تعرف على الهيروستيك ومفهوم الرن بى ونقاط الادخال فى التشفير

المصدر: تعرف على الهيروستيك ومفهوم الرن بى ونقاط الادخال فى التشفير
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله

السلام عليكم جميعا

درس اليوم سنتحدث فيه عن الهيرو ستيك

ايضا سنتكلم عن ما يدعى بنقاط الادخال والرن بى RunPe & EntryPoint

وسنتكلم ايضا عن وحده محلل السلوك فى البت دفندر AVC وسر قوتها فى كشف اغلب التهديدات وباتشات الاختراق
نبدا

-------------------------------------------------

الهيروستك
-----------
الهيروستك عبارة عن تقنية تستخدم مجموعة قواعد
وأدلة ترشدها إلى تحديد واكتشاف الفيروسات بعد أن تفشل قاعدة بيانات برنامج الحماية من العثور على توقيع له
فعند إصابة ملف ما بفيروس مجهول
الهوية عندها ستفشل عملية المطابقة بينه وبين قاعدة بيانات برنامج الحمايه التي لا تحتوي على توقيع لذلك الفيروس وبالتالي لا بد هنا من تدخل تقنية الهيوريستك لاكتشاف الفيروس وتنظيف الملف منه فورا

كيف يقوم الهيروستيك بالتفرقه بين الملف السليم والملف الكاذب
-----------------------------------------------------------------
هناك العديد من ملفات النظام التي تقوم بالعمل في الذاكرة وانتظار تشغيل الملف من هناك وعلى
الرغم من شرعية هذه الملفات إلا أن مكافح الفيروسات عن طريق تقنية الهيوريستك سيقوم باكتشاف
ذلك الملف على أنه Backdoor بسبب سلوكه ذاك

فإذا كان الحال كذلك فإن هناك الكثير من الملفات النظام الشرعية سيتم اكتشافها بواسطة الهيوريستك
على أنها تهديدات .. فما العمل

لكي يتم تجنب الإيجابيات الكاذبة عن طريق الهيروستيك لابد من وضع قواعد معينة دقيقة لكل ملف
نقاط معينة إن قام بها الملف حسبت عليه تلك النقاط وهكذا يتم جمع النقاط للملف حتى نتاكد ومن خلال هذه النقاط
نحكم على مدى احتمالية الملف كونه مصاب أم لا

مثال توضيحى
--------------
على فرض أن خبراء الحمايه وضعوا القواعد التالية لهيوريستك محرك بحث أحد برامج الحماية
إن كان الملف المفحوص مشفر يعطي علامة واحدة
إن قام بفتح بورت وانتظار اتصال يعطي علامتان
إن قام بالكتابة على ملف موجود يعطى ثلاث علامات
إن قام بالكتابة في الريجستري يعطى علامة واحدة
وبالتالي فمن خلال هذه القواعد سيتم التقليل من حدوث الإيجابيات الكاذبة بشكل كبير وذلك بعد وضع قواعد لتلك الكشوفات

فالقواعد يمكن أن توضع كالتالي على سبيل المثال
----------------------------------------------------
الملفات التي تحقق نقاطا من 1 - 3 مثلا يتم اكتشافها على أنها probably unknown
الملفات التي تحقق نقاطا 4-5 مثلا يتم اكتشافها على أنها probably a variant of
الملفات التي تحقق نقاطا 6-7 مثلا يتم اكتشافها على أنها a variant of

ويجب ان يعرف الجميع أن الكشوفات عن طريق قاعدة البيانات يجب ان يكون أكيد مصرح على اسم الفيروس فألفاظ
Probably //Unknown //A variant //Probably a variant //Suspicious
كلها لا تدل على حصول المطابقة مع قاعدة البيانات
----------------------------------------------------------

الرن بى ونقاط الادخال RunPe & EntryPoint
-----------------------------------------------
الرن بى RunPe
----------------
الرن بي هو تنفيذ بايتات bytes الملف المطلوب في ذاكرة ملف آخر

