بخش های سایت
انتخاب سردبیر:
- بررسی سرعت اینترنت: مروری بر روشها چگونه سرعت واقعی اینترنت را از ارائهدهنده خود بفهمیم
- سه راه برای باز کردن ویرایشگر رجیستری ویندوز باز کردن رجیستری با استفاده از جستجو
- نحوه پارتیشن بندی هارد دیسک
- هارد دیسک را به پارتیشن تقسیم می کنیم
- وقتی کامپیوتر روشن می شود بوق می دهد
- تغییر صحیح پسوند فایل در ویندوز نحوه تغییر پسوند آرشیو
- مسدود کردن تبلیغات در YouTube YouTube بدون تبلیغات
- TeamViewer - کنترل کامپیوتر از راه دور برنامه را برای برقراری ارتباط با رایانه دیگری دانلود کنید
- نحوه پیدا کردن ویژگی های رایانه خود در ویندوز: روش های سیستم و برنامه های ویژه
- ما مرورگرها را در دستگاه های مختلف به روز می کنیم: رایانه، تبلت، تلفن هوشمند مرورگر به روز شده را کجا و چگونه نصب کنید
تبلیغات
طبقه بندی ویروس های کامپیوتری چرا ویروس های ماکرو خطرناک هستند و چگونه از رایانه خود محافظت کنیم ویروس های ماکرو آلوده می شوند |
ماکرو ویروس - این یک تنوع استویروس های کامپیوتریتوسعه یافته استزبان های کلان، در چنین بسته های کاربردی تعبیه شده استتوسط، چگونه مایکروسافت آفیس . برای تولید مثل، چنین ویروس هایی از قابلیت های کلان زبان ها استفاده می کنند و با کمک آنها از یک فرد آلوده منتقل می شوند.فایلبه دیگران. بیشتر این ویروس ها برای آنها نوشته شده اندمایکروسافت وورد. گسترده ترین ماکرو ویروس ها هستند مایکروسافت ورد، اکسل و آفیس 97. برای اینکه ویروس ها در یک سیستم خاص (ویرایشگر) وجود داشته باشند، باید یک زبان ماکرو با قابلیت های زیر در سیستم تعبیه شده باشد:
1. برنامه های ماکرو به یک فایل خاص (AmiPro) گره خورده اند یا در داخل یک فایل قرار دارند (MS Word/Excel/Office 97). 2. زبان ماکرو به شما امکان می دهد فایل ها را کپی کنید (AmiPro) یا برنامه های ماکرو را به فایل های سرویس سیستم و فایل های قابل ویرایش (MSWord / Excel / Office 97) منتقل کنید. 3. هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن و غیره) برنامه های ماکرو (در صورت وجود) فراخوانی می شوند که به روش خاصی تعریف شده اند (AmiPro) یا دارای نام های استاندارد (MS Word/Excel/Office 97) هستند. ). در چهار محصول نرمافزاری که در بالا ذکر شد، ویروسها وقتی یک فایل آلوده باز یا بسته میشوند، کنترل را به دست میگیرند، عملکردهای استاندارد فایل را ربوده و سپس فایلهایی را که به نحوی قابل دسترسی هستند آلوده میکنند. به قیاس با DOS، میتوان گفت که اکثر ویروسهای ماکرو ویروسهای مقیم هستند: آنها نه تنها زمانی که فایل باز یا بسته میشود، بلکه تا زمانی که خود ویرایشگر فعال است فعال هستند. اصول کارویروسهای ماکرو که فایلهای Word، Excel یا Office 97 را آلوده میکنند، معمولاً از یکی از سه تکنیک زیر استفاده میکنند: همچنین نیمه ویروس هایی وجود دارند که از تکنیک های ذکر شده استفاده نمی کنند و تنها در صورتی تکثیر می شوند که کاربر به طور مستقل آنها را برای اجرا راه اندازی کند. اکثر ماکرو ویروس ها همه عملکردهای خود را در قالب ماکروهای استاندارد MS Word/Excel/Office 97 دارند.اما ویروس هایی وجود دارند که از تکنیک هایی برای مخفی کردن کد خود استفاده می کنند و کد خود را به شکل غیر ماکرو ذخیره می کنند. سه روش از این قبیل شناخته شده است. همه آنها از توانایی ماکروها برای ایجاد، ویرایش و اجرای ماکروهای دیگر استفاده می کنند. به طور معمول، چنین ویروسهایی دارای یک ماکرو لودر کوچک (گاهی چندشکلی) هستند که ویرایشگر ماکرو داخلی را فراخوانی میکند، یک ماکرو جدید ایجاد میکند، آن را با کد ویروس اصلی پر میکند، آن را اجرا میکند و سپس معمولاً آن را برای پنهان کردن آثار ویروس از بین میبرد. کد اصلی این گونه ویروس ها یا در بدنه خود ویروس به صورت رشته های متنی وجود دارد یا در ناحیه متغیر سند یا در قسمت Auto-text ذخیره می شود. شناسایی ماکرو ویروس ویژگی های مشخصهوجود ماکروویروس ها عبارتند از:
ماکرو ویروسها برنامههایی هستند که به زبانها (کلان زبانها) نوشته شدهاند که در برخی از سیستمهای پردازش داده ( ویرایشگرهای متن، صفحات گسترده و غیره)، و همچنین در زبان های اسکریپت مانند VBA (ویژوال بیسیک برای برنامه ها)، JS ( جاوا اسکریپت). برای تولید مثل، چنین ویروس هایی از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها، خود را از یک فایل آلوده (سند یا جدول) به دیگران منتقل می کنند. ویروس های ماکرو برای Microsoft Office گسترده ترین هستند. همچنین ویروسهای ماکرو وجود دارند که اسناد و پایگاههای اطلاعاتی Ami Pro را آلوده میکنند. برای اینکه ویروس ها در یک سیستم خاص (ویرایشگر) وجود داشته باشند، باید یک زبان ماکرو با قابلیت های زیر در سیستم تعبیه شده باشد: 1. پیوند دادن یک برنامه در یک زبان ماکرو به یک فایل خاص. این شرایط توسط ویرایشگرهای Microsoft Word، Office و AmiPro و همچنین صفحه گسترده و پایگاه داده اکسل وجود دارد. داده های مایکروسافتدسترسی داشته باشید. این سیستم ها شامل زبان های کلان هستند: Word - Word Basic; اکسل، اکسس - VBA. که در آن: 1. برنامه های ماکرو به یک فایل خاص (AmiPro) گره خورده اند یا در داخل یک فایل (Word، Excel، Access) قرار دارند. این ویژگی زبانهای ماکرو برای پردازش خودکار دادهها در سازمانهای بزرگ یا در داخل در نظر گرفته شده است شبکه های جهانیو به شما اجازه می دهد تا به اصطلاح "جریان اسناد خودکار" را سازماندهی کنید. از سوی دیگر، قابلیتهای ماکرو زبانی چنین سیستمهایی به ویروس اجازه میدهد تا کدهای خود را به فایلهای دیگر منتقل کرده و در نتیجه آنها را آلوده کند. هنگامی که یک فایل آلوده باز یا بسته میشود، ویروسها کنترل را به دست میآورند، عملکردهای استاندارد فایل را رهگیری میکنند و سپس فایلهایی را که به طریقی به آنها دسترسی دارند آلوده میکنند. به قیاس با MS-DOS، میتوان گفت که اکثر ویروسهای ماکرو ساکن هستند: آنها نه تنها در لحظه باز کردن/بستن یک فایل، بلکه تا زمانی که خود ویرایشگر فعال است، فعال هستند. ویروس های Word/Excel/Office: اطلاعات عمومی مکان فیزیکی ویروس در داخل فایل به فرمت آن بستگی دارد که در مورد محصولات مایکروسافتبسیار پیچیده - هر فایل سند Word و جدول اکسل دنباله ای از بلوک های داده است (که هر کدام فرمت خاص خود را نیز دارند) که با استفاده از مقدار زیادی از داده های خدماتی با هم متحد شده اند. این فرمت OLE2 - Object Linking and Embedding نام دارد. ساختار فایل های ورد، اکسل و آفیس (OLE2) شبیه یک سیستم فایل دیسک پیچیده است: "دایرکتوری ریشه" یک سند یا فایل جدول به زیر شاخه های اصلی بلوک های داده مختلف اشاره می کند، چندین جدول FAT حاوی اطلاعاتی در مورد مکان است. بلوک های داده در سند و غیره علاوه بر این، سیستم اداری Binder که از استانداردهای Word و Excel پشتیبانی می کند، به شما امکان می دهد فایل هایی ایجاد کنید که به طور همزمان حاوی یک یا چند سند در قالب Word و یک یا چند جدول با فرمت Excel هستند. در عین حال، ویروس های Word می توانند اسناد Word را آلوده کنند و ویروس های اکسل می توانند جداول اکسل را آلوده کنند و همه اینها در همان فایل دیسک امکان پذیر است. همین امر در مورد آفیس نیز صادق است. اکثر ویروس های شناخته شده برای Word با نسخه های ملی (از جمله روسی) Word ناسازگار هستند یا برعکس - آنها فقط برای نسخه های محلی Word طراحی شده اند و تحت نسخه انگلیسی کار نمی کنند. با این حال، ویروس موجود در سند هنوز فعال باقی می ماند و می تواند رایانه های دیگر را با نسخه متناظر Word نصب شده روی آنها آلوده کند. ویروس های Word می توانند کامپیوترهای هر کلاسی را آلوده کنند. اگر عفونت امکان پذیر است این کامپیوتریک ویرایشگر متن نصب شده است که کاملاً با Microsoft Word نسخه 6 یا 7 یا بالاتر سازگار است (مثلاً MS Word برای مکینتاش). در اکسل و آفیس هم همینطور است. همچنین لازم به ذکر است که پیچیدگی فرمت های اسناد ورد، جداول اکسل و به ویژه آفیس دارای ویژگی زیر است: فایل ها و جداول اسناد حاوی بلوک های داده «اضافی» هستند، یعنی. داده هایی که به هیچ وجه به متن یا جداول ویرایش شده مربوط نمی شوند، یا کپی هایی از سایر داده های فایل هستند که به طور تصادفی به آنجا ختم شده اند. دلیل بروز چنین بلوک های داده، سازماندهی خوشه ای داده ها در اسناد و جداول OLE2 است - حتی اگر فقط یک کاراکتر از متن وارد شده باشد، یک یا حتی چند خوشه داده برای آن اختصاص داده شده است. هنگام ذخیره اسناد و جداول در خوشههایی که با دادههای «مفید» پر نشدهاند، «آشغال» باقی میماند که همراه با دادههای دیگر به فایل ختم میشود. با لغو مورد تنظیمات Word/Excel "Allow Fast Save" می توان مقدار "زباله" در فایل ها را کاهش داد، با این حال، این تنها مقدار کل " زباله" را کاهش می دهد اما آن را به طور کامل حذف نمی کند. نتیجه این واقعیت این است که هنگام ویرایش یک سند، اندازه آن بدون توجه به اقدامات انجام شده روی آن تغییر می کند - هنگام اضافه کردن متن جدید، اندازه فایل ممکن است کاهش یابد و زمانی که بخشی از متن حذف می شود، ممکن است افزایش یابد. در مورد ویروسهای ماکرو هم همینطور است: وقتی یک فایل آلوده میشود، اندازه آن ممکن است کاهش یابد، افزایش یابد یا بدون تغییر باقی بماند. همچنین لازم به ذکر است که برخی از نسخه های OLE2.DLL دارای یک نقص کوچک هستند که در نتیجه هنگام کار با اسناد Word، Excel و به خصوص Office، داده های تصادفی از دیسک، از جمله موارد محرمانه، می توانند وارد بلوک های زباله شوند. ( فایل های حذف شده، کاتالوگ ها و غیره). دستورات ویروسی را نیز می توان در این بلوک ها گنجاند. در نتیجه، پس از ضد عفونی کردن اسناد آلوده، کد ویروس فعال از فایل حذف می شود، اما ممکن است برخی از دستورات آن در بلوک های "آشغال" باقی بماند. چنین ردپایی از وجود ویروس گاهی با استفاده از ویرایشگرهای متنی قابل مشاهده است و حتی می تواند باعث واکنش در برخی از برنامه های آنتی ویروس شود. با این حال، این بقایای ویروس کاملاً بی ضرر هستند: Word و Excel هیچ توجهی به آنها ندارند. ویروس های Word/Excel/Office: اصول عملکرد هنگام کار با سند Word نسخه های 6 و 7 یا بالاتر، اقدامات مختلفی را انجام می دهد: سند را باز می کند، ذخیره می کند، چاپ می کند، بسته می شود و غیره. در همان زمان، Word "ماکروهای داخلی" مربوطه را جستجو و اجرا می کند - هنگام ذخیره یک فایل با استفاده از دستور File/Save، ماکرو FileSave فراخوانی می شود، هنگام ذخیره با استفاده از دستور File/SaveAs - FileSaveAs، هنگام چاپ اسناد. - FilePrint و غیره در صورت وجود ماکرو تعریف شده است. چندین «ماکرو خودکار» نیز وجود دارد که تحت شرایط مختلف به صورت خودکار فراخوانی می شوند. به عنوان مثال، هنگامی که یک سند را باز می کنید، Word وجود ماکرو AutoOpen را بررسی می کند. اگر چنین ماکرویی وجود داشته باشد، Word آن را اجرا می کند. هنگام بستن یک سند ، Word ماکرو AutoClose را اجرا می کند ، هنگام شروع Word ، ماکرو AutoExec فراخوانی می شود ، هنگام خاموش کردن - AutoExit و هنگام ایجاد یک سند جدید - AutoNew. مکانیزم های مشابه (اما با نام های مختلف ماکروها و توابع) در Excel/Office استفاده می شود که در آن نقش ماکروهای خودکار و داخلی توسط توابع خودکار و داخلی موجود در هر ماکرو یا ماکرو و چندین ماکرو انجام می شود. موارد داخلی ممکن است در یک عملکرد ماکرو و خودکار وجود داشته باشند. ماکروها/عملکردهای مرتبط با یک کلید یا یک نقطه در زمان یا تاریخ نیز به صورت خودکار (یعنی بدون دخالت کاربر) اجرا می شوند. Word/Excel زمانی که یک کلید خاص (یا ترکیبی از کلیدها) فشار داده می شود یا زمانی که به نقطه خاصی از زمان می رسد، یک ماکرو/عملکرد را فراخوانی می کند. در آفیس، قابلیت های رهگیری رویدادها تا حدودی گسترش یافته است، اما اصل یکسان است. ویروسهای ماکرو که فایلهای Word، Excel یا Office را آلوده میکنند معمولاً از یکی از سه تکنیک ذکر شده در بالا استفاده میکنند - ویروس یا حاوی یک ماکرو خودکار (عملکرد خودکار) است یا یکی از ماکروهای استاندارد سیستم (مرتبط با برخی از آیتمهای منو) را لغو میکند. وقتی هر کلید یا کلید ترکیبی را فشار می دهید، ماکرو ویروس به طور خودکار فراخوانی می شود. همچنین نیمه ویروس هایی وجود دارند که از همه این تکنیک ها استفاده نمی کنند و تنها زمانی که کاربر به طور مستقل آنها را راه اندازی می کند، تکثیر می شوند. بنابراین، اگر سندی آلوده باشد، هنگام باز کردن سند، Word ماکرو خودکار آلوده را AutoOpen (یا AutoClose هنگام بستن سند) فراخوانی میکند و بنابراین کد ویروس را اجرا میکند، مگر اینکه توسط متغیر سیستم DisableAutoMacros غیرفعال شود. اگر یک ویروس حاوی ماکروهایی با نام های استاندارد باشد، زمانی که آیتم منوی مربوطه فراخوانی شود (File/Open، File/Close، File/SaveAs) کنترل می شوند. اگر هر یک از نمادهای صفحه کلید لغو شود، ویروس تنها پس از فشار دادن کلید مربوطه فعال می شود. اکثر ماکرو ویروس ها همه عملکردهای خود را به عنوان ماکروهای استاندارد Word/Excel/Office دارند. با این حال، ویروس هایی وجود دارند که از تکنیک هایی برای پنهان کردن کد خود استفاده می کنند و کد خود را به شکل غیر ماکرو ذخیره می کنند. سه تکنیک شناخته شده وجود دارد که همگی از توانایی ماکروها برای ایجاد، ویرایش و اجرای ماکروهای دیگر استفاده می کنند. به عنوان یک قاعده، چنین ویروس هایی دارای یک بارگذار ماکرو ویروس کوچک (گاهی چند شکلی) هستند که ویرایشگر ماکرو داخلی را فراخوانی می کند، یک ماکرو جدید ایجاد می کند، آن را با کد اصلی ویروس پر می کند، آن را اجرا می کند و سپس، به عنوان یک قاعده، آن را از بین می برد. (برای پنهان کردن آثار ویروس). کد اصلی چنین ویروس هایی یا در خود ماکرو ویروس به شکل رشته های متنی (گاهی اوقات رمزگذاری شده) وجود دارد یا در ناحیه متغیر سند یا در ناحیه متن خودکار ذخیره می شود. الگوریتم ویروس های ماکرو Word اکثر ویروسهای معروف Word، هنگام راهاندازی، کد (ماکرو) خود را به منطقه ماکرو جهانی سند (ماکروهای "عمومی") منتقل میکنند. برای این کار از دستورات کپی ماکرو MacroCopy، Organizer.Copy یا با استفاده از ویرایشگر ماکرو - ویروس آن را فراخوانی می کند و یک ماکرو جدید ایجاد می کند، کد شما را در آن قرار می دهد که در سند ذخیره می شود. هنگامی که از Word خارج می شوید، ماکروهای جهانی (از جمله ماکروهای ویروس) به طور خودکار در فایل DOT ماکروهای