black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
بسم الله الرحمن الرحيم
السلام عليكم ورحمه الله وبركاته
من جديد مره اخرى درس مهم جدا جدا جدا والذى يبحث عنه الجميع
وسنتحدث فيه عن الانذارت الكاذبه لبرامج الحمايه
مما لا شك فيه ان برامج الحمايه تعتمد فى كل منها على تقنيات معينه للكشف عن التهديدات المنتشره
وكل شركه لها تقنيه واسلوب معين للكشف عن الملفات الخبيثه
ووسط هذا التقنيات من المحتمل حدوث خلل او خطأ وهو ما يسمى بالاكتشاف الكاذب لبرنامج الحمايه
هنا فى هذه الحاله يتم اعاده فحص الملف جيدا من قبل خبراء الشركه للتاكد من اذا كان هل بالفعل هو اكتشاف كاذب من وحده الحمايه ام انه بالفعل خبيث
الاكتشاف الكاذب فى خوارزميات التشفير
نعم فحتى برامج الحمايه تخطأ عندما يتم تشفير نص ما او برنامج معيه سليم بخوارزميات معينه هناك برامج الحمايه تعتبر انه ما قاممت بتعديله هذه الخوارزميات هى bytes مشبوه وتعتبر انه فى هذه الحاله suspected مشتبه بيه
ايضا بخصوص خورازميات التشفير فبرامج الحمايه هى نفسها ايضا تستخدم خوارزميات تشفير لكى تتعرف على الانواع المختلفه من الفيروسات
كيف ذلك
العمليه معقده نوع ما لان كما شرحنا ان خوارزميات تقوم على مبدا انها تقوم بتشفر bytes الملف فانها هنا تعتمد على الخوازميات لكى تستطيع ان تكشف عن الفيروسات المتشابه مع بعضها البعض
وايضا تستخدم الخوارزميات لكى تستطيع التفرقه بين الفيروسات التى تقوم بالتعديل على الملفات الاصليه
والتى تمتلك نفس سلوك الملف السليم يفتم استخدام خوارزميات التشفير لكى يتم التعرف على ههذه الفئه
ولكن هنا يمكن ان يقع خطأ لان ليس كل الملفات حتى المعدله عليها يتم اكتشافها على انها خبيثه على الرغم انها ربما تحمل لنفس السلوك الذى يقوم به الملف او حامله لنفس الكود الذى يحتوى الفايرس
الاكتشافات الكاذبه فى قطاعات بدء التشغيل
لا يخفى على الجميع فايرس AutoRun الذى ارعب الجميع عندما تم اطلاقا
هنا يمكن ان يحدث اكتشاف خطأ عن طريق الفلاش التى تعتمد على البرامج التى تستخدم بدا التشغيل بشكل تلقائى
واحياننا برامج الحمايه ما تخطأ فى الكشف على هذا النوع من الملفات بحجه انها تصنفها على انها ملف يقوم ببداء التشغيل تلقائى
لذلك لكى تتجنب برامج الحمايه الوقوع فى خطاء التمييز بين فئات وعائلات هذا الفيرس الللعين فهناك تحديدا حوالى 512 bytes هم من خللها يستطيع ان يفحص بها المكافح هذا البتات للتعرف على البرامج التى تقوم بالاقلاع عند التشغيل
الاكتشاف الكاذب فى الهيروستك
وقد كان هناك موضوع مفصل تكلمت فيه عن طريقه واسلوب وعمل الهيروستك
يمكنك الاطلاع عليه من
ايضا الهيروستك من اسلوبه وطريقه عمله فهو يعتمد على مبدا الاحتمالات والنقاط اذا تحققت هذه الاحتمالت وتم تسجيل عدد معين من النقاط اصبح الملف فى محل الاشتبه لدى برنامج الحمايه وهنا يحدث اخطاء كثير جدا جدا والتى من شانها لاي تستطيع تحديدا بين الملفات الجيده والخبيثه
حيث اننا نرى ان هناك برامج شرعيه جدا تتصرف باسلوب برامج خبيثه ولذلك يتم تصنيفها على انها ملف خبيث ولكن هى فى الحقيقه ليست كذلك مثال ( برامج تنظيف والتعديل على الرجيسترى للتصليح والتصحيح )
اذا فهناك احتمالات قويه جدا ان تكون هناك برامج ان تكتشف على انها خبيثه وهى فى الحقيقه ليست كلك وحدث ذلك كله بسبب الهيروستك الذى كان يعتمد على جمع النقاط ضد البرنامج
اذا مع تطور تقنيات الحمايه مازل يمكن حدوث خطأ كاذب من برنامج الحمايه رغم التقنيات الرائعه المتواجده فى اغلبها
واليكم ان شاء الله هذا البيان الذى سيتم التوضيح ما هى الشركات التى تتمتع باقل عدد من الاكتشافات الكازبه وفقا لمختبر AV-Comparatives
يقوم المختبر AV-Comparatives كل فتره تقريبا على عمل اختبار لاغلب برامج الحمايه المشهوره تحديد عن الاكتشفات الخطأ التى تقوم بها وفق طريقه معيه
من خلال هذه الجدول يتم تحديد نوعيه الاكتشاف للبرنامج
كما نرى نستنتج ان المختبر هنا يعتمد على عدد المستخدمين لنفس البرنامج وحدث معهم نفس المشكله
ويقوم بفحص سمعات البرنامج لدى المستخدمين لكى يتاكد كم عدد الاشخاص الذين يقومون باستخدام نفس البرنامج
الى هنا ينتهى الموضوع
اتمنى الافاده للجميع ان شاء الله
تحياتى للجميع
اخوكم ومحبكم دوما
مصطفى black007
السلام عليكم ورحمه الله وبركاته
من جديد مره اخرى درس مهم جدا جدا جدا والذى يبحث عنه الجميع
وسنتحدث فيه عن الانذارت الكاذبه لبرامج الحمايه
مما لا شك فيه ان برامج الحمايه تعتمد فى كل منها على تقنيات معينه للكشف عن التهديدات المنتشره
وكل شركه لها تقنيه واسلوب معين للكشف عن الملفات الخبيثه
ووسط هذا التقنيات من المحتمل حدوث خلل او خطأ وهو ما يسمى بالاكتشاف الكاذب لبرنامج الحمايه
هنا فى هذه الحاله يتم اعاده فحص الملف جيدا من قبل خبراء الشركه للتاكد من اذا كان هل بالفعل هو اكتشاف كاذب من وحده الحمايه ام انه بالفعل خبيث
الاكتشاف الكاذب فى خوارزميات التشفير
نعم فحتى برامج الحمايه تخطأ عندما يتم تشفير نص ما او برنامج معيه سليم بخوارزميات معينه هناك برامج الحمايه تعتبر انه ما قاممت بتعديله هذه الخوارزميات هى bytes مشبوه وتعتبر انه فى هذه الحاله suspected مشتبه بيه
ايضا بخصوص خورازميات التشفير فبرامج الحمايه هى نفسها ايضا تستخدم خوارزميات تشفير لكى تتعرف على الانواع المختلفه من الفيروسات
كيف ذلك
العمليه معقده نوع ما لان كما شرحنا ان خوارزميات تقوم على مبدا انها تقوم بتشفر bytes الملف فانها هنا تعتمد على الخوازميات لكى تستطيع ان تكشف عن الفيروسات المتشابه مع بعضها البعض
وايضا تستخدم الخوارزميات لكى تستطيع التفرقه بين الفيروسات التى تقوم بالتعديل على الملفات الاصليه
والتى تمتلك نفس سلوك الملف السليم يفتم استخدام خوارزميات التشفير لكى يتم التعرف على ههذه الفئه
ولكن هنا يمكن ان يقع خطأ لان ليس كل الملفات حتى المعدله عليها يتم اكتشافها على انها خبيثه على الرغم انها ربما تحمل لنفس السلوك الذى يقوم به الملف او حامله لنفس الكود الذى يحتوى الفايرس
الاكتشافات الكاذبه فى قطاعات بدء التشغيل
لا يخفى على الجميع فايرس AutoRun الذى ارعب الجميع عندما تم اطلاقا
هنا يمكن ان يحدث اكتشاف خطأ عن طريق الفلاش التى تعتمد على البرامج التى تستخدم بدا التشغيل بشكل تلقائى
واحياننا برامج الحمايه ما تخطأ فى الكشف على هذا النوع من الملفات بحجه انها تصنفها على انها ملف يقوم ببداء التشغيل تلقائى
لذلك لكى تتجنب برامج الحمايه الوقوع فى خطاء التمييز بين فئات وعائلات هذا الفيرس الللعين فهناك تحديدا حوالى 512 bytes هم من خللها يستطيع ان يفحص بها المكافح هذا البتات للتعرف على البرامج التى تقوم بالاقلاع عند التشغيل
الاكتشاف الكاذب فى الهيروستك
وقد كان هناك موضوع مفصل تكلمت فيه عن طريقه واسلوب وعمل الهيروستك
يمكنك الاطلاع عليه من
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
ايضا الهيروستك من اسلوبه وطريقه عمله فهو يعتمد على مبدا الاحتمالات والنقاط اذا تحققت هذه الاحتمالت وتم تسجيل عدد معين من النقاط اصبح الملف فى محل الاشتبه لدى برنامج الحمايه وهنا يحدث اخطاء كثير جدا جدا والتى من شانها لاي تستطيع تحديدا بين الملفات الجيده والخبيثه
حيث اننا نرى ان هناك برامج شرعيه جدا تتصرف باسلوب برامج خبيثه ولذلك يتم تصنيفها على انها ملف خبيث ولكن هى فى الحقيقه ليست كذلك مثال ( برامج تنظيف والتعديل على الرجيسترى للتصليح والتصحيح )
اذا فهناك احتمالات قويه جدا ان تكون هناك برامج ان تكتشف على انها خبيثه وهى فى الحقيقه ليست كلك وحدث ذلك كله بسبب الهيروستك الذى كان يعتمد على جمع النقاط ضد البرنامج
اذا مع تطور تقنيات الحمايه مازل يمكن حدوث خطأ كاذب من برنامج الحمايه رغم التقنيات الرائعه المتواجده فى اغلبها
واليكم ان شاء الله هذا البيان الذى سيتم التوضيح ما هى الشركات التى تتمتع باقل عدد من الاكتشافات الكازبه وفقا لمختبر AV-Comparatives
يقوم المختبر AV-Comparatives كل فتره تقريبا على عمل اختبار لاغلب برامج الحمايه المشهوره تحديد عن الاكتشفات الخطأ التى تقوم بها وفق طريقه معيه
من خلال هذه الجدول يتم تحديد نوعيه الاكتشاف للبرنامج
كما نرى نستنتج ان المختبر هنا يعتمد على عدد المستخدمين لنفس البرنامج وحدث معهم نفس المشكله
ويقوم بفحص سمعات البرنامج لدى المستخدمين لكى يتاكد كم عدد الاشخاص الذين يقومون باستخدام نفس البرنامج
الى هنا ينتهى الموضوع
اتمنى الافاده للجميع ان شاء الله
تحياتى للجميع
اخوكم ومحبكم دوما
مصطفى black007
