نحوه عملکرد آنتی ویروس ها

نحوه عملکرد آنتی ویروس ها

آنتی ویروس ها از جمله نرم افزارهای ضروری برای هر سیستم کامپیوتر و لپ تاپ می‌باشد که وظیفه آنها محافظت از سیستم در برابر تهدیدهای ویروس های کامپیوتری است. درواقع این نرم افزارها با مرور فایل های داخل کامپیوتر و لپ تاپ، ویروس ها و بد افزارهای مجازی را شناسایی کرده و اقدام به حذف آنها می‌نماید. آنها برای شناسایی این بد افزارها لازم است از روش ها و تکنیک های مختلفی استفاده کنند. به طور کلی این برنامه ها از دو تکنیک اصلی مبتی بر کد و رفتار، دارای عملکرد می‌باشند. هر کدام از این تکنیک ها به شرح زیر هستند:

آنتی ویروس مبتنی بر کد

در حال حاضر بیشتر نرم افزارهای آنتی ویروس از تکنیک مبتنی بر کد استفاده می‌کنند. در این شیوه به منظور شناسایی الگویی که نشان دهنده یک بدافزار باشد، مواردی مانند کامپیوتر یا لپ تاپ میزبان، درایوهای حافظه و یا فایل ها مورد جستجو قرار می‌گیرند. سپس این الگو در فایل هایی به نام فایل های امضا، ذخیره می‌شوند. شرکت های طراحی کننده انتی ویروس ها، این فایل ها را به گونه‌ای تنظیم و بروز رسانی می‌کنند تا همواره بتوان بیشترین تعداد ممکن حمله‌های بدافزاری را شناسایی کرد.

البته در این روش، نرم افزار باید از قبل، آپدیت شده باشد تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد. در غیر این صورت نخواهد توانست بدافزارهای جدید را شناسایی کند و آنها را به فایل های امضا اضافه نماید. نرم افزارهایی که از این روش پیروی میکنند دارای یک دیکشنری ویروسی هستند که حاوی امضای ویروس های شناخته شده در سطح وب می‌باشد. antivirus در این روش ابتدا یک فایل را مورد آزمایش قرار داده و سپس به دیکشنری مذکور مراجعه می‌کند.

در صورتی که هر تکه از کد فایل با یک ویروس شناخته شده مطابقت داشته باشد، فایل مذکور به عنوان یک فایل آلوده شناسایی می‌شود. آنتی ویروس این فایل آلوده را پاک و یا قرنطینه می‌کند تا برنامه های دیگر به آن دسترسی پیدا نکنند و همچنین از انتشار آن جلوگیری نماید. البته در بعضی موارد، انتی ویروس، فایل آلوده را از طریق حذف ویروس از آن بازسازی می‌کند.

این نوع Antivirusها فایل های سیستم را در زمان اجرا، باز و یا بسته بودن و حتی زمانی که ایمیل می‌شوند، مورد آزمایش و بررسی قرار می‌دهند. از این طریق در صورتی که یک ویروس شناخته شده وارد سیستم شود، سریعا شناسایی میشود. علاوه بر آن این برنامه ها را میتوان به گونه‌ای تنظیم و برنامه ریزی کرد که در زمان های معینی به بررسی کل فایل های موجود بر روی دیسک سخت بپردازند.

روش مبتنی بر رفتار

برخلاف روش پیشین که تنها ویروس های شناخته شده مورد عمل موردنظر قرار می‌گرفت، آنتی ویروس هایی که از روش مبتنی بر رفتار عمل می‌کنند، رفتار همه برنامه ها را مورد بررسی و نظاره قرار می‌دهند. در این روش سعی بر آن میشود از طریق جستجوی ویژگی های عمومی و مشترک بدافزارها، انواع شناخته شده و جدید آنها شناسایی شوند. به عنوان مثال، اگر برنامه‌ایی سعی در نوشتن داده هایی بر روی یک برنامه دیگری را داشته باشد، این رفتار به عنوان یک رفتار مشکوک از طرف Antivirus شناسایی می‌شود. پس از آن نرم افزار به کاربر هشدار ویروس را صادر میکند و او را راهنمایی می‌کند که چه اقدامی برای برطرف کردن این مشکل انجام دهد.

مزیت Antivirusهایی که مبتنی بر رفتار عمل می‌کنند نسبت به آنهایی که براساس امضاء رفتار می‌کنند این است که آنها در برابر ویروس هایی که حتی امضای آنها در هیچ دیکشنری نیست، محافظت به عمل می‌آورند. البته مشکل این انتی ویروس ها در شناسایی اشتباه تعداد زیادی از تشخیص های مثبت است. اینکار باعث می‌شود هشدارهای مکرری به کاربر ارسال شود که در نتیجه باعث خستگی و سر رفتن حوصله او می‌گردد.

اگر کاربر به همه‌ی این هشدارها پاسخ Accept بدهد، عملاً آنتی ویروس بلااستفاده مانده و کارایی خود را از دست می‌دهد. به خاطر همین موضوع نیز میباشد که استفاده از آنتی ویروس های مبتنی بر رفتار روز به روز محدودتر می‌شود.

معایب روش مبتنی بر رفتار

همان طور که گفته شد آنتی ویروس هایی که بر اساس مبتنی بر روش رفتار عمل می‌کنند، دارای معایبی می‌باشند که زا جمله آنها میتوان به موارد زیر اشاره کرد:

تشخیص مثبت اشتباه یا False Positive:

روش مبتنی بر رفتار، بر اساس ویژگی ها و عملکرد مشترک ویروس ها، آنها را شناسایی می‌کند. بنابراین ممکن است برخی از نرم افزارهای قانونی و معتبر را در صورتی که خصوصیاتی شبیه ویروس ها داشته باشند را نیز به اشتباه بدافزار شناسایی کند.

بررسی کندتر:

فرایند بررسی رفتارها و ویژگی ها سختتر و طولانی تر از جستجوی الگوهای مشخص است. به همین دلیل جستجوی اکتشافی مدت زمان بیشتری را نسبت به جستجوی امضا جهت شناسایی ویروس ها می‌طلبد.

ندیدن ویژگیهای جدید:

در صورتی که یک حمله بدافزاری جدید ویژگی هایی را بروز دهد که قبل از آن چنین رفتار ی شناسایی نشده بود، روش مبتنی بر رفتار نیر نخواهد توانست آن را به عنوان یک ویروس شناسایی کند. مگر اینکه به روز رسانی شده و ویژگی مذکور به حافظه آن اضافه شود.

این مطلب برایتان مفید بود ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید