Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
‫ارشد‬ ‫کارشناسی‬ ‫مقطع‬ ‫دفاع‬ ‫جلسه‬ ‫ارائه‬
‫محمد‬‫احمدیان‬ ‫مهدی‬
‫صنعتی‬ ‫دانشگاه‬ ‫اطالعات‬ ‫فناوری‬ ‫مهندسی‬ ‫دانشک...
«‫توجه‬»
‫ارائه‬ ‫این‬ ‫محتوای‬ ‫از‬ ‫استفاده‬(‫پروژه‬)‫با‬ ‫می‬ ‫مجاز‬ ‫ذیل‬ ‫مقاله‬ ‫به‬ ‫ارجاع‬ ‫شرط‬ ‫به‬‫شد‬:
Ahmadia...
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫تحلیل،تشخیص‬‫مرتبط‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬
‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
6
4
3
2
1...
Ransomware‫از‬‫دو‬ ‫ترکیب‬‫کلمه‬Ransom‫به‬‫بها‬‫خون‬ ‫معنای‬‫و‬Malware‫به‬‫معنای‬‫بد‬‫افزار‬‫شده‬‫تشکیل‬‫است‬]1[.
‫در‬‫این...
‫باجگیرافزار‬LZR]2[:
‫کنترل‬‫در‬ ‫سیستمی‬ ‫ناشناخته‬ ‫فراخوانی‬ ‫یک‬ ‫وسیله‬ ‫به‬ ‫را‬ ‫سخت‬ ‫دیسک‬ ‫به‬ ‫دسترسی‬MS-DOS‫نس...
Anandrao‫در‬‫سال‬2011‫می‬‫نویسد‬:
«‫رمزکار‬ ‫واسطه‬ ‫به‬ ‫وسیع‬ ‫حد‬ ‫در‬ ‫ایه‬ ‫ی‬ ‫اخا‬ ‫حمله‬ ‫هیچ‬ ‫تاکنون‬‫بدافزارها‬...
‫سایبری‬ ‫امنیت‬ ‫خبری‬ ‫های‬ ‫بنگاه‬ ‫سال‬ ‫دو‬ ‫این‬ ‫داغ‬ ‫موضوعات‬ ‫از‬ ‫یکی‬
‫ی‬‫زمینه‬ ‫در‬ ‫ژوهشی‬ ‫کار‬ ‫کمترین‬ ‫...
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫تحلیل‬،‫تشخیص‬‫مرت‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬‫بط‬
6
4
3
2
1
‫پیشنهادی‬ ‫بندی‬ ‫دسته‬
‫گی‬ ‫ن...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫تحلیل‬:‫استخراج‬ ‫ف...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫روش‬‫های‬‫تشخیص‬
(‫...
‫مقاله‬ ‫عنوان‬]1[
“Cryptovirology: Extortion-based security threats and countermeasures”
‫مقاله‬ ‫این‬ ‫کارهای‬
‫رمزکار‬ ...
‫مقاله‬ ‫عنوان‬]5[
“ Cryptoviral extortion using Microsoft's Crypto API”
‫مقاله‬ ‫این‬ ‫کارهای‬
‫کتابخانه‬ ‫معرفی‬Microsof...
‫مقاله‬ ‫عنوان‬]4[
“ Comparative analysis of various ransomware virii”
‫مقاله‬ ‫این‬ ‫کارهای‬
‫باجگیرافزارها‬ ‫معرفی‬
‫باج...
‫مقاله‬ ‫عنوان‬]2[
“ Cryptovirology: Virus Approach”
‫مقاله‬ ‫این‬ ‫کارهای‬
‫خالصه‬‫کتاب‬ ‫در‬ ‫شده‬ ‫مطرح‬ ‫موضوعات‬
Youn...
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫مرتبط‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬
6
4
3
2
1
‫بندی‬ ‫دسته‬‫پیشنهادی‬
‫گی‬ ‫نتیجه...
‫برخی‬‫رمزنمودن‬ ‫منظور‬ ‫به‬ ‫معماشناسی‬ ‫های‬ ‫روش‬ ‫از‬ ‫هرگز‬ ‫خود‬ ‫عملیاتی‬ ‫فرایند‬ ‫در‬ ‫باجگیرافزارها‬ ‫از‬‫فایل‬...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫اینگونه‬‫از‬‫باجگیر...
‫خانواده‬ ،‫کالسیک‬ ‫رمز‬ ‫های‬ ‫سیستم‬ ‫نظیر‬ ‫خصوصی‬ ‫کلید‬ ‫رمز‬ ‫سیستمهای‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫باجگیرافزارها‬ ‫از‬ ‫ن...
‫کلید‬ ‫رمز‬ ‫سیستمهای‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫باجگیرافزارها‬ ‫از‬ ‫نوع‬ ‫این‬‫اقدام‬ ‫عمومی‬‫به‬‫رمزکردن‬‫می‬ ‫قربانی‬ ‫های...
‫قوت‬ ‫نقطه‬:
‫از‬‫قوت‬ ‫نقاط‬PuCR‫ها‬‫کلیتد‬ ‫کته‬ ‫استت‬ ‫این‬
،‫استت‬ ‫بتاجگیرافزار‬ ‫طراح‬ ‫اختیار‬ ‫در‬ ‫خصوصی‬
‫رو‬ ...
‫روش‬ ‫دو‬ ‫ترکیتب‬ ‫از‬ ‫ضعفشتان‬ ‫نقاط‬ ‫کاه‬ ‫و‬ ‫قوت‬ ‫نقاط‬ ‫تقویت‬ ‫منظور‬ ‫به‬ ‫باجگیرافزارها‬ ‫از‬ ‫دسته‬ ‫این‬PrC...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫مرحله‬3(‫عمومی‬ ‫کل...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫مرحله‬5(‫پیام‬ ‫نما...
3/40
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫مناسب‬ ‫بندی‬ ...
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫مرتب‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫ط‬
‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
6
4
3
...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫اند‬ ‫شده‬ ‫منتشر‬ ...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
TOX Ransomware as a ...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫بقاپذیر‬ ‫باجگیرافز...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
3-‫بازیایی‬‫فرد‬ ‫به...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫مدل‬‫در‬ ‫خصیصه‬ ‫ت...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫کننده‬‫فراهم‬ ‫طراح...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫پردازنده‬ ‫پیش‬ ‫طر...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫مجموعه‬ ‫استخراج‬ ‫...
Volume Shadow Copy Services
"%WinDir%SYsWOW64cmd.exe" /C
"%WinDir%Sysnativevssadmin.exe" Delete Shadows /All /Quiet
‫حذف‬ ...
suffix = ["anj", "ebf", "arm", "pra", "aym", "unj","ulj", "uag",
"esp", "kot", "onv", "edc"]
def generate_daily_domain():
...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫تشخیص‬ ‫موتور‬ ‫های...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫شامل‬ ‫بیزی‬ ‫شبکه‬...
VSS
VSS
VSS
HSR
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫گیر...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫ها‬ ‫خصیصه‬ ‫متغیره...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫حسن‬:‫شبکه‬‫شده‬ ‫ا...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫بیز‬ ‫شبکه‬ ‫سازی‬ ...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫ها‬ ‫خصیصه‬ ‫متغیره...
VSS
VSS
VSS
HSR
File_key
Help_File_key
Extention_list
Regedit_key Dir_key
VSS_Ditection
Regedit_Access
Dir_Access
Sus_Acce...
‫مدل‬‫شبکه‬ ‫سازی‬‫بیزی‬‫نهایی‬
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی...
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫مر‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫تبط‬
6
4
3
2
1
‫بندی‬ ‫دسته‬‫پیشنهادی‬
‫گی‬ ‫نتی...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫ثبت‬‫شبکه‬ ‫تبادالت...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫سیستمی‬ ‫نویسی‬ ‫بر...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫پیشنهادی‬ ‫رویکرد‬ ...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/40
 Ahmadian.blo...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/41
 Ahmadian.blo...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/42
 Ahmadian.blo...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/43
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/44
‫ارائه‬ ‫مطالب‬ ‫فهرست‬
‫مقدمه‬
‫مرت‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫بط‬
6
4
3
2
1
‫بندی‬ ‫دسته‬‫پیشنهادی‬
‫گی‬ ‫نتی...
2entFOX
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫ارائه‬‫رسمی...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫عمومی‬ ‫نسخه‬ ‫در‬ ...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫شکل‬7-2:‫شده‬‫تکمیل...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫شکل‬7-2:‫شده‬‫تکمیل...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫آوری‬ ‫جمع‬1359‫نظی...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
" Connection-Monitor...
‫محمد‬‫مهدی‬‫احمدیان‬
‫شهریور‬94
‫شما‬ ‫توجه‬ ‫حسن‬ ‫از‬ ‫باتشکر‬...
‫بدافز‬ ‫با‬ ‫مقابله‬ ‫های‬ ‫نیازمندی‬ ‫تمامی‬ ‫آینده...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫حرف‬F‫می‬‫کننده‬‫تد...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/24
‫دهنده‬‫تشخیص‬...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
47/24
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫ای‬‫یچیده‬ ‫های‬‫مک...
‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬
‫بعد‬‫باجگیرافزارهتا...
چارچوب تشخیص باجگیرها 2entFOX: A framework for high survivable ransomwares detection
چارچوب تشخیص باجگیرها 2entFOX: A framework for high survivable ransomwares detection
Prochain SlideShare
Chargement dans…5
×

چارچوب تشخیص باجگیرها 2entFOX: A framework for high survivable ransomwares detection

293 vues

Publié le

Ransomwares have become a growing threat since 2012, and the situation continues to worsen until now. In this paper, a new framework called 2entFOX is proposed in order to detect high survivable ransomwares (HSR). Because of little research in ransomware detection, this framework can be considered as one of the first frameworks in this field. We analyze Windows ransomwares’ behaviour and we tried to find appropriate features that are particular useful in detecting this type of malwares with high detection accuracy and low false positive rate. The outcome of this part of the work, was extraction of 20 features which due to two highly efficient features in this set that according to our assessments are identified and have been used for the first time in this field we could achieve an appropriate set for HSRs detection. In final stage, after proposing architecture based on Bayesian decision network, the final evaluation is done on some known ransomware samples and unknown ones based on six different scenarios. The result of this evaluations shows the high accuracy of 2entFox in detection of HSRs.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

چارچوب تشخیص باجگیرها 2entFOX: A framework for high survivable ransomwares detection

  1. 1. ‫ارشد‬ ‫کارشناسی‬ ‫مقطع‬ ‫دفاع‬ ‫جلسه‬ ‫ارائه‬ ‫محمد‬‫احمدیان‬ ‫مهدی‬ ‫صنعتی‬ ‫دانشگاه‬ ‫اطالعات‬ ‫فناوری‬ ‫مهندسی‬ ‫دانشکده‬‫امیرکبیر‬ ‫شهریور‬1394  Ahmadian.blog.ir  www.mmAhmadian.ir
  2. 2. «‫توجه‬» ‫ارائه‬ ‫این‬ ‫محتوای‬ ‫از‬ ‫استفاده‬(‫پروژه‬)‫با‬ ‫می‬ ‫مجاز‬ ‫ذیل‬ ‫مقاله‬ ‫به‬ ‫ارجاع‬ ‫شرط‬ ‫به‬‫شد‬: Ahmadian M M and Shahriari H R, “2entFOX: A framework for high survivable ransomwares detection”. Proceedings of 13th International Iranian Society of Cryptology Conference on Information Security and Cryptology (ISCISC), IEEE, Iran, Tehran, (2016) September 7-8 DOI: 10.1109/ISCISC.2016.7736455.
  3. 3. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫تحلیل،تشخیص‬‫مرتبط‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX) 6 4 3 2 1 ‫بندی‬ ‫دسته‬‫پیشنهادی‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 5‫ارزیابی‬ ‫و‬ ‫سازی‬ ‫پیاده‬
  4. 4. Ransomware‫از‬‫دو‬ ‫ترکیب‬‫کلمه‬Ransom‫به‬‫بها‬‫خون‬ ‫معنای‬‫و‬Malware‫به‬‫معنای‬‫بد‬‫افزار‬‫شده‬‫تشکیل‬‫است‬]1[. ‫در‬‫این‬‫از‬ ‫ارائه‬‫معادل‬ ‫واژه‬«‫باجگیرافزار‬»‫استفاده‬ ‫آن‬ ‫برای‬‫کنیم‬ ‫می‬. ‫به‬‫عام‬ ‫طور‬‫باجگیرافزارها‬‫بدافزارها‬ ‫از‬ ‫ای‬ ‫گونه‬‫که‬ ‫باشند‬ ‫می‬‫به‬ ‫دسترسی‬ ‫ای‬‫رایانه‬ ‫سیستم‬ ‫یک‬ ‫سازی‬‫آلوده‬ ‫از‬ ‫بعد‬‫یا‬ ‫و‬ ‫سیستم‬ ‫طراح‬ ‫سپس‬ ، ‫سازند‬‫می‬ ‫محدود‬ ‫را‬ ‫آن‬ ‫منابع‬‫باجگیرافزار‬‫در‬‫از‬ ‫باج‬ ‫دریافت‬ ‫ازای‬،‫قربانی‬‫م‬ ‫برطرف‬ ‫را‬ ‫شده‬ ‫ایجاد‬ ‫محدودیت‬‫کند‬‫ی‬. 47/1 ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ی‬ ‫اخا‬ ‫یام‬ ‫نمای‬ ‫کردن‬ ‫محدود‬ ‫منابع‬ ‫به‬ ‫دسترسی‬ ‫هدف‬ ‫جستجوی‬ ‫عملیاتی‬ ‫فرایند‬‫عمومی‬‫باجگیرافزارها‬]1[  Ahmadian.blog.ir  www.mmAhmadian.ir
  5. 5. ‫باجگیرافزار‬LZR]2[: ‫کنترل‬‫در‬ ‫سیستمی‬ ‫ناشناخته‬ ‫فراخوانی‬ ‫یک‬ ‫وسیله‬ ‫به‬ ‫را‬ ‫سخت‬ ‫دیسک‬ ‫به‬ ‫دسترسی‬MS-DOS‫نسخه‬5‫و‬6‫بدستت‬ ‫آورد‬ ‫می‬. ‫متقارن‬ ‫کلید‬ ‫با‬ ‫رمزنگاری‬ ‫به‬ ‫شروع‬ ‫دیسک‬ ‫سیلندر‬ ‫اولین‬ ‫تا‬ ‫سیلندر‬ ‫آخرین‬ ‫از‬ ‫باجگیرافزار‬ ‫این‬‫کردد‬ ‫می‬. 47/2 ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫باجگیرافزار‬AIDS]2.4[: ‫در‬‫سال‬1989 ‫میزان‬‫ی‬ ‫اخا‬:189‫تا‬378$ ‫باجگیرافزار‬KOH]2[: ‫رمزنگاری‬‫رمز‬ ‫سیستم‬ ‫با‬ ‫زمینه‬ ‫س‬ ‫در‬ ‫ها‬ ‫فایل‬IDEA  Ahmadian.blog.ir  www.mmAhmadian.ir
  6. 6. Anandrao‫در‬‫سال‬2011‫می‬‫نویسد‬: «‫رمزکار‬ ‫واسطه‬ ‫به‬ ‫وسیع‬ ‫حد‬ ‫در‬ ‫ایه‬ ‫ی‬ ‫اخا‬ ‫حمله‬ ‫هیچ‬ ‫تاکنون‬‫بدافزارها‬‫است‬ ‫نداده‬ ‫رخ‬»]3[ Gazet‫در‬‫سال‬2010‫نویسد‬ ‫می‬: «‫هیچ‬ ‫کنون‬ ‫تا‬‫باجگیرافزاری‬‫که‬ ‫است‬ ‫نبوده‬ ‫یچیده‬ ‫آنقدر‬‫بتوان‬‫یاد‬ ‫آن‬ ‫از‬ ‫کمال‬ ‫و‬ ‫تمام‬ ‫ی‬ ‫اخا‬ ‫یک‬ ‫عنوان‬ ‫به‬‫کر‬‫د‬]1[.» ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫بازه‬ ‫در‬ ‫باجگیرافزارها‬ ‫جدید‬ ‫های‬ ‫نمونه‬2014-2010]5[ ‫ه‬‫نمونه‬‫تعداد‬‫ا‬ ‫سال‬ ‫تهدیدات‬ ‫بزرگترین‬2013‫گزارش‬ ‫به‬ Malwarebytes ‫بازه‬ ‫در‬ ‫باجگیرافزارها‬ ‫جدید‬ ‫های‬ ‫نمونه‬2015-2010 47/3  Ahmadian.blog.ir  www.mmAhmadian.ir
  7. 7. ‫سایبری‬ ‫امنیت‬ ‫خبری‬ ‫های‬ ‫بنگاه‬ ‫سال‬ ‫دو‬ ‫این‬ ‫داغ‬ ‫موضوعات‬ ‫از‬ ‫یکی‬ ‫ی‬‫زمینه‬ ‫در‬ ‫ژوهشی‬ ‫کار‬ ‫کمترین‬ ‫تاکنون‬ ‫متأسفانه‬‫باجگیرافزارها‬‫ایتن‬ ‫استت‬ ‫اهمیت‬ ‫حائز‬ ‫بسیار‬ ‫آنچه‬ ‫و‬ ‫است‬ ‫شده‬‫انجام‬‫کته‬ ‫استت‬ ‫هیچ‬ ‫تاکنون‬‫اختصاصی‬ ‫چارچوب‬‫برای‬‫باجگیرافزارها‬ ‫تشخیص‬‫است‬ ‫نشده‬ ‫مطرح‬ ‫علمی‬ ‫محافل‬ ‫در‬. ‫کنفرانس‬ ‫در‬ ‫شده‬ ‫مطرح‬ ‫موضوعات‬ ‫از‬ ‫یکی‬BlackHat 2015 ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ایران‬ ‫در‬ ‫حتی‬ ‫کردن‬ ‫یدا‬ ‫اهمیت‬ ‫کتاربران‬ ‫شتدن‬ ‫آلوده‬ ‫از‬ ‫متعدد‬ ‫گزارشات‬ ‫انتشار‬ ‫ایران‬ ‫در‬ ‫کننتتده‬ ‫تولیتتد‬ ‫هتتای‬ ‫شتترکت‬ ‫برختتی‬ ‫اقتتدام‬ ‫در‬ ‫محصتول‬ ‫ارائته‬ ‫برای‬ ‫ضدبدافزاری‬ ‫محصوالت‬ ‫باجگیرافزارها‬ ‫تشخیص‬ ‫زمینه‬ ‫کنفترانس‬ ‫دوازدهمین‬ ‫مسابقه‬ ‫موضوع‬ ‫اختصاص‬ ‫د‬ ‫کلیتد‬ ‫تحلیتل‬ ‫بته‬ ‫رمتز‬ ‫انجمتن‬ ‫المللی‬ ‫بین‬‫ر‬ ‫باجگیرافزارها‬ 47/4  Ahmadian.blog.ir  www.mmAhmadian.ir
  8. 8. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫تحلیل‬،‫تشخیص‬‫مرت‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬‫بط‬ 6 4 3 2 1 ‫پیشنهادی‬ ‫بندی‬ ‫دسته‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 5‫ارزیابی‬ ‫و‬ ‫سازی‬ ‫پیاده‬ ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
  9. 9. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫تحلیل‬:‫استخراج‬ ‫فرایند‬‫یک‬ ‫ماهیت‬‫است‬ ‫افزار‬‫نرم‬(‫یا‬ ‫بودن‬ ‫بدخواه‬ ‫به‬ ‫توجه‬ ‫بدون‬‫نبودن‬)]6[. ‫روش‬‫تحلیل‬ ‫های‬‫بدافزاره‬‫ا‬ ‫پویا‬ ‫تحلیل‬ 2 1‫ایستا‬ ‫تحلیل‬ 1‫ابزارها‬ ‫با‬ ‫بررسی‬ ‫و‬ ‫چکیده‬ ‫تولید‬ 1 2‫ای‬ ‫رشته‬ ‫های‬ ‫داده‬ ‫استخراج‬ 3‫بندی‬ ‫بسته‬ ‫بدافزارهای‬ ‫تشخیص‬‫ش‬ ‫مبهم‬ ‫و‬‫ده‬ 4‫بدافزا‬ ‫فایل‬ ‫قالب‬ ‫در‬ ‫موجود‬ ‫های‬ ‫داده‬ ‫استخراج‬‫ر‬ 5 6‫اسمبلی‬ ‫کد‬ ‫معکوس‬ ‫مهندسی‬ 1‫بدافزار‬ ‫اجرای‬ ‫های‬ ‫محیط‬ 1 2‫ها‬ ‫پردازه‬ ‫بر‬ ‫نظارت‬ 3‫رجیستری‬ ‫بر‬ ‫نظارت‬ 4‫زدایی‬ ‫اشکال‬ ‫با‬ ‫تحلیل‬ 5‫تو‬ ‫فراخوان‬ ‫کردن‬ ‫مانیتور‬‫ابع‬ 6‫تحلیل‬‫توابع‬ ‫پارامترهای‬ 7‫کردن‬ ‫دنبال‬‫جریان‬‫اطالعات‬ ‫بخش‬ ‫در‬ ‫شده‬ ‫فراخوانی‬ ‫دستورات‬ ‫تحلیل‬‫کد‬ 47/5  Ahmadian.blog.ir  www.mmAhmadian.ir
  10. 10. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫روش‬‫های‬‫تشخیص‬ (‫تشخیص‬ ‫نوع‬ ‫نگاه‬ ‫از‬) ‫بر‬ ‫مبتنی‬ ‫تشخیص‬‫خصیصه‬ 3 1‫سوءاست‬ ‫تشخیص‬‫فاده‬ ‫تشخیص‬:‫است‬ ‫برنامه‬ ‫یک‬ ‫بودن‬ ‫خیم‬ ‫خوش‬ ‫یا‬ ‫بدخواه‬ ‫تعیین‬ ‫فرایند‬]7[. ‫تابعی‬ ‫بدافزار‬ ‫دهنده‬‫تشخیص‬‫آن‬ ‫دامنه‬ ‫که‬ ‫است‬‫ای‬ ‫مجموعه‬‫اجرایی‬ ‫های‬‫برنامه‬ ‫از‬P‫است‬‫بدخواه‬ ‫عضو‬ ‫دو‬ ‫شامل‬ ‫ای‬‫مجموعه‬ ‫آن‬ ‫برد‬ ‫و‬ ‫و‬‫خیم‬ ‫خوش‬]7[. 2‫ناهنجاری‬ ‫تشخیص‬ ‫دهنده‬‫تشخیص‬ ‫تابع‬‫بدافزار‬]7[ 47/6  Ahmadian.blog.ir  www.mmAhmadian.ir
  11. 11. ‫مقاله‬ ‫عنوان‬]1[ “Cryptovirology: Extortion-based security threats and countermeasures” ‫مقاله‬ ‫این‬ ‫کارهای‬ ‫رمزکار‬ ‫معرفی‬-‫بار‬ ‫اولین‬ ‫برای‬ ‫شناسی‬ ‫بدافزار‬ ‫رمزکار‬ ‫حمالت‬ ‫معرفی‬-‫بدافزارها‬ ‫ایه‬ ‫ی‬ ‫اخا‬ ‫حمله‬(Base Extortion Attack) ‫اطالعات‬ ‫سرقت‬ ‫حمله‬(Information Stealing Attack) ‫ی‬ ‫اخا‬ ‫حمله‬‫اطالعات‬(Information Extortion Attack) ‫کلید‬ ‫تقسیم‬ ‫همراه‬ ‫به‬ ‫ی‬ ‫اخا‬ ‫حمله‬(Information Extortion Attack with the Secret Sharing) ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫شده‬ ‫مطرح‬ ‫ای‬ ‫مقابله‬ ‫راهکارهای‬: ‫عامل‬ ‫سیستم‬ ‫معماشناسی‬ ‫ابزارهای‬ ‫به‬ ‫دسترسی‬ ‫کنترل‬ ‫کلیدها‬ ‫سنجی‬ ‫اعتبار‬ 47/7  Ahmadian.blog.ir  www.mmAhmadian.ir
  12. 12. ‫مقاله‬ ‫عنوان‬]5[ “ Cryptoviral extortion using Microsoft's Crypto API” ‫مقاله‬ ‫این‬ ‫کارهای‬ ‫کتابخانه‬ ‫معرفی‬Microsoft’s Cryptographic API‫سرویس‬ ‫و‬Cryptographic Service Provider ‫رمزکار‬ ‫نمونه‬ ‫یک‬ ‫سازی‬ ‫یاده‬-‫ایه‬ ‫بر‬ ‫بدافزار‬API‫عنوان‬ ‫به‬ ‫ویندوز‬ ‫های‬Proof of concept ‫شده‬ ‫مطرح‬ ‫ای‬ ‫مقابله‬ ‫راهکارهای‬: ‫عامل‬ ‫سیستم‬ ‫معماشناسی‬ ‫ابزارهای‬ ‫به‬ ‫دسترسی‬ ‫کنترل‬ ‫به‬‫از‬ ‫توان‬ ‫می‬ ‫رمزنگاری‬ ‫توابع‬ ‫از‬ ‫استفاده‬ ‫نحوه‬ ‫علت‬zero-knowledge interactive proof‫نیتز‬ ‫کرنتل‬ ‫در‬ ‫شود‬ ‫بررسی‬ ‫توابع‬ ‫از‬ ‫استفاده‬ ‫سنجی‬ ‫اعتبار‬ ‫تا‬ ‫کرد‬ ‫استفاده‬. ‫معایب‬: ‫نباید‬ ‫عامل‬ ‫سیستم‬ ‫هسته‬‫آلوده‬‫باشد‬‫یا‬ ‫و‬tamper-proof‫باشد‬. ‫رمزکار‬-‫از‬ ‫باید‬ ‫بدافزار‬‫دیگر‬ ‫توابعی‬ ‫نه‬ ‫باشد‬ ‫برده‬ ‫بهره‬ ‫عامل‬ ‫سیستم‬ ‫توابع‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/8  Ahmadian.blog.ir  www.mmAhmadian.ir
  13. 13. ‫مقاله‬ ‫عنوان‬]4[ “ Comparative analysis of various ransomware virii” ‫مقاله‬ ‫این‬ ‫کارهای‬ ‫باجگیرافزارها‬ ‫معرفی‬ ‫باجگیرافزار‬ ‫نمونه‬ ‫چند‬ ‫تحلیل‬ ‫از‬ ‫گزارشی‬ Trojan.Win32.Krotten.u Trojan.Win32.Krotten.aj Trojan-Spy.win32.Dirt.211 Trojan.Win32.Gpcode ‫راهکارهای‬ ‫ارائه‬‫عمومی‬ ‫بسیار‬‫کاربران‬ ‫برای‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/9  Ahmadian.blog.ir  www.mmAhmadian.ir
  14. 14. ‫مقاله‬ ‫عنوان‬]2[ “ Cryptovirology: Virus Approach” ‫مقاله‬ ‫این‬ ‫کارهای‬ ‫خالصه‬‫کتاب‬ ‫در‬ ‫شده‬ ‫مطرح‬ ‫موضوعات‬ Young, M. Yung : Malicious Cryptography: Exposing Cryptovirology , John Wiley & Sons, 2004 ‫باجگیرافزار‬ ‫نمونه‬ ‫چند‬ ‫تحلیل‬ ‫از‬ ‫گزارشی‬ GPCode Conficker ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/10  Ahmadian.blog.ir  www.mmAhmadian.ir
  15. 15. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫مرتبط‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬ 6 4 3 2 1 ‫بندی‬ ‫دسته‬‫پیشنهادی‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 1‫از‬ ‫عاری‬ ‫باجگیرافزارهای‬‫معماشناسی‬(NCR) 2‫به‬ ‫وابسته‬ ‫باجگیرافزارهای‬‫معماشناسی‬(CGR) 2-1‫سیستم‬ ‫با‬ ‫باجگیرافزارهای‬‫رمزکلیدخص‬‫وصی‬ ‫کلی‬ ‫رمز‬ ‫سیستم‬ ‫با‬ ‫باجگیرافزارهای‬‫عمومی‬ ‫د‬ ‫ت‬ ‫رمز‬ ‫سیستم‬ ‫با‬ ‫باجگیرافزارهای‬‫رکیبی‬ 5‫پیاده‬‫سازی‬‫وارزیابی‬2-2 2-3 ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
  16. 16. ‫برخی‬‫رمزنمودن‬ ‫منظور‬ ‫به‬ ‫معماشناسی‬ ‫های‬ ‫روش‬ ‫از‬ ‫هرگز‬ ‫خود‬ ‫عملیاتی‬ ‫فرایند‬ ‫در‬ ‫باجگیرافزارها‬ ‫از‬‫فایل‬‫ن‬ ‫بهره‬ ‫خود‬ ‫های‬‫متی‬ ‫برند‬.‫ار‬ ‫جدول‬ ‫یا‬ ‫و‬ ‫انداز‬ ‫راه‬ ‫رکورد‬ ‫تغییر‬ ‫یا‬ ‫کاربر‬ ‫صفحه‬ ‫نمودن‬ ‫قفل‬ ‫نظیر‬ ‫هایی‬ ‫روش‬ ‫به‬ ‫تنها‬ ‫افزارها‬ ‫گیر‬ ‫باج‬ ‫این‬‫به‬ ‫اقدام‬ ‫تیشن‬ ‫کاربر‬ ‫از‬ ‫ی‬ ‫اخا‬‫نمایند‬ ‫می‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ها‬ ‫ویژگی‬: ‫با‬ ‫راحتی‬ ‫به‬ ‫خود‬ ‫روش‬ ‫در‬ ‫ضعف‬ ‫دلیل‬ ‫به‬ ‫باجگیرافزارها‬ ‫از‬ ‫نوع‬ ‫این‬ ‫اما‬‫معکوس‬ ‫مهندسی‬‫کت‬ ‫و‬ ‫شتوند‬ ‫می‬ ‫خنثی‬‫اربر‬ ‫نماید‬ ‫خود‬ ‫سیستم‬ ‫بازیابی‬ ‫به‬ ‫اقدام‬ ‫باجی‬ ‫هرگونه‬ ‫رداخت‬ ‫بدون‬ ‫تواند‬ ‫می‬. Non-Cryptographic Ransomware (NCR) 47/11  Ahmadian.blog.ir  www.mmAhmadian.ir
  17. 17. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫اینگونه‬‫از‬‫باجگیرافزارها‬‫از‬‫الگوریتم‬‫های‬‫معماشناسی‬‫برای‬‫در‬‫اختیار‬‫گرفتن‬‫و‬‫غصب‬‫کردن‬‫دسترسی‬‫به‬‫منابع‬‫م‬‫ورد‬‫هدف‬‫در‬ ‫سیستم‬‫قرباتی‬‫استفاده‬‫می‬‫کنند‬. ‫در‬‫سناریو‬،‫عمومی‬‫این‬‫باجگیرافزارها‬‫به‬‫صورت‬‫کامال‬‫مخفیانه‬‫اقدام‬‫به‬‫رمزنگاری‬‫فایل‬‫های‬‫قربانی‬(‫عموما‬‫فایل‬‫های‬‫ا‬‫سناد‬‫و‬ ‫تصاویر‬)‫می‬‫نمایند‬‫و‬‫بعد‬‫از‬‫اتمام‬‫فرایند‬‫آلودگی‬‫با‬‫نمای‬‫یامی‬‫به‬،‫کاربر‬‫اعالم‬‫حضور‬‫کرده‬‫و‬‫با‬‫مطلع‬‫کردن‬‫ک‬‫اربر‬‫از‬‫رمز‬‫شدن‬ ‫فایل‬‫های‬‫در‬‫ازای‬‫ترجمه‬‫فایل‬‫های‬‫کاربر‬‫از‬‫وی‬‫تقاضای‬‫رداخت‬‫باج‬‫می‬‫کنند‬. Cryptographic Ransomware (CGR) 47/12  Ahmadian.blog.ir  www.mmAhmadian.ir
  18. 18. ‫خانواده‬ ،‫کالسیک‬ ‫رمز‬ ‫های‬ ‫سیستم‬ ‫نظیر‬ ‫خصوصی‬ ‫کلید‬ ‫رمز‬ ‫سیستمهای‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫باجگیرافزارها‬ ‫از‬ ‫نوع‬ ‫این‬‫هتای‬ ‫سیستم‬ ‫رمز‬DES‫و‬‫به‬ ‫اقدام‬ ‫مدرن‬ ‫خصوصی‬ ‫کلید‬ ‫رمز‬ ‫های‬ ‫سیستم‬ ‫حتی‬ ‫یا‬‫دارایی‬ ‫رمزکردن‬‫می‬ ‫قربانی‬ ‫های‬‫نمایند‬. PrCR‫جز‬ ‫ها‬‫اولین‬‫های‬ ‫نمونه‬‫شدند‬ ‫طراحی‬ ‫که‬ ‫هستند‬ ‫باجگیرافزارها‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ Private-key cryptosystem ransomware (PrCR) Body Key Encryption algorithm Ransomware ransomware writer's view malware analyst's view Decryption algorithm Body Key Encryption algorithm Decryption algorithm ‫ضعف‬ ‫نقاط‬: ‫ختود‬ ‫دورن‬ ‫در‬ ‫را‬ ‫کلیتد‬ ‫که‬ ‫هستند‬ ‫مجبور‬ PrCR‫دارند‬ ‫نگه‬]6[. ‫غالبا‬‫مشتتر‬ ‫هتا‬ ‫قربتانی‬ ‫همته‬ ‫بین‬ ‫کلید‬ ‫بود‬]6[. ‫ماهیت‬‫متقارن‬‫باجگیرافزارهای‬PrCR]5[ 47/13
  19. 19. ‫کلید‬ ‫رمز‬ ‫سیستمهای‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫باجگیرافزارها‬ ‫از‬ ‫نوع‬ ‫این‬‫اقدام‬ ‫عمومی‬‫به‬‫رمزکردن‬‫می‬ ‫قربانی‬ ‫های‬ ‫دارایی‬‫نم‬‫ایند‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ PuCR Public-key cryptosystem ransomware (PuCR) ‫مراحل‬‫پروتکل‬‫حمله‬ PuCR ‫اخاذی‬ 3 1‫اولیه‬ ‫تنظیمات‬ 2‫اطالعات‬ ‫رمزکردن‬‫با‬‫عموم‬ ‫کلید‬‫ی‬ ‫رمز‬ ‫ترجمه‬ 4 47/14  Ahmadian.blog.ir  www.mmAhmadian.ir