مثال للتوضيح
--------------
لدينا بايتات الباتش مشفره بأحد الخوارزميات الباتش حتى الآن لم يتم تشغيله لذلك لاتوجد أي عملية ضارة تجعل برنامج الحماية يعطي إنذار عليها
فالرن بي يقوم بحقن وتشغيل نفسه فى عملية نظيفة مثل Explorer.exe عن طريقة دالة CreateProcess لماذا نستخدم هذه الدالة لأننا في تشغيل هذا الملف لانريده أن يعمل بل نريد أن يتم تحميله للذاكرة بوضيعة الخمول أو
حتى الان الباتش لم يعمل هو ما زال فى وضعيه الخمول ومحمل فى الزاكره
ولتشغيل الباتش يجب ان نجلب امر التشغيل من ذاكرة العملية لكى يعمل وبعد جلب امر التشغيل من الذاكره
يأتي دور تفريغ الذاكرة الإفتراضية للعملية وذلك لنجعلها فارغة مهيئة لكتابة بايتات bytes الباتش الخاص بنا فيها
بعد تفريغ ذاكرة العملية لازال علينا تفريغ مساحة كافية فيها لكتابة بايتات bytes السيرفر أو الملف المطلوب
بعد أن تم تهييئ ذاكرة العملية تماما يقوم الآن الباتش بفك تشفير بايتاتbytes نفسه او الملف المطلوب ان كان مشفر بأحد الخوارزميات
ويبدا الباتش بكتابه نفسه ويبدا فى العمل دون ان تشعر بيه الحمايات بعد ان قام بحقن نفسه بالكامل فى الزاكره من خلال ملف سليم

------------------------------------------------------

نقاط الادخال EntryPoint
--------------------------
هى جزء من الرن بى ولكن على شكل اصغر حيث انها ايضا تقوم ولكن بشكل مصغر
بتشغيل ملف الباتش من الزاكره ولكن بدون حقن
طريقه عمل نقاط الادخال هى نفسها الرن بى مع اختلاف فى بنيه الكود نفسه
لذلك تجد ان نقاط الادخال اقوى بكثير من الرن بى عند التشفير بها وذلك لان كود نقاط الادخال لا يحقن نفسه بل يعمل مباشرا بدون اى حقن
-------------------------------------------

وحده AVC وسر قوتها فى كشف الملفات المجهوله
---------------------------------------------------
كما تعرفنا على تقنتى عمل كل من نقاط الادخال والرن بى اصبح من السهل الان ان تعرف كيف تعمل وحده AVC فى برنامج البت دفندر

وحده AVC هى اختصار الى Active Virus Control وهى وحده من نوع ال Advanced Heuristic تفحص الملفات التنفيذية لحظة التشغيل وتراقب جميع الملفات النشطة التي تعمل في الذاكرة
الملفات المشبوهة يتم ارسال رقم الهاش الى مختبر السحاب فان لم يكن مسجل لدى مختبر السحاب يتم تحميل الملف التنفيذي مباشرة وفحصة بمختبر السحاب فان كان فيروس يتم الكشف عنه مباشرة ويتم اضافته لاحقا للتواقيع
لذلك تجد ان البت دفندر سريع وعنيف جدا مع الملفات الجديده التى هى غير موجوده لديه عن طريق السحاب
على الرغم من انها قويه الا انها تكتشف كثير من الملفات عند تشغيلها على انها خبيثه خصوصا الباتشات والكراكات
وتعتبر اقوى وحده محلل سلوك موجوده حتى الان
-------------------------------------------------------

كيف يمكن تخطى هذه الوحده AVC
------------------------------------

عن طريق نقاط الادخال لان كما شرحت سابقا ان EntryPoint لا تقوم بحقن اى ملفات فى الذلكره ولكن ليس شرط تخطى اى باتش مشفر بنقاط الادخال هذه الوحده الا اذا اعتمدت التشفيره على عده عوامل ولان اتطرق الى هذه النقطه
-------------------------------------------------

الى هنا ينتهى درس اليوم
اتمنى ان يكون الجميع قد استفاد من الموضوع
واتمنى ان اكون وفقت فى الشرح والتبسيط قدر الامكان لكى يفهمه الجميع بدون تعقيد
تحياتى للجميع
محبكم دوما مصطفى Black007

 

اتشرف بان اكون اول من يرد على هذا الموضوع الرائع من عضو اروع
لما لا تدمج الدروس في موضوع واحد ماعلى العضو الى الضغط على رابط الموضوع او المشاركة اللتي فيها الدرس

 

اشكرك اخى الكريم ولكن اترك الامر للاداره تقوم بالتنظيم لان باخذا وقت كبير فى كتابه الموضوع وسرده بهذا الشكل

فلذلك لا اهتم كثير بموضوع التنسيق و ان كنت اقوم ببعض التنسيق لكى لا تتداخل الامور ببعضها

 

ما شاء الله
مجهود رائع أخي مصطفى الله يعطيك العافيه
وإن شاء الله مع الوقت تعمل فهرس لهذه الدروس القيمه مع تثبيته بالقسم لتعم الفائده بشكل أكبر
متابعه لكل أعمالك
تقديري لشخصك المميز
= =

 

شكرا لكى اختى الكريمه واتمنى تكون قد استفدتى من الموضوع انتى وكل الاخوه هنا فى المنتدى

لتحقيق اكبر قدر من الفهم لدى الاعضاء لكى نفهم كيف تعمل تلك التقنيات

 

بارك الله فيك أخي مصطفى
ابدعت بالطرح والتوضيح
في ميزان حسناتك

 

بارك الله فيك أخي على هذا الموضوع
سينتفع به الأعضاء وخاصة من لا زال لديه خلط في هذه التقنيات
وجزاك الله على كل ما تقدمه لهذا المنتدى
ـــــــــــــــ
وعودة ميممونة للأخت رويدا ​

 

ما شاء الله تبارك الله كعادتك متميز يا متميز

 

مبدع اخي مصطفي

واصل يا بطل وبانتظار ابداعاتك

لي وجهه نظر بخصوص ما يعرف بالدفاع الاستباقي لبرامج الحمايه كنت اود من فتره مناقشتها ولكن لم تاتي فرصه مواتيه لذلك

كما اوضح الاخ الغالي مصطفي ان الهيروستك الخاص ببرامج الحمايه يعمل وفق اليه معينه وهذه الاليه تعتمد علي قواعد تعرف بمؤشرات الاشتباه وكما ذكر اخونا مصطفي ان لكل مؤشر قيمه معينه ويتم تصنيف الملفات تبعا لقيمها

علي اي شئ تعتمد برامج الحمايه في وضع هذه القواعد ( مؤشرات الاشتباه)
تعتمد في ذلك علي خبرتها وسابق تعاملها مع الملفات الخبيثه حيث تحلل الملفات وتلاحظ ما تقوم به الملفات ثم تقوم بالتصنيف ووضع القيمه وفق معايير معينه

السؤال هنا

ماذا لو هناك ملف خبيث يقوم بتنفيذ نشاطات لم تعهدها برامج الحمايه من قبل اي غير متواجد له قيم بمؤشرات الاشتباه

بالطبع ستقف برامج الحمايه عاجزه امامه واحيانا لسنوات عديده

وهذا احد الاسباب التي دعت بعض الخبراء لان يصرحوا بان برامج الحمايه ليست برامج حمايه استباقيه proactive وانما حمايه تفاعليه reactive
تقبل مروري
وشكرا لشخصك المميز

 

شكرا لمروك دكتور فتحى وبالفعل اذا ظهر اى نشاطات مشبوه فى ملف لم يكون سلوكه مدرج ضمن القواعد الموضوع

فهنا ستقف اغلب البرامج عاجزه عن اتخاز القرار اللازم

وربما تتجه هذه المره للتحليل الملف بالشكل اليدوى ليتم حسم الامر

 

بارك الله فيك استاد مصطفى ... في ميزان حسانتك ان شاء الله ​

 

واصل يا بطل إبداعاتك

دائما تتحفنا بما هو جديد وقيم أخي مصطفى , بارك الله فيك وجعلها الله في ميزان حسناتك إن شاء الله

