بخشی از مقاله
ویروس های کامپیوتری
پيشگفتار
موضوع پروژه بر اين قرار است كه ما در اين فرم افزار ، بيش از 120 نوع ويروسي كه هم اكنون در سالهاي 79و80 در ايران موجود مي باشند – اعم از ويروسهاي ايراني و ويژه اينترنت – را ترجمه كرده و براي علاقمنداني كه مي خواهند با عملكرد وويروسها بيشتر آشنا شوند ، گرد آوري و تحت يك نرم افزار ارائه نموده ايم .
همچنين كاربر ميتواند اطلاعات كاملي را راجع به ويروسها و آنتي ويروسها به همراه معرفي چند آنتي ويروس به كمك منوي راهنماي ويروسها و ضد ويروسها در اختيار داشته باشد .
مقـدمه
بيش از سه دهه ازساخت اولين ويروس كامپيوتري توسط فرد كوهن مي گذرد . شايد درابتدا كوهن هرگزتصورنمي كرد كه روزي اختراع اوبه صورت يك فاجعه كامپيوتري در آمده و دنياي كامپيوتر را مورد تهديد قرار دهد (متاسفانه بسياري از مشكلات بزرگ تكنولوژي همين گونه آغاز مي شود). كوهن صرفا به عنوان يك پروژه دانشجويي ، برنامه اي را ساخت كه مي توانست خود را تكثير كرده وانگل وار به ديگر برنامه ها بچسبد و نوعي تغيير در آنها بوجود آورد . با طرح ويژگيهاي اين نوع برنامه ها در مقالات و سخنرانيها بتدريجاين مسئله توجه عده زيادي از بر نامه نويسان را به خود جلب كرده و رفته رفته مسئله توليد ويروسهاي كامپيوتري نضج گرفت.
علت نامگذاري ويروس بر روي اينگونه برنامه ها،تشابه زاد آنها با ويروسهاي بيولوژيكي بود. چرا كه ويروسهاي كامپيوتري مانند ويروسهاي بيولوژيكي بطور ناگهاني تكثير مي شوند و در حالي كه ممكن است بر روي يك ديسك وجود داشته باشند.تا زماني كه شرايط مناسب نباشند،فعال نخواهد بود.امروزه مسئله ويروسهاي كامپيوتري به يك معضل بسيار جدي تبديل شده است.
حوزه عملكرد ويروسها، انواع كامپيوتر ها وسيستم هاي عامل را در بر مي گيرد. و هر روزچندين ويروس جديد توليد شده و در فضاي كامپيوتر جهاني رها مي شود. بدون اينكه بتوان فرد سازنده آن را شناسايي و مواخذه كرد.براي يك كاربر معمولي PC ممكن است حداكثر ضرر ناشي ازيك ويروس خطر ناك ،
نابود كردن اطلاعات وبرنامه هاي مهم موجود بر روي كامپيوتري باشد درحالي كه ضرر يك ويروس مخرب بر روي شبكه ارتباطي ترمينالهاي بانك هاي يك كشور ممكن است موجب تغيير و يا حذف اطلاعات مالي شركتها و افراد صاحب حساب شده و خسارات مالي سنگيني را ببار آورد ، آنچنان كه تا كنون نيز مواردي از اين دست ، ازرسانه هاي گروهي اعلام شده است . بنابراين اثر تخريب كنندگي ويروسها مرز خاصي نمي شناسد و هر جا كه اثري ازيك فعاليت كامپيوتري نرم افزاري وجود دارد،ممكن است ويروسها نيز حضور داشته باشند .
بديهي است رشد سرطان گونه ويروسها متخصصين امر را بر آن مي دارد كه برنامه هايي براي نابودي آنها تهيه كنند.تا كنون برنامه هاي ضد ويروس زيادي ساخته شده است كه هر يك گروهي از ويروسها را شناسايي و آنها حذف مي كنند .
اين برنامه ها هر يك ويژگيهاي خاصي داشته و براحتي نمي توان ازآنها را به عنوان بهترين ضد ويروس معرفي كرد . متاسفانه به دليل كمبود منابع ، عموم كاربران داخل كشور ازكارايي و نحوه عملكرد برنامه هاي اطلاع كافي نداشته و لذا صرفاً ازآنها به شكل ساده و بدون تنظيمات خاص استفاده كرده و از اين رو در بسياري موارد مشكلات ناشي از وجود ويروسها به طور قطعي حل نمي شوند .
ويروس كامپيوتري چيست ؟
ويروس كامپيوتري برنامه اي است كه مي تواند داده هاي موجود روي ديسك و حافظه RAM را معيوب نموده و در نتيجه از اجراي برنامه ها بطور صحيح جلوگيري به عمل مي آورد .بعضي از ويروسها ي كامپيوتري ضعيف بوده و فقط با نمايش پيغام خاصي خود را نشان داده و صدمه اي به ديسك وارد نمي سازند ولي نوع ديگر ويروس ها ممكن است به حد خطرناك باشند كه كل اطلاعات ديسك را از بين برده و كاربر را مجبور به format نمودن ديسك مزبور كنند.
ويروسها كامپيوتري به صورت مخفيانه و از طريق برنامه هايي كه توسط ديسك هاي ديگر يا مودم به كامپيوترتان كپي مي كنيد ،وارد كامپيوترتان مي شوند . اين ويروسهاي كامپيوتري ممكن است مدتها در كامپيوتر شما موجود بوده و فقط به تكثير خود پرداخته و هيچ صدمه اي وارد ننمايند و درساعت و تاريخ و يا هنگام اجراي برنامه خاصي فعال شده وتمام كپي ها ي خود را نيز فعال كنند كه بستگي به ويروس مورد نظر ، صدمات غيرقابل جبراني را وارد مي كنند . ويروس ها اغلب روي فايـل هاي اجرايي ديـسك عمل نموده وآنها را معيوب مي كنند . ويرس هاي كامپيوتري به صورت برنامه جداگانه اي وجود ندارند بلكه خود را به فايل ها و برنامه هاي ديگر چسبانده و از كامپيوتري به كامپيوتر ديگر منتقل مي شوند .
تا كنون بيش از 20000ويروس شناخته شده اند و متخصصين و كارشناسان پس از شناسايي هر يك ازآنها ، نام خاصي را به آنها اطلاق كرده اند .
براي محافظت و سالم نگه داشتن ديسك ، كاربران بايستي ازبرنامه هاي موجود به طور مداوم استفاده نمايند كه يكي از آنها و قويترين شان برنامه Disk Monitor است البته برنامه هاي ديگري در سيتسم عامل Dos و ديگربرنامه هاي سودمند نيز تعبيه شده اند كه عبارتند از Vasfe وسنسورهاي مختلف برنامه Norton system Doctor در Un تحت ويندوز 95 و......
اگربرنامه هاي حفاظت ازديسك هميشه استفاده نماييد،امكان ورود ويروس هاي كامپيوتري به كامپيوترتان كم شده و در نتيجه سيستم شما سالم خواهد ماند .
در انتها بطور خلاصه مي توان گفت : ويروس برنامه مخفي و كوچكي است كه باعث آلوده شدن برنامه هاي ديگرمي شود و مي تواند داده ها را دستكاري و ياتخريب نموده ، سرعت سيستم را كاهش داده باعث اغتشاش و عدم كارايي كامپيوتر شود .
مهمترين خصوصيت ويروس قدرت تكثير آن است ، ويروسها براي تكثير نياز به يك برنامه اجرايي دارند يعني بيشترويروسها درفايلهاي اجرايي جاي مي گيرند و آنها را آلوده مي كنند . كمتر ويروسي پيدا مي شود كه بتواند نسخه هاي اجرايي جاي مي گيرند و انها را آلوده مي كنند و كمتر ويروسي پيدا مي شوند كه ابتدا نسخه هاي اجرايي ازخود را در برنامه هاي ديگر قرار دهد . برنامه آلوده به ويروس مي تواند هر برنامه سيستمي با كاربردي باشد كه شرايط مورد نياز براي پذيرش ويروس را داشته باشد .
برنامه آلوده قادر است برنامه هاي ديگر را آلوده كند .
خانه ويروس
ويروس هم مانند هر برنامه كامپيوتري نياز به محلي براي ذخيره خود دارد منتهي اين محل بايد به گونه اي باشد كه ويروسها را به وصول اهداف شوم خود نزديك تر كند .همانطور كه مي دانيد اكثر ويروسها به طور انگل مانندي به فايلهاي اجرايي مي چسبند وآنها را آلوده مي كنند.اصولا دربرخورد با ويروسها ، فايلها ي اجرايي و غير اجرايي تقسيم مي شوند عموم ويروسها در فايلهاي اجرايي جاي گرفته و آنها را آلوده مي كنند و واقعاً كمتر ويروسي هست كه در يك فايل غيراجرايي جاي بگيرد و بتواند از طريق آن تكثير پيدا كند.
در ذيل،فهرست پسوندهاي رايج فايلهاي اجرايي ارائه شده است و اكثر نرم افزارهاي ضد ويروس در حالت عادي(بدون تنظيم خاص)تنها همين فايلهارا ويروس ياب مي كنند(البته دربرخي برنامه هاي ضد ويروس ممكن است برخي پسوندها حذف و اضافه شوند).EXE-COM-SYS-BIN-OVL-DLL-SCR
بنابراين يكي از اصلي ترين خانه هاي ويروس فايلها آلوده به ويروس هستند.از طرف برخي ويروسها علاقه خاصي به قطاع بوت (Boot Sector) و جدول بخش بندي ديسك Master Boot record) يا (partition دارند .
قطاع بوت واحد راه اندازي Dos است كه در قطاع شماره صفر سخت ديسك يا فلاپي ديسك قراردارد و جدول بخش بندي شامل اطلاعات تقسيم بندي سخت ديسك است كه درآن نيز در قطاع شماره صفر سخت ديسك قرار دارد . اينگونه ويروسها با قرار گرفتن در يكي از اين دو محل به محض روشن شدن كامپيوتر مي توانند به راحتي و به دلخواه كنترل تمامي برنامه هايي كه اجرا مي شوند را در دست بگيرند و حتي به گونه اي عمل كنند كه شماتا مدتها متوجه به حضور آنها نشويد!
محل ديگر ويروسها كه البته موقتي است در حافظه RAM كامپيوتر مي باشد . به محض روشن كردن كامپيوتر و اجراي يك برنامه آلوده به ويروس و يا دسترسي به يك ديسك تا قطاع بوت و جدول بخش بندي آلوده ، ويروس همراه آن در حافظه جا مي گيردو برخي ازآنها تا زمان خاموش كردن كامپيوتر همان جا مانده و فايلهاي ديگر را آلوده مي كنند ولو آنكه شما حتي برنامه آلوده را حذف كرده و فلاپي ديسك آلوده را نيز از ديسك گردان مربوط بيرون بياورند .
ويروسها شناخته شـده
ويروس شناخته شده ويروسي است كه قبلا توسط متخصصين كشف شده و مورد تجزيه و تحليل قرار گرفته است .
بدين ترتيب نامي مانند Stonedيا Michelangeloبراي آن انتخاب شده است . همچنين امضايي (Signature) دارد كه يك سري بايت منحصر به فرد دربرنامه ويروس بوده و در شناسايي آن كمك مي كند .
همچنين ويروس ممكن است چند نژاد شناخته شده داشته باشد (يعني گونه هايي در برنامه هاي اصلي آنها تفاوت جزيي وجود دارد.)
تا كنون بيش از 10000 ويروس شناخته شده است . بسياري ازآنها مدتي است ديده نشده اند و احتمالاً معدوم شده اند ، اما با وجود اين هيچ راهي براي پيش بيني زمان و محل ظهور مجدد آنها وجود ندارند .
انواع ويروسها
ويروس هاي كامپيوتري بسته به نوع تاثيرآنها به سه قسمت تقسيم مي شوند :
الف) Boot Sector
Boot Sectorبخشي ازديسك سخت شماست كه به كنترل چگونگي آغاز سيستم عامل هنگام روشن كردن كامپيوترمي پردازد يك ويروس Boot Sector، Boot Sectorاصلي ديسك را برداشته و خود جانشين آن مي شود و ويروس را به حافظه انتفال مي دهد و حضور ويروس در حافظه به مفهوم پخش شدن آن در ديسك هاي ديگر مي باشد .
ب) File infector
ويروس تخريب كننده فايل،ويروس را براي فايلي كه برنامه آن اجرا شده، اضافه مي كند اين اضافه شدن به گونه اي است كه درهنگام اجراي برنامه ويروس فعال شده و فعاليت آن به مفهوم پخش آن درساير فايل هاي برنامه نيز مي شود .
پ)Trogen Hourse
ويروس Trogen Hourse به عنوان برنامه مخرب كامپيوتري مي باشد . بدين ترتيب كه فايل ها و ديسك ها را خراب كرده و قدرت آن ساير انواع ويروس ، بسيار بيشتر مي باشد . فايل هايا ديسك ها را خراب كرده و قدرت آن ازساير انواع ويروس ، بسيار بيشتر مي باشد .فايل ها يا ديسك هايي كه با ويروس Trogen Hourseتخريب شده اند . ممكن است قابل بازيابي نباشند .
انواع ويروس ها نسل جديد
1- ويروس هاي مقيم در حافظه (Memory Resident Virus)
برنامه مقيم در حافظه، برنامه اي است كه پس از اتمام شدن اجرا ، جاي خود را در حافظه از دست نمي دهد . بيشتر ويروسها پس از فعال شدن مانند برنامه هاي مقيم در حافظه عمل مي كنند ودر حافظه باقي مي مانند .
2- ويروس هاي استتاري يا نهان (Stealth)
اين ويروسها با روشهاي خاص و بدون تغيير وضعيت ظاهري، عمليات خود را انجام مي دهند و به روشهاي گوناگون ردپاي خود را مخفي مي كنند تا شناخته نشوند .
يعني فايل هاي آلوده به اين ويروسها طوري نشان داده مي شوند كه فكر كنيم سالم هستند .
3- ويروسهاي رمزي (Enctypting Virus)
اين ويروسها براي جلوگيري ازشناسايي خود را بصورت هاي مختلفي رمزي مي كنند . ويروس در 1260 يا (Stealth) به صورت كد بوده و به طور تصادفي تغييراتي در كد بندي خود ايجاد مي كند تا روال شناسايي ويروسها را خنثي و بي اثر كند .
ويروس ايراني ((آريا)) به صورت كد شده بر روي فايلهاي آلوده قرار مي گيرد و در ابتداي ويروس ،يك روال رمزگشا ويروس وجود دارد .
4-ويروسهاي چند شكلي يا هزار چهره (Polymorphic Virus)
كشف اين ويروسها ازهمه مشكل تر است زيرا اين ويروسها پس از هر بار آلوده سازي ، ساختار داخلي خود را تغيير مي دهند و يا شيوه هاي خود رمزي استفاده مي كنند . اين ويروسها هنگام توليد مثل شكل خود را تغيير و تكامل مي دهند . برخي از آنها مي توانند رمز خود را به طور تصادفي تغيير دهند ، بدون آنكه در وظيفه آنها خللي وارد شود .
5-ويروسهاي انفجاري (Triggerdd event Virus)
اين ويروسها بخشي از عمليات تخريب خود را در ساعت و يا در تاريخ خاصي انجام مي دهند ولي تكثير وآلوده سازي فايل ها درتمام مدت فعال بودن ويروس در حافظه و اجراي برنامه هاي ديگر صورت مي گيرد .
به عنوان مثال ويروس ايراني درTOPGUN چنانچه تاريخ سيستم برابر با روز دوم ماه باشد ،64 بايت اول Ram CMOS را پاك مي كند .
6- ويروس خود شاخته (Self Modify Virus)
ويروسهايي كه خود را با نسخه هاي قبلي خود درسيستم مطابقت مي دهند ونسخه هاي قبلي خود را Update مي كنند .
7-ويروسهاي چند قسمتي (Multi partite Virus)
اين نوع ويروسها داراي چند ين قسمت هستند كه هر كدام كار خاصي را انجام مي دهد. مانند برنامه اي كه از چندين روال تشكيل شده است .
عملكرد ويروس
ويروسها عملكرد مختلفي دارند و انچه در مورد همه آنها اشتراك دارد،عملكرد منفي آنها مي باشد. به اين معني كه ويروسها عموما در صدد ايجاد مزاحمت هاي كامپيوتري هستند.اين مزاحمتها گستردگي وسيعي دارند و به راحتي قابل تعريف نيستند . اما به طو كلي مي توان عملكرد ويروس ها را به صورت زير تقسيم بندي كرد :
-ايجاد تاخير وقفه و در حين عمليات سيستم اعم از اجراي برنامه ها و يا راه اندازي كامپيوتر و ...
- تخريب يا حذف برنامه ها و اطلاعات بخشهاي مختلف ديسكها و يا حتي Format كردن ديسكها
- اشتغال حافظه و تكثير در حافظه به نحوي كه در حافظه جايي براي اجراي ديگربرنامه ها نمي ماند .
- مزاحمتهاي فوق ممكن است به محض فعال شدن ويروس (يعني قرار گرفتن ويروس در حافظه از طريق اجراي يك برنامه كاربردي آلوده و يا در يك تاريخ و زمان خاص و يا حتي با اجراي يك برنامه كاربردي خاص انجام شود.)
علائم موجود در ويروس
علائم زير معمولا به وسيله ويروسها ايجاد مي شوند . اما ممكن است در اثر عوامل غير ويروسي نيز ظاهر شود .
1) قفل كردن و دادن پيامها ي غير عادي : بعضي از ويروس ها به محض ورود به حافظه،خودشان را چندين بار تكثير مي كنند اين كار موجب ميشود سيستم بسيار كند شود و گاهي نيز قفل كند . بعضي از ويروسها نيز پس از آلودگي پيامهاي گوناگوني به نمايش مي گذارند .
2) دادن پيامهاي غيرعادي : پاره اي از ويروسها در مراحلي از آلودگي خود پيامهايي را نمايش مي دهند كه نشانه آلودگي سيستم است .
3) اختلال دركار Printer:يكي ازمواردي كه نشان دهنده آلودگي احتمالي به ويروس است اختلال در كار چاپگر است . اعمالي مانند توقف عمل چاپ و عمل format موقع چاپ يا .. مي تواند نشان دهنده آلودگي سيستم باشد .
4) صداي غير عادي Speaker: برخي از ويروسها با ايجاد صداهاي غير عادي يا پخش يك موزيك و... آلودگي سيستم را اعلام مي كنند. Atiavri باعث پخش شدن صداي هيس ازبلندگوي كامپيوتر مي شود .
5) كاهش سرعت سيستم : در صورتي كه زمان بار كردن برخي از برنامه ها به نحوه قابل ملاحظه اي افزايش يابد و يا مدت زمان راه اندازي سيستم ، وقتي كه ازروي HARD DISKراه اندازي مي شود،افزايش يابد، و... نشان دهنده احتمال آلودگي به ويروس است .
6) وقتي كه صفحه كليد را فشار مي دهد دستوري را وارد مي كنيد پيامي مبني بر غلط بودن شكل دستور دريافت مي كنيد و علت آن ممكن است اين باشد كه اگركليد B را فشار مي دهيد علامت كيد مجاورش ، يعني Nروي صفحه نمايش ظاهر مي شود، در اين صورت احتمالا كامپيوتر آلوده به ويروس است .
7) خرابي DISK: ممكن است كه احتمالاً بخشي ازديسك يا تمام آنها ازبين بروند و يا ديسك Format شود .
8) كاهش حجم حافظه : با وجودي كه هيچ برنامه مقيم جديدي بر روي سيستم نصب نشده باشد ، ظرفيت حافظه كاهش يافته است .
9) تغيير در اندازه فايل ها : طول برنامه ها ي قابل اجرا ،بعني فايل هاي EXE,CIM به اندازه 400 تا 6000 بايت تغيير مي كنند .
10) اختلال در صفحه نمايش : هنگام اجراي يك فايل يا .... كاراكتر ها و پيا م هاي غير معمول روي صفحه نمايش ظاهر ميشود(ممكن است برخي از اين پيغام ها نام ويروس فعال در حافظه باشد.)
11) اختلال در SETUP: برخي از ويروسها ، اطلاعات موجود در Setup كامپيوتر را از بين مي برند .
12) راه اندازي مجدد سيستم (Restart) : برخي از ويروسها موقع استفاده ازبرنامه باعث RESTART شدن سيستم مي شود .
13) خواص فايلهاي اجراي تغيير مي كند .
14) در حين اجراي يك برنامه ، بخشي از عمليات برنامه به طور عادي انجام نمي شود.
15) هنگام كار درمحيط هاي گرافيكي تصاويربر هم مي ريزند .
16) هنگام اجراي فايل ها پيغام Fileis Damagedيا File is curropted ظاهرمي شود .
17) امكان دسترسي به يكي ازديسك گردانها از بين مي رود .
18) هنگام اجراي يك برنامه سيستم قفل مي كند و گاهي فشردن كليدهاي ALT+DEL+CTRl نيز نمي تواند سيستم راه اندازي كند .
ويروسهاي ناشناخته:
شايد يافتن ويروس هاي ناشناخته مهمتر از ويروس هاي شناخته شده باشد ،زيرا ويروس هاي جديد تا قبل از كشف شدن ، مورد تجزيه و تحليل قرار گرفتن ،نامگذاري و توزيع ويروس يابها ، مدتي ناشناخته مي مانند .
ويروس يابها با جستجوي فايل هاي برنامه اي به دنبال تغييراتي در آنها احتمال آلودگي ويروسي را نشان مي دهند ، ويروس ها ي ناشناخته را پيدا مي كنند . بيشتر فايل ها ي برنامه اي پس از نصب تغيير نمي كنند ، بنابراين وجود هر گونه تغييري در آنها مي تواند نشانگر آلودگي ويروسي باشد .
اولين باري كه ويروس يابها ميكروسافت را در درايوي مورد استفاده قرار دهيد، فايلي به نام CHKLIST.MS در هر فهرستي ايجاد مي كند و اندازه ، صفات ، تاريخ و ساعت تمام فايل هاي برنامه اي فهرست مزبور را درآن فايل ثبت مي كند.
اولين باري كه مقداركنترلي (Check sum) يعني مقدار منحصر به فردي كه از محاسبه محتويات فايل بدست مي آورد را نيز ثابت مي كند. بدين ترتيب اگر محتويات فايل تغيير كند ،مقدار كنترلي آن نيز تغيير مي كند و ويروس ياب ازروي آن مي فهمد كه فايل تغيير كرده است ، جتي اگراندازه ،صفات و تاريخ و سرعت آن ثابت مانده است .
اگر هنگام ثبت داده ها CHKLIST.MS ويروس ناشناخته اي در سيستم وجود داشته باشد شناسايي نخواهد شد . خوشبختانه VSAFE مي تواند با نظارت بر سيستم، جلوي فعاليت مخرب ويروس ها را بگيرد .
پس از تشكيل فايل هاي CHKLIST.MS، هر بار كه عمليات ويروس يابي انجام شود ، ويروس يابي داده هاي ثبت شده را با فايل هاي برنامه اي مقايسه مي كند. هر گونه تفاوتي در آنها باعث مي شود ويروس ياب داده هاي ثبت شده را با فايل هاي برنامه اي مقايسه مي كند . وجود هر گونه تفاوتي در آنها باعث مي شود كه ويروس ياب امكان وجود يك ويروس ناشناخته را گزارش دهد كه در اين صورت بايد فكري به حال سيستم بكنيد.در اين حالت مي توانيد به برنامه ويروس ياب بگوييد كه ازتغيير صرف نظر كند، فايل CHKLIST.MSرا با داده هاي جديد نوسازي كند ، فايل آلوده را پاك كند ، يا عمليات ويروس يابي را متوقف سازد .
ساختار عمومي ويروسها و ضد ويروسها :
سيستم عامل داراي امكاناتي است كه به ويروس نويسان اجازه مي دهد با استفاده از آنها كنترل سيستم را در دست بگيريد، خود را مخفي كنند ، در حافظه مقيم شوند و ....
ويروسهاي كامپيوتري با استفاده از اين امكانات از روشهاي مدرن و پيچيده اي براي آلوده سازي ، مخفي سازي خود و تخريب اطلاعات استفاده مي كنند . يكي از اين ويروسها One half است .
اولين باري كه برنامه آلوده به ويروس ، برروي يك كامپيوتر سالم و غيرآلوده اجرا شود partition Table را آلوده كند . بعد ازان هر وقت كه سيستم با hard disk آلوده راه اندازي مي شود ، ويروس كنترل عمليات ورودي /خروجي را در دست مي گيرد .
در صورتي كه اطلاعات partition Tableبه كلي از بين برود، بديهي است كه سيستم ديگر Bootنمي شود .
وقتي ويروس partition Table را آلوده بعد از آن در هر بار روشن شدن سيستم دور سيلندر از انتهاي hard disk راكد كرده و به ان ترتيب بعد ازمدتي ، حجم زيادي از اطلاعات تخريب مي شوند .
تكنيك هاي آشكارسازي ويروس ها :
يكي از اولين نرم افزارهايي كه بر روي كامپيوتر نصب مي شوند اخرين نسخه نرم افزارهاي ضد ويروس است. هيچ كدام از ضد ويروس هاي زرنگ و باهوش اغلب مي توانند آنها را فريب دهند ولي آنها احتمال آلودگي رابه حداقل مي رسانند و درصورت آسيب ديدن ، كار درمان را ، راحتر مي كنند .
1-بررسي علامت مشخصه ويروس بانگ الگوي ويروسirus Pattern database V
ساده ترين روش تشخيص ويروس ها نگاه كردن به برنامه آنهاست و بررسي پيام ها ي موجود در انهاست . راه ديگر گشتن به دنبال بايت هاي خاصي ، كه مشخص كننده ويروس هاي خاص است ، مي باشد. كه به آنها رمز مشخصه (Signature) يا امضاء ويروس مي گويند . بنابراين در اين روش همه فايل ها جستجو مي شوند تا علامت مشخص شده ويروس را پيدا كنند در Boot Sectorآلوده به ويروس ((مغز پاكستاني )) رشته هاي Virus shoe وجود دارد كه ممكن است از اين علامت براي شناسايي اين ويروس استفاده كرد . در انتهاي كليه فايلهاي آلوده به ويروس Mixer 1,2 مي توان رشته حرفي mixl را پيدا كرد . بنابراين در بانگ الگو مي توان از اين علامت ، براي شناسايي اين ويروس استفاده كرد .
2- بررسي تجربي يا مكاشفه اي (Heuristic Scan)
در اين روش ضد ويروس به دنبال رفتارهاي ويروس مي گردد مثلا به دنبال قطعاتي كه به صورت رمز بوده و خطر آفرين هستند مي گردد . مانند كپي كردن فايل بر روي خودش ، يا به يك فايل ديگر ، يا حذف كردن خودش بدون هيچ اخطاري به كاربر ، در اين روش ممكن است هشدار اشتباه نيز داده شود و نسبت به روش بانك الگوي ويروس ، داراي دقت كمتري است اما براي تشخيص ويروس هاي جديد كه رمز مشخصه آنها هنوز در نرم افزارهاي ضد ويروس وجود ندارد بسيار خوب عمل مي كند .
3-بررسي درستي مجموع (integrity Checking)
ويروس معمولاً اندازه تاريخ يا مشخصات فايل اجرايي را تغيير مي دهد . بنابراين مي توان با ضبط قبلي و قايسه آن با وضعيت فعلي (CHKLIST.MS)از تغييرات احتمالي كه بوسيله ويروس ايجاد مي شود آگاه شد. اگر ويروس جديد باشد و ضد ويروس آن در دسترس نباشد با اين روش مي توان به شناسايي ويروس هاي جديد نيز پرداخت .
4- بررسي رمز ژنريك :
در اين روش به جاي جستجوي رمز مشخصه ويروس هاي خاص ، به دنبال الگوهايي مانند دستور العمل هاي پرش نامناسب مي گردد كه به برنامه هاي ويروسي شباهت دارد . اين روش براي كشف ويروس هاي هزار چهره كه مي توانند رمز خودشان را هر بار كه فايل جديدي را آلوده مي كنند ، تغيير دهند ، بسيار كارا و موثر است .
5-رفتار نگرها :
به رفتارهاي غير عادي و طبيعي داخل كامپيوتر توجه دارند . مانند فايلي كه روي Boot Sector مي نويسد يا HARD DISKرا Format مي كند . وقتي چنين اتفاقي مي خواهد انجام شود ضد ويروس كاربررا آگاه مي كند .
6-بررسي فازي :
اساس اين روش بر منطق فازي استوار است . با اين روش مي توان دقيقاً به وجودويروسهاي هم شكل و هزار چهره پي برد . ضد ويروسها يي كه بر اساس بررسي فازي كار مي كنند در تشخيص ويروسها بسيار خوب عمل مي كنند . اما عمليات جستجو را آهسته انجام مي دهند و بروز اشتباه درانها بسيار اندك است.ضد ويروس IBM بر اين اساس كار مي كند و بسياري از ويروسها را تشخيص و نابود مي كند .
روشهاي كلي مبارزه :
جمله معروفي در علم پزشكي مطرح شده است كه پيشگيري از بيماري به مراتب آسانتر از درمان آن است اين سخن تا حدود زيادي درمورد ويروس هاي كامپيوتري نيز صدق مي كند . به اين معني كه در بسياري از مواقع جلوگيري از ورود ويروس به كامپيوتر ساده تر از رفع آن است .
به طور كلي راههاي اصلي براي مبارزه با ويروسها به دو دسته زير تقســـيم
مي شوند .
1) شناسايي ويروس ها و جلوگيري از ورود آنها به كامپيوتر
2) از بين بردن ويروسي كه به سيستم وارد شده و درصورت ايجاد اختلال ، بازگرداندن وضعيت سيستم كامپيوتر و برنامه هايآن به حالت عادي
اجراي دو بند فوق مستلزم شناخت چهره واقعي ويروس ، يعني كد مبدا آنها است هر روز ويروس هاي جديدي با يك كد مبدا آنها شناخته شده و تا برنامه پاك كننده تهيه مي شود ، هزاران برنامه در معرض حمله و تخريب اين ويروس ها قرار گرفته اند .
شركتها ي توليد كننده نرم افزار هاي ضد ويروس زماني ميتوانند برنامه هاي ضد ويروس خود را كامل تر و فراگير تر كنند كه حداقل به ويروس جديد ساخته شده توسط ديگران دسترسي پيدا كنند تا بتوانند با شناخت كد مبدا و نحوه كار آنها برنامه هاي ضد ويروسي مناسب را طراحي نمايند و همه اين مراحل بسيار وقت گير خواهد بود .