jamejamclick
کلیک امنیت کد خبر: ۷۴۷۶۴۳   ۱۸ آذر ۱۳۹۳  |  ۱۷:۳۵

روش‌های پنهان کردن امضای ویروس

پَکِرها، ابزاری در دست ویروس‌نویسان

۲

امروزه برنامه نویسان و شرکت‌های برنامه نویسی علی‌الخصوص ویروس¬نویسان برای اینکه افراد به راحتی نتوانند به کد‌های نوشته شده توسط آنها نفوذ کنند، فایل اجرایی برنامه را قبل از انتشار با استفاده از ابزارهایی به نام پَکر (Packer)، پَک (Pack) می‌نمایند.

پَکِرها، ابزاری در دست ویروس‌نویسان

به گزارش جام جم کلیک: یک فایل اجرایی (exe) دنباله ای است از اعداد باینری که شامل بخش های کد و داده می­باشد. فایل‌های اجرایی استاندارد که توسط کامپایلر ایجاد می‌شوند را به راحتی می‌توان تحلیل کرد. یعنی می­توان با استفاده از ابزارهای موجود همانند دیباگرها، کدهای موجود در فایل را مورد بررسی قرار داده و به رفتار و شیوه عملکرد آنها پی­برد.

امروزه برنامه نویسان و شرکت‌های برنامه نویسی علی­الخصوص ویروس­نویسان برای اینکه افراد به راحتی نتوانند به کد­های نوشته شده توسط آنها نفوذ کنند و برای محافظت از برنامه های خود، فایل اجرایی برنامه را قبل از انتشار با استفاده از ابزارهایی به نام پَکر (Packer)، پَک (Pack) می­نمایند.

پَک کردن اصطلاحی است که به صورت کلی برای تغییر شکل دادن فایل‌های اجرایی به کار برده می­شود. پکرها نیز ابزارهایی هستند که با دریافت یک فایل اجرایی به عنوان ورودی، تغییراتی را در دنباله باینری اعم از کد و دیتای آن ایجاد می­کنند تا شکل ظاهری آن با فایل اصلی متفاوت باشد، اما رفتار آن بدون تغییر باقی بماند.

تغییر شکل ظاهری فایل اجرایی، علاوه بر اینکه تحلیل و نفوذ به کد این فایل‌ها را دشوار می­سازد، دارای مزیت مهم دیگری نیز برای ویروس نویسان می­باشد. آنتی ویروس­ها در مرحله اول برای تشخیص ویرس­ها از امضای باینری استفاده می­کنند، حال با تغییر شکل ظاهری ویروس با استفاده از پکر، به دلیل اینکه امضای موجود در ویروس نیز تغییر می­یابد، آنتی ویروس­ها ­از طریق امضای باینری قادر به شناسایی ویروس نیستند و باید از روش­های دیگری بهره بگیرند.

پکرهای مختلف دارای مکانیزم و اهداف متفاوتی می­باشند. بعضی از پکرها همانند upx برای فشرده­سازی و کاهش حجم فایل مورد استفاده قرار می­گیرند. در این نوع پکرها هدف اصلی فشرده­سازی فایل می­باشد و معمولا مکانیزمی برای جلوگیری از تحلیل وجود ندارد. برنامه نویسان نیز برای اهداف مختلف همانند آسان بودن انتقال فایل، از این نوع پکرها استفاده می­کنند. برخی دیگر از پکرها، بیشتر برای محافظت و جلوگیری از نفوذ به کد برنامه مورد استفاده قرار می­گیرند. این نوع پکرها در واقع بخش­هایی به فایل اجرایی اضافه می­کنند که معمولا حجم فایل نهایی را افزایش می­دهند و همچنین افراد به راحتی قادر نخواهند بود این فایلهای را با استفاده از ابزارهای موجود تحلیل کنند و به کد اصلی دست پیدا کنند.

اخیرا استفاده از این نوع پکرها در بین ویروس­نویسان حرفه­ای متداول شده­است، بدین دلیل که آنتی ویروس­ها به راحتی قادر به درک رفتار اصلی فایل و همچنین تهیه امضا از این فایل‌ها نیستند.

پکرها از نگاهی دیگر به دو دسته چندریختی (polymorphism) و غیر چندریختی تقسیم می­شوند. در پکرهای چندریختی، در هر دفعه پک کردن فایل با استفاده از این پکرها، فایل‌های متفاوتی تولید می­شود، اما در پکرهای غیر چندریختی، در هر دفعه پک کردن یک فایل با استفاده از این پکرها، فایل خروجی یکسانی تولید خواهد شد.

بر اساس آمار بیان شده در shadow server، در حال حاضر پکر upx متداول ترین پکر بین ویروس­نویسان می‌باشد. از دلایل این امر می‌توان به رایگان بودن این پکر اشاره کرد. یکی از دلایل دیگر برای متداول بودن پکر upx این است که این پکر به راحتی می‌تواند هر نوع فایلی را بدون ایجاد مشکل در رفتار آن پک نماید. برخی دیگر از متداول‌ترین پکرها عبارتند از:

  1. Aspack
  2. Pecompact
  3. Fsg
  4. Themida
  5. Packman

در مقابل پکرها، ابزارهایی به نام آنپکر (Unpacker) نیز وجود دارند که کار آنپک کردن را انجام می­دهند. این ابزارها با دریافت فایل‌های پک شده، فایل اصلی را از داخل آن استخراج می­کنند. یکی از روش­هایی که آنتی­ویروس‌ها از طریق آن ویروس­های پک شده را شناسایی می­کنند، استفاده از آنپکر می­باشد.

احمد پریجایی مقدم
پادویش

ارسال نظر
* نظر:
نام:
ایمیل:
نظرات بینندگان
انتشار یافته: ۲
در انتظار بررسی: ۰
غیر قابل انتشار: ۰
محمد
Iran, Islamic Republic of
۱۳:۲۹ - ۱۳۹۳/۰۹/۱۹
از مطلب مفید شما سپاسگزارم
۰
۰
محمد
Iran, Islamic Republic of
۱۳:۳۶ - ۱۳۹۳/۰۹/۱۹
مقاله بسیار جالبی بود.
۰
۰

یادداشت

بیشتر
دولت آینده جبران کند

دولت آینده جبران کند

انتخابات ریاست‌ جمهوری بار دیگر عرصه‌ای برای خلق حماسه از سوی مردم انقلابی و فهیم جمهوری اسلامی ایران بود.

فهم مسؤولانه

فهم مسؤولانه

 انتخابات ریاست‌ جمهوری 1400 برگزار شد و این بار هم مثل همیشه مردم ما با درایت و هوشمندی، در یک جشن ملی و سیاسی، حضور شکوهمندی داشتند.

حق مطالبه از مسؤولان

حق مطالبه از مسؤولان

جایگاه مردم در حكومت مردم‌سالاری دینی اساسی و غیرقابل‌انکار است.حضورمردم پای صندوق‌های رأی یكی ازتجلیات این موضوع است اما صرفا محدود به آن نیست بلكه مطالبات مردمی هم جزئی از وظایف حكومت برآمده از مردم‌سالاری دینی است. ما در اندیشه مردم‌سالاری دینی هم برای مردم حق قائلیم و هم وظیفه.

گفتگو

بیشتر

پیشنهاد سردبیر

بیشتر
وضعیت قرمز گیشه

سینما سال جدید را هم با بحران شروع کرده و ظاهرا مردم هنوز رغبتی به فیلم دیدن ندارند

وضعیت قرمز گیشه

پیشخوان

بیشتر