[b]السلام عليكم ورحمة الله وبركاته:أحب أ أقدم لكم شرح عن برامج انتي فيروس وتقنياتها
كثير ما نستخدم برمجيات الانتى فيروس لكن ما هى وكيف تعمل فى هذه المقالة سوف نتعرف معا ما هى هذه البرمجيات
-----------------------------
اصبح بحكم الاكيد ان لوجود برمجيات الانتى فيروس بكافة انواعها وهذا يرجع فى المقام الاول الى كفائة مثل هذه البرمجيات وما يكون عليه شكل مكتبتها وهل هى من النوعية التى تتقبل ان يتم تحديثها بكل سهولة ام لا
والمتعارف عليه ان مثل هذه البرمجيات لها رمز ثابت وهو av ( انتى فيروس)
ومن المستحيل ان نجد جهاز لا يوجد عليه اى نوع من الانتى فيروس والمقصود هنا مستخدمى الويندوز بكافة انواعه حيث يعتمد الكثير من الناس على بيئة اللينوكس كنظام تشغيل خالي بنسبة كبيرة جدا من الفيروسات
واصبح استخدام هذه البرمجيات av شى اساسى فى حياتهم
فهل سأل أحدنا ما هى برمجيات الأنتي فيروس وما فائدتها وكيفية عملها
فى هذه المقالة سوف نتعرف على هذه البرمجيات الهامة والمقال يرجع الى الكاتب bill hayes وهو احد المختبرين لبرمجيات الانتى فيروس وتحديثاتها فى شركة سيمانتك
اولا - عند تحميل برمجيات الانتى فيروس على الاجهزة يتم عملها فى بيئتين وهما كتالى
اولا عند بدء تشغيل الأجهزة نفسها حيث يعمل مع ال start up ويقوم بعمل مسح لمنطقة الذاكرة الاساسية والتى تكون معرضة الى نوعيات كثيرة من الفيروسات ومثل هذه الفيروسات تكون اكثر خطورة حيث اصبحت اصابة البرمجيات كلها معرضة للفيروس وتعبر البرمجيات التى تعمل على فحص ال 640 k الاولى من الذاكرة عامل اساسى لكل البرمجيات av ويتم مراعات هذا فى عمل البرنامج نفسه وتسمى هذه الخاصية بال non - access virus واما الجزيئة الثانية فهي وهي التى تعمل فى الخلفية الاساسية للجهاز عند عمل اى برمجيات اخرى الى ان تتم عملية الshut down وهذه تسمى بال access virus scan
الاساس فى عمل الav
برمجيات الانتى فيروس تقوم بحماية الاجهزة من تعرضها للفيروسات اثناء العمل وهذا بالفحص الدورى لكل العمليات التى تتم اما فى الذاكرة او مع البرمجيات وهذا بفحص البصمات المختلفة التى يتركها الفيروس على البرمجيات او الملفات
ولبرمجيات النتى فيروس نوعين من الفحص الاول اسمه on demand والاخر اسمه on access scanning
النوع الأول وهو الذى يوافق عليه المستخدم فى بداية العمل على الأجهزة الى أن يتم اغلاقه
أما النوع الثاني فهو الفحص الذى يتم على الأجهزة من بداية العمل والمقصودهنا الفحص على الرام (الذاكرة ) وهذا يكون دائما فعال فى الخلفية للويندوز
ويعتبر أهم نوع من الفحص هو النوع الثاني لأنه يكون عليه الاعتماد الاساسي في الفحص وهذا لأنه قد تتعرض بعض ملفات البرمجيات للتلويث من ملفات او بصمات الفيروس عليها ولا يتم كشفها الا بهذا الفحص ويتم عرض ما هي المنطقة التى تتم الاصابة فيها وأيضا من هذا يتم معرفة نوع الفيروس هل هو ما يصيب الذاكرة أو برمجيات معينة وعلى أساسه يتم عمل ال clean بطريقة سليمة
وأيضا فى حال كونك من مستخدمي الأنتي فيروس فى الشبكات وهذا يكون له الاهمية القصوى
لأنه يتم فحص البرمجيات عن بعد
