آنتی ویروس و نحوه عملکرد آن

آنتی ویروس چیست؟

نرم افزار آنتی ویروس (مخفف نرم افزار Antivirus= AV) ، که به عنوان آنتی بدافزار یا Anti-Malware نیز شناخته می شود، یک برنامه کامپیوتری است که برای جلوگیری، شناسایی و حذف بدافزار استفاده می شود.

نرم افزار آنتی ویروس در ابتدا برای شناسایی و حذف ویروس های کامپیوتری نوشته و پیاده سازی گردید، از این رو، از ابتدا نام آن به طور رایج آنتی ویروس، است. با گسترش بدافزارهای دیگر، نرم افزار آنتی ویروس شروع به محافظت در برابر سایر تهدیدات کامپیوتری نمود. به گونه ای که برخی از محصولات محافظت در برابر URL های مخرب، هرزنامه و فیشینگ را نیز انجام می دهند.

اگرچه ریشه‌های ویروس کامپیوتری به اوایل سال ۱۹۴۹ برمی‌گردد، زمانی که دانشمند مجارستانی جان فون نویمان “نظریه خودکارهای خودبازتولید شونده” را منتشر کرد، اولین ویروس رایانه‌ای شناخته شده در سال ۱۹۷۱ ظاهر شد و “ویروس کریپر” نام گرفت.

این ویروس، کامپیوترهای اصلی PDP-10 شرکت Digital Equipment Corporation (DEC) با سیستم عامل TENEX را آلوده کرده است.

آنتی ویروس چیست و روش های شناسایی آنها کدامند؟

ویروس Creeper در نهایت توسط یک برنامه ایجاد شده توسط Ray Tomlinson و به نام “درو” حذف شد. برخی افراد “The Reaper” را اولین نرم افزار آنتی ویروسی می دانند که تا به حال نوشته شده است .ویروس Reaper در واقع خود یک ویروس بود که به طور خاص برای حذف ویروس Creeper طراحی شده بود.

در سال ۱۹۸۳، اصطلاح “ویروس کامپیوتری” توسط فرد کوهن در یکی از اولین مقالات دانشگاهی منتشر شده در مورد ویروس های کامپیوتری ابداع شد. کوهن، “ویروس کامپیوتری” را اینگونه توصیف می کند، “ویروس ها، برنامه های کامپیوتری دیگر را به نحوی تحت تاثیر قرار می دهند و راهی برای گنجاندن یک کپی از خود، دارند”.

تعریف جدیدتری از ویروس کامپیوتری توسط محقق امنیتی مجارستانی Péter Szőr ارائه شده است: “کدی که به صورت بازگشتی یک کپی احتمالا تکامل یافته از خودش را تکرار می کند”.

اولین ویروس کامپیوتری سازگار با IBM PC که یکی از اولین آلودگی های واقعی و گسترده بود با نام، “Brain” در سال ۱۹۸۶ نمایان شد. از آن زمان، تعداد ویروس ها به طور تصاعدی افزایش یافته است.
بیشتر ویروس‌هایی که در اوایل و اواسط دهه ۱۹۸۰ نوشته شده‌اند به بازتولید خود محدود می‌شدند و هیچ روال آسیب خاصی در کد نداشتند.
زمانی که برنامه نویسان بیشتر و بیشتری با برنامه نویسی ویروس های کامپیوتری آشنا شدند، ویروس هایی را ایجاد کردند که داده ها را دستکاری یا حتی از بین می بردند.

قبل از گسترش اتصال به اینترنت، ویروس های کامپیوتری معمولاً توسط فلاپی دیسک های آلوده پخش می شدند. اما امروزه ویروس ها و بد افزارها از طریق بستر اینترنت بواسطه ابزارهایی مانند انواع مسنجرها، ایمیل و وب انتشار می یابند.

نحوه شناسایی ویروس های کامپیوتری چگونه است؟

۱- تشخیص مبتنی بر امضا

نرم افزار آنتی ویروس سنتی برای شناسایی بدافزارها به شدت به امضاها متکی است.

اساساً، هنگامی که یک نمونه بدافزار به دست یک شرکت آنتی ویروس می رسد، توسط محققان بدافزار یا سیستم های تجزیه و تحلیل پویا مورد تجزیه و تحلیل قرار می گیرد. سپس پس از مشخص شدن بدافزار بودن آن، امضای مناسبی از فایل استخراج شده و به پایگاه داده امضاهای نرم افزار آنتی ویروس اضافه می شود.

۲-اکتشافی
بسیاری از ویروس‌ها به‌عنوان یک عفونت منفرد شروع می‌شوند و از طریق جهش یا اصلاحات توسط مهاجمان دیگر، می‌توانند به ده‌ها سویه کمی متفاوت تبدیل شوند که انواع نامیده می‌شوند. تشخیص عمومی به شناسایی و حذف چندین تهدید با استفاده از یک تعریف ویروس اشاره دارد.

اگرچه رویکرد مبتنی بر امضا می‌تواند به طور موثری حاوی شیوع بدافزار باشد، نویسندگان بدافزار سعی کرده‌اند با نوشتن ویروس‌های «الیگومورفیک»، «چند شکلی» و اخیراً «دگرگونی»، که بخش‌هایی از خود یا موارد دیگر را رمزگذاری می‌کنند، یک قدم جلوتر از چنین نرم‌افزارهایی باقی بمانند. خود را به عنوان روشی برای پنهان کردن تغییر دهند تا با امضای ویروس در فرهنگ لغت مطابقت نداشته باشند.

به عنوان مثال، تروجان Vundo دارای چندین عضو خانواده است، بسته به طبقه بندی فروشنده آنتی ویروس. سیمانتک اعضای خانواده Vundo را به دو دسته مجزا، Trojan.Vundo و Trojan.Vundo.B طبقه بندی می کند.

اگرچه شناسایی یک ویروس خاص ممکن است سودمند باشد، اما شناسایی یک خانواده ویروس از طریق یک امضای عمومی یا از طریق تطبیق نادقیق با یک امضای موجود می‌تواند سریع‌تر باشد.

محققان ویروس مناطق مشترکی را پیدا می کنند که همه ویروس های یک خانواده به طور منحصر به فرد به اشتراک می گذارند و بنابراین می توانند یک امضای عمومی ایجاد کنند. این امضاها اغلب حاوی کدهای غیر پیوسته هستند و از کاراکترهای عام استفاده می کنند که در آن تفاوت ها وجود دارد.

این حروف عام به اسکنر اجازه می‌دهد تا ویروس‌ها را حتی اگر با کد اضافی و بی‌معنی پر شده باشد شناسایی کند.

۳-شناسایی روت کیت

نرم افزار آنتی ویروس می تواند سعی کند روت کیت ها را اسکن کند. روت کیت نوعی بدافزار است که برای به دست آوردن کنترل در سطح اداری بر روی یک سیستم کامپیوتری بدون شناسایی طراحی شده است. روت کیت ها می توانند نحوه عملکرد سیستم عامل را تغییر دهند و در برخی موارد می توانند برنامه آنتی ویروس را دستکاری کرده و آن را بی اثر کنند. حذف روت کیت ها نیز دشوار است و در برخی موارد نیاز به نصب مجدد کامل سیستم عامل دارند.

۴-حافظت در زمان واقعی

حفاظت در زمان واقعی، اسکن در دسترسی، محافظ پس‌زمینه، سپر مقیم، محافظت خودکار و سایر مترادف‌ها به حفاظت خودکار ارائه شده توسط اکثر آنتی‌ویروس‌ها، ضد جاسوس‌افزارها و سایر برنامه‌های ضد بدافزار اشاره دارد.

این سیستم‌های کامپیوتری را از نظر فعالیت‌های مشکوک مانند ویروس‌های رایانه‌ای، نرم‌افزارهای جاسوسی، ابزارهای تبلیغاتی مزاحم و سایر اشیاء مخرب نظارت می‌کند. حفاظت بلادرنگ، تهدیدها را در فایل‌های باز شده شناسایی می‌کند و برنامه‌ها را در زمان نصب روی دستگاه اسکن می‌کند.

مهمترین عامل در انتخاب آنتی ویروس تواتر به روز رسانی آن است.برخی از آنتی ویروس های رایج، مانند Kaspersky و Norton را می توانید به سادگی دانلود و نصب نمایید.

مفاهیم بیشتری در حوزه امنیت را می توانید با شرکت در دوره +CompTIA Security بیاموزید. پیش نیاز این دوره، +CompTIA Network می باشد.برای اطلاع از تقویم آموزشی اینجا کلیک کنید. در صورتیکه فرصت حضور در کلاس امنیت شبکه را ندارید، تهیه فیلم های آموزشی امنیت شبکه و کتاب زیر را توصیه می کنیم. برای تهیه می توانید با شماره ۰۹۳۶۵۸۰۳۰۰۱ تماس بگیرید.