ما هي البرامج الضارة على مستوى Kernel وكيفية الحماية منها
تأتي البرامج الضارة بأشكال عديدة، لكن البرامج الضارة على مستوى النواة هي من بين أكثرها خطورة. ما الذي يجعلها خطيرة للغاية، وكيف يمكنك الدفاع عنها؟ دعنا نستكشف التفاصيل أدناه.
ما هي البرامج الضارة على مستوى النواة؟
النواة هي المكون الأساسي لنظام التشغيل، وهي المسؤولة عن إدارة جميع التفاعلات بين الأجهزة والبرامج. إنه يعمل بمستوى امتياز مرتفع يُعرف باسم “وضع kernel”، والذي يمنحه وصولاً غير مقيد إلى جميع موارد النظام، بما في ذلك الذاكرة ووحدة المعالجة المركزية والأجهزة المتصلة. تُعرف البرامج الضارة التي تصيب هذا المستوى المتميز وتتلاعب به باسم البرامج الضارة على مستوى kernel.
تستغل هذه البرامج الضارة الامتيازات العالية للنواة، مما يمكنها من تنفيذ أنشطة ضارة بأقل قدر من الاكتشاف. ومن خلال العمل على هذا المستوى المنخفض، يمكنه التهرب من التدابير الأمنية، والاستمرار، والسيطرة على عمليات النظام الهامة.
فيما يلي بعض الأمثلة الشائعة للبرامج الضارة على مستوى kernel:
الجذور الخفية للنواة: يعد هذا من بين أكثر أشكال البرامج الضارة على مستوى kernel شهرة والتي تمنح المهاجم إمكانية التحكم عن بعد في جهاز الكمبيوتر دون أن يتم اكتشافه. يتيح لهم هذا الوصول اختراق الأمان أو تثبيت المزيد من البرامج الضارة أو مراقبة النشاط أو استخدام الجهاز في هجمات DDoS.
مجموعات التمهيد: إنه نوع من الجذور الخفية التي تصيب نظام BIOS للكمبيوتر الشخصي أو سجل التمهيد الرئيسي (MBR) لتحميل تعليمات برمجية ضارة قبل تحميل نظام التشغيل. يمكنهم تثبيت تعليمات برمجية ضارة على مستوى kernel والاستمرار خلال عمليات إعادة التشغيل وإعادة تثبيت نظام التشغيل.
أحصنة طروادة في وضع Kernel: مع امتيازات أعلى، يمكن لأحصنة طروادة هذه تجنب الكشف بشكل فعال عن طريق استبدال العمليات أو تضمين نفسها في عمليات أخرى. وهي مصممة عادةً لمهام محددة، مثل تسجيل ضغطات المفاتيح، وتعطيل إجراءات الأمان، وتعديل ملفات النظام.
برامج الفدية على مستوى النواة: يستخدم هذا النوع من برامج الفدية امتيازات kernel لتشفير البيانات أو منع المستخدمين من الوصول إلى النظام. يمكنه تجاوز الأمان بشكل أكثر كفاءة ويجعل عملية الاسترداد صعبة.
كيفية الحماية من البرامج الضارة على مستوى النواة
لحسن الحظ، من الصعب جدًا أن تصيب البرامج الضارة على مستوى kernel جهاز الكمبيوتر الخاص بك. يتطلب هذا النوع من البرامج الضارة أذونات عالية لا يمنحها نظام التشغيل للبرامج غير المصرح بها. ولذلك، تعتمد البرامج الضارة على مستوى kernel عادةً على استغلال الثغرات الأمنية المعروفة أو الوصول الفعلي أو البعيد إلى حساب المسؤول.
تم تصميم أنظمة أمان الكمبيوتر الشخصي لاكتشاف هجمات البرامج الضارة على مستوى kernel ومنعها. حتى إذا حاول شخص ما تثبيت مثل هذه البرامج الضارة عن عمد، فمن المرجح أن تمنع آليات أمان نظام التشغيل التثبيت.
ومع ذلك، لا تزال بحاجة إلى تمكين ميزات الأمان على جهاز الكمبيوتر الخاص بك لتقليل نقاط الضعف واكتشاف الهجمات على الفور. اتبع الخطوات أدناه للدفاع ضد البرامج الضارة على مستوى kernel:
تأكد من تمكين التمهيد الآمن وTPM 2.0
يعتبر Secure Boot وTPM 2.0 (Trusted Platform Module) من ميزات الأمان الأساسية في Windows وهما ضروريان للدفاع ضد البرامج الضارة على مستوى kernel. ولهذا السبب فهي مطلوبة أيضًا لتثبيت Windows 11.
يتحقق Secure Boot من التوقيع الرقمي لجميع البرامج أثناء بدء التشغيل، مما يمنع تشغيل أي برنامج لم يتم التحقق منه.
TPM 2.0 عبارة عن شريحة أمان فعلية تقوم بتخزين تجزئات التشفير لعملية التمهيد. يكتشف أي تلاعب من خلال مقارنة هذه التجزئات عند كل بدء تشغيل وينبه المستخدمين إذا وجد تغييرات.
للتحقق من تمكين Secure Boot (التمهيد الآمن)، ابحث عن “معلومات النظام” في Windows Search، وافتح ملف معلومات النظام برنامج. ستجد حالة التمهيد الآمنة القيمة في ملخص النظام. تأكد من ضبطه على على.
للتأكد من تمكين (أو دعم) TPM 2.0، اضغط على ويندوز + ر، واكتب tpm.msc
في مربع الحوار “تشغيل”.
تأكد من حالة يقول القسم TPM جاهز للاستخدام و نسخة المواصفات تم ضبطه على 2.0.
إذا تم تعطيل أي من هذه العناصر، فانتقل إلى BIOS/UEFI، وقم بتمكين القيمة الموجودة ضمن ملف حماية فئة. يجب أن يكون تمكين التمهيد الآمن أمرًا بسيطًا، ولكن TMP 2.0 عبارة عن شريحة أجهزة قد لا يكون جهاز الكمبيوتر الخاص بك مزودًا بها.
تمكين الأمان المستند إلى المحاكاة الافتراضية في Windows
يستخدم الأمان المستند إلى المحاكاة الافتراضية (VBS) المحاكاة الافتراضية للأجهزة لتشغيل عمليات النظام الهامة في بيئة معزولة لمنع التطبيقات الضارة من العبث بها. نظرًا لأن البرامج الضارة على مستوى kernel غالبًا ما تستفيد من نقاط الضعف في عمليات النظام المهمة، فإن هذه الميزة ستحميها.
في بحث Windows، اكتب “أمان Windows”، وافتح الملف أمن ويندوز برنامج. انتقل الى أمان الجهاز -> العزلة الأساسية، والتأكد سلامة الذاكرة تم تشغيله على.
اضبط التحكم في حساب المستخدم (UAC) على الحد الأقصى للأمان
تحمي UAC جهاز الكمبيوتر الخاص بك عن طريق منع التطبيقات من التثبيت أو إجراء تغييرات على جهاز الكمبيوتر الخاص بك دون إذنك. يمكنك ضبطه على الحد الأقصى من الأمان بحيث يطلب Windows دائمًا إذنك عندما تحاول أنت أو أي تطبيق تثبيت شيء ما أو تغيير أحد الإعدادات.
ابحث عن “uac” في Windows Search، ثم انقر فوق تغيير إعدادات التحكم في حساب المستخدم. اضبط شريط التمرير هنا على أبلغ دائمًا في القمة.
حافظ على تحديث جهاز الكمبيوتر
كما ذكرنا سابقًا، غالبًا ما تستفيد البرامج الضارة على مستوى kernel من نقاط الضعف لإصابة جهاز الكمبيوتر. إن الحفاظ على تحديث نظامك يضمن تصحيح نقاط الضعف المعروفة في الوقت المناسب، مما يمنع البرامج الضارة من استغلالها.
تأكد من تحديث Windows وبرامج التشغيل وBIOS/UEFI إلى أحدث الإصدارات.
ويندوز: لتحديث نظام التشغيل Windows، انتقل إلى تحديث ويندوز في إعدادات Windows، ثم انقر فوق التحقق من وجود تحديثات. إذا قال أنت على اطلاعكل شيء على ما يرام. بخلاف ذلك، قم بتنزيل التحديثات الموصى بها وتثبيتها.
السائقين: هذه هي الأكثر عرضة للخطر، حيث يتم تحميلها أثناء عملية التمهيد، ويمكن لبرنامج التشغيل المخترق تمكين الإصابة على مستوى kernel. يمكنك استخدام أداة تحديث برامج التشغيل مثل iObit Driver Booster لتحديث جميع برامج التشغيل تلقائيًا.
BIOS/UEFI: من الصعب بعض الشيء تحديث BIOS/UEFI، حيث يتعين عليك القيام بذلك يدويًا، ولكن لحسن الحظ، هذه التحديثات نادرة.
استخدم حساب المستخدم القياسي للاستخدام اليومي
لقد قام حساب المستخدم القياسي بتقييد الوصول إلى العديد من الوظائف، ولكنه جيد بما يكفي للاستخدام اليومي. ونظرًا لأنه مقيد، فإنه يحد أيضًا من قدرة البرامج الضارة لـ kernel على إصابة الجهاز.
لإنشاء حساب قياسي، افتح إعدادات Windows، وانتقل إلى الحسابات -> مستخدمين آخرين. انقر فوق إضافة حساب لإنشاء حساب جديد، وتأكد من تحديده الحساب القياسي بدلا من المسؤول.
في بعض الأحيان قم بتشغيل فحص وقت التمهيد
يعد فحص وقت التمهيد وظيفة قياسية في معظم برامج مكافحة الفيروسات، بما في ذلك Microsoft Defender. يؤدي هذا الفحص إلى إعادة تشغيل جهاز الكمبيوتر الخاص بك وفحصه قبل تحميل نظام التشغيل بالكامل. يعد هذا فعالًا جدًا ضد البرامج الضارة على مستوى kernel، حيث يمكنه اكتشافها قبل أن تحاول الاختباء من نظام التشغيل. في بعض الأحيان، قم بتشغيله للتأكد من أن جهاز الكمبيوتر الخاص بك نظيف.
لإجراء هذا الفحص في Windows، ابحث عن “أمان Windows” في Windows Search، وافتح ملف أمن ويندوز برنامج.
انتقل الى الحماية من الفيروسات والتهديدات -> خيارات المسح، وحدد برنامج الحماية من الفيروسات لـ Microsoft Defender (الفحص دون اتصال بالإنترنت). عندما تنقر على مسح الآن، سيطالبك بإعادة تشغيل جهاز الكمبيوتر لإجراء الفحص.
تجنب تنفيذ البرامج الخطرة
هذه نصيحة عامة لتجنب جميع أنواع المخاطر الأمنية للنظام، ولكنها مهمة بشكل خاص عندما يتعلق الأمر بالبرامج الضارة على مستوى kernel. ولا يمكنه الوصول إلى النواة دون تعطيل ميزات أمان نظام التشغيل. وهذا يعني أن البرامج الضارة على مستوى النواة ستعطي إشارات حمراء واضحة، مثل مطالبتك بتعطيل ميزات الأمان لتشغيل التطبيق.
كن حذرًا بشأن تنزيل البرامج المشبوهة، مثل برامج اختراق ألعاب الفيديو أو البرامج المميزة المقرصنة. إذا طلب منك أحد التطبيقات تعطيل إجراءات حماية أمنية معينة، فمن المرجح أن تفوق المخاطر المحتملة أي فوائد قد يقدمها.
ماذا تفعل إذا أصيب جهاز الكمبيوتر الخاص بك
يعد الاستخدام المرتفع لوحدة المعالجة المركزية (CPU) والتجميد والتعطل (BSOD) والنشاط المشبوه على الشبكة من العلامات الشائعة للإصابة بالبرامج الضارة على مستوى kernel. إذا كنت تعتقد أن جهاز الكمبيوتر الخاص بك مصاب، فيجب عليك التصرف فورًا. لسوء الحظ، لديك خيارات محدودة، حيث أن البرامج الضارة يمكن أن تكون لزجة للغاية.
استخدم برنامج مكافحة الفيروسات مع ميزة إزالة Rootkit
يمكن لمعظم برامج مكافحة الفيروسات المزودة بميزات إزالة الجذور الخفية إزالة معظم أنواع البرامج الضارة على مستوى kernel. نوصي باستخدام Malwarebytes، لأنه يحتوي على ميزة مخصصة لإزالة الجذور الخفية وفعالة للغاية.
سيتعين عليك تمكين وظيفة فحص الجذور الخفية أولاً، حيث يتم تعطيلها افتراضيًا. انقر فوق إعدادات في Malwarebytes، ثم انتقل إلى المسح والكشف قسم. تمكين البحث عن الجذور الخفية خيار.
سيتضمن الفحص التالي أيضًا وظيفة فحص الجذور الخفية التي يمكنها العثور على البرامج الضارة على مستوى kernel التي تصيب جهاز الكمبيوتر الخاص بك.
قم بتشغيل فحص وقت التمهيد
كما ذكرنا أعلاه، يمكن لفحص وقت التمهيد اكتشاف البرامج الضارة على مستوى kernel والتي تعتمد على إخفاء نفسها قبل عملية التمهيد. يمكنك إما تشغيل فحص Microsoft Defender كما فعلنا أعلاه، أو استخدام تطبيق تابع لجهة خارجية. يتمتع Avast One بوظيفة فحص قوية في وقت التمهيد يمكنك تجربتها في حالة فشل Microsoft Defender.
أعد تثبيت ويندوز
إذا كان برنامج الأمان غير قادر على اكتشاف البرامج الضارة على مستوى kernel، فمن المفترض أن تؤدي إعادة تثبيت Windows إلى حل المشكلة. يجب عليك إجراء تثبيت جديد، حيث قد تكون الصورة الحالية مصابة. هناك طرق متعددة لتثبيت Windows 11، لذا اختر الطريقة المفضلة لديك.
بشكل عام، يمكن أن تكون البرامج الضارة على مستوى النواة خطيرة للغاية، ولكن من الصعب على المتسللين الوصول إليها إلى جهازك. إذا كنت تواجه مشكلة في التخلص من البرامج الضارة على مستوى kernel، فيمكن أن تؤدي ترقية/إعادة تثبيت BIOS إلى حل المشكلة. يمكنك أيضًا اصطحابه إلى أحد المحترفين لإعادة تحميل ملفات BIOS ومسح CMOS.
حقوق الصورة: فريبيك. جميع لقطات الشاشة بواسطة كرار حيدر.
اشترك في النشرة الإخبارية لدينا!
يتم تسليم أحدث البرامج التعليمية لدينا مباشرة إلى صندوق البريد الوارد الخاص بك