالبحث اليدوي عن ملفات Device Driver و التأكد انها موقعة رقمياً من
الشركة المنتجة سواء ميكروسوفت أو غيرها
في الحقيقة سبق لي و رأيت تروجان سب سفن يحمل توقيع ميكروسوفت الرقمي
و لكن افضل ما نستطيع فعله هو منع تنصيبها في اجهزتنا و ذلك بالدخول دائماً و ابداً بمستخدم
محدود الصلاحية user أو power user لأن تنصيب ملف sys يتطلب صلاحية ادارية بلاشك
برنامج آخر قد يمنع تنصيب الروت كيت هو Process Guard
اما في حالة الإصابة فقد حان وقت الفورمااااااااااااات ....
طريقة أخيرة لإكتشاف وجود الروت كيت هو عن طريق الريموت اكسس لأن مثل هذه
العمليات مخفية على النظام المصاب بينما انها مكشوفه عند عمل الفحص من جهاز آخر عن طريق التحكم عن بعد
و هذا ليس النوع الوحيد الذي يمثل العمليات الخفية