برنامهٔ امنیتی کامپیوتری برای جلوگیری، کشف و حذف نرمافزارهای مخرب From Wikipedia, the free encyclopedia
نرمافزار ضد ویروس یا پاد ویروس (به انگلیسی: Anti-Virus) که با نام نرمافزار آنتیویروس (به اختصار نرمافزار AV) نیز شناخته میشود، یک برنامهٔ کامپیوتری است که برای جلوگیری، کشف و حذف نرمافزارهای مخرب استفاده میشود.
این مقاله ممکن است حاوی ترجمهٔ تقریبی از زبانی دیگر باشد و ممکن است کل یا بخشی از متن آن توسط یک رایانه یا مترجمهای ماشینی تولید شده باشد. |
این مقاله نیازمند ویکیسازی است. لطفاً با توجه به راهنمای ویرایش و شیوهنامه، محتوای آن را بهبود بخشید. |
در ابتدا نرمافزار ضدویروس برای شناسایی و از بین بردن ویروسهای رایانهای، ساخته شد. با این حال، با گسترش انواع دیگر بدافزارها، نرمافزار ضدویروس شروع به محافظت از سایر تهدیدهای رایانهای کرد. بهطور خاص، نرمافزارهای ضدویروس مدرن میتوانند کاربران را در برابر موارد زیر محافظت کنند: اشیاء مخرب مرورگر (BHOs)، هواپیماربایان مرورگر، باجافزارها، کیلاگرها، درهای پشتی سختافزاری، روتکیتها، تروجانها، کرمها، LSPهای مخرب، شمارهگیرها، کلاهبرداریها، ابزارهای تبلیغاتی مزاحم و جاسوسافزارها. برخی از محصولات همچنین شامل محافظت در برابر تهدیدهای رایانهای دیگر، مانند URLهای آلوده و مخرب، حملات ناخواسته و فیشینگ، هویت آنلاین (حفظ حریم خصوصی)، حملات بانکی آنلاین، تکنیکهای مهندسی اجتماعی، تهدید مداوم پیشرفته (APT) و حملات باتنت DDoS است.[1]
اگرچه ریشههای ویروس رایانهای از سال ۱۹۴۹ شروع میشود، زمانی که دانشمند مجارستانی جان فون نویمان «نظریهٔ اتوماتیک خود بازتولید» را منتشر کرد، اولین ویروس رایانهای شناختهشده در سال ۱۹۷۱ ظاهر شد و «ویروس خزنده» نام گرفت. این ویروس رایانهای، رایانههای اصلی PDP-10 Digital Equipment Corporation (DEC) که دارای سیستم عامل TENEX هستند را آلوده کردهاست.
ویروس Creeper سرانجام توسط برنامهای که توسط Ray Tomlinson ایجاد شده و به "The Reaper" معروف است حذف شد. برخی افراد "The Reaper" را اولین نرمافزار ضدویروسی میدانند که ممکن است چنین باشد، اما مهم است که توجه داشته باشید که Reaper در واقع یک ویروس بودهاست که بهطور خاص برای حذف ویروس Creeper طراحی شدهاست.
ویروس Creeper توسط چندین ویروس دیگر دنبال شد. اولین موردی که در طبیعت ظاهر شد "Elk Cloner" بود که در سال ۱۹۸۱ رایانههای اپل ۲ را آلوده کرد.
در سال ۱۹۸۳، عبارت "ویروس رایانهای" توسط فرد کوهن در یکی از اولین مقالات آکادمیک منتشر شده در مورد ویروسهای رایانهای ابداع شد. کوهن از واژهٔ "ویروس رایانهای" برای توصیف برنامههایی استفاده میکند که: "سایر برنامههای رایانهای را با تغییر آنها به گونهای که شامل یک نسخهٔ (احتمالاً تکامل یافته) از خود باشد، تحت تأثیر قرار میدهد." (توجه داشته باشید که جدیدتر و دقیقتر است)، تعریف ویروس کامپیوتری توسط محقق امنیتی مجارستانی Péter Szőr ارائه شدهاست: "کدی که به طور بازگشتی یک نسخهٔ احتمالاً تکاملیافتهٔ خود را تکرار میکند").
اولین ویروس رایانهای IBM PC "سازگار با طبیعت" و یکی از اولین آلودگیهای گستردهٔ واقعی "Brain" در سال ۱۹۸۶ بود. از آن زمان، تعداد ویروسها بهطور تصاعدی افزایش یافتهاست. بیشتر ویروسهای رایانهای که در اوایل و اواسط دههٔ ۱۹۸۰ نوشته شده بودند، محدود به تولید مثل خود بودند و هیچگونه آسیب روتین خاصی در کد وجود نداشت. وقتی برنامهنویسان بیشتر با برنامهنویسی ویروسهای رایانهای آشنا شدند و ویروسهایی ایجاد کردند که دادههای رایانههای آلوده را دستکاری یا حتی از بین میبرد، تغییر کرد.
قبل از گسترش اتصال اینترنت، ویروسهای رایانهای معمولاً توسط فلاپی دیسکهای آلوده پخش میشدند. نرمافزار ضدویروس، مورد استفاده قرار گرفت، اما به ندرت به روز شد. در این مدت ، کنترلکنندههای ویروس اساساً باید فایلهای اجرایی و بخشهای راهاندازی فلاپی دیسکها و هارد دیسکها را بررسی میکردند. با این حال، با رایج شدن استفاده از اینترنت، ویروسها به صورت آنلاین شروع به گسترش کردند.
ادعاهای رقابتی برای مبتکر اولین محصول ضدویروس وجود دارد. احتمالاً، اولین حذف عمومی مستند ویروس رایانهای "در طبیعت" (یعنی "ویروس وین") توسط برند فیکس در سال ۱۹۸۷ انجام شد.
