كيف تعمل البرامج المضادة للفيروسات (antivirus ) ؟
برامج الانتى فايرس هى برامج تعمل على اكتشاف الفيروسات والقضاء عليها وعلى البرامج الماكرة والخطيرة. بالاضافة الى ان اغلب برامج الانتى فايروس تعمل بإحدى التقنيتين التاليتين:
• اختبار الفيروسات واكتشافها بناء على قاموس فايروسات او (قاعدة بيانات فيروسات)
• التعرف على التصرفات المشبوهة –بالنسبة للكمبيوتر طبعا- لجميع البرامج والتى تشير الى اصابة جهاز الكمبيوتر بالفايروس.
معظم برامج الحماية التجارية تعمل بتقنية قاموس الفيروسات وممن اشهرها (kasper sky)
تقنية قاموس الفيروسات
فى نظرية قاموس الفيروسات, عندما يختبر برنامج الحماية ملف ما على جهازك فإنه يرجع الى قاموس الفيروسات الموضوع من قبل الشركة المصنعة لبرنامج الحماية, والذى قد تم وضع مجموعة من الفيروسات فى داخله, اذا كانت الملف يحتوى على خلية تشابه احد الفيروسات الموجودة فى قاموس الفيروسات فأن برنامج الحماية يقوم بحدى الخطوات التالية
1. حذف الملف.
2. يحاصر الملف بحيث لا يستطيع اى برنامج الوصول اليه او التعامل معه ومن ثم فإن الفيروس لن يستطيع الانتشار, او يحاول فقط ازالة الفيروس من الملف.
فى هذه التقنية, لتكون ناجحا فى حماية جهازك على المدى الطويل والمتوسط يجب عليك تحديث برنامج الانتى فايرس خلال الانترنت وذلك من موقع الشركة المصنعة للبرنامج بحيث يتم اضافة اخر الفيروسات المكتشفة عبر الانترنت الى قاموس الفيروسات الموجود فى جهازك ليساعد البرنامج على التعرف على الفيروسات الجديدة .
وهنا نقف لحظة ونسأل, ماذا يعنى هذا الكلام ؟
اذا كنت انت تستعمل احدى مضادات الفيروسات التى تعمل بهذه التقنية , و ايضا تقوم بعمل تحديث يومى , وقمت انا بتصميم فيروس جديد ثم ارسلته الى جهازك بطريقة ما فهذا يعنى ان جهازك لن يكتشف هذا الفيروس ..لماذا ؟؟ .. ببساطة لأنه لا يوجد فى قاموس الفيروسات الخاص بالبرنامج الذى تستعمله اى معلومة عن هذا الفيروس الجديد ..!!
ستقول لى اذا لا فائدة من هذه البرامج .. سأرد عليك واقول – بما انك مهندس حاسوب او هذا مجالك الدراسى – لا يوجد جهاز كمبيوتر على وجه الارض غير معرض للإختراق لأن نفس لغات البرمجة التى تصمم بها انظمة التشغيل و نفس البرامج التى يتم بها تصميم برامج الانتى فايرس هى عينها التى يتم تصميم الفيروسات بها , وإن مصمموا الفيروسات المسألة بالنسبة لهم مسألة وقت قد تتفاوت من شخص لاخر حسب خبرته و عبقريته و نظرته فى اكتشاف الثغرات .
وايضا فإن مصمموا الفيروسات فى الاغلب يتقدمون دائما بخطوة على مصمموا البرامج المضادة للفيروسات.
