راهنمای خرید آنتی‌ویروس

نحوه عملکرد آنتی‌ویروس‌ها

موتور جستجوی یک آنتی‌ویروس، هسته مرکزی آن است. این موتور جهت بررسی لایه‌های مختلف فایل‌ از الگوریتم‌های جستجو بهره می‌برد. موتور جستجو با داشتن الگوریتم مخصوص به خود، در مدت زمانی کوتاه میلیون‌ها فایل را بررسی کرده و برای ردیابی فایل‌های آلوده و مخرب، از شناسه‌ها استفاده می‌نماید. شناسه، بخشی از رشته لایه‌های مختلف فایل‌ها را دربرداشته و همانند اثر انگشت برای هر ویروس منحصر به فرد است. از جمله مزایای استفاده از آنتی ویروس‌های معتبر و خرید لایسنس قانونی آن‌ها، این است که شرکت سازنده، خود را موظف دانسته تا با به روز کردن بانک شناسه‌ها، در برابر جدیدترین ویروس‌ها از کامپیوتر محافظت نماید. از دیگر قابلیت‌های ایجادشده توسط اکثر برنامه‌های آنتی‌ویروس در موتور جستجوی خودشان، توانایی شناسایی رفتار مشکوک فایل‌ها و همچنین ایجاد سطوح دسترسی برای برنامه‌های مختلف می‌باشد. به این ترتیب حتی در صورت موجود نبودن شناسه ویروسی در بانک اطلاعاتی آنتی‌ویروس، موتور جستجو با زیر نظر گرفتن خودکار رفتار فایل‌ها، در صورت مشاهده رفتار مشکوک، به کاربر اخطار می‌دهد. این روزها اکثر شرکت‌هایی که آنتی‌ویروس می‌سازند، به منظور جامع‌تر کردن راه‌حل‌های امنیتی، قابلیت‌هایی همچون Firewall، آنتی‌اسپم و آنتی‌فیشینگ را هم به نرم‌افزارهای خود می‌افزایند.

معمولاً رفتار آنتی‌ویروس با ویروس، به وسیله کاربر مشخص می‌شود. بیشتر آنتی‌ویروس‌ها در پیش‌فرض خود با از بین بردن کد مخرب، فایل آلوده را خنثی‌سازی می‌کنند. در صورت نداشتن قابلیت جداسازی کد، آنتی‌ویروس اقدام به پاک و یا قرنطینه کردن آن می‌نماید.

در ادامه به صورت دقیق‌تر با بعضی از تکنیک‌های متداول آشنا خواهیم شد که در میان آنتی‌ویروس‌ها، جهت تشخیص بدافزارها به کار برده می‌شوند.

تشخیص با توجه به شناسه یا امضای ویروس

در حال حاضر اغلب برنامه‌های آنتی‌ویروس این تکنیک را به کار می‌برند. در این روش، درایوهای حافظه و فایل‌ها، با این هدف که الگوی نشان‌دهنده یک بدافزار پیدا شود، مورد جستجو قرار می‌گیرند.

معمولاً محل ذخیره شدن این الگوها در فایل‌هایی به نام فایل‌های امضا می‌باشند. این فایل‌ها به وسیله تولیدکنندگان نرم‌افزارهای آنتی‌ویروس بر اساس برنامه‌ای منظم به روزرسانی شده تا قادر به شناسایی بیشترین تعداد ممکن حمله‌های بدافزاری باشند.

در این روش، در هنگام آزمایش کردن یک فایل توسط نرم‌افزار آنتی‌ویروس، به یک دیکشنری ویروس که حاوی امضای ویروس‌های شناخته شده بوده، مراجعه می‌نماید. چنانچه هر تکه از کد فایل مطابق با یک ویروس شناخته شده باشد، فایل مورد نظر به عنوان یک فایل آلوده شناسایی می‌شود؛ بنابراین آنتی‌ویروس یا آن را پاک کرده و یا قرنطینه می‌نماید تا سایر برنامه‌ها به آن دسترسی نداشته باشند. علاوه بر آن از انتشار آن جلوگیری می‌شود. در بعضی موارد هم امکان حذف ویروس از فایل اصلی وجود دارد تا فایل آلوده بازسازی شود که اگر این امکان وجود داشته باشد، آنتی‌ویروس اقدام به انجام این کار می‌کند.

