ايتنا - روش‌های شناسایی ویروس توسط آنتی‌ویروس‌ها

ویروس‌های کامپیوتری امروزه برای اکثر ما تبدیل به یک تهدید بسیار جدی شده است. همه ما به دنبال راه‌حلی مناسب هستیم که مطمئناً راهکارهای آنتی‌ویروس پاسخ مناسبی می‌باشند. در چند سال اخیر با ورود اکثر شرکت‌های تولید محصولات امنیتی به بازار کشورمان روند خرید نرم‌افزارهای آنتی‌ویروس به صورت اوریجینال نیز رو به رشد گذاشته است.

اما آیا فقط خرید یک آنتی‌ویروس اوریجینال کافی است؟ جواب قطعاً خیر است. خرید آنتی‌ویروس معتبر اولین و ساده‌ترین قدم است. اما از آن مهم‌تر طریقه استفاده از این دست نرم‌افزارها است.

اکثر اشخاص بعد از تهیه و نصب آنتی‌ویروس، نرم‌افزار را رها کرده و توقع دارند که همه مشکلات حل شود. اما این طور نیست. به مانند هر نرم‌افزار دیگری آنتی‌ویروس نیز اجزاء متفاوت و تنظیمات خاص دارد که شما باید حتماً آن‌ها را فرا بگیرید. درست است که راهکارهای برتر دنیا به مانند راهکار مورد علاقه شخص من، کسپرسکی، سعی بر این دارند که عملکرد راهکارهایشان هر چه بیشتر بی نیاز از توجه کاربر باشد، اما در عین حال آموزش‌های ساده تصویری به روزی نیز برای کار با این ابزارها قرار داده می‌شود.

بسیار این جمله را از افراد مختلف شنیده‌ام که بیان می‌کنند ما کار خاصی با کامپیوتر انجام نمی‌دهیم و نیازی نیست زیاد از آن چیزی یاد بگیریم! باید گفت این طرز تفکر غلطی است. زیرا با وجود تجارت الکترونیک، بانکداری الکترونیک و ... شما نیازمند فراگیری کامل در حد یک کاربر خوب هستید. و از آن مهم‌تر به خاطر قرار گرفتن منابع مالی شما در دنیای اینترنت موظف به یادگیری محافظت از خود می‌باشید. استفاده درست و کامل از یک آنتی‌ویروس خانگی وظیفه شما است و نه یک کارشناس امنیت.

برای شروع و حتی انتخاب یک آنتی‌ویروس مناسب ابتدا باید نحوه کارکرد و انواع روش‌های شناسایی یک بدافزار از طریق آنتی‌ویروس را بشناسید. در این نوشتار سعی در معرفی روش‌های متفاوت و رایج شناسایی بدافزارها توسط آنتی‌ویروس‌ها شده است و در فرصتی دیگر این روش‌ها و طریق استفاده آن‌ها را در یک آنتی‌ویروس رایج بررسی خواهیم کرد.

•   روش شناسایی Signature – Based (شناسایی تشریح شده)
کارآمدترین روش و دلیل اصلی که آنتی‌ویروس نیاز به به روز رسانی سالم و مداوم دارد. در این روش نمونه‌ای از ویروس کشف و کالبدشکافی می‌شود و بعد از آن ضدویروس آن را به صورت یک لیست به صورت به روز رسانی های مداوم برای دانلود مهیا می‌کند. اما این روش نیاز مبرم به این دارد که ابتدا ویروس شناسایی شود و در مقابل ویروس‌های ناشناخته کاملا ناکارآمد است.

•   روش شناسایی - Based Heuristic (شناسایی بر پایه اکتشاف)

در این روش موتور آنتی‌ویروس با استفاده از الگوریتم‌های هوش مصنوعی سعی در شناسایی بدافزارهای ناشناخته از طریق بررسی رفتار فایل می‌کند. روش‌های متفاوتی استفاده می‌شود اما دو روش رایج آن را در زیر بیان می‌کنم.

1-   قرار دادن فایل مشکوک و اجرای آن در یک محیط مجازی و بررسی رفتار فایل و تشخیص مخرب بودن فایل. اکثر آنتی‌ویروس‌های بزرگ از این فناوری بهره می‌برند.
2-   باز کردن منبع کد برنامه مشکوک و بررسی و تطابق آن با کد ویروس‌های شناخته شده و یا شبه ویروس. اگر درصد بالایی از کد برنامه مشکوک با کد یک ویروس شناخته شده و یا شبه ویروس منطبق باشد آن را برنامه آلوده معرفی می‌کند. اما کارایی این روش بستگی به دو عامل اصلی به نام False Positive و False Negative است.

False Positive شناسایی‌های غلط موتور آنتی‌ویروس است و False Negative بررسی فایل آلوده است ولی آن را آلوده شناسایی نمی‌کند و از کنارش می‌گذرد. آنتی‌ویروسی موفق است که بتواند بین این دو عامل تعادل ایجاد کند.
آنتی‌ویروس‌های خوب امروزی از موتورهای شناسایی استفاده می‌کنند که از هر دو روش ذکر شده (Heuristic-Based و Signature-Based) استفاده کند.

فناوری ابر (Cloud Technology )
مطمئناً جدیدترین فناوری که امروز در همه ابعاد فناوری اطلاعات اسم آن به چشم می‌خورد. در نرم‌افزارهای آنتی‌ویروس قدرتمند نیز از این روش استفاده می‌شود.
با فناوری ابر شما با اتصال مداوم به اینترنت در شبکه متصل از دیگر کاربرانی که از آن آنتی‌ویروس استفاده می‌کنند قرار می‌گیرید (به مانند قرار گرفتن بر زیر یک ابر) در تمام زمان اتصال برنامه‌های نصب شده بر روی دستگاه کاربران با هم در حال تبادل اطلاعات هستند. در این روش یک agent سبک بر روی هر دستگاه وجود دارد و در هنگام پردازش یک برنامه مشکوک، پردازش آن را بین دستگاه‌های موجود در شبکه Cloud تقسیم کرده و با این روش سرعت شناسایی چندین برابر شده و همچنین میزان بار بر روی منابع سیستم کاهش می‌یابد. در یک شبکه ابری اطلاعات شناسایی‌ها و اسکن‌ها با هم به تبادل گذاشته شده و به سرعت شناسایی برنامه‌های آلوده ناشناخته کمک شایانی می‌کند. پس اگر دارای اینترنت با سرعت بالا هستید حتماً از فواید این فناوری بهره ببرید.

با شناخت این روش‌ها در می‌یابیم که به روز رسانی آنتی‌ویروس صرفاً از ما در مقابل تهدیدات ویروسی محافظت نمی‌کند. شما نیاز به استفاده از همه روش‌ها برای رسیدن به حد امنیت مطلوب دارید. با این همه همیشه احتمال آلوده شدن سیستم وجود دارد و نمی‌توان گفت امنیت کامل برقرار است. هوشیاری کاربر و شناخت تهدیدها و همچنین استفاده از روش‌های امنیتی دیگر در کنار فناوری آنتی‌ویروس به مانند دیواره آتش و ... می‌تواند به بهبود سطح امنیت شما کمک کند.

پس امنیت خود را در محیط مجازی بسیار جدی بگیرید و سعی کنید از منابع مالی و معنوی خود محافظت کنید. در مطلبی دیگر این روش‌ها و فناوری‌ها را در آنتی‌ویروس‌های مشهور دنیا بررسی خواهیم کرد و خواهیم دید چگونه می‌توانیم از طریق ترکیب این روش‌ها و فناوری‌ها به حد مطلوبی از امنیت برسیم.

منبع: ماهنامه دنياي كامپيوتر و ارتباطات