نرم افزار آنتی ویروس اورجینال تحت شبکه و آنتی ویروس اورجینال کامپیوتر بصورت تخصصی برای دفاع و کنترل سیستم ها در برابر تهدیدات ویروس ها طراحی و برنامه نویسی می شوند. متخصصان امنیت اطلاعات برای استفاده کاربران از آنتی ویروس اورجینال توصیه می کنند چراکه از رایانه های کاربران نه تنها در برابر فایلهای مخربی مانند ویروس ها بلکه در برابر انواع بدافزارها نیز محافظت می کند. در واقع نرم افزارهای آنتی ویروس اورجینال یک برنامه کامپیوتر ی است که جهت بررسی فایل ها و تشخیص و حذف ویروس ها و دیگر بدافزارها استفاده می شود. در این مقاله بعضی از روش های مرسوم در آنتی ویروس ها را برای تشخیص بدافزارها، بررسی می کنیم. در کل آنتی ویروس اورجینال تحت شبکه و آنتی ویروس اورجینال سیستمهای کاربری از ۲ روش برای شناسائی ویروسها استفاده می کنند:
روش مبتنی بر کد (امضا):
روش مبتنی بر رفتار:
روش مبتنی بر رفتار:
تشخیص مثبت اشتباه ( False Positive )
بررسی کندتر
ندیدن ویژگی های جدید
روش های دیگر استفاده از Sandbox
فناوری ابر
ابزار پاک سازی ویروس
تشخیص آنلاین
روش مبتنی بر کد (امضا):
در این روش با استفاده از یک دیکشنری ویروس که حاوی امضای ویروس های شناخته شده است، احتمال وجود ویروس های شناخته شده در فایل ها مورد بررسی و آزمایش قرار می گیرد.
روش مبتنی بر رفتار:
در این روش، هدف شناسایی رفتارهای مشکوک هر برنامه رایانه ای است، زیرا این رفتارها نشان دهنده یک آلودگی ویروسی است.اغلب آنتی ویروس های تجاری از هر ۲ روش یاد شده با تأکید روی امضای ویروس استفاده می کنند. در ادامه این روش ها را با تفصیل بیشتری توضیح می دهیم.روش مبتنی بر کد (امضا): در اغلب برنامه های آنتی ویروس در حال حاضر از این روش استفاده می شود. در این شیوه، رایانه میزبان، درایوهای حافظه و یا فایل ها با هدف پیدا کردن الگویی که نشان دهنده یک بدافزار است، مورد جست وجو قرار می گیرد. این الگوها به طور معمول در فایل هایی به نام امضا ذخیره می شود. این فایل ها توسط فروشندگان نرم افزارهای آنتی ویروس طبق یک برنامه منظم به روز رسانی می شود تا قادر باشد بیشترین تعداد ممکن حمله های بدافزاری را شناسایی کند. مشکل اصلی تکنیک بررسی امضا این است که نرم افزار آنتی ویروس باید در قبل به روز رسانی شود تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد؛ بنابراین بدافزارهای جدیدی که هنوز شناسایی نشده و به فایل های امضا اضافه نشده است تشخیص داده نمی شود.در این شیوه زمانی که نرم افزار آنتی ویروس یک فایل را مورد آزمایش قرار می دهد، به یک دیکشنری ویروس که حاوی امضای ویروس های شناخته شده است مراجعه می کند.در صورتی که هر تکه از کد فایل با یک ویروس شناخته شده مطابقت کند، فایل یاد شده به عنوان یک فایل آلوده شناسایی می شود و آنتی ویروس یا آن را پاک می کند و یا آن را قرنطینه می کند تا برنامه های دیگر به آن دسترسی نداشته باشد و هم چنین از انتشار آن جلوگیری به عمل آید. در برخی موارد نیز امکان بازسازی فایل آلوده از طریق حذف ویروس از فایل اصلی وجود دارد که در صورت امکان آنتی ویروس این کار را انجام می دهد.همان طور که اشاره شد آنتی ویروس های مبتنی بر امضا برای موفق بودن در دراز مدت، باید به طور مرتب دیکشنری حاوی امضاهای ویروس را به صورت آنلاین به روز رسانی کند. زمانی که یک ویروس جدید در دنیای رایانه پدیدار می شود، کاربران با تجربه تر فایل های آلوده را برای نویسندگان آنتی ویروس ها ارسال می کنند تا آن ها بتوانند ویروس را شناسایی و مشخصات آن را به دیکشنری اضافه کنند.آنتی ویروس های مبتنی بر امضا فایل ها را در زمان اجرا، باز و بسته شدن و هم چنین زمانی که ایمیل می شود، مورد آزمایش قرار می دهند. با انجام این کار یک ویروس شناخته و به محض وارد شدن به رایانه تشخیص داده می شود. هم چنین می توان برنامه های آنتی ویروس را طوری برنامه ریزی کرد که در زمان های معینی به بررسی کل فایل های موجود روی دیسک سخت بپردازد.