در سال ۱۹۸۷، Andreas Lüning و Kai Figge، که G Data Software را در ۱۹۸۵ تأسیس کردند، اولین محصول ضدویروس خود را برای پلتفرم Atari ST منتشر کردند. در سال ۱۹۸۷، Ultimate Virus Killer (UVK) نیز منتشر شد. این عملاً قاتل ویروس استاندارد صنعت Atari ST و Atari Falcon بود، آخرین نسخهٔ آن (نسخه ۹٫۰) در آوریل ۲۰۰۴ منتشر شد.[نیازمند منبع] در سال ۱۹۸۷، در ایالات متحده، جان مکآفی شرکت مکآفی را تأسیس کرد (بخشی از Intel Security بود) و در پایان همان سال اولین نسخهٔ VirusScan را منتشر کرد. همچنین در سال ۱۹۸۷ (در چکسلواکی)، پیتر پاشکو، رودولف هروبا و میروسلاو ترنکا اولین نسخهٔ ضدویروس ناد را ایجاد کردند.
در سال ۱۹۸۷، فرد کوهن نوشت که هیچ الگوریتمی وجود ندارد که بتواند تمام ویروسهای رایانهای را بهطور کامل تشخیص دهد.
سرانجام، در پایان سال ۱۹۸۷، دو ابزار اولیهٔ ضدویروس ابتکاری منتشر شد: Flushot Plus توسط راس گرینبرگ و Anti4us توسط اروین لانتینگ. راجر گرایمز در کتاب O'Reilly خود، Malicious Code Code: Virus Protection for Windows , Flushot Plus را به عنوان "اولین برنامهٔ جامع برای مبارزه با کد مخرب تلفن همراه (MMC)" توصیف کرد.
با این حال، نوع ابتکاری مورد استفاده در موتورهای ضدویروس اولیه کاملاً متفاوت از موتورهای امروزی بود. اولین محصول با موتور اکتشافی شبیه موتورهای مدرن F-PROT در سال ۱۹۹۱ بود. موتورهای ابتکاری اولیه مبتنی بر تقسیم دوتایی به بخشهای مختلف بودند: بخش داده، بخش کد (در یک باینری مشروع، معمولاً همیشه از یک مکان شروع میشود).
در واقع، ویروسهای اولیه طرحبندی بخشها را مجدداً سازماندهی میکنند، یا قسمت اولیهٔ یک بخش را لغو میکنند تا به انتهای پروندهای که کد مخرب در آن قرار داشت بپردازند فقط برای ازسرگیری اجرای کد اصلی بازمیگردند.
این یک الگوی بسیار خاص بود که در آن زمان توسط هیچ نرمافزار قانونی استفاده نمیشد، که نشاندهندهٔ یک روش ابتکاری برای گرفتن کد مشکوک بود. انواع دیگری از روشهای اکتشافی پیشرفته بعداً اضافه شد، مانند نام بخش مشکوک، اندازهٔ هدر نادرست، عبارات منظم و الگوی جزئی در تطبیق حافظه.
در سال ۱۹۸۸، رشد شرکتهای ضدویروس ادامه یافت. در آلمان، Tjark Auerbach برنامه Avira (H+BEDV در آن زمان) را تولید کرد و اولین نسخه AntiVir (که در آن زمان "Luke Filewalker" نام داشت) را منتشر کرد.
در بلغارستان، Vesselin Bontchev اولین برنامهٔ ضدویروس رایگان خود را منتشر کرد (بعداً به FRISK Software پیوست). همچنین Frans Veldman اولین نسخه از ThunderByte Antivirus را که به TBAV نیز معروف است منتشر کرد (او در سال ۱۹۹۸ شرکت خود را به Norman Safeground فروخت). در چکسلواکی، پاول بائودیچ و ادوارد کوسرا آواست را شروع کردند. (در آن زمان نرمافزار ALWIL) و اولین نسخهٔ آواست خود را منتشر کردند. در ژوئن ۱۹۸۸، در کرهٔ جنوبی، Ahn Cheol-Soo اولین نرمافزار ضدویروس خود را با نام V1 منتشر کرد (او AhnLab را بعداً در ۱۹۹۵ تأسیس کرد).
سرانجام، در پاییز ۱۹۸۸، در بریتانیا، آلن سلیمان S&S International را تأسیس کرد و جعبه ابزار ضدویروس دکتر سلیمان خود را ایجاد کرد (اگرچه او آن را در سال ۱۹۹۱ به صورت تجاری راه اندازی کرد-در سال ۱۹۹۸ شرکت سلیمان توسط مکآفی خریداری شد).
در نوامبر ۱۹۸۸، پروفسوری در دانشگاه پان آمریکا در مکزیکوسیتی به نام Alejandro E. Carriles اولین نرمافزار ضدویروس را در مکزیک تحت نام "Byte Matabichos" (Byte Bugkiller) برای کمک به حل آلودگی ویروس شایع در بین دانشآموزان محفوظ داشت.
همچنین در سال ۱۹۹۸ یک لیست پستی به نام VIRUS-L در شبکه BITNET/EARN شروع شد که در آن ویروسهای جدید و امکانات تشخیص و حذف ویروسها مورد بحث قرار گرفت. برخی از اعضای این فهرست پستی عبارت بودند از: آلن سلیمان، یوجین کسپرسکی (آزمایشگاه کسپرسکی)، فریریک اسکالاسون (نرمافزار FRISK)، جان مک آفی (مک آفی)، لوئیس کرونز (پاندا سکیوریتی)، میکو هیپنن (F-Secure)، پتر سور، Tjark اوئرباخ (آویرا) و وسلین بونچف (نرمافزار FRISK).
در سال ۱۹۸۹، در ایسلند، Friðrik Skúlason اولین نسخه از F-PROT Anti-Virus را ایجاد کرد (او FRISK Software را فقط در ۱۹۹۳ تأسیس کرد). در همین حال، در ایالات متحده، سیمنتک (توسط گری هندریکس در ۱۹۸۲ تأسیس شد) اولین آنتیویروس سیمنتک خود را برای مکینتاش (SAM) راه اندازی کرد.
