10 تقنيات الكشف عن البرامج الضارة المستخدمة من قبل مكافحة الفيروسات
يستخدم برنامج مكافحة البرامج الضارة ، المعروف أيضا باسم أنتي فيروس ، العديد من التقنيات والخوارزميات وتقنيات التحليل للكشف عن الفيروسات وجميع أنواع البرامج الضارة الأخرى. كل هذا يحدث في الوقت الحقيقي في خلفية جهاز الكمبيوتر الخاص بك. فيما يلي 10 تقنيات للكشف عن البرامج الضارة يستخدمها برنامج مكافحة الفيروسات / مكافحة البرامج الضارة للكشف عن الفيروسات والديدان وبرامج الإعلانات وبرامج التجسس وبرامج الفدية وحصان طروادة وجميع الأنواع المتبقية من البرامج الضارة.
كيف تعمل برنامج مكافحة الفيروسات؟
1. تحليل توقيع الملف
تحليل توقيع الملف هو أقدم وأبسط نوع من تقنيات الكشف. تمتلك شركات مكافحة الفيروسات قاعدة بيانات تحتوي على توقيعات (أو أجزاء من التعليمات البرمجية) لجميع البرامج الضارة التي تم اكتشافها مسبقا. تعرف قاعدة البيانات هذه بأسماء مختلفة مثل قاعدة بيانات التوقيع أو التوقيعات أو تعريفات الفيروسات. تقوم برامج مكافحة الفيروسات باستمرار بفحص جميع الملفات والبرامج الموجودة على الكمبيوتر ومطابقتها مع توقيعاتها. إذا تطابق ملف أو برنامج مع برنامج ضار متوفر في قاعدة البيانات ، حظره ، ويتم إعلام المستخدم.
2. التحليل الإرشادي
التحليل الإرشادي هو شكل أكثر تقدما من تحليل توقيع الملف. التحليل القائم على التوقيع هو الطريقة الأقدم والأكثر استخداما لتحديد البرامج الضارة ولكنه ليس الطريقة الأكثر موثوقية. يمكن أن يؤدي تغيير بسيط في رمز البرامج الضارة الذي يمكن اكتشافه مسبقا إلى جعله غير قابل للكشف في نظر برنامج مكافحة الفيروسات الذي يستخدم تحليل التوقيع فقط للكشف عن البرامج الضارة. لا يمكنه الحماية من التهديدات التي لم يتم تحديدها والتي لم يتم إنشاء توقيعاتها بعد. ولذلك، فإن النظام معرض لمثل هذه التهديدات.
يستخدم التحليل الإرشادي خوارزميات لتحديد ما إذا كان البرنامج ضارا أم لا. يفحص رمز البرنامج ، ويحاول معرفة نتيجة هذا الرمز باستخدام طرق مختلفة. إذا كان الرمز مشابها لرمز برنامج ضار موجود بالفعل في قاعدة بيانات التوقيع ، فإنه يحظر البرنامج لأنه قد يكون متغيرا جديدا من تلك البرامج الضارة. بهذه الطريقة ، من المفيد التقاط المتغيرات الجديدة للبرامج الضارة. تعمل تعريفات توقيعات البرامج الضارة/الفيروسات مع المحاكاة الافتراضية (وضع الحماية) في هذا النوع من التحليل.
التحليل الإرشادي هو السبب الجذري للإيجابيات الخاطئة ، لأن برامج مكافحة البرامج الضارة تعتبر البرامج الضارة للبرنامج تستند إلى معلومات محدودة. في الواقع ، قد لا يكون هذا البرنامج المحدد ضارا على الإطلاق.
3. التحليل السلوكي
هذه الطريقة مفيدة أيضا لتحديد البرامج الضارة التي لم تتلق بعد تعريفات الفيروسات من الشركة المصنعة ، أو تلك التي تمكنت من البقاء مخفية حتى الآن من مطوري برامج مكافحة الفيروسات. التحليل السلوكي ، كما يوحي الاسم ، يحلل سلوك البرامج. إذا كان سلوك أحد البرامج يتطابق مع سلوك برنامج ضار آخر، فإن برنامج مكافحة البرامج الضارة يتعرف عليه كبرنامج ضار.
تعمل تقنيات HIPS (نظام منع تسلل المضيف) و IDS (نظام اكتشاف التسلل) في هذا النوع من التحليل.
التحليل السلوكي له أيضا سقوط. وهي مسؤولة عن زيادة عدد الإيجابيات الكاذبة. قد يصل برنامج شرعي إلى مواقع مهمة من النظام، ولكن قد يحظره برنامج مكافحة البرامج الضارة على افتراض أنه برنامج ضار.
4. التحليل السحابي (وتقييم الملف)
تظهر برامج ضارة جديدة بمعدل مذهل. لا يمكن إنشاء توقيعات لجميع البرامج الضارة التي يتم العثور عليها كل يوم. لذلك ، من أجل توفير حماية أكثر كفاءة لمستخدميها ، أضافت شركات مكافحة الفيروسات سلاحا آخر إلى ترسانتها لمكافحة البرامج الضارة. في طريقة تحليل السحابة ، يتم إجراء تحليل البرامج الضارة على السحابة ، أي على خوادم بائع مكافحة الفيروسات.
يعد التحليل السحابي ضروريا للكشف عن أنواع جديدة من البرامج الضارة. عندما يعثر برنامج مكافحة الفيروسات على ملف يعرض سلوكا مشابها لسلوك تطبيق ضار ، إرساله إلى مختبرات موردي مكافحة البرامج الضارة حيث يتم اختباره. إذا تبين أن البرنامج ضار ، إنشاء توقيع له ، والذي يستخدم لحظره من جميع أجهزة الكمبيوتر الأخرى التي تم اكتشافه فيها.
جعلت تقنية التحليل السحابي من الممكن إنشاء منتج مضاد فيروسات خفيف الوزن. في برنامج مكافحة الفيروسات الذي يركز على السحابة، لا يتم تنزيل تعريفات الفيروسات أو توقيعاتها على الكمبيوتر، لذلك لا يتم استخدام مساحة الإنترنت والقرص. بالإضافة إلى ذلك ، يتم إجراء التحليل المتقدم على الملفات الضارة المحتملة على البنية التحتية لبائع مكافحة الفيروسات ، وليس على جهاز الكمبيوتر الخاص بالمستخدم بحيث يوفر قوة معالجة الكمبيوتر أيضا. عيب استخدام برنامج مكافحة الفيروسات السحابي هو أنه يتطلب دائما اتصالا نشطا بالإنترنت.
5. تحليل وضع الحماية (المحاكاة الافتراضية)
تتضمن تقنية Sandbox Analysis تشغيل البرامج في بيئة افتراضية للتحقق من إجراءاتها. إذا كان البرنامج يعمل مثل البرامج الضارة ، وضع علامة عليه كواحد. يتم استخدام تقنيات المحاكاة الافتراضية والتحليل السلوكي في هذا النوع من تقنيات الكشف.
يمكن أيضا استخدام ميزة وضع الحماية لتشغيل تلك التي تقوم بتشغيل جميع الملفات التي لا يمكن لبرنامج مكافحة الفيروسات إدراجها في القائمة البيضاء أو القائمة السوداء. يتم تنفيذ الملفات في مقطع معزول منفصل عن الملفات الأخرى المخزنة على الكمبيوتر. لذا ، فإن تشغيل ملف في حاوية رمل يمنحك أفضل ما في العالمين. إذا كان الملف ضارا ، فلا يمكن أن يضر بجهاز الكمبيوتر الخاص بك لأنه تم تنفيذه في حاوية بيئة افتراضية / وضع الحماية ، وإذا كان برنامجا شرعيا ، فيمكنك تشغيله.
6. نظام منع تسلل المضيف (HIPS)
نظام منع تسلل المضيف (HIPS) هو تقنية تستخدمها برامج الأمان للكشف عن السلوك الضار في البرنامج. وهو ينطوي على مراقبة كل نشاط يقوم به برنامج على النظام. يقوم بإخطار المستخدم بهذه الأنشطة ، ويقدم له خيارات مثل السماح ، الحظر ، وما إلى ذلك لتلك الأنشطة.
7. تصفية الويب والتحكم في التطبيقات
تماما مثل قاعدة بيانات الملفات الضارة التي تسمى التوقيعات أو التعاريف ، تحتفظ شركات مكافحة الفيروسات أيضا بقاعدة بيانات لعناوين URL الضارة أو عناوين مواقع الويب. يتم استخدام هذا في مكون تصفية الويب لمنتج مكافحة الفيروسات. تستخدم تقنية تصفية الويب لحماية الكمبيوتر من التهديدات التي يحملها الإنترنت عن طريق حظر الوصول إلى مواقع الويب الضارة ، ومنع تنزيل الملفات الضارة ، وإخطار المستخدم بمواقع الويب المشبوهة.
