نرم افزار ضد ويروس چيست:
ضد ويروس اصطلاحی است که به برنامه يا مجموعه ای از
برنامه ها اطلاق می شود که برای محافظت از کامپيوتر ها در
برابر ويروس ها استفاده می شوند. مهم ترين قسمت هر برنامه
ضد ويروس موتوراسکن (Scanning engine) آن است.
جزئيات عملکرد هر موتور متفاوت است ولی همه آنها وظيفه اصلی
شناسايی فايل های آلوده به ويروس را با استفاده از فايل امضای
ويروس ها بر عهده دارند. فايل امضای ويروس يک رشته بايت است که
با استفاده از آن می توان ويروس را به صورت يکتا مورد شناسايی
قرار داد و از اين جهت مشابه اثر انگشت انسان ها می باشد.
ضد ويروس متن فايل های موجود در کامپيوتر
را با نشانه های ويروس های شناخته شده مقايسه می نمايد.
در بيشتر موارد در صورتی که فايل آلوده باشد
برنامه ضدويروس قادر به پاکسازی آن و از بين بردن ويروس است.
در مواردی که اين عمل ممکن نيست
مکانيزمی برای قرنطينه کردن فايل آلوده وجود دارد
و حتی می توان تنظيمات ضدويروس ها را به گونه ای
انجام داد که فايل آلوده حذف شود .
١. بعضی از برنامه های ضد ويروس برای شناسايی ويروس های
جديدی که هنوز فايل امضای آنها ارائه نشده از روش های جستجوی
ابتکاری استفاده می کنند. به اين ترتيب داده های مشکوک در
فايل های موجود در سيستم و يا فعاليت های مشکوک مشابه رفتار
ويروس ها (حتی در صورتی که تعريف ويروسی منطبق با آنچه که در فايل
مشکوک يافت شده موجود نباشد) علامت گذاری می شوند .
اگر ضد ويروس فعاليت مشکوکی را مشاهده نمايد، برنامه ای
که فعاليت مشکوک انجام داده را قرنطينه نموده و به کاربر در مورد
آن اعلام خطر می کند (به عنوان مثال اعلام می شود که
برنامه مشکوک مايل به تغييرWindows Registry می باشد).
دقت اين روش پايين است و در بسياری از مواقع در شناخت فايل
های مشکوک به ويروس اشتباهاتی رخ می دهد .
در چنين مواقعی فايل قرنطينه شده برای شرکت های سازنده ضد
ويروس ها ارسال می شود که پس از تحقيق و آزمايش آن، در صورتی که
واقعا فايل آلوده به ويروس باشد نام، امضاء و مشخصات آن مشخص شده و
پادزهر آن ارائه می گردد. در اين صورت کد مشکوک تبديل به يک
ويروس شناخته شده می شود .
يك ضدويروس چگونه ويروس ها را شناسايي مي آند؟
روش هاي مختلفي براي شناسايي ويروس ها وجود داردويروس ها
(به طور معمول) چيزي بيشتر ازکد يك برنامه نيستند. بنابراين اگر ما بدانيم که
هر کدي چه کاري انجام مي دهد قادر خواهيم بود که کد حامل
ويروس را به محض رويت شناسايي کنيم. اين کار اولين عملي است که انجام مي گيرد
و به نام Signature Matching معروف است.
نرم افزارهاي ضدويروس که به اين روش کار ميکنند داراي يك بانك اطلاعاتي هستند
که شامل Virus signature ها است و به محض اين که کدي را ملاحظه کرد که
معادل يكي از رکوردها باشد آن را به عنوان ويروس شناسايي مي کند.
به نظر مي رسد که موثرترين راه براي کشف ويروس ها همين باشد.
روش فوق ذاتاً به گونه اي است که اول ويروس را شناسايي مي کند و
بعد متناظر با آن يك رکورد (virus signature)
به بانك اطلاعاتي اضافه مي کند و حالا اگر ويروسي پيدا
کند، در صورتي که متناظر با اين ويروس رکوردي در بانك اطلاعاتي باشد
قادر به شناسايي آن خواهد بود وهمين امر ايجاب مي کند شرکت هايي که
از اين فناوري در نرم افزار خود استفاده مي کنند مدام آن را بروز نگه
دارند. به هر حال اين يك نقطه ضعف مي باشد و
براي فائق آمدن بر آن دو روش ديگر در نرم افزارهاي
ضدويروس معرفي شده است. ١
-method Heuristic (روش مكاشفه اي)
فلسفه Heuristic اين است که بتوانيم ويروس هايي را شناسايي کنيم
که هنوز Virus Signature آن ها در
بانك اطلاعاتي موجود نمي باشد.
اين کار با استفاده از يك بانك اطلاعاتي که رکوردهاي
آن حاوي Virus behavior signature مي باشد قابل انجام است.
رکوردهاي اين بانك اطلاعاتي امضاي ويروس خاصي را نگهداري نمي کنند بلكه بيشتر
رفتارهاي (رفتار بد) ويروس ها را ذخيره مي کنند. مثلاً اين که هر کجا تشخيص بدهند کدي قصد
پاك کردن Sector Boot را دارد از آن جلوگيري مي کنند.
الگوريتم هاي Heuristic به دو صورت پياده سازي مي شوند :
● اگر تكنولوژي Heuristic کد هر برنامه
را با Virus behavior Signature مقايسه کند و مورد
آناليز قرار دهد آن را روش static heuristic مي ناميم.
●در بعضي مواقع اين تكنولوژي قطعه کد را در يك ماشين مجازي اجرا مي کند
تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic ميگوييم.
Integrity checksum (جامعيت سرجمع) در روش integrity checksum ،
فرض براين است که ويروس قصد اعمال تغييراتي در فايل دارد.
در اين روش نرم افزار checksum فايل غيرويروسي و يا درايورهاي
تميز را ذخيره مي کند و هرگاه که تغييري در اين checksum
مشاهده شود متوجه مي شود که احتمال دارد ويروسي اين کار را انجام داده باشد.
در اين روش نيز احتمال توليد نتايج غلط وجود دارد.
اين روش درمقابله با ويروس هاي ماکرويي يا ويروس هاي مانند code Red
که بدون اين که در هيچ فايلي ذخيره شوند
در حافظه بارگذاري و اجرا مي شوند، کارايي چنداني ندارد.
اگر يك کد مزاحم از تمام الگوريتم هاي يك ضدويروس که تاکنون نام برديم بگذرد، در گام آخر
توسط فناوري ديگري به نام Activity Blocker از فعاليت آن جلوگيري مي شود.
اين تكنولوژي از تمام فعاليت هايي که
ممكن است توسط يك کد مخرب صورت بپذيرد جلوگيري مي کند مثلاً اگر تشخيص دهد که
هاردديسك درحال فرمت شدن است از آن جلوگيري مي کند.
يك ضدويروس چه موقع ويروس ها را شناسايي مي کند؟
معمولاً ضدويروس ها به دو روش مي توانند ويروس ها را شناسايي کنند.
در روش اول ضدويروس، به صورت Real Time (بلادرنگ)
و همان موقع که فايل مورد دسترسي قرار مي گيرد عمل مي کند.
در اين روش، ضدويروس درون حافظه مقيم مي شود و تمام فعاليت هاي
مربوط به سيستم را مورد ارزيابي وبررسي قرار مي دهد.
اين نرم افزارها با همكاري سيستم عامل متوجه مي شوند که هم اکنون قرار است فايلي
مورد دسترسي قرار بگيرد.سريعاً اين فايل را بررسي و نتيجه را گزارش مي دهند.
به اين روش on-access مي گويند. مزيت اين روش در ارايه يك حفاظت دايمي است ولي
اشكالي که دارد اين است که تنها فايل ها را به هنگام دسترسي مورد بررسي قرار می دهد
يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته
باشد و در ديسك ذخيره شده باشد، با اين روش قابل شناسايي نيست.
در روش دوم اين امكان به کاربر داده
مي شود که خودش نرم افزار ضدويروس را براي بررسي کردن
ديسك يا يك فايل به کمك بگيرد.براي اين که فعاليت فوق بازده بهتري داشته
باشد بايد ضدويروس را طوري تنظيم کرد که در دوره هاي زماني معين
اقدام به اسكن کند. اين روش به on-demand معروف است. ويژگی
های يک نرم افزار ضدويروس مناسب همانطور که برای هر محصولی
(چه نرم افزاری و چه سخت افزاری) آزمون هايی وجود دارد که کيفيت و
شايستگی آن را تعيين می کند، چنين سنجش هايی برای يک نرم افزار
ضد ويروس هم وجود دارد. يکی از آزمون ها DURCH شناخته
می شود که نام آن است که از حروف ابتدايی بخشهای پنچگانهء
اين آزمون تشکيل شده اند. بنابر آزمون DURCH
يک نرم افزار ضدويروس مناسب بايد بتواند به نيازهای زير پاسخ دهد :
۱-تست Demand:بايد بتواند هنگامی که می خواهيد به يک فايل يا صفحه اينترنتی
يا يک mail دسترسی داشته باشيد، آنرا کنترل کند.
٢- تست Update : به اين معنی که AV بايد بتواند در بازه های زمانی مشخص
بانک اطلاعاتی خود که شامل الگوهای (Signatures)
ويروس ها است را بروز کند.
٣- تست Respond :اينکه نرم افزار آنتی ويروس بتواند تمامی رفتارهای منطقی
در برخورد با يک ويروس را از خود نشان دهد.
فايل کثيف را دوباره سازی و تميز کند و يا آنرا حذف نمايد.
٤- تست Check : بايد بتواند تمام فايلها از نوع مختلف را
که ميتوانند محلی برای پنهان شدن ويروس باشند را کنترل کند.
٥- تست Heuristics :به اين معنی که نرم افزار AV شما بايد با وجود نداشتن
الگوی همه ويروسها، بتواند تشخيص خطر دهد و به شما هشدار
دهد که "با وجود آنکه مطمئن نيستم اما احتمالآ مسئله مشکوکی در
کامپيوتر شما وجود دارد." اين کنترل نياز به آن دارد که نرم افزارAV
از هوش بالايی برخوردار باشد.
دیسک نجات Rescue Disk آنتی ویروس چیست 
