تعرف إليها قبل أن تتعرف إليك.. أبرز لغات البرمجة لتحليل وقراءة الفيروسات

تعاني الشركات والأفراد من خطر الهجوم السيبراني المتمثل بأحد البرامج الضارة كالفيروسات. ولتفادي ذلك تلجأ معظمها لشراء وتفعيل أدوات مكافحة الفيروسات على أجهزتها بهدف حماية البيانات. ولكن ما هو مبدأ عمل تلك الأدوات وكيف يمكنها معرفة الملفات المصابة؟. ولماذا تتفاوت أدوات مكافحة الفيروسات من حيث الفعالية وحجم قاعدة البيانات؟. يعود أحد أسباب ذلك إلى قوة لغة البرمجة التي صُممت بها الأداة. ولاكتشاف أبرز لغات البرمجة المستخدمة لتحليل وقراءة الفيروسات يمكنك مرافقتنا في هذا المقال.

يجب الحذر من الفيروسات فهي من عائلة البرامج الضارة. والتي تشمل كلًا من الفيروسات وحصان طروادة ودودة الشبكة والباكدور (Backdoor) والبوتنت (Botnet) والروتكت (Rootkit). وغيرها الكثير من الأنواع التي تتوزع مهامها بين تسريب معلومات جهاز الضحية أو حذفها أو تغييرها. وبين استثمار جهاز الضحية للوصول لأجهزة أخرى مرتبطة به بهدف استغلالها أو إتلاف مكوناتها. ولكن بغض النظر عن أنواع الفيروسات والبرامج الضارة ومدى خطورة كل نوع منها وتأثيره على بيانات الشبكة والحاسوب ومكوناته. إلا أنه يجب معرفة أن جميع أنواع الفيروسات لم تُخلق من العدم أو من خلل بكود ما.

بل هي بُرمجت من قبل شركات ومبرمجين لتحقيق أهداف مالية أو لغايات خاصة تتمثل باختبار قوة الأمن السيبراني لبعض المؤسسات. وبما أن تهديد الفيروسات يكلف المجتمع ملايين الدولارات سنويًا، فهذا استدعى بناء طريقة فعالة لمكافحتها فظهرت فكرة تحليل البرامج الضارة. والتي سنأخذ فكرة بسيطة عنها بالفقرة التالية.

تحليل البرامج الضارة هو خطوة استباقية في مجال الأمن السيبراني فهي تسمح لك بالكشف عن التهديدات المحتملة لموقعك ولمكونات جهازك وبياناته بشكل فعلي عن طريق دراسة سلوك الروابط والملفات المشبوهة في بيئة افتراضية. تساعد عملية تحليل وقراءة الفيروسات في تحديد المصادر المحتملة للتهديدات وبالتالي معرفة طرق انتشار الفيروس ضمن الشبكة. عدا عن المساعدة الكبيرة التي تقدمها هذه الطريقة في دراسة التغيرات التي تحصل ضمن جهاز الضحية وبالتالي الحفاظ على سلامة النظام.

دون التعرف على الفيروسات وسلوكها لن تستطيع مواجهتها. ولحسن الحظ تتوافر بعض الطرق لتحليل وقراءة الفيروسات مثل طريقة التحليل الثابت وطريقة التحليل الديناميكي.

يلجأ خبراء الأمن السيبراني إلى أسلوب التحليل الثابت لدراسة كامل كود البرنامج وتحديد وظيفته دون الحاجة إلى تشغيله. فبداية يمكن استخدام أدوات مكافحة الفيروسات لمقارنة بيانات البرنامج المشتبه به مع قاعدة الملفات التي تملكها تلك البرامج. وبعد ذلك تُستعمل أدوات إنتاج الهاش مثل برنامجWinMD5 لتوليد بصمة فريدة تميز البرنامج عن غيره في أثناء دراسته من قبل محللين آخرين. تحتاج الخطوة التالية لفك ضغط الملفات (يمكنك استخدام برنامج Exeinfo PE) للسماح للجدران النارية باستكشاف الفيروسات المختبئة ضمن الملفات. وأخيرًا تبدأ عملية استخراج النصوص من البرنامج المشتبه به لدراسة وظائفه وسلوكه.

نلجأ في طريقة التحليل الديناميكي إلى تشغيل الفيروسات ومراقبة نشاطها الفعلي على جهاز الضحية. ضمن بيئة معزولة خاصة بدراسة الفيروسات المفعلة، وبذلك نحمي النظام الأساسي من الضرر الناتج عن تشغيلها. الخطوة الأولى لتنفيذ التحليل الديناميكي هو تجهيز بيئة مادية أو افتراضية متصلة بالإنترنت ومتوافقة تمامًا مع البيئة الحقيقة للحاسوب. فذلك يسمح بدراسة التأثير الفعلي للفيروسات على مكونات نظامنا.

الخطوة التالية هي مراقبة الملفات والريجسترات (Registers) الخاصة بنظام التشغيل والمعالج. ويمكنك استخدام برنامج processor monitor (procmon) من مايكروسفت لهذه المهمة. ولمراقبة العمليات ضمن المعالج سنلجأ لتشغيل برنامج process Explorer من مايكروسفت أيضًا. كما تجب مراقبة طلبات البرنامج وحالة الريجستر قبل وبعد تفعيل الفيروس ويساعد برنامج Regshot في ذلك. لدراسة تأثير الفيروسات على الشبكة ينصح باستخدام أداة ApateDNS لمعرفة طلبات DNS. ثم يمكنك استخدام برنامج Wiresshark المسؤول عن تسجيل جميع البيانات وحركات المرور ضمن الشبكة.

وأخيرًا تأتي مرحلة المقارنة بين حالة النظام قبل وبعد تشغيل الفيروس. وبذلك تستطيع معرفة آثار الفيروسات على جهازك دون تهديد أمن وسلامة البيانات. بعد أخذنا لمحة بسيطة عن أساليب دراسة الفيروسات يمكننا الآن التعرف إلى أبرز لغات البرمجة لتحليل وقراءة الفيروسات.

تستخدم لغة سي بلس بلس في صناعة الفيروسات فهي تستطيع التعامل على مستوى البت وبالتالي إمكانية التحكم بذاكرة الحاسوب. ولكن بإمكان هذه اللغة أيضًا صناعة مضادات الفيروسات فهي تسمح بالتعامل مع الكود الأصلي للفيروس وتحليل الملفات التي يشغلها. كما بإمكانها مراقبة البيانات الشبكية التي يولدها. وذلك من خلال عدة مكتبات تتضمنها لغة سي بلس بلس مثل:

مكتبةlibemu مفتوحة المصدر والتي يمكنها تحليل أجزاء معينة من كود الفيروس لمعرفة سلوكه. وغالبًا ما تستخدم هذه الأداة في الهندسة العكسية ودراسة سلوك للفيروسات قبل تشغيلها. لذلك ينشط استخدامها في طريقة التحليل الثابت.

مكتبة OllyDbg تستخدم من قبل الباحثين الأمنيين لدراسة تأثير الفيروس على جهاز الضحية بعد تشغيله. فهي تستطيع التعامل مع الملفات المضغوطة للكشف عن الفيروسات المضمنة بها. وبذلك تكون الخيار المفضل عند اتباع طريقة التحليل الديناميكي.

كما يوجد العديد من الأدوات الأخرى المكتوبة بلغة سي بلس بلس. مثل أداة IDA pro وWinDbg وImmunity Debugger والتي تهدف جميعها إلى تحليل البرامج وفك تشفيرها وتصحيحها.

تعد البايثون من أقوى لغات البرمجة المسؤولة عن تحليل وقراءة الفيروسات. لما تتضمنه هذه اللغة من أدوات متخصصة بالأمن السيبراني وحماية البيانات والتعامل مع الملفات والشبكات وأهم هذه الأدوات:
Nmap هي أداة مفتوحة المصدر تستخدم لفحص الشبكة ومعرفة المتصلين بها إضافة إلى اكتشاف الثغرات الأمنية لجدار الحماية.
Scapi إحدى مكتبات بايثون المتخصصة في حماية الشبكة ومراقبة عمليات الإرسال والاستقبال عبرها. وهذا يسمح باستكشاف الأخطاء لتطوير برتوكول الشبكة وحمايته من عمليات الاختراق.
كما تتوافر أدوات أخرى مثل Regex المهتمة بالبحث عن النصوص ومطابقتها لأنماط محددة وأداة Boto3 المستخدمة بالخدمات السحابية وخدمات الشبكة.

مرونة لغة فيجوال بيسك (Visual Basic for Applications (VBA)) تسمح للباحثين الأمنيين بكتابة برامج أو مقاطع برمجية محددة. بهدف تحليل جداول البيانات والصفحات والملفات والفيروسات واستخراج النصوص البرمجية الضارة المكونة لها. كما تمكنك هذه اللغة من اكتشاف الثغرات الأمنية الموجودة ضمن الشبكة. ومن أشهر أدوات لغة فيجوال بيسك نذكر:
VBA Dictionary هذه الأداة تمكنك من فحص الملفات والصفحات وجداول البيانات بشكل جزئي والتأكد من خلوها من الفيروسات.
MalHunter تبحث هذه الأداة عن الفيروسات الخارجية المتواجدة ضمن مصدر الملف البرمجي، ما يسمح بتحديد وكشف التهديدات المحتملة.
VBA Emulator تتيح هذه الأداة إمكانية فحص وتحليل الكود البرمجي بحثًا عن الفيروسات والبرامج الضارة.
وإلى هنا نكون قد استعرضنا مفهومي الفيروسات وتحليل البرامج الضارة مع ذكر أبرز لغات البرمجة لتحليل وقراءة الفيروسات. مع بعض أدواتها ومكتباتها ولكن يبقى لديك خيار التوسع والبحث عن الأدوات الصحيحة لتحليل الفيروسات. والحفاظ على المعلومات الشخصية والشبكات بعيدًا عن خطر التهديدات المتزايدة يوميًا.