مشکل اصلی و مهم که روش بررسی شناسه دارد، این است که آنتی‌ویروس نسبت به ویروس‌های جدید بسیار آسیب‌پذیر بوده و تقریباً به صورت خنثی عمل می‌نماید. چون در این روش، بایستی بانک اطلاعاتی آنتی‌ویروس از قبل به روزرسانی شود تا قادر باشد با بدافزارها مقابله و آن‌ها‌ را خنثی سازد؛ در نتیجه بدافزارهای جدید که هنوز شناسایی و به فایل‌های امضا افزوده نشده‌اند را تشخیص نمی‌دهند.

موضوع دیگر که باید مورد توجه قرار گیرد، این است که ویروس‌نویسان همواره در تلاش هستند تا نسبت به آنتی‌ویروس‌ها یک قدم جلوتر حرکت کنند؛ آن‌ها این کار را به وسیله ایجاد ویروس‌های چندریختی انجام می‌دهند. در حقیقت ویروس‌های چندریختی یک مکانیزم دفاعی رمزنگاری دارند.

به منظور رمزنگاری و بسته‌بندی بدافزارها، روش‌های مختلفی موجود است که می‌تواند تشخیص انواع شناخته شده بدافزارها را برای آنتی‌ویروس‌ها با مشکل روبه‌رو کند. متأسفانه اکثر آنتی‌ویروس‌های معروف امروزی نمی‌توانند ویروس‌های رمزنگاری شده را تشخیص دهند.

تشخیص با توجه به رفتار ویروس

در این روش برخلاف روش قبلی، آنتی‌ویروس فقط برای شناسایی ویروس‌های شناخته شده تلاش نمی‌کند، بلکه بر رفتار تمامی برنامه‌ها نظارت دارد. این روش سعی می‌کند هم انواع شناخته شده و هم انواع جدید بدافزار را تشخیص دهد؛ این کار به وسیله جستجوی خصوصیات عمومی و مشترک بدافزارها صورت می‌گیرد.

به طور مثال در صورتی که برنامه‌‌ای بخواهد روی یک برنامه اجرایی دیگر داده‌نویسی کند، این رفتار به عنوان یک رفتار مشکوک شناسایی شده و هشدار لازم به کاربر داده می‌شود. سپس از او سؤال می‌شود که چه کاری باید انجام داد.

جستجوی اکتشافی (Heuristic) نام دیگری است که برای روش تشخیص بر اساس رفتار به کار برده می‌شود، چرا که سعی می‌کند رفتارهای مشکوک را کشف کرده و به شناسایی بدافزارها بپردازد. مهم‌ترین مزیتی که این روش دارد، این است که به فایل‌های امضا جهت تشخیص و رویارویی با بدافزار تکیه نمی‌کند.

البته این روش هم با مشکلاتی خاص مواجه است که باعث خستگی و سر رفتن حوصله کاربران می‌گردد، از جمله:

• کندتر بودن این روش در مقایسه با روش تشخیص بر اساس امضا
• تعداد بسیار تشخیص‌های مثبت اشتباه
• هشدارهای بی‌دلیل به کاربر

علاوه بر این، در این روش چنانچه حمله بدافزاری جدیدی، دارای ویژگی‌هایی باشد که پیش از این مورد شناسایی قرار نگرفته‌اند، جستجوی اکتشافی هم قادر به شناسایی آن نیست؛ فقط در صورت به روزرسانی شدن و افزوده شدن ویژگی مذکور به حافظه آن می‌توانند بدافزار را تشخیص بدهند.

استفاده از  Sandbox

استفاده ازsandbox ، هم از جمله روش‌های تشخیص ویروس می‌باشد. یک sandbox سیستم عامل را شبیه‌سازی کرده و در آن فایل‌های اجرایی را به اجرا درمی‌آورد. پس از اتمام اجرای برنامه‌ها، sandbox  در رابطه با تغییراتی که احتمال دارد، ویروس را نشان دهند، ارزیابی می‌شود. به دلیل اینکه این روش تشخیص دارای سرعت پایینی است، فقط در صورتی از آن استفاده می‌شود که کاربر آن را تقاضا نماید.

استفاده از فناوری ابری

در نرم‌افزارهای آنتی‌ویروس که امروزه رایج هستند، فایل یا برنامه جدید، فقط به وسیله یک تشخیص‌دهنده ویروس و در یک زمان بررسی می‌گردد. اما آنتی‌ویروس ابری قادر به ارسال برنامه‌ها یا فایل‌ها به یک شبکه ابری بوده که از تعداد زیادی آنتی‌ویروس و همچنین ابزار تشخیص بدافزار به طور همزمان استفاده می‌کند.

در حقیقت آنتی‌ویروس ابری، آنتی‌ویروسی است که بر پایه محاسبات ابری قرار دارد و توسط دانشمندان دانشگاه میشیگان به وجود آمده است. هنگامی که رایانه فایل یا برنامه جدیدی را دریافت یا نصب نماید، به طور خودکار یک نسخه از آن برای ابر آنتی‌ویروس ارسال شده و در آنجا توسط ۱۲ تشخیص‌دهنده متفاوت که با هم کار می‌کنند، اینکه آیا باز کردن فایل یا برنامه مذکور امن بوده یا خیر، تشخیص داده می‌شود.

مکانیزم مورد استفاده آنتی‌ویروس‌های معتبر امروزی

همان‌گونه که مشاهده کردید، هر کدام از روش‌های ذکر شده مزیت‌ها و معایبی دارند و هیچ کدام به تنهایی نمی توانند تا روش کامل و ایمنی به شمار آید. بنابراین اکثر آنتی‌ویروس‌هایی که معتبر، محبوب و قدرتمند هستند، سعی می‌کنند جهت شناسایی و پاکسازی ویروس‌ها و فایل‌های مخرب و برای افزایش میزان موفقیت و تأثیرگذاری خود، از مجموعه و ترکیبی از روش‌های فوق بهره ببرند.

خصوصیات یک آنتی‌ویروس خوب

در ادامه ویژگی‌های یک انتی‌ویروس خوب بیان می‌شوند:

موتور جستجوی قوی و استفاده از مؤثرترین روش‌های تشخیصی:

از جمله مهم‌ترین نکاتی که در قدرت یک آنتی‌ویروس و کارایی آن مؤثر است، موتور جستجوی آن می‌باشد. در نتیجه یک آنتی‌ویروس خوب حتماً بایستی از یک موتور جستجوی قوی و همچنین ترکیبی از مؤثرترین روش‌های تشخیص بدافزارها استفاده نماید.

داشتن دیتابیس قوی و به روزرسانی‌های منظم:

یک آنتی‌ویروس خوب، باید دارای بانک اطلاعاتی قوی باشد و به طور مداوم جهت مؤثر واقع شدن در برابر بدافزارهای جدید، دیتابیس خود را به روزرسانی نماید. البته هر کاربری موظف است، به منظور تأمین امنیت خود، لایسنس قانونی این نرم‌افزارها را تهیه کرده تا قادر باشد به طور منظم اقدام به آپدیت آنتی‌ویروس خود نماید.

آنتی‌ایکس:

به این معناست که با خریداری یک آنتی‌ویروس، یک آنتی‌اسپم، آنتی‌ورم، آنتی‌فیشینگ، آنتی‌تروجان و یا حتی یک فایروال خوب داشته باشید. البته امروزه تقریباً بیشتر شرکت‌های تولیدکننده آنتی‌ویروس تمامی محصولات خود را در قالب یک محصول آنتی‌ایکس ارائه می‌کنند.

