يحمينا برنامج مكافحة الفيروسات من المزيد والمزيد من التهديدات. تظهر المئات من التهديدات الجديدة كل يوم ، والشركات التي تطور برامج مكافحة الفيروسات هذه مكرسة لجمعها وإنشاء حلول لحمايتنا. ومع ذلك ، هناك فيروسات يصعب اكتشافها أكثر من غيرها ، وفي بعض الحالات يمكن أن يمضي بعضها شهورًا دون أن يتم اكتشافها.
- الفيروسات المتحولةعندما يتم اكتشاف فيروس لأول مرة ، فإنه يصبح على الفور جزءًا من قاعدة بيانات الشركات المصنعة لمكافحة الفيروسات. من خلال إضافته إلى قاعدة البيانات وإمكانية اكتشاف الكود الخاص به ، سيتم تنبيه أي شخص لديه هذا الفيروس على جهاز الكمبيوتر الخاص به إلى وجوده.
ومع ذلك ، ماذا لو تم تصميم برنامج مكافحة الفيروسات لتغيير كوده باستمرار؟ يمكن لهذه الفيروسات ، التي تسمى المتحولة ، ترجمة وتحرير وإعادة كتابة التعليمات البرمجية الخاصة بها تلقائيًا مع كل إصابة ، بحيث لا يتمكن برنامج مكافحة الفيروسات من اكتشافها. في الواقع ، لا يتغير كود العدوى نفسه فحسب ، بل يتغير أيضًا محرك الطفرات.
لاكتشاف هذا النوع من البرامج الضارة ، من الضروري تجاوز التواقيع التي يستخدمها برنامج مكافحة الفيروسات الحالي ، واستخدام أساليب الاستدلال والتحليل بناءً على السلوكيات. وبالتالي ، من الممكن محاولة تحديد الأنماط من أجل اكتشاف الطفرات المستقبلية والماضية.
- الفيروسات متعددة الأشكال
على الرغم من أن الفيروسات متعددة الأشكال لها نفس الاسم والغرض ، إلا أنها تختلف عن الفيروسات المتحولة. بينما يغير الأخير الكود الخاص به تمامًا ، فإن الفيروسات متعددة الأشكال تغير جزءًا فقط من الكود الخاص بها ، مع الاحتفاظ بجزء من الكود كما هو. لإجراء هذه التحولات ، تستخدم البرامج الضارة عادةً تقنيات التعتيم وحتى التشفير. بفضل هذا ، يمكنك الاحتفاظ بالكود نفسه ، ولكن مع تغيير بصمته.
- ثغرات يوم الصفر
هناك أنواع أخرى من الإصابات بخلاف البرامج الضارة التقليدية التي يمكن اكتشافها بواسطة برامج مكافحة الفيروسات ، مثل ثغرات يوم الصفر. تتكون هذه الثغرات الأمنية من العثور على خلل في البرامج أو الأجهزة الخاصة بجهاز لم يتم تصحيحه وتحديثه . نظرًا لأنه غير مصحح وغير محدث ، فمن الممكن تنفيذ هجمات دون أن يتمكن النظام من اكتشافها.
هناك بعض ثغرات يوم الصفر التي يمكن اكتشافها بواسطة برنامج مكافحة الفيروسات إذا حاول شخص ما استخدامها ، ولكن في كثير من الحالات ليس هذا هو الحال. غالبًا ما يتم العثور على هذه الأنواع من الإخفاقات من خلال إجراء اختبارات مثل فيضان المخزن المؤقت ، وتشبع البرامج حتى تتعطل ، ويصبح من الممكن إدخال تعليمات برمجية ضارة.
من بين الأكواد الخبيثة التي يمكن حقنها برنامج الفدية الذي يقوم بتشفير جميع محتويات الكمبيوتر. كان هذا هو الحال ، على سبيل المثال ، في WannaCry ، والذي سمح ، من خلال ثغرة أمنية غير مصححة في الويندوز 10 ، بتثبيت برنامج الفدية على جهاز كمبيوتر وأصاب جميع الأجهزة الأخرى المتصلة داخل نفس الشبكة المحلية.
- الجذور الخفية rootkit
يمكن أن تؤدي نقاط الضعف في يوم الصفر إلى عدوى الجذور الخفية. الجذور الخفية هو أسوأ شيء يمكن أن نعاني منه على جهاز الكمبيوتر. برنامج مكافحة الفيروسات قادر على اكتشاف التعليمات البرمجية الضارة التي تعمل على نظام التشغيل. ولكن ماذا لو كان الكود أقرب إلى مستوى الأجهزة من نظام التشغيل؟ حسنًا ، في هذه الحالة ، لا يمكن لمضاد الفيروسات اكتشافه.
هذا هو rootkit: نوع من البرامج الضارة التي لها وصول دائم إلى جهاز كمبيوتر ، لكنها تظل مخفية عن المستخدم وليس لديها طريقة لاكتشافها. قد يكون هدفه تعديل البرامج الثابتة للجهاز ، أو التجسس على كل ما يمر بذاكرة جهاز الكمبيوتر الخاص بالمستخدم.
يمكن لهذه الجذور الخفية الوصول إلى نواة نظام التشغيل لتجاوز اكتشافها ، ولكن يمكنها أيضًا الوصول إلى الطبقات السفلية من الكمبيوتر ، مثل BIOS. في هذه الحالات ، حتى الفرمتة لا يمكن أن يساعدنا في التخلص منها.
لحسن الحظ ، هناك المزيد والمزيد من آليات الكشف عن الجذور الخفية في برامج مكافحة الفيروسات. يضاف إلى ذلك أن هناك آليات مثل Secure Boot التي تسمح لنا بحماية جزء التمهيد بالكامل من الكمبيوتر لتجنب تنفيذ التعليمات البرمجية الضارة.
source http://www.igli5.com/2021/10/4_29.html
ليست هناك تعليقات