books selection methods
If you do not find what you're looking for, you can use more accurate words.
أساليب التحديد (Info)
هناك عدة طرق يمكن ان تستخدمها برامج الحماية من الفيروسات لتحديد البرمجيات الخبيثة.
الفحص بناء على التوقيع أو الفحص المستند على الكشف هو الأسلوب الأكثر شيوعا. لتحديد الفيروسات والبرامج الخبيثة الأخرى، تقارن برامج الحماية من الفيروسات محتويات ملف إلى قاموس فحص الفيروس. لأن الفيروسات يمكنها تضمين نفسها في ملفات موجودة، يتم البحث في الملف بأكمله، ليس فقط ككل، ولكن أيضا في القطع.
الكشف على نشاط البرمجيات الضارة هو أسلوب آخر متبع لتحديد البرمجيات الخبيثة. في هذا الأسلوب، ترصد برامج الحماية من الفيروسات نظام للاشتباه في تصرفات البرنامج. إذا تم الكشف عن سلوك مريب، قد يتم مزيد من التحقيق في البرنامج، وذلك باستخدام الفحص المستند على الكشف أو أسلوب آخر المذكور في هذا القسم. ويمكن استخدام هذا النوع من الكشف لتحديد الفيروسات غير المعروفة أو نسخ أخرى من الفيروسات الموجودة.
الكشف القائم على الحدس، مثل الكشف عن البرمجيات ضارة النشاط، يمكن أن تستخدم لتحديد فيروسات غير معروفة. ويمكن تحقيق ذلك من خلال طريقتين : ملف تحليل ومضاهاة الملف.
تحليل الملف هي عملية البحث عن ملف يشتبه في انه مثل تعليمات للفيروس. على سبيل المثال، إذا كان البرنامج يحتوي على تعليمات لإعادة صياغة درايف سي، قد يحقق برنامج مكافحة الفيروسات مواصلة التحقيق في الملف. سلبي واحد من هذه الميزة هي كمية كبيرة من الموارد الحاسوبية اللازمة لتحليل كل ملف، مما أدى إلى بطء العملية.
مضاهاة ملف هو نهج إرشادي آخر. ينطوي مضاهاة ملف على تنفيذ برنامج في بيئة افتراضية، وتسجيل إجراءات التي ينفذها البرنامج. اعتمادا على إجراءات تسجيل، يستطيع برنامج مكافحة الفيروسات لتحديد ما إذا كان البرنامج هو ضار أم لا ومن ثم تنفيذ الإجراءات المناسبة التطهير.
الفحص المستند على الكشف
تقليديا، برامج مكافحة الفيروسات شديدة الاعتماد على التوقيعات لتحديد البرمجيات الخبيثة. هذا لا يمكن أن تكون فعالة جدا، لكنه لا يستطيع الدفاع عن نفسه ضد البرمجيات الخبيثة إلا عينات وقد تم بالفعل الحصول على التوقيعات وخلق. وبسبب هذا، والتوقيع النهج القائمة ليست فعالة ضد الفيروسات ومجهولة جديدة.
عندما برنامج مكافحة الفيروسات بفحص ملف للبحث عن الفيروسات، فإنه يتحقق محتويات ملف ضد القاموس التوقيعات الفيروس. ألف توقيع الفيروس هو رمز الفيروسية. ما إذا كان التوقيع الفيروس موجود في ملف برنامج الحماية من الفيروسات ويمكن اللجوء إلى مزيج من بعض إصلاح الحجر الصحي، أو الحذف. الحجر الصحي ملف سيجعل من الوصول إليها، وعادة ما يكون أول عمل برامج مكافحة الفيروسات سوف يستغرق ما إذا كان يتم العثور على ملف ضار. تشفير الملف هو أسلوب جيد الحجر الصحي لأنها تجعل الملف عديمة الفائدة من دون مفتاح التشفير.
أحيانا المستخدم يريد حفظ محتوى ملف مصاب بسبب فيروسات يمكن في بعض الأحيان ترسيخ نفسها في الملفات، ودعا حقن رمز، والملف قد تكون ضرورية لعملية العادي. للقيام بذلك، برامج مكافحة الفيروسات ومحاولة إصلاح هذا الملف. للقيام بذلك، يقوم البرنامج في محاولة لإزالة الشفرة الفيروسية من الملف. للأسف، قد تحدث بعض الفيروسات الضرر الملف عند الحقن.
إذا كان ملف إصلاح العملية فشلت، وعادة ما يكون أفضل شيء نفعله هو مجرد حذف الملف. حذف الملف ضروري إذا كان الملف بأكمله المصابين. هذا قد يكون من الضروري في حالة البريدي الملفات المصابة، أو ما شابه ذلك "حشد" الملفات.
لأن الفيروسات الجديدة التي يجري إنشاؤها في كل يوم، وتوقيع الكشف على أساس النهج يتطلب بتحديثها بشكل متكرر من توقيع الفيروسات القاموس. لمساعدة شركات برامج مكافحة الفيروسات، والبرمجيات قد تسمح للمستخدم تحميل فيروسات جديدة أو متغيرات إلى الشركة، مما يتيح للفيروس لتحليلها والتوقيع عليها إضافة إلى القاموس.
توقيع القائم على برامج مكافحة الفيروسات عادة عندما يفحص ملفات الكمبيوتر ونظام التشغيل يخلق، ويفتح ويغلق، أو البريد الإلكتروني لهم. وبهذه الطريقة فإنه يمكن الكشف عن الفيروس المعروف فور استلامها. مسئول النظام يمكن أن الجدول الزمني برامج مكافحة الفيروسات لتفحص كافة الملفات على الكمبيوتر في القرص الثابت في الوقت المحدد وحتى الآن.
على الرغم من أن أسلوب الفحص يمكن على احتواء تفشي الفيروس نحو فعال، حاول كتاب الفيروس البقاء خطوة إلى الأمام لمثل هذه البرامج من خلال كتابة "oligomorphic"، "متعدد الأشكال"، ومؤخرا، "المتحولة" الفيروسات التي تشفير أجزاء من أنفسهم أو غير ذلك تعديل أنفسهم كوسيلة للتمويه، وذلك لعدم تطابق تواقيع الفيروسات في القاموس.
تقنية ناشئة للتعامل مع البرمجيات الخبيثة بشكل عام هو جى البيضاء. بدلا من أن يبحث عن الوحيدة المعروفة البرمجيات سيئة، وهذا الأسلوب يمنع تنفيذ جميع التعليمات البرمجية للكمبيوتر، باستثناء تلك التي سبق تحديدها بوصفها جديرة بالثقة من قبل مدير النظام. بإتباع هذا التقصير "رفض" النهج، فإن القيود المتأصلة في حفظ التوقيعات الفيروس حتى الآن يتم تجنبها. بالإضافة إلى ذلك، تطبيقات الحاسوب التي هي غير المرغوب فيه من قبل مدير النظام ومنعهم من تنفيذ لأنها ليست على القائمة البيضاء. منذ المنظمات في كثير من الأحيان على كميات كبيرة من التطبيقات موثوق به، والقيود المفروضة على اعتماد هذه التقنية على عاتق مسئولية النظام من قدرة على القيام بالجرد والإبقاء على القائمة البيضاء للبرمجيات الموثوق بها. قابلة للتطبيق من تطبيقات هذه التقنية تشمل الأدوات لأتمتة عمليات الجرد والصيانة القائمة البيضاء.
رصد السلوك المشبوه
والمشبوهة سلوك نهج لا يحاول التعرف على الفيروسات المعروفة، ولكن بدلا من مراقبي السلوك في جميع البرامج. إذا كان أحد يحاول البرنامج كتابة البيانات إلى برنامج قابل للتنفيذ، على سبيل المثال، يمكن لبرامج مكافحة الفيروسات العلم هذا السلوك المشبوهة، وتلفت انتباه المستخدم ونسأل ماذا نفعل.
