- Heuristic method (روش مکاشفهای)
فلسفه Heuristic این است که بتوانیم ویروسهایی را شناسایی کنیم که هنوز Virus Signature آنها در بانک اطلاعاتی موجود نمیباشد.
این کار با استفاده از یک بانک اطلاعاتی که رکوردهای آن حاوی Virus behavior signature میباشد قابل انجام است. رکوردهای این بانک اطلاعاتی امضای ویروس خاصی را نگهداری نمیکنند بلکه بیشتر رفتارهای (رفتار بد) ویروسها را ذخیره میکنند. مثلاً اینکه هر کجا تشخیص بدهند کدی قصد پاک کردن Boot Sector را دارد از آن جلوگیری میکنند.
الگوریتمهایHeuristic به دو صورت پیادهسازی میشوند:
● اگر تکنولوژی Heuristic کد هر برنامه را با Virus behavior Signature مقایسه کند و مورد آنالیز قرار دهد آن را روش static heuristic مینامیم.
● در بعضی مواقع این تکنولوژی قطعه کد را در یک ماشین مجازی اجرا میکند تا نتایج رفتاری آن را ببیند به این روش dynamic heuristic میگوییم. این روش ممکن است نتایج غلطی نیز تولید کند.
Integrity checksum -2 (جامعیت سرجمع)
در روش integrity checksum، فرض براین است که ویروس قصد اعمال تغییراتی در فایل دارد. مثلاً یک ویروس میخواهد که روی یک فایل چیزی بنویسد یا اینکه خودش را به آخر فایلی اضافه کند. در این روش نرمافزار checksum فایل غیرویروسی و یا درایورهای تمیز را ذخیره میکند و هرگاه که تغییری در این checksum مشاهده شود متوجه میشود که احتمال دارد ویروسی این کار را انجام داده باشد. در این روش نیز احتمال تولید نتایج غلط وجود دارد. این روش در مقابله با ویروسهای ماکرویی یا ویروسهای مانند code Red که بدون اینکه در هیچ فایلی ذخیره شوند در حافظه بارگذاری و اجرا میشوند، کارایی چندانی ندارد.
اگر یک کد مزاحم از تمام الگوریتمهای یک ضدویروس که تاکنون نام بردیم بگذرد، در گام آخر توسط فناوری دیگری به نام Activity Blocker از فعالیت آن جلوگیری میشود. این تکنولوژی از تمام فعالیتهایی که ممکن است توسط یک کد مخرب صورت بپذیرد جلوگیری میکند مثلاً اگر تشخیص دهد که هارددیسک در حال فرمت شدن است از آن جلوگیری میکند.
نظرات شما عزیزان:
تبادل لینک هوشمند 