Viruse dhe antiviruse | Metoda infektimi dhe skanimi.

Ne kete teme do te mundohemi te paraqesim te pathenat e viruseve dhe antiviruseve, nuk do merremi me tema tipike si “kush eshte antivirusi me i mire” pasi ky antivirus qe po kerkoni nuk egziston.
E perseris, nuk egziston!!
Ju do thoni pse nuk egziston, dhe mbase dikush eshte i bindur qe eshte i mbrojtur ne kompiuterin e tij edhe pse ka instaluar kaspersky internet security v2999 apo nuk i di versionet qe mund te nxjerrin shtepite e antiviruseve.
Ajo qe thashe me siper eshte e vertet dhe ne kete teme do e shohim se pse.
PS. Tema do shikohet nga 2 kendveshtrime.
1)Si nje virus maker, pra si nje programator  virusesh.
2)Si nje kompani qe prodhon antiviruse dhe i interesojn metodat e mbrojtjes.
Mire, po vazhdojm menjehere me temen.
Ka shume percaktime per viruset, po munohem te jap disa karakteristika dhe nje perkufizim sa me permbledhes.
Viruset (ku bejn pjese trojanet, malwaret, rootkitet, RAT, etj) jane programe te shkruajtura ne shumllojshmeri gjuhesh me te vetmin qellim:
1)Eliminim
2)Korruptim
3)Vjedhje
4)Kontroll
Te dhenash. Qofshin keto brenda nje kompiuteri, server, apo celulari!!
Nder llojet e tyre po permend disa te cilet mund ti quajm si me interesantet.
Po e fillojm me me te rrezikshmin (opinioni im ky)
1.Bootkite
Jane nje klas e evoluar e viruseve boot te cilet infektojn MBR-n e nje makine duke mos patur kontakt ose me sakt varesi nga vet sistemi operativ i nje kompiuteri.
Dhe bootkitet jane shume te rrezikshem sepse edhe mbas formatimit te nje makine ato perseri gjenden ne pc, dhe e vetmja zgjidhje mund te jete fleshimi i biosit apo zevendesimi i saj me nje bios te ri.
2.Viruset e encryptuara te cilat fshehin payloadin e tyre duke e encryptuar.
3.Virusat parazit, keto jane viruse qe kapen tek nje fail i sistemit dhe e infektojn ate, me vone kjo lloj teknike u asimilua dhe nga rootkitet qe jane derivojn nga UNIX\Linux root term, dhe jane dizenjuar per te dhene root akses.
4.Viruset polimorfik apo mutant te cilet derivojn nga ato te encryptuara vetem se ne ndryshim nga ato lloj virusesh algoritmi i encryptimin ndryshon, pra encryptohet me algoritme te ndryshme per tu bere i pakapshem nga antiviruset.
Grupet e viruseve jane te shumt, une u perqendrova tek keto pasi jane me te rrezikshmit sidomos kur cilesi te tyre bashkohen ne nje virus. Po shtoj ketu nje kod kurioz  te shkruajtur ne asm per tu studiuar.
http://albanianwizard.org/Postokodin/13
Po kalojm pak tek metodat e skanimit qe perdorin antiviruset.
Sepse kjo gjithmon ka qene “pyetje pergjigje” , avancimi i njeres pale detyronte avancimin e pales tjeter.
Teknologji Skanimi
1.Ajo e signature , pra e firmes se virusit duke krahasuar si hash-in e virusit ashtu edhe kodin e tij (normalisht aspak efektive duke ditur qe shumica e viruseve modifikojn kodin e programeve qe infektojn me kodin e tyre, dhe mbasi ka bere punen e tij pak eshte e rendesishme nese kapet apo jo, pra e rendesishme eshte qe te gjendet kodi i modifikuar)
2.X-Raying ky lloj skanimi qe nje revolucion i vertet kunder viruseve qe ishin te encryptuar sepse zakonisht algoritmi qe perdorej ishte i thjesht keshtu qe ishte edhe i thjesht per tu krakuar, pra keto antiviruse bejn nje sulm te tipit brute force per te krakuar algoritmin dhe per te njohur virusin.
Si teknollogji derivon nga Cyber Crime, sepse perdorej per te decryptuar hardisqet e hakerave kur kapeshin me “presh ne dore”. Keto kane qene hapat e pare kunder kunder  Steanografis [nga greqishtja, mbulim gjurmesh, fshehje te dhenash]
3.Stimulimi
Kjo teknik eshte keshtu.
Antivirusi krijon nje emulator i cili krijohet drejtpersedrejti nga CPU dhe virusi hidhet ne nje ambjent ideal i cili normalisht pa e ditur qe eshte gjithçka nje “loje” ben ate per te cilen eshte programuar duke u identifikuar edhe veprimtaria e tij si veprimtari virusi.
4.Heuristik mos me thoni qe nuk e keni degjuar, eshte shume e famshme dhe shenoi nje revolucion.
Kjo si pasoje e revolucionit nga ana tjeter.
Siç e thame me siper viruset filluan ta fshihnin kodin e tyre ne krye te fileve qe infektonin por kur u mor vesh qe kjo spo bente me pune , atehere virus makerat filluan me nje teknike te re te quajtur “entry point obfuscations” pra ne fjale te tjera maskonin vendin se ku fusnin kodin dhe keshtu lindi nevoja e nje metodologjie te re skanimi e cila u quajt Heuristik dhe per ta shpjeguar nuk eshte aspak e thjesht, po po japim nje analiz te shkurter te algoritmit heuristik ne te cilin bazohet dhe kjo lloj metodologjie skanimi.
Nje definicion i shkurter i asaj qe ben ky algoritem eshte se gjen nje zgjidhje fleksibel , me afer zgjidhjes reale duke analizuar nje sere faktoresh qe ndryshojn nga menyra se si eshte i implementuar ky algoritem (ndryshon nga aplikacioni ne aplikacion)..
Per ta sqaruar akoma me mire, ne rastin kur kemi te bejm me viruse ne te cilet eshte implementua teknika e entry point obfuscation atehere eshte e pamundur per nje skaner qe te gjej se cili fail eshte infektuar. Psh kemi nje kartel me 40 faile ku 1 eshte i infektuar..
Algoritmi skanon kartelen dhe ne baze te disa karakteristikave (failet “stresohen” ne menyre qe te japin shenja “jete” dhe nese eshte virus i pergjigjet ndryshe thirrjeve nga sistemi) japin nje rezultat te perafert se kush fail mund te jete i infektuar. :)

