سلام دوستان
برخی از ویروسها برای انتشار،خود را به فایل های اجرایی میچسبانند ! و با اجرا شدن برنامه ،ویروس هم اجرا می شود !
این ها به چه شکل عمل می کنند ؟! و به چه شکل می توان وجود یک ویروس در فایل اجرایی را تشخیص داد؟!
ممنووووووووووون

این ها به چه شکل عمل می کنند ؟!
به شکل های مختلف.


به چه شکل می توان وجود یک ویروس در فایل اجرایی را تشخیص داد؟!
باز به شکل های مختلف!

اگر Signature ویروس مشخص باشه، میشه با بررسی فایل EXE، چک کردن که آیا این ویروس روی آن سوار شده یا نه؛ مثلا ویروسی که یک کد باینری خاص را در موقعیت خاصی اضافه می کند رو میشه با بررسی آن موقعیت خاص در فایل EXE شناسایی کرد.
اگر وضعیت فایل EXE قبل از آلوده شدن مشخص باشه، میشه از فایل EXE سالم یک Hash Code گرفت، و به طور دوره ایی این Hash Code را چک کرد. اگر Hash Code تغییر کرده باشه، یعنی فایل EXE تغییر کرده. این تغییر یا به واسطه آپدیت شدن نرم افزار هست، یا ویروسی شدن آن.

ممنوون دوست عزیز
دارم با MD5 کار می کنم تا بتوانم این یک مورد را پیاده سازی کنم،اما منظور من از این سوال راهی برای تشخیص چسبیده شدن برنامه ای در برنامه دیگر بود بدون در نظر گرفتن Hash code و شناخته شده بودن ویروس !!!
فرض را بر این بگیریم که برنامه (آنتی ویروس) قرار است بعد از آلوده شدن سیستم ، فایل اجرایی را اسکن کند و ویروس چسبیده شده به فایل اجرایی ناشناخته است !
در این شرایط امکان تشخیص ویروس نیست ؟!

ممنوون دوست عزیز
دارم با MD5 کار می کنم تا بتوانم این یک مورد را پیاده سازی کنم،اما منظور من از این سوال راهی برای تشخیص چسبیده شدن برنامه ای در برنامه دیگر بود بدون در نظر گرفتن Hash code و شناخته شده بودن ویروس !!!
فرض را بر این بگیریم که برنامه (آنتی ویروس) قرار است بعد از آلوده شدن سیستم ، فایل اجرایی را اسکن کند و ویروس چسبیده شده به فایل اجرایی ناشناخته است !
در این شرایط امکان تشخیص ویروس نیست ؟!
براي مشخص كردن فايل اصلي از فايل آلوده بايد چيزي براي مقايسه وجود داشته باشه ، آنتي ويروسها اطلاعات مربوط به نحوه ي آلوده كردن فايلها براي ويروسهاي مختلف رو در بانك اطلاعاتيشون دارند و از اون استفاده مي كنند ، اينكه هر ويروس كدوم قسمت فايل رو آلوده مي كنه و چه چيزهايي به فايل اضافه مي كنه و ...

موفق باشيد ...

ممنوووون دوست عزیز
آیا یک ویروس می تواند به هر فایل اجرایی بچسبد ؟ حتی فایلی که هیچ وقت اجرا نشده ؟!!!
منظور از چسبیده شدن ویروس به فایل اجرایی این است که با اجرای فایل ابتدا ویروس اجرا شده و بعد برنامه اجرا شود !
لطفا اگر مقاله ای در این رابطه دارید معرفی کنید...

چسبيدن ويروس به يك فايل اجرايي به معني متصل كردن فايل اجرايي ويروس به فايل EXE نيست ، بلكه ويروسها كدهاي خاصي رو به فايلهاي EXE اضافه مي كنند تا در زمان اجراي فايل EXE اون كدها هم اجرا بشن ، اين كدها ممكنه مربوط به اجرا كردن فايل اصلي ويروس يا مربوط به انجام وظيفه ي خاصي باشن كه ويروس براي اونها در نظر گرفته ...
ميشه اطلاعات رو به يك فايل اجرا نشده هم Attach كرد ولي در هر صورت براي دسترسي به فايل بايد اون رو لود كرد ، چون لود كردن فايل براي فايلهاي حجيم يا خاصي بعضا ممكن نيست يا غير منطقيه يا اينكه ممكنه آنتي ويروس رو تحريك كنه ، پس ويروسها هم منتظر مي مونن تا فايل به صورت عادي لود بشه و بعد دستوراتشون رو در فايل قرار مي دن ...
يك نوع ديگه اي از تزريق هم وجود داره كه مستقيما به فضاي برنامه ي اجرا شده در حافظه تزريق ميشه ، به طوري كه دستور در خانه ي حافظه ي مربوط به فايل اجرا شده قرار مي گيره و توسط همون فايل اجرا ميشه ! ، مثلا فرض كنيد برنامه اي اجرا شده و در حافظه خانه اي با آدرس X براي اون در نظر گرفته شده ، حالا ويروسي مياد و كد مخرب خودش رو درون اين خانه ي حافظه قرار ميده ، وقتي پردازنده دستورات اين خانه ي حافظه رو اجرا ميكنه ، سيستم عامل اجرا كننده ي اين دستورات يا صاحب ! اونها رو همون برنامه اي مي دونه كه در خانه ي حافظه ي X لود شده در حالي كه كدها مربوط به اون برنامه نيست و توسط برنامه ي ديگه اي به اون خانه از حافظه تزريق شده ، به اين نوع تزريق مي گن Process Injection كه تنها مربوط به اجراي يك دستور موقت با هويت يك برنامه ي شناخته شده براي سيستم عامل هست ، مثلا خيلي از ويروسها دستوراتشون رو به پروسه ي Explorer.exe تزريق مي كنن ، چون اگر اين پروسه بخواد دستوري رو اجرا كنه معمولا آنتي ويروسها و سيستم عامل بهش اجازه ي اين كار رو ميدن ولي شايد براي اجراي همون دستورات ، يك Process ديگه اجازه نداشته باشه ... !

موفق باشيد ...

در مورد نحوه کار این ویروس ها مقاله 15 صفحه ای رو چند وقت پیش نوشتم ، میتونید مطالعه کنید سوالی داشتید بپرسید ، همراه با مثال عملی .