التحكم في التطبيق. وتسمى أيضا مراقب العملية في بعض البرامج، ويستخدم لمراقبة أنشطة البرامج المثبتة والعاملة على الكمبيوتر. يعمل هذا مثل إدارة المهام المتقدمة ، ويمنحك العديد من الخيارات المتقدمة للتحكم في عمل البرنامج. تستخدم هذه الميزة قاعدة بيانات URL الضارة لتحديد البرامج الضارة. على سبيل المثال، إذا كان أحد البرامج الموجودة على الكمبيوتر يحاول الاتصال بموقع ويب أو خادم تم ذكر عنوانه في قاعدة بيانات عنوان URL الضار، تصنيف هذا البرنامج على أنه برنامج ضار ويتم حظره.
8. ملحقات متصفح الويب / الوظائف الإضافية / BHOs
في حالة معظم المستخدمين ، فإن معظم الوقت الذي يقضيه على الكمبيوتر هو الوقت الذي يقضيه على متصفح الويب. يستخدم مستعرض الويب لتصفح الويب أو الإنترنت ، وهو المكان الأكثر شيوعا للحصول على البرامج الضارة على أجهزة الكمبيوتر. لذلك ، من المنطقي إنشاء منتج مصنوع فقط لمتصفحات الويب. تحتوي متصفحات الويب المختلفة على أسماء مختلفة مثل الإضافات والوظائف الإضافية والمكونات الإضافية وكائنات مساعد المتصفح (BHO) وما إلى ذلك.
9. خوادم نظام أسماء النطاقات المخصصة (DNS)
يقوم بعض موفري خدمة الإنترنت (ISP) بضخ الإعلانات في شبكاتهم. لا يمكنك دائما حظر هذه الأنواع من شبكات الإعلانات باستخدام إضافات مانع الإعلانات. وذلك لأن مزودي خدمات الإنترنت عادة ما يستخدمون شبكات الإعلانات المحلية لحقن الإعلانات. قد لا يكون حاصرو الإعلانات على دراية بهذه الشركات حتى الآن.
يمكن حظر هذه الإعلانات والإمكانات عن طريق حظر النطاق الرئيسي وجميع النطاقات الفرعية المتصلة. طريقة واحدة للقيام بذلك باستخدام ملف المضيفين. مستخدم لتحرير ملف Hosts لحظره مثل الشبكات، أو استخدام ملف Hosts مخصص. الخيار الأفضل هو استخدام خدمة DNS التابعة لجهة خارجية. توفر بعض شركات مكافحة الفيروسات خدمة DNS التي تركز على الأمان والتي تحظر تلقائيا الفئات الضارة وغيرها من فئات مواقع الويب غير المناسبة.
10. جدار الحماية (متوفر في مجموعات الأمان)
يراقب جدار الحماية اتصالات الشبكات في الوقت الفعلي، ويخطر مستخدم الكمبيوتر بجميع اتصالات الشبكة الواردة والصادرة. فهو يحظر حركة المرور الضارة، ويمنع التطبيقات الضارة من الاتصال بالإنترنت، وإرسال بيانات المستخدم الحساسة إلى المتسللين. كما أنه يحمي الكمبيوتر من محاولات الوصول عن بعد غير المصرح بها عن طريق إنهاء هذه الاتصالات تلقائيا. هناك طريقة أخرى لحماية جدار الحماية للكمبيوتر وهي إخفاء المنافذ المفتوحة من عمليات فحص المنافذ لمنع أي هجمات قراصنة محتملة على الكمبيوتر.
الطرق الأخرى التي تستخدمها برامج أمان الكمبيوتر المستخدمة للحفاظ على أمان جهاز الكمبيوتر الخاص بك ومنع أي إصابات بالبرامج الضارة أو هجمات القراصنة.
الثلاثة التالية ليست تقنيات الكشف ولكن منع البرامج الضارة.
التطبيقات في وضع الحماية: قم بتشغيل تطبيقات غير موقعة وغير معروفة ومشبوهة في وضع الحماية، وهي بيئة افتراضية معزولة.
القائمة البيضاء للتطبيقات - قم بتشغيل تلك التطبيقات النظيفة بالتأكيد فقط.
التراجع عن النظام - في حالة وجود برامج ضارة على النظام ، ارجع إلى لقطة نظام تم إنشاؤها مسبقا. انها مثل نسخة متقدمة من استعادة النظام.
هذه هي بعض التقنيات التي يستخدمها برنامج أمان الكمبيوتر للحفاظ على حماية الكمبيوتر من البرامج الضارة والهجمات.