تبليغات
تبلیغات در دانشجو کلوب محک :: موسسه خيريه حمايت از کودکان مبتلا به سرطان ::
جستجوگر انجمن.براي جستجوي مطالب دانشجو کلوپ مي توانيد استفاده کنيد 
برای بروز رسانی تاپیک کلیک کنید
 
امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5

اموزش ویروس یابی

نویسنده پیام
  • ♔ αϻἰг κнаη ♔
    آفلاین
  • مدیرکل  سایت
    *******
  • ارسال‌ها: 16,105
  • تاریخ عضویت: تير ۱۳۹۰
  • اعتبار: 1090
  • تحصیلات:زیر دیپلم
  • علایق:مبارزه
  • محل سکونت:ایران زمین
  • سپاس ها 34951
    سپاس شده 49155 بار در 13535 ارسال
  • امتیاز کاربر: 551,587$
  • حالت من:حالت من
ارسال: #1
اموزش ویروس یابی
امروزه و با گسترش روزافزودن تهدیدهای رایانه مختلف خصوصا در سطح وب وبه منظور محفاظت موثر در برابر حملات هکری و نرم افزارهای نفوذگر مخرب به رایانه های مختلف در سرتاسر جهان نیاز به نرم افزارهای امنیتی و آنتی ویروس که بتوانند بصورت موثر دربرابر انواع این تهدیدهای روزافزون بخوبی عکس العمل نشان داده وبه مقابله باآنها بپردازند، احساس می شود . شرکت آویرا یکی ازبهترین و پرآوازه ترین شرکتهای امنیتی در زمینه تهیه و تولید برنامه های آنتی ویروس می باشد. یکی از محصولات نرم افزارآنتی ویروس این شرکت که با نام AntiVir Personal شناخته شده است، برای استفاده شخصی بصورت رایگان ارائه می شود. نرم افزار آنتی ویروس Avira AntiVir Personal قدرتمندترین برنامه محافظ آنتی ویروس رایگان می باشد که راهکاری کاملا رایگان و مورد اعتماد به منظور محافظت از اطلاعات شخصی شما بصورت اسکن سریع سیستم شما برای شناسایی تهدیدهای امنیتی و مخرب همچون ویروسها، تروجانها، برنامه های درب پشتی، کرمها، شماره گیرنده های آنلاین و غیره ارائه می نماید. این نرم افزار هر عملکردی را که توسط کاربریا سیستم عامل دیگری برروی رایانه شما انجام شود را مشاهده و کنترل می نماید و بصورت موثر در صورت شناسایی برنامه های مشکوک و مخرب واکنش نشان می دهد. آویرا شرکتی امنیتی آلمانی می باشد، برنامه های امنیتی و محافظتی این شرکت بر مبنای موتور آنتی ویروس AntiVir می باشد، که برای اولین بار در سال ۱۹۸۸مورد استفاده قرارگرفت. این شرکت درابتدا به نام “H+BEDV Datentechnik GmbH” بنیان نهاده شد. اکنون این شرکت به یکی از شناخته شده ترین و محبوبترین شرکتهای تولید کننده نرم افزارهای امنیتی تبدیل شده که محصولات امنیتی تولید شده توسط آن به خوبی توانسته اند درمیان سایر نرم افزارهای آنتی ویروس برای خود جا باز کنند.
قابلیتهای کلیدی نرم افزار AntiVir Personal 9.0.0.415 :
* قابلیت شناسایی و برداشتن بیش از ۱۵۰٫۰۰۰ ویروس مختلف
* بودن بصورت دائم در میان برندگان مقایسه آزمایشی ویژه
* محافظ ویروس قدرتمند برای کنترل و مشاهده حرکات فایلها بصورت خودکار مانند دانلود اطلاعات از اینترنت
* اسکن نمودن و Rapair نمودن ویروس های ماکرو
* محافظت دربرابر ویروسهای ماکرو ناشناخته قبلی
* محافظت دربرابر ویروسها، تروجانها، کرمها، برنامه های درب پشتی، و دیگر برنامه های مضر
* محاظفت ویژه نرم افزار در برابر ویروسها، تروجانها و کرمهای رایانه ای
* محافظت AntiDialer در برابر روت کیت های پنهانی
* محافظت AntiPhishing برای محاظفت دربرابر حملات موسوم به Phishing
* محافظت AntiSpyware دربرابر نرم افزارهای جاسوسی و تبلیغاتی مزاحم
* NetbookSupport برای ارائه پشتیبانی از لپ تاپها با رزولوشن کم
* ابزار QuickRemoval برای برداشتن ویروسها به محض فشردن دکمه
* عملکرد آسان
* ویزارد بروزرسانی از طریق اینترنت به منظور بروزرسانی آسان
* محافظت دربرابر ویروسهای ضبط بوت ناشناخته و ویروسهای بوت رکورد بزرگ
و…
ویروس یابی بدون آنتی ویروس
خیلی اوقات پیش می آید که کامپیوتر شما دچار ویروسی می شود که امکان اسکن و تشخیص آن توسط آنتی ویروس وجود ندارد و یا آنکه ویروس با تشخیص نصب بودن آنتی ویروس بروی سیستمتان عملکرد آن را دچار اختلال می کند و مانع از این می شود که شما بتوانید از آنتی ویروس خود برای اسکن کامپیوتر استفاده کنید. در این شرایط چه باید کرد؟ آیا راهی وجود دارد که بتوان در این شرایط کامپیوتر را خودمان اسکن کنیم و مشکل به وجود آمده در آنتی ویروس را برطرف کرد؟ پاسخ تمامی این سوالات مثبت است! در این ترفند قصد داریم به معرفی روشی ابتکاری و در عین حال کاربردی بپردازیم که با استفاده از آن میتوانید کامپیوتر خود را شخصأ اسکن کنید و ویروس موجود را پاک کنید ، بدون بهره گیری از هیچ نوع آنتی ویروسی!
اولین قدم برای اسکن کردن کامپیوترتان نمایش فایل های مخفی در کامپیوتر می باشد.

برای انجام این کار : ابتدا با مراجعه به My Computer بروی منوی Tools کایک کنید و از منوی حاصل بروی عبارت Folder Options کلیک کنید. سپس بروی برگه View کلیک کنید و در این برگه تیک کنار عبارت های Show Hidden Files and Folders را فعال کنید و تیک کنار عبارت Hide Extensions For Known File Types را بردارید و بروی عبارت OK کلیک نمایید.
اینک از طریق مسیر C:/Windows/system32 به پوشه System32 مراجعه کنید. پس از ورود به پوشه system32 بروی منوی View کلیک کنید و از منوی حاصل عبارت Details را انتخاب کنید.
حال در پوشه system32 بروی جدا کننده Date Modified کلیک کنید و آنرا به سمت راست بکشید به طوری که تاریخ تمامی فایل ها یه طور کامل نمایش داده شود.
فایل های نمایش داده شده در پوشه system32 فایل های سیستمی مربوط به ویندوز می باشد که اکثرا با پسوند dll می باشد و این بخش معمولا مورد هدف ویروس ها و Spyware قرار می گیرد و خود را در بین این فایل ها مخفی می کنند.
اگر دقت کنید متوجه خواهید شد که اکثر این فایلهای قرار گرفته در این بخش دارای یک زمان مشخص می باشد و این زمانها (مثلا 8/10/2004) معرف این می باشد که مایکروسافت در این تاریج برنامه مربوط به فایل مورد نظر را به پایان رسانیده است و در واقع این زمان ها هیچ ربطی به زمان نصب ویندوز ندارد. حال اگر ویروس و یا spyware به این بخش حمله کند زمان آن با زمان فایل های سیستمی موجود در پوشه system32 مطابق ندارد و زمانی جدید تر از زمان مربوط به فایلهای سیستمی ویندوز خواهد بود و به راحتی از طریق مشاهده زمان های قرار گرفته در Date Modified قابل تشخیص می باشد. البته نکته بسیار مهم که باید توجه شود این است که نصب یک سخت افزار جدید و یا یک نرم افزار خاص می تواند فایلی را در این بخش کپی کند که زمان آن با زمان فایل های سیستم مطابق ندارد.
پس برای اینکه فایلی را در این بخش به اشتباه پاک نکنید روشی را مطرح میکنیم که این اشتباه رخ ندهد:
اگر میان فایل های واقع در پوشه system32 به فایلی برخورد کردیدکه تاریخ آن با تاریخ فایل های سیستمی ویندوز مطابقت نداردبروی این فایل کلیک راست کنید و گزینه Properties را انتخاب نمایید. سپس در پنجره Properties بروی برگه Version کلیک کنید و در این برگه نام کمپانی و ورژن فایل مورد نظر را مطالعه کنید.
اگر اطلاعات این فایل شامل نام کمپانی و خیلی اطلاعات دیگر برایتان آشنا نبود نام فایل مورد نظر را در موتور جستجو گر گوگل تایپ کنید و اگر در نتایج جستجو به این اشاره شده بود که این فایل ویروس است حتما آن را پاک کنید ولی اگر در نتایج جستجو به آلوده بودن این فایل اشاره نشده بود این فایل به واسطه یک سخت افزار و یا نرم افزاری به وجود آمده است.
غیرفعال کردن ویروسی که دردایرکتوری های ویندوز عمل کپی کردن ازخودش را انجام می دهد:

برای انجام این عمل باید مراحل زیررا انجام دهیم:

1- از منوی Start گزینه Search را انتخاب کنید.

2- در صفحه ظاهر شده در سمت چپ گزینه All files And Folders را انتخاب کنید.

3- در قسمت All or part of The file name کلمه ی ( exe.* ) را بنویسید.

4- در قسمت Look in گزینه ی My Computer را انتخاب کنید.

5- سه گزینه در زیر منوی Look in وجود دارد که ابتدا گزینه ی More advanced option را انتخاب کنید و تمامی گزینه های این انتخاب را تیک بزنید.

سپس گزینه ی What size is it را انتخاب کرده و قسمت Specify size راانتخاب کنید.

6- در قسمت Specify size دو منو وجود دارد مقدار منوی سمت چپ را به At most تغییر داده و در قسمت سمت راست عدد ۸۵ را بنویسید.

7- حالا روی گزینه Search کلیک کنید.

حالا مرحله دوم تنظیمات شروع می شود.

Task manager را با زدن همزمان "Ctrl+Alt+Del" اجرا کنید.

در Tabهای بالایی قسمت Processes را انتخاب کرده و در قسمت لیست پروسه ها تمامی پروسه هایی که در قسمت "User name" آنها غیر از "System ,Local Service , Network service " نوشته را انتخاب کنید و End Process را بزنید (البته دقت کنید که Explorer.EXE را End Process نکنید)

8- حالا به Search برگشته و فایل های نتیجه را برسی می کنیم.

9- تمامی فایل هایی که Icon مربوط به آن شبیه به عکس فولدر یا پوشه می باشد رو انتخاب و پاک کنید.

نکته : در پاک کردن این فایل ها هیچ شکی نکنید بدلیل اینکه هیچ فایل اجرایی آیکون مربوطش شبیه به فولدر نیت پس هر گزینه ای که آیکون آن شبیه به آیکون فولدر ها بود را پاک کنید.

