نرم‌افزار ضدویروس

برنامهٔ امنیتی کامپیوتری برای جلوگیری، کشف و حذف نرم‌افزارهای مخرب
(تغییرمسیر از ضدویروس)

نرم‌افزار ضد ویروس یا پاد ویروس (به انگلیسی: Anti-Virus) که با نام نرم‌افزار آنتی‌ویروس (به اختصار نرم‌افزار AV) نیز شناخته می‌شود، یک برنامهٔ کامپیوتری است که برای جلوگیری، کشف و حذف نرم‌افزارهای مخرب استفاده می‌شود.

در ابتدا نرم‌افزار ضدویروس برای شناسایی و از بین بردن ویروس‌های رایانه‌ای، ساخته شد. با این حال، با گسترش انواع دیگر بدافزارها، نرم‌افزار ضدویروس شروع به محافظت از سایر تهدیدهای رایانه‌ای کرد. به‌طور خاص، نرم‌افزارهای ضدویروس مدرن می‌توانند کاربران را در برابر موارد زیر محافظت کنند: اشیاء مخرب مرورگر (BHOs)، هواپیماربایان مرورگر، باج‌افزارها، کی‌لاگرها، درهای پشتی سخت‌افزاری، روت‌کیت‌ها، تروجان‌ها، کرم‌ها، LSPهای مخرب، شماره‌گیرها، کلاهبرداری‌ها، ابزارهای تبلیغاتی مزاحم و جاسوس‌افزارها. برخی از محصولات همچنین شامل محافظت در برابر تهدیدهای رایانه‌ای دیگر، مانند URLهای آلوده و مخرب، حملات ناخواسته و فیشینگ، هویت آنلاین (حفظ حریم خصوصی)، حملات بانکی آنلاین، تکنیک‌های مهندسی اجتماعی، تهدید مداوم پیشرفته (APT) و حملات بات‌نت DDoS است.[۱]

تاریخچه

ویرایش

دورهٔ ۱۹۴۹–۱۹۸۰ (روزهای قبل از ضدویروس)

ویرایش

اگرچه ریشه‌های ویروس رایانه‌ای از سال ۱۹۴۹ شروع می‌شود، زمانی که دانشمند مجارستانی جان فون نویمان «نظریهٔ اتوماتیک خود بازتولید» را منتشر کرد، اولین ویروس رایانه‌ای شناخته‌شده در سال ۱۹۷۱ ظاهر شد و «ویروس خزنده» نام گرفت. این ویروس رایانه‌ای، رایانه‌های اصلی PDP-10 Digital Equipment Corporation (DEC) که دارای سیستم عامل TENEX هستند را آلوده کرده‌است.

ویروس Creeper سرانجام توسط برنامه‌ای که توسط Ray Tomlinson ایجاد شده و به "The Reaper" معروف است حذف شد. برخی افراد "The Reaper" را اولین نرم‌افزار ضدویروسی می‌دانند که ممکن است چنین باشد، اما مهم است که توجه داشته باشید که Reaper در واقع یک ویروس بوده‌است که به‌طور خاص برای حذف ویروس Creeper طراحی شده‌است.

ویروس Creeper توسط چندین ویروس دیگر دنبال شد. اولین موردی که در طبیعت ظاهر شد "Elk Cloner" بود که در سال ۱۹۸۱ رایانه‌های اپل ۲ را آلوده کرد.

در سال ۱۹۸۳، عبارت "ویروس رایانه‌ای" توسط فرد کوهن در یکی از اولین مقالات آکادمیک منتشر شده در مورد ویروس‌های رایانه‌ای ابداع شد. کوهن از واژهٔ "ویروس رایانه‌ای" برای توصیف برنامه‌هایی استفاده می‌کند که: "سایر برنامه‌های رایانه‌ای را با تغییر آن‌ها به گونه‌ای که شامل یک نسخهٔ (احتمالاً تکامل یافته) از خود باشد، تحت تأثیر قرار می‌دهد." (توجه داشته باشید که جدیدتر و دقیق‌تر است)، تعریف ویروس کامپیوتری توسط محقق امنیتی مجارستانی Péter Szőr ارائه شده‌است: "کدی که به طور بازگشتی یک نسخهٔ احتمالاً تکامل‌یافتهٔ خود را تکرار می‌کند").

اولین ویروس رایانه‌ای IBM PC "سازگار با طبیعت" و یکی از اولین آلودگی‌های گستردهٔ واقعی "Brain" در سال ۱۹۸۶ بود. از آن زمان، تعداد ویروس‌ها به‌طور تصاعدی افزایش یافته‌است. بیشتر ویروس‌های رایانه‌ای که در اوایل و اواسط دههٔ ۱۹۸۰ نوشته شده بودند، محدود به تولید مثل خود بودند و هیچ‌گونه آسیب روتین خاصی در کد وجود نداشت. وقتی برنامه‌نویسان بیشتر با برنامه‌نویسی ویروس‌های رایانه‌ای آشنا شدند و ویروس‌هایی ایجاد کردند که داده‌های رایانه‌های آلوده را دستکاری یا حتی از بین می‌برد، تغییر کرد.

قبل از گسترش اتصال اینترنت، ویروس‌های رایانه‌ای معمولاً توسط فلاپی دیسک‌های آلوده پخش می‌شدند. نرم‌افزار ضدویروس، مورد استفاده قرار گرفت، اما به ندرت به روز شد. در این مدت ، کنترل‌کننده‌های ویروس اساساً باید فایل‌های اجرایی و بخش‌های راه‌اندازی فلاپی دیسک‌ها و هارد دیسک‌ها را بررسی می‌کردند. با این حال، با رایج شدن استفاده از اینترنت، ویروس‌ها به صورت آنلاین شروع به گسترش کردند.

دورهٔ ۱۹۸۰–۱۹۹۰ (روزهای اولیه)

ویرایش

ادعاهای رقابتی برای مبتکر اولین محصول ضدویروس وجود دارد. احتمالاً، اولین حذف عمومی مستند ویروس رایانه‌ای "در طبیعت" (یعنی "ویروس وین") توسط برند فیکس در سال ۱۹۸۷ انجام شد.

در سال ۱۹۸۷، آندریاس لونینگ و کای فیگه، که جی دیتا را در ۱۹۸۵ تأسیس کردند، اولین محصول ضدویروس خود را برای پلتفرم آتاری اس‌تی منتشر کردند. در سال ۱۹۸۷، Ultimate Virus Killer (UVK) نیز منتشر شد. این عملاً قاتل ویروس استاندارد صنعت Atari ST و Atari Falcon بود، آخرین نسخهٔ آن (نسخه ۹٫۰) در آوریل ۲۰۰۴ منتشر شد.[نیازمند منبع] در سال ۱۹۸۷، در ایالات متحده، جان مک‌آفی شرکت مک‌آفی را تأسیس کرد (بخشی از Intel Security بود) و در پایان همان سال اولین نسخهٔ VirusScan را منتشر کرد. همچنین در سال ۱۹۸۷ (در چکسلواکی)، پیتر پاشکو، رودولف هروبا و میروسلاو ترنکا اولین نسخهٔ ضدویروس ناد را ایجاد کردند.

در سال ۱۹۸۷، فرد کوهن نوشت که هیچ الگوریتمی وجود ندارد که بتواند تمام ویروس‌های رایانه‌ای را به‌طور کامل تشخیص دهد.

سرانجام، در پایان سال ۱۹۸۷، دو ابزار اولیهٔ ضدویروس ابتکاری منتشر شد: Flushot Plus توسط راس گرینبرگ و Anti4us توسط اروین لانتینگ. راجر گرایمز در کتاب O'Reilly خود، Malicious Code Code: Virus Protection for Windows , Flushot Plus را به عنوان "اولین برنامهٔ جامع برای مبارزه با کد مخرب تلفن همراه (MMC)" توصیف کرد.

با این حال، نوع ابتکاری مورد استفاده در موتورهای ضدویروس اولیه کاملاً متفاوت از موتورهای امروزی بود. اولین محصول با موتور اکتشافی شبیه موتورهای مدرن F-PROT در سال ۱۹۹۱ بود. موتورهای ابتکاری اولیه مبتنی بر تقسیم دوتایی به بخش‌های مختلف بودند: بخش داده، بخش کد (در یک باینری مشروع، معمولاً همیشه از یک مکان شروع می‌شود).

در واقع، ویروس‌های اولیه طرح‌بندی بخش‌ها را مجدداً سازماندهی می‌کنند، یا قسمت اولیهٔ یک بخش را لغو می‌کنند تا به انتهای پرونده‌ای که کد مخرب در آن قرار داشت بپردازند فقط برای ازسرگیری اجرای کد اصلی بازمی‌گردند.

این یک الگوی بسیار خاص بود که در آن زمان توسط هیچ نرم‌افزار قانونی استفاده نمی‌شد، که نشان‌دهندهٔ یک روش ابتکاری برای گرفتن کد مشکوک بود. انواع دیگری از روش‌های اکتشافی پیشرفته بعداً اضافه شد، مانند نام بخش مشکوک، اندازهٔ هدر نادرست، عبارات منظم و الگوی جزئی در تطبیق حافظه.

در سال ۱۹۸۸، رشد شرکت‌های ضدویروس ادامه یافت. در آلمان، Tjark Auerbach برنامه Avira (H+BEDV در آن زمان) را تولید کرد و اولین نسخه AntiVir (که در آن زمان "Luke Filewalker" نام داشت) را منتشر کرد.

در بلغارستان، Vesselin Bontchev اولین برنامهٔ ضدویروس رایگان خود را منتشر کرد (بعداً به FRISK Software پیوست). همچنین Frans Veldman اولین نسخه از ThunderByte Antivirus را که به TBAV نیز معروف است منتشر کرد (او در سال ۱۹۹۸ شرکت خود را به Norman Safeground فروخت). در چکسلواکی، پاول بائودیچ و ادوارد کوسرا آواست را شروع کردند. (در آن زمان نرم‌افزار ALWIL) و اولین نسخهٔ آواست خود را منتشر کردند. در ژوئن ۱۹۸۸، در کرهٔ جنوبی، Ahn Cheol-Soo اولین نرم‌افزار ضدویروس خود را با نام V1 منتشر کرد (او AhnLab را بعداً در ۱۹۹۵ تأسیس کرد).

سرانجام، در پاییز ۱۹۸۸، در بریتانیا، آلن سلیمان S&S International را تأسیس کرد و جعبه ابزار ضدویروس دکتر سلیمان خود را ایجاد کرد (اگرچه او آن را در سال ۱۹۹۱ به صورت تجاری راه اندازی کرد-در سال ۱۹۹۸ شرکت سلیمان توسط مک‌آفی خریداری شد).

در نوامبر ۱۹۸۸، پروفسوری در دانشگاه پان آمریکا در مکزیکوسیتی به نام Alejandro E. Carriles اولین نرم‌افزار ضدویروس را در مکزیک تحت نام "Byte Matabichos" (Byte Bugkiller) برای کمک به حل آلودگی ویروس شایع در بین دانش‌آموزان محفوظ داشت.

همچنین در سال ۱۹۹۸ یک لیست پستی به نام VIRUS-L در شبکه BITNET/EARN شروع شد که در آن ویروس‌های جدید و امکانات تشخیص و حذف ویروس‌ها مورد بحث قرار گرفت. برخی از اعضای این فهرست پستی عبارت بودند از: آلن سلیمان، یوجین کسپرسکی (آزمایشگاه کسپرسکی)، فریریک اسکالاسون (نرم‌افزار FRISK)، جان مک آفی (مک آفی)، لوئیس کرونز (پاندا سکیوریتی)، میکو هیپنن (F-Secure)، پتر سور، Tjark اوئرباخ (آویرا) و وسلین بونچف (نرم‌افزار FRISK).

در سال ۱۹۸۹، در ایسلند، Friðrik Skúlason اولین نسخه از F-PROT Anti-Virus را ایجاد کرد (او FRISK Software را فقط در ۱۹۹۳ تأسیس کرد). در همین حال، در ایالات متحده، سیمنتک (توسط گری هندریکس در ۱۹۸۲ تأسیس شد) اولین آنتی‌ویروس سیمنتک خود را برای مکینتاش (SAM) راه اندازی کرد.

SAM 2.0، که در مارس ۱۹۹۰ منتشر شد، از فناوری استفاده می‌کرد که به کاربران اجازه می‌داد به راحتی SAM را برای رهگیری و حذف ویروس‌های جدید، از جمله بسیاری از آنها که در زمان انتشار برنامه وجود نداشت، به روز کنند.

در پایان دهه ۱۹۸۰، در بریتانیا، جان هروسکا و پیتر لامر شرکت امنیتی Sophos را تأسیس کردند و اولین محصولات ضدویروس و رمزگذاری خود را تولید کردند. در همان دوره، در مجارستان، VirusBuster نیز تأسیس شد (که اخیراً توسط Sophos ادغام شده‌است).

دورهٔ ۱۹۹۰–۲۰۰۰ (ظهور صنعت ضدویروس)

ویرایش

در سال ۱۹۹۰، در اسپانیا، میکل اوریزاربارنا پاندا سکیوریتی (آن زمان نرم‌افزار پاندا) را تأسیس کرد. در مجارستان، محقق امنیتی پتر سزار نسخهٔ اول ضدویروس پاستور را منتشر کرد. در ایتالیا، Gianfranco Tonello نسخهٔ اول ضدویروس VirIT eXplorer را ایجاد کرد، سپس یک سال بعد TG Soft را تأسیس کرد.

در سال ۱۹۹۰، سازمان تحقیقات ضدویروس رایانه‌ای (CARO) تأسیس شد. در سال ۱۹۹۱، CARO «طرح نامگذاری ویروس» را منتشر کرد، که در ابتدا توسط Friðrik Skúlason و Vesselin Bontchev نوشته شده‌است. اگرچه این طرح نامگذاری اکنون منسوخ شده‌است، اما این تنها استاندارد موجود است که اغلب شرکت‌های امنیتی رایانه و محققان تاکنون سعی در اتخاذ آن داشته‌اند. اعضای CARO شامل: آلن سلیمان، کاستین رایو، دیمیتری گریازنوف، یوجین کسپرسکی، فریریک اسکلاسون، ایگور موتویک، میکوکو هیپنن، مورتون شناگر، نیک فیتز جرالد، پیجت پترسون، پیتر فرری، ریگارد زویننبرگ و وسلیننتونت

در سال ۱۹۹۱، در ایالات متحده، سیمنتک نسخهٔ اول ضدویروس نورتون را منتشر کرد. در همان سال، در جمهوری چک، جان گریتباخ و تامو هوفر AVG Technologies را تأسیس کردند (در آن زمان Grisoft)، اگرچه آن‌ها اولین نسخه از گارد ضدویروس خود (AVG) را فقط در سال ۱۹۹۲ منتشر کردند. از طرف دیگر، در فنلاند، اف‌سکیور (در سال ۱۹۸۸ توسط پتری آلاس و ریستو سییلاسما - با نام Data Fellows تأسیس شد) اولین نسخه از ضدویروس خود را منتشر کرد. F-Secure ادعا می‌کند که اولین ضدویروس است که حضور در شبکه جهانی وب را تأسیس می‌کند.

در سال ۱۹۹۱، مؤسسهٔ اروپایی تحقیقات ضدویروس رایانه‌ای (EICAR) برای تحقیقات بیشتر در مورد ضدویروس و بهبود پیشرفت نرم‌افزار ضدویروس تأسیس شد.

در سال ۱۹۹۲، در روسیه، ایگور دانیلوف اولین نسخهٔ SpiderWeb را منتشر کرد که بعداً به دکتر وب تبدیل شد.

در سال ۱۹۹۴، AV-TEST گزارش داد که ۲۸۶۱۳ نمونهٔ بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آن‌ها وجود دارد.

با گذشت زمان شرکت‌های دیگری تأسیس شدند. در سال ۱۹۹۶، در رومانی، Bitdefender تأسیس شد و اولین نسخهٔ ضدویروس eXpert (AVX) را منتشر کرد. در سال ۱۹۹۷، در روسیه، یوجین کسپرسکی و ناتالیا کسپرسکی شرکت امنیتی کسپرسکی لب را تأسیس کردند.

در سال ۱۹۹۶، اولین ویروس لینوکس "در وحشی" نیز وجود داشت که با نام "Staog" شناخته می‌شد.

در سال ۱۹۹۹، ای‌وی-تست گزارش داد که ۹۸۴۲۸ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

دورهٔ ۲۰۰۰–۲۰۰۵

ویرایش

در سال ۲۰۰۰، Rainer Link و Howard Fuhs اولین موتور ضدویروس منبع باز را به‌نام OpenAntivirus Project راه‌اندازی کردند.

در سال ۲۰۰۱، Tomasz Kojm اولین نسخهٔ ضدویروس کلم را منتشر کرد، اولین موتور ضدویروس منبع باز است که به بازار عرضه می‌شود. در سال ۲۰۰۷، ClamAV توسط Sourcefire خریداری شد که به نوبه خود در سال ۲۰۱۳ توسط سیسکو سیستمز خریداری شد.

در سال ۲۰۰۲، در انگلستان، Morten Lund و Theis Søndergaard با تأسیس شرکت ضدویروس BullGuard تأسیس کردند.

در سال ۲۰۰۵، AV-TEST گزارش داد که ۳۳۳٬۴۲۵ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

دورهٔ ۲۰۰۵–۲۰۱۴

ویرایش

در سال ۲۰۰۷، AV-TEST تعداد ۵٬۴۹۰٬۹۶۰ نمونه بدافزار جدید (بر اساس MD5) را فقط برای آن سال گزارش داد. در سال ۲۰۱۲ و ۲۰۱۳، ضدویروس‌ها گزارش کردند که نمونه بدافزارهای جدید بین ۳۰۰۰۰۰ تا بیش از ۵۰۰۰۰۰ در روز است.

با گذشت سالها، لازم است نرم‌افزار ضدویروس از چندین استراتژی مختلف (مانند ایمیل خاص و حفاظت از شبکه یا ماژول‌های سطح پایین) و الگوریتم‌های تشخیص استفاده و همچنین بررسی انواع فایلی به‌جای فقط اجرایی به دلایل مختلف استفاده کند.

  • ماکروهای قدرتمند مورد استفاده در برنامه‌های پردازشگر کلمه، مانند مایکروسافت ورد، خطری را ایجاد می‌کردند. نویسندگان ویروس می‌توانند از ماکروها برای نوشتن ویروس‌های موجود در اسناد استفاده کنند. این بدان معنی است که کامپیوترها می‌توانند با باز کردن اسناد با ماکروهای پنهان مخفی، در معرض خطر عفونت قرار بگیرند.
  • امکان جاسازی اشیاء اجرایی در فرمت‌های پروندهٔ غیر عملی در غیر این صورت می‌تواند باعث باز شدن این پرونده‌ها شود.
  • برنامه‌های ایمیل بعدی، به ویژه اوت‌لوک اکسپرس و مایکروسافت اوت‌لوک، در برابر ویروس‌های جاسازی‌شده در بدنهٔ ایمیل آسیب‌پذیر بودند. با باز کردن یا پیش‌نمایش پیام، می‌تواند کامپیوتر کاربر آلوده شود.

در سال ۲۰۰۵، F-Secure اولین شرکت امنیتی بود که یک فناوری Anti-Rootkit ایجاد کرد، به نام بلک لایت.

از آنجا که بیشتر کاربران معمولاً به‌طور مداوم به اینترنت متصل هستند، جان اوبرهید برای اولین بار یک طرح ضدویروس مبتنی بر ابر را در سال ۲۰۰۸ پیشنهاد داد.

در فوریهٔ سال ۲۰۰۸ آزمایشگاه‌های مک‌آفی اولین عملکرد ضدویروس مبتنی بر ابر را در صنعت تحت نام Artemis به VirusScan اضافه کردند. این آزمایش توسط AV-Comparatives در فوریهٔ ۲۰۰۸ مورد آزمایش قرار گرفت و به‌طور رسمی در اوت ۲۰۰۸ در McAfee VirusScan رونمایی شد.

Cloud AV مشکلاتی را برای آزمایش مقایسه‌ای نرم‌افزارهای امنیتی ایجاد کرد - بخشی از تعاریف AV از کنترل تسترها (روی سرورهای شرکت AV که به‌طور مداوم به روز می‌شوند) نتیجه‌ای غیرقابل تکرار می‌داد. در نتیجه، سازمان معیارهای تست ضد بدافزار (AMTSO) شروع به کار بر روی روش آزمایش محصولات ابری کرد که در ۷ مه ۲۰۰۹ پذیرفته شد.

در سال ۲۰۱۱، AVG سرویس ابری مشابه را با نام Protective Cloud Technology معرفی کرد.

۲۰۱۴ - در حال حاضر (ظهور نسل بعدی)

ویرایش

پس از انتشار گزارش APT 1 از Mandiant در سال ۲۰۱۳، این صنعت شاهد تغییر رویکردهای کمتر امضایی برای مسئله‌ای است که قادر به شناسایی و کاهش حملات صفر روز است. رویکردهای بی‌شماری برای پرداختن به این اشکال جدید تهدیدات از جمله تشخیص رفتاری، هوش مصنوعی، یادگیری ماشین و منفجر شدن پرونده مبتنی بر ابر ظاهر شده‌است. به گفته گارتنر، پیش‌بینی می‌شود ظهور ورودی‌های جدید، از جمله Carbon Black , Cylance و Crowdstrike، شرکت‌کنندگان EPP را به مرحله جدیدی از نوآوری و کسب مجبور کند. یک روش از Bromium شامل میکرو مجازی‌سازی برای محافظت از رومیزی در برابر اجرای کد مخرب است که توسط کاربر نهایی آغاز می‌شود. رویکرد دیگر SentinelOne و Carbon Black بر ایجاد تشخیص رفتاری با ایجاد زمینه ای کامل در هر مسیر اجرای فرایند در زمان واقعی متمرکز است، در حالی که سیلانوس از مدل هوش مصنوعی مبتنی بر یادگیری ماشین استفاده می‌کند. به‌طور فزاینده، این رویکردهای کمتر امضا توسط رسانه‌ها و بنگاه‌های تحلیلی به عنوان ضدویروس «نسل بعدی» تعریف شده‌اند و شاهد تصویب سریع بازار به عنوان فن آوری‌های معتبر جایگزینی ضدویروس توسط شرکت‌هایی مانند Coalfire و DirectDefense هستند. در پاسخ، فروشندگان ضدویروس‌های سنتی مانند Trend Micro , سیمنتک و Sophos با درج پیشنهادهای «نسل بعدی» در پرتفوی خود پاسخ داده‌اند زیرا شرکت‌های تحلیلگر مانند فارستر و گارتنر ضدویروس‌های سنتی مبتنی بر امضاها را «ناکارآمد» و «منسوخ» خوانده‌اند.[۱]

روش‌های شناسایی

ویرایش

یکی از معدود نتایج نظری جامد در بررسی ویروس‌های رایانه‌ای، نشان دادن فردریک کوئن در ۱۹۸۷ است که هیچ الگوریتمی وجود ندارد که بتواند کاملاً ویروسهای احتمالی را تشخیص دهد. با این وجود، با استفاده از لایه‌های مختلف دفاعی، می‌توان میزان تشخیص خوبی حاصل کرد.

چندین روش وجود دارد که موتور ضدویروس می‌تواند برای شناسایی بدافزارها از آن‌ها استفاده کند:

  • تشخیص ماسهبازی: یک روش خاص برای شناسایی رفتار مبتنی بر رفتار است که به جای تشخیص اثر انگشت رفتاری در زمان اجرا، برنامه‌ها را در یک محیط مجازی اجرا می‌کند و آنچه را که برنامه انجام می‌دهد را ثبت می‌کند. بسته به اقدامات وارد شده، موتور ضدویروس می‌تواند تعیین کند که آیا این برنامه مخرب است یا خیر. اگر این‌طور نباشد، این برنامه در محیط واقعی اجرا می‌شود. اگرچه این تکنیک با توجه به سنگینی و کندی آن بسیار مؤثر است، اما به‌ندرت در راه حل‌های ضدویروس کاربر نهایی استفاده می‌شود.
  • تکنیک‌های داده‌کاوی: یکی از جدیدترین رویکردهای مورد استفاده در تشخیص بدافزارها. داده‌های داده‌کاوی و الگوریتم‌های یادگیری ماشینی برای تلاش برای طبقه‌بندی رفتار یک پرونده (به عنوان مخرب یا خوش‌خیم) با توجه به یک سری ویژگی‌های فایل، که از خود پرونده استخراج می‌شوند، استفاده می‌شود.

تشخیص مبتنی بر امضا

ویرایش

نرم‌افزار آنتی‌ویروس سنتی برای شناسایی بدافزار به شدت به امضاها متکی است.

به‌طور اساسی، هنگامی که یک بدافزار به دست یک شرکت ضدویروس می‌رسد، توسط محققان بدافزار یا سیستم‌های آنالیز پویا آنالیز می‌شود. سپس، پس از مشخص شدن بدافزار، امضای مناسب فایل استخراج شده و به پایگاه داده امضاهای نرم‌افزار ضدویروس اضافه می‌شود.

اگرچه رویکرد مبتنی بر امضا می‌تواند حاوی شیوع بدافزارها باشد، اما نویسندگان بدافزار سعی کرده‌اند با نوشتن "oligomorphic" , "polymorphic" و اخیراً ویروسهای "دگردیسی"، که بخشی از خود را رمزگذاری می‌کنند، قدم جلوتر از چنین نرم‌افزاری بمانند. خود را به عنوان روشی برای مبدل اصلاح کنید تا امضای ویروس در فرهنگ لغت مطابقت نداشته باشد.

اکتشافی

ویرایش

بسیاری از ویروس‌ها به عنوان یک آلودگی واحد شروع می‌شوند و از طریق جهش یا اصلاح توسط مهاجمان دیگر، می‌توانند به ده‌ها سویه کمی متفاوت، به نام انواع مختلف تبدیل شوند. تشخیص عمومی به تشخیص و رفع تهدیدات متعدد با استفاده از یک تعریف ویروس واحد اشاره دارد.

به عنوان مثال، تروجان Vundo بسته به طبقه‌بندی فروشندهٔ ضدویروس، دارای چندین عضو خانواده است. سیمنتک اعضای خانوادهٔ Vundo را به دو دستهٔ مجزا، Trojan.Vundo و Trojan.Vundo.B طبقه‌بندی می‌کند.

در حالی که ممکن است شناسایی یک ویروس خاص سودمند باشد، اما می‌توان خانوادهٔ ویروس را از طریق امضای عمومی یا از طریق یک مسابقهٔ غیرمستقیم به یک امضای موجود سریعتر تشخیص داد. محققان ویروس مناطق مشترکی را پیدا می‌کنند که همهٔ ویروس‌های یک خانواده به‌طور منحصر به فرد در آن سهیم هستند و بنابراین می‌توانند یک امضای عمومی مشترک ایجاد کنند. این امضاها غالباً حاوی کد غیرهمگرا هستند و از شخصیت‌های کارت ویزیت که در آن اختلافات وجود دارد استفاده می‌کنند. این کارت‌های وحشی به اسکنر این امکان را می‌دهد تا ویروس‌ها را حتی اگر با کد اضافی و بی‌معنی خالی باشد شناسایی کند. گفته می‌شود تشخیصی که از این روش استفاده می‌کند «کشف اکتشافی» است.

تشخیص روت‌کیت (Rootkit)

ویرایش

نرم‌افزار ضدویروس می‌تواند برای اسکن کردن روت‌کیت‌ها اقدام کند. روت‌کیت نوعی نرم‌افزار مخرب است که برای به‌دست آوردن کنترل سطح اداری بر روی یک سیستم رایانه‌ای بدون این‌که شناسایی شود، طراحی شده‌است. روت‌کیت‌ها می‌توانند نحوهٔ عملکرد سیستم عامل را تغییر دهند و در برخی موارد می‌توانند با برنامهٔ ضدویروس دستکاری کرده و آن را ناکارآمد کنند. حذف روت‌کیت‌ها نیز دشوار است. در بعضی موارد نیاز به نصب مجدد کامل سیستم عامل است.

محافظت در زمان واقعی

ویرایش

محافظت در زمان واقعی، اسکن از دسترسی، محافظ پس‌زمینه، سپر ساکن، محافظت از خودکار و سایر مترادف‌ها به حفاظت خودکار ارائه شده توسط بیشتر ضدویروس‌ها، ضد جاسوس‌افزارها و سایر برنامه‌های ضد بدافزار اشاره دارد. این سیستم، سیستم‌های رایانه‌ای را برای فعالیت‌های مشکوک مانند ویروس‌های رایانه‌ای، نرم‌افزارهای جاسوسی، نرم‌افزارهای تبلیغاتی مزاحم و سایر اشیاء مخرب در «زمان واقعی» نظارت می‌کند، به عبارت دیگر در حالی که داده‌های موجود در حافظهٔ فعال رایانه: هنگام وارد کردن سی‌دی، باز کردن ایمیل یا مرور وب یا هنگامی که یک پرونده در رایانه باز یا اجرا شده‌است.[۱]

مسائل مربوط به نگرانی

ویرایش

هزینه‌های تجدید غیرمنتظره

ویرایش

برخی از موافقت‌نامه‌های مجوز کاربر نهایی نرم‌افزار ضدویروس شامل بندهایی هستند که اشتراک به‌طور خودکار تمدید می‌شود و کارت اعتباری خریدار به صورت خودکار در زمان تمدید بدون تأیید صریح صورتحساب می‌شود. به عنوان مثال، مک‌آفی از کاربران می‌خواهد حداقل ۶۰ روز قبل از انقضاء اشتراک فعلی، اشتراک خود را لغو کنند در حالی که بیت‌دیفندر ۳۰ روز پیش از تمدید، اعلان‌هایی را برای لغو اشتراک در این زمینه ارسال می‌کند. ضدویروس نورتون همچنین اشتراک‌ها را به‌صورت پیش‌فرض به‌طور خودکار تجدید می‌کند.

برنامه‌های امنیتی سرکش

ویرایش

برخی از برنامه‌های ضدویروس آشکار در واقع تروجان به عنوان یک نرم‌افزار مجاز، مانند WinFixer , MS Antivirus و Mac Defender در معرض خطر قرار دارند.

مشکلات ناشی از مثبت کاذب

ویرایش

«نادرست مثبت» یا «هشدار کاذب» وقتی است که نرم‌افزار ضدویروس یک پروندهٔ غیر مخرب را به عنوان بدافزار شناسایی می‌کند. وقتی این اتفاق بیفتد، می‌تواند مشکلات جدی ایجاد کند. به عنوان مثال، اگر یک برنامهٔ ضدویروس پیکربندی شده‌است که بلافاصله پرونده‌های آلوده را حذف یا قرنطینه کند، همان‌طور که در برنامه‌های ضدویروس مایکروسافت ویندوز معمول است، یک مثبت کاذب در یک فایل ضروری می‌تواند سیستم عامل ویندوز یا برخی برنامه‌ها را غیرقابل استفاده کند. بازیابی چنین آسیب‌هایی در زیرساخت‌های نرم‌افزاری بحرانی، هزینه‌های پشتیبانی فنی را متحمل می‌شود و شرکت‌ها می‌توانند مجبور به بستن شوند در حالی که اقدامات درمانی انجام شده‌است.

نمونه‌هایی از موارد مثبت مثبت:

  • مه ۲۰۰۷: امضای ویروس معیوب صادر شده توسط سیمنتک به اشتباه پرونده‌های سیستم عامل اصلی را حذف کرد، و هزاران رایانهٔ شخصی را قادر به راه‌اندازی نکرد.
  • مه ۲۰۰۷: پروندهٔ اجرایی مورد نیاز Pegasus Mail در ویندوز توسط نورتون آنتی‌ویروس به عنوان یک تروجان به اشتباه تشخیص داده شد و به‌طور خودکار حذف شد، و مانع از اجرای Pegasus Mail شد. Norton AntiVirus سه نسخهٔ منتشر شده از Pegasus Mail را به‌درستی شناسایی کرده بود و پرونده نصب Pegasus Mail را در صورت وقوع حذف می‌کند. در پاسخ به این ایمیل Pegasus اظهار داشت:

بر این اساس که نورتون / سیمنتک این کار را برای هر یک از سه نسخهٔ آخر Pegasus Mail انجام داده‌است، ما فقط می‌توانیم این محصول را به عنوان استفادهٔ بیش از حد بی‌عیب و نقص محکوم کنیم و با قوی‌ترین توصیه، توصیه می‌کنیم که کاربران ما استفاده از آن را به نفع جایگزین متوقف کنند.

  • آوریل ۲۰۱۰: McAfee VirusScan svchost.exe، یک باینری معمولی ویندوز، را به‌عنوان ویروس روی دستگاه‌های دارای ویندوز اکس‌پی با سرویس‌پک ۳ شناسایی کرد و باعث یک حلقهٔ راه‌اندازی مجدد و از دست رفتن دسترسی به شبکه شد.
     
    ضدویروس مک‌آفی
  • دسامبر ۲۰۱۰: به‌روزرسانی معیوب در مجموعهٔ ضدویروس ای‌وی‌جی، نسخه‌های ۶۴ بیتی ویندوز ۷ را خراب کرد و به دلیل داشتن یک حلقه بوت بی‌پایان ایجادشده، قادر به بوت شدن نیست.
  • اکتبر ۲۰۱۱: مایکروسافت سکیوریتی اسنشالز، مرورگر وب گوگل کروم را که رقیب اینترنت اکسپلورر خود مایکروسافت بود به‌عنوان یک تروجان بانکی Zbot پرچم‌گذاری کرد.
  • سپتامبر ۲۰۱۲: مجموعهٔ ضدویروس سوفوس سازوکارهای مختلف به‌روزرسانی، از جمله نوع خود، را به عنوان بدافزار شناسایی کرد. اگر پیکربندی شده بود که به‌طور خودکار پرونده‌های شناسایی شده را حذف کندlll, Sophos Antivirus می‌تواند خود را قادر به به‌روزرسانی نکند، برای رفع مشکل نیاز به مداخلهٔ دستی دارد.
  • سپتامبر ۲۰۱۷: ضدویروس Google Play Protect شناسایی برنامهٔ Moto G4 Bluetooth Motorola به عنوان بدافزار را آغاز کرد و باعث می‌شود عملکرد بلوتوث غیرفعال شود.

مسائل مربوط به سیستم و قابلیت همکاری

ویرایش

اجرای (محافظت در زمان واقعی) چندین برنامهٔ ضدویروس به‌طور همزمان می‌تواند عملکرد را کاهش داده و درگیری ایجاد کند. با این حال، با استفاده از یک مفهوم به نام multiscanning، چندین شرکت (از جمله نرم‌افزار جی دیتا و مایکروسافت) برنامه‌هایی ایجاد کرده‌اند که می‌توانند همزمان چندین موتور را اجرا کنند.

گاهی لازم است هنگام نصب به روزرسانی‌های اصلی مانند Windows Service Pack یا به روزرسانی درایورهای کارت گرافیک، محافظت از ویروس را به‌طور موقت غیرفعال کنید. محافظت از ضدویروس فعال ممکن است تا حدی یا کاملاً مانع از نصب یک به‌روزرسانی بزرگ شود. نرم‌افزار ضدویروس می‌تواند هنگام نصب یک سیستم عامل ارتقاء سیستم عامل، به عنوان مثال مشکلاتی ایجاد کند. هنگام به‌روزرسانی به نسخهٔ جدید ویندوز «در محل» - با پاک کردن نسخهٔ قبلی ویندوز. مایکروسافت توصیه می‌کند تا نرم‌افزار ضدویروس غیرفعال شود تا از درگیری با روند نصب به‌روزرسانی جلوگیری کند. نرم‌افزار ضدویروس فعال همچنین می‌تواند در فرایند به‌روزرسانی سیستم عامل اختلال ایجاد کند.

عملکرد چند برنامهٔ رایانه‌ای را می‌توان با نرم‌افزار فعال ضدویروس مختل کرد. به عنوان مثال، TrueCrypt، یک برنامهٔ رمزگذاری دیسک، در صفحهٔ عیب‌یابی خود اعلام می‌کند که برنامه‌های ضدویروس می‌توانند با TrueCrypt در تضاد بوده و باعث نقص آن شوند یا بسیار کند عمل کنند. نرم‌افزار ضدویروس می‌تواند عملکرد و پایداری بازی‌های در حال اجرا در سکوی استیم را مختل کند.

مشکلات پشتیبانی همچنین در مورد قابلیت همکاری برنامهٔ ضدویروس با راه حل‌های رایج مانند دسترسی از راه دور SSL VPN و محصولات کنترل دسترسی به شبکه وجود دارد. این راه حل‌های فناوری اغلب دارای برنامه‌های ارزیابی سیاست هستند که به نصب و راه‌اندازی ضدویروس به روز نیاز دارند. اگر برنامهٔ ضدویروس با ارزیابی خط مشی شناخته نشود، چه به‌خاطر این‌که برنامهٔ ضدویروس به روز شده باشد یا به‌خاطر این‌که جزئی از کتابخانهٔ ارزیابی خط مشی نیست، کاربر قادر به اتصال نخواهد بود.

اثربخشی

ویرایش

مطالعات انجام شده در دسامبر ۲۰۰۷ نشان داد که کارایی نرم‌افزار ضدویروس در سال گذشته کاهش یافته‌است، به‌ویژه در مقابل حملات ناشناخته یا روز صفر. مجلهٔ رایانه متوجه نشده‌است که میزان ردیابی این تهدیدات از ۴۰–۵۰٪ در سال ۲۰۰۶ به ۲۰ تا ۳۰٪ در سال ۲۰۰۷ کاهش یافته‌است. در آن زمان، تنها استثنا ضدویروس ناد۳۲ بود، که میزان تشخیص آن ۶۸٪ بود. . براساس وب سایت ردیاب ZeuS، میانگین میزان ردیابی برای انواع مختلف تروجان مشهور ZeuS به میزان ۴۰ درصد است.

مشکل با تغییر هدف نویسندگان ویروس بزرگ‌تر می‌شود. چند سال پیش واضح بود که عفونت ویروس وجود دارد. در آن زمان، ویروس‌ها توسط آماتورها نوشته شده و رفتارهای مخرب یا پاپ آپ‌ها را به نمایش می‌گذاشتند. ویروس‌های مدرن اغلب توسط متخصصان نوشته می‌شوند، که توسط سازمان‌های جنایی تأمین می‌شوند.

در سال ۲۰۰۸، اوا چن، مدیرعامل Trend Micro اظهار داشت که صنعت ضدویروس بیش از حد کاربرد محصولات خود را افزایش داده و سال‌هاست که مشتریان را گمراه کرده‌است.

آزمایش مستقل در تمام اسکنرهای اصلی ویروس به‌طور مداوم نشان می‌دهد که هیچ‌یک تشخیص ۱۰۰٪ ویروس را ارائه نمی‌دهند. بهترین آن‌هایی که تشخیص ۹۹٫۹٪ در موقعیت‌های شبیه‌سازی شده در دنیای واقعی داشتند، در حالی که کمترین آن ۹۱٫۱٪ را در تست‌های انجام شده در اوت ۲۰۱۳ انجام داده‌است. بسیاری از اسکنرهای ویروس نتایج مثبت کاذب و همچنین شناسایی پرونده‌های سالم را به عنوان بدافزار ارائه می‌دهند.

اگرچه این روش‌ها ممکن است متفاوت باشند، برخی از آژانس‌های تست کیفیت قابل توجه مستقل شامل AV-Comparatives، آزمایشگاه‌های ICSA، آزمایشگاه‌های ساحل غربی، بولتن ویروس، AV-TEST و سایر اعضای سازمان استاندارد تست‌های ضد بدافزار هستند.

ویروس‌های جدید

ویرایش

برنامه‌های ضدویروس همیشه در برابر ویروس‌های جدید مؤثر نیستند، حتی آن‌هایی که از روش‌های غیر امضایی استفاده می‌کنند که باید ویروس‌های جدید را تشخیص دهند. دلیل این امر این است که طراحان ویروس ویروس‌های جدید خود را بر روی برنامه‌های اصلی ضدویروس آزمایش می‌کنند تا مطمئن شوند که قبل از رها شدن آن‌ها به سمت وحشی شناسایی نشده‌اند.

برخی از ویروس‌های جدید، به ویژه باج‌افزار، از کد چندشکلی استفاده می‌کنند تا از شناسایی اسکنرهای ویروس جلوگیری کنند. جروم سگورا، یک تحلیلگر امنیتی با ParetoLogic، توضیح داد:

این چیزی است که آن‌ها زمان زیادی را از دست می‌دهند، زیرا این نوع [ویروس ransomware] از سایت‌هایی تهیه می‌شود که از پلی‌مورفیسم استفاده می‌کنند، به این معنی که آن‌ها اساساً پرونده ای را که برای شما ارسال می‌کنند تصادفی می‌کنند و به‌راحتی توسط ضدویروس‌های معروف شناخته می‌شوند. من دیده‌ام که مردم دست اول آلوده می‌شوند، همه پاپ آپ می‌کنند و هنوز نرم‌افزار ضدویروس در حال اجرا هستند و چیزی را کشف نمی‌کنند. در واقع خلاص شدن از این نیز می‌تواند بسیار سخت باشد و هرگز مطمئن نیستید که واقعاً از بین رفته‌است. وقتی چیزی شبیه به آن را می‌بینیم، معمولاً توصیه می‌کنیم سیستم عامل را مجدداً نصب کنید یا از پشتیبان‌گیری مجدداً نصب کنید.

اثبات ویروس مفهومی از واحد پردازش گرافیک (GPU) برای جلوگیری از شناسایی نرم‌افزارهای ضدویروس استفاده کرده‌است. موفقیت احتمالی این امر شامل دور زدن واحد پردازش مرکزی به منظور آن است که محققان امنیتی بتوانند عملکرد داخلی چنین بدافزارها را تجزیه و تحلیل کنند.

روت‌کیت

ویرایش

تشخیص ریشه‌ها یک چالش مهم برای برنامه‌های ضدویروس است. روت‌کیت‌ها دسترسی کامل به رایانه دارند و برای کاربران نامرئی هستند و از لیست فرایندهای در حال اجرا در مدیر وظیفه مخفی هستند. روت‌کیت‌ها می‌تواند عملکرد داخلی سیستم عامل را تغییر داده و برنامه‌های ضدویروس را دستکاری کند.

پرونده‌های آسیب‌دیده

ویرایش

اگر یک فایل به ویروس رایانه‌ای آلوده شده باشد، نرم‌افزار ضدویروس سعی خواهد کرد تا هنگام پاکسازی، ویروس کد را از پرونده خارج کند، اما همیشه نمی‌تواند پرونده را به وضعیت آسیب دیده خود برگرداند. در چنین شرایطی، پرونده‌های آسیب دیده فقط می‌توانند از پشتیبان‌گیری‌های موجود یا کپی‌های سایه بازیابی شوند (این مورد در مورد باج افزار نیز صادق است)؛ نرم‌افزار نصب شده آسیب دیده نیاز به نصب مجدد دارد (با این وجود، به پرونده فایل سیستم مراجعه کنید).

آلودگی‌های سیستم عامل

ویرایش

هر سیستم عامل قابل نوشتن در رایانه می‌تواند توسط کد مخرب آلوده شود. این یک نگرانی عمده است، زیرا یک بایوس آلوده می‌تواند برای اطمینان از حذف کامل کد مخرب، نیاز به تراشهٔ واقعی بایوس داشته باشد. نرم‌افزار ضدویروس در محافظت از سیستم عامل و بایوس مادربرد از عفونت مؤثر نیست. در سال ۲۰۱۴، محققان امنیتی دریافتند که دستگاه‌های یواس‌بی حاوی سیستم عامل قابل ویرایش هستند که می‌توانند با کد مخرب (با نام "BadUSB") اصلاح شوند، که هیچ ضدویروسی قادر به شناسایی یا جلوگیری از آن نیست. کد مخرب می‌تواند بر روی کامپیوتر غیرقابل اجرا باشد و حتی می‌تواند سیستم عامل را قبل از بوت شدن آلوده کند.

عملکرد و اشکالاتی دیگر

ویرایش

نرم‌افزار ضدویروس دارای اشکالاتی است که در مرحله اول می‌تواند عملکرد کامپیوتر را تحت تأثیر قرار دهد.

علاوه بر این، کاربران بی تجربه می‌توانند در هنگام استفاده از رایانه، احساس غلط امنیتی را از بین ببرند و رایانه‌های آنها را غیرقابل نفوذ بدانند، و ممکن است در درک پیام‌ها و تصمیماتی که نرم‌افزار ضدویروس برای آن‌ها ارائه می‌دهد، دچار مشکل شوند. یک تصمیم نادرست ممکن است منجر به نقض امنیت شود. اگر نرم‌افزار ضدویروس از روش تشخیص اکتشاف‌پذیر استفاده می‌کند، باید مرتباً تنظیم شود تا نرم‌افزارهای بی‌ضرر را به‌عنوان مخرب (نادرست مثبت) به حداقل رساند.

خود نرم‌افزار ضدویروس معمولاً در سطح قابل اعتماد هستهٔ سیستم عامل اجرا می‌شود تا به آن اجازهٔ دسترسی به کلیهٔ پروسه‌ها و پرونده‌های مخرب بالقوه را بدهد و یک مسیر حملهٔ بالقوه ایجاد کند. آژانس امنیت ملی ایالات متحده (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) به ترتیب، از نرم‌افزار ضدویروس برای جاسوسی از کاربران سوءاستفاده کرده‌اند. نرم‌افزار ضدویروس دارای دسترسی بسیار ممتاز و قابل اعتماد به سیستم عامل زیرین است و همین امر باعث می‌شود تا برای حملات از راه دور به یک هدف بسیار جذاب‌تر تبدیل شود. علاوه بر این، نرم‌افزار ضدویروس «سال‌ها پشت برنامه‌های طرفدار سرویس‌گیرندهٔ آگاهانه از قبیل مرورگرها یا خواننده اسناد است. این بدان معنی است که ادوبی آکروبات، مایکروسافت ورد یا گوگل کروم برای بهره‌برداری از ۹۰ درصد از محصولات ضدویروس موجود در آنجا سخت‌تر هستند»، به گفتهٔ Joxean Koret، یک محقق با Coseinc، مشاور امنیت اطلاعات مستقر در سنگاپور.

در اوایل سال ۱۴۰۱، شرکت امنیت سایبری سنتینل‌وان گزارشی را منتشر کرد که در بخشی از آن به سوءاستفادهٔ گروهی از مهاجمان از برخی برندهای ضدویروس اشاره شده‌است. بر اساس گزارش مذکور، مهاجمان با اکسپلویت آسیب‌پذیری DLL Hijacking از دسترسی بالای محصولات امنیتی بر روی دستگاه قربانی جهت فراخوانی ابزارهای مخرب PlugX و Shadowpad در حافظه و در ادامه اجرای آنها بهره‌جویی می‌کنند.[۲] در عین حال، امنیت سایبری سنتینل‌وان خاطر نشان کرده اشکالی که مهاجمان را قادر به انجام این اقدام کرده بیشتر از آن که متوجه شرکت‌های سازنده این محصولات باشد از نبود سازوکار حفاظتی کافی در سیستم عامل ویندوز در برابر حملات DLL Search Order Hijacking ناشی می‌شود.[۲]

راه حل‌های جایگزین

ویرایش

نرم‌افزار ضدویروس که روی رایانه‌های شخصی اجرا می‌شود، رایج‌ترین روشی است که از محافظت در برابر بدافزارها محافظت می‌کند، اما این تنها راه حل نیست. راه حل‌های دیگر همچنین می‌تواند توسط کاربران به کار رود، از جمله مدیریت یکپارچهٔ تهدید (UTM)، سخت‌افزار و فایروال‌های شبکه، ضدویروس مبتنی بر ابر و اسکنر آنلاین.

فایروال سخت‌افزار و شبکه

ویرایش

فایروال‌های شبکه از دسترسی برنامه‌ها و فرایندهای ناشناخته به سیستم جلوگیری می‌کنند. با این حال، آن‌ها سیستم‌های ضدویروس نیستند و هیچ تلاشی برای شناسایی یا حذف هر چیزی نمی‌کنند. آنها ممکن است در مقابل آلودگی از خارج از رایانه یا شبکه محافظت شده محافظت کنند، و فعالیتهای نرم‌افزاری مخرب موجود را با مسدود کردن درخواست‌های ورودی یا خروجی در پورت‌های TCP / IP خاص محدود کنند. یک فایروال برای مقابله با تهدیدهای گسترده‌تر سیستم که از اتصالات شبکه به سیستم وارد می‌شوند طراحی شده‌است و جایگزینی برای سیستم حفاظت از ویروس نیست.

ضدویروس ابر

ویرایش

ضدویروس Cloud یک فناوری است که از نرم‌افزار عامل سبک‌وزن بر روی رایانه محافظت شده استفاده می‌کند، در حالی که اکثر تجزیه و تحلیل داده‌ها را به زیرساخت ارائه دهنده بارگذاری می‌کند.

یک روش برای اجرای ضدویروس ابری شامل اسکن پرونده‌های مشکوک با استفاده از چندین موتور ضدویروس است. این روش با اجرای اولیه مفهوم ضدویروس ابری به نام CloudAV پیشنهاد شده‌است. CloudAV برای ارسال برنامه‌ها یا اسناد به ابر شبکه طراحی شده‌است که در آن از چندین ضدویروس و برنامه‌های تشخیص رفتاری به‌طور همزمان به منظور بهبود نرخ تشخیص استفاده می‌شود. اسکن موازی پرونده‌ها با استفاده از اسکنرهای ضدویروس بالقوه ناسازگار با تخم ریزی یک ماشین مجازی در هر موتور شناسایی و در نتیجه رفع هرگونه مشکل احتمالی حاصل می‌شود. CloudAV همچنین می‌تواند «شناسایی گذشته نگر» را انجام دهد، به موجب آن موتور تشخیص ابر هنگام شناسایی یک تهدید جدید، کلیه پرونده‌های موجود در تاریخ دسترسی به پرونده خود را نجات می‌دهد، بنابراین سرعت جدید شناسایی تهدید را بهبود می‌بخشد. سرانجام، CloudAV راه حلی برای اسکن ویروس‌های مؤثر در دستگاه‌هایی است که فاقد قدرت محاسباتی برای انجام خود اسکن‌ها هستند.

برخی از نمونه محصولات ضدویروس ابر عبارت‌اند از: Panda Cloud Antivirus , Crowdstrike , Cb Defense و Immunet. گروه Comodo همچنین ضدویروس مبتنی بر ابر تولید کرده‌است.

اسکن آنلاین

ویرایش

برخی از فروشندگان ضدویروس وبسایت‌هایی را با قابلیت اسکن آنلاین رایگان از کل رایانه، فقط مناطق بحرانی، دیسک‌های محلی، پوشه‌ها یا پرونده‌ها حفظ می‌کنند. اسکن آنلاین دوره‌ای ایده خوبی برای کسانی است که برنامه‌های ضدویروس را در رایانه‌های خود اجرا می‌کنند زیرا این برنامه‌ها برای گرفتن تهدیدات بسیار کند هستند. یکی از اولین کارهایی که نرم‌افزارهای مخرب در هنگام حمله انجام می‌دهند غیرفعال کردن هرگونه نرم‌افزار ضدویروس موجود است و گاهی تنها راه اطلاع از حمله، روی آوردن به یک منبع آنلاین است که بر روی کامپیوتر آلوده نصب نشده‌است.

ابزارهای تخصصی

ویرایش

ابزارهای حذف ویروس برای کمک به از بین بردن عفونت‌های سرسختانه یا انواع خاصی از عفونت در دسترس هستند. به عنوان مثال می‌توان به Avast Free Anti-Malware، ابزار حذف نرم‌افزارهای مخرب رایگان AVG و ابزار حذف Avira AntiVir اشاره کرد. همچنین شایان ذکر است که گاهی نرم‌افزار ضدویروس می‌تواند نتیجهٔ مثبت کاذب ایجاد کند و نشان‌دهندهٔ آلودگی در جایی که وجود ندارد.

دیسک نجات قابل بوت شدن، مانند سی‌دی یا دستگاه ذخیره‌سازی یواس‌بی، می‌تواند برای اجرای نرم‌افزار آنتی‌ویروس در خارج از سیستم عامل نصب شده، به منظور از بین بردن آلودگی‌ها در حالی که خفته هستند، استفاده شود. یک دیسک ضدویروس قابل بوت می‌تواند زمانی مفید باشد که به عنوان مثال، سیستم عامل نصب شده دیگر قابل راه‌اندازی نباشد یا دارای بدافزار باشد که در برابر تمام تلاش برای حذف توسط نرم‌افزار ضدویروس نصب‌شده مقاومت می‌کند. نمونه‌هایی از برخی از این دیسک‌های قابل بوت شامل CD Bitdefender Rescue , Kaspersky Rescue Disk 2018 و Windows Defender Offline (از زمان به‌روزرسانی سالگرد در ویندوز ۱۰). بسیاری از نرم‌افزارهای Rescue CD را می‌توان روی دستگاه ذخیرهٔ یواس‌بی نیز نصب کرد، که در رایانه‌های جدید قابل بوت شدن است.[۱]

استفاده و خطرات

ویرایش

براساس بررسی ادارهٔ تحقیقات فدرال (FBI) مشاغل بزرگ سالانه ۱۲ میلیون دلار از دست می‌دهند که با حوادث ویروس مقابله می‌کنند. در یک نظرسنجی توسط سیمنتک در سال ۲۰۰۹ مشخص شد که یک سوم از مشاغل متوسط و کوچک در آن زمان از ضدویروس استفاده نمی‌کنند، در حالی که بیش از ۸۰٪ از کاربران خانگی نوعی ضدویروس نصب کرده‌اند. طبق یک نظرسنجی جامعه‌شناختی که توسط نرم‌افزار جی دیتا در سال ۲۰۱۰ انجام شده‌است، ۴۹٪ از خانم‌ها به هیچ وجه از برنامهٔ آنتی‌ویروس استفاده نمی‌کردند.

جستارهای وابسته

ویرایش

منابع

ویرایش
  1. ۱٫۰ ۱٫۱ ۱٫۲ ۱٫۳ "Antivirus software". Wikipedia (به انگلیسی). 2020-06-24.
  2. ۲٫۰ ۲٫۱ «آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها». رامونا پردازش نگار. ۲۰۲۲-۰۵-۲۵. دریافت‌شده در ۲۰۲۲-۰۵-۲۶.