شرح: ما هي الفيروسات

بسم الله

السلام عليكم

ل
طبعاً كثير ما بعرف شو هو الفيروس رح اشرحه انا شخصيا

طبعا مايكرو سوفت ما الها دخل فيه للفيروسات ولكن المشكلة من الفيجول بيزك

انه هو المسؤول الرئيسي عن صناعة الفيروسات

نروح لشرح الفيروسات

************************
فيروسات الكومبيوتر هي برامج تتم كتابتها بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه، تمت كتابتها بطريقة معينة. سُمّيت بالفيروسات، لأنها تشبه تلك الكائنات المتطفلة في صفتين رئيسيتين:
تحتاج فيروسات الكومبيوتر دائماً إلى ملف عائل تعيش متستّرةً فيه:
فالفيروسات، دائماً تتستر خلف ملف آخر، و لكنها تأخذ زمام السيطرة على البرنامج المصاب. بحيث أنه حين يتم تشغيل البرنامج المصاب، يتم تشغيل الفيروس أولاً.


تستطيع فيروسات الكومبيوتر أن تنسخ نفسها:
تتم كتابة هذه البرامج المؤذية بحيث تقوم بنسخ نفسها فوراً بمجرّدتشغيل البرنامج المصاب. و هي تنسخ نفسها للأقراص الأخرى، فإذا كان الكومبيوتر مصاباً ووضعت فيه قرصاً مرناً، يتم نسخ الفيروس اوتوماتيكياً للقرص المرن. و نظراً لهذه الخاصية في الفيروسات، تجد أن القرص المصاب يعطيك علامة أنه ممتلئ تماماً برغم أنك لم تقم بتخزين غير ملفات ذات حجم صغير.

_______________________________________________
ما الفرق بين الدودة و التروجان و الفيروس؟

الدودة: تصيب الدودة الكمبيوترات الموصلة بالشبكة بشكل اوتوماتيكي و من غير تدخل الانسان و هذا الامر يجعلها تنتشر بشكل اوسع و اسرع عن الفيروسات . الفرق بينهم هو ان الديدان لا تقوم بحذف او تغيير الملفات بل تقوم بتهليك موارد الجهاز و استخدام الذاكرة بشكل فظيع مما يؤدي الى بطء ملحوظ جدا للجهاز , و من المهم تحديث نسخ النظام المستخدم في الجهاز كي يتم تجنب الديدان.

ومن المهم عند الحديث عن الديدان الإشارة إلى تلك التي تنتشر عن طريق الإيميل. حيث يرفق بالرسالة ملفاً يحتوي على دودة، و عندما يشغّل المرسل إليه الملف المرفق، تقوم الدودة بنشر نفسها إلى جميع الإيميلات الموجودة في دفتر عناوين الضحية.


التروجان: وهو عبارة عن برنامج يغري المستخدم باهميته او بشكله او باسمه ان كان جذاباً, و في الواقع هو برنامج يقوم بفتح باب خلفي ان صح التعبير بمجرد تشغيله , و من خلال هذا الباب الخلفي يقوم المخترق باختراق الجهاز و بامكانه التحكم بالجهاز بشكل كبير حتى في بعض الاحيان يستطيع القيام بامور , صاحب الجهاز نفسه لا يستطيع القيام بها , و هذا لا يرجع لملف التروجان, لكن ملف التروجان هو الذي فتح للمخترق الباب ان صح التعبير بتشغيله اياه.


الفيروس: كما ذكرنا , الفيروس عبارة عن برنامج صمم لينشر نفسه بين الملفات و يندمج او يلتصق بالبرامج. عند تشغيل البرنامج المصاب فانه قد يصيب باقي الملفات الموجودة معه في القرص الصلب او المرن, لذا الفيروس يحتاج الى تدخل من جانب المستخدم كي ينتشر , بطبيعة الحال التدخل عبارة عن تشغيله بعد ان تم جلبه من الايميل او تنزيله من الانترنت او من خلال تبادل الاقراص المرنة.

**********
___________________________________

كيف تعمل الفيروسات؟




في الواقع يقوم الفيروس في حالة إصابة الملف بإضافة نفسه في بداية أو نهاية الملف المصاب، دون أن يقوم فعلياً بأي تغيير في مكوّنات الملف الأصلية. لننظر للصورة التالية التي توضّح شكل البرنامج غير المصاب بفيروس:



نلاحظ أنه عند استدعاء البرنامج فإنه يعمل بشكل طبيعي.
والآن لنتصوّر أنه تم اصابة البرنامج بفيروس. في الواقع يقوم الفيروس بلصق نفسه في البرنامج كما أسلفنا دون أن يغير في محتويات الملف شيئاً. و طريقة اللصق تكون، إما أنه يقوم بلصق نفسه في بداية البرنامج، بحيث يتم تشغيله هو قبل البرنامج نفسه:





وقد تكون طريقة التحاق الفيروس بالملف بأن يضع نفسه في نهاية البرنامج المصاب. و يضع علامة في بدايته، هكذا:



إن هذا الفيروس، يختبئ في نهاية الملف المصاب، و يضع في مقدّمة البرنامج مؤشّراً بحيث أنه عندما يتم استدعاء البرنامج و تشغيله، يحوّل السيطرة للفيروس بدلاً من تشغيل البرنامج.

وفي الحالتين قد يعود الفيروس بعد الانتهاء من تنفيذ عمله المؤذي لتشغيل البرنامج، و لكنه قد لا يعود أيضاً. و يسبب أضراراً جسيمة للجهاز.

____________________________

أنواع الفيروسات:




هناك الآف من الفيروسات المنتشرة عبر الانترنت , لكن اغلبها ما يقع تحت هذه النقاط الستة:


فيروسات بدء التشغيل او Boot Sector Virus
هذا النوع من الفيروسات يصيب قطاع الاقلاع في الجهاز , و هو المكان المخصص الذي يتجه اليه الكمبيوتر في بداية تشغيل الجهاز. و هذا النوع من الفيروسات قد يمنع المستخدم من الوصول الى النظام ويمنعه من اقلاع الجهاز.


فيروس الملفات او File Virus
يصيب البرامج عادة , و ينتشر بين الملفات الاخرى و البرامج الاخرى عند تشغيله.


فيروس الماكرو او Macro Virus
هذه الفيروسات تصيب برامج الميكروسوفت اوفيس مثل الوورد و الاكسل, و تعتبر ذات انتشار واسع جدا تقدر ب 75% من عدد الفيروسات الموجودة. يقوم هذا النوع من الفيروسات بتغيير بعض المستندات الموجودة في القرص الصلب و خصوصا الوورد , قد تجد بعض التصرفات الغير منطقية في بعض الاحيان مثل طلب باسوورد لفتح ملف تعرف انك لم تضع عليه باسوورد , و ايضا تجد بعض الكلمات قد تغير مكانها و اضيفت كلمات جديدة لا علاقة لها بالموضوع . هي اساساً ليست ضارة, لكنها مزعجة نوعاً ما و قد تكون مدمرة احيانا!


الفيروس المتعدد الاجزاء او Multipartite Virus
و هو الذي يقوم باصابة الملفات مع قطاع الاقلاع في نفس الوقت و يكون مدمراً في كثير من الاحيان اذا لم تتم الوقاية منه.


الفيروس المتطور او Polymorphic Virus
هي فيروسات متطورة نوعا ما حيث انها تغير الشفرة كلما انتقلت من جهاز الى آخر. نظريا, يصعب على مضادات الفيروسات التخلص منها لكن عمليا و مع تطور المضادات فالخطر اصبح غير مخيف.


الفيروس المختفي اوStealth Virus

تخفي نفسها بان تجعل الملف المصاب سليما و تخدع مضادات الفيروسات بان الملف سليم و ليس مصاباً بفيروس. مع تطور مضادات الفيروسات اصبح من السهل كشف هذا النوع.
ماهي العلامات الشائعة لوجود فيروس في الجهاز:



بطء الجهاز الشديد، بما لا يتناسب مع عدد البرامج التي تعمل في نفس الوقت.
امتلاء القرص بما لا يتناسب مع عدد و حجم الملفات الموجودة عليه.
ظهور مربّعات حوار غريبة اثناء العمل على الجهاز.
اضاءة لمبة القرص الصلب أو القرص المرن، دون أن تقوم بعملية فتح أو حفظ ملف.



لابد أن تعرف أن هذه العلامات لا تعني بالضرورة وجود فيروس، فقد يكون بعضها بسبب مشكلة في عتاد الجهاز مثلاً.

______________________


يتبعــ.....

تابعـ....


