أحمد البدارنة
.: خبير تحليل ملفات :.
- إنضم
- 25 مارس 2013
- المشاركات
- 5,685
- مستوى التفاعل
- 20,832
- النقاط
- 1,220
غير متصل
قبل الموضوع
اختصار مانع سلوك =BB
اختصار VC=viruscope
اختصار الجدار الناري = FW
ما هي خاصية viruscope وماذا يستفاد منها
هي خاصية تم عملها في الكمودو لم ليس لديهم خبرة في تنبيهات HIPS و FIREWALL
كما تعلمون ان الهبس على الافتراضي معطل و السبب مراعاة للمبتدئين
هذة الخاصية تراقب العمليات النشطة غير المعروفة او غير الموثوقة من الكمودو
ما هو شكل النتبيهات هذة الخاصية ؟
هذة الخاصية تم وضعها للعمل تلقائي يعني دون تدخل المستخدم
وعند عمل الاداة يدوية تكون هكذا :
للعلم هذة التنبيهات دائما تبدا او تسمي الفايروس :
Generic.
الهدف من هذة الخاصية
- الكشف عن البرمجيات الخبيثة (العمليات النشطة )
- عكس العمليات وهذا الى حد الان غير معروف كيف اي ارجاع كل ما سببة الفايروس او العملية الى سابق عهدة (Roullback )
- مساعدة الخبراء على تحديد المرمجيات او العمليات الخبيثة يدويا
ما علاقة هذة الخاصية مع مانع السلوك
الغرض منه هو أن يجب أن تعمل جنبا إلى جنب BBمع VC للسماح عكس الإجراءات التي لا يمكن أن يكون قد تم حظره من دون زعزعة الاستقرار.
كيف ؟
1. تسجيل النشاط العملية
2. التعرف البرمجيات الخبيثة
3. عكس العمل الخبيثة
4. انعكاسات من واجهة المستخدم الرسومية أعلاه
سلوك
تسجيل
يتم تسجيل جميع الإجراءات القابلة للتنفيذ المحمولة غيرvirtualised العمليات، بما في ذلك عمليات موثوق به، ويظهر هذا السجل ليتم الاحتفاظ بها للدورة تشغيل العملية. تسجيل يمتد عبر العمليات الفرعية. لم تقم بتسجيل تفسير (على سبيل المثال ملفات البات ) التنفيذية. سجل يمكن الوصول إليها من
HIPS، جدار حماية، وصلة AV التنبيهات ~ أنشطة عملية
العملية في كيل سويتش ~ ~ التبويب خصائص النشاط عملية
قائمة العمليات النشطة ~ ~ عرض جميع العمليات انقر بزر الماوس الأيمن ~ عملية نشاطات
HIPS، جدار حماية، وصلة AV التنبيهات ~ أنشطة عملية
2-تظهر هذه الإجراءات حاليا ليتم تسجيل ما إذا كانوا يحدث فعلا أم لا. هذا هو يتم تسجيل الإجراءات منعت من قبل BB على الرغم من أنها لا يحدث. ربما يكون الغرض من هذه
3-تسجيل الإجراءات هي على الأرجح تلك المذكورة أدناه بالإضافة إلى انعكاس ل
تعديل ملف
حذف ملف
تغيير وقت الملف إلى الماضي
تعداد الملفات
عملية إنهاء
ملف الصورة تحميل
قطع اتصال
4-يتم تسجيل الإجراءات غير virtualised من العمليات الافتراضية. لا يتم تسجيل الإجراءات الافتراضية.
تمييز المخاطر
1-يحدد الإجراءات التالية عندما نفذت من خلال عمليات غير معروفة (ولكن غير موثوق بها ) يؤدي إلى غير و virtualised، عملية غير المقيدة يجري الاعتراف ( الكشف )، و البرمجيات الخبيثة و تنبيه مثل AV يصدر :
- نقل ( ليس نسخ ) الذاتي ل تشغيله تلقائيا مسار
- تحرك (وليس نسخ ) الذاتي ل مجلد آخر وإحفظ الرابط ( الاختصار ) في تقرير المصير ل تشغيله تلقائيا مسار
- نقل ( ليس نسخ ) الذاتي ل مجلد آخر و تعيين قيمة التسجيل في مفتاح التشغيل التلقائي في تقرير المصير
تم الكشف عن مجموعات العمل حتى لو يتم تنفيذ الأجزاء الثانية أو اللاحقة بها العمليات التابعة
في بعض الأحيان يتم نبهت هذه الإجراءات ل مجموعات BB'd ( مقيد) يعالج على الرغم من أنها مسدودة . ربما هو غير مقصودة هذا . ربما كان المقصود أن عدم منعت مجموعات العمل المعترف بها وينبغي تنبيه - ولكن هناك أيا من هذه في الوقت الحاضر.
3-يعمل الكشف عن مجريات الأمور لا ثابت ولا توقيع المتمركزة حاليا لمساعدة الاعتراف
يحدث تسجيل الاعتراف تحت الجذوع AV ، ولكن حاليا يتم تسجيل الأحداث فقط عند طلب الانعكاس. ويرد معرف مثيل recogniser في اسم العمود الخبيثة في Generic.Infector.n الشكل حيث n هو عدد صحيح . معداء عام 3 يبدو أن " التحرك الذاتي إلى مجلد آخر وإحفظ الرابط ( الاختصار ) في تقرير المصير ل تشغيله تلقائيا المسار ' ، معداء عام 4 يبدو أن " التحرك الذاتي ل تشغيله تلقائيا المسار' ، معداء عام 5 يبدو أن 'نقل الذات إلى الآخر مجلد و تعيين قيمة التسجيل في التشغيل التلقائي في تقرير المصير " لل مسار
انعكاس ربما قصدهم rollback لا اعرف حتى المشرفي في الكمود لا يعرف
الإجراءات العملية التالية عندما نفذت من قبل مجهولين ( غير موثوق بها ) ملفات unvirtualised يمكن عكسها . لاحظ أن الإجراءات التي من شأنها أن تنطوي على ملف التخزين المؤقت لعكس مفقودة .
إنشاء ملف
إعادة تسمية ملف
تغيير سمات الملف
إنشاء عملية
إنشاء مفتاح
حذف مفتاح
إعادة تسمية مفتاح
القيمة المحددة
حذف قيمة
إنشاء اتصال
يبدأ الانعكاس عن طريق اختيار 'نظيفة' من التنبيه VC ، ويبدو أن لا يتم تسجيل في التفاصيل حتى الآن ، على الرغم من يرصد إدخال في سجلات AV رابطة الدول المستقلة. هناك بدائل التنبيه AV العادية. تجاهل يتجاهل مرة واحدة للجلسة المدى العملية. تقارير إيجابية كاذبة يجب تحميل سيج ل سحابة ؟
تنظيف وبالتالي الانعكاس هو الإجراء الافتراضي و يحدث بعد 2 دقيقة إذا لم يتم تحديد أية إجراءات أخرى
يبدو انعكاس ل أن تقتصر على الإجراءات التي نفذت في الدورة المدى العملية الحالية
عندما يتم عكس عملية الحجر الصحي و ذلك أيضا باستخدام ميزة AV الحجر الطبيعي
استعادة ملف معترف بها من الحجر لا عكس عكس ، لذلك إذا تم حذف الملفات بشكل غير صحيح فإنها تظل كذلك .
تحديث
المكون الاعتراف البرمجيات الخبيثة هي قابلة للتحديث بدون تحديث الملفات القابلة للتنفيذ CIS الرئيسي. ربما هذا يمتد إلى مرافق انعكاس جدا - ونحن لا نعرف حتى الآن
اسف على سوء الترجمة لكن لا يمكن اعطاء الروابط لانها في منتدى البيتا ولا تظهر الى للمسجلين