تذکر ۱ : اگر مراحل Task manager را انجام نداده باشید بعضی فایل ها پاک نخواهندشد!!!

تذکر ۲ : دقت کنید که دوباره این فایل های ویروس را اجرا نکنید.

خوب حالا قسمت آخر کار :

10- سیستم را Restart کنید واین بار با حالت Safe mode بالا بیاید.

نکته : برای بوت شدن ویندوز در حالت safe mode قبل از بالا آمدن کلید F8 را چند بار فشار دهید و از منوی ظاهر شده برای ادامه safe mode را انتخاب کنید.

11- بعد از اینکه ویندوز به طور کامل بالا آمد از منوی Start گزینه ی Run را انتخاب کنید.

12- در پنجره ی باز شده "Msconfig" را تایپ کرده تا پنجره ی مربوط به تنظیمات ویندوز باز شود.

13- در پنجره ی Ms Config آخرین Tab یعنی Startup را انتخاب کنید و گزینه های مشکوک که اصلآ ربطی به برنامه های نصب شده ای که برای شما آشنا هستند و آنهایی که به ویندوز ربطی ندارند را از حالت انتخاب خارج کنید.

14- روی Ok کلیک کنید و سیستم را Restart کنید.

بعدازانجام مراحل بالا ویندوز بدون ویروس به کارخود ادامه می دهد ولی به یاد داشته باشید که خراب کاری ویروس سرجای خود باقی است مانند: غیرفعال کردن Folder Option وکدگذاری روی دستورات سیستمی که هروقت این دستورات اجرا می شوند سیستم اتوماتیک Restart می شود.

يروس يابي كامپيوتر
ابتدا يك نگاه اجمالي و بسيار خلاصه به معناي Virus ، Worm و Trojan مي اندازيم.


Virus:
يك برنامه كامپيوتري و يك نرم افزار است كه نوشته ميشود.ويروس مي رود سراغ فايل هاي exe. وcom. و لابلاي كد آنها مخفي ميشودو كد خود را در ميان آنها جاسازي ميكند و حجم فايل را بيشتر ميكند سپس كد ويروس در تمام فايل هاي اجرايي برنامه تكثير مي شود.

Anti Virus:
ويروس ياب ها برنامه هايي هستند كه ويروس را به عنوان يك الگو (pattern) مي شناسند و مي دانند كه ويروس ها چه نوع كد هايي دارند.وقتي كه آن كد ها را ما بين فايل ها مي يابند آنها را پاك مي كنند. و بدين ترتيب ويروس از بين مي رود.

Worm:
اين هم يك نوع برنامه است كه نوشته ميشود. مي رود داخل كامپيوتر و از نقاط ضعف آن سيستم عامل استفاده مي كند و عملكرد آن سيستم عامل را مختل مي كند.
مثلاBlaster نوعي Worm بود كه كامپيوتر دانسه خودش را Shot down مي كرد.
Up dateكردن روشي است كه اين نقاط ضعف ها را رفع مي كند.

Trojan:
همانند يك جاسوس عمل مي كند. مخرب نيست و فقط كارهايي را كه ارباب خود به او دستور مي دهد انجام مي دهد. مثلا يك نفر فايلي براي ما مي فرستد و در آن فايل Trojanخود را قرار مي دهد. هر وقت كه كامپيوتر روشن مي شود و ويندوز بالا مي آيد Trojanهم همراه آن بالا مي آيد و تمام كارهايي را كه به او دستور داده شده انجام مي دهد.


يكي از روش هاي ويروس يابي اين است كه بايد فايل هاي ويروسي را پيدا كرده آنها را پاك كنيم. در صورتي كه اين فايل ها معمولا خود را مخفي مي كنند پس بايد كاري كنيم كه بتوانيم فايل هاي مخفي را ببينيم و پاكشان كنيم. براي اين كار به روش زير عمل مي كنيم:
My computer -------->tools------->folder option-------->view tab---------->show hidden files and folders
اول بايد اين قسمت را فعال كنيم و بعد دو تا آپشن پايين رو چك ماركشان را بر داريم.
Hide extensions for known file type
Hide protected operating system file
توجه داشته باشيد بعد از اين كه اين كار رو كرديم پنجره ي اخطاري باز مي شود كه بايد جواب yes را انتخاب كنيم
نكته:
وقتي كامپيوتر ويروسي است از زدن كليد enter ويا دابل كليك كردن اجتناب كنيد. مثلا براي باز كردن پنجره my computer رويش راست كليك كرده open را بزنيد.

اگر كامپيوتر تازه ويروسي شده باشد بعد از اين كار فايل هاي ويروسي كه كمرنگ تر از فايل هاي ديگر خواهد بود ظاهر مي شود كه با گرفتن shift+delet آنها را پاك مي كنيم.
نكته:مراقب باشيد تا فايل هاي اصلي كامپيوتر را اشتباها پاك نكنيد.


پيشنهاد مي كنم حتما براي كامپيوتر خود يك Restore point بسازيد كه اگر احيانا ويروسي شد به راحتي با System Restore ويروس از بين برور. (ساختنش را قبلا توضيح دادم).





تکنیک های ویروس یابی
در این ترفند قصد داریم بحث آنتی ویروسها را به طور کامل برای شما باز کنیم. اینکه چه آنتی ویروسی مطمئن تر است؟ آنتی ویروسها چگونه یک ویروس را میشناسند؟ تکنیک های ویروس یابی و بسیاری مطالب دیگر. با بهره گیری از این ترفند میتوانید خودتان آنتی ویروس بهتر و مطمئن تر را انتخاب کنید.
اشاره:
در دنیای شبکه‌ای امروز، لزوم داشتن یک نرم‌افزار ضدویروس قدرتمند که کامپیوتر ما را از انواع ویروس‌ها، کرم‌ها، بمب‌های منطقی و به‌طور کلی کدهای مخرب مصون بدارد، بیش از هر زمان دیگری احساس می‌شود. خوشبختانه (شاید هم متأسفانه) انتخاب‌های متعددی در این زمینه وجود دارد. ولی واقعاً کدام یک از آن‌ها می‌تواند بهتر مشکل کامپیوتر (یا کامپیوترهای شبکه) ما را حل کند؟ کافی است سری به سایت‌های مربوط به فروشندگان این نوع نرم‌افزارها بزنید. به نظر می‌رسد که همه آن‌ها از بهترین‌ها هستند. و همه آن‌ها در تمام طول سال و در تمام 24 ساعت شبانه‌روز خدمات خود را ارایه می‌دهند. از طرفی به دلیل بازار رقابتی موجود، هیچکدام از آن‌ها اطلاعات دقیقی از نرم‌افزارخود ارایه نمی‌دهند. شما چه یک متخصصIT باشید و چه یک کاربر معمولی، ممکن است به دلیل نداشتن اطلاعات صحیح برای انتخاب ضدویروس مناسب خود با مشکل مواجه می‌شوید. بنابراین بسیار مهم است که بدانید ضدویروس‌ها چگونه کار می‌کنند و در واقع عوامل مهم برای انتخاب آن‌ها کدامند.
ضدویروس‌ها چگونه کار می‌کنند؟
اولین قدم جهت انتخاب یک ضدویروس مناسب آشنایی با کارکرد ضدویروس‌ها می‌باشد.
پس از آشنایی با خصوصیات یک ضدویروس، واژگانی که در این زمینه استفاده می‌شود، را خواهید شناخت. این‌که بدانید ضدویروس چه کارهایی می‌تواند انجام بدهد و چه کارهایی نمی‌تواند انجام دهد، به شما کمک می‌کند که انتظارات معقولی از آن داشته باشید.
یک ضدویروس چگونه ویروس‌ها را شناسایی می‌کند؟
روش‌های مختلفی برای شناسایی ویروس‌ها وجود دارد.
ویروس‌ها (به‌طور معمول) چیزی بیشتر از کد یک برنامه نیستند. بنابراین اگر ما بدانیم که هر کدی چه کاری انجام می‌دهد قادر خواهیم بود که کد حامل ویروس را به محض رویت شناسایی کنیم.
این کار اولین عملی است که انجام می‌گیرد و به نام Signature Matching معروف است.
نرم‌افزارهای ضدویروس که به این روش کار می‌کنند دارای یک بانک اطلاعاتی هستند که شامل Virus signatureها است و به محض این‌که کدی را ملاحظه کرد که معادل یکی از رکوردها باشد آن را به عنوان ویروس شناسایی می‌کند. به نظر می‌رسد که موثرترین راه برای کشف ویروس‌ها همین باشد. روش فوق ذاتاً به‌گونه‌ای است که اول ویروس را شناسایی می‌کند و بعد متناظر با آن یک رکورد (virus signature) به بانک اطلاعاتی اضافه می‌کند و حالا اگر ویروسی پیدا کند، در صورتی‌که متناظر با این ویروس رکوردی در بانک اطلاعاتی باشد قادر به شناسایی آن خواهد بود و همین امر ایجاب می‌کند شرکت‌هایی که از این فناوری در نرم‌افزار خود استفاده می‌کنند مدام آن را بروز نگه دارند. به هر حال این یک نقطه ضعف می‌باشد و برای فائق آمدن بر آن دو روش دیگر در نرم‌افزارهای ضدویروس معرفی شده است.
1- Heuristic method (روش‌ مکاشفه‌ای)
فلسفه Heuristic این است که بتوانیم ویروس‌هایی را شناسایی کنیم که هنوز Virus Signature آن‌ها در بانک اطلاعاتی موجود نمی‌باشد.
این کار با استفاده از یک بانک اطلاعاتی که رکوردهای آن حاوی Virus behavior signature می‌باشد قابل انجام است. رکوردهای این بانک اطلاعاتی (ترفندستان) امضای ویروس خاصی را نگهداری نمی‌کنند بلکه بیشتر رفتارهای (رفتار بد) ویروس‌ها را ذخیره می‌کنند. مثلاً این‌که هر کجا تشخیص بدهند کدی قصد پاک کردن Boot Sector را دارد از آن جلوگیری می‌کنند.
الگوریتم‌هایHeuristic به دو صورت پیاده‌سازی می‌شوند:
● اگر تکنولوژی Heuristic کد هر برنامه را با Virus behavior Signature مقایسه کند و مورد آنالیز قرار دهد آن را روش static heuristic می‌نامیم.
● در بعضی مواقع این تکنولوژی قطعه کد را در یک ماشین مجازی اجرا می‌کند تا نتایج رفتاری آن را ببیند به این روش dynamic heuristic می‌گوییم. این روش ممکن است نتایج غلطی نیز تولید کند.
Integrity checksum -2 (جامعیت سرجمع)
در روش integrity checksum، فرض براین است که ویروس قصد اعمال تغییراتی در فایل دارد. مثلا‌ً یک ویروس می‌خواهد که روی یک فایل چیزی بنویسد یا این‌که خودش را به آخر فایلی اضافه کند. در این روش نرم‌افزار checksum فایل غیرویروسی و یا درایورهای تمیز را ذخیره می‌کند و هرگاه که تغییری در این checksum مشاهده شود متوجه می‌شود که احتمال دارد ویروسی این کار را انجام داده باشد. در این روش نیز احتمال تولید نتایج غلط وجود دارد. این روش در مقابله با ویروس‌های ماکرویی یا ویروس‌های مانند code Red که بدون این‌که در هیچ فایلی ذخیره شوند در حافظه بارگذاری و اجرا می‌شوند، کارایی چندانی ندارد.
اگر یک کد مزاحم از تمام الگوریتم‌های یک ضدویروس که تاکنون نام بردیم بگذرد، در گام آخر توسط فناوری دیگری به نام Activity Blocker از فعالیت آن جلوگیری می‌شود. این تکنولوژی از تمام فعالیت‌هایی که ممکن است توسط یک کد مخرب صورت بپذیرد جلوگیری می‌کند مثلاً اگر تشخیص دهد که هارددیسک در حال فرمت شدن است از آن جلوگیری می‌کند.
یک ضدویروس چه موقع ویروس‌ها را شناسایی می‌کند؟
معمولاً ضدویروس‌ها به دو روش می‌توانند ویروس‌ها را شناسایی کنند.
در روش اول ضدویروس، به صورت Real Time (بلادرنگ) و همان موقع که فایل مورد دسترسی قرار می‌گیرد عمل می‌کند. در این روش، ضدویروس درون حافظه مقیم می‌شود و تمام فعالیت‌های مربوط به سیستم را مورد ارزیابی و بررسی قرار می‌دهد. این نرم‌افزارها با همکاری سیستم‌عامل متوجه می‌شوند که هم‌اکنون قرار است فایلی مورد دسترسی قرار بگیرد. سریعاً این فایل را بررسی و نتیجه را گزارش می‌دهند. به این روش on-access می‌گویند.
مزیت این روش در ارایه یک حفاظت دایمی است ولی اشکالی که دارد این است که تنها فایل‌ها را به هنگام دسترسی مورد بررسی قرار می‌دهد. یعنی احتمالاً اگر ویروسی در یک فایل قرار گرفته باشد و در دیسک ذخیره شده باشد، با این روش قابل شناسایی نیست. در روش دوم این امکان به کاربر داده می‌شود که خودش نرم‌افزار ضدویروس را برای بررسی کردن دیسک یا یک فایل به کمک بگیرد. برای این‌که فعالیت فوق بازده بهتری داشته باشد باید ضدویروس را طوری تنظیم کرد که در دوره‌های زمانی معین اقدام به اسکن کند. این روش به on-demand معروف است.
ضدویروس‌ها چه کارهایی را می‌توانند انجام دهند و چه کارهایی را نمی‌توانند انجام دهند؟
1- محافظت صددرصدی
هیچ ضدویروسی وجود ندارد که بتواند به صورت صددرصد سیستم شما را در مقابل ویروس‌ها ایمن کند. ویروس‌ها و کدهای مخرب همیشه از ضد‌ویروس‌ها جلو بوده‌اند CodeRed.،Melissa ،Funlove ،Nimda و ویروس‌های زیاد دیگر این فرضیه را ثابت نموده‌اند و البته دلیل پویایی و حیات نرم‌افزارهای ضدویروس نیز همین قضیه می‌باشد.
به خاطر دارید که ضدویروس‌ها برای شناسایی یک ویروس به‌طور معمول نیاز به virus signature دارند و البته هنگامی که این signature موجود نباشد از روش‌های heuristic استفاده می‌شود که این روش‌ نیز همیشه جواب درست را برنمی‌گرداند. با این همه، ضدویروس‌ها در مقابل ویروس‌های شناخته شده (بیش از60 هزار عدد) یک حفاظت همه جانبه از سیستم شما به عمل می‌آورند.
بیشتر ضدویروس‌ها در صورت بروز و ظهور یک ویروس جدید قادر خواهند بود که به سرعت آن را شناسایی کنند و سیستم شما را از وجود این ویروس پاک نگه دارند.
2- بازسازی فایل‌های ویروسی شده
آیا هر ویروسی که توسط نرم‌افزار ضدویروس شناسایی شد قابل از بین بردن است؟
بستگی دارد که عملکرد ویروس چگونه باشد.
بعضی از ویروس‌ها مانند ویروس‌های ماکرویی به راحتی توسط نرم‌افزار ضدویروسی تشخیص داده می‌شوند و از فایل بیرون کشیده می‌شوند و پاک می‌شوند. این فایل‌ها هیچ آسیبی به فایل میزبان خود نمی‌رسانند.
اما بعضی از ویروس‌های دیگر نیز هستند که بر روی فایل میزبان چیزی می‌نویسند یا این‌که اصلاً کدویروس را درون فایل میزبان قرار می‌دهند. یکی از انواع این ویروس‌ها Loveletter است. در این مورد به وضوح دیده می‌شود که فایل میزبان قابل بازیابی نیست و تنها راه‌حل این است که این فایل را پاک کنیم.
دسته دیگری از ویروس‌ها وجود دارند (مانند ویروس Nimda) که علاوه بر ایجاد تغییرات بر روی فایل، قابلیت دستکاری فایل‌های سیستم و رجیستری را نیز دارند. در این موارد ضدویروس به تنهایی نمی‌تواند کاری بکند. شما به ابزاری نیاز دارید که بتواند فایل ویروسی را حذف کند و تغییرات اعمال شده در سیستم شما را به حالت اولیه برگرداند. معمولاً این ابزار کمکی بر روی وب سایت‌های فروشندگان نرم‌افزار ضدویروس موجود می‌باشد.
معیارهای انتخاب یک ضدویروس
حالا که متوجه شدید ضدویروس چگونه کار می‌کند و چه کارهایی را می‌تواند برای شما انجام دهد، وقت آن است ببینیم چه معیارهایی برای انتخاب یک ضدویروس مهم هستند.
1- شناسایی
مهمترین وظیفه یک ضدویروس شناسایی ویروس‌ها است. اما چگونه باید مطمئن شویم که یک ضدویروس همان کاری را که ادعا می‌کند انجام می‌دهد؟
آیا همین قدر که برنامه ضدویروس یک گزارش مبنی بر شناسایی ویروس‌ها تولید می‌کند متقاعد می‌شوید که کار خود را به خوبی انجام می‌دهد؟ پیدا کردن جواب دو سوال زیر می‌تواند به شما کمک ‌کند:
پرسش اول: نرم‌افزار ضدویروس قادر است چه تعداد ویروس را مورد شناسایی قرار دهد. از این پارامتر عموماً با نام detection Rate یاد می‌شود.
پرسش دوم: نرم‌افزار ضدویروس تحت چه شرایطی می‌تواند یک ویروس را شناسایی کند؟ آیا اگر این ویروس در حافظه مقیم شده باشد توسط ضدویروس قابل تشخیص است؟
توصیه های مهم
اول: یک راه‌حل این است که شما خودتان ضدویروس را بررسی کنید. برای این کار بر روی اینترنت به دنبال ویروس‌های مختلفی بگردید و این ویروس‌ها را به سیستم خودتان بیاورید و ببینید که آیا ضد‌ویروس می‌تواند این ویروس‌ها را شناسایی کند یا نه؟ ولی من شما را از انجام این عمل شدیداً منع می‌کنم. حتی اگر فروشنده ضدویروس خودش این پیشنهاد را به عنوان یک راه‌حل برای آزمایش ضدویروس داده باشد. همان‌طورEicar که گفته است: استفاده از ویروس‌های واقعی برای تست کردن یک ضدویروس در یک محیط عملیاتی مانند این است که شما آتش را به دفتر کار خود بیاورید (ترفندستان) و بعد بخواهید بررسی کنید که آیا حسگرهای دود‌ به خوبی کار می‌کنند یا نه؟ شما هرگز نمی‌توانید از نتیجه کار مطمئن باشید. ممکن است برنامه ضدویروس نتواند همه موارد را شناسایی کند و ویروس‌ها شروع به پاک کردن داده‌های ارزشمند سیستم شما و پخش شدن در شبکه بنمایند. امری که ممکن است به بهای از دست دادن شغلتان تمام شود.
دوم: اگر شما واقعاً می‌خواهید مطمئن شوید که یک ضدویروس قادر به انجام چه کارهایی است می‌توانید در سایتwww.eicar.org یک سری آزمایش‌های بی‌خطر جهت آزمایش ضدویروس پیدا کنید. در این سایت فایل‌های آزمایشی و بی‌خطری وجود دارند که بیشتر ضدویروس‌ها آن‌ها را به عنوان ویروس شناسایی می‌کنند.
در این حالت اگر ضدویروس موفق به از بین‌بردن ویروس شود چه بهتر و چنانچه نتواند، شما هیچگونه اطلاعاتی از دست نخواهید داد. بدین‌ترتیب می‌توانید یک روش امن برای آزمایش ضدویروس به کار ببندید.
سوم: شما می‌توانید از منابع موجود که قبلاً این کار را انجام داده‌اند استفاده کنید. بعضی از سازمان‌ها، متولی انجام همین فعالیت می‌باشند. لیستی از ویروس‌ها توسط http://www.wildlist.org نگهداری می‌شود. در این سایت می‌توانید ببینید که Detection Rate یا نرخ شناسایی هر ضدویروس چقدر است.
این سایت‌ها نیز برای این منظور مفید می‌باشند:
http://www.virusbtn.com: این سایت، آماری از توان ضدویروس‌ها برای شناسایی ویروس‌های موجود در سایت wildlist (در دو مورد on-demand,Real-time) را ارایه می‌کند.
http://www.chech-mark.com/cgi-bin/Redirect.pl: در این سایت ضدویروس‌ها در دو سطح مورد بررسی قرار می‌گیرند. سطح اول همان است که در سایت Virusbtn نیز انجام می‌شود یعنی فقط شناسایی ویروس‌ها.
نرم‌افزارهایی در سطح دوم موفق هستند که قادر به از بین بردن ویروس نیز باشند.
2- امکانات
بسیار مهم است که بدانیم چه نوع فناوری در ضدویروس موردنظر استفاده شده است و چه ویژگی‌هایی دارد.
1- سازگاری سخت‌افزاری و نرم‌افزاری سیستم شما با ضدویروس انتخاب شده.
در نگاه اول شاید این مساله کمی بدیهی به نظر برسد. اما به هر حال برخی از فروشندگان آخرین نسخه نرم‌افزار ضدویروس خود را که تنها با جدیدترین سیستم‌عامل‌ها کار می‌کنند، ارایه می‌دهند.
بنابراین منطقی به نظر می‌رسد که قبل از اقدام به خرید نرم‌افزار حتماً به این نکته توجه کنید.
2- توانایی پویش(on-Access Real time) را داشته باشد.
این یکی از ویژگی‌های اساسی است که یک ضد‌ویروس باید دارا باشد. این بخش نرم‌‌افزار باعث می‌شود که نرم‌افزار ضدویروس مانند یک سگ نگهبان عمل کند. یعنی همان موقع که ویروس در حافظه بارگذاری می‌شود ویروس را شناسایی و خنثی کند.
این بخش نرم‌افزار باید قادر باشد که به تمام نواحی سیستم از جمله فایل سیستم، بوت رکورد،
Mabter Boot Record) MBR) و حافظه سرکشی کند.
3- توانایی پویش به صورت on-demand را داشته باشد. یکی از کارهای ضروری که برای حفظ سلامت سیستم‌تان باید انجام دهید این است که هراز‌چندگاهی وضعیت سیستم خود را با اجرای ضدویروس بررسی کنید.
مخصوصاً هنگامی که آخرین نسخه ضدویروس را دریافت می‌کنید حتماً این کار را انجام دهید. سناریوی زیر انجام توصیه بالا را توجیه می‌کند.
شما یک e-mail دریافت می‌کنید که این e-mail شامل یک ضمیمه و ویروسی است. منتهی شما این ضمیمه را هیچ‌گاه باز نکرده‌اید. اجرای ضدویروس بروز شده باعث می‌شود که (احتمالاً) ویروس فوق شناسایی شود.
4- از الگوریتم‌های Heuristic پشتیبانی کند.
5- بتواند انواع فایل‌ها با فرمت‌های مختلف را پویش کند.
اگر شما ویروسی در سیستم داشته باشید که قادر باشد به هر نوع فایلی بچسبد، نیاز به ضدویروسی دارید که بتواند فایل‌های مختلف با پسوندهای مختلف را مورد بررسی قرار دهد. قبلاً تنها راه انتشار یک ویروس این بود که به فایل‌های برنامه‌ای بچسبد، اما امروزه این امکان وجود دارد که ویروس برای انتشار خودش از فایل‌های غیراجرایی نیز استفاه کند.
6- توانایی جلوگیری از فعالیت اسکریپت‌های مخرب را داشته باشد. بعضی از ویروس‌ها هستند که با استفاده از اسکریپت‌ها طراحی شده‌اند. کرم‌های I Love You از این نوع است.
موتور ضدویروس باید این قابلیت را داشته باشد که کدهای VBS و JS را شناسایی کند و در صورتی که آن‌ها را مخرب تشیخص دهد از فعالیتشان جلوگیری کند.
7- توانایی بررسی ضمیمه e-mail را داشته باشد.
امروزه بسیاری از ویروس‌ها توسط e-mail ‌انتشار پیدا می‌کنند.
بعضی از آن‌ها مانند کرم KAK حتی این توانایی را دارند تا در سیستم‌هایی که خوب پیکربندی نشده‌اند، بدون این‌که ضمیمه e-mail باز شود شروع به انتشار خود بنمایند.
8- قابلیت بررسی فایل‌های فشرده را نیز داشته باشد. اگر چه یک ویروس هنگامی که در یک فایل فشرده قرار دارد نمی‌تواند آسیبی به سیستم برساند ولی بهتر است است که اصلاً این ویروس در سیستم شما وجود نداشته باشد.
9- قابلیت این را داشته باشد که اسب‌های تراوا، جاوااپلت‌های مخرب و اکتیوایکس‌های مزاحم را شناسایی کند. نرم‌افزارهای ضدویروس نه تنها باید این قابلیت را داشته باشند که ویروس‌ها و کرم‌ها را شناسایی کنند بلکه باید بتوانند از فعالیت‌اسب‌های تراوا، اکتیویکس‌ها و اپلت‌های جاوا نیز جلوگیری کنند.
امروزه بیشتر ضدویروس‌ها دارای این خصوصیت می‌باشند.
3- نگهداری از نرم‌افزار
دو مورد زیر در نگهداری از نرم‌افزارهای ضدویروس قابل توجه هستند.
1- بروز کردن مداوم ضدویروس برای مقابله با ویروس‌های جدید.
در بخش‌های قبل لزوم بروز نگه‌داشتن بانک‌اطلاعاتی ضدویروس توضیح داده شد. بنابراین ضدویروس منتخب شما باید به ‌گونه‌ای باشد که به راحتی قابلیت روزآمد شدن را داشته باشد و علاوه‌‌‌برآن به‌طور مداوم رکوردهای این بانک اطلاعاتی زیاد شود. شما همچنین باید متوجه این مطلب باشید که از چه مکانیزم‌هایی جهت بروز نگه‌داشتن ضدویروس استفاده می‌شود. آیا نسخه‌های بروز شده بر روی وب سایت فروشندگان قرار دارد؟ و آیا به راحتی قابل دریافت می‌باشد؟ و آیا شما به راحتی می‌توانید از وجود یک ویروس جدید آگاهی یابید یا نه؟
اگر شما دارای ارتباط اینترنتی کم سرعتی باشید دریافت کردن این نرم‌افزار بسیار خسته‌کننده می‌باشد. این نکته نیز مهم است که در هر بار انجام این عمل باید فقط قسمت روزآمد شده نرم‌افزار دریافت شود.
نکته دیگر این‌که، نویسندگان ضدویروس‌ها چقدر سعی می‌کنند تا روش‌های جدیدی که برای تولید ویروس‌ها استفاده می‌شود بشناسند و در نرم‌افزار خود به کار گیرند؟
و نکته مهم‌تر این‌که از زمان خبر انتشار یک ویروس تا وقتی که نرم‌افزار ضدویروس برای این ویروس بروز شود چقدر طول می‌کشد؟
4- نرم‌افزارهای ضدویروس چقدر بر کارایی سیستم شما تأثیرگذار می‌باشند؟
همه نرم‌افزارهای ضد‌ویروس بر کارایی سیستم شما تأثیر می‌گذارند. اغلب اوقات اندازه‌گیری میزان این تأثیر سخت است ولی به هر حال به عنوان یک معیار مهم در انتخاب ضدویروس مطرح می‌باشد. پرسش‌های زیر در این مقوله مهم می‌باشند.
- آیا نرم‌افزار ضدویروس باعث کندتر شدن پروسه بوت سیستم شده است؟
- زمان دسترسی به یک فایل را افزایش داده است؟
پس برای انتخاب یک ضدویروس مناسب ناچارید که چند آزمایش را انجام دهید.
مثلاً می‌توانید زمانی که برای پویش‌های مختلف (تحت شرایط مختلف) توسط یک ضدویروس مصرف می‌شود را محاسبه کنید و در این مدت، زمان میانگین استفاده از حافظه و cpu را نیز اندازه‌گیری کنید.
یا این‌که زمانی که برای اسکن on-demand نیاز می‌باشد را برای محصولات مختلف اندازه‌گیری کنید.
یا این‌که وقتی که ضدویروس در حال پویشReal-time می‌باشد ببینید که باز کردن یک فایل بزرگ چقدر طول می‌کشد؟
توجه به این موضوع که محیط تست برای همه ضدویروس‌ها که مورد ارزیابی قرار می‌گیرند، مشابه باشد بسیار مهم است از جلمه این‌که:
حجم فایل‌ها و نوع فایل‌هایی که برای هر یک از ضدویروس‌ها مورد بررسی قرار می‌گیرد مهم است.
هر دو ضدویروس به یک ترتیب و روی یک سخت‌افزار پیکربندی شده باشند.
5- نرم‌افزار ضدویروس قابل کنترل باشد.
اگر شما نتوانید بر روی ضدویروس خود نظارت کامل داشته باشید مانند این است که ضدویروس ندارید.
شما باید بتوانید به‌طور مرتب (هر زمان که نیاز داشتید) و بدون زحمت زیادی بانک اطلاعاتی خود را کامل‌تر یا بروز کنید.
به راحتی بتوانید از سرورها خود و کلاینت‌های خود محافظت کنید و گزارش‌های نرم‌افزار ضدویروس را برای هر کدام از آن‌ها ببینید.
6- پشتیبانی ضدویروس همیشگی و موثر باشد.
فروشنده نرم‌افزار باید قادر باشد که پشتیبانی مورد نظر شما را انجام دهد. مطمئناً پشتیبانی که برای کاربر در خانه ارایه می‌شود با پشتیبانی که برای یک شرکت بزرگ انجام می‌شود با یکدیگر متفاوت هستند.
فروشنده برای پشتیبانی می‌تواند خدمات زیر را به شما ارایه دهد.
1- قادر باشد که شما را به صورت on-line پشتیبانی کند و اگر شک کردید که فایلی حاوی ویروس است، بتوانید آن را برای فروشنده ارسال کنید تا نظر خودش را راجع‌به فایل بیان کند.
اگر یک ویروس جدید شناخته شود، فروشنده باید بتواند این موضوع را به اطلاع شما برساند تا اقدامات لازم را برای خودتان، یا برای شبکه‌ای که شما مس‡وول آن هستید انجام دهید.
نتیجه‌گیری
هیچ‌کدام از نرم‌افزارهای ضدویروس بهترین نیستند. یک ضدویروس وقتی برای شما بهترین است که بتواند نسبت به نرم‌افزارهای دیگر به صورت کاملتری نیازهای شما را برآورده کند.
اطلاعاتی که فروشنده نرم‌افزار ارایه می‌کند همیشه خوب است ولی انتخاب ضدویروس نباید تنها براساس ادعاهای فروشنده باشد.
آنتی ویروسها جادو نمیکنند!
آنتی ویروسها محافظان سیستم های ما هستند. این گونه نرم افزارها میتوانند بنا به ساختمان برنامه ای خود, کنترل مرکزی سیستم را در دست گیرند و مواظب رفتار مشکوک یا برنامه های مخرب اجرایی بر روی سیستم ما باشند ولی با گسترش روابط, نمیتوانیم به صورت کامل روی آنها حساب کنیم زیرا این برنامه ها از حمله ویروسها در امان نیستند.
در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.
خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.
آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.
چند تکنیک آنتی ویروس Kaspersky: (از بهترین آنتی ویروسها)
1. تکنیک تله گذاری: در این روش آنتی ویروس توجه ویروس را به خود جلب می کند.
2. مخفی ماندن: وقتی ما آنتی ویروسی در کامپیوتر نصب میکنیم ویروسها در بین فایلها پنهان می شوند. در آنتی ویروس Kaspersky هیچ قسمتی از سیستم (نرم افزاری) متوجه نصب نمی شوند.
3. سیستم رادار: اطلاع رسانی به کاربران.
و ده ها تکنیک دیگر.
وب سایت ترفندستان، شماره 48 ماهنامه شبکه

مطالب مشابه ...




اموزش ویروس یابی

۲۱-۸-۱۳۹۰ ۰۱:۱۹ عصر
جستجو یافتن همه ارسال های کاربر اهدا امتیازاهدای امتیاز به کاربر پاسخ پاسخ با نقل قول
 سپاس شده توسط senior engineer

برای بروز رسانی تاپیک کلیک کنید


مطالب مشابه ...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  مقاله :گالیله سامانه ای نوین در موقعیت یابی ماهواره ای ta.soltani 0 98 ۸-۱۰-۱۳۹۲ ۰۲:۵۰ عصر
آخرین ارسال: ta.soltani
  اموزش حرکت دادن اشیااز راه دور (سایکوکنیسس) گلچین جاویددوست 0 587 ۲۴-۱۰-۱۳۹۰ ۱۲:۲۴ صبح
آخرین ارسال: گلچین جاویددوست
  اموزش نرم افزار Power point ♔ αϻἰг κнаη ♔ 0 632 ۲۴-۸-۱۳۹۰ ۱۲:۲۱ عصر
آخرین ارسال: ♔ αϻἰг κнаη ♔
  اموزش مقدماتی ویندوز ♔ αϻἰг κнаη ♔ 0 2,018 ۲۴-۸-۱۳۹۰ ۱۲:۱۹ عصر
آخرین ارسال: ♔ αϻἰг κнаη ♔

پرش به انجمن:

کاربرانِ درحال بازدید از این موضوع: 1 مهمان