آنتی ویروس چگونه کار میکند؟
آنتی ویروس یک برنامهی قدرتمند و ضروری برای کامپیوترهای ویندوزی است. اگر تا به حال به این فکر کردهاید که برنامههای آنتی ویروس چگونه ویروسها را شناسایی میکنند و آیا اسکن منظم برای پیدا کردن ویروسها ضروری است، ادامهی این مطلب را بخوانید.
اسکن لحظهای
یک آنتی ویروس در پسزمینهی سیستم اجرا میشود و هر فایلی را که باز میکنید بررسی میکند. زمانی که بر روی یک فایل EXE دو بار کلیک میکنید، شاید به نظر میرسد که فایل در لحظه اجرا میشود. اما در حقیقت آنتی ویروس ابتدا آن برنامه را با بانکی از ویروسها و انواع بدافزارها مقایسه میکند. علاوه بر مقایسه با ویروسهای شناخته شده، آنتی ویروسها رفتار برنامهها را هم زیرنظر قرار میگیرند تا اگر رفتار مشکوکی از آنها سر بزند، این موضوع را بررسی بیشتری میکند. زیرا مطمئنا برخی ویروسها در ابتدا شناخته شده نیستند ولی با بررسی رفتارهای صورت گرفته از برنامهها، تا حد زیادی میتوان جلوی آنها را گرفت.
آنتی ویروسها همچنین انواع فایلها را برای پیدا کردن ویروسها بررسی میکنند. بهعنوان مثال یک فایل ZIP یا حتی فایل ورد ممکن است حاوی ویروس خطرناک باشد. همانطور که این فایلها هم قبل از باز شدن با سرعت زیادی توسط آنتی ویروس بررسی میشوند. اگرچه میتوانید این قابلیت اسکن آنی آنتی ویروس را غیرفعال کنید، اما انجام چنین کاری معمولا توصیه نمیشود. زیرا برخی از ویروسها از حفرههای امنیتی موجود در سیستمعامل بهره میبرند و در نتیجه بعد از فعال شدن، ممکن است آنتی ویروس آنها را پیدا نکند.
اسکن کامل سیستم
به دلیل وجود قابلیت اسکن لحظهای، معمولا اسکن کامل سیستم چندان ضروری نیست. این یعنی اگر ویروس به هر نحوی وارد سیستم شما شود، آنتی ویروس معمولا در همان لحظه میتواند حضور ویروس را تشخیص دهد و دیگر نیازی به اسکن دستی سیستم ندارید.
با این حال اسکن کامل سیستم برای برخی شرایط میتواند مثمر ثمر واقع شود. بهعنوان مثال زمانی که تازه آنتی ویروس نصب کردهاید، با اسکن کامل سیستم از نبود ویروس در کامپیوتر خود اطمینان حاصل میکنید. از سوی دیگر، بسیاری از آنتی ویروسها معمولا حداقل هفتهای یک بار به طور کامل سیستم را اسکن میکنند. با این کار برنامه میتواند حتی ویروسهای غیرفعال موجود در سیستم را هم پیدا کند.
از سوی دیگر اگر قصد دارید هارد سیستم خود را به یک کامپیوتر دیگر وصل کنید، در این صورت اسکن کامل هارد توصیه میشود. با این حال روی هم رفته در شرایط معمول نیازی به اسکن دستی ندارید زیرا آنتی ویروس در کنار اسکن لحظهای، به طور مرتب سیستم را به طور کامل اسکن میکند.
بانک اطلاعاتی ویروسها
آنتی ویروس موجود در کامپیوتر برای تشخیص ویروسها باید از یک بانک اطلاعاتی استفاده کند که در آن مشخصات تمام ویروسهای شناخته شده قرار دارد. به همین خاطر معمولا آنتی ویروسها حداقل یک بار در روز آپدیت میشوند. زمانی که آنتی ویروس متوجه میشود یک فایل مشخصات یکی از ویروسهای ثبت شده در بانک اطلاعاتی را در اختیار دارد، آن را در قرنطینه قرار میدهد. با توجه به تنظیمات آنتی ویروس، ممکن است آن فایل به طور خودکار حذف شود یا اینکه به کاربر اجازه دهد فایل را از قرنطینه خارج کند.
شرکتهای توسعهدهندهی آنتی ویروسها با بهرهگیری از روشهای مختلف، همواره به دنبال شناسایی ویروسهای جدید هستند و بخش بزرگی از این فرایند به طور خودکار انجام میشود.
یادگیری ماشینی
از دیگر ویژگیهای جذاب آنتی ویروسها باید به بهرهگیری از مدلهای یادگیری ماشینی برای شناسایی ویروسهای جدید اشاره کنیم. این مدلها با استفاده از میلیونها ویروس و بدافزار ایجاد شدهاند تا ویژگیهای مشترک آنها مشخص شود. به همین خاطر حتی اگر یک بدافزار یا ویروس در بانک اطلاعاتی قرار نداشته باشد، آنتی ویروس میتواند بسیاری از ویروسهای جدید را پیدا کند.
بهعنوان مثال اگر آنتی ویروس متوجه شود که یکی از فایلها میخواهد کد خود را در فایلهای EXE قرار گرفته در بخشهای مختلف سیستم قرار دهد، چنین فرایندی تشخیص داده میشود و جلوی فعالیت ویروس گرفته میشود. البته هیچ آنتی ویروسی بینقص نیست و به همین خاطر ممکن است چنین اقداماتی فشار زیادی به سیستم وارد کنند یا اگر مدلهای یادگیری ماشینی به درستی ایجاد نشده باشند، شاید برخی نرمافزارها بدون مشکل بهعنوان ویروس در نظر گرفته شوند.
مثبت کاذب
با توجه به حجم عظیم ویروسها، گاهی اوقات یک فایل یا برنامهی کاملا بدون مشکل بهعنوان ویروس شناخته می شود. به چنین فرایندی «مثبت کاذب» گفته میشود. گاهی اوقات آنتی ویروسها حتی فایلهای سیستمی که همراه با سیستمعامل ارائه میشوند هم بهعنوان ویروس در نظر میگیرند. با این حال روی هم رفته معمولا چنین اتفاقی بهندرت رخ میدهد. بنابراین زمانی که آنتی ویروس یک فایل را بهعنوان ویروس شناسایی میکند، در بیشتر مواقع بهتر است به این تشخیص اعتماد کنید.
اگر هم از ویروسی بودن فایل یا برنامهی خود مطمئن نیستید، میتوانید آن را در سایت Virustotal آپلود کنید که زیرمجموعهی گوگل محسوب میشود. این سایت فایلها را با دقت اسکن میکند و سپس نشان میدهد که آنتی ویروسهای مختلف چه نظری برای این فایلها دارند.
در همین رابطه باید خاطرنشان کنیم با توجه به اینکه کاربران ایرانی از نسخهی غیرقانونی بسیاری از برنامهها استفاده میکنند، برای کرک کردن آنها باید راهکارهای غیرقانونی استفاده شود. اگرچه برخی همواره توصیه میکنند که به هیچ عنوان این روشهای غیرقانونی نباید استفاده شود، اما با توجه به قیمت بالای این نرمافزارها عملا چارهای جز بهرهگیری از این روش وجود ندارد. معمولا آنتی ویروسها برنامههای مربوط به کرک را بهعنوان بدافزار در نظر میگیرند. به همین خاطر اگر از منبعی که نرمافزار را دانلود کردهاید مطمئن هستید، قبل از نصب و کرک کردن برنامهها توصیه میشود که آنتی ویروس را غیرفعال کنید. همچنین اگر فایلهای مربوط به کرک بهعنوان ویروس شناخته شوند، باید این فایلها را از قرنطینه خارج کنید.
درصد تشخیص
آنتی ویروسهای مختلف در زمینهی نرخ تشخیص تفاوتهایی دارند که این موضوع به مدلهای یادگیری ماشینی و بانک اطلاعات آنها برمیگردد. در همین زمینه برخی سازمانها و سایتها به طور مرتب نرخ تشخیص آنتی ویروسها را با هم مقایسه میکنند. یکی از این سایتها av-comparatives است که به طور مرتب در این زمینه تستهای مختلفی را انجام میدهد.
روی هم رفته در این زمینه شاهد بالا و پایین رفتن آنتی ویروسها در جدول مربوط به نرخ تشخیص هستیم.به همین خاطر برای مقایسهی عملکرد آنتی ویروسهای مختلف میتوانید از این سایت استفاده کنید.
سخن آخر
روی هم رفته آنتی ویروسها برنامههای بسیار پیچیدهای هستند. با وجود اینکه بسیاری از شرکتها کاربران را به خرید آنتی ویروسها ترغیب میکنند، اما واقعیت این است که ویندوز به طور پیشفرض از آنتی ویروس بسیار خوبی بهره میبرد که تمام نیازهای کاربران معمولی را پوشش میدهد. به همین خاطر خرید آنتی ویروس فقط زمانی ارزش دارد که بهعنوان مثال فایلهای بسیار حساسی در سیستم خود دارید یا از نظر امنیتی همواره در خطر هستید. اما در کل برای عموم کاربران، آنتی ویروس پیشفرض سیستم کافی است.
منبع: How To Geek
