فيروسات الكمبيوتر أصبحت سهلة
أنا الفيروسات
1 التعريف - ما هي الشيفرات الخبيثة؟
يشير الرمز الضار إلى أي تعليمات أو مجموعة من الإرشادات التي تؤدي وظيفة مشبوهة دون موافقة المستخدم.
2 التعريف - ما هو فيروس الكمبيوتر؟
فيروس الكمبيوتر هو شكل من أشكال التعليمات البرمجية الضارة. إنها عبارة عن مجموعة من التعليمات (أي برنامج) تتماثل في حد ذاتها معدية وتؤدي إلى تقليد فيروس بيولوجي.
3 فيروسات البرامج و Infectors قطاع التمهيد
يمكن أولاً تصنيف الفيروسات من حيث ما تصيبها. تعرف الفيروسات التي تصيب برامج المستخدم مثل الألعاب ومعالجات النصوص (Word) وجداول البيانات (Excel) و DBMS (Access) بفيروسات البرامج. تُعرف الفيروسات التي تصيب قطاعات التمهيد (يتم شرحها لاحقًا) و / أو سجلات التشغيل الرئيسية (التي يتم شرحها لاحقًا) باسم infectors قطاع التمهيد. بعض الفيروسات تنتمي إلى كلا المجموعتين. جميع الفيروسات لها ثلاث وظائف: إعادة إنتاج ، إصابة ، وتسليم الحمولة. لنلقِ نظرة على فيروسات البرنامج أولاً.
3.1 كيف يعمل فيروس البرنامج؟
يجب أن يرتبط فيروس البرنامج بالبرامج الأخرى حتى يكون موجودًا. هذه هي الخاصية الرئيسية التي تميز الفيروس عن الأشكال الأخرى من الأكواد الخبيثة: لا يمكن أن توجد من تلقاء نفسها ؛ إنه طفيلي في برنامج آخر. يُعرف البرنامج الذي يغزوه فيروس باسم البرنامج المضيف. عند تنفيذ برنامج مصاب بالفيروس ، يتم تنفيذ الفيروس أيضًا. يؤدي الفيروس الآن أول وظيفتين لهما في نفس الوقت: التكاثر والإصابة.
بعد تنفيذ البرنامج المصاب ، يتحكم الفيروس من المضيف ويبدأ في البحث عن برامج أخرى على نفس الأقراص أو الأقراص الأخرى التي لم تتأثر حاليًا. عندما تعثر على واحدة ، فإنها تنسخ نفسها في البرنامج غير المصاب. بعد ذلك ، قد يبدأ البحث عن المزيد من البرامج للإصابة. بعد اكتمال الإصابة ، يتم إرجاع التحكم إلى البرنامج المضيف. عند إنهاء البرنامج المضيف ، تتم إزالته وربما الفيروس أيضًا من الذاكرة. من المحتمل أن يكون المستخدم غير مدرك تمامًا لما حدث للتو.
هناك اختلاف في طريقة العدوى هذه يتضمن ترك الفيروس في الذاكرة حتى بعد انتهاء المضيف. سيبقى الفيروس الآن في الذاكرة حتى يتم إيقاف تشغيل الكمبيوتر. من هذا الموضع ، قد يصيب الفيروس البرامج بمحتوى قلبه. في المرة التالية التي يقوم فيها المستخدم بتشغيل جهاز الكمبيوتر الخاص به ، قد ينفذ أحد تطبيقاته المصابة دون علم.
بمجرد وجود الفيروس في الذاكرة ، هناك خطر من احتمال استدعاء الوظيفة الثالثة للفيروس: تسليم الحمولة. قد يكون هذا النشاط أي شيء يريده منشئ الفيروسات ، مثل حذف الملفات أو إبطاء الكمبيوتر. يمكن أن يظل الفيروس في الذاكرة ، لينقل حموله إلى أن يتم إيقاف تشغيل الكمبيوتر. يمكن أن يعدل ملفات البيانات ، أو يتلف أو يحذف ملفات وبرامج البيانات ، وما إلى ذلك. يمكن أن ينتظرك بصبر لإنشاء ملفات البيانات باستخدام معالج النصوص وجداول البيانات وقاعدة البيانات ، إلخ. ثم ، عند الخروج من البرنامج ، يمكن للفيروس تعديل أو حذف ملفات البيانات الجديدة.
