البرامج الخبيثة

  • أحصنة طروادة Trojan horse

    لماذا اطلق عليه مصطلح حصان طروادة ؟

    المصطلح مشتق من قصة حصان طروادة في الأساطير اليونانية، هو برنامج يستخدم كوسيلة لإدخال البرامج الخبيثة إلى الجهاز , ويَستخدم برنامج ثالث لربط الناقل، يعني حصان طرودة و الحمولة البايلود (payload) في ملف واحد، و يسمى هذا الأخير بالـ “بيندر  Binder”. الذي يُستخدم لربط الأولين، وكذلك لفك والإفراج عن الحمولة، وفقاً لـ “دروبر  Dropper”، وهو البرنامج المسؤول عن تقديم و فك الضعط وتتبيث الحمولة.

    🔸 هناك خاصيتين يتميز بهما حصان طروادة

    ⁙ أولاً يبدو ظاهرياً كأنه برنامج بريئ أو مفيد للمستخدم:

    إلاّ أنه يحمل في داخله وظائف تحقق أغراض المتحكم فيه، إلاّ أنه هو الناقل،أو الحامل للبرنامج الخبيث. و عادةً يتسلل إلى الجهاز بطريق إقناع المستخدم الغافل بتشغيله بنفسه ليزرَع ذاته و يسيطر كلياً أو جزئياً على الجهاز.

    ⁙ ثانياً سلوكه الخفي:

    بحيث يتَنكَّر حصان طروادة في شكل دعابات برمجية، أو بريد، موسيقى، مقاطع فيديو أو عروض مثل البرامج المقرصنة..، و خاصة في كل “الكراكات _ Crack” و الـ “كي جن _ Keygen” بلا إسثتناء.

    ◻ أنواع أحصنة طروادة

    ◊ حصان طروادة الذي يحتفظ بحمولته عليه، بالإضافة إلى نشاطه الخبيث الذي يقوم به، يسمى إسم البرنامج الخبيث الذي بداخله، على سبيل المثال “كيلوجر أو باكدور _ Keylogger-Backdoor”.

    ◊ حصان طروادة الذي يفرج عن حمولته مع مواصلة نشاطه بشكل منفصل و إذا تم إكتشافه وحذفه، تواصل الحمولة عملها، أو العكس. في هذه الحالة يصنف بإسم الفئة الخبيثة التي يحملها.

    ◊ حصان طروادة الذي ليس له أي نشاط آخر، أو أي نشاط واضح، إلاّ ترك أو تثبيت البرنامج الخبيث الذي يحمله، فيُصنف هذا النوع بالناقل “Dropper” والحمولة تصنف باسم الفئة الخبيثة، و عادةً ما تكون فيروس _ Virus.

  • فيروس الحاسوب Computer Virus

    فيروس الحاسوب هو نوع من أنواع البرمجيات التخريبية الخارجية، صُنعت عمداً بغرض تغيير خصائص ملفات النظام. تتكاثر الفيروسات من خلال نسخ شفرتها المصدرية وإعادة توليدها، أو عن طريق إصابة برنامح حاسوبي بتعديل خصائصه، إصابة البرامج الحاسوبية يتضمن: ملفات البيانات، أو قطاع البوت في القرص الصلب.


    مصطلح “فيروس” يشيع استعماله بالخطأ على أنواع أخرى من البرامج الخبيثة، البرامج الخبيثة تشمل الفيروسات إلى جانب العديد من البرمجيات التخريبية الأخرى، نذكر منها على سبيل المثال:

    ◽ ديدان الحاسوب.
    ◽ حصان طروادة.
    ◽ برمجيات الفذية.
    ◽ راصد لوحة المفاتيح.
    ◽ الروتكيت.
    ◽ الآدوير.
    ◽ برمجيات التجسس، وغيرها…

