PDA

View Full Version : سوال: ocx ها , dll ها ویروس هستند ؟ چگونه تشخیص دهیم ؟



zahedi121
یک شنبه 29 خرداد 1390, 09:39 صبح
سلام
برای یک پروژه کارفرما میگه نباید از ocx یا dll استفاده کنم چون ممکنه ویروسی باشه ، واقعا امکان داره
این فایلهای کاربردی که در اینترنت هم زیاد هست به عنوان ویروس عمل کنه ؟ چطور میشه تشخیص داد
که این فایلها دقیقا چه کارهایی انجام می دهند ؟

متشکرم

محسن واژدی
یک شنبه 29 خرداد 1390, 11:31 صبح
سلام علیکم
اگر همیشه به نیمه خالی لیوان نگاه کنیم پس هیچگاه نبایستی از کامپوننت ها و کتابخانه ها استفاده کنیم در صورتیکه یکی از مزایای فایل ocx و dll قابلیت به اشتراک گذاری و جلوگیری از تکرار یک عملکرد و همچنین تنها در مواقع نیاز در حافظه بار میشوند که در این صورت موجب افزایش سرعت عملکردی برنامه و کاهش فضای اشغال شده میشوند

و این که گفتین ویروسی، تنها باید به کامپوننت هایی که ناشناخته هستند به عبارتی کامپوننت هایی که تا بحال آنها برخورد نداشته اید و حتی اسمشان را نشنیده مشکوک باشید و گرنه کامپوننت هایی هستند نظیر codejock که خارج از برنامه قرار میگیرند و کاربران زیادی نیز با اطمینان خاطر از آنها استفاده میکنند و برعکس همیشه بایستی به فایل های اجرایی شک داشته باشیم و فایل های گرفته شده از اینترنت را بایستی همیشه بررسی کرد

متداول ترین روش استفاده از آنتی ویروس بروز است که البته فایل یا کامپوننت مشکوک را قبل از هرگونه اقدامی غیرفعال میکنند

موفق باشید

M.T.P
یک شنبه 29 خرداد 1390, 11:33 صبح
به نظر من:
تا حد ممکن از الحاق ocx و dll های متفرقه به پروژتون خودداری کنید. (مخصوصا از نوع مجانیش)
برای مانیتور کردنشون:
اطلاع از اتصال به شبکه و جلوگیری از آن با Firewall تا حدودی مفید خواهد بود البته از نرم افزارهای مانیتور شبکه هم میتونید برای مشاهده برنامه های که به شبکه متصل شده اند استفاده کنید.
برای جلوگیری از تخریب ریجستری و یا فایل های سیستمی نرم افزارهای Security یا استفاده از UAC ویندوز ویستا و 7 می تونه مفید باشه.

returnx
یک شنبه 29 خرداد 1390, 11:41 صبح
تا حد ممکن از الحاق ocx و dll های متفرقه به پروژتون خودداری کنید. (مخصوصا از نوع مجانیش)

اگه میشه دلایلشم رو ذکر کنید ،به نظر من که اگه از سالم بودن OCX ها و DLL ها اطمینان حاصل کنید هیچ مشکلی نداره...
در ضمن میشه از نقش OCX ها در برنامه ها تا حدی چشم پوشی کرد اما بعضی از DLL ها هستند که برای راحت تر شدن برنامه نویسی و بالا بردن کارایی برنامه نمیشه ازشون چشم پوشی کرد...

M.T.P
یک شنبه 29 خرداد 1390, 12:07 عصر
اگه میشه دلایلشم رو ذکر کنید ،به نظر من که اگه از سالم بودن OCX ها و DLL ها اطمینان حاصل کنید
مشکل دقیقا همینجاست که نمی تونیم سالم بودنشون رو تایید کنیم ، مگه مواردی که توسط یک شرکت و یا Publisher معروف عرضه میشه مثل همون CodeJock


در ضمن میشه از نقش OCX ها در برنامه ها تا حدی چشم پوشی کرد اما بعضی از DLL ها هستند که برای راحت تر شدن برنامه نویسی و بالا بردن کارایی برنامه نمیشه ازشون چشم پوشی کرد...
با شما موافقم و منکر این موضوع نیستم ، اما بهتره چنانچه سورس این دسته از ocx و dll ها رو در اختیار داریم ، خود ما اونها رو بصورت ocx dll کامپایل و سپس مورد استفاده قرار بدهیم و درصد امنیت نرم افزارمون رو افزایش بدیم.

به عنوان مثال بنده سایتی رو میشناسم که یک dll کامل جهت استفاده از BaloonTip های مختلف با امکانات رنگ ، فونت ، موقعیت نمایش و کلی امکانات دیگر رو عرضه کرده ، این در حالی هست که من سورس کامل رو دارم و با کمی وقت گذاشتن می تونم dll مذکور رو خودم پیاده سازی و ازش استفاده کنم.

محسن واژدی
یک شنبه 29 خرداد 1390, 14:06 عصر
بهتره چنانچه سورس این دسته از ocx و dll ها رو در اختیار داریم ، خود ما اونها رو بصورت ocx dll کامپایل و سپس مورد استفاده قرار بدهیم و درصد امنیت نرم افزارمون رو افزایش بدیم.

به عنوان مثال بنده سایتی رو میشناسم که یک dll کامل جهت استفاده از BaloonTip های مختلف با امکانات رنگ ، فونت ، موقعیت نمایش و کلی امکانات دیگر رو عرضه کرده ، این در حالی هست که من سورس کامل رو دارم و با کمی وقت گذاشتن می تونم dll مذکور رو خودم پیاده سازی و ازش استفاده کنم.

بنده کاملا" با این دو سخن جناب M.T.P موافقم

zahedi121
یک شنبه 29 خرداد 1390, 20:01 عصر
سلام و تشکر
راه حلی وجود نداره که تمام فعالیتهای این فایلها را بررسی کرد ، استفاده از آنتی ویروس و فایروال تنها وقتی جواب میده که شرکت سازنده آنتی ویروس اون کامپونت را شناسایی کرده باشه وگرنه شما میلیونها کامپونت در اینترنت می بینید از کجا معلوم چه فعالیتی انجام می دهند ، حتی کامپونت های معروف مثل codejock اگر بتوانند کاری خلاف فعالیت عادی انجام بدهند معلوم نیست چه اطلاعاتی از سیستم شما را به سازنده ارسال می کنند ، اینطور نیست ؟ و به همین دلیل معمولا ادارات و شرکتهایی که اطلاعاتشون از اهمیت بالا برخوردار است تمام سورس برنامه را از شما طلب می کنند و از استفاده کردن این فایلها می ترسند.
سایتی وجود نداره که سورس کامپونت های کاربردی را داشته باشه ؟ مثل فرمها و دکمه های زیبا یا دیتا گریدها و رسامهای چارت ؟

سپاسگزارم

Mr'Jamshidy
یک شنبه 29 خرداد 1390, 20:51 عصر
سلام و تشکر
راه حلی وجود نداره که تمام فعالیتهای این فایلها را بررسی کرد ، استفاده از آنتی ویروس و فایروال تنها وقتی جواب میده که شرکت سازنده آنتی ویروس اون کامپونت را شناسایی کرده باشه وگرنه شما میلیونها کامپونت در اینترنت می بینید از کجا معلوم چه فعالیتی انجام می دهند ، حتی کامپونت های معروف مثل codejock اگر بتوانند کاری خلاف فعالیت عادی انجام بدهند معلوم نیست چه اطلاعاتی از سیستم شما را به سازنده ارسال می کنند ، اینطور نیست ؟ و به همین دلیل معمولا ادارات و شرکتهایی که اطلاعاتشون از اهمیت بالا برخوردار است تمام سورس برنامه را از شما طلب می کنند و از استفاده کردن این فایلها می ترسند.
سایتی وجود نداره که سورس کامپونت های کاربردی را داشته باشه ؟ مثل فرمها و دکمه های زیبا یا دیتا گریدها و رسامهای چارت ؟

سپاسگزارم

اگر آنتیویروس شما هوشمند باشه مثل Kaspersky دیگه اطلاعات ثبت شده براش ملاک نیست و با توجه به عملکرد فایل اجرایی یا کامپوننت اونو تشخیص میده
و اگر مثلا Macafee باشه خوب مشخصه دیگه اگر قبلا شناسایی شده بود که میشناسش و اگر نبود که خدافظ

شما هم تا جایی که میتونید از کامپوننت هایی که تو این سایت معرفی میشه استفاده کنید چون اگر مشکلی داشته باشه حتما گزارش میشه و کامپوننت از سایت حذف میشه

returnx
یک شنبه 29 خرداد 1390, 21:10 عصر
البته اگه شما از Eset Smart Security استفاده میکنید می تونید فایل های مشکوک رو بفرستید براشون تا براتون آنالیز کنند...
برای اینکار میتونید به قسمت Tools برید بعد لینک Submit File For Analys رو بزنید بعد فایل را انتخاب کنید و بعد ایمیلتون را وارد کنید تا نتیجه واستون ارسال بشه...
البته نمیدونم IP ایران Support میشه یا نه!؟

محسن واژدی
یک شنبه 29 خرداد 1390, 21:30 عصر
سایتی وجود نداره که سورس کامپونت های کاربردی را داشته باشه ؟ مثل فرمها و دکمه های زیبا یا دیتا گریدها و رسامهای چارت ؟


سلام علیکم
planet-source-code.com نیز حاوی کامپوننت های مفیدی در زمینه های مختلف میباشد

موفق باشید

pcdownload.bloghaa.com
یک شنبه 29 خرداد 1390, 23:53 عصر
اگر آنتیویروس شما هوشمند باشه مثل Kaspersky دیگه اطلاعات ثبت شده براش ملاک نیست و با توجه به عملکرد فایل اجرایی یا کامپوننت اونو تشخیص میده
من این حرف آقای Mr'Jamshidy را کاملا تایید میکنم.
من خودم یه بار یه ویروس ساده آزمایشی ساخته بودم.در هنگام اجرا برای تستش آنتی ویروس کاسپرسکی با اون صدای جیغ گوش خراش کلا منو از ادامه مساله ویروس نویسی منصرف کرد.
این آنتی ویروس ها یا از محیط اجرای مجازی استفاده میکنن یا کد مخرب را از ساختار فایل EXE شناسایی میکنن.

zahedi121
دوشنبه 30 خرداد 1390, 07:31 صبح
سلام و تشکر از همراهیتان
موضوع خیلی منحرف شد ، بحث سر اینکه چه آنتی ویروسی چطور ویروسها را میشناسه و کدوم آنتی ویروس قوی تر عمل میکنه که فکر نمی کنم هیچ وقت به مقصد برسه ولی موضوع اینه که بالاخره خیلی از ویروسها شناخته نمی شوند و در مورد خاص این تاپیک
خیلی بعیده که شناخته شوند ، چون به عنوان مثال شما از یک کامپونت استفاده می کنید که وب بروزر یا دیتاگریدی که باید اطلاعات را از شبکه بگیره یا ... بالاخره فایروال شما خطا می ده که برنامه فلان پورت را برای اتصال باز کرده، شما هم برای اینکه برنامتون کار کنه
موضوع را تایید می کنید. این مطلب هم فراموش نشود که این فایلها معمولا توسط برنامه نویسان حرفه ای نوشته میشه بنابراین اگر بخواهد ویروس باشه بهترین امکان را داره.
فکر کنم بهتره به دنبال سورسها باشیم .در سایتی که یکی از عزیزان معرفی کرده بودند ، کامپونت زیاد بود ولی سورسش را نگذاشته بودند ، اگر رفقا سایتی می شناسند که سورس کامپونت ها را داره یا راه حلی برای شناسایی عملیات کامپونت ها دارند ، بگذارند متشکر میشم.

محسن واژدی
دوشنبه 30 خرداد 1390, 08:49 صبح
سلام علیکم
اگر در سایت PSC (Planet-source-code.com) جستجو کنین بعید میدانم کامپوننتی بدون سورس وجود داشته باشد

موفق باشید

pcdownload.bloghaa.com
دوشنبه 30 خرداد 1390, 19:10 عصر
فایل های dll مقداری کد کامپایل شده با امکان ارجاع مستقیم بهشون هستند.
فایل های کامپوننت یه مقدار کد کامپایل شده با امکان ارجاع مستقیم بهشون + یک پنجره برای امور مربوط بهش هستند.
فایل های اجرایی یه مقدار کد کامپایل شده+ مقداری ارجاعات به dll ها + مقداری ارجاعات به ocx ها + parent شدن برای پنجره همون ocx ها + یک پنجره اصلی هستند.

پس همون طور که میبینید قسمت مشترک همه این فایل ها قسمت "کد کامپایل شده" هست.و پردردسرترین قسمت هم همین قسمت هست.پس دیگه بهتره این بحث زیاد کش پیدا نکنه
چون آخر سر به علت همین قسمت کامپایل شده و شناسایی آلوده بودن اون میرسیم به بحث شیرین "ویروس و آنتی ویروس"!