حاشية. ملاحظة: تناقش المحاضرة الغرض ومبادئ تشغيل البرامج اللازمة للحماية الكاملة والفعالة لأجهزة الكمبيوتر المنزلية من التأثيرات الضارة.
الفرق الرئيسي بين الكمبيوتر المنزلي ومحطة عمل الإنتاج العادية هو تعدد استخداماته. إذا تم شراء أجهزة الكمبيوتر عادةً لغرض معين: للكتابة أو الرسم على حزم الرسومات الاحترافية أو للبرمجة، فغالبًا ما يتم استخدام الكمبيوتر المنزلي ليس فقط للعمل خارج ساعات العمل، ولكن أيضًا لألعاب الكمبيوتر والمراسلات الشخصية، البحث عن المعلومات وتصفحها على الإنترنت وتشغيل الأفلام والموسيقى. حيث إدارةفي الغالبية العظمى من الحالات، يتم تثبيت الكمبيوتر المنزلي حصريًا بواسطة المالك نفسه.
لذلك، تتمتع جميع البرامج المخصصة للاستخدام المنزلي بواجهة شفافة، وسهلة التثبيت والإدارة، وتكون مصحوبة بالضرورة بوثائق مفهومة حتى بالنسبة لغير المتخصصين. يجب أن تستوفي برامج الحماية من الفيروسات أيضًا جميع المتطلبات المذكورة أعلاه.
ومن البرامج اللازمة للحماية الكاملة والفعالة لأجهزة الكمبيوتر المنزلية من التأثيرات الضارة للبرامج:
يمكن أن تكون البرامج المدرجة إما جزءا من مجمع واحد لحماية جهاز الكمبيوتر المنزلي الخاص بك، أو يمكن تثبيتها بشكل منفصل. الميزة الرئيسية للطريقة الأولى هي وجود واجهة تحكم واحدة وتكامل كل وحدة، والتي فكر فيها منشئو البرنامج. قد يكون تثبيت برامج منفصلة، خاصة من شركات مصنعة مختلفة، مفيدًا فقط في بعض الحالات، على سبيل المثال، عندما تكون هناك حاجة إلى وظائف محددة لسبب أو لآخر، ولكن لا يمكن لأي منتج شامل واحد توفيرها. في حالة المستخدم المنزلي، يعد هذا أمرًا نادرًا للغاية، وإذا كانت هناك حاجة إلى تثبيت الوحدات الثلاث، فمن المستحسن القيام بذلك باستخدام حل شامل.
العنصر الرئيسي والإلزامي أيضًا في الحماية من الفيروسات هو بالطبع برنامج مكافحة الفيروسات. بدونها، لا يمكننا الحديث عن أمان فعال لمكافحة الفيروسات إذا كنا نتحدث عن جهاز كمبيوتر قادر على تبادل المعلومات مع مصادر خارجية أخرى. حتى امتثال المستخدم لجميع قواعد نظافة الكمبيوتر لا يضمن عدم وجود برامج ضارة في حالة عدم استخدام برنامج مكافحة الفيروسات.
مضاد للفيروسات برمجةعبارة عن حزمة برامج معقدة إلى حد ما، ويتطلب إنشائها جهود فريق من محللي الفيروسات والخبراء والمبرمجين المؤهلين تأهيلاً عاليًا والذين يتمتعون بسنوات عديدة من الخبرة والمعرفة والمهارات المحددة للغاية. تقنية المسح الرئيسية لمكافحة الفيروسات هي تحليل التوقيعيتضمن العمل المستمر على مراقبة حوادث الفيروسات والإصدار المنتظم لتحديثات قواعد بيانات مكافحة الفيروسات. لهذه الأسباب وغيرها، لا يتم دمج برامج مكافحة الفيروسات في أنظمة التشغيل. يمكن أن يكون المرشح المضمن مجرد مرشح بسيط لا يوفر فحصًا كاملاً لمكافحة الفيروسات.
العناصر الرئيسية لأي حماية ضد الفيروسات لمحطة عمل أو خادم شبكة هي الفحص المستمر في الوقت الفعلي، والفحص عند الطلب وآلية تحديث قواعد بيانات مكافحة الفيروسات. كما أنها مطلوبة لحماية جهاز الكمبيوتر المنزلي الخاص بك.
كقاعدة عامة، يوجد على الكمبيوتر المنزلي تبادل مستمر للمعلومات مع مصادر خارجية: يتم تنزيل الملفات من الإنترنت، ونسخها من الأقراص المضغوطة أو عبر الشبكة المحلية المنزلية ثم فتحها وتشغيلها. ولذلك، فإن الأداة الرئيسية في ترسانة الحماية من الفيروسات لجهاز الكمبيوتر المنزلي هي المسح في الوقت الحقيقي. وتتمثل مهمتها في منع النظام من الإصابة.
على جهاز الكمبيوتر المنزلي، يوصى بشدة باستخدام المسح المستمر عند تشغيله - بغض النظر عما إذا كان متصلاً حاليًا بالشبكة، أو ما إذا كان يتم استخدام وسائط التخزين المحمولة الخاصة بشخص آخر، أو ما إذا كان يتم تنفيذ بعض المهام الداخلية فقط. يتميز المسح المستمر بالحد الأدنى من متطلبات النظام اللازمة لتشغيله، وبالتالي يظل برنامج مكافحة الفيروسات الذي يتم تشغيله في هذا الوضع في الغالبية العظمى من الحالات دون أن يلاحظه أحد من قبل المستخدم ويظهر فقط عند اكتشاف فيروسات أو برامج أخرى مشبوهة.
دون الإضرار كثيرًا بجودة الحماية من الفيروسات لجهاز الكمبيوتر المنزلي الخاص بك، يمكنك غالبًا استبعاد فحص رسائل البريد الإلكتروني الصادرة والمحفوظات من الفحص في الوقت الفعلي، ولكن يوصى بفحص جميع الكائنات الأخرى.
كما ذكرنا أعلاه، غالبًا ما يتم تبادل المعلومات على جهاز كمبيوتر منزلي باستخدام الأقراص المضغوطة والأقراص المرنة ووسائط التخزين المحمولة الأخرى: يتم تثبيت ألعاب جديدة ونسخ الكتب الإلكترونية والكتب المدرسية ونسخ الأفلام والموسيقى. يتم استخدام المسح عند الطلب للكشف عن التعليمات البرمجية الضارة التي دخلت النظام. يُنصح جميع المستخدمين المنزليين بشدة بالتحقق من جميع وسائط التخزين المشبوهة بحثًا عن الفيروسات، في كل مرة قبل قراءة الملفات أو نسخها منها. تستغرق هذه الخطوة البسيطة بعض الوقت، ولكنها يمكن أن تقلل بشكل كبير من احتمالية اختراق البرامج الضارة لجهاز الكمبيوتر الخاص بك. بالإضافة إلى ذلك، يوصى بفحص القرص الصلب بالكامل بحثًا عن الفيروسات مرة واحدة على الأقل في الأسبوع.
فيما يتعلق بإعدادات الفحص، يعد هذا الوضع دقيقًا بشكل خاص - حيث تقوم عمليات الفحص عند الطلب عادةً بفحص جميع كائنات نظام الملفات.
فقط تحديث قواعد بيانات مكافحة الفيروسات في الوقت المناسب يمكن أن يضمن التشغيل الصحيح والفعال للجزء الأكثر موثوقية من الحماية من الفيروسات - تحليل التوقيع.
قواعد بيانات مكافحة الفيروسات هي ملفات تحتوي على توقيعات الفيروسات. يتم إنتاجها من قبل شركات تصنيع برامج مكافحة الفيروسات، وبالتالي فهي تختلف باختلاف البرامج - على سبيل المثال، لن يتمكن برنامج Kaspersky Anti-Virus من العمل مع قواعد بيانات Dr.antivirus. الويب والعكس.
يمكنك الحصول على أحدث الإصدارات من قواعد البيانات المطلوبة من موقع الشركة المصنعة باستخدام الأدوات المدمجة في برنامج مكافحة الفيروسات، أو عن طريق نسخ الملفات بنفسك من الموقع. في المواقف العادية، يوصى بالتحديث باستخدام الطريقة الأولى، والثانية أكثر تعقيدًا ومخصصة للمواقف الاستثنائية، على سبيل المثال، إذا كنت تشك في أن وحدات التحديث المضمنة لا تعمل بشكل صحيح أو أنك غير قادر على الوصول مباشرة الإنترنت.
وهذا يعني أنه لتحديث قواعد بيانات مكافحة الفيروسات، يحتاج المستخدم المنزلي عادةً فقط إلى الاتصال بالإنترنت والنقر فوق زر في واجهة برنامج مكافحة الفيروسات لبدء عملية التحديث. إذا لم يتم توفير اتصال بالإنترنت، فإن المخرج الوحيد هو الانتقال إلى موقع الويب الخاص بالشركة المصنعة لمكافحة الفيروسات باستخدام جهاز كمبيوتر آخر، وتنزيل قواعد البيانات ونسخها إلى جهاز الكمبيوتر الخاص بك باستخدام جهاز محمول. يمكن العثور على وصف تفصيلي لهذا الإجراء في دليل المستخدم أو الوثائق الخاصة بالبرنامج.