SAM 2.0، که در مارس ۱۹۹۰ منتشر شد، از فناوری استفاده میکرد که به کاربران اجازه میداد به راحتی SAM را برای رهگیری و حذف ویروسهای جدید، از جمله بسیاری از آنها که در زمان انتشار برنامه وجود نداشت، به روز کنند.
در پایان دهه ۱۹۸۰، در بریتانیا، جان هروسکا و پیتر لامر شرکت امنیتی Sophos را تأسیس کردند و اولین محصولات ضدویروس و رمزگذاری خود را تولید کردند. در همان دوره، در مجارستان، VirusBuster نیز تأسیس شد (که اخیراً توسط Sophos ادغام شدهاست).
در سال ۱۹۹۰، در اسپانیا، میکل اوریزاربارنا پاندا سکیوریتی (آن زمان نرمافزار پاندا) را تأسیس کرد. در مجارستان، محقق امنیتی پتر سزار نسخهٔ اول ضدویروس پاستور را منتشر کرد. در ایتالیا، Gianfranco Tonello نسخهٔ اول ضدویروس VirIT eXplorer را ایجاد کرد، سپس یک سال بعد TG Soft را تأسیس کرد.
در سال ۱۹۹۰، سازمان تحقیقات ضدویروس رایانهای (CARO) تأسیس شد. در سال ۱۹۹۱، CARO «طرح نامگذاری ویروس» را منتشر کرد، که در ابتدا توسط Friðrik Skúlason و Vesselin Bontchev نوشته شدهاست. اگرچه این طرح نامگذاری اکنون منسوخ شدهاست، اما این تنها استاندارد موجود است که اغلب شرکتهای امنیتی رایانه و محققان تاکنون سعی در اتخاذ آن داشتهاند. اعضای CARO شامل: آلن سلیمان، کاستین رایو، دیمیتری گریازنوف، یوجین کسپرسکی، فریریک اسکلاسون، ایگور موتویک، میکوکو هیپنن، مورتون شناگر، نیک فیتز جرالد، پیجت پترسون، پیتر فرری، ریگارد زویننبرگ و وسلیننتونت
در سال ۱۹۹۱، در ایالات متحده، سیمنتک نسخهٔ اول ضدویروس نورتون را منتشر کرد. در همان سال، در جمهوری چک، جان گریتباخ و تامو هوفر AVG Technologies را تأسیس کردند (در آن زمان Grisoft)، اگرچه آنها اولین نسخه از گارد ضدویروس خود (AVG) را فقط در سال ۱۹۹۲ منتشر کردند. از طرف دیگر، در فنلاند، F-Secure (در سال ۱۹۸۸ توسط پتری آلاس و ریستو سییلاسما - با نام Data Fellows تأسیس شد) اولین نسخه از ضدویروس خود را منتشر کرد. F-Secure ادعا میکند که اولین ضدویروس است که حضور در شبکه جهانی وب را تأسیس میکند.
در سال ۱۹۹۱، مؤسسهٔ اروپایی تحقیقات ضدویروس رایانهای (EICAR) برای تحقیقات بیشتر در مورد ضدویروس و بهبود پیشرفت نرمافزار ضدویروس تأسیس شد.
در سال ۱۹۹۲، در روسیه، ایگور دانیلوف اولین نسخهٔ SpiderWeb را منتشر کرد که بعداً به دکتر وب تبدیل شد.
در سال ۱۹۹۴، AV-TEST گزارش داد که ۲۸۶۱۳ نمونهٔ بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.
با گذشت زمان شرکتهای دیگری تأسیس شدند. در سال ۱۹۹۶، در رومانی، Bitdefender تأسیس شد و اولین نسخهٔ ضدویروس eXpert (AVX) را منتشر کرد. در سال ۱۹۹۷، در روسیه، یوجین کسپرسکی و ناتالیا کسپرسکی شرکت امنیتی Kaspersky Lab را تأسیس کردند.
در سال ۱۹۹۶، اولین ویروس لینوکس "در وحشی" نیز وجود داشت که با نام "Staog" شناخته میشد.
در سال ۱۹۹۹، AV-TEST گزارش داد که ۹۸۴۲۸ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.
در سال ۲۰۰۰، Rainer Link و Howard Fuhs اولین موتور ضدویروس منبع باز را بهنام OpenAntivirus Project راهاندازی کردند.
در سال ۲۰۰۱، Tomasz Kojm اولین نسخهٔ ClamAV را منتشر کرد، اولین موتور ضدویروس منبع باز است که به بازار عرضه میشود. در سال ۲۰۰۷، ClamAV توسط Sourcefire خریداری شد که به نوبه خود در سال ۲۰۱۳ توسط سیسکو سیستمز خریداری شد.
در سال ۲۰۰۲، در انگلستان، Morten Lund و Theis Søndergaard با تأسیس شرکت ضدویروس BullGuard تأسیس کردند.
در سال ۲۰۰۵، AV-TEST گزارش داد که ۳۳۳٬۴۲۵ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.
در سال ۲۰۰۷، AV-TEST تعداد ۵٬۴۹۰٬۹۶۰ نمونه بدافزار جدید (بر اساس MD5) را فقط برای آن سال گزارش داد. در سال ۲۰۱۲ و ۲۰۱۳، ضدویروسها گزارش کردند که نمونه بدافزارهای جدید بین ۳۰۰۰۰۰ تا بیش از ۵۰۰۰۰۰ در روز است.
با گذشت سالها، لازم است نرمافزار ضدویروس از چندین استراتژی مختلف (مانند ایمیل خاص و حفاظت از شبکه یا ماژولهای سطح پایین) و الگوریتمهای تشخیص استفاده و همچنین بررسی انواع فایلی بهجای فقط اجرایی به دلایل مختلف استفاده کند.
در سال ۲۰۰۵، F-Secure اولین شرکت امنیتی بود که یک فناوری Anti-Rootkit ایجاد کرد، به نام بلک لایت.
از آنجا که بیشتر کاربران معمولاً بهطور مداوم به اینترنت متصل هستند، جان اوبرهید برای اولین بار یک طرح ضدویروس مبتنی بر ابر را در سال ۲۰۰۸ پیشنهاد داد.
در فوریهٔ سال ۲۰۰۸ آزمایشگاههای مکآفی اولین عملکرد ضدویروس مبتنی بر ابر را در صنعت تحت نام Artemis به VirusScan اضافه کردند. این آزمایش توسط AV-Comparatives در فوریهٔ ۲۰۰۸ مورد آزمایش قرار گرفت و بهطور رسمی در اوت ۲۰۰۸ در McAfee VirusScan رونمایی شد.
Cloud AV مشکلاتی را برای آزمایش مقایسهای نرمافزارهای امنیتی ایجاد کرد - بخشی از تعاریف AV از کنترل تسترها (روی سرورهای شرکت AV که بهطور مداوم به روز میشوند) نتیجهای غیرقابل تکرار میداد. در نتیجه، سازمان معیارهای تست ضد بدافزار (AMTSO) شروع به کار بر روی روش آزمایش محصولات ابری کرد که در ۷ مه ۲۰۰۹ پذیرفته شد.
در سال ۲۰۱۱، AVG سرویس ابری مشابه را با نام Protective Cloud Technology معرفی کرد.
پس از انتشار گزارش APT 1 از Mandiant در سال ۲۰۱۳، این صنعت شاهد تغییر رویکردهای کمتر امضایی برای مسئلهای است که قادر به شناسایی و کاهش حملات صفر روز است. رویکردهای بیشماری برای پرداختن به این اشکال جدید تهدیدات از جمله تشخیص رفتاری، هوش مصنوعی، یادگیری ماشین و منفجر شدن پرونده مبتنی بر ابر ظاهر شدهاست. به گفته گارتنر، پیشبینی میشود ظهور ورودیهای جدید، از جمله Carbon Black , Cylance و Crowdstrike، شرکتکنندگان EPP را به مرحله جدیدی از نوآوری و کسب مجبور کند. یک روش از Bromium شامل میکرو مجازیسازی برای محافظت از رومیزی در برابر اجرای کد مخرب است که توسط کاربر نهایی آغاز میشود. رویکرد دیگر SentinelOne و Carbon Black بر ایجاد تشخیص رفتاری با ایجاد زمینه ای کامل در هر مسیر اجرای فرایند در زمان واقعی متمرکز است، در حالی که سیلانوس از مدل هوش مصنوعی مبتنی بر یادگیری ماشین استفاده میکند. بهطور فزاینده، این رویکردهای کمتر امضا توسط رسانهها و بنگاههای تحلیلی به عنوان ضدویروس «نسل بعدی» تعریف شدهاند و شاهد تصویب سریع بازار به عنوان فن آوریهای معتبر جایگزینی ضدویروس توسط شرکتهایی مانند Coalfire و DirectDefense هستند. در پاسخ، فروشندگان ضدویروسهای سنتی مانند Trend Micro , سیمنتک و Sophos با درج پیشنهادهای «نسل بعدی» در پرتفوی خود پاسخ دادهاند زیرا شرکتهای تحلیلگر مانند فارستر و گارتنر ضدویروسهای سنتی مبتنی بر امضاها را «ناکارآمد» و «منسوخ» خواندهاند.[1]
یکی از معدود نتایج نظری جامد در بررسی ویروسهای رایانهای، نشان دادن فردریک کوئن در ۱۹۸۷ است که هیچ الگوریتمی وجود ندارد که بتواند کاملاً ویروسهای احتمالی را تشخیص دهد. با این وجود، با استفاده از لایههای مختلف دفاعی، میتوان میزان تشخیص خوبی حاصل کرد.
چندین روش وجود دارد که موتور ضدویروس میتواند برای شناسایی بدافزارها از آنها استفاده کند:
نرمافزار آنتیویروس سنتی برای شناسایی بدافزار به شدت به امضاها متکی است.
بهطور اساسی، هنگامی که یک بدافزار به دست یک شرکت ضدویروس میرسد، توسط محققان بدافزار یا سیستمهای آنالیز پویا آنالیز میشود. سپس، پس از مشخص شدن بدافزار، امضای مناسب فایل استخراج شده و به پایگاه داده امضاهای نرمافزار ضدویروس اضافه میشود.
اگرچه رویکرد مبتنی بر امضا میتواند حاوی شیوع بدافزارها باشد، اما نویسندگان بدافزار سعی کردهاند با نوشتن "oligomorphic" , "polymorphic" و اخیراً ویروسهای "دگردیسی"، که بخشی از خود را رمزگذاری میکنند، قدم جلوتر از چنین نرمافزاری بمانند. خود را به عنوان روشی برای مبدل اصلاح کنید تا امضای ویروس در فرهنگ لغت مطابقت نداشته باشد.
بسیاری از ویروسها به عنوان یک آلودگی واحد شروع میشوند و از طریق جهش یا اصلاح توسط مهاجمان دیگر، میتوانند به دهها سویه کمی متفاوت، به نام انواع مختلف تبدیل شوند. تشخیص عمومی به تشخیص و رفع تهدیدات متعدد با استفاده از یک تعریف ویروس واحد اشاره دارد.
به عنوان مثال، تروجان Vundo بسته به طبقهبندی فروشندهٔ ضدویروس، دارای چندین عضو خانواده است. سیمنتک اعضای خانوادهٔ Vundo را به دو دستهٔ مجزا، Trojan.Vundo و Trojan.Vundo.B طبقهبندی میکند.