3.1.1 عملية العدوى
يصيب فيروس البرنامج عادة البرامج الأخرى عن طريق وضع نسخة من نفسه في نهاية الهدف المقصود (البرنامج المضيف). يقوم بعد ذلك بتعديل الإرشادات القليلة الأولى للبرنامج المضيف بحيث ينتقل التحكم إلى الفيروس عند تنفيذ المضيف. بعد ذلك ، يعود التحكم إلى البرنامج المضيف. جعل قراءة البرنامج فقط هو حماية غير فعالة ضد الفيروس. يمكن للفيروسات الوصول إلى الملفات للقراءة فقط عن طريق تعطيل السمة للقراءة فقط. بعد الإصابة ، ستتم استعادة السمة للقراءة فقط. أدناه ، يمكنك رؤية تشغيل البرنامج قبل وبعد إصابته.
قبل العدوى
1. التعليمات 1
2. التعليمات 2
3. التعليمات 3
4. التعليمات ن
نهاية البرنامج
بعد العدوى
1. القفز إلى تعليمات الفيروس 1
2. برنامج المضيف
3. تعليمات المضيف 1
4. تعليمات المضيف 2
5. تعليمات المضيف 3
6. المضيف تعليمات ن
7. نهاية البرنامج المضيف
8. برنامج الفيروسات
9. تعليمات الفيروسات 1
10. تعليمات الفيروسات 2
11. تعليمات الفيروسات 3
12. تعليم الفيروسات ن
13. انتقل إلى تعليمات المضيف 1
14. نهاية برنامج الفيروس
3.2 كيف يعمل قطاع قطاع التمهيد؟
على الأقراص الثابتة ، المسار 0 ، يُعرف القطاع 1 باسم سجل التشغيل الرئيسي. يحتوي MBR على برنامج بالإضافة إلى بيانات تصف القرص الثابت المستخدم. يمكن تقسيم القرص الصلب إلى قسم واحد أو أكثر. القطاع الأول من القسم الذي يحتوي على نظام التشغيل هو قطاع التمهيد.
يعد قطاع قطاع التمهيد أكثر تقدماً بعض الشيء من فيروس البرنامج ، لأنه يغزو منطقة من القرص تكون عادةً خارج حدود المستخدم. لفهم كيفية عمل قطاع قطاع التمهيد (BSI) ، يجب أولاً فهم شيء يسمى إجراء التمهيد. يبدأ تسلسل الخطوات هذا عند الضغط على مفتاح الطاقة ، وبالتالي تنشيط مزود الطاقة. يبدأ مزود الطاقة في تشغيل وحدة المعالجة المركزية ، والتي تقوم بدورها بتنفيذ برنامج ROM يعرف باسم BIOS. يقوم BIOS باختبار مكونات النظام ، ثم يقوم بتنفيذ MBR. تقوم MBR بعد ذلك بتحديد موقع وتنفيذ قطاع التمهيد الذي يقوم بتحميل نظام التشغيل. لا يتحقق BIOS لمعرفة ما هو البرنامج في المسار 0 ، القطاع 1 ؛ يذهب ببساطة هناك وينفذها.
لمنع المخطط التالي من أن يصبح كبيرًا جدًا ، سيشير قطاع التمهيد إلى كل من قطاع التمهيد و MBR. نقل قطاع قطاع التمهيد محتويات قطاع التمهيد إلى موقع جديد على القرص. ثم يضع نفسه في موقع القرص الأصلي. في المرة التالية التي يتم فيها تشغيل الكمبيوتر ، سينتقل BIOS إلى قطاع التمهيد وينفذ الفيروس. يوجد الفيروس الآن في الذاكرة وقد يظل هناك حتى يتم إيقاف تشغيل الكمبيوتر. أول شيء سيفعله الفيروس هو تنفيذ البرنامج الذي كان في قطاع التمهيد في موقعه الجديد. سيقوم هذا البرنامج بعد ذلك بتحميل نظام التشغيل وسيستمر كل شيء كالمعتاد فيما عدا أنه يوجد الآن فيروس في الذاكرة. يمكن الاطلاع على إجراء الإقلاع ، قبل وبعد الإصابة الفيروسية ، أدناه.