ولكن انتظر قليلا... ان طريقة قاموس الفيروسات هى طريق عملية حيث انه لا يمكن للفيروسات التحايل على المضادات لان برنامج مضاد الفيروسات لديه علم مسبق بطبيعة هذا الفيروس فلا تقلق كثير . اذا كنت تحدث برنامج مضاد الفيروسات الذى تستعمله بشكل يومى ثم اصيب جهازك بفيروس فانت واحد من قلائل اصابهم سوء الحظ
تقنية التصرفات المشبوهة
على عكس النظرية السابقة فإن نظرية التصرفات المشبوهة لا تقوم بالتعرف على الفيروسات وانما تقوم بمراقبة كل البرامج التى تعمل على الحاسب فإذا ما اكتشف ان احد هذه البرامج يقوم بمحاولة تغيير بعض الملفات التنفيذية لنظام التشغيل او احدى البرامج الاخرى فانه يعد هذا التصرف تصرف مشبوه فيقوم فورا بالابلاغ عنه ويسأل المستخدم عن ما يجب فعله بالخصوص , وايضا على عكس نظرية قاموس الفيروسات فانها تعد حلا مؤثرا ضد الفيروسات الجديد حيث لا حاجة لان يكون الفيروس موجود مسبقا فى قاموس الفيروسات
طرق اخرى لاكتشاف الفيروسات
بعض برامج مضادات الفيروسات تعمل على محاكاة كود بداية التشغيل للملفات التنفيذية (البرامج) لكل برنامج جديد يتم تشغيله قبل نقل التحكم الى البرنامج نفسه , فإذا إكتشف أن هذا الملف التنفيذى (البرنامج) يقوم بتعديل نفسه بنفسه أو يبدو انه فيروس فإنه وفى الحال يحاول ايجاد الملفات التنفيذية الاخرى وذلك لاحتمال اصابتها بالعدوى, بيد ان هذه الطريق تكون احيانا خاطئة.
ايضا, طريقة اخرى لاكتشاف الفيروسات ةهى ساند بوكس (sandbox) , ال sandbox يحاكى نظام التشغيل ويشغل الملفات التنفيذية(البرامج) من خلال هذه المحاكاة, بعد انهاء البرنامج يقوم الـ sandbox بتحليل التغيرات التى طرأت على البرنامج والتى ربما تشير الى الاصابة بفيروس , وبسبب هذا الاداء فإن هذه الطريق تستخدم فى العادة عند الفحص اليدوى ,لا الفحص المستمر للحاسب.
امور مثيرة للقلق
يمكن القول بأن Macro Virus هى الاكثر تدميرا والاكثر انتشارا , يمكن ابقائها بعيدا بفاعلية وتكلفة اقل وبدون ان يحتاج كل مستخدمى الحاسوب الى شراء برامج مضادات الفيروسات
اذا : اذا تداركت شركة مايكرو سوفت الثغرات الامنية الموجودة فى برنامج مايكرو سوفت اوتلوك وبرامج مايكروسوفت اوفيس و البرامج التى لها علاقة بالتحديثات.
معرفة مستخدم الحاسوب بالتعامل مع برامج الحاسوب بنفس اهمية البرامج المضادة للفيروسات, - عدم تنزيل البرامج الغير معروفة من الانترنت وعدم تشغيلها يساعد على تقليل سرعة الانتشار للفيروسات .
- عدم دخول المستخدمين الى اجهزتهم بحساب المسؤول ايضا من الطرق التى تقلل من انتشار بعض انواع الفيروسات فى الحاسوب.اى انه من الافضل لمستخدمى الحاسوب اذا كان لديهم على اجهزتهم اكثر من حساب مستخدم وارادو تنزيل بعض الملفات من الانترنت الدخول بغير حساب المدير.
يوجد طرق عديدة لتشفير البرامج التجسسية والمخربة والتى يمكن ان تجعل حتى الفيروسات المشهورة غير مرئية من قبل البرامج المضادة للفيروسات, لتستطيع اكتشاف هذه الفيروسات المشفرة تحتاج الى محرك قوى لفك تشفير هذه الفيروسات والتعرف عليها , وللأسف فإن معظم برامج مضادات الفيروسات لا تمتلك هذه المحركات ولهذا لا تستطيع حذف الفيروسات المشفرة.
وأخيرا فإن شركات البرامج المضادة للفيروسات تستفيد من انتشار الفيروسات وما يسببه من خوف لدى مستخدمى الحاسوب