این سه مورد از اساسی ترین پارامترهای مرتبط با یک آنتیویروس میباشد. سعی بر این است در این مقاله تا حدامکان در مورد روشهای کشف ویروسها صحبت شود و مزایا و معایب هر روش و لزوم وجود این روشها مورد بررسی قرار گیرد.
کشف ویروسها
به راحتی میتوان گفت که کشف ویروسها یکی از پرهزینهترین و سختترین کارها در زمینه مبارزه با ویروسهای کامپیوتری است، که همواره نیازمند متخصصانی در این حوزه میباشد که بتوانند فایلهای حاوی بدافزارها را به خوبی آنالیز کرده و راهکارهایی را جهت شناسایی بدافزارها استخراج کنند. از این رو سوالات متعددی بوجود میآید همچون اینکه، آیا روشهای شناسایی بدافزار به صورت عمومی و کلی هستند یا نه و برای هر خانواده از بدافزارها نیازمند یک روش جداگانه هستیم؟
آیا پاسخ حاصل از این روشهای کشف ویروسها کامل و دقیق هستند؟ آیا این روشهای کشف خطری برای سیستم کاربر ندارند؟ و سوالهای از این قبیل که سعی داریم در اینجا به صورت مختصر پاسخهایی را برای این پرسشها داشته باشیم.
خروجی حاصل از مراحل کشف ویروس را میتوان به 4 حالت کلی بیان کرد:
1. اگر ویروس واقعاً وجود داشته باشد و نتیجه حاصل از کشف هم مثبت باشد پاسخ مثبت درست خواهیم داشت.
2. اگر ویروس واقعاً وجود داشته باشد و نتیجه حاصل از کشف منفی باشد، پاسخ منفی نادرست اعلام خواهد شد.
3. اگر ویروس واقعاً وجود نداشته باشد و نتیجه حاصل از کشف هم منفی باشد پاسخ منفی درست اعلام خواهد شد.
4. اگر ویروس واقعاً وجود نداشته باشد و نتیجه حاصل از کشف مثبت باشد آنگاه پاسخ مثبت نادرست اعلام خواهد شد.
میزان درصدهای این حالات در پویش فایلهای یک سیستم معیار اصلی جهت تعیین قدرت شناسایی آنتیویروسها میباشد.
روشهای کشف بر اساس اینکه آیا در زمان بررسی فایل، باید فایل مربوطه اجرا شود یا نه به دو گروه تقسیم میشود :
1. شناسایی ایستا
2. شناسایی پویا
روشهای ایستا
به روشی که در آن شناسایی بدافزار بدون اجرای فایل مورد نظر انجام گیرد، شناسایی ایستا میگوییم. از مزایای این روش میتوان به آلوده نشدن سیستم در حال اجرای ویروس و سرعت بالای شناسایی اشاره کرد. از روشهای موجود در این حوزه میتوان به شناسایی بر اساس امضا و شناسایی بر اساس اکتشاف اشاره کرد.
شناسایی پویا
به روشی که در آن شناسایی بدافزار با اجرای فایل مورد نظر انجام گیرد، شناسایی پویا میگوییم. در این روش سعی بر این است که بدافزار در یک محیط مجازی اجرا شود و تمامی رفتارهای آن مورد بررسی قرار گیرد و در صورت مشکوک بودن رفتارهای فایل اجرا شده، ویروسی بودن آن اعلام شود. بسیاری از بدافزارها هستند که در حالت ایستا قابل شناسایی نیستند، چرا که فایل مرتبط با آن بدافزار به صورت رمزشده میباشد، و از این رو نمیتوان اطلاعات لازم برای شناسایی بدافزار همچون وجود امضا ویروس یا ویژگیهای که باعث شناسایی بدافزار از طریق روشهای هیورستیک است را استخراج نمود و برای شناسایی این نوع بدافزارها باید به گونهای بدافزار را رمزگشایی کرد ، در شناسایی پویا با اجرا کردن بدافزار سعی در گذر از این موانع داریم. اما از معایب این روش میتوان به بدافزارهایی اشاره کرد که فعال شدن آنها نیازمند برآورده شدن شرایطی خاص باشد، و ممکن است زمانی که بدافزار در حال اجرا است شرایط لازم برای آن مهیا نشود، در صورتی که با استفاده از روشهای ایستا امکان داشت که بتوان ویژگیهایی را استخراج کنیم که بدافزار به راحتی قابل شناسایی باشد. در مجموع جهت شناسایی بدافزار بهتر است از ترکیبی از هر دو روش استفاده شود تا بتوان دقت شناسایی را بدین ترتیب بالاتر برد.
جام جم