ویروس‌ یاب چیست؟

اولین ویروس های رایانه ای در دهه 1980 شایع شدند که خیلی زود برنامه هایی جهت به کنترل درآوردن آنها اختراع شد. در سال 1987 ، G DATA اولین ویروس یاب را در جهان اختراع کرد و در این راه قدم گذاشت، این ویروس یاب به سنگ بنای راهکارهای امنیتی سنتی تبدیل شد که امروزه از شناسه‌ رایانه ها برای شناسایی ویروس، کرم، Trojans و سایر بدافزارها استفاده می کند.

 

نحوه عملکرد ویروس یاب 

• نوع اول ویروس ها هستند که به یک سرور نیاز دارند، بنابراین فایل‌هایی را که از قبل در رایانه وجود دارد آلوده می کنند. 
• نوع دوم کرم ها که می توانند بدون کمک سرور و بدون کمک کاربر توزیع شوند.
• Trojans نوع سوم هستند که معمولا خود را در پشت برنامه هایی که به نظر قانونی می آیند پنهان می کنند.

بنابراین به دلیل عملکرد متفاوت، بدافزارها به زیر گروههای بیشماری تقسیم می‌شوند. اگرچه طیف گسترده‌ای از برنامه های مخرب وجود دارد اما همچنان الگوها قابل تشخیص هستند. بدین صورت که ویروس یاب با شناسایی ویژگی های مخربی که بدافزارها در کد خود نشان می دهند آنها را از بین می‌برند.

 

ویروس یاب از شناسه ها برای ردیابی تروجان ها، جاسوس افزارها و سایر نرم افزارهای انتشار یافته توسط مجرمان استفاده می کند. این موارد معمولاً با مشخصات دقیقی که ویروس یاب از آنها برای اسکن فایل‌ها در رایانه استفاده می کند مقایسه می‌شوند (کمی شبیه کلانترهای الکترونیکی). بنابراین اگر ویژگی های ذخیره شده در شناسه با ویژگی های مشکوک مجرمان مطابقت داشته باشد، اسکنر ویروس بلافاصله اقدام و از عملکرد بدافزار جلوگیری می کند.

 

شناسه‌های ویروس به چه چیزی شبیه هستند؟

در عصر دیجیتال هیچ راهزنی وجود ندارد که حمله کند بنابراین “کلانترها” در دنیای جرایم سایبری برای خود روش مقابله ای ندارند. امروزه مشخصات شناسه‌ها مربوط به یک آسیب بدافزار نمی شوند، در عوض، شناسه‌ها توانایی تشخیص طیف گسترده ای از فایلهای حاوی کد جهت شناسایی ویژگی های مخرب را فراهم می کنند. 

 

کلانتر سایبری فقط به دنبال یک مرد 30 ساله با سبیل های بزرگ و کلاه سیاه نیست. او به دنبال مردی بین 20 تا 40 سال با کمی ریش و بسیاری از ویژگی های دیگر است. این نوع خاص از شناسه های ویروس، اولویت های متفاوتی را برای تشخیص دقیق  تنظیم می کند. شناسه ویروس ویژگی های کم اما بسیار خاصی را ذکر می کند که شامل تعداد زیادی از نکات معمولی در عین حال مبهم می‌باشد. به همین ترتیب، کلانتر سایبری به طور کلی یک  مجرم را دستگیر نمی کند اما می تواند با استفاده از یک شناسه هزاران پرونده خطرناک را پیدا کند. با این حال، در اینجا احتیاط بیشتر توصیه می شود. زیرا اگر ویژگی ها به طور مبهم توصیف شده باشند، ممکن است یک پرونده به اشتباه مشکوک ثبت شود، که اصطلاحاً به آن تشخیص مثبت غلط می‌گویند.

از نظر فنی، به این معناست که تشخیص درست بر پایه اطلاعات کم و خاص انجام می‌پذیرد، نه استفاده از شناسه‌های ویروس یک نوع بدافزار خاص

علاوه بر این، این روش بررسی می کند که آیا عناصر خاص شناسه در صورت ترکیب با دیگر ویژگی ها باعث ایجاد مشکل می‌شوند یا خیر؟ در نتیجه، این فرآیند می تواند حتی قبل از در دسترس بودن شناسه از انتشار ویروس جلوگیری کند.

 

ویروس یاب “واکنشی” به چه معناست؟

به طور معمول یک ویروس یاب تنها می تواند شناسه ای را که تحلیلگران از قبل در آن ثبت کرده‌اند شناسایی کند. اگر از قبل هیچ شناسه ای برای تشخیص یک فایل مخرب وجود نداشته باشد، این روش نمی تواند کارساز باشد. به همین جهت ویروس یاب فقط هنگامی می تواند شکار این موارد را انجام دهد که یک شناسه در آن تعریف شده باشد. بنابراین، کارشناسان از ویروس یاب واکنشی استفاده می کنند و بر پایه واکنش، بدافزار های مشاهده شده را تجزیه و تحلیل می‌کنند. به همین دلیل، ویروس یاب‌ها باید به عنوان محافظ اساسی یا تقویت کننده راهکار امنیتی جامع معرفی شوند.

 

چند وقت یکبار ویروس یاب خود را به روز کنیم؟

تحلیلگران شناسه ویروس‌های جدید را بسیار سریع  کشف می‌کنند. از این رو با هر به روزرسانی، شناسه ویروس جدیدی در لیست ویروس یاب اضافه میگردد. به روزرسانی های منظم در تشخیص هرچه ‌بیشتر شناسه‌ها بسیار اهمیت دارد. به این ترتیب ، ویروس یاب قابلیت تشخیص بدافزارهای بیشتری را پیدا میکند و آنها را در سیستم ردیابی می‌کند. لازم به ذکر است راهکارهای امنیتی G DATA به طور خودکار شناسه‌ها را به روز رسانی می‌کند و نیاز به اقداماتی از سوی کابران نمی‌باشد.

 

زمانی که ویروس یاب نمونه‌ای از بدافزار را پیدا می‌کند چه اتفاقی می‌افتد؟

اگر ویروس یاب نمونه‌ای از بدافزار را پیدا کند، می تواند آن را پاکسازی کند ( درمحیط قرنطینه بگذارد یا حذف کند) در بسیاری از موارد، فایل‌های آلوده قابل بازیابی هستند. بدین صورت که نرم افزار آنتی ویروس اجزای مخرب موجود در فایل  آلوده را از بین می برد و فایل اصلی را بازسازی می کند. در صورت موفقیت آمیز بودن پاکسازی، فایل به طور خودکار به محل اصلی خود برگردانده و بار دیگر به صورت عادی مورد استفاده قرار می‌گیرد.

 

اما اگر پاکسازی انجام نشود یا فایل آلوده به طور مطمئن بررسی نشده باشد این نرم افزار فایل مورد نظر را در محیط قرنطینه قرار می دهد. در اینجا خطری رایانه شما را تهدید نمی‌کند و تلاش های احتمالی برای پاکسازی فایل آلوده همچنان ادامه دارد. در صورت آلوده بودن فایل‌‌های سیستم، قرنطینه بهترین گزینه است زیرا که اگر به سادگی حذف شوند ممکن است سیستم آسیب ببیند. اگر زمانی که فایل در قرنطینه است رایانه بدون هیچ مشکلی به کار خود ادامه دهد، احتمالا باید فایل مورد نظر در صورت لزوم حذف شود.

 

چگونه می توان ویروس یاب خود را خاموش کرد؟

شما می توانید اجزای جداگانه راهکار امنیتی G DATA را در بخش “تنظیمات” و “آنتی ویروس” پیدا کنید. اگر بر روی components کلیک کنید، می توانید با برداشتن علامت کادر بالای پنجره، آنها را فعال یا غیرفعال کنید. اگرچه قطعاً از نظر فنی می توان ویروس یاب را خاموش کرد، اما  به هیچ عنوان توصیه نمی شود. محافظت مانیتور از ویروس، رایانه شما را از هر تحدیدی در امان نگه می‌دارد، به همین دلیل همیشه باید فعال باشد.

 

آیا تلفن‌های هوشمند هم مانند رایانه‌ها به ویروس یاب نیاز دارند؟

گوشی‌های هوشمند در اصل نسخه جیبی رایانه‌ها هستند. گوشی هوشمند شما می تواند همانند رایانه شما آلوده شود. به همین دلیل به حفاظت مشابهی نیاز دارد.

 

سیستم خود را چند وقت یکبار را اسکن کنیم؟

برای ایمن نگه داشتن رایانه و اطلاعاتتان، سیستم شما باید به طور منظم مورد بررسی قرار بگیرند.

 

روش های مختلف راه اندازی ویروس یاب:

 

Idle scan : زمانی استفاده می شود که رایانه شما روشن است اما استفاده نمی شود. به عنوان مثال، ویروس یاب از زمان استراحت یا ناهار شما برای بررسی کامل سیستم شما استفاده می کند. Idle scan  مانند محافظ صفحه نمایش کار می کند و هنگامی که دوباره کاربر شروع به کار می کند، بلافاصله متوقف می‌شود.

Boot scan: سیستم قبل از راه اندازی ویندوز اسکن می شود، بنابراین بدافزارهایی که ممکن است در سیستم وارد شوند نمی‌توانند بر ویروس یاب تأثیر بگذارند. این امر می تواند وابسته به نوع ویروس یاب به صورت خودکار یا با دستور کاربر انجام شود. G DATA نسخه ویژه ای از نرم افزار همراه با Boot scan را نیز ارائه داده است.

Scan on access: اسکن به محض به روزرسانی یا باز شدن فایل‌ها انجام می‌شود. اگر عملی روی فایل انجام نشود، اسکن نیزانجام نمی شود. اکثر ویروس یاب‌ها از “اثر انگشت” دیجیتال برای این کار استفاده می کنند. اگر چیزی در فایل تغییر کند، اثر انگشت آن نیز تغییر می کند. این به این معنی است که اسکنر می تواند با سرعت بیشتری تشخیص دهد که کدام فایل به اسکن نیاز دارد و این امر سرعت تجزیه و تحلیل را افزایش می دهد. ویروس یاب باید به طور مداوم برای اسکن فعال باشد.

Scan on demand: این نوع ویروس یاب به طور مداوم در پس زمینه اجرا می شود. در اینجا دو نوع اسکن مختلف وجود دارد: در نوع اول برنامه به گونه ای کار می کند که کاربر باید ویروس یاب نصب شده را جهت بررسی درخواست کند. این درخواست از طریق زمانبندی یا به صورت دستی از طریق کلیک ماوس انجام می شود.

Online scanner: نوع دیگری از Scan on demand می‌باشد، به اسکنرهایی که روی رایانه نصب نشده‌اند اسکنرهای آنلاین می‌گویند. آنها فایل‌های را که توسط کاربر در اسکنر آنلاین بارگذاری می شوند را اسکن می کنند.

 

ویروس یاب‌های آنلاین مانند VirusTotal چه کاری انجام می‌دهند؟

در حالی که اکثر ویروس یاب‌ها بر روی رایانه محلی بارگیری می شوند، ویروس یاب های آنلاینی نیز مانند virustotal.com یا virscan.org وجود دارد. اسکنرهای آنلاین برای بررسی فایل های انفرادی  یا URL بدون نیاز به نصب برنامه برای اسکن محتوای خطرناک استفاده می‌شوند. بیش از 40 ارائه دهنده نرم افزار آنتی ویروس موتورهای خود را (برای فایل ها) در نسخه اصلی و بخشی از فناوری های ابری خود (برای URL ها) در دسترس قرار داده اند. VirusTotal لیستی از بدافزارهایی که توسط ویروس یاب پیدا شده است را ارائه می دهد. با این وجود باید دانست ویروس یاب آنلاین فایل را اسکن می کند، اما از آلودگی جلوگیری نمی کند و نمی توانند به حذف کمک کند.

 

با این حال، مشکل ویروس یاب آنلاین این است که شما داده ها را در یک سرور از راه دور بارگذاری می کنید. اینکه آیا امنیت بیشتری ایجاد می کنید یا اینکه داده های خود را داوطلبانه به غریبه ها تحویل می دهید جای سوال است. علاوه بر این ، اگر هیچ یک از اسکنرهای آنلاین چیزی پیدا نکنند، به این معنی نیست که همه چیز خوب است! بسیاری از بدافزارها به خوبی در برابر شناسایی استتار می کنند. از این رو اسکنرهای آنلاین هیچ کدام راه حل جامعی ارائه نمی دهند.

 

اسکنر ویروس یا اسکنر بدافزار؟

اصطلاح “ویروس یاب” در استفاده روزمره پرکاربرد، اما مبهم است. همانطور که در بالا توضیح داده شد ویروس یاب حفاظتی با استفاده از اسکن شناسه ها عملکرد ردیابی را انجام می‌دهد و در بسیاری از موارد به عنوان یک اصطلاح کلی استفاده می شود. که این درست نیست و واقعیت را منعکس نمی کند.

در هر صورت ، اگر بخواهیم در این مورد خاص باشیم، ویروس یاب به عنوان فن آوری سنتی اسکن، اسکنر بدافزار نامیده می‌شود. به دلیل اینکه نه تنها ویروس کامپیوتر را بررسی میکند بلکه بسیاری دیگر از انواع بدافزارها را نیز اسکن می کند. این برنامه همچنین کرم ها، جاسوس افزارها، باج افزارها، نرم افزارهای تبلیغاتی، برنامه های ناخواسته (PUP) و بدافزارهایی را که به زبان عامیانه  Trojans نامیده می شوند، ردیابی می کند.

 

منبع: GData