يحدد رمز الوظيفة (FC) الموجود في رأس البرقية نوع البرقية، مثل برقية الطلب (طلب أو إرسال/طلب) وبرقية الإقرار أو الاستجابة (إطار الإقرار، إطار الاستجابة). بالإضافة إلى ذلك، يحتوي رمز الوظيفة على وظيفة الإرسال الفعلية ومعلومات التحكم التي تمنع فقدان الرسائل وتكرارها، أو نوع المحطة مع حالة FDL.

7	6	5	4	3	2	1	0	FC: طلب رمز الوظيفة
	1							طلب برقية
			X					FCV = البت البديل قيد التشغيل
		X						href=”http://profibus.felser.ch/en/funktionscode.htm#aufruffolgebit”>FCB = البت البديل (من عدد الإطارات)
1				0 (0x0)				السيرة الذاتية = قيمة الساعة ()
1				آخر				محجوز
0				0 (0x0)				TE = حدث الوقت (مزامنة الساعة)
0				3 (0x3)				SDA_LOW = تم الإقرار بإرسال البيانات - أولوية منخفضة
0				4 (0x4)				SDN_LOW = لم يتم الإقرار بإرسال البيانات - أولوية منخفضة
0				5 (0x5)				SDA_HIGH = تم الإقرار بإرسال البيانات - أولوية عالية
0				6 (0x6)				SDN_HIGH = لم يتم الإقرار بإرسال البيانات
0				7 (0x7)				MSRD = إرسال بيانات الطلب مع رد البث المتعدد
0				9 (0x9)				طلب حالة FDL
0				12(0×ج)				SRD منخفض = إرسال البيانات وطلبها
0				13(0×د)				SRD مرتفع = إرسال البيانات وطلبها
0				14(0xE)				طلب الهوية مع الرد
0				15 (0xF)				طلب حالة LSAP مع الرد 1)
0				آخر				محجوز

1) هذه القيمة موجودة في الإصدار الأخير من المعيارلم يتم تحديدها ولكن بعد الآن محفوظة فقط

7	6	5	4	3	2	1	0	FC: الاستجابة لرمز الوظيفة
	0							برقية الرد
0								محجوز
		0	0					عبد
		0	1					سيد غير جاهز
		1	0					سيد جاهز، دون رمز
		1	1					سيد جاهز، في حلقة رمزية
				0 (0x0)				نعم
				1 (0x1)				UE = خطأ المستخدم
				2 (0x2)				RR = لا توجد موارد
				3 (0x3)				RS = SAP غير ممكّن
				8 (0x8)				DL = انخفاض البيانات (الحالة العادية مع DP)
				9 (0x9)				NR = لا توجد بيانات استجابة جاهزة
				10(0xأ)				DH = ارتفاع البيانات (في انتظار تشخيص DP)
				12(0×ج)				RDL = البيانات غير المستلمة والبيانات منخفضة
				13(0×د)				RDH = البيانات غير المستلمة والبيانات عالية
				آخر				محجوز

بتة عدد الإطارات تمنع بتة عدد الإطارات FCB (b5) تكرار الرسالة من قبل محطة الإقرار أو الاستجابة (المستجيب) وأي خسارة من قبل محطة الاتصال (البادئ). تُستثنى من ذلك الطلبات بدون إقرار (SDN) وحالة FDL وطلبات الهوية وطلبات حالة LSAP.

بالنسبة للتسلسل الأمني، يجب على البادئ أن يحمل FCB لكل مستجيب. عند إرسال برقية طلب (طلب أو إرسال/طلب) إلى أحد المستجيبين للمرة الأولى، أو إذا تمت إعادة إرسالها إلى مستجيب تم وضع علامة عليه حاليًا على أنه غير عامل، فيجب تعيين FCB على النحو المحدد في المستجيب. يحقق البادئ ذلك في برقية طلب مع FCV=0 وFCB=1. يجب على المستجيب تقييم برقية من هذا النوع باعتبارها دورة الرسالة الأولى وتخزين FCB=1 مع عنوان البادئ (SA) (انظر الجدول التالي). لن يتم تكرار دورة الرسالة هذه بواسطة البادئ. في برقيات الطلب اللاحقة إلى نفس المستجيب، يجب على البادئ تعيين FCV=1 وتغيير FCB مع كل برقية طلب جديدة. يجب على أي مستجيب يتلقى برقية طلب موجهة إليه بـ FCV=1 تقييم FCB. إذا تغير FCB عند مقارنته بآخر برقية طلب من نفس البادئ (نفس SA)، فهذا تأكيد صحيح بأن دورة الرسالة السابقة قد اختتمت بشكل صحيح. إذا كانت برقية الطلب تنشأ من بادئ مختلف (SA مختلف)، فلن يعد تقييم FCB ضروريًا. في كلتا الحالتين، يجب على المستجيب حفظ FCB مع مصدر SA حتى استلام برقية جديدة موجهة إليه. في حالة فقدان أو ضعف الإقرار أو برقية الاستجابة، يجب عدم تغيير FCB بواسطة البادئ في إعادة محاولة الطلب: سيشير هذا إلى أن دورة الرسالة السابقة كانت خاطئة. إذا تلقى المستجيب برقية طلب تحتوي على FCV=1 ونفس FCB مثل برقية الطلب الأخيرة من نفس البادئ (نفس SA)، فسيشير هذا إلى إعادة محاولة الطلب. ويجب على المستجيب بدوره إعادة إرسال برقية الإقرار أو الرد التي كانت جاهزة. حتى التأكيد المذكور أعلاه أو استلام برقية بعنوان مختلف (SA أو DA) لم يتم الإقرار بها (إرسال البيانات بدون إقرار، SDN) يجب على المستجيب الاحتفاظ بآخر إقرار أو برقية استجابة استعدادًا لأي إعادة محاولة طلب محتملة . في حالة برقيات الطلب التي لم يتم الإقرار بها وبحالة طلب FDL والهوية وحالة LSAP، FCV=0 وFCB=0؛ التقييم من قبل المستجيب لم يعد ضروريا.

ب5	ب4	موقف بت
بايرن ميونخ	FCV	حالة	معنى	فعل
0	0	دا = تيسي/127	الطلب دون الاعتراف طلب حالة FDL/الهوية/حالة LSAP	حذف الإقرار الأخير
0/1	0/1	دا#TS	طلب إلى مستجيب آخر
1	0	دا = تيسي	الطلب الأول	FCBM:= 1 سام:=سا حذف الإقرار/الاستجابة الأخيرة
0/1	1	دا = تيسي سا = سام FCB#FCBM	طلب جديد	حذف الإقرار/الاستجابة الأخيرة FCBM:=FCB احتفظ بالإقرار/الاستجابة استعدادًا لإعادة المحاولة
0/1	1	دا = تيسي سا = سام FCB = FCBM	إعادة محاولة الطلب	FCBM:=FCB كرر الإقرار/الاستجابة واستمر في الاستعداد
0/1	1	دا = تيسي سا#سام	بادئ جديد	FCBM:=FCB SAM:= SA احتفظ بالإقرار/الاستجابة استعدادًا لإعادة المحاولة

FCBM يخزن FCB في الذاكرة SAM يخزن SA في الذاكرة

يعد البحث عن طريق فحص الملفات من الأنواع المعروفة (أو، كما يقال غالبًا، البحث عن الملفات عن طريق التوقيع) أحد أكثر الطرق فعالية المستخدمة في الأداة المساعدة لاستعادة البيانات R-Studio. يتيح لك استخدام توقيع معين استعادة ملفات من نوع معين في حالة فقدان (تالف) المعلومات الموجودة على بنية الدليل وأسماء الملفات جزئيًا أو كليًا.

عادةً ما يتم استخدام جدول تقسيم القرص لتحديد موقع الملفات. إذا قمت بمقارنة قرص بكتاب، فسيكون جدول الأقسام مشابهًا لجدول محتوياته. عند المسح، يبحث برنامج R-Studio عن أنواع الملفات المعروفة في جدول أقسام القرص باستخدام توقيعات محددة معينة. أصبح هذا ممكنًا بفضل حقيقة أن كل نوع ملف تقريبًا له توقيع فريد أو نمط بيانات. يتم العثور على توقيعات الملف في مكان محدد في بداية الملف وفي كثير من الحالات أيضًا في نهاية الملف. عند إجراء المسح الضوئي، يقوم برنامج R-Studio بمطابقة البيانات التي تم العثور عليها مع توقيعات أنواع الملفات المعروفة، مما يسمح بالتعرف عليها واستعادة بياناتها.

باستخدام تقنية فحص أنواع الملفات المعروفة، يسمح لك برنامج R-Studio باستعادة البيانات من الأقراص التي تمت إعادة تهيئتها والتي تمت الكتابة فوق جداول الأقسام الخاصة بها. علاوة على ذلك، إذا تمت الكتابة فوق أحد أقسام القرص أو تلفه أو حذفه، فإن فحص أنواع الملفات المعروفة هو الخيار الوحيد.

لكن كل شيء تقريبًا له عيوبه، وأنواع الملفات المعروفة المستخدمة في R-Studio ليست استثناءً. لذلك، عند فحص أنواع الملفات المعروفة، يسمح لك برنامج R-Studio باستعادة الملفات غير المجزأة فقط، ولكن، كما ذكرنا سابقًا، تكون هذه هي أحدث طريقة ممكنة في معظم الحالات.

يتضمن R-Studio بالفعل توقيعات لأنواع الملفات الأكثر شيوعًا (view القائمة الكاملةيمكن العثور على الملفات ذات الأنواع المعروفة في قسم تعليمات R-Studio Online.)

إذا لزم الأمر، يمكن للمستخدم إضافة أنواع ملفات جديدة إلى R-Studio. على سبيل المثال، إذا كنت بحاجة إلى البحث عن ملفات من نوع فريد، أو تلك التي تم تطويرها بعد تاريخ الإصدار الأخير من R-Studio، فيمكنك إضافة توقيعاتك الخاصة إلى الملفات ذات الأنواع المعروفة. سيتم مناقشة هذه العملية بعد ذلك.

الملفات المخصصة للأنواع المعروفة
يتم تخزين التوقيعات المخصصة لأنواع الملفات المعروفة في ملف XML المحدد في مربع حوار الإعدادات. تتكون إضافة التوقيع من جزأين:

1. تحديد توقيع الملف الموجود في بداية الملف، وفي حال وجوده، في نهايته.
2. قم بإنشاء ملف XML يحتوي على توقيع الملف ومعلومات أخرى حول نوع الملف.

كل هذا يمكن القيام به باستخدام برنامج R-Studio. وفي الوقت نفسه، لا تحتاج إلى أن تكون خبيرًا في مجال إنشاء (تحرير) مستندات XML أو في مجال التحرير السداسي العشري - في هذا الدليل (المقالة) الذي يستهدف المستخدم نفسه مستوى الدخول، سيتم مناقشة جميع مراحل هذه العملية بالتفصيل.

مثال: إضافة توقيع لملف MP4 (XDCam-EX Codec)
دعونا نلقي نظرة على إضافة توقيع ملف باستخدام مثال ملف .MP4 الذي تم إنشاؤه باستخدامه باستخدام سوني XDCAM-EX. يمكنك استخدامه، على سبيل المثال، في حالة تلف بطاقة SD للملفات التي لم تتمكن بعد من حفظها على القرص الصلب لجهاز الكمبيوتر الخاص بك.

المرحلة الأولى: تحديد توقيع الملف
لتحديد توقيع الملف، خذ بعين الاعتبار أمثلة لملفات بنفس التنسيق.

لنفترض أن هذه أربعة ملفات فيديو من Sony XDCAM-EX:
ZRV-3364_01.MP4
ZRV-3365_01.MP4
ZRV-3366_01.MP4
ZRV-3367_01.MP4

ولتسهيل النظر، فلتكن هذه ملفات صغيرة. من الصعب عرض الملفات الأكبر حجمًا بالتنسيق الست عشري.

1. افتح الملفات في برنامج R-Studio. للقيام بذلك، انقر بزر الماوس الأيمن على كل ملف وحدد عرض/تحرير من قائمة السياق.

2. دعونا نقارن الملفات. سوف نبحث عن نفس النمط الموجود في الملفات الأربعة. سوف يظهر توقيع الملف. عادة، يتم العثور على توقيعات الملف في بداية الملف، ولكن في بعض الأحيان في النهاية.

3. حدد توقيع الملف في بداية الملف. في مثالنا، يقع في بداية الملف. لاحظ أن هذا لا يحدث دائمًا - غالبًا ما يكون توقيع الملف في بداية الملف، ولكن ليس في السطر الأول (الإزاحة).

من الصور أدناه، يبدو أن محتويات الملفات الأربعة مختلفة، ولكنها جميعها تبدأ بنفس توقيع الملف.


انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

المنطقة المميزة في الصور هي توقيع الملف لهذا النوع من الملفات. يتم تقديمه في كل من النص والتنسيق الست عشري.

في النموذج النصي، يبدو توقيع الملف كما يلي:
....ftypmp42....mp42........مجاناً

تشير النقاط (".") إلى الأحرف التي لا يمكن تمثيلها في نموذج نصي. لذلك، من الضروري أيضًا توفير الشكل السداسي العشري لتوقيع الملف:
00 00 00 18 66 74 79 6D 70 34 32 00 00 00 00 6D 70 34 32 00 00 00 00 00 00 00 08 66 72 65 65

4. بنفس الطريقة، نحدد توقيع الملف، ولكن في نهاية الملف. قد يكون توقيع ملف مختلفًا وطولًا مختلفًا.

توضح الصور أدناه توقيع الملف في نهاية الملف:


انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

يرجى ملاحظة أن البيانات الموجودة قبل المنطقة المحددة (توقيع الملف) هي نفسها في جميع الملفات الأربعة. هذه معلومات فنية لا تمثل توقيع ملف، ولكنها تشير إلى أن جميع الصور (الملفات) الأربع تم التقاطها باستخدام نفس الكاميرا وبنفس المعلمات. من الممكن عادةً التمييز بين أنماط المطابقة والمعلومات التقنية من توقيع الملف. في مثالنا، في السطر الأخير قبل بدء توقيع الملف، نرى النص "RecordingMode type="normal""، والذي يشير بوضوح إلى أن هذا نوع من معلمات الملف، وليس توقيعًا. انتبه دائمًا لهذا السطر حتى لا يتم تضمينه عن طريق الخطأ المعلومات التقنيةجزء من توقيع الملف

في حالتنا، توقيع الملف هو النص التالي:
...
دعنا نذكرك أن النقاط تشير إلى أحرف لا يمكن تمثيلها في شكل نص.

في النظام الست عشري، يبدو توقيع الملف كما يلي:
3N 2F 4E 6F 6E 52 65 61 6N 54 69 6A 65 4A 65 74 61 3E 0D 0A 00
يرجى ملاحظة: التوقيع لن يكون دائمًا في نهاية الملف.

المرحلة الثانية: إنشاء ملف XML يصف نوع الملف المعروف
الآن، بعد تحديد توقيع الملف، يمكنك إنشاء ملف XML وتضمين نوع الملف المقابل في R-Studio. ويمكن القيام بذلك بطريقتين:

2.1 استخدام المدمج في محرر الرسوم البيانيةتوقيعات الملف:
حدد عنصر الإعدادات من القائمة "أدوات"، وفي مربع الحوار "الإعدادات" الذي يفتح، انقر فوق علامة التبويب "أنواع الملفات المعروفة" ثم انقر فوق الزر "تحرير أنواع ملفات المستخدم".

انقر على الصورة لتكبيرها

انقر فوق الزر "إنشاء نوع ملف" في مربع الحوار "تحرير أنواع ملفات المستخدم".
اضبط الخيارات التالية:

• المعرف - معرف رقمي فريد. سيتم اختيار هذا الرقم بشكل عشوائي؛ الشيء الوحيد هو أنه لا ينبغي أن يتطابق مع المعرف الرقمي لأي نوع ملف آخر.
• وصف المجموعة - المجموعة التي سيتم وضع الملفات الموجودة فيها في R-Studio. يمكنك تعيين إما مجموعة جديدة، أو تحديد واحدة من تلك الموجودة بالفعل. بالنسبة لنا ستكون هذه مجموعة "فيديو الوسائط المتعددة (الوسائط المتعددة: فيديو)".
• وصف - وصف موجزنوع الملف. في مثالنا، يمكنك استخدام، على سبيل المثال، "Sony cam video, XDCam-EX".
• الامتداد - امتداد الملفات من هذا النوع. في حالتنا - mp4.

تعد معلمة الميزات اختيارية، وفي حالتنا لا نحتاج إلى استخدامها.

انقر على الصورة لتكبيرها

بعد ذلك، تحتاج إلى إدخال توقيع ملف البداية والنهاية. للقيام بذلك، حدد البدء، ثم أدخل قائمة السياقأمر إضافة التوقيع.

انقر على الصورة لتكبيرها

ثم انقر مرتين على الحقل<пустая сигнатура> () وأدخل النص المناسب.

انقر على الصورة لتكبيرها

ثم قم بإنشاء توقيع الملف النهائي. تأكد من إدخال 21 في العمود من.

انقر على الصورة لتكبيرها

لقد نجحت في إنشاء توقيعك الخاص لأنواع الملفات المعروفة.

الآن أنت بحاجة إلى حفظه. هناك طريقتان: يمكنك إما حفظه في الملف الافتراضي المحدد في علامة التبويب الرئيسية في مربع الحوار "الإعدادات" بالنقر فوق الزر "حفظ". أو انقر فوق الزر "حفظ باسم..." واحفظ التوقيع في ملف آخر.

2.2 إنشاء ملف XML يدويًا يصف نوع ملف معروف:
لإنشاء هذا الملفلنستخدم الإصدار 1.0 من XML وترميز UTF-8. لا تيأس إذا كنت لا تعرف ما هو - فقط افتح أيًا منها محرر النصوص(على سبيل المثال، Notepad.exe) وأدخل النص التالي في السطر الأول:

بعد ذلك، سنقوم بإنشاء علامة XML تحدد نوع الملف (FileType). مع الأخذ بعين الاعتبار سمات XML الموضحة مسبقًا، ستبدو العلامة كما يلي:

دعونا ندرجه مباشرة بعد ذلك

بعد ذلك، نحدد توقيع الملف (tag ). سيكون التوقيع الأولي (في بداية الملف) داخل العلامة بدون أي صفات. نحن نستخدم نوع نص التوقيع، ولكن في نفس الوقت نستبدله بأحرف سداسية عشرية لا يمكن تمثيلها في نموذج نصي. قبل كل حرف سداسي عشري نقوم بإدخال "\x" وبالتالي العلامة مع توقيع الملف سيبدو كما يلي:

إذا كان موجودًا، فيجب عليك أيضًا تحديد التوقيع النهائي (في نهاية الملف). يستخدم هذا نفس العلامة، ولكن مع عنصر "من" وسمة "النهاية". سوف يبدو مثل هذا:

تذكر أن توقيع الملف النهائي لم يحتوي على أحرف غير نصية، ولكنه يحتوي على خطوط مائلة وأقواس مثلثة. لتجنب الارتباك والأخطاء في بناء جملة XML، سنقوم باستبدال الأحرف "/" في التوقيع<" и ">"قيمها السداسية العشرية.

في النهاية، بعد توقيع الملف، يجب أن تكون هناك علامات إغلاق FileType وFileTypeList:

لذلك يجب أن يبدو الملف بأكمله كما يلي:


\x00\x00\x00\x18ftypmp42\x00\x00\x00\x00mp42\x00\x00\x00\x00\x00\x00\x00\x08free
\x3C\x2FNonRealTimeMeta\x3E\x0D\x0A\x00

تذكر: بناء جملة XML حساس لحالة الأحرف، لذا ستكون العلامة الصحيحة ، لا .

لنحفظ الملف بتنسيق نصي بالملحق .xml. على سبيل المثال: SonyCam.xml.

لقد نجحنا في إنشاء توقيعنا الخاص لأنواع الملفات المعروفة. هذا المثال كافٍ لفهم المبادئ الأساسية لإنشاء نوع ملف مخصص. يمكن للمستخدمين الأكثر خبرة استخدام XML الإصدار 2.0. يمكنك قراءة المزيد حول هذا الأمر في قسم تعليمات R-Studio عبر الإنترنت.

الخطوة 3: فحص وإضافة ملف يصف نوع ملف معروف
الخطوة التالية هي إضافة (تحميل) ملف XML الخاص بك إلى R-Studio. في هذه الحالة، سيتم فحصه تلقائيا.

لنقم بتحميل ملف XML الذي تم إنشاؤه في المرحلة السابقة إلى R-Studio. للقيام بذلك، حدد عنصر الإعدادات في قائمة الأدوات. في منطقة أنواع ملفات المستخدم ضمن علامة التبويب الرئيسية في مربع حوار الإعدادات، أضف ملف XML الذي أنشأناه (SonyCam.xml). انقر فوق الزر "تطبيق".

انقر على الصورة لتكبيرها

2. أجب بنعم على طلب تنزيل نوع ملف جديد.

انقر على الصورة لتكبيرها

3. للتحقق من أنه تم تحميل نوع الملف بنجاح، انقر فوق علامة التبويب أنواع الملفات المعروفة في مربع حوار الإعدادات. تذكر أننا أضفنا نوع الملف إلى مجموعة فيديو الوسائط المتعددة. بعد توسيع هذه المجموعة (المجلد)، يجب أن نرى عنصرًا بالوصف الذي حددناه عند إنشاء ملف XML: Sony cam video, XDCam-EX (.mp4).

انقر على الصورة لتكبيرها

انقر على الصورة لتكبيرها

إذا كان هناك أي أخطاء في بناء جملة الملف، فسترى الرسالة المقابلة:

انقر على الصورة لتكبيرها

في هذه الحالة، تحقق من ملف XML الخاص بك مرة أخرى بحثًا عن الأخطاء. تذكر: بناء جملة XML حساس لحالة الأحرف ويجب أن تحتوي كل علامة على علامة إغلاق في النهاية.

الخطوة 4: اختبار الملف الذي يصف نوع ملف معروف
للتحقق من صحة نوع الملف المخصص الذي أنشأناه، فلنحاول العثور على ملفات .mp4 على محرك أقراص USB محمول قابل للإزالة.

1. ضمن نظام التشغيل Windows Vista أو Windows 7، قم بإجراء تنسيق كامل (وليس سريعًا) للقرص أو استخدم أداة مساعدة لتنظيف مساحة القرص (على سبيل المثال، R-Wipe & Clean) من أجل إزالة كاملةكافة البيانات المتوفرة على القرص. يترك قرص USBبتنسيق FAT32 (لا يتجاوز حجم الملفات التي تم البحث عنها 2 جيجابايت).

2. انسخ ملفات الاختبار إلى القرص وأعد تشغيل الكمبيوتر بحيث يتم حفظ محتويات ذاكرة التخزين المؤقت على القرص. يمكنك أيضًا تعطيل محرك خارجيومن ثم توصيله مرة أخرى.

3. في نظام التشغيل، سيتم تعريف محرك الأقراص، على سبيل المثال، محرك الأقراص المنطقي F:\.

4. لنبدأ برنامج R-Studio. حدد محرك الأقراص الخاص بنا (F:\) وانقر فوق الزر "مسح".

انقر على الصورة لتكبيرها

5. في مربع حوار المسح الضوئي، في منطقة (نظام الملفات)، انقر فوق الزر تغيير... وقم بإلغاء تحديد كافة المربعات. بهذه الطريقة سنقوم بتعطيل البحث عن أنظمة الملفات والملفات باستخدام جدول الأقسام.
انقر على الصورة لتكبيرها

6. حدد خانة الاختيار بحث إضافي عن أنواع الملفات المعروفة. سيسمح هذا لبرنامج R-Studio بالبحث عن أنواع الملفات المعروفة عند المسح.

7. لبدء المسح، انقر فوق زر المسح الضوئي.

8. دعنا ننتظر بينما يقوم برنامج R-Studio بفحص القرص. ستعرض علامة التبويب معلومات المسح تقدم المسح (التقدم).


انقر على الصورة لتكبيرها

9. بعد اكتمال المسح، حدد عنصر Extra Found Files وانقر عليه نقرًا مزدوجًا.


انقر على الصورة لتكبيرها

10. ستكون ملفات الاختبار الخاصة بنا موجودة في مجلد Sony cam video أو XDCam-EX (أو في مجلد باسم آخر يتوافق مع وصف نوع الملف المحدد في المرحلة الثانية).


انقر على الصورة لتكبيرها

ترى أنه لم تتم استعادة أسماء الملفات والتواريخ والمواقع (المجلدات) بسبب هذه المعلوماتالمخزنة في نظام الملفات. لذلك، سيعرض برنامج R-Studio تلقائيًا كل ملف باسم جديد.

ومع ذلك، فمن الواضح أن محتويات الملفات ليست معطوبة. للتأكد من ذلك، دعونا نفتحها في البرنامج المناسب، على سبيل المثال مشغل الوسائط VLC.


انقر على الصورة لتكبيرها

خاتمة
تتيح لك قدرة R-Studio على البحث عن أنواع الملفات المعروفة استعادة البيانات حتى من القرص الذي تمت الكتابة فوق أنظمة ملفاته. يمكنك البحث عن الملفات بشكل فعال باستخدام توقيعاتها، وهو أمر مفيد بشكل خاص إذا كنت تعرف بالضبط نوع الملفات التي يتم استعادتها، كما هو الحال في مثالنا. تتيح لك القدرة على إنشاء أنواع ملفات مخصصة إضافة أي ملف يحتوي على توقيع ملف محدد إلى قائمة أنواع الملفات المعروفة.

ربما سمع الكثيرون عن ملفات مثل rarjpeg، وهو نوع خاص من الملفات، وهو عبارة عن صورة jpeg وأرشيف rar ملتصقين معًا بشكل وثيق، وهو عبارة عن حاوية ممتازة لإخفاء حقيقة نقل المعلومات. يمكنك إنشاء ملف rarjpeg باستخدامه الأوامر التالية:

يونيكس: صورة القطة1.jpg archive.rar > image2.jpg
ويندوز: نسخ /ب image1.jpg+archive.rar image2.jpg

أو إذا كان لديك محرر سداسي عشري.

بالطبع، لإخفاء حقيقة نقل المعلومات، لا يمكنك استخدام تنسيق JPEG فحسب، بل أيضًا العديد من التنسيقات الأخرى. كل تنسيق له خصائصه الخاصة، والتي قد تكون أو لا تكون مناسبة لدور الحاوية. سأصف كيف يمكنك العثور على الملفات الملصقة بالتنسيقات الأكثر شيوعًا أو الإشارة إلى حقيقة اللصق.

يمكن تقسيم طرق الكشف عن الملفات المدمجة إلى ثلاث مجموعات:

1. طريقة فحص المنطقة بعد علامة EOF. تحتوي العديد من تنسيقات الملفات الشائعة على ما يسمى بعلامة نهاية الملف، وهي المسؤولة عن عرض البيانات المطلوبة. على سبيل المثال، يقرأ عارضو الصور كل وحدات البايت حتى هذه العلامة، ولكن يتم تجاهل المنطقة التي تليها. هذه الطريقة مثالية للتنسيقات التالية: JPEG، PNG، GIF، ZIP، RAR، PDF.
2. طريقة التحقق من حجم الملف تتيح لك بنية بعض التنسيقات (حاويات الصوت والفيديو) حساب الحجم الفعلي للملف ومقارنته بالحجم الأصلي. التنسيقات: AVI، WAV، MP4، MOV.
3. طريقة فحص ملفات CFB. CFB أو Compound File Binary Format هو تنسيق مستند تم تطويره بواسطة Microsoft، وهو عبارة عن حاوية خاصة بها نظام الملفات. تعتمد هذه الطريقة على اكتشاف الحالات الشاذة في الملف.

هل هناك حياة بعد انتهاء الملف؟

جبيغ

للعثور على إجابة لهذا السؤال، لا بد من الخوض في مواصفات التنسيق، وهو “سلف” الملفات المدمجة وفهم بنيته. يبدأ أي ملف JPEG بالتوقيع 0xFF 0xD8.

بعد هذا التوقيع، توجد معلومات الخدمة، وأيقونة صورة بشكل اختياري، وأخيرًا، ملف صورة مضغوطة. في هذا التنسيق، يتم تمييز نهاية الصورة بتوقيع ثنائي البايت 0xFF 0xD9.

PNG

البايتات الثمانية الأولى من ملف PNG مشغولة بالتوقيع التالي: 0x89، 0x50، 0x4E، 0x47، 0x0D، 0x0A، 0x1A، 0x0A. توقيع النهاية الذي ينهي دفق البيانات: 0x49، 0x45، 0x4E، 0x44، 0xAE، 0x42، 0x60، 0x82.

رار

التوقيع المشترك لجميع أرشيفات rar: 0x52 0x61 0x72 0x21 (Rar!). بعد ذلك تأتي معلومات حول إصدار الأرشيف والبيانات الأخرى ذات الصلة. تم تحديد تجريبيًا أن الأرشيف ينتهي بالتوقيع 0x0A، 0x25، 0x25، 0x45، 0x4F، 0x46.

جدول التنسيقات وتوقيعاتها:
إن خوارزمية التحقق من اللصق بهذه التنسيقات بسيطة للغاية:

1. ابحث عن التوقيع الأولي؛
2. ابحث عن التوقيع النهائي؛
3. إذا لم تكن هناك بيانات بعد التوقيع النهائي، فإن ملفك نظيف ولا يحتوي على مرفقات! خلاف ذلك، فمن الضروري البحث عن تنسيقات أخرى بعد التوقيع النهائي.

GIF وPDF

قد يحتوي مستند PDF على أكثر من علامة EOF واحدة، على سبيل المثال بسبب إنشاء مستند غير صحيح. عدد التوقيعات النهائية في ملف GIF يساوي عدد الإطارات فيه. واستنادا إلى ميزات هذه التنسيقات، من الممكن تحسين الخوارزمية للتحقق من وجود الملفات المرفقة.

1. تتكرر النقطة 1 من الخوارزمية السابقة.
2. تتكرر النقطة 2 من الخوارزمية السابقة.
3. عندما تجد التوقيع النهائي، تذكر موقعه وانظر إلى أبعد من ذلك؛
4. إذا وصلت إلى علامة EOF الأخيرة بهذه الطريقة، يكون الملف نظيفًا.
5. إذا لم ينتهي الملف بتوقيع نهائي، فإن الانتقال إلى هو موقع آخر توقيع نهائي تم العثور عليه.

يشير الاختلاف الكبير بين حجم الملف والموضع بعد التوقيع الأخير إلى وجود مرفق ثابت. يمكن أن يكون الفرق أكثر من عشرة بايت، على الرغم من إمكانية تعيين قيم أخرى.

أَزِيز

تكمن خصوصية أرشيفات ZIP في وجود ثلاثة توقيعات مختلفة: هيكل الأرشيف كما يلي:

رأس الملف المحلي 1

بيانات الملف 1

واصف البيانات 1

رأس الملف المحلي 2

بيانات الملف 2

واصف البيانات 2

...

رأس الملف المحلي

بيانات الملف ن

واصف البيانات ن

رأس فك تشفير الأرشيف

أرشفة سجل البيانات الإضافية

الدليل المركزي

الأكثر إثارة للاهتمام هو الدليل المركزي، الذي يحتوي على البيانات الوصفية حول الملفات الموجودة في الأرشيف. يبدأ الدليل المركزي دائمًا بالتوقيع 0x50 0x4b 0x01 0x02 وينتهي بالتوقيع 0x50 0x4b 0x05 0x06، متبوعًا بـ 18 بايت من البيانات الوصفية. ومن المثير للاهتمام أن الأرشيفات الفارغة تتكون فقط من التوقيع النهائي و18 صفر بايت. بعد 18 بايت تأتي منطقة تعليق الأرشيف، وهي حاوية مثالية لإخفاء الملف.

للتحقق من أرشيف ZIP، تحتاج إلى العثور على التوقيع النهائي للدليل المركزي، وتخطي 18 بايت والبحث عن التوقيعات ذات التنسيقات المعروفة في منطقة التعليق. حجم كبيريشير التعليق أيضًا إلى حقيقة الإلتصاق.

الحجم مهم

أفي

بنية ملف AVI هي كما يلي: يبدأ كل ملف بتوقيع RIFF (0x52 0x49 0x46 0x46). يوجد في البايت 8 توقيع AVI يحدد التنسيق (0x41 0x56 0x49 0x20). تحتوي الكتلة عند الإزاحة 4، المكونة من 4 بايت، على الحجم الأولي لكتلة البيانات (ترتيب البايت - نهاية صغيرة). لمعرفة رقم الكتلة الذي يحتوي على الحجم التالي، تحتاج إلى إضافة حجم الرأس (8 بايت) والحجم الذي تم الحصول عليه في الكتلة 4-8 بايت. هذا يحسب الحجم الإجمالي للملف. من المقبول أن يكون الحجم المحسوب أصغر من حجم الملف الفعلي. بعد الحجم المحسوب، سيحتوي الملف على صفر بايت فقط (ضروري لمحاذاة حدود 1 كيلو بايت).

مثال لحساب الحجم:

واف

مثل AVI، يبدأ ملف WAV بتوقيع RIFF، ومع ذلك، يحتوي هذا الملف على توقيع من البايت 8 - WAVE (0x57 0x41 0x56 0x45). يتم حساب حجم الملف بنفس طريقة حساب AVI. الحجم الفعلييجب أن يكون بالضبط نفس المحسوبة.

MP4

MP4 أو MPEG-4 هو تنسيق حاوية وسائط يستخدم لتخزين تدفقات الفيديو والصوت، والذي يوفر أيضًا إمكانية تخزين الترجمات والصور.
عند الإزاحة 4 بايت توجد توقيعات: نوع الملف ftyp (66 74 79 70) (نوع ملف حاوية QuickTime) والنوع الفرعي للملف mmp4 (6D 6D 70 34). للاعتراف الملفات المخفية، نحن مهتمون بالقدرة على حساب حجم الملف.

دعونا نلقي نظرة على مثال. حجم الكتلة الأولى عند الإزاحة صفر، وهو 28 (00 00 00 1C، ترتيب البايتات Big Endian)؛ ويشير أيضًا إلى الإزاحة التي يوجد بها حجم كتلة البيانات الثانية. عند الإزاحة 28 نجد أن حجم الكتلة التالي يساوي 8 (00 00 00 08). للعثور على حجم الكتلة التالي، تحتاج إلى إضافة أحجام الكتل السابقة التي تم العثور عليها. وبالتالي يتم حساب حجم الملف:

وسائل التحقق

هذا التنسيق المستخدم على نطاق واسع هو أيضًا حاوية MPEG-4. يستخدم MOV خوارزمية خاصة لضغط البيانات، وله بنية مشابهة لـ MP4 ويستخدم لنفس الأغراض - لتخزين بيانات الصوت والفيديو، بالإضافة إلى المواد ذات الصلة.
مثل MP4، يحتوي أي ملف mov على توقيع ftyp 4 بايت عند الإزاحة 4، ومع ذلك، فإن التوقيع التالي له القيمة qt__ (71 74 20 20). لم تتغير قاعدة حساب حجم الملف: بدءًا من بداية الملف، نحسب حجم الكتلة التالية ونضيفها.

تتمثل طريقة فحص هذه المجموعة من التنسيقات لوجود ملفات "مثبتة" في حساب الحجم وفقًا للقواعد المحددة أعلاه ومقارنتها بحجم الملف الذي يتم فحصه. إذا كان حجم الملف الحالي أصغر بكثير من الحجم المحسوب، فهذا يشير إلى حقيقة الإلتصاق. عند فحص ملفات AVI، من المقبول أن الحجم المحسوب قد يكون أصغر من حجم الملف بسبب وجود أصفار مضافة لمحاذاة الحدود. في هذه الحالة، من الضروري التحقق من وجود الأصفار بعد حجم الملف المحسوب.

التحقق من التنسيق الثنائي للملف المركب

يُعرف تنسيق الملف هذا، الذي طورته Microsoft، أيضًا باسم OLE (ربط الكائنات وتضمينها) أو COM (نموذج كائن المكون). ملفات DOCو XLS وPPT تنتمي إلى مجموعة تنسيقات CFB.

يتكون ملف CFB من رأس بحجم 512 بايت وقطاعات متساوية الطول تقوم بتخزين تدفقات البيانات أو معلومات الخدمة. كل قطاع له رقمه غير السالب، باستثناء أرقام خاصة: "-1" - يرقم القطاع الحر، "-2" - يرقم القطاع الذي يغلق السلسلة. يتم تعريف جميع سلاسل القطاعات في جدول FAT.

لنفترض أن أحد المهاجمين قام بتعديل ملف .doc معين وقام بلصق ملف آخر في نهايته. هناك عدة بطرق مختلفةاكتشافه أو الإشارة إلى وجود شذوذ في المستند.

حجم الملف غير طبيعي

كما ذكر أعلاه، يتكون أي ملف CFB من رأس وقطاعات متساوية الطول. لمعرفة حجم القطاع، تحتاج إلى قراءة رقم ثنائي البايت عند الإزاحة 30 من بداية الملف ورفع 2 إلى قوة هذا الرقم. يجب أن يكون هذا الرقم مساويًا إما 9 (0x0009) أو 12 (0x000C)، على التوالي، ويكون حجم قطاع الملف 512 أو 4096 بايت. بعد العثور على القطاع، عليك التحقق من المساواة التالية:

(حجم الملف - 512) حجم القطاع = 0

إذا لم تكن هذه المساواة راضية، فيمكنك الإشارة إلى حقيقة لصق الملفات. ومع ذلك، فإن هذه الطريقة لها عيب كبير. إذا كان المهاجم يعرف حجم القطاع، فهو يحتاج فقط إلى لصق ملفه و n بايت أخرى بحيث يكون حجم البيانات الملصقة مضاعفًا لحجم القطاع.

نوع القطاع غير معروف

إذا كان المهاجم يعرف طريقة لتجاوز الفحص السابق، فيمكن لهذه الطريقة اكتشاف وجود قطاعات ذات أنواع غير محددة.

دعونا نحدد المساواة:

FileSize = 512 + CountReal * SectorSize، حيث FileSize هو حجم الملف، SectorSize هو حجم القطاع، CountReal هو عدد القطاعات.

نحدد أيضًا المتغيرات التالية:

1. CountFat – عدد قطاعات FAT. يقع عند الإزاحة 44 من بداية الملف (4 بايت)؛
2. CountMiniFAT – عدد قطاعات MiniFAT. يقع عند الإزاحة 64 من بداية الملف (4 بايت)؛
3. CountDIFAT – عدد قطاعات DIFAT. يقع عند الإزاحة 72 من بداية الملف (4 بايت)؛
4. CountDE – عدد قطاعات إدخال الدليل. للعثور على هذا المتغير، تحتاج إلى العثور على القطاع الأول DE، والذي يقع عند الإزاحة 48. ثم من الضروري الحصول على تمثيل كامل لـ DE من FAT وإحصاء عدد قطاعات DE؛
5. CountStreams – عدد القطاعات التي تحتوي على تدفقات البيانات؛
6. CountFree – عدد القطاعات الحرة؛
7. CountClassified – عدد القطاعات ذات نوع معين؛

CountClassified = CountFAT + CountMiniFAT + CountDIFAT + CountDE + CountStreams + CountFree

من الواضح أنه إذا كان CountClassified وCountReal غير متساويين، فيمكننا استنتاج إمكانية دمج الملفات.

لقد كلفني مديري بمهمة مثيرة للاهتمام إلى حد ما. في وقت قصير، قم بكتابة محلل ملفات قابل للتنفيذ يمكنه العثور على أجسام الفيروسات بناءً على التوقيعات وتحديد أداة التعبئة/التشفير المستخدمة. ظهر النموذج الأولي النهائي في غضون ساعتين.

كلمة المؤلف

تحليل التوقيع

يعد البحث عن كائن ضار باستخدام التوقيعات أمرًا يمكن لأي برنامج مكافحة فيروسات القيام به. بشكل عام، التوقيع هو وصف رسمي لخصائص معينة يمكن من خلالها تحديد أن الملف الذي يتم فحصه هو فيروس وفيروس محدد جيدًا.

هناك تقنيات مختلفة هنا. البديل هو استخدام توقيع مكون من N بايت لكائن ضار. في هذه الحالة، لا يمكنك إجراء مقارنة غبية، ولكن المقارنة باستخدام بعض القناع (مثل البحث عن بايت EB ؟؟ ؟؟ CD 13). أو وضع شروط إضافية مثل "يجب أن تكون مثل هذه البايتات عند نقطة الدخول إلى البرنامج" وهكذا. يعد توقيع البرامج الضارة أمرًا خاصًا.

بنفس الطريقة، يتم وصف بعض العلامات التي يمكنك من خلالها تحديد أن الملف القابل للتنفيذ مملوء بواحد أو آخر من التشفير أو باكر (على سبيل المثال، ASPack العادي). إذا قرأت مجلتنا بعناية، فمن المؤكد أنك سمعت عن أداة مثل PEiD، القادرة على تحديد أدوات الحزم والتشفير والمترجمين الأكثر استخدامًا (تحتوي قاعدة البيانات على عدد كبير من التوقيعات) لملف PE المنقول إليها . للأسف، لم يتم إصدار إصدارات جديدة من البرنامج لفترة طويلة، ومؤخرا ظهرت رسالة على الموقع الرسمي مفادها أن المشروع لن يكون له مزيد من التطوير. إنه أمر مؤسف، لأن إمكانيات PEiD (خاصة بالنظر إلى نظام البرنامج المساعد) يمكن أن تكون مفيدة للغاية بالنسبة لي. وبعد تحليل قصير، أصبح من الواضح أن هذا لم يكن خيارا. ولكن بعد البحث في المدونات باللغة الإنجليزية، وجدت بسرعة ما يناسبني. مشروع يارا (code.google.com/p/yara-project).

ما هي يارا؟

منذ البداية، كنت مقتنعًا بأنه في مكان ما على الإنترنت يوجد بالفعل تطوير مفتوح المصدر يتولى مهمة تحديد المراسلات بين توقيع معين والملف الذي يتم فحصه. إذا تمكنت من العثور على مثل هذا المشروع، فيمكن وضعه بسهولة على قضبان تطبيق الويب وإضافة توقيعات مختلفة هناك والحصول على ما هو مطلوب مني. بدأت الخطة تبدو أكثر واقعية عندما قرأت وصف مشروع YARA.

يضعه المطورون أنفسهم كأداة لمساعدة الباحثين في البرامج الضارة على تحديد العينات الضارة وتصنيفها. يمكن للباحث إنشاء أوصاف ل أنواع مختلفةالبرامج الضارة التي تستخدم نصًا أو أنماطًا ثنائية تصف الخصائص الرسمية للبرامج الضارة. هذه هي الطريقة التي يتم بها الحصول على التوقيعات. في الواقع، يتكون كل وصف من مجموعة من الخطوط وبعض التعبيرات المنطقية، والتي على أساسها يتم تحديد منطق التشغيل للمحلل.

إذا تم استيفاء شروط إحدى القواعد للملف الذي يتم فحصه، فسيتم تحديده وفقًا لذلك (على سبيل المثال، دودة كذا وكذا). مثال بسيط لقاعدة لفهم ما نتحدث عنه:

القاعدة Silent_banker: مصرفي
{
التعريف:
وصف = "هذا مجرد مثال"
مستوى_الخيط = 3
in_the_wild = صحيح
سلاسل:
$a = (6A 40 68 00 30 00 00 6A 14 8D 91)
$ ب = (8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9)
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
حالة:
$a أو $b أو $c
}

في هذه القاعدة، نخبر YARA أن أي ملف يحتوي على واحد على الأقل من نماذج السلاسل الموضحة في المتغيرات $a، $b، $c يجب أن يتم تصنيفه على أنه حصان طروادة Silent_banker. وهذه قاعدة بسيطة للغاية. في الواقع، يمكن أن تكون القواعد أكثر تعقيدًا (سنتحدث عن هذا أدناه).
وحتى قائمة المشاريع التي تستخدمه تتحدث عن سلطة مشروع YARA، وهي:

• خدمات استخبارات البرامج الضارة من VirusTotal (vt-mis.com)؛
• jsunpack-n (jsunpack.jeek.org);
• نحن نشاهد موقع الويب الخاص بك (wewatchyourwebsite.com).

تتم كتابة جميع التعليمات البرمجية بلغة Python، ويتم تقديم الوحدة نفسها للمستخدم لاستخدامها في تطويره، وببساطة ملف قابل للتنفيذ لاستخدام YARA كتطبيق مستقل. كجزء من عملي، اخترت الخيار الأول، ولكن من أجل البساطة في هذه المقالة، سنستخدم المحلل ببساطة كتطبيق وحدة تحكم.

بعد بعض البحث، اكتشفت بسرعة كيفية كتابة قواعد لـ YARA، بالإضافة إلى كيفية إرفاق توقيعات الفيروسات من البرامج المجانية والحزم من PEiD بها. لكننا سنبدأ بالتثبيت.

تثبيت

كما قلت سابقًا، المشروع مكتوب بلغة Python، لذلك يمكن تثبيته بسهولة على Linux وWindows وMac. في البداية، يمكنك فقط أن تأخذ الثنائي. إذا قمنا باستدعاء التطبيق في وحدة التحكم، فسنحصل على قواعد التشغيل.

$ يارا
الاستخدام: يارا ... ... ملف | معرف المنتج

وهذا هو، تنسيق استدعاء البرنامج كما يلي: أولا هناك اسم البرنامج، ثم قائمة الخيارات، وبعد ذلك يتم الإشارة إلى الملف مع القواعد، وفي النهاية - اسم الملف الذي يجري فحصها (أو الدليل الذي يحتوي على الملفات)، أو معرف العملية. الآن أود أن أشرح بطريقة جيدة كيفية وضع هذه القواعد ذاتها، لكنني لا أريد أن أثقل كاهلك على الفور بنظرية جافة. لذلك، سنفعل الأشياء بشكل مختلف ونستعير توقيعات أشخاص آخرين حتى تتمكن YARA من تنفيذ إحدى المهام التي حددناها - الكشف الكامل عن الفيروسات عن طريق التوقيعات.

مكافحة الفيروسات الخاصة بك

السؤال الأهم: أين يمكن الحصول على قاعدة بيانات التوقيع الفيروسات المعروفة؟ تقوم شركات مكافحة الفيروسات بمشاركة قواعد البيانات هذه فيما بينها بشكل نشط (بعضها أكثر سخاءً والبعض الآخر أقل). لأكون صادقًا، في البداية كنت أشك في أن شخصًا ما سينشر مثل هذه الأشياء علانية في مكان ما على الإنترنت. ولكن، كما اتضح، هناك أناس طيبون. قاعدة البيانات المناسبة من برنامج مكافحة الفيروسات ClamAV الشهير متاحة للجميع (clamav.net/lang/en). في قسم "أحدث إصدار ثابت"، يمكنك العثور على رابط إليه أحدث نسخةمنتج مكافحة الفيروسات، بالإضافة إلى روابط لتنزيل قواعد بيانات فيروسات ClamAV. سنهتم في المقام الأول بملفات main.cvd (db.local.clamav.net/main.cvd) وdaily.cvd (db.local.clamav.net/daily.cvd).

الأول يحتوي على قاعدة البيانات الرئيسية للتوقيعات، والثاني يحتوي على قاعدة البيانات الأكثر اكتمالا في اللحظةقاعدة مع إضافات مختلفة. يعد Daily.cvd، الذي يحتوي على أكثر من 100000 ظهور للبرامج الضارة، كافيًا تمامًا لهذا الغرض. ومع ذلك، فإن قاعدة بيانات ClamAV ليست قاعدة بيانات YARA، لذلك نحتاج إلى تحويلها إلى التنسيق المطلوب. لكن كيف؟ بعد كل شيء، نحن لا نعرف حتى الآن أي شيء عن تنسيق ClamAV أو تنسيق Yara. لقد تم بالفعل التعامل مع هذه المشكلة أمامنا من خلال إعداد برنامج نصي صغير يحول قاعدة بيانات توقيع فيروس ClamAV إلى مجموعة من قواعد YARA. يسمى البرنامج النصي clamav_to_yara.py وكتبه ماثيو ريتشارد (bit.ly/ij5HVs). تنزيل البرنامج النصي وتحويل قواعد البيانات:

$ بيثون clamav_to_yara.py -f daily.cvd -o clamav.yara

نتيجة لذلك، في ملف clamav.yara، سنتلقى قاعدة بيانات التوقيع التي ستكون جاهزة للاستخدام على الفور. دعونا الآن نجرب الجمع بين YARA وقاعدة بيانات ClamAV عمليًا. يتم إجراء مسح مجلد باستخدام التوقيع باستخدام أمر واحد:

$ yara -r clamav.yara /pentest/msf3/data

يحدد الخيار -r أنه يجب إجراء الفحص بشكل متكرر عبر كافة المجلدات الفرعية للمجلد الحالي. إذا كانت هناك أي أجسام فيروسات في المجلد /pentest/msf3/data (على الأقل تلك الموجودة في قاعدة بيانات ClamAV)، فسوف تقوم YARA بالإبلاغ عن ذلك على الفور. من حيث المبدأ، هذا ماسح ضوئي جاهز للتوقيع. لمزيد من الراحة، كتبت نصًا بسيطًا يتحقق من تحديثات قاعدة بيانات ClamAV، وينزل التوقيعات الجديدة ويحولها إلى تنسيق YARA. لكن هذه تفاصيل بالفعل. اكتمل جزء واحد من المهمة، ويمكنك الآن البدء في وضع قواعد لتحديد أدوات الحزم/التشفير. ولكن للقيام بذلك كان علي أن أتعامل معهم قليلاً.

العب بالقواعد

لذلك، القاعدة هي الآلية الرئيسية للبرنامج التي تسمح لك بتصنيف ملف معين إلى فئة. يتم وصف القواعد في ملف (أو ملفات) منفصل وهي في المظهر تشبه إلى حد كبير بنية struct() من لغة C/C++.

حكم باد بوي
{
سلاسل:
$a = "win.exe"
$b = "http://foo.com/badfi le1.exe"
$c = "http://bar.com/badfi le2.exe"
حالة:
$a و$b أو $c)
}

من حيث المبدأ، لا يوجد شيء معقد في كتابة القواعد. في هذه المقالة، تطرقت فقط إلى النقاط الرئيسية، وستجد التفاصيل في الدليل. في الوقت الحالي، أهم عشر نقاط:

1. تبدأ كل قاعدة بقاعدة الكلمة الأساسية، متبوعة بمعرف القاعدة. يمكن أن تحتوي المعرفات على نفس أسماء المتغيرات في C/C++، أي أنها يمكن أن تتكون من أحرف وأرقام، ولا يمكن أن يكون الحرف الأول رقمًا. الحد الأقصى لطول اسم المعرف هو 128 حرفًا.

2. عادةً، تتكون القواعد من قسمين: قسم التعريف (السلاسل) وقسم الشرط (الشرط). يحدد قسم السلاسل البيانات التي على أساسها سيقرر قسم الشرط ما إذا كان ملف معين يفي بشروط معينة.

3. كل سطر في قسم السلاسل له معرف خاص به، والذي يبدأ بعلامة $ - بشكل عام، مثل إعلان المتغير في PHP. تدعم YARA السلاسل العادية المرفقة اقتباسات مزدوجة("") والسلاسل السداسية العشرية المحاطة بأقواس متعرجة (())، بالإضافة إلى التعبيرات العادية:

$my_text_string = "النص هنا"
$my_hex_string = ( E2 34 A1 C8 23 فيسبوك )

4. يحتوي قسم الشرط على كل منطق القاعدة. يجب أن يحتوي هذا القسم على تعبير منطقي يحدد متى يتطابق الملف أو العملية مع القاعدة. عادةً ما يشير هذا القسم إلى الخطوط المعلنة مسبقًا. ويتم التعامل مع معرف السلسلة كمتغير منطقي يُرجع صحيحًا إذا تم العثور على السلسلة في الملف أو ذاكرة العملية، ويُرجع خطأً بخلاف ذلك. تحدد القاعدة المذكورة أعلاه أنه يجب تصنيف الملفات والعمليات التي تحتوي على السلسلة win.exe وأحد عنواني URL على أنها BadBoy (حسب اسم القاعدة).

5. تسمح السلاسل السداسية العشرية بثلاث بنيات تجعلها أكثر مرونة: أحرف البدل، والقفزات، والبدائل. البدائل هي أماكن في سلسلة غير معروفة ويمكن استبدالها بأي قيمة. ويشار إليها بالرمز "؟":

$hex_string = ( E2 34 ؟؟ C8 A؟ FB )

يعد هذا الأسلوب مناسبًا جدًا عند تحديد سلاسل طولها معروف، ولكن قد يختلف المحتوى. إذا كان من الممكن أن يكون جزء من السلسلة بأطوال مختلفة، فمن الملائم استخدام النطاقات:

$hex_string = ( F4 23 62 B4 )

يعني هذا الإدخال أنه في منتصف السطر يمكن أن يكون هناك من 4 إلى 6 بايتات مختلفة. يمكنك أيضًا تنفيذ خيار بديل:

$hex_string = ( F4 23 (62 B4 | 56) 45 )

هذا يعني أنه بدلاً من البايت الثالث يمكن أن يكون هناك 62 B4 أو 56، مثل هذا الإدخال يتوافق مع الأسطر F42362B445 أو F4235645.

6. للتحقق مما خط معينيقع على إزاحة محددة في مساحة عنوان الملف أو العملية، ويتم استخدام عامل التشغيل at:

$a عند 100 و $b عند 200

إذا كان من الممكن أن تكون السلسلة ضمن نطاق عنوان معين، فسيتم استخدام عامل التشغيل in:

$a في (0..100) و $b في (100..fi lesize)

في بعض الأحيان تنشأ مواقف عندما تحتاج إلى تحديد أن الملف يجب أن يحتوي على رقم معين من مجموعة معينة. يتم ذلك باستخدام عامل التشغيل:

قاعدة المثال 1
{
سلاسل:
$foo1 = "الدمية1"
$foo2 = "الدمية2"
$foo3 = "dummy3"
حالة:
2 من ($foo1،$foo2،$foo3)
}

تتطلب القاعدة المذكورة أعلاه أن يحتوي الملف على أي سطرين من المجموعة ($foo1,$foo2,$foo3). بدلاً من تحديد عدد معين من الأسطر في الملف، يمكنك استخدام المتغيرات أي (سطر واحد على الأقل من مجموعة معينة) والجميع (جميع الأسطر من مجموعة معينة).

7. حسنًا، الاحتمال الأخير المثير للاهتمام الذي يجب أخذه في الاعتبار هو تطبيق شرط واحد على العديد من الصفوف. هذه الميزة تشبه إلى حد كبير عامل التشغيل، لكن العامل الأكثر قوة هو عامل التشغيل for..of :

للتعبير عن string_set: (boolean_expression)

يجب قراءة هذا الإدخال على النحو التالي: من السلاسل المحددة في string_set، يجب أن تفي أجزاء التعبير على الأقل بشرط boolean_expression. أو بمعنى آخر: يتم تقييم التعبير المنطقي لكل سلسلة في string_set، ويجب أن تُرجع التعبيرات الواردة منها True. بعد ذلك، سننظر إلى هذا البناء باستخدام مثال محدد.

صنع PEiD

لذلك، عندما يصبح كل شيء أكثر أو أقل وضوحًا فيما يتعلق بالقواعد، يمكننا البدء في تنفيذ كاشف الحزم والتشفير في مشروعنا. في البداية، كمواد مصدرية، قمت باستعارة توقيعات شركات التعبئة المعروفة من نفس PEiD. يوجد في مجلد الإضافات ملف userdb.txt، والذي يحتوي على ما نحتاجه. كان هناك 1850 توقيعًا في قاعدة البيانات الخاصة بي.

كثيرًا جدًا، لذا من أجل استيرادها بالكامل، أنصحك بكتابة نوع من البرامج النصية. تنسيق قاعدة البيانات هذه بسيط - يتم استخدام التنسيق المعتاد ملف نصي، الذي يخزن سجلات مثل:

التوقيع = 50E8؟؟ ؟؟ ؟؟ ؟؟ 58 25؟؟ F0 FF FF 8B C8 83 C1 60 51 83 C0 40 83 EA 06 52 FF 20 9D C3
ep_only = صحيح

يحدد السطر الأول اسم أداة التعبئة، والذي سيتم عرضه في PEiD، ولكنه سيكون معرف القاعدة بالنسبة لنا. والثاني هو التوقيع نفسه. والثالث هو علامة ep_only، التي تشير إلى ما إذا كان سيتم البحث عن سطر معين فقط عند عنوان نقطة الإدخال، أو عبر الملف بأكمله.

حسنًا، دعنا نحاول إنشاء قاعدة، على سبيل المثال، لـ ASPack؟ وكما تبين، لا يوجد شيء معقد في هذا الشأن. أولاً، لنقم بإنشاء ملف لتخزين القواعد ونطلق عليه، على سبيل المثال، packers.yara. ثم نقوم بالبحث في قاعدة بيانات PEiD عن جميع التوقيعات التي تتضمن ASPack في أسمائها وننقلها إلى القاعدة:

قاعدة ASPack
{
سلاسل:
$ = ( 60 E8 ?? ?? ?? 5D 81 ED ?? ?? (43 | 44) ?? B8 ?? ?? (43 | 44) ?? 03 C5 )
$ = ( 60 EB ?? 5D EB ?? FF ??? ?? ?? ?? E9 )
[.. يقطع..]
$ = ( 60 E8 03 00 00 00 E9 EB 04 5D 45 55 C3 E8 01 )
حالة:
لأي منهم: (عند نقطة الدخول)
}

تحتوي جميع السجلات التي تم العثور عليها على علامة ep_only مضبوطة على true، أي أن هذه السطور يجب أن تكون موجودة في عنوان نقطة الإدخال. ولذلك نكتب الشرط التالي: "لأي منهم: (عند نقطة الدخول)".

وبالتالي، فإن وجود واحد على الأقل من الأسطر المحددة في عنوان نقطة الإدخال يعني أن الملف مزود بـ ASPack. يرجى أيضًا ملاحظة أنه في هذه القاعدةيتم تحديد كافة السلاسل ببساطة باستخدام علامة $، دون معرف. هذا ممكن لأنه في قسم الحالة لا نصل إلى أي شروط محددة، ولكننا نستخدم المجموعة بأكملها.

للتحقق من وظائف النظام الناتج، فقط قم بتشغيل الأمر في وحدة التحكم:

$ yara -r packers.yara somefi le.exe

بعد أن قمت بإطعام عدد من التطبيقات المجمعة مع ASPack هناك، كنت مقتنعًا بأن كل شيء يعمل!

نموذج أولي جاهز

تبين أن YARA أداة واضحة وشفافة للغاية. لم يكن من الصعب بالنسبة لي أن أكتب مسؤول ويب لها وأقوم بإعدادها للعمل كخدمة ويب. مع القليل من الإبداع، يتم بالفعل تلوين النتائج الجافة للمحلل بألوان مختلفة، مما يشير إلى درجة خطورة البرامج الضارة المكتشفة. تحديث صغير لقاعدة البيانات، ويتوفر وصف قصير للعديد من برامج التشفير، وفي بعض الأحيان تعليمات لتفريغ الحزمة. تم إنشاء النموذج الأولي وهو يعمل بشكل مثالي، والرؤساء يرقصون بسعادة!

المفهوم " رقم سحري"في البرمجة له ​​ثلاثة معانٍ:

• توقيع البيانات
• القيم الفريدة المحددة التي لا ينبغي أن تكون مماثلة للقيم الأخرى (مثل UUID)
• ممارسة البرمجة السيئة.

توقيع البيانات

رقم سحري، أو إمضاء، - عدد صحيح أو ثابت نصي يستخدم لتعريف مورد أو بيانات بشكل فريد. مثل هذا الرقم في حد ذاته ليس له أي معنى ويمكن أن يسبب ارتباكًا إذا ظهر في كود البرنامج دون السياق أو التعليق المناسب، في حين أن محاولة تغييره إلى آخر، حتى ولو كان قريبًا من القيمة، يمكن أن تؤدي إلى عواقب غير متوقعة تمامًا. لهذا السبب، من المفارقات أن هذه الأرقام كانت تسمى أرقام سحرية. حاليا، هذا الاسم راسخ كمصطلح. على سبيل المثال، أي فئة لغة Java مترجمة تبدأ بالرقم السحري الست عشري 0xCAFEBABE. المثال الثاني المعروف على نطاق واسع هو أي ملف قابل للتنفيذ لنظام التشغيل مايكروسوفت ويندوزمع الامتداد .exe يبدأ بتسلسل البايت 0x4D5A (الذي يتوافق مع أحرف ASCII MZ - الأحرف الأولى من اسم Mark Zbikowski، أحد منشئي MS-DOS). ومن الأمثلة الأقل شهرة هو المؤشر غير المهيأ في Microsoft Visual C++ (منذ 2005 إصدارات مايكروسوفت Visual Studio)، والذي في وضع التصحيح له العنوان 0xDEADBEEF .

في مثل UNIX أنظمة التشغيليتم تحديد نوع الملف عادة من خلال توقيع الملف، بغض النظر عن امتداد اسمه. أنها توفر أداة مساعدة قياسية للملف لتفسير توقيع الملف.

ممارسة البرمجة السيئة

تشير "الأرقام السحرية" أيضًا إلى ممارسات البرمجة السيئة عند ظهور قيمة رقمية في النص المصدر وليس من الواضح ما تعنيه. على سبيل المثال، قد يكون مقتطف مثل هذا، مكتوبًا بلغة Java، سيئًا:

drawSprite(53, 320, 240);

العدد النهائي SCREEN_WIDTH = 640؛

العدد النهائي SCREEN_HEIGHT = 480؛

كثافة العمليات النهائية SCREEN_X_CENTER = SCREEN_WIDTH / 2؛

• كثافة العمليات النهائية SCREEN_Y_CENTER = SCREEN_HEIGHT / 2؛
• العدد النهائي SPRITE_CROSSHAIR = 53؛
• ... drawSprite(SPRITE_CROSSHAIR, SCREEN_X_CENTER, SCREEN_Y_CENTER);
• أصبح الأمر واضحًا الآن: يعرض هذا الخط كائنًا - علامة تقاطع البصر - في وسط الشاشة. في معظم لغات البرمجة، سيتم حساب جميع القيم المستخدمة لهذه الثوابت في وقت الترجمة واستبدالها في الأماكن التي تستخدم فيها القيم. ولذلك، فإن مثل هذا التغيير في النص المصدر لا يؤدي إلى انخفاض أداء البرنامج.

بالإضافة إلى ذلك، تعد الأرقام السحرية مصدرًا محتملاً للأخطاء في البرنامج:

في بعض الأحيان، تضر الأرقام السحرية بالرمز المشترك بين الأنظمة الأساسية. الحقيقة هي أنه في لغة C، في أنظمة التشغيل 32 و 64 بت، يتم ضمان حجم الأنواع char والأنواع القصيرة والطويلة، في حين يمكن تغيير حجم int و long و size_t و ptrdiff_t (للنوعين الأولين، اعتمادًا على تفضيلات مطوري المترجمين، للأخيرين - اعتمادًا على سعة البت للنظام المستهدف). في التعليمات البرمجية القديمة أو المكتوبة بشكل سيئ، قد تكون هناك "أرقام سحرية" تشير إلى حجم النوع - عند الانتقال إلى أجهزة ذات سعة بت مختلفة، يمكن أن تؤدي إلى أخطاء طفيفة.

على سبيل المثال:

حجم ثابت NUMBER_OF_ELEMENTS = 10 ؛ طويلة [NUMBER_OF_ELEMENTS]؛ memset(a, 0, 10 * 4); // غير صحيح - من المفترض أن يكون الطول 4 بايت، ويتم استخدام العدد السحري للعناصر memset(a, 0, NUMBER_OF_ELEMENTS * 4); // غير صحيح - من المفترض أن يكون الطول 4 بايت memset(a, 0, NUMBER_OF_ELEMENTS * sizeof(long)); // غير صحيح تمامًا - تكرار لاسم النوع (إذا تغير النوع، فسيتعين عليك تغييره هنا أيضًا) memset (أ، 0، NUMBER_OF_ELEMENTS * حجم (أ [ 0 ]))؛ // صحيح، وهو الأمثل للمصفوفات الديناميكية ذات الحجم غير الصفري

memset(a, 0, sizeof(a));

// صحيح، وهو الأمثل للمصفوفات الثابتة