Packers as a Way to Avoid AV Detection

الكاتب: بشار | يوم: 10 أبريل, 2010 | التعليقات: 10 | القراءات: - عدد المشاهدات 9٬955

ال packers هي ببساطة عبارة عن برامج تقوم بعمليّة ضغط لملفات تشغليّة. في كثير من الأحيان يتمّ استخدامها من اجل حماية المحتويات الضّارة (فيروسات، تروجان..الخ). الملف النّاتج يحتوي على كود فك الضّغط داخله والذي يتمّ بشكل فوري (أو in-place). غالبيّة البرمجيّات الضّارة هذه الأيام تأتي مضغوطة، وهو ما يساعدها على تجاوز الغالبيّة السّاحقة من برامج مكافحة الفيروسات، حتى الشّهيرة منها. الأخ العزيز احمد، تناول في تدوينته بعض هذه البرمجيّات. هنا ان شاء الله سنغطي كيف تتم هذه العملية، والتي تثبت عجز وفشل شركات مكافحة الفيروسات في التّصدي لها.

عندي ملف ضار، هذا الملف يقوم عند تشغيله بالاتصال بالخادم الرّئيسي، ويزوّده بمعلومات تفصيليّه عن الحاسوب، كاسمه واسم مديره ونظام التشغيل ..الخ.
لنلق نظرة على قدرة برامج مكافحة الفيروس على كشف الملف. استخدمت في العمليّة Virustotal كما يظهر في الشكل -1-.

نتيجة فحص الملف قبل ضغطه

كما نشاهد في الشكل اعلاه برامج مكافحة الفيروسات تمكنت بنسبة كبيرة من اكتشاف ان الملف ضار.

الان نقوم بعمل ضغط للملف. كما هو ظاهر في الشّكل -2-

ضغط الملف الضّار باستخدام

وبعد ذلك نقوم بفحص الملف مرّة اخرى باستخدام Virustotal، كما في الشكل -3-

نتيجة فحص الملف بعد ضغطه

كما نشاهد في الشكل -3-، نسبة اكتشاف التروجان بعد ضغطه انخفضت إلى عشرة بالمائة فقط. ونرى أن برامج مكافحة الفيروس الشّهيرة ككسابيرسكي والنود وغيرها لم تتمكن من اكتشافه.

هذا يثبت أن الاعتماد على برامج مكافحة الفيروس فقط، لا يكفي في التّصدي لهذه البرمجيّات. التحديث المستمر لكافة البرامج المثبّتة على الحاسوب، والتي برنامج مثل Secunia يساعد فيها، كما ذكرنا في تدوينة سابقة. بالاضافة الى الوعي الامني، وعدم الضغط على كل وصلة يراها المستخدم مسليّة أو مثيرة، كلها عبارة عن وسائل تساعد في التقليل من آثار هذه البرمجيّات.

التعليقات:

اترك تعليقاً | عدد التعليقات: (10)

1. يقول aajli:

   أبريل 10, 2010 الساعة 4:03 م

   بارك الله فيك بشار
   شكرا على الالتفاتة فهده الامور تبقى تانوية ولاكنها جد مهمة
   لانها في الغالب المصدر الاول لدخول لحاسوب ..

   رد
2. يقول Eng. Sabri Saleh:

   أبريل 10, 2010 الساعة 7:47 م

   شكرا بشار ,,

   أيضا يوجد حركة في الـ WinRar كانت تعجبني و هي جعل الملف مضغوط بشكل SFX أو شئ من هذا القبيل

   ملاحظة: في المقارنة يظهر إصدارات مكافحات الفايروسات و هناك إصدارات قديمة ,, الأمر بالتأكيد تغير

   رد
   • يقول بشار:

     أبريل 10, 2010 الساعة 9:00 م

     العفو صبري…

     خاصّية SFX في WinRar تختلف عن ال packers. ال Packers تضغط الملفات التشغيلية (EXE) وليس أي ملف.

     لتفاصيل اكثر: http://en.wikipedia.org/wiki/Executable_compression

     رد
3. يقول Ghost Hacker:

   أبريل 10, 2010 الساعة 8:09 م

   شئ مؤكد ان الأعتماد على الـ antivirus في بيئة Windows غير كأفي للتصدي للبرمجيات الضارة بشكل عام .
   من وجهة نظري في بيئة Windows لاتوجد حماية بنسبة عالية مع كل تقنيات الأمن والوعي الأمني
   يمكن اكتشاف ثغرة ريموت بالنظام نفسه ويتم اختراقك و أنت تتصفح بريدك الألكتروني 🙂 .

   رد
   • يقول بشار:

     أبريل 10, 2010 الساعة 9:05 م

     في هذه التدوينة ذكرنا أن العمل بصلاحيّات مدير (كما هو الحال في ويندوز XP) هي عبارة عن دعوة لاختراق النّظام. التقنيات المستخدمة حديثاً يمكن ان تعمل على اي نظام، بدون وعي المستخدم سيقع النظام ضحية لاحد المحاولات. لاحظ ان المستخدم المنزلي يريد أن يشاهد ملف “مغري”، وهذا الملف لا يعمل إلّا ب encoder معيّن. طبعاً المهاجمون اناس لطيفون يعطونه رابط لتحميل هذا ال encoder لتثبيته.

     سواء كان على ويندوز لينكس او ماك سيحتاج الى صلاحيات اعلى من المستخدم العادي لتثبيت ال encoder””، وهو ما سيفتح ثغرة في نظامه. (طبعاً الحال في ويندوز XP اسهل كما ذكرت).

     رد
4. يقول KING SABRI:

   أبريل 11, 2010 الساعة 3:48 م

   نعم بشار كلامك صحيح ,,, لكن يبدو أنني لم أوضح
   في ملف الـ SFX كان هناك شئ يضغط الملف التنفيذي و يظهر على أنه ملف مضغوط طبيعي لكن بمجرد محاولة فتح الملف المضغوط يتم تنفيذ البرنامج التنفيذي و هنا كانت تكمن الخطورة ,, بصراحة هذا الموضوع قديم و لا أذكر تفاصيله

   رد
5. يقول [email protected]:

   أبريل 12, 2010 الساعة 4:26 ص

   بشار عندي طريقة أخرى قديمة جداً من أيام العصر الحجري ههههه
   أضغط الملف المراد إرساله ولكن ضع عليه كلمة مرور … هكذا لن يستطيع أي Antivirus من إكتشاف ما هو في محتواها … وبعد ذلك عندما ترسل الملف الضار هذا … أخبر الضحية بإن فيه معلومات مهمة ولهذا ضغطته ووضعت عليه كلمة مرور (رغم إنك حترسلهم معاً ههه) … هذه الطريقة ناجحة 100% إن نجحت في الـ SE مع الضحية 🙂

   رد
   • يقول X_loRD:

     مايو 3, 2010 الساعة 1:38 م

     هههههههههههههههه حلوه الطريقه دى بس لجزء الأكبر منها بيقع على الSE

     رد
6. يقول Str1k3r.r1z:

   أبريل 12, 2010 الساعة 7:31 م

   تسلم اخي بشار . في النهاية ان استخدام انظمة الانتي فايروس او ما تسمى بسكيورتي نت . او غيرها كالكاسبر والافيرا . شيئ لايكفي لتحقيق الأمان .

   فأختيار النظام المناسب هو السبب الرئيسي لتوفر الامان . فأنظمة ويندوز مهما وصلت مستويات حمايتها ستبقى مهددة تحت اسم ملفات exe .

   او الملفات التنفيذية وهذا ما يعيق اي عملية تطوير امنية لهذا النظام . فأن تم التخلي ان الامتداد التنفيذي سيكون هنالك نقلة نوعية نحو تطوير الحماية في هذه الأنظمة .

   فمحور حديث اغلب المهتمين في اخترقات انظمة ويندوز هو كيفيت تشفير هذا الملف التنفذي . وتخطي اكتشاف الحمايات .

   فلم يكن همهم اكتشاف امتداد ما ليتم تشغيله تلقائيا . فلامتداد موجود والباقي على التشفير .

   نسبة الأمان في انظمة ويندوز معدومة مع وجود علوم تشفيريه تمكن المهاجم من الحصول على افضل مستويات التشفير الأمني .

   بخلاف باقي الانظمة الأخرى .

   رد
   • يقول بشار:

     أبريل 13, 2010 الساعة 1:48 ص

     هل لك أن تشاركنا في كيف يمكن للأنظمة الأخرى تلافي ذلك؟ وكيف يمكن ان تعرف نسبة الأمان؟ ولماذا في اعتقادك هي معدومة؟ الحال بين المهاجمين والمدافعين هي كحال سباق التّسلح. المدافعون يضعون وسائل تساعدهم في التّصدي والمهاجمون يجدون طرق يلتفّون بها على هذا الاجراءات.

     المتّفق عليه بين العاملين في المجال الأمني، هو أن أنظمة التّشغيل اليوم الأمان فيها ارتفع بشكل كبير مما دفع المهاجمين لاستهداف البرامج التي يتمّ تنصيبها على هذه الأنظمة كالفلاش والاكروبات ريدر. في التّوقّعات لعام 2010 المستهدف الأول في الهجمات سيكون ادوبي وبرامجها بدل من مايكروسوفت وذلك لأمر مرّة من سنوات عديدة.

     رد