تبلیغات :
آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




نمايش نتايج 1 به 6 از 6

نام تاپيک: سوالی در مورد بدافزارها

  1. #1
    كاربر فعال اتومبیل، متفرقه، سبک زندگی MOHAMMAD_ASEMOONI's Avatar
    تاريخ عضويت
    Sep 2007
    محل سكونت
    زمین پهناور خدا
    پست ها
    9,728

    پيش فرض سوالی در مورد بدافزارها

    سلام دوستان

    همونطور که اطلاع دارین وقتی فایلی رو به طور معمولی پاک میکنیم اون فایل فقط آیکانش پاک میشه و دیگه بهش دسترسی نداریم اما روی هارد وجود داره و خیلی راحت با یک نرم افزار بازیابی میتونیم برگردونیمش
    حالا سوال اینه:
    یک بدافزار توی کامپبوتر هست , آنتی ویروس هشدار میده که بدافرار وجود داره و آدرس و اسمش رو هم میده
    ما میریم توی اون فولدر و پاکش میکنیم (راست کلیک و دلیت )
    از سطل آشغال هم پاکش میکنیم و دیگه آنتی ویروس هشدار نمیده .
    1- اون فایل هنوز وجود داره و برای اثباتش هم میتونیم بازیابیش کنیم . پس چرا دیگه توسط آنتی ویروس شناسائی نمیشه ؟
    2- اگر پاک شدنِ رابطش باعث مخفی موندنش از ما و آنتی ویروس میشه پس خیلی راحت میتونیم بدافزاری بسازیم که حالت پاک شده داره و لینک و آیکانی نداره و راحت مخفی میمونه از ما و آنتی ویروسها. آیا چنین کاری ممکنه ؟
    با تشکر

  2. 2 کاربر از MOHAMMAD_ASEMOONI بخاطر این مطلب مفید تشکر کرده اند


  3. #2
    ناظر انجمن های لپ تاپ و نرم افزار Public Enemy's Avatar
    تاريخ عضويت
    Sep 2012
    محل سكونت
    San Andreas ( محله ی بنفش ها )
    پست ها
    2,549

    پيش فرض

    سلام دوستان

    همونطور که اطلاع دارین وقتی فایلی رو به طور معمولی پاک میکنیم اون فایل فقط آیکانش پاک میشه و دیگه بهش دسترسی نداریم اما روی هارد وجود داره و خیلی راحت با یک نرم افزار بازیابی میتونیم برگردونیمش
    حالا سوال اینه:
    یک بدافزار توی کامپبوتر هست , آنتی ویروس هشدار میده که بدافرار وجود داره و آدرس و اسمش رو هم میده
    ما میریم توی اون فولدر و پاکش میکنیم (راست کلیک و دلیت )
    از سطل آشغال هم پاکش میکنیم و دیگه آنتی ویروس هشدار نمیده .
    1- اون فایل هنوز وجود داره و برای اثباتش هم میتونیم بازیابیش کنیم . پس چرا دیگه توسط آنتی ویروس شناسائی نمیشه ؟
    2- اگر پاک شدنِ رابطش باعث مخفی موندنش از ما و آنتی ویروس میشه پس خیلی راحت میتونیم بدافزاری بسازیم که حالت پاک شده داره و لینک و آیکانی نداره و راحت مخفی میمونه از ما و آنتی ویروسها. آیا چنین کاری ممکنه ؟
    با تشکر
    ضد مخرب ها حالت realtime دارند یعنی نوشتن و خواندن داده ها را در هنگام انجام عملیات تحت نظر قرار میدن. زمانیکه شما داده هارو بازیابی میکنین، در نهایت فرآیند نوشتن داده هارو مجددا انجام میدین، پس اصولا ضد مخرب مجددا باید بتونه مخرب رو شناسایی کنه. مگر اینکه ایرادی توی کار وجود داشته باشه، به عنوان مثال فرآیند بازگردانی فایل به صورت کامل انجام نشده باشه. شما یک بار بررسی کنین ببینین نتایج اسکن مخرب قبل و بعد از ریکاروری به کمک virustotal چه هستش. ضمنا ضد مخربی که خودتون تست کردین رو نام ببرید

  4. 2 کاربر از Public Enemy بخاطر این مطلب مفید تشکر کرده اند


  5. #3
    كاربر فعال انجمن آنتی‌ويروس
    (كارشناس COMODO)
    Jadda's Avatar
    تاريخ عضويت
    Feb 2007
    محل سكونت
    اندر مقام توحید
    پست ها
    2,090

    پيش فرض

    سلام دوستان

    *وقتی فایلی رو به طور معمولی پاک میکنیم اون فایل فقط آیکانش پاک میشه و دیگه بهش دسترسی نداریم اما روی هارد وجود داره و خیلی راحت با یک نرم افزار بازیابی میتونیم برگردونیمش

    1- اون فایل هنوز وجود داره و برای اثباتش هم میتونیم بازیابیش کنیم . پس چرا دیگه توسط آنتی ویروس شناسائی نمیشه ؟
    2- اگر پاک شدنِ رابطش باعث مخفی موندنش از ما و آنتی ویروس میشه پس خیلی راحت میتونیم بدافزاری بسازیم که حالت پاک شده داره و لینک و آیکانی نداره و راحت مخفی میمونه از ما و آنتی ویروسها. آیا چنین کاری ممکنه ؟
    با تشکر
    سلام

    1 وقتی فایلی پاک میشه در واقع Pointer مربوط به فایل که نشون میده فایل روی هارد شما در کجا شروع و در کجای هارد تمام میشه حذف میشه. و در واقع دیگه اون فایل روی هارد شما وجد نداره و سکتور حاوی اطلاعات اون فایل به عنوان فضای خالی در نظر گرفته میشه (ولی اطلاعات فایل پاک نمیشه و قابل ریکاوری هست) وبعدا در اون قسمت میشه اطلاعات جدید رونویسی بشه. برای ریکاوری اگر اون قسمت از سکتورها که شامل اطلاعات فایل میشه تماما توسط اطلاعات جدید رونویسی بشه دیگه فایل قابل بازیابی نیست و اگر بخشی از اطلاعات فایل رونویسی بشه اگر فایل بازیابی بشه ناقص خواهد بود و اگر مخرب بوده باشه و توسط آنتی ویروس؛بعد از بازیابی شناسایی نشه، طبیعی است.

    2- چنین کاری ممکن نیست. یک فایل پاک شده که Pointer فایل حذف شده و صرفا جهت برخی مسائل در کارایی بهتر هارد تمام اطلاعات فایل روی سکتورها حذف نشده و سگتورهای مربوطه قابل رونویسی با اطلاعات جدید هست با یک فایل مخفی که دارای Pointer مشخص هست و همچنین به هیچ وجه فضای فایل روی هارد دیسک قابل رونویسی نیست ؛ فرق داره.

    اما سوال شما که چرا یک فایل حذف شده دیگه شناسایی نمیشه: وقتی Pointer یک فایل حذف میشه از لحاظ فایل سیستم، دیگه اون فایل وجود نداره (و از لحاظ سیستم عامل و آنتی ویروس).....و واقعا هم اون فایل دیگه وجود نداره و اون بخش از هارد اصلا اسکن نمیشه توسط آنتی....احتمالا شما میفرمایید پس چرا قابل بازیابی است؟ جواب یک را بخونید.
    Last edited by Jadda; 17-04-2017 at 16:11.

  6. 2 کاربر از Jadda بخاطر این مطلب مفید تشکر کرده اند


  7. #4
    كاربر فعال اتومبیل، متفرقه، سبک زندگی MOHAMMAD_ASEMOONI's Avatar
    تاريخ عضويت
    Sep 2007
    محل سكونت
    زمین پهناور خدا
    پست ها
    9,728

    پيش فرض

    ضد مخرب ها حالت realtime دارند یعنی نوشتن و خواندن داده ها را در هنگام انجام عملیات تحت نظر قرار میدن. زمانیکه شما داده هارو بازیابی میکنین، در نهایت فرآیند نوشتن داده هارو مجددا انجام میدین، پس اصولا ضد مخرب مجددا باید بتونه مخرب رو شناسایی کنه مگر اینکه ایرادی توی کار وجود داشته باشه
    به عنوان مثال فرآیند بازگردانی فایل به صورت کامل انجام نشده باشه.
    شما یک بار بررسی کنین ببینین نتایج اسکن مخرب قبل و بعد از ریکاروری به کمک virustotal چه هستش. ضمنا ضد مخربی که خودتون تست کردین رو نام ببرید
    سلام

    تشکر از پاسختون
    مشکلی ندارم الحمدلله . فقط از روی کنجکاوی و برای بیشتر دانستن پرسیدم
    سوالم اینه که با راست کلیک و دلیت و پاک کردن از سطل آشغال دیگه ویروس قادر به فعالیت نیست ؟
    اگر نیست , چرا ؟ . اون که هنوز روی هارده و با نرم افزار بازیابی میشه بازیابیش کرد
    بنده بارها یک فایل مشکوک که آنتی ویروس پیدا کرده رو پاک کردم و آنتی ویروس هم دیگه هشدار نداد . اما با نرم افزار بازیابی دیدم هنور روی هارده و میشه برگردوندش
    آیا فایلی که ظاهراً دلیت شده اما هنوز روی هارد هست نمیتونه فعالیتِ مخربش رو انجام بده ؟
    با تشکر

  8. #5
    كاربر فعال اتومبیل، متفرقه، سبک زندگی MOHAMMAD_ASEMOONI's Avatar
    تاريخ عضويت
    Sep 2007
    محل سكونت
    زمین پهناور خدا
    پست ها
    9,728

    پيش فرض

    سلام

    1 وقتی فایلی پاک میشه در واقع Pointer مربوط به فایل که نشون میده فایل روی هارد شما در کجا شروع و در کجای هارد تمام میشه حذف میشه. و در واقع دیگه اون فایل روی هارد شما وجد نداره و سکتور حاوی اطلاعات اون فایل به عنوان فضای خالی در نظر گرفته میشه (ولی اطلاعات فایل پاک نمیشه و قابل ریکاوری هست) وبعدا در اون قسمت میشه اطلاعات جدید رونویسی بشه. برای ریکاوری اگر اون قسمت از سکتورها که شامل اطلاعات فایل میشه تماما توسط اطلاعات جدید رونویسی بشه دیگه فایل قابل بازیابی نیست و اگر بخشی از اطلاعات فایل رونویسی بشه اگر فایل بازیابی بشه ناقص خواهد بود و اگر مخرب بوده باشه و توسط آنتی ویروس؛بعد از بازیابی شناسایی نشه، طبیعی است.

    2- چنین کاری ممکن نیست. یک فایل پاک شده که Pointer فایل حذف شده و صرفا جهت برخی مسائل در کارایی بهتر هارد تمام اطلاعات فایل روی سکتورها حذف نشده و سگتورهای مربوطه قابل رونویسی با اطلاعات جدید هست با یک فایل مخفی که دارای Pointer مشخص هست و همچنین به هیچ وجه فضای فایل روی هارد دیسک قابل رونویسی نیست ؛ فرق داره.

    اما سوال شما که چرا یک فایل حذف شده دیگه شناسایی نمیشه: وقتی Pointer یک فایل حذف میشه از لحاظ فایل سیستم، دیگه اون فایل وجود نداره (و از لحاظ سیستم عامل و آنتی ویروس).....و واقعا هم اون فایل دیگه وجود نداره و اون بخش از هارد اصلا اسکن نمیشه توسط آنتی....احتمالا شما میفرمایید پس چرا قابل بازیابی است؟ جواب یک را بخونید.
    سلام
    ممنون از پاسختون
    تا حد زیادی پاسخ روشن شد برام اما هنوز چیزهای ضد و نقیضی وجود داره:
    فرض کنیم اون بدافزاز 50mb حجم داره و پاکش کردیم و دیگه هم شناسائی نمیشه
    اما وقتی قابل بازیابی هست یعنی وجود داره هنوز وگرنه برنامه باز یابی که نمیتونه برنامه نویسی کنه و دوباره به وجود بیاردش
    پس وجود داره و نرم افزار بازیابی فقط دوباره رابطی برای ارتباط باهاش میسازه و قابل دسترسی میشه
    یعنی پاک کردن باعث نابودیش نشده بلکه فقط برای ما غیرقابل دسترس شده
    بله درسته که بعد از پاک شدنش کامپیوتر میره روی همون فایل یه چیز دیگه ذخیره میکنه و دیگه غیرقابل بازیابی میشه اما تا وقتی چیزی روش جایگزین نشده پس هستش فقط مخفی هست
    این نکته ای هست که میشه ازش سوء استفاده کرد برای قرار دادن بدافزار روی هارد بدون اینکه شناسائی بشه
    چند سال پیش که بدافزار شعله کشف شد و لو رفت , اسنودن (اگر اشتباه نکنم ) گفت که حتی هاردهای صفرِ ساختِ مشهورترین شرکتهای دنیا هم بدافزار داره که از کارخونه روی هارد قرار داده شده و قابل شناسائی نیست .
    به نظرم اونها هم از همین روش استفاده میکنند برای نصب بدافزار روی هارد صفر تا شناسائی نشه . البته اونها کاری میکنند که چیزی روی این بدافزار ذخیره نشه یعنی هم وجود داره هم حالتِ فایلی رو داره که وجود نداره
    یعنی آنتی ویروس باید شامل یک نرم افزار قویِ بازیابی هم باشه و حتی فایلهای پاک شده رو هم اسکن کنه و اگر چیزی پیدا کرد هشدار بده و با روش مخصوص خودش طوری پاک بشه که جاش کاملا خالی بشه و یا با چیز بی ضرری پر بشه و سپس همون فایل بی ضرر هم پاک بشه تا دیگه نه اثری از اون بدافزار بمونه و نه جاش اشغال بمونه
    یعنی انتی ویروس اول با بازیابی پیداش میکنه بعدش یک فایل بی ضرر میریزه روش تا نیست و نابود و غیرقابل بازیابی بشه بعدش همون فایل بی ضرر رو هم پاک میکنه تا هارد خالی باشه


  9. #6
    ناظر انجمن های لپ تاپ و نرم افزار Public Enemy's Avatar
    تاريخ عضويت
    Sep 2012
    محل سكونت
    San Andreas ( محله ی بنفش ها )
    پست ها
    2,549

    پيش فرض

    سوالم اینه که با راست کلیک و دلیت و پاک کردن از سطل آشغال دیگه ویروس قادر به فعالیت نیست ؟
    جواب در اکثر موارد خیر هستش. برخی مخرب ها میتونن بدون ذخیره سازی اطلاعات در هارد دیسک، فقط در حافظه ی RAM فعالیت کنند. لذا اگر مخرب حالت staged داشته باشه، یعنی قسمت اول بر روی هارد ذخیره شود، اجرا شود تا قسمت دوم خود را دانلود کند، و قسمت دوم فقط در رم بارگزاری بشه، با پاک کردن قسمت اول، قسمت دوم باقی میمونه. البته همونطور که گفتم در اکثر موارد جواب خیر هستش

    بنده بارها یک فایل مشکوک که آنتی ویروس پیدا کرده رو پاک کردم و آنتی ویروس هم دیگه هشدار نداد . اما با نرم افزار بازیابی دیدم هنور روی هارده و میشه برگردوندش
    آیا فایلی که ظاهراً دلیت شده اما هنوز روی هارد هست نمیتونه فعالیتِ مخربش رو انجام بده ؟
    ممکنه اون فایل به صورت ناقص ریکاوری شده باشه. در این صورت عملکرد ناقصی داره و آنتی ویروس هم به صورت مخرب اونو نمایش نمیده.

    برای اجرای فایل در سطح کاربر سیستم عامل، فایل باید فراخوانی و اجرا بشه. وقتی delete شده عملا اون قسمت چیزی وجود نداره برای فراخوانی

    چند سال پیش که بدافزار شعله کشف شد و لو رفت , اسنودن (اگر اشتباه نکنم ) گفت که حتی هاردهای صفرِ ساختِ مشهورترین شرکتهای دنیا هم بدافزار داره که از کارخونه روی هارد قرار داده شده و قابل شناسائی نیست .
    به نظرم اونها هم از همین روش استفاده میکنند برای نصب بدافزار روی هارد صفر تا شناسائی نشه
    اگر اشتباه نکنم اون مخرب هاییکه اسنودن بهش اشاره کرد در سطح فریم ور نصب میشن. آنتی ویروس ها معمولا فریم ور دستگاهها رو بررسی نمیکنند.

Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •