الرئيسية
البوابة
أحدث الصور
التسجيل
دخولأعراض الإصابة بالفيروسات
صفحة 1 من اصل 1
أعراض الإصابة بالفيروسات
محمد زياد الأحد مارس 29, 2009 7:53 am
أعراض الإصابة بالفيروس
تصاحب الأعراض التالية ظهور الفيروس وتعتبر علامات الإصابة به:
1-نقص شديد في الذاكرة للذاكرة ثلاث حالات.. فقبل دخول الفيروس
تكون الذاكرة في حالة طبيعية. ثم بعد أن يبدأ الفيروس في العمل
يلاحظ نقص شديد في الذاكرة. وذلك لأن الفيروس في هذه الحالة
يبدأ في تدمير الذاكرة وكذلك ملفات التبادل Swap Files عن طريق
إزالة البيانات المخزنة، مما ينتج عنه توقف البرنامج العامل
في الوقت ذاته لعدم وجود أي بيانات في الذاكرة، وإنما يستبدلها
الفيروس بمجموعة من الأصفار في مكان تعليمات التشغيل.
أما الحالة الثالثة بعد أن يكرر الفيروس نفسه يحتل الذاكرة.
2-بطء تشغيل النظام بصورة مبالغ فيها.
3-عرض رسائل الخطأ بدون أسباب حقيقية.
4-تغيير في عدد ومكان الملفات وكذلك حجمها بدون أي أسباب منطقية.
5-الخطأ في استخدام لوحة المفاتيح عن طريق إظهار أحرف غريبة
أو خاطئة عند النقر على حرف معين.
6-توقف النظام بلا سبب.
7-استخدام القرص الصلب بطريقة عشوائية. وتستطيع أن تلاحظ ذلك
من إضاءة لمبة القرص الصلب حتى وإن كان لا يعمل.
8-إختلاط أدلة القرص أو رفض النظام العمل منذ البداية.
إستراتيجية الهجوم للفيروس
أهداف هامة يجب عليه أن ينجزها وهي إما أن تكون برنامجاً أو ملفاً
]معيناً. وهدف الهجوم يختلف من فيروس إلي آخر
وأيضاً حسب نظام التشغيل.
أماكن الفيروس الإستقرارية
يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل
وهي التي لا يستطيع أي نظام أن يعمل بدونها. وفي
نظام Windows أو أي إصدار من أي نظام تشغيل آخر يعتمد
على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM. وذلك لأن الملف موجود دائماً في الدليل
الرئيسي للفهرس الخاص بالنظام حيث أن هذا الملف هو المسئول
عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت
من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM, EXE, BAT . . وفيروسات هذا النوع أكثر تنوعاً
من فيروسات قطاع بدء التشغيل . ويمكن تصنيف فيروسات البرامج
في أربع مجموعات:
الفيروسات المتطفلة:
]وهي التي تلصق نفسها بالملفات لكي تتكاثر وتبقي
الملف الأصلي بحالة سليمة في الغالب.
الفيروسات المرافقة:
تعتمد على قاعدة الأسبقية في التنفيذ للملفات COM. وتتمكن
من نقل العدوى عن طريق إنشاء ملف جديد بدون تغيير طول الملف.
الفيروسات الرابطة:
تصيب البرامج بتغيير المعلومات في جدول مواقع الملفات FAT
بحيث تبدأ البرامج المصابة من الموقع ذاته، وهو عادة الـ Cluster
الأخير في القرص والذى يتضمن نص الفيروس، مما يضمن له
انتشاراً سريعاً كما في فيروس DIRII.
الفيروسات المستبدلة:
تقوم بالكتابة فوق جزء من البرنامج بدون تغيير حجم الملف
مما يؤدي إلي فشل البرنامج عند تنفيذه كما في
فيروس BURGER405. وهناك حيلة طريفة يلجأ إليها بعض
المبرمجين الأذكياء. بتغيير إسم هذا الملف لكي يصعب على
الفيروس ربط نفسه به. وهناك أيضاً ملفات
SYS, CONFIG, BAT, AUTOEXEC
حيث يبحث النظام عنها عند بدء التشغيل وينفذ ما بها من تعليمات
وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس
وهي: IBMBIO.COM, IBMDOS.COM لأنها ملفات مخفية فبالرغم
من وجودها في الفهرس الرئيسي إلا إنه يصعب اكتشاف الفيروس
عند عرض دليل الملفات. ومن أماكن الفيروسات المفضلة
مخزن COMS. وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام.
وهذا المكان في منتهى الخطورة لأنه:
توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة
على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر.
لأنها أول مكان يتم تشغيله عند بدء التشغيل. كما أن هذا المكان
لا يظهر عند عرض الملفات بالأمر DIR.
عن طريق هذا المكان يحدد الفيروس توقيت تشغيله متى حانت
ساعة الصفر. المكان الآخر الذي يمكن للفيروسات إصابته
والاستقرار فيه هو ملفات البرامج وخاصة الملفات التنفيذية
من نوع COM. و EXE. أو SYS. وغيرها .
تصاحب الأعراض التالية ظهور الفيروس وتعتبر علامات الإصابة به:
1-نقص شديد في الذاكرة للذاكرة ثلاث حالات.. فقبل دخول الفيروس
تكون الذاكرة في حالة طبيعية. ثم بعد أن يبدأ الفيروس في العمل
يلاحظ نقص شديد في الذاكرة. وذلك لأن الفيروس في هذه الحالة
يبدأ في تدمير الذاكرة وكذلك ملفات التبادل Swap Files عن طريق
إزالة البيانات المخزنة، مما ينتج عنه توقف البرنامج العامل
في الوقت ذاته لعدم وجود أي بيانات في الذاكرة، وإنما يستبدلها
الفيروس بمجموعة من الأصفار في مكان تعليمات التشغيل.
أما الحالة الثالثة بعد أن يكرر الفيروس نفسه يحتل الذاكرة.
2-بطء تشغيل النظام بصورة مبالغ فيها.
3-عرض رسائل الخطأ بدون أسباب حقيقية.
4-تغيير في عدد ومكان الملفات وكذلك حجمها بدون أي أسباب منطقية.
5-الخطأ في استخدام لوحة المفاتيح عن طريق إظهار أحرف غريبة
أو خاطئة عند النقر على حرف معين.
6-توقف النظام بلا سبب.
7-استخدام القرص الصلب بطريقة عشوائية. وتستطيع أن تلاحظ ذلك
من إضاءة لمبة القرص الصلب حتى وإن كان لا يعمل.
8-إختلاط أدلة القرص أو رفض النظام العمل منذ البداية.
إستراتيجية الهجوم للفيروس
أهداف هامة يجب عليه أن ينجزها وهي إما أن تكون برنامجاً أو ملفاً
]معيناً. وهدف الهجوم يختلف من فيروس إلي آخر
وأيضاً حسب نظام التشغيل.
أماكن الفيروس الإستقرارية
يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل
وهي التي لا يستطيع أي نظام أن يعمل بدونها. وفي
نظام Windows أو أي إصدار من أي نظام تشغيل آخر يعتمد
على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM. وذلك لأن الملف موجود دائماً في الدليل
الرئيسي للفهرس الخاص بالنظام حيث أن هذا الملف هو المسئول
عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت
من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM, EXE, BAT . . وفيروسات هذا النوع أكثر تنوعاً
من فيروسات قطاع بدء التشغيل . ويمكن تصنيف فيروسات البرامج
في أربع مجموعات:
الفيروسات المتطفلة:
]وهي التي تلصق نفسها بالملفات لكي تتكاثر وتبقي
الملف الأصلي بحالة سليمة في الغالب.
الفيروسات المرافقة:
تعتمد على قاعدة الأسبقية في التنفيذ للملفات COM. وتتمكن
من نقل العدوى عن طريق إنشاء ملف جديد بدون تغيير طول الملف.
الفيروسات الرابطة:
تصيب البرامج بتغيير المعلومات في جدول مواقع الملفات FAT
بحيث تبدأ البرامج المصابة من الموقع ذاته، وهو عادة الـ Cluster
الأخير في القرص والذى يتضمن نص الفيروس، مما يضمن له
انتشاراً سريعاً كما في فيروس DIRII.
الفيروسات المستبدلة:
تقوم بالكتابة فوق جزء من البرنامج بدون تغيير حجم الملف
مما يؤدي إلي فشل البرنامج عند تنفيذه كما في
فيروس BURGER405. وهناك حيلة طريفة يلجأ إليها بعض
المبرمجين الأذكياء. بتغيير إسم هذا الملف لكي يصعب على
الفيروس ربط نفسه به. وهناك أيضاً ملفات
SYS, CONFIG, BAT, AUTOEXEC
حيث يبحث النظام عنها عند بدء التشغيل وينفذ ما بها من تعليمات
وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس
وهي: IBMBIO.COM, IBMDOS.COM لأنها ملفات مخفية فبالرغم
من وجودها في الفهرس الرئيسي إلا إنه يصعب اكتشاف الفيروس
عند عرض دليل الملفات. ومن أماكن الفيروسات المفضلة
مخزن COMS. وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام.
وهذا المكان في منتهى الخطورة لأنه:
توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة
على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر.
لأنها أول مكان يتم تشغيله عند بدء التشغيل. كما أن هذا المكان
لا يظهر عند عرض الملفات بالأمر DIR.
عن طريق هذا المكان يحدد الفيروس توقيت تشغيله متى حانت
ساعة الصفر. المكان الآخر الذي يمكن للفيروسات إصابته
والاستقرار فيه هو ملفات البرامج وخاصة الملفات التنفيذية
من نوع COM. و EXE. أو SYS. وغيرها .
محمد زياد- عدد المساهمات : 10
نقاط : 22930
تاريخ التسجيل : 23/03/2009
مواضيع مماثلة» الوقاية من الإصابة بالفيروسات
» كيف تحدث الإصابة بالفيروسات ؟
» الوقاية من الإصابة بالفيروسات
» أعراض الإصابة بالفيروس
» اعراض الاصابة
» كيف تحدث الإصابة بالفيروسات ؟
» الوقاية من الإصابة بالفيروسات
» أعراض الإصابة بالفيروس
» اعراض الاصابة
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى