آنتی ویروس چگونه کار می نماید؟ - دور زمین

اسکن لحظه ای

یک آنتی ویروس در پس زمینه سیستم اجرا می شود و هر فایلی را که باز می کنید آنالیز می نماید. زمانی که بر روی یک فایل EXE دو بار کلیک می کنید، شاید به نظر می رسد که فایل در لحظه اجرا می شود. اما در حقیقت آنتی ویروس ابتدا آن برنامه را با بانکی از ویروس ها و انواع بد افزارها مقایسه می نماید. علاوه بر مقایسه با ویروس های شناخته شده، آنتی ویروس ها رفتار برنامه ها را هم زیرنظر قرار می گیرند تا اگر رفتار مشکوکی از آن ها سر بزند، این موضوع را آنالیز بیشتری می نماید. زیرا مطمئنا بعضی ویروس ها در ابتدا شناخته شده نیستند ولی با آنالیز رفتار های انجام شده از برنامه ها، تا حد زیادی می توان جلوی آن ها را گرفت.

آنتی ویروس ها بعلاوه انواع فایل ها را برای پیدا کردن ویروس ها آنالیز می نمایند. به عنوان مثال یک فایل ZIP یا حتی فایل ورد ممکن است حاوی ویروس خطرناک باشد. همان طور که این فایل ها هم قبل از باز شدن با سرعت زیادی به وسیله آنتی ویروس آنالیز می شوند. اگرچه می توانید این قابلیت اسکن آنی آنتی ویروس را غیرفعال کنید، اما انجام چنین کاری معمولا توصیه نمی شود. زیرا بعضی از ویروس ها از حفره های امنیتی موجود در سیستم عامل بهره می برند و در نتیجه بعد از فعال شدن، ممکن است آنتی ویروس آن ها را پیدا نکند.

اسکن کامل سیستم

به علت وجود قابلیت اسکن لحظه ای، معمولا اسکن کامل سیستم چندان ضروری نیست. این یعنی اگر ویروس به هر نحوی وارد سیستم شما شود، آنتی ویروس معمولا در همان لحظه می تواند حضور ویروس را تشخیص دهد و دیگر نیازی به اسکن دستی سیستم ندارید.

با این حال اسکن کامل سیستم برای بعضی شرایط می تواند مثمر ثمر واقع شود. به عنوان مثال زمانی که تازه آنتی ویروس نصب نموده اید، با اسکن کامل سیستم از نبود ویروس در کامپیوتر خود اطمینان حاصل می کنید. از سوی دیگر، بسیاری از آنتی ویروس ها معمولا حداقل هفته ای یک بار به طور کامل سیستم را اسکن می نمایند. با این کار برنامه می تواند حتی ویروس های غیرفعال موجود در سیستم را هم پیدا کند.

از سوی دیگر اگر قصد دارید هارد سیستم خود را به یک کامپیوتر دیگر وصل کنید، در این صورت اسکن کامل هارد توصیه می شود. با این حال روی هم رفته در شرایط معمول نیازی به اسکن دستی ندارید زیرا آنتی ویروس در کنار اسکن لحظه ای، به طور مرتب سیستم را به طور کامل اسکن می نماید.

بانک اطلاعاتی ویروس ها

آنتی ویروس موجود در کامپیوتر برای تشخیص ویروس ها باید از یک بانک اطلاعاتی استفاده کند که در آن تعیینات تمام ویروس های شناخته شده واقع شده است. به همین دلیل معمولا آنتی ویروس ها حداقل یک بار در روز آپدیت می شوند. زمانی که آنتی ویروس متوجه می شود یک فایل تعیینات یکی از ویروس های ثبت شده در بانک اطلاعاتی را در اختیار دارد، آن را در قرنطینه قرار می دهد. با توجه به تنظیمات آنتی ویروس، ممکن است آن فایل به طور اتوماتیک حذف شود یا اینکه به کاربر اجازه دهد فایل را از قرنطینه خارج کند.

شرکت های توسعه دهنده آنتی ویروس ها با بهره گیری از روش های مختلف، همیشه در پی شناسایی ویروس های نو هستند و بخش بزرگی از این فرایند به طور اتوماتیک انجام می شود.

یادگیری ماشینی

از دیگر ویژگی های مجذوب کننده آنتی ویروس ها باید به بهره گیری از مدل های یادگیری ماشینی برای شناسایی ویروس های نو اشاره کنیم. این مدل ها با استفاده از میلیون ها ویروس و بدافزار ایجاد شده اند تا ویژگی های مشترک آن ها تعیین شود. به همین دلیل حتی اگر یک بدافزار یا ویروس در بانک اطلاعاتی قرار نداشته باشد، آنتی ویروس می تواند بسیاری از ویروس های نو را پیدا کند.

به عنوان مثال اگر آنتی ویروس متوجه شود که یکی از فایل ها می خواهد کد خود را در فایل های EXE قرار گرفته در بخش های مختلف سیستم قرار دهد، چنین فرایندی تشخیص داده می شود و جلوی فعالیت ویروس گرفته می شود. البته هیچ آنتی ویروسی بی نقص نیست و به همین دلیل ممکن است چنین اقداماتی فشار زیادی به سیستم وارد نمایند یا اگر مدل های یادگیری ماشینی به درستی ایجاد نشده باشند، شاید بعضی نرم افزارها بدون مشکل به عنوان ویروس در نظر گرفته شوند.

مثبت کاذب

با توجه به حجم بزرگ ویروس ها، گاهی اوقات یک فایل یا برنامه کاملا بدون مشکل به عنوان ویروس شناخته می شود. به چنین فرایندی مثبت کاذب گفته می شود. گاهی اوقات آنتی ویروس ها حتی فایل های سیستمی که همراه با سیستم عامل ارائه می شوند هم به عنوان ویروس در نظر می گیرند. با این حال روی هم رفته معمولا چنین اتفاقی به ندرت رخ می دهد. بنابراین زمانی که آنتی ویروس یک فایل را به عنوان ویروس شناسایی می نماید، در بیشتر مواقع بهتر است به این تشخیص اعتماد کنید.

اگر هم از ویروسی بودن فایل یا برنامه خود مطمئن نیستید، می توانید آن را در سایت Virustotal آپلود کنید که زیرمجموعه گوگل محسوب می شود. این سایت فایل ها را با دقت اسکن می نماید و سپس نشان می دهد که آنتی ویروس های مختلف چه نظری برای این فایل ها دارند.

در همین رابطه باید خاطرنشان کنیم با توجه به اینکه کاربران ایرانی از نسخه غیرقانونی بسیاری از برنامه ها استفاده می نمایند، برای کرک کردن آن ها باید راهکارهای غیرقانونی استفاده شود. اگرچه بعضی همیشه توصیه می نمایند که به هیچ عنوان این روش های غیرقانونی نباید استفاده شود، اما با توجه به قیمت بالای این نرم افزارها عملا چاره ای جز بهره گیری از این روش وجود ندارد. معمولا آنتی ویروس ها برنامه های مربوط به کرک را به عنوان بد افزار در نظر می گیرند. به همین دلیل اگر از منبعی که نرم افزار را دانلود نموده اید مطمئن هستید، قبل از نصب و کرک کردن برنامه ها توصیه می شود که آنتی ویروس را غیرفعال کنید. بعلاوه اگر فایل های مربوط به کرک به عنوان ویروس شناخته شوند، باید این فایل ها را از قرنطینه خارج کنید.

درصد تشخیص

آنتی ویروس های مختلف در زمینه نرخ تشخیص تفاوت هایی دارند که این موضوع به مدل های یادگیری ماشینی و بانک اطلاعات آن ها برمی شود. در همین زمینه بعضی سازمان ها و سایت ها به طور مرتب نرخ تشخیص آنتی ویروس ها را با هم مقایسه می نمایند. یکی از این سایت ها av-comparatives است که به طور مرتب در این زمینه تست های مختلفی را انجام می دهد.

روی هم رفته در این زمینه شاهد بالا و پایین رفتن آنتی ویروس ها در جدول مربوط به نرخ تشخیص هستیم.به همین دلیل برای مقایسه عملکرد آنتی ویروس های مختلف می توانید از این سایت بهره ببرید.

سخن آخر

روی هم رفته آنتی ویروس ها برنامه های بسیار پیچیده ای هستند. با وجود اینکه بسیاری از شرکت ها کاربران را به خرید آنتی ویروس ها ترغیب می نمایند، اما واقعیت این است که ویندوز به طور پیش فرض از آنتی ویروس بسیار خوبی بهره می برد که تمام نیازهای کاربران معمولی را پوشش می دهد. به همین دلیل خرید آنتی ویروس فقط زمانی ارزش دارد که به عنوان مثال فایل های بسیار حساسی در سیستم خود دارید یا از نظر امنیتی همیشه در خطر هستید. اما در کل برای عموم کاربران، آنتی ویروس پیش فرض سیستم کافی است.

منبع: How To Geek