والمشبوهة سلوك نهج يوفر الحماية ضد الفيروس صفر اليوم التي لم تصبح بعد في القاموس. ومع ذلك، فإنه يمكن أيضا أن صوت عدد كبير من الإيجابية الكاذبة والمستخدمين يمكن أن تصبح المتفجرات لهذه التحذيرات. هذه المشكلة قد ساءت منذ عام 1997، نظرا لأن العديد من المنظمات غير تصاميم برنامج خبيث جاء لتعديل executablea غيرها من دون النظر إلى هذه المسألة إيجابية كاذبة. في السنوات الأخيرة، ومع ذلك، تحليل سلوك متطورة برزت، الذي يحلل العمليات، ويدعو إلى النواة في سياق قبل اتخاذ القرار، وهو ما يعطيها على معدل أقل إيجابية كاذبة من القواعد القائمة على رصد السلوك.
الاستدلال
بعض برامج الحماية من الفيروسات أكثر تطورا يستخدم تحليل إرشادي لتحديد البرمجيات الخبيثة أو متغيرات جديدة من البرمجيات الخبيثة المعروفة. وتستخدم ثلاث طرق : تحليل الملف، ملف مضاهاة، والتوقيعات عامة.
تحليل الملف هو العملية التي من خلالها سيتم تحليل برامج مكافحة الفيروسات على تعليمات من البرنامج. بناء على تعليمات، لا يمكن للبرنامج تحديد ما إذا كان أو لم يكن البرنامج هو ضار. على سبيل المثال، إذا كان الملف يحتوي على تعليمات لحذف ملفات النظام الهامة، قد يكون علامة على الملف باعتباره الفيروس. في حين أن هذه الطريقة مفيدة لتحديد الفيروسات الجديدة والمتغيرات، إلا أنها قد تسبب الكثير من ايجابيات كاذبة.
النهج الثاني هو ملف إرشادي مضاهاة، والذي يدير الملف الهدف في بيئة افتراضية النظام، ومنفصلة عن البيئة الحقيقية النظام. برنامج الحماية من الفيروسات وبعد ذلك سجل ما هي الإجراءات الملف يأخذ في بيئة افتراضية. إذا كانت الأعمال وجدت لتكون ضارة أو خبيثة، قد يكون الملف بمثابة الفيروس. ولكن مرة أخرى، يمكن أن تؤدي هذه الطريقة المغلوطة.
نوع آخر من الاستدلال هو التوقيعات عامة.
العديد من الفيروسات تبدأ اعتبارا من عدوى واحدة وإما عن طريق الطفرة أو التحسينات على يد مهاجمين أخرى، يمكن أن تنمو في العشرات من سلالات مختلفة قليلا، ودعا الخيارين. كشف عام يشير إلى اكتشاف وإزالة التهديدات المتعددة باستخدام تعريف الفيروس واحدة.
على سبيل المثال، ترويا فوندو والعديد من أفراد العائلة، وهذا يتوقف على البائع مكافحة الفيروسات التصنيف. سيمانتيك يصنف أعضاء الأسرة فوندو إلى عضوين متميزة، طروادة. فوندو وطروادة. فوندو. باء.
في حين أنه قد يكون من المفيد التعرف على الفيروس محددة، يمكن أن يكون أسرع للكشف عن فيروس الأسرة من خلال التوقيع عامة أو من خلال تطابق دقيق لتوقيع القائمة. تفحص الباحثون إيجاد مناطق مشتركة للجميع الفيروسات في حصة عائلة فريد وبالتالي يمكن إنشاء توقيع واحد عام. هذه التواقيع غالبا ما تحتوي على رمز غير متجاورة، وذلك باستخدام حرف بدل حيث تكمن الخلافات. تسمح هذه البدل الماسح الضوئي للكشف عن الفيروسات حتى لو كانت مبطن مع إضافة، رمز بلا معنى. رمز مبطن يستخدم لإرباك الماسحة الضوئية بحيث لا يمكن التعرف على هذا التهديد.
وكشف أن يستخدم هذا الأسلوب هو أن يكون "الكشف عن مجريات الأمور".
