آنتی ویروس چگونه شناسایی و عکس العمل نشان می دهد
علمی و تکنولوژی › نرم افزار
- 97/09/10
آنتی ویروس چیست
نرم افزار «آنتی ویروس» به صورت ماهیتی برای شناسایی و حذف ویروس از کامپیوتر ساخته شده است. و می تواند در برابر گستره ای وسیع از تهدیدات سایبری از قبیل نرم افزارهای مخرب Malicious مانند کی لاگرها Keylogger ، جستجوگرهای سارق Browser hijacker ، تروجان ها Trojan horses ، کرم ها Worms ، روتکیت ها Rootkit ، جاسوس افزار ها Spyware ، تبلیغ افزار Adware ، بات نت ها Botnet و باج افزار ها Ransomware مقابله کند.
یک آنتی ویروس چگونه کار می کند ؟
نرم افزار آنتی ویروس معمولا بعنوان یک روند بی وقفه در پشت صحنه کار می کند و با اسکن Scan کامپیوتر، سرور و دستگاه های موبایل به شناسایی بدافزار و محدودیت فعالیت آنها می پردازد. خیلی از آنتی ویروس ها شامل قابلیت شناسایی تهدید بلادرنگ Real-Time و قابلیت محافظت Protection هستند که توسط آنها آسیب پذیری های بالقوه را شناسایی کرده و با اسکن و رصد کردن دستگاه و فایل های سیستم به دنبال ریسک های احتمالی می گردند.
یک آنتی ویروس معمولا این توابع و قابلیت های اساسی و پایه ای را اجرا می کنند :
اسکن دایرکتوری ها Directories و فایل های به خصوص برای پیدا کردن الگوی بدافزارهای شناخته شده و نشان دادن این نرم افزارهای مخرب
اجازه به کاربر برای زمان بندی اسکن تا بتواند به صورت خودکار فعالیت نماید
اجازه و دسترسی به کاربر برای اسکن کردن کامپیوتر در هر لحظه
شناسایی و پاک کردن منبع از نرم افزارهای تخریب کننده و ویروس ها. بعضی از آنتی ویروس ها این کار را بصورت خودکار در پشت صحنه انجام می دهند اما بعضی دیگر کاربر را از انجام این عملیات اگاه می سازند و از او اجازه انجام این فعالیت را می گیرند
یک آنتی ویروس به قصد اسکن کردن جامع سیستم نیاز به امتیاز دسترسی به تمام آن سیستم را دارد. بنابراین این امتیاز را از اول می گیرد. این کار باعث می شود که خود نرم افزار آنتی ویروس یک هدف برای مهاجمین سایبری باشد و محققین در سال های گذشته مشکل اجرای کد از راه دور Remote و آسیب پذیری هایی جدی دیگری را در برخی از آنتی ویروس ها کشف کرده اند.
تکنیک ها و روش های شناسایی ویروس
یک نرم افزار آنتی ویروس از روش ها و تکنیک های متنوعی برای شناسایی ویروس ها استفاده می کند.
۱ – به صورت سنتی ، اساس نرم افزار آنتی ویروس مبتنی بر شناسایی برمبنای امضا signature-based است. قدرت یک آنتی ویروس بستگی به مخزن اطلاعات و امضای ویروس ها در پایگاه داده های آن دارد. نرم افزار آنتی ویروس از این امضاها برای شناسایی ویروس هایی که تا به امروز شناسایی و تحلیل شده است استفاده می کنند.
شناسایی بدافزار بر مبنای امضا قادر به مشخص کردن بدافزارهای جدید و یا ویروس هایی که امضای آنها در پایگاه داده های شرکت تولید کننده وجود ندارد نیست. شناسایی بر مبنای امضا تنها می توانید ویروس های جدیدی که آپدیت ویروس های قدیمی هستند. با وجود بیشترشدن روزافزون امضاهای ویروس های جدید که بنا بر گزارش های سال ۲۰۱۱ حدود ۱۰ میلیون امضای جدید درسال تولید می شود این قابلیت عملا کارایی خود را از دست می دهد. یک پایگاه داده مدرن ممکن است که صدها میلیون یا حتی میلیاردها امضا در آن موجود باشد ولی اگر تنها مرجع شناسایی ویروس امضای موجود باشد نمی تواند با این سیل عظیم بدافزارها مقابله کند. با این وجود در این روش مثبت کاذب False Positive یا شناسایی غلط وجود ندارد.
۲ – روش دیگری که برای پیداکردن بدافزار وجود دارد تکنیک شناسایی مبنی بر اکتشاف Heuristic-based است که از یک الگوریتم برای مقایسه امضای ویروس های شناخته شده با تهدیدات بالقوه است. در روش شناسایی بر مبنای اکتشاف ، نرم افزار آنتی ویروس قادر است ویروس هایی که در گذشته کشف نشده اند را به خوبی ویروس هایی که قبلا تحلیل شده اند را شناسایی کند. با این وجود در این روش ممکن است که مثبت کاذب رخ دهد به این معنی که ممکن است فایل ها و نرم افزارهای قانونی که رفتاری شبیه به یک برنامه مخرب دارد را به اشتباه بعنوان ویروس شناسایی کند.
۳ – نرم افزار های آنتی ویروس همچنین از راه دیگری به نام شناسایی بر مبنای رفتار Behavior-based نیز برای بررسی رفتار یک کد یا نرم افزار استفاده می کنند. در این روش رفتارهای مشکوک و مخرب بالقوه از دید آنتی ویروس نیز شامل محدودیت هایی می شوند. به عنوان نمونه یک کدی که تلاش می کند اقدامات مخرب انجام دهد یا دسترسی های غیر مجاز بگیرد می تواند هدف آنتی ویروس بعنوان ویروس قرار گیرد یا حداقل از نظر آن مشکوک به نظر رسد. برخی از نمونه هایی که ممکن است رفتار مشکوک شناخته شود و به آنتی ویروس اخطار دهد شامل تغییر یا دلیت تعداد زیادی از فایل ها، رصد کردن کلیدها Monitoring Keystrokes ، تغییر تنظیمات Setting برنامه های دیگر و ارتباط از راه دور با کامپیوتر می باشد.
۴ – برخی از آنتی ویروس های جدید و پیشرو از راه های به روز و نوآورانه دیگری مثل تحلیل بیگ دیتا، یادگیری ماشین Machine Learning ، ادغام هوش انسان و ماشین ، فناوری بلاک چین غیره نیز برای پیداکردن تهدیدات مدرن و برقراری امنیت استفاده می کنند.