در حالی که ممکن است شناسایی یک ویروس خاص سودمند باشد، اما میتوان خانوادهٔ ویروس را از طریق امضای عمومی یا از طریق یک مسابقهٔ غیرمستقیم به یک امضای موجود سریعتر تشخیص داد. محققان ویروس مناطق مشترکی را پیدا میکنند که همهٔ ویروسهای یک خانواده بهطور منحصر به فرد در آن سهیم هستند و بنابراین میتوانند یک امضای عمومی مشترک ایجاد کنند. این امضاها غالباً حاوی کد غیرهمگرا هستند و از شخصیتهای کارت ویزیت که در آن اختلافات وجود دارد استفاده میکنند. این کارتهای وحشی به اسکنر این امکان را میدهد تا ویروسها را حتی اگر با کد اضافی و بیمعنی خالی باشد شناسایی کند. گفته میشود تشخیصی که از این روش استفاده میکند «کشف اکتشافی» است.
نرمافزار ضدویروس میتواند برای اسکن کردن روتکیتها اقدام کند. روتکیت نوعی نرمافزار مخرب است که برای بهدست آوردن کنترل سطح اداری بر روی یک سیستم رایانهای بدون اینکه شناسایی شود، طراحی شدهاست. روتکیتها میتوانند نحوهٔ عملکرد سیستم عامل را تغییر دهند و در برخی موارد میتوانند با برنامهٔ ضدویروس دستکاری کرده و آن را ناکارآمد کنند. حذف روتکیتها نیز دشوار است. در بعضی موارد نیاز به نصب مجدد کامل سیستم عامل است.
محافظت در زمان واقعی، اسکن از دسترسی، محافظ پسزمینه، سپر ساکن، محافظت از خودکار و سایر مترادفها به حفاظت خودکار ارائه شده توسط بیشتر ضدویروسها، ضد جاسوسافزارها و سایر برنامههای ضد بدافزار اشاره دارد. این سیستم، سیستمهای رایانهای را برای فعالیتهای مشکوک مانند ویروسهای رایانهای، نرمافزارهای جاسوسی، نرمافزارهای تبلیغاتی مزاحم و سایر اشیاء مخرب در «زمان واقعی» نظارت میکند، به عبارت دیگر در حالی که دادههای موجود در حافظهٔ فعال رایانه: هنگام وارد کردن سیدی، باز کردن ایمیل یا مرور وب یا هنگامی که یک پرونده در رایانه باز یا اجرا شدهاست.[1]
برخی از موافقتنامههای مجوز کاربر نهایی نرمافزار ضدویروس شامل بندهایی هستند که اشتراک بهطور خودکار تمدید میشود و کارت اعتباری خریدار به صورت خودکار در زمان تمدید بدون تأیید صریح صورتحساب میشود. به عنوان مثال، مکآفی از کاربران میخواهد حداقل ۶۰ روز قبل از انقضاء اشتراک فعلی، اشتراک خود را لغو کنند در حالی که بیتدیفندر ۳۰ روز پیش از تمدید، اعلانهایی را برای لغو اشتراک در این زمینه ارسال میکند. ضدویروس نورتون همچنین اشتراکها را بهصورت پیشفرض بهطور خودکار تجدید میکند.
برخی از برنامههای ضدویروس آشکار در واقع تروجان به عنوان یک نرمافزار مجاز، مانند WinFixer , MS Antivirus و Mac Defender در معرض خطر قرار دارند.
«نادرست مثبت» یا «هشدار کاذب» وقتی است که نرمافزار ضدویروس یک پروندهٔ غیر مخرب را به عنوان بدافزار شناسایی میکند. وقتی این اتفاق بیفتد، میتواند مشکلات جدی ایجاد کند. به عنوان مثال، اگر یک برنامهٔ ضدویروس پیکربندی شدهاست که بلافاصله پروندههای آلوده را حذف یا قرنطینه کند، همانطور که در برنامههای ضدویروس مایکروسافت ویندوز معمول است، یک مثبت کاذب در یک فایل ضروری میتواند سیستم عامل ویندوز یا برخی برنامهها را غیرقابل استفاده کند. بازیابی چنین آسیبهایی در زیرساختهای نرمافزاری بحرانی، هزینههای پشتیبانی فنی را متحمل میشود و شرکتها میتوانند مجبور به بستن شوند در حالی که اقدامات درمانی انجام شدهاست.
نمونههایی از موارد مثبت مثبت:
بر این اساس که نورتون / سیمنتک این کار را برای هر یک از سه نسخهٔ آخر Pegasus Mail انجام دادهاست، ما فقط میتوانیم این محصول را به عنوان استفادهٔ بیش از حد بیعیب و نقص محکوم کنیم و با قویترین توصیه، توصیه میکنیم که کاربران ما استفاده از آن را به نفع جایگزین متوقف کنند.
اجرای (محافظت در زمان واقعی) چندین برنامهٔ ضدویروس بهطور همزمان میتواند عملکرد را کاهش داده و درگیری ایجاد کند. با این حال، با استفاده از یک مفهوم به نام multiscanning، چندین شرکت (از جمله نرمافزار جی دیتا و مایکروسافت) برنامههایی ایجاد کردهاند که میتوانند همزمان چندین موتور را اجرا کنند.
گاهی لازم است هنگام نصب به روزرسانیهای اصلی مانند Windows Service Pack یا به روزرسانی درایورهای کارت گرافیک، محافظت از ویروس را بهطور موقت غیرفعال کنید. محافظت از ضدویروس فعال ممکن است تا حدی یا کاملاً مانع از نصب یک بهروزرسانی بزرگ شود. نرمافزار ضدویروس میتواند هنگام نصب یک سیستم عامل ارتقاء سیستم عامل، به عنوان مثال مشکلاتی ایجاد کند. هنگام بهروزرسانی به نسخهٔ جدید ویندوز «در محل» - با پاک کردن نسخهٔ قبلی ویندوز. مایکروسافت توصیه میکند تا نرمافزار ضدویروس غیرفعال شود تا از درگیری با روند نصب بهروزرسانی جلوگیری کند. نرمافزار ضدویروس فعال همچنین میتواند در فرایند بهروزرسانی سیستم عامل اختلال ایجاد کند.
