آبجی
24th March 2010, 04:16 PM
ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه ها اطلاق مي شود که براي محافظت از کامپيوتر ها در برابر ويروس ها استفاده مي شوند. مهم ترين قسمت هر برنامه ضد ويروس موتور اسکن
(Scanning engine) آن است. جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه اصلي شناسايي فايل هاي آلوده به ويروس را با استفاده از فايل امضاي ويروس ها بر عهده دارند. فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتا مورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسان ها مي باشد. ضد ويروس متن فايل هاي موجود در کامپيوتر را با نشانه هاي ويروس هاي شناخته شده مقايسه مي نمايد. در بيشتر موارد در صورتي که فايل آلوده باشد برنامه ضدويروس قادر به پاکسازي آن و از بين بردن ويروس است. در مواردي که اين عمل ممکن نيست مکانيزمي براي قرنطينه کردن فايل آلوده وجود دارد و حتي مي توان تنظيمات ضدويروس ها را به گونه اي انجام داد که فايل آلوده حذف شود.
بعضي از برنامه هاي ضد ويروس براي شناسايي ويروس هاي جديدي که هنوز فايل امضاي آنها ارائه نشده از روش هاي جستجوي ابتکاري استفاده مي کنند. به اين ترتيب داده هاي مشکوک در فايل هاي موجود در سيستم و يا فعاليت هاي مشکوک مشابه رفتار ويروس ها (حتي در صورتي که تعريف ويروسي منطبق با آنچه که در فايل مشکوک يافت شده موجود نباشد) علامت گذاري مي شوند. اگر ضد ويروس فعاليت مشکوکي را مشاهده نمايد، برنامه اي که فعاليت مشکوک انجام داده را قرنطينه نموده و به کاربر در مورد آن اعلام خطر مي کند (به عنوان مثال اعلام مي شود که برنامه مشکوک مايل به تغيير Windows Registry مي باشد). دقت اين روش پايين است و در بسياري از مواقع در شناخت فايل هاي مشکوک به ويروس اشتباهاتي رخ مي دهد.
در چنين مواقعي فايل قرنطينه شده براي شرکت هاي سازنده ضد ويروس ها ارسال مي شود که پس از تحقيق و آزمايش آن، در صورتي که واقعا فايل آلوده به ويروس باشد نام، امضاء و مشخصات آن مشخص شده و پادزهر آن ارائه مي گردد. در اين صورت کد مشکوک تبديل به يک ويروس شناخته شده مي شود.
قابليت هاي نرم افزار هاي ضدويروس
سطح محافظت نرم افزار بسته به جديد و بروز بودن آن متغير است. محصولات جديدتر قابليت هاي مانند بروز رساني خودکار، اسکن هاي زمان بندي شده، محافظت از سيستم به صورت ماندگار در حافظه و همچنين امکان يکپارچه شدن با برنامه هاي کاربردي اينترنتي مانند برنامه هاي e-mail و مرورگرهاي وب را دارند. نسخه هاي قديمي تر نرم افزارهاي ضدويروس تنها يک اسکنر بودند که بايد به صورت دستي راه اندازي مي شدند. همه نرم افزار هاي ضدويروس در صورتي که به صورت منظم به روز رساني شده و عمليات اسکن بر روي ديسک هاي سخت، تجهيزات قابل انتقال (مانند فلاپي و Zip disk) انجام شود مي توانند دستگاه کامپيوتر را در برابر ويروس ها مقاوم کنند. در واقع نقطه برتري محصولات جديد ضد ويروس در قابليت هاي آنها براي محافظت از سيستم در مواقعي است که کاربر دانش و يا دقت لازم براي به کارگيري آن را ندارد.
حداقل توقعي که از يک برنامه ضد ويروس خوب مي توان داشت اين است که در برابر ويروس هاي boot-sector، ماکرو، اسب هاي تروا و فايل هاي اجرايي آلوده به ويروس و کرم اقدامات محافظتي لازم را به عمل آورد. از محصولات جديدتر مي توان انتظار محافظت در برابر صفحات وب، اسکريپت ها، کنترل هاي ActiveX و اپلت هاي جاواي خطرناک، همچنين کرم هاي e-mail را داشت.
(Scanning engine) آن است. جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه اصلي شناسايي فايل هاي آلوده به ويروس را با استفاده از فايل امضاي ويروس ها بر عهده دارند. فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتا مورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسان ها مي باشد. ضد ويروس متن فايل هاي موجود در کامپيوتر را با نشانه هاي ويروس هاي شناخته شده مقايسه مي نمايد. در بيشتر موارد در صورتي که فايل آلوده باشد برنامه ضدويروس قادر به پاکسازي آن و از بين بردن ويروس است. در مواردي که اين عمل ممکن نيست مکانيزمي براي قرنطينه کردن فايل آلوده وجود دارد و حتي مي توان تنظيمات ضدويروس ها را به گونه اي انجام داد که فايل آلوده حذف شود.
بعضي از برنامه هاي ضد ويروس براي شناسايي ويروس هاي جديدي که هنوز فايل امضاي آنها ارائه نشده از روش هاي جستجوي ابتکاري استفاده مي کنند. به اين ترتيب داده هاي مشکوک در فايل هاي موجود در سيستم و يا فعاليت هاي مشکوک مشابه رفتار ويروس ها (حتي در صورتي که تعريف ويروسي منطبق با آنچه که در فايل مشکوک يافت شده موجود نباشد) علامت گذاري مي شوند. اگر ضد ويروس فعاليت مشکوکي را مشاهده نمايد، برنامه اي که فعاليت مشکوک انجام داده را قرنطينه نموده و به کاربر در مورد آن اعلام خطر مي کند (به عنوان مثال اعلام مي شود که برنامه مشکوک مايل به تغيير Windows Registry مي باشد). دقت اين روش پايين است و در بسياري از مواقع در شناخت فايل هاي مشکوک به ويروس اشتباهاتي رخ مي دهد.
در چنين مواقعي فايل قرنطينه شده براي شرکت هاي سازنده ضد ويروس ها ارسال مي شود که پس از تحقيق و آزمايش آن، در صورتي که واقعا فايل آلوده به ويروس باشد نام، امضاء و مشخصات آن مشخص شده و پادزهر آن ارائه مي گردد. در اين صورت کد مشکوک تبديل به يک ويروس شناخته شده مي شود.
قابليت هاي نرم افزار هاي ضدويروس
سطح محافظت نرم افزار بسته به جديد و بروز بودن آن متغير است. محصولات جديدتر قابليت هاي مانند بروز رساني خودکار، اسکن هاي زمان بندي شده، محافظت از سيستم به صورت ماندگار در حافظه و همچنين امکان يکپارچه شدن با برنامه هاي کاربردي اينترنتي مانند برنامه هاي e-mail و مرورگرهاي وب را دارند. نسخه هاي قديمي تر نرم افزارهاي ضدويروس تنها يک اسکنر بودند که بايد به صورت دستي راه اندازي مي شدند. همه نرم افزار هاي ضدويروس در صورتي که به صورت منظم به روز رساني شده و عمليات اسکن بر روي ديسک هاي سخت، تجهيزات قابل انتقال (مانند فلاپي و Zip disk) انجام شود مي توانند دستگاه کامپيوتر را در برابر ويروس ها مقاوم کنند. در واقع نقطه برتري محصولات جديد ضد ويروس در قابليت هاي آنها براي محافظت از سيستم در مواقعي است که کاربر دانش و يا دقت لازم براي به کارگيري آن را ندارد.
حداقل توقعي که از يک برنامه ضد ويروس خوب مي توان داشت اين است که در برابر ويروس هاي boot-sector، ماکرو، اسب هاي تروا و فايل هاي اجرايي آلوده به ويروس و کرم اقدامات محافظتي لازم را به عمل آورد. از محصولات جديدتر مي توان انتظار محافظت در برابر صفحات وب، اسکريپت ها، کنترل هاي ActiveX و اپلت هاي جاواي خطرناک، همچنين کرم هاي e-mail را داشت.