جهانی (معمولاً NORMAL.DOT) نوشته می شوند. بنابراین، دفعه بعد که شروع می کنید ویرایشگر MS-Wordویروس در لحظه ای فعال می شود که WinWord ماکروهای جهانی را بارگیری می کند، یعنی. فورا. سپس ویروس یک یا چند ماکرو استاندارد (به عنوان مثال FileOpen، FileSave، FileSaveAs، FilePrint) را لغو می کند (یا قبلاً حاوی) است و بنابراین دستورات کار با فایل ها را قطع می کند. هنگامی که این دستورات فراخوانی می شوند، ویروس فایلی را که در حال دسترسی است آلوده می کند. برای انجام این کار، ویروس فایل را به فرمت Template (که باعث ایجاد تغییرات بیشتر در فرمت فایل می شود، یعنی تبدیل به هر فرمت غیرقالبی غیرممکن است) تبدیل می کند و ماکروهای خود را در فایل، از جمله ماکرو خودکار، می نویسد. بنابراین، اگر ویروسی ماکرو FileSaveAs را رهگیری کند، هر فایل DOC ذخیره شده از طریق ماکرو رهگیری شده توسط ویروس آلوده می شود. اگر ماکرو FileOpen رهگیری شود، ویروس هنگام خواندن از روی دیسک روی فایل نوشته می شود. روش دوم معرفی ویروس به سیستم بسیار کمتر مورد استفاده قرار می گیرد - بر اساس فایل های به اصطلاح "افزودنی" است، یعنی. فایل هایی که سرویس اضافه شده به Word هستند. در این حالت، NORMAL.DOT تغییر نمیکند و Word، هنگام راهاندازی، ماکروهای ویروس را از فایل (یا فایلهایی) که بهعنوان «افزونه» تعریف شده است، بارگیری میکند. این روش تقریباً به طور کامل آلودگی ماکروهای جهانی را تکرار می کند، با این تفاوت که ماکروهای ویروس نه در NORMAL.DOT، بلکه در فایل دیگری ذخیره می شوند. همچنین می توان یک ویروس را به فایل های موجود در فهرست راه اندازی وارد کرد - Word به طور خودکار فایل های قالب را از این فهرست بارگیری می کند، اما هنوز با چنین ویروس هایی مواجه نشده اند. روش های معرفی به سیستم مورد بحث در بالا نوعی آنالوگ از ویروس های DOS مقیم هستند. یک آنالوگ غیر مقیم ویروسهای ماکرو هستند که کد خود را به ناحیه ماکروهای سیستم منتقل نمیکنند - برای آلوده کردن فایلهای سند دیگر، آنها یا با استفاده از توابع فایل ساخته شده در Word آنها را جستجو میکنند یا به فهرست ویرایشهای اخیر دسترسی پیدا میکنند. فایل ها (لیست فایل های اخیرا استفاده شده) . این ویروس ها سپس سند را باز می کنند، آن را آلوده می کنند و می بندند. الگوریتم کار اکسلماکرو ویروس ها روش های تولید مثل برای ویروس های اکسل به طور کلی شبیه به روش های ویروس های Word است. تفاوت ها در دستورات کپی ماکرو (به عنوان مثال، Sheets.Copy) و عدم وجود NORMAL.DOT - عملکرد آن (به معنای ویروسی) توسط فایل های موجود در فهرست راه اندازی اکسل انجام می شود. لازم به ذکر است که دو مورد وجود دارد گزینه های ممکنمحل کد ویروس ماکرو در جداول اکسل. اکثریت قریب به اتفاق این ویروس ها کد خود را با فرمت VBA (Visual Basic for Applications) می نویسند، اما ویروس هایی وجود دارند که کد خود را در قالب قدیمی اکسل نسخه 4.0 ذخیره می کنند. چنین ویروس هایی اساساً با ویروس های VBA تفاوتی ندارند، به استثنای تفاوت در قالب مکان کدهای ویروس در جداول اکسل. علیرغم این واقعیت که نسخه های جدید اکسل (شروع با نسخه 5) از فناوری های پیشرفته تری استفاده می کنند، توانایی اجرای ماکروهای قدیمی نسخه های اکسلبرای حفظ سازگاری باقی مانده است. به همین دلیل، با وجود اینکه مایکروسافت استفاده از آنها را توصیه نمی کند و مستندات لازم را با اکسل درج نمی کند، تمام ماکروهای نوشته شده با فرمت اکسل 4 در تمام نسخه های بعدی کاملاً کاربردی هستند. الگوریتم عملیات ویروس برای دسترسی چون Access بخشی است پکیج اداریویروس های Pro، Access همان ماکروهایی هستند که در ویژوال بیسیک نوشته شده اند و سایر ویروس هایی که برنامه های آفیس را آلوده می کنند. با این حال، در این مورد، به جای ماکروهای خودکار، سیستم حاوی اسکریپت های خودکار است که توسط سیستم بر اساس رویدادهای مختلف (مثلا Autoexec) فراخوانی می شوند. سپس این اسکریپت ها می توانند برنامه های ماکرو مختلفی را فراخوانی کنند. بنابراین، هنگام آلوده کردن پایگاههای اطلاعاتی Access، ویروس باید مقداری خودکار اسکریپت را جایگزین کند و ماکروهای خود را در پایگاه داده آلوده کپی کند. آلوده کردن اسکریپت ها بدون ماکروهای اضافی امکان پذیر نیست، زیرا زبان اسکریپت کاملاً ابتدایی است و شامل توابع لازم برای این کار نیست. لازم به ذکر است که در اصطلاح Access ، اسکریپت ها را ماکرو (ماکرو) و ماکروها را ماژول (ماژول) می نامند ، اما در آینده از اصطلاحات یکپارچه - اسکریپت ها و ماکروها استفاده می شود. درمان پایگاههای داده اکسس، کار دشوارتری نسبت به حذف سایر ویروسهای ماکرو است، زیرا در مورد Access، نه تنها ماکروهای ویروس، بلکه اسکریپتهای خودکار نیز خنثی کردن ضروری هستند. از آنجایی که بخش قابل توجهی از