آنتی ویروس ها از جمله نرم افزارهای ضروری برای هر سیستم کامپیوتر و لپ تاپ میباشد که وظیفه آنها محافظت از سیستم در برابر تهدیدهای ویروس های کامپیوتری است. درواقع این نرم افزارها با مرور فایل های داخل کامپیوتر و لپ تاپ، ویروس ها و بد افزارهای مجازی را شناسایی کرده و اقدام به حذف آنها مینماید. آنها برای شناسایی این بد افزارها لازم است از روش ها و تکنیک های مختلفی استفاده کنند. به طور کلی این برنامه ها از دو تکنیک اصلی مبتی بر کد و رفتار، دارای عملکرد میباشند. هر کدام از این تکنیک ها به شرح زیر هستند:
آنتی ویروس مبتنی بر کد
در حال حاضر بیشتر نرم افزارهای آنتی ویروس از تکنیک مبتنی بر کد استفاده میکنند. در این شیوه به منظور شناسایی الگویی که نشان دهنده یک بدافزار باشد، مواردی مانند کامپیوتر یا لپ تاپ میزبان، درایوهای حافظه و یا فایل ها مورد جستجو قرار میگیرند. سپس این الگو در فایل هایی به نام فایل های امضا، ذخیره میشوند. شرکت های طراحی کننده انتی ویروس ها، این فایل ها را به گونهای تنظیم و بروز رسانی میکنند تا همواره بتوان بیشترین تعداد ممکن حملههای بدافزاری را شناسایی کرد.
البته در این روش، نرم افزار باید از قبل، آپدیت شده باشد تا بتواند به مقابله و خنثی سازی بدافزارها بپردازد. در غیر این صورت نخواهد توانست بدافزارهای جدید را شناسایی کند و آنها را به فایل های امضا اضافه نماید. نرم افزارهایی که از این روش پیروی میکنند دارای یک دیکشنری ویروسی هستند که حاوی امضای ویروس های شناخته شده در سطح وب میباشد. antivirus در این روش ابتدا یک فایل را مورد آزمایش قرار داده و سپس به دیکشنری مذکور مراجعه میکند.
در صورتی که هر تکه از کد فایل با یک ویروس شناخته شده مطابقت داشته باشد، فایل مذکور به عنوان یک فایل آلوده شناسایی میشود. آنتی ویروس این فایل آلوده را پاک و یا قرنطینه میکند تا برنامه های دیگر به آن دسترسی پیدا نکنند و همچنین از انتشار آن جلوگیری نماید. البته در بعضی موارد، انتی ویروس، فایل آلوده را از طریق حذف ویروس از آن بازسازی میکند.
این نوع Antivirusها فایل های سیستم را در زمان اجرا، باز و یا بسته بودن و حتی زمانی که ایمیل میشوند، مورد آزمایش و بررسی قرار میدهند. از این طریق در صورتی که یک ویروس شناخته شده وارد سیستم شود، سریعا شناسایی میشود. علاوه بر آن این برنامه ها را میتوان به گونهای تنظیم و برنامه ریزی کرد که در زمان های معینی به بررسی کل فایل های موجود بر روی دیسک سخت بپردازند.
روش مبتنی بر رفتار
برخلاف روش پیشین که تنها ویروس های شناخته شده مورد عمل موردنظر قرار میگرفت، آنتی ویروس هایی که از روش مبتنی بر رفتار عمل میکنند، رفتار همه برنامه ها را مورد بررسی و نظاره قرار میدهند. در این روش سعی بر آن میشود از طریق جستجوی ویژگی های عمومی و مشترک بدافزارها، انواع شناخته شده و جدید آنها شناسایی شوند. به عنوان مثال، اگر برنامهایی سعی در نوشتن داده هایی بر روی یک برنامه دیگری را داشته باشد، این رفتار به عنوان یک رفتار مشکوک از طرف Antivirus شناسایی میشود. پس از آن نرم افزار به کاربر هشدار ویروس را صادر میکند و او را راهنمایی میکند که چه اقدامی برای برطرف کردن این مشکل انجام دهد.
مزیت Antivirusهایی که مبتنی بر رفتار عمل میکنند نسبت به آنهایی که براساس امضاء رفتار میکنند این است که آنها در برابر ویروس هایی که حتی امضای آنها در هیچ دیکشنری نیست، محافظت به عمل میآورند. البته مشکل این انتی ویروس ها در شناسایی اشتباه تعداد زیادی از تشخیص های مثبت است. اینکار باعث میشود هشدارهای مکرری به کاربر ارسال شود که در نتیجه باعث خستگی و سر رفتن حوصله او میگردد.
اگر کاربر به همهی این هشدارها پاسخ Accept بدهد، عملاً آنتی ویروس بلااستفاده مانده و کارایی خود را از دست میدهد. به خاطر همین موضوع نیز میباشد که استفاده از آنتی ویروس های مبتنی بر رفتار روز به روز محدودتر میشود.
معایب روش مبتنی بر رفتار
همان طور که گفته شد آنتی ویروس هایی که بر اساس مبتنی بر روش رفتار عمل میکنند، دارای معایبی میباشند که زا جمله آنها میتوان به موارد زیر اشاره کرد:
تشخیص مثبت اشتباه یا False Positive:
روش مبتنی بر رفتار، بر اساس ویژگی ها و عملکرد مشترک ویروس ها، آنها را شناسایی میکند. بنابراین ممکن است برخی از نرم افزارهای قانونی و معتبر را در صورتی که خصوصیاتی شبیه ویروس ها داشته باشند را نیز به اشتباه بدافزار شناسایی کند.
بررسی کندتر:
فرایند بررسی رفتارها و ویژگی ها سختتر و طولانی تر از جستجوی الگوهای مشخص است. به همین دلیل جستجوی اکتشافی مدت زمان بیشتری را نسبت به جستجوی امضا جهت شناسایی ویروس ها میطلبد.
ندیدن ویژگیهای جدید:
در صورتی که یک حمله بدافزاری جدید ویژگی هایی را بروز دهد که قبل از آن چنین رفتار ی شناسایی نشده بود، روش مبتنی بر رفتار نیر نخواهد توانست آن را به عنوان یک ویروس شناسایی کند. مگر اینکه به روز رسانی شده و ویژگی مذکور به حافظه آن اضافه شود.
