بصمة البرمجيات الخبيثة و كفائة برامج مكافحة الفيروسات

قد يتساءل الكثير حول ما هي الطريقة التي تعتمدها برمجيات مكافحة البرمجيات الخبيثة Anti-malware  في التعرف على هذه الأنواع من البرمجيات الخبيثة كالفيروسات و برامج التجسس و خلافهما. الحل يكمن في العامل الأقوى في التمييز بين برمجيات مكافحة البرمجيات الخبيثة و يستطيع وحده أن يهوي بإحدى هذه  البرمجيات الى الهوة أو يصعد بها عنان السماء. انه “بصمة البرمجيات الخبيئة” أو ما يعرف بـ malware signature

تستطيع من كلمة “بصمة signature” ان تأخذ فكرة أولية عن كون هذه المصطلح يشير الى علامة مميزة تميز هذه البرمجية الخبيثة عن غيرها من البرمجيات كما تميز بصمات الأصابع و قرنية العين أي إنسان عن آخر. و لكن كيف نستطيع تمميز بصمة للبرمجيات الخبيثة ؟ بل ما البصمة البرمجية software signature في الأساس؟

لفهم هذه الجزئية يتوجب علينا الاشارة الى طريقة برمجيات مكافحة البرمجيات الخبيثة في فحص الملفات, حيث أنها تعتمد في الاساس الى قراءة الملف في صورة أدق من التي كتب بها كفرائته في صورة الكود الثنائي Binary code لكون هذه الوسيلة تعطيه القدرة على تحديد معالم الملف المفحوص بصورة أدق. و هنا تأتي البصمة و هي التي يتم تعريفها بأنها مجموعة من الخانات المتتالية sequence bits التي تميز كود هذه البرمجية عن قريناتها. أي أن الطريقة تقتضي أن كل برمجية ضارة لا بد أن يتم تعريفها عن طريق مجموعة من الخانات bits التي يصعب تواجدها بنفس الترتيب في أي برمجية أخرى. و للتعرف أكثر على بصمات البرمجيات الخبيثة يمكننا أخذ مثال على برمجية klez من نوع الدودة worm و التي يتم التعرف عليه فور العثور على هذه الشيفرة ضمن أي ملف

33be732d4000bd08104000e89eeaffff80bd08104000be7d2d4000e849eaffff6a00e83500000064756d6d792
e65786500653a5c77696e646f77735c53795374656d33325c644c6c63616368655c6464642e65786500ff25
4c404000ff25544040

هل استوعبت الطريقة ؟ الكود السابق من المفترض ألا يتواجد في أي ملف من نوع آخر, و حال تواجده فإن برمجية مكافحة الفيروسات سيقوم بالتبليغ عنه و التعامل معه حسب نوعيته و درجة خطورته. و فيما يلي بعض الأسئلة التي قد تطرح للوهلة الأولى فور استيعابك هذه الطريقة في الكشف عن البرمجيات الخبيثة

الى أي درجة تبلغ دقة البصمة ؟

كلما زادت حجماً كلما كان افضل لتحديد البرمجية المستهدفة و كذلك أسهل على برمجية المكافحة في البحث و التدقيق. لنفترض أن بصمة عبارة عن خانات bits محدودة كما B6A51152, المشكلة هنا أننا قد نصادف آلاف البرمجيات التي تحتوى على هذا الكود نظراً لكونه قصير و احتمالية تكراره كبيرة و هو ما يؤدي بنا الى حالة “التحديد الخاطيء false positive” و التي تعني ان تقوم برمجية المكافحة بالتبليغ عن برمجية صالحة على أنها خبيثة لمجرد احتوائها على بصمة برمجية خبيثة, و هو ما كان يتكرر كثيراً في الماضي نظراً لصعوبة استخلاص بصمات بحجم اكبر من البرمجيات الخبيثة و النتيجة أن تجد ملفات بالجملة قد تم حذفها أو اعطابها من قبل برمجية المكافحة بعد كل مرة تقوم بها بفحص ذاكرة جهازك

هل يجب توفر بصمة فريدة لكل برمجية خبيثة تظهر على الساحة ؟

نظراً لانه في العموم يكون تطوير البرمجيات الخبيثة من قبل أفراد لا مؤسسات, فغالباً ما ترى تكراراً في الخوارزميات المستخدمة في تلك البرمجيات لأن أغلبها ينتج عن أفراد غير متخصصين بدرجة عالية و يستعينون بخبرات سابقة في صنع تلك البرمجيات. و لذلك فلربما اشتركت بصمة واحدة مع آلاف البرمجيات الخبيثة لاشتراكها في جزء من نفس الخوارزمية, و على النقيض لربما نجد بصمة فريدة  لبرمجية خبيثة واحدة و هي تلك التي تخرج على فترات متباعدة و من قبل متخصصين يستطيعون ابتكار خوارزمية جديدة لم يتم التعرف عليها من قبل برمجيات المكافحة, و هنا يحدث ما يسمى بـ”التجاهل الخاطئ false negative” و هو ما يعني فحص برمجية خبيثة و عدم التعرف عليها نظراً لعدم توافر بصمة لها. و لذلك يعتمد أصحاب هذه الأنواع من البرمجيات الخبيثة على الاستفادة من الضربة الأولى لأنها تقريباً تكون الأكثر ربحاً نظراً لأنها –عادة- ليست سوي أيام و يستطيع خبراء مكافحة هذه البرمجيات في التعرف على البصمة و يتعطل عمل البرمجية الضارة على نطاق واسع.   ايضاً من الجدير بالذكر ان بعض اصحاب البرمجيات الخبيثة يلجأون دائماً إلى استخدام تنقيات التشفير Encryption و التشويش Obfuscation  لتغير شكل بصمة البرمجيات الخبيثة حتى لا يستطيع اي من برامج الحماية التعارف عليها .

هل هذه الطريقة مستخدمة الى الآن ؟

نظراً لأن هذه الطريقة تم الكشف عنها لأول مرة في الثمانينات, و على الرغم من قدمها و بدائيتها. فأنها لا زالت الطريقة الأمثل في التعامل مع البرمجيات الخبيثة و المعتمدة الى الآن في كبرى شركات برمجيات المكافحة.

هل يمكنني كمطور الكشف عن بصمة أي برمجية ؟

هناك العديد من الخوارزميات الخاصة بتحدد بصمة أي برمجية و من أشهرها تلك التي اعتمدها باحثو IBM و التي تتطب منك معرفة بالرياضيات و علوم تأمين الحواسب computer security  بشكل جيد. و يمكنك البحث عن طرق آخرى تستخدم برمجيات جاهزة كما في هذه التدوينة البسيطة

هل تنصيب برنامج مكافحة على جهازي كاف ؟

عادة. فإن نقطة القوة التي قد تميز أي برنامج مكافحة برمجيات خبيثة عن الآخر هي عكوف فريق عمله على تحديث قاعدة بيانات البرنامج بشكل أسرع كلما ظهر على الساحة أي برمجية ضارة, و لذا فلا نر أي فائدة لبرنامج مكافحة دون تحديث دورى لقاعدة بياناته, و هو لا يتأتي غالباً الا لأصحاب النسخ المرخصة غير المسروقة.
و لكن نظراً لأن البرمجيات الخبيثة منها ما يظهر منه أنواع جديدة يومياً كالفيروسات viruses و تلك ربما تطلب أكثر من تحديث يومياً في حالات الذورة و هي التي كثرت في ظل الهجمات الشرسة التي تعتمد الشبكة العالمية internet  لجنى الأرباح بسرعة شديدة قبل الكشف عنها من قبل باحثي برمجيات المكافحة. و منها ما يتطلب منك التحديث على فترات متباعدة كما في برمجيات مكافحة ملفات التجسس و الاعلانات anti-spyware & anti-adware. لذلك عليك الانتباه الى نوعية الملفات التي يكافحها برنامج المكافحة لديك قبل استخدامه.

و أخيراً. فإن مجال مكافحة الفيروسات يعتبر من  أسرع المجالات التي تطرأ عليها تغييرات سريعة على فترات متقاربة  خصوصاً في ظل هذه الهجمات الشرسة الأخيرة بعد أن أصبح الوصول بالبرمجية الضارة الى مئات الآلاف من الاجهزة خلال دقائق ضرباً من السهولة piece of cake مما يحعلنا معرضين و ملفاتنا و حساباتنا الشخصية على المواقع و أرقام بطافاتنا الائتمانية و خصوصيتنا و غير ذلك مهدد بالانتهاك في أي لحظة هفوة تفتح فيها رابطاً أو تستخدم ذاكرة محمولة تحوى برمجية خبيثة لا يبلغ عنها برنامج المكافحة لديك .. لذلك عزيزى المستخدم لا تملك الا أن تتأكد من حيازتك نسخة مرخصة من برنامج مكافحة فيروسات ذي سمعة حسنة يعكف فريق باحثيه على فحص البرمجيات الخبيثة الحديثة بسرعة شديدة, و حينها لا تنس انت أن تسارع الى تحديث برنامجك  كلما طلب منك ذلك , ايضاً لا يجب ان تقوم فقط بالاعتماد على برنامج مكافحة الفيروسات لأنه لا يوفر حماية بنسبة 100% لذلك يجب ان تعتمد على انواع و اساليب اخرى من الحماية مثل الجوء إلى إستخدام Virtualization Envoriment  مثل  Vmware   لتشغيل اي ملفات مشكوك فيها  و إستخدام الجدران النارية و انظمة كشف و مكافحة التسلل IDS / IPS  و التعرض فقط للروابط و الملفات الموثوق فيها, حيث أن التجربة قد تكلفك الكثير.

نبذة عن الكاتب

أبو بكر سليمان : مطور ويب و باحث يعمل بالتدريس في كلية تكنولوجيا المعلومات بجامعة سيناء

التعليقات:

أضف تعليقاً | عدد التعليقات: (6)

  1. سلمت يداك أخوي أبو بكر

    ننتظر أكثر و أكثر منك

    تحياتي و احترامي

  2. محمد قال:

    مشكورر اخي الموضوع
    في انتظار المزيد من المواضيع المفيدة
    كل التقدير والاحترام

  3. هاكر قال:

    السلام عليكم
    هل توجد لديكم القدره على ردع اعمال التجسس والاختراق والمن في شبكات النت والمعلومات عبر اقمار اصطناعيه عربيه الصنع لا تعمل في تكنولوجيه ال analog/digital

  4. شكرا جدا يا اخي والشخص والي استاذ هكر الي كتب
    السلام عليكم
    هل توجد لديكم القدره على ردع اعمال التجسس والاختراق والمن في شبكات النت والمعلومات عبر اقمار اصطناعيه عربيه الصنع لا تعمل في تكنولوجيه ال analog/digital
    اردعليه اقول نعم لدينا هل تريد الاختراق حاول فقط لاانه لدي منضمه الانينو موس فريق حمايه عالي هل تصدق انها تحمي كل جهاز عربي حول العالم وكل جهاز لشخص مسلم لدرجه ان هناك مقاال ليس في هدا الموقع طبعاويقول ان منضمه الانينو موس اخترقت جهاز شخص لايفهم في الحاسب الالي عندما عطل جهازه فاصلحته له كم هي طيبه الانينوموس
    وانا اقول انهامنضمه ممتازه هدا رائيي وانا مسئول عنه ولتاتي الحكومات لتحاكمني
    علي ما اقوله ان كنت كاذب
    هاذا ردي الي الاخ هكروهذا هو ردي ادا كان ماكتبه تهديدا

أكتب تعليق