کار اکسس به اسکریپت ها و ماکروها سپرده می شود، حذف یا غیرفعال کردن نادرست هر عنصر می تواند منجر به عدم امکان عملیات با پایگاه داده شود. همین امر در مورد ویروس ها نیز صادق است - جایگزینی نادرست اسکریپت های خودکار می تواند منجر به از دست رفتن داده های ذخیره شده در پایگاه داده شود. ویروس های AmiPro هنگام کار با هر سندی، ویرایشگر AmiPro دو فایل ایجاد می کند - متن خود سند (با پسوند نام SAM) و فایل اضافی، حاوی ماکروهای سند و احتمالاً اطلاعات دیگر (پسوند نام - SMM). فرمت هر دو فایل بسیار ساده است - آنها یک فایل متنی معمولی هستند که در آن هم متن قابل ویرایش و هم دستورات کنترلی به شکل رشته های متنی معمولی وجود دارند. سند را می توان به هر ماکرو از فایل SMM اختصاص داد (فرمان AssignMacroToFile). این ماکرو مشابه AutoOpen و AutoClose در MS Word است و توسط ویرایشگر AmiPro هنگام باز کردن یا بستن یک فایل فراخوانی می شود. ظاهراً، AmiPro توانایی قرار دادن ماکروها در ناحیه "مشترک" را ندارد، بنابراین ویروس های AmiPro فقط می توانند سیستم را هنگام باز کردن یک فایل آلوده آلوده کنند، اما نه هنگام بارگذاری سیستم، همانطور که در MS-Word پس از آلوده کردن NORMAL اتفاق می افتد. فایل DOT. مانند MS Word، AmiPro به شما اجازه می دهد تا ماکروهای سیستم (به عنوان مثال SaveAs، Save) را با دستور ChangeMenuAction لغو کنید. هنگامی که توابع لغو شده (فرمان های منو) فراخوانی می شوند، کنترل به ماکروهای آلوده داده می شود، یعنی. کد ویروس ویروس های مخفینمایندگان این صنف از ابزارهای مختلفی برای پنهان کردن حضور خود در سیستم استفاده می کنند. این معمولاً با رهگیری سریال به دست می آید توابع سیستم، مسئول کار با فایل ها است. فن آوری های "Stealth" تشخیص ویروس را بدون ابزارهای خاص غیرممکن می کند. این ویروس هم افزایش طول شی (فایل) آسیب دیده و هم بدن آن را در آن می پوشاند و بخش "سالم" فایل را در جای خود "جایگزین" می کند. در حالی که کامپیوتر خود را چک می کنید برنامه های آنتی ویروسخواندن داده ها - فایل ها و مناطق سیستم - از دیسکهای سختو فلاپی دیسک با استفاده از سیستم عامل و بایوس. ویروسهای مخفی یا ویروسهای نامرئی در آن باقی میمانند حافظه دسترسی تصادفیماژول های ویژه رایانه که برنامه های دسترسی به زیرسیستم دیسک رایانه را رهگیری می کنند. اگر چنین ماژولی تشخیص دهد که یک برنامه کاربر در تلاش برای خواندن یک فایل آلوده یا ناحیه دیسک سیستم است، دادههای در حال خواندن را جایگزین میکند و بنابراین شناسایی نشده باقی میماند و برنامههای ضد ویروس را فریب میدهد. همچنین، ویروسهای مخفی میتوانند به شکل رشتههایی در سیستم و سایر فرآیندها پنهان شوند که شناسایی آنها را بسیار دشوارتر میکند. این گونه ویروس های مخفی حتی در لیست تمام فرآیندهای در حال اجرا در سیستم قابل مشاهده نیستند. یک راه ساده برای غیرفعال کردن مکانیسم استتار ویروس های Stealth وجود دارد. کافی است رایانه را از یک فلاپی دیسک سیستم آلوده نشده بوت کنید و بدون راه اندازی برنامه ها از دیسک رایانه، رایانه را با یک برنامه ضد ویروس اسکن کنید (ممکن است آلوده شده باشند). در این صورت، ویروس قادر به کنترل و نصب ماژول ساکن در RAM نخواهد بود که الگوریتم مخفی کاری را پیاده سازی می کند؛ آنتی ویروس اطلاعاتی را که در واقع روی دیسک نوشته شده است را می خواند و به راحتی "باسیل" را شناسایی می کند. اکثر برنامههای آنتی ویروس با تلاش ویروسهای مخفی برای شناسایی نشدن مقابله میکنند، اما برای اینکه فرصتی به آنها داده نشود، قبل از اسکن رایانه با یک برنامه آنتی ویروس، رایانه باید از یک فلاپی دیسک بوت شود که برنامههای آنتی ویروس باید روی آن نصب شوند. نوشته شده است. بسیاری از آنتی ویروس ها در مقاومت در برابر ویروس های مخفی به قدری موفق هستند که وقتی سعی می کنند خود را پنهان کنند آنها را شناسایی می کنند. چنین برنامه هایی با استفاده از چندین فایل برنامه را می خوانند تا از روی دیسک اسکن شوند روش های مختلف- به عنوان مثال، با استفاده از سیستم عامل و از طریق BIOS: اگر مغایرت هایی تشخیص داده شود، نتیجه گیری می شود که احتمالاً یک ویروس مخفی در RAM وجود دارد. ویروس های چند شکلیویروسهای چند شکلی شامل آنهایی هستند که با استفاده از به اصطلاح امضاهای ویروس قابل شناسایی نیستند (یا بسیار دشوار هستند) - بخشهایی از کد ثابت مخصوص یک ویروس خاص. این امر به دو روش اصلی به دست می آید - با رمزگذاری کد ویروس اصلی با یک کلید غیر دائمی و مجموعه ای تصادفی از دستورات رمزگشا یا با تغییر خود کد ویروس قابل اجرا. همچنین نمونههای عجیب و غریب دیگری از چندشکلی وجود دارد - به عنوان مثال، ویروس DOS "Bomber" رمزگذاری نشده است، اما دنباله دستوراتی که کنترل را به کد ویروس منتقل می کند کاملاً چند شکلی است. چند شکلی با درجات مختلف پیچیدگی در انواع ویروس ها یافت می شود - از ویروس های DOS بوت و فایل گرفته تا ویروس های ویندوز و حتی ویروس های ماکرو. بیشتر سوالات مربوط به اصطلاح "ویروس چند شکلی" است. به نظر می رسد این نوع ویروس کامپیوتری امروزه خطرناک ترین است. ویروسهای چند شکلی ویروسهایی هستند که کد خود را در برنامههای آلوده به گونهای تغییر میدهند که ممکن است دو نسخه از یک ویروس در یک بیت با هم مطابقت نداشته باشند. این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کدهای تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای رمزگذار و کد رمزگشای ثابت هستند. . ویروسهای چند شکلی، ویروسهایی با رمزگشاهای خودتغییر شونده هستند. هدف از چنین رمزگذاری: داشتن یک آلوده و فایل های اصلیشما هنوز نمی توانید کد آن را با استفاده از جداسازی معمولی تجزیه و تحلیل کنید. این کد رمزگذاری شده است و مجموعه ای از دستورات بی معنی است. رمزگشایی توسط خود ویروس در حین اجرا انجام می شود. در این مورد، گزینههایی امکانپذیر است: او میتواند خود را به یکباره رمزگشایی کند، یا میتواند چنین رمزگشایی را «در حال پرواز» انجام دهد، میتواند بخشهایی را که قبلاً استفاده شدهاند رمزگذاری مجدد کند. همه اینها به این دلیل انجام می شود که تجزیه و تحلیل کد ویروس را دشوار کند. رمزگشاهای چند شکلی ویروسهای چند شکلی از الگوریتمهای پیچیده برای تولید کد رمزگشای خود استفاده میکنند: دستورالعملها (یا معادلهای آنها) از عفونت به عفونت دوباره مرتب میشوند و با دستوراتی رقیق میشوند که چیزی مانند NOP، STI، CLI، STC، CLC، DEC ثبات استفاده نشده، XCHG را تغییر نمیدهند. رجیسترهای استفاده نشده و غیره د. ویروس های چند شکلی کامل از الگوریتم های پیچیده تری استفاده می کنند که در نتیجه رمزگشای ویروس ممکن است شامل عملیات SUB، ADD، XOR، ROR، ROL و موارد دیگر به تعداد و ترتیب دلخواه باشد. بارگیری و تغییر کلیدها و سایر پارامترهای رمزگذاری نیز توسط مجموعه ای دلخواه از عملیات انجام می شود که تقریباً تمام دستورالعمل ها را می توان در آنها یافت. پردازنده اینتل(ADD، SUB، TEST، XOR، OR، SHR، SHL، ROR، MOV، XCHG، JNZ، PUSH، POP...) با تمام حالت های آدرس دهی ممکن. ویروس های چند شکلی نیز ظاهر می شوند که رمزگشای آنها از دستورالعمل های تا Intel386 استفاده می کند و در تابستان 1997 یک ویروس چند شکلی 32 بیتی کشف شد که فایل های Windows95 EXE را آلوده می کند. در حال حاضر ویروس های چند شکلی وجود دارند که می توانند از دستورات مختلف پردازنده های مدرن نیز استفاده کنند. در نتیجه، در ابتدای یک فایل آلوده به چنین ویروسی مجموعه ای از دستورالعمل ها وجود دارد که در نگاه اول بی معنی هستند و برخی از ترکیبات کاملاً کاربردی توسط جداکننده های اختصاصی گرفته نمی شوند (مثلاً ترکیب CS:CS : یا CS:NOP). و در میان این "بهم ریختگی" دستورات و داده ها، MOV، XOR، LOOP، JMP گاهی اوقات از بین می روند - دستورالعمل هایی که واقعا "کار می کنند". سطوح پلی مورفیسم بسته به پیچیدگی کدی که در رمزگشای این ویروس ها یافت می شود، ویروس های چند شکلی به سطوح تقسیم بندی می شوند. این تقسیم برای اولین بار توسط دکتر پیشنهاد شد. آلن سولومون، پس از مدتی وسلین بونچف آن را گسترش داد. سطح 1: ویروس هایی که مجموعه خاصی از رمزگشاها با کد ثابت دارند و در صورت آلوده شدن، یکی از آنها را انتخاب می کنند. چنین ویروس هایی "نیمه چند شکل" هستند و "الیگومورفیک" نیز نامیده می شوند. به عنوان مثال: "Cheeba"، "Slovakia"، "Whale". تقسیم فوق عاری از کاستی نیست ، زیرا طبق یک معیار ساخته شده است - توانایی تشخیص ویروس توسط کد رمزگشا با استفاده از تکنیک استاندارد ماسک های ویروس: سطح 1: برای تشخیص ویروس کافی است چند ماسک داشته باشید سطح 2: تشخیص ماسک با استفاده از "کارت های عام" سطح 3: تشخیص با ماسک پس از حذف دستورالعمل های "زباله". سطح 4: ماسک حاوی چندین گزینه کد ممکن است، به عنوان مثال. الگوریتمی می شود ناکافی بودن چنین تقسیم بندی در ویروس سطح 3 پلی مورفیسم که "سطح 3" نامیده می شود نشان داده شده است. این ویروس که یکی از پیچیده ترین ویروس های چند شکلی است، طبق تقسیم بندی فوق در سطح 3 قرار می گیرد، زیرا دارای یک الگوریتم رمزگشایی ثابت است که قبل از آن تعداد زیادی دستور "آشغال" وجود دارد. با این حال، در این ویروس، الگوریتم تولید زباله به کمال رسیده است: تقریباً تمام دستورالعمل های پردازنده i8086 را می توان در کد رمزگشا پیدا کرد. اگر از نقطه نظر آنتی ویروس هایی که از سیستم هایی برای رمزگشایی خودکار کد ویروس (شبیه سازها) استفاده می کنند، به سطوح تقسیم کنیم، تقسیم به سطوح به پیچیدگی شبیه سازی کد ویروس بستگی دارد. تشخیص ویروس با استفاده از روش های دیگر، به عنوان مثال، رمزگشایی با استفاده از قوانین ریاضی ابتدایی و غیره امکان پذیر است. بنابراین، به نظر من تقسیم عینی تری است که علاوه بر معیار ماسک های ویروسی، پارامترهای دیگری نیز در آن شرکت می کنند: درجه پیچیدگی کد چند شکلی (درصد از تمام دستورالعمل های پردازنده که در کد رمزگشا یافت می شوند) تغییر کد اجرایی اغلب، این روش چندشکلی توسط ماکرو ویروس ها استفاده می شود، که هنگام ایجاد کپی های جدید از خود، به طور تصادفی نام متغیرهای خود را تغییر می دهند، خطوط خالی را وارد می کنند یا کد آنها را به روش دیگری تغییر می دهند. بنابراین، الگوریتم ویروس بدون تغییر باقی می ماند، اما کد ویروس تقریباً به طور کامل از عفونت به عفونت تغییر می کند. این روش کمتر توسط ویروس های بوت پیچیده استفاده می شود. چنین ویروس هایی فقط یک روش نسبتاً کوتاه را به بخش های بوت تزریق می کنند که کد ویروس اصلی را از دیسک می خواند و کنترل را به آن منتقل می کند. کد این روش از چندین گزینه مختلف انتخاب می شود (که همچنین می تواند با دستورات خالی ترکیب شود)، دستورات دوباره مرتب می شوند و غیره. این تکنیک حتی با ویروس های فایل کمتر رایج است - بالاخره آنها باید کد خود را کاملاً تغییر دهند و این به الگوریتم های کاملاً پیچیده نیاز دارد. تا به امروز، تنها دو نوع ویروس شناخته شده است که یکی از آنها ("Ply") به طور تصادفی دستورات خود را در اطراف بدن خود حرکت می دهد و آنها را با دستورات JMP یا CALL جایگزین می کند. ویروس دیگری ("TMC") از روش پیچیده تری استفاده می کند - هر بار که آلوده می شود، ویروس بلوک هایی از کد و داده های خود را مبادله می کند، "آشغال" را وارد می کند، مقادیر افست جدیدی را برای داده ها در دستورالعمل های اسمبلی خود تنظیم می کند، ثابت ها را تغییر می دهد. و غیره. در نتیجه، اگرچه ویروس کد خود را رمزگذاری نمی کند، اما یک ویروس چند شکلی است - هیچ مجموعه ای از دستورات ثابت در کد وجود ندارد. علاوه بر این، هنگام ایجاد نسخه های جدید از خود، ویروس طول خود را تغییر می دهد. ویروس ها بر اساس نوع عملکرد مخرببر اساس نوع اعمال مخرب، ویروس ها را می توان به سه گروه تقسیم کرد: ویروس های اطلاعاتی (ویروس های نسل اول) ویروسهای نسل اول همگی ویروسهایی هستند که در حال حاضر وجود دارند و هدفشان از بین بردن، تغییر یا سرقت اطلاعات است. ویروس های سخت افزاری (ویروس های نسل دوم) این نوع ویروس می تواند به سخت افزار کامپیوتر آسیب برساند. به عنوان مثال، بایوس را پاک کنید یا آن را خراب کنید، ساختار منطقی هارد دیسک را به گونه ای بر هم بزنید که فقط امکان بازیابی آن وجود داشته باشد. قالب بندی سطح پایین(و نه همیشه). تنها نماینده این گونه خطرناک ترین ویروسی است که تاکنون وجود داشته است، ویروس Win95.CIH "Chernobly". زمانی این ویروس میلیون ها کامپیوتر را از کار انداخت. او برنامه را از بایوس پاک کرد و در نتیجه کامپیوتر را غیرفعال کرد و همان برنامه تمام اطلاعات را از بین برد. هارد دیسکبه طوری که بازیابی آن تقریبا غیرممکن بود. در حال حاضر، هیچ ویروس سخت افزاری "وحشی" شناسایی نشده است. اما کارشناسان در حال حاضر ظهور ویروسهای جدیدی از این نوع را پیشبینی میکنند که میتوانند BIOS را آلوده کنند. برنامه ریزی شده است که در هر یک از این گونه ویروس ها محافظت شود مادربردجامپرهای ویژه ای که نوشتن در BIOS را مسدود می کند. ویروسهای روانگردان (ویروسهای نسل سوم) این ویروسها میتوانند از طریق مانیتور کامپیوتر یا بلندگوها، فرد را از بین ببرند. ویروسهای روانگردان با بازتولید صداهای خاص، فرکانس معین، یا سوسو زدن رنگهای مختلف روی صفحه، میتوانند باعث حمله صرع (در افراد مستعد این امر)، یا ایست قلبی یا خونریزی مغزی شوند. خوشبختانه امروزه وجود واقعی چنین ویروس هایی مشخص نیست. بسیاری از کارشناسان وجود کلی این نوع ویروس را زیر سوال می برند. اما یک چیز قطعی است. فنآوریهای روانگردان مدتهاست که برای تأثیرگذاری بر شخص از طریق صدا یا تصویر اختراع شدهاند (با قاب 25 اشتباه نشود). ایجاد حمله صرع در یک فرد مستعد این امر بسیار آسان است. چندین سال پیش در برخی رسانه ها سر و صدایی در مورد ظهور ویروس جدیدی به نام "666" به وجود آمد. این ویروس پس از هر 24 فریم، ترکیب رنگ خاصی را روی صفحه نمایش می دهد که می تواند زندگی بیننده را تغییر دهد. در نتیجه، فرد وارد یک خلسه هیپنوتیزمی می شود، مغز کنترل خود را بر عملکرد بدن از دست می دهد، که می تواند منجر به یک وضعیت دردناک، تغییر در نحوه عملکرد قلب، فشار خون و غیره شود. اما امروزه ترکیب رنگ ها منع قانونی ندارد. بنابراین، آنها می توانند کاملاً قانونی روی صفحه نمایش ظاهر شوند، اگرچه نتایج تأثیر آنها می تواند برای همه ما فاجعه بار باشد. نمونه ای از چنین تأثیری کارتون «پوکمون» است؛ پس از نمایش یکی از قسمت ها در