ویروس های اسکریپت از خطرناک است. ما یک اسکریپت ویروسی را برای مجموعه ای از مشترکین رایگان پمپ می کنیم

ویروس های ماکرو (ویروس های ماکرو) زبان ها (زبان ماکرو) در برخی از سیستم های پردازش داده ها (ویراستاران متن، صفحات گسترده، و غیره)، و همچنین زبان های اسکریپت مانند VBA (ویژوال بیسیک برای برنامه های کاربردی)، JS ( اسکریپت جاوا) برای تولید مثل آن، چنین ویروس ها از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها از یک فایل آلوده (سند یا جدول) به دیگران انتقال می دهند. ویروس های ماکرو بزرگترین توزیع را دریافت کردند مایکروسافت آفیس.. همچنین ویروس های ماکرو وجود دارد که اسناد و پایگاه های اطلاعاتی AMI Pro را آلوده می کنند. برای وجود ویروس ها در یک سیستم خاص (ویرایشگر)، لازم است که یک زبان ماکرو داخلی ساخته شده را با قابلیت های ایجاد کنید:

1. برنامه های اتصال در زبان ماکرو به یک فایل خاص؛
2. کپی ماکروپروگرام از یک فایل به دیگری؛
3. توانایی دریافت یک برنامه ماکرو بدون مداخله کاربر (ماکروهای اتوماتیک یا استاندارد).

این شرایط ویراستاران را برآورده می کند مایکروسافت ورد، دفتر و آمپرو، و همچنین یک صفحه گسترده اکسل و پایه داده های مایکروسافت دسترسی این سیستم ها شامل زبان های ماکرو هستند: کلمه - کلمه اساسی؛ اکسل، دسترسی - VBA. که در آن:

1. ماکروگرام ها به یک فایل خاص (Amipro) گره خورده اند یا در داخل فایل (Word، Excel، Access) هستند؛
2. زبان ماکرو به شما امکان می دهد فایل ها (amipro) را کپی کنید یا ماکروگرام ها را به فایل های سرویس سیستم و فایل های قابل ویرایش انتقال دهید (Word، Excel)؛
3. هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن، و غیره)، برنامه های ماکرو (در صورت وجود) نامیده می شوند (در صورت وجود)، که به صورت ویژه (Amipro) تعریف می شوند یا نام های استاندارد (Word، Excel) دارند.

این ویژگی ماکرو زبان برای پردازش داده های اتوماتیک در سازمان های بزرگ یا در شبکه های جهانی طراحی شده است و به شما اجازه می دهد تا به اصطلاح "مدیریت سند خودکار" سازماندهی کنید. از سوی دیگر، قابلیت های ماکرو زبان این سیستم ها به ویروس اجازه انتقال کد خود را به فایل های دیگر می دهد و در نتیجه آنها را آلوده می کند. ویروس ها هنگام باز کردن یا بستن یک فایل آلوده کنترل می شوند، توابع فایل استاندارد را از بین می برند و سپس فایل هایی را که به هر نحوی تجدید نظر می کنند آلوده می کنند. به طور مشابه با MS-DOS، می توان گفت که اکثر ویروس های ماکرو ساکن هستند: آنها نه تنها در زمان باز کردن / بسته شدن فایل فعال هستند، بلکه تا زمانی که ویرایشگر خود فعال باشد.

ورد / اکسل / ویروس های دفتر: اطلاعات عمومی

مکان فیزیکی ویروس در داخل فایل بستگی به فرمت آن دارد، که در مورد محصولات مایکروسافت بسیار پیچیده است - هر کدام سند پرونده کلمهجدول اکسل یک دنباله ای از بلوک های داده است (هر کدام از آنها دارای فرمت خاص خود است)، همراه با تعداد زیادی از داده های خدمات. این فرمت OLE2 نامیده می شود - پیوند شیء و جاسازی شده است.

کلمه، اکسل و ساختار فایل اداری (OLE2) شبیه یک سیستم فایل پیچیده دیسک ها است: "دایرکتوری ریشه" فایل سند یا جدول نشان دهنده زیر شاخه های اصلی بلوک های داده های مختلف است، چند جداول چربی حاوی اطلاعات در مورد مکان در مورد محل بلوک های داده در سند، و غیره علاوه بر این، سیستم مدیریت دفتر مرکزی پشتیبانی از استانداردهای کلمه و اکسل به شما اجازه می دهد تا فایل هایی را ایجاد کنید که به طور همزمان شامل یک یا چند اسناد در قالب ورد و یک یا چند جداول در فرمت اکسل. در عین حال، ویروس های کلمه قادر به ضربه زدن به اسناد ورد هستند، و ویروس های اکسل جداول اکسل هستند، و همه این امکان وجود دارد در یک فایل دیسک. همین امر برای اداری درست است. اکثر ویروس های شناخته شده برای کلمه ناسازگار با نسخه های ملی (شامل روسی) کلمه، یا بالعکس - فقط برای نسخه های کلمه محلی طراحی شده اند و تحت نسخه انگلیسی کار نمی کنند. با این حال، ویروس در سند همچنان فعال است و می تواند کامپیوترهای دیگر را با نسخه مربوطه از کلمه نصب شده بر روی آنها آلوده کند. ویروس های کلمه می توانند کامپیوترهای هر کلاس را آلوده کنند. عفونت ممکن است این کامپیوتر یک ویرایشگر متن به طور کامل سازگار با مایکروسافت ورد نسخه 6 یا 7 یا بالاتر (به عنوان مثال، MS Word for Macintosh) است.

همین امر برای اکسل و اداری درست است. لازم به ذکر است که پیچیدگی فرمت های سند ورد، جداول اکسل و به ویژه دفتر دارای ویژگی زیر است: در فایل های فایل و جداول، بلوک های داده غیر ضروری هستند، I.E. داده هایی که مربوط به متن قابل ویرایش نیستند یا جداول قابل ویرایش نیستند، به طور تصادفی با کپی سایر داده های فایل مورد بحث قرار می گیرد. علت چنین بلوک های داده، سازمان داده های خوشه ای در اسناد و جداول OLE2 است - حتی اگر تنها یک نماد متن وارد شود، یک یا حتی چند خوشه داده اختصاص داده شده است. هنگام صرفه جویی در اسناد و جداول در خوشه هایی که با داده های "مفید" پر نمی شوند، "زباله" باقی می ماند، که به فایل های دیگر وارد می شود. تعداد "زباله" در فایل ها را می توان با لغو کلمه / اکسل کاهش داد "اجازه صرفه جویی سریع" آیتم پیکربندی، اما تنها تعداد کل "زباله" را کاهش می دهد، اما آن را به طور کامل حذف نمی کند. نتیجه این واقعیت این است که هنگام ویرایش یک سند، اندازه آن تغییر می کند، صرف نظر از اقدامات تولید شده با آن - هنگام اضافه کردن یک متن جدید، اندازه فایل ممکن است کاهش یابد، و زمانی که بخشی از متن حذف می شود، ممکن است برای افزایش.

همانند ویروس های ماکرو: هنگامی که فایل آلوده، اندازه آن می تواند کاهش یابد، افزایش یا بدون تغییر باقی بماند. همچنین باید این واقعیت را ذکر کرد که برخی از نسخه های OLE2.dll حاوی نقص های کوچک است، به عنوان یک نتیجه از آن در هنگام کار با آن اسناد و مدارک، اکسل و به ویژه دفتر در بلوک های "زباله" می توانند داده های تصادفی را از دیسک دریافت کنند، از جمله محرمانه ( فایل های از راه دور، کاتالوگ ها، و غیره). این بلوک ها همچنین می توانند تیم های ویروس را دریافت کنند. به عنوان یک نتیجه، پس از درمان اسناد آلوده، کد ویروس فعال از فایل حذف شده است، اما بخشی از دستورات آن می تواند در بلوک های "زباله" باقی بماند. چنین اثراتی از حضور ویروس گاهی اوقات قابل مشاهده است ویراستاران متن و حتی می تواند واکنش برخی از برنامه های آنتی ویروس را ایجاد کند. با این حال، این ویروس باقی می ماند کاملا بی ضرر است: کلمه و اکسل به آنها توجه نمی کنند.

ویروس های Word / Excel / Office: اصول کار

هنگام کار با یک سند نسخه های کلمه 6 و 7 یا بالاتر انجام می شود اقدامات مختلف: سند را باز می کند، موجب صرفه جویی، چاپ، بسته شدن، و غیره می شود. در عین حال، کلمه به دنبال آن است و "Macros ساخته شده" مربوطه را انجام می دهد - هنگام ذخیره یک فایل در فایل / ذخیره فرمان، MACRO فایل ها نامیده می شود، در حالی که ذخیره فایل / saveas command - fileSaveas، هنگام چاپ اسناد - FilePrint، و غیره، اگر، البته، چنین ماکروها تعریف شده است. همچنین چندین "خودکار ماکرو" وجود دارد، به طور خودکار تحت شرایط مختلف ایجاد می شود. به عنوان مثال، هنگام باز کردن یک سند کلمه چک برای Macro Autoopen. اگر چنین ماکرو وجود داشته باشد، کلمه آن را انجام می دهد. هنگام بستن سند Word ماکرو Autoclose را اجرا می کند، AutoExec Macro نامیده می شود زمانی که کلمه شروع به کار، پس از اتمام عملیات - AutoSexit، هنگام ایجاد یک سند جدید - autonew.

مکانیزم های مشابه (اما با سایر ماکروها و توابع) در اکسل / اداری استفاده می شود که در آن نقش ماکرو های خودکار و جاسازی شده عملکردهای خودکار و جاسازی شده را که در هر ماکرو یا ماکرو وجود دارد انجام می شود و چندین جاسازی شده می تواند در یک ماکرو وجود داشته باشد. و توابع خودکار. به طور خودکار (به i.e. بدون مشارکت کاربر)، ماکروها / توابع نیز انجام می شود، همراه با هر کلید یا زمان یا تاریخ، I.E. کلمه / اکسل باعث می شود یک ماکرو / عملکرد زمانی که شما هر کلید خاص (یا یک ترکیب کلیدی) را فشار دهید یا زمانی که هر زمان می رسد. در دفتر، توانایی رهگیری وقایع تا حدودی گسترش یافته است، اما اصل از همان استفاده می شود.

ویروس های کلان که بر روی فایل ها، اکسل یا فایل های اداری تحت تاثیر قرار می گیرند، معمولا توسط یکی از سه روش ذکر شده در بالا استفاده می شود - در ویروس یا یک ماکرو خودکار (خودکار ماکرو) یا یکی از ماکروهای استاندارد استاندارد (همراه با A آیتم منو) توسعه کامل است و یا ماکرو ویروس به طور خودکار نامیده می شود زمانی که شما بر روی هر کلید یا کلید ترکیبی کلیک کنید. همچنین نیمه ویروس هایی وجود دارد که از تمام این تکنیک ها استفاده نمی کنند و تنها زمانی که کاربر به طور مستقل آنها را اجرا می کند، آنها را راه اندازی می کند. بنابراین، اگر سند آلوده شود، هنگام باز کردن یک سند Word، یک ماکرو اتوماتیک اتوماتیک AutoPen آلوده (یا اتوکلاز هنگام بستن یک سند) را باز کنید و بنابراین، کد ویروس را شروع می کند، اگر این توسط متغیر سیستم disableautomacros ممنوع است. اگر ویروس حاوی ماکروها با نام های استاندارد باشد، هنگام تماس با آیتم منوی مربوطه (فایل / باز، فایل / بستن، فایل / saveas)، کنترل دریافت می کنند. اگر هر نماد صفحه کلید لغو شود، ویروس تنها پس از فشار دادن کلید مربوطه فعال می شود.

اکثر ویروس های ماکرو شامل تمام توابع خود را در قالب استاندارد / اکسل / اکسل / دفتر ماکرو. با این حال، ویروس هایی که از پذیرش کد خود استفاده می کنند و کد خود را به صورت ماکرو ندارند، وجود دارد. سه چنین پذیرایی وجود دارد، همه آنها از توانایی ایجاد، ویرایش و اجرای دیگر ماکروها استفاده می کنند. به عنوان یک قاعده، ویروس های مشابه دارای کلان کوچک (گاهی چند مورفیک) ویروس هستند که باعث ایجاد ویرایشگر ماکرو داخلی می شود، ماکرو جدید را ایجاد می کند، آن را با کد پایه ویروس پر می کند، انجام می شود و سپس به عنوان یک قانون، از بین می رود (برای پنهان کردن آثار حضور ویروس). کد اصلی این ویروس ها در خود ماکرو ویروس خود را در قالب رشته های متنی (گاهی رمزگذاری شده) وجود دارد، یا در متغیرهای سند یا در منطقه متن خودکار ذخیره می شود.

الگوریتم کلمه کار ویروس های ماکرو

اکثر ویروس های شناخته شده کلمه شروع به انتقال کد خود (ماکروها) به منطقه ماکروهای جهانی ماکرو ("General Macros) می کنند، زیرا آنها از دستورات ماکروسکوپی ماکروسکوپی، سازماندهی Macros.copy استفاده می کنند یا با استفاده از ویرایشگر ماکرو - ویروس آن را ایجاد می کند، یک ماکرو جدید ایجاد می کند، کد آن را در آن قرار می دهد، که موجب صرفه جویی در سند می شود. هنگامی که شما از Word Macros Global (از جمله Macros virus) خروج می کنید، به طور خودکار در یک فایل نقطه ای از ماکروهای جهانی ثبت می شود (معمولا فایل Normal.dot). بنابراین، دفعه بعد شروع می شود ویرایشگر MS-Word این ویروس در حال حاضر فعال می شود زمانی که WinWord ماکروهای جهانی را به فروش می رساند، I.E. بلافاصله. مستقیما. سپس ویروس دوباره تعریف می شود (یا در حال حاضر به خودی خود) یک یا چند ماکرو استاندارد (به عنوان مثال، Fileopen، فایل ها، فایل ها، فایل فایل) و Intercepts، بنابراین دستورات برای کار با فایل ها. هنگامی که این دستورات را می شنوید، ویروس فایل را که درخواست تجدید نظر را آلوده می کند آلوده می کند. برای این، ویروس فایل را به فرمت قالب تبدیل می کند (که باعث می شود فرمت فایل را تغییر دهید، I.E. تبدیل به هر فرمت قالب) و ماکروهایش خود را به فایل، از جمله ماکرو خودکار ثبت می کند. بنابراین، اگر ویروس Macro Macro را متوقف کند، هر فایل DOC آلوده شده است، از طریق ماکرو که توسط ویروس متوقف شده است، ذخیره می شود. اگر ماکرو Fileopen متوقف شود، ویروس هنگام خواندن آن از دیسک به فایل نوشته شده است.

راه دوم برای پیاده سازی ویروس بسیار کمتر از اغلب استفاده می شود - این بر اساس فایل های به اصطلاح "افزودنی"، I.E. فایل هایی که افزودنیهای خدمات به کلمه هستند. در این مورد، normal.dot تغییر نمی کند، و کلمه، هنگام راه اندازی، ماکروهای ویروس را از فایل (یا فایل ها) بارگذاری می کند به عنوان "افزودنی" تعریف می شود. این روش تقریبا به طور کامل عفونت ماکروهای جهانی را تکرار می کند، به استثنای که ماکروهای ویروس در Normal.dot ذخیره نمی شود، اما در هر فایل دیگر. همچنین ممکن است ویروس را به فایل های واقع شده در دایرکتوری راه اندازی پیاده سازی کنید - کلمه به طور خودکار فایل ها را از این کاتالوگ بارگذاری می کند، اما چنین ویروس ها هنوز برآورده نشده اند. روش های مورد بحث در بالا، برخی از آنالوگ ویروس های Resident DOS هستند. آنالوگ غیر ساکنین، ویروس های ماکرو هستند که کد خود را به منطقه ماکرو سیستم تحمل نمی کنند - برای آلوده کردن فایل های سند دیگر، آنها به دنبال آنها هستند که از فایل های جاسازی شده در کلمه استفاده می کنند یا به لیست فایل های آخرین ویرایش شده مراجعه می کنند (اخیرا استفاده شده لیست فایل) سپس چنین ویروس ها یک سند را باز می کنند، آن را آلوده می کنند و بسته می شوند.

الگوریتم اکسل کار می کند ویروس های ماکرو

روش های تولید مثل ویروس اکسل به طور کلی شبیه به روش های ویروس کلمه است. تفاوت ها برای کپی کردن ماکروها (به عنوان مثال، sheets.copy) و در غیاب نرمال .dot - عملکرد آن (در معنای ویروسی) فایل ها را در دایرکتوری Startup Excel اجرا کنید. لازم به ذکر است که دو گزینه ممکن برای محل ویروس های ماکرو وجود دارد جداول اکسل. اکثریت قریب به اتفاق از این ویروس ها کد خود را در فرمت VBA ثبت می کنند (ویژوال بیسیک برای برنامه های کاربردی)، با این حال، ویروس هایی وجود دارد که کد خود را در فرمت قدیمی نسخه 4.0 نسخه اکسل ذخیره می کنند. چنین ویروس ها در اصل از ویروس های VBA متفاوت نیست، به استثنای تفاوت در فرمت موقعیت کدهای ویروس در جداول اکسل. با وجود این واقعیت که در نسخه های جدید اکسل (از نسخه 5)، فن آوری های پیشرفته تر استفاده می شود، توانایی اجرای ماکروها از نسخه های اکسل قدیمی برای حفظ سازگاری باقی مانده است. به همین دلیل تمام ماکرو های نوشته شده در فرمت اکسل 4 به طور کامل در تمام نسخه های بعدی به دست آمده، به رغم این واقعیت که مایکروسافت از آنها توصیه نمی کند و مستندات مورد نیاز برای تحویل اکسل را شامل نمی شود.

الگوریتم ویروس برای دسترسی

به عنوان دسترسی بخشی است بسته دفتر طرفدار، سپس ویروس ها برای دسترسی همان ماکروهای مشابه در زبان ویژوال بیسیک هستند، مانند سایر ویروس ها آلوده به برنامه های اداری. با این حال، در این مورد، به جای Auto-Macros، سیستم شامل اسکریپت های اتوماتیک است که توسط سیستم در رویدادهای مختلف (به عنوان مثال، Autoexec) نامیده می شود. این اسکریپت ها می توانند ماکروپروگرام های مختلف را ایجاد کنند. بنابراین، هنگام آلوده شدن پایگاه ها دسترسی به داده ها ویروس باید با هر اسکریپت خودکار جایگزین شود و ماکروهای خود را به پایه آلوده کپی کنید. عفونت اسکریپت ها بدون ماکروهای اضافی امکان پذیر نیست، زیرا زبان اسکریپت بسیار ابتدایی است و توابع لازم برای این را شامل نمی شود.

لازم به ذکر است که از لحاظ اسکریپت های دسترسی ماکرو (ماکرو) نامیده می شود و ماژول های ماکرو - ماژول ها (ماژول)، اصطلاحات یکپارچه استفاده می شود - اسکریپت ها و ماکروها. درمان دسترسی به پایگاه داده یک کار پیچیده تر از حذف سایر ویروس های ماکرو است، زیرا در مورد دسترسی، لازم است مذاکره نه تنها ماکرو های ویروسی، بلکه اسکریپت های خودکار نیز مورد مذاکره قرار گیرد. و بسیاری از کار دسترسی به اسکریپت ها و ماکروها اختصاص داده شده است، حذف نادرست یا غیر فعال کردن هر عنصر می تواند منجر به عدم امکان عملیات با پایگاه داده شود. همان نیز برای ویروس ها - جایگزینی نادرست اسکریپت های خودکار می تواند منجر به از دست دادن اطلاعات ذخیره شده در پایگاه داده شود.

amipro-viruses

هنگام کار با هر سند، ویرایشگر Amipro دو فایل را ایجاد می کند - به طور مستقیم متن سند (با گسترش نام سام) و یک فایل اضافی حاوی ماکروهایی از سند و، احتمالا اطلاعات دیگر (نام SMM). فرمت هر دو فایل کاملا ساده است - آنها یک فایل متنی معمولی هستند که در آن هر دو دستورات متن قابل ویرایش و کنترل قابل ویرایش در قالب رشته های متنی متداول وجود دارد. سند را می توان با یک ماکرو از فایل SMM (فرمان assemmacrotofile) قرار داد. این ماکرو یک آنالوگ از autoopen و autoclose در کلمه MS است و در هنگام باز کردن یا بستن یک فایل، توسط ویرایشگر آمپرو نامیده می شود. ظاهرا، در Amipro امکان قرار دادن ماکرو ها در منطقه "عمومی" وجود ندارد، بنابراین ویروس های آمپرو می توانند سیستم را فقط هنگام باز کردن یک فایل آلوده آلوده کنند، اما نه هنگام بارگذاری سیستم، همانطور که با MS-Word پس از عفونت اتفاق می افتد فایل normal.dot. مانند MS Word، Amipro به شما اجازه می دهد تا ماکروهای سیستم را لغو کنید (به عنوان مثال، Saveas، Save) را با فرمان ChangeMenuction لغو کنید. هنگام فراخوانی توابع overridden (دستورات منو)، کنترل توسط ماکرو آلوده به دست می آید، I.E. کد ویروس

ویروس های مخفی

نمایندگان این کلاس از ابزارهای مختلف استفاده می کنند تا حضور خود را در سیستم پنهان کنند. این معمولا با دستگیری تعدادی از توابع سیستم مسئول کار با فایل ها به دست می آید. Stels - فناوری آن را غیر ممکن ساخت ویروس بدون یک ابزار ویژه خاص. ویروس ماسک و افزایش طول شیء آسیب دیده (فایل)، و بدن آن در آن، "جایگزین" به جای "سالم" بخشی از فایل.

در طول آزمون کامپیوتر، برنامه های ضد ویروس داده ها را داده - فایل ها و مناطق سیستم - از هارد دیسک ها و دیسک ها با استفاده از ابزار سیستم عامل و BIOS. Stealth - ویروس ها، و یا ویروس های نامرئی، پس از راه اندازی ترک در حافظه دسترسی تصادفی ماژول های ویژه کامپیوتری، برنامه های بازپرداخت به زیرسیستم دیسک کامپیوتر. اگر این ماژول تشخیص دهد که برنامه کاربر در حال تلاش برای خواندن فایل آلوده یا منطقه سیستم دیسک است، آن را جایگزین داده های قابل خواندن در حال حرکت می کند و بنابراین با فریب دادن برنامه های آنتی ویروس باقی می ماند.

همچنین مخفیانه - ویروس ها می توانند به شکل جریان های سیستمیک و سایر فرآیندهای دیگر پنهان شوند، که همچنین آنها را شناسایی می کند. چنین ویروس های خفاش حتی نمی توانند در لیست همه در حال اجرا، در حال حاضر، در سیستم روند دیده می شود.

یک راه ساده برای غیرفعال کردن مکانیسم ماسک از مخروطی - ویروس ها وجود دارد. این به اندازه کافی برای دانلود کامپیوتر با یک فلاپی دیسک سیستم بدون سرقت است و کامپیوتر را با یک برنامه آنتی ویروس بررسی کنید، برنامه های را از یک دیسک رایانه ای اجرا نکنید (آنها ممکن است آلوده شوند). در این مورد، ویروس قادر به مدیریت و نصب یک ماژول ساکن نیست که الگوریتم مخفی را در RAM اجرا می کند، آنتی ویروس اطلاعاتی را که واقعا بر روی دیسک ثبت شده است را بخواند و به راحتی "Bacillus" را تشخیص دهد.

اکثر برنامه های آنتی ویروس، تلاش های ویروس های مخفی را متوقف می کنند تا بی توجهی باقی بمانند، اما قبل از بررسی رایانه، آنها را مجبور نکنید از یک دیسک به صورت دیسکت استفاده کنید تا برنامه های نوشتن و آنتی ویروس را دانلود کنید. بسیاری از آنتی ویروس ها بسیار با موفقیت هستند - ویروس هایی که آنها را در هنگام تلاش برای پنهان کردن آنها پیدا می کنند. چنین برنامه هایی فایل های بررسی شده برنامه را از دیسک با استفاده از این چندین خوانده می کنند روش های مختلف - به عنوان مثال، با استفاده از سیستم عامل و از طریق BIOS: اگر اختلافات شناسایی شود، نتیجه گیری می شود که در RAM، احتمالا خفاش - ویروس است.

ویروس های پلی مورفیک

ویروس های پلی مورفیک شامل مواردی است که تشخیص آن غیر ممکن است (یا بسیار دشوار) با کمک به اصطلاح امضا های ویروسی - بخش های یک کد ثابت خاص به یک ویروس خاص. این به دو روش اصلی به دست می آید - رمزگذاری کد اصلی ویروس با یک کلید غیر دائمی و یک مجموعه تصادفی از یک فرمان Decryr یا تغییر در کد بسیار ویروس. همچنین نمونه های دیگر، نسبتا عجیب و غریب پلیمورفیسم وجود دارد - به عنوان مثال، ویروس ویروس DOS ویروس، به عنوان مثال، رمزگذاری نشده است، اما دنباله ای از دستورات که کنترل کد ویروس را به طور کامل پلی مورفیک انتقال می دهد، وجود دارد.

پلی مورفیسم درجه های مختلف پیچیدگی در تمام انواع ویروس ها - از ویروس های بوت و فایل DOS به ویروس ویروس ها و حتی ویروس های ماکرو یافت می شود.

اکثر مسائل مربوط به اصطلاح "ویروس پلی مورفیک" هستند. به نظر می رسد این نوع ویروس های کامپیوتری خطرناک ترین است.

ویروس های پلی مورفیک ویروس هایی هستند که کد خود را در برنامه های آلوده تغییر می دهند به طوری که دو نمونه از همان ویروس ممکن است در هر دسته ای هماهنگ نباشد.

چنین ویروسی ها نه تنها کد خود را با استفاده از مسیرهای رمزنگاری مختلف رمزگذاری می کنند، بلکه شامل کد تولید کد و رمزگشایی هستند که آنها را از ویروس های رمزنگاری معمولی متمایز می کند، که همچنین می تواند بخش های کد خود را رمزگذاری کند، اما کد رمزگذاری دائمی و رمزگشایی را نیز رمزگذاری می کند.

ویروس های پلی مورفیک ویروس ها با رمزگشایی خود اصلاح کننده هستند. هدف از چنین رمزگذاری: داشتن آلوده و فایل های اصلی شما هنوز قادر به تجزیه و تحلیل کد خود را با استفاده از جداسازی متعارف نیست. این کد رمزگذاری شده است و مجموعه ای بی معنی از دستورات است. رمزگشایی توسط ویروس خود به طور مستقیم در طول اجرای انجام می شود. در عین حال، گزینه ها ممکن است: این می تواند خود را فقط بلافاصله رمزگشایی کند و می تواند چنین رمزگشایی را "در جریان پرونده انجام دهد" دوباره می تواند بخش ها را رمزگذاری کند. همه اینها برای دشواری تجزیه و تحلیل کد ویروس انجام می شود.

رمزگشایی پلی مورفیک

ویروس های پلیمورفیک از الگوریتم های پیچیده برای تولید کد رمزگشای خود استفاده می کنند: دستورالعمل ها (یا معادل آنها) با مکان هایی از عفونت به عفونت دوباره مرتب می شوند، آنها بدون تغییر دستورات نوع NOP، STI، CLI، STC، CLC، DEC ثبت نام شده اند ، XCHG ثبت نشده ثبت نشده، و غیره D.

ویروس های پلی مورفیک کامل از الگوریتم های پیچیده تر استفاده می کنند، به عنوان یک نتیجه از آن زیر، اضافه، XOR، ROR، ROL و دیگر در مقادیر دلخواه می تواند در رمزگشای ویروس دیدار کند. بارگذاری و تغییر کلیدها و سایر پارامترهای رمزنگاری نیز توسط مجموعه ای دلخواه از عملیات ساخته شده است که تقریبا تمام دستورالعمل ها ممکن است. پردازنده اینتل (اضافه کردن، زیر، تست، XOR، یا SHR، SHL، ROR، MOV، XCHG، JNZ، PUSH، POP ...) با تمام حالت های آدرس احتمالی. ویروس های پلی مورفیک نیز ظاهر می شوند، رمزگشایی که از دستورالعمل ها به Intel386 استفاده می کند و در تابستان سال 1997، یک ویروس پلی مورفیک 32 بیتی، آلوده فایل های EXE از ویندوز 95 را تشخیص می دهد. در حال حاضر ویروس های پلی مورفیک وجود دارد که می توانند از تیم های مختلف پردازنده های مدرن استفاده کنند.

به عنوان یک نتیجه، در ابتدای فایل آلوده به چنین ویروس، مجموعه ای از دستورالعمل های بی معنی وجود دارد، و برخی از ترکیباتی که به طور کامل قابل اجرا هستند، توسط disasmblers مارک دار (به عنوان مثال، ترکیبی از CS: CS: یا CS : NOP) و در میان این "فرنی" از دستورات و داده ها گاهی اوقات لغزش MOV، XOR، LOOP، JMP - دستورالعمل هایی که واقعا "کارگران" هستند.

سطوح پلیمورفیسم

تقسیم ویروس های پلیمورفیک بر روی سطوح بسته به پیچیدگی کد وجود دارد که در Decrypptors این ویروس ها یافت می شود. چنین بخش اول پیشنهاد شد دکتر .. آلن سلیمان، پس از مدتی، Vesselin Bonchev او را گسترش داد.

سطح 1: ویروس هایی که برخی از رمزگشاها را با یک کد ثابت تنظیم کرده اند و هنگامی که آلوده شده اند، یکی از آنها را انتخاب می کنند. چنین ویروس ها "پلی مورفیک طبقه" هستند و همچنین نام "oligomorphic" (oligomorphic) را پوشانده اند. مثالها: "Cheeba"، "اسلواکی"، "نهنگ".
سطح 2: رمزگشایی ویروس شامل یک یا چند دستورالعمل دائمی است، بخش اصلی آن ناپایدار است.
سطح 3: Decrypter شامل دستورالعمل های استفاده نشده - "سطل زباله" نوع NOP، CLI، STI، و غیره
سطح 4: در Decrypter، دستورالعمل های قابل تعویض استفاده می شود و تغییر به ترتیب دستورالعمل ها (مخلوط کردن) را دنبال می کند. الگوریتم رمزگشایی تغییر نمی کند
سطح 5: تمام روش های فوق استفاده می شود، الگوریتم رمزگشایی غیر قابل توجه است، ممکن است دوباره رمزگذاری کد ویروس و حتی رمزنگاری جزئی کد از خود را رمزگشای خود را.
سطح 6: مجددا ویروس ها. کد اصلی ویروس تغییر می کند - آن را به بلوک هایی که در یک نظم دلخواه مجددا مرتب شده اند تقسیم می شود. این ویروس عملیاتی است. چنین ویروس ها را می توان رمزگذاری کرد.

بخش فوق از کمبودهای آزاد نیست، زیرا آن را با یک معیار واحد تولید می کند - توانایی شناسایی ویروس بر کد رمزگشایی با استفاده از پذیرش استاندارد ماسک های ویروسی:

سطح 1: برای تشخیص ویروس، به اندازه کافی برای چندین ماسک است

سطح 2: تشخیص ماسک با استفاده از "wildcards"

سطح 3: تشخیص بر روی ماسک پس از از بین بردن دستورالعمل "زباله"

سطح 4: ماسک شامل چندین گزینه برای کد ممکن است، I.E. این الگوریتمی می شود
سطح 5: ناتوانی در تشخیص ویروس ماسک

نارسایی این تقسیم در ویروس سطح سوم پلیمورفیت 3 نشان داده شده است که "Level3" نامیده می شود. این ویروس، یکی از پیچیده ترین ویروس های پلیمورفیک، با توجه به بخش فوق، در سطح 3 سقوط می کند، از آنجایی که یک الگوریتم دائمی برش دارد، قبل از آن ارزش دارد تعداد زیادی از تیم "زباله". با این حال، در این ویروس، الگوریتم نسل "زباله" به کمال آورده شده است: در کد اجرایی، تقریبا تمام دستورالعمل های پردازنده I8086 می تواند ملاقات کند.

اگر از نقطه نظر آنتی ویروس ها با استفاده از سیستم رمزگشایی اتوماتیک کد ویروس (شبیه ساز) به سطوح تقسیم می شود، تقسیمات در سطوح به پیچیدگی شبیه سازی کد ویروس بستگی دارد. ممکن است ویروس و سایر تکنیک ها را شناسایی کنید، به عنوان مثال، رمزگشایی با قوانین ریاضی ابتدایی و غیره

بنابراین، به نظر من بخش عینی بیشتر، که در آن پارامترهای دیگر نیز در معیار ماسک های ویروسی دخیل هستند:

درجه پیچیدگی کد پلی مورفیک (درصد تمام دستورالعمل های پردازنده که می تواند در کد چارچوب ملاقات کند)
استفاده از ضد شبیه ساز
پایداری الگوریتم رمزگشایی
پایداری طول رمزگذار

تغییر کد اجرا شده

اغلب روش مشابهی از پلی مورفیسم توسط ویروس های ماکرو استفاده می شود که هنگام ایجاد نسخه های جدید خود به طور تصادفی نام متغیرهای آنها را تغییر می دهند، رشته های خالی را وارد می کنند یا کد خود را تغییر می دهند. بنابراین، الگوریتم ویروس بدون تغییر باقی می ماند، اما کد ویروس تقریبا به طور کامل از عفونت با عفونت تغییر می کند.

کمتر اغلب این روش توسط ویروس های قابل بوت شدن پیچیده استفاده می شود. چنین ویروس ها به بخش های بوت معرفی می شوند تنها یک روش کافی کوتاه، که کد اصلی ویروس را از دیسک می خواند و کنترل را به آن انتقال می دهد. کد این روش از چندین گزینه مختلف انتخاب شده است (که همچنین می تواند با دستورات "خالی" رقیق شود)، دستورات توسط یکدیگر مرتب شده اند و غیره

حتی کمتر، این پذیرش در ویروس های فایل یافت می شود - زیرا آنها باید کد خود را به طور کامل تغییر دهند و برای این نیاز به الگوریتم های کاملا پیچیده نیاز دارند. تا به امروز، تنها دو مورد از این ویروس ها شناخته شده اند، یکی از آنها ("Plry") به طور تصادفی دستورات خود را بر روی بدن خود حرکت می دهد و آنها را به JMP یا دستورات تماس جایگزین می کند. یکی دیگر از ویروس ها ("TMC") بیشتر استفاده می کند راه پیچیده - هر بار یک عفونت، ویروس بلوک های کد و داده های آن را در مکان ها تغییر می دهد، "زباله" را درج می کند، در دستورالعمل های اسمبلر، مقادیر جدیدی از افست را برای داده ها، تغییرات ثابت و غیره تنظیم می کند. به عنوان یک نتیجه، اگر چه این ویروس کد خود را رمزگذاری نمی کند، این یک ویروس پلی مورفیک است - هیچ مجموعه دائمی از دستورات در کد وجود ندارد. علاوه بر این، هنگام ایجاد کپی های جدید خود، ویروس طول آن را تغییر می دهد.

ویروس های اقدام مخرب

با توجه به اقدامات مخرب، ویروس ها را می توان به سه گروه تقسیم کرد:

ویروس های اطلاعات (ویروس های نسل اول)

ویروس های به اصطلاح نسل اول همه ویروس های موجود هستند که اقدامات آنها در مورد تخریب، اصلاح یا سرقت اطلاعات است.

ویروس های سخت افزاری (ویروس های نسل دوم)

این نوع ویروس ها قادر به مقابله با سخت افزار کامپیوتر است. به عنوان مثال، BIOS را پاک کنید یا آن را خراب کنید، ساختار منطقی فیس بوک سخت را مختل کنید به طوری که امکان بازگرداندن آن تنها خواهد بود قالب بندی سطح پایین (و نه همیشه). تنها نماینده این گونه خطرناک ترین همه وجود دارد، ویروس Win95.cih "Chernobbl" است. در یک زمان، این ویروس میلیون ها رایانه را غیرفعال کرد. او یک برنامه را از BIOS شسته و در نتیجه کامپیوتر را از بین برد، و همان اطلاعات را از بین برد هارد دیسک بنابراین، آن را تقریبا غیرممکن بود که آن را بازگرداند.

در حال حاضر، ویروس های سخت افزاری "وحشی" شناسایی نشده اند. اما در حال حاضر کارشناسان پیش بینی ظهور انواع جدید ویروس های جدید است که می تواند بر BIOS تاثیر بگذارد. حفاظت در برابر چنین ویروس ها برنامه ریزی شده است که در هر یک انجام شود مادربرد Jumpers های ویژه که ورودی را در BIOS مسدود می کنند.

ویروس های روانگردان (ویروس های نسل سوم)

این ویروس ها قادر به کشتن یک فرد با تأثیر آن از طریق مانیتور یا ستون کامپیوتر می باشند. تکثیر صداهای خاص، فرکانس داده شده یا یک سوسیال خاص از رنگ های مختلف بر روی صفحه نمایش، ویروس های روانگردان قادر به ایجاد یک حمله صرع (افرادی که مستعد ابتلا به آن هستند) یا توقف قلب، خونریزی به مغز می پردازند.

خوشبختانه، امروز در مورد وجود واقعی چنین ویروس ها شناخته نشده است. بسیاری از کارشناسان به طور کلی از نوع یک نوع مشابه از ویروس ها مورد سوال قرار گرفتند. اما یک چیز دقیقا می تواند باشد. فن آوری های روانگردان به مدت طولانی بر نفوذ یک فرد از طریق صدا یا تصویر اختراع شده اند (نه با 25 فریم اشتباه گرفته نمی شود). حمله صرع باعث ایجاد یک فرد مبتلا به این بسیار ساده است. چند سال پیش، در برخی رسانه ها در مورد ظاهر یک ویروس جدید به نام "666" شکسته شد. این ویروس پس از هر 24 فریم، یک ترکیب رنگی خاص را به صفحه نمایش می دهد که قادر به تغییر فعالیت حیاتی بیننده است. در نتیجه، یک فرد یک ترانس هیپنوتیزم را پوشش می دهد، مغز کنترل کار بدن را از دست می دهد، که می تواند منجر به یک وضعیت دردناک شود، تغییر حالت عملکرد قلب، فشار خون و غیره. اما ترکیبات رنگ امروز توسط قانون ممنوع نیست. بنابراین، آنها می توانند به طور کامل بر روی صفحه نمایش ظاهر شوند، اگر چه نتایج تاثیر آنها ممکن است برای همه ما فاجعه بار باشد.

یک مثال از چنین تاثیری می تواند به عنوان یک کارتون "Pokemon"، پس از نشان دادن یکی از قسمت های ژاپن، صدها کودک به بیمارستان ها مبتلا به سردرد وحشتناک، خونریزی مغزی تبدیل شده است. برخی از آنها درگذشتند در کارتون فریم هایی با نسل روشن از یک پالت خاص رنگ وجود داشت، به عنوان یک قاعده، این ها در یک پس زمینه سیاه در یک دنباله خاص چشمک می زنند. پس از این حادثه، این کارتون به نمایش در ژاپن ممنوع شد.

شما می توانید مثال دیگری بدهید هر کس مطمئنا به یاد می آورد آنچه در مسکو اتفاق می افتد پس از پخش مسابقه تیم فوتبال ما با تیم ملی ژاپن (اگر من اشتباه نکنم). اما توسط صفحه نمایش بزرگ همه چیز تنها توسط غلتک نشان داده شد، به عنوان یک مرد با خفاش ماشین را فرو ریخت. این نیز تاثیر روانگردان است، دیدن غلتک "مردم" شروع به نابود کردن همه چیز در راه خود و همه.

مواد و داده ها از منابع گرفته شد:
http://www.stopinfection.narod.ru.
http://hackers100.narod.ru.
http://broxer.narod.ru.
http://www.viruslist.com
http://logic-bratsk.ru.
http://www.offt.ru
http://www.almanet.info.

برای نظر دادن، لطفآ وارد سامانه شوید یا ثبت نام کنید

قبل از شروع به نوشتن این مقاله، من با یکی از بنیانگذاران صنعت ضد ویروس داخلی توسط Evgeny Kaspersky ملاقات کردم، که برخی از ارقام در مورد وضعیت بازار روسیه و جهانی ضد ویروس را به من اطلاع داد. من همچنین با یک نماینده از شرکت ضد ویروس معروف Dialognauka، مدیر کار با آن صحبت کردم مشتریان بزرگحداکثر اسکییدا از گفتگو، من یک واقعیت کنجکاو را آموختم - معلوم می شود که صنعت آنتی ویروس در حال جشن گرفتن دهه اول خود است.

البته، آنتی ویروس ها بیش از ده سال پیش ظاهر شدند. با این حال، در ابتدا آنها به عنوان یک پادزهر رایگان اعمال کردند. هیچ اتفاقی نبود پشتیبانی خدماتاز آنجا که پروژه ها غیر انتفاعی بودند. به عنوان صنعت خلقت و ارائه برنامه های آنتی ویروس، ایجاد و ارائه برنامه های ضد ویروس در حدود 1992 کاهش یافت، نه زودتر، و به همین دلیل به زودی دهه خود را متوجه خواهد شد. ده سال برای تولد و توسعه کل صنعت، با گردش مالی صدها میلیون دلار، این اصطلاح بسیار کوچک است. در طول این زمان، یک بازار کاملا جدید ظاهر شد، یک لیست خاص از محصولات شکل گرفت، چنین تعدادی از اصطلاحات جدید به نظر می رسید که آنها به اندازه کافی برای دانشنامه کامل به اندازه کافی خواهند بود. لازم به ذکر است که کاربر بی تجربه گاهی اوقات حتی دشوار است که اصطلاح علمی را از نام تجاری تشخیص دهد. البته، به منظور استفاده از برنامه های آنتی ویروس، لازم نیست که تمام جزئیات ساختار و رفتار ویروس ها را بدانیم، اما ایده های کلی در مورد اینکه کدام گروه های عمده ای از ویروس ها امروز شکل گرفته اند، چه اصولی در الگوریتم ها قرار می گیرند برنامه های مخرب و به عنوان تقسیم شده توسط جهان و بازار ضد ویروس روسیه، به اندازه کافی مفید خواهد بود در یک دایره گسترده خوانندگان به آنها این مقاله مورد توجه قرار گرفته است.

ده سال توسعه بازار آنتی ویروس در روسیه

همانطور که قبلا اشاره شد، بازار آنتی ویروس در آستانه دهه ی آن زندگی می کند. این در سال 1992 بود که AOZT "Dialognauk" ایجاد شد، که شروع به فعالانه ارتقاء به بازار داخلی از برنامه معروف از Aidstest Lozinsky؛ از این زمان، Aidstest شروع به گسترش به صورت تجاری کرد. در حدود همان زمان، Evgeny Kaspersky یک بخش تجاری کوچک را در چارچوب Kami سازماندهی می کند که در آن سه نفر در ابتدا کار می کردند. همچنین در سال 1992، بازار آمریکا به سرعت برنامه McAfee Virusscan را فتح می کند. در روسیه، بازار به آرامی توسعه یافت و حداقل 1994 (شکل 1)، تصویر به شرح زیر بود: Dialognaucke (حدود 80٪) موقعیت غالب بود، ضد ویروس کسپرسکی متعلق به کمتر از 5٪ از بازار، هر چیز دیگری - 15٪ دیگر از بازار. در سال 1995، Evgeny Kaspersky آنتی ویروس خود را در 32 بیتی Intelovsky به تعویق انداخت سیستم عامل های ویندوز، Novell Netware و OS / 2، به عنوان یک نتیجه، محصول شروع به فعالانه به بازار حرکت کرد.

انواع برنامه های دو منظوره، بلوک های رفتاری هستند که رفتار برنامه های دیگر را تجزیه و تحلیل می کنند و توسط اقدامات مشکوک مسدود می شوند.

از آنتی ویروس کلاسیک با هسته آنتی ویروس، "شناخت" و حضور از ویروس ها، که در آزمایشگاه مورد تجزیه و تحلیل قرار گرفت و الگوریتم درمان ثبت شد، بلوک های رفتاری قادر به درمان از ویروس ها نیستند، زیرا آنها چیزی را نمی دانند در مورد آنها. این ویژگی بلوک ها مفید است که آنها می توانند با هر گونه ویروس، از جمله کسانی که ناشناخته کار می کنند، کار کنند. این امروز به ویژه مرتبط است، زیرا توزیع کنندگان ویروس ها و آنتی ویروس ها از همان کانال های داده ای استفاده می کنند، یعنی اینترنت. در عین حال، ویروس همیشه دارای برخی از شانس (زمان تاخیر)، از آنجا که شرکت آنتی ویروس همیشه نیاز به زمان برای به دست آوردن ویروس خود، آن را تجزیه و تحلیل و نوشتن ماژول های درمانی مناسب است. برنامه های یک گروه دو منظوره فقط به شما اجازه می دهد تا گسترش ویروس را مسدود کنید تا زمانی که شرکت ماژول درمانی را می نویسد.

الگوریتم "Checksum"

الگوریتم چکمه فرض می کند که اقدامات ویروس چکش را تغییر می دهد. با این حال، تغییرات همزمان در دو بخش مختلف ممکن است منجر به این واقعیت شود چک کردن مجموع هنگام تغییر فایل بدون تغییر باقی خواهد ماند. وظیفه اصلی ساخت الگوریتم، تغییرات در فایل تضمین شده برای تغییر چکش است.

روش های تعیین ویروس های پلیمورفیک

در شکل 6 عملکرد یک برنامه آلوده به ویروس (a) را نشان می دهد و یک برنامه آلوده به ویروس رمزگذاری شده (B) را نشان می دهد. در اولین مورد، نمودار ویروس به شرح زیر عمل می کند: برنامه در حال اجرا است، در برخی موارد، کد ویروس شروع می شود و سپس برنامه دوباره انجام می شود. در مورد یک برنامه رمزگذاری شده، همه چیز پیچیده تر است.

این برنامه در حال اجرا است، سپس رمزگشایی گنجانده شده است، که ویروس را رمزگشایی می کند، سپس ویروس را اجرا می کند و دوباره اجرای برنامه نویسی برنامه اصلی را دنبال می کند. کد ویروس در هر مورد رمزگذاری شده متفاوت است. اگر در مورد یک ویروس Uninfootted، مقایسه مرجع اجازه می دهد تا شما را به "پیدا کردن" ویروس در امتداد یک امضا ثابت ثابت، و سپس در فرم رمزگذاری شده، امضای قابل مشاهده نیست. در عین حال، تقریبا غیرممکن است که یک رمزگشایی را جستجو کنید، زیرا این بسیار کوچک است و چنین عنصر جمع و جور را تشخیص می دهد بی فایده است، زیرا تعداد مثبت کاذب به طور چشمگیری افزایش می یابد.

قبل از شروع به نوشتن این مقاله، من با یکی از بنیانگذاران صنعت ضد ویروس داخلی توسط Evgeny Kaspersky ملاقات کردم، که برخی از ارقام در مورد وضعیت بازار روسیه و جهانی ضد ویروس را به من اطلاع داد. من همچنین با نماینده شرکت معروف Dialognauca شرکت ضد ویروس، مدیر کار، حداکثر Skid صحبت کردم. از گفتگو، من یک واقعیت کنجکاو را آموختم - معلوم می شود که صنعت آنتی ویروس در حال جشن گرفتن دهه اول خود است.

البته، آنتی ویروس ها بیش از ده سال پیش ظاهر شدند. با این حال، در ابتدا آنها به عنوان یک پادزهر رایگان اعمال کردند. پشتیبانی مناسب برای این سرویس وجود نداشت، زیرا پروژه ها غیر تجاری بودند. به عنوان صنعت خلقت و ارائه برنامه های آنتی ویروس، ایجاد و ارائه برنامه های ضد ویروس در حدود 1992 کاهش یافت، نه زودتر، و به همین دلیل به زودی دهه خود را متوجه خواهد شد. ده سال برای تولد و توسعه کل صنعت، با گردش مالی صدها میلیون دلار، این اصطلاح بسیار کوچک است. در طول این زمان، یک بازار کاملا جدید ظاهر شد، یک لیست خاص از محصولات شکل گرفت، چنین تعدادی از اصطلاحات جدید به نظر می رسید که آنها به اندازه کافی برای دانشنامه کامل به اندازه کافی خواهند بود. لازم به ذکر است که کاربر بی تجربه گاهی اوقات حتی دشوار است که اصطلاح علمی را از نام تجاری تشخیص دهد. البته، به منظور استفاده از برنامه های ضد ویروسی، لازم نیست بدانیم تمام جزئیات ساختار و رفتار ویروس ها، با این حال، ایده های کلی در مورد گروه های اصلی ویروس امروزه تشکیل شده است، که اصول در الگوریتم های مخرب گذاشته شده و همانطور که در بازار جهانی و ضد ویروس روسیه تقسیم شده است. این امر برای طیف گسترده ای از خوانندگان گسترده ای مفید خواهد بود که این مقاله مورد توجه قرار گرفته است.

ده سال توسعه بازار آنتی ویروس در روسیه

همانطور که قبلا اشاره شد، بازار آنتی ویروس در آستانه دهه ی آن زندگی می کند. این در سال 1992 بود که AOZT "Dialognauk" ایجاد شد، که شروع به فعالانه ارتقاء به بازار داخلی از برنامه معروف از Aidstest Lozinsky؛ از این زمان، Aidstest شروع به گسترش به صورت تجاری کرد. در حدود همان زمان، Evgeny Kaspersky یک بخش تجاری کوچک را در چارچوب Kami سازماندهی می کند که در آن سه نفر در ابتدا کار می کردند. همچنین در سال 1992، بازار آمریکا به سرعت برنامه McAfee Virusscan را فتح می کند. در روسیه، بازار به آرامی توسعه یافت و حداقل 1994 (شکل 1)، تصویر به شرح زیر بود: Dialognaucke (حدود 80٪) موقعیت غالب بود، ضد ویروس کسپرسکی متعلق به کمتر از 5٪ از بازار، هر چیز دیگری - 15٪ دیگر از بازار. در سال 1995، Evgeny Kaspersky آنتی ویروس خود را در 32 بیتی سیستم عامل اینتل به تعویق انداخت، Novell Netware و OS / 2، در نتیجه محصول شروع به فعال شدن به بازار کرد.

الگوریتم "Checksum"

الگوریتم چکمه فرض می کند که اقدامات ویروس چکش را تغییر می دهد. با این حال، تغییرات همزمان در دو بخش مختلف ممکن است منجر به این واقعیت شود که هنگامی که فایل تغییر کرده است، چکشوم بدون تغییر باقی خواهد ماند. وظیفه اصلی ساخت الگوریتم، تغییرات در فایل تضمین شده برای تغییر چکش است.

روش های تعیین ویروس های پلیمورفیک

در واقع، ماکروویروس ها یک گونه "گونه مستقل" نیستند، بلکه فقط یکی از انواع خانواده های بزرگ برنامه های مخرب - ویروس های اسکریپت است. جداسازی آنها متصل است، به جز این واقعیت است که ماکروویروس بود که آغاز این خانواده، علاوه بر ویروس ها، "تیز" تحت آن بود برنامه های مایکروسافت دفتر، بزرگترین توزیع را از کل قبیله دریافت کرد. همچنین باید اشاره کرد که ویروس های اسکریپت یک زیرگروه ویروس های فایل هستند. این ویروس ها بر روی زبان های مختلف اسکریپت نوشته شده اند (VBS، JS، BAT، PHP و غیره).

ویژگی کلی ویروس های اسکریپت یک اتصال به یکی از زبان های برنامه نویسی "داخلی" است. هر ویروس به یک "سوراخ" خاص در حفاظت از یکی از برنامه های ویندوز و این یک برنامه مستقل نیست، بلکه مجموعه ای از دستورالعمل هایی است که در یک برنامه "موتور" به طور کلی بی ضرر مجبور به اقدام مخرب نیست.

همانطور که در مورد اسناد واژه، استفاده از سیستم عامل (اسکریپت ها، اپلت های جاوا، و غیره) جرم نیست - اکثر آنها کاملا مسالمت آمیز کار می کنند، و صفحه را جذاب تر و راحت تر می کند. چت، کتاب مهمان، سیستم رای گیری، شمارنده - همه این امکانات، صفحات ما توسط سیستم های Firmware- "اسکریپت" مورد نیاز است. همانطور که برای اپلت های جاوا، حضور آنها در صفحه نیز منطقی است - به عنوان مثال، اجازه می دهد، برای نمایش یک منوی راحت و کاربردی که در زیر مکان نما ماوس قرار می گیرد ...

امکانات رفاهان، اما فراموش نکنید، تمام این اپلت ها و اسکریپت ها، برنامه های واقعی ترین و کامل هستند. و بسیاری از آنها راه اندازی شده اند و در جایی وجود دارد، در یک سرور ناشناخته، اما به طور مستقیم بر روی کامپیوتر شما! و با اتصال ویروس در آنها، سازندگان صفحه قادر به دسترسی به محتویات هارد دیسک شما خواهند بود. عواقب آن قبلا شناخته شده است - از یک ذخیره سازی ساده رمز عبور به قالب بندی سخت دیسک

البته، با "اسکریپت های قاتل" شما باید صدها بار کمتر از ویروس های معمولی روبرو شوید. به هر حال، امید کمی برای آنتی ویروس های معمولی در این مورد وجود دارد، با این حال، برنامه مخرب همراه با صفحه باز می شود، باید بر حفاظت از مرورگر خود غلبه کند، سازندگان که از این موارد به خوبی آگاه هستند.

بیایید یک دقیقه به تنظیمات بازگردیم اینترنت اکسپلورر.- یعنی در منو خدمات / نظارت و امنیت / امنیت. اینترنت اکسپلورر چندین سطح امنیتی را ارائه می دهد. علاوه بر سطح استاندارد حفاظت (منطقه اینترنت) ما می توانیم تقویت کنیم (منطقه حد) یا تضعیف هوشیاری شما (منطقه گره های قابل اعتماد) دکمه را فشار دهید دیگرما می توانیم به صورت دستی محافظت از مرورگر را تنظیم کنیم.

با این حال، اکثر ویروس های اسکریپت از طریق ایمیل گسترش می یابند (چنین ویروس ها اغلب به نام "کرم های اینترنتی" هستند). شاید درخشان ترین نمایندگان این خانواده ویروس ها باشند نامه عاشقانه. و آنا Kournikova.حملاتی که به فصل 2001-2002 رسید، هر دو این ویروس ها به وسیله پذیرش مشابهی مورد استفاده قرار گرفت، نه تنها بر حفاظت ضعیف سیستم عامل، بلکه همچنین در مورد ناسازگاری از کاربران بود.

ما به یاد می آوریم که حامل های ویروس ها در اکثر موارد پیام ها هستند پست الکترونیکحاوی فایل های توزیع شده. به یاد داشته باشید هر دو که ویروس می تواند از طریق برنامه ها به کامپیوتر نفوذ کند (فایل های اجرایی با فرمت * .exe * .com "، یا از طریق اسناد مایکروسافت آفیس. به یاد داشته باشید این واقعیت است که در کنار تصاویر و یا فایل های صوتی به نظر می رسد که ما هر گونه مشکلی را تهدید کنیم. بنابراین، بیل مکانیکی غیر منتظره است صندوق پستی یک نامه با آن به آن متصل شده است (با توجه به نام فایل و گسترش) تصویر، بلافاصله آن را با آن راه اندازی کنید ... و ما آن را کشف می کنیم، "اسکریپت ویروسی مخرب" زیر تصویر پنهان شد. خوب است که ما بلافاصله کشف کنیم، و نه بعد از اینکه ویروس توانست تمام اطلاعات شما را کاملا از بین ببرد.

حیله گر از سازندگان ویروس ساده است - فایل که به نظر ما توسط تصویر به نظر می رسید، دارای یک فرمت دوگانه بود! مثلا، Annakournikova.. jpg. vbs

این دومین گسترش است و نوع واقعی فایل است، در حالی که اول فقط بخشی از نام اوست. و از آنجا که Extension VBS ویندوز به خوبی آشنا است، او دیگر فکر نمی کند، آن را از چشم کاربران پنهان می کند، تنها نام روی صفحه را ترک می کند Annakournikova.. jpg

و ویندوز آن را با تمام انواع فایل های ثبت شده وارد می کند: رزولوشن از بین می رود و نوع فایل باید آیکون را نشان دهد. به آن، افسوس، ما به ندرت توجه می کنیم.

تله خوب است، اما ساده تر است که آن را ساده تر تشخیص دهیم: تمرکز با "افزونه دوگانه"، اگر صفحه نمایش فایل های فایل را فعال کنید، انتقال نمی یابد. شما می توانید آن را با استفاده از منو انجام دهید خواص پوشه در پانل های کنترلویندوز: بر روی این آیکون کلیک کنید، سپس Bookmark را باز کنید چشم انداز و کادر را از خط حذف کنید پنهان کردن پسوندها برای انواع فایل های ثبت شده.

یاد آوردن: به عنوان "پیوست"، تنها چند نوع فایل در نامه مجاز است. نسبتا امن TXT، JPG، GIF، TIF، BMP، MP3، فایل های WMA.

اما این لیست بدون قید و شرط است خطرناک انواع فایل ها:

در واقع، یک لیست از "ویروس های بالقوه" شامل یک دوازده نوع فایل نیست. اما این ها اغلب یافت می شوند.

من اخیرا اتفاق افتاده است که در حال حاضر با مدرک کارآمدی کار می کند تا به دلیل اثر ویروسی مشترکین را جذب کند.

ایده اسکریپت به نبوغ ساده است. شما مشترکین را جذب می کنید و به جای آن یک نان خوشمزه دریافت کنید. اما تصمیم گرفتم یک اسکریپت کوچک را تغییر دهم تا اثر بیشتری را به دست آورد.

این مقاله کد و البته تظاهرات نوآوری را فراهم می کند.

من این واقعیت را دوست داشتم که اسکریپت با هر سرویس خبرنامه کار می کند. بدون تظاهرات به SmarTroider، که در ابتدا تیز شده است.

من از خدمات اولگ استفاده کردم، JustClick. او اکنون به سرعت در حال توسعه و کاملا آزاد است، اگر فروش را از طریق آن انجام ندهید. این به شما اجازه نمی دهد که یک شناسه مشترک دریافت کنید، بنابراین به جای آن در لینک وابسته، ما از ایمیل استفاده کردیم.

از این رو اولین نوآوری رخ داده است.

یک لینک کوتاه اضافه کنید

ثانیا، هر کس نمی خواهد ایمیل شما را از بین ببرد. سوم، یک لینک کوتاه راحت تر است. و در نهایت، چهارم، به دلیل استفاده از آدرس پستی در نقش شناسه، برخی از سوسیالیست ها به اشتباه پیوند را مدیریت می کنند.

به عنوان مثال، توییتر نمی فهمد که نماد دیابتی (@) می تواند در آدرس صفحه قرار گیرد و پیوند پیوند را انجام دهد.

بنابراین، ساده ترین و راحت ترین راه حل این است که از API یکی از لینک ها برای کاهش لینک ها استفاده کنید و لینک های کوتاه را بر روی دستگاه تولید کنید. با tinyurl.com آسان است، که به شما اجازه می دهد یک پیوند کوتاه را با استفاده از درخواست دریافت معمول دریافت کنید.

بنابراین، عملکرد را به کد وارد کنید.

تابع gettinyurl ($ URL)
{
$ tinyurl \u003d file_get_contents ("http://tinyurl.com/api-create.php؟url\u003d". $ URL)؛
بازگشت $ tinyurl؛
}

این تنها برای ایجاد یک تابع باقی می ماند ($ tinyurl \u003d gettinyurl ($ لینک)) و جایگزینی لینک جدید در مکان های مناسب

افزایش بهره وری به دلیل شرکای

من نمی خواستم نه تنها این ویروس را راه اندازی کنم، بلکه اثر آن نیز افزایش می یابد. بنابراین، من تصمیم گرفتم ترافیک ویروسی و وابسته را ترکیب کنم. با استفاده از پردازش با مشترکین رایگان، مشترکین رایگان آموخته اند که در شرکای کار کنند.

همکاران قبلی، به شما معنی ندادند تا مشترکان جدیدی را به شما بدهند، زیرا آنها فقط کمیسیون دریافت می کنند. و پایگاه داده به هیچ وجه افزایش می یابد. برعکس، شرکا حتی برای گسترش ویروس سودآور نیستند، زیرا نان خود را می گیرد.

در حال حاضر شریک برای توزیع ویروس سودمند است. پس از همه، اگر ویروس از طریق لینک وابسته در حال اجرا باشد، تمام لینک های بعدی نیز شرکا خواهند بود.

به این ترتیب، شما می توانید یک خبرنامه را در پایگاه خود (یا به تبلیغات) ایجاد کنید و یک پیوند ارجاع به صفحه را با یک پیشنهاد ارائه دهید. و تمام کاربران بعدی به ارجاع های شما تبدیل خواهند شد، زیرا اسکریپت لینک وابسته شما را توزیع خواهد کرد.

به طور خلاصه، با استفاده از ویروس شما می توانید تعداد زیادی ارجاع را به دست آورید، با فروش بعدی که شما کمیسیون خود را دریافت خواهید کرد. کوکی های مشارکت معمولا حداقل یک سال زندگی می کنند.

چگونه انجامش بدهیم؟ بسیار ساده. من در مثال خدماتی که من کار می کردم، نشان خواهم داد. این A-Autopay احتمالا ارزان ترین نسخه سازمان فروش و وابستگی است.

فایل v.htaccess در ریشه سایت خود یک شناسه شریک را به پارامتر دریافت اضافه کنید.

بازنویسی بر روی
REWRATEULE ^ (+) $ http: //$1.id .e-autopay.com ؟ شریک \u003d $ 1
Rewiterule ^ (+) / (+) $ http: //$2.$1.id .e-autopay.com ؟ شریک \u003d $ 1

قرمز بخشی است که برای شما تغییر خواهد کرد. و این قسمت بخشی را که من به شرایط معمول اضافه کردم، برجسته شده است.

سپس در فایل cookie_set.php، اگر پارامتر شریک انتقال داده شود، ما را به شریک تقسیم می کنیم.

اگر (isset ($ _ get ['partner']) &&! خالی ($ _ get ['partner']))
{
SetCookie ("شریک"، $ _GET ["شریک"]، زمان () + 9999999)؛
}

و در index.php از اسکریپت مشترکان رایگان، یک شرط را برای تولید لینک ها اضافه می کند:

اگر (isset ($ _ cookie ["شریک"]) &&! خالی ($ _ کوکی ["شریک"]) (
$ link \u003d "http: //". $ _server ["http_host"]. "/" $ _cookie ["شریک"]. "id \u003d". $ id؛
}
دیگر (
$ link \u003d link_subscribe. "id \u003d". $ id؛
}

یک لینک جدید نباید فراموش شود که در تمام مکان هایی که لازم است قرار دهید. و در مورد فرم ارسال نامه ها را فراموش نکنید. در آنجا شما باید یک فیلد پنهان را با یک شناسه شریک اضافه کنید، و در Handler همچنین پیوند را برای تولید مرجع وارد کنید.

مثال

چگونه بدون مثال؟ البته او است پس از همه، من به مقالات من از سقف فکر نمی کنم، اما من آنها را از عمل می گیرم. اسکریپت بهبود یافته توسط من برای راه اندازی یک کمپین استفاده شد