بد افزار به معنای نرم افزار مخرب است. به عبارت ساده تر، بد افزار هر نرم افزاری است که با هدف هک کردن و آسیب رساندن به دستگاه ها، سرقت داده ها و به طور کلی ایجاد خرابکاری نوشته شده است. در این مقاله قصد داریم مطالبی با عنوان بد افزار و انواع آن برای شما به اشتراک بگذاریم.
ویروس ها، جاسوس افزارها و باج افزارها از جمله انواع بد افزارها هستند.
بد افزارها اغلب توسط تیم های هکر ایجاد می شوند: معمولاً آن ها فقط با دنبال کردن بد افزار یا فروش آن به بالاترین پیشنهاد دهنده در دارک وب، به دنبال کسب درآمد هستند.
با این حال، دلایل دیگری نیز برای ایجاد بد افزار ممکن است وجود داشته باشد، می تواند به عنوان ابزاری برای اعتراض، راهی برای آزمایش امنیت یا حتی به عنوان سلاح جنگ در بین دولت ها مورد استفاده قرار گیرد.
اما مهم نیست که چرا یا چگونه بد افزارها به وجود می آیند. وقتی کامپیوتر شما خاموش می شود، همیشه عامل خبر بدی است. خوشبختانه، این همان چیزی است که ما در اینجا برای جلوگیری از آن هستیم.
انواع بد افزار
- بد افزار هایی که تکثیر می شوند.
- بد افزار هایی که مخفی می شوند.
- بد افزار هایی که برای سازنده خود منفعت دارند.
مکانیزم های انتشار بد افزار
- حافظه های قابل حمل
- به اشتراک گذاری منابع از طریق شبکه
- ایمیل
- نوار ابزارهای مخرب
- کلیک ربایی در صفحات مرورگر
بد افزار چه کاری انجام می دهد؟
در حقیقت یک بد افزار همه کار انجام می دهد. این یک دسته بسیار گسترده است، و آنچه که یک بد افزار انجام می دهد و چگونگی عملکرد بد افزار از یک فایل به فایل دیگر تغییر می کند.
در ادامه به بررسی بد افزار و انواع آن خواهیم پرداخت.
در زیر لیستی از انواع متداول نرم افزارهای مخرب وجود دارد:
ویروس ها
احتمالاً متداول ترین نوع بد افزار است، ویروس ها، کدهای مخرب خود را برای پاک کردن داده ها ضمیمه می کنند و منتظر یک کاربر مشکوک یا یک فرآیند خودکار برای اجرای آن ها می شوند.
آن ها می توانند به صورت غیرقابل کنترل گسترش یابند و به عملکرد اصلی سیستم آسیب برسانند و فایل ها را حذف یا خراب کنند. آن ها معمولاً به عنوان یک فایل اجرایی (exe) ظاهر می شوند.
تروجان ها
این نوع بد افزارها خود را به عنوان نرم افزاری معتبر مبدل می كنند، یا در نرم افزارهای قانونی به صورت مخفی پنهان شده اند. معمولا این بد افزارها با ایجاد “بک در” (در پشتی) در برنامه ها، باعث می شوند تا ویروس ها و سایر بد افزارها به سیستم شما نفوذ پیدا کنند.
با احتیاط عمل می کنند، با ایجاد فضای پشتی که به انواع نرم افزارهای مخرب دسترسی آسان می دهند و این باعث نقض امنیت می شود.
نرم افزارهای جاسوسی (Spyware)
نرم افزارهای جاسوسی همانطور که از نام آن پیداست، برای جاسوسی در مورد آنچه که کاربر انجام می دهد طراحی شده است. خود را پنهان می کنند و کارهایی را که آنلاین انجام می دهید، از جمله رمزهای عبور، شماره کارت های اعتباری و سایر اطلاعات حساس را جمع آوری خواهند کرد.
کرم ها
کرم ها کل شبکه های دستگاه ها را، چه محلی و چه از طریق اینترنت با استفاده از رابط های شبکه آلوده می کنند. این نوع بد افزار می تواند کل شبکه های دستگاه را خیلی سریع آلوده کند.
باج افزار
این نوع بد افزارها معمولاً رایانه و فایل های شما را قفل می کنند و تهدید می کند همه چیز را پاک خواهند کرد مگر اینکه باج بگیرند. این باج افزار ها برخی از بزرگترین سازمان های جهان را با هزینه های سنگین هدف قرار داده است.
نرم افزارهای تبلیغاتی مزاحم
گرچه همیشه هم مخرب نیست، اما نرم افزار تبلیغاتی مزاحم می تواند امنیت شما را تضعیف کند. همچنین می تواند به بد افزارهای دیگر نیز به آسانی راه بدهد. به علاوه حتما با آن رو به رو شده اید که پاپ آپ ها واقعاً آزار دهنده هستند.
بات نت
بات نت ها شبکه های رایانه های آلوده هستند که برای کار با یکدیگر تحت کنترل یک مهاجم ساخته می شوند.
بد افزار ها چگونه پخش می شوند؟
تا این جا به بد افزار و انواع آن پرداختیم، اما هر نوع بد افزار روش منحصر به فرد خود را برای ایجاد یک خرابکاری دارد و بیشتر به نوع کاربری کاربران متکی است. برخی از طریق لینک یا یک فایل اجرایی از طریق ایمیل تحویل داده می شوند و برخی دیگر نیز از طریق پیام فوری یا رسانه های اجتماعی تحویل داده می شوند.
حتی تلفن های همراه در معرض حمله قرار دارند، از این رو ضروری است که سازمان ها از همه آسیب پذیری ها آگاه باشند تا بتوانند خط دفاع موثری را تعیین کنند.
نحوه محافظت در برابر بد افزارها
حال که کمی در رابطه با بد افزار ها صحبت کردیم و انواع مختلف آن را معرفی کردیم، بهتر است در رابطه با نحوه محافظت در مقابل بد افزار ها صحبت کنیم. وقتی صحبت از بد افزار می شود، پیشگیری بهتر از یک درمان است. خوشبختانه برخی کارهای ساده و عادی وجود دارد که شانس شما را برای اجرای هرگونه نرم افزار مخرب به حداقل می رساند.
به موارد ناشناس اعتماد نکنید!
می تواند شامل ایمیل های عجیب، هشدارهای ناگهانی و … باشد، اگر دقیقاً نمی دانید که چیست روی آن کلیک نکنید.
بارگیری های خود را مجددا بررسی کنید!
از سایت های غیر رسمی و کلاهبرداری گرفته تا فروشگاه های رسمی، بد افزارها معمولاً در گوشه و کنار کمین می کنند. بنابراین قبل از بارگیری، همیشه با خواندن دقیق نظرات و کامنت ها، اطمینان حاصل کنید که ارائه دهنده قابل اعتماد است.
یک مسدود کننده آگهی دریافت کنید!
استفاده هکرها از بنرهای آلوده یا تبلیغات پاپ آپ برای آلوده کردن دستگاه شما، رو به افزایش است. نمی توانید بدانید کدام تبلیغات مخرب هستند: بنابراین بهتر است همه آن ها را با یک مسدود کننده تبلیغاتی قابل اعتماد مسدود کنید.
مراقب باشید در کجا جستجو می کنید!
بد افزارها را می توان در هر نقطه یافت، اما رایج ترین آن ها در وب سایت هایی با امنیت و کیفیت ضعیف مانند وب سایت های کوچک و محلی است. اگر از سایت های بزرگ و معتبری استفاده کنید، خطر برخورد با بد افزار ها را به شدت کاهش می دهید.
متأسفانه، حتی اگر توصیه های فوق را دنبال کنید، ممکن است هنوز هم به بد افزار آلوده شوید. هکرها راه های دیگری برای پخش کردن ویروس های خود در هر گوشه ی وب پیدا کرده اند.
برای امنیت واقعی، شما باید از نرم افزارهای ضد بد افزار قدرتمند و قابل اعتماد استفاده کنید تا بتوانید بد افزارها را قبل از آلوده کردن رایانه، مک یا دستگاه تلفن همراه خود ردیابی و متوقف کنید.
نحوه شناسایی بد افزار
شناسایی برخی از انواع نرم افزارهای مخرب نسبت به بقیه راحت تر است. برخی، مانند باج افزار و نرم افزارهای تبلیغاتی مزاحم، حضور خود را فوراً یا با رمزگذاری پرونده های شما یا با پخش تبلیغات بی پایان در سیستم شما، نشان می دهند.
دیگر بد افزار ها مانند تروجان ها و نرم افزارهای جاسوسی، سعی دارند تا حد امکان از شما پنهان شوند. این به این معنی است که مدت ها قبل از اینکه شما متوجه شوید که آن ها حضور دارند، می توانند در سیستم شما باشند.
برخی دیگر مانند ویروس ها و کرم ها، ممکن است قبل از نشان دادن علائم خود، به صورت پنهانی عمل کنند. از جمله حذف پرونده ها یا جایگزین شدن آن ها، خاموش شدن ناگهانی و … .
نحوه حذف بد افزار
هر نوع نرم افزار مخرب روش خود را برای آلوده سازی و آسیب رساندن به رایانه ها و داده ها دارد و بنابراین هر یک به یک روش مختلف به حذف بد افزار نیاز دارند. برای شروع، نکات مربوط به خلاص شدن از شر ویروس ها و بد افزارها را بررسی کنید.
گفته می شود، بهترین راه برای محافظت و یا از بین بردن ویروس استفاده از نرم افزار ضد بد افزار است، که معمولاً آنتی ویروس نامیده می شود. بهترین ابزارهای حذف بد افزار در پیشرفته ترین آنتی ویروس ها قرار دارند، و حتی آن هایی که رایگان هستند تمام موارد لازم برای ایمن ماندن از شایع ترین تهدیدات را دارند.
بد افزار در اندروید
رایانه های شخصی تنها دستگاه هایی نیستند که در معرض ویروس های مخرب هستند: هر دستگاهی که بتواند به اینترنت متصل شود در معرض خطر است و شامل تلفن Android شما نیز می شود. در حالی که شاید به اندازه رایانه ها درباره آن ها چیزی نشنیده باشید. حملات اندرویدی رو به افزایش است. وب سایت های فیشینگ، برنامه های جعلی و همچنین فروشگاه های غیر رسمی برنامه، توزیع کنندگان اصلی نرم افزارهای خطرناک هستند.
بد افزارهای اندرویدی، تقریباً مانند بد افزارهای رایانه شخصی، می توانند باعث بروز انواع آسیب مانند ویروس، باج افزار، بات نت و تروجان، جاسوس افزار و موارد دیگر شوند.
خوشبختانه در صورت حمله به یک دستگاه، می توان آن را نیز ایمن کرد و تلفن های اندرویدی نیز از این قاعده مستثنی نیستند. برای اطمینان از اینکه تلفن شما در برابر هر چیزی و هر کسی که ممکن است آن را به صورت آنلاین تهدید کند، محافظت کنید آنتی ویروس رایگان اندروید را برای آن بارگیری کنید.
بد افزار در مک
مکینتاش به ضد ویروس بودن شهرت دارد، اگرچه این واقعیت هرگز صدق نمی کند.
درست است که برای مدت زمان طولانی میزان بد افزارهایی که می توانستند مک را آلوده کنند بسیار خنده دار بود.
اما در حالی که تعداد تهدیدات برای مکینتاش در مقایسه با کتابخانه بد افزار عظیم که به PC حمله می کند هنوز ناچیز است، اما در حال حاضر آنقدر هم کم نیست که نادیده گرفته شود. اگر دقیق نباشید و در صورت عدم استفاده از آنتی ویروس قدرتمند و قابل اعتماد، یک تهدید بسیار واقعی برای دستگاه شما وجود دارد.
به همین دلیل توصیه می کنیم که یک آنتی ویروس خوب برای Mac بارگیری کنید تا اطمینان حاصل کنید که لپ تاپ یا دسکتاپ اپل مورد علاقه شما با هیچ گونه تهدیدات مخربی که ممکن است در وب باشد به خطر نمی افتد.
هدف از تحلیل بد افزار
- شناسایی آسیب پذیری های سیستم
- ارائه اطلاعات برای پاسخ به نفوذ شبکه
- شناسایی فایل ها و ماشین های آلوده
- درک دقیق فعالیت های فایل های مشکوک
روش های تحلیل بد افزار
1- تحلیل ایستا خصوصيات ايستاي نرمافزار
2- تحلیل پویا خصوصيات پوياي نرمافزار براي شناسايي و تحليل بد افزار
مقایسه تحلیل ایستا و پویا
- تحلیل ایستا با استفاده از ابزارهایی، کد و مسیرهای اجرایی را بدون اجرای برنامه تحلیل می کند.
- تحلیل پویا با اجرای بد افزار، رفتار و خصوصیات اجرایی آن را شناسایی می کند.
- تحلیل ایستا روش قدرتمندی است، چون یک طرح کامل از برنامه ارائه می دهد، اما به دلیل روش هایی همچون مبهم سازی، رمزنگاری و چند ریختی، استفاده از روش های ایستا نا کارآمد است.
- در تحلیل ایستا اطلاعات زیادی از کد مربوطه باید در دسترس باشد.
- در تحلیل ایستا، تمام مسیرهایی از کد، که بدافزار ممکن است در اجرای خود طی کند را شناسایی و تحلیل می کند؛ اما در تحلیل پویا فقط یک مسیر اجرایی بد افزار مشاهده و تحلیل می گردد.
- تحلیل ایستا نیازمند دانش اسمبلی، شناخت ساختار کد و سیستمعامل ویندوز می باشد.
- تحلیل پویا نیازمند یک محیط محافظت شده است
روش های مخفی سازی بدافزار
- تزریق کردن
- جعل API
- هوک های ویندوزی
تزریق
تزریق فرایند: این روش کد را به فرایندی که در حال اجرا است تزریق و فرایند ناخواسته، کدهای مخرب را اجرا می کند. نویسندگان بدافزار اغلب برای مخفی سازی رفتارهای مخرب و همچنین دور زدن دیواره آتش مبتنی بر میزبان و مکانیزم های امنیتی از تزریق فرایند استفاده می کنند.
تزریق DLL: نمونه ای از تزریق فرایند است، که فرایند از راه دور را وادار می کند تا کد بد خواه را بارگذاری کند. به مفهوم بارگذاری کد در فضای آدرس برنامه ی مورد نظر از طریق یک تابع کتابخانه ای است. روش های مختلفی برای تزریق DLL وجود دارد.
معرفی API
API رابط پیاده سازی توسط نرم افزار است که به دیگر برنامه ها اجازه می دهد با آن ارتباط داشته باشند.
فایل های API مهم در ویندوز:
- KERNEL32.DLL: حاوی توابع غیر GUI مانند مدیریت توابع، فایل ها، حافظه، فرایندها و… است.
- USER32.DLL: تمام توابع مرتبط با GUI مانند توابع کار با فرم ها، پنجره ها در این کتابخانه قرار می گیرد.
- NTDLL.DLL: این DLL رابطی برای هسته ویندوز است.
- Gdi32.dll: این dll شامل توابع برای نمایش گرافیکی است.
- Wininet.dll: این dll شامل توابع شبکه است، که پروتکل هایی مانند http و ftp را اجرا می کند.
جعل API
جعل API روشی است برای تغییر رفتار برخی از توابع برنامه به گونه ای که از تابع دلخواه به جای تابع در نظر گرفته شده ی اصلی استفاده شود. انواع مختلف جعل API وجود دارد:
1- جعل API مبتنی برکاربر که شامل جعل آدرس ورودی، جعل آدرس خروجی، جعل inline است.
2- جعل جدول آدرس ورودی که جدول آدرس ورودی حاوی آدرس نسبی تمام توابع import شده به فایل اجرایی است.
3- جعل جدول آدرس خروجی که جدول آدرس خروجی، نام و آدرس مجازی نسبی توابع صادر شده از یک DLL را نگهداری می کند.
4- جعل Inline که شامل نوشتن کد در فضای داخل حافظه پردازه به جای بازنویسی مقدار اشاره گر در جدول آدرس ورودی یا خروجی است.
هوک های ویندوزی
سازوکار سیستم عامل ویندوز، یک سیستم میتنی بر پیام است. Hook به معني ايجاد شنود بر روند اجراي وقايعي مانند فراخواني توابع، ارسال پيام ها و پاسخ به رخداد ها در سيستم عامل می باشد.
دو نوع hook ویندوز وجود دارد:
- هوک های محلی برای شنود رویداد های یک پروسه استفاده می شوند.
- هوک های سراسری برای شنود رویداد های تمام پروسه های موجود استفاده می شوند.
آنچه در مقاله بد افزار و انواع آن مطرح شد بررسی بد افزار و انواع آن بود، که به آن ها اشاره شد و در رابطه با تک تک آن ها صحبت کردیم.