آنتی ویروس

امنیت؛ بدون هیچ اغراق و بزرگنمایی مهم‌ترین و پرچالش‌ترین مقوله در دنیای ارتباطات دیجیتال بوده و هست. با تولد اینترنت و با فراگیر شدن آن و استقبال پرشور شرکت‌های تجاری و شخصیت‌های حقیقی برای حضور و افتتاح غرفه در این شبکه ارتباطی فراجغرافیایی، روزبه‌روز بر اهمیت مقوله امنیت در این دنیای جدید و صدالبته با نرخ رشد جمعیت بسیار بالاتر از دنیای واقعی، افزوده شده‌است. فراهم شدن امکان دسترسی آسان کاربران خانگی، بستر نوینی را برای ایجاد و توسعه انواع تعاملات و ارتباطات از راه دور در تمامی حوزه‌های اقتصادی، اجتماعی، فرهنگی و… از کلان‌ترین تا خردترین سطوح پی‌ریزی کرد و امروز زندگی بدون اینترنت اگر نگوییم محال، بسیار سخت و دشوار و پرهزینه است.

نتیجه این‌که، اهمیت توجه به مقوله امنیت در این دنیای جدید همان‌قدر جدی، مهم و منطقی است که امنیت در زندگی واقعی، از شرکت‌های بزرگ گرفته تا کاربران خانگی. اهمیت مقوله امنیت در دنیای کنونی و کم‌توجهی اکثریت کاربران ایرانی از مدیران صنایع و مراکز دولتی و خصوصی تا کاربران خانگی، ما را بر آن داشت از این پس به‌طور ثابت و جدی‌تر از گذشته به آن بپردازیم. نوشته پیش رو، بخش اول از مستند داستانی آنتی‌ویروس‌هاست که با همکاری دفتر نمایندگی آنتی‌ویروس VBA32 در ایران برای شما عزیزان آماده شده‌است. قسمت دوم و پایانی این داستان در شماره آتی تقدیم خواهدشد.
آنتی‌ویروس‌ها نرم‌افزارهایی هستند که برای شناسایی، جلوگیری از فعالیت و حذف بدافزارهایی چون ویروس‌های کامپیوتری، کرم‌های اینترنتی، تروجان‌ها، جاسوس‌افزارها، آگهی‌افزارها، روت‌کیت‌ها و بک‌دورها و… استفاده می‌شوند. آنتی‌ویروس‌ها برای شناسایی و نابودی بدافزارها از تکنیک‌های خاصی استفاده می‌کنند که این تکنیک‌ها در آنتی‌ویروس‌های مختلف دارای وجوه تمایزی هستند که به آن‌ها خواهیم پرداخت.

تاریخچه

اگر بخواهیم به تاریخچه آنتی‌ویروس‌ها بپردازیم، باید به گذشته برگشته و نیم‌نگاهی به تولید ویروس‌های کامپیوتری بیاندازیم.
با وجودی که اولین ویروس کامپیوتری را فومن نیومن در سال ۱۹۴۹ با توانایی ساخت یک برنامه کامپیوتری همراه ویروس تولید کرد اما تولید یک ویروس به معنای واقعی در اوایل دهه ۱۹۸۰ میلادی و در سال ۱۹۸۴ توسط Ken Thompson انجام شد.
درست در همان سال، شخصی به نام Fred Cohen تأثیر ویروس‌ها روی سیستم‌های کامپیوتری را در آزمایشگاه خود بررسی کرد که به  ارائه یک تعریف رسمی برای ویروس‌ها منجر شد و از آن پس برای نامگذاری یک فایل مخرب ویروس به‌عنوان مرجع استفاده شد.
بنابراین، اولین ویروس‌های کامپیوتری مخرب در دهه ۱۹۸۰ میلادی به‌طور رسمی پا به عرصه وجود گذاشتند.
با این‌که درباره اولین نرم‌افزار تولیدشده برای حذف ویروس نظرات متعددی وجود دارد اما بسیاری معتقدند، یک هکر آلمانی به نام Brend Fix اولین نرم‌افزار را برای حذف یک ویروس کامپیوتری در سال ۱۹۸۷ نوشته‌است. درست در همان سال برای دستگاه‌های Atari ST دو نرم‌افزار آنتی‌ویروس به نام‌های G Data و UVK2000 تولید شد.
در سال ۱۹۸۸ Fred Cohen که اولین تعریف رسمی برای ویروس را در سال ۱۹۸۴ به جهانیان معرفی کرده‌بود، به توسعه استراتژی‌های موردنیاز برای تولید نرم‌افزارهای ضدویروس پرداخت، استراتژی‌هایی که آنتی‌ویروس‌های تولیدی بعد از این تاریخ از آن‌ها استفاده کردند.
همچنین در سال ۱۹۸۸ گروهی که به Virus-L معروف بودند با عضویت در BITNET شبکه‌ای بین دو دانشگاه معروف نیویورک به بحث و بررسی درباره چگونگی فعالیت ویروس‌ها و روش‌های شناسایی و حذف آن‌ها پرداختند.
در این گروه، افراد معروفی چون John McAfee و Eugene Kaspersky دیده‌می‌شدند که بعدها در زمینه تولید آنتی‌ویروس دو شرکت به راه انداختند.
قبل از این‌که شبکه‌های جهانی اینترنت عمومیت پیدا کنند، بیشتر ویروس‌ها از طریق فلاپی درایوها انتقال پیدا می‌کردند، به همین دلیل بیشتر آنتی‌ویروس‌های تولیدشده فقط به بررسی بوت‌سکتورهای فلاپی‌ها و هارددرایوها می‌پرداختند.
البته بعد از جهانی شدن اینترنت شکل و شمایل انتقال ویروس‌ها نیز تغییر یافت. با توجه به تغییرات مختلفی که در ساختار ویروس‌ها به وجود آمد، به مرور زمان ویروس‌های کامپیوتری جای خود را به بدافزار دادند. به همین دلیل، در حال حاضر ویروس‌ها خود در زمره بدافزارها طبقه‌بندی می‌شوند.
در حال حاضر، بدافزارهای مختلفی در دنیای کامپیوتر وجود دارند که از آن‌جمله می‌توان به: ویروس، تروجان، کرم اینترنتی، جاسوس‌افزار، آگهی‌افزار، روت‌کیت، بک‌دور و… اشاره کرد. از ای‌نرو به نظر می‌رسد، لفظ عامیانه ویروس کامپیوتری جای خود را به لفظ بزرگ‌تری به نام بدافزار Malware داده باشد.
بدافزارها Malicious Software به برنامه‌های مخربی گفته‌می‌شود که با آلوده کردن سیستم‌های کامپیوتری به دنبال رسیدن به اهدافی خاص هستند. هر بدافزار برای آلوده کردن و آسیب‌رسانی از فرآیند مختص به خود استفاده می‌کند که دارای پیچیدگی‌های خاص خود است. از این‌رو، آنتی‌ویروس‌ها باید طوری طراحی شوند که بتوانند با هرگونه تهدیدی مقابله کنند.

روش‌های شناسایی
یکی از معدود نتایج نظری برگرفته از مطالعاتی که روی ویروس‌های کامپیوتری انجام گرفته به اثبات‌های عملی که  Fred Cohen در سال ۱۹۸۷ به آن رسیده‌بود، مربوط می‌شود. در این مطالعات، Fred Cohen به این نتیجه رسید که هیچ الگوی مشخصی نیست که بتوان تمامی ویروس‌ها را از طریق آن شناسایی کرد.