Realiteti ne fakt eshte pak me i hidhur pasi krijohen viruse mutant me kualitete nga te gjitha keto kategori qe permenda dhe ajo qe eshte me e keqja eshte se ato nuk i adresohen me si dikur sistemit apo “targetit” tipik te tyre por i adresohen edhe antiviruseve, dhe firewalleve.
Pra per ti çaktivizuar ato, dhe per ti nxjerrre jasht perdorimit.
Jo vetem kaq, por mjafton nje kerkim i vogel tek packetstormsecurity dhe gjene viruse te programuar posaçerisht per tu mos kapur nga antiviruse te ndryshme te tipit, kaspersky, norton, panda etj.
Nje rrezik tjeter eshte ai i viruseve 0-day do ti quaj qe jane te koduar aq mire sa antiviruset nuk mund ti kapin na baze te karakteristikave te tyre. Kjo edhe per shkak se nuk gjenden ne databazen e viruseve.
Sulmet me normale ne kohet tona jane te tipit:
Virusi e merr nje makine dhe e kthen ate ne nje Zombie, duke e bere pjese te nje Bootneti ose te nje sulmi Distributed Denial Of Service i quajtur shkurt DDOS.
Nga ana tjeter edhe antiviruset po punojn per te rregulluar “difektet” e tyre, por e verteta eshte se viruset gjtihmon do te jene nje hap perpara. (per fat te keq eshte e vertet).
Atehere cila eshte zgjidhja?
Ne realitet nje zgjidhje nuk ka, por une preferoj nje tipologji mbrojtjeje te re e cila quhet HIPS (Host Intrusion Prevention System) dhe eshte e implementuar shume mire tek Comodo Internet Security.
Ne fjale te tjera eshte nje monitorim live i sistemit dhe proçeseve ne te, dhe bllokon ç’do proçes te panjohur perpara se ai te veproj, duke shmangur keshtu shume demtime ne rast virusesh.
Si funksionon?
Siç e tham kjo teknollogji monitoron komplet sistemin dhe per ç’do gje qe “merr fryme” ne kompiuter te sinjalizon duke e bllokuar ate qe po “merr fryme” perpara se te “marri fryme” xD dhe dhe te jep mundesine ta bllokosh ose ta lejosh duke te dhene normalisht dhe sugjerime shume te mira.
Une perdor linux dhe nuk para vuaj nga keto probleme, pasi ne linux me shume te zhvilluar jane sulmet me remote exploit, remote code execution, buffer overflow, dhe rootkite.
Por gjithsesi nuk eshte absolutisht ne nivelin e sulmeve qe i behen sistemeve si windows.
Normalisht kam harruar shume gjera pa permendur, mos hezitoni ti kujtoni dhe ti shtoni duke ju pergjigjur ketij postimi.

6 thoughts on “Viruse dhe antiviruse | Metoda infektimi dhe skanimi.

  1. Eh sa me pelqejn viruset polimorfike lol, teme qe se kam lexuar ne asnje blog Shqip, dhe ne asnje blog tjeter gjuhe. Disa lloje te virusit as qe i kam dite si ky polimorfik, parazit etj as teknologjin e skenimit, eh sa injorant :S.
    Kohen qe kaloj ne kete blog shume mesoj, vazhdoni keshtu.

  2. Pershendetje Drilon,
    Puna eshte qe gjithsecili nga ne (njerezit) eshte injorant diku, edhe une ne informatik dhe IT e konsideroj veten nje te tille.
    Nuk dua te bej modestin por eshte realitet..
    Psh vetem te merrnim dhe te analizonim nje MBR te infektuar nga nje rootkit dhe atehere do te shikoje se ç’fare pune ben vertet nje virus.
    Pra dua te them qe tema ben vetem nje trajtim te gjeresishem dhe jo te thelle te titullit qe mban.
    Per ç’do kategori nga keto metodologji skanimi apo metodat e infektimit mund te shkruhet pa frik nje liber, si linden, kush ishte i pari qe i implementoi, pse moren ate emer,,… Psh skanimi heuristik u quajt ashtu sepse algoritmi qe perdor eshte pikerisht algoritmi heuristik.. etj etj.

  3. Comodo firewall e kam perdorur dhe une por me thene te drejten une nuk mund tja rekomandoj nje useri te thjeshte. Qe te perdoresh sisteme te tilla duhet te kesh nje ide te mir per sherbimet qe ke ne sistem ato qe do te shfrytezosh dhe ato qe jan te huaja apo si rrjedhim viruset.
    Mendoj se eshte nje sistem shum i mir…
    Ah sa per temen fantastike si gjithmone, shpresoj edhe une te bej ndonje te re shum shpejt….

  4. Yep, persa i perket comodos ashtu eshte.. Duhet ti njohesh pak a shume sherbimet qe perdor ne pc, por ne fund te fundit firewall qe te mbron nga tools si ethercape pra e kam fjalen per arp poisoning eshte vetem ai dhe ku ta di mbase ndonje tool tjeter, por tani qe kane vendosur dhe antivirusin eshte shume i kompletuar si program :)
    LoL 😀 une e perdorja kur shkonte ndonje aplikacion i windows ne krash per ta ndaluar perfundimisht hhaaha , shkoja tek proçeset qe ishin ne egzekutim dhe e “vrisja” nga aty 😀
    Ah windows windows..

  5. Ju lutem ku mund ta gjej nje informacion qe kishte dhene njeri”Ceshte sistemi binar dhe biti….?” se dua te shkarkoj ate informacion ,,ishin disa leksione nga nje profesor i universitetit te prishtines.rreth njohurise komjuterike..!
    ju lutem te me ndihmoni
    faleminderit..!

Leave a Reply

Your email address will not be published. Required fields are marked *