- آسمونی
- مجله اینترنتی
- فناوری
- دانستنی فناوری
- آنتی ویروس چیست؟
آنتی ویروس چیست؟
کار آنتی ویروس در کامپیوتر
نرم افزارهای آنتی ویروس اختصاصاً برای دفاع از سیستمها در برابر تهدیدهای ویروسها طراحی و نوشته میشوند. متخصصان امنیتی قویاً توصیه به استفاده از آنتی ویروس میکنند زیرا آنتی ویروس از رایانه شما نه تنها در برابر ویروسها بلکه در برابر انواع بدافزارها نیز محافظت میکند. آسمونی در این بخش در مورد آنتی ویروس و کاربرد آن بیشتر توضیح می دهد.
آنتی ویروس یک برنامه کامپیوتری است که برای مرور فایلها و تشخیص و حذف ویروسها و دیگر بدافزارها از آن استفاده میشود.
در حالت کلی آنتی ویروسها از دو تکنیک اصلی برای رسیدن به اهدافشان استفاده میکنند:
1- روش مبتنی بر کد (امضا)
در این روش با استفاده از یک دیکشنری ویروس که حاوی امضای ویروسهای شناخته شده است، احتمال وجود ویروسهای شناخته شده در فایلها مورد بررسی و آزمایش قرار میگیرند.
2- روش مبتنی بر رفتار
در این روش هدف شناسایی رفتارهای مشکوک هر برنامه کامپیوتری است، زیرا احتمال دارد رفتار مذکور نشان دهنده یک آلودگی ویروسی باشد. اغلب آنتی ویروسهای تجاری از هر دو روش فوق ولی با تأکید بر روی امضای ویروس، استفاده میکنند. در زیر روشهای مذکور را با تفصیل بیشتری توضیح میدهیم.
روش مبتنی بر کد (امضا)
اغلب برنامههای آنتی ویروس در حال حاضر از این تکنیک استفاده میکنند. در این شیوه، رایانه میزبان، درایوهای حافظه و یا فایلها با هدف پیدا کردن الگویی که نشان دهنده یک بدافزار باشد، مورد جستجو قرار میگیرند. این الگوها معمولاً در فایلهایی به نام فایلهای امضا ذخیره میشوند. فایلهای مذکور توسط فروشندگان نرم افزارهای آنتی ویروس طبق یک برنامه منظم به روز رسانی میشوند تا قادر باشند بیشترین تعداد ممکن حملههای بدافزاری را شناسایی کنند. مشکل اصلی تکنیک بررسی امضا این است که نرم افزار آنتی ویروس باید قبلاً به روز رسانی شده باشد تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد و لذا بدافزارهای جدیدی که هنوز شناسایی نشده و به فایلهای امضا اضافه نشده اند تشخیص داده نمیشوند.
در این شیوه زمانی که نرم افزار آنتی ویروس یک فایل را مورد آزمایش قرار میدهد، به یک دیکشنری ویروس که حاوی امضای ویروسهای شناخته شده است مراجعه میکند. در صورتی که هر تکه از کد فایل با یک ویروس شناخته شده مطابقت داشته باشد، فایل مذکور به عنوان یک فایل آلوده شناسایی شده و آنتی ویروس یا آن را پاک میکند و یا آن را قرنطینه مینماید تا برنامههای دیگر به آن دسترسی نداشته و همچنین از انتشار آن جلوگیری به عمل آید. در برخی موارد نیز امکان بازسازی فایل آلوده از طریق حذف ویروس از فایل اصلی وجود دارد که در صورت امکان آنتی ویروس این کار را انجام میدهد.همان طور که در بالا نیز گفتیم، آنتی ویروسهای مبتنی بر امضا برای موفق بودن در درازمدت، نیاز دارند که مرتباً دیکشنری حاوی امضاهای ویروس را به صورت آنلاین به روز رسانی نمایند. زمانی که یک ویروس جدید در دنیای رایانه پدیدار میشود، کاربران با تجربهتر فایلهای آلوده را برای نویسندگان آنتی ویروسها ارسال میکنند تا آنها بتوانند ویروس مزبور را شناسایی کرده و مشخصات آن را به دیکشنری اضافه کنند.
روش مبتنی بر رفتار
روش مبتنی بر رفتار بر خلاف روش پیشین تنها در تلاش برای شناسایی ویروسهای شناخته شده نیست و به جای آن رفتار همه برنامهها را نظارت میکند. این تکنیک سعی در تشخیص انواع شناخته شده و همچنین انواع جدید بدافزار دارد و این کار را از طریق جستجوی ویژگیهای عمومی و مشترک بدافزارها انجام میدهد. برای مثال اگر یک برنامه سعی در نوشتن داده بر روی یک برنامه اجرایی دیگر را داشته باشد، این رفتار به عنوان یک رفتار مشکوک شناسایی شده و به کاربر هشدار لازم داده میشود.
سپس از او در مورد اینکه چه کاری باید انجام شود سؤال میشود. آنتی ویروسهای مبتنی بر رفتار بر خلاف آنتی ویروسهای مبتنی بر امضا از رایانه در برابر ویروسهای جدید نیز که امضای آنها در هیچ دیکشنری موجود نیست، محافظت به عمل میآورند. البته مشکل این آنتی ویروسها تعداد زیاد تشخیصهای مثبت اشتباه و هشدارهای به کاربر است که موجب خستگی و سر رفتن حوصله کاربران میشود. در صورتی که کاربران به همه هشدارها پاسخ Accept را بدهند عملاً آنتی ویروس بلااستفاده شده و کارایی خود را از دست خواهد داد، به همین دلیل آنتی ویروسها استفاده از این روش را روز به روز محدودتر میکنند.به روش مبتنی بر رفتار جستجوی اکتشافی یا Heuristic نیز گفته میشود زیرا سعی در کشف رفتارهای مشکوک و شناسایی بدافزارها دارد. مهمترین فایده این روش تکیه نکردن آن بر فایلهای امضا برای تشخیص و مقابله با بدافزار است.