محافظت از سيستم عامل در مقابل جاسوس افزارها و منحرف سازي آن‌ها

Protection of Operation System against Spywares and their Diversion

در اين مقاله روش جديدي براي شناسايي، رهگيري و مقابله با جاسوس افزارها به ويژه ضبط كننده‌هاي صفحه كليد، مسدود كننده‌ها و تصويربردارها از صفحه نمايش ارايه شده است. در اين روش تشخيص جاسوس افزارها بر مبناي تحليل رفتار آنها به صورت پويا انجام مي‌شود و پس از تشخيص وجود جاسوس افزار، اقدام به رهگيري براي شناسايي پردازه، فايل‌هاي اجرايي روي ديسك سخت و تعامالات جاسوس افزار با شبكه در يافتن مقصد مورد نظر جاسوس افزار و اطلاعات سرقتي مي‌نمايد. روش پيشنهادي پس از رهگيري، اقدام به مقابله با بدافزارهاي مذكور مي‌كند اين مقابله شامل ختم اجباري پردازه رهگيري شده، حذف فايل اجرايي آن از ديسك سخت يا منحرف سازي جاسوس افزارها با تحويل اطلاعات غلط و تغيير مقصد آنها مي‌باشد در اين طرح، رهگيري و مقابله توسط دايورهايي در سطح هسته سيستم عامل، پيشنهاد و پياده‌سازي شده است تا به صورت مستقل از توابع سامانه اي سطح كاربر و محدوديت‌هاي اعمالي سيستم عامل عمل نمايد. اين مقاله همچنين، امنيت سامانه پيشنهادي را مورد بررسي قرار داده و راهكاري براي مقابله با مسدود كننده‌ها و نحوه ساخت يك صفحه كليد مجازي امن و غير قابل رهگيري نيز ارايه مي‌دهد تا بتوان به هدف اصلي اين مقاله كه ايمن كردن محيط سيستم عامل از وجود جاسوس-افزارها مي‌باشد، دست يافت. در اين مقاله كارايي روش پيشنهادي از نظر ميزان دقت در كشف و مقابله موثر با جاسوس افزارها ارزيابي شده و نشان داده مي‌شود كه روش پيشنهادي مي‌تواند با دقت نزديك به 96 درصد وجود جاسوس افزارها را تشخيص و با موفقيت 100 درصد سيستم عامل را از وجود جاسوس افزارهاي كشف شده تميز دهد و با مقايسه با برترين برنامه‌هاي ضد جاسوس افزارها در دنيا نشان داده مي‌شود كه روش پيشنهادي از ابعاد مختلف كاملاً قابل رقابت و در مواردي برتر از نمونه‌هاي خارجي است.

In this article, a new method for detection and interception of Spywares specifically key loggers, blockers and screen recorders is proposed. After detecting a malicious behavior, at run time by dynamic behavioral analysis, its corresponding process and executable file are located. All the interaction of the underlying network are logged and analyzed to extract the destination and source of the stolen information which was support to be transferred by the spyware. After the malicious code is analyzed, the process in the main memory is terminated and its executable and image files are removed from the hard disk, in addition it can deliver junk information to spyware or caused diversion of its destination. The proposed method tracks and intercepts malicious code through the kernel drivers belonging to the operation system. In this way, all the system functions in user mode and all the limitations and constraint imposed by the operating system can be bypassed and ignored. In this article, the security of the proposed method is also considered and a new method for interception of blockers and construction of secure virtual keyboards is presented. In this way, the main target of the proposed method to secure the operation system environment of any spywares can be achieved. Finally, the accuracy of detection and success reaction against spywares are evaluated. The accuracy was 96% and reaction rate was 100%. Comparing these results with top famous anti-spyware application proved that the proposed methods is competitive and is better in some features.