پس از انجام تحقیقات نهایی، نتیجه این شد که، ویروس‌های کامپیوتری، نرم‌افزار یا کدهای مخربی هستند که توانایی بازتولید و انتشار خود را دارند. اما بعدها محققان متوجه شدند، معانی جدیدی نیز وجود دارند که با وجود نقاط مشترک با ویروس‌ها، از لحاظ عملکرد مترادف با ویروس‌ها نبودند، ابزارهای مخربی برای رسیدن به اهداف خاص…
از سوی دیگر، نرم‌افزارهای آنتی‌ویروس نیز برای شناسایی و حذف انواع مختلف بدافزار که با روش‌های خاص و حرفه‌ای در حال طراحی بودند، به فناوری‌های جدید مجهز می‌شدند که این فناوری‌ها پایه و اساس طراحی آنتی‌ویروس‌های جدید هستند.

روش‌های طراحی و شناسایی ویروس‌ها توسط نرم‌افزارهای آنتی‌ویروس
۱. شناسایی از روی امضاء دیجیتالی Signature Based detection
معمول‌ترین روشی که آنتی‌ویروس‌ها برای شناسایی بدافزارها استفاده می‌کنند، شناسایی ویروس‌ها از روی امضاء دیجیتالی است که در آن، آنتی‌ویروس‌ها محتویات یک فایل را با بانک اطلاعاتی از امضاء دیجیتالی ویروس‌های اکتشافی مقایسه کرده و در صورت آلوده بودن فایل‌ها به‌عنوان بدافزار معرفی می‌شوند. به این دلیل که ویروس‌ها می‌توانند خود را داخل فایل‌ها جاسازی کنند، در این روش، تمام یا بخشی از فایل‌ها اسکن می‌شود.
۲. روش اکتشافی Heuristic Based Detection
در این روش، آنتی‌ویروس‌ها با بررسی عملکرد فعالیت‌های مشکوک به اکتشاف ویروس‌های ناشناخته می‌پردازند. این فناوری یکی از جدیدترین روش‌های اکتشافی است.
۳. روش تقلید File Emulation
یکی دیگر از روش‌های شناسایی ویروس‌ها توسط نرم‌افزارهای آنتی‌ویروس که بر مبنای فناوری Heuristic Analyzer استوار هستند، روش تقلید فایل است. در این روش، با اجرای یک برنامه در محیط مجازی و سنجش رفتارهای به وقوع پیوسته و مقایسه آن با رفتارهای بدافزارهایی که از قبل به ثبت رسیده‌اند، می‌توان تشخیص داد که این رفتار به یک بدافزار مربوط است یا نه. درصورتی که برنامه اجراشده، یک بدافزار باشد، اقدامات لازم برای پاکسازی و جلوگیری از فعالیت آن انجام خواهدشد.

شناسایی از روی امضاء دیجیتالی لازم اما ناکافی
همان‌طور که می‌دانید، نرم‌افزارهای آنتی‌ویروس اغلب با روش تست امضاء دیجیتالی به شناسایی بدافزارها می‌پردازند. با وجودی که این روش یکی از روش‌های مؤثر در این زمینه است اما زمانی بیشترین کارایی را دارد که آنتی‌ویروس از قبل با این بدافزار برخورد کرده‌باشد و امضاء دیجیتالی آن توسط شرکت‌های تولیدکننده آنتی‌ویروس تولید و به بانک اطلاعاتی آنتی‌ویروس افزوده شده‌باشد. به همین دلیل این روش در مقابله با بدافزارهای جدید و ناشناخته راهی از پیش نخواهدبرد.
در روش شناسایی بر مبنای امضاء دیجیتالی با توجه به این‌که روزانه ویروس‌های جدیدی تولید می‌شوند، نیاز  به‌بروزرسانی بانک اطلاعاتی امضا‌های دیجیتالی امری اجتناب‌ناپذیر به نظر می‌رسد. از این رو، برای یاری رساندن به شرکت‌های تولید‌کننده آنتی‌ویروس امکاناتی داخل خود نرم‌افزارهای آنتی‌ویروس تعبیه شده که امکان ارسال فایل‌های مشکوک توسط کاربران کامپیوتر به شرکت‌های سازنده آنتی‌ویروس برای تجزیه و تحلیل و افزودن به بانک اطلاعاتی امضاهای ویروسی داده شده‌است. عملیات کشف و خنثی‌سازی ویروس‌ها توسط متخصصان این رشته و با به‌کارگیری نرم‌افزارها و روش‌های خاص در شرایط مهندسی معکوس اتفاق می‌افتد.
یکی از نرم‌افزارهایی که برای تجزیه و تحلیل فایل‌های مشکوک استفاده می‌شود، نرم‌افزار Interactive Disassambler است. البته توجه داشته‌باشید که این نرم‌افزارها کار یک آنتی‌ویروس را انجام نمی‌دهند، بلکه به متخصصان برای شناسایی و اضافه‌کردن امضاء دیجیتالی یک ویروس جدید به بانک اطلاعاتی آنتی‌ویروس یاری می‌دهند.
با وجودی که روش شناسایی بر مبنای امضاء دیجیتالی روش مؤثری در جلوگیری از شیوع بسیاری از ویروس‌های کامپیوتری است اما ویروس‌نویسان همواره با به‌کارگیری فناوری‌هایی چون Oligomorphic و Polymorphicو به تازگی نیز فناوری کاملاً پیچیده Metamorphic سعی دارند، همواره یک قدم از نرم‌افزارهای آنتی‌ویروس جلوتر باشند. در تکنیک‌های جدیدی که برای ویروس‌نویسی استفاده می‌شوند، این امکان وجود دارد که بخشی یا تمام فایل آلوده به صورت رمزنگاری‌شده تولید شود که این امر باعث می‌شود، ویروس‌های از پیش شناخته‌شده نیز تنها با ایجاد تغییر در رفتار و شکل و شمایل خود، آنتی‌ویروس را در روش مبتنی بر امضاء دیجیتالی فریب دهند، حتی اگر امضاء دیجیتالی ویروس پیش‌تر به بانک اطلاعاتی آنتی‌ویروس افزوده شده‌باشد.
با توجه به این‌که بسیاری از ویروس‌ها برای انتشار و آلوده ساختن سیستم‌های کامپیوتری از روش‌های مشابه استفاده می‌کنند و فقط پس از نفوذ به کامپیوترها تنها با تغییر در بعضی از رفتارها، میزبان خود را تخریب می‌کنند، از این رو با ایجاد یک روش اکتشافی عمومی بسیاری از ویروس‌های کامپیوتری که برای آلوده‌کردن سیستم‌ها از یک مفهوم مشخص استفاده می‌کنند، شناسایی شده و در یک خانواده طبقه‌بندی می‌شوند. بنابراین برای شناسایی هر نوع ویروس جدید نیازی نیست امضاء دیجیتالی آن ویروس در بانک اطلاعاتی آنتی‌ویروس موجود باشد، بلکه با استفاده از فناوری Heuristic Analysis با تشخیص و تطبیق نوع رفتار و عملکرد یک فایل مشکوک با بدافزاری که از قبل شناسایی شده، آن فایل نیز جزء آن دسته از ویروس طبقه‌بندی شده و توسط آنتی ویروس شناسایی و حذف می‌شوند.
از آن جمله می‌توان بدافزار Sality را نام برد که در کلاسه‌بندی آنتی‌ویروس‌های مختلف دارای هم‌خانواده‌های مختلفی است که برای مثال در آنتی‌ویروس VBA32 این بدافزار دارای دو هم‌خانواده کاملاً متمایز به نام‌های Sality Baka و Sality Kaka است.
با این‌که شناسایی یک ویروس مشخص و خاص از طریق امضاء دیجیتالی به نظر سودمند می‌آید اما شناسایی یک خانواده از ویروس‌ها از طریق روش امضاء دیجیتالی عمومی (روش معمول در فناوری Heuristic Analysis) سریع‌تر است.
