ايتنا - حضور صدها ضدویروس مجانی با حداقل میلیونها امضاي ویروس در بانک خود در اینترنت، این سوال را ایجاد میکند که پس چطور ضدویروسهای صاحبنام جهانی فروش میکنند؟
سه شنبه ۱۹ بهمن ۱۳۸۹ ساعت ۱۰:۲۱
ضد ويروسهای مجانی
حميدرضا سعدي*
حضور صدها ضدویروس مجانی با حداقل میلیونها امضاي ویروس در بانک خود در اینترنت، این سوال را ایجاد میکند که پس چطور ضدویروسهای صاحبنام جهانی فروش میکنند؟ و کاربران چرا دنبال این ضدویروسهای مجانی نمیروند؟
بررسی دقیق این موضوع میتواند نتایج زیر را در بر داشته باشد:
۱- تیم تشکیل دهنده این گونه ضدویروسها اکثرا بیش از چند نفر نمیباشند و معمولا بصورت اینترنتی توزیع میگردند و نشانی مکانی نیز ندارند.
۲- گاها مشاهده شده که یک فریب دهنده میباشند که بعد از اجازه از کاربر، روی رایانه کاربران درب پشتی نصب میکنند تا اطلاعات شخصی کاربر را به سرقت برده و سوءاستفاده از رمزهای عبور بانکی کاربر نمایند.
۳- ضدویروسهای مجانی از روشهای Hashing مانند MD5 برای شناسائی ورمها استفاده میکنند که در این روش شرکتهای مذکور حتی اصل ورم را نیز در اختیار نداشته و فقط الگوی MD5 ورم را به بانک خود اضافه میکنند. مثلا اگر یک ورم چندریختی را داشته باشیم میتواند تا بینهایت از خود گونه بسازد و چنانچه الگوریتم اصلی طراحی نگردد با روش Hashing اشتباه محض است که بخواهیم بانک ویروس را بروز نمائیم، زیرا در وهله اول ضدویروس در اجرا به شدت کند خواهد شد و در ثانی هیچگاه نمیتوان به اطمینان رسید که جلوی این ورم را برای همیشه گرفتهایم. بنابر این ملاک تعداد ویروس قابل شناسائی نمیتواند بیانگر توانمندی یک ضدویروس باشد و شمارش ویروسها هم توسط مرجع ثالثی انجام نمیگردد تا بتوان به نقطه تفاهم جمعی رسید. برای مثال ورمهائی وجود دارند که تاکنون هزاران گونه از آنها در شبکهها دیده شده است ولی در اصل یک ورم پلیمورفیک بوده است که چنانچه الگوریتم شناسائی آن طراحی گردیده باشد میتوان همه آن فایلها را که اصالتا یک ورم است شناسائی و حذف کرد.
۴- اشتباهی که در روش hashing میتواند بوجود آید شناسائی ورمهای تکه شده است. ورم تکه شده بدین معنی است که یک فایل سالم فقط قسمتی از اول محتوای آن وجود دارد. مثلا ۴۰% فایل وجود دارد و الباقی ۶۰% از بین رفته است و عملا فایل اجرا نخواهد شد و خطری نیز متوجه رایانه نیست ولی شناسائی این ورمهای تکه شده توسط ضدویروسهای صاحب نام مورد اختلاف است زیرا اساسا تهدیدی وجود ندارد و حتی ممکن است خطای شناسائی مثبت روی دهد که عواقب آن میتواند برای یک رایانه خطر ناک باشد. پاک کردن فایلی که مطمئن صددرصد نیستیم كه آلوده باشد و یا مشابهت یک ورم تکه شده با یک فایل سیستم عامل میتواند منجر به از کار افتادن سیستم عامل گردد.
۵- روش hashingفقط برای ورمها کاربرد داشته که فایل آن کلا بدافزار است و برای ویروسها که به فایل اجرائی اصلی میچسبد کاربردی ندارد و روش پاکسازی ورم که حذف فایل مربوطه است با روش برداشتن ویروس از روی فایل اجرائی اساسا فرق داشته و دیگر نمیتوان با روشهای مکانیزه و فلهای ده میلیون امضاي را به ضدویروس اضافه کرد.
۶- نداشتن قابلیتهايی از قبیل گارد فایل و گارد حافظه و سایر ابزارهای حفاظتی نیز از جمله مواردی است که معمولا ضدویروسهای مجانی به آن مبتلا میباشند.
۷- نداشتن تیم پشتیبانی و بروز نبودن سایتهای آنان نیز از جمله مواردی است که گاها دیده شده و علت نیز مسافرت و نبودن در پشت رایانه خود میباشد.
بنابر این شاید در گام اول یک ضدویروس مجانی با ده میلیون امضاي ویروس جاذبه داشته باشد ولی به سرعت مشکلات سر راه باعث میشود ضدویروس مجانی را کنار گذاشته و دنبال یک محصول صاحب نام بروید.
--------------------------------------------------------------------------
* رييس هيئت مديره و مدير نرم افزار شرکت مهندسي مهران رايانه
کد مطلب: 16892
