مقایسه آنتی ویروس ارائه لایسنس اورجینال آنتی ویروس | لایسنس فا

مقایسه آنتی ویروس لایسنس آنتی ویروس اورجینال لایسنس آنتی ویروس و خرید آنتی ویروس اورجینال لایسنس آنتی ویروس آویرا اینترنت سکیوریتی اینترنت سکیوریتی ای وی جی نود 32

ضد ویروس ، ویروس های کامپیوتری (قسمت ۳)

مخفی کاری

برای جلوگیری از شناسایی شدن توسط کاربر ویروس ها از استراژی های مختلفی استفاده می کنند. برخی ویروس های قدیمی، خصوصا تحت سیستم عامل داس (MS-DOS)، از اینکه “آخرین تغییرات سیستم” نسبت به زمان آلوده شدن فایل ها تغییری نکند اطمینان حاصل می کنند. البته این ترفند نمی تواند ضد ویروس ها را گمراه کند خصوصا آن هایی که چرخه تاریخ سیستم را چک می کنند.

برخی از ویروس ها فایل ها را بدون تغییر حجم و آسیب زدن به آن آلوده می کنند. آن ها این کار را با دوباره نویسی بخش های خالی فایل های اجرایی می کنند. این نوع ویروس ها را ویروس های حفره کن می نامند. برای مثال ویروس سی آی اچ (CIH virus) یا ویروس چرنوبیل (Chernobyl Virus)، فایل های اجرایی قابل حمل را آلوده می کنند. چرا که این نوع فایل ها فضای خالی فراوانی را در بر می گیرند که باعث می شود حتی یک کیلوبایت هم به حجم فایل اضافه نشود.

برخی ویروس ها تلاش می کنند فعالیت ضد ویروس را قبل از شناسایی شدن توسط آن متوقف کنند. (برای مثال کانفلیکر (Conficker)).

با پیشرفت سیستم های عامل مخفی کاری ویروس ها نیز باید ارتقا پیدا کنند یا عوض شود. محافظت از یک سیستم گاهی اوقات شامل جلوگیری از دسترسی فایل های سیستمی به هر شکل شود.

ایجاد وقفه در اجازه خوانده شدن

در حالی که تولید کنندگان ضد ویروس روش های مختلفی را برای جلوگیری از مخفی شدن ویروس بکار می برند باز هم با آلوده شدن سیستم، پاک کردن آن از ویروس کار مطمینی نیست. در سیستم عامل مایکروسافت ویندوز (Microsoft Windows) فایل های NTFS فایل های اختصاصی سیستم عامل محسوب می شوند. به همین علت ضد ویروس ها برای خواندن آن ها از سیستم عامل در خواست اجازه می کنند. بعضی ویروس ها با متوقف کردن این پیام ها ضد ویروس را گمراه می کنند. یک ویروس با متوقف کردن اجازه خوانده شدن توسط ضد ویروس، خود یک درخواست به سیستم عامل می فرستد و یک نسخه سالم از فایل را برای خوانده شدن توسط ضد ویروس می سازد. این کار می تواند با تزریق کد به فایل های سیستم عامل انجام شود. در این صورت ضد ویروس اجازه بررسی (خواندن) فایل آلوده را پبدا نمی کند و یا این اجازه برای فایل سالم تولید شده توسط ویروس صادر می شود.

تنها روش مطمین برای جلوگیری از مخفی شدن ویروس بوت کردن از فایل های سالم شناخته شده است. نرم افزار امنیتی می تواند برای بررسی فایل های خاموش (ساکت) سیستم عامل نیز استفاده شود. اکثر نرم افزار های امنیتی به دنبال نشانه هایی از ویروس می گردند یا به اکتشاف در پی آن ها می پردازند.

همچنین این نرم افزار های امنیتی می توانند یک پایگاه داده برای فایل های سیستم بسازند تا بتوانند فایل های حساس را شناسایی و با اجازه از ویندوز آن ها را با دیگر نسخه های معتبر جایگزین کنند. در نسخه های قدیمی تر ویندوز فایل های هش ویندوز می توانستند بارنویسی شوند تا بررسی کننده فایل های سیستم فایل خطرناک قلمداد شده را سالم در نظر بگیرد در نتیجه در بررسی فایل های هش احتمال پیدا نکردن یک فایل آلوده وجود داشت. (فایل های هش فایل هایی هستند که با تابعی به نام هش کد گزاری می شوند تا امنیت آن ها و سرعت خوانده شدنشان بالا برود.)

خود متغیر

اکثر ضد ویروس های مدرن با یک مسیر مشخص به دنبال ردپای ویروس درون برنامه های معمولی می گردند. متاسفانه ردپای یک ویروس از یک انسان متفاوت است. مثلا ضد ویروس به دنبال یک سری از بایت های خاص می گردد چرا که به ویروس بودن شناخته شده اند. یک راه بهتر، “جست و جوی رشته” ای است. ضد ویروس های مختلف از رشته ها و روش های مختلف برای یافتن ویروس استفاده می کنند. اگر ضد ویروس پس از بررسی نشانه های معمول یک ویروس را پیدا کند قبل از هشدار به کاربر با روش های دیگری نیز فایل را بررسی می کند تا یک فایل سالم بخاطر یک اشتباه آلوده شناخته نشود. کاربر می تواند فایل های آلوده را حذف، پاک سازی یا ترمیم کند. برخی ویروس ها از تکنیک هایی استفاده می کنند که شناسایی شدن از طریق نشانه یا ردپای آن ها را دشوار می کند. این ویروس ها با هر بار آلوده کردن کد های خود را تغییر می دهند. در نتیجه هر فایل آلوده کد های متفاوتی نسبت به دیگری درون خود دارد.

ویروس های رمزگذاری شده

یکی از روش های شناسایی نشدن از روی نشانه یا رد پا رمزگذاری بدنه ویروس است که تنها یک نمونه رمزگذاری شده از ویروس و کد رمزگشایی آن با هر بار سرایت تغییر نمی کند. در این موارد ویروس شامل یک قسمت رمزگشایی شده و یک نمونه رمزگذاری شده از ویروس می باشد. اگر ویروس برای هر فایل آلوده یک کد رمزگشایی متفاوت داشته باشد تنها بخشی از آن که تغییر نمی کند نمونه کدگشایی شده است که به انتهای آن اضافه می گردد. در این شرایط ضد ویروس نمی تواند مستقیما ویروس را از روی نشانه یا ردپای آن شناسایی کند اما می تواند مدل رمزگشایی شده را بیابد که خود احتمال غیر مستقیم حضور ویروس را می دهد. از آن جایی که ممکن است کلید های یکسان درون هاست آلوده شده وجود داشته باشند احتمال دارد بتوان ویروس اصلی را رمزگشایی کرد که البته الزامی نیست اما کدهای خود متغییر در شرایط خاص باعث می شوند ضد ویروس ها به فایل ها برچسب مشکوک بزنند. برای یک کد خود تغییری یک حرکت مشکوک است در نتیجه کدگذاری یا رمزگشایی ممکن است بخشی از نشانه های یک ویروس باشد. یک راه ساده و قدیمی که نیازی به کد رمزگشایی ندارد (وقتی کدگذاری با چند عمل ریاضی بدون پارامتر انجام می شود) مانند افزایش یا کاهش کد، برعکس کردن کد، محاسبات خنثی و مهندسی معکوس است.

برخی از ویروس های رمزگذاری شده در شرایط خاصی خود را رمزگشایی می کنند مانند وقتی که ضد ویروس برای ارتقا خود از کار می افتد یا سیستم باز راه اندازی (Reboot) می شود. به این عمل کریپتوویرولوژی (Cryptovirology) می گویند. در زمان گفته شده ویروس خود را رمزگشایی و اجرا، ردپای خود را پنهان و در برخی مواقع ضد ویروس را از کار می اندازد.

کد دگردیس (چند ریخت)

کد دگردیس اولین تکنیکی است که خطر جدی برای ضد ویروس بحساب می آید. مانند یک ویروس معمولی رمزگذاری شده یک ویروس دگردیس فایل ها را با یک نسخه رمزگذاری شده از خود آلوده می کند که با یک کد کلیدی رمزگشایی می شوند. با این تفاوت که ویروس های دگردیس نمونه رمزگشایی شده خود را نیز تغییر می دهند. یک ویروس دگردیس خوب هیچ قسمت یکسانی در فایل های آلوده کرده ندارد که باعث می شود شناسایی آن از طریق نشانه یا ردپا کاری به مراتب سخت تر باشد. ضد ویروس ها می توانند با استفاده از یک شبیه ساز یا آنالیز الگوی ساختاری بدنه نمونه رمزگذاری شده ویروس را شناسایی کنند. برای داشتن یک کد دگردیس ویروس بایستی از یک موتور دگردیس ( همچنین بنام موتور متغییر نیز شناخته می شود) در بدنه رمزگذاری شده خود استفاده کند.

بعضی ویروس ها به نحوی کد را تغییر (یا جهش) می دهند که احتمال شناسایی آن کمتر باشد. برای مثال یک ویروس می تواند به نحوی برنامه ریزی شود که تغییرات آن به کندی و به مرور زمان باشد یا تا زمانی که یک نسخه از خود را در فایل آلوده کپی نکرده است شروع به تغییر نکند. هدف از این کار گمراه کردن محققین ویروس شناس در به دست آوردن یک نمونه مشخص از ویروس است چرا که فایل های طعمه آلوده شده در ابتدا بجای نسخه نهایی و اصلی ویروس شامل نسخه عینی یا مشابه آن هستند. با این کار شناسایی ویروس توسط ضد ویروس سخت تر شده و ممکن است بخش های مهمی از ویروس بتوانند از دید ضد ویروس پنهان بمانند.

ویروس هایی نیز وجود دارند که غیرقابل شناسایی نام دارند. این نوع از ویروس ها جزیی از دسته ویروس های دگردیس هستند که هیچ ردپا یا نشانه ای از خود نشان نمی دهند مگر اینکه در مرحله دگردیسی دچار اشتباه شوند.

کد ابردگردیس

برای جلوگیری از شبیه سازی شدن برخی ویروس ها با هر بار آلوده کردن یک فایل اجرایی خود را به کلی از نو می نویسند (می سازنند). این نوع از ویروس ها ابردگردیس نام دارند. برای ابردگردیسی به یک موتور ابردگردیس نیاز است. این نوع ویروس ها معمولا بسیار حجیم و پیچیده هستند. برای مثال ویروس W32/Simile از ۱۴۰۰۰ خط، کد به زبان اسمبلی تشکیل شده که ۹۰% آن بخش موتور آن را تشکیل می دادند.

 


برچسب ها: , , , ,