awake
زيزوومي VIP
غير متصل
بسم الله الرحمن الرحيم
في شرحي هذا سوف استعرض ثلاث تقنيات او طبقات حمايه اساسيه تلعب دور اساسي في برنامج بت ديفندر
تلك التقنيات التي سيدور الشرح حولها دخلت المؤسسه العسكريه في شركة بت ديفندر في العام 2010 ومنها في العام 2005 وتم تطويرها على مراحل في مختبرات بت ديفندر على مدار عدد من السنوات
تقنية b-have
تقنية Active Virus Control
تقنيةIntrusion Detection --- والتي عليها خلاف جعلني ابعد عن البرنامج لفترة اصلاح التقنيه ونتمنى ذلك قريبا
1- تقنية Active Virus Control \AVC \:
هذه التقنية المبتكرة تراقب تنفيذ عمل البرامج ضمن حاسبك وذلك للتحقق من وجود أي فعل يتم تنفيذه وهو بالأساس برنامج خبيث. ويتم التبليغ عن البرامج الضارة لديك.
تتضمن التقنية الخطوات التالية :
Step 1 : تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت.. يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
Step 2 : تستخدم محركات فحص BitDefender قاعدة بيانات بصمة الفيروسات الموجودة ضمن البرنامج لفحص محتوى الملف.
• اذا كان المحتوى يحوي بصمة او اكثر لفيروس.. يقوم BitDefender بعملية تنظيف للملف من الفيروس. اذا فشل التنظيف، يتم نقل الملف للحجر الصحي Quarantine .
• اذا لم يكن محتوى الملف يحوي أي فيروس ضمن قاعدة بيانات البرنامج، يتم تحويل الملف للمسح من خلال التقنية الرائدة من BitDefender وهي B-Have (تقنية فحص سلوك الملف).
Step 3 : تقوم تقنية B-Have بمسح الملف من خلال تشغيله ضمن بيئة افتراضية داخل محركات BitDefender . اذا كان سلوك الملف مشابه لسلوك الفيروس (كأن يبدأ بالتعديل بسجل النظام بالويندوز أو ضمن مناطق النظام الحرجة..) تعلن تقنية B-Have ان الملف مصاب وتوقف عمله.
اذا لم يكن مصاب، يعلن BitDefender ان الملف نظيف ويسمح له بالعمل . يحدث ذلك عندما تكون تقنية Active Virus Control مدرجة ضمن العملية.
Step 4 : تقوم تقنية Active Virus Control بمراقبة العمليات الجارية ضمن نظام التشغيل للبحث عن أي بصمة لفيروس، وتعطي تقرير لكل من هذه العمليات.
عندما تتجاوز النتيجة الاجمالية للعملية عتبة المصرّح به، يتم تقييم العملية على أنها ضارة، وبناءً على واجهة برنامجBitDefender حيث يتم إيقاف العملية بشكل تلقائي (في وضع المبتدئ mode novice)
أو تتطلب تدخل المستخدم ليقرر إيقاف العملية (في الوضع المتقدم Advanced View).
طريقة عمل تقنية Active Virus Control \AVC \:
تقوم بمراقبة العمليات ضمن النظام، مع استثناء الأمور التالية:
1 عمليات النظام الآمنة (White-list) والتي يتم استثنائها من المراقبة من خلال المستخدم.
2 عمليات النظام المعروفة. مثل crss.exe, lsass.ese , smss.exe وهي آمنة.
3 كل العمليات التي يتم تحميلها قبل تشغيل خدمة الأمان (vsserv.exe) من BitDefender
4 في أنظمة التشغيل من ويندوز ذات البيئة 64bit ، تقوم BitDefender-AVC بمراقبة العمليات التي تتم تحت بيئة 64bit فقط (العمليات التي تتم تحت بيئة 32bit لا تتم مراقبتها – وذلك ضمن أنظمة تشغيل Windows 64bit).
العمليات التي تم التنبيه على أنها ضارة، وعندما تتجاوز نتيجة التنبيه الاجمالية مراحل معينة، يقوم BitDefender بالاعلام عن أن البرنامج يعتبر ضار.
مثال عن العمليات التي لها سلوك خبيث :
- لا تنتظر أو تستجيب لأي طلب يتم من طرف المستخدم.
- عدم عرض أي نوع من واجهة المستخدم عند إنهاء التنفيذ.
- نسخ أو نقل الملفات في C:\Windows\ أو C:\Windows\Systme32\
- يحوي ايقونة غير مرتبطة بالمضمون المعرّف لها.
- تقوم بنسخ وتكرار نفسها ضمن ملفات مختلفة بالقرص الصلب.
- تضيف نفسها لقائمة بدء التشغيل Startup بالويندوز.
- تسيطر على (drivers) ضمن C:\Windows\System32\ .
تتكون العملية من الخطوات التالية:
1. تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت، يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
2. يقوم نظام الفحص المطور بالتحقق من ترميز الملف من خلال قاعدة بيانات الملفات النظيفة (الآمنة)
- اذا تمت المطابقة، لا يتم فحص الملف.
- اذا لم تتم المطابقة، يتم تحويل الملف للفحص.
3. يتم الفحص من خلال قاعدة بيبانات بصمة الفيروسات، ومن خلال تقنية B-Have
- اذا كان آمناً، تتم اضافة الترميز الخاص بالملف لقاعدة بيانات الملفات النظيفة (الآمنة).
- اذا كان مصاباً تتم محاولة تطهيره. اذا فشل التطهير، يتم تحويل الملف الى مجلد الحظر الصحي Quarantine.
الفحص المحسّن :
يتم تجنب فحص الملفات التي تكون بالأساس آمنة، مما يحسن من سرعة الفحص وتقليل الضغط على النظام.
إن BitDefender مزود بقاعدة بيانات بالملفات المعروفة بأنها آمنة، ويتم تحديث وتجديد قاعدة البيانات بشكل مستمر.
تم تطويره : كشف التسلل (الهاكرز) Intrusion Detection :
يقوم BitDefender بكشف وايقاف محاولات تغيير ملفات النظام الهامة، أو الادخالات على نظام التسجيل Registry ، ويتم التنبيه للهجمات التي تتم من خلال كود الادخال (DLL).
نظام كشف التسلل المدرج ضمن BitDefender يبحث من خلال الدلائل التالية:
محاولة الوصول الى الشبكة. هذا يعني :
1 التأكد من أن العمليات التي تحاول الوصول الى الشبكة هي شرعية. هذه الميزة مبنية ضمن جدار حماية BitDefender كما يتم الاعلام بكل محولات استخدام الشبكة.
ومع ذلك، لضمان سلاسة أداء جميع التطبيقات المدرجة في قائمة White-list للجدار الناري وتلك التي لها توقيع رقمي آلي، يمكنها الاتصال بالشبكة بشكل تلقائي.
2 التدقيق بمحاولات الدخول للشبكة والغير مصرح لها، والتي تتم من خلال المتصفح والذي يقوم بتجاوز نظام واجهات برمجة التطبيقات ليصبح المتصفح الأساسي. هذه الميزة تكفل التحقق من المتصفح الأساسي.
3 محاولات الدخول للذاكرة. وينطوي ذلك على الوصول إلى الذاكرة من خلال وظيفة WriteProcessMemory والتي تتيح للعمليات غير المصرح لها بنسخ معلومات ضمن الذاكرة وتشغيلها منها.
يقوم BitDefender بالكشف على هذا النوع من العمليات من خلال نظام كشف التسلل المدرج ضمن الجدار الناري (تستخدم العناصر المشتركة التي تقاسمها مع نظام التحكم النشط للفيروسات Active Virus Control system).
محاولات الدخول لمواضيع COM وهذا يعني من خلال عمليات الاتصال لمواضيع COM حيث يقوم BitDefender بمراقبة التغييرات عليها ويبلغ المستخدم.
محاولات الدخول الى سجلات الويندوز (Registry).
محاولات الدخول الى نظام API وهذا يعني وجود عملية غير مصرح لها تحاول استخدام نظام API لتنفيذ إجراءات مثل الكتابة على Registry، ورصد لمدخلات المستخدمين أو البدء في عملية أخرى.
يقوم BitDefender برصد هكذا حالات من خلال التحقق عندما يتم استدعاء نظام API عبر سطر أوامر Command مختلف.
محاولات إنهاء عمليات BitDefender ، كوجود بعض التطبيقات غير المصرح لها والتي تحاول ايقاف حماية BitDefender حيث يقوم بكشف هذه المحاولات وحماية نفسه.
محاولات التعديل على العمليات ضمن نظام التشغيل.
الهندسة المعمارية لمنتج BitDefender :
يأتي BitDefender بهندسة معمارية مطورة والمبنية على الأداء والاستقرار الذي تم أخذه بعين الاعتبار. مقسمة على مكونات تندرج تحت ثلاثة فئات وظيفية بسيطة :
- المكونات التي تعترض عمل البيانات
- المكونات وبيانات العمليات التي تنفذ عملها بالاعتماد على اعدادات المستخدم
- وحدات الاتصال التي تضمن عملها جميعها مع بعضها بدون وجود اختناقات
عدة تطويرات صغيرة تمت على الهندسة المعمارية الجديدة، لكنها أدت لتغييرات كبيرة بالأداء :
نسبة شغل كل من المعالج المركزي CPU ووحدة الذاكرة العشوائية RAM والتي يتطلبها المنتج تم تحسينها عن طريق الاستفادة المثلى من قواعد البيانات الداخلية والعمل المتكامل.
وقت اقلاع الويندوز تقلص الى حد كبير بتحسين وقت تحميل محركات antimalware من خلال مقارنة أولوية التحميل للوصول لتحميل العمليات الأهم بشكل أسرع، وتاجيل الأقل أهمية لما بعد الدخول للويندوز.
مجمل أداء أجهزة الكمبيوتر الشخصية قد تحسنت من خلال تخطي مسح الملفات التي يتم طلبها من خلال فهرسة
في شرحي هذا سوف استعرض ثلاث تقنيات او طبقات حمايه اساسيه تلعب دور اساسي في برنامج بت ديفندر
تلك التقنيات التي سيدور الشرح حولها دخلت المؤسسه العسكريه في شركة بت ديفندر في العام 2010 ومنها في العام 2005 وتم تطويرها على مراحل في مختبرات بت ديفندر على مدار عدد من السنوات
تقنية b-have
تقنية Active Virus Control
تقنيةIntrusion Detection --- والتي عليها خلاف جعلني ابعد عن البرنامج لفترة اصلاح التقنيه ونتمنى ذلك قريبا
1- تقنية Active Virus Control \AVC \:
هذه التقنية المبتكرة تراقب تنفيذ عمل البرامج ضمن حاسبك وذلك للتحقق من وجود أي فعل يتم تنفيذه وهو بالأساس برنامج خبيث. ويتم التبليغ عن البرامج الضارة لديك.
تتضمن التقنية الخطوات التالية :
Step 1 : تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت.. يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
Step 2 : تستخدم محركات فحص BitDefender قاعدة بيانات بصمة الفيروسات الموجودة ضمن البرنامج لفحص محتوى الملف.
• اذا كان المحتوى يحوي بصمة او اكثر لفيروس.. يقوم BitDefender بعملية تنظيف للملف من الفيروس. اذا فشل التنظيف، يتم نقل الملف للحجر الصحي Quarantine .
• اذا لم يكن محتوى الملف يحوي أي فيروس ضمن قاعدة بيانات البرنامج، يتم تحويل الملف للمسح من خلال التقنية الرائدة من BitDefender وهي B-Have (تقنية فحص سلوك الملف).
Step 3 : تقوم تقنية B-Have بمسح الملف من خلال تشغيله ضمن بيئة افتراضية داخل محركات BitDefender . اذا كان سلوك الملف مشابه لسلوك الفيروس (كأن يبدأ بالتعديل بسجل النظام بالويندوز أو ضمن مناطق النظام الحرجة..) تعلن تقنية B-Have ان الملف مصاب وتوقف عمله.
اذا لم يكن مصاب، يعلن BitDefender ان الملف نظيف ويسمح له بالعمل . يحدث ذلك عندما تكون تقنية Active Virus Control مدرجة ضمن العملية.
Step 4 : تقوم تقنية Active Virus Control بمراقبة العمليات الجارية ضمن نظام التشغيل للبحث عن أي بصمة لفيروس، وتعطي تقرير لكل من هذه العمليات.
عندما تتجاوز النتيجة الاجمالية للعملية عتبة المصرّح به، يتم تقييم العملية على أنها ضارة، وبناءً على واجهة برنامجBitDefender حيث يتم إيقاف العملية بشكل تلقائي (في وضع المبتدئ mode novice)
أو تتطلب تدخل المستخدم ليقرر إيقاف العملية (في الوضع المتقدم Advanced View).
طريقة عمل تقنية Active Virus Control \AVC \:
تقوم بمراقبة العمليات ضمن النظام، مع استثناء الأمور التالية:
1 عمليات النظام الآمنة (White-list) والتي يتم استثنائها من المراقبة من خلال المستخدم.
2 عمليات النظام المعروفة. مثل crss.exe, lsass.ese , smss.exe وهي آمنة.
3 كل العمليات التي يتم تحميلها قبل تشغيل خدمة الأمان (vsserv.exe) من BitDefender
4 في أنظمة التشغيل من ويندوز ذات البيئة 64bit ، تقوم BitDefender-AVC بمراقبة العمليات التي تتم تحت بيئة 64bit فقط (العمليات التي تتم تحت بيئة 32bit لا تتم مراقبتها – وذلك ضمن أنظمة تشغيل Windows 64bit).
العمليات التي تم التنبيه على أنها ضارة، وعندما تتجاوز نتيجة التنبيه الاجمالية مراحل معينة، يقوم BitDefender بالاعلام عن أن البرنامج يعتبر ضار.
مثال عن العمليات التي لها سلوك خبيث :
- لا تنتظر أو تستجيب لأي طلب يتم من طرف المستخدم.
- عدم عرض أي نوع من واجهة المستخدم عند إنهاء التنفيذ.
- نسخ أو نقل الملفات في C:\Windows\ أو C:\Windows\Systme32\
- يحوي ايقونة غير مرتبطة بالمضمون المعرّف لها.
- تقوم بنسخ وتكرار نفسها ضمن ملفات مختلفة بالقرص الصلب.
- تضيف نفسها لقائمة بدء التشغيل Startup بالويندوز.
- تسيطر على (drivers) ضمن C:\Windows\System32\ .
تتكون العملية من الخطوات التالية:
1. تم دخول ملف للحاسب من خلال أي وسيلة اتصال كانت، يقوم BitDefender باعتراض الملف وارساله للمسح (الفحص).
2. يقوم نظام الفحص المطور بالتحقق من ترميز الملف من خلال قاعدة بيانات الملفات النظيفة (الآمنة)
- اذا تمت المطابقة، لا يتم فحص الملف.
- اذا لم تتم المطابقة، يتم تحويل الملف للفحص.
3. يتم الفحص من خلال قاعدة بيبانات بصمة الفيروسات، ومن خلال تقنية B-Have
- اذا كان آمناً، تتم اضافة الترميز الخاص بالملف لقاعدة بيانات الملفات النظيفة (الآمنة).
- اذا كان مصاباً تتم محاولة تطهيره. اذا فشل التطهير، يتم تحويل الملف الى مجلد الحظر الصحي Quarantine.
الفحص المحسّن :
يتم تجنب فحص الملفات التي تكون بالأساس آمنة، مما يحسن من سرعة الفحص وتقليل الضغط على النظام.
إن BitDefender مزود بقاعدة بيانات بالملفات المعروفة بأنها آمنة، ويتم تحديث وتجديد قاعدة البيانات بشكل مستمر.
تم تطويره : كشف التسلل (الهاكرز) Intrusion Detection :
يقوم BitDefender بكشف وايقاف محاولات تغيير ملفات النظام الهامة، أو الادخالات على نظام التسجيل Registry ، ويتم التنبيه للهجمات التي تتم من خلال كود الادخال (DLL).
نظام كشف التسلل المدرج ضمن BitDefender يبحث من خلال الدلائل التالية:
محاولة الوصول الى الشبكة. هذا يعني :
1 التأكد من أن العمليات التي تحاول الوصول الى الشبكة هي شرعية. هذه الميزة مبنية ضمن جدار حماية BitDefender كما يتم الاعلام بكل محولات استخدام الشبكة.
ومع ذلك، لضمان سلاسة أداء جميع التطبيقات المدرجة في قائمة White-list للجدار الناري وتلك التي لها توقيع رقمي آلي، يمكنها الاتصال بالشبكة بشكل تلقائي.
2 التدقيق بمحاولات الدخول للشبكة والغير مصرح لها، والتي تتم من خلال المتصفح والذي يقوم بتجاوز نظام واجهات برمجة التطبيقات ليصبح المتصفح الأساسي. هذه الميزة تكفل التحقق من المتصفح الأساسي.
3 محاولات الدخول للذاكرة. وينطوي ذلك على الوصول إلى الذاكرة من خلال وظيفة WriteProcessMemory والتي تتيح للعمليات غير المصرح لها بنسخ معلومات ضمن الذاكرة وتشغيلها منها.
يقوم BitDefender بالكشف على هذا النوع من العمليات من خلال نظام كشف التسلل المدرج ضمن الجدار الناري (تستخدم العناصر المشتركة التي تقاسمها مع نظام التحكم النشط للفيروسات Active Virus Control system).
محاولات الدخول لمواضيع COM وهذا يعني من خلال عمليات الاتصال لمواضيع COM حيث يقوم BitDefender بمراقبة التغييرات عليها ويبلغ المستخدم.
محاولات الدخول الى سجلات الويندوز (Registry).
محاولات الدخول الى نظام API وهذا يعني وجود عملية غير مصرح لها تحاول استخدام نظام API لتنفيذ إجراءات مثل الكتابة على Registry، ورصد لمدخلات المستخدمين أو البدء في عملية أخرى.
يقوم BitDefender برصد هكذا حالات من خلال التحقق عندما يتم استدعاء نظام API عبر سطر أوامر Command مختلف.
محاولات إنهاء عمليات BitDefender ، كوجود بعض التطبيقات غير المصرح لها والتي تحاول ايقاف حماية BitDefender حيث يقوم بكشف هذه المحاولات وحماية نفسه.
محاولات التعديل على العمليات ضمن نظام التشغيل.
الهندسة المعمارية لمنتج BitDefender :
يأتي BitDefender بهندسة معمارية مطورة والمبنية على الأداء والاستقرار الذي تم أخذه بعين الاعتبار. مقسمة على مكونات تندرج تحت ثلاثة فئات وظيفية بسيطة :
- المكونات التي تعترض عمل البيانات
- المكونات وبيانات العمليات التي تنفذ عملها بالاعتماد على اعدادات المستخدم
- وحدات الاتصال التي تضمن عملها جميعها مع بعضها بدون وجود اختناقات
عدة تطويرات صغيرة تمت على الهندسة المعمارية الجديدة، لكنها أدت لتغييرات كبيرة بالأداء :
نسبة شغل كل من المعالج المركزي CPU ووحدة الذاكرة العشوائية RAM والتي يتطلبها المنتج تم تحسينها عن طريق الاستفادة المثلى من قواعد البيانات الداخلية والعمل المتكامل.
وقت اقلاع الويندوز تقلص الى حد كبير بتحسين وقت تحميل محركات antimalware من خلال مقارنة أولوية التحميل للوصول لتحميل العمليات الأهم بشكل أسرع، وتاجيل الأقل أهمية لما بعد الدخول للويندوز.
مجمل أداء أجهزة الكمبيوتر الشخصية قد تحسنت من خلال تخطي مسح الملفات التي يتم طلبها من خلال فهرسة
ولابلااااش 