ژاپن، صدها کودک با سردرد وحشتناک و خونریزی مغزی در بیمارستان بستری شدند. برخی از آنها فوت کرده اند. در این کارتون قاب هایی با نسل روشن از یک پالت رنگ مشخص وجود داشت، به طور معمول، اینها فلاش های قرمز روی یک پس زمینه سیاه در یک دنباله خاص هستند. پس از این اتفاق، این کارتون برای نمایش در ژاپن ممنوع شد. یک مثال دیگر هم می توان زد. احتمالاً همه به یاد دارند که پس از پخش بازی تیم ملی فوتبال کشورمان با تیم ملی ژاپن (اگر اشتباه نکنم) در مسکو چه گذشت. اما در صفحه نمایش بزرگتنها کاری که آنها انجام دادند این بود که فیلمی از مردی با خفاش در حال شکستن ماشین نشان دادند. این نیز یک اثر روانگردان است، با دیدن ویدیو "مردم" شروع به نابود کردن همه چیز و هر کسی در مسیر خود کردند. مواد و داده ها از منابع زیر گرفته شده است:
1. ویروس های ماکرو چگونه به سیستم نفوذ می کنند؟ الف) از طریق ایمیل؛ ب) به هر نحوی همراه با پرونده های آلوده به آنها؛ ج) مهاجم باید به صورت دستی ویروس را وارد سیستم کند. د) از طریق اینترنت، با استفاده از خطا در برنامه های شبکه; ه) از طریق رسانه های ذخیره سازی قابل جابجایی هنگامی که بارگیری خودکار از آنها آغاز می شود. 2. یک رمز عبور برای مقابله با حمله فرهنگ لغت شخصی باید چه شرایطی را برآورده کند؟ الف) هنگام ایجاد رمز عبور نباید از داده های شخصی استفاده شود. 3. معایب سیستم های تشخیص نفوذ مبتنی بر تشخیص ناهنجاری چیست؟ الف) درصد بالای مثبت کاذب؛ ب) قادر به کنترل وضعیت در سراسر شبکه نیستند. ج) قادر به تجزیه و تحلیل درجه نفوذ نیستند. د) وقتی بار شبکه زیاد است کار دشوار است. ه) کارایی سروری که روی آن نصب شده اند کاهش می یابد. 4. تونل یک کانال بین دو گره است که با رمزگذاری ترافیک عبوری از آن محافظت می شود. 5. نام ویروس هایی که به طور خودکار هنگام راه اندازی سیستم عامل راه اندازی می شوند و در نتیجه دائماً در RAM کار می کنند چیست؟ الف) ویروس های مقیم؛ ب) ویروس های پنهان کاری؛ ج) ماکرو ویروس ها؛ د) ویروس های چند شکلی؛ د) اسب های تروا. 6. متعلق به چه طبقه ای هستند؟ فایروال ها، کدام اتصالات جاری را نظارت می کند و فقط بسته هایی را ارسال می کند که منطق و الگوریتم های پروتکل ها و برنامه های مربوطه را برآورده می کند؟ الف) کار در سطح شبکه؛ ب) کار در سطح جلسه؛ ج) کار در سطح برنامه؛ 7. نام آنتی ویروس هایی که رزیدنت کار می کنند و از آلوده شدن فایل ها جلوگیری می کنند چیست؟ الف) آشکارسازها؛ ج) حسابرسان؛ د) واکسن ها؛ د) فیلترها 8. چه ویروس هایی رسانه های ذخیره سازی را آلوده می کنند؟ الف) ویروس های فایل؛ ب) ویروس های بوت؛ ج) ماکرو ویروس ها؛ د) کرم های شبکه؛ د) اسب های تروا. 9. نام VPN هایی که به کمک آنها یک زیرشبکه قابل اعتماد و امن بر اساس یک شبکه غیر قابل اعتماد ایجاد می شود چیست؟ الف) درون شرکتی؛ ب) محافظت شده؛ ج) ج دسترسی از راه دور; د) امانتداری؛ ه) شرکت های داخلی. 10. یک رمز عبور برای مقابله با فیشینگ باید چه الزاماتی را داشته باشد؟ الف) رمز عبور نباید از کلمات هر زبان طبیعی مشتق شده باشد. ب) رمز عبور باید 12 کاراکتر یا بیشتر باشد. ج) رمز عبور را نمی توان برای کسی فاش کرد. د) سرویس های مختلف باید با رمزهای عبور متفاوت محافظت شوند. ه) رمز عبور باید شامل حروف الفبا و رجیسترهای مختلف، اعداد، علائم نگارشی و غیره باشد. 11. VPN چیست؟ الف) سیستم تشخیص نفوذ؛ ب) پروتکل تبادل کلید؛ ج) پخش آدرس های شبکه; د) مجازی شبکه خصوصی; ه) پروتکل حفاظت از جریان ارسالی. 12. عیب اصلی شناسایی ویروس ها با اسکن اکتشافی چیست؟ الف) احتمال قابل توجه مثبت کاذب؛ ب) فوق العاده کند کارآنتی ویروس؛ ج) ناتوانی در شناسایی ویروس های جدید؛ د) نیاز به کار فشرده تنظیمات دستیآنتی ویروس نقاشی شده: پاسخ های صحیح در پاسخ های شما به رنگ سبز هستند. پاسخ های صحیحی که انتخاب نشده اند با رنگ قرمز مشخص می شوند. |
محبوب:
ساختار واحد سیستم - کدام اجزا مسئول عملکرد رایانه هستند ویژگی های دستگاه های داخلی واحد سیستم |
جدید
- سه راه برای باز کردن ویرایشگر رجیستری ویندوز باز کردن رجیستری با استفاده از جستجو
- نحوه پارتیشن بندی هارد دیسک
- هارد دیسک را به پارتیشن تقسیم می کنیم
- وقتی کامپیوتر روشن می شود بوق می دهد
- تغییر صحیح پسوند فایل در ویندوز نحوه تغییر پسوند آرشیو
- مسدود کردن تبلیغات در YouTube YouTube بدون تبلیغات
- TeamViewer - کنترل کامپیوتر از راه دور برنامه را برای برقراری ارتباط با رایانه دیگری دانلود کنید
- نحوه پیدا کردن ویژگی های رایانه خود در ویندوز: روش های سیستم و برنامه های ویژه
- ما مرورگرها را در دستگاه های مختلف به روز می کنیم: رایانه، تبلت، تلفن هوشمند مرورگر به روز شده را کجا و چگونه نصب کنید
- نحوه روغن کاری کولر پردازنده، کارت گرافیک، منبع تغذیه و کامپیوتر