شروع ساخت پروژه ی آنتی ویروس متن باز ایرانی ...

[mahak006]

hamidhws :
بنده هم مث شما خیلی شدید نیاز به پول دارم... ولی خب اون چیزی که باعث همکاری من میشه علاقه ای هست که دارم...
به هر حال بنده و آقای نقدی منتظر همکاری شما عزیزان هستیم.
_____________
mahak006 :
بله صحبت های شما درسته ... ما هم روی همین مباحث بحث کردیم و بدیهی هستش که یک آنتی ویروس بدون این زیرساخت ها فلج هستش...
ما قصد نداریم از آنتی ویروس های قوی مث NOD32 تقلب کنیم .. یا باهاشون رقابت کنیم...
میخوایم یه چیز جدیدتر ایجاد بکنیم که یه کاربر بتونه توی تمام دستگاه هاش امنیت رو ( که سعی ما امنیت بالا ) هستش رو برقرار کنه...
از نوع رابط کاربری اون می تونید به این صحبت ها پی ببرید ..

از نظر و توجه شما بسیار سپاسگذارم...
_____________
MunderLine :
باعث خوشحالی هستش...
من برای طراحی رابط کاربری این نرم افزار ، اکثر آنتی ویروس ها و نرم افزارهای امنیتی معروف رو بررسی کردم ...
و به خاطر این که بنده 4 سال متوالی روی بحث مهندسی طراحی رابط های کاربری گرافیکی کار و تحقیق میکردم ( و هنوزم میکنم ) سعی کردم که یه رابط کاربری سبک و راحت رو ارائه کنم...
نرم افزاری که شما لطف کردید و تصویر اون رو گذاشتید : این نرم افزار از رابط کاربری قدیمی استفاده میکنه ... یه مقداری سنگینه و کاربر رو سردر گم میکنه ... ولی نقاط قوت هم داره!

مدل کاری رابط کاربری ما DDM هستش .. مدلی که بنده خودم ابداع کردم و کاملا اصولی و حساب شده هستش...
_____________

موفق باشید

ممنون از پاسختون . البته من همون طور که گفتم همه ی پستا رو نخوندم و واقعا فکر می کنم خوندن همشونم عملی نباشه .
من متوجه موضوع هستم که هدف چی هست و این هدفو ستایش می کنم .
البته چیز هایی که گفتم بیشتر در حد یک سری پیشنهاد هست که به نظرم با اجرا شدنشون رسیدن به هدف تضمین شده و اگه اجرا نشن شاید به هدف اصلیتون نتونید برسید .
البته می دونم که تو پست های قبلی ، حتما این موضوعا بررسی شده . اما اون ها از طرف افراد پروژه بوده .
این صحبتای منو به عنوان یه نظر از طرف استفاده کننده های آینده ی این پروژه در نظر بگیرید که در واقع نیاز مندی های یه کاربر بره جذب شدن به آنتی ویروس شما رو بررسی کرده .
یه پیشنهاد جدید هم دارم که تا حالا تو هیچ جایی ندیدم اجرایی شده باشه ( شاید باشه . ولی من ندیدم ) :
آنتی ویروستو امکانی داشته باشه که مثلا در کنار تضمین امنیت سیستم کامپیوتر خودتون ، بتونه با وصل شدن به یک سیستم دیگه ( از طریق شبکه شدن یا ssh ) از طریق شبکه ، اون سیستم رو ویروس یابی کنه .
اگه چنین امکانی رو آنتی ویروستون داشته باشه ، یه چیزیه که رو دست نداره .
البته پیشنهادای زیادی دارم . ولی اگه بخوام همشو این طوری بگم ، یه جورایی فک کنم خوشتون نیاد که چنین وضعی ایجاد بشه . چون شبیه دستور دادن یا سفارش دادن می شه . در حالی که اگه خودم وقتشو داشتم ، حتما بهتون کمک می کردم . مخصوصا تو بحث شبکه و طراحی Qt و کار های جانبیش .

[Abbas Naghdi]

اندر احوالات پروژه ی سایروس ...
شاید نام گارد امنیتی سایروس بهترین نامی باشه که میشه روی این پروژه گذاشت ... !
این یه پروژه ی متفاوت و با ایده های نو هست !
اگر پست های من از اول تا اینجا رو بخونید متوجه میشید که هدف ساخت آنتی ویروسی متفاوت بود ... ! اما متوجه شدم که این تفاوت باید خیلی عمیق باشه ... !
با پست های اخیر و رابطی که محمد جان دادن و بحث هایی که با همه ی دوستان همراه انجام دادم لازم دونستم که اطلاعاتی رو برای کسانی که در این راه مارو همراهی میکنن و یا قراره همراهی کنن قرار بدم

اصل مطلب :
موضوع از اینجاست که هدف من تولید نرم افزاری امنیتی هست (گاردی امنیتی) که یک آنتی ویروس یا ... نسیت اما ارث بری هایی رو داره ... در مورد این ایده ها که اصلا نمیتونم بگم چون محرمانه هستند ... !
فقط چیزی که قراره بدونید اینه که این نرم افزار قراره روی هر پلتفرمی اجرا بشه حتی تلوزیون و ...
حالا میگین چطور چیزی که برای ویندوز هست و ویروس های ویندوزی رو شناسایی میکنه قراره اندروئید رو هم ایمن کنه و ... من در جواب میگم که این یک آنتی ویروس نیست ...
نمیدونم چطور بگم فقط بدونید فعلا ایده های من محرمانه هست ... و الان ماه هاست دارم تحقیق میکنم که چطوری پیاده سازیش بکنم ... !
مشکلاتی همچون زبان برنامه نویسی و رابط و ... دارم ... !

مشکل اینجاست که صاحب سیستم ها هر کدوم سازی برای خودشون میزنن ... ویدوز با پلتفرم جدید و قدیمش و مک و اندروئید و ...
من میدونم چطور با این ها سازگار باشم هم نمیدونم با چی این کار رو بکنم ...
مثل اینه که با میخ چاه بکنیم ... خب این منطقی نیست ... حالا فرض بر اینه که بیل و کلنگ اخطراع نشده ...

من دو راه دارم ... یا همین الان ادامه ی کار رو بدم و به قول دوستان یک محصول مشابه تولید کنم و یا صبر کنم و هی تحقیق کنم و هی تحقیق کنم و منتظر واکنش سیستم عامل هاباشم تا اینکه یه راهی برای پیاده سازی ایده هام داشته باشم ... که صبر کردن هم منطقی نست ... ! دارم روش کار میکنم ... باید روی کاغذ درستش کنم ... !

خب با گفته های من شما الان فکر میکنید که میخوام یک محصولی تولید کنم که روی همه ی سیستم عامل ها اجرا بشه ... در جواب میگم هم درست میگین و هم اشتباه میکنید ... من یک ایده دارم که قبلا اپل تغریبا پیاده سازیش کرده
شما چطور محصولی با نام x تولید میکنید که هم با همه ی سیستم عامل ها یازگار باشه + هم با وب + هم با همه ی سخت افزار ها (ام از لمسی و ...) ؟
خب اگه گنگ میگم ببخشید ... آخه قرار نبود اصلا هیچی بگم ... !

ادامه دارد ...

[hamidhws]

اندر احوالات پروژه ی سایروس ...
شاید نام گارد امنیتی سایروس بهترین نامی باشه که میشه روی این پروژه گذاشت ... !
این یه پروژه ی متفاوت و با ایده های نو هست !
اگر پست های من از اول تا اینجا رو بخونید متوجه میشید که هدف ساخت آنتی ویروسی متفاوت بود ... ! اما متوجه شدم که این تفاوت باید خیلی عمیق باشه ... !
با پست های اخیر و رابطی که محمد جان دادن و بحث هایی که با همه ی دوستان همراه انجام دادم لازم دونستم که اطلاعاتی رو برای کسانی که در این راه مارو همراهی میکنن و یا قراره همراهی کنن قرار بدم

اصل مطلب :
موضوع از اینجاست که هدف من تولید نرم افزاری امنیتی هست (گاردی امنیتی) که یک آنتی ویروس یا ... نسیت اما ارث بری هایی رو داره ... در مورد این ایده ها که اصلا نمیتونم بگم چون محرمانه هستند ... !
فقط چیزی که قراره بدونید اینه که این نرم افزار قراره روی هر پلتفرمی اجرا بشه حتی تلوزیون و ...
حالا میگین چطور چیزی که برای ویندوز هست و ویروس های ویندوزی رو شناسایی میکنه قراره اندروئید رو هم ایمن کنه و ... من در جواب میگم که این یک آنتی ویروس نیست ...
نمیدونم چطور بگم فقط بدونید فعلا ایده های من محرمانه هست ... و الان ماه هاست دارم تحقیق میکنم که چطوری پیاده سازیش بکنم ... !
مشکلاتی همچون زبان برنامه نویسی و رابط و ... دارم ... !

مشکل اینجاست که صاحب سیستم ها هر کدوم سازی برای خودشون میزنن ... ویدوز با پلتفرم جدید و قدیمش و مک و اندروئید و ...
من میدونم چطور با این ها سازگار باشم هم نمیدونم با چی این کار رو بکنم ...
مثل اینه که با میخ چاه بکنیم ... خب این منطقی نیست ... حالا فرض بر اینه که بیل و کلنگ اخطراع نشده ...

من دو راه دارم ... یا همین الان ادامه ی کار رو بدم و به قول دوستان یک محصول مشابه تولید کنم و یا صبر کنم و هی تحقیق کنم و هی تحقیق کنم و منتظر واکنش سیستم عامل هاباشم تا اینکه یه راهی برای پیاده سازی ایده هام داشته باشم ... که صبر کردن هم منطقی نست ... ! دارم روش کار میکنم ... باید روی کاغذ درستش کنم ... !

خب با گفته های من شما الان فکر میکنید که میخوام یک محصولی تولید کنم که روی همه ی سیستم عامل ها اجرا بشه ... در جواب میگم هم درست میگین و هم اشتباه میکنید ... من یک ایده دارم که قبلا اپل تغریبا پیاده سازیش کرده
شما چطور محصولی با نام x تولید میکنید که هم با همه ی سیستم عامل ها یازگار باشه + هم با وب + هم با همه ی سخت افزار ها (ام از لمسی و ...) ؟
خب اگه گنگ میگم ببخشید ... آخه قرار نبود اصلا هیچی بگم ... !

ادامه دارد ...

فکر کنم میخواید اینکارو تحت وب انجام بدید اره؟اینطوری احتیاج به پلتفرم خاصی نداره چون استاندارد همشون یکیه,البته احتمالا من دارم اشتباه فکر میکنم چون نمیشه با محدودیتاش کنار اومد

[hamidhws]

اینو دلم نیومد نگم , دیدم بعضی از دوستان گفتن ایرانی حال کار کردن نداره و همش دنبال پوله و...
خب برادر من وقتی داریم از بدبختی میمیریم به فکر چی باشیم پس؟ هیچکس ارزش کارمونو نمیدونه وگرنه برای علم و وقتمون هزینه میکردن . نمیدونم خبر مربوط به ملیاردر شدن جوون 17 ساله امریکایی رو شنیدید که با ساخت یه نرم افزار خبر خوان نزدیک به 30 میلیون دلار ثروت بدست اورد, در واقع شرکتی مثل یاهو حاضره به یه جوون 17 ساله اینقدر پول بده و هم استخدامش کنه! اونوقت خدایی اینجا باید برای یه کار خصوصی که کلی ایده هم توش گذاشتی سر هزار تومن چونه بزنی! خوب وقتی 4 تا مسئول نالایق و نفهم که هیچی از سختی کار نمیدونن ارزش کارو پایین میارن میخوای چیکار کنیم؟این حرفارو از رو تجربه میزنم با اینکه سن زیادی ندارم (24) و اینکه تخصص اصلیم research بوده اما فقط 10 سال سابقه برنامه نویسی حرفه ای دارم (یعنی براش پول گرفتم), پارتی هم نداشتم و حتما خودتون میدونید چقدر باید بدبختی بکشی و چقدر باید سطح کاریت بالا باشه تا بهت اعتماد کنن و مثلا چنتا از سامانه های مهم شرکتشون رو بدن انجام بدی,قیمتام هم پایین نبوده ولی سطح کاریم 10 برابر قیمت ها بود.اما وقتی کسی ارزش قائل نباشه همین انگیزه هم از بین میره. سال پیش یه پروژه 80 میلیون تومنی بهم پیشنهاد شد (یه چیزی مثل رسانه مهر اما در شبکه داخلی) . فقط یه قسمت کوچیک از لیستمو براتون میگم که شامل چندین ایده بزرگ به همراه حتی اختراع بودن , 1- سیستم تزریق مویرگی: باعث میشد حجم زیادی از اطلاعات با سرعت خیلی خیلی زیاد توی شبکه اینترانت انتقال پیدا کنه و همچنین 8 برابر ترافیک شبکه کاهش پیدا کنه , در کل سرعت 8 برابر بیشتر و ترافیک 8 برابر کاهش پیدا میکرد (کسایی که شبکه میفهمن حتما میدونن این یعنی چی و خودش چند میارزه) 2- سیستم کد و دکد ویدئو بصورت زنده (از طریق دوربین های مدار بسته و ...) : قادر به ارسال تصاویر 1080 بصورت زنده و بدون لگ و قطعی , توی این روش حدود 20 برابر کاهش ترافیک بود که باعث بالا رفتن سرعت میشد به طوری که به راحتی و بدون نیاز به بافرینگ عملیات ارسال انجام میشد . (این قسمت از یک روش کدک ویدئوی اختصاصی انجام میشد)

این فقط 2 تا از 60 مورد لیستم بود که این 2 تا مستقیما ایده و اختراع شخص خودم بود که مربوط به الگوریتم های فشرده سازی میشد و سال ها روش وقت گذاشته بودم.

در نهایت چون شرکت نداشتم مجبور شدم یه واسط گیر بیارم تا به عنوان شرکت برام فاکتور بزنه (چون پروژه های کمی بزرگ رو به شخص نمیدن) . قرار بود 60 20 باشه اما اونا وقتی لیستو دیدن قیمتو 300 گذاشتن و اون ارگان هم زیر بار نرفت . حتی تا 140 هم راضی شدن اما اون شرکته میخواست این وسط 240 تومن سود کنه ! اونوقت منه بدبخت که همه کارو میکنم فقط 60 بگیرم.

خلاصه کارو نتونستم بگیرم از طرفی هم اختراعمو نتونستم توی این مملکت کوفتی ثبت کنم . با اینکه خدایی ارزش این کار از نظر خودم زیر 900 میلیارد تومن نبود . اما اینا حتی حاضر نشدن 80 تومن به من بدن! در نهایت پشت دستمو داغ کردم هیچوقت علممو واسه این مملکت خرج نکنم , منتظرم برم اونبر مطمئنم اونبر خیلی بیشتر از این الاغای به اصطلاح مسئول ارزش علم رو میفهمن

[joelandos]

با سلام
شمایی که ایده ای دارید یا کار جدیدی میتونید انجام بدید و طرح نووی دارید؛ اگر بهتون بها نمیدند که پیاده و اجراش کنید یا ازتون نمیخرند چون ارزششو نمیدونند، چیزی که به ذهنم رسید اینه که حداقل میتونید یک یا چند مقاله علمی ازش در بیاریدو اونو ارایه بدید. مخصوصا تو این ضمینه ها که علم روز و پرجمب و جوشی هم هست دهها مجله ای اس ای و کنفرانسهای بین المللی وجود داره.
پارک های علم و فناوری هم هرازچندی چیزس توش پیدا میشه.
شخصا تجربه ای بدین شکل نداشتم ولی اینارو به ذهنم اومد، دوست داشتم بگم.

[hamidhws]

با سلام
شمایی که ایده ای دارید یا کار جدیدی میتونید انجام بدید و طرح نووی دارید؛ اگر بهتون بها نمیدند که پیاده و اجراش کنید یا ازتون نمیخرند چون ارزششو نمیدونند، چیزی که به ذهنم رسید اینه که حداقل میتونید یک یا چند مقاله علمی ازش در بیاریدو اونو ارایه بدید. مخصوصا تو این ضمینه ها که علم روز و پرجمب و جوشی هم هست دهها مجله ای اس ای و کنفرانسهای بین المللی وجود داره.
پارک های علم و فناوری هم هرازچندی چیزس توش پیدا میشه.
شخصا تجربه ای بدین شکل نداشتم ولی اینارو به ذهنم اومد، دوست داشتم بگم.

از نظرتون ممنون دوست عزیز. خودمم همین فکرو داشتم ایشالله بزودی یه مقاله ازش درست میکنم و برای چند جا میفرستم

[بهروز عباسی]

درود به همه
شرمنده مدتی نبودم

خیلی از اون ها این کار رو بدون نتیجه میدونن ... جالبه که من فکر میکردم این نوع افکار فقط تو ایران هست ... !

هرچیزی ممکنه هرکسی نظر خودشو داره این خیلی ها چنین کاری رو بیهوده می ببین بی علت نیست .الان توی بازار (AV)چندتا شرکت غول هستن که دارن در سطح جهانی با هم رقابت میکنن کار اگر قرار باشه رقیب جدیدی به شمار بریم باید چیزی جدید ارائه بدیم.

جالب تر از اینا همه ... برنامه نویس های مایکروسافت خیلی از مدافع ویندوز (Windows Defender) دفاع میکنن ... من که به عوان آنتی ویروس حسابش نمیکنم (البته مال ویندوز 8 خیلی خوبه)

منم باهاشون موافقم (البته شاید محصول خیلی خوبی هم نباشه) ؛چون هیچ شرکتی به اندازه خود MS بچه خودش (Win)رو نمیشناسه و یک AV خوب هم باید بتونه کل سیستم رو بخوبی بشناسه تا کارایی خوبی داشته باشه.

و در مورد Qt ... خیلی از برنامه نویس ها نوشتن آنتی ویروس با qt رو غیر منطقی میدونن (من با C#‎‎‎ هم دیدم)
وقتی گفتم میخوام فقط در اینترفیس از qt استفاده کنم ... این کار رو مفید دونستن و اظافه کردن که بقیه ی کار باید با API بومی ویندوز باشه ...
جالب ترش اینه که خود کسانی که در توسعه ی qt نقشی داشتن این حرف ها رو میزنن ...

بی راه نمیگن برای برنامه نویسی سیستمی خیلی کاربردی نیست اما برای UI برنامه گزینه خوبیه.

جالب تر جالب تر اینه که من برای MD5 و SHA1 کردن یک فایل دو نوع کد نوشتم
1.qt + ده خط کد نشد + سرعت خیلی بالا (قبلا سرعتشو گفتم ... 3000 فایل با حجم 3 گیگ رو در تغریبا 1 ثانیه و ... تبدیل کرد)
2. vC++‎‎‎ + بیش از 20 خط = سرعت معمولی = تا 1 فایل 700 مگابایتی ور Hash کرد من بالای 3 بار با کیوت Hash کردم (البته اون موقع که هنوز کد qt بهینه نبود ... الان که دیگه ...) ... من حتی از کدی که در آنتی ویروس Kasper هست برای این کار استفاده کردم (یادم نیست برنامه نویسش کی بود) اما بازم qt سریعتر بود ... برای خودمم جالبه چون منطقا طوری که همه میدونن و همه میگن باید VC++‎‎‎ سریعتر باشه ... شاید از الگوریتم باشه اما اینو بدونید Cyrus از Kaspersky سریعتره ...

توی QT از چه Compiler ای استفاده می کنی ؟

qt . در ساخت یک اینترفیس عالی و گرافیکی + سرعت زیاد در طراحی و کد نویسی سریعتر و بهینه تر + کار با فایل ها و ... خیلی خوب عمل میکنه ...
VC++‎‎‎ . در Hooking و ... و ماشین مجازی و ... خیلی بهتره ... البته فقط سرعتش خوبه و دسترسی سطح کرنلش ...

کاملاً درسته MSVC چون محصول خود MS هستش برای برنامه نویسی سیستمی روی MSWin بهترین گزینست
و QT هم برای UI . (البته ممکنه استفاده از زبان های مختلف کمی مشکل ساز بشه)

فعلا دارم با این برنامه نویس های بی سواد مایکروسافت بحث میکنم ... (فکر نکنید چون مایکروسافتی هستن خیلی شاخ هستن واقعا میگم بی سواد ... بچه های همین فروم از اون ها یه سرو گردن بالا تر هستن ... البته اگه کل برنامه نویسی ما نشه C#‎‎‎ ... )

بستگی داره که شما به چه کسانی بحث می کنید اگه ممکنه کمی درباره این که چرا این حرفو زدین توضیح بدید.

آقای عباسی که در Kernel زندگی میکنید ... از نظر شما وضعیت چیه ... (چون میدونم شما در این مورد تخصص دارید مخصوصا سوال کردم).

من تخصص چندانی هم ندارم.
هر چی به ذهنم میرسید گفتم

اینم اظافه کنم که دارم یک راه ارتباط با شرکت مهران رایان(شرکت سازنده ی آنتی ویروس ایمن)پیدا میکنم ... خدا کنه کمکمون کنن ... بالاخره 18 سالی از ما جلو ترن ...

به نتیجه ای رسید؟

و اقای صالحی بابت کار زیباتون تشکر

خلاصه کارو نتونستم بگیرم از طرفی هم اختراعمو نتونستم توی این مملکت کوفتی ثبت کنم . با اینکه خدایی ارزش این کار از نظر خودم زیر 900 میلیارد تومن نبود . اما اینا حتی حاضر نشدن 80 تومن به من بدن! در نهایت پشت دستمو داغ کردم هیچوقت علممو واسه این مملکت خرج نکنم , منتظرم برم اونبر مطمئنم اونبر خیلی بیشتر از این الاغای به اصطلاح مسئول ارزش علم رو میفهمن

اگه همچین کاری کردی بری اونور بهتره ،خیلی ها هستند مثل شما که کارهایی بزرگی میکنن اما کسی نیست ارزش کار اونا رو بفهمه و این اقعاً باعث تاسفه
آدم های زیادی رو دیدم (بچه های دانشگاه و ...) که شب و روز خودشون رو یکی میکنن برای یک اختراع ولی آخرش چی؟؟ این بیچاره ها ممکنه چیزای خوبی هم بسازن و لی 4تا آدم با سواد پیدا میشه که کار اونا رو ابزاری میکنه برای اینکه کشور پیشرفت کرده اینو نمیگه که حمایتی در کار نبوده و ... .

موفق باشید.

[SlowCode]

آقای عباس نقدی
من توی این پیغام آخرتون یه نکته مبهمی دیدم!
شما از طرفی میگین پروژه اوپن سورس از ظرفی میگین محرمانه!!!
اگه قراره محرمانه باشه پس چرا عمومیش میکنی داداش من؟
شاید میخوای بگی الان محرمانه بمونه تا وقتی که کدها رو انتشار بدم، ولی به نظر من اشتباهه!
از الان فکرهات رو به اشتراک بزار تا اشکالات احتمالی از الان مشخص بشه نه اینکه چند ماه بعد تازه بشینیم ببینینم این موارد مشکل دارن یا نه.

[daskar]

با سلام
در پاسخ به ایده ها و پلتفرم که دوستمان اشاره کرد
فکر کنم شما بایستی مطالعاتی در خصوص محاسبات ابری داشته باشید که ایده های شما کاملا در آن قابل پیاده سازی است
و هر کسی بجای داشتن یک آنتی ویروس یک یوزر و پس گرفته و توسط آن می تواند هر دستگاهی را که دارد ایمن کند

[Abbas Naghdi]

توی QT از چه Compiler ای استفاده می کنی ؟

Mingw gcc

کاملاً درسته MSVC چون محصول خود MS هستش برای برنامه نویسی سیستمی روی MSWin بهترین گزینست
و QT هم برای UI . (البته ممکنه استفاده از زبان های مختلف کمی مشکل ساز بشه)

روش تحقیق کردم ... این کار به ما تنوع و کارایی میده اما مشکلاتی داره ... مثل حجم برنامه یا پیش نیاز های زبان و ...

بستگی داره که شما به چه کسانی بحث می کنید اگه ممکنه کمی درباره این که چرا این حرفو زدین توضیح بدید.

البته شاید این حرفی که زدم درست نباشه ... چرا که فروم های خارجی مثل فروم های ایرانی نیستن ... اونجا کسی در برابر چیزی متعهد نیست و تنها تخصص و تجربشونو به اشتراک میزارن ... مثل اینجا نیست یه کد بخوایی سریع بهت بدن و ... اما در هر صورت ... یه سری سوالات رو ابتدایی جواب میدادن و یه سری رو هم بلد نبودن ... !

به نتیجه ای رسید؟
و اقای صالحی بابت کار زیباتون تشکر

نه ... یا سرشون شلوغه و یا ... خودتون بگید ... !
و البته ضمن تشکر از آقای صالحی ... تشکر شما رو نفهمیدم برای چی هست ... !

آقای عباس نقدی
من توی این پیغام آخرتون یه نکته مبهمی دیدم!
شما از طرفی میگین پروژه اوپن سورس از ظرفی میگین محرمانه!!!
اگه قراره محرمانه باشه پس چرا عمومیش میکنی داداش من؟
شاید میخوای بگی الان محرمانه بمونه تا وقتی که کدها رو انتشار بدم، ولی به نظر من اشتباهه!
از الان فکرهات رو به اشتراک بزار تا اشکالات احتمالی از الان مشخص بشه نه اینکه چند ماه بعد تازه بشینیم ببینینم این موارد مشکل دارن یا نه.

اون متن باز ((پروژه ی آنتی ویرس متن باز ایرانیه)) و این محرمانه فقط ایده های من هست که نمیتونم بازگو کنم ... !
اول باید بفهمم چطوری پیاده سازی کنم و بعد از پیاده سازی و ثبت ایده ... متن باز میشه ... !
شما خودت ایده ی جدید داشته باشی خودت پیاده سازی میکنی یا به دیگران میگی تا به نام خودشون پیاده سازی کنن !؟

با سلام
در پاسخ به ایده ها و پلتفرم که دوستمان اشاره کرد
فکر کنم شما بایستی مطالعاتی در خصوص محاسبات ابری داشته باشید که ایده های شما کاملا در آن قابل پیاده سازی است
و هر کسی بجای داشتن یک آنتی ویروس یک یوزر و پس گرفته و توسط آن می تواند هر دستگاهی را که دارد ایمن کند

در این مورد تحقیق میکنم ... !

[بهروز عباسی]

و البته ضمن تشکر از آقای صالحی ... تشکر شما رو نفهمیدم برای چی هست ... !

برای گرافیک برنامه
------------------------------------------------------------------------------------------------------------------

به کجا رسیدی ؟؟ اگه ممکنه بیشتر درمورد این پروژه توضیح بده.

پیشرفت ها ، مشکلات ، ایده ها (به غیر Priv8 ها) و اگه میشه سورس کد ها رو بذار تا توسعه داده بشن و باگ ها برطرف بشه.

اینطوری این تاپیک و این پروژه هم میشه مثل بقیه پروژه های ایرانی !

[Abbas Naghdi]

آهان ... من فکر کردم یه صالحی دیگه رو میگین ... !
در پست 116 توضیح دادم ... الانم گرفتارم تا 3 ماه دیگه ... !

[بهروز عباسی]

در پست 116 توضیح دادم ... الانم گرفتارم تا 3 ماه دیگه ... !

گفتم شاید به تازگی تغییراتی کرده باشه

اینو ببین یه برنامه خوب برای کاربا Process ها در MSWinاه که Open Source هم هستش حتماً به کارت میاد.
Process Hacker

[Veyskarami]

خیلی خوشحالم که میبینم همچین ایده هایی با جدیت ادامه پیدا میکنن
تو این کار اگه کمکی خواستی میتونم در خدمتتون باشم.

[IamOverlord]

سلام!

...
حالا من چیزی که توی ذهنم هست اینه که آیا راه بهتر از نوشتن درایور نیست ؟ یه چیزی که الگوریتمش از درایور بهتر باشه از هر لحاظ... اگه باشه که خیلی خوبه... :)
...

آخه درایور یه مزیت هایی داره که بقیه ندارن... درایورها تو Ring 1 یا Ring 2 اجرا می شن، ولی یه نرم افزار معمولی تو Ring 3 اجرا می شه که Ring های بالاتر نمی تونن به Ring های پایین تر دسترسی مستقیم داشته باشن.
دوستان این جا رو هم نیگا کنید: en.wikipedia.org/wiki/Ring_(computer_security)‎

[بهروز عباسی]

درایورها تو Ring 1 یا Ring 2 اجرا می شن

نه توی ویندوز !!
ویندوز به خاطر پشتیبانی از یک سری سخت افزار خاص فقط از Ring0 و Ring3 استفاده میکنه که به ترتیب Kernel-Mode و User-Mode رو تشکیل میدن.

Windows Internals :
The architecture of the x86 and x64 processors define four privilage levels (or rings)
to protect system code and data from being overwritten either inadvertently or maliciously
by code of lesser privilege. Windows uses privilege level 0 (or ring 0) for kernel mode and
privilege level 3 (or ring 3) for user mode. The reason Windows uses only two levels is that
some hardware architectures that were supported in the past (such as Compaq Alpha and
Silicon Graphics MIPS) implemented only two privilege levels.

[IamOverlord]

سلام!

سلام
قبل از هر چیز بگم فقط نصف پست اولو خوندم پس اگه یهو دیدید از مرحله پرتم واسه همینه!دوم اینکه نمیخوام با این حرفم بدمن داستان بشم اما از شمایی که میخوای روی این پروژه وقت بزاری و به رایگان برای اینکه عاشق چشم و ابروی مردمی از عمرت بگذری چنتا سوال دارم:
شما با اینکارت میخوای باعث گسترش علم دنیا بشی یا گسترش علم خودت؟

مگه شما فقط دنبال گسترش علم خودت یا علم دنیا می ری؟ نمی شه عمل خودت و چند نفر دیگه رو افزایش بدی؟

واقعا نمیفهمم چرا بعضی ها دنبال ساخت انتی ویروس یا چه میدونم سیستم عاملو این چیزا هستن,اونم تنهایی بدون بودجه و رایگان (حتما چون جوونای ایرانی میخوان خوشبختی زیادشون رو با مردم عزیزشون سهیم کنن!).

می تونی از کسایی که پروژه هاشون رو انجام دادن سوال کنی!
flatassembler.net
dex-os.com
...

منم خودم ازین کارا کردم و مدت ها روی الگوریتم های فشرده سازی کار کردم اما هدف داشتم و هدفم گسترش علم جهانی بود نه عشقم به تحلیل !

خوب، خوش حالیم که شما به علم دنیا کمک کردید، می شه بگید چه کمکی کردید؟ می شه به ما هم کمک کنید؟

چه ایده ای داری که بتونی باهاش بزنی رو دست eset یا avira یا میخوای ازشون تقلید کنی ؟(کاری که تو ایران مد شده) چون اگه هدفت شکست اونا و گسترش علم نباشه داری واسه گسترش علم خودت کار میکنی نه کمک به دنیا.لطفا اول تکلیفتو با خودت روشن کن,دیگه حالم از این تقلیداو کارای تکراری بهم میخوره ,چی میشه یکمی راهساز باشیم تا راهرو

شما اگه اول نتونی علم خودت رو گسترش بدی چه طوری می تونی علم دنیا رو گسترش بدی؟!

شما می شه بگی منظورت از راه سازی و راه روی دقیقا چیه؟! مگه این همه پروژه ی Open Source در واقع راه ساز نیستن؟

[IamOverlord]

سلام دوستان!

نه توی ویندوز !!
ویندوز به خاطر پشتیبانی از یک سری سخت افزار خاص فقط از Ring0 و Ring3 استفاده میکنه که به ترتیب Kernel-Mode و User-Mode رو تشکیل میدن.

Windows Internals :
The architecture of the x86 and x64 processors define four privilage levels (or rings)
to protect system code and data from being overwritten either inadvertently or maliciously
by code of lesser privilege. Windows uses privilege level 0 (or ring 0) for kernel mode and
privilege level 3 (or ring 3) for user mode. The reason Windows uses only two levels is that
some hardware architectures that were supported in the past (such as Compaq Alpha and
Silicon Graphics MIPS) implemented only two privilege levels.

ممنونم. نمی دونستم Windows از روش kernel-land و user-land استفاده می کنه.
ظاهرا سیستم عامل های مدرن از بیش تر از دو Ring استفاده نمی کنن.
این طور که دیدم درایور ها در Ring 0 تو Windows اجرا می شن که البته یه سری از درایور ها هم هستن که در حالت User-Mode تو همون Ring 3 کار می کنن.
پس یه سوال، این که آنتی ویروس ها درایور هاشون در حالت User-Mode اجرا می شه یا Kernel-Mode؟

[Jarvis]

پس یه سوال، این که آنتی ویروس ها درایور هاشون در حالت User-Mode اجرا می شه یا Kernel-Mode؟

Kernel-Mode

[بهروز عباسی]

ممنونم. نمی دونستم Windows از روش kernel-land و user-land استفاده می کنه.

خواهش میکنم . اگه می خوای بیشتر با معماری ویندوز آشنا بشی کتاب Windows Internals رو بخون.

این طور که دیدم درایور ها در Ring 0 تو Windows اجرا می شن که البته یه سری از درایور ها هم هستن که در حالت User-Mode تو همون Ring 3 کار می کنن.

درسته.

پس یه سوال، این که آنتی ویروس ها درایور هاشون در حالت User-Mode اجرا می شه یا Kernel-Mode؟

بستگی داره به کاری که می خواد انجام بده ؛مثلاً برای Monitor کردن رفتار/خود Process ها باید از هوکهای Kernel-Mode استفاده بشه خب طبیعتاً در این حالت باید از درایور های Ring0 استفاده کنن .شاید کسی بپرسه چرا ؟؟ ! چون ویروس ها و Rootkit های هستند که از هوک های Kernel-Mode برای مخفی کردن خودشون استفاده میکنن ،تمام توابعی که لیست پروسس های فعال رو برمیگردونن هوک میکنن و خودشون رو از لیست حاوی Process ها حذف میکنن با این کار نتیجه ای که به User-Mode میرسه کاملاً اشتباه چون اینطوری Process مربوط به اون برنامه مخرب دیده نمیشه در حالی که هست (هوک SSDT). ولی آنتی ویروس با درایور های کرنل مد میتونه ابن Process های مخفی رو ببینه.

امید وارم کمکی کرده باشم.

[بهروز عباسی]

آقا بهروز شما من نمیدونم شما چقدر اطلاعات در این زمینه دارید ... ولی خیلی خوبه که توی این بحث اطلاعات خودتون رو در اختیار میگذارید ... لطف می کنید ...
ممنون.

شما لطف داری ، من هیچ اطاعاتی در این باره ندارم جو سازی نکن
همه باید به هم کمک کنیم ،تا شاید یکی یه چیزی بسازه.
در ضمن لطف کنید پست های این تیپی نزنید (جسارت نشه)،یهو میبینی اینجا میشه Spam بازار.

اینم به خاطر بی محتوی نبودن این پست داشته باشید.

تفاوت User-Mode و Kernel-Mode
ببخشید دیگه وقت نشد کاملش کنم.

[IamOverlord]

سلام دوستان.
ببینید منم قبلا می خواستم یه آنتی ویروس، حداقل یه نرم افزار امنیتی بسازم. یه ایده ای داشتم که اول قرار شد بیام یه نرم افزار ساده بنویسم که دسترسی به یه پوشه ی خاص رو کنترل کنه، مثلا:
چه Process ای سعی داره اون پوشه رو پاک کنه یا تغییر نام بده؟
چه Process سعی داره فایلی رو در اون پوشه یا زیر پوشه هاش ایجاد کنه یا حذف کنه؟
چه برنامه ای در اون پوشه قراره اجرا بشه؟
...
و چه طور می شه از این اعمال جلو گیری کرد؟
یه مطالبی در مورد Hooking خوندم، اما به مرحله ی عمل نرسیدم...
حالا می گم اگه می شه بیایم همین قسمت رو انجام بدیم؟

[بهروز عباسی]

سلام دوستان.
ببینید منم قبلا می خواستم یه آنتی ویروس، حداقل یه نرم افزار امنیتی بسازم. یه ایده ای داشتم که اول قرار شد بیام یه نرم افزار ساده بنویسم که دسترسی به یه پوشه ی خاص رو کنترل کنه، مثلا:
چه Process ای سعی داره اون پوشه رو پاک کنه یا تغییر نام بده؟
چه Process سعی داره فایلی رو در اون پوشه یا زیر پوشه هاش ایجاد کنه یا حذف کنه؟
چه برنامه ای در اون پوشه قراره اجرا بشه؟
...
و چه طور می شه از این اعمال جلو گیری کرد؟
یه مطالبی در مورد Hooking خوندم، اما به مرحله ی عمل نرسیدم...
حالا می گم اگه می شه بیایم همین قسمت رو انجام بدیم؟

ایده بدی نیست ،سخت هم نیست ،ولی یه مشکل هست !
برای Hooking خوب باید Kernel-Mode کارکنیم تا از دورزدگی جلوگیری کنیم توی نسخه های 64بیتی ویندوز برای اینکه بتونیم یک درایور رو نصب و اجرا کنیم باید اونو Sign کنیم ؛یعنی با خریدن یک کواهینامه از سازمانی معتبر ایمن بودن اون درایور رو به سیستم عامل ثابت کنیم، متاسفانه ایران تحریمه و نمیتونیم این گواهینامه رو بخریم پس تا اینجا باید 64bit رو کنار بذاریم یا برای سازگاری هردو (32بیت و 64بیت) از هوک User-Mode استفاده کنیم در این صورت هم بایک سری Handle و ... بیشتر سروکار نداریم.

[بهروز عباسی]

اواخر تابستون اگه بشه کارای گرافیک سایروس رو تموم میکنم
آخرین طرح GUI رو هم میتونید توی این پست ببینید ... منتظر نظرات هستم
https://barnamenevis.org/showthread.p...=1#post1750451

راستش من که الان نتونستم عکسو ببینم ،ولی حتماً قبلاً دیدمش ؛اگه نظری ندادم حتماً خوب بوده.
آقای صالحی لازم بابت کمکتون برای ساخت UI برنامه ازتون تشکر میکنم .
اگه تونستی با آقای نقدی هماهنگ کن یه دمو ازش بذارید اینجا.

[IamOverlord]

خوب پس یه مسئله ای، آیا می شه گفت یه جورایی همه ی برنامه های Windows...
از DeleteFile در Kernel32 برای حذف فایل ها استفاده می کنن؟
از RemoveDirectory در Kernel32 برای حذف پوشه ها استفاده می کنن؟
از MoveFile در ...؟

حالا برای Hooking کدمون در Kernel32 و جلوگیری از انجام بعضی کارها باید چی کار کنیم؟

[بهروز عباسی]

آیا می شه گفت یه جورایی همه ی برنامه های Windows...
از DeleteFile در Kernel32 برای حذف فایل ها استفاده می کنن؟

تقریباً آره ؛این تابعی که شما گفتی(DeleteFile) میشه Windows API و کاملاً در User-Mode فراخوانی میشه ،ولی اجرا نمیشه !! یعنی چی ؟؟ یعنی اینکه این توابع در چند مرحله کنترل میشن تا به کرنل برسن ؛توی یوزر مد پارامترها چک میشه اگه درست بود به NTDeleteFile که در ntdll.dll قرار داره ارسال میشه و بعد این تابع با یک System Call منجر به اجرای کدهای سطح پایین توسط ZwDeleteFile
در NTOSKRNL.EXE می شود .

اگه بخوای Hook کنی باید این توابع (Native API) رو هوک کنی
[این مقاله رو بخونی بد نیست Nt vs. Zw - Clearing Confusion On The Native API ].

حالا برای Hooking کدمون در Kernel32 و جلوگیری از انجام بعضی کارها باید چی کار کنیم؟

چندین راه وجود داره ،فکر کنم خوندن این مقاله کمکت کنهWindows Hooks.rar

توی این کتاب Rootkits: Subverting the Windows Kernel در مورد هوک توضیح داده شده هم User mode و هم Kernel mode
اگه بازم مشکلی داشتی بگو.

[A.iman]

کاش کمی هم در مورد امنیت شبکه و فایرو وال هم بحث میکردین ............

[بهروز عباسی]

کاش کمی هم در مورد امنیت شبکه و فایرو وال هم بحث میکردین ............

بذارین تا اینجا درستو حسابی پیش بره امنیت شبکه و ... بماند.

فایروال هم خودش دنیای خاصی داره ،نمیشه همینطوری گفتش در ساده ترین حالت یک درایور داریم که Port های باز و کلیه Packet هایی که ارسال/دریافت میشن رو Monitor میکنه و بسته به اینکه اون Packet چه محتوایی داره یه کاری انجام میده. (یعنی اصل شبکه)

[Abbas Naghdi]

با سلامی دوباره و با تشکر از آقای صالحی و آقای عباسی و ...

چند روزیه گرفتارم .... بماند اما پیش میاد ... نمیدونم کی میتونم از دست گرفتاری هام نجات پیدا کنم ... اما
زمان هایی سری به تایپیک میزنم ... !
اما هر روز که میگذره روی پروژه فکر میکنم ... میدونید که یه برنامه نویس 90 درصد یک پروژه رو فکر میکنه .... در این حال منتظر ایده های جالب دوستان هستم ... هرچند ساده ...
چند روز دیگه اطلاعاتی در اختیاتون میزارم ... ببخشید که نیستم ... استارتر پروژه بیاید همیشه باشه ...

[بهروز عباسی]

درود به همه

امروز این مقاله رو دیدم به نظرم جالب بود ،شما هم بخونید بد نیست

Experiences with Implementing a Simple Antivirus Engine

Abstract
In this report we describe our experiences with implementing Simple AntiVirus Engine (SAVE) designed to statically detect a virus family in obfuscated files. The engine is implemented in a flexible and extensible way allowing for easy incorporation of new features. We pay much attention to assessing advantages and drawbacks of the current detection scheme along with proposing possible ways of improving the engine.

[بهروز عباسی]

The Art of Computer Virus Research and Defense

برای شناخت روش کار AVها و البته Virus ها ،کتاب خوبیه حتماً مطالعش کنید.

[بهروز عباسی]

خوندنش خالی از لطف نیست.

ايتنا- سنجاي كتكار ، مدير ارشد فني، طراح و عضو هيات مديره شركت تكنولوژي هاي كوييك هيل مي باشد. براي روشن شدن بعضي از مسائل در مورد اين شركت امنيتي و بالاخص مباحث فني در زمينه ويروس و ضد ويروس جلسه مصاحبه اي با او برگزار كرديم.


کوييک هيل، توليدکننده پيشروي آنتي ويروس و ابزار امنيت اينترنتي است. از زمان پايه گذاري شرکت در سال ۱۹۹۳ کوييک هيل پيوسته درگير تحقيق و توسعه حوزه فناوري آنتي ويروس مي باشد.

به همين جهت، در گفت وگويي اختصاصي با آقاي سنجاي کاتکار، مدير ارشد فني و عضو هيئت مديره شركت کوييک هيل تکنولوژي، تاريخچه شكل گيري و برنامه هاي اين شركت را بررسي كرده ايم كه در ادامه مي خوانيد. از همكاري و هماهنگي نمايندگي كوييك هيل در ايران نيز سپاسگزاريم.

شما يکي از بنيانگذاران و مدير ارشد تکنولوژي شرکت کوييک هيل هستيد؛ لطفا درمورد حرفه خود بيشتر براي ما توضيح دهيد.
کار ما رديابي آخرين تهديدهاي اينترنتي، بدافزارهاي جديد و تکنولوژي هايي است که هکرها و مجرمين شبکه از آنها براي نفوذ به سيستم و ضربه زدن به آن استفاده مي کنند. در واقع کار من کمک به کاربران کامپيوتر براي محافظت از سيستم هايشان و اطلاعات ذخيره شده در آنها با استفاده از آخرين تکنولوژي هاي مربوط به امنيت IT مي باشد. همچنين تحقيقات در رابطه با ميزان آسيب پذيري پايگاه هاي جديد از ديدگاه امنيتي بر عهده من است.

کوييک هيل چطور راه اندازي شد؟ چرا تصميم گرفتيد روي يک نرم افزار آنتي ويروس کار کنيد؟
در زمان فارغ التحصيلي و فعاليت هاي مربوط به آن، من علاقه مند به تحقيق در رابطه با آنتي ويروس و تحليل ويروس ها شدم. در طي مطالعات پس از تحصيل، به نتايجي رسيدم که بتوانم از کامپيوتر خود در برابر ويروس هاي آن زمان محافظت کنم. برادر بزرگ من کايلاش در آن زمان در زمينه نصب و تعمير کامپيوتر فعاليت مي کرد. او از من خواست نتايج بدست آمده خود را در قالب يک محصول ارائه دهم. اينچنين بود که اولين نسخه کوييک هيل متولد شد. پس از تکميل مطالعاتم کوشش کردم ويژگي هاي اين نرم افزار را توسعه دهم که منجر به Quick Heal Anti-Virus ۳.۰ در سال هاي ۱۹۹۴-۹۵ شد.

لطفا در مورد نحوه عملكرد تكنيكي يک نرم افزار آنتي ويروس كمي بيشتر توضيح دهيد؟
پاسخ به اين سوال مي تواند طولاني، فني و خارج از حوصله خوانندگان شما باشد. من سعي مي کنم با فهرست بندي اينکه هريک از اجزاي آنتي ويروس چطور کار مي کند، در مورد آن يک بررسي کلي انجام دهم. يک نرم افزار آنتي ويروس کامل شامل چندين واحد مهم مانند اكسنر، اسكن حافظه، محافظ از ايميل، محافظ بلادرنگ (Real Time) و غيره مي باشد. ترکيب اين واحدها محافظت کاملي به سيستم مي بخشد. در هسته همه اين بخش ها موتور آنتي ويروس است که هدف اسکن ويروس را دنبال مي کند. اين يک موتور قدرتمند چندرشته اي (multi-threaded) و چندوظيفه اي(multi-tasking) است که مي تواند فايل/فولدر/ بافر را به صورت كارآمد براي هرنوع بدافزار و تهديد اسکن کند. هريک از اين واحدها از نظر کاربرد و يکپارچه شدن با سيستم، جهت تامين محافظت کاملا پيچيده هستند.مثلا Real Time Protection بر مبناي درايور فايل سيستم كه درهسته قرار دارد عمل مي كند. اين واحد در همه فعاليت هاي پديد آمده در سيستم نفوذ مي کند تا اطمينان پيدا کند دسترسي به فايل ها بدون آلودگي هستند. Email protection بر مبناي درايور كارت شبکه عمل مي کند و همه ايميل هاي دريافتي و ارسالي را به صورت پيشگيرانه بررسي و اسکن مي نمايد.
مهم ترين جزء موتور آنتي ويروس شامل بخش هاي مختلفي مانند شناسايي و تجزيه فرمت، از حالت آرشيوي و بسته بندي درآوردن، اسکنر امضاء، نمونه ساز و غيره استُ. به عبارت ساده تر کار اصلي موتور آنتي ويروس اسکن فايل از ويروس و حضور ساير بدافزارها از طريق اسکن اوليه تعاريف ويروس(امضاء) مي باشد. پس از آن موتور ويروس ياب اسکن هاي مختلفي را برحسب نوع فايل و محتواي فايل به کار مي گيرد. مانند موتور شناسايي ويروس چندريختي، شناسايي نشانه هاي عمومي بدافزار و غيره. همچنين ابزاري در بيشتر موتورهاي آنتي ويروس به نام اسکنر اکتشافي وجود دارد که براي شناسايي مالويرهاي ناشناخته جديد به کار مي رود.
اميدوارم پاسخم به اندازه کافي در رابطه با تكنولوژي محصولات آنتي ويروس شفاف بوده و خوانندگان را راضي کرده باشد.

به نظر شما يك مهندس بايد چه دانش فني داشته باشد تا بتواند در زمينه تکنولوژي آنتي ويروس فعاليت کند؟ آيا نياز به داشتن دانش عميق در زمينه سيستم هاي عامل مي باشد؟
تکنولوژي آنتي ويروس در طي زمان تغييرات بسياري کرده و شکل بزرگي از سيستم امنيتي شامل جنبه هاي متفاوت امنيت را به خود گرفته است. از آنجا که هرروز تهديدهاي امنيتي تازه اي کشف مي شود، حوزه سيستم امنيتي نرم افزارهاي ضدويروس در همه زمينه ها رشد کرده اند. براي مقابله با همه اين تهديدها شخص نياز به داشتن دانش عميق در زمينه سيستم مورد نظر دارد. بسيار دشوار است که يک شخص به تنهايي بتواند دانش عميقي در زمينه همه سيستم عامل ها با تکنولوژي هاي متفاوت را در عصر حاضر داشته باشد. بنابراين فضا براي همه کساني که دانش عميقي درباره هر يک از جنبه هاي سيستم هاي عامل يا شبکه دارند وجود دارد. اين حوزه مي تواند سيستم فايل، شبکه، فرمت فايل، مديريت حافظه ،مهندسي معکوس، تحليل بدافزار، آناليز آسيب پذيري، پيامگذاري و غيره باشد.
شما درست مي گوييد، يك مهندس بيش از ۹۰% به اطلاعات كامل در زمينه مفاهيم سيستم عامل و به طور خاص بخشي که روي آن کار مي کند نياز دارد. مثلا مهندسي که در زمينه سيستم فايل اطلاعات دارد ممکن است در مورد مهندسي معکوس وارد نباشد.

بدترين نوع ويروس، تروجان يا كرم رايانه اي که در کوييک هيل با آن مواجه شديد چه بود؟ چطور تيم مهندسي شما به اين تهديدها پاسخ مي دهد؟
امروزه بيشتر بدافزارها براي ما حکم بدترين را دارند، از آنجا که مجرمين شبکه از طريق Hack کردن امرار معاش مي کنند، کوشش مي کنند براي مدت طولاني ناشناس باقي بمانند. آنها با استفاده يا استقرار بهترين ابزارها و بدافزارها كار خود را به بهترين وجه انجام مي دهند. بنابراين جديدترين بدافزارها بهترين بسته بندي، رمزنگاري و قابليت نفوذ را دارند که شناسايي آنها را دشوار مي کند.
اگر شما به دنبال اسامي خاصي از ويروس/تروجان/كرم اينترنتي هستيد، اجازه بدهيد بگويم پيچيده ترين تکنيک هايي که مالويرها استفاده مي کنند غيرمعروف ترين آنهاست؛ در حالي که ساده ترين ويروس ها مشهور شده و رو به گسترشند. بنابراين اسامي که من ذکر مي کنم ممکن است به نظر آشنا نيايند چون معروف نيستند اما بدترين انواع بدافزار به شمار مي آيند. دسته هاي چندريختي و دگرگون شده مالور بدترين انواع آنها هستند و چند نوع از آنها که فروشندگان آنتي ويروس ها را به دردسر انداخته شامل موارد زير مي باشد:
One Half, Natas در سيستم عامل MS-DOS
W۳۲/Marburg, W۳۲/CTX, W۳۲/Crypto, W۳۲/Zmist, W۳۲/Etap در سيستم عامل ويندوز
جهت اجراي شناسايي دقيق و به موقع در مورد چنين مالويرهايي، تحليلگران مالوير ما از تکنيک هاي نوين و بديع مهندسي معکوس استفاده مي کنند. در بسياري از مواقع اين امر تلاش جمعي گروهي از مهندسان را برمي انگيزاند تا مالور را قسمت به قسمت شناسايي کنند تا به راه حلي برسند. هرگاه چنين موقعيتي ايجاد شد تيم فني كوييك هيل بصورت شبانه روز کار مي کنند تا به راه حل منطقي شناسايي مالور برسد و آنرا به صورت آپديت براي کاربران ارائه دهند.

کوييک هيل براي عبور از رقباي خود چه برنامه اي دارد؟
همه همكاران در کوييک هيل از منشي دفتر گرفته تا مديريت ارشد به صورت يک تيم كار مي کنند و نهايت کوشش خود را به کار مي گيرند. تمرکز ما بر روي رضايت مشتريانمان است که آن را به طور مداوم مد نظر قرار مي دهيم تا از چگونگي خواسته هاي دقيق مشتريانمان اطمينان حاصل کنيم و نهايت کوشش خود را به عنوان عرضه كننده محصولات امنيتي براي جلب رضايت مشتريانمان به کار مي بنديم. در اين روند ما هرگز توجه چنداني به رقابت نداشته ايم.

کوييک هيل راه حل هاي آنتي ويروس را براي انواع سيستم عامل هاي UNIX ارائه مي دهد. نوع ويروس هايي که بر روي سيستم عامل هاي مبتني بر يونيكس اثر مي گذارند چيست؟
ويروس هايي بر سيستم عامل هاي UNIX و يونيكس-مانند اثر مي گذارند که به طور کلي از فرمت فايل اجرايي ELF استفاده کنند. يونيكس انواع متفاوتي از بدافزارها را به خود ديده مانند ويروس هاي برمبناي shell-code، ويروس هاي اسكريپتي، ويروس هاي فايل هاي ELF آلوده به ويروس ها، كرم هاي منتشر شده از طريق ايميل و root-kitها. به علاوه پلتفرم هاي مشهور UNIX نيز مکان مناسبي براي ورود مالورهاي مرسوم بر مبناي ويندوز مي باشند.

ضمن سپاس از شما، آيا براي خوانندگان ايراني پيامي داريد؟
توصيه من به تمام مهندسين نرم افزار اين است که عرصه جرايم شبکه به معناي واقعي درحال گسترش است و به گونه بي حد و حصر اهداف منفي خود را مي جويد. همه آنهايي که در زمينه فعاليت هاي تجاري و تکنولوژي کار مي کنند، لطفا مراقبت امنيتي را به طور دقيق در هر سطح مهندسي نرم افزار رعايت کنند. از مرحله طراحي تا مرحله آزمايش بايد جنبه هاي امنيتي در فرايند لحاظ شود. به خصوص در مرحله آزمايش لطفاً مهندسان تقاضاها را از ديدگاه امنيتي مورد بررسي قرار دهند. براي اطلاعات بيشتر در اين زمينه به کتابي از مايکروسافت تحت عنوان The Security Development Life Cycle (چرخه حضور توسعه امنيت) تاليف Michael Howard & Steve Lipner مراجعه کنيد. اين کتاب جالبي براي آغاز به تفکر در اين مسير مي باشد. با چنين فعاليتي اگر نتوانيم جلوي هک شدن را بگيريم حداقل فعاليت هاي مضر و خرابکارانه را محدودتر و انجام آنها را دشوارتر مي سازيم.
بسيار متشکرم که مرا براي اين مصاحبه دعوت کرديد. اميدوارم پاسخ هاي من براي خوانندگان مفيد بوده باشد. اگر پرسش ها و ترديدهاي بيشتري داريد مي توانيد از طريق ادرس ايميل اسم کوچکم در کوييک هيل دات کام با من در ميان بگذاريد تا پاسخ دهم.

منبع

[بهروز عباسی]

در دنياي شبكه‌اي امروز، لزوم داشتن يك نرم‌افزار ضدويروس قدرتمند كه كامپيوتر ما را از انواع ويروس‌ها، كرم‌ها، بمب‌هاي منطقي و به‌طور كلي كدهاي مخرب مصون بدارد، بيش از هر زمان ديگري احساس مي‌شود. خوشبختانه (شايد هم متأسفانه) انتخاب‌هاي متعددي در اين زمينه وجود دارد. ولي واقعاً كدام يك از آن‌ها مي‌تواند بهتر مشكل كامپيوتر (يا كامپيوترهاي شبكه) ما را حل كند؟ كافي است سري به سايت‌هاي مربوط به فروشندگان اين نوع نرم‌افزارها بزنيد. به نظر مي‌رسد كه همه آن‌ها از بهترين‌ها هستند. و همه آن‌ها در تمام طول سال و در تمام 24 ساعت شبانه‌روز خدمات خود را ارايه مي‌دهند. از طرفي به دليل بازار رقابتي موجود، هيچكدام از آن‌ها اطلاعات دقيقي از نرم‌افزارخود ارايه نمي‌دهند. شما چه يك متخصصIT باشيد و چه يك كاربر معمولي، ممكن است به دليل نداشتن اطلاعات صحيح براي انتخاب ضدويروس مناسب خود با مشكل مواجه مي‌شويد. بنابراين بسيار مهم است كه بدانيد ضدويروس‌ها چگونه كار مي‌كنند و در واقع عوامل مهم براي انتخاب آن‌ها كدامند.




ضدويروس‌ها چگونه كار مي‌كنند؟
اولين قدم جهت انتخاب يك ضدويروس مناسب آشنايي با كاركرد ضدويروس‌ها مي‌باشد.
پس از آشنايي با خصوصيات يك ضدويروس، واژگاني كه در اين زمينه استفاده مي‌شود، را خواهيد شناخت. اين‌كه بدانيد ضدويروس چه كارهايي مي‌تواند انجام بدهد و چه كارهايي نمي‌تواند انجام دهد، به شما كمك مي‌كند كه انتظارات معقولي از آن داشته باشيد.

يك ضدويروس چگونه ويروس‌ها را شناسايي مي‌كند؟
روش‌هاي مختلفي براي شناسايي ويروس‌ها وجود دارد.
ويروس‌ها (به‌طور معمول) چيزي بيشتر از كد يك برنامه نيستند. بنابراين اگر ما بدانيم كه هر كدي چه كاري انجام مي‌دهد قادر خواهيم بود كه كد حامل ويروس را به محض رويت شناسايي كنيم.
اين كار اولين عملي است كه انجام مي‌گيرد و به نام Signature Matching معروف است.
نرم‌افزارهاي ضدويروس كه به اين روش كار مي‌كنند داراي يك بانك اطلاعاتي هستند كه شامل Virus signatureها است و به محض اين‌كه كدي را ملاحظه كرد كه معادل يكي از ركوردها باشد آن را به عنوان ويروس شناسايي مي‌كند. به نظر مي‌رسد كه موثرترين راه براي كشف ويروس‌ها همين باشد. روش فوق ذاتاً به‌گونه‌اي است كه اول ويروس را شناسايي مي‌كند و بعد متناظر با آن يك ركورد (virus signature) به بانك اطلاعاتي اضافه مي‌كند و حالا اگر ويروسي پيدا كند، در صورتي‌كه متناظر با اين ويروس ركوردي در بانك اطلاعاتي باشد قادر به شناسايي آن خواهد بود و همين امر ايجاب مي‌كند شركت‌هايي كه از اين فناوري در نرم‌افزار خود استفاده مي‌كنند مدام آن را بروز نگه دارند. به هر حال اين يك نقطه ضعف مي‌باشد و براي فائق آمدن بر آن دو روش ديگر در نرم‌افزارهاي ضدويروس معرفي شده است.

1- Heuristic method (روش‌ مكاشفه‌اي)
فلسفه Heuristic اين است كه بتوانيم ويروس‌هايي را شناسايي كنيم كه هنوز Virus Signature آن‌ها در بانك اطلاعاتي موجود نمي‌باشد.
اين كار با استفاده از يك بانك اطلاعاتي كه ركوردهاي آن حاوي Virus behavior signature مي‌باشد قابل انجام است. ركوردهاي اين بانك اطلاعاتي امضاي ويروس خاصي را نگهداري نمي‌كنند بلكه بيشتر رفتارهاي (رفتار بد) ويروس‌ها را ذخيره مي‌كنند. مثلاً اين‌كه هر كجا تشخيص بدهند كدي قصد پاك كردن Boot Sector را دارد از آن جلوگيري مي‌كنند.
الگوريتم‌هايHeuristic به دو صورت پياده‌سازي مي‌شوند:
● اگر تكنولوژي Heuristic كد هر برنامه را با Virus behavior Signature مقايسه كند و مورد آناليز قرار دهد آن را روش static heuristic مي‌ناميم.
● در بعضي مواقع اين تكنولوژي قطعه كد را در يك ماشين مجازي اجرا مي‌كند تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic مي‌گوييم. اين روش ممكن است نتايج غلطي نيز توليد كند.

Integrity checksum (جامعيت سرجمع)
در روش integrity checksum، فرض براين است كه ويروس قصد اعمال تغييراتي در فايل دارد. مثلا‌ً يك ويروس مي‌خواهد كه روي يك فايل چيزي بنويسد يا اين‌كه خودش را به آخر فايلي اضافه كند. در اين روش نرم‌افزار checksum فايل غيرويروسي و يا درايورهاي تميز را ذخيره مي‌كند و هرگاه كه تغييري در اين checksum مشاهده شود متوجه مي‌شود كه احتمال دارد ويروسي اين كار را انجام داده باشد. در اين روش نيز احتمال توليد نتايج غلط وجود دارد. اين روش در مقابله با ويروس‌هاي ماكرويي يا ويروس‌هاي مانند code Red كه بدون اين‌كه در هيچ فايلي ذخيره شوند در حافظه بارگذاري و اجرا مي‌شوند، كارايي چنداني ندارد.
اگر يك كد مزاحم از تمام الگوريتم‌هاي يك ضدويروس كه تاكنون نام برديم بگذرد، در گام آخر توسط فناوري ديگري به نام Activity Blocker از فعاليت آن جلوگيري مي‌شود. اين تكنولوژي از تمام فعاليت‌هايي كه ممكن است توسط يك كد مخرب صورت بپذيرد جلوگيري مي‌كند مثلاً اگر تشخيص دهد كه هاردديسك در حال فرمت شدن است از آن جلوگيري مي‌كند.

يك ضدويروس چه موقع ويروس‌ها را شناسايي مي‌كند؟




معمولاً ضدويروس‌ها به دو روش مي‌توانند ويروس‌ها را شناسايي كنند.
در روش اول ضدويروس، به صورت Real Time (بلادرنگ) و همان موقع كه فايل مورد دسترسي قرار مي‌گيرد عمل مي‌كند. در اين روش، ضدويروس درون حافظه مقيم مي‌شود و تمام فعاليت‌هاي مربوط به سيستم را مورد ارزيابي و بررسي قرار مي‌دهد. اين نرم‌افزارها با همكاري سيستم‌عامل متوجه مي‌شوند كه هم‌اكنون قرار است فايلي مورد دسترسي قرار بگيرد. سريعاً اين فايل را بررسي و نتيجه را گزارش مي‌دهند. به اين روش on-access مي‌گويند.
مزيت اين روش در ارايه يك حفاظت دايمي است ولي اشكالي كه دارد اين است كه تنها فايل‌ها را به هنگام دسترسي مورد بررسي قرار مي‌دهد. يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته باشد و در ديسك ذخيره شده باشد، با اين روش قابل شناسايي نيست. در روش دوم اين امكان به كاربر داده مي‌شود كه خودش نرم‌افزار ضدويروس را براي بررسي كردن ديسك يا يك فايل به كمك بگيرد. براي اين‌كه فعاليت فوق بازده بهتري داشته باشد بايد ضدويروس را طوري تنظيم كرد كه در دوره‌هاي زماني معين اقدام به اسكن كند. اين روش به on-demand معروف است.

ضدويروس‌ها چه كارهايي را مي‌توانند انجام دهند و چه كارهايي را نمي‌توانند انجام دهند؟
1- محافظت صددرصدي
هيچ ضدويروسي وجود ندارد كه بتواند به صورت صددرصد سيستم شما را در مقابل ويروس‌ها ايمن كند. ويروس‌ها و كدهاي مخرب هميشه از ضد‌ويروس‌ها جلو بوده‌اند CodeRed .،Melissa ،Funlove ، Nimda و ويروس‌هاي زياد ديگر اين فرضيه را ثابت نموده‌اند و البته دليل پويايي و حيات نرم‌افزارهاي ضدويروس نيز همين قضيه مي‌باشد.
به خاطر داريد كه ضدويروس‌ها براي شناسايي يك ويروس به‌طور معمول نياز به virus signature دارند و البته هنگامي كه اين signature موجود نباشد از روش‌هاي heuristic استفاده مي‌شود كه اين روش‌ نيز هميشه جواب درست را برنمي‌گرداند. با اين همه، ضدويروس‌ها در مقابل ويروس‌هاي شناخته شده (بيش از60 هزار عدد) يك حفاظت همه جانبه از سيستم شما به عمل مي‌آورند.
بيشتر ضدويروس‌ها در صورت بروز و ظهور يك ويروس جديد قادر خواهند بود كه به سرعت آن را شناسايي كنند و سيستم شما را از وجود اين ويروس پاك نگه دارند.

2- بازسازي فايل‌هاي ويروسي شده
آيا هر ويروسي كه توسط نرم‌افزار ضدويروس شناسايي شد قابل از بين بردن است؟
بستگي دارد كه عملكرد ويروس چگونه باشد.
بعضي از ويروس‌ها مانند ويروس‌هاي ماكرويي به راحتي توسط نرم‌افزار ضدويروسي تشخيص داده مي‌شوند و از فايل بيرون كشيده مي‌شوند و پاك مي‌شوند. اين فايل‌ها هيچ آسيبي به فايل ميزبان خود نمي‌رسانند.
اما بعضي از ويروس‌هاي ديگر نيز هستند كه بر روي فايل ميزبان چيزي مي‌نويسند يا اين‌كه اصلاً كدويروس را درون فايل ميزبان قرار مي‌دهند. يكي از انواع اين ويروس‌ها Loveletter است. در اين مورد به وضوح ديده مي‌شود كه فايل ميزبان قابل بازيابي نيست و تنها راه‌حل اين است كه اين فايل را پاك كنيم.
دسته ديگري از ويروس‌ها وجود دارند (مانند ويروس Nimda) كه علاوه بر ايجاد تغييرات بر روي فايل، قابليت دستكاري فايل‌هاي سيستم و رجيستري را نيز دارند. در اين موارد ضدويروس به تنهايي نمي‌تواند كاري بكند. شما به ابزاري نياز داريد كه بتواند فايل ويروسي را حذف كند و تغييرات اعمال شده در سيستم شما را به حالت اوليه برگرداند. معمولاً اين ابزار كمكي بر روي وب سايت‌هاي فروشندگان نرم‌افزار ضدويروس موجود مي‌باشد.

معيارهاي انتخاب يك ضدويروس
حالا كه متوجه شديد ضدويروس چگونه كار مي‌كند و چه كارهايي را مي‌تواند براي شما انجام دهد، وقت آن است ببينيم چه معيارهايي براي انتخاب يك ضدويروس مهم هستند.

1- شناسايي
مهمترين وظيفه يك ضدويروس شناسايي ويروس‌ها است. اما چگونه بايد مطمئن شويم كه يك ضدويروس همان كاري را كه ادعا مي‌كند انجام مي‌دهد؟
آيا همين قدر كه برنامه ضدويروس يك گزارش مبني بر شناسايي ويروس‌ها توليد مي‌كند متقاعد مي‌شويد كه كار خود را به خوبي انجام مي‌دهد؟ پيدا كردن جواب دو سوال زير مي‌تواند به شما كمك ‌كند:
پرسش اول: نرم‌افزار ضدويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد. از اين پارامتر عموماً با نام detection Rate ياد مي‌شود.
پرسش دوم: نرم‌افزار ضدويروس تحت چه شرايطي مي‌تواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضدويروس قابل تشخيص است؟

توصيه هاي مهم
اول: يك راه‌حل اين است كه شما خودتان ضدويروس را بررسي كنيد. براي اين كار بر روي اينترنت به دنبال ويروس‌هاي مختلفي بگرديد و اين ويروس‌ها را به سيستم خودتان بياوريد و ببينيد كه آيا ضد‌ويروس مي‌تواند اين ويروس‌ها را شناسايي كند يا نه؟ ولي من شما را از انجام اين عمل شديداً منع مي‌كنم. حتي اگر فروشنده ضدويروس خودش اين پيشنهاد را به عنوان يك راه‌حل براي آزمايش ضدويروس داده باشد. همان‌طورEicar كه گفته است: استفاده از ويروس‌هاي واقعي براي تست كردن يك ضدويروس در يك محيط عملياتي مانند اين است كه شما آتش را به دفتر كار خود بياوريد و بعد بخواهيد بررسي كنيد كه آيا حسگرهاي دود‌ به خوبي كار مي‌كنند يا نه؟ شما هرگز نمي‌توانيد از نتيجه كار مطمئن باشيد. ممكن است برنامه ضدويروس نتواند همه موارد را شناسايي كند و ويروس‌ها شروع به پاك كردن داده‌هاي ارزشمند سيستم شما و پخش شدن در شبكه بنمايند. امري كه ممكن است به بهاي از دست دادن شغلتان تمام شود.
دوم: اگر شما واقعاً مي‌خواهيد مطمئن شويد كه يك ضدويروس قادر به انجام چه كارهايي است مي‌توانيد در سايتhttp://www.eicar.org يك سري آزمايش‌هاي بي‌خطر جهت آزمايش ضدويروس پيدا كنيد. در اين سايت فايل‌هاي آزمايشي و بي‌خطري وجود دارند كه بيشتر ضدويروس‌ها آن‌ها را به عنوان ويروس شناسايي مي‌كنند.
در اين حالت اگر ضدويروس موفق به از بين‌بردن ويروس شود چه بهتر و چنانچه نتواند، شما هيچگونه اطلاعاتي از دست نخواهيد داد. بدين‌ترتيب مي‌توانيد يك روش امن براي آزمايش ضدويروس به كار ببنديد.
سوم: شما مي‌توانيد از منابع موجود كه قبلاً اين كار را انجام داده‌اند استفاده كنيد. بعضي از سازمان‌ها، متولي انجام همين فعاليت مي‌باشند. ليستي از ويروس‌ها توسط http://www.wildlist.org نگهداري مي‌شود. در اين سايت مي‌توانيد ببينيد كه detection Rate يا نرخ شناسايي هر ضدويروس چقدر است.
اين سايت‌ها نيز براي اين منظور مفيد مي‌باشند:
http://www.virusbtn.com: اين سايت، آماري از توان ضدويروس‌ها براي شناسايي ويروس‌هاي موجود در سايت wildlist (در دو مورد on-demand,Real-time) را ارايه مي‌كند.
http://www.chech-mark.com/cgi-bin/Redirect.pl: در اين سايت ضدويروس‌ها در دو سطح مورد بررسي قرار مي‌گيرند. سطح اول همان است كه در سايت Virusbtn نيز انجام مي‌شود يعني فقط شناسايي ويروس‌ها.
نرم‌افزارهايي در سطح دوم موفق هستند كه قادر به از بين بردن ويروس نيز باشند.

2- امكانات
بسيار مهم است كه بدانيم چه نوع فناوري در ضدويروس موردنظر استفاده شده است و چه ويژگي‌هايي دارد.
1- سازگاري سخت‌افزاري و نرم‌افزاري سيستم شما با ضدويروس انتخاب شده.
در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرم‌افزار ضدويروس خود را كه تنها با جديدترين سيستم‌عامل‌ها كار مي‌كنند، ارايه مي‌دهند.
بنابراين منطقي به نظر مي‌رسد كه قبل از اقدام به خريد نرم‌افزار حتماً به اين نكته توجه كنيد.
2- توانايي پويش(on-Access Real time) را داشته باشد.
اين يكي از ويژگي‌هاي اساسي است كه يك ضد‌ويروس بايد دارا باشد. اين بخش نرم‌‌افزار باعث مي‌شود كه نرم‌افزار ضدويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري مي‌شود ويروس را شناسايي و خنثي كند.
اين بخش نرم‌افزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد،
Mabter Boot Record) MBR) و حافظه سركشي كند.
3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستم‌تان بايد انجام دهيد اين است كه هراز‌چندگاهي وضعيت سيستم خود را با اجراي ضدويروس بررسي كنيد.
مخصوصاً هنگامي كه آخرين نسخه ضدويروس را دريافت مي‌كنيد حتماً اين كار را انجام دهيد. سناريوي زير انجام توصيه بالا را توجيه مي‌كند.
شما يك e-mail دريافت مي‌كنيد كه اين e-mail شامل يك ضميمه و ويروسي است. منتهي شما اين ضميمه را هيچ‌گاه باز نكرده‌ايد. اجراي ضدويروس بروز شده باعث مي‌شود كه (احتمالاً) ويروس فوق شناسايي شود.
4- از الگوريتم‌هاي Heuristic پشتيباني كند.
5- بتواند انواع فايل‌ها با فرمت‌هاي مختلف را پويش كند.
اگر شما ويروسي در سيستم داشته باشيد كه قادر باشد به هر نوع فايلي بچسبد، نياز به ضدويروسي داريد كه بتواند فايل‌هاي مختلف با پسوندهاي مختلف را مورد بررسي قرار دهد. قبلاً تنها راه انتشار يك ويروس اين بود كه به فايل‌هاي برنامه‌اي بچسبد، اما امروزه اين امكان وجود دارد كه ويروس براي انتشار خودش از فايل‌هاي غيراجرايي نيز استفاه كند.
6- توانايي جلوگيري از فعاليت اسكريپت‌هاي مخرب را داشته باشد. بعضي از ويروس‌ها هستند كه با استفاده از اسكريپت‌ها طراحي شده‌اند. كرم‌هاي I Love You از اين نوع است.
موتور ضدويروس بايد اين قابليت را داشته باشد كه كدهاي VBS و JS را شناسايي كند و در صورتي كه آن‌ها را مخرب تشيخص دهد از فعاليتشان جلوگيري كند.
7- توانايي بررسي ضميمه e-mail را داشته باشد.
امروزه بسياري از ويروس‌ها توسط e-mail ‌انتشار پيدا مي‌كنند.
بعضي از آن‌ها مانند كرم KAK حتي اين توانايي را دارند تا در سيستم‌هايي كه خوب پيكربندي نشده‌اند، بدون اين‌كه ضميمه e-mail باز شود شروع به انتشار خود بنمايند.
8- قابليت بررسي فايل‌هاي فشرده را نيز داشته باشد. اگر چه يك ويروس هنگامي كه در يك فايل فشرده قرار دارد نمي‌تواند آسيبي به سيستم برساند ولي بهتر است است كه اصلاً اين ويروس در سيستم شما وجود نداشته باشد.
9- قابليت اين را داشته باشد كه اسب‌هاي تراوا، جاوااپلت‌هاي مخرب و اكتيوايكس‌هاي مزاحم را شناسايي كند. نرم‌افزارهاي ضدويروس نه تنها بايد اين قابليت را داشته باشند كه ويروس‌ها و كرم‌ها را شناسايي كنند بلكه بايد بتوانند از فعاليت‌اسب‌هاي تراوا، اكتيويكس‌ها و اپلت‌هاي جاوا نيز جلوگيري كنند.
امروزه بيشتر ضدويروس‌ها داراي اين خصوصيت مي‌باشند.

3- نگهداري از نرم‌افزار
دو مورد زير در نگهداري از نرم‌افزارهاي ضدويروس قابل توجه هستند.
1- بروز كردن مداوم ضدويروس براي مقابله با ويروس‌هاي جديد.
در بخش‌هاي قبل لزوم بروز نگه‌داشتن بانك‌اطلاعاتي ضدويروس توضيح داده شد. بنابراين ضدويروس منتخب شما بايد به ‌گونه‌اي باشد كه به راحتي قابليت روزآمد شدن را داشته باشد و علاوه‌‌‌برآن به‌طور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزم‌هايي جهت بروز نگه‌داشتن ضدويروس استفاده مي‌شود. آيا نسخه‌هاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت مي‌باشد؟ و آيا شما به راحتي مي‌توانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟
اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرم‌افزار بسيار خسته‌كننده مي‌باشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت روزآمد شده نرم‌افزار دريافت شود.
نكته ديگر اين‌كه، نويسندگان ضدويروس‌ها چقدر سعي مي‌كنند تا روش‌هاي جديدي كه براي توليد ويروس‌ها استفاده مي‌شود بشناسند و در نرم‌افزار خود به كار گيرند؟
و نكته مهم‌تر اين‌كه از زمان خبر انتشار يك ويروس تا وقتي كه نرم‌افزار ضدويروس براي اين ويروس بروز شود چقدر طول مي‌كشد؟

4- نرم‌افزارهاي ضدويروس چقدر بر كارايي سيستم شما تأثيرگذار مي‌باشند؟
همه نرم‌افزارهاي ضد‌ويروس بر كارايي سيستم شما تأثير مي‌گذارند. اغلب اوقات اندازه‌گيري ميزان اين تأثير سخت است ولي به هر حال به عنوان يك معيار مهم در انتخاب ضدويروس مطرح مي‌باشد. پرسش‌هاي زير در اين مقوله مهم مي‌باشند.
- آيا نرم‌افزار ضدويروس باعث كندتر شدن پروسه بوت سيستم شده است؟
- زمان دسترسي به يك فايل را افزايش داده است؟
پس براي انتخاب يك ضدويروس مناسب ناچاريد كه چند آزمايش را انجام دهيد.
مثلاً مي‌توانيد زماني كه براي پويش‌هاي مختلف (تحت شرايط مختلف) توسط يك ضدويروس مصرف مي‌شود را محاسبه كنيد و در اين مدت، زمان ميانگين استفاده از حافظه و cpu را نيز اندازه‌گيري كنيد.
يا اين‌كه زماني كه براي اسكن on-demand نياز مي‌باشد را براي محصولات مختلف اندازه‌گيري كنيد.
يا اين‌كه وقتي كه ضدويروس در حال پويشReal-time مي‌باشد ببينيد كه باز كردن يك فايل بزرگ چقدر طول مي‌كشد؟
توجه به اين موضوع كه محيط تست براي همه ضدويروس‌ها كه مورد ارزيابي قرار مي‌گيرند، مشابه باشد بسيار مهم است از جلمه اين‌كه:
حجم فايل‌ها و نوع فايل‌هايي كه براي هر يك از ضدويروس‌ها مورد بررسي قرار مي‌گيرد مهم است.
هر دو ضدويروس به يك ترتيب و روي يك سخت‌افزار پيكربندي شده باشند.

5- نرم‌افزار ضدويروس قابل كنترل باشد.
اگر شما نتوانيد بر روي ضدويروس خود نظارت كامل داشته باشيد مانند اين است كه ضدويروس نداريد.
شما بايد بتوانيد به‌طور مرتب (هر زمان كه نياز داشتيد) و بدون زحمت زيادي بانك اطلاعاتي خود را كامل‌تر يا بروز كنيد.
به راحتي بتوانيد از سرورها خود و كلاينت‌هاي خود محافظت كنيد و گزارش‌هاي نرم‌افزار ضدويروس را براي هر كدام از آن‌ها ببينيد.

6- پشتيباني ضدويروس هميشگي و موثر باشد.
فروشنده نرم‌افزار بايد قادر باشد كه پشتيباني مورد نظر شما را انجام دهد. مطمئناً پشتيباني كه براي كاربر در خانه ارايه مي‌شود با پشتيباني كه براي يك شركت بزرگ انجام مي‌شود با يكديگر متفاوت هستند.
فروشنده براي پشتيباني مي‌تواند خدمات زير را به شما ارايه دهد.
1- قادر باشد كه شما را به صورت on-line پشتيباني كند و اگر شك كرديد كه فايلي حاوي ويروس است، بتوانيد آن را براي فروشنده ارسال كنيد تا نظر خودش را راجع‌به فايل بيان كند.
اگر يك ويروس جديد شناخته شود، فروشنده بايد بتواند اين موضوع را به اطلاع شما برساند تا اقدامات لازم را براي خودتان، يا براي شبكه‌اي كه شما مس‡وول آن هستيد انجام دهيد.

نتيجه‌گيري
هيچ‌كدام از نرم‌افزارهاي ضدويروس بهترين نيستند. يك ضدويروس وقتي براي شما بهترين است كه بتواند نسبت به نرم‌افزارهاي ديگر به صورت كاملتري نيازهاي شما را برآورده كند.
اطلاعاتي كه فروشنده نرم‌افزار ارايه مي‌كند هميشه خوب است ولي انتخاب ضدويروس نبايد تنها براساس ادعاهاي فروشنده باشد.



آنتی ویروسها جادو نمیکنند!
آنتی ویروسها محافظان سیستم های ما هستند. این گونه نرم افزارها میتوانند بنا به ساختمان برنامه ای خود, کنترل مرکزی سیستم را در دست گیرند و مواظب رفتار مشکوک یا برنامه های مخرب اجرایی بر روی سیستم ما باشند ولی با گسترش روابط, نمیتوانیم به صورت کامل روی آنها حساب کنیم زیرا این برنامه ها از حمله ویروسها در امان نیستند .
در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.
خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.
آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.

چند تکنیک آنتی ویروس Kaspersky : (از بهترین آنتی ویروسها )
1. تکنیک تله گذاری: در این روش آنتی ویروس توجه ویروس را به خود جلب می کند.
2. مخفی ماندن : وقتی ما آنتی ویروسی در کامپیوتر نصب میکنیم ویروسها در بین فایلها پنهان می شوند. در آنتی ویروس Kaspersky هیچ قسمتی از سیستم (نرم افزاری) متوجه نصب نمی شوند.
3. سیستم رادار : اطلاع رسانی به کاربران.
و ده ها تکنیک دیگر.


(به نقل از شماره 48 ماهنامه شبکه)

[Abbas Naghdi]

https://barnamenevis.org/showthread.p...A7%D9%86%DB%8C

[بهروز عباسی]

تا اینجا بیشتر حرف بود و تئوری شاید بهتره شروع کنیم .

من کمی روی این پروژه فکر کردم ،به نظرم فعلاً باید به این ترتیب عمل کنیم و کارهای رو پیش ببریم :

1. ساخت قسمت مربوط به جستجوی فایل ها و تهیه (MD5 or SHA1) Hash (که ظاهراً نوشته شده).
2. طراحی و پیاده سازی یک دیتابیس مناسب برای Hash ها و امضای ویروس ها.
3. طراحی قسمت مربوط به HOOK های Ring 3 (وقتی پروژه کمی پیشرفت داشت باید به فکر Ring 0 بود).
4. طراحی قسمت مربوط به Analysis فایل های اجرای برای تشخیص ویروس ها (Infection , Injection,...).

اگه همین چهار قسمت رو هم کامل کنیم در جای خودش پیشرفت خوبی محسوب میشه ،لطفاً کسانی هم میتونن در کد نویسی کمک کنن دوستان رو یاری کنند.


یه کم توضیح در مورد موارد بالا.
1 : که قبلاً هم بحث شده و نیازی نیست خیلی وارد جزئیات بشم ؛ در این مرحله با استفاده از Algorithm هایی مثل MD5 یا SHA1 اقدام به تهیه یک Hash از فایل ها میکنیم ،یک هش مقداریه که برای هر فایل منحصر به فرده یعنی اگر ویروس NewFolder رو ازش Hash تهیه بشه توی تمام سیستم ها با همون Hash قابل شناسایی (به شرطی که دقیقاً همون نسخه باشه و حتی یک Bit هم تفاوت نداشته باشه).
ما با یک دیتابیس از هش های ویروس های مختلف داریم بعد میایم دونه دونه فایل ها رویدا میکنیم ازشون هش میگیرم و با دیتابیس مقایسه میکنیم اه Hash یک فایل با یکی از مقادیر دیتا بیس یکی بود اون ویروسه و مشخصاتش هم از دیتابیس اشتخراج میکنیم ولی این روش یه عیب داره اونم اینه که فقط نسبت به گذشته کامله یعنی اگر من الان یه ویروس بنویسم و دیتابیس مال یک هفته قبل باشه ویروس من شناسایی نمیشه ،به همین خاطر باید به دنبال روش های دیگه ای باشیم که در ادامه توضیح میدم.


2 : خب معلومه دیگه باید یه دیتابیس خیلی ترو تمیز طراحی بشه تا موقع مقایسه ها سرعت کم نباشه و ... .


3 : هوک ها یکی از اساسی ترین اجزاء یک AV هستن و انواع مختلفی هم دارن در ساده ترین حالت یک واسطه هستن بین OS و برنامه ها (که میتونن ویروس هم باشن) و به درخواست هایی که از طرف برنامه ها به OS داده میشه و پاسخ های OS گوش میدن و اونا رو دریافت میکنن البته میشه اونها رو تغییر داد یا هر بلایی سرشون آورد ، خب توی AV ها چه استفاده ای دارن .


بیشتر برای Monitor کردن رفتار برنامه ها مورد استفاده قرار میگیره مثلا یک برنامه تابع APIای رو برای حذف فایل ها مورد استفاده قرار میده Av روی اون تابع هوک میکنه اگه برنامه ای با اون تابع قصد حذف فایل های سیستمی و مورد نیاز OS رو داشت جلوی اون رو میگیره تا خرابکاری نکنه و اونو به عنوان ویروس میشناسه.


4 : این مورد و تقریباً مورد قبل همون چیزای هستن که قرار شد در ادامه مورد اول توضیح بدم ؛ شما دیدن که بدون استفاده از دیتابیس هش ها ما با یک هوک یک برنامه مخرب رو کشف کردیم این خیلی خوبه حتی اگه دیتابیس هم نباشه AV میتونه تشخیصش بده ولی بازم کافی نیست
چرا ؟؟
چون بعضی برنامه ها با سطح دسترسی بالای اجرا میشن و اجازه هر کاری رو دارن و AV هم نمیتونه به خاطر حذف یک فایل بهش گیر بده ،ویروس های موزی میان این برنامه ها رو مورد حمله قرار میدن و کدهای مخرب خودشون رو به این برنامه های با دسترسی بالا تزریق میکنن اون موقع هم کدهای مخرب اجرا میشن و هم AV باید بره دنبال نخود سیاه :! اینجاست که باید به فکر آنالیز Process ها و فایل های اجرایی باشیم تا در زمان اجرا اگر تزریق کد رخ داد بتونیم تشخیصش بدیم و ازش جلو گیری کنیم یا وقتی ویروسی خودش رو به برنامه های دیگه میچسبونه بتونیم اون ویروس رو با این که در دل یک برنامه دیگه (در واقع فایل های روی دیسک) تشخیص بدیم.

* نکته : من فکر میکنم دوستان تفاوت امضای ویروس (Signature) و Hash اون رو نمیدونن (چند جا به جای هم استفاده شدن) ؛ امضای ویروس به قطعه کدی گفته میشه که توی یک ویروس منحصر به فرده و لی هش یه چیز کلی از اونه هش با کوچک ترین تغییری در ساختار فایل ویروس به هم میریزه ولی امضا نه !! در کل دقت امضا بیشتر Hash اه . امضای ویروس حتی اگر ویروس خودش رو به برنامه ای دیگه چسبونده باشه میتونه باعث شناسایش بشه ولی Hash نه .

[Abbas Naghdi]

با تشکر از بهروز عزیز

ساخت قسمت مربوط به جستجوی فایل ها و تهیه (MD5 or SHA1) Hash (که ظاهراً نوشته شده)

بله ... این قسمت نوشته شده ... مشکلاتی داره مثل کرش شدن برنامه در مواقعی که فایل ها زیادن و حجیم (این مشکل با thread ها حل میشه )
MD4 , MD5 , SHA1 , SHA256 نوشته شده !

طراحی و پیاده سازی یک دیتابیس مناسب برای Hash ها و امضای ویروس ها.

این یکم مشکل داره ( یعنی جای بحث داره) ... من یه دیتا بیس دارم پیوست میکنم !
این دیتا بیس مال یکی از دوستام (یکی از مدیرای تیم آشیانه هست) که این دیتا بیس رو روی آنتی ویروس خودش به کار برده بود ...
میتونید این آنتی ویروس رو از پست زیر دانلود کنید
http://ashiyane.org/forums/showthrea...823#post336823
پست بعدی دیتابیس رو آپ میکنم ... <

[Abbas Naghdi]

حجم دیتا بالا بود برای همینم یه بخشیشو کپی کردم (1000 تا از 649030 تا) و پیوست شد !
خودتون میتونید ببینید چی پیدا میکنه ...

سام یه همچین چیزی برای دیتا بیسش خوبه ؟

[Abbas Naghdi]

بچه ها یه کروشه اینجا باز میکنم ...


بخشی از صحبت های من با مایکروسافت ...

آیا WinC++‎‎‎ جای VC++‎‎‎ را خواهد گرفت ؟

There is no such product as WinC++‎‎‎. There were some postings in 2011 about WinC++‎‎‎ hinting there might be a new appellation to the Visual C++‎‎‎ product, but this obviously has never transpired

توضیحات ...

C++‎‎‎ and WIN32 gives you all the tools you need to write anti-virus software. However, the subject is way more involved than we can possibly go into here. There are multiple facets to it: Identifyin[QUOTE]g suspect code (either known viruses or things that appear to be malicious), understanding the physical media (boot sectors, etc...) of physical devices, learning how to intercept certain calls in networking, autorun, etc... to known when to scan for things, learning how viruses attempt to defeat antivirus software, learning how to build a database of known threats and how to update your clients regularly, how to remove or render safe viruses found, etc..

There's a good reason why Semantec and McAfee gets good money for this (and why Microsoft doesn't bother with their own product).

If you really want to learn, run a search engine and there are some simplistic tutorial information. There are books on the subject of the nature of viruses/malware, detection, etc.. that you can learn. This is not a small undertaking.

I've done a very smaller program that scrubs files like an antivirus looking for certain "bad words" (detecting leaked classified information). Even that is way more than we could explain in a forum posting

[Abbas Naghdi]

اینم سوال در مورد برنامه نویسی آنتی ویروس برای Windows 8 یا Windows Store

Windows Store apps are sandboxed and have limited access to the file system; by default they only have access to their own local and roaming data areas but you can declare app capabilities to gain additional access: http://msdn.microsoft.com/en-us/libr.../hh464936.aspx . By design there is no way to get full access to the complete file system in a Windows Store app; it's part of the security model.

In addition to the Windows Runtime APIs ( http://msdn.microsoft.com/en-US/libr.../apps/br211377 ) you can also use the Win32 and COM APIs that are listed here: http://msdn.microsoft.com/en-US/libr.../apps/br205757 .

For more on getting started with programming Windows Store apps, see the Getting Started with Windows Store apps page: http://msdn.microsoft.com/en-us/libr.../br211386.aspx .

You could write an app that would scan files for viruses but since it would not have access to things like the Windows directory or other restricted areas of the hard drive and since Windows Store apps only run when they are in the foreground (though you can add the ability to run in the background in limited circumstances), it would be of limited use. Note that any app you write will need to comply with the Windows 8 app certification requirements: http://msdn.microsoft.com/library/windows/apps/hh694083 .

همون سوال ادامه ...

One way I've seen some engineers going about this is to develop the virus scanning engine for Win8 Desktop believing that they could then develop a secondary (Metro) application and have this as the controller of the Desktop application. Not a real solution, as the Metro application is restricted from communicating (e.g. Pipes/Loopback IP) with any other application on the system (Metro or Desktop). You could do something where the Desktop application communicates to a remote server as well as the Metro application, but that sounds kinda messy.

[barnamenevisjavan]

سلام خسته نباشید میشه یه ریلیز پیشنمایش واسمون از سایروس بزاری؟تا ازش استفاده کنیم علاوه بر تکمیلش نرم افزارو تست هم بکنیم و باگ یابی...