قبل العدوى
1. اضغط مفتاح الطاقة
2. امدادات الطاقة تبدأ وحدة المعالجة المركزية
3. وحدة المعالجة المركزية تنفذ BIOS
4. BIOS اختبارات المكونات
5. BIOS ينفذ قطاع التمهيد
6. قطاع التمهيد الأحمال OS
بعد العدوى
1. اضغط مفتاح الطاقة
2. امدادات الطاقة تبدأ وحدة المعالجة المركزية
3. وحدة المعالجة المركزية تنفذ BIOS
4. BIOS اختبارات المكونات
5. BIOS ينفذ قطاع التمهيد
6. BSI ينفذ برنامج قطاع التمهيد الأصلي في موقع جديد
7. يقوم برنامج قطاع التمهيد الأصلي بتحميل نظام التشغيل (يبقى BSI في الذاكرة عند اكتمال عملية التمهيد)
BSI = قطاع التمهيد التمهيد
4 فيروس الشبح
تتعامل طريقة أخرى لتصنيف الفيروسات مع الطريقة التي تختبئ بها داخل مضيفها ، وتنطبق على كل من فيروسات قطاع البرامج والتمهيد. يصيب فيروس عادي برنامج أو قطاع تمهيد ثم يجلس هناك. نوع خاص من الفيروسات يُعرف باسم فيروس التخفي ، يشفر نفسه عندما يختبئ داخل برنامج أو قطاع تمهيد آخر. ومع ذلك ، فإن الفيروس المشفر غير قابل للتنفيذ. لذلك ، يترك الفيروس علامة صغيرة معلقة لا يتم تشفيرها مطلقًا. عند تنفيذ البرنامج المضيف أو قطاع التمهيد ، تتحكم العلامة في فك تشفير بقية الفيروس. بعد ذلك ، قد يقوم الفيروس الذي تم فك تشفيره بالكامل بوظائف Infect و Reproduce أو وظيفة تسليم Payload اعتمادًا على الطريقة التي تمت بها كتابة الفيروس.
شكل متقدم من فيروس الشبح هو فيروس الشبح متعدد الأشكال ، الذي يستخدم خوارزمية تشفير مختلفة في كل مرة. ومع ذلك ، يجب عدم تشفير العلامة بأي شكل من الأشكال. خلاف ذلك ، لن يكون قابلاً للتنفيذ وغير قادر على فك تشفير بقية الفيروس.
5 قنبلة المنطق
غالبًا ما تتم برمجة الفيروسات للانتظار حتى يتم استيفاء شرط معين قبل تسليم حمولتها. تتضمن هذه الشروط: بعد إعادة إنتاج نفسه عددًا معينًا من المرات ، عندما يكون القرص الصلب ممتلئًا بنسبة 75٪ ، وما إلى ذلك ، تُعرف هذه الفيروسات باسم القنابل المنطقية لأنها تنتظر حتى تصبح الحالة المنطقية صحيحة قبل تسليم الحمولة النافعة.
5.1 قنبلة موقوتة
يتم استخدام مصطلح قنبلة موقوتة للإشارة إلى فيروس ينتظر حتى تاريخ و / أو وقت معين قبل تسليم حمولته. على سبيل المثال ، تنفجر بعض الفيروسات يوم الجمعة 13 أو 1 أبريل أو 31 أكتوبر. كان فيروس مايكل أنجلو في السادس من مارس كتاريخ إطلاقه. يعني الانتظار حتى تاريخ و / أو وقت محدد قبل تسليم الحمولة أن القنبلة الزمنية هي نوع محدد من القنابل المنطقية (تمت مناقشتها سابقًا) لأن انتظار التاريخ / الوقت يعني أن الفيروس ينتظر حدوث شرط منطقي. هناك تداخل كبير في هذه المجالات لوصف الفيروسات. على سبيل المثال ، يمكن أن يكون فيروس معين فيروسًا برنامجيًا ، وفيروسًا خلطيًا متعدد الأشكال. فيروس آخر يمكن أن يكون مصاب قطاع التمهيد ، فيروس الشبح وقنبلة موقوتة. يشير كل مصطلح إلى جانب مختلف من الفيروس.
الثاني أكثر على الخبيثة
1 حصان طروادة
حصان طروادة هو برنامج مستقل وشكل من أشكال الأكواد الخبيثة. إنه ليس فيروسًا ولكنه برنامج يعتقد أنه سيفعل شيئًا واحدًا ولكنه يفعل شيئًا آخر في الواقع. يتم تضليل المستخدم بواسطة اسم البرنامج الذي يغري المستخدمين المطمئنين لتشغيله ، وبمجرد تنفيذه ، يتم استدعاء جزء من التعليمات البرمجية الضارة. قد تكون الشفرة الخبيثة فيروسًا ولكن لا يجب أن تكون كذلك. قد يكون ببساطة بعض الإرشادات التي ليست معدية ولا تتكاثر ذاتياً ولكنها تقدم نوعًا من الحمولة النافعة. كان حصان طروادة من أيام DOS هو SEX.EXE الذي أصيب بفيروس عن قصد. إذا وجدت برنامجًا يحمل هذا الاسم على القرص الثابت ، فهل ستقوم بتنفيذه؟ عندما تم تحميل البرنامج ، ظهرت بعض الصور المثيرة للاهتمام على الشاشة لتشتيت انتباهك. في الوقت نفسه ، كان الفيروس المشمول يصيب القرص الصلب لديك. في وقت لاحق في وقت لاحق ، سارعت الوظيفة الثالثة للفيروس إلى FAT (جدول تخصيص الملفات) على القرص الثابت ، مما يعني أنك لا تستطيع الوصول إلى أي من برامجك وملفات البيانات والمستندات وما إلى ذلك.
يمكن أن يجد حصان طروادة طريقه إلى القرص الثابت بطرق مختلفة. الأكثر شيوعا إشراك الإنترنت.
- يمكن تنزيله دون إذنك أثناء تنزيل شيء آخر.
- يمكن تنزيله تلقائيًا عند زيارة بعض المواقع.
- يمكن أن يكون مرفق في رسالة بريد إلكتروني.
كما ذكر في وقت سابق ، اسم ملف حصان طروادة يغري المستخدمين المطمئنين لتشغيله. إذا كان حصان طروادة مرفقًا في رسالة بريد إلكتروني ، فيمكن أيضًا كتابة سطر الموضوع الخاص بالبريد الإلكتروني لإغراء المستخدم لتشغيله. على سبيل المثال ، يمكن أن يكون الموضوع هو "لقد ربحت 5 ملايين دولار!" واسم الملف المرفق يمكن أن يكون "مليون دولار winner.exe".
2 الديدان
الدودة ليست فيروس. بدلاً من ذلك ، إنه شكل من الأكواد الخبيثة التي تنتج وتسلم حمولة ولكن ليست معدية. إنه برنامج مستقل موجود من تلقاء نفسه مثل حصان طروادة أو أي برنامج عادي. لا يمكن أن توجد الفيروسات بمفردها. الديدان لا تصيب البرامج ، لكنها تتكاثر ، وعادة ما تنتقل باستخدام تقنية حصان طروادة.
3 تسليم الحمولة - ماذا يمكن أن تفعل الشيفرات الخبيثة؟
- عرض رسالة أو رسم على الشاشة ، مثل عدد من السرطانات التي تزحف ببطء حول التهام وتدمير كل ما يعثرون عليه. كان يسمى هذا الفيروس القديم جدا سرطان البحر.
- مطالبة المستخدم بأداء وظيفة معينة مثل الضغط على سلسلة معينة من المفاتيح قبل السماح باستئناف التشغيل العادي. مثال على ذلك فيروس Cookie Monster ، حيث يظهر Cookie Monster على الشاشة ويطلب ملف تعريف ارتباط قبل أن يعيد التحكم في جهاز الكمبيوتر الخاص بك إليك. سيكون عليك الرد عن طريق كتابة ملف تعريف الارتباط. بعد عدة دقائق ، عاد إلى الظهور وطلب ملف تعريف ارتباط آخر.
- التسبب في قفل الكمبيوتر و / أو الماوس وتصبح غير صالحة للعمل حتى يتم إعادة تمهيد النظام.
- إعادة تعريف لوحة المفاتيح (اضغط r و تظهر k ، إلخ).
- التسبب في تشغيل الكمبيوتر في جزء صغير من سرعته العادية.
- محو واحد أو أكثر من ملفات الكمبيوتر.
- تغيير أو إتلاف محتويات ملفات البيانات (بمهارة أو غير ذلك) ، وغالبًا بطريقة لا يمكن كشفها للمستخدم تقريبًا حتى تاريخ لاحق. على سبيل المثال ، قد تنقل الشفرة الخبيثة العلامة العشرية في ملف ميزانية جدول بيانات ، أو تغيير الكلمة الأولى من كل فقرة في ملف معالج النصوص إلى "مسكتك!"
ثالثا الصيانة الوقائية
أفضل طريقة لتجنب الوقوع ضحية لهجوم فيروس هي منع النظام الخاص بك من الإصابة بفيروس. من خلال اتخاذ تدابير وقائية بسيطة ، يمكنك تقليل فرص إصابة جهازك.
- تثبيت برنامج مكافحة الفيروسات. أوصي Avast Free Antivirus. إنها حماية مجانية وشاملة وتعمل بشكل جيد.
- قم فقط بزيارة المواقع التي تثق بها
- عمل نسخ احتياطية من البيانات الخاصة بك
إرسال تعليق