سرعت اسکن مناسب و فشار کم بر روی سیستم:

یک آنتی‌ویروس خوب بایستی دارای سرعت مناسبی جهت اسکن سیستم باشد. تصور کنید برای هر بار اسکن سیستم، ساعت‌ها زمان صرف شود، طبیعی است که بعد از چندین بار اسکن، از اسکن دوباره سیستم خسته شده و دیگر آن را انجام نمی‌دهید. همچنین بایستی آنتی‌ویروسی مورد استفاده قرار گیرد که تا حد معقولی بار کاری پردازنده را استفاده کرده و بدون ‌دلیل موجب بالاتر رفتن آن نشود.

توان بالا در پاکسازی بدافزارها:

یکی از خصوصیات بسیار مهم نرم‌افزارهای آنتـی‌ویروس، قدرتشان در حذف کردن ویروس و بدافزارهایی است که سیستم توسط آن‌ها آلوده شده است. بنابراین یک آنتی‌ویروس خوب علاوه بر اینکه باید توانایی تشخیص ویروس‌ها را داشته باشد، بایستی بتواند آن‌ها را حذف و پاک‌سازی نماید. دارا بودن قابلیت اسکن سیستم در وضعیت بوت، یکی از نکات مهم در این مورد می‌باشد.

عدم نمایش هشدارهای غلط:

نمایش هشدارهای غلط ممکن است موجب ایجاد دردسر برای کاربر شود و کاربر را نسبت به آنتی‌ویروس بی‌اعتماد کند. پس یک آنتـی‌ویروس خوب بایستی از نشان دادن پیغام‌ها و هشدارهای غلط به کاربر اجتناب نماید.

داشتن امکان آپدیت به صورت آفلاین:

یک آنتی‌ویروس مناسب بایستی امکان به روزرسانی پایگاه داده کاربران را برای آن‌ها فراهم نماید تا قادر به دانلود آفلاین فایل خود باشند و بتوانند در هر جایی که آنتی‌ویروس نصب شده، بدون اینکه به اینترنت وصل شوند، به روزرسانی را انجام دهند.

به دست آوردن درجه و امتیاز عالی در تست‌های انجام شده به وسیله مراکز معتبر:

هیچ‌وقت نباید به تست‌ها و امتیازاتی که یک شرکت اعتقاد دارد که محصولش آن را به دست آورده، توجه کرد. اگر مایلید از مقایسه محصولات آنتی‌ویروس درک درستی به دست آورید، حتماً به رنکینگ‌های معتبر مانند وب‌سایت AV-comparatives مراجعه نمایید.

اهمیت به روزرسانی و به کارگیری لایسنس قانونی آنتی‌ویروس‌ها:

مراقبت از آنتی‌ویروس‌ها به این دلیل بسیار ضروری است که دارای بالاترین سطح دسترسی در سیستم می‌باشند. چنانچه از آنتی‌ویروسی استفاده می‌کنید که کرک‌شده است، در واقع همه اطلاعات خودتان را در اختیار افراد مجهول و هکرها می‌گذارید و حتی متوجه آلوده شدن سیستم هم نخواهید شد. بنابراین همیشه باید آنتی‌ویروس‌ها را از سایت‌های اصلی خودشان دانلود کرد.

از سوی دیگر در صورت استفاده از یک آنتی‌ویروس بسیار معتبر و خوب که لایسنس قانونی آن تهیه نشده است، نمی‌توان از آپدیت‌ها و به روزرسانی‌های آن استفاده نمود؛ در حقیقت به این معنی بوده که سیستم در مقابل ویروس‌ها و بدافزارهای جدید، به کلی بی‌دفاع است.

همان‌گونه که در روش‌ها و طریقه عملکرد آنتی‌ویروس‌ها بیان شد، همه روش‌ها در صورتی مؤثر و کارا هستند که آپدیت به طور منظم انجام شود. پس چنانچه امنیت و حفظ داده‌های شخصی برایتان مهم است، لازم است از یک آنتی‌ویروس خوب استفاده کرده و لایسنس قانونی آن را تهیه نمایید تا قادر باشید به طور کامل از به روزرسانی‌های آن بهره‌مند شوید.

