ايران ويج

راستی . فرایند بروز رسانی . در ویروسها چطوری انجام میشه .
یا چی رو به روز می کنند .
میشه ساختار های شناسایی ویروس رو بهم توضیح بدی ؟
ممنون می شم . اگه این کار رو بکنی !

ساختار چیزی نیست جزء مشخصات کاری ویروس
مثلا آدرس تمام مسیر هایی که ویروس در رجیستری آلوده میکنه و آدرس تمام نسخه هایی که روی دیسک سخت از خودش تکثیر میکنه
مشخصات ویرویس در آنتی ویروس دقیقا همون چیز هاییند که گزارش میشه
البته در بعضی موارد ویروس امضاء خودش رو تغییر میده که به این ترتیب آنتی ویروس یک کپی Code شده از ویروس رو به عنوان داده در پروسس به روز شدن قرار میده (البته قسمت هایی از بدنه ویروس که تغییر نمیکنه به عنوان داده قرار داده میدشه).
بعضی از ویروس ها با کدهای زبان های تحت نت خودشون رو به نامه های بسته هایی که در نت جابه جا میشه میچسبونند که در این صورت اون کد ها هم به عنوان داده برای شناسایی فعالیت ویروس به کار میره
اگر از مشخصات حافظه ای ویروس (که در اولین نوع انتی ویروس ها هم منظور می شد) بگزیم ویروس های که اقدام به تخریب فایل ها میکنند در بیشتر مواقع داده خاصی رو که از یک الگوریتم عبور کرده به داخل یک فایل تزریق می کنند.
آنتی ویروس ها هم با تجزیه تحلیل ساختمان فایل اجرایی (کد های ویروس) به اون الگوریتم دست پدا میکنند تا بتونند فایل هایی که به دست ویروس خراب شدند رو احیا کنند

حالا شما فرض کنید یک ویروس با حجم ثابت چقدر راحت شناخته میشه. در این حالت آنتی ویروس به جزء مواردی که گفتم به دنبال همه فایل ها با اون حجم میگرده و اگر فایلی پیدا کنه که با امضاء ویروس (قیمت هایی که در ویروس تغییر امضاء نشده) اون رو به عنوان ویروس شناسایی میکنه و ...

حالا راهی برای عبور از آنتی ویروس ها وجود داره .
یا چون آنتی ویروس ها به سیستم های مختلفی کار می کنند .
امکان شناسایی هر ویروسی وجود داره ؟

راهش اینه که تا میتونی کار شناسایی ویروس رو برای آنتی محترم سخت کنی
مثلا ویروست رو ببری توی یک قالب دیگه تا آنتی رو فریب بدی (پوسته Cortex)

بد گير دادي به پوسته.
نمي خواي ويروس رو در قالب يه آدم بدي به ملت !!

تغيير پوسته با تغيير ظاهر ويروس فرق مي كنه ؟؟

آره
بعضی از آنتی ها میاند می بینند اون فایل اجراییه چیکار میکنه بعد بهش گیر میدند "اگر خراب کاری میکرد" نمونش McAfee
آما اگر ویروست پوسته داشته باشه "یعنی فایل اجرایی ویروس خراب کارب نکنه" و به عنوان Badware شناخته نشه پس میشه گفت آنتی جون رو دور زده

آخه در اين صورت فايل ويروس پس از extract شدن شناسايي مي شه!؟!

ببین لازم نیست حتما فایل extract شده "از پوسته خارج شده" رو بیاریم جلوی پشم ملت بگیم این هسته اون پوسته هست که !
همین که فایل پوسته محتوای ویروس رو در حافظه بارگذاری کرد مبتونه مثلا اون رو به ابتدای یه فایل اجرایی معمولی دیگه بچسبونه و اون فایل اجرایی رو اجرا کنه تا ویروس اجرا بشه.
البته میشه یک فایل اجرایی رو در حافظه نوشت و اجرا کرد.
درضمن پوسته داشتن ویروس تا زمانی که آنتی ویروس ها اون رو نشناختند خوبه چون بعدش وارد مباحث تغییر امضاء میشیم که اگر ویروس رو شناسایی کردند ویروسه بتونه شکل خودش رو "نه عملکردش رو" تغییر بده

Darg نوشته است:ببین لازم نیست حتما فایل extract شده "از پوسته خارج شده" رو بیاریم جلوی پشم ملت بگیم این هسته اون پوسته هست که !
همین که فایل پوسته محتوای ویروس رو در حافظه بارگذاری کرد مبتونه مثلا اون رو به ابتدای یه فایل اجرایی معمولی دیگه بچسبونه و اون فایل اجرایی رو اجرا کنه تا ویروس اجرا بشه.
البته میشه یک فایل اجرایی رو در حافظه نوشت و اجرا کرد.
درضمن پوسته داشتن ویروس تا زمانی که آنتی ویروس ها اون رو نشناختند خوبه چون بعدش وارد مباحث تغییر امضاء میشیم که اگر ویروس رو شناسایی کردند ویروسه بتونه شکل خودش رو "نه عملکردش رو" تغییر بده

در هر صورت agent آنتی ویروس فایل هایی که تغییر پیدا می کنند رو چک می کنه
(Real Protection)

و شما بلاخره برای اجرا باید فایلو به صورت استاندارد در بیاری
آنتی ویروس فایلی که از پوسته خارج میشه رو چک می کنه و اگه مشکوک باشه( که هست) قفلش میکنه و هنگام استفاده از دستور Shell ، با خطای عدم دسترسی به فایل مواجه میشیم

حرف حساب جواب نداره
ولی روش های دیگه ای هم هست:
پوسته دوجنبه DualCortex که بعد از خارج شدن ویروس و اجرا هسته دویاره خودش رو در پوسته میپیچه
پردازش تصادفی که درش هسته با دستکاری حافظه باعث میشه ویروس با عناوین تصادفی پیدار بشه
پردازش تکمیلی که چند هسته هرکدوم در یک مرحله از پوسته خارج میشند و کار دیگری رو تکمیل میکنند !

چه چیزهایی باعث مشکوک شدن آنتی ویروس ها به یک فایل می شود .