آنتی ویروس ها چگونه عمل می کنند؟
فکر می کنم همه ی خواننده های این مقاله قبلاً حداقل یک بار با کلمه ی آنتی ویروس مواجه شده اند.
اما آیا تا به حال به روش کار کردن این نرم افزار های کاربردی فکر کرده اید؟
آنتی ویروس ها نرم افزارهایی هستند که با مرورِ فایل های کامپیوتر، ویروس ها و سایر بدافزارها را تشخیص می دهند و از ادامه ی روند تخریب آن ها بر سایر فایل ها ی موجود در سیستم جلوگیری می کنند.
از نظرعملکرد آنتی ویروس ها به دو نوع تقسیم بندی می شوند:
عمل بر مبنای کد
در این روش آنتی ویروس به دنبال الگوهایی می گردد که نمایان گر وجود یک ویروس یا بدافزار در سیستم باشد. این الگوها در یک فایل به نام امضا ذخیره سازی شده اند و سازندگان آنتی ویروس ها در بازه های مختلف زمانی این فایل امضا را به روز رسانی می کنند.
در این به روز رسانی ها که به صورت آنلاین انجام می شوند ویروس ها و بدافزار های جدیدی که قبلاً کاربران حرفه ای تر با آن ها مواجه شده اند (و دیگر شرکت های سازنده روش مقابله با آن ها را پیدا کرده اند) به کدهای موجود در فایل امضا اضافه می شوند تا اگر در آینده آنتی ویروس فایلی با قسمتی مشابه به یکی ازفایل های ذخیره شده در فایل امضای خود یافت بتواند این ویروس ها را شناسایی کرده و آن ها را حذف کند یا اینکه فایل شناسایی شده ی دارای این ویروس را قرنطینه کرده تا ویروس یا بدافزار موجود به سایر بخش های سیستم دسترسی نداشته باشد.
اینگونه آنتی ویروس ها اطلاعات موجود در هارد دیسک کامپیوتر را در هنگام باز و بسته شدن، اجرا یا ارسال آن ها به ایمیل، بررسی می کنند تا از ورود هرگونه بدافزار یا ویروس از قبل تعریف شده جلوگیری کنند. البته معمولا در بخش تنظیمات آنها می توان آنتی ویروس را طوری برنامه ریزی کرد که در بازه های زمانی معینی (مثلاً هفته ای یک بار) کل فایل ها و داده های هارد دیسک را چک کند.
مشکلات:
بزرگ ترین ایرادی که می توان از این دسته آنتی ویروس ها گرفت این است که ابتدا باید نوع ویروس وارد شده به سیستم از طریق آپدیت های صورت گرفته برای سیستم تعریف شده باشد و در فایل امضای آنتی ویروس وجود داشته باشد وگرنه آنتی ویروس قادر به شناخت و مقابله با بدافزار یا ویروس وارد شده به سیستم نخواهد بود.
مشکل دیگر این است که امروزه ویروس های چندریختی که دارای یک مکانیزم دفاعی رمزنگاری هستند در حال گسترش می باشند و خبر بد اینکه اکثر آنتی ویروس های معروف امروزی قابلیت شناسایی و مقابله با اینگونه ویروس ها را ندارند.
عمل بر مبنای رفتار
آنتی ویروس هایی که مبتنی بر رفتار یا به عبارت دیگر بر اساس "جست و جوی اکتشافی" کار می کنند؛ رفتار همه ی برنامه های سیستم را تحت نظر می گیرند و فقط به دنبال شناسایی ویروس هایی که از قبل برای آن ها تعریف شده است نیستند. به این ترتیب حتی بدافزارها و ویروس های جدید هم برای آن ها قابل شناسایی خواهند بود.
روند عملکرد این آنتی ویروس ها به این صورت است که ویژگی های عمومی و مشترک بدافزارها و ویروس ها را جست و جو می کنند. به عنوان مثال اگر برنامه ای خللی در اجرای برنامه های دیگر ایجاد کند آنتی ویروس فعال شده و برنامه ی اختلال گر مشکوک به بدافزار یا دارای ویروس را به کاربر معرفی می کند.
مشکلات:
ایراد بزرگ این روند، بروز اخطارهای اشتباه زیاد توسط آنتی ویروس است. هر نرم افزار یا برنامه ای که اندک رفتار مشکوکی از خود نشان دهد به عنوان بدافزار یا فایل ویروسی شناخته شده و به کاربر اخطار داده می شود در حالی که ممکن است آن برنامه یا فایل واقعاً هیچ مشکلی نداشته باشد و عامل دیگری باعث شده باشد تا آن برنامه یا فایل رفتاری مشابه با بدافزارها از خود نشان دهد.
برای رفع این معضل آنتی ویروس های جدید طوری برنامه ریزی می شوند که این بخش از فعالیت آن ها محدودتر باشد تا تعداد اخطار های اشتباه کمتری دهند.
مشکل دیگر این روند ویروس یابی عبارت است از کندتر شدن روند عملکرد.
همچنین اگر بدافزاری کاملاً جدید با الگوریتمِ عملکردی کاملاً متفاوت با آنچه شناخته شده است گسترش یابد، احتمالاً آنتی ویروس قادر به شناسایی آن نخواهد بود.
دیدگاه شما چیست؟