بهترین آنتی‌ویروس‌ها

Kaspersky Total Security:

بهترین نتیجه برای آنتی‌ویروس Kaspersky Total Security به دست آمد که به غیر از داشتن توانایی بسیار در دفاع از سیستم در برابر حملات، خصوصیات جانبی ارزشمند دیگری را هم به کاربر ارائه می‌دهد. این آنتی‌ویروس تقریباً با شناسایی کامل همه مالورها، برای خرید و کارهای بانکی مرورگری امن را ایجاد می‌کند. به خوبی جلوی باجگیرها را گرفته و برای شبکه‌های وای فای ناامن، یک سرویس امن به وجود می‌آورد.

Bitdefender Total Security:

بعد ازKaspersky،Bitdefender Total Security  در جایگاه دوم قرار گرفته است. این برنامه دارای ویژگی‌های تقریباً مشابهی با کسپراسکای بوده و همچنین از دیسک کمکی بازیابی هم بهره می‌برد. شاید بیت دفندر به اندازه یک مو از کسپراسکای عقب‌تر باشد، با این وجود در مقایسه با Kaspersky حجم کمتری داشته و همچنین دارای قیمت پایین‌تری است.

Norton Security Premium:

اگرچه این آنتی‌ویروس از لحاظ قدرت امنیتی در برابر حملات ویروسی، دارای قدرتی مشابه Kaspersky است، اما ویژگی‌های جانبی آن کمتر می‌باشد. ممکن است این مسئله در نگاه اول بد به نظر برسد، با این وجود باعث بالاتر رفتن سرعت لود سیستم شده است. این آنتی‌ویروس دارای ابزارهایی مانند پشتیبان‌گیری اطلاعات، 25 گیگابایت فضای ابری و ... می‌باشد.

Trend Micro Maximum Security:

این آنتی‌ویروس تقریباً بدون هیچ مشکلی جلوی تهدیدات اینترنتی را گرفته است، با این وجود به دلیل داشتن قدرت بالا، سنگین شدن سیستم حتی در هنگام غیرفعال بودن اسکن را به همراه دارد. این نرم‌افزار با ایجاد مروری امن در وب، به خوبی مانع از فعالیت باجگیرها می‌شود.

F-Secure Safe:

این آنتی‌ویروس تقریباً همانند آنتی‌ویروس Norton ابزار جانبی ندارد و برای کاربر یک مرورگر قدرتمند و امن را به وجود می‌آورد، اما در مقایسه با سایر آنتی‌ویروس‌ها در مدیریت پسورد و Parental control برتری چندانی ندارد.

McAfee Total Protection:

این آنتی‌ویروس قابلیت‌های جانبی فوق‌العاده‌ای همچون File shredder، file encryption، اسکنر وب و ... را داراست. با داشتن یک لایسنس از این آنتی‌ویروس قادر به محافظت از تعداد نامحدودی از سیستم‌‌های خود خواهید بود. مشکلی که این آنتی‌ویروس دارد، این است که فاقد مرورگری امن بوده و عملکرد سیستم ضد سرقت آن ضعیف است.

آنتی‌ویروس نود 32NOD32 Antivirus:

فشار چندانی به سیستم وارد نمی‌کند و تعداد کمی قابلیت‌های جانبی مثبت نظیر محافظت از وب‌کم، مرورگر امن، کیبورد مجازی و ... را دارد. با این وجود، هر چند از نظر جلوگیری در برابر ویروس‌ها دارای عملکرد خوبی است، نسبت به آنتی‌ویروس‌های دیگر چندان قدرتمند نمی‌باشد.

Panda Global Protection:

این آنتی‌ویروس در آخر لیست قرار می‌گیرد. این آنتی‌ویروس هم مثل ESET امکاناتی همچون کیبورد مجازی، جلوگیری از باجگیرها، رمزگذاری بر روی فایل‌ها و ... را فراهم می‌کند. همچنین می‌توان رابط کاربری آن را شخصی‌سازی نمود. در اثر فعالیت‌های این برنامه فشار زیادی به سیستم وارد نمی‌شود. با این وجود توانایی جلوگیری از Malware های این برنامه زیاد نیست.