اخبار فناوری اطلاعات
سه اصل اساسی در آنتیویروسها: ویروسها، signatureها و آسیبزدایی
ما بارها و بارها درمورد رفتار و زیستن در دنیای دیجیتال صحبت کردیم. امیدواریم کهاین صحبتها بیهوده واقع نشده باشند و خوانندگان از ما مطالب مهم را فرا گرفته و به دوستان و خویشاوندان خود اطلاع داده باشند. این مسئله برای ما حائذ اهمیت است.
اما گاهی اوقات نیاز است تا شما را با برخی از اصطلاحات و عبارات خاص برای اطلاعات عمومیآشنا سازیم. به همین خاطر امروز قصد داریم به سه اصل اولیه و اصولی آنتیویروسها بپردازیم:
۱. signatureها:
دیتابیس آنتیویروسها شامل چیزی هستند که signature نامیده میشود، هم به صورت عمومی مورد استفاده قرار میگیرد هم به صورت نوشتاری. در واقع، signatureهای کلاسیک حدود ۲۰ سال است که مورد استفاده قرار نگرفته است.
از ابتدای آن که در سال ۱۹۸۰ بود، signatureها به عنوان یک مفهوم واضح تعریف نشده بودند. حتی در حال حاضر هم آنها هیچ صفحه اختصاصی برای خود در ویکیپدیا ندارند و برای تعاریف بدافزارها و چگونگی رفتار آنها صحبتی از signatureها نشده است، به طور خلاصه بیان کنیم، هیچ تعریفی ازاین دانش مشترک وجود ندارد.
به همین خاطر حداقل اجازه دهید مفهوم signatureها را دراینجا به طور مختصر بیان کنیم. signature یک ویروس دنباله مداوم از بیتهایی است که برای یک نمونه از نرمافزارهای مخرب بسیار شایع است. بهاین معنی که آن در درون بدافزار یا فایلهای آلوده و نه فایلهای بیتاثیر قرار دارد.
امروزه، signatureها برای شناسایی فایلهای مخرب کافی نیستند. سازندگان تروجانها با استفاده از انواع مختلفی از تکنیکها، روند کار خود را میپوشانند. به همین دلیل محصولات آنتیویروس مدرن باید از روشهای تشخیص پیچیدهتری استفاده کنند. دیتابیس آنتیویروسها هنوز هم حاوی signatureها هستند، بااین فرق که وضعیت فعلی آنها شامل نوشتههای پیچیدهتری است.
طبق عادتهای مرسوم اکثرا چنین ورودیهایی را همچنان ” signature” مینامند اما گفتنش خالی از لطف نیست کهاین اصطلاح امروزه در بسیاری از موارد به اشتباه به کار برده میشود.
در حالتایدهآل، ما استفاده از کلمه signature را برای مراجعه به ورودی هر دیتابیس آنتیویروسها متوقف کردیم و آن را به کار نمیبریم، اما استفاده از آن همچنان معمول است و ادامه دارد.
دیتابیس آنتیویروسها فقط شامل ورود است. تکنولوژی پشت آن میتواند از signatureهای کلاسیک یا چیزی فوق العاده پیچیده، نوآورانه استفاده کند و پیشرفتهترین نرمافزارهای مخرب را مورد هدف قرار دهد.
۲. ویروسها:
همانطور که ممکن است تا به حال متوجه شده باشید، تحلیلگران ما از زمان دار شدن ویرسها جلوگیری میکنند و ترجیح میدهند سریعا بدافزارها، تهدیدات و غیره را شناسایی کنند. دلیل آن بهاین خاطر است که یک ویروس نوع خاصی از بدافزارها است که رفتار خاصی را از خود به نمایش میگذارد،این بدافزار تمام فایلهای پاک را آلوده میکند و مجالی را به قربانی نخواهد داد.
آلودهکنندهها از وضعیت منحصر بفرد پیش رو قرار گرفته لذت میبرند. در ابتدا، آنها به سختی شناسایی میشوند، در نگاه اول فایلهای آلوده تمیز به نظر میرسد. اما بعد از آن، آلودگی نیاز به پاکسازی خواهد داشت، تقریبا تمام آنها نیاز به تشخیصی حرفهای و پاک سازی از روشهای خاص دارند. به همین دلیل است که تشخیص آلودگی و نوع آن توسط متخصصان ما به عنوان کاری تخصصی نام گرفته است.
بنابراین برای جلوگیری از گیج شدن در هنگام توضیحات برای شناسایی نوع ویروس، به طور کلی تحلیلگران نامهایی مثل “نرمافزارهای مخرب” و ” بدافزارها” را به عنوان اصطلاح قرار دادند.
دراینجا هم نمونهای از بدافزارها آورده شده است که ممکن است مفید واقع شود: worm، نوعی از بدافزارها است که میتواند خود را تکثیر و در دستگاهی که آن را آلوده کرده است شیوع بیابد. بدافزارها با تکنیک خاصی که دارند شامل ابزارهای تبلیغاتی نمیشود (منظور همان نرمافزارهای تبلیغاتی است) یا riskware (نرمافزار قانونی است که میتواند بر روی سیستم آسیب وارد کند اگر که توسط تبهکاراناین نرمافزار نصب شده باشد.)
۳. آسیبزدایی:
اخیرا، نظارهگر نظرات عجیبی بودم که آنتیویروسها تنها میتوانند عمل اسکن را انجام دهند و بدافزارها را شناسایی کنند و پس از آن قربانی نیاز به دانلود ابزاری ویژه برای حذف بدافزار خواهد داشت. در حقیقت، ابزارهای ویژه برای برخی از بدافزارها وجود دارد، به عنوان مثال، ابزارهای رمزگشایی فایلها باجافزارها را تحت تاثیر قرار میدهد. برایاین نمونه آنتیویروس به تنهایی نمیتواند با باجافزار مقابله کند و دراین هنگام گزینه بهتری وجود دارد، دسترسی به ابزارهایاین چنینی میتواند برای قربانیان مفید و مناسب واقع شود. اما تمامیبدافزارها نیازی بهاین اقدام ندارند و در اکثر موقع آنتیویروس به تنهایی مقابلاین گونه نرمافزارهای مخرب میایستد.
حذفکننده بدافزارها چگونه عمل میکند؟ در درصد کوچکی از موارد، دستگاه آلودگیها را بر خواهد داشت (معمولا آلودگیها قبل از نصب آنتیویروس انجام خواهد گرفت؛ آنها به ندرت از زیر دست آنتیویروسها در خواهند رفت)، در زمانی که آلودگی به بعضی از فایلها نفوذ کند، آنتیویروس عمل میکند و کدهای مخرب را حذف میکند و آنها را به حال اصلی خود بازمیگرداند. اغلب آنتیویروسها به همین روش اقدام میکنند، هنگامیکه شما به رمزگشایی فایلهای رمزنگاری شده خود توسط باجافزارها نیاز دارید، آنتیویروسها آنها را به عنوان Trojan-Ransom شناسایی کرده اند.
در بیشتر مواقع، تقریبا در ۹۹% موارد، بدافزارها قبل ازاینکه به فایلی آسیب بزنند، گرفتار آنتیویروسها میشوند.این روند شامل حذف ساده بدافزارها خواهد بود. اگر هیچ فایلی دچار آسیب نشده بود، نیازی به بازگردانی هیچ چیزی نیست.
یک استثنا دراینجا وجود دارد، اگر بدافزارها آلودهکننده نباشند، به عنوان مثال، اگر آن یک باجافزار باشد و در حال حاضر در سیستم فعال باشد، آنتیویروس به حالت ضد آلودگی تغییر مود میکند (اگرچه بدافزار آسیبی به سیستم وارد نکرده است) اماآنتیویروس میخواهد ازاین موضوع مطمئن شود که تهدید برای همیشه رفته و هیچ گاه باز برنخواهد گشت.
این استثنا معمولا برای دو مورد زیر رخ خواهد داد:
۱. آنتیویروس بر روی کامپوتر از قبل آلوده نصب شده باشد. شما میدانید که اشتباه و عدم محافظت برای هر کسی ممکن است پیشاید واین اشتباه متداولی است، حالا شخص پس از الودگی قصد دارد از سیستم خود محافظت کند.
۲. آنتیویروس موردی که به آن “مشکوک” شده اس را به جای “مخرب” به اشتباه بگیرد و شروع به نظارت بر فعالیتهای آن کند. به محضاینکه بدافزارها مخرب شناسایی شوند، آنتیویروس تمام اقدامات را برای از بین بردن آن به کار میگیرد. به عنوان مثال، آنتیویروس میتواند فایلهای رمزنگاری شده را همان لحظه از طریق بکآپگیری بازگردانی کند حتی اگر که کامپیوتر توسط باجافزارها و یا آلودهکننده دیگر مورد حمله قرار گرفته باشد.
نتیجه گیری:
امیدواریم با توجه به توضیحاتی که داده شد:
۱. “signature”ها، اساساً، ورودیهای دیتابیس آنتیویروسها هستند گه شامل پیچیده ترین ورودیها نیز میباشند .
۲. با انواع مختلف بدافزارها آشنا شده باشید.
۳. و در آخر امیدواریم نقش اساسی یک آنتیویروس را بر روی سیستم خود درک کرده باشید و متوجه روند کامل پاکسازی کامپیوتر خود از هرگونه برنامه مخرب شده باشید. و اهمیت خاص اجزای System Watcher در آنتیویروس خود که رفتار فایلهای مشکوک را آنالیز میکند، را نادیده نگیرید.
منبع : ایتنا