اخبار داخلی فناوری اطلاعات نرم‌افزارهاي آنتي‌ويروس پزشك كامپيوتر شما

حیات نو , دوشنبه 22 مرداد 1386

نرم‌افزارهاي آنتي‌ويروس پزشك كامپيوتر شما

ادعاهای مختلفی در خصوص اینکه نخستین محصول ضدویروس را چه کسی تهیه کرده وجود دارد. احتمالا اولین آن در سال 1987 توسط «برنت فیکس» اروپایی تهیه شده است که ویروس «وین» را خنثی می‌کرد.

یادداشت آنلاین- سهيلا باغشاهي-شخصی بنام تیپت خدمات شایانی در زمینه ردیابی ریشه ویروس‌ها انجام داد. وی علاوه بر مدیریت شرکت نرم‌افزار کامپیوتری دارای اتاق اورژانس پزشکی هم بود. او مقاله‌ای در رابطه با ویروس Lehigh خوانده بود و این سوال برایش پیش آمد که آیا ویروس‌های کامپیوتری هم خصوصیاتی مشابه ویروس‌های حمله‌کننده به انسان دارند.
ادعاهای مختلفی در خصوص اینکه نخستین محصول ضدویروس را چه کسی تهیه کرده وجود دارد. احتمالا اولین آن در سال 1987 توسط «برنت فیکس» اروپایی تهیه شده است که ویروس «وین» را خنثی می‌کرد. در پاییز سال 1988 همچنین نرم‌افزار ضدویروس «سولمون» منتشر شد. در دسامبر 1990 نوزده محصول ضدویروس مستقل در بازار وجود داشت که نورتون و مک‌آفی هم شامل آنها بودند.
شخصی بنام تیپت خدمات شایانی در زمینه ردیابی ریشه ویروس‌ها انجام داد. وی علاوه بر مدیریت شرکت نرم‌افزار کامپیوتری دارای اتاق اورژانس پزشکی هم بود. او مقاله‌ای در رابطه با ویروس Lehigh خوانده بود و این سوال برایش پیش آمد که آیا ویروس‌های کامپیوتری هم خصوصیاتی مشابه ویروس‌های حمله‌کننده به انسان دارند.
از دیدگاه اپیدمی او توانست مشخص کند که چگونه این ویروس‌ها سیستم را آلوده می‌کنند (بوت سکتور از طریق ویروس مغز آلوده شده بود، فایل‌های .com از طریق ویروس Lehigh و هردو نوع فایل .com و .exe از طریق ویروس Jerusalem). پس از آن شرکت «تیپت» بنام موسسه بین‌المللی سرتوس شروع به ایجاد نرم‌افزار ضدویروس نمود. این موسسه در سال 1992 به شرکت سیمنتک فروخته شد. نرم‌افزار ضدویروس شامل برنامه‌های کامپیوتری است که به شناسایی و حذف ویروس‌های کامپیوتری و سایر نرم‌افزارهای مخرب می‌پردازد.
نرم افزارهای ضدویروس عموما از دو تکنیک متفاوت استفاده می‌کنند: با اسکن فایل درمی‌یابند که آیا ویروس شناخته شده است و در دیکشنری ویروس‌ها وجود دارد.
رفتار مشکوک هر برنامه کامپیوتری را شناسایی می‌کنند که می‌تواند از طریق مشاهده داده‌ها یا پورت باشد.
اغلب نرم افزارهای رایج ضدویروس از هر دو روش بهره می‌گیرند و بیشتر بر دیکشنری خود تکیه می‌کنند. در تکنیک اول زمانی که نرم‌افزار ضدویروس فایلی را مشاهده می‌کند به دیکشنری ویروس‌های شناخته شده مراجعه می‌کند. اگر قطعه‌ای از آن کد در دیکشنری موجود باشد نرم‌افزار به یکی از دو طریق زیر عمل می‌کند:

1. تلاش برای تصحیح فایل با حذف ویروس از آن
2. قرنطینه کردن فایل
3. حذف فایل آلوده
بنابراین لازم است که دیکشنری ویروس‌ها همیشه به روز باشد. پس کاربر می‌تواند با مشاهده ویروسی جدید نویسنده آن نرم‌افزار را مطلع سازد تا دیکشنری خود را کامل کند. نرم‌افزارهای ضدویروس برپایه دیکشنری عموما فایل‌ها را زمانی که سیستم‌عامل آنها را ایجاد، باز یا بسته و ایمیل می‌کند تست می‌کنند. بدین طریق می‌توانند ویروس شناخته شده را سریعا ردیابی کنند.
همچنین کاربر می‌توانند برنامه ریزی مشخصی را برای اسکن تمامی فایل‌های خود تنظیم کند. اما گاهی ویروس‌های متامورفیک هم وجود دارند که بخشی از خود را پنهان می‌کنند یا به گونه‌ای رفتار می‌کنند که با دیکشنری تطابق نیابند. در روش ردیابی رفتارهای مشکوک به جای شناسایی ویروس‌ها رفتار تمامی برنامه‌ها را درنظر می‌گیرد.
مثلا اگر برنامه‌ای بخواهد که داده‌ای را وارد برنامه اجرایی کند نرم‌افزار رفتار آن را ردیابی و کاربر را مطلع می‌کند. پس این روش در مقابل تمامی ویروس‌ها عکس‌العمل نشان می‌دهد، نه تنها مقابل ویروس‌های موجود در دیکشنری. اما این روش هم حساسیت کاربران به اخطار را کم می‌کند و با توجه به مشکلات پیش آمده امروزه نرم‌افزارهای ضدویروس جدید کمتر از این روش استفاده می‌کنند.

سایر روش‌ها
برخی از نرم‌افزارهای ضدویروس از سایر روش‌های اکتشافی استفاده می‌کنند. به طور مثال می‌تواند شروع هر کد اجرایی را کپی کند پیش از اینکه سیستم برای راه‌اندازی بدان مراجعه نماید. اگر برنامه از کدی استفاده کند که خود به خود به اعمال تغییرات می‌پردازد یا همانند ویروس به نظر برسد اینگونه خواهد بود که گویا فایل اجرایی ویروسی شده است.
به هرحال این روش خطاهای بسیاری هم دربردارد. روش دیگر استفاده از Sandbox است. این روش سیستم‌عامل را کپی و هرگونه عملیات اجرایی را از طریق آن انجام می‌دهد. پس از اتمام آن، نرم‌افزار به جست‌جوی ویروس در Sandbox می‌پردازد. این مدل ردیابی تنها زمان درخواست این نوع اسکن روی می‌دهد. همچنین ممکن است نتیجه نادرستی بدهد مثلا ویروس غیرقابل تشخیص باشد یا زمان اجرا تشخیصی صورت نگیرد. برخی از برنامه‌های اسکن ویروس زمانی که فایل حاوی ویروسی برپایه نوع فایل باشد کاربر را مطلع خواهند کرد.
یک تکنیک مرتبط با malware به طور کلی whitelisting نام دارد. به جای جست‌وجوی نرم‌افزارهای مخرب شناخته شده این تکنیک از اجرای همه کدهای کامپیوتر به جز آنهایی که قبلا معرفی شده‌اند جلوگیری می‌کند. پس محدودیت در بروزرسانی همیشگی فهرست ویروس‌ها دیگر وجود نخواهد داشت. ضمنا برنامه کامپیوتری که موردنیاز نیستند هم تا زمانی که وارد فهرست whitelisting نشده‌اند اجرا نخواهند شد.
در شرکت‌های مدرن که برنامه‌های کاربردی زیادی دارند، محدودیت استفاده از این تکنیک به مسئول سیستم آنها بستگی دارد که تا چه حد whitelisting را بروز رسانده و مدیریت کند. پیاده‌سازی این تکنیک شامل ابزارهایی برای خودکار ساختن مراحل ساخت و نگهداری whitelisting می‌باشد.

نکات مرتبط
شیوع ویروس‌هایی که از ایمیل استفاده می‌کنند به دلیل ارزان و موثر بودن بیشتر است. پس باگ‌های ایمیل کاربر را برای جلوگیری از اجرای کد به طور خودکار، تنظیم کنید.
آموزش کاربران هم مفید است. چنانچه به کاربر بیاموزید که برنامه‌های ناشناس را از اینترنت نگرفته و اجرا نکنند سرعت شیوع ویروس هم کمتر خواهد شد.
نوشتن و انتشار ویروس‌های جدید سود سرشاری را نصیب شرکت‌های برنامه‌نویس ضدویروس می‌کند. برخی بر این عقیده‌اند که این شرکت‌ها روابطی با ویروس‌نویس‌ها دارند تا بازار خود را بتوانند حفظ کنند.
برخی از نرم‌افزارهای ضدویروس کارایی سیستم را کاهش می‌دهند. از این رو کاربر با غیرفعال کردن آن درواقع ریسک حمله به سیستم را افزایش می‌دهد. بنابراین هرچقدر هم که سیستم کند شود باید این نرم‌افزار همیشه فعال باشد.
• مهم است که تنها یک نرم‌افزار ضدویروس روی سیستم شما نصب باشد. زمان بروزرسانی فایل‌های مهم مثل ویندوز یا درایور کارت گرافیک به طور موقت برنامه ضدویروس خود را غیرفعال کنید چون در غیراین صورت نصب آن کامل صورت نگرفته یا اصلا نصب نمی‌شود.
زمان خرید نرم افزار ضدویروس دقت داشته باشید که گزینه‌ای در قسمت تعهدات آن وجود دارد که بدون اعلام به شما در موعد مقرر برای بروزرسانی از کارت اعتباری شما مبلغی را کم می‌کند.

Virus Hoax
ویروس هوکس یک پیغام ایمیل غلط است که دریافت ویروسی را هشدار می‌دهد. این پیغام معمولا منجر به زنجیره‌ای از ایمیل‌ها می‌شود که از گیرنده می‌خواهد آن را به تمام افرادی که می شناسد ارسال کند. اغلب هوکس‌ها به سهولت شناسایی می‌شوند چون اعلام می‌کنند که ویروس کاری غیرممکن را انجام خواهد داد، مثلا کامپیوتر گیرنده را خواهد ترکاند.
آنها اغلب ادعا می‌کنند که از سازمان‌های معروفی چون مایکروسافت و آی‌بی‌ام آمده‌اند. ویروس‌های هوکس معمولا بی‌ضررند و تنها به آزار و اذیت کسانی می‌پردازند که آن را می‌شناسد یا زمان افراد را برای ارسال این پیام هدر می‌دهد. اما گاها این ویروس به کاربر اخطار می‌دهد که فایل سیستمی آلوده شده و باید که پاک شود که در نتیجه سیستم از کار می افتد. هوکس متفاوت از پرانک کامپیوتری است. پرانک برنامه‌ای است که ناخواسته اجرا شده و حین عملکرد سیستم به آزار و اذیت می‌پردازد مثلا به طور رندم ماوس را جابجا می‌کند. بنابراین آنچه متخصصین پیشنهاد می‌دهند این است که هوکس را به محض دریافت پاک کنند چون ارسال مجدد آن به افراد دیگر دقیقا همان راه شیوع آن است.