كشف ويروس‌هاي رايانه‌يي ناشناس

[Ali Singer]

تام ليزموس، دانشجوي مقطع دكتري الكترونيك و كامپيوتر، اولين كسي است در جهان كه نرم افزاراي را طراحي كرده است كه قادر است حملات ويروس رايانه‌يي ناشناس را كشف كند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ایسنا، تام ليزموس مي‌گويد: مشكل اصلي نرم افزارهاي ضد ويروسي فعلي اين است كه نرم افزار‌ها از رايانه تنها در برابر ويروس‌هاي شناخته شده حمايت مي‌كنند و درمقابل ويروس‌هاي ناشناس كاري از پيش نخواهند برد.

تعداد قابل ملاحظه‌اي ويروس رايانه‌يي وجود دارد، بعضي از اين ويروس‌ها براي فعال شدن و آلوده ساختن سيستم، نيازمند دخالت و لمس خود از سوي كاربر هستند، مانند آن دسته از هرزنامه‌هايي كه از طريق پست الكتروني ارسال مي‌شوند لازمه‌ي شروع حمله‌ي آن‌ها باز كردن پست الكترونيك از سوي كاربر است.

ويروس‌هاي ديگري هستند كه موزيانه‌تر عمل مي‌كنند و بدون آن كه كاربر متوجه يك اشتباه كوچك خود شود، به نرم افزار‌ها حمله كرده و كنترل رايانه را در اختيار خود مي‌گيرد، براي مثال تمامي‌document‌ها را حذف مي‌كند.

وي مي‌گويد: دليل اين كه چگونه چنين حملات مخربي به راحتي كاربران را تحت الشعاع قرار مي‌دهد اين است كه بسياري از برنامه‌هاي رايانه‌يي به صورت نادرست برنامه نويسي شده است و رايج ترين اشتباه برنامه نويسي به Buffer Orerflow معروف است .

اين اشكالات برنامه نويسي از سوي برنامه نويسان نرم افزار‌هاي آنتي ويروس نيز تكرار مي‌شود، اما چنين اشتباهات برنامه نويسي در ميان تمام برنامه نويساني كه در C يكي از رايج ترين زبان‌هاي برنامه نويسي، مي‌نويسند متداول است .

گشايشگر وب اينترنت الكسپلورر نمونه‌ي يكي از اين موارد است، اشتباهات برنامه نويسي در سيستم IP-technology شركت Skype و نرم افزار پايگاه د اده‌هاي مايكروسافت، موسوم به سرور SQL، به خوبي مشهود است .

وي مي‌گويد: برنامه‌هاي رايانه‌يي در سال 2003 داراي مشكلات فراواني بودند و اشتباهات فاحشي در آن‌ها به چشم مي‌خورد .

در آن زمان بود كه ويروس‌ها به طور خودكار كنترل سرورهاي پايگاه داده‌هاي بسياري از رايانه‌ها را در دست گرفتند .

سرعت زياد رايانه‌ها باعث شد تا ويروس‌ها اين فرصت را داشته باشند تا با سرعت زيادي منتشر شوند .

اگرچه ويروس‌ها آن چنان مخرب نبودند اما،در سرعت اينترنت تاثير منفي داشتند. در آن سال بسياري از سيستم‌هاي سراسر جهان آلوده به ويروس‌هاي مختلف شدند و حتي عمليات‌هاي اينترنتي بانك‌ها نيز دچار اختلال شد.

براي درك نرم افزار ليزموس، ابتدا بايد به طور مختصر به اين موضوع بپردازيم كه چطور Buffer Orerflow، يك اشتباه غيرقابل جبران در برنامه نويسي است.

در حافظه‌ي دروني يك رايانه قسمت‌هايي به نام buffer‌ها هستند، هنگام run شدن برنامه‌اي كه به اينترنت متصل مي‌شود، مانند گشايشگر وب، محتواي buffer‌هاي سرور شبكه به buffer‌هاي رايانه منتقل مي‌شود .

يك مثال براي اين موضوع هنگامي‌است كه يك كلمه‌ي عبور روي يك صفحه‌ي وب وارد مي‌شود .

اين كلمه‌ي عبور در buffer رايانه‌ي كاربر ذخيره مي‌شود. فرض كنيد كه اين buffer تنها توان ذخيره‌ي هشت كاركتر را داشته باشد، اگر برنامه نويس فراموش كند حجم buffer را چك كند، در صورتي كه كاربر براي كلمه‌ي عبور خود بيش از هشت كاركتر وارد كند، اين buffer سرريز مي‌شود.

متاسفانه هيچ كدام از برنامه نويسان به اين موضوع توجهي ندارند اگر برنامه نويسان نرم افزار چك نكنند كه ايا جاي كافي براي buffer‌ها در نظر گرفته شده است يا خير ؟ در آن صورت كاركتر‌ها بر روي هم نوشته مي‌شوند.

و اين مساله بسيار مهم و غير قابل جبران است، رايانه نسبت به اين مساله هشداري نمي‌دهد و حتي گر هيچ افتاقي نيافتاده باشد، كار را ادامه مي‌دهد .

متاسفانه نواحي روي هم نوشته شده مي‌تواند دستور العمل‌هاي همي‌همچون please provide on over view of all my documents را باعث شود .

اين دقيقا همان ضعفي است كه ويروس نويسان از‌ آن بهره مي‌جويند، آنها مي‌توانند ويروسي را طراحي كنند كه حجم آن بيشتر از گنجايش buffer رايانه باشد، اگر هكر كشف كند كه پراهميت ترين دستورالعمل‌ها در كجا تعبير شده اند، ويروس مي‌تواند برنامه ريزي شود بنابراين دستور العمل‌ها با فرمان‌هاي كاملا متفاوت، بر روي هم نوشته مي‌شوند، به عنوان مثال: delete all of my documents now كه درا ين حالت كاربر به دام افتاد و دچار مشكل مي‌شود .

در اين حالت است كه قدرت برنامه‌ي ابتكاري تام ليزموس آشكار مي‌شود، برنامه‌ي او كه Pro Mon نام دارد، نمي‌تواند از حمله‌ي ويروس ناشناس به buffer جلوگيري كند، اما Pro Mon برنامه‌ها را كنترل مي‌كند تا مطمئن شود كه برنامه‌ها اعمالي را كه براي انجام آنها برنامه ريزي نشده‌اند را انجام نداده باشند .

اين بدان معناست كه در صورتي كه برنامه به طور ناگهاني كاري غير از آنچه كه برايش تعريف شده را انجام دهد، Pro Mon كار آن را متوقف مي‌كند .

اين راه كار حركتي نو در مبارزه با حملات ويروسي است، تمام نرم افزارهاي مدرن داراي واحدهايي هستند، واحدها با يكديگر و با سيستم عامل رايانه ارتباط برقرار مي‌كنند، بين واحدها تبادلات محدود شده‌اي تعريف شده است .

نكته‌ي قابل توجه اين است كه Per Mon در برنامه ايي مانند گشايشگر وب اينترنت اكسپلورر كنترل كننده‌ي تبادلات ميان واحدها است. مادامي‌كه برنامه، تبادلات ميان واحدهايشان به صورت صحيح انجام دهند، Per Mon عكس العملي از خود نشان نمي‌دهد، اما اگر يك تبادل غير معمول رخ دهد، Per Mon با فرض اين كه ويروسي حمله كرده است، برنامه را متوقف مي‌كند.

تام ليزموس تاكيد كرد كه نرم افزارش مي‌تواند هر برنامه را كنترل كند.البته‌ي برنامه‌هاي مشابه ديگري نيز در بازار موجود است اما آزمايشاتي كه تام ليزموس انجام داده نشان مي‌دهد كه برنامه‌ي او 30 برابر سريعتر از برنامه‌ي رقيب وي يعني "موسسه فناوري ماساچوست " است .

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
لازم برای دوستان یه توضیح بدم که این بخش فقط مختص معرفی نرم افزار و لطفا برای از بین رفتن ازدیاد مطا لب آنها را در انجمن مخصوص خودش قرار دهید فکر کنم جای این مطلب شما در بخش مطالب
کاربردی کامپیوتر یا اخبار IT می توانست قرار بگبره
با تشکر از همکاری شما