الرئيسية
البوابة
أحدث الصور
التسجيل
دخولبحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
صفحة 1 من اصل 1
بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
صدام المزعل الإثنين مارس 30, 2009 3:59 pm
أماكن الفيروس الإستقرارية
يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل وهي التي لا يستطيع أي نظام أن يعمل بدونها. وفي نظام Windows أو أي إصدار من أي نظام تشغيل آخر يعتمد على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM. وذلك لأن الملف موجود دائماً في الدليل الرئيسي للفهرس الخاص بالنظام حيث أن هذا الملف هو المسئول عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM, EXE, BAT . . وفيروسات هذا النوع أكثر تنوعاً من فيروسات قطاع بدء التشغيل . ويمكن تصنيف فيروسات البرامج في أربع مجموعات:
** الفيروسات المتطفلة: وهي التي تلصق نفسها بالملفات لكي تتكاثر وتبقي الملف الأصلي بحالة سليمة في الغالب.
** الفيروسات المرافقة: تعتمد على قاعدة الأسبقية في التنفيذ للملفات COM. وتتمكن من نقل العدوى عن طريق إنشاء ملف جديد بدون تغيير طول الملف.
** الفيروسات الرابطة: تصيب البرامج بتغيير المعلومات في جدول مواقع الملفات FAT بحيث تبدأ البرامج المصابة من الموقع ذاته، وهو عادة الـ Cluster الأخير في القرص والذى يتضمن نص الفيروس، مما يضمن له انتشاراً سريعاً كما في فيروس DIRII.
** الفيروسات المستبدلة: تقوم بالكتابة فوق جزء من البرنامج بدون تغيير حجم الملف، مما يؤدي إلي فشل البرنامج عند تنفيذه كما في فيروس BURGER405.
وهناك حيلة طريفة يلجأ إليها بعض المبرمجين الأذكياء. بتغيير إسم هذا الملف لكي يصعب على الفيروس ربط نفسه به. وهناك أيضاً ملفات SYS, CONFIG, BAT, AUTOEXEC حيث يبحث النظام عنها عند بدء التشغيل وينفذ ما بها من تعليمات. وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس وهي: IBMBIO.COM, IBMDOS.COM لأنها ملفات مخفية فبالرغم من وجودها في الفهرس الرئيسي إلا إنه يصعب اكتشاف الفيروس عند عرض دليل الملفات. ومن أماكن الفيروسات المفضلة مخزن COMS. وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام. وهذا المكان في منتهى الخطورة لأنه:
** توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر.
** لأنها أول مكان يتم تشغيله عند بدء التشغيل. كما أن هذا المكان لا يظهر عند عرض الملفات بالأمر DIR.
** عن طريق هذا المكان يحدد الفيروس توقيت تشغيله متى حانت ساعة الصفر. المكان الآخر الذي يمكن للفيروسات إصابته والاستقرار فيه هو ملفات البرامج وخاصة الملفات التنفيذية من نوع COM. و EXE. أو SYS. وغيرها .
أشكال الفيروسات
تظهر الفيروسات في عالم الكمبيوتر بأشكال عديدة أهمها:
1- السريع
بمجرد دخول هذا النوع من الفيروسات إلي الكمبيوتر يصيب كل الملفات التي يتم تنفيذها في ذلك الوقت، وهي ليست خطيرة كثيراً كما يمكن أن يتخيل البعض، فالتخلص منها سهل للغاية، حيث تقوم معظم برامج حماية الفيروسات بفحص الذاكرة الرئيسة بشكل دوري، ومن الطبيعي أن يكون الفيروس السريع متواجداً هناك، إذ يصيب كل الملفات الموجودة في الذاكرة، عندها يتم اكتشافه من قبل برنامج الحماية فإنه يتخلص منه.
2- البطيء
تتلخص فكرة هذا النوع من الفيروسات أنه كلما كان انتشاره بطيئاً صعب اكتشافه والتخلص منه سريعاً. وهناك العديد من الطرق التي يمكن أن يعمل بها، ولكن الأسلوب التقليدي الذي يعمل به الفيروس البطيء هو إصابة الملفات التي كنت تنوي تعديلها، مما يعني إنه لو كنت تشغل كاشف للتغييرات كحماية ضد الفيروسات، يخبرك عندها أن هناك إصابة وتغيير في أحد الملفات، ولكن بما أنك قررت عمل تغييرات في ذلك الملف أصلاً فستوافق على ذلك، وتتقبل الفيروس بكل طيب خاطر. وعندما تنسخ ملفاً على قرص مرن، يكون ذلك الملف معطوباً أصلاً، وعند نسخه على كمبيوتر آخر محمي ببرامج الحماية ضد الفيروسات وبكاشف التغييرات على الملفات الذي يحذرك من التغيير الذي طرأ على الملف الأصلي فتؤكد له معرفتك بذلك ظاناً أنه يعطيك تحذيراً على التغييرات التي قمت أنت بها، وتكون النتيجة إصابة الكمبيوتر الثاني بالفيروس.
3- المتسلل
هو ذلك الفيروس الذي يختبئ في الذاكرة الرئيسية ويسيطر على المقاطعات. يكون لكل جهاز طرفي رقم معين من قبل المعالج الرئيسي يسمى مقاطع، مهمته تنسيق التخاطب بين الأجهزة الطرفية المختلفة داخل الكمبيوتر. ففي حالة الفيروس الذي يصيب مقطع التشغيل فإنه يسيطر على مقاطع القراءة/الكتابة على القرص الصلب رقم 13h، وإن كان متسللاً فإن أي برنامج يحاول القراءة من مقطع التشغيل يقوم الفيروس بقراءة المعلومات الأصلية التي قام بتخزينها في مكان آخر بدلاً من المعلومات المعطوبة في مقطع التشغيل، ولا يشعر المستخدم بأي تغيير ولا يتمكن من لمس الفرق.
4- متعدد الأشكال
تعتبر برامج حماية الفيروسات التي تستخدم تقنية مسح الذاكرة بحثاً عن الفيروسات هي الأكثر شيوعاً في العالم، لذلك تكون هذه البرامج هي التحدي لكل مبرمج للفيروسات يحاول التغلب عليه. لذا وجدت الفيروسات متعددة الأشكال، التي لو تمت مقارنة نسختين من الفيروس نفسه معاً لم تتطابقا. وهذا يصعب مهمة برامج الحماية ويتطلب منها القيام بأمور مختلفة أكثر تعقيداً لاكتشاف هذا النوع من الفيروسات
الدمار الذي تخلفه الفيروسات
يمكننا تصنيف الدمار الذي تخلفه الفيروسات في ست مجموعات وفقاً لحجم الدمار. ويمكننا أن نعرف الدمار الناتج عن الفيروسات بأنه تلك الأمور التي كنت تتمنى لو أنها لم تحصل أبداً، كما يمكن أن نقيس حجم الدمار بالوقت الذي تستغرقه عملية إعادة الأمور إلي ما كانت عليه سابقاً. ولا نأخذ في الحسبان هنا الدمار الحاصلً عن محاولات المستخدم غير السليمة في التخلص من الفيروس، خاصة وأن الحل الذي ينصح به الكثير من قليلي الخبرة هو تهيئة القرص الصلب كاملاً Format، وهو الغاية التي سعى إليها صانع الفيروس ألا وهي تدمير بياناتك كاملة، أما الطريف في الأمر أن الفيروسات التي تصيب مقطع التشغيل لا تتأثر بتلك العملية وتبقى موجودة على القرص الصلب. وأنواع هذا الدمار كما يلى:
1-دمار تافه
وهو ما تسببه بعض الفيروسات غير ا الضار كثيراً، فمنها ما يسبب صدور صوت عن لوحة المفاتيح في تاريخ معين، فكلما ضغطت على زر ما في لوحة المفاتيح صدر ذلك الصوت. وكل ما يتوجب عليك عمله هو التخلص من ذلك ا لفيروس الذى لا يستغرق دقائق.2- دمار ثانوي
قد يكون أفضل مثال يوضح هذا الموضوع هو ما تقوم به بعض الفيروسات من شطب أي برنامج تقوم بتشغيله بعد أن تنسخ نفسها في الذاكرة، وفي أسوأ الاحتمالات هنا، يكون عليك عادة تركيب بعض البرامج التي فقدتها ولا يستغرق ذلك في المجمل أكثر من نصف ساعة عمل .3- دمار معتدل
