از ويروسها بيشتر بدانيم

[poor!a 15130]

روزانه هزاران ويروس نويس در سراسر جهان ويروس مي نويسند و آن را پخش مي كنند. همه روزه شاهد گسترش يك نوع ويروس جديد در سراسر جهان هستيم. در سالهاي اخير ويروسهاي ايراني هم جايي براي خود دست و پا كرده اند!

اما هنوز تعداد شركتهاي خوب آنتي ويروس از عدد بيست تجاوز نمي كند!!!

همين شركتها خودشان مبالغ كلاني صرف مي كنند تا ويروس هايي را منتشر كنند و بعدا آنتي آن را به بازار پر سود اين رشته ارائه دهند!!!

در چنين شرايطي به نظر من تنها راه مقابله با اين تهاجم بزرگ بالا بردن سطح اطلاعات كاربران نسبت به شناخت انواع ويروسها و شيوه هاي پاك سازي آنها است.

براي همين تصميم گرفتم تا در اينجا كمي بيشتر با ويروسهاي قديمي كه اكثر ويروس هاي جديد بر اساس همانها ساخته مي شوند بدانيم.

 

ابتدا كمي مقدمات:

ويروس چيست؟

برنامه كوچكي كه دقيقا مانند ساير برنامه ها شامل متغيير ها و ورودي ها و خروجي ها است. با اين تفاوت كه به كاربر و محيط اطارف خود خسارت(مالي و اطلاعاتي و...) وارد مي كند.

متاسفانه در بين كاربران هرگونه برنامه مخربي را ويروس مي نامند! ولي تقسيم بندي ويروسها بسيار مهم و پيچيده است. كه ما را در شناسايي و پاك سازي آن ياري مي كند.

 

زبان برنامه نويسي ويروسها:

در افكار عمومي، ويروس نويسان افرادي نابغه تشريف دارند كه جادو مي كنند!!! چنين بينشي باعث مي شود تا آنها عمل پاكسازي سيستم را به عهده شركتهاي سود طلب آنتي ويروس بگزارند و خود درگير اين مسائل نشوند!!! حاشا از يك مهندس آي تي كه چنين كند!

زبان برنامه نويسي ويروس هيچ نكته مبهمي ندارد! زبانهايي مانند asm(اسمبلي) ، وي بي و ++c گزينه هاي مناسبتري هستند.

تنها مشخصه اي كه يك ويروس نويس را از سايرين جدا مي كند اين است كه او با محيط نرم افزاري اطرافش(سيستم عامل) آشنا است. نقاط ضعف و قوتش را بخوبي مي شناسد و از اينها براي پيشبرد اهداف شومش استفاده مي كند. همين

[poor!a 15130]

ويروسها رو در حالت كلي بصورت زير تقسيم بندي مي كنيم

1-worm معني اين لغت كرم است ولي از ديد انفورماتيك يك نوع ويروس مي باشد. اين نوع از ويروسها مانند كرم مي خزند و پخش مي شوند. توجه داشته باشيد تنها به ويروسي كرم مي گوئيم كه بتواند بصورت مستمر خود را پخش نمايد. اكثر آنتي ويروسها اين نوع از ويروسها رو با نشانه w نمايش مي دهند. براي مثال w32/Blaster

 

 

2-Trojan Horse اغلب كاربران از واژه هاي ويروس، تروجان(اسب تروا)، كرم و نفوذ بجاي هم استفاده مي كنند. بطور كلي تروجانها وارد سيستم قرباني مي شوند و منتظر مي مانند تا نفوذگر دستورات را از راه دور براي اجرا به آ»ها ارسال كند.اكثر تروجانها براي نفوذگر اين امكان را فراهم مي كنند تا كنترل سيستم قرباني را در دست بگيرد! به عنوان مثال آنها مي توانند كانالهاي IRC را تحت كنترل خود درآورند و از سيستم شما براي ايجاد اخلال در كار سرويسدهي سايتها استفاده كنند،‌مانند مشكلي كه در سالهاي قبل براي ياهو و آمازون به وجود آوردند.

3-Spyware به يك سري از نرم افزارهاي مزاحم و دردسرساز گفته مي شود كه بخشي از كنترل كامپيوتر را بدون رضايت كاربر بدست مي گيرد و گاه اطلاعات شما را مي دزدند.

Spyware نرم افزاري كه فقط اطلاعات شما را بدزدد، نيست بلكه آزار و اذيت هايي هم دارد كه در ويروسها و كرمهاي قديمي تر وجود نداشت. مثلاً هنگامي كه در حال كار با كامپيوتر خود هستيد ناگهان به ناخواسته يك لوگوي تبليغاتي در برابر شما ظاهر مي شود. اين نوع خاصي از Spyware هاست كه با نام adware شناخته مي شوند.

موضوع ديگري كه بايد در مورد Spyware ها بدانيد اين است كه بعضي افراد كرم ها و ويروسها را براي سرگرمي توليد مي كنند ولي Spyware ها معمولاً براي منافع مالي نوشته مي شوند. و معمولاً قرباني را با وعده هايي مانند شما مقدار زيادي پول برنده شده ايد و غيره به دام مي اندازند يا حتي پيغام مي دهند كه سيستم شما نا ايمن است و همكنون به ويروس آلوده شده است و از شما مي خواهد روي يك آيكون كليك كنيد تا مشكل سيستم سما را حل كند ولي مشكل دقيقا از همينجا شروع مي شود.

 

Spyware چگونه كار مي كند؟

دنياي Spyware ها بسيار گسترده است و مكانيزم عملكرد آن هم بسيار گسترده است. در اينجا چند نوع از آنها را كه در اينترنت بيشتر مشاهده شده اند، ذكر مي كنيم:

ـــ حمله به مرورگرها (هك اينترنت اكسپلورر، كنترل Active X و ...)

ـــ Bot ها و rootkit ها (كه به ديگران اجازه مي دهند سيستم شما را از راه دور كنترل كنند.)

ـــ Keylogger ها (هر بار كه رمز عبوري را وارد مي كنيد آنرا ذخيره مي كنند يا اطلاعات حساس شما را به سرقت مي برند.)

ـــ مجموعه نرم افزارهاي مزاحم (مزاحمتهاي گوناگوني كه در حين كار با كامپيوتر برايتان ايجاد مي كنند.)

ـــ Adware ها (در مرورگر يا صفحه نمايش شما اجرا مي شوند تا تبليغاتي را به اجبار برايتان نمايش دهند.)

Spyware ها را مي توانيد بوسيله نرم افزارهاي از بين برنده مجاني شناسايي كنيد ولي معمولاً براي از بين بردن آن بايد پول بپردازيد يا به عبارت ديگر آن نرم افزار را خريداري كنيد. و جالب است بدانيد بيشتر آنتي ويروسها نمي توانند جلوي Spyware ها را بگيرند. علت اين است كه Spyware ويروس نيست. ويروس يك برنامه يا قسمتي از كداست كه بدون اينكه متوجه شويد وارد كامپيوتر شما مي شود و بر خلاف خواسته شما عمل مي كند. ولي Spyware زماني وارد كامپيوتر شما مي شود كه روي اجازه نامه آن با عنوان I Agree كليك كنيد. بنابراين Spyware ها با علم و اجازه شما وارد كامپيوتر شما مي شوند و بنابراين يك ويروس نيستند. بنابراين مراقب باشيد تا روي هر لينك يا آيكون مشكوكي كليك نكنيد.

 

4-Virus ويروسها مدتهاي زيادي است كه مشغول خرابي سيستمهاي قربانيان هستند! مي توان گفت ويروسها اجداد كرم ها و تروجانها محسوب مي شوند!!!

 

 

ويروسها خود به شكل زير نيز تقسيم بندي مي شوند:

 

بمب ها برنامه هایی هستند که در زمان هایی از قبل تعیین شده؛ مثلا یک روز خاص؛ اعمالی غیر منتظره انجام می دهند. این برنامه ها فایل های دیگر را آلوده نکرده و خود را گسترش نمی دهند.

 

ويروسهاي چند شكلي اين دسته از ويروسها با كد كردن بدنه خود از ديد آنتي ويروسها پنهان مي شوند.

 

ويروسهاي پنهان اين ويروسها تغييراتي را كه در فايلها يا ركوردهاي راه اندازي اعمال كرده اند، مخفي مي كنند،‌بدين ترتيب كه سيستم عامل را وادار به خواندن فايلها مي كنند و تغييراتي بروي آنها بوجود مي آورند كه طبيعي بنظر برسد، در نتيجه كاربر متوجه تغييري نيم شود.اين نوع ويروس براي محافظت از خود در برابر نرم افزار آنتي، در هنگام جستجو درون حافظه قرار ميگيرد، اولين ويروس ثبت شده از اين نوع Brain‌بود كه ويروسي تحت سيستم عامل داس بود.

 

ويروسهاي كند تنها فايلي را كه در حال حاضر مورد استفاده است، آلوده مي سازند. براي مثال ممكن است فقط ناحيه Boot يك فلاپي را در حين فرمانهايي مانند فرمت يا سيس آلوده كنند. ويروس Darth-vader از اين نوع است.(الان ديگه قديمي شده)

 

ويروسهاي پس رو حمله مستقيم به آنتي ويروس را در دستور كار قرار مي دهند.

 

ويروسهاي چند بخشي هم فايل هاي اجرايي و هم سكتورهاي راهاندازي را آلوده مي كنند

 

ويروس بدل با ايجاد يك نسخه ديگر از يك فايل اجاريي فعاليت مي كنند! براي مثال ممكن است ويروسي خود را با نام winword.com ذخيره كند، بدين ترتيب با هربار اجراي winword.exe سيستم عامل ابتدا فايل ويروس را اجرا كرده و سيستم آلوده مي شود.

 

boot sector اولین Sector بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام می شود. با توجه به اینکه در هر بار بالا آمدن کامپیوتر Boot sector مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکربندی کامپیوتر محتوای boot sector هم مجددا نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.

این نوع ویروس ها از طریق فلاپی هایی که قطاع boot آلوده دارند انتشار می یابند. Boot sector دیسک سخت کامپیوتری که آلوده شود توسط ویروس آلوده شده و هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپی ها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. این گونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانی که دستگاه آلوده است امکان boot کردن کامپیوتر از روی دیسک سخت از بین برود.

این ویروس ها بعد از نوشتن بر روی متن اصلی boot سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب (Bad Sector) علامت گذاری می کند.

 

ويروسهاي ماكرو این نوع ویروس ها مستقیما برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Exel یا Word ا

ستفاده می کنند. ویروس های ماکرو از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های

الکترونیکی قابل گسترش می باشد.

ویروس تنها در هنگامی امکان فعال شدن را دارد که فایل آلوده باز شود، در این صورت ویروس شروع به گسترش خود در کامپیوتر نموده و سایر فایل های موجود را نیز آلوده می نماید. انتقال این فایل ها به کامپیوتر های دیگر و یا اشتراک فایل بین دستگاه های مختلف باعث گسترش آلودگی به این ویروس ها می شود.

[poor!a 15130]

ویروسهای polymorphic و metamorphic

اولین نمونه ی ویروسها ی چند شکل ویروسهایی بودن که فقط از روشهای encryption استفاده میکردن. درواقع ویروس هنگام آلوده کردن یه برنامه کد خودش رو encrypt کرده و این کد انکریپت شده رو وارد برنامه ی قربانی میکنه. حالا یک قطعه کد دکریپشن هم به برنامه قربانی اضافه میکنه تا موقع اجرا کد انکریپت شده رو دکریپت کنه تا به این ترتیب کد قابل اجرا باشه.

خوب به این ترتیب یه ویروس که بر اساس این تکنیک طراحی شده بخشهای زیر رو داره:

1) decryption code

2) encrypted body

به 1 میگیم DC و به 2 میگیم EB.

همونطور که پیداست EB در هر آلوده سازی تغییر میکنه ولی DC ثابت میمونه چون اگه DC هم انکریپته بشه به احتمال خیلی خیلی خیلی زیاد غیر قابل اجرا میشه و یا اگر هم اجرا بشه کاری که انجام میده هیچ ربطی به دکریپشن EB نداره !!! و به این ترتیب دیگه ویروس تکثیر نخواهد شد. خوب بر این اساس آنتی ویروس برای پیدا کردن ویروس فقط میتونه از DC به عنوان علامت آلوده بودن استفاده کنه چون فقط این قطعه در کپی های متفاوت ویروس ثابت باقی میمونه. حالا اگه این قطعه به اندازهء کافی بزرگ نباشه دیگه از این قطعه هم نمیشه برای پیدا کردن ویروس استفاد کرد. پس یه روش برای جلوگیری از شناسایی این ویروسها داشتن DC کوتاهه. روش دیگه که در ویروسهای پلیمورفیک بنیانگذاری شد و در متامورفیکها هم کابرد داره "اضافه کردن یه قطعه کد قابل اجرا ولی بدون تاثیر(junk code) بر رفتار DC به DC " هستش.

برای این کار مثلا nop که کد باینری اون 0x90 هستش, و کاری انجام نمیده رو به یه قسمت از DC اضافه میکنه. به این ترتیب توالی بایتهای DC هم طی هر تکثیر تغییر میکنه و در نتیجه DC هم غیر قابل ردیابی میشه. این کار در ویروسهای پلیمورفیک توسط mutation engine انجام میشه. ویروسهای metamorphic که آخر ویروسهای غیرقابل ردیابی محسوب میشن متن کد به همون زبانی که نوشته شدن رو همراه خودشون حمل میکنن.( که اصولا این کد به زبان اسمبلیه). حالا این ویروس اگر در کامپیوتری که آلودش کرده یه کامپایلر مناسب گیر بیاره کد خودشو کامپایل میکنه ولی این دفعه یه مقدار junk code به متن کد خودش اضافه میکنه و بعد نتیجهء کامپایل رو که یه ویروس جدید با همون کارکرد سابقه اجرا میکنه و . . .. به این ترتیب ویروس به مرور داره تغییر پیدا میکنه و از اونجایی که متن کد شامل هم متن کد DC و هم متن کد EB هست هر دو در حال تغییر طی تقسیم در کامپیوتر مناسب هستن. از طرفی متامورفها بازهم از روشهای انکریپشن و دکریپشن و mutation engine استفاده میکنن که دیگه یافتن اونها رو خیلی سخت میکنه. این ویروسها برای انجام این کار نیازبه یه قسمت به اسم metamorphic engine , mutation engine

مشکل ردیابی این ویروسها همون طور که میدونید اینه که قسمت اصلی و حجم اساسی از اونها در هر همانندسازی تغییراتی غیر قابل پیشبینی داره و تنها قسمت DC از اونها که اصولا کوتاه هم هست ثابت میمونه. خوب حالا گه DC به اندازه ی کافی طولانی باشه که بشه با اطمینان بالایی گفت یونیکه میشه DC رو به عنوان رشته ی ردیابی به کاربرد وتمام. ویروس نویس n ماه زحمت کشید با 0.5 ساعت بررسی ویروسش مرد. حالا اگه DC کوتاه بود چطور ؟ اونقدری که دیگه بدونیم اصلا یونیک نیست؟ یعنی چه باید کرد؟

در اینجا یکی از روشهایی که AV ها استفاده میکنن اینه که یه کامپیوتر مجازی در واقع CPU و RAM مجازی میسازن و اجازه میدن که برنامه روش اجرا بشه. حالا dc شروع میکنه eb رو به حالت قابل اجرا و اصلی دکریپته کردن. این یعنی اینکه eb به چیزی تبدیل میشه که همیشه ثابته. هر جا ویروس رو دکریپته کنید یه کد ثابت بدست میارین و این یعنی ویروس لو رفت.! خوب البته این تکنیک مشکلات زیادی داره. یکی از اونها اینه که ساختن یه کامپیوتر مجازی پر هزینه و سخته. و تازه بعد از طراحی باید به این فکر کنیم که این پروسه چقدر زمانبر خواهد بود. هر برنامه اجرایی باید یه بار در کامپیوتر مجازی لود بشه یه مقدار اجرا بشه و بعد توی برنامه دنبال یه رشته ی مشکوک بگردیم. اینجای کار هم مشکل وجود داره. چه طور بفهمیم که ویروس به اندازه ی کافی دکریپته شده. ممکنه چند ایده به ذهن بیاد که برخی رو بررسی میکنیم.

1) بر اساس تعداد کد اجرا شده:

از کجا بدونیم DC کجا قرار گرفته که حالا . . ..

2)بر اساس زمان سپری شده:

خوب ویروس میتونه یه سیکل بسازه و ما رو برای مدتی که اون هم میتونه متغیر باشه سرکار بزاره.

3)خوب اصولا DC یه لوپه و ما میتونیم با رسیدن به اولین لوپ برای مدتی صبر کنیم .مثلا N بار لوپ اجرا بشه و بعد . . ..

خوب جوابش مشخصه. میریم سر کار . . ..

یه سری کارها برای حل برخی مشکلات انجام شده. مثلا اینکه اول ما برنامه رو برای DC با یه رشته جستجوی مناسب میگردیم. خوب اگه رشته پیدا شد میفهمیم که به یه احتمالی هرچند اندک( چون رشته جستجوی ما یونیک نیست) این برنامه آلودس. اگه رشته پیدا نشد مطمئن هستیم که ویروس وجود نداره. ولی اگه شک ایجاد شد از کامپیوتر مجازی برای بررسی استفاده میکنیم. محل رشته ی مشکوک رو هم میدونیم کجاست پس هروقت این رشته ی مشکوک وارد عمل شد میتونیم بررسی ها رو شروع کنیم.به این ترتیب استفاده از کامپیوتر مجازی در موارد نا مشکوک حذف شد=> زمان زیادی رو نجات دادیم.

و محلی به عنوان رشته ی مشکوک علامتگذاری شده پس میشه ایده هایی در مورد لحظهء شروع دکریپشن داشت. حالا این روش در پلیمورفیکها به مشکلاتش بسیار افزوده میشه

همین قدر اطلاعات برای پیاده سازی یک مدل نمونه البته به شرط تسلط به ASM و OS Structure و ساختار فایل های اجرایی کافیه .(از این تکنیک در ShellCode نویسی هم استفاده میشه)

[poor!a 15130]

ویروسهای مقیم در حافظه همان طور كه از اسم آنها بر می آید با قرار گرفتن در حافظه سیستم شروع به تكثیر و آلوده سازی می كنند. به این ویروسها ویروسهای با عملكرد غیر مستقیم نیز می گویند .

 

چرا كه مستقیما دنبال فایلی برای آلوده سازی نمی گردند بلكه پس از مقیم شدن در حافظه فایلهایی را كه متعاقبا در دسترس قرار گیرند آلوده می كنند همچنین بعضی از ویروسهای مقیم در حافظه با عنوان آلوده كننده های سریع نیز شناخته می شوند كه علت این مطلب در همین مقاله ذكر خواهد شد.

 

 

مقایسه عملكرد ویروسهای مقیم و غیر مقیم :

 

ویروسهای مقیم در حافظه در مقایسه با ویروسهای غیر مقیم دارای سرعت تكثیر بیشتری هستند ولی در مدت زمانی طولانی ممكن است تعداد كمتری از فایلها را آلوده كنند. به این ترتیب كه ویروسهای غیر مقیم تنها در صورتی كه اجرا شوند شروع به آلوده سازی سیستم می كنند و تا وقتی كه فایل آلوده به این گونه ویروسها اجرا نشود شروع به تكثیر نمی كنند ، بنا براین دارای سرعت تكثیر پایینی هستند . اما از آنجا كه بعد از اجرا شدن بر اساس جستجوی فایل عمل آلوده سازی را انجام می دهند در مدت زمان طولانی ممكن است كل فایلهای كامپیوتر را آلوده كنند.

 

در عوض ویروسهای مقیم در حافظه پس از مقیم شدن به محض اینكه فایلی در دسترس قرار گیرد آن را آلوده می كنند ، بنا بر این دارای سرعت تكثیر بالایی هستند اما از آنجا كه تنها بعضی از فایلهای اجرایی آن هم بیشتر به هنگام اجرا شدن در دسترس ویروس قرار می گیرند ، لذا از این نظر در طولانی مدت ممكن است تعداد كمتری فایل را آلوده كنند.

 

 

مزایای ویروسهای مقیم در حافظه بر ویروسهای غیر مقیم :

 

ویروسهای مقیم در حافظه چون عملیات جستجوی فایل ندارند و به محض اجرا در حافظه مقیم می شوند معمولا احتمال اینكه به واسطه اجرا توسط كاربر كشف شوند بسیار كم است . در مورد ویروسهای غیر مقیم به علت عملیات جستجو كه انجام می گیرد گاه فایل اصلی با كمی تاخیر اجرا می شود یا در مورد بعضی از آنها به خاطر اینكه سطح وسیعی از دیسك س خت را جستجو و آلوده می كنند ، كاربر متوجه كار كردن بی دلیل دیسك سخت می شود در حالی كه از قبل این گونه نبوده است و همین مطلب احتمال كشف ویروس توسط را زیاد می كند . اما در مورد ویروسهای مقیم در حافظه چون عملیات جستجو وجود ندارد این احتمال بسیار كمتر است .

 

همچنین بعضی از ویروسهای مقیم در حافظه هنگامی كه خودشان در حافظه مقیم باشند با در اختیار گرفتن توابع خاصی از وقفه های DOS مقادیر اولیه اندازه تاریخ و زمان فایل های آلوده به همان ویروس را نشان می دهند و به این ترتیب نمی گذارند كه كاربر به واسطه تغییر اندازه فایل یا احتمالا تغییر تاریخ و زمان فایل متوجه آلوده بودن آن شود لذا باز هم احتمال كشف شدن ویروس توسط كاربر كاهش می یابد.

 

 

نكته : بعضی از ویروسهای مقیم در حافظه قبل از اینكه در حافظه قرار بگیرند مانند ویروسهای فایلی با عملكرد مستقیم به جستجوی فایل می پردازد و تعدادی از فایلها (معمولا فایلهای سیستمی) را آلوده می كنند و سپس در حافظه مقیم می شوند.

 

 

 

 

ساختار كلی ویروسهای مقیم در حافظه :

 

ویروسهای مقیم در حافظه دارای دو بخش هستند یك بخش غیر مقیم كه قبل از اینكه ویروس در حافظه مقیم شود اجرا می شود و بخش دیگر پس از مقیم شدن ویروس در حافظه. بخش اول هنگامی اجرا می شود كه فایلی آلوده به ویروس توسط كاربر اجرا شود و وظیفه تخصیص حافظه و قرار دادن ویروس در حافظه و انتقال بردار وقفه مورد نظر را به ویروس بر عهده دارد . اما بخش دوم زمانی اجرا می شود كه برنامه ای با فراخوانی وقفه ای كه در اختیار ویروس است بخواهد كار خاصی را انجام دهد . در این حالت ویروس كه سر راه دسترسی به وقفه مزبور نشسته است فعال می شود و عملیات تكثیر تخریب یا مخفی كاری (برای جلوگیری از كشف ویروس توسط كاربر) را انجام می دهد . در اینجا به توضیح مراحل بخش اول ( غیر مقیم ) می پردازیم :

1- تست مقیم بودن ویروس در حافظه:

 

 

در این قسمت ویروس معمولا با استفاده از یكی از توابع استفاده نشده از وقفه ای كه توسط ویروس در اختیار گرفته شده است و فرستادن پارامترهای خاص و فراخوانی وقفه مزبور مقیم بودن خود را در حافظه چك می كند . در صورتی كه ویروس در حافظه مقیم نباشد پارامترهای برگشتی از طرف سیستم عامل خواهد بود و چون ویروس این پارامتر ها را انتظار ندارد متوجه می شود كه در حال حاضر ویروس در حافظه مقیم نیست اما در صورتی كه خود ویروس از قبل در حافظه مقیم شده باشد به واسطه ارسال پارامترهایی خاص به برنامه فراخوان ویروس متوجه می شود كه از قبل در حافظه مقیم شده است لذا بدون اینكه مجددا در حافظه مقیم شود كنترل را به برنامه اصلی می دهد تا اجرا شود.

 

 

2- تخصیص حافظه :

 

ویروسها به دو روش كلی در حافظه مقیم می شوند :

 

1 – با استفاده از وقفه 27h یا تابع 31h از وقفه 21h

 

2 – با استفاده از دستكاری زنجیره MCB(Memory Control Black) در حافظه .

 

در روش اول پس از اینكه قسمت غیر مقیم اجرا شد ویروس با استفاده از فراخوانی وقفه 27h و یا تابع 31h از وقفه 21h اجرای خود را خاتمه می دهد و به صورت مقیم در حافظه قرار می گیرد ویروسهایی كه از این روش استفاده می كنند بخش تخصیص حافظه را خودشان انجام نمی دهند و این بخش را سیستم عامل با توجه به پارامترهای ورودی انجام می دهد . پس بخش تخصیص حافظه فقط مربوط به ویروسهایی است كه از روش دوم برای مقیم شدن استفاده می كنند.

 

در روش دوم ویروسها ابتدا یك قسمت خالی از حافظه را برای اینكه كدشان را در آن قرار دهند پیدا می كنند (پیدا كردن فضای خالی در حافظه نیز دارای روشهای متنوعی است) سپس به صورت دستی در ابتدای بلاك تخصیص یافته DTA را تشكیل می دهند و بعد با دستكاری زنجیره MCB خود را در وسط یا انتهای این زنجیره قرار می دهند این عملیات باعث می شود كه این قسمت از حافظه به ویروس اختصاص داده شده و توسط برنامه های دیگر اشغال نشود.

 

 

 

نكته

براي درك بهتر از حافظه، حافظه موقت را يك ديوار فرض كنيد كه از آجرهاي كوچكي كنار هم تشكيل شده است. ساختمان اين ديوار ممكن است داراي آجرهايي با دو رنگ متفاوت باشد و تفاوت رنگ اين آجرها به معناي خالي يا پر بودن آن قسمت از حافظه است. در حافظه ما هر يك از اين آجرها را يك بلاك مي ناميم و بلاك نيز داراي آدرس مشخصي مي باشد و مي توانيم از آدرسها در برنامه نويسي استفاده كنيم.

 

 

 

3- كپی ویروس در حافظه :

 

این بخش مخصوص آن دسته از ویروس های مقیم در حافظه است كه از روش دستكاری زنجیره MCB برای تخصیص حافظه استفاده می كنند . در این قسمت ویروس از ابتدا تا انتهای خود را در بلاك اختصاص داده شده در حافظه كپی می كند.

 

 

4- تغییر بردار وقفه مورد نظر و اشاره آن به ویروس :

 

در این قسمت ویروس با دستكاری آدرس وقفه مورد نظر در جدول بردار وقفه ها كه از آدرس 0000:0000 شروع می شود آخرین مرحله مقیم شدن را انجام می دهد . معمولا ویروسها وقفه های 21h و 9h , 13h را در اختیار می گیرند . ویروسها با در اختیار گرفتن وقفه 21h برای عملیات تكثیر و مخفی كاری وقفه 9h برای عملیات تخریبی دیسك ها یا جلوگیری از دسترسی كاربر به اطلاعات دیسك ها استفاده می كنند در این بخش ویروس آدرس وقفه های مورد نظر خود را از جدول بردار وقفه ها برداشته و درون قسمتی از ویروس كپی شده در حافظه ذخیره می كند و به جای آن آدرس بخش مقیم خود را قرار می دهد در نتیجه هر بار كه برنامه ای این وقفه ها را فراخوانی كند ابتدا بخش مقیم ویروس اجرا شده و پس ار آن وقفه اصلی (كه آدرس آن درون بخش مقیم ویروس توسط بخش غیر مقیم ذخیره شده است)اجرا می شود.

 

 

5- خاتمه اجرای بخش غیر مقیم ویروس و اجرای برنامه اصلی فایل آلوده :

 

در این مر حله دیگر ویروس در حافظه مقیم شده است لذا ویروس كنترل را به برنامه اصلی می دهد تا برنامه اصلی اجرا شود و كاربر متوجه اجرای ویروس نشود.

 

نكته

امروزه با پيشرفت سيستم هاي عامل و به وجود آمدن نرم افزارهاي مديريت حافظه،‌ويروس ها از تكنيك مخفي سازي در حافظه كمتر استفاده مي كنند.

[poor!a 15130]

RootKit چیست؟

 

 

 

 

 

RootKitها برنامه هایی هستند كه از نظر ساختار كاری بسیار شبیه Trojan ها و Backdoor ها هستند ولی با این تفاوت كه شناسایی RootKit بسیار مشكلتر از درب های پشتی است زیرا RootKit ها علاوه بر اینكه به عنوان یك برنامه كاربردی خارجی مثل شنونده Netcat و ابزارهای درب پشتی مثل Sub7 بر روی سیستم اجرا می شوند بلكه جایگزین برنامه های اجرایی مهم سیستم عامل و در گاهی مواقع جایگزین خود هسته كرنل می شوند و به هكرها این اجازه را می دهند كه از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ كنند و مدت زیادی با خیال راحت با نصب ردیابها ( Sniffer ) و دیگر برنامه های مانیتورینگ بر روی سیستم اطلاعاتی را كه نیاز دارند بدست آورند. در دنیای هكرها دو نوع RootKit اصلی وجود دارد كه هر كدام تعریف جداگانه ای دارند.

 

1- RootKit سنتی:

 

 

RootKit های سنتی با شناسایی اولین RootKit بسیار قدرتمند در اویل سال 1990 در طول یك دهه گسترش پیدا كردند و تا آنجا پیش رفتند كه امروزه انواع مختلفی از RootKit های سنتی وجود دارند كه به طور عملی خودشان نصب شده و به هكرها اجازه می دهند كه به سرعت سیستم قربانی را فتح كنند. RootKit های سنتی برای سیستم عامل های مختلف نوشته شده اند ولی به طور سنتی بر روی سیستم های یونیكس مثلHP-UX - AIX - Linux - Solaris - SunOS و از این قبیل تمركز كرده اند. ولی برای ویندوزهای سرور مثل NT/2000 نیز RootKit هایی نوشته شده اند كه جایگزین كتابخانه های پیوند پویا ( DLL ) شده و یا سیستم را تغییر می دهند ولی تعداد زیادی از RootKit ها برای سیستم های یونیكس نوشته شده اند.

RootKit ها اجازه دسترسی Root یا Administrator را به ما نمی دهند و ما هنگامی قادر به نصب آْنها بر روی یك سیستم هستیم كه دسترسی ریشه ای و مدیر یك سیستم را توسط روش های دیگری مثل سرریز بافر ... به دست آورده باشیم. بنابراین یك RootKit یك سری ابزارهایی است كه با پیاده سازی یك درب پشتی ( Backdoor ) و پنهان كردن مدارك استفاده از سیستم و ردپاها به هكر اجازه نگهداری دسترسی سطح ریشه را می دهد. ساختار كار تروجن ها به این صورت است كه فایلی را در داخل هسته سیستم مثل پوشه System32 اضافه می كند و این فایل تمامی پسوردهای قربانی را Log كرده و برای هكر می فرستد و یا با باز كردن پورتی اجازه ورود هكر را از طریق پورت باز شده می دهد ولی RootKit های سنتی به جای اینكه فایلی در هسته سیستم قربانی اضافه كنند، سرویسها و فایل های اصلی و مهم سیستم عامل قربانی را با یك نسخه تغییر یافته آن كه عملیاتی مخرب انجام می دهد جایگزین می كنند. برای مثال RootKit های معروف در سیستم های یونیكس برنامه /bin/loginرا كه یكی از اساسی ترین ابزارهای امنیتی در Unix است را با یك نسخه تغییر یافته كه شامل یك كلمه عبور درب پشتی برای دسترسی سطح ریشه می باشد عوض می كنند. سیستم های یونیكس از برنامه /bin/login برای جمع آوری و تست UserID های كلمات عبور استفاده می كند. /bin/login شناسه كاربری و پسورد تایپ شده توسط كاربر را با فایل پسوردها مقایسه می كند تا تعیین كند كه پسورد داده شده توسط كاربر صحیح است یا خیر. اگر پسورد داده شده درست باشد روتین /bin/loginبه آن User اجازه ورود به سیستم را می دهد. خب با این توضیحی كه دادیم فرض كنید كه یك RootKit این برنامه را با برنامه نوشته شده خود عوض كند. اگر هكر از پسورد ریشه درب پشتی استفاده كند، برنامه /bin/login تغییر یافته و اجازه دسترسی به سیستم را می دهد. حتی اگر مدیر سیستم پسورد ریشه اصلی را عوض كند، هكر هنوز می تواند با استفاده از كلمه عبور ریشه درب پشتی به سیستم وارد شود. بنابراین یك روتین RootKit ، /bin/login یك درب پشتی است زیرا می تواند برای دور زدن كنترل های امنیتی نرمال سیستم مورد استفاده قرار گیرد. علاوه بر آن یك اسب تروا هم هست زیرا فقط چهره آن یك برنامه نرمال و زیبای Login است ولی در اصل یك Backdoor است. اكثر RootKit ها سرویس ها و برنامه هایی مثل DU - Find - Ifconfig - Login - ls - Netstat - ps را با RootKit خود جابه جا می كنند. هر یك از این برنامه های سیستمی با یك اسب تروای منحصر به فرد جایگزین می شود كه عملكرد آنها شبیه به برنامه عادی است. همه این برنامه های Unix مانند چشم و گوش های مدیران سیستم می باشد كه تعیین می كنند چه فایل ها و سرویس هایی در حال اجرا هستند. هكرها با پوشاندن چشم و گوشهای مدیران سیستم كه توسط RootKit انجام می شود می توانند به صورت موثری حضورشان را در یك سیستم مخفی نگه دارند. linux RootKit 5 ( lrk5 ) و Tornkit دو نمونه از RootKit های سنتی هستند كه برای سیستم های Linux و Solaris نوشته شده اند و در سایت آشیانه می توانید این RootKit ها را پیدا كنید. این RootKit ها به محض نصب شدن در سیستم قربانی خود را با سرویس های حیاتی و مهم سیستم عامل كه در بالا ذكر شد جایگزین می كنند.

 

 

2- RootKit سطح هسته :

 

 

این نوع از RootKit ها نسبت به نوع سنتی بسیار حرفه ای تر هستند و از نظر سطح پنهان سازی بسیار پا را فراتر از نوع سنتی گذاشته اند زیرا این RootKit ها در سطح ریشه پیاده سازی می شوند و این كار شناسایی و كنترل كردن آنها را بسیار مشكل تر كرده است. RootKit های سطح هسته به ما كنترل كاملی از سیستم اصلی و یك امكان قدرتمند برای جایگیری می دهد. یك هكر با ایجاد تغییرات اساسی در خود هسته، می تواند سیستم را در سطحی بسیار اساسی كنترل كرده و قدرت زیادی برای دسترسی به درب پشتی و پنهان شدن در ماشین را به دست آورد. خود هسته در حالی كه یك كرنل زیبا و كارآمد به نظر می رسد تبدیل به یك اسب تروا می شود و در حقیقت Kernel فاسد می شود ولی صاحب سیستم از این موضوع بی خبر می ماند. درحالی كه یك RootKit سنتی جایگزین برنامه های سیستمی حیاتی مثل برنامه های ifconfig - ls ... می شود ، یك RootKit سطح هسته در حقیقت جایگزین هسته می شود و یا آن را تغییر می دهد. تمامی فایل ها - دستورها - پردازشها و فعالیت های شبكه ای در سیستم آلوده به RootKit هسته پنهان می شوند و تمامی اعمال به سود هكر ضبط می شود. اغلب RootKit های سطح ریشه توسطLKM ها پیاده سازی می شوند. نصب RootKit های سطح هسته ای كه توسطLKM ها پیاده سازی شده باشد، بسیار راحت است. برای مثال برای نصبKnrak Rootkit كه برای هسته لینوكس نوشته شده است، یك هكر كه با Account سطح ریشه یا همان Root به آن سیستم وصل است تنها كافی است insmod knark.o, را تایپ كند و ماژول نصب می شود و منتظر دستورات هكر می ماند و حتی نیازی به بوت كردن دوباره سیستم هم ندارد. RootKit های سطح هسته برای ویندوز NT هم وجود دارند كه یك Patch را بر روی خود هسته اجرایی ویندوز NT بدون استفاده ازLKM ها اعمال می كند. چند تا از معروف ترین RootKit های سطح هسته Knrak و Adore برای سیستم های لینوكس ، Plasmoid برای سیستم های Solaris و RootKit سطح هسته ویندوز NT برای سیستم های سرور ویندوز نام دارند كه همگی در لینك RootKit در سایت آشیانه برای اعضای سایت قرار داده شده اند.

راه های مقابله با RootKit های سنتی و RootKit های سطح هسته مهمترین راه دفاع در برابر RootKit ها اجازه ندادن به هكرها در دسترسی به حساب مدیر است. همانطور كه در بالا ذكر شد یك هكر برای نصب یك RootKit باید دسترسی سطح ریشه داشته باشد و اگر ما بتوانیم همیشه راه های نفوذ و آسیب های جدید سیستم عاملمان را شناسایی و آنها را از بین ببریم شانس دستیابی هكر به حساب ریشه سیستم خود را تقریباً به صفر رسانده ایم. در مرحله بعد اگر فرض كنیم كه با بی احتیاطی ما ، هكری توانست بر روی سیستم ما RootKit نصب كند، یكی از راه های تست این كه سیستم ما RootKit شده است یا خیر استفاده از دستورEcho است. تعداد بسیار كمی از RootKit ها ، دستور echo را كه برای لیست كردن محتویات یك دایركتوری می باشد تروا می كنند و اكثر RootKit ها بر روی تروا كردن ls تمركز كرده اند. به همین دلیل echo یك لیست قانونی از محتویات یك دایركتوری را برمی گرداند و اگر نتیجه ای كه echo بر می گرداند با چیزی كه دستور ls برای دایركتوری داده شده نشان می دهد متفاوت باشد ممكن است چیزی در آن دایركتوری پنهان شده باشد كه این نتیجه را می رساند كه سیستم شما RootKit شده است. ولی در كل این روش زیاد موثر نیست چون جستجوی تمام سیستم فایل برای یافتن هر اختلافی بین فایل های لیست شده در خروجی Echo و ls وقت زیادی را صرف می كند. امروزه ابزارهای مختلفی برای آنالیز برنامه Rootkit/bin/login وجود دارد كه مشخص می كنند آیا RootKit شناخته شده ای نصب شده است یا خیر. این ابزارها وقتی كه بر روی سیستم نصب می شوند به صورت دوره ای فایل های مهم بر روی سیستم را مثل /bin/login چك می كنند تا از وجود RootKit باخبر شوند كه برنامه ChRootkit ابزاری جالب در این زمینه است ولی دركل بهترین راه دفاع در برابر RootKit ها استفاده از تكنولوژی اثر انگشت دیجیتالی قوی می باشد تا به صورت دوره ای درستی فایل های سیستم بحرانی را تحقیق نماید. MD5 ( یك تابع درهم ساز یك طرفه ) یك الگوریتم بسیار مناسب برای محاسبه این نوع اثر انگشتهای قوی می باشد. با محاسبه یك اثر انگشت Encrypt شده قوی برای فایل های سیستمی مهم یك هكر قادر نخواهد بود كه فایلی را تغییر داده و با همان اثر انگشت وارد شود.TripWire یك ابزار قوی برای تست صحت است كه در سایت آشیانه برای دانلود قرار داده شده است. TripWire درهم سازی MD5 ای از فایل های بحرانی مثل/etc/passwd/bin/login - ls - ps و ... ساخته و به صورت دوره ای این درهم سازی را با یك پایگاه داده ای امن مقایسه می كند. در صورت تغییر در MD5 یك سرویس سریع به مدیر سیستم اطلاع می دهد. همچنین در RootKit های سطح هسته Scan پورت ها در شبكه كه با استفاده از ابزارهایی مثل Nmap صورت گیرد پورت های شنونده را به مدیر امنیتی سیستم نشان خواهد داد. به همین دلیل پویش دوره ای سیستم در طول شبكه برای پیدا كردن رد RootKit بسیار مفید است.

 

در آخر ذكر این نكته لازم است كه اگر سیستم شما با تمام این ملاحظات آلوده به RootKit شد بهترین راه از بین بردن آن فرمت هسته و نصب مجدد سیستم عامل است.

[poor!a 15130]

معمولترین اشتباه هنگامی که کامپیوتر با مشکلی مواجه و دچار ویروس می‌شود این است که اغلب مردم «کرم» و «اسب تروا» را به عنوان نوعی «ویروس» می‌شناسند.

 

 

 

با وجود اینکه واژه های کرم، اسب تروا و ویروس اغلب به جای یکدیگر استفاده می شوند، اما یکسان نیستند. ویروس، کرم و اسب تروا هرسه برنامه‌های مخربی هستند که می‌توانند تغییراتی را در کامپیوتر شما ایجاد کنند، اما تفاوت‌هایی با هم دارند و دانستن این تفاوتها به شما کمک می کند تا بهتر و موثرتر از کامپیوتر خود در مقابل این صدمات حفاظت کنید.

یک ویروس کامپیوتری خود را به یک برنامه یا فایل می‌چسباند، سپس می‌تواند از کامپیوتری به کامپیوتر دیگر برود و مانند یک بیماری عفونی مسری پخش شود.

همانند ویروس‌هایی که انسان‌ها به آن دچار می‌شوند، ویروس‌های کامپیوتری نیز می‌توانند به سرعت پخش شوند. بعضی از این ویروس‌ها فقط خرابی جزیی به همراه دارند، در صورتی که انواع مختلفی از آنها می‌توانند اثرات مخرب شدیدی روی سخت‌افزار، نرم‌افزار یا فایل‌های اصلی بگذارند. تقریباً تمام ویروس‌ها به یک فایل اجرایی می‌چسبند، به این معنی که ویروس در کامپیوتر شما هست اما نمی‌تواند تاثیری روی آن بگذارد مگر اینکه شما این برنامه مخرب را باز یا اجرا کنید. به‌یاد داشته باشید که ویروس بدون عملکرد انسان نمی‌تواند گسترش پیدا کند، (مانند اجرا کردن یا آلوده کردن برنامه). انسان‌ها اغلب ناآگاهانه به وسیله به اشتراک گذاشتن فایل‌ها یا فرستادن نامه‌های الکترونیکی که ویروسی به‌همراه آن است به پخش ویروس ادامه می دهند.

 

 

 

کرم‌ها شبیه ویروسی هستند که به وسیله خودشان طراحی می‌شوند. و بعنوان زیرمجموعه ویروس‌ها یا ویروس‌های دسته دو درنظرگرفته می‌شوند. کرم‌ها ازکامپیوتری به کامپیوتر دیگر می‌روند اما نه به طریقی که ویروس‌ها منتقل می‌شوند. کرم‌ها با توانایی خاصی بدون نیاز به کمک و عملکرد انسان گسترش پیدا ‌کنند. یک کرم ویژگی‌های یک فایل را از بین می‌برد و این کار به او اجازه می‌دهد بی‌هدف به حرکت ادامه دهد. بزرگترین خطر همراه یک کرم توانایی او در تکرار شدن خود روی سیستم است. بنابراین، کامپیوتر شما یک کرم بیرون می‌فرستد که می‌تواند صدها یا هزاران کرم دیگر با تکرار خود تولید کند و بیرون بفرستد. تولید عظیمی از اثرات مخرب و زیانبار. برای مثال یک کرم می‌تواند کپی خود را به تمام آدرس‌های موجود در کتاب آدرس الکترونیکی شما بفرستد. بنابراین یک کرم از خود کپی می‌گیرد و آن را پخش می‌کند و به تمام آدرس‌ها می‌فرستد. طبق طبیعت تکرارشونده یک کرم وتوانایی انتقال در طول شبکه‌ها نتیجه نهایی در بیشتر موارد این است که حافظه زیادی از کامپیوتر را از بین می برد. در نتیجه سرورهای شبکه، سرورهای وب و کامپیوترهای شخصی از کار باز می‌مانند و متوقف می شوند. بیشتر این نوع کرم‌ها به سیستم حمله می‌کنند. کرم بلاستر، نوعی کرم است که به گونه‌ای طراحی شده تا کانال‌هایی درون سیستم شما بزند و اجازه دهد تا کاربران متفرقه کنترل سیستم شما را در دست گیرند.

اسب تروا همانند آن افسانه قدیمی که اسمش از آن گرفته شده سرشار از نیرنگ و حیله است. اسب تروا در نگاه اول یک نرم افزار مفید به نظر می‌آید، اما یکباره به تخریب برنامه‌های نصب شده می‌پردازد. تمام نتیجه به دست آمده از اسب تروا معمولاً به صورت حقه‌هایی برای بازکردن آنها ست، زیرا آنها به صورت نرم‌افزار یا فایل‌های قانونی و سالم دریافت می‌شوند. هنگامی که یک تروا در کامپیوتری فعال می‌شود، نتایج گوناگونی به همراه دارد. بعضی ترواها طوری طراحی شده‌اند که اثر تخریبی نا چیزی می‌گذارند (مانند تغییر زمینه یا همان دسک تاپ یا اضافه کردن آیکون‌ها). اما بعضی می‌توانند اسب‌های اساسی با حذف فایل و تخریب اطلاعات در سیستم ایجاد کنند. همچنین ترواها به عنوان تولید کننده های پنهانی شناخته شده‌اند، به این معنی که کاربران مزاحم دیگر به سیستم شما دست پیدا می‌کنند و اطلاعات محرمانه وشخصی شما در اختیار دیگران قرار می‌گیرد. متفاوت از کرم و ویروس، تروا توسط عملکرد فایل یا تکرار تولید نمی‌شود.

مقابله با کرم، ویروس و اسب تروا

اولین اقدام برای محافظت کامپیوتر این است که شما مطمئن باشید سیستم شما به روز است. این بیشتر لازم است اگر شما از ویندوزهای مایکروسافت استفاده می‌کنید. دوماً شما حتماً باید نرم‌افزارهای ضدویروس بر روی سیستم خود نصب کنید. و مطمئن شوید که این برنامه به روز و مناسب با انواع کرم‌ها، ویروس‌ها و ترواهای جدید است. شما باید مطمئن شوید که این برنامه‌ها فایل‌های گرفته شده از اینترنت را نیز اسکن می‌کند. این کار به جلوگیری از رسیدن برنامه‌های مخرب به سیستم کمک می‌کند. اگر کافی نبود شما شاید بخواهید برای محافظت بهتر دیوار آتش(فایر وال) را نصب کنید.

فایروال یک سیستم حفاظتی است که اجازه نمی‌‌دهد دیگران از کامپیوتر شما استفاده کنند.فایروال می‌تواند سخت‌افزار یا نرم‌افزار باشد، فایروال سخت‌افزاری درجه قوی از حفاظت در مقابل حملات وارده از خارج است. متاسفانه در مقابله با کرم‌ها، ویروس‌ها و ترواها فایروال سخت‌افزاری تاثیر کمتری نسبت به فایروال نرم‌افزاری دارد, ممکن است کرم‌های نامه‌های الکترونیکی را نادیده بگیرد و آن را به عنوان ترافیک شبکه به حساب آورد، یک فایر وال خوب از سیستم شما در برابر تمام حملات محافظت می‌کند. تنها نکته منفی فایروال این است که تنها از سیستمی که بر روی آن نصب شده محافظت می‌کند، نه از کل شبکه.

توجه داشته باشید که نصب یک فایروال به این معنا نیست که کامپیوتر شما از تمامی مشکلات ویروسی در امان است و دیگر دراین زمینه مشکلی نخواهید داشت، اما با در اختیار داشتن یک برنامه به روز و یک آنتی‌ویروس مناسب جهت اسکن نرم‌افزارها، شما می‌توانید امنیت سیستم و عملکرد بهتر آن را بهبود بخشید.

[poor!a 15130]

در دنياي شبكه‌اي امروز، لزوم داشتن يك نرم‌افزار ضدويروس قدرتمند كه كامپيوتر ما را از انواع ويروس‌ها، كرم‌ها، بمب‌هاي منطقي و به‌طور كلي كدهاي مخرب مصون بدارد، بيش از هر زمان ديگري احساس مي‌شود. خوشبختانه (شايد هم متأسفانه) انتخاب‌هاي متعددي در اين زمينه وجود دارد. ولي واقعاً كدام يك از آن‌ها مي‌تواند بهتر مشكل كامپيوتر (يا كامپيوترهاي شبكه) ما را حل كند؟ كافي است سري به سايت‌هاي مربوط به فروشندگان اين نوع نرم‌افزارها بزنيد. به نظر مي‌رسد كه همه آن‌ها از بهترين‌ها هستند. و همه آن‌ها در تمام طول سال و در تمام 24 ساعت شبانه‌روز خدمات خود را ارايه مي‌دهند. از طرفي به دليل بازار رقابتي موجود، هيچكدام از آن‌ها اطلاعات دقيقي از نرم‌افزارخود ارايه نمي‌دهند. شما چه يك متخصصIT باشيد و چه يك كاربر معمولي، ممكن است به دليل نداشتن اطلاعات صحيح براي انتخاب ضدويروس مناسب خود با مشكل مواجه مي‌شويد. بنابراين بسيار مهم است كه بدانيد ضدويروس‌ها چگونه كار مي‌كنند و در واقع عوامل مهم براي انتخاب آن‌ها كدامند.

 

 

 

 

ضدويروس‌ها چگونه كار مي‌كنند؟

اولين قدم جهت انتخاب يك ضدويروس مناسب آشنايي با كاركرد ضدويروس‌ها مي‌باشد.

پس از آشنايي با خصوصيات يك ضدويروس، واژگاني كه در اين زمينه استفاده مي‌شود، را خواهيد شناخت. اين‌كه بدانيد ضدويروس چه كارهايي مي‌تواند انجام بدهد و چه كارهايي نمي‌تواند انجام دهد، به شما كمك مي‌كند كه انتظارات معقولي از آن داشته باشيد.

 

يك ضدويروس چگونه ويروس‌ها را شناسايي مي‌كند؟

روش‌هاي مختلفي براي شناسايي ويروس‌ها وجود دارد.

ويروس‌ها (به‌طور معمول) چيزي بيشتر از كد يك برنامه نيستند. بنابراين اگر ما بدانيم كه هر كدي چه كاري انجام مي‌دهد قادر خواهيم بود كه كد حامل ويروس را به محض رويت شناسايي كنيم.

اين كار اولين عملي است كه انجام مي‌گيرد و به نام Signature Matching معروف است.

نرم‌افزارهاي ضدويروس كه به اين روش كار مي‌كنند داراي يك بانك اطلاعاتي هستند كه شامل Virus signatureها است و به محض اين‌كه كدي را ملاحظه كرد كه معادل يكي از ركوردها باشد آن را به عنوان ويروس شناسايي مي‌كند. به نظر مي‌رسد كه موثرترين راه براي كشف ويروس‌ها همين باشد. روش فوق ذاتاً به‌گونه‌اي است كه اول ويروس را شناسايي مي‌كند و بعد متناظر با آن يك ركورد (virus signature) به بانك اطلاعاتي اضافه مي‌كند و حالا اگر ويروسي پيدا كند، در صورتي‌كه متناظر با اين ويروس ركوردي در بانك اطلاعاتي باشد قادر به شناسايي آن خواهد بود و همين امر ايجاب مي‌كند شركت‌هايي كه از اين فناوري در نرم‌افزار خود استفاده مي‌كنند مدام آن را بروز نگه دارند. به هر حال اين يك نقطه ضعف مي‌باشد و براي فائق آمدن بر آن دو روش ديگر در نرم‌افزارهاي ضدويروس معرفي شده است.

 

1- Heuristic method (روش‌ مكاشفه‌اي)

فلسفه Heuristic اين است كه بتوانيم ويروس‌هايي را شناسايي كنيم كه هنوز Virus Signature آن‌ها در بانك اطلاعاتي موجود نمي‌باشد.

اين كار با استفاده از يك بانك اطلاعاتي كه ركوردهاي آن حاوي Virus behavior signature مي‌باشد قابل انجام است. ركوردهاي اين بانك اطلاعاتي امضاي ويروس خاصي را نگهداري نمي‌كنند بلكه بيشتر رفتارهاي (رفتار بد) ويروس‌ها را ذخيره مي‌كنند. مثلاً اين‌كه هر كجا تشخيص بدهند كدي قصد پاك كردن Boot Sector را دارد از آن جلوگيري مي‌كنند.

الگوريتم‌هايHeuristic به دو صورت پياده‌سازي مي‌شوند:

● اگر تكنولوژي Heuristic كد هر برنامه را با Virus behavior Signature مقايسه كند و مورد آناليز قرار دهد آن را روش static heuristic مي‌ناميم.

● در بعضي مواقع اين تكنولوژي قطعه كد را در يك ماشين مجازي اجرا مي‌كند تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic مي‌گوييم. اين روش ممكن است نتايج غلطي نيز توليد كند.

 

Integrity checksum (جامعيت سرجمع)

در روش integrity checksum، فرض براين است كه ويروس قصد اعمال تغييراتي در فايل دارد. مثلا‌ً يك ويروس مي‌خواهد كه روي يك فايل چيزي بنويسد يا اين‌كه خودش را به آخر فايلي اضافه كند. در اين روش نرم‌افزار checksum فايل غيرويروسي و يا درايورهاي تميز را ذخيره مي‌كند و هرگاه كه تغييري در اين checksum مشاهده شود متوجه مي‌شود كه احتمال دارد ويروسي اين كار را انجام داده باشد. در اين روش نيز احتمال توليد نتايج غلط وجود دارد. اين روش در مقابله با ويروس‌هاي ماكرويي يا ويروس‌هاي مانند code Red كه بدون اين‌كه در هيچ فايلي ذخيره شوند در حافظه بارگذاري و اجرا مي‌شوند، كارايي چنداني ندارد.

اگر يك كد مزاحم از تمام الگوريتم‌هاي يك ضدويروس كه تاكنون نام برديم بگذرد، در گام آخر توسط فناوري ديگري به نام Activity Blocker از فعاليت آن جلوگيري مي‌شود. اين تكنولوژي از تمام فعاليت‌هايي كه ممكن است توسط يك كد مخرب صورت بپذيرد جلوگيري مي‌كند مثلاً اگر تشخيص دهد كه هاردديسك در حال فرمت شدن است از آن جلوگيري مي‌كند.

 

يك ضدويروس چه موقع ويروس‌ها را شناسايي مي‌كند؟

 

 

 

 

معمولاً ضدويروس‌ها به دو روش مي‌توانند ويروس‌ها را شناسايي كنند.

در روش اول ضدويروس، به صورت Real Time (بلادرنگ) و همان موقع كه فايل مورد دسترسي قرار مي‌گيرد عمل مي‌كند. در اين روش، ضدويروس درون حافظه مقيم مي‌شود و تمام فعاليت‌هاي مربوط به سيستم را مورد ارزيابي و بررسي قرار مي‌دهد. اين نرم‌افزارها با همكاري سيستم‌عامل متوجه مي‌شوند كه هم‌اكنون قرار است فايلي مورد دسترسي قرار بگيرد. سريعاً اين فايل را بررسي و نتيجه را گزارش مي‌دهند. به اين روش on-access مي‌گويند.

مزيت اين روش در ارايه يك حفاظت دايمي است ولي اشكالي كه دارد اين است كه تنها فايل‌ها را به هنگام دسترسي مورد بررسي قرار مي‌دهد. يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته باشد و در ديسك ذخيره شده باشد، با اين روش قابل شناسايي نيست. در روش دوم اين امكان به كاربر داده مي‌شود كه خودش نرم‌افزار ضدويروس را براي بررسي كردن ديسك يا يك فايل به كمك بگيرد. براي اين‌كه فعاليت فوق بازده بهتري داشته باشد بايد ضدويروس را طوري تنظيم كرد كه در دوره‌هاي زماني معين اقدام به اسكن كند. اين روش به on-demand معروف است.

 

ضدويروس‌ها چه كارهايي را مي‌توانند انجام دهند و چه كارهايي را نمي‌توانند انجام دهند؟

1- محافظت صددرصدي

هيچ ضدويروسي وجود ندارد كه بتواند به صورت صددرصد سيستم شما را در مقابل ويروس‌ها ايمن كند. ويروس‌ها و كدهاي مخرب هميشه از ضد‌ويروس‌ها جلو بوده‌اند CodeRed .،Melissa ،Funlove ، Nimda و ويروس‌هاي زياد ديگر اين فرضيه را ثابت نموده‌اند و البته دليل پويايي و حيات نرم‌افزارهاي ضدويروس نيز همين قضيه مي‌باشد.

به خاطر داريد كه ضدويروس‌ها براي شناسايي يك ويروس به‌طور معمول نياز به virus signature دارند و البته هنگامي كه اين signature موجود نباشد از روش‌هاي heuristic استفاده مي‌شود كه اين روش‌ نيز هميشه جواب درست را برنمي‌گرداند. با اين همه، ضدويروس‌ها در مقابل ويروس‌هاي شناخته شده (بيش از60 هزار عدد) يك حفاظت همه جانبه از سيستم شما به عمل مي‌آورند.

بيشتر ضدويروس‌ها در صورت بروز و ظهور يك ويروس جديد قادر خواهند بود كه به سرعت آن را شناسايي كنند و سيستم شما را از وجود اين ويروس پاك نگه دارند.

 

2- بازسازي فايل‌هاي ويروسي شده

آيا هر ويروسي كه توسط نرم‌افزار ضدويروس شناسايي شد قابل از بين بردن است؟

بستگي دارد كه عملكرد ويروس چگونه باشد.

بعضي از ويروس‌ها مانند ويروس‌هاي ماكرويي به راحتي توسط نرم‌افزار ضدويروسي تشخيص داده مي‌شوند و از فايل بيرون كشيده مي‌شوند و پاك مي‌شوند. اين فايل‌ها هيچ آسيبي به فايل ميزبان خود نمي‌رسانند.

اما بعضي از ويروس‌هاي ديگر نيز هستند كه بر روي فايل ميزبان چيزي مي‌نويسند يا اين‌كه اصلاً كدويروس را درون فايل ميزبان قرار مي‌دهند. يكي از انواع اين ويروس‌ها Loveletter است. در اين مورد به وضوح ديده مي‌شود كه فايل ميزبان قابل بازيابي نيست و تنها راه‌حل اين است كه اين فايل را پاك كنيم.

دسته ديگري از ويروس‌ها وجود دارند (مانند ويروس Nimda) كه علاوه بر ايجاد تغييرات بر روي فايل، قابليت دستكاري فايل‌هاي سيستم و رجيستري را نيز دارند. در اين موارد ضدويروس به تنهايي نمي‌تواند كاري بكند. شما به ابزاري نياز داريد كه بتواند فايل ويروسي را حذف كند و تغييرات اعمال شده در سيستم شما را به حالت اوليه برگرداند. معمولاً اين ابزار كمكي بر روي وب سايت‌هاي فروشندگان نرم‌افزار ضدويروس موجود مي‌باشد.

 

معيارهاي انتخاب يك ضدويروس

حالا كه متوجه شديد ضدويروس چگونه كار مي‌كند و چه كارهايي را مي‌تواند براي شما انجام دهد، وقت آن است ببينيم چه معيارهايي براي انتخاب يك ضدويروس مهم هستند.

 

1- شناسايي

مهمترين وظيفه يك ضدويروس شناسايي ويروس‌ها است. اما چگونه بايد مطمئن شويم كه يك ضدويروس همان كاري را كه ادعا مي‌كند انجام مي‌دهد؟

آيا همين قدر كه برنامه ضدويروس يك گزارش مبني بر شناسايي ويروس‌ها توليد مي‌كند متقاعد مي‌شويد كه كار خود را به خوبي انجام مي‌دهد؟ پيدا كردن جواب دو سوال زير مي‌تواند به شما كمك ‌كند:

پرسش اول: نرم‌افزار ضدويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد. از اين پارامتر عموماً با نام detection Rate ياد مي‌شود.

پرسش دوم: نرم‌افزار ضدويروس تحت چه شرايطي مي‌تواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضدويروس قابل تشخيص است؟

[poor!a 15130]

توصيه هاي مهم

اول: يك راه‌حل اين است كه شما خودتان ضدويروس را بررسي كنيد. براي اين كار بر روي اينترنت به دنبال ويروس‌هاي مختلفي بگرديد و اين ويروس‌ها را به سيستم خودتان بياوريد و ببينيد كه آيا ضد‌ويروس مي‌تواند اين ويروس‌ها را شناسايي كند يا نه؟ ولي من شما را از انجام اين عمل شديداً منع مي‌كنم. حتي اگر فروشنده ضدويروس خودش اين پيشنهاد را به عنوان يك راه‌حل براي آزمايش ضدويروس داده باشد. همان‌طورEicar كه گفته است: استفاده از ويروس‌هاي واقعي براي تست كردن يك ضدويروس در يك محيط عملياتي مانند اين است كه شما آتش را به دفتر كار خود بياوريد و بعد بخواهيد بررسي كنيد كه آيا حسگرهاي دود‌ به خوبي كار مي‌كنند يا نه؟ شما هرگز نمي‌توانيد از نتيجه كار مطمئن باشيد. ممكن است برنامه ضدويروس نتواند همه موارد را شناسايي كند و ويروس‌ها شروع به پاك كردن داده‌هاي ارزشمند سيستم شما و پخش شدن در شبكه بنمايند. امري كه ممكن است به بهاي از دست دادن شغلتان تمام شود.

دوم: اگر شما واقعاً مي‌خواهيد مطمئن شويد كه يك ضدويروس قادر به انجام چه كارهايي است مي‌توانيد در سايت

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

يك سري آزمايش‌هاي بي‌خطر جهت آزمايش ضدويروس پيدا كنيد. در اين سايت فايل‌هاي آزمايشي و بي‌خطري وجود دارند كه بيشتر ضدويروس‌ها آن‌ها را به عنوان ويروس شناسايي مي‌كنند.

در اين حالت اگر ضدويروس موفق به از بين‌بردن ويروس شود چه بهتر و چنانچه نتواند، شما هيچگونه اطلاعاتي از دست نخواهيد داد. بدين‌ترتيب مي‌توانيد يك روش امن براي آزمايش ضدويروس به كار ببنديد.

سوم: شما مي‌توانيد از منابع موجود كه قبلاً اين كار را انجام داده‌اند استفاده كنيد. بعضي از سازمان‌ها، متولي انجام همين فعاليت مي‌باشند. ليستي از ويروس‌ها توسط

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

نگهداري مي‌شود. در اين سايت مي‌توانيد ببينيد كه detection Rate يا نرخ شناسايي هر ضدويروس چقدر است.

اين سايت‌ها نيز براي اين منظور مفيد مي‌باشند:

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

اين سايت، آماري از توان ضدويروس‌ها براي شناسايي ويروس‌هاي موجود در سايت wildlist (در دو مورد on-demand,Real-time) را ارايه مي‌كند.

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

در اين سايت ضدويروس‌ها در دو سطح مورد بررسي قرار مي‌گيرند. سطح اول همان است كه در سايت Virusbtn نيز انجام مي‌شود يعني فقط شناسايي ويروس‌ها.

نرم‌افزارهايي در سطح دوم موفق هستند كه قادر به از بين بردن ويروس نيز باشند.

 

2- امكانات

بسيار مهم است كه بدانيم چه نوع فناوري در ضدويروس موردنظر استفاده شده است و چه ويژگي‌هايي دارد.

1- سازگاري سخت‌افزاري و نرم‌افزاري سيستم شما با ضدويروس انتخاب شده.

در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرم‌افزار ضدويروس خود را كه تنها با جديدترين سيستم‌عامل‌ها كار مي‌كنند، ارايه مي‌دهند.

بنابراين منطقي به نظر مي‌رسد كه قبل از اقدام به خريد نرم‌افزار حتماً به اين نكته توجه كنيد.

2- توانايي پويش(on-Access Real time) را داشته باشد.

اين يكي از ويژگي‌هاي اساسي است كه يك ضد‌ويروس بايد دارا باشد. اين بخش نرم‌‌افزار باعث مي‌شود كه نرم‌افزار ضدويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري مي‌شود ويروس را شناسايي و خنثي كند.

اين بخش نرم‌افزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد،

Mabter Boot Record) MBR) و حافظه سركشي كند.

3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستم‌تان بايد انجام دهيد اين است كه هراز‌چندگاهي وضعيت سيستم خود را با اجراي ضدويروس بررسي كنيد.

مخصوصاً هنگامي كه آخرين نسخه ضدويروس را دريافت مي‌كنيد حتماً اين كار را انجام دهيد. سناريوي زير انجام توصيه بالا را توجيه مي‌كند.

شما يك e-mail دريافت مي‌كنيد كه اين e-mail شامل يك ضميمه و ويروسي است. منتهي شما اين ضميمه را هيچ‌گاه باز نكرده‌ايد. اجراي ضدويروس بروز شده باعث مي‌شود كه (احتمالاً) ويروس فوق شناسايي شود.

4- از الگوريتم‌هاي Heuristic پشتيباني كند.

5- بتواند انواع فايل‌ها با فرمت‌هاي مختلف را پويش كند.

اگر شما ويروسي در سيستم داشته باشيد كه قادر باشد به هر نوع فايلي بچسبد، نياز به ضدويروسي داريد كه بتواند فايل‌هاي مختلف با پسوندهاي مختلف را مورد بررسي قرار دهد. قبلاً تنها راه انتشار يك ويروس اين بود كه به فايل‌هاي برنامه‌اي بچسبد، اما امروزه اين امكان وجود دارد كه ويروس براي انتشار خودش از فايل‌هاي غيراجرايي نيز استفاه كند.

6- توانايي جلوگيري از فعاليت اسكريپت‌هاي مخرب را داشته باشد. بعضي از ويروس‌ها هستند كه با استفاده از اسكريپت‌ها طراحي شده‌اند. كرم‌هاي I Love You از اين نوع است.

موتور ضدويروس بايد اين قابليت را داشته باشد كه كدهاي VBS و JS را شناسايي كند و در صورتي كه آن‌ها را مخرب تشيخص دهد از فعاليتشان جلوگيري كند.

7- توانايي بررسي ضميمه e-mail را داشته باشد.

امروزه بسياري از ويروس‌ها توسط e-mail ‌انتشار پيدا مي‌كنند.

بعضي از آن‌ها مانند كرم KAK حتي اين توانايي را دارند تا در سيستم‌هايي كه خوب پيكربندي نشده‌اند، بدون اين‌كه ضميمه e-mail باز شود شروع به انتشار خود بنمايند.

8- قابليت بررسي فايل‌هاي فشرده را نيز داشته باشد. اگر چه يك ويروس هنگامي كه در يك فايل فشرده قرار دارد نمي‌تواند آسيبي به سيستم برساند ولي بهتر است است كه اصلاً اين ويروس در سيستم شما وجود نداشته باشد.

9- قابليت اين را داشته باشد كه اسب‌هاي تراوا، جاوااپلت‌هاي مخرب و اكتيوايكس‌هاي مزاحم را شناسايي كند. نرم‌افزارهاي ضدويروس نه تنها بايد اين قابليت را داشته باشند كه ويروس‌ها و كرم‌ها را شناسايي كنند بلكه بايد بتوانند از فعاليت‌اسب‌هاي تراوا، اكتيويكس‌ها و اپلت‌هاي جاوا نيز جلوگيري كنند.

امروزه بيشتر ضدويروس‌ها داراي اين خصوصيت مي‌باشند.

 

3- نگهداري از نرم‌افزار

دو مورد زير در نگهداري از نرم‌افزارهاي ضدويروس قابل توجه هستند.

1- بروز كردن مداوم ضدويروس براي مقابله با ويروس‌هاي جديد.

در بخش‌هاي قبل لزوم بروز نگه‌داشتن بانك‌اطلاعاتي ضدويروس توضيح داده شد. بنابراين ضدويروس منتخب شما بايد به ‌گونه‌اي باشد كه به راحتي قابليت روزآمد شدن را داشته باشد و علاوه‌‌‌برآن به‌طور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزم‌هايي جهت بروز نگه‌داشتن ضدويروس استفاده مي‌شود. آيا نسخه‌هاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت مي‌باشد؟ و آيا شما به راحتي مي‌توانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟

اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرم‌افزار بسيار خسته‌كننده مي‌باشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت روزآمد شده نرم‌افزار دريافت شود.

نكته ديگر اين‌كه، نويسندگان ضدويروس‌ها چقدر سعي مي‌كنند تا روش‌هاي جديدي كه براي توليد ويروس‌ها استفاده مي‌شود بشناسند و در نرم‌افزار خود به كار گيرند؟

و نكته مهم‌تر اين‌كه از زمان خبر انتشار يك ويروس تا وقتي كه نرم‌افزار ضدويروس براي اين ويروس بروز شود چقدر طول مي‌كشد؟

 

4- نرم‌افزارهاي ضدويروس چقدر بر كارايي سيستم شما تأثيرگذار مي‌باشند؟

همه نرم‌افزارهاي ضد‌ويروس بر كارايي سيستم شما تأثير مي‌گذارند. اغلب اوقات اندازه‌گيري ميزان اين تأثير سخت است ولي به هر حال به عنوان يك معيار مهم در انتخاب ضدويروس مطرح مي‌باشد. پرسش‌هاي زير در اين مقوله مهم مي‌باشند.

- آيا نرم‌افزار ضدويروس باعث كندتر شدن پروسه بوت سيستم شده است؟

- زمان دسترسي به يك فايل را افزايش داده است؟

پس براي انتخاب يك ضدويروس مناسب ناچاريد كه چند آزمايش را انجام دهيد.

مثلاً مي‌توانيد زماني كه براي پويش‌هاي مختلف (تحت شرايط مختلف) توسط يك ضدويروس مصرف مي‌شود را محاسبه كنيد و در اين مدت، زمان ميانگين استفاده از حافظه و cpu را نيز اندازه‌گيري كنيد.

يا اين‌كه زماني كه براي اسكن on-demand نياز مي‌باشد را براي محصولات مختلف اندازه‌گيري كنيد.

يا اين‌كه وقتي كه ضدويروس در حال پويشReal-time مي‌باشد ببينيد كه باز كردن يك فايل بزرگ چقدر طول مي‌كشد؟

توجه به اين موضوع كه محيط تست براي همه ضدويروس‌ها كه مورد ارزيابي قرار مي‌گيرند، مشابه باشد بسيار مهم است از جلمه اين‌كه:

حجم فايل‌ها و نوع فايل‌هايي كه براي هر يك از ضدويروس‌ها مورد بررسي قرار مي‌گيرد مهم است.

هر دو ضدويروس به يك ترتيب و روي يك سخت‌افزار پيكربندي شده باشند.

 

5- نرم‌افزار ضدويروس قابل كنترل باشد.

اگر شما نتوانيد بر روي ضدويروس خود نظارت كامل داشته باشيد مانند اين است كه ضدويروس نداريد.

شما بايد بتوانيد به‌طور مرتب (هر زمان كه نياز داشتيد) و بدون زحمت زيادي بانك اطلاعاتي خود را كامل‌تر يا بروز كنيد.

به راحتي بتوانيد از سرورها خود و كلاينت‌هاي خود محافظت كنيد و گزارش‌هاي نرم‌افزار ضدويروس را براي هر كدام از آن‌ها ببينيد.

 

6- پشتيباني ضدويروس هميشگي و موثر باشد.

فروشنده نرم‌افزار بايد قادر باشد كه پشتيباني مورد نظر شما را انجام دهد. مطمئناً پشتيباني كه براي كاربر در خانه ارايه مي‌شود با پشتيباني كه براي يك شركت بزرگ انجام مي‌شود با يكديگر متفاوت هستند.

فروشنده براي پشتيباني مي‌تواند خدمات زير را به شما ارايه دهد.

1- قادر باشد كه شما را به صورت on-line پشتيباني كند و اگر شك كرديد كه فايلي حاوي ويروس است، بتوانيد آن را براي فروشنده ارسال كنيد تا نظر خودش را راجع‌به فايل بيان كند.

اگر يك ويروس جديد شناخته شود، فروشنده بايد بتواند اين موضوع را به اطلاع شما برساند تا اقدامات لازم را براي خودتان، يا براي شبكه‌اي كه شما مس‡وول آن هستيد انجام دهيد.

 

نتيجه‌گيري

هيچ‌كدام از نرم‌افزارهاي ضدويروس بهترين نيستند. يك ضدويروس وقتي براي شما بهترين است كه بتواند نسبت به نرم‌افزارهاي ديگر به صورت كاملتري نيازهاي شما را برآورده كند.

اطلاعاتي كه فروشنده نرم‌افزار ارايه مي‌كند هميشه خوب است ولي انتخاب ضدويروس نبايد تنها براساس ادعاهاي فروشنده باشد.

 

 

 

آنتی ویروسها جادو نمیکنند!

آنتی ویروسها محافظان سیستم های ما هستند. این گونه نرم افزارها میتوانند بنا به ساختمان برنامه ای خود, کنترل مرکزی سیستم را در دست گیرند و مواظب رفتار مشکوک یا برنامه های مخرب اجرایی بر روی سیستم ما باشند ولی با گسترش روابط, نمیتوانیم به صورت کامل روی آنها حساب کنیم زیرا این برنامه ها از حمله ویروسها در امان نیستند .

در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.

خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.

آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.

 

چند تکنیک آنتی ویروس Kaspersky : (از بهترین آنتی ویروسها )

1. تکنیک تله گذاری: در این روش آنتی ویروس توجه ویروس را به خود جلب می کند.

2. مخفی ماندن : وقتی ما آنتی ویروسی در کامپیوتر نصب میکنیم ویروسها در بین فایلها پنهان می شوند. در آنتی ویروس Kaspersky هیچ قسمتی از سیستم (نرم افزاری) متوجه نصب نمی شوند.

3. سیستم رادار : اطلاع رسانی به کاربران.

و ده ها تکنیک دیگر.

[panisa 12132]

مرسی داداش...

ایشالله خدا خیرت بده...:icon_pf (34):