..:: مغز کامپیوتر ::..
کلید رهایی از تاریکی
درباره وبلاگ



مدیر وبلاگ : علی عبدیان
مطالب اخیر
نویسندگان
نظرسنجی
شما بیشتر به چه نوع مطلبی علاقه دارید ؟








اشاره :
در دنیای شبكه‌ای امروز، لزوم داشتن یك نرم‌افزار ضدویروس قدرتمند كه كامپیوتر ما را از انواع ویروس‌ها، كرم‌ها، بمب‌های منطقی و به‌طور كلی كدهای مخرب مصون بدارد، بیش از هر زمان دیگری احساس می‌شود. خوشبختانه (شاید هم متأسفانه) انتخاب‌های متعددی در این زمینه وجود دارد. ولی واقعاً كدام یك از آن‌ها می‌تواند بهتر مشكل كامپیوتر (یا كامپیوترهای شبكه) ما را حل كند؟ كافی است سری به سایت‌های مربوط به فروشندگان این نوع نرم‌افزارها بزنید. به نظر می‌رسد كه همه آن‌ها از بهترین‌ها هستند. و همه آن‌ها در تمام طول سال و در تمام 24 ساعت شبانه‌روز خدمات خود را ارایه می‌دهند. از طرفی به دلیل بازار رقابتی موجود، هیچكدام از آن‌ها اطلاعات دقیقی از نرم‌افزارخود ارایه نمی‌دهند. شما چه یك متخصص
IT باشید و چه یك كاربر معمولی، ممكن است به دلیل نداشتن اطلاعات صحیح برای انتخاب ضدویروس مناسب خود با مشكل مواجه می‌شوید. بنابراین بسیار مهم است كه بدانید ضدویروس‌ها چگونه كار می‌كنند و در واقع عوامل مهم برای انتخاب آن‌ها كدامند.


ضدویروس‌ها چگونه كار می‌كنند؟
اولین قدم جهت انتخاب یك ضدویروس مناسب آشنایی با كاركرد ضدویروس‌ها می‌باشد.
پس از آشنایی با خصوصیات یك ضدویروس، واژگانی كه در این زمینه استفاده می‌شود، را خواهید شناخت. این‌كه بدانید ضدویروس چه كارهایی می‌تواند انجام بدهد و چه كارهایی نمی‌تواند انجام دهد، به شما كمك می‌كند كه انتظارات معقولی از آن داشته باشید.

یك ضدویروس چگونه ویروس‌ها را شناسایی می‌كند؟
روش‌های مختلفی برای شناسایی ویروس‌ها وجود دارد.
ویروس‌ها (به‌طور معمول) چیزی بیشتر از كد یك برنامه نیستند. بنابراین اگر ما بدانیم كه هر كدی چه كاری انجام می‌دهد قادر خواهیم بود كه كد حامل ویروس را به محض رویت شناسایی كنیم.
این كار اولین عملی است كه انجام می‌گیرد و به نام
Signature Matching معروف است.
نرم‌افزارهای ضدویروس كه به این روش كار می‌كنند دارای یك بانك اطلاعاتی هستند كه شامل
Virus signatureها است و به محض این‌كه كدی را ملاحظه كرد كه معادل یكی از ركوردها باشد آن را به عنوان ویروس شناسایی می‌كند. به نظر می‌رسد كه موثرترین راه برای كشف ویروس‌ها همین باشد. روش فوق ذاتاً به‌گونه‌ای است كه اول ویروس را شناسایی می‌كند و بعد متناظر با آن یك ركورد (virus signature) به بانك اطلاعاتی اضافه می‌كند و حالا اگر ویروسی پیدا كند، در صورتی‌كه متناظر با این ویروس ركوردی در بانك اطلاعاتی باشد قادر به شناسایی آن خواهد بود و همین امر ایجاب می‌كند شركت‌هایی كه از این فناوری در نرم‌افزار خود استفاده می‌كنند مدام آن را بروز نگه دارند. به هر حال این یك نقطه ضعف می‌باشد و برای فائق آمدن بر آن دو روش دیگر در نرم‌افزارهای ضدویروس معرفی شده است.

1-
Heuristic method (روش‌ مكاشفه‌ای)
فلسفه
Heuristic این است كه بتوانیم ویروس‌هایی را شناسایی كنیم كه هنوز Virus Signature آن‌ها در بانك اطلاعاتی موجود نمی‌باشد.
این كار با استفاده از یك بانك اطلاعاتی كه ركوردهای آن حاوی
Virus behavior signature می‌باشد قابل انجام است. ركوردهای این بانك اطلاعاتی امضای ویروس خاصی را نگهداری نمی‌كنند بلكه بیشتر رفتارهای (رفتار بد) ویروس‌ها را ذخیره می‌كنند. مثلاً این‌كه هر كجا تشخیص بدهند كدی قصد پاك كردن Boot Sector را دارد از آن جلوگیری می‌كنند.
الگوریتم‌های
Heuristic به دو صورت پیاده‌سازی می‌شوند:
اگر تكنولوژی
Heuristic كد هر برنامه را با Virus behavior Signature مقایسه كند و مورد آنالیز قرار دهد آن را روش static heuristic می‌نامیم.
در بعضی مواقع این تكنولوژی قطعه كد را در یك ماشین مجازی اجرا می‌كند تا نتایج رفتاری آن را ببیند به این روش
dynamic heuristic می‌گوییم. این روش ممكن است نتایج غلطی نیز تولید كند.

Integrity checksum -2 (جامعیت سرجمع)
در روش
integrity checksum، فرض براین است كه ویروس قصد اعمال تغییراتی در فایل دارد. مثلا‌ً یك ویروس می‌خواهد كه روی یك فایل چیزی بنویسد یا این‌كه خودش را به آخر فایلی اضافه كند. در این روش نرم‌افزار checksum فایل غیرویروسی و یا درایورهای تمیز را ذخیره می‌كند و هرگاه كه تغییری در این checksum مشاهده شود متوجه می‌شود كه احتمال دارد ویروسی این كار را انجام داده باشد. در این روش نیز احتمال تولید نتایج غلط وجود دارد. این روش در مقابله با ویروس‌های ماكرویی یا ویروس‌های مانند code Red كه بدون این‌كه در هیچ فایلی ذخیره شوند در حافظه بارگذاری و اجرا می‌شوند، كارایی چندانی ندارد.
اگر یك كد مزاحم از تمام الگوریتم‌های یك ضدویروس كه تاكنون نام بردیم بگذرد، در گام آخر توسط فناوری دیگری به نام
Activity Blocker از فعالیت آن جلوگیری می‌شود. این تكنولوژی از تمام فعالیت‌هایی كه ممكن است توسط یك كد مخرب صورت بپذیرد جلوگیری می‌كند مثلاً اگر تشخیص دهد كه هارددیسك در حال فرمت شدن است از آن جلوگیری می‌كند.

یك ضدویروس چه موقع ویروس‌ها را شناسایی می‌كند؟

معمولاً ضدویروس‌ها به دو روش می‌توانند ویروس‌ها را شناسایی كنند.
در روش اول ضدویروس، به صورت
Real Time (بلادرنگ) و همان موقع كه فایل مورد دسترسی قرار می‌گیرد عمل می‌كند. در این روش، ضدویروس درون حافظه مقیم می‌شود و تمام فعالیت‌های مربوط به سیستم را مورد ارزیابی و بررسی قرار می‌دهد. این نرم‌افزارها با همكاری سیستم‌عامل متوجه می‌شوند كه هم‌اكنون قرار است فایلی مورد دسترسی قرار بگیرد. سریعاً این فایل را بررسی و نتیجه را گزارش می‌دهند. به این روش on-access می‌گویند.
مزیت این روش در ارایه یك حفاظت دایمی است ولی اشكالی كه دارد این است كه تنها فایل‌ها را به هنگام دسترسی مورد بررسی قرار می‌دهد. یعنی احتمالاً اگر ویروسی در یك فایل قرار گرفته باشد و در دیسك ذخیره شده باشد، با این روش قابل شناسایی نیست. در روش دوم این امكان به كاربر داده می‌شود كه خودش نرم‌افزار ضدویروس را برای بررسی كردن دیسك یا یك فایل به كمك بگیرد. برای این‌كه فعالیت فوق بازده بهتری داشته باشد باید ضدویروس را طوری تنظیم كرد كه در دوره‌های زمانی معین اقدام به اسكن كند. این روش به
on-demand معروف است.

ضدویروس‌ها چه كارهایی را می‌توانند انجام دهند و چه كارهایی را نمی‌توانند انجام دهند؟

1- محافظت صددرصدی
هیچ ضدویروسی وجود ندارد كه بتواند به صورت صددرصد سیستم شما را در مقابل ویروس‌ها ایمن كند. ویروس‌ها و كدهای مخرب همیشه از ضد‌ویروس‌ها جلو بوده‌اند
CodeRed .،Melissa ،Funlove ، Nimda و ویروس‌های زیاد دیگر این فرضیه را ثابت نموده‌اند و البته دلیل پویایی و حیات نرم‌افزارهای ضدویروس نیز همین قضیه می‌باشد.
به خاطر دارید كه ضدویروس‌ها برای شناسایی یك ویروس به‌طور معمول نیاز به
virus signature دارند و البته هنگامی كه این signature موجود نباشد از روش‌های heuristic استفاده می‌شود كه این روش‌ نیز همیشه جواب درست را برنمی‌گرداند. با این همه، ضدویروس‌ها در مقابل ویروس‌های شناخته شده (بیش از60 هزار عدد) یك حفاظت همه جانبه از سیستم شما به عمل می‌آورند.
بیشتر ضدویروس‌ها در صورت بروز و ظهور یك ویروس جدید قادر خواهند بود كه به سرعت آن را شناسایی كنند و سیستم شما را از وجود این ویروس پاك نگه دارند.

2- بازسازی فایل‌های ویروسی شده
آیا هر ویروسی كه توسط نرم‌افزار ضدویروس شناسایی شد قابل از بین بردن است؟
بستگی دارد كه عملكرد ویروس چگونه باشد.
بعضی از ویروس‌ها مانند ویروس‌های ماكرویی به راحتی توسط نرم‌افزار ضدویروسی تشخیص داده می‌شوند و از فایل بیرون كشیده می‌شوند و پاك می‌شوند. این فایل‌ها هیچ آسیبی به فایل میزبان خود نمی‌رسانند.
اما بعضی از ویروس‌های دیگر نیز هستند كه بر روی فایل میزبان چیزی می‌نویسند یا این‌كه اصلاً كدویروس را درون فایل میزبان قرار می‌دهند. یكی از انواع این ویروس‌ها
Loveletter است. در این مورد به وضوح دیده می‌شود كه فایل میزبان قابل بازیابی نیست و تنها راه‌حل این است كه این فایل را پاك كنیم.
دسته دیگری از ویروس‌ها وجود دارند (مانند ویروس
Nimda) كه علاوه بر ایجاد تغییرات بر روی فایل، قابلیت دستكاری فایل‌های سیستم و رجیستری را نیز دارند. در این موارد ضدویروس به تنهایی نمی‌تواند كاری بكند. شما به ابزاری نیاز دارید كه بتواند فایل ویروسی را حذف كند و تغییرات اعمال شده در سیستم شما را به حالت اولیه برگرداند. معمولاً این ابزار كمكی بر روی وب سایت‌های فروشندگان نرم‌افزار ضدویروس موجود می‌باشد.

معیارهای انتخاب یك ضدویروس
حالا كه متوجه شدید ضدویروس چگونه كار می‌كند و چه كارهایی را می‌تواند برای شما انجام دهد، وقت آن است ببینیم چه معیارهایی برای انتخاب یك ضدویروس مهم هستند.

1- شناسایی
مهمترین وظیفه یك ضدویروس شناسایی ویروس‌ها است. اما چگونه باید مطمئن شویم كه یك ضدویروس همان كاری را كه ادعا می‌كند انجام می‌دهد؟
آیا همین قدر كه برنامه ضدویروس یك گزارش مبنی بر شناسایی ویروس‌ها تولید می‌كند متقاعد می‌شوید كه كار خود را به خوبی انجام می‌دهد؟ پیدا كردن جواب دو سوال زیر می‌تواند به شما كمك ‌كند:
پرسش اول: نرم‌افزار ضدویروس قادر است چه تعداد ویروس را مورد شناسایی قرار دهد. از این پارامتر عموماً با نام
detection Rate یاد می‌شود.
پرسش دوم: نرم‌افزار ضدویروس تحت چه شرایطی می‌تواند یك ویروس را شناسایی كند؟ آیا اگر این ویروس در حافظه مقیم شده باشد توسط ضدویروس قابل تشخیص است؟

توصیه های مهم
اول: یك راه‌حل این است كه شما خودتان ضدویروس را بررسی كنید. برای این كار بر روی اینترنت به دنبال ویروس‌های مختلفی بگردید و این ویروس‌ها را به سیستم خودتان بیاورید و ببینید كه آیا ضد‌ویروس می‌تواند این ویروس‌ها را شناسایی كند یا نه؟ ولی من شما را از انجام این عمل شدیداً منع می‌كنم. حتی اگر فروشنده ضدویروس خودش این پیشنهاد را به عنوان یك راه‌حل برای آزمایش ضدویروس داده باشد. همان‌طور
Eicar كه گفته است: استفاده از ویروس‌های واقعی برای تست كردن یك ضدویروس در یك محیط عملیاتی مانند این است كه شما آتش را به دفتر كار خود بیاورید و بعد بخواهید بررسی كنید كه آیا حسگرهای دود‌ به خوبی كار می‌كنند یا نه؟ شما هرگز نمی‌توانید از نتیجه كار مطمئن باشید. ممكن است برنامه ضدویروس نتواند همه موارد را شناسایی كند و ویروس‌ها شروع به پاك كردن داده‌های ارزشمند سیستم شما و پخش شدن در شبكه بنمایند. امری كه ممكن است به بهای از دست دادن شغلتان تمام شود.
دوم: اگر شما واقعاً می‌خواهید مطمئن شوید كه یك ضدویروس قادر به انجام چه كارهایی است می‌توانید در سایت
www.eicar.org یك سری آزمایش‌های بی‌خطر جهت آزمایش ضدویروس پیدا كنید. در این سایت فایل‌های آزمایشی و بی‌خطری وجود دارند كه بیشتر ضدویروس‌ها آن‌ها را به عنوان ویروس شناسایی می‌كنند.
در این حالت اگر ضدویروس موفق به از بین‌بردن ویروس شود چه بهتر و چنانچه نتواند، شما هیچگونه اطلاعاتی از دست نخواهید داد. بدین‌ترتیب می‌توانید یك روش امن برای آزمایش ضدویروس به كار ببندید.
سوم: شما می‌توانید از منابع موجود كه قبلاً این كار را انجام داده‌اند استفاده كنید. بعضی از سازمان‌ها، متولی انجام همین فعالیت می‌باشند. لیستی از ویروس‌ها توسط
www.wildlist.org نگهداری می‌شود. در این سایت می‌توانید ببینید كه detection Rate یا نرخ شناسایی هر ضدویروس چقدر است.
این سایت‌ها نیز برای این منظور مفید می‌باشند:
www.virusbtn.com: این سایت، آماری از توان ضدویروس‌ها برای شناسایی ویروس‌های موجود در سایت wildlist (در دو مورد on-demand,Real-time) را ارایه می‌كند.
www.chech-mark.com/cgi-bin/Redirect.pl: در این سایت ضدویروس‌ها در دو سطح مورد بررسی قرار می‌گیرند. سطح اول همان است كه در سایت Virusbtn نیز انجام می‌شود یعنی فقط شناسایی ویروس‌ها.
نرم‌افزارهایی در سطح دوم موفق هستند كه قادر به از بین بردن ویروس نیز باشند.

2- امكانات

بسیار مهم است كه بدانیم چه نوع فناوری در ضدویروس موردنظر استفاده شده است و چه ویژگی‌هایی دارد.

1- سازگاری سخت‌افزاری و نرم‌افزاری سیستم شما با ضدویروس انتخاب شده.
در نگاه اول شاید این مساله كمی بدیهی به نظر برسد. اما به هر حال برخی از فروشندگان آخرین نسخه نرم‌افزار ضدویروس خود را كه تنها با جدیدترین سیستم‌عامل‌ها كار می‌كنند، ارایه می‌دهند.
بنابراین منطقی به نظر می‌رسد كه قبل از اقدام به خرید نرم‌افزار حتماً به این نكته توجه كنید.
2- توانایی پویش(
on-Access Real time) را داشته باشد.
این یكی از ویژگی‌های اساسی است كه یك ضد‌ویروس باید دارا باشد. این بخش نرم‌‌افزار باعث می‌شود كه نرم‌افزار ضدویروس مانند یك سگ نگهبان عمل كند. یعنی همان موقع كه ویروس در حافظه بارگذاری می‌شود ویروس را شناسایی و خنثی كند.
این بخش نرم‌افزار باید قادر باشد كه به تمام نواحی سیستم از جمله فایل سیستم، بوت ركورد،
Mabter Boot Record) MBR) و حافظه سركشی كند.
3- توانایی پویش به صورت
on-demand را داشته باشد. یكی از كارهای ضروری كه برای حفظ سلامت سیستم‌تان باید انجام دهید این است كه هراز‌چندگاهی وضعیت سیستم خود را با اجرای ضدویروس بررسی كنید.
مخصوصاً هنگامی كه آخرین نسخه ضدویروس را دریافت می‌كنید حتماً این كار را انجام دهید. سناریوی زیر انجام توصیه بالا را توجیه می‌كند.
شما یك
e-mail دریافت می‌كنید كه این e-mail شامل یك ضمیمه و ویروسی است. منتهی شما این ضمیمه را هیچ‌گاه باز نكرده‌اید. اجرای ضدویروس بروز شده باعث می‌شود كه (احتمالاً) ویروس فوق شناسایی شود.
4- از الگوریتم‌های
Heuristic پشتیبانی كند.
5- بتواند انواع فایل‌ها با فرمت‌های مختلف را پویش كند.
اگر شما ویروسی در سیستم داشته باشید كه قادر باشد به هر نوع فایلی بچسبد، نیاز به ضدویروسی دارید كه بتواند فایل‌های مختلف با پسوندهای مختلف را مورد بررسی قرار دهد. قبلاً تنها راه انتشار یك ویروس این بود كه به فایل‌های برنامه‌ای بچسبد، اما امروزه این امكان وجود دارد كه ویروس برای انتشار خودش از فایل‌های غیراجرایی نیز استفاه كند.
6- توانایی جلوگیری از فعالیت اسكریپت‌های مخرب را داشته باشد. بعضی از ویروس‌ها هستند كه با استفاده از اسكریپت‌ها طراحی شده‌اند. كرم‌های
I Love You از این نوع است.
موتور ضدویروس باید این قابلیت را داشته باشد كه كدهای
VBS و JS را شناسایی كند و در صورتی كه آن‌ها را مخرب تشیخص دهد از فعالیتشان جلوگیری كند.
7- توانایی بررسی ضمیمه
e-mail را داشته باشد.
امروزه بسیاری از ویروس‌ها توسط
e-mail ‌انتشار پیدا می‌كنند.
بعضی از آن‌ها مانند كرم
KAK حتی این توانایی را دارند تا در سیستم‌هایی كه خوب پیكربندی نشده‌اند، بدون این‌كه ضمیمه e-mail باز شود شروع به انتشار خود بنمایند.
8- قابلیت بررسی فایل‌های فشرده را نیز داشته باشد. اگر چه یك ویروس هنگامی كه در یك فایل فشرده قرار دارد نمی‌تواند آسیبی به سیستم برساند ولی بهتر است است كه اصلاً این ویروس در سیستم شما وجود نداشته باشد.
9- قابلیت این را داشته باشد كه اسب‌های تراوا، جاوااپلت‌های مخرب و اكتیوایكس‌های مزاحم را شناسایی كند. نرم‌افزارهای ضدویروس نه تنها باید این قابلیت را داشته باشند كه ویروس‌ها و كرم‌ها را شناسایی كنند بلكه باید بتوانند از فعالیت‌اسب‌های تراوا، اكتیویكس‌ها و اپلت‌های جاوا نیز جلوگیری كنند.
امروزه بیشتر ضدویروس‌ها دارای این خصوصیت می‌باشند.

3- نگهداری از نرم‌افزار
دو مورد زیر در نگهداری از نرم‌افزارهای ضدویروس قابل توجه هستند.
1- بروز كردن مداوم ضدویروس برای مقابله با ویروس‌های جدید.
در بخش‌های قبل لزوم بروز نگه‌داشتن بانك‌اطلاعاتی ضدویروس توضیح داده شد. بنابراین ضدویروس منتخب شما باید به ‌گونه‌ای باشد كه به راحتی قابلیت روزآمد شدن را داشته باشد و علاوه‌‌‌برآن به‌طور مداوم ركوردهای این بانك اطلاعاتی زیاد شود. شما همچنین باید متوجه این مطلب باشید كه از چه مكانیزم‌هایی جهت بروز نگه‌داشتن ضدویروس استفاده می‌شود. آیا نسخه‌های بروز شده بر روی وب سایت فروشندگان قرار دارد؟ و آیا به راحتی قابل دریافت می‌باشد؟ و آیا شما به راحتی می‌توانید از وجود یك ویروس جدید آگاهی یابید یا نه؟
اگر شما دارای ارتباط اینترنتی كم سرعتی باشید دریافت كردن این نرم‌افزار بسیار خسته‌كننده می‌باشد. این نكته نیز مهم است كه در هر بار انجام این عمل باید فقط قسمت روزآمد شده نرم‌افزار دریافت شود.
نكته دیگر این‌كه، نویسندگان ضدویروس‌ها چقدر سعی می‌كنند تا روش‌های جدیدی كه برای تولید ویروس‌ها استفاده می‌شود بشناسند و در نرم‌افزار خود به كار گیرند؟
و نكته مهم‌تر این‌كه از زمان خبر انتشار یك ویروس تا وقتی كه نرم‌افزار ضدویروس برای این ویروس بروز شود چقدر طول می‌كشد؟

4- نرم‌افزارهای ضدویروس چقدر بر كارایی سیستم شما تأثیرگذار می‌باشند؟
همه نرم‌افزارهای ضد‌ویروس بر كارایی سیستم شما تأثیر می‌گذارند. اغلب اوقات اندازه‌گیری میزان این تأثیر سخت است ولی به هر حال به عنوان یك معیار مهم در انتخاب ضدویروس مطرح می‌باشد. پرسش‌های زیر در این مقوله مهم می‌باشند.
- آیا نرم‌افزار ضدویروس باعث كندتر شدن پروسه بوت سیستم شده است؟
- زمان دسترسی به یك فایل را افزایش داده است؟
پس برای انتخاب یك ضدویروس مناسب ناچارید كه چند آزمایش را انجام دهید.
مثلاً می‌توانید زمانی كه برای پویش‌های مختلف (تحت شرایط مختلف) توسط یك ضدویروس مصرف می‌شود را محاسبه كنید و در این مدت، زمان میانگین استفاده از حافظه و
cpu را نیز اندازه‌گیری كنید.
یا این‌كه زمانی كه برای اسكن
on-demand نیاز می‌باشد را برای محصولات مختلف اندازه‌گیری كنید.
یا این‌كه وقتی كه ضدویروس در حال پویش
Real-time می‌باشد ببینید كه باز كردن یك فایل بزرگ چقدر طول می‌كشد؟
توجه به این موضوع كه محیط تست برای همه ضدویروس‌ها كه مورد ارزیابی قرار می‌گیرند، مشابه باشد بسیار مهم است از جلمه این‌كه:
حجم فایل‌ها و نوع فایل‌هایی كه برای هر یك از ضدویروس‌ها مورد بررسی قرار می‌گیرد مهم است.
هر دو ضدویروس به یك ترتیب و روی یك سخت‌افزار پیكربندی شده باشند.

5- نرم‌افزار ضدویروس قابل كنترل باشد.
اگر شما نتوانید بر روی ضدویروس خود نظارت كامل داشته باشید مانند این است كه ضدویروس ندارید.
شما باید بتوانید به‌طور مرتب (هر زمان كه نیاز داشتید) و بدون زحمت زیادی بانك اطلاعاتی خود را كامل‌تر یا بروز كنید.
به راحتی بتوانید از سرورها خود و كلاینت‌های خود محافظت كنید و گزارش‌های نرم‌افزار ضدویروس را برای هر كدام از آن‌ها ببینید.

6- پشتیبانی ضدویروس همیشگی و موثر باشد.
فروشنده نرم‌افزار باید قادر باشد كه پشتیبانی مورد نظر شما را انجام دهد. مطمئناً پشتیبانی كه برای كاربر در خانه ارایه می‌شود با پشتیبانی كه برای یك شركت بزرگ انجام می‌شود با یكدیگر متفاوت هستند.
فروشنده برای پشتیبانی می‌تواند خدمات زیر را به شما ارایه دهد.
1- قادر باشد كه شما را به صورت
on-line پشتیبانی كند و اگر شك كردید كه فایلی حاوی ویروس است، بتوانید آن را برای فروشنده ارسال كنید تا نظر خودش را راجع‌به فایل بیان كند.
اگر یك ویروس جدید شناخته شود، فروشنده باید بتواند این موضوع را به اطلاع شما برساند تا اقدامات لازم را برای خودتان، یا برای شبكه‌ای كه شما مس‡وول آن هستید انجام دهید.


نتیجه‌گیری
هیچ‌كدام از نرم‌افزارهای ضدویروس بهترین نیستند. یك ضدویروس وقتی برای شما بهترین است كه بتواند نسبت به نرم‌افزارهای دیگر به صورت كاملتری نیازهای شما را برآورده كند.
اطلاعاتی كه فروشنده نرم‌افزار ارایه می‌كند همیشه خوب است ولی انتخاب ضدویروس نباید تنها براساس ادعاهای فروشنده باشد.



آنتی ویروسها جادو نمیکنند!
آنتی ویروسها محافظان سیستم های ما هستند. این گونه نرم افزارها میتوانند بنا به ساختمان برنامه ای خود, کنترل مرکزی سیستم را در دست گیرند و مواظب رفتار مشکوک یا برنامه های مخرب اجرایی بر روی سیستم ما باشند ولی با گسترش روابط, نمیتوانیم به صورت کامل روی آنها حساب کنیم زیرا این برنامه ها از حمله ویروسها در امان نیستند .
در بعضی موارد دیده شده که ویروسها بروی سیستم اجرا میشوند ولی آنتی ویروس هیچ واکنشی در مقابل ویروس ندارند و مانند یک برنامه طبیعی با آنها برخورد میکند.
خوشبختانه شرکت های آنتی ویروس برای تسلط بر کل ارتباطات اینترنتی اقدام به تاسیس شرکتهایی به صورت نمایندگی در اکثر کشورها کرده اند. آنها به این منظور نشان دادند که می خواهند کرم ها را در نطفه خفه کنند و از پخش گسترده انها در کل شبکه جلوگیری نمایند.
آنها اقدام به آگاه سازی کاربران اینترنتی از طریق سرویسهایی مانند رادار کرده اند. شاید نقاط ضعف شرکت های آنتی با ارائه این نوع سیستمها به کاربران اثبات شده باشد. انها بر این عقیده اند که به تنهایی و بدون کمک کاربران اینترنتی نمی توانند از پس کرم های اینترنتی برآیند. بنابر این هر شرکت آنتی ویروس آنالیز های خود را در اختیار کاربران قرار میدهد تا اگر نرم افزار آن شرکت نتوانست کرم را خنثی کند کاربران با داشتن اطلاعات کافی شروع به مقابله با کرمها کنند. همان طور که می دانید آنتی ویروس ها فقط یک نرم افزار هستند و ما نمی توانیم تصور کنیم که آنها میتوانند معجزه کنند, باید درک کرد که این نرم افزارها خود دارای مشکل هایی می باشند.

چند تکنیک آنتی ویروس
Bit Defender : (قویترین آنتی ویروس جهان)
1. تکنیک تله گذاری: در این روش آنتی ویروس توجه ویروس را به خود جلب می کند.
2. مخفی ماندن : وقتی ما آنتی ویروسی در کامپیوتر نصب میکنیم ویروسها در بین فایلها پنهان می شوند. در آنتی ویروس
Bit Defender هیچ قسمتی از سیستم (نرم افزاری) متوجه نصب نمی شوند.
3. سیستم رادار : اطلاع رسانی به کاربران.

چكیده: رایج ترین مدل شبکه های کامپیوتری، مدل چهار لایه TCP/IP است که با بهره گیری از پشته پروتکل TCP/IP به تبادل داده و نظارت بر مبادلات داده می پردازد ولی علیرغم محبوبیت، دارای نقاط ضعف و اشکالات امنیتی است و نحوه رفع این اشکالات و مقابله با نفوذگران کامپیوتری، همواره بعنوان مهمترین هدف امنیتی هر شبکه تلقی می گردد. در این مقاله پس از بررسی انواع رایج تهدیدات امنیتی علیه شبکه های کامپیوتری و راهکارهای مقابله با آنها، با توجه به تنوع شبکه های کامپیوتری از نظر ساختار، معماری، منابع، خدمات، کاربران و همچنین اهداف امنیتی خود، با دنبال کردن الگوی امنیتی ارائه شده به راهکارهای امنیتی مناسب دست یابد. کلید واژه ها: امنیت- حمله- تهدید- شبكه- نفوذ- مقابله 1-مقدمه: در شبکه کامپیوتری برای کاهش پیچیدگی های پیاده سازی، آن را مدل سازی میکنند که از جمله میتوان به مدل هفت لایه OSI و مدل چهار لایه TCP/IP اشاره نمود. در این مدلها، شبکه لایه بندی شده و هر لایه با استفاده از پروتکلهای خاصی به ارائه خدمات مشخصی میپردازد. مدل چهار لایه TCP/IP نسبت به OSI محبوبیت بیشتری پیدا کرده است ولی علیرغم این محبوبیت دارای نقاط ضعف و اشکالات امنیتی است که باید راهکارهای مناسبی برای آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسی پیدا کرده و یا اینکه اطلاعات را بربایند. [1] شناسائی لایه های مدل TCP/IP، وظایف، پروتکلها و نقاط ضعف و راهکارهای امنیتی لایه ها در تعیین سیاست امنیتی مفید است اما نکته ای که مطرح است اینست که تنوع شبکه های کامپیوتری از نظر معماری، منابع، خدمات، کاربران و مواردی از این دست، ایجاد سیاست امنیتی واحدی را برای شبکه ها غیرممکن ساخته و پیشرفت فناوری نیز به این موضوع دامن میزند و با تغییر داده ها و تجهیزات نفوذگری، راهکارها و تجهیزات مقابله با نفوذ نیز باید تغییر کند. 2-مروری بر مدل TCP/IP: این مدل مستقل از سخت افزار است و از 4 لایه زیر تشکیل شده است [2]: 1- لایه میزبان به شبکه: دراین لایه رشته ای از بیتها بر روی کانال های انتقال رد و بدل می شوند و از تجهیزاتی مانند HUB,MAU,Bridge و Switch برای انتقال داده در سطح شبکه استفاده میشود. 2- لایه اینترنت یا شبکه (IP): وظیفه این لایه هدایت بسته های اطلاعاتی ( IP-Packet) روی شبکه از مبدا به مقصد است. مسیریابی و تحویل بسته ها توسط چند پروتکل صورت می گیرد که مهمترین آنها پروتکل IP است. از پروتکلهای دیگر این لایه میتوان ARP,RIP,ICMP,IGMP را نام برد. مسیریاب ( ROUTER ) در این لایه استفاده میشود. 3-لایه انتقال (TCP): برقراری ارتباط بین ماشینها بعهده این لایه است که میتواند مبتنی بر ارتباط اتصال گرای TCP یا ارتباط غیر متصل UDP باشد. داده هایی که به این لایه تحویل داده می شوند توسط برنامه کاربردی با صدازدن توابع سیستمی تعریف شده در واسط برنامه های کاربردی (API) ارسال و دریافت میشوند. دروازه های انتقال در این لایه کار میکنند. 4-لایه کاربرد: این لایه شامل پروتکل های سطح بالائی مانند HTTP,SMTP,TFTP,FTP,Telnet است.در این لایه دروازه کاربرد دیده میشود. 3- تهدیدات علیه امنیت شبکه: تهدیدات و حملات علیه امنیت شبکه از جنبه های مختلف قابل بررسی هستند. از یک دیدگاه حملات به دو دسته فعال و غیر فعال تقسیم می شوند و از دیدگاه دیگر مخرب و غیر مخرب و از جنبه دیگر میتوان براساس عامل این حملات آنهارا تقسیم بندی نمود. بهرحال حملات رایج در شبکه ها بصورت ذیل میباشند [11]: 1-حمله جلوگیری از سرویس (DOS): در این نوع حمله، کاربر دیگر نمیتواند از منابع و اطلاعات و ارتباطات استفاده کند. این حمله از نوع فعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد. 2-استراق سمع: در این نوع حمله، مهاجم بدون اطلاع طرفین تبادل داده، اطلاعات و پیامها را شنود می کند. این حمله غیرفعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد. 3-تحلیل ترافیک: در این نوع حمله مهاجم براساس یکسری بسته های اطلاعاتی ترافیک شبکه را تحلیل کرده و اطلاعات ارزشمندی را کسب میکند. این حمله یک نوع حمله غیر فعال است و اکثرا توسط کاربران خارجی صورت می گیرد. 4-دستکاری پیامها و داده ها: این حمله یک حمله فعال است که در آن مهاجم جامعیت و صحت اطلاعات را با تغییرات غیر مجاز بهم می زند و معمولا توسط کاربر خارجی صورت می گیرد. 5-جعل هویت: یک نوع حمله فعال است که در آن مهاجم هویت یک فرد مجاز شبکه را جعل می کند و توسط کاربران خارجی صورت میگیرد. 4- راهکارهای امنیتی: در این بخش سرویس ها، مکانیزم ها و تجهیزات امنیتی نام برده میشود. سرویس های امنیتی عبارتند از [3]: 1- حفظ محرمانگی: یعنی کاربران خاصی از داده بتوانند استفاده کنند. 2- حفظ جامعیت داده: یعنی داده ها بدرستی در مقصد دریافت شوند. 3-احراز هویت: یعنی گیرنده از هویت فرستنده آگاه شود. 4-کنترل دستیابی مجاز: یعنی فقط کاربران مجاز بتوانند به داده ها دستیابی داشته باشند. 5- عدم انکار: یعنی فرستنده نتواند ارسال پیام توسط خودش را انکار کند. مکانیزم های امنیتی عبارتند از : 1-رمز نگاری که در آن با استفاده از کلید خصوصی یا عمومی و با استفاده از الگوریتم های پیچیده پیام بصورت رمز درآمده و در مقصد رمزگشایی می شود. 2-امضاء دیجیتال که برای احراز هویت بکار می رود. تجهیزات امنیتی عبارتند از [10]: 1 - فایروال: امکاناتی است که میتواند بصورت سخت افزاری یا نرم افزاری در لبه های شبکه قرار گیرد و سرویس های کنترل دستیابی ، ثبت رویداد ، احراز هویت و ... را انجام دهد. 2- --- بهره مندی از شبکه عمومی برای اتصال دو یا چند شبکه خصوصی است . 3- IDS : سیستم تشخیص نفوذ است که در لایه بعد از فایروال می تواند امنیت را تقویت کند و نفوذ مهاجمین رابر اساس تحلیل های خاص تشخیص می دهد. 4- IPS : سیستم جلوگیری از نفوذ است که پس از تشخیص نفوذ می تواند به ارتباطات غیرمجاز ومشکوک بصورت یکطرفه پایان دهد. 5- AntiVirus : که می تواند با تشخیص محتوای فایل، فایل های آلوده را بلوکه کند. 6- Vulnerability Scan : امکانات نرم افزاری است برای تشخیص آسیب پذیری شبکه. 7- Logserver & Analysis: امکاناتی است که برای ثبت و کنترل رویدادها مورد استفاده قرار می گیرد. 8- سرورهای AAA: برای احراز هویت، کنترل و نظارت بر دسترسی کاربران داخلی و خارجی استفاده می شوند. البته بغیر از تجهیزات فوق الذکر،با استفاده از مسیریابها و سوئیچ های مدیریت پذیر می توان امنیت در مسیر تبادل را نیز تا حد زیادی تامین نمود. در ادامه حملات، سرویس ها و مکانیزم ها و تجهیزات امنیتی در لایه های مختلف در قالب جداول 1-2-3-4 با یکدیگر مقایسه می شوند و همانطور که در جداول مذکور نشان داده شده است می توان نتیجه گرفت که بیشترین حملات به ترتیب در لایه IP,TCP ، کاربرد و میزبان به شبکه است و سرویس ها و مکانیزم ها بیشتر در لایه IP به چشم می خورد و تجهیزات امنیتی با بهره گیری از مکانیزم های مختلف بیشتر در لایه IP , TCP و کاربرد ، کاربری دارند . در جدول 5تجهیزات امنیتی از نظر پارامترهای مختلف با یکدیگر مقایسه می شوند و مورد ارزیابی قرار می گیرند، استفاده از تجهیزات سخت افزاری نظیر فایروال، سوئیچ ها و مسیریابهای مدیریت پذیر، گران است و هزینه پشتیبانی آنها نیز بالاست و از پیچیدگی نسبتا بالایی برخوردارند. در تجهیزات نرم افزاری نیز هزینه پشتیبانی بدلیل لزوم Update مرتب ، بالا است ولی هزینه استقرار و پیچیدگی پائین است. جدول 1. مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP تهدید لایه Host to Network up TCP Application Trojan,Virus,Worm + SQL-Injection + TCP/IP Spoofing + + Session Hijacking + + Port Scan + + Physical Attacks + Phishing + + Password Attacks Packet Sniffing + + Dos/DDos Attacks + + + Network Layer Attacks + Application Layer Attacks + Buffer Over Flow Attacks + + + Replay + + + + Traffic Analysis + + + Message Modification + + + جدول 2. اهراف امنیتی در منابع شبكه منابع شبكه كاربران اهداف سخت افزارها نرم افزارها اطلاعات ارتباطات شبكه محرمانگی + + صحت + + + + قابلیت دسترسی + + + + محافظت فیزیكی + محافظت فیزیكی + صدور اختیارات + حریم خصوصی + آگاهی رسانی امنیتی جدول 3. سرویس های امنیتی در لایه های مختلف TCP/IP سرویس لایه Host to Network up TCP Application محرمانگی + + + + تاییدهویت + + + + رد انكار + كنترل جامعیت و صحت + + جدول 4. مكانیزم های امنیتی مربوط به لایه های مختلف TCP/IP مكانیزه لایه Host to Network up TCP Application رمزنگاری + + + + امضائ دیجیتال + + + كنترل دستیابی + + + درستی و صحت داده + + + كنترل مسیریابی + رد انكار ( سندیت ) + + جدول 5. مقایسه تجهیزات امنیتی در لایه های چهارگانه TCP/IP تجهیزات امنیتی لایه Host to Network up TCP Application حفاظت فیزیكی + رمزنگاری + + + + IP Sec + SSL + Firewall + + + AntiVirus + AAA Server + + + + --- + + + + PGP + IDS/IPS + + + 5 - الگوی امنیتی 6-1 : معماری امنیتی با توجه به ساختار هر شبکه، معماری امنیتی شبکه بصورت نهفته در لایه های شبکه در نظر گرفته می شود و لایه بندی با توجه به محدوده های داخلی ، خارجی ، ارتباط از راه دور و غیره بصورت یک معماری امنیتی 4 لایه تعیین می گردد که عبارتند از[4]: 1 - امنیت زیرساخت که شامل پیکربندی دقیق تجهیزات شبکه است. 2 - امنیت ارتباطات که در آن با استفاده از فایروال ها، سیستمهای IDS,IPS ، ضد ویروسها ، سرورهای AAA، نرم افزارهای مانیتورینگ، ثبت و تحلیل رویدادها می توان به تشخیص هویت و کنترل کاربران پرداخت. 3- امنیت سیستم ها که در آن با بهره گیری از پویشگرها ی امنیتی، آنتی ویروسها، IDS و IPS به ثبت و کنترل دسترسی کاربران به منابع پرداخته می شود. 4- امنیت کاربردها که با بهره گیری از سیستمهای IDS ، آنتی ویروس، پویشگر امنیتی و فیلترهای محتوا بر دسترسی کاربران نظارت می شود. 6-2 : الگوریتم جهت تهیه الگوی امنیتی شبکه با توجه به تنوع شبکه ها استفاده از الگوریتم ذیل در طرح الگوی امنیتی شبکه مفید است. الگوریتم از مراحل ذیل تشکیل می گردد: 1 - شروع 2 - در صورتی که شبکه موجود است به مرحله 10 بروید. 3 - نیازمندیهای امنیتی را تعیین کنید. 4- منابع راشناسایی کنید. 5- مخاطرات مربوط به شبکه را تحلیل کنید. 6- راهکارهای مقابله با مخاطرات را ارائه کنید. 7- تجهیزات و امکانات امنیتی مناسب را تعیین نمایید. 8- سیاستها و رویه های امنیتی را تدوین کنید. 9 - سیاستها و رویه های امنیتی اجرا کنید. 10 - وضعیت موجود را بررسی کنید. 11 - در صورتی که نیازمندیهای سازمان تامین نشده است، به مرحله 3 بروید. 12 - در صورتی که نیازمندیهای امنیتی شبکه تامین نشده است به مرحله 4 بروید. 13 - به مرحله 10 بروید. همانطور که ملاحظه می شود این الگوریتم یک الگوریتم گردشی است که به طور مداوم باید برای شبکه های کامپیوتری اجرا گردد. 6- نتیجه گیری : از یک شبکه کامپیوتری، عوامل مهمی مانند نوع سیستم عامل، موجودیتها، منابع، برنامه های کاربردی، نوع خدمات و کاربران نقش مهم ومستقیمی در امنیت شبکه دارند. برقراری امنیت بصورت 100% امکان پذیر نیست چرا که بعضی از عوامل از حیطه قوانین سیستمی خارج هستند، بعنوان نمونه کانالهای مخابراتی هدایت ناپذیر ( مثل امواج مخابراتی و ارتیاط ماهواره ای) یا کاربران شبکه ( که همیشه از آموزشهای امنیتی داده شده استفاده نمی کنند.). بنابراین الگوی امنیتی شبکه یک طرح امنیتی چند لایه و توزیع شده را پیشنهاد می کند ]3[ به نحوی که کلیه بخشهای شبکه اعم از تجهیزات، ارتباطات، اطلاعات و کاربران را در برمی گیرد. در الگوی امنیتی ضمن مشخص کردن سیاست امنیتی شبکه که در اصل در مورد اهداف امنیتی بحث می کند، راهکارهای مهندسی و پیاده سازی امنیت نیز ارئه می گردد و با آموزشهای مختلف امنیتی و نظارت مداوم ، امنیت شبکه بطور مداوم ارزیابی می گردد.



نوع مطلب : آنتی ویروس، 
برچسب ها :
لینک های مرتبط :
نظرات پس از تایید نشان داده خواهند شد.


آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
 
 
 
شبکه اجتماعی فارسی کلوب | Buy Website Traffic | Buy Targeted Website Traffic