روابط عمومی شرکت (ایدکو ) توزیع کننده محصولات کسپرسکی در ایران؛ما بارها و بارها درمورد رفتار و زیستن در دنیای دیجیتال صحبت کردیم. امیدواریم که این صحبت ها بیهوده واقع نشده باشند و خوانندگان از ما مطالب مهم را فرا گرفته و به دوستان و خویشاوندان خود اطلاع داده باشند. این مسئله برای ما حائذ اهمیت است.
اما گاهی اوقات نیاز است تا شما را با برخی از اصطلاحات و عبارات خاص برای اطلاعات عمومی آشنا سازیم. به همین خاطر امروز قصد داریم به سه اصل اولیه و اصولی آنتی ویروس ها بپردازیم:
دیتابیس آنتی ویروس ها شامل چیزی هستند که signatureنامیده می شود، هم به صورت عمومی مورد استفاده قرار می گیرد هم به صورت نوشتاری. در واقع، signature های کلاسیک حدود ۲۰ سال است که مورد استفاده قرار نگرفته است.
از ابتدای آن که در سال ۱۹۸۰ بود، signature ها به عنوان یک مفهوم واضح تعریف نشده بودند. حتی در حال حاضر هم آن ها هیچ صفحه ی اختصاصی برای خود در ویکی پدیا ندارند و برای تعاریف بدافزارها و چگونگی رفتار آن ها صحبتی از signature ها نشده است، به طور خلاصه بیان کنیم، هیچ تعریفی از این دانش مشترک وجود ندارد.
به همین خاطر حداقل اجازه دهید مفهوم signature ها را در اینجا به طور مختصر بیان کنیم. signature یک ویروس دنباله ی مداوم از بیت هایی است که برای یک نمونه از نرم افزارهای مخرب بسیار شایع است. به این معنی که آن در درون بدافزار یا فایل های آلوده و نه فایل های بی تاثیر قرار دارد.
امروزه، signature ها برای شناسایی فایل های مخرب کافی نیستند. سازندگان تروجان ها با استفاده از انواع مختلفی از تکنیک ها، روند کار خود را می پوشانند. به همین دلیل محصولات آنتی ویروس مدرن باید از روش های تشخیص پیچیده تری استفاده کنند. دیتابیس آنتی ویروس ها هنوز هم حاوی signature ها هستند، با این فرق که وضعیت فعلی آن ها شامل نوشته های پیچیده تری است.
طبق عادت های مرسوم اکثرا چنین ورودی هایی را همچنان ” signature” می نامند اما گفتنش خالی از لطف نیست که این اصطلاح امروزه در بسیاری از موارد به اشتباه به کار برده می شود.
در حالت ایده آل، ما استفاده از کلمه signature را برای مراجعه به ورودی هر دیتابیس آنتی ویروس ها متوقف کردیم و آن را به کار نمی بریم، اما استفاده از آن همچنان معمول است و ادامه دارد.
دیتابیس آنتی ویروس ها فقط شامل ورود است. تکنولوژی پشت آن می تواند از signature های کلاسیک یا چیزی فوق العاده پیچیده، نوآورانه استفاده کند و پیشرفته ترین نرم افزارهای مخرب را مورد هدف قرار دهد.
همانطور که ممکن است تا به حال متوجه شده باشید، تحلیل گران ما از زماندار شدن ویرس ها جلوگیری می کنند و ترجیح می دهند سریعا بدافزارها، تهدیدات و غیره را شناسایی کنند. دلیل آن به این خاطر است که یک ویروس نوع خاصی از بدافزارها است که رفتار خاصی را از خود به نمایش می گذارد، این بدافزار تمام فایل های پاک را آلوده می کند و مجالی را به قربانی نخواهد داد.
آلوده کننده ها از وضعیت منحصر بفرد پیش رو قرار گرفته لذت می برند. در ابتدا، آن ها به سختی شناسایی می شوند، در نگاه اول فایل های آلوده تمیز به نظر می رسد. اما بعد از آن، آلودگی نیاز به پاک سازی خواهد داشت، تقریبا تمام آن ها نیاز به تشخیصی حرفه ای و پاک سازی از روش های خاص دارند. به همین دلیل است که تشخیص آلودگی و نوع آن توسط متخصصان ما به عنوان کاری تخصصی نام گرفته است.
بنابراین برای جلوگیری از گیج شدن در هنگام توضیحات برای شناسایی نوع ویروس، به طور کلی تحلیلگران نام هایی مثل “نرم افزارهای مخرب” و ” بدافزارها” را به عنوان اصطلاح قرار دادند.
در اینجا هم نمونه ای از بدافزارها آورده شده است که ممکن است مفید واقع شود: worm، نوعی از بدافزارها است که می تواند خود را تکثیر و در دستگاهی که آن را آلوده کرده است شیوع بیابد. بدافزارها با تکنیک خاصی که دارند شامل ابزارهای تبلیغاتی نمی شود (منظور همان نرم افزارهای تبلیغاتی است) یا riskware (نرم افزار قانونی است که می تواند بر روی سیستم آسیب وارد کند اگر که توسط تبهکاران این نرم افزار نصب شده باشد.)
اخیرا، نظاره گر نظرات عجیبی بودم که آنتی ویروس ها تنها می توانند عمل اسکن را انجام دهند و بدافزارها را شناسایی کنند و پس از آن قربانی نیاز به دانلود ابزاری ویژه برای حذف بدافزار خواهد داشت. در حقیقت، ابزارهای ویژه برای برخی از بدافزارها وجود دارد، به عنوان مثال، ابزارهای رمزگشایی فایلها باج افزارها را تحت تاثیر قرار می دهد. برای این نمونه آنتی ویروس به تنهایی نمی تواند با باج افزار مقابله کند و در این هنگام گزینه ی بهتری وجود دارد، دسترسی به ابزارهای این چنینی می تواند برای قربانیان مفید و مناسب واقع شود. اما تمامی بدافزار ها نیازی به این اقدام ندارند و در اکثر موقع آنتی ویروس به تنهایی مقابل این گونه نرم افزارهای مخرب می ایستد.
حذف کننده بدافزارها چگونه عمل می کند؟ در درصد کوچکی از موارد، دستگاه آلودگی ها را بر خواهد داشت ( معمولا آلودگی ها قبل از نصب آنتی ویروس انجام خواهد گرفت؛ آنها به ندرت از زیر دست آنتی ویروس ها در خواهند رفت)، در زمانی که آلودگی به بعضی از فایل ها نفوذ کند، آنتی ویروس عمل می کند و کد های مخرب را حذف می کند و آن ها را به حال اصلی خود بازمی گرداند. اغلب آنتی ویروس ها به همین روش اقدام می کنند، هنگامی که شما به رمزگشایی فایل های رمزنگاری شده خود توسط باج افزارها نیاز دارید، آنتی ویروس ها آن ها را به عنوان Trojan-Ransom شناسایی کرده اند.
در بیشتر مواقع، تقریبا در ۹۹% موارد، بدافزارها قبل از اینکه به فایلی آسیب بزنند، گرفتار آنتی ویروس ها می شوند. این روند شامل حذف ساده ی بدافزارها خواهد بود. اگر هیچ فایلی دچار آسیب نشده بود، نیازی به بازگردانی هیچ چیزی نیست.
یک استثنا در اینجا وجود دارد، اگر بدافزارها آلوده کننده نباشند، به عنوان مثال، اگر آن یک باج افزار باشد و در حال حاضر در سیستم فعال باشد، آنتی ویروس به حالت ضد آلودگی تغییر مود می کند (اگرچه بدافزار آسیبی به سیستم وارد نکرده است ) اماآنتی ویروس می خواهد از این موضوع مطمئن شود که تهدید برای همیشه رفته و هیچ گاه باز برنخواهد گشت.
این استثنا معمولا برای دو مورد زیر رخ خواهد داد:
امیدواریم با توجه به توضیحاتی که داده شد:
منبع: کسپرسکی آنلاین