Expertise

مشرف سابق
#1
'',

تحية طيبة وبعد

_____

الكثيرين هم من ينجذبون الي عالم الحماية رغبة في معرفة دهاليز هذا العالم المثير
شيئا فشيئا يبدئون في التعرف علي وسائل وطرق حماية انفسهم ويبدئون من مستوي متدني
ومع القليل من الجهد والمثابرة يترقون الي مستوي اعلي فاعلي
وكلما تقدموا وجدوا اشياء جديدة غامضة اكثر من ذي قبل
وطبعا الطموح منهم هو فقط من سيحاول كشف غموض تلك الاشياء
لاكتساب الخبرة والحصول علي معلومة صحيحة , سليمة , دقيقة
اهم المصاعب التي تواجه الذين يبدأون في الدخول الي عالم الحماية
هي المصطلحات التي تتعلق بالحماية ففي هذا الموضوع ساضع بعضا من المصطلحات المتداولة في هذا العالم .
_____

HIPS

- الهيبس مستصطلح متداول بكثرة لكن المعني غير معروف ياتري ما هو الهيبس
هو اختصار لفظي لجملة بالانجليزية اسمها :

host intrusion prevention system


وتعني النظام المضيف لمنع الاختراق , وبمعني اصح هو برنامج الحماية المضاف في الجهاز ومن قبل المستخدم
الذي يستضيف برنامج الحماية علي جهازه .

تاريخ الهيبس :

منذ عدة سنوات كانت السياسة المتبعة من قبل شركات برامج الحماية الاعتماد علي قاعدة البيانات الفيروسات التي تمتلكها الشركة وهي كمية الفايروسات التي اكتشفها مكافح الشركة , وكل شركة تفخر بعدد التواقيع الخاصة بالفايروسات فمثلا كقاعدة بيانات تحوي 8 مليون توقيع , وتعد شركة النورتن الامريكية صاحبة اكبر نصيب من حيث التواقيع اذ تمتلك قاعدة بيانات تحوي قرابة العشرين مليون توقيع , كان الاساس في الحماية هو التواقيع الخاصة بالفايروسات فقط لكن ادي ذلك
الي مشكلة كبيرة جدا , لماذا , الاجابة هي الي ان تكتشف لشركة الحماية الفايروسات الجديدة والبرمجيات الخبيثة وتقوم بعمل التحديث لمستخدميها سيكون قد اصاب المستخدم الضرر وتم التلاعب بملفات النظام وخصائصه واتصل بالانترنت وهذا
يعني ان المكافح سيحمي الاجهزة الغير مصابة فقط .
لذا كثرت الشكاوي الي شركات الحماية من المستخدمين بسبب اصابة اجهزتهم لذا تم تغيير منحني السياسات واتجه التفكير
الي تصميم حماية جديدة فكان الهيبس .

عمليا مافائدة الهيبس :

الهيبس اساسا نظام مخصص لمراقبة سلوك البرامج التي تعمل في بيئة نظام التشغيل فكامل المشكلة تكمن في ملفات النظام
بمعني ان اصاب النظام اي ملف خبيث يتم اندماجه مع ملفات النظام وعمليا هذا يعني ثقة المكافح بسلامة ملفات النظام
وهنا تكمن المشكلة لذا نظام الهيبس يقارن بين الملفات او البرامج التي تتعامل مع النظام حسب طريقتها فمثلا يوجد برنامج
يقوم بالتلاعب في ملفات الهوست , واخر يقوم بعمل بورت الي الانترنت او الاتصال بسيرفر وهنا يأتي دور الهيبس في التعرف علي نوعية هذه البرمجيات بعمل الجدار الناري للنظام وهو المسؤل عن اعطاء اوامر السماح او البلوك لبرمجية معينة حسب تصرفات البرنامج او السلوك المتبع منه , وهنا لن تفيد قاعدة البيانات بشيء .

ماذا سيقوم به نظام HIPS عند اكتشاف سلوك غريب من ملف :
كثير من برامج الحماية تقوم بامطار المستخدم بالرسائل المزعجة التي تخبره بالملف مع بعض التحليل لسلوك الملف
وتظهر له مجموعة من الخيارات منها البلوك او الاصلاح او الازالة .
والبعض الاخر يقوم بتحليل الملف في حالة الاتصال بالانترنت والتصرف بطريقة صامتة للغاية مع الملف مثل معامل
كاسبرسكاي , بتدفيندر , واحيانا توجد اكتشافات خاطئة مثل النورتن , النود ...

وبطبيعة الحال تقنية الهيبس تختلف من مكافح الي اخر فتحليل السلوك له قواعد معينة متبعة من قبل الشركات
وكل مكافح له اسلوب معين فمثلا الكمودو يرتبط الهيبس الخاص به مع الفحص السحابي لزيادة نسبة التحليل السلوكي للملف ومن ثم هذا يعني تقليل الرسائل التي تعطي للمستخدم وفي نفس الوقت ابعاد المستخدم قدر الامكان عن المشكلة
وترك حرية التصرف للمكافح للوصول الي حماية صامتة كما يفعل البتديفندر .

