black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
بسم الله
السلام عليكم
شرح طريقه عمل الدفاع الاستباقى داخل الكاسبر وقدرته على التمييز بين الملف السليم والمشبوه
الدفاع الاستباقي
تعريف
هو عبارة عن خاصية حديثه جدا متوفره في برامج الحماية الحديثه واخص بالذكر الكاسبر سكاي
تعمل هذه الخاصية على استشعار البرمجيات التي تتصرف كفايرس او ملفات تجسس
بحيث تزرع قيم في الرجستري و تستدعي مكاتب المقابس القياسيه للوندوز لتقوم بتكوين اتصال ونسخ نفسها في مجلدات النظام في الجهاز
طريقته الكاسبر فى كشف الملف
هنا اذا وجد الكاسبر ان البرنامج يتصرف كفايرس يقوم بكشفه وايقاف عمله اذا ما قام المستخدم بتفعيله حتى لو كان الفايرس ليس مسجل في الدتا بيس (قاعده بيانات المحرك ) الخاصه بالانتي فايرس
بمعنى اخر ان خاصية الدفاع الاستباقي متخصصه في كشف الفايروس من خلال سلوكه وليس من خلال الدتا بيس (قاعده بيانات المحرك )
بحيث توقفه حتى لو كان البرنامج مشفر او جديد لا فرق
تناقد
سوال : طيب قد يقول احد الاخوه ان هذا الكلام غير صحيح لان برامج الهكرز مثلها مثل اي برامج ثانيه فكيف يقدر الدفاع الاستباقي على التميز بين البرنامج؟
الجواب : هذا الكلام صحيح 100% حيث نضرب مثال ببرنامج الاسكايب
يقوم البرنامج بأستدعاء مقابس الوندوز لاتمام الاتصال ويقوم بزرع قيم في الرجستر ومع هذا لا يكشفه الانتي فايرس او الدفاع الاستباقي كفايرس لماذا؟
الجواب : ببساطه ان الاسكايب لا يحاول ان ينسخ نفسه في مجلد النظام من خلال الدلة فايل كوبىFileCopy
وهي دالة قياسيه مستخدمه في جميع لغات البرمجه يعني لو كان الاسكايب يحاول ينسخ نفسه في مجلدات النظام لكان اوقف بى خاصية الدفاع الاستباقي وهو ما يعرف في هندسة البرامج يسمى (تعارض البرامج)
من السؤال السابق والاجابه عليه نتوصل الى شي محدد وهو التالي:
ان الدفاع الاستباقي يراقب مجموعه من سلوكيات البرنامج وهي كما ذكرت على الشكل التالي
1 - زرع البرنامج لنفسه في الرجستر
2 - استدعاء مقابس الاتصال من مكاتب الوندوز
3 - نسخ البرنامج لنفسه في مجلدات النظام WINDOWSو system32
اذا اجتمعت هذه الثلاثة اشياء في برنامج سيقوم الدفاع الاستباقي بايقافه
السلام عليكم
شرح طريقه عمل الدفاع الاستباقى داخل الكاسبر وقدرته على التمييز بين الملف السليم والمشبوه
الدفاع الاستباقي
تعريف
هو عبارة عن خاصية حديثه جدا متوفره في برامج الحماية الحديثه واخص بالذكر الكاسبر سكاي
تعمل هذه الخاصية على استشعار البرمجيات التي تتصرف كفايرس او ملفات تجسس
بحيث تزرع قيم في الرجستري و تستدعي مكاتب المقابس القياسيه للوندوز لتقوم بتكوين اتصال ونسخ نفسها في مجلدات النظام في الجهاز
طريقته الكاسبر فى كشف الملف
هنا اذا وجد الكاسبر ان البرنامج يتصرف كفايرس يقوم بكشفه وايقاف عمله اذا ما قام المستخدم بتفعيله حتى لو كان الفايرس ليس مسجل في الدتا بيس (قاعده بيانات المحرك ) الخاصه بالانتي فايرس
بمعنى اخر ان خاصية الدفاع الاستباقي متخصصه في كشف الفايروس من خلال سلوكه وليس من خلال الدتا بيس (قاعده بيانات المحرك )
بحيث توقفه حتى لو كان البرنامج مشفر او جديد لا فرق
تناقد
سوال : طيب قد يقول احد الاخوه ان هذا الكلام غير صحيح لان برامج الهكرز مثلها مثل اي برامج ثانيه فكيف يقدر الدفاع الاستباقي على التميز بين البرنامج؟
الجواب : هذا الكلام صحيح 100% حيث نضرب مثال ببرنامج الاسكايب
يقوم البرنامج بأستدعاء مقابس الوندوز لاتمام الاتصال ويقوم بزرع قيم في الرجستر ومع هذا لا يكشفه الانتي فايرس او الدفاع الاستباقي كفايرس لماذا؟
الجواب : ببساطه ان الاسكايب لا يحاول ان ينسخ نفسه في مجلد النظام من خلال الدلة فايل كوبىFileCopy
وهي دالة قياسيه مستخدمه في جميع لغات البرمجه يعني لو كان الاسكايب يحاول ينسخ نفسه في مجلدات النظام لكان اوقف بى خاصية الدفاع الاستباقي وهو ما يعرف في هندسة البرامج يسمى (تعارض البرامج)
من السؤال السابق والاجابه عليه نتوصل الى شي محدد وهو التالي:
ان الدفاع الاستباقي يراقب مجموعه من سلوكيات البرنامج وهي كما ذكرت على الشكل التالي
1 - زرع البرنامج لنفسه في الرجستر
2 - استدعاء مقابس الاتصال من مكاتب الوندوز
3 - نسخ البرنامج لنفسه في مجلدات النظام WINDOWSو system32
اذا اجتمعت هذه الثلاثة اشياء في برنامج سيقوم الدفاع الاستباقي بايقافه
