هل يمكن الإعتماد على برامج مكافحة الفيروس وأنظمة كشف التّسلسل؟

مررت اليوم بمدوّنة ذكر كاتبها عن مثالاً على تشويش الكود (Obfuscation). وهذا هو المثال الذي استخدمه

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$](_/_)

ومن ثمّ سأل سؤالاً: هل تستطيع معرفة ما الذي يقوم به؟ بالطبع جوابي لنفسي كان بالتّأكيد لا 🙂

الآن قد تتسائل ومع علاقة العنوان بهذا الكود الغير مفهوم؟ والجواب هو أن العلاقة بينهما هي علاقة عكسيّة. كلما زادت تشويش الكود، ازدادت صعوبة اكتشاف محتوياته الضّارّة.

كما هو معلوم فإن برامج مكافحة الفيروس وأنظمة كشف التّسلسل تعتمد على التّواقيع. تغيير في التّوقيع يتسبب في فشل هذه الأنظمة في اكتشاف برنامج ضار. يقوم المطوّر بمنع استخدام

يقوم المهاجمون باستخدام
يقوم مطوّر التّواقيع بتحويل هذا الأكواد الست عشرية الى شيء مقروء، يقوم المهاجمون بجعل عملية القراءة والتحويل شبه مستحيلة. (شاهد الكود في البداية)

هل يمكن لبرامج مكافحة الفيروس وأنظمة كشف التّسلسل متابعة واللّاحق بهذه الطرق؟ ممكن

لكن رأيي أن الإعتماد على التواقيع فقط لن يساعد في حماية المستخدمين، والأدلة والتّطور الكبير في طرق التّحايل عليها يشير فقط إلى اتّساع الهوة بين هذه البرامج وبين اكتشافها للبرامج الضّارة. دعونا نسمع رأيكم في التّعليقات.

للتّعرف على المزيد من طرق التّشويش يمكن الإطلاع على

ورقة بحث نشرت في بلاك هات 2011 دي سي

كتاب Web Application Obfuscation

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (3)

  1. […] This post was mentioned on Twitter by Mustafa, Security 4 Arabs. Security 4 Arabs said: http://goo.gl/Tn5ix هل يمكن الإعتماد على برامج مكافحة الفيروس وأنظمة كشف التّسلسل؟ […]

  2. يقول التونسي:

    بما ان الحاجة هي ام الاختراع…و بما ان السبب يسبق النتيجة دائما..يبق الفايروس او الدودة متفوق بخطوة على برامج الحماية
    ايضا المهاجم او الهكر يعمل في مساحة كبيرة..حيث بامكانه استعمال وسائل تمويه و خداع..مثل تحويل الضحية الى روابط كثيرة و استخدام طرق تشفير اقوى و تضليل و ابهام الاكواد المستخدمة
    كما ان المهاجم له عدة حلول اضافية كأن يستعمل الهندسة الاجتماعية و استغلال هفوات الضحية و ثغرات نوعية في الانظمة اضافة الى القدرة على المهاجمة بشكل عشوائي ومدمر
    فيحين ان برنامج الحماية تجده يعمل في نطاق ضيق …تحكمه قاعدة بيانات لا يمكن ان تضم كل شيئ..يمكن لشرك ما ان تصدر برنامج حماية يقوم بفك جميع التشفيرات و يحتوي على قاعدة بيانات هائلة و ادوات مختلفة في الفحص و التحليل…و لكن ساعتها سيكون حجم البرنامج يعد بالجيجا ما يعني عدم النجاح التجاري…
    اذا الخلاصة ان المهاجم المجال مفتوح امامه بدون اية قيود…و برنامج الحماية و خاصة منها المدفوع تحت وطاة مصالح تجارية و تسويقية بحته
    و يبق الحل بكل تأكيد هو درجة وعي المستهدف و مدى فطنته
    دمتم بود

  3. يقول علي الشّمري:

    مساحة نقاشية رائعة صراحة أتمنى أن نستفيد من بعضنا البعض …

    طرق الإكتشاف اليوم لم تعد محصورة على التواقيع أو القوانين أو قواعد البيانات … هناك إضافات جديدة أضطر الباحثون الى إستعمالها نظراً لما تفضلت به … هناك اليوم على سبيل الذكر لا الحصر:
    Real Time IDS وهناك أنظمة باتت تحكم على الـ Pattern Analysis … أو تتصرف بناءاً على الـ Correlation … وكذلك هناك من تعتمد على الـ Traffic History بحيث تبني قاعدة بالوضع الطبيعي للشبكة مثلا ومن ثم تقوم بالقياس عليه … هناك كذلك المبني على الـ Heuristic … أو المبني على طريقة العمل behavior …

    صراحة طرق كثيرة … لكن صعب تجدها كلها في منتج واحد!
    وكذلك صعب نقول هذا هو المنتج النهائي !

    فكما يطور الشرطي طرق كشف الجريمة ؟
    يطور الحرامي طرق في عمل الجريمة !

    يعني شغالين توم وجيري ليل نهار 🙂

أكتب تعليق