ال Packers هي ببساطة عبارة عن برامج تقوم بعمليّة ضغط لملفات تشغليّة. في كثير من الأحيان يتمّ استخدامها من اجل حماية المحتويات الضّارة (فيروسات، تروجان..الخ). الملف النّاتج يحتوي على كود فك الضّغط داخله والذي يتمّ بشكل فوري (أو in-place). غالبيّة البرمجيّات الضّارة هذه الأيام تأتي مضغوطة، وهو ما يساعدها على تجاوز الغالبيّة السّاحقة من برامج مكافحة الفيروسات، حتى الشّهيرة منها. الأخ العزيز احمد، تناول في تدوينته بعض هذه البرمجيّات. هنا ان شاء الله سنغطي كيف تتم هذه العملية، والتي تثبت عجز وفشل شركات مكافحة الفيروسات في التّصدي لها.
عندي ملف ضار، هذا الملف يقوم عند تشغيله بالاتصال بالخادم الرّئيسي، ويزوّده بمعلومات تفصيليّه عن الحاسوب، كاسمه واسم مديره ونظام التشغيل ..الخ.
لنلق نظرة على قدرة برامج مكافحة الفيروس على كشف الملف. استخدمت في العمليّة Virustotal كما يظهر في الشكل -1-.
كما نشاهد في الشكل اعلاه برامج مكافحة الفيروسات تمكنت بنسبة كبيرة من اكتشاف ان الملف ضار.
الان نقوم بعمل ضغط للملف. كما هو ظاهر في الشّكل -2-
وبعد ذلك نقوم بفحص الملف مرّة اخرى باستخدام Virustotal، كما في الشكل -3-
كما نشاهد في الشكل -3-، نسبة اكتشاف التروجان بعد ضغطه انخفضت إلى عشرة بالمائة فقط. ونرى أن برامج مكافحة الفيروس الشّهيرة ككسابيرسكي والنود وغيرها لم تتمكن من اكتشافه.
هذا يثبت أن الاعتماد على برامج مكافحة الفيروس فقط، لا يكفي في التّصدي لهذه البرمجيّات. التحديث المستمر لكافة البرامج المثبّتة على الحاسوب، والتي برنامج مثل Secunia يساعد فيها، كما ذكرنا في تدوينة سابقة. بالاضافة الى الوعي الامني، وعدم الضغط على كل وصلة يراها المستخدم مسليّة أو مثيرة، كلها عبارة عن وسائل تساعد في التقليل من آثار هذه البرمجيّات.
المصــدر
Packers as a Way to Avoid AV Detection