واجهة نظري : أرى إن أكثر البرامج المعتمدة على تقنية الهيوريستك في الكشف هي شركة الـ ESET

فاثناء فحص الملف يقوم البرنامج بتشغيل التطبيق في بيئة واهمية ويتم عندها

تسجيل معدلات الاشتباه لمعرفة إن كان تطبيق مشتبه به أو لا

هذة التقنية تصطاد أكثر من 60% من التطبيقات المشبوهة بينما 40% أو أقل يتم الكشف عن طريقة قاعدة البيانات

ورغم إنه ولما لهذة التقنية من عواقب سلبية في إرتفاع معدلات الاندرات الكاذبة ... الا إن الشركة السلوفاكية أستطاعت أن تكون منتجاتها من أقل البرامج كشف للانذرات الكاذبة

وهذا يعود حسب وجهة نظري للتالي :

1- كتابة تواقيع دقيقة جداً لدرجة الاحتراف
2- دقة تحديد قواعد الاشتباه لدى الشركة السلوفاكية ESET

:: تحياتي ::

​

 

نعم اقوى الهيروستيك موجود على الساحه الان هو من الشركه السلوفاكيه ESET

ولكن لحظه لا تخلط بين مفهوم البيئه الوهميه ومفهوم الهيروستيك

فلكل منه طريقه مختلفه عن الاخر

 

السلام عليكم ورحمة الله
لن ازيد شئيا عما قاله الاخوة فعلا دروس مفيدة تستحق التثبيت والتجميع خاصة ان تمت اضافة بعض الصور للموضوع
منك نستفيد استاذنا مصطفى واصل ابداعك..
-----------
الفحص بالهيروستيك من اهم الاداوت المعتمدة من برامج الحماية ويعد كطبقة اضافية تساعد في كشف التلغيم
لكن مشكلته انه يعتمد على قاعدة البيانات السحابية للفيروسات لذلك فقد يسقط بسهولة وقد يكتشف اكتشافات خاطئا
او ما يسمى بالاشتباه الخاطئ كالاشتباه في الكركات والباتشات السليمة وهذا ما يحدث مع البيتديفندر
واظن حسب ما تناقلته بعض المواقع ان هناك تقنية جديدة ستعتمدها شركة الكاسبرسكي في الاصدار القادم 2016
تحياتي .

 

لذلك اوضحت فى جزئيه من الموضوع كيف يقوم الهيروستيك بالتفرقه بين الملف السليم والملف الكاذب

وعلى الرغم من ذلك يظل هناك اكتشافات خطا للهيروستيك

وعلى حسب كل شركه فى تطوير الهيروستيك الخاص بها وتطورها له بحيث تقلل قدر الامكان من الاكتشافات الخطاء لذلك اوذح مثال توضيحى

 

لذلك قام البعض بعمل مشروع مفتوح المصدر في محاوله لسد الفجوه تحت مسمي openioc والمشروع له موقع بنفس الاسم

 

جارى الاطلاع والاستفاده من المعلومات المطروحه

 

اولا مشكور على الموضوع الرائع في ميزان حسناتك
هناك انوع من الهيروستك والهيروستك التى في النود Static وهي موجودة في الانتي فايروس اما viruscope , ws , avs

فهي Dynamic والفرق شاسع بين الاثنين الاول يحلل بعض الاكواد في التطبيق قبل التشغيل والثاني اثناء التشغيل

 

مبدع كعادتك في نقطة بالنسبة للهيروستك هل الدي موجود في جدران نارية منفصلة و الدي موجود في مكافحات فيروسات لهم نفس الية العمل ام مختلفة

هناك بعض مكافحات التي تحتوي على محلل سلوك بعد ان تكتشف بأن ملف خبيث توقف عمله واحينا بعض من عمليات التي يقوم بها لكن ملف اصلي لا يقوم

بحدفه او على اقل يقوم بحجزه فما هو السبب في نظرك

 

موضوع رائع جدا ومهم جدا واريد ان اعرف افضل ثلاث برامج تملك هيروستك قوي واقل نسبه اكتشافات خاطئه
لكون جهازي ملئ بالباتشات والكراكات