• توجه: در صورتی که از کاربران قدیمی ایران انجمن هستید و امکان ورود به سایت را ندارید، میتوانید با آیدی altin_admin@ در تلگرام تماس حاصل نمایید.

لغات و اصطلاحات تخصصی آنتی ویروسها

N

Nethunter

متخصص بخش شبکه و اینترنت
ایجاد این تاپیک به دلایلی لازم بود که عرض میکنم

1 - در هر مبحثی دانستن معنی لغات و اصطلاحات تخصصی اون بحث برای فهمیدن هر چه بهتر موضوع امری اجتناب

ناپذیر است و اگر مامعنی کاربردی این اصطلاحات رو بلد نباشیم ، تقریبا میشه گفت که چیزی از اون موضوع نمیدونیم .

2 - میدونم که این لغات در سایت p30 توضیح داده شدن اما نه در یک جای مشخص ، خود من بارها برای پیدا کردن معنی

یک لغت مجبور شدم کلی وقت بذارم و گاهی اوقات هم نتیجه لازم رو نگرفتم .

به این دلایل فکرمیکنم اگه یه تاپیک رو به این موضوع اختصاص بدیم نتیجه خوبی داشته باشه ،

البته این امر میسر نمیشه مگر با کمک و همکاری همه عزیزان ،

از تمام دوستان تقاضا دارم که نقاط ضعف و کاستی ها رو با توضیحات تکمیلی و نظرات منتقدانه برطرف کنن ، ممنون


Heuristic Method ( روش کشف کننده ابتکاری )


این روش برای کشف ویروسهای جدید و ویروسهایی است که هنوز شناخته نشدند و امضای آنها وارد بانک اطلاعاتی

آنتی ویروس نشده است ،

Heuristic بیشتر مبتنی بر رفتار و اثر و عملکرد ویروس ها در سیستم است ، اگر یک دستور به صورت غیر متعارف انجام

شود یا قصد دستکاری یا تغییر یکی از اطلاعات حیاتی را داشته باشد از آن جلوگیری به عمل میآورد و آن را مورد بررسی

قرار میدهد ، Heuristic یک عملیات غیر الگوریتمیک و غیر قابل پیش بینی و هوشمندانه است .





Algorithmic Method ( روش محاسباتی و منظم و از پیش تعیین شده )

بر خلاف روش Heuristic در این روش کاملا از یک الگوریتم و مراحل مشخص ، واضح و متوالی برای شناسایی ویروسها

استفاده میشود ، آنتی ویروس از الگوریتم های از پیش تعریف شده برای شناسایی ویروسها استفاده میکند ، این مورد

بیشتر به دیتابیس آنتی ویروس بستگی داره .





Checksum Method ( روش کنترلی )

Checksum به نوعی شناسنامه هر فایل است و از اطلاعات آن فایل به صورت رمز شده به دست میآید ، هر گونه تغییر در

فایل موجب میشود که Checksum آن تغییر یابد ، ویروسها اغلب نام و اندازه Checksum فایل ها را تغییر میدهند ، تغییر

Checksum به راحتی صورت نمیگیرد و قابل شناسایی و رد گیری است ، در این روش Checksum فایلها و اطلاعات روی

سیستم بطور مرتب بررسی شده و اگر تغییری مشاهده شود به مرکز آنتی ویروس برای شناسایی و رد یابی گزارش

میشود .





Behavior Method ( روش اخلاقی و رفتاری )

در این روش بدافزارها از روی رفتاری که در سیستم دارند مورد شناسایی قرار میگیرند ، آنتی ویروسی که از این روش

استفاده کند باید هوشمند عمل کرده و بتواند هر تغییر یا دستور جدید را در سیستم ردگیری و مورد بررسی قرار دهد و از

کنار یکدیگر قرار دادن این دستورات و رفتارها متوجه شود که یک فایل ویروس است یا خیر .


Signature Method ( روش بررسی امضا )

هر ویروس دارای یک امضا یا Signature است ، یکی از روشهای معروف شناسایی ویروسها ، کشف امضای یک ویروس

در اطلاعات است ، هر آنتی ویروس دارای یک بانک اطلاعاتی از این امضاهای ویروسها است ، آنتی ویروس به طور مرتب

سیستم و کدهای نرم افزارها را برای یافتن یک امضا و مطابقت آن با رکورد امضاهای خود بررسی میکند .

منبع : با اندکی توضیحات اضافی ، از مجله عصر شبکه

خواهش میکنم دوستان هر واژه ای رو میتونن بیشتر توضیح بدهند و مطلب رو باز کنن و یا واژه ی جدیدی اضافه کنند، حتما لطف بفرمایند .

منبع:pca
 
N

Nethunter

متخصص بخش شبکه و اینترنت
شما چه يك متخصصIT باشيد و چه يك كاربر معمولي، ممكن است به دليل نداشتن اطلاعات صحيح براي انتخاب ضدويروس مناسب خود

با مشكل مواجه ميشويد. بنابراين بسيار مهم است كه بدانيد ضدويروسها چگونه كار ميكنند و در واقع عوامل مهم براي انتخاب آنها كدامند.



يك ضدويروس چگونه ويروسها را شناسايي ميكند؟

روشهاي مختلفي براي شناسايي ويروسها وجود دارد.

ويروسها ( بطور معمول ) چيزي بيشتر از كد يك برنامه نيستند. بنابراين اگر ما بدانيم كه هر كدي چه كاري انجام ميدهد قادر خواهيم بود كه

كد حامل ويروس را به محض رويت شناسايي كنيم.

اين كار اولين عملي است كه انجام ميگيرد و به نام Signature Matching معروف است.

نرمافزارهاي ضدويروس كه به اين روش كار ميكنند داراي يك بانك اطلاعاتي هستند كه شامل Virus signatureها است و به محض اينكه

كدي را ملاحظه كرد كه معادل يكي از ركوردها باشد آن را به عنوان ويروس شناسايي ميكند. به نظر ميرسد كه موثرترين راه براي كشف

ويروسها همين باشد. روش فوق ذاتاً به گونه اي است كه اول ويروس را شناسايي ميكند و بعد متناظر با آن يك ركورد (virus signature) به

بانك اطلاعاتي اضافه ميكند و حالا اگر ويروسي پيدا كند، در صورتيكه متناظر با اين ويروس ركوردي در بانك اطلاعاتي باشد قادر به شناسايي

آن خواهد بود و همين امر ايجاب ميكند شركتهايي كه از اين فناوري در نرم افزار خود استفاده ميكنند مدام آن را بروز نگه دارند. به هر حال

اين يك نقطه ضعف ميباشد و براي فائق آمدن بر آن دو روش ديگر در نرمافزارهاي ضدويروس معرفي شده است.



Heuristic method (روش مكاشفهاي)

فلسفه Heuristic اين است كه بتوانيم ويروسهايي را شناسايي كنيم كه هنوز Virus Signature آنها در بانك اطلاعاتي موجود نميباشد.

اين كار با استفاده از يك بانك اطلاعاتي كه ركوردهاي آن حاوي Virus behavior signature ميباشد قابل انجام است. ركوردهاي اين بانك

اطلاعات امضاي ويروس خاصي را نگهداري نميكنند بلكه بيشتر رفتارهاي (رفتار بد) ويروسها را ذخيره ميكنند. مثلاً اينكه هر كجا تشخيص

بدهند كدي قصد پاك كردن Boot Sector ( منطقه بوت ) را دارد از آن جلوگيري ميكنند.



● تكنولوژي Heuristic كد هر برنامه را با Virus behavior Signature مقايسه میكند و مورد آناليز قرار میدهد

که آن را روش static heuristic ميناميم.

● در بعضي مواقع اين تكنولوژي قطعه كد را در يك ماشين مجازي اجرا ميكند تا نتايج رفتاري آن را ببيند به اين روش dynamic heuristic

ميگوييم. اين روش ممكن است نتايج غلطي نيز توليد كند.



Integrity checksum (جامعيت سرجمع)

در روش integrity checksum، فرض براين است كه ويروس قصد اعمال تغييراتي در فايل دارد. مثلاً يك ويروس ميخواهد كه روي يك فايل

چيزي بنويسد يا اينكه خودش را به آخر فايلي اضافه كند. در اين روش نرم افزار checksum فايل غيرويروسي و يا درايورهاي تميز را ذخيره

ميكند و هرگاه كه تغييري در اين checksum مشاهده شود متوجه ميشود كه احتمال دارد ويروسي اين كار را انجام داده باشد. در اين روش

نيز احتمال توليد نتايج غلط وجود دارد. اين روش در مقابله با ويروسهاي ماكرويي يا ويروسهاي مانند code Red كه بدون اينكه در هيچ فايلي

ذخيره شوند در حافظه بارگذاري و اجرا ميشوند، كارايي چنداني ندارد.



اگر يك كد مزاحم از تمام الگوريتمهاي يك ضدويروس كه تاكنون نام برديم بگذرد، در گام آخر توسط فناوري ديگري به نام Activity Blocker از

فعاليت آن جلوگيري ميشود. اين تكنولوژي از تمام فعاليتهايي كه ممكن است توسط يك كد مخرب صورت بپذيرد جلوگيري ميكند مثلاً اگر

تشخيص دهد كه هاردديسك در حال فرمت شدن است از آن جلوگيري ميكند.



يك ضدويروس چه موقع ويروسها را شناسايي ميكند؟

معمولاً ضدويروسها به دو روش ميتوانند ويروسها را شناسايي كنند.

در روش اول ضدويروس، به صورت Real Time (بلادرنگ) و همان موقع كه فايل مورد دسترسي قرار ميگيرد عمل ميكند. در اين روش،

ضدويروس درون حافظه مقيم ميشود و تمام فعاليتهاي مربوط به سيستم را مورد ارزيابي و بررسي قرار ميدهد. اين نرم افزارها با همكاري

سيستم عامل متوجه ميشوند كه هم اكنون قرار است فايلي مورد دسترسي قرار بگيرد. سريعاً اين فايل را بررسي و نتيجه را گزارش

ميدهند. به اين روش on-access ميگويند. مزيت اين روش در ارايه يك حفاظت دايمي است ولي اشكالي كه دارد اين است كه تنها فايلها را

به هنگام دسترسي مورد بررسي قرار ميدهد. يعني احتمالاً اگر ويروسي در يك فايل قرار گرفته باشد و در ديسك ذخيره شده باشد، با اين

روش قابل شناسايي نيست.


در روش دوم اين امكان به كاربر داده ميشود كه خودش نرم افزار ضدويروس را براي بررسي كردن ديسك يا يك فايل به كمك بگيرد. براي

اينكه فعاليت فوق بازده بهتري داشته باشد بايد ضدويروس را طوري تنظيم كرد كه در دوره هاي زماني معين اقدام به اسكن كند. اين روش

به on-demand معروف است.

منبع:pca
 
برای ارسال پاسخ شما باید وارد سیستم شوید.
بالا