اعطای نمایندگی فعال فروش محصولات، در کلیه ی شهر های کشور. شرایط استثنایی و سود قابل قبول . . .

برای کسب اطلاعات بیشتر این بخش را ملاحظه نمایید

مشاهده ی لیست نمایندگان فروش

مدرسه یار سنکا

سامانه اطلاع رسانی ویژه مراکز آموزشی، با قابلیت ارسال کارنامه، رتبه بندی. امکان ارسال کارنامه توسط پیام کوتاه

سامانه تحت وب ارسال پیام کوتاه

با قابلیت ارسال پیام های گروهی و زمان بندی شده به صورت خودکار. مناسب برای مراکز آموزشی، بیمه ها و سایر دفاتر

شما هم یک وبسایت داشته باشید!web-design

وبسایت حرفه ای: اداری،تجاری و شخصی،قیمت استثنایی + هاست و دامین رایگان

ویروس و ضد ویروس

مقالات آموزشی - مقالات مفید

ويروس‌ و ضدويروس‌: جنگي بي‌پايان! (قسمت دوم)
توفيق رمضان‌نيا
مرداد ماه 87 شماره 43 (مجله رایانه خبر)

اشاره :
در اين مقاله قصد داريم شما را با تکنيک‌هاي پايه‌اي که در همان روز‌هاي اوليه شکل‌گيري ضدويروس‌ها بکار گرفته مي‌شد (و هنوز هم مورد استفاده قرار مي‌گيرد) آشنا سازيم.


ضدويروس‌هاي اوليه
در قسمت گذشته به روند و مراحل تکامل ويروس‌هاي کامپيوتري پرداختيم و ديدم چگونه ويروس نويسان با روش‌ها و تکنيک‌هاي گوناگوني سعي در پيشي گرفتن از سازندگان ضدويروس‌ها داشته‌اند. مشخصاً‌ طرف ديگر ماجرا يعني سازندگان ضدويروس‌ها و بطور کلي صنعت امنيت IT هم بيکار ننشسته است و روز به روز با خلق فنون جديد سعي در مقابله با بدافزارها دارد.

نسل اوليه ضدويروس‌ها
در اولين سال‌هاي شکل‌گيري ضدويروس‌ها، تکنيک‌هاي بسيار ساده‌ شناسايي ايستا (Static Detection) بر مبناي شناسه ويروس (Virus Signature) بکار گرفته مي‌شد. بدين ترتيب که سازندگان ضدويروس‌ها با جمع‌آوري ويروس‌ها و بررسي و آناليز هر يک از آنها،‌ پايگاه داده‌اي ايجاد مي‌کردند. رکوردهاي موجود در اين پايگاه‌ها، شناسه ويروس‌ها نام داشتند. بدين ترتيب که شمايلي از کد و ساختار ويروس و روش پاک‌سازي، به عنوان يک رکورد ثبت مي‌شد. در آن روز‌ها تنها مبناي قدرت ضدويروس‌ها تعداد رکوردهايي بود که آنها در پايگاه‌داده‌اي محصول‌شان داشتند.

نقص‌ها و مشکلات
مشکل اصلي و عمده ضدويروس‌هاي اوليه عدم بگارگيري حفافظت همزمان بحساب مي‌آمد. به بيان ديگر ضدويروس تنها يک نرم‌افزاري بود که با اجرا شدن‌شان کاربران مي‌توانستند پارتيشن و يا فولدرهاي خاصي را اسکن کرده و از وجود و عدم وجود ويروس در سيستم مطلع شوند. حال آن‌که هيچ گارد و محافظي وجود نداشت که در صورت اجرا شدن فايل حامل ويروس،‌ جلوي دستيابي آن‌را بصورت اتوماتيک، به سيستم مسدود کند.
مشکل بعدي که روش‌هاي سنتي براي کاربران ايجاد مي‌کردند، عدم به‌روزرساني پايگاه‌داده‌اي ضدويروس‌ها بود. اين مشکل باعث مي‌شد سيستم در مقابل ويروس‌هاي تازه منتشر شده، هيچ دفاعي نداشته باشد و ميزان احتمال آلوده شدن سيستم‌ها بشدت افزايش يابد.

اولين و موثرترين اقدام
در اوسط دهه 90 ميلادي سازندگان ضدويروس در گامي بسيار موثر ساختار نرم‌افزاري برنامه‌هاي‌شان را دگرگون کردند. بدين ترتيب که ضدويروس‌ها ديگر فقط يک اسکنر بحساب نمي‌آمدند. بلکه از اين بعد نرم‌افزاري بودند که مي‌توانستند روي سيستم نصب شده و با استفاده از تکنکيک‌هاي شناسايي On-Access بر تمامي فعاليت‌هاي سيستم اعم از خواندن، نوشتن و کپي داده‌ها کنترل داشته باشند. از طرفي ديگر همانطور که ويروس‌ها با همه‌گير شدن اينترنت سرعت شيوع بالاتري پيدا کرده بوند، سازندگان ضدويروس‌ها هم راه سريع‌تري براي رساندن جديدترين شناسه‌ها به پايگاه داده‌اي محصول‌شان يافته بوند. از اين‌رو هر دو مشکل قبل با اين ابتکار عمل بر طرف شد.

عملکرد ضدويروس‌ها
بطور کلي ضدويروس‌ها از همان ابتداي وجود تا به امروز، سه مکانيزم اصلي را براي مقابله با ويروس‌ها دارند:
شناسايي: اصول و پايه‌اي‌ترين گام براي مقابله با بدافزارها، شناسايي آنها است. زيرا هر فرآيندي زماني قابل استفاده خواهد بود که کد آلوده شناسايي شود.
تعيين نوع: گام بعدي پس از شناسايي کد، تعيين نوع آن است. بدين ترتيب که هر زمان عمليات تطبيق سازي کد با شناسه‌اي انجام پذيرد،‌ نوع شناسه با نوع ويروس (و ديگر بدافزارها) هم تطبيق خواهد يافت و در نتيجه نوع کد‌آلوده تعيين خواهد شد.
آلوده‌زدايي: آخرين مرحله در اين سيکل، پاک‌سازي و يا همان آلوده‌زدايي ويروس است. مشخصاً اين مرحله وابسته به دو گام گذشته است. زيرا اول بايد کدآلوده شناسايي شود، سپس نوع آن تعيين شده و در مرحله آخر با توجه به دستورالعمل‌ها، پاک‌سازي شود.
با بيان اين مقدمه، تکنيک‌هاي شناسايي ويروس‌ها را بررسي خواهيم کرد.

شناسايي ايستا (Static Detection)
همانطور که از نام آن پيدا است اصول و مبناي اين روش استفاده از تکنيک‌هاي ايستا است. به اين‌ ترتيب که کدها بدون اجرا شدن، بررسي شده و با شناسه‌ها موجود مقايسه خواهند شد. در صورت تطبيق کد با شناسه‌هاي مورد نظر، مکانيزم عملکرد ضدويروس فعال خواهد شد (شناسايي/تعيين نوع/آلوده‌زدايي)

اسکنرها
همانطور که گفته شد در روش‌هاي مبنتني بر شناسايي ايستا، اساس کار را بررسي کننده‌‌ها انجام مي‌دهند. اين بررسي کننده‌ها در اصطلاح اسکنرها
(Scanners) نام دارند که در دو حالت گوناگون کدها را مورد ارزيابي قرار مي‌دهند.

اسکنر بمحض نياز (On-Demand Scanner): در اين حالت اسکنر با دستور کاربر و بنا به نياز وي فعال مي‌شود. نوع و دامنه اين اسکن کاملاً بستگي به شرايط تعيين شده توسط کاربر خواهد داشت. بطور مثال اسکن کامل هاردديسک، اسکن بخشي از هاردديسک و ...
اسکنر همزمان (On-Access Scanner): اين اسکنر بوسيله سيستم‌هاي محافظتي همزمان (Real time Protection) روي سيستم فعال مي‌شود و در هنگام فعاليت‌هاي سيستم تمامي کدهاي در حال اجرا و انتقال را مورد ارزيابي قرار مي‌دهد.

روش‌هاي تکاملي اسکنرها
مشحضاً‌ در ابتداي دوران استفاده از اسکنرها، روش‌ها و تکنيک‌هاي بسيار ساده‌اي بکار گرفته مي‌شد. بطور مثال پايگاه‌داده ضدويروس‌هايِ اوليه عددي حدود 100 رکورد را در خود جاي مي‌دادند (يعني قابليت شناسايي 100 ويروس را داشتند). به همين دليل عمليات شناسايي و تطبيق‌سازي بدون استفاده از تکنيک‌هاي خاص قابل استفاده بود. اما با گذشت زمان و افزايش حجم داده‌ها، ديگر اين روش‌هاي سنتي جوابگو نبودند. بطور مثال فرض آنکه هزاران رکورد با يک ورودي بطور همزمان بررسي شوند تقريباً غيرممکن بنظر مي‌رسيد. به همين دليل الگوريتم‌هاي اسکن براي حل اين مشکل مورد استفاده قرار گرفتند.

الگوريتم‌هاي اسکنر
ورورد الگوريتم در مکانيزم اسکن يکي از مهم‌ترين پارامترهاي بهينه‌سازي به حساب مي‌آمد. زيرا اولاً عمليات اسکن، مجموعه‌‌اي از شناسه‌ها بطور همزمان روي يک ورودي امکان پذير مي‌شد و از طرف ديگر سرعت اين عمليات بسيار بالاتر از روش‌هاي سنتي بود. سه الگوريتم معروف عبارتند از:

آهوـ کورسيک (Aho-Corasick)
اين الگوريتم براي اولين بار در سال 1975 ايجاد شد. در حقيقت در اين روش اسكنر به دنبال شناسه‌هايي مي‌گردد كه از تركيب چندين بايت متفاوت باشند. بطور کلي در اين روش شناسه‌ها در يک سيستم درختي چيدمان مي‌شوند و با قرار گيري هر ورودي، مسيرهاي اين درخت از گره‌ اوليه تا انتهاي برگ‌هاي مورد نظر (يا آخرين گره‌ها از الگوريتم) طي خواهد شد. اين سيستم باعث مي‌شد يک ورودي بطور مجزا و موازي در چند مسير حرکت کرده و تا زماني که عمل عدم تطبيق و يا تطبيق‌سازي صورت پذيرد سيکل ادامه يابد.

ولدومان (Veldman)
در اين روش سيستم جستجوي خطي (Liner search) روي مجموعه شناسه‌ها صورت مي‌پذيرد. يعني تمامي ورودي‌ها بصورت لايه به لايه مورد بررسي قرار مي‌گيرند. اصول كلي اين الگوريتم به اين ترتيب است كه مجموعه‌اي از شناسه‌ها آنقدر بصورت مرحله‌اي مورد جستجو قرار مي‌گيرند تا عمليات شناسايي به سطح قابل كنترلي برسد. بطوريکه وردوي‌ها يا با شناسه‌اي منطبق شوند و يا اين عمل صورت نپذيرد.
نکته: در اين مدل، از حركت موازي (كه از عملكردهاي آهوـ كورسيك است) استفاده نخواهد شد.

وئو ـ مَن‌بِر (Wu-Manber)
اصول اوليه و پايه‌اي اين الگوريتم با ولدمان يكي است، يعني هردوي اين الگوريتم‌ها از روش جستجوي خطي روي مجموعه محدودي از شناسه‌ها بهره مي‌برد. اما تفاوت ميان اين دو روش، جلوگيري وئوـ من‌بر از ورود بايت‌هايي است كه ممکن است فقط در ظاهر شباهت با شناسه‌ها داشته باشند. با اين روش امکان بروز خطا در شناسايي يا همان False Positive کاهش مي‌يابد. ضمناً يکي ديگر از امتيازات اين روش، سربار کمتر آن روي سيستم، نسبت به دو حالت قبل به دليل فيلترينگ اوليه قبل از ورود به چرخه تطبيق سازي است.

اکنون که با روش‌هاي شناسايي اوليه و الگوريتم‌ها آشنا شده‌ايد توصيه مي‌کنيم مطلب شماره آينده را هم مطالعه فرماييد تا با تکنيک‌هاي جديد شناسايي ضدويروس‌ها نيز آشنا شويد.

منبع: مجله رایانه خبر

< قبلی   بعدی >
طراحی شده و توسعه یافته توسط بخش فناوری اطلاعات شرکت ایده پردازان فرازگام (با مسئولیت محدود) - © 1390