Antiviruses

من Ait-pedia

اذهب إلى: إبحار, بحث

محتويات

مضادات الفيروسات:

ما هي مضادات الفيروسات؟ وكيف تعمل؟

مضادات الفيروسات هي برامج حاسوب تستخدم لفحص الملفات والتعرف على الفيروسات والبرامج الخبيثة (أحصنة طروادة، الدودات rootkit ….) وإزالتها أو إيقافها عن العمل.

كيف تعمل مضادات الفيروسات؟

1- طريقة قاموس (قاعدة بيانات) الفيروسات:

يمتلك مضاد الفيروسات قاموس كبير أو قاعدة بيانات مما يمكنها من فحص الملفات ومقارنتها مع قاعدة البيانات، ومن ثم تحديد الملفات المصابة.

2- مراقبة النظام لأي حركة مشبوهة:

يقوم مضاد الفيروسات بمراقبة النظام بشكل دائم وعند اكتشاف نشاط خبيث يقوم بتحذير المستخدم، مثلاً يقوم مضاد الفيروسات بإنشاء ملفات مؤقتة مخفية عن المستخدم ويراقبها فإذا تم التعديل عليها فعندها يحذر المستخدم.


ولكل من هذه الطريقتين محاسن ومساوئ وغالباً ما يتم الجمع بينهما.

ميكانيكية عمل مضادات الفيروسات:

طريقة القاموس:

عندما يقوم مضاد الفيروسات بفحص ملف فإنه يقارنه مع قاعدة بياناته وعندما يجد جزء من كود الملف يطابق أي فيروس معرف في قاعدة بياناته عندها يقوم البرنامج بحذف أو حجزه وبالتالي يوقف الفيروس عن الإنتشار، أو يحاول إصلاح الملف بحذف الجزء الخبيث من الملف.


ولكي يكون مضاد الفيروسات ناجحاً على المدى المتوسط والطويل يجب عليه أن يحدث قاعدة بياناته بشكل دوري ويقدم هذه التحديثات لمشتركيه، وبالعادة كلما تم اكتشاف فيروس جديد يقوم المستخدمون بإرسال هذا الفيروس لمصنع مضاد الفيروسات لكي يضيف معلومات عن هذا الفيروس في قاعدة بياناته.


* متى يقوم مضاد الفيروسات بفحص الملف؟


عند إنشاء ملف أو فتحه أو إرساله أو استقباله بالبريد الإلكتروني، أو عند الطلب من المستخدم، وعادة ما يتم جدولة فحص النظام من الفيروسات بشكل دوري.


رغم أن هذه الطريقة فعالة لكن مصنعو الفيروسات يقومون بحركات مضادة حيث يشفرون جزء من الفيروس أو يعدلون الملف بطريقة تجعل الملف مختلف عن الشكل المتوقع في قاعدة البيانات ( تعديل توقيع الملف)، ذلك يحول دون التعرف على الفيروس. ومن الملاحظ أن هذه الطريقة تؤمن حماية من الفيروسات التي تم التعرف عليها مسبقاً. لكن ماذا عن الفيروسات الجديدة التي ليس هناك معلومات جديدة عنها؟؟؟ إن ذلك يقودنا إلى الطريقة الثانية:

مراقبة سلوك النظام:

يقوم مضاد الفيروسات بمراقبة جميع البرامج التي تعمل حالياً بنظام التشغيل، وعندما يحاول أحد البرامج القيام بسلوك خبيث يتم تحذير المستخدم من هذا البرنامج ويطلب منه اتخاذ قرار معين بشأن هذا البرنامج. يعتبر عملية الكتابة على ملف تنفيذي exe. عملية خبيثة يتم التحذير منها.

إذاً تؤمن هذه الطريقة حماية من الفيروسات التي لم يتم التعرف عليها مسبقاً أي ليست في قاعدة بيانات مضاد الفيروسات. ولكن المشكلة تظهر عندما تقوم مضادات الفيروسات بالكثير من التحذيرات الوهمية (بلاغات كاذبة) فيقوم المستخدم بتجاهل هذا التحذيرات التي أصبحت مزعجة. وقد أصبحت هذه المشكلة أسوأ لأن الكثير من البرامج الحالية تقوم بتعديل الملفات التنفيذية، لذلك تميل مضادات الفيروسات الحالية بالتقليل من استخدام هذه الطريقة.

طرق أخرى لاكتشاف الفيروسات:

بعض المضادات تقوم بمحاكاة بداية الكود الموجود في أول كل ملف تنفيذي جديد وذلك قبل تشغيل الملف فإذا تبين أنه يقوم بتعديل كود معين ضمنه أو حاول أن يبحث عن ملفات تنفيذية أخرى تبين بطريقة أخرى أنه فيروس يقوم بتحذير المستخدم، ومن الملاحظ أن هذه الطريقة أيضاً تعطي بلاغات كاذبة!!.

طريقة مكعب الرمل SandBox :

يقوم مضاد الفيروسات بمحاكة نظام التشغيل ويدع الملف يعمل في بيئة المحاكاة بدلاً من النظام الفعلي، ويراقب سلوك الملف حتى ينتهي من التنفيذ، ثم يحلل جميع الخطوات التي قام بها ثم يحدد فيما إذا كان فيروساً أم لا، ولكن بسبب استهلاكها الكبير لموارد النظام فإنها لا تستخدم إلا عند طلب المستخدم فحص ملف معين أو مجموعة ملفات.

قضايا هامة:

  1. يعتقد الكثير من الخبراء أن أخطر الفيروسات ( فيروسات الماكرو Macro Viruses) يمكن أن تعالج دون الحاجة حتى لمضاد الفيروسات وذلك إذا قامت مايكروسوفت بإصلاح الثغرات في برنامجها Outlook والبرامج المكتبية الأخرى.
  2. إن طريقة القاموس غير فعالة لأن الكثير من الفيروسات تصنع عالمياً ويتم نشرها بسهولة وبشكل سريع جداً، وتعتبر طريفة مراقبة النظام غير فعالة بسبب البلاغات الكاذبة التي يرفعها مضاد الفيروسات، وكذلك بقية الطرق لها مشاكلها، ماذا يعني ذلك؟ إن مشكلة الفيروسات لن تحلها مضادات الفيروسات الحالية مما يخلق الحاجة إلى طرق جديدة لمكافحة الفيروسات.
  3. يعتقد أن الكثير من الشركات المصنعة لمضادات الفيروسات هي التي تقوم بتصنيع الفيروسات لأسباب مالية وأسباب أخرى.

تم الاسترجاع من "http://www.ait-pedia.com/wiki/index.php?title=Antiviruses"