Professional Documents
Culture Documents
اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ
Viruses and Worms
By
CONTENTS
563 ................... ................................................................................................( )ﻣﻔﮭوم اﻟﻔﯾروﺳﺎت واﻟدﯾدانVirus And Worms Concept 7.1
565 ................ ................................................................ Working of Viruses: Infection Phase ﻣرﺣﻠﺔ اﻟﻌدوى:طرﯾﻘﺔ ﻋﻣل اﻟﻔﯾروﺳﺎت
568 .... ................................................................................................اﻟﺗﻘﻧﯾﺎت اﻷﻛﺛر ﺷﻌﺑﯾﮫ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻹﻧﺗرﻧت
583 ............ ................................................................................................ Transient and Terminate and Stay Resident Viruses
583 ....... ................................................................................................(Writing a Simple Virus Program) ﻛﺗﺎﺑﺔ ﺑرﻧﺎﻣﺞ ﻓﯾروس ﺑﺳﯾط
584 ............ ................................................................................................JPS Virus Maker and DELmE’s Batch Virus Maker
593 .......... ................................................................( )إﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرةMalware Analysis Procedure: Preparing Testbed
602 ........... ................................................................(Virus And Worms Countermeasures) اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد اﻟﻔﯾروﺳﺎت واﻟدﯾدان
اﻟﮭدف ﻣن ھذه اﻟوﺣدة ھو ﻋرض ﻣﺧﺗﻠف اﻟﻔﯾروﺳﺎت واﻟدﯾدان) (wormsاﻟﻣﺗﺎﺣﺔ اﻟﯾوم .ﻓﮭو ﯾوﻓر ﻟك اﻟﻣﻌﻠوﻣﺎت ﻋن ﻛل اﻟﻔﯾروﺳﺎت واﻟدﯾدان
اﻟﻣﺗﺎﺣﺔ .ﯾدرس ھذه اﻟوﺣدة طرﯾﻘﺔ ﻋﻣل ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر ،وظﯾﻔﺗﮭﺎ ،واﻟﺗﺻﻧﯾف ،واﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾؤﺛر ﺑﮭﺎ ﻋﻠﻰ اﻟﻧظم .وھذه اﻟوﺣدة ﺗﺧوض
ﻓﻲ اﻟﺗﻔﺎﺻﯾل ﺣول ﻣﺧﺗﻠف اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﻣﺗﺎﺣﺔ ﻟﻠﺣﻣﺎﯾﺔ ﺿد ھذه اﻟﻌدوى ﻣن اﻟﻔﯾروﺳﺎت .اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟوﺣدة ھو اﻟﺗﺛﻘﯾف ﻋن
اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺎﺣﺔ واﻟدﯾدان ،وﻣؤﺷرات ھﺟوﻣﮭم وﺳﺑل اﻟﺣﻣﺎﯾﺔ ﺿد اﻟﻔﯾروﺳﺎت اﻟﻣﺧﺗﻠﻔﺔ ،واﺧﺗﺑﺎر اﻟﻧظﺎم اﻟﺧﺎص ﺑك أو اﻟﺷﺑﻛﺔ ﺿد
اﻟﻔﯾروﺳﺎت أو وﺟود اﻟدﯾدان .وھذه اﻟوﺣدة ﺗﻌرﻓﻛم ﻋﻠﻰ اﻻﺗﻲ:
-ﻣﻘدﻣﺔ ﻋن اﻟﻔﯾروﺳﺎت
-ﻣراﺣل ﺣﯾﺎة اﻟﻔﯾروﺳﺎت
-ﻋﻣل اﻟﻔﯾروﺳﺎت
-اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟوم اﻟﻔﯾروﺳﺎت
-ﻛﯾف اﺣﺻل ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺻﺎب
ﺑﺎﻟﻔﯾروﺳﺎت؟
-ﺗﺣﻠﯾل اﻟﻔﯾروﺳﺎت
-أﻧواع اﻟﻔﯾروﺳﺎت
-ﺻﻧﺎﻋﺔ اﻟﻔﯾروﺳﺎت
-ﺻﺎﻧﻊ اﻟدﯾدان )(worms
-طرق ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ
-ﺧدﻣﺎت ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ ﻋﺑر اﻹﻧﺗرﻧت
-اﻟﻔﯾروﺳﺎت واﻟدﯾدان
-اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة
-أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت
-اﺧﺗﺑﺎر اﻻﺧﺗراق ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻔﯾروﺳﺎت
) Virus And Worms Concept 7.1ﻣﻔﮭﻮم اﻟﻔﯿﺮوﺳﺎت واﻟﺪﯾﺪان(
ھذا اﻟﻘﺳم ﯾﻘدم ﻟك اﻟﻣﻌرﻓﺔ ﺣول اﻟﻌدﯾد ﻣن اﻟﻔﯾروﺳﺎت واﻟدﯾدان اﻟﻣﺗﺎﺣﺔ اﻟﯾوم وﯾﻌطﯾك ﻟﻣﺣﺔ ﻣوﺟزة ﻋن ﻛل اﻟﻔﯾروﺳﺎت واﻹﺣﺻﺎءات ﻣن
اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﻓﻲ اﻟﺳﻧوات اﻷﺧﯾرة .وھو ﯾﺳرد اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت وآﺛﺎرھﺎ ﻋﻠﻰ ﻧظﺎﻣك .اﻟﻌﻣل ﻣن اﻟﻔﯾروﺳﺎت ﻓﻲ ﻛل
ﻣرﺣﻠﺔ وﺳﯾﺗم ﻣﻧﺎﻗﺷﺗﮭﺎ ﺑﺎﻟﺗﻔﺻﯾل .وﯾﺳﻠط اﻟﺿوء ﻋﻠﻰ اﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
ﻣﻘدﻣﮫ ﻋن اﻟﻔﯾروﺳﺎت
ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ أن ﺗﻌﯾث ﻓﺳﺎدا ﻓﻲ ﻛل ﻣن ﻗطﺎع اﻷﻋﻣﺎل وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺷﺧﺻﯾﺔ .ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ،ﻓﺎن
ﻣﻌظم اﻟﺷرﻛﺎت ﻗد أﺻﯾﺑت ﻓﻲ ﻣرﺣﻠﺔ ﻣﺎ .اﻟﻔﯾروس ھو ﺑرﻧﺎﻣﺞ ذاﺗﻲ ﺗﻛرار اﻟﺗﻲ ﺗﻧﺗﺞ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻋن طرﯾﻖ رﺑط
ﻧﺳﺦ ﻣﻧﮫ إﻟﻰ اﻛواد أﺧرى ﻗﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ .ﯾﻌﻣل ھذا اﻟﻔﯾروس دون ﻋﻠم أو رﻏﺑﺔ اﻟﻣﺳﺗﺧدم .ﻣﺛل اﻟﻔﯾروس اﻟﺣﻘﯾﻘﻲ ،ﺣﯾث ان ﻓﯾروس ﻛﻣﺑﯾوﺗر
ﻣﻌدي وﯾﻣﻛﻧﮫ أن ﯾﺻﯾب ﻏﯾره ﻣن اﻟﻣﻠﻔﺎت .وﻣﻊ ذﻟك ،ﯾﻣﻛن ﻟﮭذه اﻟﻔﯾروﺳﺎت أن ﺗﺻﯾب آﻻت اﻟﺧﺎرﺟﯾﺔ ﻓﻘط ﺑﻣﺳﺎﻋدة ﻣن ﻣﺳﺗﺧدﻣﻲ
اﻟﻛﻣﺑﯾوﺗر .ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗؤﺛر ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﺑﻣﺟرد ﺗﻧﻔﯾذ/ﺗﺷﻐﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭم؛ اﻟﻔﯾروﺳﺎت اﻷﺧرى ﺗظل ﻛﺎﻣﻧﺔ ﺣﺗﻰ
ﯾﺗﺣﻘﻖ ظرف ﻣﻧطﻘﻲ ﻣﺣدد ﺳﻠﻔﺎ .ھﻧﺎك ﺛﻼث ﻓﺋﺎت ﻣن اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ:
Trojans and rootkits -
Viruses -
Worms -
اﻟدﯾدان ) (wormsھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗﺻﯾب ﻛﻼ ﻣن اﻷﺟﮭزة اﻟﻣﺣﻠﯾﺔ واﻟﺑﻌﯾدة .ﺗﻧﺗﺷر اﻟدﯾدان ﺗﻠﻘﺎﺋﯾﺎ ﻋن طرﯾﻖ إﺻﺎﺑﺔ اﻟﻧظﺎم
ﺑﻣﺟرد وﺟوده ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،وﺣﺗﻰ ﯾﻣﻛﻧﮫ أن ﯾﻧﺗﺷر إﻟﻰ ﻣزﯾد ﻣن اﻟﺷﺑﻛﺎت اﻷﺧرى .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺎن اﻟدﯾدان ﻟدﯾﮭﺎ إﻣﻛﺎﻧﺎت ﻛﺑﯾره ﻟﻠﺗﺳﺑب ﺑﺎﻟﺿرر
ﻷﻧﮭﺎ ﻻ ﺗﻌﺗﻣد ﻋﻠﻰ إﺟراءات اﻟﻣﺳﺗﺧدم ﻟﺗﻧﻔﯾذھﺎ .وھﻧﺎك أﯾﺿﺎ ﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﺗﺣﺗوي ﻋﻠﻰ ﻛﺎﻓﺔ ﻣﻣﯾزات اﻷﻧواع اﻟﺛﻼﺛﺔ ﻟﮭذه اﻟﺑراﻣﺞ
اﻟﺧﺑﯾﺛﺔ واﻟﺗﻲ ﺗﻌﺗﺑر اﺷرﺛﮭم.
-2اﻟﻧﺳﺦ/اﻻﻧﺗﺷﺎر ):(replication
ﯾﻘوم اﻟﻔﯾروس أوﻻ ﺑﺎﻟﺗﻛﺎﺛر داﺧل اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف ﻋﻠﻰ ﻣدى ﻓﺗرات ﻣن اﻟزﻣن .ﻋﺎدة ﻣﺎ ﯾﻘوم ﻣطورو اﻟﻔﯾروﺳﺎت ﺑﻧﺷر ﻓﯾروﺳﺎﺗﮭم ﻋﻠﻰ أﻛﺑر
ﻋدد ﻣن اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ ﻗﺑل أن ﯾﺑدأ اﻟﻔﯾروس ﺑﺈﺣداث اﻵﺛﺎر اﻟﺗدﻣﯾرﯾﺔ اﻟﻣﻛﻠف ﺑﮭﺎ ،اﻟﺳﺑب ﻓﻲ ذﻟك ھو ﻧﺷر أﻛﺑر ﻋدد ﻣن اﻟﻧﺳﺦ ﻗﺑل أن
ﺗﻧﺗﺑﮫ ﺷرﻛﺎت ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت ﻟوﺟوده ﻓﺗﺿﻊ اﻟﺑراﻣﺞ اﻟﻣﺿﺎدة ﻟﮫ ،ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﺗﺻل اﻟﻔﯾروﺳﺎت إﻟﻰ ﺣﺎﺳﺑﺎت وﺗظل ﺑﮭﺎ دون أن ﺗظﮭر
أي أﻋراض ﻋﻠﻰ اﻟﺣﺎﺳﺑﺎت اﻟﻣﺻﺎﺑﺔ.
-3اﻹطﻼق/اﻟﻧﺷﺎط ):(Lunch
ﺗﺑدأ اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻧﺷﺎط وإﺣداث اﻵﺛﺎر اﻟﺗدﻣﯾرﯾﺔ اﻟﺗﻲ ﺗم ﺑرﻣﺟﺗﮭﺎ ﻟﻠﻘﯾﺎم ﺑﮭﺎ ﻋﻧد وﻗوع ﺣدث ﻣﻌﯾن .ﻗد ﯾﺗم ﺑرﻣﺟﺔ اﻟﻔﯾروس ﻟﻛﻲ ﯾﻧﺷط ﻓﻲ
ﺗوﻗﯾت ﻣﻌﯾن أو ﻋﻧد ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ أو ﻋﻧد اﻻﺗﺻﺎل ﺑﺷﺑﻛﺔ اﻹﻧﺗرﻧت أو ﻋﻧد وﺻول ﺟزء ﺛﺎﻧﻲ ﻣن اﻟﻔﯾروس إﻟﻰ اﻟﺣﺎﺳب اﻟﻣﺻﺎب ،اﻵﺛﺎر
اﻟﺗدﻣﯾرﯾﺔ ﺗﺗﻧوع ﻣن ﺗدﻣﯾر ﻣﻠﻔﺎت ﻣﺧزﻧﮫ ﻋﻠﻰ اﻟﺣﺎﺳب أو اﺳﺗﮭﻼك اﻟﻣﺳﺎﺣﺎت اﻟﺧﺎﻟﯾﺔ ﻓﻲ وﺣدة اﻟﺗﺧزﯾن أو إﻟﻐﺎء ﺑراﻣﺞ أو ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت.
-4اﻛﺗﺷﺎف اﻟﻔﯾروس ):(Detection
ﯾﺗم اﻟﺗﻌرف ﻋﻠﻰ اﻟﻔﯾروس ﻋﻠﻰ أﻧﮭﮫ ﺗﮭدﯾدات ﺗﻘوم ﺑﺈﺻﺎﺑﺔ اﻷﻧظﻣﺔ اﻟﻣﺳﺗﮭدﻓﺔ .ﻗد ﻻ ﺗﺗﺑﻊ ھذه اﻟﺧطوة داﺋﻣﺎ ﻋﻣﻠﯾﺔ ﻧﺷﺎط اﻟﻔﯾروس ،ﻓﻘد ﺗﻛون
اﻟﺷرﻛﺎت اﻟﻣﻧﺗﺟﺔ ﻟﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت أﻛﺛر ذﻛﺎء ،ﺑﺣﯾث ﺗﻛﺗﺷف وﺟود اﻟﻔﯾروس ﻗﺑل أن ﯾﻧﺷط.
ﻋﻧدﻣﺎ ﯾﺗم اﻛﺗﺷﺎف أي ﻓﯾروس ﺟدﯾد ﯾﺗم إﺑﻼغ ھﯾﺋﺔ ﺗﺳﻣﻰ icseﻓﻲ واﺷﻧطن ﺑﺎﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﺑﻧوﻋﯾﺔ ھذا اﻟﻔﯾروس وطﺑﯾﻌﺗﮫ ،ﻟﻛﻲ ﯾﺗم ﺗوﺛﯾﻖ
ھذه اﻟﻣﻌﻠوﻣﺎت وإرﺳﺎﻟﮭﺎ إﻟﻰ ﻛل اﻟﺷرﻛﺎت اﻟﻣﻧﺗﺟﺔ ﻟﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت.
-5اﻟﻣواﺟﮭﺔ/اﻟﺗﺄﺳﯾس ):(Incorporation
ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﺗﻘوم ﺷرﻛﺎت إﻧﺗﺎج ﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت ﺑﺗﻌدﯾل ﺑراﻣﺟﮭﺎ وﻣﻠﻔﺎﺗﮭﺎ ﻟﻛﻲ ﺗﺗﻌﺎﻣل ﻣﻊ اﻟﻔﯾروس اﻟﺟدﯾد .وﻟﻛل ﻓﯾروس ﺑﺻﻣﺔ
ﺧﺎﺻﺔ ﺑﮫ )ھﻲ اﻟﻛود اﻟذي ﺗﻛﺗب ﺑﮫ أواﻣر اﻟﻔﯾروس ﺑﺄﺣد ﻟﻐﺎت اﻟﺣﺎﺳب( ،وﯾﺗم إﺿﺎﻓﺔ ھذه اﻟﺑﺻﻣﺔ ﻟﻣﻠﻔﺎت اﻟﺑراﻣﺞ .ﯾﻘوم اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﻧزﯾل
اﻟﻣﻠﻔﺎت ﺑﻌد اﻟﺗﻌدﯾل ﻣن ﻋﻠﻰ ﻣوﻗﻊ اﻟﺷرﻛﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وﯾﻘوﻣون ﺑﺗﺣدﯾث ﺑراﻣﺞ اﻟﻣﻘﺎوﻣﺔ ﺑﮫ ،ھذه اﻟﻣرﺣﻠﺔ ﻗد ﺗﺻل إﻟﻰ ﺳﺗﺔ أﺷﮭر
ﺣﺳب ﻧوع اﻟﻔﯾروس.
-6اﻻﺳﺗﺋﺻﺎل/اﻹزاﻟﺔ ):(Elimination
ﺑﻌد ﻓﺗرة ﻣن ﻗﯾﺎم ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﺣدﯾث ﺑراﻣﺟﮭم ﻟﻣﻘﺎوﻣﺔ اﻟﻔﯾروس ﺑﺎﻟﺗﻌدﯾﻼت اﻟﺗﻲ ﺗﻛﺗﺷف وﺗﻘﺿﻰ ﻋﻠﻰ اﻟﻔﯾروس ،ﺗﻧﺣﺳر آﺛﺎر
ھذا اﻟﻔﯾروس ﺑﺣﯾث ﺗﻧﺧﻔض درﺟﺔ ﺗﮭدﯾده ﻟﻣﺟﺗﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻌﺎﻟﻣﻲ .ﻟم ﯾﺗم اﻟﺗﺄﻛد ﺣﺗﻰ اﻵن ﻣن أن أﺣد ﻓﯾروﺳﺎت اﻟﺣﺎﺳﺑﺎت ﻗد ﺗم اﻟﻘﺿﺎء
ﻋﻠﯾﮫ ﺗﻣﺎﻣﺎ ﺑﺣﯾث ﻻ ﯾوﺟد ﻋﻠﻰ أي ﺣﺎﺳب ﺷﺧﺻﻲ ﻓﻲ اﻟﻌﺎﻟم ،وﻟﻛن ﻣﺋﺎت اﻟﻔﯾروﺳﺎت ﺗم اﻟﺣد ﻣن ﺧطورﺗﮭﺎ وﻣﺣﺎﺻرﺗﮭﺎ إﻟﻰ ﺣد ﻛﺑﯾر ،ﺑﺣﯾث
ﻟم ﺗﻌد ﺗﺷﻛل أي ﺗﮭدﯾد ﻓﻲ اﻟوﻗت اﻟﺣﺎﻟﻲ ﻟﻣﺳﺗﺧدﻣﻲ اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ أو اﻟﺧﺎدﻣﺔ.
ﻓﻲ ﻣرﺣﻠﺔ اﻟﻌدوى) ، (Infection phaseاﻟﻔﯾروس ﯾﻧﺳﺦ ﻧﻔﺳﮫ ﺛم ﯾﻘوم ﺑرﺑط اﻛواده اﻟﻰ اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ ) (.exeﻓﻲ اﻟﻧظﺎم.
اﻻن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮭﺎ ﻧﺗﯾﺟﺔ اﻟﻌدوى ﺑﺎﻟﻔﯾروس ﺗﻘوم ﺑﺗﻣﻛﯾن وظﺎﺋف اﻟﻔﯾروس ﻟﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ھذا اﻟﻧظﺎم .اﻟﻔﯾروس ﯾﺻﺑﺢ ﺟﺎھزا ﻟﻠﻌﻣل
ﺑﻣﺟرد ﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺻﺎب ﺑﺎﻟﻔﯾروس ،ﺣﯾث ان اﻛواد اﻟﺑراﻣﺞ ﺗؤدى اﻟﻰ اﻛواد اﻟﻔﯾروﺳﺎت .ﻣطوري اﻟﻔﯾروﺳﺎت ﻟدﯾﮫ ﺑﻌض اﻟﺗﺣﻔظﺎت
ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟﺗوازن ﺑﯾن ﻋواﻣل ﻋده ﻣﺛل:
-ﻛﯾف ﺳوف ﯾﺻﯾب اﻟﻔﯾروس؟
-ﻛﯾف ﺳوف ﯾﻧﺗﺷر ھذا اﻟﻔﯾروس؟
-ﻛﯾف ﺳوف ﯾﻘﯾم ﻓﻲ ذاﻛرة اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻣن دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮫ؟
ﻣن اﻟواﺿﺢ ،أن اﻟﻔﯾروﺳﺎت ﯾﻣﻛن ﺗﺷﻐﯾﻠﮭﺎ وﺗﻧﻔﯾذھﺎ ﻟﻛﻲ ﺗﻘوم ﺑوظﯾﻔﺔ ﻣﺎ .ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق ﻟﺗﻧﻔﯾذ اﻟﺑراﻣﺞ ﻋﻧدﻣﺎ ﯾﻛون ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر
ﻓﻲ وﺿﻊ اﻟﻌﻣل .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺣﯾث ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت أي ﻣن اﻟﺑراﻣﺞ ﻓﺎﻧﮫ ﺳوف ﯾﺳﺗدﻋﻰ اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ اﻷﺧرى اﻟﺗﻲ ﺗم إﻧﺷﺎﺋﮭﺎ
واﺻﺑﺣت ﻣن ﺻﻠب اﻟﻧظﺎم) ، (built into a systemوﺑﻌض ﻣن ھذه اﻟﺑراﻣﺞ ﻣﺗوﺳطﺔ اﻟﺗوزﯾﻊ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈذا ﻛﺎن ﺑرﻧﺎﻣﺞ اﻟﻔﯾروس
ﻣوﺟود ﺑﺎﻟﻔﻌل ،ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﻔﻌﯾﻠﮭﺎ ﻣﻊ ھذا اﻟﻧوع ﻣن اﻟﺗﻧﻔﯾذ )(executionوإﺻﺎﺑﺗﮫ اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ اﻟﻣﺛﺑﺗﺔ اﻻﺿﺎﻓﯾﺔ ﻛذﻟك.
ﯾﺑدأ اﻟﻔﯾروس دورة ﺣﯾﺎﺗﮫ ﻋﻠﻰ اﻟﺟﮭﺎز ﺑﺷﻛل ﻣﺷﺎﺑﮫ ﻟﺑرﻧﺎﻣﺞ ﺣﺻﺎن طروادة ،ﻓﮭو ﯾﺧﺗﺑﺊ ﻓﻲ ﺛﻧﺎﯾﺎ ﺑرﻧﺎﻣﺞ أو ﻣﻠف آﺧر ،وﯾﻧﺷط ﻣﻌﮫ .ﻓﻲ
اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ اﻟﻣﻠوﺛﺔ ،ﯾﻛون اﻟﻔﯾروس ﻗد أﺿﺎف اﻛواده إﻟﻰ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ ،وﻋدل ﺗﻌﻠﯾﻣﺎﺗﮫ ﺑﺣﯾث ﯾﻧﺗﻘل اﻟﺗﻧﻔﯾذ إﻟﻰ اﻛواد اﻟﻔﯾروس .وﻋﻧد
ﺗﺷﻐﯾل اﻟﻣﻠف اﻟﺗﻧﻔﯾذي اﻟﻣﺻﺎب ،ﯾﻘﻔز اﻟﺑرﻧﺎﻣﺞ ﻋﺎدة إﻟﻰ ﺗﻌﻠﯾﻣﺎت اﻟﻔﯾروس ،ﻓﯾﻧﻔذھﺎ ،ﺛم ﯾﻌود ﺛﺎﻧﯾﺔ ﻟﺗﻧﻔﯾذ ﺗﻌﻠﯾﻣﺎت اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ .وﻋﻧد ھذه
اﻟﻧﻘطﺔ ﯾﻛون اﻟﻔﯾروس ﻧﺎﺷطﺎً ،وﺟﮭﺎزك أﺻﺑﺢ ﻣﻠوﺛﺎ ً .وﻗد ﯾﻧﻔذ اﻟﻔﯾروس ﻣﮭﻣﺗﮫ ﻓور ﺗﻧﺷﯾطﮫ )وﯾطﻠﻖ ﻋﻠﯾﮫ ﻓﯾروس اﻟﻌﻣل اﻟﻣﺑﺎﺷر
) ،(direct-actionأو ھﻧﺎك اﻟﺑﻌض اﻻﺧر ﻻ ﯾﺻﯾب اﻟﺟﮭﺎز ﺑﻣﺟرد ﺗﻧﻔﯾذھﺎ ﺑل ﯾﻘﺑﻊ ﻣﻧﺗظرا ً ﻓﻲ اﻟذاﻛرة ﻣﻧﺗظرا ﺣدﺛﺎ ﻣﻌﯾﻧﺎ ،ﺑﺎﺳﺗﺧدام وظﯾﻔﺔ
"اﻹﻧﮭﺎء واﻟﺑﻘﺎء ﻓﻲ اﻟذاﻛرة" ) ،( TSR،terminate and stay residentاﻟﺗﻲ ﺗؤﻣﻧﮭﺎ ﻧظم اﻟﺗﺷﻐﯾل ﻋﺎدة .وﺑﺎﻟﺗﺎﻟﻲ ،ﻣن اﻟﺻﻌب أن ﯾﺗم
اﻟﺗﻌرف ﻋﻠﯾﮫ وﺗﻧﺗﻣﻲ ﻏﺎﻟﺑﯾﺔ اﻟﻔﯾروﺳﺎت ﻟﮭذه اﻟﻔﺋﺔ ،وﯾطﻠﻖ ﻋﻠﯾﮭﺎ اﻟﻔﯾروﺳﺎت "اﻟﻣﻘﯾﻣﺔ" .وﻧظراً ﻟﻺﻣﻛﺎﻧﯾﺎت اﻟﻛﺑﯾرة اﻟﻣﺗﺎﺣﺔ ﻟﻠﺑراﻣﺞ اﻟﻣﻘﯾﻣﺔ ﻓﻲ
اﻟذاﻛرة ،ﺑدءا ً ﻣن ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻘﺎت واﻟﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ ﻟﻠﻣﻠﻔﺎت إﻟﻰ ﻣراﻗﺑﺔ ﺿﻐطﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ وﻧﻘرات اﻟﻣﺎوس )واﻟﻛﺛﯾر ﻣن اﻷﻋﻣﺎل
اﻷﺧرى( ،ﻓﯾﻣﻛن ﺑرﻣﺟﺔ اﻟﻔﯾروس اﻟﻣﻘﯾم ،ﻟﺗﻧﻔﯾذ أي ﻋﻣل ﯾﻣﻛن أن ﯾﻘوم ﺑﮫ ﻧظﺎم اﻟﺗﺷﻐﯾل ،ﺗﻘرﯾﺑﺎ ً .ﯾﻣﻛن ﺗﺷﻐﯾل اﻟﻔﯾروس اﻟﻣﻘﯾم ﻛﻘﻧﺑﻠﺔ ،ﻓﯾﺑدأ
ﻣﮭﻣﺗﮫ ﻋﻠﻰ ﺟﮭﺎزك ﻋﻧد ﺣدث ﻣﻌﯾن .وﻣن اﻷﻣور اﻟﺗﻲ ﺗﺳﺗطﯾﻊ اﻟﻔﯾروﺳﺎت اﻟﻣﻘﯾﻣﺔ ﻋﻣﻠﮭﺎ ،ﻓﺣص ) (scanﻗرﺻك اﻟﺻﻠب وأﻗراص اﻟﺷﺑﻛﺔ
ﺑﺣﺛﺎ ً ﻋن اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ ،ﺛم ﻧﺳﺦ ﻧﻔﺳﮭﺎ إﻟﻰ ھذه اﻟﻣﻠﻔﺎت وﺗﻠوﯾﺛﮭﺎ.
ﻓﻠﻧﻧظر إﻟﻰ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻟﻧرى ﻛﯾف ﯾﻌﻣل ﻣﻠف EXEﻣﻌدى.
ﻓﻲ ھذا اﻟﺷﻛل ،ﺣﯾث ﻧﺟد أن رأس ﻣﻠف ، EXEﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮫ ،ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ .وﻟﻛن ﺑﻣﺟرد إﺻﺎﺑﺔ ھذا اﻟﻣﻠف ،ﻓﺎﻧﮫ ﯾذھب أوﻻ
اﻟﻰ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺧﺎﺻﺔ ﺑﺄﻛواد اﻟﻔﯾروس ﻟﺗﺷﻐﯾﻠﮭﺎ أوﻻ ﺛم ﯾﻧﺗﻘل اﻟﻰ اﻛواد اﻟﺗطﺑﯾﻖ اﻟﻣراد ﺗﺷﻐﯾﻠﮫ.
-ﯾﻘوم اﻟﻔﯾروس ﺑﺈﺻﺎﺑﺔ اﻟﻣﻠﻔﺎت ﻋن طرﯾﻖ رﺑط ﻧﻔﺳﮫ إﻟﻰ ﺑرﻧﺎﻣﺞ ﺗطﺑﯾﻖ ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ .اﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ ﻣﺛل ،source codeﻣﻠﻔﺎت
patchesوﻣﻠﻔﺎت اﻻﺳﻛرﯾﺑت ،وﻣﺎ إﻟﻰ ذﻟك ،ﺗﻌﺗﺑر أھداﻓﺎ ﻣﺣﺗﻣﻠﺔ ﻟﻠﻌدوى ﺑﺎﻟﻔﯾروس.
-ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل ) (Boot Sector Virusﺗﻘوم ﺑﺗﻧﻔﯾذ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻗﺑل أن ﯾﺗم ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر
اﻟﮭدف وھو ﻣن أﺧطر أﻧواع اﻟﻔﯾروﺳﺎت ﺣﯾث اﻧﮫ ﻣن اﻟﻣﻣﻛن أن ﯾﻣﻧﻌك ﻣن ﺗﺷﻐﯾل اﻟﺟﮭﺎز.
ﻓﻲ ﻣرﺣﻠﺔ اﻟﮭﺟوم ) ،(Attack phaseﺑﻣﺟرد أن ﺗﻘوم اﻟﻔﯾروﺳﺎت ﺑﺎﻻﻧﺗﺷﺎر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻧظﺎم اﻟﮭدف ،ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺑﺈﻓﺳﺎد اﻟﻣﻠﻔﺎت
واﻟﺑراﻣﺞ ﻓﻲ اﻟﻧظﺎم اﻟﻣﺿﯾف .ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗﺣﺗﺎج اﻟﻰ ﺑﻌض اﻻﺣداث واﻟﺗﻲ ﺗﻌﺗﺑر اﻟزﻧﺎد ﻟﻠﺗﻧﺷﯾط ﻹﻓﺳﺎد اﻟﻧظﺎم اﻟﻣﺿﯾف .ﺑﻌض
اﻟﻔﯾروﺳﺎت ﻟﮭﺎ bugsواﻟﺗﻲ ﺗﻛرر ﻧﻔﺳﮭﺎ ،واﻟﻘﯾﺎم ﺑﺑﻌض اﻷﻧﺷطﺔ ﻣﺛل ﺣذف اﻟﻣﻠﻔﺎت وزﯾﺎدة وﻗت اﻟدورة.
ﺣﯾث أﻧﮭﺎ ﺗﻘوم ﺑﺈﻓﺳﺎد اﻷھداف ﻓﻘط ﺑﻌد ﻧﺷرھﺎ ﻋﻠﻰ اﻟﻧﺣو اﻟﻣﻧﺷود ﻣن ﻗﺑل اﻟﻣطورﯾن .ﻣﻌظم اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﺗﮭﺎﺟم اﻷﻧظﻣﺔ اﻟﮭدف ﺗﻘوم
ﺑﺗﻧﻔﯾذ إﺟراءات ﻣﺛل اﻻﺗﻲ:
-ﺣذف اﻟﻣﻠﻔﺎت وﺗﻐﯾﯾر اﻟﻣﺣﺗوﯾﺎت ﻓﻲ ﻣﻠﻔﺎت اﻟﺑﯾﺎﻧﺎت ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺳﺑب إﺑطﺎء اﻟﻧظﺎم.
-أداء ﺑﻌض اﻟﻣﮭﺎم ﻟﯾس ﻟﮭﺎ ﻋﻼﻗﺔ ﺑﺎﻟﺗطﺑﯾﻘﺎت ،ﻣﺛل ﺗﺷﻐﯾل اﻟﻣوﺳﯾﻘﻰ وإﻧﺷﺎء اﻟرﺳوم اﻟﻣﺗﺣرﻛﺔ.
ﺑﺎﻟرﺟوع إﻟﻰ ھذه اﻟﺻورة اﻟﺳﺎﺑﻘﺔ ،ﻓﻧﺟد أﻧﻧﺎ ﻋﻧدﻧﺎ اﺛﻧﯾن ﻣن اﻟﻣﻠﻔﺎت Aو .Bﻓﻲ اﻟﻣﻘطﻊ اﻷول ،ﻧﺟد أن اﻟﻣﻠﻔﯾن ﯾﻘﻌوا واﺣدا ﺗﻠو اﻵﺧر
ﺑطرﯾﻘﺔ ﻣﻧظﻣﺔ .ﺑﻣﺟرد ﻗﯾﺎم اﻛواد اﻟﻔﯾروس ﺑﺈﺻﺎﺑﺔ اﻟﻣﻠف ،ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﻐﯾر ﻣواﻗﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗم وﺿﻌﮭﺎ ﻋﻠﻰ اﻟﺗواﻟﻲ ،ﻣﻣﺎ ﯾؤدي إﻟﻰ ﻋدم
اﻟدﻗﺔ ﻓﻲ ﺗﺧﺻﯾص ﻣواﻗﻊ اﻟﻣﻠﻔﺎت ،واﻟﺗﻲ ﺗﺳﺑب إﺑطﺎء اﻟﻧظﺎم ﻋﻧد ﻣﺣﺎوﻟﺔ اﻟﻣﺳﺗﺧدﻣﯾن اﺳﺗرﺟﺎع ﻣﻠﻔﺎﺗﮭم .ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ:
-اﻟﻔﯾروﺳﺎت ﺗﻌﻣل ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل ﺑﻌض اﻷﺣداث.
-ﺑﻌﺿﮭﺎ ﯾﻌﺗﻣد ﻓﻲ ﺗﺷﻐﯾﻠﮫ واﻓﺳﺎده ﻋﺑر أﺧطﺎء ) (BUGSاﻟﺑراﻣﺞ اﻟﻣدﻣﺟﺔ ﺑﻌد ﺗﺧزﯾﻧﮫ ﻓﻲ اﻟذاﻛرة اﻟﻣﺿﯾف
-ﺗﺗم ﻛﺗﺎﺑﺔ ﻣﻌظم اﻟﻔﯾروﺳﺎت ﻹﺧﻔﺎء وﺟودھﺎ ،واﻟﮭﺟوم ﯾﺑدا ﺑﻌد ان ﺗﻧﺗﺷر ﻓﻲ اﻟﻣﺿﯾف إﻟﻰ أﻗﺻﻰ ﺣد.
ﻋﻧدﻣﺎ ﯾﻘﺑل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻠﻔﺎت واﻟﺗﻧزﯾﻼت دون اﻟﺗﺣﻘﻖ ﺑﺷﻛل ﺻﺣﯾﺢ ﻣن اﻟﻣﺻدر. -
اﻟﻣﮭﺎﺟﻣون ﻋﺎدة ﯾﻘوﻣون ﺑﺈرﺳﺎل اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﻔﯾروﺳﺎت ﻛﻣرﻓﻘﺎت ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﻧﺷر اﻟﻔﯾروﺳﺎت ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ .إذا -
ﻓﺗﺢ اﻟﺿﺣﯾﺔ اﻟﺑرﯾد ،ﻓﺎن اﻟﻔﯾروس ﯾﺻﯾب اﻟﻧظﺎم ﺗﻠﻘﺎﺋﯾﺎ.
اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑدﻣﺞ اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﺑراﻣﺞ اﻟﺷﻌﺑﯾﺔ وﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﻣﺻﺎﺑﺔ ﻋﻠﻰ ﻣواﻗﻊ ﺗﮭدف إﻟﻰ ﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت. -
ﻋﻧدﻣﺎ ﯾﻘوم اﻟﺿﺣﯾﺔ ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﻣﺻﺎﺑﺔ وﺗﺛﺑﯾﺗﮫ ،ﻓﺎن اﻟﻧظﺎم ﯾﺻﺎب.
ﻓﺷل ﻓﻲ ﺗﺛﺑﯾت إﺻدارات ﺟدﯾدة أو ﺗﺣدﯾث ﻣﻊ أﺣدث Patchواﻟﺗﻲ ﺗﮭدف إﻟﻰ إﺻﻼح اﻷﺧطﺎء اﻟﻣﻌروﻓﺔ ﻗد ﯾﻌرض اﻟﻧظﺎم -
ﻟﻠﻔﯾروﺳﺎت.
ﻣﻊ اﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﺗزاﯾدة ،ﻓﺎن اﻟﻣﮭﺎﺟﻣون أﯾﺿﺎ ﺗﻘوم ﺑﺗﺻﻣﯾم ﻓﯾروﺳﺎت ﺟدﯾدة .اﻟﻔﺷل ﻓﻲ اﺳﺗﺧدام أﺣدث اﻟﺗطﺑﯾﻘﺎت ﻟﻣﻛﺎﻓﺣﺔ -
اﻟﻔﯾروﺳﺎت ﻗد ﯾﻌرﺿك ﻟﮭﺟﻣﺎت اﻟﻔﯾروﺳﺎت.
اﻟﺗﻘﻧﯾﺎت اﻷﻛﺛر ﺷﻌﺑﯾﮫ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻹﻧﺗرﻧت
اﻟﻣﺻدرSecurity Threat Report 2012 (http://www.sophos.com/en-us.aspx) :
:Blackhat Search Engine Optimization (SEO) -ﺑﺎﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺗﻌﻠﯾﺔ ﻣرﺗﺑﺔ اﻟﺻﻔﺣﺎت اﻟﺧﺑﯾﺛﺔ
اﻟﻰ درﺟﮫ ﻋﺎﻟﯾﺔ ﻓﻲ ﻧﺗﺎﺋﺞ اﻟﺑﺣث.
:Social Engineered Click-jacking -اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺎﻟﻧﻘر ﻋﻠﻰ ﺻﻔﺣﺎت اﻟوﯾب اﻟﺗﻲ ﺗظﮭر وﻛﺄﻧﮭﺎ
ﺑرﯾﺋﺔ وﺳﻠﯾﻣﺔ اﻟﻣظﮭر وﻟﻛﻧﮭﺎ ﻓﻲ اﻟواﻗﻊ ﺗﺣﺗوي ﻋﻠﻰ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ.
:Spearphishing Sites -ﯾﺗم اﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﻟﻣﺣﺎﻛﺎة اﻟﻣؤﺳﺳﺎت اﻟﺷرﻋﯾﺔ ،ﻣﺛل اﻟﺑﻧوك ،ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺳرﻗﺔ ﺑﯾﺎﻧﺎت دﺧول
اﻟﺣﺳﺎب
:Malvertising -ﺣﯾث ﯾﺗم ﺗﺿﻣﯾن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺷﺑﻛﺔ اﻹﻋﻼﻧﯾﺔ ) (AD networkاﻟﺗﻲ ﺗﻌرض ﻋﺑر ﻣﺋﺎت اﻟﻣواﻗﻊ
اﻟﻣﺷروﻋﺔ ،وذات ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎﻟﯾﺔ.
:Compromised Legitimate Websites -اﻟﻣﺿﯾﻔﯾن ﯾﺳﺗﺿﯾﻔون اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ واﻟﺗﻲ ﺗﻧﺗﺷر ﻋﺑر اﻟزوار اﻟﻐﺎﻓﻠﯾن.
:Drive-by Downloads -اﻟﻣﮭﺎﺟم ﯾﺳﺗﻐل ﺑﻌض اﻟﺛﻐرات ﻓﻲ ﺑرﻧﺎﻣﺞ اﻟﻣﺗﺻﻔﺢ ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ ﺿﺎرة ﻓﻘط ﻣن ﺧﻼل زﯾﺎرة
اﻟﺻﻔﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
ﺗﻌﻧﻲ ﻛﻠﻣﺔ Hoaxﺑﺎﻟﻠﻐﺔ اﻹﻧﺟﻠﯾزﯾﺔ ﺧدﻋﺔ أو ﺣﯾﻠﺔ وﻛذﺑﺔ أو ﻣﻛﯾدة ،إذا Virus hoaxﯾﻘﺻد ﺑﮫ أﻛﺎذﯾب اﻟﻔﯾروﺳﺎت .اﻟﻔﯾروﺳﺎت ،ﺑﺣﻛم
طﺑﯾﻌﺗﮭﺎ ،ﻗد ﺧﻠﻘت اﻧطﺑﺎﻋﺎ ﺑﺎﻧﮭﺎ ﻣرﻋﺑﺔ Hoaxes .ﻋﺎدة ﻋﺑﺎره ﻋن رﺳﺎﺋل ﺑرﯾدﯾﺔ اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺗﺣذﯾرات ﻋن ﻓﯾروس ﻣﺎ ،ﺗرﺳل ﻣن ﻗﺑل
ﺷﺧص ﻣﺎ )أو أﻛﺛر( ﺑﮭدف إﺷﺎﻋﺔ ھذه اﻟﻛذﺑﺔ أو اﻟـ ،Hoaxوﻣن ﺛم ﯾﺗﻧﺎﻗﻠﮭﺎ اﻵﺧرون ﺑﺣﺳن ﻧﯾﺔ ﻣﻌﺗﻘدﯾن أﻧﮭم ﯾﺧدﻣون أﺻدﻗﺎءھم ﺑﺈرﺳﺎل
ﻧﻔس اﻟﺗﺣذﯾر ﻟﮭم ﺑﻌﻣل forwardingﻟﻠرﺳﺎﻟﺔ اﻷﺻﻠﯾﺔ .ﻓﻲ وﻗت ﻗﺻﯾر ﺗﻧﺗﺷر ھذه اﻟرﺳﺎﻟﺔ ﻓﻲ أﻧﺣﺎء اﻟﻛرة اﻷرﺿﯾﺔ ،وﻣﺎ ھﻲ ﻓﻲ واﻗﻊ
اﻷﻣر ﺳوى ﺣﯾﻠﺔ أو ﻛذﺑﺔ "ھوﻛس" .إن ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر ﻣﺎ ھو إﻻ ﺑرﻧﺎﻣﺞ ﺻﻣم ﻹدراج ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ ﺑرﻧﺎﻣﺞ آﺧر .وﻋﻧدﻣﺎ
ﯾﺷﺗﻐل اﻟﺑرﻧﺎﻣﺞ اﻟﺛﺎﻧﻲ ،ﯾﺻﺑﺢ اﻟﻔﯾروس ﻧﺷطﺎ ،وﻋﻠﻰ اﻷرﺟﺢ ﻣﺳﺑﺑﺎ ﻣﺷﻛﻠﺔ .ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر ،طﺑﻌﺎ ﻣﻣﻛن أن ﯾﻛون ﻣﺷﻛﻠﺔ .وﻟﻛن ،ھﻧﺎﻟك
ﻓﯾروﺳﺎت ﺣﻘﯾﻘﯾﺔ ﻗﻠﯾﻠﺔ ﻧﺳﺑﯾﺎ ،وﻟﺳوء اﻟﺣظ ،ھﻧﺎﻟك اﻟﻛﺛﯾر ﻣن اﻟﻧﺎس ﯾﻧﺷرون إﺷﺎﻋﺎت ﻟﯾس ﻟﮭﺎ أﺳﺎس ﻣن اﻟﺻﺣﺔ ﻋن اﻟﻔﯾروﺳﺎت ،وﺧﺻوﺻﺎ
ﻣﺎ ﯾﺳﻣﻰ ﺑﻔﯾروﺳﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﻋﻠﯾك أﻻ ﺗﻧﺧدع .ﻓﻲ اﻟﻣرة اﻟﺗﺎﻟﯾﺔ اﻟﺗﻲ ﺗﺣﺻل ﻋﻠﻰ أﺣد ﺗﺣذﯾرات اﻟﻔﯾروﺳﺎت ھذه ،ﺗوﻗف ﻋن إرﺳﺎﻟﮫ
ﻷﺻدﻗﺎﺋك.
Virus hoaxھﻲ إﻧذارات ﻛﺎذﺑﺔ ﺗزﻋم ﺗﻘﺎرﯾر ﺣول ﻓﯾروﺳﺎت ﻏﯾر ﻣوﺟودة.
-رﺳﺎﺋل اﻟﺗﺣذﯾر ھذه ،واﻟﺗﻲ ﯾﻣﻛن ﻧﺷرھﺎ ﺑﺳرﻋﺔ ،واﻟﺗﻲ ﺗﺷﯾر إﻟﻰ ﻋدم ﻓﺗﺢ رﺳﺎﺋل ﺑرﯾد إﻟﻛﺗروﻧﻲ ﻣﻌﯾﻧﺔ ،واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﻠﺣﻖ
اﻟﺿرر ﺑذﻟك اﻟﻧظﺎم.
-ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،رﺳﺎﺋل اﻟﺗﺣذﯾر ھذه أﻧﻔﺳﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ ﻣرﻓﻘﺎت اﻟﻔﯾروس.
-ﺗﻣﺗﻠك ھذه اﻟﻘدرة ﻋﻠﻰ ﺗدﻣﯾر واﺳﻌﺔ ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﮭدف.
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
569
اﻟﻌدﯾد ﻣن Hoaxesﺗﺣﺎول "ﺑﯾﻊ" اﻷﺷﯾﺎء اﻟﺗﻲ ھﻲ ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ھراء .وﻣﻊ ذﻟك ،ﻓﺈن ) Hoaxerﻣﻧﺷﺊ (Hoaxesﯾﺟب أن ﯾﻛوﻧوا
ﻧوﻋﺎ ﻣﺎ ﺧﺑراء ﻟﻧﺷر Hoaxesﺑطرﯾﻘﮫ ﺗﺟﻧﺑﮭﺎ ﻣن ﺗﺣدﯾدھﺎ واﻟﻘﺑض ﻋﻠﯾﮭﺎ.
وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ ﻣن اﻟﺟﯾد اﻟﺑﺣث ﻋن اﻟﺗﻔﺎﺻﯾل اﻟﺗﻘﻧﯾﺔ ﺣول ﻛﯾﻔﯾﺔ أن ﺗﺻﺑﺢ ﻣﺻﺎﺑﺎ .أﯾﺿﺎ اﻟﺑﺣث ﻋن اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺑرﯾﺔ ﻟﻣﻌرﻓﺔ اﻟﻣزﯾد ﻋن
،Hoaxesوﺧﺎﺻﺔ ﻋن طرﯾﻖ ﻓﺣص ﻟوﺣﺎت اﻹﻋﻼﻧﺎت ﺣﯾث ﯾﻘوم اﻟﻧﺎس ﺑﻣﻧﺎﻗﺷﺔ اﻷﺣداث اﻟﺟﺎرﯾﺔ ﻓﻲ اﻟﻣﺟﺗﻣﻊ.
ﺣﺎول ) crosscheckاﻟﻔﺣص( ﻟﻠﺗﻌرف ﻋﻠﻰ ھوﯾﺔ اﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﻧﺷر اﻟﺗﺣذﯾر .ﺗطﻠﻊ أﯾﺿﺎ ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول /Hoaxاﻟﺗﺣذﯾر
ﻣن اﻟﻣﺻﺎدر اﻟﺛﺎﻧوﯾﺔ .ﻗﺑل اﻟﻘﻔز إﻟﻰ اﺳﺗﻧﺗﺎﺟﺎت ﻣن ﺧﻼل ﻗراءة ﺑﻌض اﻟوﺛﺎﺋﻖ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،ﻓﯾﺟب اﻟﺗﺣﻘﻖ ﻣﻣﺎ ﯾﻠﻲ:
-ﻣﺎ إذا ﺗم ﻧﺷر ھذه اﻟوﺛﺎﺋﻖ ﻣن ﻗﺑل ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر اﻟﻣﺷﺑوھﺔ ،ﻓﻘم ﺑﻔﺣص ) (crosscheckاﻟﻣﻌﻠوﻣﺎت ﻣﻊ ﻣﺻدر آﺧر.
-ﻣﺎ إذا ﻛﺎن اﻟﺷﺧص اﻟذي ﻧﺷر اﻟﺧﺑر ھو ﻟﯾس ﺷﺧص ﻣﻌروف ﻓﻲ اﻟﻣﺟﺗﻣﻊ أو ﺧﺑﯾر ،ﻓﻘم ﺑﻔﺣص ) (crosscheckاﻟﻣﻌﻠوﻣﺎت ﻣﻊ
ﻣﺻدر آﺧر.
-ﻣﺎ إذا ﻛﺎﻧت ﺟﮭﺔ ﺣﻛوﻣﯾﺔ ﻗﺎﻣت ﺑﻧﺷر ھذه اﻷﺧﺑﺎر ،وﯾﻧﺑﻐﻲ أن ﯾﻣﻠك اﻟﻧﺷر أﯾﺿﺎ إﺷﺎرة إﻟﻰ ﺗﻧظﯾم ﻓﯾدراﻟﻲ ﻣﻘﺎﺑل ﻟﮫ
-واﺣدة ﻣن اﻟﻔﺣوﺻﺎت اﻷﻛﺛر ﻓﻌﺎﻟﯾﺔ ھو اﻟﺑﺣث ﻋن hoax virusاﻟﻣﺷﺑوھﺔ ﻋن طرﯾﻖ اﻻﺳم اﻟﻣوﺟود ﻓﻲ ﻣواﻗﻊ ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﻣن
اﻟﻔﯾروﺳﺎت
-إذا ﻛﺎن اﻟﻧﺷر ھو ﺗﻘﻧﻲ ،ﻓﺎﺑﺣث ﻋن اﻟﻣواﻗﻊ اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﻠﺑﻲ اﻟﺟواﻧب اﻟﺗﻘﻧﯾﺔ ،وﺣﺎول ﺗوﺛﯾﻖ ھذه اﻟﻣﻌﻠوﻣﺎت.
Fake Antiviruses
Fake antivirus’sھو وﺳﯾﻠﺔ ﺗؤﺛر ﻋﻠﻰ اﻟﻧظﺎم ﻣن ﻗﺑل اﻟﻘراﺻﻧﺔ واﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ان ﺗﺳﻣﯾم اﻟﻧظﺎم وﺗﻔﺷﻰ) (outbreakﻣﻠﻔﺎت registry
واﻟﻧظﺎم ﻟﻠﺳﻣﺎح ﻟﻠﻣﮭﺎﺟم ﺑﺎﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ واﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك .ﯾﺑدو ﺣﯾث اﻧﮭﺎ ﺗﻌﻣل ﻋﻠﻰ ﻧﺣو ﻣﻣﺎﺛل ﻟﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ
اﻟﻔﯾروﺳﺎت اﻟﺣﻘﯾﻘﯾﺔ.
ﯾﺑدو أن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﺗظﮭر أوﻻ ﻋﻠﻰ ﻣﺧﺗﻠف اﻟﻣﺗﺻﻔﺣﺎت وﯾﻘوم ﺑﺗﺣذﯾر اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺄن ﻟدﯾﮭم ﺗﮭدﯾدات أﻣﻧﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ
ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑﮭم ،وﺗدﻋوھم ﻣن ﻗﺑل ھذه اﻟرﺳﺎﻟﺔ اﻟﻣﺷﺑوھﺔ ﺑﺎﻟﻔﯾروﺳﺎت اﻟﺣﻘﯾﻘﯾﺔ .ﻋﻧدﻣﺎ ﯾﺣﺎول اﻟﻣﺳﺗﺧدم إزاﻟﺔ اﻟﻔﯾروﺳﺎت ،ﻓﺎﻧﮫ ﯾﺗم
ﻧﻘﻠﮫ إﻟﻰ ﺻﻔﺣﺔ أﺧرى ﺣﯾث ﯾﺣﺗﺎج إﻟﻰ ﺷراء أو اﻻﺷﺗراك ﻓﻲ ﻣﻛﺎﻓﺢ اﻟﻔﯾروس ذﻟك ،واﻟﺷروع ﻓﻲ ﺗﻔﺎﺻﯾل اﻟدﻓﻊ .ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت
اﻟوھﻣﯾﺔ ھذه ﺗﻛون ﻣﻠﻔﻘﮫ ﺑطرﯾﻘﮫ ﻣﺛل اﻟﺗﻲ ﺗﻠﻔت اﻧﺗﺑﺎه اﻟﻣﺳﺗﺧدم ﻟﯾطﻣﺋن ﻣن ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ.
ﺑﻌض ﻣن اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺗوﺳﯾﻊ اﺳﺗﺧدام وﺗرﻛﯾب ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﻛﻣﺎ ﯾﻠﻲ:
:Email and messaging -اﻟﻣﮭﺎﺟﻣون ﯾﺳﺗﺧدﻣوا اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﻟﺑرﯾد اﻟﻣزﻋﺞ واﻟرﺳﺎﺋل واﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ ﻟﻧﺷر ھذا
اﻟﻧوع ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺻﺎﺑﺔ إﻟﻰ اﻟﻣﺳﺗﺧدﻣﯾن وﺗﺣﻔز اﻟﻣﺳﺗﺧدم ﻟﻔﺗﺢ اﻟﻣرﻓﻘﺎت ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ.
:Search engine optimization -اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣوا ﺑﺈﻧﺷﺎء ﺻﻔﺣﺎت ﺗﺗﻌﻠﻖ ﺑﻣﺻطﻠﺣﺎت اﻟﺑﺣث اﻟﻌﺎﻣﺔ أو اﻟﺣﺎﻟﯾﺔ وزرﻋﮭﺎ ﻟﺗﺑدو
وﻛﺄﻧﮭﺎ ﻏﯾر ﻋﺎدﯾﺔ وآﺧر ﻓﻲ ﻧﺗﺎﺋﺞ ﻣﺣرك اﻟﺑﺣث .ﺗظﮭر ﺻﻔﺣﺎت اﻟوﯾب ﺗﻧﺑﯾﮭﺎت ﺣول اﻹﺻﺎﺑﺔ اﻟﺗﻲ ﺗﺷﺟﻊ اﻟﻣﺳﺗﺧدم ﻟﺷراء ﺑراﻣﺞ
ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ.
:Compromised websites -اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﻛﺳر اﻟﻣواﻗﻊ ذات اﻟﺷﻌﺑﯾﺔ ﺳرا ﻟﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ،
واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺟذب اﻟﻣﺳﺗﺧدﻣﯾن ﻟﺗﺣﻣﯾل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﻣن ﺧﻼل اﻻﻋﺗﻣﺎد ﻋﻠﻰ ﺷﻌﺑﯾﺔ اﻟﻣوﻗﻊ.
ﻹﺻﺎﺑﺔ اﻟﻧظﺎم وﺳرﻗﺔ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم أوﻻ ﺑﺗﺷﻐﯾل .DNS serverﺣﯾث ﻓﻲ ھذا اﻟﻣﺛﺎل ﻧﺟد ان اﻟﻣﮭﺎﺟم ﯾدﯾر
DNSserverاﻟﺧﺎص ﺑﮫ ﻣن روﺳﯾﺎ ﻣﻊ .64.28.176.2 ،IPﺗﺎﻟﯾﺎ ،ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺈﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻋن طرﯾﻖ ﺗﻐﯾﯾر ﻋﻧوان
IPﻠﻠ DNSﻟﮫ إﻟﻰ .64.28.176.2 :ﻋﻧد ﺗﻘوم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ھذه ﺑﺈﺻﺎﺑﺔ اﻟﻧظﺎم ،ﻓﺈﻧﮫ ﯾﻐﯾر ﺗﻣﺎﻣﺎ إﻋدادات DNSﻟﻠﺟﮭﺎز اﻟﻣﺻﺎب
وﯾﺟﺑر ﺟﻣﯾﻊ طﻠﺑﺎت DNSﺑﺎﻟذھﺎب إﻟﻰ DNSserverاﻟذي ﯾﻌﻣل ﺑواﺳطﺔ اﻟﻣﮭﺎﺟم .ﺑﻌد ﺗﻐﯾﯾر إﻋداد ﻣن ،DNSﻓﯾﺗم إرﺳﺎل أي طﻠب ﻣن
ﻗﺑل اﻟﻧظﺎم ﻟﺧﺎدم DNSاﻟﺧﺑﯾث .ھﻧﺎ ،أرﺳﻠت اﻟﺿﺣﯾﺔ طﻠب " DNSﻣﺎ ھوا ﻋﻧوان IPﻠ "www.xsecurity.comإﻟﻰ
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
571
) .(64.28.176.2ﯾﻌطﻰ اﻟﻣﮭﺎﺟم اﺳﺗﺟﺎﺑﺔ ﻟﻠطﻠب ﺣﯾث ﯾﻘول ان ،www.xsecurity.comﯾﻘﻊ ﻓﻲ اﻟﻌﻧوان .65.0.0.2ﻋﻧدﻣﺎ ﯾﺗﺻل
اﻟﻣﺗﺻﻔﺢ اﻟﺿﺣﯾﺔ ﺑﺎل ،65.0.0.2ﻓﺈﻧﮫ ﯾﺗم ﺗوﺟﯾﮭﮫ اﻟﻰ ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت وھﻣﻲ ﺗم إﻧﺷﺎؤھﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻣﻊ ﻋﻧوان IP
DNSChanger .65.0.0.2ﯾﻘوم ﺑﺎﻟﺗﺟﺳس ﻋﻠﻰ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض )اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺎت اﻟﺳر( وإﻋﺎدة ﺗوﺟﯾﮫ اﻟطﻠب إﻟﻰ اﻟﻣوﻗﻊ اﻟﺣﻘﯾﻘﻲ
) (www.xsecurity.comﻣﻊ ﻋﻧوان .200.0.0.45 IP
ﺣﺗﻰ اﻵن ،ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف اﻟﻣﻔﺎھﯾم ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان .اﻵن ﺳوف ﻧﻧﺎﻗش اﻷﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت.
ﯾﺑرز ھذا اﻟﻘﺳم اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﻣﺛل ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻟﻣﻠﻔﺎت وﻓﯾروﺳﺎت اﻟﻣﺎﻛرو واﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ وﻓﯾروﺳﺎت
اﻟﺷﺑﺢ/ﻧﻔﻖ ،وﻓﯾروﺳﺎت اﻟﺗﺷﻔﯾر واﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ ،وﻓﯾروﺳﺎت اﻟﺷل ،وھﻠم ﺟرا .ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ ﻛﺗﺑﮭﺎ اﻟﻣﮭﺎﺟﻣﯾن
ﻟﻠدﺧول اﻟﻰ ﻧظﺎم اﺳﺗﮭدف ﻋﻣدا دون اﻟﺣﺻول ﻋﻠﻰ إذن اﻟﻣﺳﺗﺧدم .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺈﻧﮭﺎ ﺗؤﺛر ﻋﻠﻰ اﻟﺟﮭﺎز اﻷﻣﻧﻲ وأداء اﻟﺟﮭﺎز .ﻧﻧﺎﻗش ھﻧﺎ
ﻋدد ﻗﻠﯾل ﻣن اﻷﻧواع اﻷﻛﺛر ﺷﯾوﻋﺎ ﻣن ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗؤﺛر ﺳﻠﺑﺎ ﻋﻠﻰ أﻧظﻣﺔ اﻷﻣن ﺑﺎﻟﺗﻔﺎﺻﯾل ﻋﻠﻰ اﻟﺷراﺋﺢ اﻟﺗﺎﻟﯾﺔ.
interruption handlersﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وإﯾﻘﺎﻓﮭﺎ ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺗﺟﻧب اﻟﻛﺷف .ﺑراﻣﺞ اﻋﺗراض ،اﻟﺗﻲ ﻻ ﺗزال ﺗﻌﻣل ﻓﻲ ﺧﻠﻔﯾﺔ ﻧظﺎم
اﻟﺗﺷﻐﯾل أﺻﺑﺣت ﺧﺎﻣﻠﮫ أﺛﻧﺎء ﻋﻣل .Tunneling virusﺑﻌض ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻻ ﺗﺟد اﻷﻛواد اﻟﺧﺑﯾﺛﺔ اﻟﻣرﻓﻘﺔ ﻟﻔﯾروﺳﺎت اﻟﻧﻔﻖ.
ﻟﻣﻛﺎﻓﺣﺔ ھذه ،ﻓﺎن ﺑﻌض ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺗﺳﺗﺧدم أﺳﺎﻟﯾﺑﮭم اﻟﺧﺎﺻﺔ ،tunnelingواﻟﺗﻲ ﺗﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت اﻟﺧﻔﯾﺔ اﻟﺗﻲ ﺗﻘﻊ
داﺧل ذﻛرﯾﺎت اﻟﻛﻣﺑﯾوﺗر.
Tunneling virusﺗﺣﺎول ﺗﺟﺎوز ﻣراﻗﺑﺔ اﻟﻧﺷﺎط ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺑﺎﺗﺑﺎع ﺳﻠﺳﻠﺔ اﻟﻣﻘﺎطﻌﺔ وذﻟك ﺑﺎﻟرﺟوع إﻟﻰ
DOS or BIOS interrupt handler’sﺛم ﺗﺛﺑﯾت ﻧﻔﺳﮭﺎ.
-ﻓﯾروﺳﺎت اﻟﺗﺷﻔﯾر ):(Encryption Viruses
ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﺗﻛون ﻣن ﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن اﻟﻔﯾروس ووﺣدة ﻓك اﻟﺗﺷﻔﯾر .ﻻ ﺗزال وﺣدة ﻓك اﻟﺗﺷﻔﯾر ﺛﺎﺑﺗﺔ ،ﻓﻲ ﺣﯾن ﯾﺗم اﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ
ﻣﺧﺗﻠﻔﺔ ﻟﻠﺗﺷﻔﯾر.
-ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻻﺷﻛﺎل ):(Polymorphic Viruses
ﻟﻘد ﺗم ﺗطوﯾر ھذه اﻟﻔﯾروﺳﺎت ﻟﻠﺗﺷوﯾش ﻋﻠﻰ ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﺗﻔﺣص ﺑﺣﺛﺎ ﻋن اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻧظﺎم .ﻓﻣن اﻟﺻﻌب ﺗﺗﺑﻌﮭم،
ﻧظرا ﻷﻧﮭم ﯾﻐﯾرون ﺧﺻﺎﺋﺻﮭﺎ ﻓﻲ ﻛل ﻣرة ﯾﺻﯾﺑون اﻟﻧظﺎم ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻛل ﻧﺳﺧﺔ ﻣن ھذا اﻟﻔﯾروس ﺗﺧﺗﻠف ﻋن اﻟﺳﺎﺑﻘﺔ .وﻣطوري
اﻟﻔﯾروﺳﺎت ﻗﺎﻣوا ﺑﺈﻧﺷﺎء اﻟﻣﺣرﻛﺎت اﻟﻣﺗﺣوﻟﺔ واﻟﻣﺳﺗﻠزﻣﺎت ﻟﻛﺗﺎﺑﺔ اﻟﻔﯾروﺳﺎت ) (virus writing tool kitsواﻟﺗﻲ ﺗﺟﻌل اﻛواد ھذا اﻟﻔﯾروس
اﻟﺣﺎﻟﯾﺔ ﺗﺑدو ﻣﺧﺗﻠﻔﺔ ﻋن اﻵﺧرﯾن ﻣن ﻧوﻋﮭﺎ.
-اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ ):(Metamorphic Viruses
اﻷﻛواد اﻟﺗﻲ ﯾﻣﻛن إﻋﺎدة ﺑرﻣﺟﺔ ﻧﻔﺳﮭﺎ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ .metamorphic codeﺣﯾث ﯾﺗرﺟم ھذا اﻟﻛود إﻟﻰ ﻛود ﻣؤﻗت ،وﻣن ﺛم ﺗﺣوﯾﻠﮭﺎ إﻟﻰ
اﻟﻛود اﻟﻌﺎدي .ھذه اﻟﺗﻘﻧﯾﺔ ،اﻟﺗﻲ ﻻ ﺗزال ﻓﯾﮭﺎ اﻟﺧوارزﻣﯾﺔ اﻷﺻﻠﯾﺔ ﺳﻠﯾﻣﺔ ،وﯾﺳﺗﺧدم ﻟﺗﺟﻧب اﻟﺗﻌرف ﻋﻠﻰ ﻧﻣطﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ
اﻟﻔﯾروﺳﺎت .ھذه اﻟﻔﯾروﺳﺎت أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ .polymorphic codeھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺗﺗﻛون ﻣن اﻛواد ﻣﻌﻘدة.
-ﻓﯾروس اﻟﺗﺟوﯾف ):(Overwriting File or Cavity Viruses
ﺑﻌض ﻣﻠﻔﺎت اﻟﺑراﻣﺞ ﻟدﯾﮭﺎ ﻣﻧﺎطﻖ ﻣن اﻟﻣﺳﺎﺣﺎت اﻟﻔﺎرﻏﺔ .ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ ھو اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻟﮭذه اﻟﻔﯾروﺳﺎت .ﻓﯾروس اﻟﺗﺟوﯾف،
واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ،Space Filler Virusﯾﺧزن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻓﻲ ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ .اﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ ھذا
اﻟﻔﺿﺎء اﻟﻐﯾر ﻣﺄھول دون أي ﺗدﻣﯾر ﻟﻠﻛود اﻷﺻﻠﻲ ﻟﻠﺑرﻧﺎﻣﺞ .ﻷﻧﮫ ﯾﺛﺑت ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺎول ان ﯾﺻﯾﺑﮫ.
:Sparse Infector Viruses -
ً
Sparse infector virusھو ﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻻ ﯾﻌﻣل إﻻ ﻋﻧد ﺷرط ﻣﻌﯾن وﯾﺑﻘﻰ اﻟـ sparse infectorﻣﺧﻔﯾﺎ داﺧل اﻟﻧظﺎم وﻻ
ﯾﺷﻌر ﺑﮫ اﻟﻣﺳﺗﺧدم إﻻ ﻋﻧد ﺷرط ﻣﺣدد ﺑﺷﻛل رﻗﻣﻲ ﻛﺗﺎرﯾﺦ ﻣﻌﯾن أو ﻛﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ ﻋد ٍد ﻣن اﻟﻣرات.
-اﻟﻔﯾروس اﻟﻣراﻓﻖ ):(Companion Viruses
Companion virusھو ﻓﯾروس ﻛﻣﺑﯾوﺗر ﻣﻌﻘد ،وھو ﻋﻠﻰ ﻋﻛس اﻟﻔﯾروﺳﺎت اﻟﺗﻘﻠﯾدﯾﺔ ،ﻻ ﺗﻘوم ﺑﺎﻟﺗﻌدﯾل ﻋﻠﻰ أي ﻣن اﻟﻣﻠﻔﺎت .ﺑدﻻ ﻣن
ذﻟك ،ﺗﻘوم إﻧﺷﺎء ﻧﺳﺧﺔ ﻣن اﻟﻣﻠف وﺗﺿﻊ ﻣﻠﺣﻖ آﺧر ﻋﻠﻰ ذﻟك ،ﻋﺎدة ) )(.comﻣﺛﻼ file.exeاﻟﻰ (file.comوﺑﻣﺟرد ﺗﻧﻔﯾذ ھذا اﻟﻣﻠف ،ﻓﺎن
اﻟﻔﯾروس ﯾﺻﯾب ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ھذه اﻟﻧوﻋﯾﺔ ﻓرﯾد ﺑﺣﯾث ﯾﺟﻌل اﻟﻔﯾروس رﻓﯾﻖ ﯾﺻﻌب اﻛﺗﺷﺎﻓﮫ ،ﻛﻣﺎ ﯾﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﻣﺿﺎدة ﻟﻠﻔﯾروﺳﺎت
ﻻﺳﺗﺧدام اﻟﺗﻐﯾﯾرات ﻓﻲ اﻟﻣﻠﻔﺎت ﻛدﻟﯾل ﻋﻠﻰ وﺟود اﻟﻔﯾروس .ھذه اﻟﻔﯾروﺳﺎت ﻣن اﻟﻧوع اﻟﻘدﯾم ﻣن اﻟﻔﯾروس اﻟذي ﻛﺎن أﻛﺛر وﺿوﺣﺎ ﻓﻲ ﻋﮭد
.MS-DOSﯾﺗم ﻧﺷر ذﻟك ﻓﻲ اﻟﻐﺎﻟب ﻣن ﺧﻼل اﻟﺗدﺧل اﻟﺑﺷري.
-ﻓﯾروﺳﺎت اﻟﺗﻣوﯾﮫ ):(Camouflage Viruses
ھذه اﻟﻔﯾروﺳﺎت ﺗﺧﻔﻲ ﻧﻔﺳﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﺗطﺑﯾﻘﺎت ﺣﻘﯾﻘﯾﺔ ﻟﻠﻣﺳﺗﺧدم .ھذه اﻟﻔﯾروﺳﺎت ﻟﯾس ﻣن اﻟﺻﻌب اﻟﻌﺛور ﻣﻧذ أن ﺗﻘدﻣت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ
اﻟﻔﯾروﺳﺎت إﻟﻰ اﻟﻧﻘطﺔ اﻟﺗﻲ ﯾﺗم ﻓﯾﮭﺎ ﺗﺗﺑﻊ ﻣﺛل ھذه اﻟﻔﯾروﺳﺎت ﺑﺳﮭوﻟﺔ.
-ﻓﯾروﺳﺎت اﻟﻘذﯾﻔﺔ ):(shell viruses
اﻛواد ھذه اﻟﻔﯾروﺳﺎت ﺗﺷﻛل طﺑﻘﺔ ﺣول اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف اﻟﺗﻲ ﯾﻣﻛن ﻣﻘﺎرﻧﺗﮭﺎ ﻣﺛل "ﻗﺷرة اﻟﺑﯾﺿﺔ" ،ﻣﻣﺎ ﯾﺟﻌل ﻣن ﻧﻔﺳﮫ اﻟﺑرﻧﺎﻣﺞ
اﻷﺻﻠﻲ وأﻛواد اﻟﻣﺿﯾف ﺗﻌﺗﺑر روﺗﯾن ﻓرﻋﻰ .ھﻧﺎ ،ﯾﺗم ﻧﻘل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﺻﻠﯾﺔ إﻟﻰ ﻣوﻗﻊ ﺟدﯾد ﺑواﺳطﺔ اﻛواد اﻟﻔﯾروس واﻟﻔﯾروس
ھو اﻟذي ﯾﻘوم ﺑﺗﻌرﯾﻔﮭﺎ.
-ﻓﯾروﺳﺎت اﻣﺗداد اﻟﻣﻠﻔﺎت ):(File Extension Viruses
File extension virusesﺗﻘوم ﺑﺗﻐﯾر اﻣﺗدادات اﻟﻣﻠﻔﺎت; ﺣﯾث ان .TXTﺑﯾﻛون اﻣن وھذا ﯾﺷﯾر اﻟﻰ ﻣﻠف ﻧﺻﻰ ﻧﻘﻰ .ﻓﺎذا ﺗم ﻏﻠﻖ اﻣﻛﺎﻧﯾﮫ
رؤﯾﺔ اﻣﺗدادات اﻟﻣﻠﻔﺎت ﺛم ﻗﺎم ﺷﺧص ﻣﺎ ﺑﺎرﺳﺎل اﻟﻣﻠف BAD.TXT.VBSﻓﺈﻧك ﺳوف ﺗرى ﻓﻘط .BAD.TXT
:Add-on Viruses -
ﻣﻌظم اﻟﻔﯾروﺳﺎت ھﻲ .add-on virusesھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﯾﻠﺣﻖ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ إﻟﻰ ﺑداﯾﺔ اﻛواد اﻟﻣﺿﯾف ﺑدون إﺟراء أﯾﺔ
ﺗﻐﯾﯾرات ﻋﻠﯾﮫ.
وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟﻔﯾروس ﯾﻔﺳد ﻣﻌﻠوﻣﺎت ﺑدء اﻟﺗﺷﻐﯾل ﻻﻛواد اﻟﻣﺿﯾف ،وﯾﺿﻊ ﻧﻔﺳﮫ ﻓﻲ ﻣﻛﺎﻧﮭﺎ ،وﻟﻛﻧﮭﺎ ﻻ ﺗﻠﻣس اﻛواد اﻟﻣﺿﯾف .وﻣﻊ ذﻟك ،ﯾﺗم
ﺗﻧﻔﯾذ اﻛواد اﻟﻔﯾروس ﻗﺑل اﻛواد اﻟﻣﺿﯾف .اﻻﺷﺎرة اﻟوﺣﯾد ﻋﻠﻰ أن اﻟﻣﻠف ﺗﺎﻟف أي ﻣﺻﺎب ﺑﮭذا اﻟﻧوع ﻣن اﻟﻔﯾروس ھو أن ﺣﺟم اﻟﻣﻠف ﻗد
ازداد.
-اﻟﻔﯾروﺳﺎت اﻟﻣﺗطﻔﻠﺔ ):(Intrusive Viruses
ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﻘوم ﺑﻛﺗﺎﺑﺔ اﻛواده ﻓوق اﻛواد اﻟﺗطﺑﯾﻘﺎت إﻣﺎ ﻋن طرﯾﻖ اﻹزاﻟﺔ اﻟﺗﺎﻣﺔ ﻻﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف ،أو ﻓﻲ ﺑﻌض
اﻷﺣﯾﺎن ﻓﺈﻧﮫ اﻟﻛﺗﺎﺑﺔ ﺗﻛون ﻓوق ﺟزء ﻣﻧﮫ ﻓﻘط .ﻟذﻟك ،ﻻ ﯾﺗم ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﺻﻠﯾﺔ ﺑﺷﻛل ﺻﺣﯾﺢ.
-ﻓﯾروﺳﺎت اﻟﻌﻣل اﻟﻣﺑﺎﺷر أو اﻟﻌﺎﺑرة ):(Direct Action or Transient Viruses
ھذه اﻟﻔﯾروﺳﺎت ﺗﻘوم ﺑﻧﻘل ﺟﻣﯾﻊ اﻟﺿواﺑط إﻟﻰ اﻛواد اﻟﻣﺿﯾف ﺣﯾث ﯾﻘﯾم ،وﯾﺧﺗﺎر اﻟﺑرﻧﺎﻣﺞ اﻟﮭدف اﻟﻣراد ﺗﻌدﯾﻠﮫ ،وﯾﻔﺳد ﻋﻠﯾﮫ.
:Tenninate and Stay Resident Viruses (TSRS) -
ﻓﯾروس TSRﯾﺑﻘﻰ ﺑﺷﻛل داﺋم ﻓﻲ اﻟذاﻛرة أﺛﻧﺎء دورة اﻟﻌﻣل ﺑﺄﻛﻣﻠﮭﺎ ،ﺣﺗﻰ ﺑﻌد ﺗﻧﻔﯾذ اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف وإﻧﮭﺎؤھﺎ .ﻻ ﯾﻣﻛن إزاﻟﺗﮫ إﻻ
ﻋن طرﯾﻖ إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم.
System sector virusﯾﻣﻛن ﺗﻌرﯾﻔﮫ ﺑﺄﻧﮭﺎ ﺗﻠك اﻟﺗﻲ ﺗؤﺛر ﻋﻠﻰ اﻷﻛواد اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ ) (executable codeﻣن اﻟﻘرص ،أﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻠ
Boot sector virusﻓﯾﻣﻛن ﺗﻌرﯾﻔﮫ ﻋﻠﻰ اﻧﮭﺎ ﺗﻠك اﻟﺗﻲ ﺗؤﺛر ﻋﻠﻰ DOS boot sectorﻣن اﻟﻘرص اﻟﺻﻠب.
ﻗﺑل أن ﺗﺗﻣﻛن ﻣن ﻓﮭم ﻣﺎ ﯾﻘوم ﺑﮫ ،Boot sector virusﻓﻣن اﻟﻣﮭم أن ﻧﻌرف ﻣﺎ ھو ﻗطﺎع اﻟﺗﻣﮭﯾد) . (boot sectorوﯾﺗﻛون اﻟﻘرص
اﻟﺻﻠب ﻣن اﻟﻌدﯾد ﻣن segmentوﻣﺟﻣوﻋﺎت ﻣن clusterﻣن ،segmentواﻟﺗﻲ ﻗد ﺗﻛون ﻣﻔﺻوﻟﺔ ﺑﺷﻲء ﯾﺳﻣﻰ .partitionﯾﺟب أن
ﯾﻛون ھﻧﺎك وﺳﯾﻠﺔ ﻟﻠﻌﺛور ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت اﻟﻣﻧﺗﺷرة ﻓﻲ ھذه ،segmentوھﻛذا ﻓﺎن ﻋﻣل ﻗطﺎع اﻟﺗﻣﮭﯾد ) (boot sectorﻛﺄﻧﮫ virtual
.Dewey Decimal systemﯾﺣﺗوي ﻛل ﻗرص أﯾﺿﺎ ﻋﻠﻰ ) (MBRاﻟذي ﯾﺣدد ﻣوﻗﻊ وﯾدﯾر اﻷول ﻣن أي ﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل
اﻟﺿرورﯾﺔ اﻟﻼزﻣﺔ ﻟﺗﺳﮭﯾل ﺗﺷﻐﯾل اﻟﻘرص.
ﻋﻧدﻣﺎ ﯾﻘرأ اﻟﻘرص ،ﻓﺎﻧﮫ ﯾﺳﻌﻰ أوﻻ اﻟﻰ ،MBRواﻟذي ﻣن ﺧﻼﻟﮫ ﯾﻣرر اﻟﺗﺣﻛم إﻟﻰ ﻗطﺎع اﻟﺗﻣﮭﯾد) ، (boot sectorواﻟﺗﻲ ﺗوﻓر ﺑدورھﺎ
اﻟﻣﻌﻠوﻣﺎت ذات اﻟﺻﻠﺔ ﺣول ﻣﺎ ﯾﻘﻊ ﻋﻠﻰ اﻟﻘرص وﺣﯾث ﯾﻘﻊ ذﻟك .ﯾﺣﺗوي ﻗطﺎع اﻟﺗﻣﮭﯾد ) (boot sectorأﯾﺿﺎ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﺣدد ﻧوع
وإﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل وﺗﮭﯾﺋﺔ اﻟﻘرص ﻣﻊ.
ﻣﻠﺧص ھذا أن أي ﻧظﺎم ﯾﻧﻘﺳم اﻟﻰ ﻋدة ﻣﻧﺎطﻖ ﺗﻠك اﻟﻣﻧﺎطﻖ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ ﺳﻛﺗور ) (sectorأي اﻟﻘطﺎﻋﺎت ،ﺣﯾث ﯾﺗم ﺗﺧزﯾن
اﻟﺗطﺑﯾﻘﺎت/اﻟﺑراﻣﺞ .وﻛﻣﺎ ﯾﺷﯾر اﺳﻣﮭﺎ system sector (or boot sector) viruses ،ﺗﻘوم ﺑزرع ﻧﻔﺳﮭﺎ ﻓﻲ ﻗطﺎﻋﺎت )(sectorﻧظﺎم
اﻟﻛﻣﺑﯾوﺗر .ﻗطﺎﻋﺎت اﻟﻧظﺎم ھﻲ ﻣﻧﺎطﻖ ﺧﺎﺻﺔ ﻋﻠﻰ اﻟﻘرص ،اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻟﺑراﻣﺞ اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ ،ﻋﻧد ﺗﺷﻐﯾل ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص
ﺑك .اﻟﻘطﺎﻋﺎت ﻟﯾﺳت ﻣﻠﻔﺎت ،وﻟﻛن ﺑﺑﺳﺎطﺔ ﻋﺑﺎره ﻋن ﻣﻧﺎطﻖ ﺻﻐﯾرة ﻋﻠﻰ اﻟﻘرص ،أن اﻟﺟﮭﺎز ﯾﻘرأ ﻗطﺎع واﺣد .ھذه اﻟﻘطﺎﻋﺎت ھﻲ ﻏﯾر
ﻣرﺋﯾﺔ ﻟﻠﺑراﻣﺞ اﻟﻌﺎدﯾﺔ وﻟﻛﻧﮭﺎ ﻣﮭﻣﮫ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻌﻣﻠﯾﺔ اﻟﺗﺷﻐﯾل اﻟﺻﺣﯾﺣﺔ ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك .واﻟﺗﻲ ﺗﻌﺗﺑر ھدف ﺣﯾوي ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻔﯾروس.
ھﻧﺎك ﻧوﻋﺎن ﻣن ﻗطﺎﻋﺎت اﻟﻧظﺎم اﻟﺗﻲ ﺗوﺟد ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وﯾﻧدوز/دوس:
)DOS boot sectors and partition sectors (also known as master boot records or MBR
MBR (Master Boot Record) -
MBRsھﻲ أﻛﺛر اﻟﻣﻧﺎطﻖ اﻟﻣﻌرﺿﺔ ﻟﻠﻔﯾروﺳﺎت ﻷﻧﮫ إذا ﺣدث ﺗﻠف ﻠﻠ ،MBRﻓﺎﻧﮫ ﺳﯾﺗم ﻓﻘدان ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت .ھذا اﻟﺟزء ﻓﻲ اﻷﻧظﻣﺔ
اﻟﺣدﯾﺛﺔ اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ BIOSﻣن اﻟﻧوع UEFIﻗد ﺗم اﺳﺗﺑداﻟﮫ اﻟﻰ ﻧظﺎم .GPT
DBR (DOS Boot Record) -
ﯾﺗم ﺗﻧﻔﯾذ اﻟﻘطﺎع DBRﻛﻠﻣﺎ ﯾﺗم ﺗﺷﻐﯾل اﻟﻧظﺎم .ﺣﯾث ﺗﻌﺗﺑر ھذه ھﻲ اﻟﻧﻘطﺔ اﻟﺣﺎﺳﻣﺔ ﻟﻠﮭﺟوم ﻣن ﻗﺑل اﻟﻔﯾروﺳﺎت.
ﻗطﺎع اﻟﻧظﺎم ) (System sectorﯾﺗﻛون ﻣن 512ﺑﺎﯾت ﻣن اﻟذاﻛرة .وﺑﻣﺎ اﻧﮫ ﻟﯾس ھﻧﺎك اﻟﻛﺛﯾر ﻣن اﻟﻣﺳﺎﺣﺎت ﻓﻲ ﻗطﺎع اﻟﻧظﺎم ،ﻓﺎن ھذه
اﻟﻔﯾروﺳﺎت ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻘوم ﺑﺈﺧﻔﺎء اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻓﻲ ﻣﻛﺎن آﺧر ﻋﻠﻰ اﻟﻘرص .واﻟﺗﻲ ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﯾﺳﺑب ﻣﺷﺎﻛل ﻋﻧد ھذه
اﻟﺑﻘﻌﺔ اﻟﺗﻲ ﺗﺣﺗوي ﺑﺎﻟﻔﻌل ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت ،إذا ﺣدث إﻋﺎدة اﻟﻛﺗﺎﺑﺔ ﻋﻠﯾﮭﺎ .وﻟﻛن ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻓﺎن Boot sector virusﯾﻘوم ﺑﺗﺣرﯾك
MBRإﻟﻰ ﻣوﻗﻊ آﺧر ﻋﻠﻰ اﻟﻘرص اﻟﺛﺎﺑت وﻧﺳﺦ ﻧﻔﺳﮫ إﻟﻰ اﻟﻣوﻗﻊ اﻷﺻﻠﻲ ﻣن .MBRﻓﻌﻧدﻣﺎ ﯾﺑدا ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل ﻓﺎﻧﮫ ﯾﺑدا أوﻻ
ﺑﺗﺷﻐﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس وﻣن ﺛم ﯾﻧﻘل اﻟﺗﺣﻛم اﻟﻰ .MBR
اﻟﺤﺎﻣﻞ اﻟﺮﺋﯿﺴﻲ ﻠ System sector virusھﻮ .floppy diskھﺬه اﻟﻔﯿﺮوﺳﺎت ﯾﻘﯿﻤﻮن ﻋﺎدة ﻓﻲ اﻟﺬاﻛﺮة .ﻛﻤﺎ أﻧﮭﺎ ﯾﻤﻜﻦ أن ﺗﻜﻮن ﻧﺎﺟﻤﺔ ﻋﻦ
ﺣﺼﺎن طﺮوادة .أﯾﻀﺎ ﺑﻌﺾ ﻣﻦ sector virusﺗﻨﺘﺸﺮ ﻣﻦ ﺧﻼل اﻟﻤﻠﻔﺎت اﻟﻤﺼﺎﺑﺔ ،وﯾﻄﻠﻖ ﻋﻠﯿﮭﺎ أﯾﻀﺎ ﻓﯿﺮوﺳﺎت ﻣﺘﻌﺪدة اﻷﺟﺰاء
).(multipart viruses
ﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت ﺗﺻﯾب اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ أو ﺗﻔﺳﯾرھﺎ ﻣن ﻗﺑل اﻟﻧظﺎم ﻣﺛل ،PRG ،OBJ ،OVL ،SYS ،EXE ،COM
،MNUوﻣﻠﻔﺎت .BATﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت ﯾﻣﻛﻧﮭﺎ أن ﺗﻛون إﻣﺎ ﺗﻌﻣل ﻣﺑﺎﺷرة )) (direct-action (non-residentأو ﺗﻘﯾم ﻓﻲ اﻟذاﻛرة
.memory-residentﻣطوري ھذه اﻟﻔﯾروﺳﺎت ﯾﺳﺑﺑوا ﺿررا ﻻ رﺟﻌﺔ ﻓﯾﮫ إﻟﻰ اﻟﻣﻠﻔﺎت .ھذه اﻟﻔﯾروﺳﺎت ﺗﺳﺗﮭدف أﺳﺎﺳﺎ ﻣﺟﻣوﻋﺔ ﻣن
أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﺗﻲ ﺗﺷﻣل وﯾﻧدوز ،ﯾوﻧﯾﻛس ،دوس ،وﻣﺎﻛﻧﺗوش.
ﺗﺻﻧف ﻓﯾروﺳﺎت اﻟﻣﻠف أﯾﺿﺎ ﻋﻠﻰ أﺳﺎس ﻣﺎ إذا ﻛﺎﻧت ﻏﯾر ﻣﻘﯾﻣﮫ ﻓﻲ اﻟذاﻛرة أو ﻣﻘﯾﻣﺔ ﻓﻲ اﻟذاﻛرة .اﻟﻔﯾروﺳﺎت اﻟﻐﯾر ﻣﻘﯾﻣﮫ ﻓﻲ اﻟذاﻛرة ﺗﺑﺣث
ﻋن ﻣﻠﻔﺎت EXEﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب ﺛم ﺗﻧﻘل اﻟﻌدوى اﻟﯾﮫ ،ﻓﻲ ﺣﯾن أن اﻟﻔﯾروﺳﺎت اﻟﻣﻘﯾﻣﺔ ﻓﻲ اﻟذاﻛرة ﺗﺑﻘﻰ ﺑﻧﺷﺎط ﻓﻲ اﻟذاﻛرة ،وﺗﺻﯾد واﺣد
أو أﻛﺛر ﻣن وظﺎﺋف اﻟﻧظﺎم .وﯾﻘﺎل إن ﻓﯾروﺳﺎت اﻟﻣﻠف ﺗﻛون ﻣﺗﻌددة اﻷﺷﻛﺎل) ، (polymorphicﻣﺷﻔرة) ،(encryptedأو ﻏﯾر ﻣﺷﻔرة.
اﻟﻔﯾروﺳﺎت ﻣﺗﻌدد اﻷﺷﻛﺎل أو اﻟﻣﺷﻔر ﯾﺣﺗوي ﻋﻠﻰ واﺣد أو أﻛﺛر ﻣن ) decryptorﻓﺎﻛك اﻟﺗﺷﻔﯾر( ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻛواده اﻟرﺋﯾﺳﯾﺔ .ﯾﺗم ﻓك
ﺗﺷﻔﯾر اﻛواد اﻟﻔﯾروس اﻟرﺋﯾﺳﻲ ﺑواﺳطﺔ decryptorﻗﺑل أن ﺗﺑدأ .ﯾﺳﺗﺧدم اﻟﻔﯾروس اﻟﻣﺷﻔرة ﻋﺎدة decryptorﻣﺗﻐﯾر أو ﻣﻔﺗﺎح ﺛﺎﺑﺗﺔ ،ﻓﻲ
ﺣﯾن أن اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل ﺗﺣﺗوي ﻋﻠﻰ decryptorsﯾﺗم إﻧﺷﺎؤھﺎ ﻋﺷواﺋﯾﺎ ﻣن ﺗﻌﻠﯾﻣﺎت اﻟﻣﻌﺎﻟﺟﺎت واﻟﺗﻲ ﺗﺗﻛون ﻣن اﻟﻛﺛﯾر ﻣن
اﻷواﻣر اﻟﺗﻲ ﻻ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻓﻲ ﻋﻣﻠﯾﺔ ﻓك اﻟﺗﺷﻔﯾر.
Microsoft Wordأو اﻟﺗطﺑﯾﻘﺎت اﻟﻣﻣﺎﺛﻠﺔ ﯾﻣﻛﻧﮭﺎ أن ﺗﺻﺎب ﺑواﺳطﺔ ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر وﯾﺳﻣﻰ ھدا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻓﯾروس
اﻟﻣﺎﻛرو ،واﻟذي ﯾؤدي ﺗﻠﻘﺎﺋﯾﺎ ﺳﻠﺳﻠﺔ ﻣن اﻹﺟراءات ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ أو أي ﺷﻲء آﺧر .ﺗﺗم ﻛﺗﺎﺑﺔ ﻣﻌظم ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو ﺑﺎﺳﺗﺧدام
ﻟﻐﺔ ﻣﺎﻛرو ) Visual Basic for Applications (VBAﺣﯾث أﻧﮭﺎ ﺗﺻﯾب اﻟﻘواﻟب) (templetأو ﺗﻘوم ﺑﺗﺣوﯾل اﻟوﺛﺎﺋﻖ)(document
اﻟﻣﺻﺎﺑﺔ إﻟﻰ ﻣﻠﻔﺎت اﻟﻘﺎﻟب ) ،(templet fileﻣﻊ اﻟﺣﻔﺎظ ﻋﻠﻰ ﻣظﮭرھﺎ ﻋﻠﻰ اﻧﮭﺎ ﻣﻠﻔﺎت ﻣﺳﺗﻧدات ﻋﺎدﯾﺔ .ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو ﻓﻲ ﻛﺛﯾر ﻣن
اﻷﺣﯾﺎن ھو أﻗل ﺿررا ﻣن اﻷﻧواع اﻷﺧرى .ﻋﺎدة ﻣﺎ ﯾﻧﺗﺷرون ﻋﺑر اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﻣﻠﻔﺎت اﻟﺑﯾﺎﻧﺎت اﻟﻧﻘﯾﺔ ﻻ ﺗﺳﻣﺢ ﺑﺎﻧﺗﺷﺎر اﻟﻔﯾروﺳﺎت،
وﻟﻛن أﺣﯾﺎﻧﺎ اﻟﺧط اﻟﻔﺎﺻل ﺑﯾن ﻣﻠف اﻟﺑﯾﺎﻧﺎت واﻟﻣﻠف ﺗﻧﻔﯾذي ﯾﺗم اﻟﺗﻐﺎﺿﻲ ﻋﻧﮫ ﺑﺳﮭوﻟﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم اﻟﻌﺎدي ﻧظرا ﻻﺳﺗﺧدام ﻟﻐﺎت اﻟﻣﺎﻛرو
اﻟواﺳﻌﺔ ﻓﻲ ﺑﻌض اﻟﺑراﻣﺞ .ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ،ﻓﻘط ﻟﺟﻌل اﻻﻣور ﺳﮭﻠﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن ،ﻓﺎن اﻟﺧط اﻟﻔﺎﺻل ﺑﯾن ﻣﻠف اﻟﺑﯾﺎﻧﺎت واﻟﺑراﻣﺞ
ﺗﺑدأ ﻟﻠﺗﻣوﯾﮫ ﻓﻘط ﻓﻲ اﻟﺣﺎﻻت اﻟﺗﻲ ﯾﺗم ﺗﻌﯾﯾن وﺣدات اﻟﻣﺎﻛرو اﻻﻓﺗراﺿﯾﺔ ﻟﻠﺗﺷﻐﯾل ﺗﻠﻘﺎﺋﯾﺎ ﻓﻲ ﻛل ﻣرة ﯾﺗم ﺗﺣﻣﯾل ﻣﻠف اﻟﺑﯾﺎﻧﺎت .ﻛﺎﺗﺑوا
اﻟﻔﯾروﺳﺎت ﯾﻣﻛﻧﮭم exploitﺑراﻣﺞ ﺷﺎﺋﻌﮫ ﻣﻊ ﻗدرة اﻟﻣﺎﻛرو ﻣﺛل Microsoft Wordو Excelوﺑراﻣﺞ Officeاﻷﺧرى .ﯾﻣﻛن أﯾﺿﺎ أن
ﺗﺣﺗوي ﻣﻠﻔﺎت اﻟﻣﺳﺎﻋدة ﻟﻠوﯾﻧدوز ) (Windows Help filesﻋﻠﻰ اﻛواد اﻟﻣﺎﻛرو .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺎن أﺣدث exploitﻠﻠ macrocode
ﻣوﺟود ﻓﻲ اﻟﻧﺳﺧﺔ اﻟﻛﺎﻣﻠﺔ ﻣن ﺑرﻧﺎﻣﺞ أﻛروﺑﺎت اﻟذي ﯾﻘرأ وﯾﻛﺗب ﻣﻠﻔﺎت .PDF
Cluster virus’sﺗﺻﯾب اﻟﻣﻠﻔﺎت دون ﺗﻐﯾﯾر اﻟﻣﻠف أو زرع ﻣﻠﻔﺎت إﺿﺎﻓﯾﺔ وﻟﻛن ﺗﻘوم ﺑﺗﻐﯾر ﻣﻌﻠوﻣﺎت اﻟدﻟﯾل DOSﺑﺣﯾث ﺗﺷﯾر
اﻻدﺧﺎﻻت إﻟﻰ اﻛواد اﻟﻔﯾروس ﺑدﻻ ﻣن اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ .ﻋﻧد ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ،DOSﻓﺎﻧﮫ ﯾﻘوم أوﻻ ﺑﺗﺣﻣﯾل وﺗﺷﻐﯾل اﻛواد اﻟﻔﯾروس،
وﻣن ﺛم ﯾﻘوم اﻟﻔﯾروس ﺑﺗﺣدﯾد ﻣوﻗﻊ اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ وﯾﻘوم ﺑﺗﺷﻐﯾﻠﮫ DIR-2 .ھو ﻣﺛﺎل ﻟﮭذا اﻟﻧوع ﻣن اﻟﻔﯾروس .اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ ﺗﻘوم
ﺑﺗﻌدﯾل إدﺧﺎﻻت ﺟدول اﻟدﻟﯾل ﺑﺣﯾث ﺗﺷﯾر إدﺧﺎﻻت اﻟدﻟﯾل إﻟﻰ اﻛواد اﻟﻔﯾروس .ھﻧﺎك ﻧﺳﺧﺔ واﺣدة ﻓﻘط ﻣن اﻟﻔﯾروس ﻋﻠﻰ اﻟﻘرص ﺗﻘوم ﺑﺈﺻﺎﺑﺔ
ﺟﻣﯾﻊ اﻟﺑراﻣﺞ ﻓﻲ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر .اﻧﮭﺎ ﺳﺗطﻠﻖ ﻧﻔﺳﮭﺎ أوﻻ ﻋﻧد ﺑدء أي ﻣن اﻟﺑراﻣﺞ ﻋﻠﻰ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر ﺑﺎﻟﻌﻣل وﻣن ﺛم ﯾﺗم ﺗﻣرﯾر اﻟﺗﺣﻛم إﻟﻰ
اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ.
Stealth/Tunneling Viruses
ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﺗﻛون ﻣن ﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن اﻟﻔﯾروس ووﺣدة ﻓك اﻟﺗﺷﻔﯾر .ﻻ ﺗزال وﺣدة ﻓك
ﺗﺷﻔﯾر ﺛﺎﺑﺗﺔ ،ﻓﻲ ﺣﯾن أﻧﮫ ﯾﺗم اﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ ﻣﺧﺗﻠﻔﺔ ﻟﻠﺗﺷﻔﯾر .ھذه اﻟﻔﯾروﺳﺎت ﺗﺳﺗﺧدم ﻋﻣوﻣﺎ
XORﻋﻠﻰ ﻛل ﺑﺎﯾت ﻣﻊ ﻣﻔﺗﺎح ﻋﺷواﺋﻲ.
ﯾﺗم ﺗﺷﻔﯾر اﻟﻔﯾروس ﻣﻊ ﻣﻔﺗﺎح ﺗﺷﻔﯾر واﻟذي ﯾﺗﻛون ﻣن وﺣدة ﻓك اﻟﺗﺷﻔﯾر وﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن -
اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ.
ﻟﻛل ﻣﻠف ﻣﺻﺎب ،ﯾﺗم ﺗﺷﻔﯾر اﻟﻔﯾروس ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻣﻔﺎﺗﯾﺢ ،وﻟﻛن ﯾﺑﻘﻰ -
ﺟزء وﺣدة ﻓك اﻟﺗﺷﻔﯾر دون ﺗﻐﯾﯾر.
أﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﻟﺗطﺑﯾﻘﺎت ﻓﺣص اﻟﻔﯾروﺳﺎت اﻟﻛﺷف ﻋن اﻟﻔﯾروس ﻣﺑﺎﺷرة ﻋن طرﯾﻖ -
اﻟﺗوﻗﯾﻌﺎت ،وﻟﻛن ﯾﻣﻛن أن ﯾﺗم اﻟﻛﺷف ﻋن وﺣدة ﻓك اﻟﺗﺷﻔﯾر.
ﺗﻘﻧﯾﺔ اﻟﺗﺷﻔﯾر اﻟﻣﺳﺗﺧدﻣﺔ ھﻲ ﻋﺑﺎره ﻋن ﺗﺿﻣﯾن xأو ﻛل ﺑﺎﯾت ﻣﻊ ﻣﻔﺗﺎح ﻋﺷواﺋﻲ اﻟﺗﻲ ﯾﺗم -
إﻧﺷﺎؤھﺎ وﺣﻔظﮭﺎ ﺑواﺳطﺔ .virus root
اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل ﺗﻘوم ﺑﺗﻌدﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻟﻛل ﻧﺳﺧﮫ ﻣﺗﻣﺎﺛﻠﮫ ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف .أﻧﮭﺎ ﺗﻧﺟز ھذا ﻋن طرﯾﻖ ﺗﻐﯾﯾر وﺣدة
اﻟﺗﺷﻔﯾر وﺗﺳﻠﺳل اﻟﺗﻌﻠﯾﻣﺎت .ﯾﺗم اﺳﺗﺧدام ﻣوﻟد رﻗم ﻋﺷواﺋﻲ ﻟﺗﻧﻔﯾذ ﺗﻌدد اﻷﺷﻛﺎل.
ﻋﻣوﻣﺎ ﯾﺳﺗﺧدم ﻣﺣرك اﻟطﻔرة ) (mutation engineﻟﺗﻣﻛﯾن اﻛواد ﻣﺗﻌدد اﻷﺷﻛﺎل Mutator .ﯾوﻓر ﺳﻠﺳﻠﺔ ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺗﻲ ﯾﻣﻛن
اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل ﻓﺎﺣص اﻟﻔﯾروﺳﺎت ﻟﺗﺣﺳﯾن ﺧوارزﻣﯾﺔ اﻟﻛﺷف اﻟﻣﻧﺎﺳﺑﺔ .وﺗﺳﺗﺧدم اﻛواد ﻣﺗﻌددة اﻷﺷﻛﺎل اﻟﺑطﯾﺋﺔ ﻟﻣﻧﻊ ﻣﻛﺎﻓﺣﻲ اﻟﻔﯾروﺳﺎت
اﻟﻣﺣﺗرﻓﯾن ﻣن اﻟوﺻول إﻟﻰ اﻷﻛواد.
ﻋﯾﻧﺎت اﻟﻔﯾروس) ، (virus sampleھﻲ ﻣﻠﻔﺎت طﻌم )ﺗﺳﺗﺧدم ﻻﺻطﯾﺎد اﻛواد اﻟﻔﯾروس( ﺑﻌد إﺻﺎﺑﺔ ﻣﻠف ﺗﻧﻔﯾذي واﺣد واﺣدة ،وﺗﺣﺗوي ﻋﻠﻰ
ﻧﺳﺧﺔ ﻣﻣﺎﺛﻠﺔ ﻟﻠﻔﯾروس .وﯾﺳﺗﺧدم ﻓﺎﺣص ﺳﻼﻣﺔ ﺑﺳﯾط ) (simple integrity checkerﻟﻠﻛﺷف ﻋن وﺟود اﻟﻔﯾروس ﻣﺗﻌدد اﻷﺷﻛﺎل ﻓﻲ
ﻗرص اﻟﻧظﺎم.
اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل ) (Polymorphic virusesﺗﺗﻛون ﻣن ﺛﻼﺛﺔ ﻋﻧﺎﺻر .وھﻲ اﻛواد اﻟﻔﯾروس اﻟﻣﺷﻔر ،روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر،
وﻣﺣرك اﻟطﻔرة) . (mutant engineوظﯾﻔﺔ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر) (decryptor routineھو ﻓك ﺷﻔرة اﻟﻔﯾروس .ﺣﯾث أﻧﮫ ﯾﻔك اﻟﺷﻔرة ﻓﻘط
ﺑﻌد اﻟﺳﯾطرة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر .ﻣﺣرك اﻟطﻔرة ) (mutant engineﯾوﻟد روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر ) (decryptor routineﻋﺷواﺋﯾﺎ .روﺗﯾن
ﻓك اﻟﺗﺷﻔﯾر ) (decryptor routineﯾﺧﺗﻠف ﻓﻲ ﻛل ﻣرة ﻋﻧدﻣﺎ ﯾﺗم إﺻﺎﺑﺔ ﺑرﻧﺎﻣﺞ ﺟدﯾد ﺑواﺳطﺔ اﻟﻔﯾروس.
ﻣﻊ ﻓﯾروس ﻣﺗﻌدد اﻷﺷﻛﺎل ،ﯾﺗم ﺗﺷﻔﯾر ﻛل ﻣن ﻣﺣرك اﻟطﻔرة وأﻛواد اﻟﻔﯾروس .ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺻﺎب ﺑﺎﻟﻔﯾروس ﻣﺗﻌددة اﻷﺷﻛﺎل ﻣن
ﻗﺑل اﻟﻣﺳﺗﺧدم ،ﻓﺎن روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر) (decryptor routineﯾﺄﺧذ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم ،وﺑﻌد ذﻟك ﯾﻔك ﺷﻔرة اﻟﻔﯾروس وﻣﺣرك
اﻟطﻔرة .ﺛم ﺑﻌد ذﻟك ،ﯾﺗم ﻧﻘل اﻟﺳﯾطرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن طرﯾﻖ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر) (decryptor routineاﻟﻰ اﻟﻔﯾروس ،واﻟذي
ﯾذھب اﻟﻰ ﺑرﻧﺎﻣﺞ ﺟدﯾد ﻟﻧﻘل اﻟﻌدوى .ﻓﻲ ذاﻛرة اﻟوﺻول اﻟﻌﺷواﺋﻲ ) ،(RAMﯾﻘوم اﻟﻔﯾروس ﺑﻧﺳﺦ ﻧﺳﺧﺔ طﺑﻖ اﻷﺻل ﻣﻧﮫ وﻛذﻟك ﻣﺣرك
اﻟطﻔرة .ﺛم ﺑﻌد ذﻟك ﯾرﺷد اﻟﻔﯾروس ﻣﺣرك اﻟطﻔرة اﻟﻣﺷﻔر ﻟﺗوﻟﯾد روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر اﻟﺟدﯾد ﻋﺷواﺋﯾﺎ ،اﻟﺗﻲ ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ ﻓك ﺗﺷﻔﯾر
اﻟﻔﯾروس .ھﻧﺎ ،ﯾﺗم ﺗﺷﻔﯾر ﻧﺳﺧﺔ ﺟدﯾدة ﻣن ﻛل ﻣن اﻛواد اﻟﻔﯾروس وﻣﺣرك اﻟطﻔرة ﻣن اﻟﻔﯾروس .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن ھذا اﻟﻔﯾروس ،ﯾﻛون ﺑﺟﺎﻧب
اﻛواد اﻟﻔﯾروس اﻟﺗﻲ ﺗم ﺗﺷﻔﯾرھﺎ ﺣدﯾﺛﺎ وﻛذﻟك ﻣﺣرك اﻟطﻔرة) (EMEاﻟﻣﺷﻔر اﻟﺟدﯾد ،ﺛم ﯾﻠﺣﻖ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر اﻟﺟدﯾد ھذا ﻋﻠﻰ ﺑرﻧﺎﻣﺞ
ﺟدﯾد ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺳﺗﻣر ھذه اﻟﻌﻣﻠﯾﺔ.
اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل اﻟﺗﻲ أﻋدت ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗﻧﺗﺷر ﻓﻲ اﻟﻧظم اﻟﻣﺳﺗﮭدﻓﺔ ﯾﺻﻌب ﻛﺷﻔﮭﺎ ﻷﻧﮫ ھﻧﺎ ﯾﺗم ﺗﺷﻔﯾر ﺟﺳم اﻟﻔﯾروﺳﺎت
وإﺟراءات ﻓك اﻟﺗﺷﻔﯾر ﯾﺗﻐﯾر ﻓﻲ ﻛل ﻣرة ﻣن اﻹﺻﺎﺑﺔ ﻟﻺﺻﺎﺑﺔ وإﺻﺎﺑﺔ ﺷﺧﺻﯾن ﻻ ﺗﺑدو ھﻲ ﻧﻔﺳﮭﺎ؛ ھذا ﯾﺟﻌل ﻣن اﻟﺻﻌب ﻋﻠﻰ ﻣﻛﺎﻓﺢ
اﻟﻔﯾروﺳﺎت ﺗﺣدﯾد ھذا اﻟﻔﯾروس.
ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗﻌﯾد ﻛﺗﺎﺑﺔ أﻧﻔﺳﮭم ﻟﺗﺻﯾب ﻣﻠﻔﺎت ﺗﻧﻔﯾذﯾﮫ ﺟدﯾده .ﻣﺛل ھذه اﻟﻔﯾروﺳﺎت ﺗﻛون ﻣﻌﻘدة وﺗﺳﺗﺧدم اﻟﻣﺣرﻛﺎت اﻟﻣﺗﺣوﻟﺔ
) (metamorphic enginesﻟﻠﺗﻧﻔﯾذ.
ﯾطﻠﻖ ﻋﻠﻰ اﻷﻛواد اﻟﺗﻲ ﯾﻣﻛن إﻋﺎدة ﺑرﻣﺟﺔ ﻧﻔﺳﮫ اﻷﻛواد اﻟﻣﺗﺣوﻟﺔ) . (metamorphic codeوﯾﺗرﺟم ھذا اﻟﻛود إﻟﻰ ﻛود ﻣؤﻗت ،وﻣن ﺛم
ﺗﺣوﯾﻠﮫ ﻣرة اﺧرى إﻟﻰ ﻛود اﻟﻌﺎدي .ھذه اﻟﺗﻘﻧﯾﺔ ،ﺗﻛون اﻟﺧوارزﻣﯾﺔ اﻷﺻﻠﯾﺔ ﻓﯾﮭﺎ ﻻ ﺗزال ﺳﻠﯾﻣﺔ ،ﺣﯾث ﯾﺳﺗﺧدم ھذا ﻟﺗﺟﻧب اﻟﺗﻌرف ﻋﻠﻰ اﻟﻧﻣط
ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت .ھذا أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻓﻲ اﻟﻣﻘﺎرﻧﺔ ﺑﺎﻻﻛواد ﻣﺗﻌدد اﻷﺷﻛﺎل .ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺗﺗﻛون ﻣن ﻣﺟﻣوﻋﮫ ﻣن
اﻷﻛواد اﻟﻣﻌﻘدة.
اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ اﻟﻣﻌروﻓﺔ ھﻲ:
:Win32/Simile
ھذا اﻟﻔﯾروس ﻣﻛﺗوب ﺑﻠﻐﺔ اﻟﺗﺟﻣﯾﻊ ) (assembly languageﺣواﻟﻲ 14000ﺳطر وﺗم ﺗﺻﻣﯾﻣﮫ ﻣن أﺟل أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻣﺎﯾﻛروﺳوﻓت
وﯾﻧدوز .ھذه اﻟﻌﻣﻠﯾﺔ ﻣﻌﻘدة ،وﯾﺗم إﻧﺷﺎء ﻣﺎ ﯾﻘرب ﻣن ٪90ﻣن اﻛواد اﻟﻔﯾروس ﻋن طرﯾﻖ ھذه اﻟﻌﻣﻠﯾﺔ )أي ان %90ﻣن اﻟﻔﯾروس ﻋﺑﺎره ﻋن
اﻛواد ﻣﺗﺣوﻟﮫ ).((metamorphic codes
:Zmist
ھذا اﻟﻔﯾروس ﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم Z0mbie.Mistfallاﻟﺗﻲ أﻧﺷﺎﺋﮭﺎ ﻛﺎﺗب اﻟﻔﯾروس اﻟروﺳﻲ اﻟﻣﻌروف ﺑﺎﺳم .Z0mbieوھو أول ﻓﯾروس
اﺳﺗﺧدم ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ " ."code integrationھذا اﻟﻛود ﯾدرج ﻧﻔﺳﮫ ﻓﻲ اﻷﻛواد اﻷﺧرى ،ﯾﻌﯾد إﻧﺷﺎء اﻷﻛواد ،ﺛم ﯾﻌﯾد ﺑﻧﺎء اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ.
ھذه اﻟﻔﯾروﺳﺎت ﺗﻌرف أﯾﺿﺎ ﺑﺎﺳم space-fillersﻷﻧﮭﺎ ﺗﺣﺎﻓظ ﻋﻠﻰ ﺛﺎﺑت ﺣﺟم اﻟﻣﻠف ﻋﻧدﻣﺎ ﯾﺗم إﺻﺎﺑﺗﮫ ﻋن طرﯾﻖ ﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ اﻟﺑرﻧﺎﻣﺞ
اﻟﮭدف .ھم ﯾﻘوﻣون ﺑﺈﻟﺣﺎق أﻧﻔﺳﮭم إﻟﻰ ﻧﮭﺎﯾﺔ اﻟﻣﻠﻔﺎت وأﯾﺿﺎ إﻓﺳﺎد ﺑداﯾﺔ اﻟﻣﻠﻔﺎت .ھذا اﻟﺣدث ﯾﻘوم أوﻻ ﺑﺗﻧﺷﯾط وﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ
اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس ،وﺑﻌدھﺎ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ.
ﺑﻌض ﻣﻠﻔﺎت اﻟﺑراﻣﺞ ﻟدﯾﮭﺎ ﻣﻧﺎطﻖ ﻣن اﻟﻣﺳﺎﺣﺔ اﻟﻔﺎرﻏﺔ .ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ ھو اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟﻔﯾروﺳﺎت .ﻓﯾروس اﻟﺗﺟوﯾف،
واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ﻓﯾروس ،space-fillersﯾﺧزن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻓﻲ ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ .اﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ ھذا
اﻟﻔﺿﺎء اﻟﻐﯾر ﻣﺄھول دون أي ﺗدﻣﯾر ﻟﻠﻛود اﻷﺻﻠﻲ .ﻷﻧﮫ ﯾﺛﺑت ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺎول إﺻﺎﺑﺗﮫ.
ﻧﺎدرا ﻣﺎ ﯾﺳﺗﺧدم ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻷﻧﮫ ﻣن اﻟﺻﻌب أن ﯾﻛﺗب .ﻣﻠف وﯾﻧدوز ﺟدﯾد ﯾﺳﻣﻰ Portable Executableإﻧﮭﺎ ﻣﺻﻣﻣﺔ
ﻟﻠﺗﺣﻣﯾل اﻟﺳرﯾﻊ ﻟﻠﺑراﻣﺞ .وﻣﻊ ذﻟك ،ﻓﺈﻧﮫ ﯾﺗرك ﻓﺟوة ﻣﻌﯾﻧﺔ ﻓﻲ اﻟﻣﻠف ﺑﯾﻧﻣﺎ ﯾﺗم ﺗﻧﻔﯾذه واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل ﻓﯾروﺳﺎت Space Filler
ﻹدراج ﻧﻔﺳﮭﺎ .ﻋﺎﺋﻠﺔ اﻟﻔﯾروس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ھﻲ ﻓﯾروس .CIH
Sparse infector virus’sھو ﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻻ ﯾﻌﻣل إﻻ ﻋﻧد ﺷرط ﻣﻌﯾن وﯾﺑﻘﻰ اﻟـ sparse infectorﻣﺧﻔﯾﺎ ً داﺧل اﻟﻧظﺎم وﻻ
ﯾﺷﻌر ﺑﮫ اﻟﻣﺳﺗﺧدم إﻻ ﻋﻧد ﺷرط ﻣﺣدد ﺑﺷﻛل رﻗﻣﻲ ﻛﺗﺎرﯾﺦ ﻣﻌﯾن أو ﻛﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ ﻋد ٍد ﻣن اﻟﻣرات .ﻋن طرﯾﻖ اﻹﺻﺎﺑﺔ اﻷﻗل ،ﻓﻲ
ﻣﺣﺎوﻟﺔ ﻣن ﻗﺑل ھذه اﻟﻔﯾروﺳﺎت ﻟﺗﻘﻠﯾل اﺣﺗﻣﺎل أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ.
Companion/Camouflage Viruses
Companion virusﯾﺧزن ﻧﻔﺳﮫ ﻣن ﺧﻼل اﻣﺗﻼك اﺳم اﻟﻣﻠف ﻣﺗطﺎﺑﻘﺔ ﻛﻣﺎ ﻓﻲ ﻣﻠف اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺳﺗﮭدف .ﺣﺎﻟﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ھذا اﻟﻣﻠف ،ﻓﺈن
اﻟﻔﯾروس ﯾﺻﯾب ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،وﯾﺗم ﺗﻌدﯾل اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب.
Companion virusﯾﺳﺗﺧدم DOSاﻟﺗﻲ ﺗﻧﻔذ اﻟﻣﻠﻔﺎت COMﻗﺑل أن ﯾﺗم ﺗﻧﻔﯾذ اﻟﻣﻠﻔﺎت .EXEاﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻣﻠف COM
ﻣﺗطﺎﺑﻘﺔ وﯾﺻﯾب ﻣﻠﻔﺎت .EXE
اﻟﻣﺻدرhttp://www.cknow.com/cms/vtutor/companion-files.html :
ھل ﺗﻌﺗﻘد أن اﻟﻔﯾروس ﯾﻣﻛﻧﮫ أن ﯾﺻﯾب اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك دون ﺗﻐﯾﯾر ﺑﺎﯾت واﺣد ﻓﻲ اﻟﻣﻠف اﻟﻣﺻﺎب؟ ﺣﺳﻧﺎ ،ھذا ﺻﺣﯾﺢ؛ ﺑطرﯾﻘﺗﯾن
ﻣﺧﺗﻠﻔﺗﯾن ﻓﻲ اﻟواﻗﻊ! وﺗﺳﻣﻰ اﻟطرﯾﻘﺔ اﻷﻛﺛر ﺷﯾوﻋﺎ ﻣن اﻟطرﯾﻘﺗﯾن companion virusأو ) spawning virusاﻵﺧر ھو اﻟﻔﯾروس
اﻟﻌﻧﻘودي) .( (cluster virusاﻟﻔﯾروس ﯾﺻﯾب ﻣﻠﻔﺎﺗك ﻋن طرﯾﻖ ﺗﺣدﯾد ﻣوﻗﻊ ﻛل اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﻧﺗﮭﻲ أﺳﻣﺎؤھﺎ ب . EXEﺛم ﯾﻘوم اﻟﻔﯾروس
ﺑﺈﻧﺷﺎء اﺳﻣﺎء ﻣﻠﻔﺎت ﻣطﺎﺑﻘﺔ ﺗﻧﺗﮭﻲ ﺒ COMاﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻛواد اﻟﻔﯾروس.
ھذا ﻣﺎ ﯾﺣدث :دﻋوﻧﺎ ﻧﻘول إن companion virusﺗﻧﻔذ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ،وﺗﻘرر ان اﻟوﻗت ﻗد ﺣﺎن ﻟﺗﺻﯾب اﻟﻣﻠﻔﺎت .ﻓﺈﻧﮫ
ﯾﻧظر ﺣوﻟﮫ وﯾﺑﺣث ﻟﻠﻌﺛور ﻋﻠﻰ ﻣﻠف ﯾﺳﻣﻰ .PGM.EXEﻋﻠﯾﮫ اﻵن إﻧﺷﺎء ﻣﻠف ﯾﺳﻣﻰ PGM.COMاﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻟﻔﯾروس.
اﻟﻔﯾروس ﻋﺎدة ﻣﺎ ﯾزرع ھذا اﻟﻣﻠف ﻓﻲ ﻧﻔس ﻣﺳﺎر ﻣﻠف .EXEوﻟﻛن ﯾﺟب وﺿﻌﮫ ﻓﻲ أي دﻟﯾل ﻋﻠﻰ ﻣﺳﺎر DOSاﻟﺧﺎص ﺑك .ﺣﯾث إذا ﻗﻣت
ﺑﻛﺗﺎﺑﺔ PGMﺛم ﻧﻘرت ﻓوق ،Enterﻓﺎن DOSﺳوف ﯾﻘوم ﺑﺗﻧﻔﯾذ PGM.COMﺑدﻻ ﻣن ) .PGM.EXEﺣﯾث ان اﻟﻧظﺎم اﻟﻣﺗﺑﻊ ﻣن
ﻗﺑل ،DOSاﻧﮫ ﯾﻘوم أوﻻ ﺑﺗﻧﻔﯾذ ،COMﺛم ،EXEﺛم ﻣﻠﻔﺎت BATاﻟذي ﯾﺣﻣل ﻧﻔس اﻻﺳم اﻟﺟذر ،إذا ﻛﺎﻧت ﻛﻠﮭﺎ ﻓﻲ ﻧﻔس اﻟدﻟﯾل( .ﯾﻧﻔذ
اﻟﻔﯾروس ،ورﺑﻣﺎ ﯾﺻﯾب اﻟﻛﺛﯾر ﻣن اﻟﻣﻠﻔﺎت ﺛم ﯾﻘوم ﺑﺗﺣﻣﯾل وﺗﻧﻔﯾذ .PGM.EXEاﻟﻣﺳﺗﺧدم رﺑﻣﺎ ﻟن ﯾﻼﺣظ أي ﺷﻲء ﺧﺎطﺊ.
إﻧﮫ ﻣن اﻟﺳﮭل اﻟﻛﺷف ﻋن اﻟﻔﯾروس companion virusوذﻟك ﻓﻘط ﻣن ﺧﻼل ﻣﻼﺣظﺔ وﺟود ﻣﻠف COMإﺿﺎﻓﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم.
Shell Viruses
اﻛواد ﻓﯾروس اﻟﺷل ) (shell virusﺗﺷﻛل طﺑﻘﺔ ﺣول ﻛود اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف اﻟﺗﻲ ﯾﻣﻛن ﻣﻘﺎرﻧﺗﮭﺎ ﺒ "ﻗﺷرة اﻟﺑﯾﺿﺔ" ،ﻣﻣﺎ ﯾﺟﻌل ﻣن
ﻧﻔﺳﮫ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ وﻛود اﻟﻣﺿﯾف ﻋﺑﺎره ﻋن اﻣر ﻓرﻋﻰ .ھﻧﺎ ،ﯾﺗم ﻧﻘل اﻷﻛواد اﻷﺻﻠﯾﺔ إﻟﻰ ﻣوﻗﻊ ﺟدﯾد ﺑواﺳطﺔ ﻛود اﻟﻔﯾروس واﻟﻔﯾروس
ﯾﻘﺗرض ھوﯾﺗﮭﺎ.
Add-on Viruses
ﻣﻌظم اﻟﻔﯾروﺳﺎت ھﻲ .Add-on Virusesھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﯾُﻠﺣﻖ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ إﻟﻰ ﺑداﯾﺔ اﻛواد ﺗطﺑﯾﻖ اﻟﻣﺿﯾف دون إﺟراء
أﯾﺔ ﺗﻐﯾﯾرات ﻋﻠﻰ ھذه .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟﻔﯾروس ﯾﻔﺳد ﻣﻌﻠوﻣﺎت ﺑدء اﻟﺗﺷﻐﯾل ﻣن اﻛواد اﻟﻣﺿﯾف ،وﯾﺿﻊ ﻧﻔﺳﮫ ﻓﻲ ﻣﻛﺎﻧﮭﺎ ،وﻟﻛﻧﮭﺎ ﻻ ﺗﻠﻣس اﻛواد
اﻟﻣﺿﯾف .وﻣﻊ ذﻟك ،ﯾﺗم ﺗﻧﻔﯾذ اﻛواد اﻟﻔﯾروس ﻗﺑل اﻛواد اﻟﻣﺿﯾف .إﺷﺎرة ﻓﻘط اﻟﻰ أن اﻟﻣﻠف ﺗﺎﻟف ھو أن ﺣﺟم اﻟﻣﻠف ﻗد ازداد.
Intrusive Viruses
اﻟﻔﯾروﺳﺎت اﻟﻣﺗطﻔﻠﺔ ) (Intrusive Virusesﺗﻘوم ﺑﺈﻋﺎدة ﻛﺗﺎﺑﺔ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ إﻣﺎ ﻋن طرﯾﻖ إزاﻟﺔ اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف
ﺗﻣﺎﻣﺎ أو ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺗﺗم اﻟﻛﺗﺎﺑﺔ ﺳوى ﺟزء ﻣﻧﮫ .ﻟذﻟك ،ﻻ ﯾﺗم ﺗﻧﻔﯾذ اﻷﻛواد اﻷﺻﻠﯾﺔ ﺑﺷﻛل ﺻﺣﯾﺢ.
Transient Viruses
Transient virusﺗﻘوم ﺑﻧﻘل ﺟﻣﯾﻊ اﻟﺳﯾطرة إﻟﻰ اﻷﻛواد اﻟﻣﺿﯾﻔﺔ اﻟﺗﻲ ﯾﻘﯾﻣون ﻓﯾﮭﺎ ،ﺣﯾث ﺗﺣدد اﻟﺑرﻧﺎﻣﺞ اﻟﮭدف ﻟﺗﻌدﯾﻠﮫ ،وإﻓﺳﺎده.
)Terminate and Stay Resident Virus (TSR
ﺗﺑﻘﻰ ﻓﯾروﺳﺎت TSRﺑﺷﻛل داﺋم ﻓﻲ اﻟذاﻛرة أﺛﻧﺎء دورة اﻟﻌﻣل ﺑﺄﻛﻣﻠﮭﺎ ،ﺣﺗﻰ ﺑﻌد ﺗﻧﻔﯾذ اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف وإﻧﮭﺎؤھﺎ .وﻻ ﯾﻣﻛن إزاﻟﺗﮭﺎ
إﻻ ﻋن طرﯾﻖ إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم.
ﻷﻏراض اﻟﻌرض اﻟﺗوﺿﯾﺣﻲ ،ھﻧﺎ ﯾظﮭر ﺑرﻧﺎﻣﺞ ﺑﺳﯾط واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻟﻠﺗﺳﺑب ﺑﺎﻟﺿرر ﻟﻠﻧظﺎم اﻟﻣﺳﺗﮭدف:
TeraBITﺻﺎﻧﻊ اﻟﻔﯾروﺳﺎت ھو ﻓﯾروس اﻟذى ﯾﺗم اﻟﻛﺷف ﻋﻧﮫ ﻓﻲ اﻟﻐﺎﻟب ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻧد ﻓﺣﺻﮭﺎ .ھذا اﻟﻔﯾروس ﻓﻲ
اﻟﻐﺎﻟب ﻻ ﯾﺿر ،PCﻟذﻟك ﯾﻣﻛن ﺗﻌطﯾل ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﻣﺛﺑت ﻋﻠﻰ اﻟﻧظﺎم ﻟﻔﺗرة ﻗﺻﯾرة ﺣﺗﻰ ﺗﺳﺗطﯾﻊ اﻟﺗﻌﺎﻣل ﻣﻌﮫ واﺳﺗﺧداﻣﮫ.
ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺻﻧﻊ اﻟﻔﯾروﺳﺎت ﺣﺳب ﻧوع اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﺳوف ﯾﻘوم ﺑﮭﺎ اﻟﻔﯾروس ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻻ ﯾﺣﺗﺎج اﻟﻰ ﺗﺛﺑﯾت ﻓﻲ ﺟﮭﺎز
اﻟﻛﻣﺑﯾوﺗر.
ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺻﻧﻊ اﻟﻔﯾروﺳﺎت ﺣﺳب ﻧوع اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﺳوف ﯾﻘوم ﺑﮭﺎ اﻟﻔﯾروس ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻻ ﯾﺣﺗﺎج اﻟﻰ ﺗﺛﺑﯾت ﻓﻲ ﺟﮭﺎز
اﻟﻛﻣﺑﯾوﺗر .ﻧﺟد أﯾﺿﺎ اﻧﮫ ﯾﺄﺗﻲ ﻣﻌﮫ اﻟﻌدﯾد ﻣن اﻹﻣﻛﺎﻧﯾﺎت.
-ﻧﺟد ان ﻣﺎ ﯾﻠﻲ اﻟﻧص virus optionھﻲ ﻣﺟﻣوﻋﮫ ﻣن اﻟﺧﯾﺎرات اﻟﺗﻲ ﺗرﯾد ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ اﻟﻔﯾروس اﻟذي ﺗرﯾد إﻧﺷﺎﺋﮫ.
-ﻧﺟد ﻓﻲ اﻟﻘﺎﺋﻣﺔ اﻟﺳﻔﻠﯾﺔ ﻣﺟﻣوﻋﮫ ﻣن اﻟﺧﯾﺎرات واﻟﺗﻲ ﺗرﯾد ان ﺗﺧﺑر ﻓﯾﮭﺎ اﻟﻔﯾروس ﻣﺗﻰ ﯾﺑدا ﻧﺷﺎطﮫ.
أﯾﺿﺎ اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﺑﺟﺎﻧب اﻟﻧص Name After Installواﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﺗﺧﺗﺎر serviceاﻟﺗﻲ ﺳوف ﯾظﮭر اﻟﻔﯾروس ﻛﺄﻧﮭﺎ -
ھﻲ.
ﻗﺑل اﻟﻧﻘر ﻓوق ! Create Virusﻹﻧﺷﺎء اﻟﻔﯾروس ﯾﻣﻛﻧك ﻗﺑﻠﮭﺎ اﻟﻧﻘر ﻓوق >> ﻟﺗﻐﯾر اﻋدادات اﻟﻔﯾروس. -
واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑﺎﻟﻌدﯾد ﻣن اﻷﺷﯾﺎء ﻣﺛل ﺗﺣوﯾل اﻟﻔﯾروس اﻟﻰ دوده ،ﺗﻐﯾر ﻛﻠﻣﺔ اﻟﻣرور ﻟوﯾﻧدوز ،xpﺗﻐﯾر اﺳم -
اﻟﻛﻣﺑﯾوﺗر ،ﺗﻐﯾر ﺻﻔﺣﺔ اﻟﺑداﯾﺔ اﻻﻓﺗراﺿﯾﺔ ﻟﻣﺗﺻﻔﺢ اﻟﻣواﻗﻊ اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ ،ﺗﻐﯾر ﺷﻛل اﯾﻘوﻧﺔ اﻟﻔﯾروس وﻏﯾرھﺎ ﻣن اﻷﺷﯾﺎء
اﻷﺧرى.
ﺑﻌض اﻻﻧﺗﮭﺎء ﻣن وﺿﻊ اﻟﻠﻣﺳﺎت اﻷﺧﯾرة ﻋﻠﯾﮫ ﯾﻣﻛن اﻻن اﻟﻧﻘر ﻓوق ! Create Virusﻹﻧﺷﺎء اﻟﻔﯾروس. -
ﻋﻧد اﻧﺗﮭﺎء اﻟﺗطﺑﯾﻖ ﻣن ﺻﻧﻊ اﻟﻔﯾروس ﻓﺳوف ﺗظﮭر اﻟرﺳﺎﻟﺔ اﻟﺗﺎﻟﯾﺔ ﺗﺧﺑرك ﺑذﻟك. -
DELmE's Batch Virus Makerھو أداة ﺑﺳﯾطﺔ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺈﻧﺷﺎء bat file virusﻣن اﺧﺗﯾﺎرك ﻟﺗﺗﻧﺎﺳب ﻣﻊ اﻟﻣﮭﺎم اﻟﺧﺎﺻﺔ ﺑك.
ﻗﺑل ھذا ،ﻛﻧﺎ ﻗد ﻧﺎﻗﺷﻧﺎ أﻧواع اﻟﻔﯾروﺳﺎت اﻟﻣﺧﺗﻠﻔﺔ .اﻵن ﺳوف ﻧﻧﺎﻗش دﯾدان اﻟﻛﻣﺑﯾوﺗر ،وﻛﯾف أﻧﮭﺎ ﺗﺧﺗﻠف ﻋن اﻟﻔﯾروﺳﺎت .ﯾﺻف ھذا اﻟﻘﺳم
اﻟدﯾدان ،وﺗﺣﻠﯾل اﻟدودة ) ،(Stuxnetوأﻟﯾﺔ ﺻﻧﻊ اﻟدودة ).(Internet Worm Maker Thing
ﻻ ﯾﺗطﻠب ﻟﺗﻛرار اﻟدودة اﻟﻣﺿﯾف ،وإن ﻛﺎن ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﯾﻣﻛن ﻟﻠﻣرء أن ﯾﻘﺎل ﺑﺄن ﻣﺿﯾف اﻟدودة ھﻲ آﻟﺔ أﺻﯾﺑت ﺑذﻟك .اﻟدﯾدان ھﻲ ﻧوع
ﻓرﻋﻲ ﻣن اﻟﻔﯾروﺳﺎت .اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا worm payloadsﻟﺗﺛﺑﯾت backdoorﻓﻲ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ،واﻟﺗﻲ ﺗﺣوﻟﮭم إﻟﻰ
zombiesوﯾﻧﺷﺄ botnet؛ ھذه botnetﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻟﺗﻧﻔﯾذ اﻟﻣزﯾد ﻣن اﻟﮭﺟﻣﺎت اﻻﻟﻛﺗروﻧﯾﺔ.
اﻟﻣﺻدرhttp://www.symantec.com/index.jsp :
ﺳﺗوﻛﺳﻧت أو ﺳﺗﻛﺳﻧت ) (Stuxnetھو ﻓﯾروس ﻛﻣﺑﯾوﺗري ﻣن اﻟﺟﯾل اﻟﺟدﯾد ﻗﺎدر ﻋﻠﻰ اﻟﺗﺳﻠل إﻟﻰ أﻧظﻣﺔ اﻟﺗﺣﻛم واﻟﻣراﻗﺑﺔ اﻟﻣﻌﻠوﻣﺎﺗﯾﺔ
اﻟﺧﺎﺻﺔ ﺑﮭذه اﻟﻣﺟﻣﻌﺎت ،وأﯾﺿﺎ ً ﺑﺳواھﺎ ﻣن اﻟﻣﺟﻣﻌﺎت اﻟﺗﻲ ﺗﺗﺣﻛم ﺑﺎﻟﺑﻧﻰ اﻟﺗﺣﺗﯾﺔ ﻓﻲ ﺟﻣﯾﻊ اﻟﺑﻠدان اﻟﺻﻧﺎﻋﯾﺔ ﻓﻲ اﻟﻌﺎﻟم.
ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﺗﻘﻧﯾﺔ ﻓﺈﻧﮫ ﻓﯾروس ﻣن ﻧوع "دودة" wormﯾﺻﯾب أﻧظﻣﺔ .Windowsوﻗد ﺗم اﻛﺗﺷﺎﻓﮫ أوﻻً ﻓﻲ ﺣزﯾران\ﯾوﻧﯾو 2010ﻣن
ﺟﺎﻧب ﺷرﻛﺔ VirusBlokAdaاﻟﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻷﻣن اﻟﻣﻌﻠوﻣﺎﺗﻲ ،وﻣﻘرھﺎ ﻓﻲ روﺳﯾﺎ اﻟﺑﯾﺿﺎء .ﺛم ظﮭر ﻓﻲ ﻣﺎﻟﯾزﯾﺎ ودول ﻣﺗﻌددة ،وﯾﻘدر
أﻧﮭﺎ أﺻﺎﺑت ﺣواﻟﻲ 45أﻟف ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻓﻲ أﻧﺣﺎء اﻟﻌﺎﻟم %60ﻓﻲ إﯾران وﺣدھﺎ و %18ﻓﻲ اﻧدوﻧﯾﺳﯾﺎ ،وﻧﺣو %2ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة.
وﯾُﻌﺗﻘد أﻧﮫ ﻣن ﺻﻧﻊ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣرﯾﻛﯾﺔ وإﺳراﺋﯾل.
ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻌﻣﻠﯾﺔ ،إذا ﺟﺎز اﻟﺗﻌﺑﯾر ،ﯾﻘوم Stuxnetﺑﺄﻋﻣﺎل ﺗﺟﺳس ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺣﻛم اﻟﺻﻧﺎﻋﯾﺔ ])[industrial control systems (ICS
وإﻋﺎدة ﺑرﻣﺟﺗﮭﺎ .وﻗد ﺗم ﺑرﻣﺟﺗﮫ ﺧﺻﯾﺻﺎ ﻟﻠﮭﺟوم ﻋﻠﻰ أﻧظﻣﺔ ) (SCADAاﻟﻣﺧﺻﺻﺔ ﻟﻠﻣراﻗﺑﺔ واﻟﺗﺣﻛم وﺗﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت .وﻟدى Stuxnet
اﻟﻘدرة ﻋﻠﻰ إﻋﺎدة ﺑرﻣﺟﺔ وﺣدات اﻟﺗﺣﻛم اﻟﻣﻧطﻘﻲ اﻟﻘﺎﺑﻠﺔ ﻟﻠﺑرﻣﺟﺔ]) ، [Programmable Logic Controllers (PLCsوإﺧﻔﺎء
اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗم ﺗﻧﻔﯾذھﺎ .وﺗﺗم ﻋﻣﻠﯾﺔ اﻟزرع اﻷول ﻟﻠﻔﯾروس ﺑواﺳطﺔ ﻣﻧﺎﻓذ ، USBوﻣن ﺛم ﯾﺗﻔﺷﻰ ﺑﺎﻷﺟﮭزة ﻋن طرﯾﻖ اﻟﺗواﻟد اﻟﻣﻌروﻓﺔ ﻓﻲ
اﻟﻔﯾروﺳﺎت اﻟدودﯾﺔ.
ﻧظﺎم« SCADAﺳﻛﺎدا« ﻣن ﺗﺻﻣﯾم ﺷرﻛﺔ Siemensاﻷﻟﻣﺎﻧﯾﺔ ،وﻟﮫ ﺗطﺑﯾﻘﺎت ﻣﺗﻌددة ،ﻛﺗﻧظﯾم ﺣرﻛﺔ اﻟﺳﯾر ،وﺧطوط اﻷﻧﺎﺑﯾب وإدارة
اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾّﺔ.
أن Stuxnetﻗد ﺻ ّﻣم ﻓﻲ اﻷﺳﺎس ﻟﺿرب ھدف ﺻﻧﺎﻋﻲ ﻣﺣدّد ،وﺗﻣﻛﻧوا ﻣن ﺣﺻر ھذا اﻟﮭدف اﻟﻣﺣدد ﻓﻲ ﯾﺗّﻔﻖ اﻟﻌدﯾد ﻣن اﻟﺧﺑراء ﻋﻠﻰ ّ
اﻟﻣﻧﺷﺂت اﻹﯾراﻧﯾّﺔ .وﻓﻲ ھذا اﻹطﺎر ،ﻗدّم ﺧﺑﯾران أﻟﻣﺎﻧﯾّﺎن ﻧظرﯾّﺗﯾن ﻣﺗﻧﺎﻗﺿﺗﯾن ﺣول اﻟﮭدف اﻟﻣﻘﺻود .ﺣﯾث أن اﻟﻧظرﯾﺔ اﻷوﻟﻰ ﺗﻘول إن اﻟﮭدف
أن ﻏﺎﯾﺔ زرع اﻟﻔﯾروس ذات طﺑﯾﻌﺔ ﺗﺟﺳﺳﯾﮫ ،وﯾﻛﻣن ﻓﻲ ﻧﻘل اﻟﻣﻌﻠوﻣﺎت إﻟﻰ ﯾﻣﺛّل ﻣﻔﺎﻋل ﺑوﺷﮭر اﻟﻧووي اﻹﯾراﻧﻲ اﻟﻣﺧطط ﻟﺗﺷﻐﯾﻠﮫ .وﯾرى ّ
ﻛﻣﺑﯾوﺗر ﻣرﻛزي ﻓﻲ ﻣﺎﻟﯾزﯾﺎ .ﺑﯾﻧﻣﺎ ﺗﻌﺗﺑر اﻟﻧظرﯾﺔ اﻷﺧرى أن ﻣﻔﺎﻋل »ﻧﺗﺎﻧز« اﻹﯾراﻧﻲ أﯾﺿﺎ ً ﻟﺗﺧﺻﯾب اﻟﯾوراﻧﯾوم ،ﯾﺷ ّﻛل ھدﻓﺎ أﻛﺛر ﺟﺎذﺑﯾّﺔ.
ﺗﺧﺗص ھذه اﻟدودة ﺑﺎﻟﺗﺟﺳّس وﺣﺳب ،وإﻧّﻣﺎ ﺗﺣﻣل ﻓﻲ طﯾّﺎﺗﮭﺎ ﻣﮭﻣﺎت ﺗﺧرﯾﺑﯾّﺔ ،ﻛﻣﺎ ﺗﺑﯾّن ﻟﺟﻣﯾﻊ اﻻﺧﺗﺻﺎﺻﯾﯾن .إﺷﺎرة إﻟﻰ ورود ﻣﻌﻠوﻣﺎتّ ﻓﻼ
ﺗﺷﯾر إﻟﻰ أن اﻟﺷﯾﻔرة اﻟﻣﺻدرﯾﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس ﺗﺗﺿﻣن ﺗﺎرﯾﺦ "9أﯾﺎر/ﻣﺎﯾو ،"1979وھو ﺗﺎرﯾﺦ إﻋدام ﺟﺎﺳوس ﯾﮭودي إﯾراﻧﻲ ﻓﻲ إﯾران،
ﺑﻌد إﻧﺷﺎء "اﻟﺟﻣﮭورﯾﺔ اﻹﺳﻼﻣﯾﺔ اﻹﯾراﻧﯾﺔ".
واﻟﻣﻌروف أن ﻟدى اﻟﻘوات اﻟﻣﺳﻠﺣﺔ "اﻹﺳراﺋﯾﻠﯾﺔ" وﺣدة ﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻟﺣرب اﻟﻣﻌﻠوﻣﺎﺗﯾﺔ ﺗﻌرف ﺑﺎﻟوﺣدة ،8200وﻟﮭذه اﻟوﺣدة اﻟﻘدرات اﻟﺗﻲ
ﺗﻧف "إﺳراﺋﯾل" ،ﻛﻣﺎ أﻧﮭﺎ ﻟم ﺗؤﻛد اﻟﺷﻛوك اﻟﻣﺣﯾطﺔ ﺑﺎﻟدور اﻟذي ذُﻛر ﺑﺄﻧﮭﺎ اﺿطﻠﻌت ﻓﯾﮫ ﺑﮭذا
ﺗﺗﯾﺢ ﻟﮭﺎ ﺗطوﯾر ﻓﯾروس ﻣﺛل اﻟـ . Stuxnetوﻟم ِ
اﻟﺷﺄن .وﻗد وﺻﻔت ﺷرﻛﺔ اﻷﻣن اﻟرﻗﻣﻲ Kaspersky Labsاﻟﻔﯾروس Stuxnetﺑﺄﻧﮫ "ﻧﻣوذج ﻋﺎﻣل وﻣﺧﯾف وﻣن ﺷﺄﻧﮫ أن ﯾﺧﻠﻖ ﺳﺑﺎق
ﺗﺳﻠﺢ ﺟدﯾد ﻓﻲ اﻟﻌﺎﻟم" .وأﺷﺎرت إﻟﻰ ﺧﺑراء ﯾﻌﻣﻠون ﻟﺣﺳﺎب دوﻟﺔ ﻣﺎ أو ﻣﺟﻣوﻋﺎت ﻟدﯾﮭﺎ ﻗدرات ﺗﻣوﯾﻠﯾﺔ ﻋﺎﻟﯾﺔ وراءه.
ﻣﻌﻠوﻣﺎت ﻋن اﺧﺗﺑﺎر اﻟﻔﯾروس ﻓﻲ أﻣﯾرﻛﺎ :وﻣن اﻷﻣور اﻟﻣﺛﯾرة اﻟﺗﻲ ﻟم ﺗذﻛرھﺎ ﺳوى ﻗﻠﺔ ﻧﺎدرة ﻣن وﺳﺎﺋل اﻹﻋﻼم ھو أن ھﻧﺎك دﻻﺋل ﻛﺛﯾرة
ﺗﺷﯾر إﻟﻰ أﻧﮫ رﺑﻣﺎ ﺟرى اﺧﺗﺑﺎر ھذا اﻟﻔﯾروس ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣﯾرﻛﯾﺔ ﻗﺑل ﺗوﺟﯾﮭﮫ إﻟﻰ إﯾران ،وأن ھذا اﻻﺧﺗﺑﺎر ﻗد ﯾﻛون ﺗﺳﺑب ﺑﻧﺗﺎﺋﺞ
ﻣدﻣرة .ﻓﻠﻘد ﺣﺻل ﺗﻔﺟﯾر دﻣر ﻣﺟﻣﻊ ﺳﻛﻧﻲ ﺟﻧوﺑﻲ وﻻﯾﺔ ﻛﺎﻟﯾﻔورﻧﯾﺎ اﻷﻣﯾرﻛﯾﺔ ﻓﻲ 9أﯾﻠول/ﺳﺑﺗﻣﺑر 2010ﺑﺳﺑب اﻧﻔﺟﺎر أﻧﺎﺑﯾب ﺷﺑﻛﺔ اﻟﻐﺎز
اﻟﺗﻲ ﻛﺎﻧت ﺗﻐذي ھذا اﻟﻣﺟﻣﻊ ،وﻟم ﯾﺗم ﺗﺣدﯾد أﺳﺑﺎب ھذا اﻻﻧﻔﺟﺎر ﺑدﻗﺔ ،ﻟﻛن اﻟﺧﺑراء ﯾرﺟﺣون ﺑﺄﻧﮫ ﻗد ﯾﻌود إﻟﻰ ﺧﻠل ﻓﻲ ﻧظﺎم ﺗﺣﻛم وﻣراﻗﺑﺔ
ﺷﺑﻛﺔ اﻷﻧﺎﺑﯾب ،أي أن اﻟﻔﯾروس ﻛﺎن ﯾﻣﻛن أن ﯾﺗﺳﺑب ﺑﺎﻟﺣﺎدث...
ﻛذﻟك ،ﻓﺈن اﻟﺳﺑب اﻟﺣﻘﯾﻘﻲ ﻻﻧﻔﺟﺎر ﻣﺣطﺔ اﺳﺗﺧراج اﻟﻧﻔط ﻓﻲ ﺧﻠﯾﺞ اﻟﻣﻛﺳﯾك ﻓﻲ 20ﻧﯾﺳﺎن/أﺑرﯾل اﻟﺟﺎري ﻟم ﯾﻌرف ﺑﻌد ،وﻟﻛﻧﮫ ﻗد ﯾﻌود أﯾﺿﺎ ً
إﻟﻰ ﺧﻠل ﻓﻲ ﻧظﺎم اﻟﺗﺣﻛم واﻟﻣراﻗﺑﺔ .وﻗد أوردت اﻟﻧﺷرة اﻷﻣﯾرﻛﯾﺔ "ﺻﺣﺎﻓﺔ أﻣﯾرﻛﺎ اﻟﺣرة" American Free Pressاﻟﺷﻛوك واﻟﻘراﺋن
ﺣول اﺣﺗﻣﺎل أن ﯾﻛون "اﻹﺳراﺋﯾﻠﯾﯾن" ﻗد اﺧﺗﺑروا اﻟﻔﯾروس Stuxnetﻋﻠﻰ ﺣﺳﺎب اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﻓﻲ ﻋددھﺎ .42
ﺳﺗﻛﺳﻧت ﯾﻘوم ﺑﻣﮭﺎﺟﻣﮫ أﻧظﻣﺔ اﻟﺗﺣﻛم اﻟﺻﻧﺎﻋﯾﺔ ]) [industrial control systems (ICSاﻟﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﻣراﻗﺑﺔ
اﻟوﺣدات اﻟﺗﻲ ﺗﻌﻣل آﻟﯾﺎ ﺣﯾث ﻻ ﯾﻌﻣل ﺑﺷﻛل ﻋﺷواﺋﻲ ﻛﻣﺎ ھﻲ اﻟﻌﺎدة وإﻧﻣﺎ ﺑﺷﻛل ﻣﺣدد ﺟدا وذﻟك ﻋن طرﯾﻖ اﻟﺗﻌدﯾل ﻋﻠﻰ
) .Programmable Logic Controllers (PLCsإذ ﯾﻘوم ﺑﻌد اﺧﺗراق اﻷﺟﮭزة واﻟﺣواﺳﯾب ﺑﺎﻟﺗﻔﺗﯾش ﻋن ﻋﻼﻣﺔ ﻓﺎرﻗﺔ ﺗﺗﻌﻠﻖ ﺑﺄﻧظﻣﺔ
ﺻﻧﻌﺗﮭﺎ ﺷرﻛﺔ ﺳﯾﻣﻧز اﻷﻟﻣﺎﻧﯾﺔ) ، (Siemens Step7 softwareوﻓﻲ ﺣﺎﻟﮫ ﻣﺎ وﺟدھﺎ ﻋﻧدھﺎ ﯾﻘوم ﺑﺗﻔﻌﯾل ﻧﻔﺳﮫ وﯾﺑدأ ﺑﺎﻟﻌﻣل ﻋﻠﻰ ﺗﺧرﯾب
وﺗدﻣﯾر اﻟﻣﻧﺷﺄة اﻟﻣﺳﺗﮭدﻓﺔ ﻣن ﺧﻼل اﻟﻌﺑث ﺑﺄﻧظﻣﺔ اﻟﺗﺣﻛم وﻗد ﺗﺗﻌدد اﻟﻣﻧﺷﺂت اﻟﺗﻲ ﯾﺳﺗطﯾﻊ ﻣﮭﺎﺟﻣﺗﮭﺎ ﻣن ﺧطوط ﻧﻘل اﻟﻧﻔط إﻟﻰ ﻣﺣطﺎت ﺗوﻟﯾد
اﻟﻛﮭرﺑﺎء وﺣﺗﻰ اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﻧﺷﺂت اﻻﺳﺗراﺗﯾﺟﯾﺔ اﻟﺣﺳّﺎﺳﺔ ،أ ّﻣﺎ إذا ﻟم ﯾﺟدھﺎ ،ﻓﯾﺗرك اﻟﺣﺎﺳوب وﺷﺄﻧﮫ.
ﻗد ﺗﻣت ﺑرﻣﺟﺔ ﺳﺗﻛﺳﻧت ﺧﺻﯾﺻﺎ ﻟﻠﮭﺟوم ﻋﻠﻰ ﺑرﻧﺎﻣﺞ »ﺳﯾﻣﺎﺗﯾك وﯾن ﺳﻲ ﺳﻲ« ،وھو ﻣﺎ ﯾﺳﻣﻰ ﺑﻧظﺎم ﺳﻛﺎدا ) (SCADAأو »اﻟﺗﺣﻛم
اﻹﺷراﻓﻲ وﺟﻣﻊ اﻟﻣﻌطﯾﺎت« ،وھو ﻣﺻﻣم ﻣن ﺷرﻛﺔ ﺳﯾﻣﻧز اﻷﻟﻣﺎﻧﯾﺔ ﻻﺳﺗﺧداﻣﺎت ﻣﺗﻌددة ،ﻛﺗﻧظﯾم ﺣرﻛﺔ اﻟﺳﯾر ،اﻟﺳﯾطرة ﻋﻠﻰ ﺧطوط ﺗﺟﻣﯾﻊ
آﻻت اﻟﻣﺻﻧﻊ ،وﺧطوط اﻷﻧﺎﺑﯾب وإدارة اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾّﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﮭﺎم اﻟﺗﻲ ﯾﺗم اﻟﻘﯾﺎم ﺑﮭﺎ آﻟﯾﺎ ً .وﻟدى ﺳﺗﻛﺳﻧت اﻟﻘدرة ﻋﻠﻰ إﻋﺎدة ﺑرﻣﺟﺔ
وﺣدات اﻟﺗﺣﻛم اﻟﻣﻧطﻘﻲ اﻟﻘﺎﺑﻠﺔ ﻟﻠﺑرﻣﺟﺔ) ، (PLCsوإﺧﻔﺎء اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗم ﺗﻧﻔﯾذھﺎ.
ﻗد ﻗﺎﻣت ﺷرﻛﺔ ﺳﯾﻣﻧز ﻣﻧذ اﻛﺗﺷﺎﻓﮭﺎ ﻟﮭذه اﻟدودة اﻟﺟدﯾدة ﺑﺣﻣﻠﺔ واﺳﻌﺔ ﻟﺗﻌﻘّب اﻧﺗﺷﺎرھﺎ ﻋﺑر ﻣوﻗﻌﮭﺎ اﻹﻟﻛﺗروﻧﻲ.
ﺷرﻛﺔ اﻷﻣن اﻟرﻗﻣﻲ اﻟروﺳﯾﺔ "ﻣﺧﺗﺑرات ﻛﺎﺳﺑرﺳﻛﻲ" “Kaspersky Laboratoriesوﺻﻔت Stuxnetﺑﺄﻧﮫ "ﻧﻣوذج ﻋﺎﻣل وﻣﺧﯾف
وﻣن ﺷﺄﻧﮫ أن ﯾﺧﻠﻖ ﺳﺑﺎق ﺗﺳﻠﺢ ﺟدﯾد ﻓﻲ اﻟﻌﺎﻟم" .واﺷﺎرت إﻟﻰ أﻧﮫ ﯾوﺟد ﺧﺑراء ﯾﻌﻣﻠون ﻟﺣﺳﺎب دوﻟﺔ ﻣﺎ أو ﻣﺟﻣوﻋﺎت ﻟدﯾﮭﺎ ﻗدرات ﺗﻣوﯾﻠﯾﺔ
ﻋﺎﻟﯾﺔ وراءه.
ورد أن ﺳﺗﻛﺳﻧت دﻣرت ﻧﺣو ﺧﻣس ﻣن أﺟﮭزة اﻟطرد اﻟﻣرﻛزي اﻟﻧووي اﻹﯾراﻧﻲ.
ﺳﺗﻛﺳﻧت ﻟدﯾﮫ ﺛﻼث وﺣدات worm :اﻟذي ﺗﻧﻔذ ﻛﺎﻓﺔ اﻹﺟراءات اﻟﺗﻲ ﺗﺗﻌﻠﻖ ﺒ payloadاﻟرﺋﯾﺳﯾﺔ ﻟﻠﮭﺟوم؛ links filesواﻟذي ﯾﻧﻔذ ﻧﺷر
ﻧﺳﺦ اﻟدودة ﺗﻠﻘﺎﺋﯾﺎ؛ وﻋﻧﺻر rootkitاﻟﻣﺳؤوﻟﺔ ﻋن إﺧﻔﺎء ﻛل اﻟﻣﻠﻔﺎت واﻟﻌﻣﻠﯾﺎت اﻟﺧﺑﯾﺛﺔ ،وﻣﻧﻊ اﻟﻛﺷف ﻋن وﺟود ﺳﺗﻛﺳﻧت .ﻋﺎدة ﯾﺗم أدﺧﺎل
ﺳﺗﻛﺳﻧت ﻟﻠﺑﯾﺋﺔ اﻟﮭدف ﻋن طرﯾﻖ ﻣﺣرك أﻗراص ﻓﻼش USBاﻟﻣﺻﺎﺑﺔ .اﻟﻔﯾروس ﯾﻧﺗﺷر ﻋﺑر اﻟﺷﺑﻛﺔ وﯾﻔﺣص اﻟﺑرﻣﺟﯾﺎت ﻟﻠﺑﺣث ﻋن ﺳﯾﻣﻧز
STEP7ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﺳﯾطر ﻋﻠﻰ .PLCﻓﻲ ﻏﯾﺎب ﻛل اﻟﻣﻌﺎﯾﯾر ،ﺳﺗﻛﺳﻧت ﯾﺻﺑﺢ ﻧﺎﺋم داﺧل اﻟﻛﻣﺑﯾوﺗر .إذا ﺗوﻓرت اﻟﺷروط
ﻋﻠﻰ ﺣد ﺳواء ،ﻓﺎن ﺳﺗﻛﺳﻧت ﯾﻘوم ﺑزرع rootkitاﻟﻣﺻﺎﺑﺔ ﻋﻠﻰ ﺑرﻧﺎﻣﺞ PLCو ،STEP7وﻣن ﺛم ﺗﻌدﯾل اﻟﻘواﻧﯾن وإﻋطﺎء أواﻣر ﻏﯾر
ﻣﺗوﻗﻌﺔ ﻠ .PLC
ﺳﺗﻛﺳﻧت ﯾﺗﻛون ﻣن ﻣﻠف ) (.dllﻛﺑﯾر ﯾﺣﺗوي ﻋﻠﻰ اﻟﻌدﯾد ﻣن ) (exportواﻟﻣوارد) (resourceاﻟﻣﺧﺗﻠﻔﺔ واﺛﻧﯾن ﻣن ﻛﺗل اﻻﻋداد اﻟﻣﺷﻔرة
) .(encrypted configuration blocksﻓﺈﻧﮭﺎ ﺗﺗﺻﯾد Ntdll.dllﻟﻣراﻗﺑﺔ اﻟطﻠﺑﺎت ﻟﺗﺣﻣﯾل أﺳﻣﺎء اﻟﻣﻠﻔﺎت اﻟﺗﻲ وﺿﻌت ﺧﺻﯾﺻﺎ
)(specially crafted filenames؛ ﯾﺗم ﺗﻌﯾﯾن ھذه اﻷﺳﻣﺎء ﻟﻣوﻗﻊ آﺧر ﺑدﻻ ﻣن ،اﻟﻣوﻗﻊ اﻟﻣﺣدد ﺑواﺳطﺔ .W32.Stuxnetاﻟﻣﻛون اﻟﺳﺎﻗط
) (dropper componentﻟﻠﺳﺗﻛﺳﻧت ھو ﺑرﻧﺎﻣﺞ اﻟﻐﻼف ) (wrapper programاﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻛﺎﻓﺔ اﻟﻌﻧﺎﺻر اﻟﻣﺧزﻧﺔ داﺧل ﻧﻔﺳﮭﺎ
ﺗﺣت اﻟﻘﺳم اﻟﻣﺳﻣﻰ " ،"stub.وﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ھذا اﻟﺗﮭدﯾد ،ﻓﺎن ﺑرﻧﺎﻣﺞ اﻟﻐﻼف ) (wrapper programﯾﺳﺗﺧرج ﻣﻠﻔﺎت ) (.dllﻣن اﻟﻘﺳم
،sub.ﺛم ﯾﻘوم ﺑﺗﻌﯾﻧﮫ او زراﻋﺗﮫ ﻓﻲ اﻟذاﻛرة ﻛوﺣدة ﻧﻣطﯾﺔ ،واﻟﺗﻲ ﺗﻘوم ﺑﺎﺳﺗدﻋﺎء واﺣدة ﻣن .exportﻋﻧدﻣﺎ ﯾﺗم اﺳﺗدﻋﺎء ) ،(exportﻓﺎن
ﺳﺗﻛﺳﻧت ﻋﺎدة ﯾﻘوم ﺑﺣﻘن .dllﺑﺄﻛﻣﻠﮫ إﻟﻰ ﻋﻣﻠﯾﺎت أﺧرى ﺛم ﯾﺳﺗدﻋﻰ ﻓﻘط exportﻣﻌﯾﻧﺔ .ﻋﻧدﻣﺎ ﯾﺗم اﻟﺣﻘن ﻓﻲ ﻋﻣﻠﯾﺔ ﻣوﺛوق ﺑﮭﺎ ،ﻓﺎن
ﺳﺗﻛﺳﻧت ﯾﺗﺣﻔظ ﺑﺄﻛواد اﻟﺣﻘن ﻓﻲ ﻋﻣﻠﯾﺔ ﻣوﺛوق ﺑﮫ أو ﯾرﺷد اﻟﻌﻣﻠﯾﺔ اﻟﻣوﺛوق ﺑﮭﺎ ﻟﺣﻘن اﻟﻛود ﻓﻲ ﻋﻣﻠﯾﺔ أﺧرى ﻗﯾد اﻟﺗﺷﻐﯾل ﺣﺎﻟﯾﺎ .وﯾﺳﺗﺧدم
طرﯾﻘﺔ ﺧﺎﺻﺔ ﻣﺻﻣﻣﺔ ﻟﺗﺟﺎوز behavior blockingو Host intrusion-protection based technologiesواﻟﺗﻲ ﺗرﺻد ﺗﺣﻣﯾل
.library calls
اﻟدول اﻟﺗﻲ ﺗﺄﺛرت
ﯾﻌﺗﻘد أن ھﺟوﻣﺎ إﻟﻛﺗروﻧﯾﺔ ﻣن ﺟﮭﺔ ﻣﺎ ﻗد ﺷن ﺑﺎﺳﺗﺧدام ﻓﯾروس ﺳﺗوﻛﺳﻧت ﻋﻠﻰ أﻧظﻣﺔ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ إﯾران وﺧﺻﯾﺻﺎ ﻹﻟﺣﺎق اﻟﺿرر ﺑﺄﺟﮭزة
اﻟطرد اﻟﻣرﻛزي ﻟﺗﺧﺻﯾب اﻟﯾوراﻧﯾوم ﻓﻲ اﻟﻣﻧﺷﺂت اﻟﻧووﯾﺔ اﻹﯾراﻧﯾﺔ .وﻛﺎن ﯾﺳﺗﮭدف ﻋﻠﻰ ﻣﺎ ﯾﺑدو اﻟﺑرﻧﺎﻣﺞ اﻟﻧووي اﻹﯾراﻧﻲ ﻛﻛل .ﺛم ظﮭر ﻓﻲ
ﻣﺎﻟﯾزﯾﺎ ودول ﻣﺗﻌددة ،وﯾﻘدر اﻧﮭﺎ اﺻﺎﺑت ﺣواﻟﻲ 45أﻟف ﺣﺎﺳب اﻟﻲ ﻓﻲ أﻧﺣﺎء اﻟﻌﺎﻟم %60ﻓﻲ إﯾران وﺣدھﺎ و %18ﻓﻲ اﻧدوﻧﯾﺳﯾﺎ،
وﻧﺣو %2ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة.
Infection Routine Flow
ﻗﺑل ﻣﻧﺎﻗﺷﺔ ﺗﻘﻧﯾﺎت ﺳﺗﻛﺳﻧت ﻟﻣﮭﺎﺟﻣﺔ PLCsأوﻻ ﺳوف ﻧﻘدم ﻧظرة ﻋﻠﻰ أﺳﺎﺳﯾﺎت ﻛﯾﻔﯾﺔ اﻟوﺻول إﻟﻰ PLCsاﻟﻌﺎﻣﺔ وﺑرﻣﺟﺗﮭﺎ.
ﻟﻠوﺻول إﻟﻰ ،PLCsﻓﺎﻧﮫ ﯾﺣﺗﺎج اﻟﻰ ﺑراﻣﺞ ﻣﻌﯾﻧﺔ ﻟﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ؛ ﺳﺗﻛﺳﻧت ﺗﺳﺗﮭدف ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد اﻟﺗطﺑﯾﻖ WinCC/Step 7اﻟﻣﺳﺗﺧدم
ﻟﺑرﻣﺟﺔ ﻧﻣﺎذج ﻣﻌﯾﻧﺔ ﻣن .PLCsﻣﻊ ھذا اﻟﺑرﻧﺎﻣﺞ ،ﯾﻣﻛن ﻟﻠﻣﺑرﻣﺞ اﻻﺗﺻﺎل ﺒ PLCsﻋن طرﯾﻖ ﻛﺎﺑل اﻟﺑﯾﺎﻧﺎت واﻟوﺻول إﻟﻰ ﻣﺣﺗوﯾﺎت
اﻟذاﻛرة ،وإﻋﺎدة ﺗﻛوﯾن ذﻟك ،ﺗﺣﻣﯾل اﻟﺑرﻧﺎﻣﺞ ﻋﻠﯾﮫ ،أو ﺗﺻﺣﯾﺢ اﻛواد ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﺳﺎﺑﻘﺎ .ﺑﻣﺟر ان ﯾﺗم اﻋداد PLCsوﺑرﻣﺟﺗﮫ ،ﻓﯾﻣﻛﻧك ﻓﺻل
آﻟﺔ اﻟوﯾﻧدوز و PLCsﺳوف ﯾﻌﻣل ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ .ﻹﻋطﺎﺋك ﻓﻛرة ﻋﻣﺎ ﯾﺑدو ھذا ﻣﺛل ﻣﺎ ﻓﻲ اﻟﺣﯾﺎة اﻟﺣﻘﯾﻘﯾﺔ ،وھﻧﺎ ﺻورة ﻟﺑﻌض اﻟﻣﻌدات
اﻷﺳﺎﺳﯾﺔ اﻻﺧﺗﺑﺎر ﻓﻲ اﻟﻣﺧﺗﺑر:
اﻟﺑرﻧﺎﻣﺞ Step 7ﯾﺳﺗﺧدم ﻣﻠف ﻣﻛﺗﺑﺔ ) (library fileﯾﺳﻣﻰ s7otbxdx.dllﻷداء اﻟﺗواﺻل اﻟﻔﻌﻠﻲ ﻣﻊ .PLCوﯾدﻋو اﻟﺑرﻧﺎﻣﺞ STEP7
إﺟراءات ﻣﺧﺗﻠﻔﺔ ﻓﻲ ھذا DLLﻋﻧدﻣﺎ ﯾرﯾد اﻟوﺻول إﻟﻰ .PLCﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن ﻛﺗﻠﺔ ﻣن اﻷﻛواد ﺗﻘرأ ﻣن PLCﺑﺎﺳﺗﺧدام
،Step 7ﻓﺎﻧﮫ روﺗﯾﻧﯾﺎ ﯾﺗم اﺳﺗدﻋﺎء .s7blk_readاﻷﻛواد ﻓﻲ s7otbxdx.dllﺗﻘوم ﺑﺎﻟوﺻول إﻟﻰ ،PLCﺗﻘرأ اﻷﻛواد وﺗﻣررھﺎ إﻟﻰ
اﻟﺑرﻧﺎﻣﺞ ،STEP7ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ:
دﻋوﻧﺎ اﻵن ﻧﻠﻘﻲ ﻧظرة ﻋﻠﻰ ﻛﯾف ﯾﻌﻣل اﻟوﺻول إﻟﻰ PCLﻋﻧد ﺗﺛﺑﯾت ﺳﺗﻛﺳﻧت .ﻋﻧدﻣﺎ ﯾﻌﻣل ﺳﺗﻛﺳﻧت ،ﻓﺎﻧﮫ ﯾﻌﯾد ﺗﺳﻣﯾﺔ اﻟﻣﻠف اﻷﺻﻠﻲ
s7otbxdx.dllإﻟﻰ .s7otbxsx.dllﺑﻌد ذﻟك ﯾﺳﺗﺑدل DLLاﻷﺻﻠﯾﺔ ﻣﻊ ﻧﺳﺧﺗﮫ اﻟﺧﺎﺻﺔ ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﺣﻘن ).(injection technique
ﺳﺗﻛﺳﻧت ﯾﻣﻛن اﻵن اﻋﺗراض أي ) callsاﺳﺗدﻋﺎء( ﯾﺗم إﺟراؤھﺎ ﻟﻠوﺻول إﻟﻰ PLCsﻣن أي ﺣزم اﻟﺑراﻣﺞ.
ﻧﺟدا ان ﻣﻠف ﺳﺗﻛﺳﻧت s7otbxdx.dllاﻟﻣﻌدل ﯾﺣﺗوي ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺻﺎدرات )(exportاﻟﻣﺣﺗﻣﻠﺔ ﻟل DLLاﻷﺻﻠﻲ -ﺑﺣد أﻗﺻﻰ - 109ﻣﻣﺎ
ﯾﺳﻣﺢ ﻟﮭﺎ اﻟﺗﻌﺎﻣل ﻣﻊ ﺟﻣﯾﻊ اﻟطﻠﺑﺎت ﻧﻔﺳﮭﺎ .ﯾﺗم ﺗوﺟﯾﮫ ﻏﺎﻟﺑﯾﺔ ھذه exportﺑﺑﺳﺎطﺔ إﻟﻰ DLLاﻟﺣﻘﯾﻘﯾﺔ ،اﻟﺗﻲ ﺗﺳﻣﻰ اﻵن ،s7otbxsx.dll
وﻻ ﺷﻲء ﻏﯾر ﻣرﻏوب ﻓﯾﮫ ﯾﺣدث؛ ﻓﻲ اﻟواﻗﻊ 93 ،ﻣن أﺻل 109ﻣن exportﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﺑﮭذه اﻟطرﯾﻘﺔ .اﻟﺧدﻋﺔ ھﻧﺎ ،ﺗﻛﻣن ﻓﻲ
اﻟﺻﺎدرات 16اﻟﺗﻲ ﻻ ﯾﺗم ﺗوﺟﯾﮭﮭﺎ ﺑﺑﺳﺎطﺔ وﻟﻛن ﺑدﻻ ﻣن ذﻟك ﯾﺗم اﻋﺗراﺿﮭﺎ ﻣن ﻗﺑل DLLاﻟﻣﻌدل اﻟﺧﺎص ﺑﺳﺗﻛﺳﻧت .اﻟﺻﺎدرات 16
) (exportاﻟﺗﻲ اﻋﺗرﺿت ھﻲ ﻋﺑﺎره ﻋن إﺟراءات اﻟﻘراءة واﻟﻛﺗﺎﺑﺔ ،وﺗﺣدﯾد ﻛﺗل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ﻋﻠﻰ .PLCsﻋن طرﯾﻖ اﻋﺗراض
ھذه اﻟطﻠﺑﺎت ﺳﺗﻛﺳﻧت ھو ﻗﺎدرا ﻋﻠﻰ ﺗﻌدﯾل اﻟﺑﯾﺎﻧﺎت اﻟﻣرﺳﻠﺔ إﻟﻰ أو اﻟﻌﺎﺋدة ﻣن PLCﻣن دون أن ﯾدرك ﻣﺷﻐل .PCLsﻛﻣﺎ أﻧﮫ ﻣن ﺧﻼل
ھذه اﻹﺟراءات ﺳﺗﻛﺳﻧت ﻗﺎدر ﻋﻠﻰ إﺧﻔﺎء اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ھﻲ ﻓﻲ .PLCs
ﺳﺗﻛﺳﻧت ﯾﻘوم أوﻻ ﺑﻔﺣص ﻣﺎ إذا ﻛﺎن ﻟدﯾﮭﺎ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر .ﺳﺗﻛﺳﻧت ﺗرﯾد أن ﺗﻌﻣل ﻣﻊ أﻋﻠﻰ اﻣﺗﯾﺎزات ﻣﻣﻛﻧﮫ ﺣﺗﻰ ﯾﺗﺳن
ﻟﮫ اﺗﺧﺎذ اﻹﺟراءات اﻟﺗﻲ ﯾرﯾدھﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر .أﻣﺎ إذا ﻟم ﯾﻛن ﻟدﯾﮫ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ،ﻓﺈﻧﮫ ﯾﻧﻔذ واﺣد ﻣن اﺛﻧﯾن ﻣن ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات
zero-dayﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ.
إذا ﻛﺎﻧت اﻟﻌﻣﻠﯾﺔ ﺑﺎﻟﻔﻌل ﻟدﯾﮭﺎ اﻟﺣﻘوق اﻟﺗﻲ ﺗطﻠﺑﮭﺎ ،ﻓﺈﻧﮭﺎ ﺗﺷرع ﻓﻲ اﻻﺳﺗﻌداد ﻻﺳﺗدﻋﺎء اﻟﺻﺎدرات 16ﻓﻲ اﻟﻣﻠف) (.dllاﻟرﺋﯾﺳﻲ .ﻋﻧدﻣﺎ ﻻ
ﯾﻛون ﻟدى اﻟﻌﻣﻠﯾﺔ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻋﻠﻰ اﻟﻧظﺎم ،ﻓﺈﻧﮫ ﯾﺣﺎول اﻛﺗﺳﺎب ھذه اﻻﻣﺗﯾﺎزات ﺑﺎﺳﺗﺧدام واﺣد ﻣن اﺛﻧﯾن ﻣن ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات
.zero-dayوﯾﺳﺗﺧدم ﻧﺎﻗﻼت اﻟﮭﺟوم ) (attack vectorﻣﺳﺗﻧدا ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣوﺟود ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرق .إذا ﻛﺎن ﻧظﺎم اﻟﺗﺷﻐﯾل
وﯾﻧدوز ﻓﯾﺳﺗﺎ ،وﯾﻧدوز ،7أو ،Windows Server 2008 R2ﻓﺎن ﯾﺳﺗﻐل ﺛﻐرة Task Schedulerﻟرﻓﻊ اﻣﺗﯾﺎزاﺗﮫ .أﻣﺎ إذا ﻛﺎن ﻧظﺎم
اﻟﺗﺷﻐﯾل windows xpﻓﺎن ﯾﺳﺗﻐل اﻟﺛﻐرة win32k.sysﻟرﻓﻊ اﻣﺗﯾﺎزاﺗﮫ.
إذا ﺗم اﺳﺗﻐﻼل ،ﻛل ﻣن ھذه اﻟﺛﻐرات ﺑﺷﻛل رﺋﯾﺳﻲ .ﻓﺎن ﻣﻠف DLLﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻛﺄﻧﮫ ﻋﻣﻠﯾﺔ ﺟدﯾده ،ﺳواء داﺧل ﻋﻣﻠﯾﺔ Csrss.exeﻓﻲ ﺣﺎﻟﺔ
ﻛﺎﻧت اﻟﺛﻐرة win32k.sysأو ﻣﮭﻣﺔ ﺟدﯾدة ﻣﻊ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻓﻲ ﺣﺎﻟﺔ اﻟﺛﻐرة .Task Scheduler
اﻷﻛواد اﻟﺗﻲ ﺗﺳﺗﻐل اﻟﺛﻐرة win32k.sysﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ .resource 250إن ﺗﻔﺎﺻﯾل ﺛﻐرﺗﻲ win32k.sysوTask Scheduler
ﺣﺎﻟﯾﺎ ﻟم ﯾﺗم اﻻﻓراج ﻋن patchﻟﮭﺎ وﻟﯾﺳت ﻣﺗﺎﺣﺔ ﺑﻌد.
ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان اﻹﺻدارات 16اﻟﺑﺎﻗﯾﺔ ھﻲ اﻟﺗﻲ ﯾﺗﺣﻛم ﻓﯾﮭﺎ ﺳﺗﻛﺳﻧت ،ﺑﻌدا اﻛﺗﻣﺎل ﻓﺣص ﺳﺗﻛﺳﻧت ﻟﻠﺻﺎدر )(exportرﻗم 15ﻓﺎﻧﮫ ﯾﺑدا
اﺳﺗدﻋﺎء اﻟﺻﺎدر رﻗم .16
اﻟﺻﺎدر رﻗم (export 16) 16ھو اﻟﻣﺛﺑت اﻟرﺋﯾﺳﻲ ﻟﻠﺳﺗﻛﺳﻧت .ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ ﻣن ﺗﺎرﯾﺦ ورﻗم اﻹﺻدار ﻣن اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرق؛ ﯾﻔك ﺷﻔرة،
وﯾﻧﺷﺎ ،وﯾﺛﺑت ﻣﻠﻔﺎت rootkitsوﻣﻔﺎﺗﯾﺢ registry؛ ﯾﺣﻘن ﻧﻔﺳﮫ ﻓﻲ ﻋﻣﻠﯾﺔ Services.exeﻟﯾﺻﯾب ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻘﺎﺑﻠﺔ ﻟﻺزاﻟﺔ؛
ﯾﺣﻘن ﻧﻔﺳﮫ ﻓﻲ ﻋﻣﻠﯾﺔ STEP7ﻟﯾﺻﯾب ﻛل STEP7 Project؛ ﯾﻘوم ﺑﺗﺛﺑﯾت ﻛﺎﺋﻧﺎت اﻟﻣزاﻣﻧﺔ اﻟﻌﺎﻟﻣﯾﺔ ) (global mutexesاﻟﺗﻲ ﺗﺳﺗﺧدم
ﻟﻼﺗﺻﺎل ﺑﯾن اﻟﻣﻛوﻧﺎت اﻟﻣﺧﺗﻠﻔﺔ؛ وﯾرﺑطﮫ إﻟﻰ ﻣﻠﻘم Export16 . RPCﯾﻘوم أوﻻ ﺑﻔﺣص ھل ﺑﯾﺎﻧﺎت اﻟﺗﻛوﯾن ﺻﺎﻟﺣﮫ ،وﺑﻌد ذﻟك ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ
ﻣن ﻗﯾﻣﺔ " "NTVDM TRACEﻓﻲ ﻣﻔﺗﺎح registryاﻟﺗﺎﻟﻲ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation
Internet Worm Maker Thingھﻲ أداة ﻣﺻﻣﻣﺔ ﺧﺻﯾﺻﺎ ﻷﻧﺷﺎء دودة .اﻟدﯾدان اﻻﻧﺗرﻧت ھذه اﻟﺗﻲ ﺗم إﻧﺷﺎﺋﮭﺎ ﺗﺣﺎول اﻟﻧﺷر أﻛﺛر
ﻋﻠﻰ اﻟﺷﺑﻛﺎت اﻟﺗﻲ ھﻲ ﻓﻲ اﻷﺳﺎس preset invasion proxy attacksاﻟﺗﻲ ﺗﺳﺗﮭدف اﻟﻣﺿﯾف ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ،ﺗﺳﻣﮫ ،poison
وﺗﺻﻧﻊ ﻗﺎﻋدة وﺧطط ﻟﺷن ھﺟوم ﻓﻲ اﻟﻣﺳﺗﻘﺑل .اﻟدﯾدان ﺗﻌﻣل ﺑﺷﻛل ﻣﺳﺗﻘل .دودة اﻹﻧﺗرﻧت ﺗرﺳل ﻧﺳﺦ ﻋن ﻧﻔﺳﮭﺎ ﻋﺑر أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر
اﻟﺿﻌﯾﻔﺔ اﻟﻣوﺟودة ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت.
ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ) (Malware Analysisﯾﻌرف ﺑﺎﻧﮫ ﻋﻣﻠﯾﺔ أﺧذ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺑﺷﻛل ﻣﻧﻔﺻل ﻟدراﺳﺗﮫ .ﻋﺎدة ﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ذﻟك
ﻷﺳﺑﺎب ﻣﺧﺗﻠﻔﺔ ﻣﺛل ﻹﯾﺟﺎد ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﯾﺗم اﺳﺗﻐﻼﻟﮭﺎ ﻟﻧﺷر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺳرﻗت ،ﺗﻘﻧﯾﺎت اﻟوﻗﺎﯾﺔ اﻟﺗﻲ ﯾﺟب
اﺗﺧﺎذھﺎ ﺿدھﺎ ﻣن دﺧول اﻟﻧظﺎم أو اﻟﺷﺑﻛﺔ ﻓﻲ اﻟﻣﺳﺗﻘﺑل .ھذا اﻟﺟزء ﯾﻔﺳر ﻣﻌﻠوﻣﺎت ﻣﻔﺻﻠﺔ ﺣول إﺟراء ﺗﺣﻠﯾل ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺷراﺋﺢ
اﻟﻘﻠﯾﻠﺔ اﻟﻣﻘﺑﻠﺔ.
وﯾﺷﻣل ﻧظﺎم ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت) ،(anti-virusﻣﻛﺎﻓﺢ اﻟﺗﺟﺳس) ،(anti-spywareﻣﻛﺎﻓﺣﺔ طروادة)،(anti-Trojan
،anti-Phishing ،anti-spamwareوﻓﺎﺣص اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وھﻠم ﺟرا .ﻋﺎدة ،ﯾﺗم وﺿﻌﮭﺎ ﻓﯾﻣﺎ ﺑﯾن اﻟﺷﺑﻛﺔ واﻹﻧﺗرﻧت .ﻷﻧﮭﺎ ﺗﺗﯾﺢ
ﻓﻘط اﻟﺣرﻛﺔ اﻟﺣﻘﯾﻘﯾﺔ ) (genuine trafficاﻟوﺣﯾدة ﻓﻲ اﻟﺗدﻓﻖ ﻣن ﺧﻼل اﻟﺷﺑﻛﺔ وﻏﻠﻖ ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺎرة ﻣن اﻟدﺧول .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺈﻧﮫ
ﯾﺿﻣن أﻣن اﻟﺷﺑﻛﺔ.
ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﯾﻘدم ﻓﮭم ﻋﻣﯾﻖ ﻟﻛل ﻋﯾﻧﺔ ﻋﻠﻰ ﺣدة وﯾﺣدد اﻻﺗﺟﺎھﺎت اﻟﻔﻧﯾﺔ اﻟﻧﺎﺷﺋﺔ ﻣن ﻣﺟﻣوﻋﺎت ﻛﺑﯾرة ﻣن ﻋﯾﻧﺎت اﻟﺑرﻣﺟﯾﺎت
اﻟﺧﺑﯾﺛﺔ .ﻋﯾﻧﺎت اﻟﺑراﻣﺞ اﻟﺿﺎرة ھﻲ ﻓﻲ ﻣﻌظﻣﮭﺎ ﻣﺗواﻓﻘﺔ ﻣﻊ .windows binary executableﯾﺟري ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻣﻊ
ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷھداف .ﻓﯾﻣﺎ ﯾﻠﻲ ھو اﻹﺟراء اﻟﻣﺗﺑﻊ ﻟﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻹﻋداد ﻣﺧﺗﺑر:
-ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ VMWareأو Virtual PCأو Oracle VMﻋﻠﻰ اﻟﻧظﺎم.
-ﺗﺛﺑﯾت ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺿﯾف ﻋﻠﻰ. Virtual PC/VMWare
-ﻋزل ھذا اﻟﻧظﺎم ﻋن اﻟﺷﺑﻛﺔ ﻣن ﺧﻼل ﺿﻣﺎن أن ﺑطﺎﻗﺔ NICﻓﻲ اﻟوﺿﻊ "."host only
-ﺗﻌطﯾل اﻟﻣﺟﻠدات اﻟﻣﺷﺗرﻛﺔ ) (shared foldersوﻋزل اﻟﺿﯾوف). (guest isolation
-ﻧﺳﺦ اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺿﯾف.
UPX
http://upx.sourceforge.net :اﻟﻣﺻدر
اﻧﮭﺎ ﻋﺎدة أﻓﺿل ﻣن ﺑرﻧﺎﻣﺞ ﺿﻐط.( وﺳرﯾﻌﺔ ﺟدا ﻓﻲ ﻓك اﻟﺿﻐطexcellent compression ratio) ﯾﺣﻘﻖ ﻧﺳﺑﺔ ﺿﻐط ﻣﻣﺗﺎزةUPX
.WinZip/zip/gzip
-اﻟﺧطوة :5ﺗﺳﺟﯾل ﻣﻌﻠوﻣﺎت ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﺑﺎﺳﺗﺧدام أدوات اﻻﺗﺻﺎل ورﺻد ﻣﺣﺗوى اﻟﺣزﻣﺔ ﻣﺛل NetResident
و.TCPView
-اﻟﺧطوة :6ﺗﺣدﯾد اﻟﻣﻠﻔﺎت اﻟﻣﺿﺎﻓﺔ ،اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ أﻧﺷﺋت ،اﻟﺗﻐﯾﯾرات ﻋﻠﻰ registryﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات رﺻد اﻟﺳﺟل ﻣﺛل
Regshot
NetResident
اﻟﻣﺻدرhttp://www.tamos.com :
NetResidentھو ﺗطﺑﯾﻖ ﻟﺗﺣﻠﯾل ﻣﺣﺗوى اﻟﺷﺑﻛﺔ ﻣﺻﻣم ﻟرﺻد وﺗﺧزﯾن وإﻋﺎدة ﺑﻧﺎء ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن اﻷﺣداث وأﻧﺷطﺔ اﻟﺷﺑﻛﺔ ،ﻣﺛل
رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﺻﻔﺣﺎت اﻟوﯾب ،اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ ،اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ،واﻟﻣﺣﺎدﺛﺎت ﻋﺑر ﺑروﺗوﻛول اﻹﻧﺗرﻧت .ﻓﺈﻧﮫ ﯾﺳﺗﺧدم
ﺗﻛﻧوﻟوﺟﯾﺎ ﻣراﻗﺑﺔ ﻣﺗﻘدﻣﺔ ﻻﻟﺗﻘﺎط اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،وﯾﺣﻔظ اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ،ﯾﻌﯾد ذﻟك ،وﯾﻌرض اﻟﻣﺣﺗوى.
ﻛﻣﺎ ﻧرى ھذا واﻟﺗﻲ ﺗﻣﺛل اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ ﻟﮭذا اﻟﺗطﺑﯾﻖ .واﻟﺗﻲ ﯾﻣﻛﻧك ﻣن ﺧﻼﻟﮭﺎ ادﺧﺎل ﻣﻠف اﻟﺑرﻣﺟﯾﺎت اﻟﺿﺎرة اﻟﺗﻲ ﺗرﯾد ﺗﺣﻠﯾﻠﮭﺎ -
وذﻟك ﻣن ﺧﻼل اﻟﻧﻘر ﻓوق Fileاﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﺎﺣﯾﺔ اﻟﯾﺳﺎر ﺛم اﻟﻧﻘر ﻓوق .Open
ﺑﻌض اﺧﺗﯾﺎر ھذا اﻟﺗﮭدﯾد ﻻﺧﺗﺑﺎره ) (tini.exeﻧﺟد ان ﺗﺣﻠﯾل اﻟﺑرﻧﺎﻣﺞ ﻟﮫ ﻛﺎﻻﺗﻰ: -
ﻣن ﺧﻼل ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Viewﺛم اﻟﻧﻘر ﻓوق LOGاو ﯾﻣﻛﻧﻧﺎ اﺧﺗﺻﺎر ذﻟك ﺑﺎﻟﻧﻘر ﻓﻘوى ﻣﻔﺗﺎﺣﻲ .Alt+L -
ﺣﯾث ان ھذا ﯾﺳﺗﺧدم ﻟﻌرض ﺑﯾﺎﻧﺎت logﻟﻠﻣﻠف tini.exeﻛﺎﻻﺗﻰ: -
ﻣن ﺧﻼل اﻟﻘﺎﺋم اﻟﻣﻧﺳدﻟﺔ ﻣن VIEWﻓﯾﻣﻛﻧك اﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﻟﺗﻧﺳﯾﻖ ﺣﺗﻰ ﺗﺧﺗﺎر ﻣﻧﮭﺎ ﻣﺎ ﺗرﯾده ﻟرؤﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗرﯾدھﺎ ﻣﺛل -
Executable modulesو Memory mapوﻏﯾرھﺎ.
اﻟﻣﺻدرhttps://www.hex-rays.com/index.shtml :
ھﻲ أداة Dissemblerو debuggerاﻟذي ﺗدﻋم ﻛل ﻣن اﻟوﯾﻧدوز واﻟﯾﻧﻛس.
Dissembler -
Dissemblerﯾﻌرض ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت ﻟﻠﺑراﻣﺞ اﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ ﺷﻛل رﻣزي ،ﺣﺗﻰ إذا ﻛﺎن اﻟرﻣز ﻣﺗﺎح ﻓﻲ اﻟﺷﻛل اﻟﺛﻧﺎﺋﻲ .ﯾﻌرض ﺗﻧﻔﯾذ ﺗﻌﻠﯾﻣﺎت
اﻟﻣﻌﺎﻟﺞ ﻓﻲ ﺷﻛل ﺧراﺋط .ﯾﺗﯾﺢ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻟﺗﺣدﯾد اﻟﻔﯾروﺳﺎت أﯾﺿﺎ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إن وﺟدت أن screensaverأو ﻣﻠﻔﺎت ""GIF
ﺗﺣﺎول اﻟﺗﺟﺳس ﻋﻠﻰ أي ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟداﺧﻠﯾﺔ ﻟﻠﻣﺳﺗﺧدم ،ﻓﺎن IDA Proﯾﻛﺷف ھذا ﻋﻠﻰ اﻟﻔور.
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
598
ﺗم ﺗطوﯾر IDA Proﻣﻊ أﺣدث اﻟﺗﻘﻧﯾﺎت اﻟﺗﻲ ﺗﻣﻛﻧﮭﺎ ﻣن ﺗﺗﺑﻊ اﻟرﻣوز اﻟﺛﻧﺎﺋﯾﺔ اﻟﺻﻌﺑﺔ ﺛم ﯾﻌرﺿﮭﺎ ﻋﻠﻰ ھﯾﺋﺔ ﺧراﺋط ﺗﻧﻔﯾذﯾﮫ ﻗﺎﺑﻠﮫ ﻟﻠﻘراءة.
Debugger -
Debuggerھو أداة ﺗﻔﺎﻋﻠﯾﺔ واﻟﺗﻲ ﺗﻛﻣل أداة Dissemblerﻷداء ﻣﮭﻣﺔ ﺗﺣﻠﯾل ﺳﺎﻛﻧﺔ ) (static analysisﻓﻲ ﺧطوة واﺣدة .ﻓﺈﻧﮫ ﯾﺗﺟﺎوز
ﻋﻣﻠﯾﺔ اﻟﺗﺷوﯾش ،ﻣﻣﺎ ﯾﺳﺎﻋد Dissemblerﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ اﻟرﻣوز اﻟﻣﻌﺎدﯾﺔ ﺑﻌﻣﻖ.
IDA Proھﻲ اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﻻﺳﺗﻛﺷﺎف أي ﻣن اﻧﻘطﺎﻋﺎت ﻓﻲ اﻟﺑرﻣﺟﯾﺎت وﻧﻘﺎط اﻟﺿﻌف وﯾﺗم اﺳﺗﺧداﻣﮫ ﻛﺎﻧﮫ ﻣﻘﺎوم اﻟﺗﻼﻋب
) .(tamper resistanceھو اداة ﺗﻔﺎﻋﻠﯾﺔ ،ﻣﺑرﻣﺟﺔ Dissembler ،ﻣﺗﻌدد اﻟﻌﻣﻠﯾﺎت إﻟﻰ ﺟﺎﻧب Debuggerﺳواء ﻣﺣﻠﻲ وﺑﻌﯾدة وﯾﺿﺎف
اﻟﯾﮭﺎ ﺑﯾﺋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﺑرﻣﺟﺔ اﻟﻣﺳﺎﻋد .ﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ھذا ﻟﺣﻣﺎﯾﺔ ﺣﻘوق اﻟﺧﺻوﺻﯾﺔ اﻷﺳﺎﺳﯾﺔ اﻟﺧﺎﺻﺔ ﺑك .وﯾﺳﺗﺧدم ھذا ﻣن ﻗﺑل
ﺷرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ،وﺷرﻛﺎت اﻷﺑﺣﺎث ،وﺷرﻛﺎت ﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت واﻟوﻛﺎﻻت واﻟﻣﻧظﻣﺎت اﻟﻌﺳﻛرﯾﺔ.
ﻧﻘوم ﺑﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ ﻣن ﺧﻼل اﺗﺑﺎع wizardاﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت اﻟﻰ ان ﺗظﮭر ﺷﺎﺷﺔ اﻟﺗرﺣﯾب اﻟﺗﺎﻟﯾﺔ واﻟﺗﻲ ﻧﺧﺗﺎر ﻣﻧﮭﺎ new -
ﻛﺎﻻﺗﻰ:
ھذا ﯾؤدى أن ﯾطﻠب ﻣﻧك اﺧﯾﺎر اﻟﺗﮭدﯾد اﻟذي ﺗرﯾد ان ﺗﻘوم ﺑﺗﺣﻠﯾﻠﯾﮫ ،ﻓﻧﻘوم ﺑﺗﺣدﯾد ﻣﻛﺎﻧﮫ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺑرﻧﺎﻣﺞ. -
ﺛم ﻧﻧﻘر ﻓوق OKوﻧﻔﻌل ذﻟك ﻣﻊ رﺳﺎﺋل ﺗﺣذﯾرﯾﮫ. -
ﺑﻌد اﺧﺗﯾﺎر اﻟﺗﮭدﯾد وﻋرﺿﮫ ﺑواﺳطﺔ اﻟﺗطﺑﯾﻖ ﻓﺎن اﻟﺷﺎﺷﺔ اﻟﻧﮭﺎﺋﯾﺔ ﺑﻌد ﺗﺣﻠﯾل اﻟﺗﮭدﯾد ﺗﻛون ﻛﺎﻻﺗﻰ: -
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Viewاﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Graphsﺛم Flow Chart -
ﺷﺎﺷﺔ Graphsاﻟﺗﻲ ﻗﻣﻧﺎ ﺑﺎﻟذھﺎب اﻟﯾﮭﺎ ﺳوف ﺗظﮭر ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ :ﻗم ﺑﺗﻛﺑﯾر )(zoomﻟﺗرى ﺑوﺿوح. -
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Viewاﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Graphsﺛم Function -
.callواﻟﺗﻲ ﺗؤدى ﺑﺎﻟظﮭور ﺑﺎﻟﺷﻛل اﻟﺗﺎﻟﻲ.
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Windowsاﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق .Hex View-A -
واﻟﺗﻲ ﺗؤدى ﺑﺎﻟظﮭور ﺑﺎﻟﺷﻛل اﻟﺗﺎﻟﻲ:
اﻟﻣﺻدرhttps://www.virustotal.com :
VirusTotalھﻲ اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺣﻠل اﻟﻣﻠﻔﺎت اﻟﻣﺷﺑوھﺔ وﯾﺳﮭل اﻟﻛﺷف اﻟﺳرﯾﻊ ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان وأﺣﺻﻧﺔ طروادة ،وﺟﻣﯾﻊ أﻧواع
اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﻛﺷف ﻋﻧﮭﺎ ﺑواﺳطﺔ ﻣﺣرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
اﻟﻣﯾزات:
-ﺧدﻣﺔ ﻣﺟﺎﻧﯾﺔ وﻣﺳﺗﻘﻠﺔ.
-ﯾﺳﺗﺧدم ﻣﺣرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة.
-اﻟﺗﺣدﯾﺛﺎت اﻟﺗﻠﻘﺎﺋﯾﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻟﺗواﻗﯾﻊ اﻟﻔﯾروﺳﺎت.
-ﯾﻌطﻲ ﻧﺗﺎﺋﺞ ﻣﻔﺻﻠﺔ ﻣن ﻛل ﻣﺣرك ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
-ﻟدﯾﮭﺎ اﻹﺣﺻﺎءات اﻟﻌﺎﻟﻣﯾﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ.
ﺧدﻣﺎت ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻻﻧﺗرﻧت ﺗﺳﻣﺢ ﻟك ﺑﻔﺣص اﻟﻣﻠﻔﺎت واﻟﻣوارد وﺗﺄﻣﯾﻧﮭﺎ ﻗﺑل ھﺟوم اﻟﻣﮭﺎﺟﻣﯾن وﺗﻘدﯾم ﺗﻧﺎزﻻت ﻟﮭم .وﻓﯾﻣﺎ
ﯾﻠﻲ ﺑﻌض اﻟﺧدﻣﺎت ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﺗﻲ ﺗﻘوم ﺑﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
Anubis: Analyzing Unknown Binaries available at http://anubis.iseclab.org
Avast! Online Scanner available at http://onlinescan.avast.com
Malware Protection Center available at http://www.microsoft.com/en-in/default.aspx
ThreatExpert available at http://www.threatexpert.com
Dr. Web Online Scanners available at http://vms.drweb.com
Metascan Online available at http://www.metascan-online.com
Bitdefender QuickScan available at http://www.bitdefender.com
GFI SandBox available at http://www.gfi.com
UploadMalware.com available at http://www.uploadmalware.com
Fortinet available at http://www.fortiguard.com
ﺣﺗﻰ اﻵن ،ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف اﻟﻔﯾروﺳﺎت واﻟدﯾدان وﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة .اﻵن ﺳوف ﻧﻧﺎﻗش اﻟﻣﺿﺎدات ﻟﯾﺗم ﺗطﺑﯾﻘﮭﺎ ﻟﻠﺣﻣﺎﯾﺔ ﺿد اﻟﻔﯾروﺳﺎت
واﻟدﯾدان ،وإذا ﺗم اﻟﻌﺛور ﻋﻠﻰ أي ﻣن ھذه .وﻣﺎ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ ﺗﻌزﯾز اﻷﻣن .ﯾﺑرز ھذا اﻟﻘﺳم ﻣﺧﺗﻠف اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد
اﻟﻔﯾروﺳﺎت واﻟدودة.
ﺑﺣﻛم اﻟﺗﺟرﺑﺔ إذا ﻛﺎن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﯾﺑدو وﻛﺄﻧﮫ واﺣد ﻣﺷﺑوھﺔ) ، (suspicious oneﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن أﺣد ﻻ ﯾﺗوﻗﻊ رﺳﺎﻟﺔ ﺑرﯾد
اﻻﻟﻛﺗروﻧﻲ ﻣن اﻟﻣرﺳل أو ﻻ ﯾﻌرف اﻟﻣرﺳل أو إذا ﻛﺎن رأس اﻟرﺳﺎﻟﺔ ﯾﺷﺑﮫ ﺷﯾﺋﺎ ﺗﻌرف أن اﻟﻣرﺳل ﻟن ﯾﻘوﻟﮫ ﻋﺎدة ،ﯾﺟب ﻋﻠﻰ اﻟﻣرء أن ﯾﻛون
ﺣذرا ﺣول ﻓﺗﺢ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﻛﻣﺎ ﻗد ﯾﻛون ھﻧﺎك ﺧطر اﻹﺻﺎﺑﺔ ﺑﺎﻟﻌدوى ﻋن طرﯾﻖ ﻓﯾروس .اﻟدودة MyDoomو
W32.Novarg.A@mmﺗﺻﯾب اﻟﻌدﯾد ﻣن ﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت ﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة .ھذه اﻟدﯾدان ﺗﺻﯾب ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ﻣن ﺧﻼل
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ.
-ﻛﺎﺗﺑﻲ اﻟﻔﯾروﺳﺎت ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻧﺷﺄ اﻟﻌدﯾد ﻣن اﻟﻔﯾروﺳﺎت اﻟﺟدﯾدة ﻋن طرﯾﻖ ﺗﻐﯾﯾر اﻟﻣوﺟود .اﻟﻔﯾروس اﻟﺟدﯾد ،ﻗد اﺗﺧذ ﺑﺿﻊ دﻗﺎﺋﻖ ﻓﻘط
ﻹﻧﺷﺎﺋﮫ .اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺈﺟراء ﺗﻐﯾﯾرات ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻋﻠﻰ اﻟﻔﯾروﺳﺎت اﻟﻘدﯾﻣﺔ ﻟﻠﺗﺧﻠص ﻣن اﻟﻔﺎﺣص.
-ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻟﺗﻌرف ﻋﻠﻰ اﻟﺗوﻗﯾﻊ ،ﻓﺎن اﻟﻔﺎﺣص اﻟﺟدﯾد ﯾﺳﺗﻔﯾد ﻣن ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت اﻟﻛﺷف اﻷﺧرى ﻣﺛل ﺗﺣﻠﯾل اﻷﻛواد .ﻗﺑل اﻟﻧظر
اﻟﻰ ﺧﺻﺎﺋص اﻛواد اﻟﻔﯾروس ،ﻓﺎن اﻟﻔﺎﺣص ﯾﺧﺗﺑر اﻷﻛواد اﻟﻣوﺟودة ﻓﻲ ﻣواﻗﻊ ﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻟﻣﻠف ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ.
-ﻓﻲ اﺣﺗﻣﺎل آﺧر ،اﻟﻔﺎﺣص ﯾﻧﺷﺄ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر وھﻣﻰ ) (virtual computerﻓﻲ ذاﻛرة اﻟوﺻول اﻟﻌﺷواﺋﻲ )(RAMواﺧﺗﺑﺎر
اﻟﺑراﻣﺞ ﻋن طرﯾﻖ ﺗﻧﻔﯾذھﺎ ﻓﻲ اﻟﻔﺿﺎء اﻟوھﻣﻲ .ھذه اﻟﺗﻘﻧﯾﺔ ،ﺗدﻋﻰ " ،"heuristic scanningﯾﻣﻛن أﯾﺿﺎ ﻓﺣص اﻟرﺳﺎﺋل
اﻟﻣﻣﺳوﺣﺔ اﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر أو ﻏﯾرھﺎ ﻣن اﻟﻣﺣﺗوﯾﺎت اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ.
-أھم ﻣزاﯾﺎ اﻟﻔﺎﺣص ھﻲ) :ﯾﻣﻛﻧﮫ أن ﯾﺗﺣﻘﻖ ﻣن اﻟﺑراﻣﺞ ﻗﺑل أن ﯾﺗم إﻋداﻣﮭم -أﺳﮭل وﺳﯾﻠﺔ ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﺑراﻣﺞ اﻟﺟدﯾدة ﺿد أي ﻓﯾروس
ﻣﻌروف أو ﺧﺑﯾث(.
-اﻟﻌواﺋﻖ اﻟرﺋﯾﺳﯾﺔ ﻟﻠﻔﺎﺣص ھﻲ:
اﻟﻔﺎﺣص اﻟﻘدﯾم ﯾﻣﻛن أن ﯾﻛون ﻏﯾر ﻣوﺛوق ﺑﮫ .وذﻟك ﻧﺗﯾﺟﺔ اﻟزﯾﺎدة اﻟﮭﺎﺋﻠﺔ ﻓﻲ اﻟﻔﯾروﺳﺎت اﻟﺟدﯾدة واﻟﺗﻲ ﺗﺟﻌل
ﯾﻣﻛن اﻟﻔﺎﺣص اﻟﻘدﯾم ﺳرﻋﺎن ﻣﺎ ﯾﺻﺑﺢ ﺑﺎﻟﻲ .ﻓﻣن اﻷﻓﺿل اﺳﺗﺧدام أﺣدث اﻟﻔواﺣص اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﺳوق.
ﺣﺗﻰ اﻟﻔﺎﺣص اﻟﺟدﯾد ﻟن ﯾﺗم ﺗﺟﮭﯾزه أﺑدا ﻟﻛﻲ ﯾﺗﻌﺎﻣل ﻣﻊ ﺟﻣﯾﻊ اﻟﺗﺣدﯾﺎت اﻟﺟدﯾدة ،ﻷن اﻟﻔﯾروﺳﺎت ﺗظﮭر
ﺑﺳرﻋﺔ أﻛﺑر ﻣﻣﺎ ﯾﻣﻛن ﺗطوﯾر ﻓﺎﺣص ﺟدﯾد ﻟﻣﺣﺎرﺑﺔ ذﻟك.
اﻟﺘﺤﻘﻖ ﻣﻦ ﺳﻼﻣﺔ )(Integrity checking
-ﻣﻧﺗﺟﺎت ﻓﺣص اﻟﺳﻼﻣﺔ ﺗؤدى وظﺎﺋﻔﮭﺎ ﻣن ﺧﻼل ﻗراءة وﺗﺳﺟﯾل ﺑﯾﺎﻧﺎت ﻣﺗﻛﺎﻣﻠﺔ ﻟﺗطوﯾر اﻟﺗوﻗﯾﻊ أو ﺧط أﺳﺎﺳﻲ ﻟﺗﻠك اﻟﻣﻠﻔﺎت
وﻗطﺎﻋﺎت اﻟﻧظﺎم.
-ﻣﻧﺗﺟﺎت ﻓﺣص اﻟﺳﻼﻣﺔ ﺗﺗﺣﻘﻖ ﻣن أي ﺑرﻧﺎﻣﺞ ﻣدﻣﺞ ﻓﻲ اﻻﺳﺗﺧﺑﺎرات .ھذا ھو ﺣﻘﺎ اﻟﺣل اﻟوﺣﯾد اﻟذي ﯾﻣﻛن أن ﯾﺄﺧذ اﻷھﻣﯾﺔ ﺿد
ﺟﻣﯾﻊ اﻟﺗﮭدﯾدات ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت .ﯾﺗم ﺗوﻓﯾر وﺳﯾﻠﺔ أﻛﺛر ﺛﻘﺔ ﻟﻣﻌرﻓﺔ ﻣﻘدار اﻟﺿرر اﻟذي ﻗﺎم ﺑﮫ اﻟﻔﯾروس ﻋن طرﯾﻖ ﻓﺎﺣص اﻟﺳﻼﻣﺔ
ھذه ،ﻷﻧﮫ ﯾﻣﻛن أن ﯾﺗﺣﻘﻖ ﻣن اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ أﺳﺎس ﺧط اﻷﺳﺎس اﻟذي أﻧﺷﺋت ﻟﮫ أﺻﻼ.
-اﻟﻌﯾب ﻣن اﻟﻣدﻗﻖ اﻟﺳﻼﻣﺔ اﻷﺳﺎﺳﯾﺔ ھو أﻧﮫ ﻻ ﯾﻣﻛن اﻟﺗﻔرﯾﻖ ﺑﯾن ﻣﻠف ﻓﺎﺳد ﻧﺎﺟم ﻋن ﺧﻠل وﻣن ﻣﻠف ﻓﺎﺳد ﻧﺎﺟم ﻋن ﻓﯾروس.
-ﻣﻊ ذﻟك ،ﻓﺎن ھﻧﺎك ﺑﻌض ﻣن ﻣﺣﻘﻖ اﻟﺳﻼﻣﺔ اﻟﻣﺗﻘدﻣﺔ اﻟﻣﺗﺎﺣﺔ اﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ ﺗﺣﻠﯾل وﺗﺣدﯾد أﻧواع اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗﺣدﺛﮭﺎ
اﻟﻔﯾروﺳﺎت .ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن ﻣﺣﻘﻖ اﻟﺳﻼﻣﺔ واﻟﺗﻲ ﺗﺟﻣﻊ ﺑﯾن ﺑﻌض ﺗﻘﻧﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﻊ اﻟﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ ﻟﺧﻠﻖ ھﺟﯾن.
وھذا ﯾﺑﺳط أﯾﺿﺎ ﻋﻣﻠﯾﺔ ﻓﺣص اﻟﻔﯾروس.
اﻋﺘﺮاض )(Interception
-اﻻﺳﺗﺧدام اﻟرﺋﯾﺳﻲ interceptionھو ﻟﺗﺷﺗﯾت ﻗﻧﺎﺑل اﻟﻣﻧطﻖ وأﺣﺻﻧﺔ طروادة.
Interception -ﺗﺳﯾطر ﻋﻠﻰ اﻟطﻠﺑﺎت اﻟﺗﻲ ﺗذھب إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﻠوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ أو ﻣن أﺟل ﺑﻌض اﻹﺟراءات واﻟﺗﻲ
ﺗﺳﺑب ﺧطرا ﻋﻠﻰ اﻟﺑرﻧﺎﻣﺞ .إذا وﺟد ﻣﺛل ھذا اﻟطﻠب ،ﻓﺎن interceptionﻋﺎدة ﻣﺎ ﯾﻌطﻰ ﺗﻧﺑﯾﮭﺎ ﺑذﻟك وﯾﺳﺄل اﻟﻣﺳﺗﺧدم إذا ﻛﺎن ﯾرﯾد
ﻟﮭذا اﻟطﻠب اﻟﻣﺗﺎﺑﻌﺔ أم ﻻ .ﻻ ﺗوﺟد طرق ﯾﻣﻛن اﻻﻋﺗﻣﺎد ﻋﻠﯾﮭﺎ ﻻﻋﺗراض اﻟﻔروع ﻣﺑﺎﺷرة ﻠ low-level codeأو اﻟﺗﻌﻠﯾﻣﺎت
اﻟﻣﺑﺎﺷرة ﻟﻣدﺧﻼت وﻣﺧرﺟﺎت اﻟﺗﻌﻠﯾﻣﺎت ﺑواﺳطﺔ اﻟﻔﯾروس.
ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻓﺈن اﻟﻔﯾروس ﻗﺎدر ﻋﻠﻰ ﺗﻌطﯾل ﺑرﻧﺎﻣﺞ اﻟرﺻد ﻧﻔﺳﮫ .ﺑﺎﻟرﺟوع اﻟﻰ ﺑﺿﻊ ﺳﻧوات اﻟﻰ اﻟوراء ﻓﺎن اﻻﻣر اﺳﺗﻐرق ﺛﻣﺎﻧﯾﺔ
ﺑﺎﯾت ﻓﻘط ﻣن اﻷﻛواد ﻟﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻹﯾﻘﺎف ﻣﮭﺎم اﻟرﺻد اﻟﺧﺎﺻﺔ ﺑﮫ.
ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻟﯾﻛﺗﺷف وﯾزﯾل اﻹﺻﺎﺑﺎت اﻟﺗﻲ ﺗظﮭر. -
ﺗوﻟد ﺳﯾﺎﺳﺔ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻟﻠﺣوﺳﺑﺔ آﻣﻧﺔ وﺗوزﯾﻌﮫ ﻋﻠﻰ اﻟﻣوظﻔﯾن. -
إﯾﻼء اﻻھﺗﻣﺎم ﻟﻠﺗﻌﻠﯾﻣﺎت أﺛﻧﺎء ﺗﻧزﯾل اﻟﻣﻠﻔﺎت أو أي ﺑراﻣﺞ ﻣن اﻹﻧﺗرﻧت. -
ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ أﺳﺎس ﺷﮭري ،ﺑﺣﯾث ﯾﻣﻛن ﺗﺣدﯾد وﺗﻧظﯾف bugsﺟدﯾدة. -
ﺗﺟﻧب ﻓﺗﺢ اﻟﻣرﻓﻘﺎت اﻟﻣﺳﺗﻠﻣﺔ ﻣن ﻣرﺳل ﻣﺟﮭول ﺣﯾث ﺗﻧﺗﺷر اﻟﻔﯾروﺳﺎت ﻋﺑر ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ. -
ﻋدوى ﻓﯾروس ﯾﻣﻛﻧﮭﺎ أن ﺗﺗﻠف اﻟﺑﯾﺎﻧﺎت ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺟب اﻟﺣﻔﺎظ ﻋﻠﻰ ﺑﯾﺎﻧﺎت اﺣﺗﯾﺎطﯾﺔ ﺑﺎﻧﺗظﺎم. -
ﺟدوﻟﺔ ﻋﻣﻠﯾﺎت اﻟﻔﺣص اﻟﻌﺎدﯾﺔ ﻟﻛﺎﻓﺔ ﻣﺣرﻛﺎت اﻷﻗراص ﺑﻌد ﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت. -
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
603
ﻻ ﺗﻘﺑل اﻷﻗراص أو اﻟﺑراﻣﺞ دون ﻓﺣﺻﮭﺎ اﻷوﻟﻰ ﺑﺎﺳﺗﺧدام اﻹﺻدار اﻟﺣﺎﻟﻲ ﻣن ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت. -
ﺿﻣﺎن اﻟﻣواﻓﻘﺔ ﻋﻠﻰ ارﺳﺎل اﻷﻛواد اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ إﻟﻰ اﻟﻣﻧظﻣﺔ. -
ﺗﺷﻐﯾل ،registry scanner ،disk clean upو defragmentationﻣرة واﺣدة ﻓﻲ اﻷﺳﺑوع. -
ﻻ ﺗﺷﻐل اﻟﺟﮭﺎز ﻣن ﻗرص ﺗﻣﮭﯾدي ﻣﺻﺎب. -
ﻗم ﺑﺗﺷﻐﯾل ﺟدار اﻟﺣﻣﺎﯾﺔ إذا ﻛﺎن ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺳﺗﺧدم ھو وﯾﻧدوز .XP -
ﺣﺎﻓظ ﻋﻠﻰ اﻟﻣﻌرﻓﺔ ﺣول أﺣدث ﺗﮭدﯾدات اﻟﻔﯾروﺳﺎت. -
ﺗﺷﻐﯾل ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس) (anti-spywareأو adwareﻣرة واﺣدة ﻓﻲ اﻷﺳﺑوع. -
اﻟﺗﺣﻘﻖ ﻣن DVDSو CD5ﻣن اﺻﺎﺑﺗﮭﺎ ﺑﺎﻟﻔﯾروس. -
ﻣﻧﻊ اﻟﻣﻠﻔﺎت ذات أﻛﺛر ﻣن ﻧوع ﻣن اﻣﺗداد اﻟﻣﻠف. -
ﺿﻣﺎن ﺗﺷﻐﯾل ﺣظر اﻹطﺎرات اﻟﻣﻧﺑﺛﻘﺔ ) (pop-up blockerواﺳﺗﺧدام ﺟدار اﻟﺣﻣﺎﯾﺔ. -
ﻛن ﺣذرا ﻣﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ ﻋﺑر اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ. -
اﻟﻣﺻدرhttp://www.immunet.com/main/index.html :
Companion Antivirusﯾﻌﻧﻲ أن Immunetﻣﺗواﻓﻖ ﻣﻊ ﺣﻠول اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت اﻟﻣوﺟودةImmunet .ﯾﺿﯾف ،طﺑﻘﺔ إﺿﺎﻓﯾﺔ
ﻣن اﻟﺣﻣﺎﯾﺔ ﺧﻔﯾﻔﺔ اﻟوزن ﻣن أﺟل أﻛﺑر ﻗطﻌﮫ ﻣن اﻟﻌﻘل .ﻣﻧذ أﺻﺑﺣت ﺣﻠول ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻘﻠﯾدﯾﺔ ﺗﻛﺷف ﺑﺎﻟﻣﺗوﺳط ٪50ﻓﻘط ﻣن
اﻟﺗﮭدﯾدات ﻋﻠﻰ اﻹﻧﺗرﻧت ،ﻓﺎن ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ھم ﺗﺣت ﺣﻣﺎﯾﺗﮭﺎ ،وھذا ھو اﻟﺳﺑب ﻓﻲ ان ﻛل ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﻣﻛن أن ﯾﺳﺗﻔﯾد ﻣن طﺑﻘﺔ
Immunetاﻷﺳﺎﺳﯾﺔ ﻟﻸﻣن.
Immunetﯾﺣﻣﻲ ﻗوة اﻟﻛﺷف ETHOSو heuristics-based engine ،SPEROو .cloud engineﻣﺳﺗﺧدﻣﻲ اﻟﻧﺳﺧﺔ اﻟزاﺋدة
ﯾﺳﺗﻔﺎدوا ﻣن ﻣﺣرك ﺛﺎﻟث ﯾﺳﻣﻰ ،TETRAواﻟذي ﯾوﻓر اﻟﺣﻣﺎﯾﺔ ﻋﻧدﻣﺎ ﻻ ﺗﻛون ﻣﺗﺻﻼ ﺑﺎﻹﻧﺗرﻧت.
ﯾﺟب إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت واﻟدﯾدان ،ﻷﻧﮭﺎ ھﻲ اﻟوﺳﯾﻠﺔ اﻷﻛﺛر اﺳﺗﺧداﻣﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻟﻠﮭﺟوم .أﻧﮭﺎ ﻻ ﺗﺗطﻠب ﻣﻌرﻓﺔ
واﺳﻌﺔ ﻟﻼﺳﺗﺧدام .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺟب إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك أو اﻟﺷﺑﻛﺔ ﻗﺑل ان ﯾﺳﺗﻐﻠﮭﺎ اﻟﻣﮭﺎﺟم اﻟﺣﻘﯾﻘﻲ.
ﯾوﻓر ھذا اﻟﻘﺳم ﻧظرة ﺛﺎﻗﺑﺔ ﻋﻠﻰ اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت واﻟدودة.
ﻣﻧذ أن اﺻﺑﺣت ھﺎﻛر أﺧﻼﻗﻲ وﺧﺑﯾر ﻓﻲ أداء اﺧﺗﺑﺎر اﻻﺧﺗراق ،ﺣﯾث ﯾﻛﻠﻔك ﻣدﯾر ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﻻﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ ﺿد أي ﻣن
اﻟﻔﯾروﺳﺎت واﻟدﯾدان اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺗﻠف أو ﺗﺳرق ﻣﻌﻠوﻣﺎت اﻟﻣﻧظﻣﺔ .ﺗﺣﺗﺎج ﻟﺑﻧﺎء اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﺛم ﺗﺣﺎول ﺿﺧﮭﺎ ﻓﻲ ﺷﺑﻛﺔ وھﻣﯾﺔ
)اﻟﺟﮭﺎز اﻟوھﻣﻲ( وﺗﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت أو ﻗﺎدرة ﻋﻠﻰ ﺗﺟﺎوز ﺟدار ﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ .ﺑﻣﺛﺎﺑﺔ إﻧك
ﻣﺧﺗﺑر اﺧﺗراق ،ﯾﺟب ﺗﻧﻔﯾذ اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ ﻹﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت:
اﻟﺨﻄﻮة :1ﺗﺜﺒﯿﺖ ﺑﺮﻧﺎﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت
ﯾﺟب ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ وﻋﻠﻰ اﻟﻧظﺎم ﻟﻠﻣﺳﺗﺧدم اﻟﻧﮭﺎﺋﻲ ﻗﺑل إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق.
اﻟﺨﻄﻮة :2ﺗﺤﺪﯾﺚ ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت
ﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﯾﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺧﺎص ﺑك أم ﻻ .إن ﻟم ﯾﻛن ﻓﻘم ﺑﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت.
اﻟﺨﻄﻮة :3ﻓﺤﺺ اﻟﻨﻈﺎم ﺑﺤﺜﺎ ﻋﻦ اﻟﻔﯿﺮوﺳﺎت
ﯾﺟب أن ﺗﺣﺎول ﻓﺣص اﻟﻧظﺎم اﻟﺗﻲ ﺗﺳﺗﮭدﻓﮫ؛ ھذا ﺳوف ﯾﺳﺎﻋدك ﻋﻠﻰ إﺻﻼح اﻟﺿرر أو ﺣذف اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﻔﯾروﺳﺎت.
اﻟﺨﻄﻮة :4ﺗﻌﯿﯿﻦ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت ﻟﻌﺰل أو ﺣﺬف اﻟﻔﯿﺮوس
إﻋداد ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺧﺎص ﺑك ﻟﻣﻘﺎرﻧﺔ ﻣﺣﺗوﯾﺎت اﻟﻣﻠف ﻣﻊ ﺗوﻗﯾﻌﺎت ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر اﻟﻣﻌروف ،وﺗﺣدﯾد اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ،
واﻟﺣﺟر اﻟﺻﺣﻲ وإﺻﻼﺣﮭم إذا ﻛﺎن ذﻟك ﻣﻣﻛﻧﺎ ،أو ﺣذﻓﮭﺎ إن ﻟم ﯾﻛن.
اﻟﺨﻄﻮة :5اﻟﺬھﺎب إﻟﻰ اﻟﻮﺿﻊ اﻵﻣﻦ ) (safe modeوﺣﺬف اﻟﻤﻠﻒ اﻟﻤﺼﺎﺑﺔ ﯾﺪوﯾﺎ
إذا ﻟم ﯾﺗم إزاﻟﺔ اﻟﻔﯾروس ،ﻓﺎﻧﺗﻘل إﻟﻰ اﻟوﺿﻊ اﻵﻣن ) (safe modeوﻗم ﺑﺣذف اﻟﻣﻠف اﻟﻣﺻﺎب ﯾدوﯾﺎ.
اﻟﺨﻄﻮة :6ﻓﺤﺺ اﻟﻨﻈﺎم ﻋﻦ اﻟﻌﻤﻠﯿﺎت اﻟﺠﺎرﯾﺔ
ﯾﺟب ﻓﺣص اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺿد أي ﻋﻣﻠﯾﺔ ﻣﺷﺑوھﺔ ﺗم ﺗﺷﻐﯾﻠﮭﺎ .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ،What's Running
،HijackThisاﻟﺦ.
اﻟﺨﻄﻮة :7ﺗﻔﺤﺺ اﻟﻨﻈﺎم ﻋﻦ إدﺧﺎﻻت registryاﻟﻤﺸﺒﻮھﺔ.
ﯾﺟب ﻓﺣص اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن إدﺧﺎﻻت registryاﻟﻣﺷﺑوھﺔ .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل JV Power Tools
و.Regshot
اﻟﺨﻄﻮة :8ﺗﻔﺤﺺ اﻟﻨﻈﺎم ﻋﻦ ﺧﺪﻣﺎت اﻟﻮﯾﻨﺪوز اﻟﻤﺸﺒﻮھﺔ
ﯾﺟب ﻓﺣص ﺧدﻣﺎت اﻟوﯾﻧدوز اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك .ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل SrvMan
و.ServiWin
اﻟﺣﻣد � ﺗﻌﺎﻟﻰ ،وﺑﺣول ﷲ ﺗﻌﺎﻟﻰ ﻧﻛون ﻗد اﻧﺗﮭﯾﻧﺎ ﻣن اﻟوﺣدة اﻟﺳﺎدﺳﺔ وﻧﻠﻘﺎﻛم ﻣﻊ اﻟوﺣدة اﻟﺗﺎﻟﯾﺔ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