عملکرد چند برنامهٔ رایانهای را میتوان با نرمافزار فعال ضدویروس مختل کرد. به عنوان مثال، TrueCrypt، یک برنامهٔ رمزگذاری دیسک، در صفحهٔ عیبیابی خود اعلام میکند که برنامههای ضدویروس میتوانند با TrueCrypt در تضاد بوده و باعث نقص آن شوند یا بسیار کند عمل کنند. نرمافزار ضدویروس میتواند عملکرد و پایداری بازیهای در حال اجرا در سکوی استیم را مختل کند.
مشکلات پشتیبانی همچنین در مورد قابلیت همکاری برنامهٔ ضدویروس با راه حلهای رایج مانند دسترسی از راه دور SSL VPN و محصولات کنترل دسترسی به شبکه وجود دارد. این راه حلهای فناوری اغلب دارای برنامههای ارزیابی سیاست هستند که به نصب و راهاندازی ضدویروس به روز نیاز دارند. اگر برنامهٔ ضدویروس با ارزیابی خط مشی شناخته نشود، چه بهخاطر اینکه برنامهٔ ضدویروس به روز شده باشد یا بهخاطر اینکه جزئی از کتابخانهٔ ارزیابی خط مشی نیست، کاربر قادر به اتصال نخواهد بود.
مطالعات انجام شده در دسامبر ۲۰۰۷ نشان داد که کارایی نرمافزار ضدویروس در سال گذشته کاهش یافتهاست، بهویژه در مقابل حملات ناشناخته یا روز صفر. مجلهٔ رایانه متوجه نشدهاست که میزان ردیابی این تهدیدات از ۴۰–۵۰٪ در سال ۲۰۰۶ به ۲۰ تا ۳۰٪ در سال ۲۰۰۷ کاهش یافتهاست. در آن زمان، تنها استثنا ضدویروس ناد۳۲ بود، که میزان تشخیص آن ۶۸٪ بود. . براساس وب سایت ردیاب ZeuS، میانگین میزان ردیابی برای انواع مختلف تروجان مشهور ZeuS به میزان ۴۰ درصد است.
مشکل با تغییر هدف نویسندگان ویروس بزرگتر میشود. چند سال پیش واضح بود که عفونت ویروس وجود دارد. در آن زمان، ویروسها توسط آماتورها نوشته شده و رفتارهای مخرب یا پاپ آپها را به نمایش میگذاشتند. ویروسهای مدرن اغلب توسط متخصصان نوشته میشوند، که توسط سازمانهای جنایی تأمین میشوند.
در سال ۲۰۰۸، اوا چن، مدیرعامل Trend Micro اظهار داشت که صنعت ضدویروس بیش از حد کاربرد محصولات خود را افزایش داده و سالهاست که مشتریان را گمراه کردهاست.
آزمایش مستقل در تمام اسکنرهای اصلی ویروس بهطور مداوم نشان میدهد که هیچیک تشخیص ۱۰۰٪ ویروس را ارائه نمیدهند. بهترین آنهایی که تشخیص ۹۹٫۹٪ در موقعیتهای شبیهسازی شده در دنیای واقعی داشتند، در حالی که کمترین آن ۹۱٫۱٪ را در تستهای انجام شده در اوت ۲۰۱۳ انجام دادهاست. بسیاری از اسکنرهای ویروس نتایج مثبت کاذب و همچنین شناسایی پروندههای سالم را به عنوان بدافزار ارائه میدهند.
اگرچه این روشها ممکن است متفاوت باشند، برخی از آژانسهای تست کیفیت قابل توجه مستقل شامل AV-Comparatives، آزمایشگاههای ICSA، آزمایشگاههای ساحل غربی، بولتن ویروس، AV-TEST و سایر اعضای سازمان استاندارد تستهای ضد بدافزار هستند.
برنامههای ضدویروس همیشه در برابر ویروسهای جدید مؤثر نیستند، حتی آنهایی که از روشهای غیر امضایی استفاده میکنند که باید ویروسهای جدید را تشخیص دهند. دلیل این امر این است که طراحان ویروس ویروسهای جدید خود را بر روی برنامههای اصلی ضدویروس آزمایش میکنند تا مطمئن شوند که قبل از رها شدن آنها به سمت وحشی شناسایی نشدهاند.
برخی از ویروسهای جدید، به ویژه باجافزار، از کد چندشکلی استفاده میکنند تا از شناسایی اسکنرهای ویروس جلوگیری کنند. جروم سگورا، یک تحلیلگر امنیتی با ParetoLogic، توضیح داد:
این چیزی است که آنها زمان زیادی را از دست میدهند، زیرا این نوع [ویروس ransomware] از سایتهایی تهیه میشود که از پلیمورفیسم استفاده میکنند، به این معنی که آنها اساساً پرونده ای را که برای شما ارسال میکنند تصادفی میکنند و بهراحتی توسط ضدویروسهای معروف شناخته میشوند. من دیدهام که مردم دست اول آلوده میشوند، همه پاپ آپ میکنند و هنوز نرمافزار ضدویروس در حال اجرا هستند و چیزی را کشف نمیکنند. در واقع خلاص شدن از این نیز میتواند بسیار سخت باشد و هرگز مطمئن نیستید که واقعاً از بین رفتهاست. وقتی چیزی شبیه به آن را میبینیم، معمولاً توصیه میکنیم سیستم عامل را مجدداً نصب کنید یا از پشتیبانگیری مجدداً نصب کنید.
اثبات ویروس مفهومی از واحد پردازش گرافیک (GPU) برای جلوگیری از شناسایی نرمافزارهای ضدویروس استفاده کردهاست. موفقیت احتمالی این امر شامل دور زدن واحد پردازش مرکزی به منظور آن است که محققان امنیتی بتوانند عملکرد داخلی چنین بدافزارها را تجزیه و تحلیل کنند.
تشخیص ریشهها یک چالش مهم برای برنامههای ضدویروس است. روتکیتها دسترسی کامل به رایانه دارند و برای کاربران نامرئی هستند و از لیست فرایندهای در حال اجرا در مدیر وظیفه مخفی هستند. روتکیتها میتواند عملکرد داخلی سیستم عامل را تغییر داده و برنامههای ضدویروس را دستکاری کند.
اگر یک فایل به ویروس رایانهای آلوده شده باشد، نرمافزار ضدویروس سعی خواهد کرد تا هنگام پاکسازی، ویروس کد را از پرونده خارج کند، اما همیشه نمیتواند پرونده را به وضعیت آسیب دیده خود برگرداند. در چنین شرایطی، پروندههای آسیب دیده فقط میتوانند از پشتیبانگیریهای موجود یا کپیهای سایه بازیابی شوند (این مورد در مورد باج افزار نیز صادق است)؛ نرمافزار نصب شده آسیب دیده نیاز به نصب مجدد دارد (با این وجود، به پرونده فایل سیستم مراجعه کنید).
هر سیستم عامل قابل نوشتن در رایانه میتواند توسط کد مخرب آلوده شود. این یک نگرانی عمده است، زیرا یک بایوس آلوده میتواند برای اطمینان از حذف کامل کد مخرب، نیاز به تراشهٔ واقعی بایوس داشته باشد. نرمافزار ضدویروس در محافظت از سیستم عامل و بایوس مادربرد از عفونت مؤثر نیست. در سال ۲۰۱۴، محققان امنیتی دریافتند که دستگاههای یواسبی حاوی سیستم عامل قابل ویرایش هستند که میتوانند با کد مخرب (با نام "BadUSB") اصلاح شوند، که هیچ ضدویروسی قادر به شناسایی یا جلوگیری از آن نیست. کد مخرب میتواند بر روی کامپیوتر غیرقابل اجرا باشد و حتی میتواند سیستم عامل را قبل از بوت شدن آلوده کند.
نرمافزار ضدویروس دارای اشکالاتی است که در مرحله اول میتواند عملکرد کامپیوتر را تحت تأثیر قرار دهد.
علاوه بر این، کاربران بی تجربه میتوانند در هنگام استفاده از رایانه، احساس غلط امنیتی را از بین ببرند و رایانههای آنها را غیرقابل نفوذ بدانند، و ممکن است در درک پیامها و تصمیماتی که نرمافزار ضدویروس برای آنها ارائه میدهد، دچار مشکل شوند. یک تصمیم نادرست ممکن است منجر به نقض امنیت شود. اگر نرمافزار ضدویروس از روش تشخیص اکتشافپذیر استفاده میکند، باید مرتباً تنظیم شود تا نرمافزارهای بیضرر را بهعنوان مخرب (نادرست مثبت) به حداقل رساند.
خود نرمافزار ضدویروس معمولاً در سطح قابل اعتماد هستهٔ سیستم عامل اجرا میشود تا به آن اجازهٔ دسترسی به کلیهٔ پروسهها و پروندههای مخرب بالقوه را بدهد و یک مسیر حملهٔ بالقوه ایجاد کند. آژانس امنیت ملی ایالات متحده (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) به ترتیب، از نرمافزار ضدویروس برای جاسوسی از کاربران سوءاستفاده کردهاند. نرمافزار ضدویروس دارای دسترسی بسیار ممتاز و قابل اعتماد به سیستم عامل زیرین است و همین امر باعث میشود تا برای حملات از راه دور به یک هدف بسیار جذابتر تبدیل شود. علاوه بر این، نرمافزار ضدویروس «سالها پشت برنامههای طرفدار سرویسگیرندهٔ آگاهانه از قبیل مرورگرها یا خواننده اسناد است. این بدان معنی است که ادوبی آکروبات، مایکروسافت ورد یا گوگل کروم برای بهرهبرداری از ۹۰ درصد از محصولات ضدویروس موجود در آنجا سختتر هستند»، به گفتهٔ Joxean Koret، یک محقق با Coseinc، مشاور امنیت اطلاعات مستقر در سنگاپور.
در اوایل سال ۱۴۰۱، شرکت امنیت سایبری سنتینلوان گزارشی را منتشر کرد که در بخشی از آن به سوءاستفادهٔ گروهی از مهاجمان از برخی برندهای ضدویروس اشاره شدهاست. بر اساس گزارش مذکور، مهاجمان با اکسپلویت آسیبپذیری DLL Hijacking از دسترسی بالای محصولات امنیتی بر روی دستگاه قربانی جهت فراخوانی ابزارهای مخرب PlugX و Shadowpad در حافظه و در ادامه اجرای آنها بهرهجویی میکنند.[2] در عین حال، امنیت سایبری سنتینلوان خاطر نشان کرده اشکالی که مهاجمان را قادر به انجام این اقدام کرده بیشتر از آن که متوجه شرکتهای سازنده این محصولات باشد از نبود سازوکار حفاظتی کافی در سیستم عامل ویندوز در برابر حملات DLL Search Order Hijacking ناشی میشود.[2]
نرمافزار ضدویروس که روی رایانههای شخصی اجرا میشود، رایجترین روشی است که از محافظت در برابر بدافزارها محافظت میکند، اما این تنها راه حل نیست. راه حلهای دیگر همچنین میتواند توسط کاربران به کار رود، از جمله مدیریت یکپارچهٔ تهدید (UTM)، سختافزار و فایروالهای شبکه، ضدویروس مبتنی بر ابر و اسکنر آنلاین.
فایروالهای شبکه از دسترسی برنامهها و فرایندهای ناشناخته به سیستم جلوگیری میکنند. با این حال، آنها سیستمهای ضدویروس نیستند و هیچ تلاشی برای شناسایی یا حذف هر چیزی نمیکنند. آنها ممکن است در مقابل آلودگی از خارج از رایانه یا شبکه محافظت شده محافظت کنند، و فعالیتهای نرمافزاری مخرب موجود را با مسدود کردن درخواستهای ورودی یا خروجی در پورتهای TCP / IP خاص محدود کنند. یک فایروال برای مقابله با تهدیدهای گستردهتر سیستم که از اتصالات شبکه به سیستم وارد میشوند طراحی شدهاست و جایگزینی برای سیستم حفاظت از ویروس نیست.
ضدویروس Cloud یک فناوری است که از نرمافزار عامل سبکوزن بر روی رایانه محافظت شده استفاده میکند، در حالی که اکثر تجزیه و تحلیل دادهها را به زیرساخت ارائه دهنده بارگذاری میکند.
یک روش برای اجرای ضدویروس ابری شامل اسکن پروندههای مشکوک با استفاده از چندین موتور ضدویروس است. این روش با اجرای اولیه مفهوم ضدویروس ابری به نام CloudAV پیشنهاد شدهاست. CloudAV برای ارسال برنامهها یا اسناد به ابر شبکه طراحی شدهاست که در آن از چندین ضدویروس و برنامههای تشخیص رفتاری بهطور همزمان به منظور بهبود نرخ تشخیص استفاده میشود. اسکن موازی پروندهها با استفاده از اسکنرهای ضدویروس بالقوه ناسازگار با تخم ریزی یک ماشین مجازی در هر موتور شناسایی و در نتیجه رفع هرگونه مشکل احتمالی حاصل میشود. CloudAV همچنین میتواند «شناسایی گذشته نگر» را انجام دهد، به موجب آن موتور تشخیص ابر هنگام شناسایی یک تهدید جدید، کلیه پروندههای موجود در تاریخ دسترسی به پرونده خود را نجات میدهد، بنابراین سرعت جدید شناسایی تهدید را بهبود میبخشد. سرانجام، CloudAV راه حلی برای اسکن ویروسهای مؤثر در دستگاههایی است که فاقد قدرت محاسباتی برای انجام خود اسکنها هستند.
برخی از نمونه محصولات ضدویروس ابر عبارتاند از: Panda Cloud Antivirus , Crowdstrike , Cb Defense و Immunet. گروه Comodo همچنین ضدویروس مبتنی بر ابر تولید کردهاست.
برخی از فروشندگان ضدویروس وبسایتهایی را با قابلیت اسکن آنلاین رایگان از کل رایانه، فقط مناطق بحرانی، دیسکهای محلی، پوشهها یا پروندهها حفظ میکنند. اسکن آنلاین دورهای ایده خوبی برای کسانی است که برنامههای ضدویروس را در رایانههای خود اجرا میکنند زیرا این برنامهها برای گرفتن تهدیدات بسیار کند هستند. یکی از اولین کارهایی که نرمافزارهای مخرب در هنگام حمله انجام میدهند غیرفعال کردن هرگونه نرمافزار ضدویروس موجود است و گاهی تنها راه اطلاع از حمله، روی آوردن به یک منبع آنلاین است که بر روی کامپیوتر آلوده نصب نشدهاست.
ابزارهای حذف ویروس برای کمک به از بین بردن عفونتهای سرسختانه یا انواع خاصی از عفونت در دسترس هستند. به عنوان مثال میتوان به Avast Free Anti-Malware، ابزار حذف نرمافزارهای مخرب رایگان AVG و ابزار حذف Avira AntiVir اشاره کرد. همچنین شایان ذکر است که گاهی نرمافزار ضدویروس میتواند نتیجهٔ مثبت کاذب ایجاد کند و نشاندهندهٔ آلودگی در جایی که وجود ندارد.
دیسک نجات قابل بوت شدن، مانند سیدی یا دستگاه ذخیرهسازی یواسبی، میتواند برای اجرای نرمافزار آنتیویروس در خارج از سیستم عامل نصب شده، به منظور از بین بردن آلودگیها در حالی که خفته هستند، استفاده شود. یک دیسک ضدویروس قابل بوت میتواند زمانی مفید باشد که به عنوان مثال، سیستم عامل نصب شده دیگر قابل راهاندازی نباشد یا دارای بدافزار باشد که در برابر تمام تلاش برای حذف توسط نرمافزار ضدویروس نصبشده مقاومت میکند. نمونههایی از برخی از این دیسکهای قابل بوت شامل CD Bitdefender Rescue , Kaspersky Rescue Disk 2018 و Windows Defender Offline (از زمان بهروزرسانی سالگرد در ویندوز ۱۰). بسیاری از نرمافزارهای Rescue CD را میتوان روی دستگاه ذخیرهٔ یواسبی نیز نصب کرد، که در رایانههای جدید قابل بوت شدن است.[1]
براساس بررسی ادارهٔ تحقیقات فدرال (FBI) مشاغل بزرگ سالانه ۱۲ میلیون دلار از دست میدهند که با حوادث ویروس مقابله میکنند. در یک نظرسنجی توسط سیمنتک در سال ۲۰۰۹ مشخص شد که یک سوم از مشاغل متوسط و کوچک در آن زمان از ضدویروس استفاده نمیکنند، در حالی که بیش از ۸۰٪ از کاربران خانگی نوعی ضدویروس نصب کردهاند. طبق یک نظرسنجی جامعهشناختی که توسط نرمافزار جی دیتا در سال ۲۰۱۰ انجام شدهاست، ۴۹٪ از خانمها به هیچ وجه از برنامهٔ آنتیویروس استفاده نمیکردند.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.