awake
زيزوومي VIP
غير متصل
بسم الله الرحمن الرحيم
هو البت ديفندر هو كما اسميه الديناصور القادم من رومانيا (بوخارست)
كثيرا من الاشخاص يريد ان يعرف اسرار البت ديفندر وكيف يعمل في صد الفيروسات
ما الذي يدور داخل البت ديفندر من بداية تشغيل الملف حتى اضهار النتيجه
نبدأ على بركة الله
Active Virus Control (AVC)
هذه التقنية المبتكرة تراقب تنفيذ عمل البرامج ضمن حاسبك وذلك للتحقق من وجود أي فعل يتم تنفيذه وهو بالأساس برنامج خبيث. ويتم التبليغ عن البرامج الضارة لديك.
تتضمن التقنية الخطوات التالية :
Step 1 : تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت.. يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص)
Step 2 : تستخدم محركات فحص BitDefender قاعدة بيانات بصمة الفيروسات الموجودة ضمن البرنامج لفحص محتوى الملف.
• اذا كان المحتوى يحوي بصمة او اكثر لفيروس.. يقوم BitDefender بعملية تنظيف للملف من الفيروس. اذا فشل التنظيف، يتم نقل الملف للحجر الصحي Quarantine .
• اذا لم يكن محتوى الملف يحوي أي فيروس ضمن قاعدة بيانات البرنامج، يتم تحويل الملف للمسح من خلال التقنية الرائدة من BitDefender وهي B-Have (تقنية فحص سلوك الملف). وطبعا عملت شرح خاص بها
Step 3 : تقوم تقنية B-Have بمسح الملف من خلال تشغيله ضمن بيئة افتراضية داخل محركات BitDefender . اذا كان سلوك الملف مشابه لسلوك الفيروس (كأن يبدأ بالتعديل بسجل النظام بالويندوز أو ضمن مناطق النظام الحرجة..) تعلن تقنية B-Have ان الملف مصاب وتوقف عمله.
اذا لم يكن مصاب، يعلن BitDefender ان الملف نظيف ويسمح له بالعمل.
يحدث ذلك عندما تكون تقنية Active Virus Control (AVC) مدرجة ضمن العملية.
Step 4 : تقوم تقنية Active Virus Control بمراقبة العمليات الجارية ضمن نظام التشغيل للبحث عن أي بصمة لفيروس، وتعطي تقرير لكل من هذه العمليات.
عندما تتجاوز النتيجة الاجمالية للعملية عتبة المصرّح به، يتم تقييم العملية على أنها ضارة، وبناءً على واجهة برنامجBitDefender حيث يتم إيقاف العملية بشكل تلقائي (في وضع المبتدئ mode novice)
أو تتطلب تدخل المستخدم ليقرر إيقاف العملية (في الوضع المتقدم Advanced View).
كيف تعمل تقنية Active Virus Control (AVC) ؟
تقوم بمراقبة العمليات ضمن النظام، مع استثناء الأمور التالية:
عمليات النظام الآمنة (White-list) والتي يتم استثنائها من المراقبة من خلال المستخدم.
عمليات النظام المعروفة. مثل crss.exe, lsass.ese , smss.exe وهي آمنة.
كل العمليات التي يتم تحميلها قبل تشغيل خدمة الأمان (vsserv.exe) من BitDefender
في أنظمة التشغيل من ويندوز ذات البيئة 64bit ، تقوم BitDefender-AVC بمراقبة العمليات التي تتم تحت بيئة 64bit فقط (العمليات التي تتم تحت بيئة 32bit لا تتم مراقبتها – وذلك ضمن أنظمة تشغيل Windows 64bit).
العمليات التي تم التنبيه على أنها ضارة، وعندما تتجاوز نتيجة التنبيه الاجمالية مراحل معينة، يقوم BitDefender بالاعلام عن أن البرنامج يعتبر ضار.
مثال عن العمليات التي لها سلوك خبيث :
لا تنتظر أو تستجيب لأي طلب يتم من طرف المستخدم.
عدم عرض أي نوع من واجهة المستخدم عند إنهاء التنفيذ.
نسخ أو نقل الملفات في C:\Windows\ أو C:\Windows\Systme32\
يحوي ايقونة غير مرتبطة بالمضمون المعرّف لها.
تقوم بنسخ وتكرار نفسها ضمن ملفات مختلفة بالقرص الصلب.
تضيف نفسها لقائمة بدء التشغيل Startup بالويندوز.
تسيطر على (drivers) ضمن C:\Windows\System32\ .
تتكون العملية من الخطوات التالية:
1. تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت، يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
2. يقوم نظام الفحص المطور بالتحقق من ترميز الملف من خلال قاعدة بيانات الملفات النظيفة (الآمنة)
- اذا تمت المطابقة، لا يتم فحص الملف.
- اذا لم تتم المطابقة، يتم تحويل الملف للفحص.
3. يتم الفحص من خلال قاعدة بيبانات بصمة الفيروسات، ومن خلال تقنية B-Have
- اذا كان آمناً، تتم اضافة الترميز الخاص بالملف لقاعدة بيانات الملفات النظيفة (الآمنة).
- اذا كان مصاباً تتم محاولة تطهيره. اذا فشل التطهير، يتم تحويل الملف الى مجلد الحظر الصحي Quarantine.
كشف التسلل (الهاكرز) Intrusion Detection :
يقوم BitDefender بكشف وايقاف محاولات تغيير ملفات النظام الهامة، أو الادخالات على نظام التسجيل Registry ، ويتم التنبيه للهجمات التي تتم من خلال كود الادخال (DLL).
نظام كشف التسلل المدرج ضمن BitDefender
محاولة الوصول الى الشبكة. هذا يعني :
التأكد من أن العمليات التي تحاول الوصول الى الشبكة هي شرعية. هذه الميزة مبنية ضمن جدار حماية BitDefender كما يتم الاعلام بكل محولات استخدام الشبكة.
ومع ذلك، لضمان سلاسة أداء جميع التطبيقات المدرجة في قائمة White-list للجدار الناري وتلك التي لها توقيع رقمي آلي، يمكنها الاتصال بالشبكة بشكل تلقائي.
التدقيق بمحاولات الدخول للشبكة والغير مصرح لها، والتي تتم من خلال المتصفح والذي يقوم بتجاوز نظام واجهات برمجة التطبيقات ليصبح المتصفح الأساسي. هذه الميزة تكفل التحقق من المتصفح الأساسي.
محاولات الدخول للذاكرة. وينطوي ذلك على الوصول إلى الذاكرة من خلال وظيفة WriteProcessMemory والتي تتيح للعمليات غير المصرح لها بنسخ معلومات ضمن الذاكرة وتشغيلها منها.
يقوم BitDefender بالكشف على هذا النوع من العمليات من خلال نظام كشف التسلل المدرج ضمن الجدار الناري (تستخدم العناصر المشتركة التي تقاسمها مع نظام التحكم النشط للفيروسات Active Virus Control system).
محاولات الدخول لمواضيع COM وهذا يعني من خلال عمليات الاتصال لمواضيع COM حيث يقوم BitDefender بمراقبة التغييرات عليها ويبلغ المستخدم.
محاولات الدخول الى سجلات الويندوز (Registry).
محاولات الدخول الى نظام API وهذا يعني وجود عملية غير مصرح لها تحاول استخدام نظام API لتنفيذ إجراءات مثل الكتابة على Registry، ورصد لمدخلات المستخدمين أو البدء في عملية أخرى.
يقوم BitDefender برصد هكذا حالات من خلال التحقق عندما يتم استدعاء نظام API عبر سطر أوامر Command مختلف.
محاولات إنهاء عمليات BitDefender ، كوجود بعض التطبيقات غير المصرح لها والتي تحاول ايقاف حماية BitDefender حيث يقوم بكشف هذه المحاولات وحماية نفسه.
محاولات التعديل على العمليات ضمن نظام التشغيل.
الهندسة المعمارية لمنتج BitDefender
يأتي BitDefender بهندسة معمارية مطورة والمبنية على الأداء والاستقرار الذي تم أخذه بعين الاعتبار. مقسمة على مكونات تندرج تحت ثلاثة فئات وظيفية بسيطة :
- المكونات التي تعترض عمل البيانات
- المكونات وبيانات العمليات التي تنفذ عملها بالاعتماد على اعدادات المستخدم
- وحدات الاتصال التي تضمن عملها جميعها مع بعضها بدون وجود اختناقات
طبعا انهيت الموضوع بأذن الله تعالى
طبعا لاننسى طبقات أخرى تشارك في عمليات الكشف
من الهيروستيك السحابي لمساعدة قاعدة البيانات على تحسين الكشف
اتمنى من الأخوه بعد معرفة ولو جزء بسيط من طريقة صد الملفات الغير معروفه والمشفره
هل سنرى فيرس من أحد الأخوه يتخطى البت ديفندر
ومدى درجة صعوبة او سهولة ذلك
هو البت ديفندر هو كما اسميه الديناصور القادم من رومانيا (بوخارست)
كثيرا من الاشخاص يريد ان يعرف اسرار البت ديفندر وكيف يعمل في صد الفيروسات
ما الذي يدور داخل البت ديفندر من بداية تشغيل الملف حتى اضهار النتيجه
نبدأ على بركة الله
Active Virus Control (AVC)
هذه التقنية المبتكرة تراقب تنفيذ عمل البرامج ضمن حاسبك وذلك للتحقق من وجود أي فعل يتم تنفيذه وهو بالأساس برنامج خبيث. ويتم التبليغ عن البرامج الضارة لديك.
تتضمن التقنية الخطوات التالية :
Step 1 : تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت.. يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص)
Step 2 : تستخدم محركات فحص BitDefender قاعدة بيانات بصمة الفيروسات الموجودة ضمن البرنامج لفحص محتوى الملف.
• اذا كان المحتوى يحوي بصمة او اكثر لفيروس.. يقوم BitDefender بعملية تنظيف للملف من الفيروس. اذا فشل التنظيف، يتم نقل الملف للحجر الصحي Quarantine .
• اذا لم يكن محتوى الملف يحوي أي فيروس ضمن قاعدة بيانات البرنامج، يتم تحويل الملف للمسح من خلال التقنية الرائدة من BitDefender وهي B-Have (تقنية فحص سلوك الملف). وطبعا عملت شرح خاص بها
Step 3 : تقوم تقنية B-Have بمسح الملف من خلال تشغيله ضمن بيئة افتراضية داخل محركات BitDefender . اذا كان سلوك الملف مشابه لسلوك الفيروس (كأن يبدأ بالتعديل بسجل النظام بالويندوز أو ضمن مناطق النظام الحرجة..) تعلن تقنية B-Have ان الملف مصاب وتوقف عمله.
اذا لم يكن مصاب، يعلن BitDefender ان الملف نظيف ويسمح له بالعمل.
يحدث ذلك عندما تكون تقنية Active Virus Control (AVC) مدرجة ضمن العملية.
Step 4 : تقوم تقنية Active Virus Control بمراقبة العمليات الجارية ضمن نظام التشغيل للبحث عن أي بصمة لفيروس، وتعطي تقرير لكل من هذه العمليات.
عندما تتجاوز النتيجة الاجمالية للعملية عتبة المصرّح به، يتم تقييم العملية على أنها ضارة، وبناءً على واجهة برنامجBitDefender حيث يتم إيقاف العملية بشكل تلقائي (في وضع المبتدئ mode novice)
أو تتطلب تدخل المستخدم ليقرر إيقاف العملية (في الوضع المتقدم Advanced View).
كيف تعمل تقنية Active Virus Control (AVC) ؟
تقوم بمراقبة العمليات ضمن النظام، مع استثناء الأمور التالية:
عمليات النظام الآمنة (White-list) والتي يتم استثنائها من المراقبة من خلال المستخدم.
عمليات النظام المعروفة. مثل crss.exe, lsass.ese , smss.exe وهي آمنة.
كل العمليات التي يتم تحميلها قبل تشغيل خدمة الأمان (vsserv.exe) من BitDefender
في أنظمة التشغيل من ويندوز ذات البيئة 64bit ، تقوم BitDefender-AVC بمراقبة العمليات التي تتم تحت بيئة 64bit فقط (العمليات التي تتم تحت بيئة 32bit لا تتم مراقبتها – وذلك ضمن أنظمة تشغيل Windows 64bit).
العمليات التي تم التنبيه على أنها ضارة، وعندما تتجاوز نتيجة التنبيه الاجمالية مراحل معينة، يقوم BitDefender بالاعلام عن أن البرنامج يعتبر ضار.
مثال عن العمليات التي لها سلوك خبيث :
لا تنتظر أو تستجيب لأي طلب يتم من طرف المستخدم.
عدم عرض أي نوع من واجهة المستخدم عند إنهاء التنفيذ.
نسخ أو نقل الملفات في C:\Windows\ أو C:\Windows\Systme32\
يحوي ايقونة غير مرتبطة بالمضمون المعرّف لها.
تقوم بنسخ وتكرار نفسها ضمن ملفات مختلفة بالقرص الصلب.
تضيف نفسها لقائمة بدء التشغيل Startup بالويندوز.
تسيطر على (drivers) ضمن C:\Windows\System32\ .
تتكون العملية من الخطوات التالية:
1. تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت، يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
2. يقوم نظام الفحص المطور بالتحقق من ترميز الملف من خلال قاعدة بيانات الملفات النظيفة (الآمنة)
- اذا تمت المطابقة، لا يتم فحص الملف.
- اذا لم تتم المطابقة، يتم تحويل الملف للفحص.
3. يتم الفحص من خلال قاعدة بيبانات بصمة الفيروسات، ومن خلال تقنية B-Have
- اذا كان آمناً، تتم اضافة الترميز الخاص بالملف لقاعدة بيانات الملفات النظيفة (الآمنة).
- اذا كان مصاباً تتم محاولة تطهيره. اذا فشل التطهير، يتم تحويل الملف الى مجلد الحظر الصحي Quarantine.
كشف التسلل (الهاكرز) Intrusion Detection :
يقوم BitDefender بكشف وايقاف محاولات تغيير ملفات النظام الهامة، أو الادخالات على نظام التسجيل Registry ، ويتم التنبيه للهجمات التي تتم من خلال كود الادخال (DLL).
نظام كشف التسلل المدرج ضمن BitDefender
محاولة الوصول الى الشبكة. هذا يعني :
التأكد من أن العمليات التي تحاول الوصول الى الشبكة هي شرعية. هذه الميزة مبنية ضمن جدار حماية BitDefender كما يتم الاعلام بكل محولات استخدام الشبكة.
ومع ذلك، لضمان سلاسة أداء جميع التطبيقات المدرجة في قائمة White-list للجدار الناري وتلك التي لها توقيع رقمي آلي، يمكنها الاتصال بالشبكة بشكل تلقائي.
التدقيق بمحاولات الدخول للشبكة والغير مصرح لها، والتي تتم من خلال المتصفح والذي يقوم بتجاوز نظام واجهات برمجة التطبيقات ليصبح المتصفح الأساسي. هذه الميزة تكفل التحقق من المتصفح الأساسي.
محاولات الدخول للذاكرة. وينطوي ذلك على الوصول إلى الذاكرة من خلال وظيفة WriteProcessMemory والتي تتيح للعمليات غير المصرح لها بنسخ معلومات ضمن الذاكرة وتشغيلها منها.
يقوم BitDefender بالكشف على هذا النوع من العمليات من خلال نظام كشف التسلل المدرج ضمن الجدار الناري (تستخدم العناصر المشتركة التي تقاسمها مع نظام التحكم النشط للفيروسات Active Virus Control system).
محاولات الدخول لمواضيع COM وهذا يعني من خلال عمليات الاتصال لمواضيع COM حيث يقوم BitDefender بمراقبة التغييرات عليها ويبلغ المستخدم.
محاولات الدخول الى سجلات الويندوز (Registry).
محاولات الدخول الى نظام API وهذا يعني وجود عملية غير مصرح لها تحاول استخدام نظام API لتنفيذ إجراءات مثل الكتابة على Registry، ورصد لمدخلات المستخدمين أو البدء في عملية أخرى.
يقوم BitDefender برصد هكذا حالات من خلال التحقق عندما يتم استدعاء نظام API عبر سطر أوامر Command مختلف.
محاولات إنهاء عمليات BitDefender ، كوجود بعض التطبيقات غير المصرح لها والتي تحاول ايقاف حماية BitDefender حيث يقوم بكشف هذه المحاولات وحماية نفسه.
محاولات التعديل على العمليات ضمن نظام التشغيل.
الهندسة المعمارية لمنتج BitDefender
يأتي BitDefender بهندسة معمارية مطورة والمبنية على الأداء والاستقرار الذي تم أخذه بعين الاعتبار. مقسمة على مكونات تندرج تحت ثلاثة فئات وظيفية بسيطة :
- المكونات التي تعترض عمل البيانات
- المكونات وبيانات العمليات التي تنفذ عملها بالاعتماد على اعدادات المستخدم
- وحدات الاتصال التي تضمن عملها جميعها مع بعضها بدون وجود اختناقات
طبعا انهيت الموضوع بأذن الله تعالى
طبعا لاننسى طبقات أخرى تشارك في عمليات الكشف
من الهيروستيك السحابي لمساعدة قاعدة البيانات على تحسين الكشف
اتمنى من الأخوه بعد معرفة ولو جزء بسيط من طريقة صد الملفات الغير معروفه والمشفره
هل سنرى فيرس من أحد الأخوه يتخطى البت ديفندر
ومدى درجة صعوبة او سهولة ذلك
التعديل الأخير بواسطة المشرف:
