بدست آوردن اطلاعات از بد‌افزار‌ها

0
18
بدست آوردن اطلاعات از بد‌افزار‌ها

 پیش‌تر انواع بد‌افزار را مرور کردیم، و خواندیم که شناخت بد‌افزارها یکی از گام‌های مهم در حذف آنهاست. اکنون در این مقاله از وب‌سایت امنیت اینترنت کنش‌تک به سه راه بدست آوردن اطلاعات از بد‌افزار‌ها اشاره می‌کنیم.

برای تحلیل یا آنالیز بد‌افزار دو روش استاتیک و دینامیک وجود دارد، و این سه راهی که جلوتر در مورد آن صحبت خواهیم کرد، از جمله راه‌های آنالیز استاتیک بد‌افزار هستند. آنالیز استاتیک روند آنالیز کد یا ساختار برنامه برای شناسایی عملکرد آن است، در حالیکه خود برنامه در این روش اجرا نمی‌شود. 

سه راه تحلیل استاتیک بد‌افزار

  • استفاده از آنتی‌ویروس برای تائید بد‌افزار
  • استفاده از هش‌ها برای شناسایی بد‌افزار
  • جمع‌آوری اطلاعات از هدر، عملکرد و رشته فایل

در این مقاله دو راه «آنتی‌ویروس» و «هشینگ» را مرور میکنیم.

اسکن آنتی‌ویروس : 

اگرچه استفاده از آنتی‌ویروس‌ها باید یکی از بهترین روش‌ها برای شناسایی بد‌افزار باشد، اما اینطور نیست. آنتی‌ویروس‌‌ها متکی هستند به پایگاه داده‌‌های خود که شامل قطعه کد‌های مشکوک شناخته شده (امضای فایل) هستند، همچنین از تحلیل رفتاری و الگوی تطبیق (جستجوی اکتشافی) برای شناسایی بد‌افزار استفاده می‌کنند. مشکل اینجاست که توسعه‌دهندگان بد‌افزار براحتی می‌توانند با تغییر کدشان، امضای فایل بد‌افزار را تغییر بدهند و براحتی از دست آنتی‌ویروس‌‌‌ها فرار کنند. از طرفی بد‌افزارهایی هستند که توسط آنتی‌ویروس شناسایی نمی‌شوند چون در دیتابیس آنتی‌ویروس وجود ندارند، بسادگی اینکه بدافزار منحصر بفرد و جدیدی است.

بدلیل اینکه آنتی‌ویروس‌ها  پایگاه  داده‌های متفاوت و الگوریتم اکتشافی متفاوتی دارند، بهتر است یک بد‌افزار را با چند آنتی‌ویروس بررسی و اسکن کرد. وب‌سایت‌هایی مانند VirusTotal با آدرس http://www.virustotal.com به شما امکان می‌دهند یک فایل را با آنتی‌ویروس‌های مختلفی اسکن کنید. در نهایت VirusTotal گزارشی از تعداد آنتی‌ویروس‌هایی که فایل را آلوده تشخیص داده‌اند، نام بد‌افزار،  و اطلاعات دیگر ارائه می‌کند.

هشینگ – اثر انگشت بد‌افزار 

هشینگ یک روش معمول برای شناسایی بد‌افزار است. نرم‌افزار مخرب از طریق برنامه هشینگی اجرا می‌شود که یک هش منحصر بفرد برای آن بد‌افزار را ایجاد می‌‌کند. هش MD5 (اختصار Message-DigestAlgorithm 5) یکی از رایج‌ترین آنهاست که برای تحلیل بد‌افزار استفاده می‌شود، اگرچه SHA-1 (اختصار Secure Hash Algorithm 1) هم محبوب است. 

برای مثال اگر با استفاده از برنامه md5deep برای محاسبه هش برنامه Solitaire ویندوز استفاده کنید، خروجی زیر را مشاهده خواهید کرد: 

[box]C:\>md5deep c:\WINDOWS\system32\sol.exe 373e7a863a1a345c60edb9e20ec3231 c:\WINDOWS\system32\sol.exe[/box]

هش این برنامه: ۳۷۳e7a863a1a345c60edb9e20ec3231

هنگامی که هش یک بد‌افزار را داشته باشید می‌توانید از آن برای موارد زیر استفاده کنید : 

  • از هش بعنوان برچسب (lable) استفاده کنید.
  • آن هش را با تحلیلگران بد‌افزار به اشتراک بگذارید تا از آن برای شناسایی بد‌افزارها استفاده کنند.
  • آن هش را آنلاین جستجو کنید و دریابید که آیا قبلا شناسایی شده است یا نه.

 

هر روش اطلاعات مختلفی را به ما نشان می‌دهد. و برای بدست آوردن اطلاعات بیشتر باید چندین روش را امتحان کنید.

نظر بدهید

لطفا نظر خود را وارد کنید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.