با این که روش مبتنی بر امضا مؤثر شناخته شده است ولی ویروس نویسان همواره تلاش می کنند یک قدم جلوتر از آنتی ویروس ها حرکت کنند و این کار را از طریق ایجاد ویروس های چندریختی انجام می دهند. ویروس های چندریختی در واقع دارای یک مکانیزم دفاعی رمزنگاری است. بدافزاری از این نوع رمزنگاری به عنوان یک مکانیزم دفاعی استفاده می کند که بخواهد خود را تغییر دهد تا از خطر تشخیص داده شدن توسط نرم افزارهای آنتی ویروس در امان بماند.این بدافزار خود را با یک الگوریتم رمزنگاری به صورت رمزی در می آورد و سپس برای هر دگرگونی از یک کلید رمزگشایی متفاوت استفاده می کند، بنابراین بدافزار چندریختی می تواند از تعداد نامحدودی الگوریتم رمزنگاری به منظور ممانعت از تشخیص استفاده کند. در هر بار تکرار بدافزار جزیی از کد رمزگشایی دچار تغییر می شود. بسته به نوع هر بدافزار، عملیات خرابکارانه یا دیگر اعمالی که توسط بدافزار انجام می شود می تواند تحت عملیات رمزنگاری قرار بگیرد. به طور معمول، یک موتور دگرگونی در بدافزار رمزنگاری شده تعبیه شده است که در هر بار تغییر، الگوریتم های رمزنگاری تصادفی را تولید می کند، سپس موتور یاد شده و بدافزار توسط الگوریتم تولیدی رمزنگاری و کلید رمزگشایی جدید به آن ها الصاق می شود.نکته ای که نباید آن را از نظر دور داشت این است که روش های متنوعی برای رمزنگاری و بسته بندی بدافزارها وجود دارد که تشخیص انواع شناخته شده بدافزارها را برای آنتی ویروس ها بسیار سخت یا غیر ممکن می سازد که به همین دلیل تشخیص این گونه ویروس ها نیازمند موتورهای قوی باز کردن بسته بندی است که بتواند فایل ها را قبل از آزمایش رمزگشایی کند. متأسفانه بسیاری از آنتی ویروس های محبوب و معروف امروزی از توانایی تشخیص ویروس های رمزنگاری شده بی بهره است.
روش مبتنی بر رفتار:
روش مبتنی بر رفتار بر خلاف روش پیشین تنها در تلاش برای شناسایی ویروس های شناخته شده نیست و به جای آن رفتار همه برنامه ها را نظارت می کند. این تکنیک سعی در تشخیص انواع شناخته شده و هم چنین انواع جدید بدافزار دارد و این کار را از طریق جست وجوی ویژگی های عمومی و مشترک بدافزارها انجام می دهد. به عنوان مثال اگر یک برنامه سعی در نوشتن داده روی یک برنامه اجرایی دیگر را دارد، این رفتار به عنوان یک رفتار مشکوک شناسایی و به کاربر هشدار لازم داده می شود، سپس از او در مورد این که چه کاری باید انجام شود سؤال می شود.آنتی ویروس های مبتنی بر رفتار بر خلاف آنتی ویروس های مبتنی بر امضا از رایانه در برابر ویروس های جدید نیز که امضای آن ها در هیچ دیکشنری موجود نیست، محافظت به عمل می آورند. البته مشکل این آنتی ویروس ها تعداد زیاد تشخیص های مثبت اشتباه و هشدارها به کاربر است که موجب خستگی و سر رفتن حوصله کاربران می شود. در صورتی که کاربران به همه هشدارها پاسخ Accept را بدهند آنتی ویروس درعمل بدون استفاده می شود و کارایی خود را از دست می دهد، به همین دلیل استفاده از این روش روز به روز محدودتر می شود.به روش مبتنی بر رفتار جست وجوی اکتشافی یا Heuristic نیز گفته می شود زیرا سعی در کشف رفتارهای مشکوک و شناسایی بدافزارها دارد. مهم ترین فایده این روش تکیه نکردن آن بر فایل های امضا برای تشخیص و مقابله با بدافزار است. علاوه بر آن، بررسی اکتشافی نیز با مشکلات خاصی روبه رو است که می توان به این موارد اشاره کرد:
تشخیص مثبت اشتباه ( False Positive )
این روش از ویژگی های عمومی بدافزارها استفاده می کند، بنابراین ممکن است برخی از نرم افزارهای قانونی و معتبر را در صورتی که خصوصیاتی شبیه بدافزارها داشته باشد به اشتباه بدافزار شناسایی کند.
بررسی کندتر
پروسه جست وجوی ویژگی ها برای یک نرم افزار بسیار سخت تر از جست وجوی الگوهای مشخص است. به همین دلیل جست وجوی اکتشافی به مدت زمان بیشتری نسبت به جست وجوی امضا برای شناسایی بدافزارها نیاز دارد.
ندیدن ویژگی های جدید
در صورتی که یک حمله بدافزاری جدید ویژگی هایی را از خود به نمایش بگذارد که پیش از این شناسایی نشده است، جست وجوی اکتشافی نیز آن را شناسایی نمی کند مگر این که به روز رسانی و ویژگی یاد شده به حافظه آن اضافه شود.
روش های دیگر استفاده از Sandbox
یک روش دیگر برای تشخیص ویروس ها استفاده از sandbox است. یک sandbox سیستم عامل را شبیه سازی و فایل های اجرایی را در این شبیه سازی اجرا می کند. بعد از پایان اجرای برنامه ها، sandbox تغییراتی را که ممکن است نشان دهنده ویروس باشد مورد ارزیابی قرار می دهد. به علت سرعت پایین این روش تشخیص، از آن فقط در صورت تقاضای کاربر استفاده می شود.
فناوری ابر
در نرم افزارهای آنتی ویروس رایج و امروزی یک فایل یا برنامه جدید تنها توسط یک تشخیص دهنده ویروس در یک زمان مورد بررسی قرار می گیرد. آنتی ویروس ابری می تواند برنامه ها یا فایل ها را به یک شبکه ابری ارسال کند که در آن از چندین آنتی ویروس و چندین ابزار تشخیص بدافزار به صورت هم زمان استفاده می شود.آنتی ویروس ابری در واقع یک آنتی ویروس مبتنی بر محاسبات ابری است که توسط دانشمندان دانشگاه میشیگان تولید شده است. هر زمان که رایانه یک فایل یا برنامه جدید دریافت یا نصب کند یک نسخه از آن به صورت خودکار برای ابر آنتی ویروس ارسال می شود و در آن جا با استفاده از ۱۲ تشخیص دهنده متفاوت که با یکدیگر کار می کنند، مشخص می شود که آیا باز کردن فایل یا برنامه امن است یا خیر.
ابزار پاک سازی ویروس
یک ابزار پاک سازی ویروس در واقع نرم افزاری است که برای تشخیص و پاک سازی ویروس های خاصی طراحی شده است. بر خلاف آنتی ویروس های کامل از آن ها انتظار تشخیص گستره وسیعی از ویروس ها را نداریم چرا که آن ها برای تشخیص و پاک سازی ویروس های ویژه ای از روی رایانه های قربانی طراحی شده است و در این کار به مراتب موفق تر از آنتی ویروس های عمومی عمل می کند. برخی اوقات آن ها برای اجرا در محل هایی طراحی می شود که آنتی ویروس های معمولی نمی تواند در آن محل ها اجرا شود. این حالت برای مواقعی که رایانه به شدت آسیب دیده و آلوده شده است مناسب است.
تشخیص آنلاین
برخی وب سایت ها امکان بررسی فایل های بارگذاری شده توسط کاربر را به صورت آنلاین فراهم می کنند. این وب سایت ها از چندین تشخیص دهنده ویروس به صورت هم زمان استفاده و گزارشی را در مورد فایل های بارگذاری شده برای کاربر تهیه می کند. استفاده از آنتی ویروس ها اجتناب ناپذیر است و شکی در مورد سودمند بودن آن ها نیست ولی برخی اوقات دردسرهایی را برای کاربران ایجاد می کند. برای مثال برنامه های آنتی ویروس در صورتی که به صورت مؤثر طراحی نشود، کارایی رایانه را کاهش می دهد و باعث کند شدن آن می شود و هم چنین ممکن است کاربران بی تجربه در درک هشدارهای آنتی ویروس با مشکل رو به رو شوند و پیشنهادهایی را که آنتی ویروس به آن ها ارائه می کند درست متوجه نشوند. گاهی اوقات یک تصمیم نادرست ممکن است منجر به نشت اطلاعات شود. در صورتی که آنتی ویروس از جست وجوی اکتشافی استفاده کند کارایی آن به میزان تشخیص های مثبت نادرست و تشخیص های منفی نادرست بستگی دارد. این نکته را نیز نباید از یاد برد از آن جا که برنامه های آنتی ویروس اغلب در سطوح بسیار قابل اطمینان در هسته سیستم اجرا می شود، محل خوبی برای اجرای حملات علیه رایانه است.برخی از آنتی ویروس های تشخیص آنلاین:
آنتی ویروس اورجینال آویرا - لینک اسکنر آنلاین آنتی ویروس آویرا
آنتی ویروس اورجینال ESET -- لینک اسکنر آنلاین
آنتی ویروس اورجینال آویرا - لینک اسکنر آنلاین آنتی ویروس آویرا
آنتی ویروس اورجینال ESET -- لینک اسکنر آنلاین