وفي النهاية خلاصة الهيبس هي تحليل سلوك الملفات الخبيثة واعطاء المستخدم خيار السماح او البلوك بالنسبة للملف .
ويختلف مفهوم السماح من HIPS الي اخر فهنالك انواع تعتمد علي اظهار رسائل مزعجة وتخير المستخدم بالسماح للملف او "السلوك" المحلل بالبلوك او السماح فهذا تعتمد علي المستخدم في كل شيء .
ويوجد اخر يقوم بتحليل صحيح وتنفيذ الحجب او السماح بصورة صحيحة
ويوجد ايضا من يقوم بعمل حجب لملف صحيح بدون اذن المستخدم كمثال في هذه الحالة IDM فبعض المكافحات
تقوم بحجبه علي اساس انه برمجية خبيثة وفي هذه اللحظة يضطر المستخدم الي اطلاق سراح التطبيق يدويا

وعموما تاتي ايضا جزئية حماية الشبكة وكل الملفات التي تتعامل مع النظام بصورة مباشرة فالهيبس موجه اساسا لحماية ملفات نظام التشغيل من العبث بها .
فمثلا هنالك سلوك لا ضرر منه مثلا الملف A يريد استخراج الملف B الي المسار C فهذا سلوك عادي لا خطورة منه علي النظام وهنا الوينرار كمثال هذه الحالة .
ايضا تتوافر خاصية القوائم البيضاء لاغلبية البرامج المكافحة بغرض اضافة اكبر عدد من الملفات التي تعتبر سليمة
كخاصية الحماية الشبكية التي تعتمد علي اساسها علي سلسة من المستخدمين كمثال شبكة KSN شبكة الكاسبر التي تعطيك نتائج من عدة مستخدمين فحصوا الملف عبر الشبكة ومدي صحة وسلامة الملف بالنسبة لهم وهذا موضوع اخر سنتطرق له


_____

بقي ان اقول لكم الي موضوع اخر
وسنتطرق الي شرح مجموعة اخري من المصطلحات
في نفس هذا الموضوع

ودي وتقدير اخوكم بغدآآآد



 

catsar-m16

عضو فعال
#2
بارك الله فيك اخي الكريم على هذا الطرح الجمييل .........
 

fathy said

عضو ماسـي
#3
بارك الله فيك وزادك من علمه
 

txoo2

الوسـام الذهبي
#4
في الجزئيه الاخيره بتاعه abc اعتقد انك تقصد لغات البرمجه
 

Expertise

مشرف سابق
#5
في الجزئيه الاخيره بتاعه abc اعتقد انك تقصد لغات البرمجه

الجزئية المقصودة هنا كمثال برنامج الوينرار ففي حال عملية استخراج ملف الي مسار معين يعتبر ذلك عند برنامج الحماية سلوك سليم ليس به اي ضرر علي النظام لكن الضرر ينتج بعد فك الملف وهنا هو الملف الناتج من الاستخراج ففي هذا اللحظة
يتم تحليل الملف لمعرفة درجة سلامة الملف من خطورته علي النظام ففي حالة الخطورة يتم الحذف او البلوك او اعطاء الخيار للمستخدم بالسماح او الحجز
 

Expertise

مشرف سابق
#6
نواصل ~

خاصية الساند بوكس ---- Sand box ---- او الصندوق الرملي

خاصية مهمة جدا تتوفر في كثير من برامج الحماية وكمثال برنامج الافاست , ولكن ماذا نعرف عن هذه الخاصية ؟

خاصية الصندوق الرملية هي خاصية تعل كواقع افتراضي او بمعني اصح هي بيئة افتراضية يخلقها برنامج الحماية عند تشغيل ملف معين ويتم حجزه داخلها والالية التي تتبعها هذه التقنية تتم بحجز مساحة معينة من الهارديسك واضافة طبقة جديدة للحماية
لتشغيل الملف بعيدا عن النظام , من الايجابيات لهذه الخاصية انها تغنيك عن الانظمة الوهمية في حالة تجربة العينات او الملفات
المشبوهة بواقع يماثل الواقع الحقيقي .
مفهوم الطبقة الشفافة التي يضعها برنامج الحماية :
ابسط مثال عملي لهذه الخاصية هي كوضع قطعة شفافة من القماش علي الطاولة من اجل عدم انسكاب الطعام علي الطاولة
والنتيجة هي بقاء الطاولة نظيفة مع اتساخ قطعة القماش نتيجة لانسكاب الطعام عليها .

الجانب السلبي لهذه التقنية هو الاستهلاك الغير عادي لموارد النظام باعتبار ان هذه الخاصية تستقطع جزء من موارد الجهاز

السبب في جعل هذا الواقع الافتراضي قريبا من الواقع الحقيقي علي الجهاز :
تستخدم تقنية الصندوق الرملي طرقا اشبه بمسارات النظام الفعلية فمثلا في حالة تشغيل ملف مهمته تدمير ملفات النظام
تستطيع الخاصية ايهام الملف المصاب بانه يعمل علي مسارات حقيقية وعلي نظام فعلي .

خلاصة الكلام كمستخدم عادي ماذا ساستفيد من هذا التقنية حال توافرها عند المكافح الذي اعمل به :
فلنفرض اني قمت بتزيل ملف من الانترنت والملف سينزل علي سطح المكتب فبدلا من تنصيب بمجرد تنزيل سافحصه عن طريق تقنية الصندوق الرملي او sand box والنتيجة ان اي خطر من المفترض ان يواجهني سيكون في واقع افتراضي .

 

Expertise

مشرف سابق
#7
المحرك

ما هو المحرك :
المحرك في عالم برمجيات الحماية هي نواة المكافح وهي القدرة علي اكتشاف الملفات المشبوهة فمثلا تصنيفيا

- المحركات التي تمتلك قدرة عالية علي كشف الملفات المشبوهة
البتدفيدر
الكاسبر
النود
الافيرا
-المحركات التي تمتلك القدرة علي تصنيف وتسمية الملفات المشبوهة بصورة صحيحة
النود
الكاسبر
- المحركات التي تمتاز بهيورستك جبار للغاية
الكاسبر
النود
البتدفندر
-المحركات التي تمتاز بالقدرة علي التنظيف
الكاسبر
البتدفندر
النود
دكتور ويب

وعموما تختلف المحركات من مكافح الي اخر حسب نوع المكافح وحسب قاعدة البيانات الخاصة بالشركة
وحسب التواقيع الخاصة بالفيروسات الموجود في قواعد البيانات .

 
LEBA

LEBA

عضوية الشرف
#8
بـــــارك الله فيك اخى الحبيب على الطرح القيــم .
 

Expertise

مشرف سابق
#9
بـــــارك الله فيك اخى الحبيب على الطرح القيــم .


يا هلا فيك استاذ علا ..

نورت الموضوع , هذي المشاركة الاولي لي في المنتدي , بس ما لقيت تفاعل من الاخوة حتي يتفهموا جانب الحماية
وكيف يعرفون ما هي الطرق التي تحميهم بها برامج الحماية الخاصة بهم ..

الله يجزيك كل الخير اخوي ما قصرت بمرورك ..
 
LEBA

LEBA

عضوية الشرف
#10


يا هلا فيك استاذ علاء ..

نورت الموضوع , هذي المشاركة الاولي لي في المنتدي , بس ما لقيت تفاعل من الاخوة حتي يتفهموا جانب الحماية
وكيف يعرفون ما هي الطرق التي تحميهم بها برامج الحماية الخاصة بهم ..

الله يجزيك كل الخير اخوي ما قصرت بمرورك ..
جانب هام جدا من المصطلحات ...... هيه اللى ممكن تبقى غريبه علينا جميعا
بس هتلقى التفاعل بمجرد المرور على التوبيك وقراءته جيدا
لاننا هنا جميعا بصـــــــدد التعلم من بعض
والتوبيك ذاخر بالمعلومات الهامه ف رايى المتواضع .
 

Expertise

مشرف سابق
#11
جانب هام جدا من المصطلحات ...... هيه اللى ممكن تبقى غريبه علينا جميعا
بس هتلقى التفاعل بمجرد المرور على التوبيك وقراءته جيدا
لاننا هنا جميعا بصـــــــدد التعلم من بعض
والتوبيك ذاخر بالمعلومات الهامه ف رايى المتواضع .


المصطلحات كثيرة اخوي منها السونار , الهيورستك السحابي , طبقات الحماية , قاعدة التواقيع ,التسميات ..

هذي كلها ممكن تنشرح اذا حبيت اخوي ..

 

tbz19782

عضو مميز
#12
الف شكر على الشرح الرائع وفقك الله
 

Expertise

مشرف سابق
#13
الف شكر على الشرح الرائع وفقك الله

حياك الله اخوي ..

بالرغم من انه الموضوع قديم بس لايعني بالعدم عدم الاستفادة منه ..

الله يجزيك كل الخير علي المرور ..​
 

the jagour

عضو محترف
#14
بارك الله فيك اخي الكريم
 

salam22

عضو فعال
#15
جزاك الله الجنة
معلومات مفيدة
 
stetofski

stetofski

مشرف قسم الحماية
#16
مشكور على الموضوع المفيذ بارك الله فيك

...
 

أعلى