Professional Documents
Culture Documents
داستان آنتی ویروس
داستان آنتی ویروس
ت پای
قسم
به شمار میآيد. همانطور كه در قس��مت نخس��ت نوش��تار پيش رو گفتيم ،امروزه آنتیويروسها براي
برای مثال ،ويروسنويس��ان براي نوشتن يک ويروس از روشهای خاص و پيشرفتهای شناسايی و ش��کار بدافزارهای مختلف از روشها و راهکارهای متفاوتي استفاده میكنند
اس��تفاده میكنند كه از آن جمله میتوان به «»Oligomorphic« ،»Polymorphic كه « »Heuristics Detectionيکی از اين روشهاس��ت .در اين روش ،با قرار دادن
و « »Metamorphicاش��اره كرد .اين روشها گاهي رفتارها و كنشهای ويروس��ی از تعدادی از بدافزارهای مش��ابه در يک خانواده و اختصاص يک امضاي ديجيتالی عمومی
يک خانواده شناختهش��ده را آنچنان متحول و دگرگون میكنند كه برخی آنتیويروسها به آن و پيادهس��ازی يک الگوريتم شناس��ايی كارآمد در آنتیويروس ،امکان شناس��ايی و
در تطبيق ويروس مذكور با امضای عمومی و الگوريتم شناس��ايی كه تيم توسعهدهنده بر حذف س��ريعتر نمونهه��ای مختلف همخانواده و همنژاد ب��ا آن امضاي ديجيتال عمومی
مبنای تجزيه و تحليلهای آماری مبتنی بر رفتارهای يک ويروس خاص يا يک خانواده فراهم میشود.
ويروس طراحی و پيادهسازی كردهاند ،دچار خطا و اشتباه ميشوند. اما فراموش نکنيم ،ي��ک ويروسنويس حرفهای و كاربلد ،جديدترين ابزارها و روشهای
ش��ايان ذكر است ،ميزان اين دس��ته خطاها در آنتیويروسهای مختلف بسته به توانايی شناس��ايی ب��هكار گرفته ش��ده در آنتیويروسها را به دقت بررس��ی و رص��د كرده و در
و دان��ش فن��ی تيم توس��عهدهنده آن در طراحی و پيادهس��ازی الگوريتمهای شناس��ايی نهاي��ت ،دير يا زود راه فرار از تلههای پيشبينیش��ده را پيدا میكند .اين بدان معناس��ت
متفاوت است. كه ويروسنويس��ان همواره يک گام جلوتر از جديدترين نس��خه آنتیويروسها هستند.
از طرف ديگر ،از آنجا كه توسعه و بهروزرسانی و تغييرات در موتور راهانداز «،»Oligomorphic ارتباط خودكار مکرر آنتیويروسها (نس��خههای رجيسترشده) با بانک اطالعاتی آنالين
« »Polymorphicو « »Metamorphicكاری بسيار دشوار و پيچيده است و با توجه و بهروزش��دنهای گاه��ي چندباره در ط��ول روز به تنهايی دليل بس��يار محکمی بر اين
به اش��راف آنتیويروسها به نوع فناوري بهكار رفته در نوش��تن ويروسها ،امروزه شاهد ادعا و اهميت واكس��ينه ش��دن آنتیويروس در برابر تهديدات جديد اس��ت .روش فوق با
هس��تيم ،الگوريتمهای طراحیش��ده براي حذف اين قبيل ويروسه��ا دارای درصد قابل وج��ود مزايای فراوانی كه در صورت انتخاب درس��ت امض��ای عمومی برای يک خانواده
قبولي در شناسايی هستند. و پيادهس��ازی الگوريتم تش��خيصی پيش��رفته در آنتی ويروس به همراه دارد ،هرگز فارغ
با توجه به مطالبی كه مطرح ش��د ،يکی از مالکه��ای موفقيت آنتیويروسهايی كه از از عي��ب و نقص نيس��ت و گاهي دچار خطا و اش��تباه میش��ود .به خطاهاي��ی كه در آن
فناوري Heuristic Analysisاس��تفاده میكنند ،كم بودن تعداد تش��خيص اش��تباه يا آنتیويروس فايل سالمی را ويروس تشخيص میدهد ،در اصطالح «»False Positive
همان False Positiveاست. میگوين��د .ميزان اين خطا يکی از فاكتورهای مهم در عملکرد آنتیويروسهای امروزی
احساس خطر از جانب نرمافزار آنتیويروس به اجرای عمليات میاندازند .با اين اوصاف ،میتوان چنين نتيجه گرفت ،حذف روش شناسایی روتکیتها ()Rootkit Detection
خرابکارانه خود بپردازند .بدون ش��ک ،يک��ی از بارزترين و روتكيتها از سيس��تم آلوده بسيار سختتر و پيچيدهتر از يک��ی از روشه��ای جدي��دی ك��ه چند س��الی اس��ت به
جنجالیترين و جديدترين نمونه از روتكيتهای پيشرفته ديگر بدافزارهاس��ت .بهطوری كه گاهي ش��ما را مجبور به نرمافزاره��ای آنتیويروس اضافه ش��ده ،روش تش��خيص
و قدرتمند ،بدافزار جاسوسی استاكسنت است كه اولين بار نصب دوباره سيستمعامل میكنند. بدافزارهای مركب و پيچيده موس��وم به Rootkitاس��ت،
توس��ط آنتیويروس VBA32شناس��ايی و به دنيا معرفی روتكيتها بهگونهای طراحی ش��دهاند كه پس از ورود به روتكيتها بدافزارهايی هس��تند كه امکان دسترس��ی در
ش��د .روتكيتی كه در پروژه آلودهسازی خود دارای بيشتر سيس��تمهای كامپيوتری ،آنتیويروسها را به خود مشغول س��طح Administratorرا در سيستمهای آلوده فراهم
از چهارده مهاجم بود .از موارد مطرحشده ،اين معنی برداشت ك��رده و گاهي اوقات آنه��ا را كام�� ً
ال از كار میاندازند تا ميكنند و گاهي حتی در فرآيند سيس��تمعامل هم دخالت
میش��ود كه يکی از مالکه��ای انتخاب يک آنتیويروس بدافزارهای ديگری كه قسمتی از فرآيند آلودهسازی توسط ك��رده و تغييرات��ی را ب��ه وج��ود میآورند .بعض��ی اوقات
قدرتمند ،داشتن فناوري مقابله با روتكيتهاست ،موردی آن روتكيت خاص هس��تند ،بتوانند با خيال آسوده و بدون روتكيتها حت��ی نرمافزارهای آنتیوي��روس را نيز از كار
سرويسپک س��ه بهعنوان يک بدافزار توسط آنتیويروس اش��تباه يک فايل موردنياز و حس��اس سيستمعامل يا يک كه تا دو س��ال پيش حتی روی بعضی از آنتیويروسهای
McAfeeباعث شد ،تمامی دسترسیهای شبکه روی آن برنام��ه كارب��ردی ،باعث خواهدش��د ،آن برنام��ه غيرقابل معروف همچون Avastبهكار گرفته نشدهبود.
سيستمها غيرفعال شود. اس��تفاده ش��ود .از اين رو ،يکی از مالکهای انتخاب يک
در دس��امبر ،2010ارائه يک بهروزرس��اني معيوب توس��ط آنتیويروس خوب و مناسب ،تعداد اشتباهات كم در آزمون فرصت مرگ یا زندگی!...