_____________

أعراض الإصابة بالفيروس:

تصاحب الأعراض التالية ظهور الفيروس، وتعتبر علامات الإصابة به:

1- نقص شديد في الذاكرة:

ويلاحظ أن للذاكرة ثلاث حالات.. فقبل دخول الفيروس تكون الذاكرة في حالة طبيعية. ثم بعد أن يبدأ الفيروس في العمل فإنه يلاحظ نقص شديد في الذاكرة.. وذلك لأن الفيروس في هذه الحالة يبدأ في تدمير الذاكرة وكذلك ملفات التبادل (Swap Files) عن طريق إزالة البيانات المخزنة، مما ينتج عن توقف البرنامج العامل في الوقت ذاته لعدم وجود أي بيانات في الذاكرة، وإنما يستبدلها الفيروس بمجموعة من الأصفار في مكان تعليمات التشغيل.

أما الحالة الثالثة.. بعد أن يكرر الفيروس نفسه يحتل الذاكرة مثل ما احتلت إسرائيل فلسطين، ولكن الحق يقال أن الفيروس أرحم من إسرائيل لأنه من الممكن أن يزال أمّا إسرائيل فلم ولن يستطيع أي مضاد فيروسات أن يعمل معها.

2- بطء تشغيل النظام بصورة مبالغ فيها.

3- عرض رسائل الخطأ بدون أسباب حقيقية.

4- تغيير في عدد ومكان الملفات وكذلك حجمها بدون أي أسبا ب منطقية.

5- الخطأ في استعمال لوحة المفاتيح عن طريق إظهار أحرف غريبه أو خاطئة عند النقر على حرف معين.

6- توقف النظام بلا سبب (قلة أدب).

7- استخدام القرص الصلب بطريقة عشوائية.. وتستطيع أن تلاحظ ذلك من إضائة لمبة القرص الصلب حتى وإن كان لا يعمل.

8- اختلاط أدلة القرص أو رفض النظام العمل منذ البداية.

- استراتيجية الهجوم للفيروس:

أهداف هامة يجب عليه أن ينجزها وهي إمّا أن تكون برنامج أو ملف معين.

وهدف الهجوم يختلف من فيروس إلى آخر وأيضاً حسب نظام التشغيل.

- أماكن الفيروس الإستقرارية:

يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل، وهي التي لا يستطيع أي نظام أن يعمل بدونها.

وفي نظام ويندوز أو أي إصدار من أي نظام تشغيل آخر يعتمد على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM .

وذلك لأن الملف موجود دائماً في الدليل الرئيسي للفهرس الخاص بالنظام، وحيث أن هذا الملف هو المسؤول عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM, EXE, BAT.

وهناك حيلة طريفة يلجأ إليها بعض المبرمجين الأذكياء.. وهي أن يغير اسم هذا الملف لكي يصعب على الفيروس ربط نفسه به.

وهناك أيضا ملفات ( SYS, CONFIG, BAT, AUTOEXEC ) لأن النظام يبحث عن هذه الملفات عند بدء التشغيل، وينفذ ما بها من تعليمات.

وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس وهي: ( IBMBIO.COM, IBMDOS.COM ) وذلك لأنها ملفات مخفية، فبالرغم من وجودها في الفهرس الرئيسي إلاّ أنه يصعب اكتشاف الفيروس عند عرض دليل الملفات.

ومن أماكن الفيروسات المفضلة مخزن COMS .. وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام.

وهذا المكان في منتهى الخطورة لأنه: أولاً/ توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر. وثانياً/ لأنها أول مكان يتم تشغيله عند بدء التشغيل. كما أن هذا المكان لا يظهر عند عرض الملفات بالأمر DIR. أيضاً عن طريق هذا المكان
يحدد الفيروس توقيت تشغيله متى ما حانت ساعة الصفر.

_______________________________

كيف نحمي نفسنا من الفيروسات ؟

للحيطة و الحذر من الفيروسات-خاصة إذا كنت معتاداً على تبادل الأقراص المرنة، أو الملفات عبر الانترنت- لابد من اتخاذ الخطوات التالية:
لابد من موجود برنامج حماية من الفيروسات في جهازك.
لابد أن تقوم بتحديثه بشكل دوري، وإلا فلا فائدة من وجوده.
لا تقم بفتح المرفقات في أي إيميل لا تعرف مرسله.
لا تقم بفتح المرفقات في إيميلات أصدقائك إذا وجدتها تنتهي بـ exe أو bat أو أي امتداد لا تعرفه.
لا تقبل ملف من شخص لا تعرفه أبداً.
إذا قبلت ملفاً من شخص تعرفه، افحصه أيضاً ببرنامج الحماية، فقد يكون صديقك نفسه ضحية.
احرص على فحص جميع البرامج التي تقوم بتنزيلها من الإنترنت، أو تشغيلها من قرص مرن أو سي دي. قبل أن تشغّلها.



داوم على زيارة المواقع التي تهتم بالحماية
من الفيروسات، للإطلاع على كل ما هو جديد في هذا المجال، و لاتخاذ الحيطة، فدرهم
وقاية خيرٌ من قنطار علاج

_________________



كثير ما نستخدم برمجيات الانتى فيروس لكن ما هى وكيف تعمل فى هذه المقالة سوف نتعرف معا ما هى هذه البرمجيات

-----------------------------

اصبح بحكم الاكيد ان لوجود برمجيات الانتى فيروس بكافة انواعها وهذا بيرجع فى المقام الاول الى كفائة مثل هذه البرمجيات وما يكون عليه شكل مكتبتها وهل هى من النوعية التى تتقبل ان يتم تحديثها بكل سهولة ام لا
والمتعارف عليه ان مثل هذه البرمجيات لها رمز ثابت وهو av ) انتى فيروس(
ومن المستحيل ان نجد جهاز لا يوجد عليه اى نوع من الانتى فيروس والمقصود هنا مستخدمى الويندوز بكافة انواعه حيث يعتمد الكثير من الناس على بيئة اللينوكس كنظام تشغيل خالى بنسبة كبيرة جدا من الفيروسات
واصبح استخدام هذه البرمجيات av شى اساسى فى حياتهم
فهل سال احدنا ما هى برمجيات الانتى فيروس وما فائدتها وكيفية عملها
فى هذه المقالة سوف نتعرف على هذه البرمجيات الهامة والمقال يرجع الى الكاتب bill hayes وهو احد المختبرين لبرمجيات الانتى فيروس وتحديثاتها فى شركة سيمانتك
اولا - عند تحميل برمجيات الانتى فيروس على الاجهزة يتم عملها فى بيئتين وهما كتالى
اولا عند بدء تشغيل الاجهزة نفسها حيث يعمل مع ال start up ويقوم بعمل مسح لمنطقة الذاكرة الاساسية والتى تكون معرضة الى نوعيات كثيرة من الفيروسات ومثل هذه الفيروسات تكون اكثر خطورة حيث اصبحت اصابة البرمجيات كلها معرضة للفيروس وتعبر البرمجيات التى تعمل على فحص ال 640 k الاولى من الذاكرة عامل اساسى لكل البرمجيات av ويتم مراعات هذا فى عمل البرنامج نفسه وتسمى هذه الخاصية بال non - access virus واما الجزيئة الثانية فهى وهى التى تعمل فى الخلفية الاساسية للجهاز عند عمل اى برمجيات اخرى الى ان تتم عملية الshut down وهذه تسمى بال access virus scan
الاساس فى عمل الav
برمجيات الانتى فيروس تقوم بحماية الاجهزة من تعرضها للفيروسات اثناء العمل وهذا بالفحص الدورى لكل العمليات التى تتم اما فى الذاكرة او مع البرمجيات وهذا بفحص البصمات المختلفة التى يتركها الفيروس على البرمجيات او الملفات
ولبرمجيات النتى فيروس نوعين من الفحص الاول اسمه on demand والاخر اسمه on access scanning
النوع االول وهو الذى يوافق عليه المستخدم فى بداية العمل على الاجهزة الى ان يتم اغلاقه
اما النوع الثانى فهو الفحص الذى يتم على الاجهزة من بداية العمل والمقصودهنا الفحص على الرام (الذاكرة ) وهذا يكون دائما فعال فى الخلفية للويندوز
ويعتبر اهم نوع من الفحص هو النوع الثانى لانه يكون عليه الاعتماد الاساسى فى الفحص وهذا لانه قد تتعرض بعض ملفات البرمجيات للثلويث من ملفات او بصات الفيروس عليها ولا يتم كشفها الا بهذا الفحص ويتم عرض ما هى المنطقة التى تتم الاصابة فيها وايضا من هذا يتم معرفة نوع الفيروس هل هو ما يصيب الذاكرة او برمجيات معينة وعلى اساسه يتم عمل ال clean بطريقة سليمة
وايضا فى حال كونك من مستخدمى الانتى فيروس فى الشبكات وهذا ييكون له الاهمية القصوى
لانه يتم فحص البرمجيات عن بعد
مثال على هذا الفحص الذى يتم على الملفات المرفقة فى الايميلات حيث يتم الفحص من قبل السيرفر لو كان الملف المرسل مصاب او المحمل عليه ولكن ظهرت بعض الثغرات فى هذه الطريقة وهذا باضافة اومتدادت اخرى للملف
مثال mmmm.jpg.exe
وايضا عمليات الفحص التى تتم على الويب وما يحمله بعض المواقع من تروجان وهذه الخواص التى تتوافر فى بعض البرمجيات يكون لها مردود فعال من حيث نوعيات هذه البرمجيات ومدى الثقة فيها