إن التوسع في شبكة الإنترنت، إلى جانب تحسين قنوات الاتصال بين شبكات الكمبيوتر المختلفة، يجعل تبادل البيانات أسرع بشكل ملحوظ. وبما يتناسب مع نمو قوة تدفق المعلومات، تزداد أيضًا سرعة انتشار الفيروسات. اليوم، من ظهور الفيروس إلى العالم إلى بداية الدمار الشامل، تمر ساعات، وأحيانًا حتى دقائق. في مثل هذه الحالة، يكون المعيار السائد لاختيار أدوات الحماية من الفيروسات هو عدد مرات إصدار الشركة المصنعة لبرنامج مكافحة الفيروسات لتحديثات قاعدة بيانات مكافحة الفيروسات، بالإضافة إلى وقت الاستجابة لحدوث الوباء. اليوم، الشركة الرائدة في هذا المجال هي شركة Kaspersky Lab، التي تمتلك أفضل معدل لإصدار قاعدة بيانات مكافحة الفيروسات، حيث تصدر التحديثات كل ساعة، بينما استقرت معظم الشركات الأخرى على التحديثات اليومية.
ومع ذلك، غالبًا ما تتمتع أجهزة الكمبيوتر المنزلية بنطاق ترددي محدود جدًا، خاصة عند الاتصال عبر خط هاتف عادي. وبالتالي، قد يكون من الصعب على هؤلاء المستخدمين التحقق من وجود قواعد بيانات جديدة لمكافحة الفيروسات كل ساعة. ولذلك، يعتمد جدول التحديث الأمثل بشكل كبير على طريقة الاتصال بالشبكة لديك. بناءً على هذه المعلمة، يمكن تمييز الفئات التالية من المستخدمين المنزليين:
مضاد للفيروسات(أو برنامج مكافحة الفيروسات) هو نوع محدد من البرامج التي تم إنشاؤها لاكتشاف وتحديد وإزالة الرموز الضارة والبرامج والملفات المصابة ورسائل البريد العشوائي وغيرها من المشاكل. بالإضافة إلى ذلك، فإن برنامج مكافحة الفيروسات قادر على منع الرموز غير المرغوب فيها من اختراق نظام تشغيل الكمبيوتر أو الجهاز المحمول، وكذلك معالجة الملفات المصابة بالفعل، مما يمنع حذفها.
تم تطوير برامج مكافحة الفيروسات الحديثة بشكل أساسي لأنظمة التشغيل Windows وMicrosoft في أجيالها المختلفة. والسبب في ذلك هو العدد الهائل من برامج الفيروسات والأكواد التي تم إنشاؤها خصيصًا لهذه المنصة.
هناك العديد من أدوات تطوير الفيروسات المتوفرة، والعديد منها مجاني. وتشمل هذه مولدات الفيروسات والبرامج الخاصة التي تنشئ الفيروسات والديدان وجميع أنواع الأذى الخبيث. ومن الجدير بالذكر أن معظم برامج مكافحة الفيروسات تتعامل بشكل جيد مع إمكانات برامج الفيروسات المجانية.
بعد أن بدأ تطوير الرموز الخبيثة لمنصات مثل Linux وMac OS X، والتي اشتهرت دائمًا بموثوقيتها، ظهرت أيضًا منتجات مكافحة الفيروسات لهذه الأنظمة.
مع انتشار الأجهزة الرقمية المحمولة، أصبح من الضروري إنشاء برامج مكافحة الفيروسات لها، نظرًا لأن أنظمة تشغيل الهواتف المحمولة معرضة أيضًا لخطر الرموز الضارة. إلى جانب أنظمة تشغيل أجهزة الكمبيوتر الشخصية وأجهزة الكمبيوتر المحمولة، تدعم برامج مكافحة الفيروسات الحديثة منصات مثل Apple iOS وWindows Mobile وSymbian وAndroid وBlackBerry وWindows Phone 7 وغيرها.
هناك حاجة إلى نهج متكامل لمسألة تنظيم منتجات مكافحة الفيروسات. هناك ثلاثة معايير أساسية يتم من خلالها تصنيف منتجات مكافحة الفيروسات: الأنظمة الأساسية المستهدفة، والوظائف، وأنواع أدوات الحماية من الفيروسات المستخدمة.
نظرًا لأن نظام التشغيل الأكثر شيوعًا بين المستخدمين هو Windows وMicrosoft، فلنلقِ نظرة على تأثير برنامج مكافحة الفيروسات باستخدام هذا النظام الأساسي كمثال. مخطط التشغيل النموذجي لبرنامج مكافحة الفيروسات هو كما يلي:
يعتمد عمل برامج مكافحة الفيروسات إلى حد كبير على قواعد بيانات مكافحة الفيروسات الخاصة بها. هذا هو المكان الذي يتم فيه تخزين المعلومات الضرورية حول الفيروسات الموجودة حاليًا. نظرًا لأن عدد البرامج والأكواد الضارة يتزايد في كل مرة، ويختلف نوع عملها، فإن برامج مكافحة الفيروسات تحتاج إلى المراقبة المستمرة لظهور فيروس معين. يتم تحديد رمز الفيروس وسلوكه، وبعد ذلك يصبح من الممكن اختيار طريقة لمكافحته.
في أغلب الأحيان، يحدث نشاط الفيروس عند بدء تشغيل نظام التشغيل. في هذه الحالة، يكفي حذف سلاسل بدء التشغيل الخاصة به من السجل. ومع ذلك، هناك فيروسات أكثر تعقيدًا يمكنها إصابة الملفات. من بينها قد تكون ملفات النظام المهمة وحتى ملفات برنامج مكافحة الفيروسات، والتي، بعد أن أصيبت برموز ضارة، تبدأ في التصرف وفقًا لشروطها. ولحسن الحظ، تعمل منتجات مكافحة الفيروسات أيضًا على تحسين أساليب الحماية الخاصة بها من خلال لغات برمجة أكثر تقدمًا. ومع ذلك، يظل التهديد بهجمات الفيروسات قائمًا، خاصة في ضوء توقع زيادة عدد الفيروسات المحمية ضد النسخ.
تشمل بعض العلامات التجارية الأكثر شهرة لبرامج مكافحة الفيروسات ما يلي:
بالإضافة إلى الشركات المدرجة، تنتج شركات مثل Norton وPanda وZone Alarm وغيرها منتجات مكافحة فيروسات عالية الجودة وشعبية، ولكننا سنناقش كل منها بالتفصيل أدناه.
وصف إيجابيات وسلبيات منتج مكافحة الفيروسات NOD32 (NOD32) فيما يتعلق بالمنتجات التنافسية
لقد عرفت مضادات الفيروسات منذ فترة طويلة. بالتأكيد سمع جميع الناس عن مثل هذه البرامج، حتى أولئك البعيدين عن تكنولوجيا الكمبيوتر. من حيث المبدأ، بشكل عام، يعد برنامج مكافحة الفيروسات هو المفتاح لفهم أمان نظام الكمبيوتر بأكمله وسلامة البيانات.
إذا تحدثنا عن برنامج مكافحة الفيروسات، فهو، بشكل تقريبي، تطبيق واحد أو مجموعة من الأدوات البرمجية المصممة لحماية النظام والمعلومات من البرامج الضارة، والبحث عن الفيروسات والتعرف عليها، أو إزالتها أو معالجة مكونات النظام المصابة ملفات النموذج أو التطبيقات المثبتة.
وبالتالي، يمكننا القول أن برنامج مكافحة الفيروسات هو برنامج للحماية الشاملة لنظام الكمبيوتر من التهديدات الخارجية التي يمكن أن تخترقه من الإنترنت أو عبر البريد الإلكتروني أو باستخدام الوسائط القابلة للإزالة.
أما بالنسبة للتصنيف، فيمكن تقسيم مضادات الفيروسات بشكل مشروط حسب الغرض منها وتقنيات التحليل، ناهيك عن البيئة التي من المفترض أن تعمل فيها.
من حيث الغرض، فإن برنامج مكافحة الفيروسات هو إما برنامج واحد لتحليل أو تحديد أو إزالة الرموز والتطبيقات الضارة، أو حزمة برامج مدمجة قادرة ليس فقط على تنفيذ الإجراءات المذكورة أعلاه، ولكن أيضًا توفير حماية شاملة من حيث العمل على شبكة الويب العالمية وتلقي وإرسال البريد الإلكتروني والحماية من وحدات برامج التجسس التي يمكنها سرقة المعلومات في الخلفية عندما لا يكون المستخدم على علم بها، وما إلى ذلك. (هذه هي ما يسمى إصدارات مكافحة الفيروسات).
أبسط مثال هو النوعين Eset NOD32 و Eset Smart Security.
تتمتع الحزمة الثانية بقدرات أكبر ولا يمكنها فقط اكتشاف وجودها في النظام ومعالجة الملفات الأخرى. إنه يتمتع بوظيفة قوية جدًا حتى لحماية نظام الكمبيوتر والبيانات عند الاتصال المستمر بالإنترنت، ويحتوي البرنامج أيضًا على وظيفة حماية "استباقية"، ويمكنه إنشاء نسخ احتياطية للاسترداد، ويمكنه تشفير البيانات وغير ذلك الكثير.
تحتل طرق التحليل أيضًا مكانًا مهمًا في تصنيف مثل هذه البرامج. وهي مقسمة إلى التوقيع والاحتمالية.
تعتمد طريقة التوقيع على حقيقة أن برنامج مكافحة الفيروسات يقارن بنية الملفات المشبوهة بتلك المخزنة في قاعدة بيانات التوقيع. ولهذا السبب يمكننا القول أن برنامج مكافحة الفيروسات هو تطبيق يتطلب التحديث باستمرار. وكما هو واضح بالفعل، فإن هذه المنهجية لا توفر ضمانًا أمنيًا بنسبة 100%، لأن البرنامج لا يمكنه اكتشاف سوى فيروس معروف بالفعل. ومن بين أبسط البرامج من هذا النوع برنامج Avast، وهو مضاد فيروسات مجاني.
أما هذا النوع من التحليل فهو ينقسم إلى تحليل إرشادي وسلوكي واختباري.
باختصار، يعد برنامج مكافحة الفيروسات وسيلة لمقارنة بنية الملفات بناءً على الفيروسات المعروفة بالفعل، بالإضافة إلى تحديد الخوارزميات التي تستخدمها في عملها.
يتضمن التحليل السلوكي احتمالية القيام بإجراءات معينة. ينطبق هذا في الغالب على وحدات الماكرو أو البرامج النصية أو التطبيقات الصغيرة القابلة للتنفيذ. بمعنى آخر، هذه التقنية قادرة على التنبؤ بالإجراء الذي يمكن تنفيذه بواسطة ملف أو تطبيق معين مشبوه.
مقارنة المجموع الاختباري هي تقنية يتم من خلالها كتابة المجاميع الاختبارية للملف في ذاكرة التخزين المؤقت ثم مقارنتها بالقيم اللاحقة. يمكن التوصل إلى استنتاج حول وجود تهديد بناءً على حقيقة إجراء تغييرات متزامنة أو هائلة على كائنات النظام.
كما هو واضح بالفعل، تحتوي جميع الأساليب تقريبا على تحديد مشروط للغاية لوجود الفيروس. لذلك، على سبيل المثال، Avast هو برنامج مضاد للفيروسات يمكن أن يخطئ في تنفيذ بعض أوامر الماكرو باعتباره تهديدًا، في حين أنه في الواقع ليس فيروسًا أو تعليمات برمجية ضارة. كل طريقة لتقييم احتمالية التهديد لها إيجابياتها وسلبياتها. لكن دمجها في منتج برمجي واحد يعطي نتائج ملموسة أكثر، مما يسمح لك بتحديد الرموز أو برامج التجسس بناءً على التحليل التراكمي.
أما بالنسبة لبرامج مكافحة الفيروسات، يوجد الآن في عالم تكنولوجيا الكمبيوتر الكثير من التطبيقات البسيطة والمجمعات متعددة الوظائف بأكملها. ولعل الحزمة البرمجية الأكثر شهرة يمكن أن تسمى Kaspersky Anti-Virus، والتي تتمتع اليوم بأكبر الإمكانيات مقارنة بجميع المنتجات الأخرى.
صحيح أن هذه الحزمة مصممة للأنظمة القوية جدًا من حيث الأداء، لأنها تعطي مثل هذا الحمل في الوضع النشط بحيث أن أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة منخفضة الطاقة سوف "تختنق" ببساطة أثناء التشغيل. ومع ذلك، فإن Kaspersky Anti-Virus لديه الحد الأدنى ومتطلبات النظام الموصى بها لأجهزة الكمبيوتر. لذلك لن تتمكن من تثبيته على كل جهاز كمبيوتر حتى الآن.
منتجات شركة Eset Corporation لا تقل شعبية. الأنظمة الأكثر شعبية هنا هي Eset NOD32 و Eset Smart Security، والتي تم ذكرها أعلاه. تجدر الإشارة إلى أن منتجات Kaspersky Lab وEset مدفوعة الأجر أو تجريبية، لذلك سيتعين عليك دفع مبلغ كبير مقابلها (بالطبع، بشرط استخدام برنامج مرخص). وغني عن القول أنه يمكن أيضًا العثور على الإصدارات المتشققة على الإنترنت. ولكن حتى المتسللين أنفسهم لا يستطيعون تقديم ضمانات بالوظائف الكاملة.
من بين البرامج المجانية، يفضل العديد من المستخدمين Avast وAVG وMcAffee وNorton Antivirus وما إلى ذلك. من حيث المبدأ، يوجد الآن عدد كبير جدًا من برامج مكافحة الفيروسات، لذلك يختار كل مستخدم ما يعمل معه وكيفية حماية النظام.
ربما يكون معظم المستخدمين قد فهموا بالفعل أن برنامج مكافحة الفيروسات هو برنامج للحماية الكاملة ليس فقط من الفيروسات، ولكن أيضًا من العديد من تهديدات الجهات الخارجية المتعلقة بالتجسس أو سرقة المعلومات السرية، بشكل عام، من كل ما قد يشكل تهديدًا على نظام التشغيل والأجهزة (توجد أيضًا مثل هذه الفيروسات) وملفات المستخدم المخزنة على القرص الصلب أو الوسائط القابلة للإزالة أو حتى في التخزين السحابي.
في الوقت الحالي، يتم تطوير برنامج مكافحة الفيروسات بشكل أساسي لعائلة نظام التشغيل Windows من Microsoft، والذي يرجع السبب فيه إلى العدد الكبير من البرامج الضارة المخصصة لهذا النظام الأساسي (وهذا بدوره يرجع إلى الشعبية الكبيرة لنظام التشغيل هذا ، فضلاً عن العدد الكبير من أدوات التطوير بما في ذلك الأدوات المجانية وحتى "تعليمات كتابة الفيروسات"). حاليًا، تدخل المنتجات إلى السوق لمنصات كمبيوتر سطح المكتب الأخرى، مثل Linux وMac OS X. ويرجع ذلك إلى بداية انتشار البرامج الضارة لهذه المنصات، على الرغم من أن الأنظمة المشابهة لنظام UNIX كانت مشهورة دائمًا بموثوقيتها. على سبيل المثال، يُظهر مقطع الفيديو الشهير "Mac or PC" الميزة الكوميدية لنظام التشغيل Mac OS على Windows والحصانة الأكبر ضد الفيروسات لنظام التشغيل Mac OS مقارنة بنظام التشغيل Windows.
بالإضافة إلى أنظمة تشغيل أجهزة الكمبيوتر المكتبية والمحمولة، هناك أيضًا منصات للأجهزة المحمولة، مثل Windows Mobile وSymbian وiOS Mobile وBlackBerry وAndroid وWindows Phone 7 وغيرها. كما أن مستخدمي الأجهزة التي تعمل بأنظمة التشغيل هذه معرضون أيضًا لخطر الإصابة. مع البرامج الضارة، لذلك يقوم بعض مطوري برامج مكافحة الفيروسات بإنتاج منتجات لمثل هذه الأجهزة.
يمكن تصنيف منتجات مكافحة الفيروسات وفقًا لعدة معايير، مثل: تقنيات الحماية من الفيروسات المستخدمة، ووظائف المنتج، والأنظمة الأساسية المستهدفة.
وفقًا لتقنيات الحماية من الفيروسات المستخدمة:
حسب وظيفة المنتج:
حسب المنصات المستهدفة:
يمكن أيضًا تصنيف منتجات مكافحة الفيروسات لمستخدمي الشركات حسب كائنات الحماية:
في عام 2009، تم الانتشار النشط لما يسمى. برامج مكافحة الفيروسات الزائفة - برنامج ليس مضادًا للفيروسات (أي ليس لديه وظيفة حقيقية لمواجهة البرامج الضارة)، ولكنه يتظاهر بأنه كذلك. في الواقع، يمكن أن تكون برامج مكافحة الفيروسات الزائفة إما برامج لخداع المستخدمين وتحقيق ربح في شكل مدفوعات مقابل "علاج النظام من الفيروسات"، أو برامج ضارة عادية. هذا التوزيع متوقف حاليا.
عند الحديث عن أنظمة ميكروسوفت، عادةً ما يعمل برنامج مكافحة الفيروسات وفقًا للمخطط التالي:
لاستخدام برامج مكافحة الفيروسات، يلزم إجراء تحديثات مستمرة لما يسمى بقواعد بيانات مكافحة الفيروسات. أنها توفر معلومات حول الفيروسات - كيفية العثور عليها وتحييدها. وبما أن الفيروسات تتم كتابتها بشكل متكرر، فمن الضروري إجراء مراقبة مستمرة لنشاط الفيروس على الشبكة. ولهذا الغرض، هناك شبكات خاصة تقوم بجمع المعلومات ذات الصلة. وبعد جمع هذه المعلومات، يتم تحليل مدى ضرر الفيروس، وتحليل كوده وسلوكه، ومن ثم تحديد طرق مكافحته. في أغلب الأحيان، يتم إطلاق الفيروسات مع نظام التشغيل. في هذه الحالة، يمكنك ببساطة حذف أسطر بدء تشغيل الفيروس من السجل، وفي هذه الحالة البسيطة قد تنتهي العملية. تستخدم الفيروسات الأكثر تعقيدًا القدرة على إصابة الملفات. على سبيل المثال، هناك حالات حيث حتى بعض برامج مكافحة الفيروسات، المصابة، أصبحت هي نفسها سبب إصابة البرامج والملفات النظيفة الأخرى. لذلك، تتمتع برامج مكافحة الفيروسات الحديثة بالقدرة على حماية ملفاتها من التغييرات والتحقق من سلامتها باستخدام خوارزمية خاصة. وهكذا أصبحت الفيروسات أكثر تعقيدا، وكذلك طرق مكافحتها. يمكنك الآن رؤية الفيروسات التي لم تعد تشغل عشرات الكيلوبايت، بل مئات، وأحيانًا يمكن أن يصل حجمها إلى بضع ميغابايت. عادة، تتم كتابة هذه الفيروسات بلغات برمجة ذات مستوى أعلى، لذلك يكون إيقافها أسهل. ولكن لا يزال هناك تهديد من الفيروسات المكتوبة برموز الآلة ذات المستوى المنخفض مثل لغة التجميع. تصيب الفيروسات المعقدة نظام التشغيل، وبعد ذلك يصبح عرضة للخطر وغير صالح للعمل. لسوء الحظ، وفقًا للتوقعات، في المستقبل القريب، سيصبح عمل شركات مكافحة الفيروسات أكثر صعوبة نظرًا لحقيقة أن الفيروسات المحمية ضد النسخ ستنتشر بسرعة أكبر.
البرمجيات الخبيثة | |
---|---|
البرمجيات الخبيثة المعدية | فيروس الكمبيوتر (قائمة) · دودة الشبكة (قائمة) · حصان طروادة · فيروس التمهيد · الجدول الزمني |
طرق الإخفاء | الباب الخلفي · كمبيوتر الزومبي · Rootkit |
البرامج الضارة من أجل الربح |
برامج الإعلانات المتسللة · برامج الخصوصية · برامج الفدية (Trojan.Winlock) · برامج التجسس · الروبوتات · الروبوتات · تهديدات الويب · Keylogger · أداة انتزاع النماذج · برامج الرعب · تاجر المواد الإباحية |
بواسطة نظام التشغيل | برامج Linux الضارة · فيروسات Palm OS · فيروس الماكرو · فيروس الهاتف المحمول |
حماية | الحوسبة الدفاعية برنامج مضاد للفيروسات· جدار الحماية · نظام كشف التسلل · منع تسرب المعلومات · التسلسل الزمني لمكافحة الفيروسات |
التدابير المضادة | تحالف مكافحة برامج التجسس · مراقبة الكمبيوتر · مصيدة الجذب · العملية: Bot Roast |
مؤسسة ويكيميديا. 2010.
وكذلك البرامج غير المرغوب فيها (التي تعتبر ضارة) واستعادة الملفات المصابة (المعدلة) بهذه البرامج والوقاية - منع إصابة (تعديل) الملفات أو نظام التشغيل بتعليمات برمجية ضارة.
يتم استخدام ثلاث مجموعات من الأساليب للحماية من الفيروسات:
طريقة مسح التوقيع(تحليل التوقيع، طريقة التوقيع) تعتمد على البحث في الملفات عن تسلسل فريد من البايتات - التوقيعات، سمة من فيروس معين. لكل فيروس تم اكتشافه حديثًا، يقوم المتخصصون في مختبرات مكافحة الفيروسات بإجراء تحليل للكود، يتم على أساسه تحديد توقيعه. يتم وضع جزء التعليمات البرمجية الناتج في قاعدة بيانات خاصة لتوقيعات الفيروسات، والتي يعمل معها برنامج مكافحة الفيروسات. تتمثل ميزة هذه الطريقة في النسبة المنخفضة نسبيًا من الإيجابيات الكاذبة، والعيب الرئيسي هو الاستحالة الأساسية لاكتشاف فيروس جديد في النظام لا يوجد له توقيع في قاعدة بيانات برنامج مكافحة الفيروسات، لذا فإن تحديث قاعدة بيانات التوقيع في الوقت المناسب يعد أمرًا ضروريًا مطلوب.
طريقة مراقبة النزاهةيعتمد على حقيقة أن أي تغيير غير متوقع وغير مبرر في البيانات الموجودة على القرص يعد حدثًا مشبوهًا يتطلب اهتمامًا خاصًا من نظام مكافحة الفيروسات. يترك الفيروس بالضرورة دليلاً على وجوده (التغييرات في بيانات الملفات الموجودة (خاصة النظام أو الملفات القابلة للتنفيذ)، وظهور ملفات قابلة للتنفيذ جديدة، وما إلى ذلك). حقيقة تغيير البيانات - انتهاك النزاهة- يمكن إنشاؤه بسهولة عن طريق مقارنة المجموع الاختباري (الملخص)، المحسوب مسبقًا للحالة الأولية للكود قيد الاختبار، والمجموع الاختباري (الملخص) للحالة الحالية للكود قيد الاختبار. إذا لم تتطابق، فهذا يعني أنه تم انتهاك السلامة وهناك كل الأسباب لإجراء تحقق إضافي من هذا الرمز، على سبيل المثال، عن طريق مسح توقيعات الفيروسات. تعمل هذه الطريقة بشكل أسرع من طريقة مسح التوقيع، نظرًا لأن حساب المجاميع الاختبارية يتطلب عمليات حسابية أقل من عملية مقارنة أجزاء التعليمات البرمجية بايت بايت، بالإضافة إلى أنها تسمح لك باكتشاف آثار نشاط أي فيروسات، بما في ذلك الفيروسات غير المعروفة، والتي لا توجد توقيعات في قاعدة البيانات حتى الآن.
طريقة لفحص الأوامر المشبوهة(المسح الإرشادي، الطريقة الإرشادية) يعتمد على تحديد عدد معين من الأوامر المشبوهة و (أو) علامات تسلسلات التعليمات البرمجية المشبوهة في الملف الممسوح ضوئيًا (على سبيل المثال، أمر لتهيئة محرك أقراص ثابتة أو وظيفة الإدراج في عملية قيد التشغيل أو التعليمات البرمجية القابلة للتنفيذ). بعد ذلك، يتم افتراض الطبيعة الضارة للملف ويتم اتخاذ خطوات إضافية للتحقق منه. هذه الطريقة سريعة، لكنها في كثير من الأحيان غير قادرة على اكتشاف الفيروسات الجديدة.