إذ ا قام الفيروس بتهيئة القرص الصلب أو حتى بشطبه كاملاً، فإن حجم الدمار هنا يكون هيناً، وذلك لأننا نعرف أن ذلك قد حدث، ويكون بإمكاننا إعادة تثبيت نظام التشغيل وإعادة تحميل النسخ الإحتياطية التي تم نسخها بالأمس، لأنه من الطبيعي عمل نسخ احتياطية يومياً. لذلك تكون مجمل الخسائر نصف يوم عمل وربما ساعة من إعادة التثبيت والتحميل.4- الدمار الكبير
عندما يصيب الفيروس القرص الصلب والنسخ الإحتياطية معاً فتلك الطامة الكبرى، إذ تقوم بالتخلص من الفيروس من القرص الصلب وتنسخ ملفاتك الإحتياطية لتجد أن الفيروس رجع من جديد. وتكون المصيبة كبرى هنا إذا لم يكن لديك ورق مطبوع من عملك يمكنك إعادة إدخاله، عندئذ عليك إعادة العمل من البداية.5- الدمار الخطير
يكون الدمار خطيراً عندما يقوم الفيروس بتغييرات تدريجية ومتوالية، وتصاب النسخ الإحتياطية هنا أيضاً، وتكون تلك التغييرات غير مرئية للمستخدم. ولا يستطيع المستخدم عندها معرفة إن كانت بياناته صحيحة أم تم تغييرها.6- الدمار غير المحدود
تقوم بعض الفيروسات بالحصول على كلمات سر الدخول لمدير النظام وتمريرها إلي طرف آخر، وفي هذه الحالة لا يمكن التنبؤ بمقدار الضرر الحادث. ويكون الشخص الذي حصل على كلمة السر متمتعاً بكامل صلاحيات مدير الشبكة أو النظام، مما يمكنه من الدخول إلي النظام وعمل ما يريد.
يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل وهي التي لا يستطيع أي نظام أن يعمل بدونها. وفي نظام Windows أو أي إصدار من أي نظام تشغيل آخر يعتمد على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM. وذلك لأن الملف موجود دائماً في الدليل الرئيسي للفهرس الخاص بالنظام حيث أن هذا الملف هو المسئول عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM, EXE, BAT . . وفيروسات هذا النوع أكثر تنوعاً من فيروسات قطاع بدء التشغيل . ويمكن تصنيف فيروسات البرامج في أربع مجموعات:
** الفيروسات المتطفلة: وهي التي تلصق نفسها بالملفات لكي تتكاثر وتبقي الملف الأصلي بحالة سليمة في الغالب.
** الفيروسات المرافقة: تعتمد على قاعدة الأسبقية في التنفيذ للملفات COM. وتتمكن من نقل العدوى عن طريق إنشاء ملف جديد بدون تغيير طول الملف.
** الفيروسات الرابطة: تصيب البرامج بتغيير المعلومات في جدول مواقع الملفات FAT بحيث تبدأ البرامج المصابة من الموقع ذاته، وهو عادة الـ Cluster الأخير في القرص والذى يتضمن نص الفيروس، مما يضمن له انتشاراً سريعاً كما في فيروس DIRII.
** الفيروسات المستبدلة: تقوم بالكتابة فوق جزء من البرنامج بدون تغيير حجم الملف، مما يؤدي إلي فشل البرنامج عند تنفيذه كما في فيروس BURGER405.
وهناك حيلة طريفة يلجأ إليها بعض المبرمجين الأذكياء. بتغيير إسم هذا الملف لكي يصعب على الفيروس ربط نفسه به. وهناك أيضاً ملفات SYS, CONFIG, BAT, AUTOEXEC حيث يبحث النظام عنها عند بدء التشغيل وينفذ ما بها من تعليمات. وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس وهي: IBMBIO.COM, IBMDOS.COM لأنها ملفات مخفية فبالرغم من وجودها في الفهرس الرئيسي إلا إنه يصعب اكتشاف الفيروس عند عرض دليل الملفات. ومن أماكن الفيروسات المفضلة مخزن COMS. وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام. وهذا المكان في منتهى الخطورة لأنه:
** توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر.
** لأنها أول مكان يتم تشغيله عند بدء التشغيل. كما أن هذا المكان لا يظهر عند عرض الملفات بالأمر DIR.
** عن طريق هذا المكان يحدد الفيروس توقيت تشغيله متى حانت ساعة الصفر. المكان الآخر الذي يمكن للفيروسات إصابته والاستقرار فيه هو ملفات البرامج وخاصة الملفات التنفيذية من نوع COM. و EXE. أو SYS. وغيرها .
أشكال الفيروسات
تظهر الفيروسات في عالم الكمبيوتر بأشكال عديدة أهمها:
1- السريع
بمجرد دخول هذا النوع من الفيروسات إلي الكمبيوتر يصيب كل الملفات التي يتم تنفيذها في ذلك الوقت، وهي ليست خطيرة كثيراً كما يمكن أن يتخيل البعض، فالتخلص منها سهل للغاية، حيث تقوم معظم برامج حماية الفيروسات بفحص الذاكرة الرئيسة بشكل دوري، ومن الطبيعي أن يكون الفيروس السريع متواجداً هناك، إذ يصيب كل الملفات الموجودة في الذاكرة، عندها يتم اكتشافه من قبل برنامج الحماية فإنه يتخلص منه.
2- البطيء
تتلخص فكرة هذا النوع من الفيروسات أنه كلما كان انتشاره بطيئاً صعب اكتشافه والتخلص منه سريعاً. وهناك العديد من الطرق التي يمكن أن يعمل بها، ولكن الأسلوب التقليدي الذي يعمل به الفيروس البطيء هو إصابة الملفات التي كنت تنوي تعديلها، مما يعني إنه لو كنت تشغل كاشف للتغييرات كحماية ضد الفيروسات، يخبرك عندها أن هناك إصابة وتغيير في أحد الملفات، ولكن بما أنك قررت عمل تغييرات في ذلك الملف أصلاً فستوافق على ذلك، وتتقبل الفيروس بكل طيب خاطر. وعندما تنسخ ملفاً على قرص مرن، يكون ذلك الملف معطوباً أصلاً، وعند نسخه على كمبيوتر آخر محمي ببرامج الحماية ضد الفيروسات وبكاشف التغييرات على الملفات الذي يحذرك من التغيير الذي طرأ على الملف الأصلي فتؤكد له معرفتك بذلك ظاناً أنه يعطيك تحذيراً على التغييرات التي قمت أنت بها، وتكون النتيجة إصابة الكمبيوتر الثاني بالفيروس.
3- المتسلل
هو ذلك الفيروس الذي يختبئ في الذاكرة الرئيسية ويسيطر على المقاطعات. يكون لكل جهاز طرفي رقم معين من قبل المعالج الرئيسي يسمى مقاطع، مهمته تنسيق التخاطب بين الأجهزة الطرفية المختلفة داخل الكمبيوتر. ففي حالة الفيروس الذي يصيب مقطع التشغيل فإنه يسيطر على مقاطع القراءة/الكتابة على القرص الصلب رقم 13h، وإن كان متسللاً فإن أي برنامج يحاول القراءة من مقطع التشغيل يقوم الفيروس بقراءة المعلومات الأصلية التي قام بتخزينها في مكان آخر بدلاً من المعلومات المعطوبة في مقطع التشغيل، ولا يشعر المستخدم بأي تغيير ولا يتمكن من لمس الفرق.