  20. 20. ‫قوت‬ ‫نقطه‬: ‫از‬‫قوت‬ ‫نقاط‬PuCR‫ها‬‫کلیتد‬ ‫کته‬ ‫استت‬ ‫این‬ ،‫استت‬ ‫بتاجگیرافزار‬ ‫طراح‬ ‫اختیار‬ ‫در‬ ‫خصوصی‬ ‫رو‬ ‫این‬ ‫از‬‫تحلیلگر‬‫توانتد‬ ‫نمتی‬ ‫نیتز‬ ‫بدافزار‬‫راه‬ ‫بتوا‬ ‫که‬ ‫دهد‬ ‫قرار‬ ‫قربانی‬ ‫اختیار‬ ‫در‬ ‫را‬ ‫حلی‬‫ند‬ ‫دستت‬ ‫خصوصتی‬ ‫کلید‬ ‫به‬ ‫باج‬ ‫رداخت‬ ‫بدون‬ ‫یابد‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ Body Public key Encryption algorithm Ransomware ransomware writer's view malware analyst's view Decryption algorithm Body Public key Encryption algorithm Decryption algorithm Private key ‫ضعف‬ ‫نقاط‬PuCR: .1‫خصوصی‬ ‫کلید‬ ‫همان‬ ‫از‬ ‫توانند‬ ‫می‬ ‫ها‬ ‫قربانی‬ ‫همه‬ ‫شود‬ ‫فرستاده‬ ‫قربانی‬ ‫یک‬ ‫برای‬ ‫خصوصی‬ ‫کلید‬ ‫اگر‬‫استفاده‬‫ک‬‫نند‬. .2‫عمومی‬ ‫کلید‬ ‫با‬ ‫رمزگذاری‬(‫نامتقارن‬)‫شود‬ ‫اجرا‬ ‫مرحله‬ ‫در‬ ‫شناسایی‬ ‫باعث‬ ‫تواند‬ ‫می‬ ‫و‬ ‫کند‬ ‫بسیار‬. ‫باجگیرافزارهای‬ ‫نامتقارن‬ ‫ماهیت‬PuCR]5[ 47/15
  21. 21. ‫روش‬ ‫دو‬ ‫ترکیتب‬ ‫از‬ ‫ضعفشتان‬ ‫نقاط‬ ‫کاه‬ ‫و‬ ‫قوت‬ ‫نقاط‬ ‫تقویت‬ ‫منظور‬ ‫به‬ ‫باجگیرافزارها‬ ‫از‬ ‫دسته‬ ‫این‬PrCR‫و‬PuCR‫بهتره‬ ‫برند‬ ‫می‬. ‫عموم‬ ‫طور‬ ‫به‬ ‫بندی‬ ‫دسته‬ ‫این‬ ‫در‬HCR‫ها‬‫باجگیرافزارها‬ ‫نوع‬ ‫خطرناکترین‬‫باشند‬ ‫می‬. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ Hybrid cryptosystem ransomware (HCR) ‫پروتکل‬‫حمله‬HCR: ‫مرحله‬1(‫قربانی‬ ‫جستجوی‬ ‫و‬ ‫انتشار‬) HCR‫انتشار‬ ‫های‬ ‫روش‬ ‫کمک‬ ‫به‬‫بدافزارها‬‫اجتماعی‬ ‫مهندسی‬ ‫و‬‫بته‬ ‫متصتل‬ ‫های‬ ‫ضمیمه‬ ‫جمله‬ ‫از‬‫هتا‬ ‫هرزنامته‬‫را‬ ‫ختود‬ ‫می‬ ‫منتشر‬‫کند‬. ‫مرحله‬2(‫اجرا‬: ) ‫شود‬ ‫می‬ ‫اجرا‬ ‫کاربر‬ ‫توسط‬ ‫اجتماعی‬ ‫مهندسی‬ ‫های‬ ‫روش‬ ‫وسیله‬ ‫به‬ ‫عموما‬ ‫و‬ ‫کاربر‬ ‫آگاهی‬ ‫عدم‬ ‫از‬ ‫گیری‬ ‫بهره‬ ‫با‬. ‫تصادفی‬ ‫شبه‬ ‫بیت‬ ‫مولد‬ ‫یک‬ ‫از‬ ‫استفاده‬:‫کلید‬ ‫تولید‬ ‫برای‬‫جلسه‬(Ks) ‫شبه‬ ‫اولیه‬ ‫مقدار‬ ‫مولد‬ ‫یک‬ ‫از‬ ‫استفاده‬‫برای‬ ‫تصادفی‬‫بردار‬ ‫تولید‬‫اولیه‬(IV) ‫باجگیرافزارهای‬ ‫در‬‫سرویس‬ ‫با‬ ‫مرتبط‬ ‫های‬ ‫داده‬ ‫تر‬ ‫یچیده‬Volume Shadow Copy‫شوند‬ ‫می‬ ‫ا‬ ‫ویندوز‬. 47/16  Ahmadian.blog.ir  www.mmAhmadian.ir
  22. 22. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫مرحله‬3(‫عمومی‬ ‫کلید‬ ‫تبادل‬): HCR‫تالش‬‫سرور‬ ‫به‬ ‫تا‬ ‫کند‬ ‫می‬C&C‫ختود‬‫بتوانتد‬ ‫تتا‬ ‫شتودند‬ ‫متصتل‬ Kpu‫که‬‫ن‬ ‫دریافت‬ ‫را‬ ‫است‬ ‫باجگیرافزار‬ ‫فرد‬ ‫به‬ ‫منحصر‬ ‫عمومی‬ ‫کلید‬‫مایند‬. ‫به‬ ‫ااتصال‬‫آدرس‬ ‫واسطه‬‫های‬Hard code‫شده‬. ‫دامنه‬ ‫تولید‬ ‫الگوریتم‬ ‫وسیله‬ ‫به‬ ‫یا‬(DGA) ‫مثال‬kjqwymybbdrew.biz‫و‬jkaeaxjmnxvpv.ru EKs(D) M = {IV, Ks} = plaintext M' =EKpu(M) = ciphertext Delete D , IV, Ks & M ‫مرحله‬4(‫کردن‬ ‫رمز‬:) ‫قربان‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫خود‬ ‫مقصد‬ ‫های‬ ‫فایل‬ ‫لیست‬ ‫جستجوی‬‫ی‬ ‫رمزنگاری‬‫قربانی‬ ‫اطالعات‬ ‫متقارن‬‫با‬Ks(‫مثال‬‫با‬‫مد‬CBC) M'‫شود‬ ‫می‬ ‫داری‬ ‫نگه‬ ‫باج‬ ‫رداخت‬ ‫از‬ ‫بعد‬ ‫ها‬ ‫فایل‬ ‫ترجمه‬ ‫برای‬. 47/17  Ahmadian.blog.ir  www.mmAhmadian.ir
  23. 23. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫مرحله‬5(‫پیام‬ ‫نمایش‬): ‫شامل‬ ‫که‬ ‫را‬ ‫یامی‬M'‫است‬‫قربتانی‬ ‫و‬ ‫دهتد‬ ‫متی‬ ‫نشتان‬ ‫قربتانی‬ ‫به‬‫را‬‫از‬ ‫می‬ ‫مطلع‬ ‫سیستم‬ ‫آلودگی‬‫کند‬. ‫دهد‬ ‫می‬ ‫نشان‬ ‫وی‬ ‫به‬ ‫را‬ ‫مهاجم‬ ‫به‬ ‫باج‬ ‫رداخت‬ ‫نحوه‬. ‫یک‬‫برای‬ ‫نیز‬ ‫زمانی‬ ‫مهلت‬‫تعیین‬ ‫باج‬ ‫رداخت‬‫شود‬ ‫می‬. ‫مرحله‬6(‫ترجمه‬ ‫و‬ ‫باج‬ ‫پرداخت‬): ‫قبول‬ ‫را‬ ‫رداخت‬ ‫قربانی‬‫همراه‬ ‫و‬ ‫میکند‬‫رداخت‬ ‫با‬‫فایل‬M'‫بته‬ ‫نیتز‬ ‫را‬ ‫فرستد‬ ‫می‬ ‫مهاجم‬. ‫مهاجم‬ ‫مرحله‬ ‫این‬ ‫در‬Ks,IV‫را‬‫می‬ ‫بدست‬ ‫به‬‫آورد‬: Ks,IV‫به‬ ‫ترجمه‬ ‫برای‬HCR‫آنهتا‬ ‫کمتک‬ ‫بته‬ ‫و‬ ‫شتود‬ ‫متی‬ ‫فرستاده‬ ‫گیرد‬ ‫می‬ ‫صورت‬ ‫ترجمه‬. M = DKpr(M' ) = {IV, Ks} ‫رمز‬ ‫سیستم‬ ‫تحلیل‬HCR: ‫تنها‬‫است‬ ‫اختیار‬ ‫در‬ ‫عمومی‬ ‫کلید‬. ‫دریافت‬ ‫از‬ ‫بعد‬{IV, Ks}‫این‬‫ارزشی‬ ‫قربانیان‬ ‫سایر‬ ‫برای‬ ‫مقادیر‬‫ندارد‬. 47/18
  24. 24. 3/40 ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫مناسب‬ ‫بندی‬ ‫دسته‬ ‫یک‬ ‫های‬ ‫ویژگی‬‫بند‬ ‫دسته‬‫ی‬ ‫شده‬ ‫ارائه‬ ‫توضیح‬ ‫قطعی‬]8[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫غیرمبهم‬]10،11[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫قابل‬‫درک‬11[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫کامل‬/‫جامع‬]9،10،11[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫انحصار‬ ‫دارای‬‫متقابل‬]10،11[√.‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫قابل‬‫تکرار‬]8،10[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫و‬ ‫استفاده‬ ‫قابل‬‫مفید‬]10،11[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫انطباق‬‫اص‬‫ط‬‫الحات‬‫با‬‫اص‬‫ط‬‫الح‬‫ات‬ ‫تعریف‬ ‫استاندارد‬‫شده‬]11[ √‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫پذیرفته‬‫شده‬]9،10[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫اص‬‫ط‬‫الحات‬‫خوش‬‫تعریف‬]13[√‫حذف‬‫ارائه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬
  25. 25. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫مرتب‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫ط‬ ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX) 6 4 3 2 1 ‫بندی‬ ‫دسته‬‫پیشنهادی‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 5‫پیاده‬‫و‬ ‫سازی‬‫ارزیابی‬
  26. 26. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫اند‬ ‫شده‬ ‫منتشر‬ ‫تاکنون‬ ‫که‬ ‫باجگیرافزارهایی‬ ‫ترین‬ ‫یچیده‬ ‫و‬ ‫خطرناکترین‬ ‫تشخیص‬( .‫باجگیراف‬‫زارهای‬HSR) ‫کند‬ ‫رو‬ ‫روبه‬ ‫مشکل‬ ‫با‬ ‫را‬ ‫باجگیرافزارهای‬ ‫باجگیری‬ ‫فرایند‬ ‫بتواند‬ ‫که‬ ‫چارچوبی‬ ‫ارائه‬. ‫تشخیص‬‫باجگیرافزارهای‬HSR‫ناشناخته‬. ‫دقت‬‫قابل‬ ‫کارایی‬ ‫و‬‫قبول‬. ‫کامپیوتری‬ ‫های‬ ‫سیستم‬ ‫و‬ ‫اطالعات‬ ‫فناوری‬ ‫حوزه‬ ‫ای‬ ‫حرفه‬ ‫دان‬ ‫به‬ ‫کاربر‬ ‫نیاز‬ ‫حداقل‬. ‫ضدبدافزاری‬ ‫های‬ ‫تکنولوژی‬ ‫یشران‬ ‫بر‬ ‫منطبق‬. 47/20  Ahmadian.blog.ir  www.mmAhmadian.ir
  27. 27. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ TOX Ransomware as a Service ‫توکار‬ ‫امنیت‬ ‫موارد‬ ‫در‬ ‫اعتبار‬ ‫بر‬ ‫مبتنی‬ ‫تشخیص‬ ‫مشکو‬ 47/21  Ahmadian.blog.ir  www.mmAhmadian.ir
  28. 28. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫بقاپذیر‬ ‫باجگیرافزارهای‬ ‫های‬ ‫ویژگی‬(High survivable ransomwares) 1-‫کارا‬ ‫تهدید‬ ‫های‬ ‫دارایی‬ ‫واقعا‬ ‫که‬ ‫باشد‬ ‫ای‬ ‫گونه‬ ‫به‬ ‫باید‬ ‫دهد‬ ‫می‬ ‫انجام‬ ‫باجگیرافزار‬ ‫یک‬ ‫که‬ ‫مخربی‬ ‫عملیات‬‫ک‬ ‫حساس‬‫را‬ ‫اربر‬ ‫تحت‬‫قراردهد‬ ‫تاثیر‬‫و‬‫نماید‬ ‫باج‬ ‫رداخت‬ ‫به‬ ‫متقاعد‬ ‫را‬ ‫کاربر‬ ‫ها‬ ‫دارایی‬ ‫این‬. HCR‫نیست‬ ‫باجگیرافزار‬ ‫یک‬ ‫بودن‬ ‫یچیده‬ ‫و‬ ‫بودن‬ ‫خطرنا‬ ‫برای‬ ‫کافی‬ ‫یا‬ ‫و‬ ‫الزم‬ ‫شرط‬ ‫بودن‬. ‫کنیم‬ ‫می‬ ‫ارائه‬ ‫ما‬ ‫که‬ ‫تعریفی‬ ‫طبق‬ ‫اما‬HSR‫بودن‬‫کافی‬ ‫و‬ ‫الزم‬ ‫شرط‬‫است‬ ‫باجگیرافزار‬ ‫یک‬ ‫بودن‬ ‫یچیده‬ ‫و‬ ‫خطرنا‬ ‫برای‬. 2-‫مطلق‬ ‫قدرت‬ ‫دستتیابی‬ ‫کته‬ ‫باشتد‬ ‫داشتته‬ ‫را‬ ‫منتابعی‬ ‫بازیابی‬ ‫قدرت‬ ‫که‬ ‫باشد‬ ‫کسی‬ ‫تنها‬ ‫باید‬ ‫باجگیرافزار‬ ‫طراح‬‫بتا‬ ‫آنهتا‬ ‫بته‬ ‫است‬ ‫شده‬ ‫محدود‬ ‫رمزنگاری‬ ‫جمله‬ ‫از‬ ‫روشهایی‬. 47/22  Ahmadian.blog.ir  www.mmAhmadian.ir
  29. 29. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 3-‫بازیایی‬‫فرد‬ ‫به‬ ‫منحصر‬ ‫فرایند‬‫شده‬ ‫رمز‬ ‫های‬ ‫داده‬ ‫ترجمه‬(‫بازیابی‬)‫بت‬ ‫بایتد‬ ‫است‬ ‫کرده‬ ‫رداخت‬ ‫را‬ ‫باج‬ ‫مبلغ‬ ‫که‬ ‫قربانی‬ ‫یک‬ ‫سیستم‬‫ای‬ ‫گونته‬ ‫ه‬ ‫ختو‬ ‫هتای‬ ‫داده‬ ‫بتاج‬ ‫رداختت‬ ‫بتدون‬ ‫بتوانتد‬ ‫و‬ ‫کنتد‬ ‫استفاده‬ ‫ها‬ ‫داده‬ ‫این‬ ‫از‬ ‫نتواند‬ ‫دیگری‬ ‫قربانی‬ ‫هیچ‬ ‫که‬ ‫که‬ ‫باشد‬‫را‬ ‫د‬ ‫نماید‬ ‫ترجمه‬. ‫بقاپذیر‬ ‫باجگیرافزار‬: ‫یک‬‫ختو‬ ‫میزبتان‬ ‫روی‬ ‫کنترلی‬ ‫میزان‬ ‫به‬ ‫اگر‬ ‫است‬ ‫ذیری‬ ‫بقا‬ ‫خصیصه‬ ‫دارای‬ ‫باجگیرافزار‬‫دستت‬ ‫د‬ ‫میزبان‬ ‫منابع‬ ‫بتواند‬ ‫که‬ ‫کند‬ ‫یدا‬(Rc)‫و‬ ‫بگیرد‬ ‫خود‬ ‫انحصاری‬ ‫تصرف‬ ‫در‬ ‫ای‬ ‫واسطه‬ ‫هیچ‬ ‫بدون‬ ‫مهاجم‬ ‫از‬ ‫غیر‬ ‫شخصی‬ ‫توسط‬ ‫باجگیرافزار‬ ‫چنانچه‬(‫باجگیرافزار‬ ‫نویسنده‬)‫یت‬ ‫شتود‬ ‫ا‬‫تغییتر‬ ‫ا‬ ‫دسترسی‬ ‫شود‬ ‫داده‬‫به‬Rc‫برای‬‫برود‬ ‫بین‬ ‫از‬ ‫همیشه‬. ‫از‬‫ا‬ ‫بتاج‬ ‫رداختت‬ ‫از‬ ‫بعد‬ ‫تنها‬ ‫باید‬ ‫باجگیرافزار‬ ‫نوع‬ ‫این‬ ‫رمز‬ ‫ترجمه‬ ‫فرایند‬ ‫دیگر‬ ‫سویی‬‫طریتق‬ ‫ز‬ ‫سرور‬ ‫نظیر‬ ‫است‬ ‫کرده‬ ‫تعیین‬ ‫قبل‬ ‫از‬ ‫باجگیرافزار‬ ‫طراح‬ ‫خود‬ ‫که‬ ‫راهکاری‬C&C‫ذیرد‬ ‫صورت‬. 47/23  Ahmadian.blog.ir  www.mmAhmadian.ir
  30. 30. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫مدل‬‫در‬ ‫خصیصه‬ ‫تشخیص‬ ‫مرحله‬HSR‫ها‬ 47/24  Ahmadian.blog.ir  www.mmAhmadian.ir
  31. 31. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫کننده‬‫فراهم‬ ‫طراحی‬ ‫هدف‬‫ها‬ ‫داده‬: ‫شده‬ ‫استخراج‬ ‫های‬ ‫خصیصه‬ ‫باکالس‬ ‫متناسب‬‫مختلف‬ ‫های‬ ‫داده‬ ‫نمودن‬ ‫فراهم‬ ‫وظیفه‬‫را‬‫دارد‬. ‫اندازی‬ ‫راه‬ ‫ساکن‬ ‫دیسک‬ ‫روی‬ ‫نهایی‬ ‫اجرای‬ (‫تخریب‬) ‫مدل‬‫در‬ ‫خصیصه‬ ‫تشخیص‬ ‫مرحله‬HSR‫ها‬ ‫در‬ ‫که‬ ‫ابزارهایی‬ ‫کمک‬ ‫به‬‫شوند‬ ‫می‬ ‫معرفی‬ ‫ادامه‬‫رصد‬ ‫فرایند‬‫ی‬ ‫برنامه‬‫رفتاری‬ ‫تحلیل‬ ‫و‬ ‫ارزیابی‬ ‫مورد‬‫در‬ ‫آن‬‫تشت‬ ‫مرحلته‬ ‫مدل‬ ‫قالب‬‫خیص‬ ِ‫ص‬‫خا‬ ،‫روژه‬ ‫این‬ ‫در‬ ‫که‬ ‫خصیصه‬‫باجگیرافزارهای‬HSR‫ارائه‬‫است‬ ‫شده‬‫های‬ ‫داده‬‫فراهم‬ ‫نظر‬ ‫مورد‬‫شوند‬ ‫می‬. 47/24  Ahmadian.blog.ir  www.mmAhmadian.ir
  32. 32. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫پردازنده‬ ‫پیش‬ ‫طراحی‬ ‫هدف‬: ‫ها‬ ‫داده‬ ‫حذف‬ ‫با‬‫کاه‬ ‫و‬ ‫اضافی‬ ‫جزئیات‬ ‫و‬‫های‬ ‫ویژگی‬‫سعی‬ ‫نامرتبط‬‫شود‬‫ستادگی‬ ‫و‬ ‫سترعت،کلیت‬‫در‬ ‫تشتخیص‬‫مو‬‫تتور‬ ‫افزای‬ ‫تشخیص‬‫یابد‬. 47/24  Ahmadian.blog.ir  www.mmAhmadian.ir
  33. 33. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫مجموعه‬ ‫استخراج‬ ‫و‬ ‫کشف‬‫مشخصه‬‫مناسب‬HSR‫ها‬‫عنوان‬‫هیچ‬‫به‬‫نیست‬ ‫ای‬‫ساده‬ ‫کار‬‫و‬‫زمان‬ ‫بیشترین‬‫به‬ ‫روژه‬ ‫این‬ ‫در‬ ‫را‬ ‫داده‬ ‫اختصاص‬ ‫خود‬‫است‬(6‫ماه‬.) ‫فرسا‬‫طاقت‬ ‫و‬ ‫بر‬‫زمان‬ ‫بسیار‬ ‫که‬ ‫کار‬ ‫از‬ ‫بخ‬ ‫این‬ ‫حاصل‬‫بود‬: ‫استخراج‬20‫واسطه‬‫به‬ ‫که‬ ‫بود‬ ‫مناسب‬ ‫و‬ ‫مطلوب‬ ‫خصیصه‬ ‫مورد‬2‫ارزشمند‬ ‫و‬ ‫کارآمد‬ ‫بسیار‬ ‫خصیصه‬(‫خصیصه‬ ‫حذف‬ ‫و‬ ‫تغییر‬ ‫های‬‫روتین‬ ‫خصیصه‬ ‫و‬ ‫کلید‬ ‫تبادل‬ ‫مرحله‬VSS)‫در‬ ‫که‬‫این‬‫برای‬ ‫روژه‬‫حوزه‬ ‫این‬ ‫در‬ ‫بار‬ ‫اولین‬ ‫به‬ ‫توانستیم‬ ‫اند‬‫شده‬‫گرفته‬ ‫بکار‬ ‫و‬ ‫شناسایی‬‫مجموعهای‬‫از‬ ‫مطلوب‬‫ها‬ ‫خصیصه‬‫تشخیص‬ ‫منظور‬‫به‬HSR‫ها‬‫برسیم‬. ‫اگرچه‬‫از‬ ‫برخی‬ ‫است‬ ‫ممکن‬ ‫کار‬ ‫خروجی‬ ‫در‬‫ها‬ ‫خصیصه‬‫استخراج‬ ‫اما‬ ‫آیند‬ ‫نظر‬ ‫به‬ ‫ساده‬‫های‬ ‫خصیصه‬‫میان‬ ‫از‬ ‫مناسب‬ ‫از‬ ‫انبوهی‬‫های‬ ‫خصیصه‬‫است‬ ‫رچالشی‬ ‫بسیار‬ ‫کار‬ ‫رفتاری‬. 47/25  Ahmadian.blog.ir  www.mmAhmadian.ir
  34. 34. Volume Shadow Copy Services "%WinDir%SYsWOW64cmd.exe" /C "%WinDir%Sysnativevssadmin.exe" Delete Shadows /All /Quiet ‫حذف‬ ‫برای‬ ‫عمومی‬ ‫نخست‬ ‫اسکریپت‬VSS‫کمک‬ ‫به‬CMD Get-WmiObject Win32_Shadowcopy | ForEach-Object { $WmiSnapShotDate = $_.InstallDate $strShadowID = $_.ID $dtmSnapShotDate = [management.managementDateTimeConverter]::ToDateTime($WmiSn apShotDate) $strClientAccessible = $_.ClientAccessible $dtmCurDate = Get-Date $dtmTimeSpan = New-TimeSpan $dtmSnapShotDate $dtmCurDate $intNumberDays = $dtmTimeSpan.Days If ($intNumberDays -ge 1 -and $strClientAccessible -eq "True") { $_.Delete() } } ‫اسکریپت‬Power shell‫حذف‬ ‫برای‬VSS 47/26  Ahmadian.blog.ir  www.mmAhmadian.ir
  35. 35. suffix = ["anj", "ebf", "arm", "pra", "aym", "unj","ulj", "uag", "esp", "kot", "onv", "edc"] def generate_daily_domain(): t = GetLocalTime() p = 8 return generate_domain(t, p) def scramble_date(t, p): return (((t.month ^ t.day) + t.day)*p) +t.day + t.year def generate_domain(t, p): if t.year < 2014: t.year = 2014 s = scramble_date(t, p) c1 = (((t.year >> 2) & 0x3fc0) + s) % 25 + ’a’ c2 = (t.month + s) % 10 + ’a’ c3 = ((t.year & 0xff) + s) % 25 + ’a’ if t.day*2 < ’0’ || t.day*2 > ’9’: c4 = (t.day*2) % 25 + ’a’ else: c4 = t.day % 10 + ’1’ return c1 +’h’+c2+c3+’x’+c4+suffix[t.month - 1] ‫الگوریتم‬ ‫کد‬ ‫شبه‬ ‫نمونه‬ ‫یک‬DGA ‫حملته‬ ‫روتکتل‬ ‫مختلف‬ ‫مراحل‬ ‫توجه‬ ‫با‬HCR‫مرحلته‬ ‫اهمیت‬ ‫از‬ ‫عمومی‬ ‫کلید‬ ‫تبادل‬ ‫مرحله‬ ‫یعنی‬ ‫سوم‬‫ا‬ ‫ویتژه‬‫ی‬ ‫برخوردار‬ ‫باجگیرافزارها‬ ‫برای‬‫است‬. ‫تولید‬‫قطعه‬ ، ‫دامنه‬‫کدهایی‬‫هتدف‬ ‫بتا‬ ‫امروزه‬ ‫که‬ ‫هستند‬ ‫از‬ ‫زیادی‬ ‫تعداد‬ ‫تولید‬‫های‬ ‫دامنه‬‫صتورت‬‫به‬ ‫اینترنتی‬‫دوره‬ ‫ای‬‫قترار‬ ‫مورداستتفاده‬ ‫متعتددی‬ ‫باجگیرافزارهای‬ ‫در‬‫متی‬ ‫گیرند‬.‫این‬ ‫از‬ ‫استفاده‬ ‫اصلی‬ ‫هدف‬‫ها‬ ‫الگوریتم‬‫بت‬ ‫ایتن‬‫وده‬ ‫ل‬ ‫شناسایی‬ ‫های‬‫روش‬ ‫برابر‬ ‫در‬ ‫باجگیرافزارها‬ ‫که‬ ‫است‬‫یست‬ ‫ایستتتای‬‫هتتای‬ ‫آدرس‬‫توستتط‬ ‫راحتتتی‬‫بتته‬ ‫کتته‬ ‫دامنتته‬ ‫شناستای‬ ‫ستیاه‬ ‫و‬ ‫سفید‬ ‫لیست‬ ‫امنیتی‬ ‫های‬‫مکانیزم‬‫ی‬‫متی‬ ‫شوند‬‫شوند‬ ‫برخوردار‬ ‫باالتری‬ ‫محافظت‬ ‫درجه‬ ‫از‬. 47/27  Ahmadian.blog.ir  www.mmAhmadian.ir
  36. 36. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫تشخیص‬ ‫موتور‬ ‫های‬ ‫نیازمندی‬ •‫دیگر‬ ‫برخی‬ ‫بین‬ ‫استقالل‬ ‫و‬ ‫ها‬ ‫خصیصه‬ ‫برخی‬ ‫بین‬ ‫وابستگی‬ •‫تشخیص‬ ‫روی‬ ‫بر‬ ‫ها‬ ‫خصیصه‬ ‫تاثیر‬ ‫بودن‬ ‫احتماالتی‬HSR •‫مسئله‬ ‫ماهیت‬ ‫علت‬ ‫بر‬ ‫گیری‬ ‫تصمیم‬ ‫در‬ ‫قطعیت‬ ‫عدم‬ •‫باجگیرافزارها‬ ‫محدود‬ ‫های‬ ‫نمونه‬ ‫تعداد‬ •‫با‬ ‫کار‬ ‫از‬ ‫حاصل‬ ‫تجربیات‬ ‫توانایی‬HSR‫آنها‬ ‫شکافی‬ ‫کالبد‬ ‫و‬ ‫ها‬ ‫مدل‬ ‫از‬ ‫ابتدا‬‫رگرسیون‬‫شد‬ ‫گذاشته‬ ‫کنار‬ ‫اما‬ ‫شد‬ ‫استفاده‬ ‫خطی‬. ‫های‬ ‫شبکه‬ ‫مدل‬‫بیزی‬‫برای‬ ‫که‬‫مخرب‬ ‫ماهیت‬ ‫تشخیص‬HSR‫که‬ ‫ها‬‫موجتود‬ ‫شتواهد‬ ‫اساس‬ ‫بر‬ ‫بینی‬ ‫ی‬ ‫مسئله‬ ‫نوعی‬ ‫است‬‫شد‬ ‫انتخاب‬. ‫حت‬ ‫بته‬ ‫قتوانین‬ ‫و‬ ‫نمادهتا‬ ‫بته‬ ‫اطالعتات‬ ‫نگاشت‬ ‫با‬ ‫و‬ ‫کند‬ ‫بیان‬ ‫نمادها‬ ‫قالب‬ ‫در‬ ‫را‬ ‫آن‬ ‫قواعد‬ ‫و‬ ‫سیستم‬ ‫کوشد‬ ‫می‬‫ل‬ ‫مسئله‬‫بپردازد‬]15[. ‫شترایط‬ ‫تحتت‬ ‫هتای‬ ‫استتدالل‬ ‫بته‬ ‫و‬ ‫شتود‬ ‫متی‬ ‫استتفاده‬ ‫احتمتالی‬ ‫متدل‬ ‫شترایط‬ ‫بترای‬ ‫اغلب‬ ‫بیزی‬ ‫های‬ ‫شبکه‬ ‫نامشخص‬(‫قطعیت‬ ‫عدم‬)‫کند‬ ‫می‬ ‫کمک‬]17[. 47/28  Ahmadian.blog.ir  www.mmAhmadian.ir
  37. 37. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫شامل‬ ‫بیزی‬ ‫شبکه‬]20[: 1‫دهند‬‫می‬ ‫تشکیل‬ ‫را‬ ‫گراف‬ ‫رئوس‬ ‫مجموعه‬ ،‫تصادفی‬ ‫متغیرهای‬ ‫از‬ ‫مجموعه‬ ‫یک‬ ‫ت‬. 2‫رأس‬ ‫از‬ ‫یال‬ ‫یک‬ ‫اگر‬ ‫که‬ ‫دار‬‫جهت‬ ‫های‬‫یال‬ ‫از‬ ‫مجموعه‬ ‫یک‬ ‫ت‬X‫رأس‬ ‫به‬Y،‫باشد‬X‫والد‬ ‫را‬Y‫نامیم‬‫می‬. 3‫ت‬‫گره‬ ‫هر‬Xi‫شرطی‬ ‫احتمال‬ ‫توزیع‬ ‫یک‬P(Xi | Parents(Xi) )‫را‬ ‫گتره‬ ‫این‬ ‫روی‬ ‫بر‬ ‫والد‬ ‫های‬‫گره‬ ‫تأثیر‬ ‫که‬ ‫دارد‬ ‫دهند‬‫می‬ ‫نشان‬ ‫عددی‬ ‫صورت‬‫به‬. 4‫ت‬‫است‬ ‫دار‬‫جهت‬ ‫دور‬ ‫بدون‬ ‫گراف‬ ‫یک‬ ،‫درواقع‬ ‫و‬ ‫ندارد‬ ‫داری‬‫جهت‬ ‫دور‬ ‫هیچ‬ ‫گراف‬. ‫یادگیری‬ ‫برای‬‫سناریو‬ ‫ترین‬ ‫عمومی‬ ‫بیزی‬ ‫های‬ ‫شبکه‬‫احتما‬ ‫جدول‬ ‫کردن‬ ‫ر‬ ‫برای‬ ‫خبره‬ ‫افراد‬ ‫از‬ ‫استفاده‬‫و‬ ‫شرطی‬ ‫ل‬ ‫بیزی‬ ‫شبکه‬ ‫گراف‬ ‫ترسیم‬‫است‬]16[. ‫تعیین‬‫نمی‬ ‫مشکلی‬ ‫کار‬ ‫قلمرو‬ ‫خبره‬ ‫فرد‬ ‫یک‬ ‫برای‬ ‫بیزی‬ ‫شبکه‬ ‫در‬ ‫ها‬ ‫وابستگی‬‫دل‬ ‫همتین‬ ‫به‬ ‫و‬ ‫باشد‬‫در‬ ‫معمتوال‬ ‫یتل‬ ‫باشد‬ ‫نمی‬ ‫سخت‬ ‫آنچنان‬ ‫شبکه‬ ‫ساختار‬ ‫تعیین‬ ‫خبره‬ ‫فرد‬ ‫وجود‬ ‫صورت‬]18،19[. ‫نکات‬: ‫شیوه‬‫در‬ ‫یادگیری‬‫انگارانه‬ ‫بیزساده‬ ‫و‬ ‫بیزی‬ ‫شبکه‬‫با‬ ‫یادگیری‬ ‫نوع‬ ‫از‬‫ناظر‬(Supervised learning)‫است‬]21[. 47/29  Ahmadian.blog.ir  www.mmAhmadian.ir
  38. 38. VSS VSS VSS HSR ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫گیرنده‬‫تصمیم‬ ‫سیستم‬ ‫اولیه‬ ‫بیزی‬ ‫شبکه‬ ‫گرافیکی‬ ‫مدل‬ 47/30  Ahmadian.blog.ir  www.mmAhmadian.ir
  39. 39. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ها‬ ‫خصیصه‬ ‫متغیرهای‬ ‫وضعیت‬ 47/31  Ahmadian.blog.ir  www.mmAhmadian.ir
  40. 40. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫حسن‬:‫شبکه‬‫شده‬ ‫ارائه‬ ‫اولیه‬ ‫بیزی‬‫ماهیت‬‫برخی‬ ‫ارتباط‬ ‫و‬ ‫وابستگی‬‫ها‬ ‫خصیصه‬‫غیرمستقیم‬ ‫و‬ ‫مستقیم‬ ‫تاثیر‬ ‫و‬‫میزان‬ ‫روی‬ ‫بر‬ ‫آنها‬ ‫احتمال‬HSR‫تحلیل‬ ‫دیدگاه‬ ‫از‬ ‫را‬ ‫بودن‬‫ها‬ ‫خصیصه‬‫نشان‬ ‫خوبی‬ ‫به‬ ‫باجگیرافزارها‬ ‫تشخیص‬ ‫و‬‫دهد‬ ‫می‬. ‫عیب‬:‫اما‬‫به‬ ‫ساختار‬ ‫کردن‬ ‫مدل‬ ‫در‬ ‫سعی‬ ‫علیرغم‬ ‫شبکه‬ ‫این‬‫ترین‬ ‫نزدیک‬‫واقعیتت‬ ‫به‬ ‫شکل‬(‫دقتت‬ ‫افتزای‬ ‫جهتت‬ ‫در‬)‫د‬ ‫از‬‫یتدگاه‬ ‫است‬ ‫اساسی‬ ‫محدودیت‬ ‫دارای‬ ‫مطلوب‬ ‫کارایی‬ ‫به‬ ‫تشخیص‬ ‫موتور‬ ‫رساندن‬ ‫و‬ ‫محاسباتی‬. ‫شبکه‬ ‫سازی‬ ‫مدل‬‫اولیه‬ ‫بیزی‬ ‫محاستبه‬ ‫و‬ ‫کتردن‬ ‫وارد‬ ‫زمتان‬ ‫مدت‬ ‫طرف‬ ‫یک‬ ‫از‬‫درایته‬ ‫های‬‫کار‬ ‫احتمال‬ ‫توزیع‬ ‫جدول‬‫بر‬ ‫زمان‬‫فرستایی‬ ‫طاقت‬ ‫و‬ ‫است‬. ‫تخیص‬‫ت‬‫تش‬ ‫تال‬‫ت‬‫احتم‬ ‫تار‬‫ت‬‫خودک‬ ‫تبه‬‫ت‬‫محاس‬ ‫تر‬‫ت‬‫دیگ‬ ‫ترف‬‫ت‬‫ط‬ ‫از‬ ‫بر‬ ‫بالغ‬ ‫حافظه‬ ‫فضای‬ ‫به‬ ‫باجگیرافزار‬12‫نیتاز‬ ‫بایتت‬ ‫گیگا‬ ‫دارد‬. 8805,306,36342 1108  47/32  Ahmadian.blog.ir  www.mmAhmadian.ir
  41. 41. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫بیز‬ ‫شبکه‬ ‫سازی‬ ‫مدل‬‫انگارانه‬ ‫ساده‬ ‫حسن‬:‫حدود‬ ‫کاه‬0.0001‫گره‬ ‫احتمال‬ ‫توزیع‬ ‫جدول‬ ‫های‬ ‫درایه‬ ‫تعداد‬ ‫برابری‬IsRansomware ‫عیب‬:‫این‬‫تشخیص‬ ‫دقت‬ ‫کاه‬ ‫موجب‬ ‫قطعا‬ ‫مدل‬ ‫سازی‬ ‫ساده‬‫می‬‫است‬ ‫زیاد‬ ‫ها‬ ‫درایه‬ ‫تعداد‬ ‫بازهم‬ ‫طرفی‬ ‫از‬ ‫و‬ ‫گردد‬. 107,520342 155  47/33  Ahmadian.blog.ir  www.mmAhmadian.ir
  42. 42. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ها‬ ‫خصیصه‬ ‫متغیرهای‬ ‫وضعیت‬ 47/34  Ahmadian.blog.ir  www.mmAhmadian.ir
  43. 43. VSS VSS VSS HSR File_key Help_File_key Extention_list Regedit_key Dir_key VSS_Ditection Regedit_Access Dir_Access Sus_Access RD_key HEF_Key KeyWords ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫بیزی‬ ‫شبکه‬ ‫گرافیکی‬ ‫مدل‬‫سیستم‬ ‫نهایی‬‫گیرنده‬‫تصمیم‬ 47/35  Ahmadian.blog.ir  www.mmAhmadian.ir
  44. 44. ‫مدل‬‫شبکه‬ ‫سازی‬‫بیزی‬‫نهایی‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫حسن‬:‫کردن‬ ‫ر‬ ‫به‬ ‫نیاز‬ ‫تنها‬24‫گره‬ ‫احتمال‬ ‫توزیع‬ ‫جدول‬ ‫های‬ ‫درایه‬IsRansomware ‫عیب‬:‫موجب‬ ‫ها‬ ‫متغیر‬ ‫وضعیت‬ ‫اند‬ ‫سازی‬ ‫ساده‬‫کاه‬‫دقت‬ ‫اند‬‫تشخیص‬‫می‬‫است‬ ‫وشی‬ ‫چشم‬ ‫قابل‬ ‫کارایی‬ ‫به‬ ‫توجه‬ ‫با‬ ‫اما‬ ‫گردد‬. 4232 13  ‫احتمال‬ ‫محاسبه‬ ‫گره‬ ‫احتمال‬ ‫توزیع‬ ‫جدول‬HSR‫بودن‬ 47/36  Ahmadian.blog.ir  www.mmAhmadian.ir
  45. 45. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫مر‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫تبط‬ 6 4 3 2 1 ‫بندی‬ ‫دسته‬‫پیشنهادی‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 5‫سازی‬ ‫پیاده‬‫ارزیابی‬ ‫و‬ ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
  46. 46. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ثبت‬‫شبکه‬ ‫تبادالت‬ ‫کنترل‬ ‫و‬: Wireshark،ApateDNS،INetSIM ‫های‬ ‫درخواست‬ ‫بر‬ ‫نظارت‬API: API Monitor،WinDbg،OllyDbg،SSDT ‫پویا‬ ‫و‬ ‫ایستا‬ ‫صورت‬ ‫به‬ ‫ها‬ ‫رشته‬ ‫بر‬ ‫نظارت‬: 010Editor،PE explorer،winHex،IDA Pro،Regshot ‫ها‬ ‫ساز‬ ‫شبیه‬: VirtualBox،VMware Workstation،SandBoxie ‫های‬ ‫عملیات‬ ‫و‬ ‫ها‬ ‫دیرکتوری‬ ‫بر‬ ‫نظارت‬IO Procmon ‫بیزی‬ ‫شبکه‬ ‫سازی‬ ‫مدل‬ Netica 6‫از‬ ‫گروه‬15‫گروه‬‫مرحله‬ ‫در‬ ‫استفاده‬ ‫مورد‬ ‫ابزار‬‫پیاده‬‫سازی‬: 47/37 ‫سازی‬ ‫یاده‬ ‫های‬ ‫محیط‬ ‫از‬ ‫یکی‬ ‫معماری‬ Ahmadian.blog.ir  www.mmAhmadian.ir
  47. 47. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫سیستمی‬ ‫نویسی‬ ‫برنامه‬ ‫به‬ ‫نیاز‬ ‫مختلف‬ ‫منابع‬ ‫از‬ ‫متعدد‬ ‫های‬ ‫داده‬ ‫نیاز‬ ‫بدافزار‬ ‫تحلیل‬ ‫عامل‬ ‫سیستم‬ ‫یا‬ ‫چارچوب‬ ‫وجود‬ ‫عدم‬ ‫باجگیرافزارها‬ ‫خاص‬ ‫بدافزاری‬ ‫های‬‫داده‬ ‫پایگاه‬ ‫به‬ ‫دسترسی‬ ‫عدم‬ ‫عدم‬‫باجگیرافزار‬ ‫تشخیص‬ ‫ی‬‫زمینه‬ ‫در‬ ‫روز‬‫به‬ ‫پژوهشی‬ ‫منابع‬ ‫وجود‬ ‫عدم‬‫ناشناخته‬ ‫باجگیرافزارهای‬ ‫تشخیص‬ ‫ابزارهای‬ ‫وجود‬ 47/38  Ahmadian.blog.ir  www.mmAhmadian.ir
  48. 48. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫پیشنهادی‬ ‫رویکرد‬ ‫ارزیابی‬ ‫جهت‬‫از‬‫استفاده‬ ‫مختلف‬ ‫سناریور‬ ‫شش‬‫شده‬‫است‬(‫بر‬ ‫زمان‬ ‫بسیار‬:) 1-‫های‬ ‫ارزیابی‬‫و‬ ‫مستقل‬ ‫های‬ ‫خصیصه‬ ‫با‬ ‫شده‬ ‫شناخته‬ ‫باجگیرافزارهای‬‫منفرد‬ 2-‫باجگیرافزارهای‬ ‫ارزیابی‬‫با‬ ‫شده‬ ‫شناخته‬2entFOX 3-‫جدید‬ ‫و‬ ‫ناشناخته‬ ‫باجگیرافزارهای‬ ‫ارزیابی‬‫با‬2entFOX 4-‫با‬ ‫دیگر‬ ‫انواع‬ ‫بدافزارهای‬ ‫ارزیابی‬2entFOX 5-‫با‬ ‫مرزی‬ ‫خیم‬ ‫خوش‬ ‫های‬ ‫برنامه‬ ‫ارزیابی‬2entFOX 6-‫مقایسه‬2entFOX‫سایر‬ ‫با‬‫باجگیرافزار‬ ‫تشخیص‬ ‫ابزارهای‬ 47/39  Ahmadian.blog.ir  www.mmAhmadian.ir
  49. 49. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/40  Ahmadian.blog.ir  www.mmAhmadian.ir
  50. 50. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/41  Ahmadian.blog.ir  www.mmAhmadian.ir
  51. 51. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/42  Ahmadian.blog.ir  www.mmAhmadian.ir
  52. 52. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/43
  53. 53. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/44
  54. 54. ‫ارائه‬ ‫مطالب‬ ‫فهرست‬ ‫مقدمه‬ ‫مرت‬ ‫کارهای‬ ‫و‬ ‫بدافزار‬ ‫تحلیل،تشخیص‬‫بط‬ 6 4 3 2 1 ‫بندی‬ ‫دسته‬‫پیشنهادی‬ ‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 5‫پیاده‬‫سازی‬‫وارزیابی‬ ‫پیشنهادی‬ ‫تشخیص‬ ‫چارچوب‬(2entFOX)
  55. 55. 2entFOX ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ارائه‬‫رسمی‬ ‫بندی‬ ‫دسته‬ ‫اولین‬‫باجگیرافزار‬ ‫حوزه‬ ‫در‬ ‫است‬ ‫مناسب‬ ‫بندی‬ ‫دسته‬ ‫یک‬ ‫های‬ ‫ویژگی‬ ‫غالب‬ ‫دارای‬ ‫بندی‬ ‫دسته‬ ‫این‬ ‫که‬ ‫هستیم‬ ‫باور‬ ‫این‬ ‫بر‬. ‫باجگیرافزارها‬ ‫تشخیص‬ ‫زمینه‬ ‫در‬ ‫رسیده‬ ‫نتیجه‬ ‫به‬ ‫دانشگاهی‬ ‫روژه‬ ‫اولین‬.(‫دسترس‬ ‫در‬ ‫موجود‬ ‫اسناد‬ ‫به‬ ‫توجه‬ ‫با‬) ‫شکافی‬ ‫کالبد‬‫عملیاتی‬ ‫مراحل‬‫روتکل‬‫شده‬ ‫شناخته‬ ‫مطرح‬ ‫باجگیرافزارهای‬ ‫حمله‬. ‫بر‬ ‫بالغ‬ ‫تحلیل‬20‫مطرح‬ ‫باجگیرافزار‬. ‫تمامی‬ ‫تشخیص‬ ‫قدرت‬HSR‫موجود‬(‫مناسب‬ ‫و‬ ‫شاخص‬ ‫های‬ ‫خصیصه‬ ‫وابسته‬ ‫به‬. ) ‫تشخیص‬ ‫توانایی‬HSR‫ناشناخته‬(‫به‬‫و‬ ‫شاخص‬ ‫های‬ ‫خصیصه‬ ‫وابسته‬‫مناسب‬.) ‫بکارگیری‬ ‫و‬ ‫تشخیص‬‫خصیصه‬VSS‫بار‬ ‫اولین‬ ‫برای‬‫بدافزارها‬ ‫حوزه‬ ‫در‬. ‫به‬ ‫باینری‬ ‫از‬ ‫تشخیص‬ ‫رویکرد‬ ‫تغییر‬ ‫امکان‬‫احتماالتی‬ ‫ماهیت‬ ‫دلیل‬ ‫به‬ ‫دسته‬ ‫سه‬ ‫در‬ ‫تشخیص‬(‫بر‬ ‫منطبق‬‫یشران‬) 47/45  Ahmadian.blog.ir  www.mmAhmadian.ir
  56. 56. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫حذف‬ 47/46
  57. 57. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫شکل‬7-2:‫شده‬‫تکمیل‬ ‫باینری‬ ‫کدهای‬ ‫امضای‬ ‫گواهی‬ ‫تولید‬ ‫رویه‬[Ahmadian et al. 2015] 47/46 ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫حذف‬
  58. 58. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫شکل‬7-2:‫شده‬‫تکمیل‬ ‫باینری‬ ‫کدهای‬ ‫امضای‬ ‫گواهی‬ ‫تولید‬ ‫رویه‬[Ahmadian et al. 2015] 47/46 ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫شده‬ ‫حذف‬
  59. 59. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫آوری‬ ‫جمع‬1359‫نظیر‬ ‫خاص‬ ‫ایگاههای‬ ‫از‬ ‫نمونه‬Anubis‫مجرای‬ ‫از‬Lastline Labs 95%‫صفحه‬ ‫کننده‬ ‫قفل‬ ‫تنها‬ ‫ها‬ ‫نمونه‬ ‫از‬(NCR) ‫کل‬ ‫در‬ ‫زیاد‬ ‫های‬ ‫نمونه‬ ‫علیرغم‬15‫نشد‬ ‫آوری‬ ‫جمع‬ ‫بیشتر‬ ‫خانواده‬ ‫ها‬ ‫نمونه‬ ‫خودکار‬ ‫تحلیل‬ ‫های‬ ‫خصیصه‬ ‫به‬ ‫رسیدن‬: ‫فایل‬ ‫سیستم‬ ‫در‬ ‫طبیعی‬ ‫غیر‬ ‫های‬ ‫دسترسی‬ ‫ویندوز‬ ‫رمزنگاری‬ ‫های‬ ‫کتابخانه‬ ‫به‬ ‫دسترسی‬ ‫ها‬ ‫فایل‬ ‫کردن‬ ‫ا‬ ‫استخراج‬‫های‬ ‫فراخوان‬API‫دستکاپ‬ ‫کننده‬ ‫کنترل‬(‫مانند‬GetThreadDesktop) ‫شناسی‬ ‫جرم‬ ‫منظور‬ ‫به‬ ‫طراحان‬ ‫خصوصی‬ ‫حریم‬ ،‫باجگیرافزارها‬ ‫تجاری‬ ‫های‬ ‫بحث‬ ‫و‬ ‫و‬ ‫کوین‬ ‫بیت‬ ‫های‬ ‫آدرس‬ ‫بررسی‬ ‫نهایی‬ ‫نتیجه‬:‫نیستند‬ ‫یچیده‬ ‫آیند‬ ‫می‬ ‫نظر‬ ‫به‬ ‫که‬ ‫آنقدر‬ ‫باجگیرافزارها‬. ‫سخ‬‫ن‬‫رانی‬«Most Ransomware Isn’t As Complex As You Might Think»‫در‬BlackHat 2015 “Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks.“ , DIMVA 2015,[13] ‫بتتتر‬ ‫ای‬ ‫ادلتتته‬‫ختتتانواده‬ ‫در‬ ‫تنتتتوع‬ ‫عتتتدم‬ ‫کنونی‬ ‫باجگیرافزارهای‬ ‫تنها‬‫محدود‬ ‫های‬ ‫خصیصه‬ ‫ارائه‬‫بتر‬ ‫تمرکتز‬ ‫دلیتل‬ ‫به‬ ‫باجگیرافزارها‬ ‫کلیه‬ ‫روی‬ ‫دسترسی‬ ‫خصیصه‬ ‫بر‬ ‫حد‬ ‫از‬ ‫بی‬ ‫تاکید‬‫ط‬ ‫غیر‬‫بیعتی‬ ‫نتیجه‬ ‫در‬FP‫سازی‬ ‫یاده‬ ‫در‬ ‫باال‬ ‫موکول‬‫به‬ ‫سازی‬ ‫یاده‬ ‫کردن‬‫کاری‬ ‫آینده‬  Ahmadian.blog.ir  www.mmAhmadian.ir
  60. 60. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ " Connection-Monitor & Connection-Breaker: A Novel Approach for Prevention and Detection of High Survivable Ransomwares "Ahmadian Mohammad Mehdi, Shahriari Hamid Reza ,Ghaffarian S. Mohammad ,12th International ISC Conference on Information Security and Cryptography, August 6, 2015 . 47/47  Ahmadian.blog.ir  www.mmAhmadian.ir
  61. 61. ‫محمد‬‫مهدی‬‫احمدیان‬ ‫شهریور‬94 ‫شما‬ ‫توجه‬ ‫حسن‬ ‫از‬ ‫باتشکر‬... ‫بدافز‬ ‫با‬ ‫مقابله‬ ‫های‬ ‫نیازمندی‬ ‫تمامی‬ ‫آینده‬ ‫در‬ ‫یا‬ ‫امروز‬ ‫بتواند‬ ‫که‬ ‫مستقل‬ ‫امنیتی‬ ‫راهکار‬ ‫هیچ‬‫پوشش‬ ‫را‬ ‫ار‬ ‫ندارد‬ ‫وجود‬ ‫دهد‬!‫مجموعه‬ ‫سازی‬ ‫یکپارچه‬ ‫حل‬ ‫راه‬ ‫تنها‬‫ای‬‫است‬ ‫ها‬ ‫حل‬ ‫راه‬ ‫از‬!(David Harley)
  62. 62. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫حرف‬F‫می‬‫کننده‬‫تداعی‬ ‫تواند‬Feature‫و‬Framework‫باشد‬. ‫به‬ ‫ابتدا‬20‫برمتی‬ ‫چتارچوب‬ ‫ایتن‬ ‫دل‬ ‫در‬ ‫استخراجی‬ ‫خصیصه‬‫کته‬ ‫گتردد‬2‫خصیصته‬‫تشتخیص‬ ‫در‬ ‫آن‬ ‫هستند‬ ‫کلیدی‬ ‫بسیار‬ ‫باجگیرافزارها‬(.Twenty‫و‬2) ‫حرف‬O‫کلمه‬ ‫از‬ ‫منتخب‬ ‫حروف‬ ‫از‬ ‫یکی‬ransOmware‫است‬. ‫حرف‬X‫به‬‫خصیصه‬ ‫تعداد‬ ‫از‬ ‫متغیری‬ ‫معنای‬‫ها‬‫می‬‫باشد‬‫تعتداد‬ ‫اگرچه‬ ‫که‬ ‫است‬ ‫مفهوم‬ ‫این‬ ‫به‬ ‫و‬‫خصیصته‬‫هتای‬ ‫روژه‬ ‫این‬ ‫در‬ ‫چارچوب‬ ‫این‬20‫استخراج‬ ‫عدد‬‫شد‬‫بستی‬ ‫ختود‬ ‫بیتزی‬ ‫شبکه‬ ‫تشخیص‬ ‫موتور‬ ‫با‬ ‫چارچوب‬ ‫این‬ ‫ولی‬‫ار‬ ‫خصی‬ ‫تعداد‬ ‫این‬ ‫باجگیرافزارها‬ ‫آینده‬ ‫تغییرات‬ ‫به‬ ‫توجه‬ ‫با‬ ‫یا‬ ‫و‬ ‫صالحدید‬ ‫برحسب‬ ‫و‬ ‫است‬ ‫ذیر‬ ‫انعطاف‬‫تغییتر‬‫قابل‬ ‫صه‬ ‫باشد‬ ‫می‬. ،‫کل‬ ‫در‬‫کلمه‬Fox‫در‬‫معنی‬ ‫دو‬ ‫به‬ ‫اینجا‬‫کردن‬ ‫گیج‬ ‫و‬ ‫روباه‬‫گرد‬‫برمی‬ ‫را‬ ‫مفهوم‬ ‫این‬ ‫و‬ ‫است‬ ‫شده‬‫گرفته‬ ‫بکار‬‫کته‬ ‫اند‬ 20‫مانند‬ ‫استخراجی‬ ‫خصیصه‬20‫زیرک‬ ‫روباه‬‫باشند‬ ‫می‬‫باجگیرافزارهتای‬ ‫بتاالیی‬ ‫دقتت‬ ‫و‬ ‫باقدرت‬ ‫که‬ ‫شناسایی‬ ‫را‬ ‫ها‬‫آن‬ ‫و‬ ‫کرده‬ ‫گیج‬ ‫را‬ ‫بقاپذیر‬‫نمایند‬ ‫می‬.  Ahmadian.blog.ir  www.mmAhmadian.ir
  63. 63. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/24 ‫دهنده‬‫تشخیص‬ ‫تابع‬ ‫بازتعریف‬]22[  Ahmadian.blog.ir  www.mmAhmadian.ir
  64. 64. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ 47/24
  65. 65. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫ای‬‫یچیده‬ ‫های‬‫مکانیزم‬ ‫دارای‬ ‫بدافزارها‬ ‫این‬‫و‬ ‫باشند‬ ‫می‬‫م‬ ‫و‬ ‫یشتگیری‬ ،‫هتا‬‫آن‬ ‫بتا‬ ‫مقابلته‬ ‫بترای‬ ‫کار‬‫راه‬ ‫بهترین‬‫ستدود‬ ‫است‬ ‫سیستم‬ ‫به‬ ‫ها‬‫آن‬ ‫نفو‬ ‫های‬‫راه‬ ‫نمودن‬.‫که‬ ‫گردد‬‫می‬ ‫توصیه‬ ‫منظور‬ ‫همین‬ ‫به‬: ‫حساس‬ ‫های‬‫داده‬ ‫تمامی‬ ‫از‬ ‫شتیبان‬ ‫نسخه‬ ‫یک‬ ‫منظم‬ ‫طور‬‫به‬‫تهیه‬‫کنید‬. ‫یک‬ ‫از‬ ً‫ا‬‫حتم‬‫ضدبدافزار‬‫کنید‬ ‫استفاده‬ ‫شود‬‫می‬ ‫روزرسانی‬‫به‬ ‫مرتب‬ ‫طور‬‫به‬ ‫که‬. ‫عامل‬‫سیستم‬ ‫فایروال‬ ‫که‬ ‫کنید‬ ‫دقت‬ً‫ا‬‫حتم‬‫باشد‬ ‫شده‬ ‫یکربندی‬ ‫درستی‬ ‫به‬ ‫و‬ ‫بوده‬ ‫فعال‬. ‫الکترونی‬ ‫های‬‫نامه‬ ‫یوست‬ ‫یا‬ ‫و‬ ‫ها‬‫لینک‬ ‫روی‬ ‫بر‬ ،‫دارید‬ ‫اعتماد‬ ‫فرستنده‬ ‫به‬ ‫که‬ ‫صورتی‬ ‫در‬ ‫تنها‬‫کلیتک‬ ‫کتی‬ ‫کنید‬. ‫نمایید‬ ‫حاصل‬ ‫اطمینان‬ ‫خود‬ ‫وب‬ ‫مرورگر‬ ‫تنظیمات‬ ‫درستی‬ ‫از‬. ‫آلتوده‬ ‫از‬ ،‫ناشتناس‬ ‫هتای‬‫ستایت‬‫وب‬ ‫از‬ ‫بازدید‬ ‫از‬ ‫ی‬ ‫و‬ ‫نموده‬ ‫خودداری‬ ‫رخطر‬ ‫های‬‫سایت‬‫وب‬ ‫بازدید‬ ‫از‬ ‫نمایید‬ ‫حاصل‬ ‫اطمینان‬ ‫ها‬‫آن‬ ‫نبودن‬. ‫را‬ ‫خود‬ ‫استفاده‬ ‫مورد‬ ‫افزارهای‬‫نرم‬ ،‫مرتب‬ ‫طور‬‫به‬‫روزرسانی‬‫به‬‫کنید‬.  Ahmadian.blog.ir  www.mmAhmadian.ir
  66. 66. ‫م‬.‫احمدیان‬ ‫مهدی‬-‫امن‬ ‫های‬ ‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬-‫امیرکبیر‬ ‫صنعتی‬ ‫دانشگاه‬ ‫بعد‬‫باجگیرافزارهتای‬ ‫ویتای‬ ‫و‬ ‫ایستتا‬ ‫تحلیتل‬ ،‫باجگیرافزارهتا‬ ‫عمتومی‬ ‫ماهیت‬ ‫بررسی‬ ‫از‬،‫مختلتف‬‫بررستی‬‫ک‬‫لیته‬ ‫شده‬‫ارائه‬ ‫بندی‬‫دسته‬ ‫اساس‬ ‫بر‬ ‫و‬ ‫بدافزارها‬ ‫تشخیص‬ ‫و‬ ‫تحلیل‬ ‫های‬‫روش‬‫به‬‫که‬ ‫برخوردیم‬ ‫چال‬ ‫این‬‫تشخ‬‫کلیه‬ ‫یص‬ ‫برخی‬ ‫همپوشانی‬ ‫و‬ ‫ها‬‫آن‬ ‫اتی‬ ‫تنوع‬ ‫علت‬ ‫به‬ ‫باجگیرافزارها‬‫ها‬ ‫خصیصه‬‫این‬ ‫حوزه‬ ‫از‬ ‫بدافزارها‬ ‫سایر‬ ‫با‬‫تروژ‬‫ختارج‬ ‫ه‬ ‫است‬. ‫سویی‬ ‫از‬‫باجگیرافزارهای‬ ‫تشخیص‬NHSR‫از‬‫نیست‬ ‫برخوردار‬ ‫باالیی‬ ‫اهمیت‬‫و‬ ‫زمان‬ ‫صرف‬ ‫با‬ ‫توان‬‫می‬ ‫اگرچه‬ ‫زیرا‬ ‫توجه‬‫قابل‬ ‫نیروی‬‫ای‬ ‫سامانه‬‫به‬ ‫سامانه‬ ‫این‬ ‫اما‬ ‫دهد‬ ‫تشخیص‬ ‫را‬ ‫باجگیرافزارها‬ ‫اکثر‬ ‫بتواند‬ ‫که‬ ‫کرد‬ ‫ارائه‬‫ماهیت‬ ‫دلیل‬ ‫ن‬ ‫چندانی‬ ‫قابلیت‬ ‫هستیم‬ ‫متصور‬ ‫ها‬‫آن‬ ‫برای‬ ‫آینده‬ ‫در‬ ‫که‬ ‫روندی‬ ‫و‬ ‫باجگیرافزارها‬ ‫متنوع‬ ‫بسیار‬ ‫رفتاری‬‫داشت‬ ‫خواهد‬ ‫گرفت‬ ‫خواهد‬ ‫قرار‬ ‫موردبحث‬ ‫نیز‬ ‫آن‬ ‫عملکرد‬ ‫و‬ ‫کارایی‬ ً‫ا‬‫قطع‬ ‫و‬. ‫ها‬ ‫هزینه‬ ‫باوجود‬‫ای‬‫رایانه‬ ‫سیستم‬ ‫به‬ ‫باجگیرافزارها‬ ‫همگانی‬ ‫تشخیص‬ ‫سیستم‬ ‫یک‬ ‫که‬ ‫سرباری‬ ‫و‬‫اعمال‬‫می‬ ‫کند‬‫باجگیرافزارهتا‬ ‫حمتالت‬ ‫برابتر‬ ‫در‬ ‫اولیته‬ ‫وضعیت‬ ‫به‬ ‫سیستم‬ ‫بازگردانی‬ ‫که‬ ‫حالتی‬ ‫در‬NHSR،‫کتاری‬ ‫است‬ ‫ممکن‬‫مشخص‬ ‫همگانی‬ ‫تشخیص‬ ‫سامانه‬ ‫این‬ ‫وجود‬ ‫ایین‬ ‫اهمیت‬‫گردد‬‫می‬.  Ahmadian.blog.ir  www.mmAhmadian.ir

×