A7med Baraka
05-21-2010, 05:39 PM
قامت مجموعة من الباحثيين الأمنيين بنشر دراسة تشير (http://www.barakasoft.com/vb/redirector.php?url=%61%48%52%30%63%44%6f%76%4c%33%64%33%64%79%35%74%59%58%52%76%64%58%4e%6c%59%79%35 %6a%62%32%30%76%61%57%35%6d%62%79%39%68%63%6e%52%70%59%32%78%6c%63%79%39%72%61%47%39%69%5a%53%30%34% 4c%6a%41%74%5a%57%46%79%64%47%68%78%64%57%46%72%5a%53%31%6d%62%33%49%74%64%32%6c%75%5a%47%39%33%63%7 9%31%6b%5a%58%4e%72%64%47%39%77%4c%58%4e%6c%59%33%56%79%61%58%52%35%4c%58%4e%76%5a%6e%52%33%59%58%4a %6c%4c%6e%42%6f%63%41%3d%3d) إلى وجود مشكلة في برامج الحماية من الفيروسات قد تسمح للمخترقين بتخطي أنظمة الحماية بسهولة والمثير في الأمر أن هذه المشكلة ليست محصورة ببرنامج معين بل هي تطال جميع برامج حماية الفيروسات.
المشكلة هي في الطريقة المتبعة من قبل برامج الحماية (أو أغلبها) فبرامج الحماية تقوم بوضع مايشبه نقاط التفتيش او إضافات بين البرامج وبين نواة ويندوز بحيث تقوم بالتحقق من أي شفرة يتم تنفيذها على مستوى النواة قبل أن تسمح لها بالتنفيذ الفعلي، ولكن ما قام به الباحثون هو أمر يشبه أفلام الخيال العلمي.
فقد قام الباحثون بعمل برنامج يقوم بإرسال شفرة نظيفة إلى أدوات التحقق التي تقوم بحماية نواة النظام وهذا الأمر سيؤدي إلى تجاوز أنظمة الحماية والسماح لها بالتنفيذ، وقبل أن يتم التنفيذ الفعلي للشفرة فسيقوم البرنامج بإستبدال الشفرة النظيفة بآخرى ضارة ولن يكون بإمكان برنامج الحماية عمل أي شيء وقتها لحماية نظامك.
هذه الطريقة لاتحتاج إلى حساب المدير أيضا فبالإمكان تنفيذها عبر حساب مستخدم عادي وسيكون لها نفس الأثر وقد أوضح الباحثون أنه بالإمكان إستغلال هذه المشكلة من أجل ان يقوم البرنامج بالإستيلاء على النواة وإزالة برامج الحماية من الفيروسات او إستبدال ملفاتها.
لكن أحد العيوب التي تعاني منه هذه الطريقة (في الوقت الحالي) هو انها تحتاج إلى أن يتم تشغيل ملف تنفيذي على الجهاز من أجل إتمام العملية وهي تحتاج إلى كمية شفرة كبيرة لكنها مسألة وقت قبل أن نرى نسخاً محسنة من هذه الثغرة وبحجم أقل وفعالية كبيرة.
هذه الدراسة شملت حوالي 34 منتج (http://www.barakasoft.com/vb/redirector.php?url=%61%48%52%30%63%44%6f%76%4c%33%64%33%64%79%35%74%59%58%52%76%64%58%4e%6c%59%79%35 %6a%62%32%30%76%61%57%35%6d%62%79%39%68%63%6e%52%70%59%32%78%6c%63%79%39%72%61%47%39%69%5a%53%30%34% 4c%6a%41%74%5a%57%46%79%64%47%68%78%64%57%46%72%5a%53%31%6d%62%33%49%74%64%32%6c%75%5a%47%39%33%63%7 9%31%6b%5a%58%4e%72%64%47%39%77%4c%58%4e%6c%59%33%56%79%61%58%52%35%4c%58%4e%76%5a%6e%52%33%59%58%4a %6c%4c%6e%42%6f%63%41%3d%3d#table-of-vulnerable-software) حماية من نورتون وكاسبر وغيرها وكل هذه البرامج لم تستطع الحماية من هذه المشكلة وهي تطال نسخ ويندوز كلها ممايعني ان على مصنعي برامج الفيروسات أن يعيدو التفكير في كيفية حماية النظام.
[ The Register (http://www.barakasoft.com/vb/redirector.php?url=%61%48%52%30%63%44%6f%76%4c%33%64%33%64%79%35%30%61%47%56%79%5a%57%64%70%63%33%52 %6c%63%69%35%6a%62%79%35%31%61%79%38%79%4d%44%45%77%4c%7a%41%31%4c%7a%41%33%4c%32%46%79%5a%33%56%74% 5a%57%35%30%58%33%4e%33%61%58%52%6a%61%46%39%68%64%6c%39%69%65%58%42%68%63%33%4d%76) ]
المشكلة هي في الطريقة المتبعة من قبل برامج الحماية (أو أغلبها) فبرامج الحماية تقوم بوضع مايشبه نقاط التفتيش او إضافات بين البرامج وبين نواة ويندوز بحيث تقوم بالتحقق من أي شفرة يتم تنفيذها على مستوى النواة قبل أن تسمح لها بالتنفيذ الفعلي، ولكن ما قام به الباحثون هو أمر يشبه أفلام الخيال العلمي.
فقد قام الباحثون بعمل برنامج يقوم بإرسال شفرة نظيفة إلى أدوات التحقق التي تقوم بحماية نواة النظام وهذا الأمر سيؤدي إلى تجاوز أنظمة الحماية والسماح لها بالتنفيذ، وقبل أن يتم التنفيذ الفعلي للشفرة فسيقوم البرنامج بإستبدال الشفرة النظيفة بآخرى ضارة ولن يكون بإمكان برنامج الحماية عمل أي شيء وقتها لحماية نظامك.
هذه الطريقة لاتحتاج إلى حساب المدير أيضا فبالإمكان تنفيذها عبر حساب مستخدم عادي وسيكون لها نفس الأثر وقد أوضح الباحثون أنه بالإمكان إستغلال هذه المشكلة من أجل ان يقوم البرنامج بالإستيلاء على النواة وإزالة برامج الحماية من الفيروسات او إستبدال ملفاتها.
لكن أحد العيوب التي تعاني منه هذه الطريقة (في الوقت الحالي) هو انها تحتاج إلى أن يتم تشغيل ملف تنفيذي على الجهاز من أجل إتمام العملية وهي تحتاج إلى كمية شفرة كبيرة لكنها مسألة وقت قبل أن نرى نسخاً محسنة من هذه الثغرة وبحجم أقل وفعالية كبيرة.
هذه الدراسة شملت حوالي 34 منتج (http://www.barakasoft.com/vb/redirector.php?url=%61%48%52%30%63%44%6f%76%4c%33%64%33%64%79%35%74%59%58%52%76%64%58%4e%6c%59%79%35 %6a%62%32%30%76%61%57%35%6d%62%79%39%68%63%6e%52%70%59%32%78%6c%63%79%39%72%61%47%39%69%5a%53%30%34% 4c%6a%41%74%5a%57%46%79%64%47%68%78%64%57%46%72%5a%53%31%6d%62%33%49%74%64%32%6c%75%5a%47%39%33%63%7 9%31%6b%5a%58%4e%72%64%47%39%77%4c%58%4e%6c%59%33%56%79%61%58%52%35%4c%58%4e%76%5a%6e%52%33%59%58%4a %6c%4c%6e%42%6f%63%41%3d%3d#table-of-vulnerable-software) حماية من نورتون وكاسبر وغيرها وكل هذه البرامج لم تستطع الحماية من هذه المشكلة وهي تطال نسخ ويندوز كلها ممايعني ان على مصنعي برامج الفيروسات أن يعيدو التفكير في كيفية حماية النظام.
[ The Register (http://www.barakasoft.com/vb/redirector.php?url=%61%48%52%30%63%44%6f%76%4c%33%64%33%64%79%35%30%61%47%56%79%5a%57%64%70%63%33%52 %6c%63%69%35%6a%62%79%35%31%61%79%38%79%4d%44%45%77%4c%7a%41%31%4c%7a%41%33%4c%32%46%79%5a%33%56%74% 5a%57%35%30%58%33%4e%33%61%58%52%6a%61%46%39%68%64%6c%39%69%65%58%42%68%63%33%4d%76) ]