المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : كيف تفرق بين التروجان والدودة والفيروس



عابرسبيل2007
28-May-2007, 11:49
السلام عليكم ورحمة الله وبركاتة

بسم الله الرحمن الرحيم



دائما يخلط البعض في المصطلحات فيسمي التروجان والدودة والفيروس وهذا غير صحيح فالكلمات تروجان وفيروس ودودة هي مصطلحات تطلق على أنواع مختلفة من البرمجيات المؤذية للحاسب.
وسوف نقوم اليوم بإيضاح الفروقات بين هذه المسميات. فكل نوع له طريقة عمل خاصة به ولذالك أطلقت التسميات المختلفة .
الفيروس
الفيروس يلحق نفسه ببرنامج أو ملف وينتشر من جهاز إلى جهاز مثل انتشار مرض الإنسان.

في كل جهاز يدخله الفيروس يخلف وراءه العدو. خطر الفيروسات يختلف من نوع إلى آخر بعضها قد يؤدي إلى بعض الأعطال البسيطة وبعضها قد يسبب تلف الهاردوير أو البرامج لديك وحتى ملفاتك المهمة.

في العادة معظم الفيروسات تأتي على شكل ملف تنفيذي exe وهذه الملفات عند نزولها في جهازك لن تعمل حتى تقوم أنت بمحاولة تشغيلها. وللمعلومة الفيروسات لا تنتقل ذاتيا وإنما عن طريق الإنسان وذلك عندما يحاول تشغيلها أو إرسالها عن طريق الإيميل وهو لا يعلم بأنها تحتوي فيروسا.

ولكي تحمي نفسك من الفيروسات تحتاج إلى برنامج مكافحة الفيروسات وهو يعمل مثل المضاد الحيوي للإنسان فهذا البرنامج يقوم بزيادة مناعة جهازك ضد الفيروسات وبذلك تقل فرص إصابتك بهذه البرمجيات الخبيثة.


الدودة

الدودة قريبة من الفيروس في التصميم ولكن تعتبر جزءاً فرعياً من الفيروس. الاختلاف الذي يفرق الفيروس عن الدودة بأن الدودة تنتشر بدون التدخل البشري حيث تنتقل من جهاز إلى آخر بدون عمل أي إجراء.

الجزء الخبيث في الدودة هو قدرتها على نسخ نفسها في جهازك بعدة أشكال وبذالك يتم إرسالها بدلا من مرة وحدة سترسل آلافاً من النسخ للأجهزة الأخرى. مما يحدث مشاكل كبيرة. وتستغل الدودة طرق الاتصال التي تقوم بها لإتمام هذه العملية لذالك قد ترى في بعض الأحيان ظهور نافذة طلب الاتصال اتوماتيكيا بدون طلبك أنت فانتبه فقد يكون لديك دودة.

وآثار الدودة عادة هي زيادة في استخدام مصادر الجهاز فيحصل في الجهاز تعليق بسبب قله الرام المتوفر وأيضا تسبب الدودة في توقف عمل الخوادم فعلا سبيل المثال يمكنك تخيل التالي. لو كان عندك دودة فستقوم الدودة بنسخ نفسها ثم إرسال لكل شخص من هم لديك في القائمة البريدية نسخة وإذا فتح احدهم هذه الرسالة ستنتقل إلى كل من لديه هو في قائمته البريدية وهذا يولد انتشاراً واسعاً جداً.

وأفضل مثال على الدودة هي ما حصل العام الماضي دودة البلاستر التي كانت تدخل لجهازك لتسمع ببعض الأشخاص بالتحكم بجهازك عن بعد . أيضا يقوم برنامج الكاسبرسكاي أعلاه بحمايتك من هذا النوع أيضا.

التروجان

التروجان يختلف كليا عن الفيروس والدودة . التروجان صمم لكي يكون مزعجاً أكثر من كونه مؤذياً مثل الفيروسات.

عندما تقوم بزيارة احد المواقع المشبوهة أحيانا يطلب منك تحميل برنامج معين. الزائر قد ينخدع في ذلك فيعتقد انه برنامج وهو في الحقيقة تروجان .

يقوم التروجان في بعض الأحيان بمسح بعض الأيقونات على سطح المكتب. مسح بعض ملفات النظام. مسح بعض بياناتك المهمة. تغير الصفحة الرئيسية للإنترنت إكسبلورر. عدم قدرتك على تصفح الانترنت. وأيضا عرف عن التروجانات أنها تقوم بوضع باكدور في جهازك من ما يسمح بنقل بياناتك الخاصة إلى الطرف الآخر بدون علمك.

وهذا هو الخطير في الأمر. علما بأن التروجان لا يتكاثر مثل الدودة ولا يلحق نفسه ببرنامج مثل الفيروس ولا ينتشر أيضا سواء عن تدخل بشري أو لا، أيضا يقوم الكاسبرسكاي يقوم بحمايتك من هذا النوع أيضاً.

يتكون برنامج الفيروس بشكل عام من اربعة اجزاء رئيسية و هي:
الية التناسخ The Replication Mechanism
و هو الجزء الذي يسمح للفيروس ان ينسخ نفسه و بدونه لا يمكن للبرنامج ان يكرر ذاته و بالتالي فهو ليس فيروسا.
الية التخفي The Protection Mechanism
و هو الجزء الذي الذي يخفي الفيروس عن الاكتشاف و يمكن ان يتضمن تشفير الفيروس لمنع البرامج الماسحة التي تبحث عن نموذج الفيروس من اكتشافه
الية التنشيط The Tigger Mechanism
و هو الجزء الذي يسمح للفيروس بالانتشار قبل ان يعرف وجوده كاستخدام توقيت الساعة في الكمبيوتر كما في فيروس mechelangelo الذي ينشط في السادس من اذار من كل عام و هناك فيروسات تنتظر حتى تنفيذ برنامج ما عددا معينا من المرات كما في فيروس celand او disk crunching الذي يستهدف ملفات exe و يصيب كل عاشر ملف يتم تنفيذه او بعد عدة مرات من اقلاع الكمبيوتر او عند تنفيذ تسلسل معين من الاوامر كما في فيروس fumanchu الذي ينشط عند الضغط على ctrl+alt+del
الية التنفيذ The Play Mechanism
و هو الجزء الذي ينفذه الفيروس عندما يتم تنشيطه و قد يكون مجرد رسالة على الشاشة او مسح بعض الملفات او تخريب كامل للقرص الصلب او مسح تدريجي للبيانات
اوجه الشبه بين الفيروس العادي وفيروس الحاسوب :
1. العدوى .
2. كلاهما يلحق الضرربالمصاب .
3. وجود أعراض للمصاب بالفيروس .
4. التكاثر في الفيروس العادي والتناسخ في البرمجة .
5. كلاهما لا يعمل إلا بشروط معينة .
طرق انتقال فيروس الحاسوب :
1. وسائط التخزين المساعدة مثل الاقراص .
2. الشبكات . (للمزيد من المعلومات)
ما هو الهدف من كتابة الفيروس ؟
1. الحد من نسخ البرامج كما في فيروس باكستاني أو Brain وهو اول فيروس كمبيوتر ظهورا وانتشارا .
2. البحث العلمي كما في فيروس Stoned الذي كتبه طالب دراسات عليا في نيوزيلاندا وسرق من قبل أخيه الذي أراد أن يداعب أصدقائه بنقل الفيروس إليه .
3. الرغبة في التحدي وأبراز المقدرة الفكرية من بعض الاشخاص الذي يسخرون من ذكائهم وقدراتهم بشكل سيء مثل فيروس V2P الذي كتب كإثبات ان البرامج المضادة من نوع معين غير فعالة .
4. الرغبة في الانتقام من قبل بعض المبرمجين المطرودين من أعمالهم والناقمين على شركائهم ويصمم الفيروس في هذه الحاله بحيث ينشط بعدما يتم تركهم العمل بفترة كافية اي تتضمن قنبلة منطقية موقوته.
5. التشجيع على شراء البرامج المضاده للفيروسات اذ تقوم بعض شركات البرمجة بنشر فيروسات جديدة ثم تعلن عن منتج جديد لكشفها . (للمزيد من المعلومات)
الظواهر الدالة على وجود الفيروسات :
إن وجد عارضين أوأكثر من العوارض الدالة على وجود فيروس فإمكانية وجود الفيروس في جهازك تصبح أكبر ومن هذه العوارض :
1. بطيء في الجهاز وذلك بسبب :
* الفيروسات تتحكم بإجراءات التنفيذ والتشغيل للجهاز والبرامج فيزي من التعليمات .
* الفيروس ياخذ حيز في الذاكرة الرئيسية RAM . (للمزيد من المعلومات)
2. انخفاض سعة الذاكرة الرئيسية بشكل مفاجيء مما يؤدي إلى عدم تنفيذ البرامج وبالذات البرامج التي تأخذ سعة عالية في RAM .
3. انخفاض سعة القرص الصلب بشكل ملحوظ وذلك بسبب تناسخ الفيروسات
4. تغير شكل بعض أيقونات الملفات .
5. تغير حجم بعض الملفات وذلك بسبب تضمين الفيروس ضمن هذه الملفات .
6. تنفيذ البرامج يستغرق وقتا أكثر من المعتاد .
7. ظهور رسائل خطأ غير مألوفة وخاصة عند ظهور رسائل تشير إلى أستخدام الاقراص والبرامج بشكل متكرر دون أن يتم استعمالها من قبل المستخدم .
ماذا تفعل عند اكتشافه في الكمبيوتر ؟
الوقاية من الفيروسات
تصنيف الفيروسات
التقنيات التي تستخدمها الفيروسات لمنع اكتشافها


تختلف البرامج المضادة للفيروسات بحسب الطريقة التي تنتهجها في البحث عن الفيروسات و تميز الطرق التالية:

1. برامج الماسحات Scanners

يبحث هذا البرنامج عن وجود تسلسل محدد من الرموز التي تميز كل فيروس signature و التي لا يمكن ان توجد في البرامج العادية و تكون مخزونة في قاعدة معلومات مرفقة بالبرنامج و ذلك بشكل مشابهلاستخدام البصمات للكشف عن المجرمين بطابقة البصمة المطلوبة مع بصمات العديد من المشتبه بهم.

ومما يعيب هذا النوع من البرامج عدم قدرته على اكتشاف الفيروسات الجديدة التي لم يتم تحليلها و معرفة الرموز المميزة لها لذا من الضروري تحديث البرنامج بشكل دائم و دوري.



2. برامج كشف التغيير Change Detection

يكشف البرنامج التغيرات التي تطرا على الملفات او على قطاع بدء التشغيل لاكتشاف الفيروسات القديمة و الجديدة و ذلك باستخدام تقنية تدقيق المجموع checksum و التي تعتمد على اجراء فحص شامل للملفات و تسجيل اطوالها و خصائصها في ملف خاص و مطابقتها لاحقا مع الاطوال الحالية

و مما يعيب هذا النوع من البرامج فشله في اكتشاف الفيروسات المستبدلة التي تحافظ على طول الملف و الفيروسات المرافقىة التي لا تغير الملف الاصلي كما ان بعض الفيروسات تستطيع المحافظة على تاريخ تسجيل الملف بدون تعديل و لذا تعتمد بعض البرامج على تقنيات اكثر تعقيدا من اجل اختبار الفائض الدوري

(cyclic redundancy check) باستخدام مصفوفات البيانات



3. برامج المراقبة Monitoring

تقوم هذه البرامج بمراقبة اداء الكمبيوتر و تمنع بعض الاعمال المشكوك فيها او التي يشتبه انها من عمل الفيروسات مثل محاولة اعادة تهيئة القرص الصلب او اعادة اقلاع الجهاز كما تمنع انتقال الفيروسات من الاقراص المصابة الى الكمبيوتر اثناء عملية النسخ

و مما يعيب هذا النوع من البرامج عدم الدقة و اعطاء تنبيهات خاطئةfalse alarms

و تتوفر في الاسواق اليوم العديد من الحزم البرمجية المضادة للفيروسات و التي تجمع بين اكثر من برنامج من الانواع السابقة لتضمن اكبر وثوقية في التعامل مع مشكلة الفيروسات و اشهرها هي Norton antivirus او dr.Solomon antivirus toolkit او mcafee scan او ibm antivirusاو dr.web و غيرها كما يتضمن نظام التشغيل dos برنامج msav للكشف عن الفيروسات الا انه متوسط الفعالية ولا ينصح به بشكل مفرد

و يجب التاكيد على انه كلما كان اكتشاف الاصابة بالفيروس مبكرا كلما قل الضرر الناجم عنه

فحص الذاكرة للتاكد من خلوها من الفيروسات
تنتقل معظم الفيروسات بعد ان تصبح مقيمة في ذاكرة الحاسب تحت النهاية العليا للذاكرة top of memory اي تحت حدود ال640 و يمكن اكتشاف وجود الفيروس في الذاكرة باستخدام احد الامرين mem او chkdsk في نظام التشغيل دوس،فمثلا في حالة الفيروس stealth-boot فان تنفيذ الامر mem يعطي 636k بدلا عن 640 و الامر chkdsk يعطي 264651 بايت بدلا عن 655360 بايت
اما اذا كان النقص في قيمة الذاكرة هو 1k اي ان الامر Mem اعطى القيمة 639k فان السبب على الغالب لا يمت للفيروسات لان عدد الفيروسات التي تحتل كيلوبايت واحد فقط من ذاكرة الحاسب قليل جدا و من اسباب حدوث ذلك:
1. الحاسب من طراز IBM ps/2 و الذي يحجز مقدار كيلو بايت من الذاكرة الاصطلاحية من اجل تخزين معلومات اضافية مطلوبة لنظام الدخل و الخرج الاساسي BIOS
2. ضابط التحكم من نوع اسكزي SCSI Controller
3. النماذج القديمة من اجهزة Compaq
ومن ناحية اخرى فقد يكون النقص في قيمة الذاكرة هو 2k او اكثر بدون وجود فيروس في ذاكرة الحاسب و من اسباب حدوث ذلك:
1. بعض برامج التحكم بالدخول بالحاسب و التي تمنع الاقلاع من القرص المرن
2. الحواسب من نوع hp\vectra
3. بعض الحواسب التي تستخدم انواعا خاصة من ال bios التي تستخدم الذاكرة كميقاتية او حاسبة
وللتاكد من وجود الفيروس في الذاكرة او عدمه يجب تشغيل عدد من البرامج الفاحصة scanners.

استخدام FDISK لاستبدال سجل الاقلاع الرئيسي للقرص الصلب

يمكن استخدام الامر FDISK للتخلص من الفيروسات التي تصيب سجل الاقلاع الرئيسي للقرص الصلب MBR و لكن يجب الحذر لان استخدامه بشكل خاطئ قد يسبب ضياع المعلومات للابد و عدم امكانية استرجاعها فاذا لم تكن متاكدا من حالتك فلا تستخدمه مطلقا.

قبل تنفذيذ هذا الامر يجب عمل نسخة احتياطية من جميع الملفات الموجودة على القرص الصلب و يفضل استخدام الشريط المغنط اذا كان ذلك ممكنا و لا يكون هذا الاجراء مناسبا في اية اصابة فيروسية تسبب ضررا لمناطق اخرى غير قطاع الاقلاع الرئيسي مثل تخريب جدول مواقع الملفات FAT او تخريب جدول تقسيمات القرص الصلب او وجود وحدات تخزين مفقودة او مناطق غير صالحة للتخزبن لان تصحيح سجل الاقلاع الرئيسي في هذه الحالات باستخدام FDISK سيؤدي الى منع الادوات الاخرى مثل SCADISK و CHKDSK من اصلاح هذه المشاكل و لكي نستخدم الامر بالطريقة الصحيحة نتبع ما يلي:

1. اقلاع الحاسب من قرص مرن نظيف يتضمن نفس نسخة نظام التشغيل الموجودة على القرص الصلب المراد معالجته

2. عند ظهور اشارة النظام A:\> نكتب C: ونضغط ENTER فاذا ظهرت الرسالة Invalid Drive Specification فلا تتابع العمل لان النتائج غير محمودة

3.عند ظهور اشارة c:\> انتقل للدليل الفرعي dos و نفذ الامر FDISK فاذا لم يتمكن من التعرف على جميع اقسام القرص الصلب كان يوجد قسم خاص بنظام OS/2 فلا تتابع العمل ايضا

4. لا يمكن استخدام FDISK للتخلص من الفيروس Monkey و اشباهه، حيث يتعذر الوصول للقرص الصلب و كذلك عند استخدام برامج حماية خاصة مثل DISKLOCK او برامج خدمية لاعداد القرص الصلب مثل disk managerعند التاكد من عدم وجود اية حالة مما ذكر يمكن تنفيذ الامر FDISK/MBR حيث ستظهر اشارة النظام فورا ، وسيكون قد تمت كتابة نسخة سليمة من سجل الاقلاع الرئيسي خالية من الفيروسات بدون اجراء اية تغيرات على اقسام القرص الصلب ( اي لم يطراء اي تعديل على المعلومات الموجودة على القرص الصلب) و ينصح مستخدم الكمبيوتر باستخدام البرامج المضادة للفيروسات من اجل التاكد من خلو الكمبيوترو الاقراص من الفيروسات و لازالتها في حالة الاصابة و لمنعها من اختراق الكمبيوتر في المستقبل. و يجب التاكيد على ضرورة اعادة اقلاع النظام انطلاقا من قرص اقلاع نظيف و مامون من الفيروسات قبل تنفيذ البرامج المضادة للفيروسات لان اكثر الفيروسات تستخدما طرقا للتمويه و لخداع النظام عندما تكون موجودة في ذاكرة الحاسب.
هناك أعراض مشتركة تظهر في حال وجود الفيروس :
1. عليك تخزين أي عمل تقوم به لحظة اكتشافه الفيروس ثم اغلق الجهاز .
2. شغل الجهاز من خلال اسطوانة مرنة او ليزرية قادرة على تشغيل الجهاز ومؤمنة ضد الكتابة .
3. افحص الاقراص الصلبة بواسطة أحد البرامج المتخصصة والتي تدعى Antivirus والمخزنة على اقراص خارجية للتحقق من نوع الفيروس والملفات المصابة .
4. قم بإزلة الفيروس من الملفات المصابة وذلك باستخدام البرنامج المضاد للفيروسات .
5. افحص الاسطوانات الثابته عدة مرات للتأكد من سلامتها من الاصابة وباستخدام برامج مختلفة من الAnitivirus .
6. تأكد من الاقراص التي استخدمها في نظام للتأكد من خلوها من الفيروسات


طرحت هدا الموضوع بناء على المثل الذي يقول جهلك بعدوك سبب انهزامك أمامه
وما أخطرالأعداء التي تواجهنا على هده الشبكة العنكبوتية

miss-sara
30-May-2007, 11:25
يعطيك العافيه عابر على المعلومات القيمة

عابرسبيل2007
04-Jun-2007, 12:50
خالص الشكر لكم اختي الفاضلة miss-sara علي المرور الكريم

توتي فروتي
05-Jun-2007, 06:40
تشكر عابر سبيل على الموضوع القيم والمفيد ..

احترامي وتقديري
:cool:

عابرسبيل2007
05-Jun-2007, 11:49
شكرا اختي الفاضلة توتي فروتي علي المرور