طريقة لتتبع سلوك البرنامجيختلف بشكل أساسي عن طرق فحص محتوى الملف المذكورة سابقًا. تعتمد هذه الطريقة على تحليل سلوك البرامج قيد التشغيل، والتي يمكن مقارنتها بالقبض على مجرم "بيده" في مسرح الجريمة. غالبًا ما تتطلب أدوات مكافحة الفيروسات من هذا النوع المشاركة النشطة للمستخدم، حيث يتم استدعاؤه لاتخاذ قرارات استجابةً للعديد من تحذيرات النظام، والتي قد يتبين فيما بعد أنها إنذارات كاذبة. تكرار النتائج الإيجابية الخاطئة (الاشتباه بوجود فيروس لملف غير ضار أو فقدان ملف ضار) فوق حد معين يجعل هذه الطريقة غير فعالة، وقد يتوقف المستخدم عن الاستجابة للتحذيرات أو يختار استراتيجية متفائلة (السماح بجميع الإجراءات لجميع البرامج قيد التشغيل أو قم بتعطيل ميزة مكافحة الفيروسات هذه). عند استخدام أنظمة مكافحة الفيروسات التي تحلل سلوك البرامج، هناك دائمًا خطر تنفيذ أوامر تعليمات برمجية للفيروسات التي يمكن أن تتسبب في تلف الكمبيوتر أو الشبكة المحمية. للتخلص من هذا العيب، تم تطوير طريقة المحاكاة (المحاكاة) لاحقًا، والتي تتيح لك تشغيل البرنامج قيد الاختبار في بيئة (افتراضية) تم إنشاؤها بشكل مصطنع، والتي تسمى غالبًا صندوق الحماية، دون التعرض لخطر الإضرار ببيئة المعلومات. لقد أظهر استخدام أساليب تحليل سلوك البرنامج كفاءتها العالية في اكتشاف البرامج الضارة المعروفة وغير المعروفة.
في عام 2009، بدأ الانتشار النشط لمضادات الفيروسات الزائفة [ ] - برنامج ليس مضادًا للفيروسات (أي ليس لديه وظيفة حقيقية لمواجهة البرامج الضارة)، ولكنه يتظاهر بذلك. في الواقع، يمكن أن تكون برامج مكافحة الفيروسات الزائفة إما برامج لخداع المستخدمين وتحقيق ربح في شكل مدفوعات مقابل "علاج النظام من الفيروسات"، أو برامج ضارة عادية.
في نوفمبر 2014، أصدرت منظمة العفو الدولية لحقوق الإنسان برنامجًا لمكافحة الفيروسات مصممًا للكشف عن البرامج الضارة التي توزعها الوكالات الحكومية للتجسس على النشطاء المدنيين والمعارضين السياسيين. يقوم برنامج مكافحة الفيروسات، وفقًا للمبدعين، بإجراء فحص أعمق للقرص الصلب مقارنة ببرامج مكافحة الفيروسات التقليدية.
نشرت شركة Imperva التحليلية، كجزء من مبادرة Hacker Intelligence Institute، دراسة مثيرة للاهتمام توضح انخفاض فعالية معظم برامج مكافحة الفيروسات في الظروف الحقيقية.
وفقًا لنتائج الاختبارات الاصطناعية المختلفة، تظهر مضادات الفيروسات متوسط كفاءة يصل إلى حوالي 97%، ولكن يتم إجراء هذه الاختبارات على قواعد بيانات تضم مئات الآلاف من العينات، والتي لم تعد الغالبية العظمى منها (ربما حوالي 97%) مستخدمة تنفيذ الهجمات.
والسؤال هو ما مدى فعالية برامج مكافحة الفيروسات في مواجهة التهديدات الحالية. للإجابة على هذا السؤال، حصلت شركة Imperva وطلاب من جامعة تل أبيب على 82 عينة من أحدث البرامج الضارة من المنتديات الروسية السرية وقاموا باختبارها ضد VirusTotal، أي مقابل 42 محركًا مضادًا للفيروسات. وكانت النتيجة كارثية.
تنقسم برامج مكافحة الفيروسات حسب التنفيذ (وسائل الحجب) إلى:
بناءً على موضعها في ذاكرة الوصول العشوائي (RAM)، يتم تمييز ما يلي:
بناءً على نوع (طريقة) الحماية من الفيروسات هناك:
وفقًا للقانون التنظيمي الصادر عن FSTEC في روسيا "المتطلبات في مجال التنظيم الفني للمنتجات المستخدمة لحماية المعلومات التي تشكل سرًا من أسرار الدولة أو المصنفة على أنها معلومات وصول مقيدة أخرى محمية وفقًا لتشريعات الاتحاد الروسي (متطلبات وسائل الحماية من الفيروسات)" (تمت الموافقة عليها بأمر من FSTEC في روسيا بتاريخ 20 مارس 2012 رقم 28) يتم تمييز الأنواع التالية من الحماية من الفيروسات:
لا تُستخدم أدوات الحماية من الفيروسات من النوع "أ" في أنظمة المعلومات بشكل مستقل وهي مخصصة للاستخدام فقط مع أدوات الحماية من الفيروسات من النوع "ب" و(أو) "ج".