التصميم الاساسى للبرنامج
يراعى فى تصميم برمجيات الانتى فيروس الناحية التقنية وهذا فى جانب ال on-access scanner حيث لابد ان يتم توافر نوعيات واساسيات الانظمة كلها فى الجانب التقنى لبرمجيات الانتى فيروس وهذا لتعدد انظمة التشغيل من بداء win95 --win 2k --- winxp --- win.net ومن هنا نجد ان التحديثات التى تتم على مثل هذه البرمجيات لا يتم فى تطوير المكتبة فقط كما يعتقد البعض ولكن فى الهيكل الاساسى للبرنامج حتى يتناسب مع التطوير الذى يحدث فى برمجيات التشغيل ايضا
وهذا ايضا بيرجع الى الاختلاف التام بين البرمجيات العاملة فقد يعتقد الكثير من ان برمجيات الويب ثماثل برمجيات الورد مثلا ولكن لكل من هذا وهذا بيئته الخاصة فى العمل وفى الفحص ايضا
ومع التطور الذى كان فى السابق كل عام او عامين اصبحنا الان نرى منتج تشغيلى لشركة ميكروسوفت كل شهرين او ثلاثة اما بالتعديل او بمنتج جديد ( قد اعتقد الكثير ان ويندوز xp لن يظهر بعدها لفترة لن تقل عن 4 اعوام ولكن الان نجد 3 اصدارت جديدة من نظم التشغيل )

وايضا تم مراعاة النواحى البرمجية المشابهة بين برمجيات الويندوز وما يمكن ان يتم تحديثه فى نواحى الفيروسات
وقد تكلم فى هذا peter szor وهو احد اهم الشخصيات فى مجال تطوير برمجيات نورتون حيث تحدث من ناحية تطوير النورتون نفسه فقال ان الاصدار 2003 تم رعايته من ناحية فحص ملفات ال apis و ال vxd حيث انها ملفات اساسية وكان فى السابق لا تتعرض للاصابة ولكن الان ظهرت برمجيات فيروسية تصيب هذه الملفات بل وتحل محلها فى قاعدة البيانات الخاصة بالويندوز نفسه
لعل البعض منا يذكر فيروسات ذات الامتداد cpl وهو نفس امتداد ملفات ال control panel
وفى الحال الاساسى ال on-access scanner يقوم بفحص الملفات فى كل مرة يتم فتح الملف حتى لو تم غلقه وفتحه مرة اخرى
وهذا بيرجع لسبب بسيط جدا انه لا يتم اغلاق الملف او البرنامج بشكل فعلى بل يتم تعليق ملفات ال api الخاصة بالملف المغلق فى الذاكرة وفى حال ان تتم الاصابة بعد قليل فسوف يتم اصابة هذه الملفات مرة اخرى فور فتحها
مثال بسيط ( لو انك تعمل على شبكة وعلى جهازك تم تركيب طابعة بحيث تكون هذه الطابعة لخدمة الشكبة كلها وتم طلب عمل برنت لاحد الملفات ولكن كانت الطابعة فى مثل هذا الوقت مغلقة عند قيامك بغلق الجهاز سيتم ظهور رسالة لك ان هناك من يريد ان يطبع ملف ما فها توافق على عملية الطباعة ام لا )
وهناك عبارة شهيرة يعرفها كل من يعمل فى مجال برمجيات الانتى فيروس
"in order to catch them at the infaction stage the on-access scanner must be able to scan on close ;not just on open "
****

___________

انتهى الشرح ولكن الموقع قررت ان لا اضعه وذلك

لاني لا اريد ذنوباً اكثر من ذنوبي

مع تحياتي : L O R D