kimo7
زيزوومي VIP
- إنضم
- 9 أبريل 2014
- المشاركات
- 2,175
- مستوى التفاعل
- 7,369
- النقاط
- 1,220
غير متصل
الأحبــــــة الكــــــــرام ... أعضاء وزوار منتديات زيزووم للأمن والحمايــــة
أسعـــــــــد الله أوقاتكـــم بكل خيـــــــر ,ووفقكــــــــــم لما يحبـــه ويرضـــاه
اليوم سنتحدث عن احد اهم واقدم البرامج المخصصة للحماية ، او شيخ البرامج كما يسميه البعض النورتن ، الكل يعلم ان قوة دفاع النورتن الاستباقيه تكمن في تقنية السونار ، لكن البعض يجهل كيفية عمل هذه التقنية الحديثة نسبيا في كشف مختلف المخاطر ومذا يحدث داخل طبقات النورتن وكيف تتكامل طبقات السحاب والهريوستيك حتى تظهر النتيجة النهائية .
طريقة عمل السونار ::
السونار يعتمد على عدة اشياء في تحديد اكتشافاته .
في البداية .. يعتمد مبدئيا على المعلومات الاساسيه للملف عن طريق تقنية السحاب .. (( الموقع المحمل منه .. الهاش للملف نفسه ... تصنيف مستخدمين النورتن له ... الخ )) بعدها يصير له عملية تصنيف مبدئي .. هذه العملية تقوم بجمع المعلومات عن الملف لعرضها في File Insight .. بعدهدا يبدا السونار في تحليل سلوك الملف .. ومراقبة خصائص الملف المشبوهه عن طريق الهيورستيك الخاص بالسونار . هذا يعني ان التحليل بدأ يتوسع للملف ويكون اعمق ((.. حيث يشوف علاقته بالنظام .. وعمله (( تحليل سلوكه وتحركاته اثناء الـ Real Time .. ومدخلاته في الرجستري ... إضافة ملفات .. حذف ملفات الخ )) بالاضافه الى انه يستخدم السمعات الذي يضعونهاالمستخدمين للبرنامج .. بحيث يحسب كم واحد يسمح بتشغيل الملف .. وكم واحديمنعه .. ولكن هذي كإضافه لعمل تقنيةالسونار .. >> يعني ما يعتمد عليها اعتماد كلي في تصنيف الملفات .. فقط كمعلومات لمستخدم النورتن وتقدم عن طريق File Insight
وربما يجهل الكثير من الاخوان من أن السونار الخاص بالنورتن يحتوي على هيورستيك خاص به .. وهو ما يسمى في النورتن بـ SONAR Advanced Mode . ويعتمد السونار على الهيورستيك في التحقق من الخصائص المشبوهة للملفات وتصنيفها هل هي مصابة أم سليمة .
وهناك 3 مستويات للهيورستيك السوناري في الإعدادات .
OFF : وهنا يتم ايقاف الهيورستيك بشكل كامل ويقوم السونار باكتشاف الـ High -Certainty Threats ويتجاهل الـ Low - Certainty Threats
Automatic : في هذا الوضع يكون الهيورستيك في وضعه الافتراضي . بحيث يكتشف الـ High -Certainty Threats و Low - Certainty Threats
Aggressive : هنا يكون الهيورستيك على الهاي .. ولا ينصح به .. لانه راح تكثر الاكتشافات الخاطئة للبرنامج . ومعروف لدى الجميع كل ما أرتفعت حساسية الهيورستيك زادت الاكتشافات الخاطئة .
وبهذا نستنتج بأن تقنية السونار في النورتن ليست مجرد سونار وحدة مثل ما يردد بعض الاخوان .. بل تتكون من خطوات يمر فيها الملف أثناء التحليل السوناري له .
1- معلومات عامة عن الملف (( السحاب )) .
2- الهيورستيك .
3- تحليل سلوك الملف .
4- تصنيفه لاعتماد نوعية اكتشافه (( أحد النوعين السابقة )) .
-----------------------------------------------
** طرق التعامل مع انواع اكتشافات السونار بنوعيه . ::
الأول :: High -Certainty Threats ..الاكتشافات من هذا النوع يقوم السونار فورا باكتشاف الملف وحذفه تلقائيا من دون الرجوع للمستخدم واظهار فقط رسالة للمستخدم بانه تم منع الملف وتم حذفه من السونار ..
الثاني :: Low - Certainty Threats ..والاكتشافات من هذا النوع يقوم السونار برصد تحركات البرنامج واكتشافه أوبالأصح (( الاشباه به )) ويقوم بسؤال المستخدم عن الإجراء المراد أتخاذه معهذا الملف ..
ويعطي السونار المستخدم خيارين للتعامل مع هذا الاكتشاف :
الأول : حذف الملف ومنعه .الثاني : السماح للملف بالعمل .
وعند ظهور مثل هذه الرسالة تستطيع ان تعرف تفاصيل تحركات الملف وعمله الذي قام به .. عن طريق الضغط علىMore details ثم تظهر لنا معلوماتInsightعن هذا الملف .ثم نذهب للـ Activityونشوف تحركات الملف والاشياء اللي يقوم بها .. ونلاحظ في التجربة انه قام برصد تغيرات فيمفاتيح الرجستري لكي يعملللباتش مع بدء التشغيل .:d:بعدها المستخدم يقرر ماهو الاجراء المستخدم ..
في حال اختيار المستخدم لخيار الحذف والمنع .. فسيقوم النورتن بحذف الملف تلقائيا ومنعه من العمل ..أما في حال اختر المستخدم السماح للملف بالعمل .. سيتم السماح للملف بالعمل وإضافته ايضا في قائمة الاستثناء من السونار .. يعني اذا شغله مره ثانية لن يتم اعتراض طريقه أبدا :hh:طبعا الاعدادات الافتراضية لاكتشافاتLow - Certainty Threats .. تكون ((سؤال المستخدم عن الاجراء المتخذ مع الملف ))وتجد هذه الاعدادات في اعدادات السونار الخاصه بالنورتن ..
منقول .
الموضوع ليستفيد الجميع .