آنتیويروس AVGباعث تخريب تمامی سيستمعاملهای False Positiveاست .هرچه اين تعداد كمتر باشد ،رتبه يکی از تس��تهايی ك��ه به تازگ��ي روی آنتیويروسهای
ويندوز هفت 64بيتی ش��د ،بهطوری كه براي رفع مشکل آنتیويروس باالتر خواهدبود .برای روش��نتر شدن اهميت مبتن��ی بر Heuristic Analysisانجام میگيرد ،تس��ت
بايد سيستمعامل دوباره نصب و راهاندازی میشد. فاكتور False Positiveدر انتخاب آنتیويروس ،دانستن False positiveاس��ت .تش��خيص اش��تباه ي��ا هم��ان
و در نهاي��ت در اكتبر ،2011آنتیوي��روس Microsoft چند نمونه مستند كافيست: False positiveزمان��ی اتف��اق میافتد كه يک نرمافزار
Security Essentialبه اشتباه فايلهای اجرای مرورگر در ماه می س��ال 2007ميالدی ،اضافه شدن يک امضاي آنتیويروس به اش��تباه ي��ک فايل س��الم را بهعنوان يک
Google Chromeرا از روی سيس��تمها ح��ذف ك��رد. ديجيتالی معيوب به آنتیويروس Symantecباعث ش��د، بدافزار شناس��ايی و حذف میكند .حذف يک فايل س��الم
همانطور كه از مطالب مطرحشده برداشت میشود ،تأثيرات بعضی از فايلهای ضروری سيس��تمعامل ويندوز به اشتباه از روی سيس��تم میتواند مش��کالت جبران ناپذيری برای
گزينه False Positiveمیتواند هزينههای س��نگينی را حذف شود و اين امر باعث از كار افتادن سيستمعامل تعداد سيستمهای كامپيوتری در حال اجرا به وجود بياورد.
به همراه داشتهباش��د كه يک انتخاب مطمئن میتواند اين بسيار زيادی كامپيوتر شد. برای مثال ،اگر يک نرمافزار آنتیويروس بهگونهای طراحی
هزينهها را به حداقل برساند. در آوريل ،2010شناسايی فايل svchost.exeويندوز XP شدهباشد كه فايلهای آلوده را به سرعت حذف كند ،حذف
تستازنوعآنتیویروسی
رتبهبن��دی آنتیويروسه��ا برحس��ب درصد شناس��ايی و وس��يله يا گجت س��ختافزاری (نوتبوک،تبلت ،موبايل،
پاکسازی ويروسها مرتب میش��ود (اين تست در حالت دوربين و )...تناسب كارآيی و قيمت محصول با نياز و بودجه بد نيست بدانيم ،در حال حاضر مراكزی در دنيا وجود دارند
On Demandانجام میگيرد). هر كاربر است كه بهترين گزينه را مشخص میكند .البته با كه تس��تهای مختلفی را روی نرمافزارهای آنتیويروس
:Performance Testsميزان تأثير آنتیويروسها روی اين پيشفرض كه كاربر قرار است بابت آنتیويروس پولی انج��ام داده و نتايج آن را در وبس��ايتهای خود منتش��ر
كارايی و سرعت سيستم در اين قسمت بررسی ميشود. بپردازد و با مجوز ( )Licenseاصلی و قانونی از آن استفاده میس��ازند ،مراك��زی چ��ون AV-Comparativesدر
:Heuristic Testsدر اي��ن تس��ت ،ت��وان عمل��ی كند! (قبول داريم كه هنوز اين مسئله برای بعضی (شايد هم اتري��ش Anti-Malware ،در روس��يه و Virusbtnدر
آنتیويروسه��ا در شناس��ايی ويروسه��ای جدي��د بس��ياری) از كاربران ايرانی ،به خصوص از لحاظ اقتصادی امريکا كه تس��تهای بسيار پيش��رفتهای را به صورت فنی
(ويروسهاي��ی كه امضای آنها هن��وز در بانک اطالعاتي توجيه منطقی ندارد اما)... روی آنتیويروسها انجام میدهند .البته وبسايتهايی نيز
آنتیويروسه��ا افزوده نشدهاس��ت) ،با اس��تفاده از فناوري مانند Top Ten Reviewsهس��تند كه بيشتر به صورت
Heuristicارزيابی ميشود. براي آش�نایی بیش�تر ش�ما عزیزان به اختصار آم��اری ،رتبهبندیهايی را ب��رای آنتیويروسه��ا در نظر
:Anti-Rootkit Testsدر اي��ن قس��مت ميزان توانايی ب�ه معرف�ی برخ�ی از ای�ن آزمونها و تس�تها میگيرند ،آماری بر مبنای ميزان فروش و. ...
آنتیويروسها در كش��ف روتكيتهای جديد و ناشناخته میپردازیم: نتاي��ج آزمونه��ای دورهای البراتوارهای تخصصی فوق و
بررسی و آزمايش ميشود. :Detection Testsدر اين تست كه هر سه ماه يکبار نشانهای ( )Awardكسبشده توسط هر آنتیويروس در
:Self-Protectionاي��ن تس��ت ،مي��زان تواناي��ی انجام میگيرد ،مجموعهای از ويروسها اعم از ويروسهای ه��ر يک از آزمونهای متنوع اين البراتوارها مرجع و معيار
آنتیويروسه��ا را در مقاب��ل حمالت ويروس��ی بررس��ی قديمی و ويروسهای جديدی كه در دنيای مجازی شيوع مناسب ،جامع و قابل اعتمادی برای مقايسه عملکرد واقعی
ميكند (اين تس��ت در حال��ت On Access Scanner پيدا كردهاند ،انتخاب ش��ده و عملکرد آنتیويروسها روی آنتیويروسها و شناخت نقاط ضعف و قوت آنهاست.
انجام میشود). سيس��تمی آلوده به مجموعه بدافزارهای فوق (در ش��رايط ال با ش��ما موافق هس��تيم كه برای انتخابالبته ما هم كام ً
الزم است به اين نکته اشاره كنم كه ،تستهای ديگری نيز س��ختافزاری و نرمافزاری كام ً
ال مشابه) ارزيابی ميشود. يک آنتیويروس مناس��ب ،عالوه بر كارآيی و عملکرد فنی
توسط اين مراكز انجام میگيرد كه برای اطالع میتوانيد به تمرك��ز اين آزمون روی توان آنتیويروسها در شناس��ايی قابلقبول ،پارامتر قيمت نيز بسيار مهم و قابل توجه است.
وبسايت آنها مراجعه كنيد. و پاکس��ازی بدافزارهاس��ت .در پايان اي��ن آزمون ،جدول ب��ه عبارت ديگر ،در خري��د آنتیويروس نيز مانند خريد هر
آنتیوي��روس به صورت همزمان تمامی تاريخچه قبلی نيز اي��ن آنتیويروسه��ا دارای موت��وری چندگان��ه از
اس��کن شود (به صورت موازی) كه اين امر باعث باال رفتن آنتیويروسهای مختلف هس��تند .ب��ه اين معنا كه ،هنگام آنتیوي��روس ابری ،يک فناوري اس��ت كه ،ب��ا راهاندازی
سرعت تشخيص يک فايل آلوده میشود. اسکن يک فايل مشکوک ،در واقع چند موتور جستوجوگر مجموع��های از نرمافزارهای امنيتی س��بک و محافظ روی
در ح��ال حاضر ،با تکامل بس��ترهای پردازش��ی تحت وب و مربوط ب��ه آنتیويروسه��ای مختلف به ص��ورت موازی ال محافظتش��ده (ايزوله) ،به اس��کن ي��ک كامپيوت��ر كام ً
محاس��بات ابری ( )Cloud Computingش��اهد انتش��ار و عمليات اس��کن را روی آن فاي��ل انجام میدهند تا ضريب فايله��ای انتق��ال دادهش��ده از يک مبدأ ب��ه يک مقصد
عرضه ويرايش جديدی از برخی آنتیويروسها به نام Cloud شناسايی فايلهای آلوده افزايش يابد. میپردازد .كامپيوتری ك��ه نرمافزار آنتیويروس ابری روی
هستيم .شركت امنيتی خوش��نام Pandaاولين آنتیويروسی برای راهاندازی چند موتور جستوجوگر به صورت همزمان آن نصب شدهاس��ت ،میتواند جزئی از يک شبکه كوچک
است كه به راهاندازی سرويس Cloudو توسعه آن اقدام كرد. و موازی ،از سيستم Virtual Machineاستفاده میشود محلی يا شبکهای گستردهتر يا شبکه جهانی (اينترنت) باشد.
ب��ا توج��ه به موارد گفتهش��ده ،يک��ی از بهتري��ن گزينهها ك��ه به اي��ن موت��ور در اصط��الحCloud Detection ، با ظهور وب 2و فراهم ش��دن بس��تر پردازشهای آنالين،
برای بررس��ی آلودگی يا س��المت فايلها در نقل و انتقال Engineگفتهميشود .در اين فناوري با ايجاد تاريخچهای سرويسهايی موسوم به ويروسياب آنالين (تحت وب) نيز
اطالعات بر بس��تر اينترنت ،اس��تفاده از نس��خههای ابری از تمامی موارد مش��کوكی كه پيشتر ثبت ش��دهاند ،سعی متولد شدند و همپای ديگر س��رويسهای پردازشی تحت
آنتیويروسهاست. میشود هنگام اسکن فايل مشکوک با موتور ابری اين نوع وب در مسير رشد و تکامل قرار گرفتند.
ماهنامهتخصصیسختافزاروتجهیزاتدیجیتال 61
وقتی ویندوز بعضیها را بجا نمیآورد!؟
98
ترفندهاي تنوری! کاوه مهدیزاده Hot Tips
نکات کاربردي نرمافـزار
ترفند تنوری اين شماره ،پاسخی است برای يک سناريوی بسيار رايج و شايع ميان كاربران ويندوز .شايد عنوان تراژدی برای اين سناريو چندان بیمسمی نباشد؛ عملکرد و كارايی
ويندوزتان به شدت افت كرده و انگار چارهای جز نصب دوباره باقی نماندهاست .ديسک ويندوز را درون درايو قرار میدهيد و عمليات نصب ويندوز جديد را آغاز میكنيد .پس از اتمام
عمليات نصب ،به محض ديدن صفحه خوشآمدگويی ويندوز چنان گل از گلتان شکفته میشود كه تمامی محکومان و مغضوبان نيم ساعت پيش ،از مايکروسافت و همه ويندوزهايش
گرفته تا خود گيتس و حتی بالمر دوستداشتنی! ،به يکباره مورد عفو و بخشش قرار ميگيرند و با «دمت گرم» ها« ،ايول» ها و ديگر انواع تعريف و تمجيدهای امروزی! مورد لطف و
دلجويي قرار میدهيد .اما اين شادی و حس رضايت بيشتر از چند دقيقه كوتاه دوام نميآورد ،چراكه متوجه میشويد ويندوز ،برخی از سختافزارهای سيستم شما را شناسايی نکردهاست.
برای بررس��ی موضوع كافيس��ت به Device Managerبرويد .وجود عالمت س��ؤال زرد رنگ كنار هر يک از عناوين موجود در اين فهرست به معنای عدم شناسايی آن سختافزار
توسط سيستمعامل است .عالمت تعجب زرد رنگ نيز بهطور معمول ،به معنای ناشناس ماندن سختافزار برای سيستمعامل پس از آزمون و خطای درايورهای اشتباه و غيرمنطبق با
سختافزار مذكور است (و گاهي نشانه نقص در خود سختافزار ،كه از موضوع اين مقاله خارج است) .در هر دو حالت ،گره تنها به دست درايور ارائهشده توسط شركت سازنده سختافزار
مذكور باز خواهدشد .برای يافتن درايور يک سختافزار در وب بايد دستكم نام تجاری (برند) و نوع آن قطعه را بدانيد .در اين صورت است كه میتوانيد با مراجعه به سايت سازنده و بر
پايه راهنمايیهای سايت ،گام به گام جلو رفته و در نهايت ،جديدترين درايور ارائهشده متناسب با نوع ويندوز نصبشده روی سيستم خود را يافته و دانلود كنيد .تراژدی ماجرا زمانيست
كه شما حتی اندک اطالعات فوق را درباره سختافزارهای ناشناخته در اختيار نداريد و هرچه ويندوز و Device Managerرا زير و رو میكنيد ،هيچ نام و نشان مشخص و گويايی
برای ابزارهای ناشناخته پيدا نمیكنيد .اما اين تراژدی فراگير را میتوان به سادگی و در زمانی كوتاه به پايان خوش و شيرينی ختم كرد.
هر قطعه سختافزاری دارای دو شناسه عددی به نامهای Vendor IDو vi IDاست که با در اختیار داشتن این دو شناسه میتوان نام سازنده (برند)
و هویت دقیق (نوع قطعه و مدل آن) سختافزار ناشناخته موردنظر را شناسایی کرد .در واقع ، vi ID ،شناسه منحصر بهفرد یک قطعه سختافزاری
و ،Vendor IDشناسه اختصاصی سازنده آن سختافزار است.
1
گاماول
از طريق يکی از مسيرهای زير ،پنجره Device Managerرا باز كنيد (تصوير .)1
(Control Panel > System > Hardware > Device Manager (Windows XP
2 (Control Panel > System and Security >System > Device Manager )Windows 7
همچنين میتوانيد عبارت devmgmt.mscرا در پنجره Runاجرا كنيد.
گامدوم
در پنجره Device Managerروی س��ختافزار ناش��ناختهای ( )Unknown Deviceكه با عالمت سؤال (يا عالمت
تعجب) زرد رنگ در فهرست مشخص شدهاست ،راستكليک كرده ،گزينه Propertiesرا انتخاب كنيد (تصوير .)2
گامسوم
3 در پنجره Propertiesروی زبانه Detailsكليک كرده ،سپس از منوی پايينافتادنی ،موجود گزينه Device Instance Id
(يا )Device Instance Pathرا انتخاب كنيد .با انتخاب اين گزينه ،رشتهای شامل حروف ،اعداد و نشانهها (مانند رشته
زير) نمايان میشود.
PCI\VEN_1180&DEV_0822&SUBSYS_15571043&REV_22\4&1008D970&0&09F0
از رش��ته حرفی -عددی حاصل ،ما تنها به دو شناس��ه عددی Vendor IDو Device IDنياز داريم .در رش��ته فوق،VEN ،
مخفف Vendor IDو ،DEVمخفف Device IDاست و عدد درجشده پس از اين دو ،همان دو شناسه عددی موردنياز ماست.
بهعنوان مثال ،در رشته فوق Vendor ID ،1180و Device ID ،0822است (تصوير .)3
گامچهارم
4
بهط��ور حت��م ،اين دو عدد به تنهايی دردی از ش��ما دوا نمیكنند اما منابع آنالينی در وب وج��ود دارند كه تخصص آنها
رمزگش��ايی شناسههای عددی سختافزارهاست Pcidatabase.com .يکی از مشهورترين منابع اينترنتی در اين زمينه
اس��ت كه پايگاهداده عظيمی از شناس��ههای سختافزاری گوناگون را در اختيار دارد .پس از مراجعه به سايت تنها كافيست
شناس��ههای عددی فوق را در فيلدهای مربوطه وارد كرده و كليد Searchمقابل فيلد Device Searchرا فش��ار دهيد.
Pcidatabaseدر مدت كوتاهي نام سازنده و عنوان كامل و دقيق سختافزار مورد جستوجو را در اختيارتان قرار میدهد
(تصوير .)4با استفاده از اين مشخصات ،به راحتی میتوانيد جديدترين درايور سختافزار مذكور را با مراجعه به سايت سازنده
يا يک جستوجوی ساده در گوگل پيدا كرده و دريافت كنيد.