صفحه اصلی


 
USB  قفل سخت افزاری


 
Parallel قفل سخت افزاری
 


  تكنيكهاي  ضد ديباگ



  درباره ما



 تماس با ما





لينك سايتهاي مرتبط


قفل نرم افزاري منشورسيمين


قفل سي دي منشورسيمين

www.pedjvak.com

www.pedjvak.net

www.guarddongle.com
 www.8df.com
 www.shegerd.com
www.dedj.com
www.5df.com

www.lllcd.com

www.msbbs.com

www.4df.org

www.6df.org

www.9sh.org

 


  

www.lllcd.com www.4df.org www.6df.org www.8df.org www.9sh.org  www.pedjvak.net    www.pedjvak.com  www.shegerd.com  www.guarddongle.com  www.dedj.com www.5df.com

تکنيکهاي ضدديباگ و شبيه سازي

Malware برنامه ايست که شامل کدهاي مخرب بوده و به منظور بازيابي اطلاعات شخصي مورد استفاده قرار ميگيرد و باعث از بين رفتن داده ها ويا موارد مشابه ميگردد. شرکتهاي توليد کننده آنتيويروس دائما سعي در تشخيص اينگونه برنامه ها داشته و در جهت متوقف کردن يا کاهش تاثيرات آنها ميکوشند. اين موضوع باعث يک تلاش و مقابله دائمي بين اين شرکتها و نويسنده هاي ويروس ميگردد. تکنيکهاي ضدديباگ و شبيه سازي توسط ويروس نويسان در اين نوع برنامه هاي مخرب تعبيه شده و تلاش شرکتهاي آنتيويروس را براي تشخيص و ازبين بردن ويروسها بي اثر ميسازد. علاوه براين براي متوقف کردن Malware ، اين تکنيکها بايد مورد شناسايي قرار بگيرد. در اين نوشتار سعي در شناسايي تکنيکهاي ضدديباگ و شبيه ساز براي ايجاد برنامه هاي نمونه کوچک به منظور تشخيص کد هاي مخرب شده است.

1.   مقدمه

براي بازداشتن يا کند کردن روند تجزيه و تحليل و مهندسي معکوس در ويروسها، نويسنده هاي اينگونه برنامه ها از تکنيکهاي ضدديباگ و شبيه سازي استفاده ميکنند. زمانيکه ويروسها در يک ديباگر يا شبيه ساز اجرا ميگردند اين تکنيکها باعث کند شدن روند تجزيه و تحليل و مهندسي معکوس ميشوند. چندين روش ديگر توسط ويروسها براي فريب دادن آنتيويروسها به کار گرفته ميشود. هر ويروس معمولا يک يا چند تکنيک را بکار ميبرد.

در اين نوشتار ميخواهيم روشهايي را که ويروس نويسان براي کند کردن روند مهندسي معکوس استفاده ميکنند، مورد بحث قرار دهيم. اين نوشتار نماي کلي از تکنيکهاي ضدديباگ و شبيه سازي را براي کسانيکه ميخواهند نرم افزارهاي خود را در مقابل ديباگرها امن تر کنند ارائه ميکند.

 

2.   ضدشبيه سازي

يک شبيه ساز محيطي محدود ايجاد نموده (محيطي شبيه به سيستم عامل که در سطحي بالاتر از سيستم عامل قرار ميگيرد) بطوريکه يک برنامه را ميتواند بصورت پويا مورد تجزيه و تحليل قرار دهد. براي مثال ماشيني که سيستم عامل آن لينوکس ميباشد قادر است بصورت مجازي ويندوز XP را در خود اجرا کند. يک شبيه ساز نيز شامل CPU، حافظه، سخت افزار و يک کنترولر شبيهسازي شده ميباشد. اين روش براي تجزيه و تحليل برنامه ها به صورت پويا، بدون آسيب رساندن به سيستم عامل، بسيار امن ميباشد.

اشکالاتي در اين سيستم وجود دارد. اول اينکه عمليات شبيه سازي زماني طولاني صرف کرده و کاربر بايد منتظر پايان تجزيه و تحليل برنامه بماند. دوم، شبيه سازي بعلت وجود پردازش برنامه ها باعث کندي سرعت در سيستم عامل ميشود. QEMU يک شبيه ساز سيستم عامل و سخت افزار بوده که شامل 4 تا 10 عامل کاهش سرعت در شبيه سازي سخت افزار و 2 عامل کاهش سرعت در واحد مديريت حافظه نرم افزار (2) ميباشد. QEMU داراي سيستم نمايش پويا نبوده بنابراين باعث کندي سرعت نميگردد. مشکل نهايي اينست که برنامه مخرب، تکنيکهاي ضدشبيه سازي مختلفي را براي فريب دادن شبيه ساز به کار ميگيرد. اين تکنيکها در 3 طبقه قرار ميگيرندند.


 Outlasting Outsmarting , Overextending