تعرف على الهيروستيك ومفهوم الرن بى ونقاط الادخال فى التشفير

بسم الله
السلام عليكم جميعا

درس اليوم سنتحدث فيه عن الهيرو ستيك
ايضا سنتكلم عن ما يدعى بنقاط الادخال والرن بى RunPe & EntryPoint
وسنتكلم ايضا عن وحده محلل السلوك فى البت دفندر AVC وسر قوتها فى كشف اغلب التهديدات وباتشات الاختراق
نبدا

-------------------------------------------------

الهيروستك
-----------
الهيروستك عبارة عن تقنية تستخدم مجموعة قواعد
وأدلة ترشدها إلى تحديد واكتشاف الفيروسات بعد أن تفشل قاعدة بيانات برنامج الحماية من العثور على توقيع له
فعند إصابة ملف ما بفيروس مجهول
الهوية عندها ستفشل عملية المطابقة بينه وبين قاعدة بيانات برنامج الحمايه التي لا تحتوي على توقيع لذلك الفيروس وبالتالي لا بد هنا من تدخل تقنية الهيوريستك لاكتشاف الفيروس وتنظيف الملف منه فورا

كيف يقوم الهيروستيك بالتفرقه بين الملف السليم والملف الكاذب
-----------------------------------------------------------------
هناك العديد من ملفات النظام التي تقوم بالعمل في الذاكرة وانتظار تشغيل الملف من هناك وعلى
الرغم من شرعية هذه الملفات إلا أن مكافح الفيروسات عن طريق تقنية الهيوريستك سيقوم باكتشاف
ذلك الملف على أنه Backdoor بسبب سلوكه ذاك

فإذا كان الحال كذلك فإن هناك الكثير من الملفات النظام الشرعية سيتم اكتشافها بواسطة الهيوريستك
على أنها تهديدات .. فما العمل

لكي يتم تجنب الإيجابيات الكاذبة عن طريق الهيروستيك لابد من وضع قواعد معينة دقيقة لكل ملف
نقاط معينة إن قام بها الملف حسبت عليه تلك النقاط وهكذا يتم جمع النقاط للملف حتى نتاكد ومن خلال هذه النقاط
نحكم على مدى احتمالية الملف كونه مصاب أم لا

مثال توضيحى
--------------
على فرض أن خبراء الحمايه وضعوا القواعد التالية لهيوريستك محرك بحث أحد برامج الحماية
إن كان الملف المفحوص مشفر يعطي علامة واحدة
إن قام بفتح بورت وانتظار اتصال يعطي علامتان
إن قام بالكتابة على ملف موجود يعطى ثلاث علامات
إن قام بالكتابة في الريجستري يعطى علامة واحدة
وبالتالي فمن خلال هذه القواعد سيتم التقليل من حدوث الإيجابيات الكاذبة بشكل كبير وذلك بعد وضع قواعد لتلك الكشوفات

فالقواعد يمكن أن توضع كالتالي على سبيل المثال
----------------------------------------------------
الملفات التي تحقق نقاطا من 1 - 3 مثلا يتم اكتشافها على أنها probably unknown
الملفات التي تحقق نقاطا 4-5 مثلا يتم اكتشافها على أنها probably a variant of
الملفات التي تحقق نقاطا 6-7 مثلا يتم اكتشافها على أنها a variant of

ويجب ان يعرف الجميع أن الكشوفات عن طريق قاعدة البيانات يجب ان يكون أكيد مصرح على اسم الفيروس فألفاظ
Probably //Unknown //A variant //Probably a variant //Suspicious
كلها لا تدل على حصول المطابقة مع قاعدة البيانات
----------------------------------------------------------

الرن بى ونقاط الادخال RunPe & EntryPoint
-----------------------------------------------
الرن بى RunPe
----------------
الرن بي هو تنفيذ بايتات bytes الملف المطلوب في ذاكرة ملف آخر

مثال للتوضيح
--------------
لدينا بايتات الباتش مشفره بأحد الخوارزميات الباتش حتى الآن لم يتم تشغيله لذلك لاتوجد أي عملية ضارة تجعل برنامج الحماية يعطي إنذار عليها
فالرن بي يقوم بحقن وتشغيل نفسه فى عملية نظيفة مثل Explorer.exe عن طريقة دالة CreateProcess لماذا نستخدم هذه الدالة لأننا في تشغيل هذا الملف لانريده أن يعمل بل نريد أن يتم تحميله للذاكرة بوضيعة الخمول أو
حتى الان الباتش لم يعمل هو ما زال فى وضعيه الخمول ومحمل فى الزاكره
ولتشغيل الباتش يجب ان نجلب امر التشغيل من ذاكرة العملية لكى يعمل وبعد جلب امر التشغيل من الذاكره
يأتي دور تفريغ الذاكرة الإفتراضية للعملية وذلك لنجعلها فارغة مهيئة لكتابة بايتات bytes الباتش الخاص بنا فيها
بعد تفريغ ذاكرة العملية لازال علينا تفريغ مساحة كافية فيها لكتابة بايتات bytes السيرفر أو الملف المطلوب
بعد أن تم تهييئ ذاكرة العملية تماما يقوم الآن الباتش بفك تشفير بايتاتbytes نفسه او الملف المطلوب ان كان مشفر بأحد الخوارزميات
ويبدا الباتش بكتابه نفسه ويبدا فى العمل دون ان تشعر بيه الحمايات بعد ان قام بحقن نفسه بالكامل فى الزاكره من خلال ملف سليم

------------------------------------------------------

نقاط الادخال EntryPoint
--------------------------
هى جزء من الرن بى ولكن على شكل اصغر حيث انها ايضا تقوم ولكن بشكل مصغر
بتشغيل ملف الباتش من الزاكره ولكن بدون حقن
طريقه عمل نقاط الادخال هى نفسها الرن بى مع اختلاف فى بنيه الكود نفسه
لذلك تجد ان نقاط الادخال اقوى بكثير من الرن بى عند التشفير بها وذلك لان كود نقاط الادخال لا يحقن نفسه بل يعمل مباشرا بدون اى حقن
-------------------------------------------

وحده AVC وسر قوتها فى كشف الملفات المجهوله
---------------------------------------------------
كما تعرفنا على تقنتى عمل كل من نقاط الادخال والرن بى اصبح من السهل الان ان تعرف كيف تعمل وحده AVC فى برنامج البت دفندر

وحده AVC هى اختصار الى Active Virus Control وهى وحده من نوع ال Advanced Heuristic تفحص الملفات التنفيذية لحظة التشغيل وتراقب جميع الملفات النشطة التي تعمل في الذاكرة
الملفات المشبوهة يتم ارسال رقم الهاش الى مختبر السحاب فان لم يكن مسجل لدى مختبر السحاب يتم تحميل الملف التنفيذي مباشرة وفحصة بمختبر السحاب فان كان فيروس يتم الكشف عنه مباشرة ويتم اضافته لاحقا للتواقيع
لذلك تجد ان البت دفندر سريع وعنيف جدا مع الملفات الجديده التى هى غير موجوده لديه عن طريق السحاب
على الرغم من انها قويه الا انها تكتشف كثير من الملفات عند تشغيلها على انها خبيثه خصوصا الباتشات والكراكات
وتعتبر اقوى وحده محلل سلوك موجوده حتى الان
-------------------------------------------------------

كيف يمكن تخطى هذه الوحده AVC
------------------------------------

عن طريق نقاط الادخال لان كما شرحت سابقا ان EntryPoint لا تقوم بحقن اى ملفات فى الذلكره ولكن ليس شرط تخطى اى باتش مشفر بنقاط الادخال هذه الوحده الا اذا اعتمدت التشفيره على عده عوامل ولان اتطرق الى هذه النقطه
-------------------------------------------------

الى هنا ينتهى درس اليوم
اتمنى ان يكون الجميع قد استفاد من الموضوع
واتمنى ان اكون وفقت فى الشرح والتبسيط قدر الامكان لكى يفهمه الجميع بدون تعقيد
تحياتى للجميع

يسعدني أن أكون أول من يمر على موضوعك القيم هذا
بارك الله فيك

» كيف تعرف اذا جهازك مخترق ؟؟
» تعرف على الفرق بين المعالجات i3 و i5 و i7
» Don Hacker يريد تعرف عليكم
» تعرف على اخر اختراعات غوغل المذهلة
» الرقم الذى حير العلماء .. تعرف عليه !