مثال على هذا الفحص الذى يتم على الملفات المرفقة فى الايميلات حيث يتم الفحص من قبل السيرفر لو كان الملف المرسل مصاب او المحمل عليه ولكن ظهرت بعض الثغرات فى هذه الطريقة وهذا باضافة اومتدادت اخرى للملف
مثال mmmm.jpg.exe
وأيضا عمليات الفحص التى تتم على الويب وما يحمله بعض المواقع من تروجان وهذه الخواص التي تتوافر فى بعض البرمجيات يكون لها مردود فعال من حيث نوعيات هذه البرمجيات ومدى الثقة فيها
التصميم الاساسي للبرنامج
يراعى فى تصميم برمجيات الأنتي فيروس الناحية التقنية وهذا فى جانب ال on-access scanner حيث لابد ان يتم توافر نوعيات وأساسيات الأنظمة كلها فى الجانب التقني لبرمجيات الأنتى فيروس وهذا لتعدد أنظمة التشغيل من بداء win95 --win 2k --- winxp --- win.net ومن هنا نجد أن التحديثات التى تتم على مثل هذه البرمجيات لا يتم فى تطوير المكتبة فقط كما يعتقد البعض ولكن فى الهيكل الاساسي للبرنامج حتى يتناسب مع التطوير الذي يحدث فى برمجيات التشغيل أيضا
وهذا أيضا يرجع الى الاختلاف التام بين البرمجيات العاملة فقد يعتقد الكثير من أن برمجيات الويب تماثل برمجيات الورد مثلا ولكن لكل من هذا وهذا بيئته الخاصة في العمل وفي الفحص ايضا
ومع التطور الذى كان فى السابق كل عام أو عامين أصبحنا الآن نرى منتج تشغيلي لشركة ميكروسوفت كل شهرين او ثلاثة اما بالتعديل أو بمنتج جديد ( قد اعتقد الكثير ان ويندوز xp لن يظهر بعدها لفترة لن تقل عن 4 اعوام ولكن الان نجد 3 اصدارت جديدة من نظم التشغيل )
وايضا تم مراعاة النواحي البرمجية المشابهة بين برمجيات الويندوز وما يمكن أن يتم تحديثه فى نواحي الفيروسات
وقد تكلم فى هذا peter szor وهو أحد أهم الشخصيات في مجال تطوير برمجيات نورتون حيث تحدث من ناحية تطوير النورتون نفسه فقال ان الاصدار 2003 تم رعايته من ناحية فحص ملفات ال apis و ال vxd حيث أنها ملفات اساسية وكان فى السابق لا تتعرض للاصابة ولكن الآن ظهرت برمجيات فيروسية تصيب هذه الملفات بل وتحل محلها في قاعدة البيانات الخاصة بالويندوز نفسه
لعل البعض منا يذكر فيروسات ذات الامتداد cpl وهو نفس امتداد ملفات ال control panel
وفى الحال الاساسى ال on-access scanner يقوم بفحص الملفات فى كل مرة يتم فتح الملف حتى لو تم غلقه وفتحه مرة اخرى
وهذا يرجع لسبب بسيط جدا انه لا يتم اغلاق الملف او البرنامج بشكل فعلي بل يتم تعليق ملفات ال api الخاصة بالملف المغلق في الذاكرة وفي حال ان تتم الاصابة بعد قليل فسوف يتم اصابة هذه الملفات مرة أخرى فور فتحها
مثال بسيط ( لو أنك تعمل على شبكة وعلى جهازك تم تركيب طابعة بحيث تكون هذه الطابعة لخدمة الشكبة كلها وتم طلب فعل برنت لأحد الملفات ولكن كانت الطابعة في مثل هذا الوقت مغلقة عند قيامك بغلق الجهاز سيتم ظهور رسالة لك أن هناك من يريد طباعة ملف ما فهل توافق على عملية الطباعة ام لا )
وهناك عبارة شهيرة يعرفها كل من يعمل فى مجال برمجيات الأنتي فيروس
"in order to catch them at the infaction stage the on-access scanner must be able to scan on close ;not just on open "
أرجو أنه قد أعجبكم هذا الموضوع والسلام عليكم ورحمة الله وبركاته
