آنتی ویروس ها، به نظر میاد این ابزار تنها راه نجات ما از دست بدافزارهای بیشمار و جدید و قدرتمند فضای سایبر باشند. اینکه کدام آنتی ویروس برای سیستم ما مناسبتر است؟ نحوه ویروس یابی آنها به چه صورت است؟ چه روشهاییرو برای کار خود انتخاب می کنند و ... از نکات مهم و سئوالاتیست که همواره ذهن ما رو به خود مشغول می کند، در این مقاله سعی بر آن دارم تا با ارائه مطالبی در این ارتباط ، شما رو به انتخاب بهتر و درک بهتر نسبت به این ابزار نزدیکتر و آشناتر کنم.
اینکه باید در سیستم خود آنتی ویروس نصب کنید، شکی درش نیست ولی باید توجه داشته باشید که در این کار زیاده روی نکنید، یعنی چی؟ یعنی اینکه تصور نکنید اگه تعداد آنتی ویروس های سیستمرو افزایش بدید، امنیت در سیستم افزایش پیدا می کنه. که به هیچ وجه اینطور نیست و حتی ممکنه در مواقعی برعکس و وارونه عمل کنه و سطح امنیتتون در سیستم کاهش بده.
نکته مهم در مورد آنتی ویروس ها، به روز رسانی منظم و برنامه ریزی شده اونهاست البته باید توجه داشته باشید که ویروس یاب لایسنس دار، امکانات امنیتی بیشتری رو برای شما فراهم می کنه، همه چی به خود شما بستگی داره که با توجه به اهمیتی که سیستم و اطلاعات اون برای شما داره، انتخاب کنید ویروس یابتون لایسنس دار باشه و یا نه در ادامه با توضیحاتی که در مورد نحوه عملکرد ویروس یابها خواهم داد، شاید کار شما رو برای انتخاب راحتتر کنه.ویروس یابها از روشهای مختلفی برای شناسایی و دفع ویروس استفاده می کنند که در زیر به تعدادی از مهمترین آنهاا اشاره می کنم.
خوب باید توجه داشته باشید که ویروس ها، چیزی بغیر از کدهای رایانه ای که توسط خبره های برنامه نویسی تهیه میشند نیستند، پس اگه بتوانیم نحوه کار این کدها و عملکرد آنها رو ردیابی و پیگیری کنیم ، مسلما خواهیم توانست، جلوی فعالیت ویروس رو بگیرم .پس در هر ویروس یابی، بانک اطلاعاتی وجود دارد که حاوی کد ویروس یاب ها هستند و همینکه ویروس یاب تشخیص دهد که اتفاقی که در سیستم در حال وقوع است با یکی از اطلاعات موجود در این بانک همخوانی دارد ، متوجه حضور ویروس یا ویروس های مربوطه شده و طبق دستورالعملی که در آن تعبیه شده، اقدام به رفع مشکل می کند.
(البته در برخی موارد ویروس یابها، اثرات منفی ویروس را پاک می کنند و در برخی موارد خود فایل ویروسی شده رو ) به این روش Signature Matching نیز گفته می شود. این روش ، نخستین الگوریتم و استراتژی ضد ویروس ها برای مقابله با بدافزارهاست ولی نکته اینجاست که این روش به هیچ وجه کافی نیست! چرا ؟ شاید این روش برای ویروس های تا قبل از آخرین UPDATE ویروس یاب جوابگو باشد ولی در مورد بدافزارهای جدید به هیچ وجه کفایت نمی کند.
چرا که هنوز ضدویروس، تجربه و شناختی از ویروس ها و عملکرد و رفتار اونها ندارد و لذا اطلاعاتی از اون رفتارها در بانک خود ندارد که بخواهد عملکرد ویروس های جدید را با رکوردهای بانک خود مقایسه کند.(بانک کدی ویروس) نکته : بطور معمول با توجه به توافقی که بین شرکتهای ضد ویروس وجود دارد، SIGNATURE BASE های خودشون با هم به اشتراک می گذارند و به همین جهت وقتی یک ضد ویروس، بدافزاری رو تشخیص می ده، کم و بیش ویروس یابهای دیگه هم اونو تشخیص می دند.
در این روش، رفتار یک ویروس مورد تجزیه و تحلیل قرار می گیرد، بعبارتی هر بدافزار برای خود، نحوه عملکرد و رفتار مختص به خود را دارد بطور مثال ضد ویروس اگه تشخیص بدهد که یک مجموعه اتفاقات در سیستم در شرف اتفاق هستند، متوجه حضور حرکت غیر نرمال در سیستم شده که با رفتار یک ویروس که در بانک این ویروس یاب هست، مطابقت دارد و از این رو پی به نوع ویروس می برد.
به این روش گفته می شود که behavior signature گفته می شود که در آن ویروس یاب یک بانک اطلاعاتی از رکوردهای رفتاری آن ویروس دارد.(بانک رفتاری ویروس ها)البته توجه داشته باشید، این الگوریتم به شیوه فوق که اشاره شد، اگه پیاده سازی شود، یعنی مقایسه با رکوردهای موجود در بانک به آن static heuristic میگویند. مواردی هست که قطعه کد در یک ماشین مجازی اجرا پیاده سازی می شود تا نتیجه رفتاری مشاهده شود که به این روش dynamic heuristic میگویند.
در این روش ویروس یاب برای خود یک CHECKSUM از هر فایل دارد و اندازه و مشخصات و ... آنها را می داند و حال اگر ویروسی بخواهد، تغییری در آن فایل ایجاد کند و حجم آن افزایش پیدا کند و موارد مشابه، ویروس یاب متوجه تغییرات مربوطه شده و آلارم می دهد .
البته این روش هم فقط در مورد ویروس هایی جواب می دهد که بخواهند تغییری در فایل بدهند از قبیل نوشتن کد خود در ابتدای هدر فایل و یا .... اما شاید در مورد بدافزارهای جدید که به الگوریتم های ویروس یابها آشنا هستند و این ترفندها را می دانند، این روشها جوابگو نباشد و برای مواردی مانند حذف اطلاعت و یا فورمت هارد میسر است که ویروس یاب با این روش تشخیص به این اتفاق می دهد و جلوی آن را می گیرد.
روش نخست که به آن REAL TIME گفته می شود به این صورت بوده که آنتی ویروس با مقیم شدن در حافظه و انداختن چتر امنیتی خود بر روی سیستم به کمک تنطیمات خود ما، در لحظه اتفاقات داخل سیستم را رصد کرده و همین که تشخیص دهد اتفاقی در شرف رخ دادن است، بالافاصله با روشهای خود سعی در پیشگیری از آن دارد
و بررسی در لحظه مورد دسترسی قرار گرفتن فایل اتفاق می افتد و در حالتی که بدافزار داخل یک فایل وجود داشته باشد، این روش کارساز نبوده و اینجاست که روش دوم یعنی دستور دادن به ویروس یاب برای بررسی سیستم برای پیدا کردن کدهای ویروس در فایل ها و ... به کار می آید. در این روش دیگر ما منتظر حرکت ویروس نمی شویم و خود به جستجوی ویروس می گردیم.(روش on-demand).
ویروس یابها به هیچ وجه قادر نیستند تا امنیت صددرصدی رو برای سیستم شما پیاده سازی کنند و این هم دقیقا به این خاطر است که بدافزارها ، همیشه و همیشه یک قدم که نه چندین گام جلوتر از ضد ویروس ها هستند.در برخی از موارد ویروس یابها ، قادرند کد ویروس را از فایل قربانی بیرن کشیده و فایل را از وجود کد خراب پاک کنند که البته این در همه موارد اتفاق نمی افتد، چرا که در بیشتر مواقع ویروس یابها، قادر به این کار نبوده و خود فایل را یعنی قربانی را حذف می کنند تا جلوی ویروس را بگیرند و این یعنی جلوی شیوع ویروس را گرفتن و نه بهبود فای قربانی.
به نظر، شیوه ها و الگوریتم های بکار رفته توسط بدافزار نویسان به مراتب قویتر و پیچیده تر از الگوریتم های ویروس یابها بوده و ضمن اینکه به نظر می رسه ، شاید خود شرکتها ویروس یاب اقدام به شیوع یک ویروس می کنند و بعد با ارائه ابزار پاکسازی برای خود درآمد و شهرتی ایجاد می کنند.منتظر نظرات شما در این ارتباط هستم.شما چی فکر می کنید؟ آیا آنتی ویروس نویس ها همان ویروس یاب نویسها هستند ، یا درصدی از آنها و یا نه .!
کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر
کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود