شروع ساخت پروژه ی آنتی ویروس متن باز ایرانی ...

[بهروز عباسی]

یه ویروس چه چیزی در سورس خودش داره که برنامه های دیگه ندارن ؟

اهداف خرابکارانه ! ؛ بدافزارها هم درحالت کلّی چیزی بیشتر از یک نرم افزار نیستند و چیزی که اون ها رو تبدیل به بدافزار میکنه اعمال -گاهاً- خرابکارانه اون هاست. بدافزار ها هم برای اجرا به به API سیستم عامل ها نیاز دارند (درموارد خاص میتون اینطوری نباشن) و از اونا استفاده می کنن ولی چون برای کارهای غیر معمول در نرم افزار های مورد اعتماد باعث میشن تا ضدویروس ها به اونا مشکوک بشن مثلاً برنامه های کاربردی معمولی به ندرت از Windows API های Document نشده استفاده می کنن یا مواقعی که بدافزار از Shell Code استفاده می کنن؛ مراحلی که برای به دست آوردن هندل توابع مورد نظر (در shell code ها) در هیچ برنامه ی غیر مخربی پیدا نمیشه و مواردی از این قبلی ...

یه آنتی ویروس چطوری باید صورس یه فایل رو آنالیز کنه ؟

اگه قرار باشه سورس مورد آنالیز قراره بگیره پس AV باید از یک موتور Dis Assembly برای این کار استفاده کنه تا کد فایل اجرایی رو دیس-اسمبل کنه و بعد آنالیز کنه البته این درحالت Static رخ میده و حالت دیگری هم هست، Dynamic analysis که در این نوع آنالیز AV از Code Visualizer ها و SandBox و تکنولوژی های مجازی سازی استفاده میکنه تا رفتار و نه کد بدافزار رو مورد آنالیز قرار بده و با استفاده از اطلاعات قبلی اقدام به تصمیم گیری بکنه.

یه فایل چطوری میتونه به ویروس آلوده بشه ؟

به تعداد فایل ها راه برای آلوده شدن هست ، بدافزار با داشتن ابزارهای مناسب برای تغییر ساختار فایل های اجرایی مخصوصاً بخش PE میتونن خودشون یا فایل مورد نظرشون رو به فایل های دیگه الحاق/تزریق کنن.
یا فقط قطعه ای code مخرب رو به فایل ها تزریق کنن و با ایجاد تغییرات در فایل اجرایی روند اجرای اونو به نحوی تغییر بدن تا اون برنامه حین اجرا ناخواسته قطعه کد مخرب رو هم اجرا کنه و .... .

یه فایل چطوری میتونه پپاککسازی بشه ؟

با داشتن اطلاعات دقیق در مورد ساختار فایل های اجرایی و خروجی کامپایلرهای مختلف میشه آلوده بودن فایل رو تشخیص داد و احتمالاً اقدام به رفع آلودگی کرد.

شب خوش (wink)