4- متعدد الأشكال
تعتبر برامج حماية الفيروسات التي تستخدم تقنية مسح الذاكرة بحثاً عن الفيروسات هي الأكثر شيوعاً في العالم، لذلك تكون هذه البرامج هي التحدي لكل مبرمج للفيروسات يحاول التغلب عليه. لذا وجدت الفيروسات متعددة الأشكال، التي لو تمت مقارنة نسختين من الفيروس نفسه معاً لم تتطابقا. وهذا يصعب مهمة برامج الحماية ويتطلب منها القيام بأمور مختلفة أكثر تعقيداً لاكتشاف هذا النوع من الفيروسات
الدمار الذي تخلفه الفيروسات
يمكننا تصنيف الدمار الذي تخلفه الفيروسات في ست مجموعات وفقاً لحجم الدمار. ويمكننا أن نعرف الدمار الناتج عن الفيروسات بأنه تلك الأمور التي كنت تتمنى لو أنها لم تحصل أبداً، كما يمكن أن نقيس حجم الدمار بالوقت الذي تستغرقه عملية إعادة الأمور إلي ما كانت عليه سابقاً. ولا نأخذ في الحسبان هنا الدمار الحاصلً عن محاولات المستخدم غير السليمة في التخلص من الفيروس، خاصة وأن الحل الذي ينصح به الكثير من قليلي الخبرة هو تهيئة القرص الصلب كاملاً Format، وهو الغاية التي سعى إليها صانع الفيروس ألا وهي تدمير بياناتك كاملة، أما الطريف في الأمر أن الفيروسات التي تصيب مقطع التشغيل لا تتأثر بتلك العملية وتبقى موجودة على القرص الصلب. وأنواع هذا الدمار كما يلى:
1-دمار تافه
وهو ما تسببه بعض الفيروسات غير ا الضار كثيراً، فمنها ما يسبب صدور صوت عن لوحة المفاتيح في تاريخ معين، فكلما ضغطت على زر ما في لوحة المفاتيح صدر ذلك الصوت. وكل ما يتوجب عليك عمله هو التخلص من ذلك ا لفيروس الذى لا يستغرق دقائق.2- دمار ثانوي
قد يكون أفضل مثال يوضح هذا الموضوع هو ما تقوم به بعض الفيروسات من شطب أي برنامج تقوم بتشغيله بعد أن تنسخ نفسها في الذاكرة، وفي أسوأ الاحتمالات هنا، يكون عليك عادة تركيب بعض البرامج التي فقدتها ولا يستغرق ذلك في المجمل أكثر من نصف ساعة عمل .3- دمار معتدل
إذ ا قام الفيروس بتهيئة القرص الصلب أو حتى بشطبه كاملاً، فإن حجم الدمار هنا يكون هيناً، وذلك لأننا نعرف أن ذلك قد حدث، ويكون بإمكاننا إعادة تثبيت نظام التشغيل وإعادة تحميل النسخ الإحتياطية التي تم نسخها بالأمس، لأنه من الطبيعي عمل نسخ احتياطية يومياً. لذلك تكون مجمل الخسائر نصف يوم عمل وربما ساعة من إعادة التثبيت والتحميل.4- الدمار الكبير
عندما يصيب الفيروس القرص الصلب والنسخ الإحتياطية معاً فتلك الطامة الكبرى، إذ تقوم بالتخلص من الفيروس من القرص الصلب وتنسخ ملفاتك الإحتياطية لتجد أن الفيروس رجع من جديد. وتكون المصيبة كبرى هنا إذا لم يكن لديك ورق مطبوع من عملك يمكنك إعادة إدخاله، عندئذ عليك إعادة العمل من البداية.5- الدمار الخطير
يكون الدمار خطيراً عندما يقوم الفيروس بتغييرات تدريجية ومتوالية، وتصاب النسخ الإحتياطية هنا أيضاً، وتكون تلك التغييرات غير مرئية للمستخدم. ولا يستطيع المستخدم عندها معرفة إن كانت بياناته صحيحة أم تم تغييرها.6- الدمار غير المحدود
تقوم بعض الفيروسات بالحصول على كلمات سر الدخول لمدير النظام وتمريرها إلي طرف آخر، وفي هذه الحالة لا يمكن التنبؤ بمقدار الضرر الحادث. ويكون الشخص الذي حصل على كلمة السر متمتعاً بكامل صلاحيات مدير الشبكة أو النظام، مما يمكنه من الدخول إلي النظام وعمل ما يريد.
صدام المزعل- عدد المساهمات : 94
نقاط : 23158
تاريخ التسجيل : 28/03/2009
العمر : 32
الموقع : Mhanad_92@hotmail.com
مواضيع مماثلة» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
» بحث في ( دليلك الشامل لما تريد معرفته عن الفيروسات و أنواعها والتخلص منها )
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى