مقاله ای کامل در مورد ویروس های کامپیوتری

این مقاله شامل موارد زیر است :
ویروس چیست ؟
انواع ویروس ها :
خصوصیات ویروس ها :
روش آلوده سازی ویروس ها :
مخفی شدن ویروس ها :
نحوه فعالسازی ویروس ها :
ویروس های بوت سکتور و پارتیشن :
ویروس های چند جزئی :

ويروس كامپيوتري چيست؟
يک ويروس يک برنامه کوچک و انجام پذير است که قابليت آنرا دارد که کد خود را در قسمتهای مختلف يک کامپيوتر مثل هارد ديسک يا فلاش کپی کند يا به فايل‌های اجرائی بچسباند. اين در حالی است که کاربر از وجود ويروس و اعمالی که انجام می‌دهد کاملا بی‌اطلاع است و هنگامی متوجه می‌شود که سيستم يا بايد Format شود و يا سرعت سيستم به شدت پايين آمده است.
برنامه‌اي را برنامه ويروس می نامیم كه همه ويژگيهاي زير را داراباشد:

1) تغيير نرم افزارهايي كه به برنامه ويروس متعلق نيستند با چسباندن قسمتهايي از این برنامه به برنامه‌هاي ديگر
2) قابليت انجام تغيير در بعضي از برنامه‌ها.
3) قابليت تشخيص این نکته که برنامه قبلاً دچار تغيير شده است يا خير.
4) قابليت جلوگيري از تغيير بيشتر يك برنامه در صورت تغییراتی در آن بواسطه ی ویروس
5) نرم افزارهاي تغيير یافته ويژگيهاي 1 الي 4 را دارا هستند . اگر برنامه‌اي فاقد يك يا چند ویژگی از ویژگیهای فوق باشد، نمی توان به طور قاطع آنرا ویروس نامید .

متمایز کردن ویروس از نظر خصوصیات آن :
هر ويروس خصوصياتی مخصوص به خود دارد. ويروسها راههای متفاوتی برای آلوده کردن سيستمها دارند که همين خصوصيت آنها را از ديگر ويروسها متمايز می‌کند. در زير طريقه جدا کردن ويروسها را از همديگر شرح می‌دهم:
الف) حجم:
يک ويروس می‌تواند کوچکتر يا در حدود ۶۶ بايت باشد يا بزرگتر يا در حدود ۴۰۹۶ بايت باشد. در مقايسه با نرم‌افزارها يک ويروس بايد خيلی کوچک باشد.
ب) روش آلوده سازی: يک ويروس می‌تواند با روشهای متفاوتی برنامه ميزبان را آلوده کند. در زير سه روش که بيشتر مورد استفاده است شرح داده می‌شود:

ب(۱) overwriteکردن:
زمانيکه يک ويروس با اين روش برنامه‌ای را آلوده می‌کند، بسادگی يک کپی از کد خود را در بالای کد برنامه ميزبان می‌نويسد اين روش خيلی ساده بوده و در ويروسهای اوليه بکار گرفته می‌شد. در اين روش فايل ميزبان به احتمال زياد خراب می‌شود و از کاربر از ديسک پشتيبان فايل را فراخوانی می‌کند. در اين روش تاريخ تغييرات فايل عوض می‌شود اما حجم همانطور باقی می‌ماند در اين روش توابعی که برنامه بايد انجام دهد زياد می‌شود و سرعت اجرای برنامه اصلی (اگر خراب نشده باشد) کاهش پيدا می‌کند.

ب(۲) الصاق کردن:
اين روش کمی پيچيده‌تر است. ويروس خود را به انتهای فايل ميزبان الصاق می‌کند و سرخط برنامه را اصلاح می‌کند در هنگام اجرای برنامه، برنامه ابتدا به قسمتی که کد ويروس قرار دارد رفته، دستورات ويروس را اجرا کرده و بعد برگشته و به اجرای برنامه ميزبان می‌پردازد. در نظر کاربر برنامه به صورت نرمال اجرا می‌شود اما ايراد اين روش اين است که حجم فايل افزايش می‌يابد. بعضی از ويروسهای الصاقی تشخيص نمی‌دهند که فايل قبلا ويروسی شده است يا نه و دوباره و چندباره فايل را آلوده می‌کنند و اين باعث می‌شود که حجم فايل رشد قابل ملاحظه‌ای کرده و در انتها فايل ديگر غيرقابل استفادمی‌شود.

ب(۳) آلوده کننده‌های ديسک:
ويروسهای ديگر رکورد بوت (بوت سکتور) ديسک يا جدول پارتيشن را آلوده می‌کنند. اين رکورد قسمتی از ديسک است که هنگام راه‌اندازی سيستم بصورت اتوماتيک خوانده می‌شود اين يعنی بعد از راه‌اندازی سيستم ويروس در حافظه قرار می‌گيرد!
ج) (terminated and stay resident) يا TSR:
يک ويروس که ممکن است مقيم در حافظه باشد يا با اجرای يک برنامه خاص در حافظه بار شود. هنگامی که ويروس مقيم در حافظه شد هر زمان و هر فايلی را که بخواهد آلوده می‌کند. تمام ويروسهائی که جدول پارتيشن يا بوت سکتور را آلوده می‌کنند جزو TSRها هستند.

د) مخفی‌شدن:
بعضی از ويروسهای TSR از تکنيکی ماهرانه استفاده می‌کنند چنانچه هيچ کار سيستم عجيب به نظر نمی‌رسد گويا اصلا ويروسی در سيستم نيست! موقعی که کاربر يک ليست از پوشه‌ها می‌گيرد ويروس از خوانده شدن صحيح ديسک جلوگيری می‌کند انگار نه انگار که چيزی در سيستم تغيير کرده چون يک کپی از محتويات ديسک را قبل از آلوده شدن به کاربر نشان می‌دهد. به همين دليل پيدا کردن ويروسهائی که مقيم در حافظه شده‌اند تقريبا غيرممکن است.
ويروسهايی که بوت سکتور را آلوده می‌کنند ممکن است مخفی شونده باشند. تنها راه مطمئن برای شناسائی اين ويروس‌ها اين است که ابتدا سيستم را با يک فلاپی (که از ويروسی‌ نبودن آن مطمئن هستيم و در حالت محافظت شده از نوشتن است) بالا آورده و ديسک سخت را ويروس‌کشی کنيم.

هـ) نحوه فعال شدن و نتايج:
ديگر ناحيه برای سوا کردن ويروسها از همديگر نحوه فعال شدن، نتايج آن و نحوه غيرفعال شدن آنهاست. بعضی از آنها در تاريخ معينی فعال می‌شوند. بعضی ديگر با اجرا شدن برنامه‌ای خاص اجرا می‌شوند و بعضی ديگر هنگامی خود را نمايان می‌کنند که ديگر فايلی برای آلوده کردن نمی‌يابند (يعنی همه فايلها آلوده شده‌اند!)
هر وقت که يک ويروس فعال می‌شود فعاليت‌هايی را که برايش معين شده است انجام می‌دهد که اينها را نتايج فعال شدن می‌ناميم. نتيجه‌ای که ممکن است ساده و بی‌ضرر باشد مانند نشان دادن يک پيغام يا بدانديشانه باشد و هارد سيستم را تبديل به يک آشغال‌دونی بکند. بديهی است که هرکس می‌خواهد قبل از اينکه ويروس فعال شود آن را بيابند.
انواع ویروس :
mail virus
ويروسهايي كه از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده قرار دارند که با گشودن يك صفحه ی HTML يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك word document می توانند فعال‌ شوند.

Marco virus
اين نوع ويروسها معمولاً به شکل ماکرو در فايلهايي قرار می گیرند كه حاوي صفحات متني (word document) نظير فايلهاي برنامه‌هاي Ms office ( همچون microsoft word و Excel )هستند .
توضيح ماكرو: نرم افزارهايي مانند microsoft word و Excel اين امکان را برای كاربر بوجود می آورند كه در صفحه متن خود ماكرويي ايجاد نماید،اين ماكرو حاوي يكسري دستور العملها، عمليات‌ و يا keystroke ها است كه تماماً توسط خود كاربر تعيين ميگردند.
ماكرو ويروسها معمولاً طوري تنظيم شده‌اند كه به راحتي خود را در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي مي‌‌دهند.

اسب تروآ:
اين برنامه حداقل به اندازه خود اسب تروآي اصلي قدمت دارد . عملكرد اين برنامه‌ها ساده و در عین حال خطرناك است.
در حاليكه كاربر متوجه نیست و با تصاویر گرافیکی زیبا و شاید همراه با موسیقی محسور شده ، برنامه عملیات مخرب خود را آغاز می کند.
براي مثال به خيال خودتان بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد که تمامی فايلهاي روي هارد ديسك پاك شده و يا به طور كلي فرمت گرديده است.

كرمها (worm)
برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كنند.

ويروسهاي بوت سكتور و پارتيشن :

Boot sector قسمتی از ديسك سخت و فلاپي ديسك است كه هنگام راه اندازی سيستم از روي آن به وسيله كامپيوتر خوانده مي‌شود. Boot Sector یا ديسك سيستم ، شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. این ديسكها داده هایی در خود دارند و همچنین حاوي كدي هستند كه براي نمايش پيغام راه اندازی شدن کامپیوتر بوسیله ی آن لازم است .
سكتور پارتيشن اولين بخش يك ديسك سخت است كه پس از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور راجع به دیسک اطلاعاتي نظیر تعداد سكتورها در هر پارتيشن و نیز موقعيت همه ی پارتيشن‌ها را در خود دارد.

سكتور پارتيشن، ركورد اصلي راه‌اندازي يا Master Boot Record -MBR نيز ناميده مي‌شود.
بسياري ازكامپيوترها به گونه ای پيكربندي شده‌‌اند كه ابتدا از روي درايو: A راه‌اندازي میشوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، و شما سیستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا شده و ديسك سخت را آلوده مي‌كند.
اگر ديسكی حاوي فايلهاي سيستمي هم نبوده باشد ولي‌ به يك ويروس بوت سكتوري آلوده باشد وقتی اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره‌ راه‌اندازي كنيد پيغام زير مشاهده مي‌شود. ولي به هر حال ويروس بوت سكتوري پيش از اين اجرا شده و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready

كامپيوترهاي بر پايه Intel در برابر ويروسهاي Boot Sector و Partition Table آسيب پذير هستند.
تا قبل از اینکه سیستم بالا بیاید و بتواند اجرا شود صرفنظر از نوع سیستم عامل می تواند هر کامپیوتری را آلوده سازد.

HOAX (گول زنك‌ها)

اين نوع ويروسها در قالب پيغامهاي فريب آميزي ، كاربران اينترنت را گول زده و به كام خود مي‌كشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نیست و تا حدودي به روحيات شخصي نويسنده ويروس بستگی دارد، پیغامها می توانند مضمونی تحدید آمیز یا محبت آمیز داشته باشند و یا در قالب هشداری ، مبنی بر شیوع یک ویروس جدید ئر اینترنت ، یا درخواستی در قبال یک مبلغ قابل توجه و یا هر موضوع وسوسه انگیز دیگر باشد . لازم به ذکر است كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است بسیاری از آنها پيغام شخص سازنده ويروس نباشند بلكه شاید پيغام ويرايش شده يا تغيير یافته از يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.

نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده بوده ، همين امر باعث گسترش سريع Hoaxها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده مي‌تواند به صورت يك بمب منطقي ، يك اسب تروا و يا يكي از فايلهاي سيستمي ويندوز باشد. شيوه‌اي كه ويروس Magistre-A از آن استفاده کرده و خود را منتشر مي‌كند.
ويروسهاي چند جزئي Multipartite virus

بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده کرده ، فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده می سازند. اينگونه ويروسها معمولاً تحت windows 98يا Win.Nt انتشار نمي‌يابند .

استفاده از این مقاله با ذکر نام منبع مجاز و بلامانع می باشد .
منبع : www.pcemruz.blogfa.com

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: