توضیح کلی درباره آنتی ویروس ها

آنتی ویروس ها نرم افزار های قدرتمند و ضروری سیستم های ما هستند. اگر تا به حال به این فکر کرده اید که آنها چگونه کار می کنند در این مقاله توضیحات مختصری درباره ی آن می دهیم.

تکنولوژی ای که آنتی ویروس ها برای شناسایی ویروس و فایل آلود شده توسط آنها بکار می گیرند تقریبا یکسان است و تنها اختلاف خیلی کوچکی بین روش آنها وجود دارد. فرآیند آنالیز و اسکن آنها شامل سه مرحله زیر می باشد.

• Signature scan
• Heuristic scan
• TruScan proactive scan

در Signature scan آنتی ویروس هش (هش کدها به طور خلاصه کدهایی هستند بر اساس الگوریتمهایی که با محاسبات بر روی فایل ها تولید می شوند. یعنی طبق یک سری الگوریتم هایی که بر روی فایلها محاسبات انجام میدهند برای آنها یک کد یکتایی خاصی تولید می کنند.) و الگوریتم فایل را با هش ها و الگوریتم ویروس های شناخته شده در دیتابیس خود چک میکند.

اگر هش فایل با یکی از هش های ویروس های شناخته شده در دیتابیس آنتی ویروس یکسان بود، فایل را به عنوان ویروس تشخیص می دهد در غیر این صورت وارد مرحله بعد می شود.

در Heuristic scan آنتی ویروس سعی می کند که بفهمد که که آیا فایل بعد از اجرایش سعی در انجام کار مخربی دارد. آنتی ویروس برای تخمین زدن از دو روش استفاده می کند. در روش اول کهStatic Heuristic scan نامیده می شود آنتی ویروس سعی می کند تا کد اجرای فایل را حدس بزند و تشخیص دهد که آیا این کد، کد یک ویروس است یا خیر.

برای مثال به کد زیر دقت کنید:

کد بالا قصد در فرمت کل درایو D دارد. وقتی آنتی ویروس به خط چهارم این کد می رسد می فهمد که فایل می خواهد کد خودش را در سیستم کپی کند. بر این اساس آنتی ویروس این فایل را به عنوان یک فایل مشکوک شناسایی می کند.

ممکن است فایل با روش های پیچیده ای کد گذاری شده باشد یا فایل رمزنگاری شده باشد و به راحتی نتوان دنباله کد را تخمین زد، به همین دلیل روش دومی هم به اسم Dynamic Heuristic scan وجود دارد که در این روش آنتی ویروس کد را در یک محیط مجازی اجرا می کند. کد بدون اینکه به سیستم واقعی آسیبی برساند در یک محیط ایزوله شده اجرا می شود.

آنتی ویروس بر اعمال کد نظارت کرده و تاثیرات را ثبت می کند و بر این اساس تصمیم می گیرد که آیا اجرای کد مضر خواهد بود یا خیر. نقطه ضعف این روش در این است که شاید کد فعالیت مخرب خودش را بلافاصله بعد از اجرا شروع نکند. به طور مثال فعالیت مخرب بعد از ۲ ماه بعد شروع شود.

بعد از این دو مرحله فایل به عنوان فایل Clean تعیین شده و اجازه ی اجرا شدن به فایل داده شده و وارد مرحله سوم می شویم.

مرحله سوم یا TruScan proactive scan بعد از اجرای فایل آغاز می شود. در این مرحله آنتی ویروس تاثیراتی که بر روی سیستم اعمال می شود را زیر نظر می گیرد. در این هنگام اگر فایل به طور عمد یا غیر عمد شروع به آسیب زدن به سیستم کند(مثل پر کردن بیش از حد رم یا بالا بردن عملکرد CPU تا صددردصد) یا شبیه یک ویروس عمل کند، آنتی ویروس آن را یک فایل مخرب تعیین کرده و متوقش می کند.

 این فرآیند ها بلافاصله بعد از اینکه فایل اجرا شد چک می شود.

بعد از اینکه فایل به عنوان فایل آلوده شده یا ویروس تشخیص داده شد، حداکثر سه گزینه در دسترس خواهد بود :

• Quarantine : فایل را مکانی امن تحت کنترل آنتی ویروس می فرستد به طوری که فایل قادر به آسیب رسانی نیست.
• Delete : فایل را به طور کامل از سیستم پاک می کند.
• Clean : آلودگی را از فایل آلوده شده پاک می کند و خود فایل پاک نمی شود.

اگر گزینه ی اشتباه انتخاب شود، نتیجه می تواند فاجعه بار باشد. به طور مثال اگر به جای Clean، Delete انتخاب شود به جای اینکه آلودگی از فایل جدا شده و پاک شود، کل فایل پاک میشود.

حال اگر فایل یک برنامه سیستمی باشد اوضاع به مراتب بدتر و فاجعه بارتر خواهد بود، به عنوان مثالی دیگر آنتی ویروس نمی تواند یک کرم یا تروجان را پاکسازی کند زیرا که چیزی برای پاکسازی وجود ندارد و تمام ماهیت فایل یک کرم یا تروجان است، معمولا خود آنتی ویروس یکی از این سه گزینه را انتخاب می کند یا در انتخاب به شما پیشنهاد می دهد.

اگر اینگونه نبود ابتدا سعی کنید که گزینه Clean را انتخاب کنید، اگر آنتی ویروس چنین گزینه ای در اختیار شما قرار نداد، گزینه Quarantine (صرفا به این جهت که ممکن است اشتباهی رخ داده باشد) و در غیر اینصورت گزینه Delete را انتخاب کنید.