    ظهر مصطلح “فيروس الحاسوب” لأول مرة عام 1985 من قبل مهندس الحاسوب “فرد كوهين”، الفيروسات غالباً ما تنفذ نوع من أنواع الأنشطة التخريبية على الحواسيب المصابة، كالاستحواذ على مساحة القرص الصلب أو على جزء من المعالج، أو الوصول إلى معلومات شخصية أو سرية كأرقام بطاقة الإئتمان، إفساد البيانات، إظهار رسائل سياسية ورسائل هزلية مزعجة على شاشة المستخدم، إرسال رسائل بريدية غير مرغوب فيها لجهات اتصال المستخدم، رصد لوحة المفاتيح الخاصة بالمستخدم ومعرفة ما يكتب.
    لحماية حاسوبك من الفيروسات والبرمجيات الخبيثة، ماعليك هو تثبيت مضاد للفيروسات  Antivirus، أو استخدام جدار  الناري  Firewall.

  • ؟ RootKit ما هو

    هي كلمة مكونة من شقين “Root” وهو مصطلح مأخوذ من نظام Linux أي “الجذر” وهو ما يقابل مصطلح ال Admin (المدير) في نظام Window، و “kit” تعني الأدوات، أي أن معنى RootKit ككل هي الأدوات التي تمنح أي برنامج ضار الحصول على صلاحيات “الجذر” Admin.
    أي RootKit تشير إلى قدرة البرنامج الخبيث مهما كان نوعه على إخفاء نفسه عن أعين المستخدم أو برامج الحماية المعروفة، وطريقته في ذلك أنه يخفي نفسه في شكل برنامج أو مهمة أو خدمة موجودة حقاً في نظام التشغيل، أو قد يخفي نفسه في نواة النظام أو الكثير من الطرق والأساليب المتقدمة جداً والمبتكرة، فيعتقد مضاد الفايروسات أنه مجرد ملف عادي من ملفات الـWindows، لكن ما إن يتم استدعاء تلك المهمة أو ذلك البرنامج حتى يتم تشغيل عمل البرنامج الضار الذي دخل تحت غطاء RootKit.
    إذاً باختصار فالروت كيت أحد الأساليب المتطورة في إخفاء البرامج الضارة عن أعين المستخدم وأيضا عن أعين برامج الحماية، ومن هنا نستنتج أن مصطلح RootKit في حد ذاته ليس ببرنامج ضار، لكن يُخفي في ثناياه برنامج ضار مثلاً قد يخفي Spyware أو Cryptojacking وهذا ما قد يفسر الصعوبة التي قد تواجهها برامج الحماية في الكشف عنه، لكن الأسوأ من كل هذا أن الروت كيت قد يؤثر بشكل مباشر على نواة نظام التشغيل مما يزيد من صعوبة رصده أو العثور عليه.


    مما سبق نستنتج أن عائلة برامج ال RootKit هي الأخطر من نوعها في كل عائلة البرامج الضارة لأنها صعبة الكشف ناهيك عن الحذف، وقد تعمد أحياناً الـ RootKit إلى تعطيل برامج الحماية أو تخريبها أو حذفها بشكل كامل، أو منع المستخدم من تثبيت أي نوع من برامج الحماية في المستقبل، وقد يكون من المستحيل كشفه أو حذفه إلا بحذف النظام ككل وإعادة تثبيته من جديد، لهذا نجد أن العديد من المطورين وشركات الحماية أنتجوا برامج مستقلة عن برامج الحماية متخصصة في الكشف عن RootKit والقضاء عليه عن طريق دراسة سلوكياته وتصرفاته.
    تُقسم عائلة الـ rootkit إلى خمس أنواع رئيسية:

    🔹 Hardware or firmware rootkit:

    وهو نوع من البرامج الخبيثة التي تُصيب العتاد الصلب كالشرائح الإلكترونية داخل الحاسب الآلي أو كرت الشبكة.. إلخ، أو قد تصيب ال firmware أي البرامج المكتوبة بلغات منخفضة المستوى والمسؤولة عن تشغيل العتاد الصلب كالـ BIOS (نظام الإدخال والإخراج الأساسي) والمسؤول عن إقلاع الكمبيوتر أو نظام الـ router وغيرها، وكثيراً ما تقوم شركات بصناعة حواسيب أو أجهزة أو قطع مصابة بهذا النوع وذلك من أجل التجسس على الشعوب …

    🔹 Bootloader rootkit:

    الــ Bootloader يعني محمّل الإقلاع، وهو عبارة عن برنامج صغير يعمل كحلقة وصل بين نظام التشغيل (ويندوز – لينكس – أندرويد) والعتاد الصلب، فهو المسئول عن تشغيل الـ “Kernel” نواة النظام ومن ثم تحميلها إلى الذاكرة.
    قد يصيب ال MBR (Master Boot Recorder)، أما الـ Bootloader rootkit فعند بدأ الـ Bootloader بتحميل النظام يقوم البرنامج الخبيث بمهاجمته واستبدال بعض ملفات النظام الرئيسية بأخرى ملوثة، هذا يعني أن Bootloader rootkit يعمل ويهاجم النظام قبل بدأ النظام بالتحميل في الذاكرة.

    🔹 Memory rootkit:

    هذا النوع من البرامج الخبيثة يخبأ نفسه داخل الـ RAM (ذاكرة الوصول العشوائي).

    🔹 Kernel mode rootkits:

    ال Kernel هي نواة النظام، حيث تقوم بدور حلقة الوصل بين عتاد الحاسوب الصلب وبرامجه، وهو جزء من النظام الأساسي أي هناك Kernel لـ Windows مختلف عن Kernel لــ Linux ، وبالتالي Kernel rootkits هي البرامج الخبيثة التي توجد في نواة النظام نفسها.

    🔹 Application rootkit:

    يقوم هذا النوع من ال rootkit بمهاجمة ملفات النظام الأساسية أو مكتبات النظام (ملفات ال DLL) أو برامجه الأساسية ودمج نفسها فيها أو استبدالها، يُعد هذا النوع من الـ rootkit الأسهل للكشف والحذف، وعند قولنا الأسهل فنقصد ضمن عائلة الـ rootkit فقط وليس بشكل عام فحذف Application rootkit قد يعد أصعب حذفاً من أي نوع من أنواع البرامج الضارة الأخرى كلها.
    كما قلنا أن هذا النوع من البرامج الضارة هو الأكثر ضرراً والأكثر صعوبة في الحذف، وبرمجة هكذا نوع من البرامج الخبيثة يحتاج إلى مهارات عالية في البرمجة ومعرفة في اللغات البرمجية المنخفضة المستوى (لغة الآلة ولغة التجميع)، وليس أمر سهل كباقي الأنواع من البرامج الضارة التي يستخدمها “أطفال الهاكرز” فمع استخدام “ميتاسبلويت” أو “نجرات” يُمكن إنتاج برنامج ضار وتشفيره بكل بساطة وخاصة في الوقت الأخير مع انتشار الدورات المجانية الغير تقنية والربحية في اليوتيوب فالآن يُمكن صنع برنامج ضار أو فايروس بدون استعمال سطر برمجي واحد.
    ◻ طرق الإنتشار والتسلل إلى النظام ؟
    بما أنها كما ذكرنا ليست برنامج خبيث بحد ذاته، بل تُشير إلى قدرة البرنامج الخبيث على إخفاء نفسه في النظام، فإن طرق دخولها إلى النظام وإصابته هي مثل طرق الإصابة بكل البرامج الخبيثة الأخرى، من أساليب هندسة اجتماعية أو مرافق الإيميلات أو أحصنة طروادة وغيرها.

زر الذهاب إلى الأعلى
إغلاق

أنت تستخدم إضافة Adblock

يرجى تعطيل مانع الإعلانات حيث أن موقعنا غير مزعج ولا بأس من عرض الأعلانات لك فهي تعتبر كمصدر دخل لنا و دعم مقدم منك لنا لنستمر في تقديم المحتوى المناسب و المفيد لك فلا تبخل بدعمنا عزيزي الزائر