محققانی که در زمینه ویروس‌نویسی تبحر دارند به این موضوع پی برده‌اند که، تمامی ویروس‌هایی که در یک خانواده طبقه‌بندی می‌شوند دارای نقاط مشترکی در کدنویسی هستند که به آنتی‌ویروس‌ها کمک می‌کنند با شناسایی این نقاط و ارتباط آن‌ها با یک امضاء عمومی، تمامی آن بدافزارها شناسایی شوند (این امضاء دیجیتالی عمومی به بانک اطلاعاتی آنتی‌ویروس‌ها افزوده می‌شود).
این امضاهای دیجیتالی اغلب دارای کدهای ناپیوسته تقلبی هستند که ویروس‌نویسان غیرحرفه‌ای به منبع ویروس اصلی که در گذشته تولید شده، اضافه کرده‌اند. از این رو، وجود همین کدهای نامتعارف و تقلبی به اسکنرهای آنتی‌ویروس‌ها اجازه می‌دهند که بتوانند ویروس‌ها را شناسایی کنند، حتی اگر در ساختمان آن ویروس‌ها از کدهای بی‌معنی استفاده شده‌باشد. به این روش شناسایی که از روش بالا استفاده می‌کند، روش Heuristic Detection گفته‌می‌شود.

همان‌طور که در قسمت نخست نوشتار پیش رو گفتیم، امروزه آنتی‌ویروس‌ها برای شناسایی و شکار بدافزارهای مختلف از روش‌ها و راهکارهای متفاوتی استفاده می‌کنند که Heuristics Detection یکی از این روش‌هاست. در این روش، با قرار دادن تعدادی از بدافزارهای مشابه در یک خانواده و اختصاص یک امضای دیجیتالی عمومی به آن و پیاده‌سازی یک الگوریتم شناسایی کارآمد در آنتی‌ویروس، امکان شناسایی و حذف سریع‌تر نمونه‌های مختلف هم‌خانواده و هم‌نژاد با آن امضای دیجیتال عمومی فراهم می‌شود.
اما فراموش نکنیم، یک ویروس‌نویس حرفه‌ای و کاربلد، جدیدترین ابزارها و روش‌های شناسایی به‌کار گرفته شده در آنتی‌ویروس‌ها را به دقت بررسی و رصد کرده و در نهایت، دیر یا زود راه فرار از تله‌های پیش‌بینی‌شده را پیدا می‌کند. این بدان معنی است که ویروس‌نویسان همواره یک گام جلوتر از جدیدترین نسخه آنتی‌ویروس‌ها هستند. ارتباط خودکار مکرر آنتی‌ویروس‌ها (نسخه‌های رجیسترشده) با بانک اطلاعاتی آنلاین و به‌روزشدن‌های گاهی چندباره در طول روز به تنهایی دلیل بسیار محکمی بر این ادعا و اهمیت واکسینه شدن آنتی‌ویروس در برابر تهدیدات جدید است. روش فوق با وجود مزایای فراوانی که در صورت انتخاب درست امضای عمومی برای یک خانواده و پیاده‌سازی الگوریتم تشخیصی پیشرفته در آنتی ویروس به همراه دارد، هرگز فارغ از عیب و نقص نیست و گاهی دچار خطا و اشتباه می‌شود. به خطاهایی که در آن آنتی‌ویروس فایل سالمی را ویروس تشخیص می‌دهد، در اصطلاح False positive می‌گویند. میزان این خطا یکی از فاکتورهای مهم در عملکرد آنتی‌ویروس‌های امروزی به شمار می‌آید.
برای مثال، ویروس‌نویسان برای نوشتن یک ویروس از روش‌های خاص و پیشرفته‌ای استفاده می‌کنند که از آن جمله می‌توان به Oligomorphic، Polymorphic و Metamorphicاشاره کرد. این روش‌ها گاهی رفتارها و کنش‌های ویروسی از یک خانواده شناخته‌شده را آن‌چنان متحول و دگرگون می‌کنند که برخی آنتی‌ویروس‌ها در تطبیق ویروس مذکور با امضای عمومی و الگوریتم شناسایی که تیم توسعه‌دهنده بر مبنای تجزیه و تحلیل‌های آماری مبتنی بر رفتارهای یک ویروس خاص یا یک خانواده ویروس طراحی و پیاده‌سازی کرده‌اند، دچار خطا و اشتباه شود.
شایان ذکر است، میزان این دسته خطاها در آنتی‌ویروس‌های مختلف بسته به توانایی و دانش فنی تیم توسعه‌دهنده آن در طراحی و پیاده‌سازی الگوریتم‌های شناسایی متفاوت است.
از طرف دیگر، از آنجا که توسعه و به‌روزرسانی و تغییرات در موتور راه‌انداز Oligomorphic، Polymorphic و Metamorphic کاری بسیار دشوار و پیچیده است و با توجه به اشراف آنتی‌ویروس‌ها به نوع فناوری به‌کار رفته در نوشتن ویروس‌ها، امروزه شاهد هستیم، الگوریتم‌های طراحی‌شده برای حذف این قبیل ویروس‌ها دارای درصد قابل قبولی در شناسایی هستند.
با توجه به مطالبی که مطرح شد، یکی از ملاک‌های موفقیت آنتی‌ویروس‌هایی که از فناوری Heuristic Analysis استفاده می‌کنند، کم بودن تعداد تشخیص اشتباه یا همان False positive است.
روش شناسایی روت‌کیت‌ها Rootkit Detection)(
یکی از روش‌های جدیدی که چند سالی است به نرم‌افزارهای آنتی‌ویروس اضافه شده، روش تشخیص بدافزارهای مرکب و پیچیده موسوم به Rootkit است، روت‌کیت‌ها بدافزارهایی هستند که امکان دسترسی در سطح Administrator را در سیستم‌های آلوده فراهم کرده و گاهی حتی در فرآیند سیستم‌عامل هم دخالت کرده و تغییراتی را به وجود می‌آورند. بعضی  اوقات روت‌کیت‌ها حتی نرم‌افزارهای آنتی‌ویروس را نیز از کار می‌اندازند. با این اوصاف، می‌توان چنین نتیجه گرفت، حذف روت‌کیت‌ها از سیستم آلوده بسیار سخت‌تر و پیچیده‌تر از دیگر بدافزارهاست. به‌طوری که گاهی شما را مجبور به نصب دوباره سیستم‌عامل می‌کنند.
روت‌کیت‌ها به‌گونه‌ای طراحی شده‌اند که پس از ورود به سیستم‌های کامپیوتری، آنتی‌ویروس‌ها را به خود مشغول کرده و گاهی اوقات آن‌ها را کاملاً از کار می‌اندازند تا بدافزارهای دیگری که قسمتی از فرآیند آلوده‌سازی توسط آن روت‌کیت خاص هستند، بتوانند با خیال آسوده و بدون احساس خطر از جانب نرم‌افزار آنتی‌ویروس به اجرای عملیات خرابکارانه خود بپردازند.
بدون شک، یکی از بارزترین و جنجالی‌ترین و جدیدترین نمونه از روت‌کیت‌های پیشرفته و قدرتمند، بدافزار جاسوسی استاکس‌نت است که اولین بار توسط آنتی‌ویروس VBA32 شناسایی و به دنیا معرفی شد. روت‌کیتی که در پروژه آلوده‌سازی خود دارای بیشتر از چهارده مهاجم بود.
از موارد مطرح‌شده، این معنی برداشت می‌شود که یکی از ملاک‌های انتخاب یک آنتی‌ویروس قدرتمند، داشتن فناوری مقابله با روت‌کیت‌هاست، موردی که تا دو سال پیش حتی روی بعضی از آنتی‌ویروس‌های معروف همچون Avast به‌کار گرفته نشده‌بود.
فرصت مرگ یا زندگی…!
یکی از تست‌هایی که به تازگی روی آنتی‌ویروس‌های مبتنی بر Heuristic Analysis انجام می‌گیرد، تست False positive است. تشخیص اشتباه یا همان False positive زمانی اتفاق می‌افتد که یک نرم‌افزار آنتی‌ویروس به اشتباه یک فایل سالم را به‌عنوان یک بدافزار شناسایی و حذف می‌کند. حذف یک فایل سالم از روی سیستم می‌تواند مشکلات جبران ناپذیری برای سیستم‌های کامپیوتری در حال اجرا به وجود بیاورد.
برای مثال، اگر یک نرم‌افزار آنتی‌ویروس به‌گونه‌ای طراحی شده‌باشد که فایل‌های آلوده را به سرعت حذف کند، حذف اشتباه یک فایل موردنیاز و حساس سیستم‌عامل یا یک برنامه کاربردی، باعث خواهدشد، آن برنامه غیرقابل استفاده شود. از این رو، یکی از ملاک‌های انتخاب یک آنتی‌ویروس خوب و مناسب، تعداد اشتباهات کم در آزمون False Positive است. هرچه این تعداد کمتر باشد، رتبه آنتی‌ویروس بالاتر خواهدبود.
برای روشن‌تر شدن اهمیت فاکتور False Positive در انتخاب آنتی‌ویروس، دانستن چند نمونه مستند کافی است:
در می سال ۲۰۰۷ میلادی، اضافه شدن یک امضای دیجیتالی معیوب به آنتی‌ویروس Symantec باعث شد، بعضی از فایل‌های ضروری سیستم‌عامل ویندوز به اشتباه حذف شود و این امر باعث از کار افتادن سیستم‌عامل تعداد بسیار زیادی کامپیوتر شد.
در آوریل ۲۰۱۰، شناسایی فایل svchost.exe ویندوز XP سرویس‌پک سه به‌عنوان یک بدافزار توسط آنتی‌ویروس McAfee باعث شد، تمامی دسترسی‌های شبکه روی آن سیستم‌ها غیرفعال شود.
در دسامبر ۲۰۱۰، ارائه یک به‌روزرسانی معیوب توسط آنتی‌ویروس AVG باعث تخریب تمامی سیستم‌عامل‌های ویندوز هفت ۶۴ بیتی شد، به‌طوری که برای رفع مشکل باید سیستم‌عامل دوباره نصب و راه‌اندازی می‌شد.
و در نهایت در اکتبر ۲۰۱۱، آنتی‌ویروس Microsoft Security Essentials به اشتباه فایل‌های اجرای مرورگر Google Chrome را از روی سیستم‌ها حذف کرد.
همان‌طور که از مطالب مطرح‌شده برداشت می‌شود، تأثیرات گزینه False Positive می‌تواند هزینه‌های سنگینی را به همراه داشته‌باشد که یک انتخاب مطمئن می‌تواند این هزینه‌ها را به حداقل برساند.

تست از نوع آنتی‌ویروسی
بد نیست بدانیم، در حال حاضر مراکزی در دنیا وجود دارند که تست‌های مختلفی را روی نرم‌افزارهای آنتی‌ویروس انجام داده و نتایج آن را در وب‌سایت‌های خود منتشر می‌سازند، مراکزی چون AV-Comparatives در اتریش، Anti-Malware در روسیه وVirusbtn  در امریکا که تست‌های بسیار پیشرفته‌ای را به صورت فنی روی آنتی‌ویروس‌ها انجام می‌دهند. البته وب‌سایت‌هایی نیز مانند Top Ten Reviews هستند که بیشتر به صورت آماری، رتبه‌بندی‌هایی را برای آنتی‌ویروس‌ها در نظر می‌گیرند، آماری بر مبنای میزان فروش و… .
نتایج آزمون‌های دوره‌ای لابراتوارهای تخصصی فوق و نشان‌های Award کسب‌شده توسط هر آنتی‌ویروس در هر یک از آزمون‌های متنوع این لابراتوارها مرجع و معیار مناسب، جامع و قابل اعتمادی برای مقایسه عملکرد واقعی آنتی‌ویروس‌ها و شناخت نقاط ضعف و قوت آن‌هاست.
البته ما هم کاملاً با شما موافق هستیم که برای انتخاب یک آنتی‌ویروس مناسب، علاوه بر کارآیی و عملکرد فنی قابل‌قبول، پارامتر قیمت نیز بسیار مهم و قابل توجه است. به عبارت دیگر، در خرید آنتی‌ویروس نیز مانند خرید هر وسیله یا گجت سخت‌افزاری (نوت‌بوک،تبلت، موبایل، دوربین و…) تناسب کارآیی و قیمت محصول با نیاز و بودجه هر کاربر است که بهترین گزینه را مشخص می‌کند. البته با این پیش‌فرض که کاربر قرار است بابت آنتی‌ویروس پولی بپردازد و با مجوز (License) اصلی و قانونی از آن استفاده کند! (قبول داریم که هنوز این مسئله برای بعضی (شاید هم بسیاری) از کاربران ایرانی، به خصوص از لحاظ اقتصادی توجیه منطقی ندارد اما…)

برای آشنایی  بیشتر شما عزیزان به اختصار به معرفی برخی از این آزمون‌ها و تست‌ها می‌پردازیم:
Detection tests: در این تست که هر سه ماه یک‌بار انجام می‌گیرد، مجموعه‌ای از ویروس‌ها اعم از ویروس‌های  قدیمی و ویروس‌های جدیدی که در دنیای مجازی شیوع پیدا کرده‌اند، انتخاب شده و عملکرد آنتی‌ویروس‌ها روی سیستمی آلوده به مجموعه بدافزارهای فوق (در شرایط سخت‌افزاری و نرم‌افزاری کاملاً مشابه) ارزیابی می‌شود. تمرکز این آزمون روی توان آنتی‌ویروس‌ها در شناسایی و پاک‌سازی بدافزارهاست. در پایان این آزمون، جدول رتبه‌بندی آنتی‌ویروس‌ها برحسب درصد شناسایی و پاک‌سازی ویروس‌ها مرتب می‌شود (این تست در حالت On Demand  انجام می‌گیرد).
Performance Tests: میزان تأثیر آنتی‌ویروس‌ها روی کارایی و سرعت سیستم در این قسمت بررسی می‌شود.
Heuristic Tests: در این تست، توان عملی آنتی‌ویروس‌ها در شناسایی ویروس‌های جدید (ویروس‌هایی که امضای آن‌ها هنوز در بانک اطلاعاتی آنتی‌ویروس‌ها افزوده نشده‌است)، با استفاده از فناوری Heuristic ارزیابی می‌شود.
Anti-Rootkit Tests: در این قسمت میزان توانایی آنتی‌ویروس‌ها در کشف روت‌کیت‌های جدید و ناشناخته بررسی و آزمایش می‌شود.
Self-Protection: این تست، میزان توانایی آنتی‌ویروس‌ها را در مقابل حملات ویروسی بررسی می‌کند (این تست در حالت On Access Scanner انجام می‌شود).
لازم است به این نکته اشاره کنم که، تست‌های دیگری نیز توسط این مراکز انجام می‌گیرد که برای اطلاع از آن‌ها می‌توانید به وب‌سایت آن‌ها مراجعه کنید.

آنتی‌ویروس‌های ابری Cloud Antivirus)(
آنتی‌ویروس ابری، یک فناوری است که، با راه‌اندازی مجموعه‌ای از نرم‌افزارهای امنیتی سبک و محافظ روی یک کامپیوتر کاملاً محافظت‌شده (ایزوله)، به اسکن فایل‌های انتقال داده‌شده از یک مبدأ به یک مقصد می‌پردازد. کامپیوتری که نرم‌افزار آنتی‌ویروس ابری روی آن نصب شده‌است، می‌تواند جزئی از یک شبکه کوچک محلی یا شبکه‌ای گسترده‌تر یا شبکه جهانی (اینترنت) باشد.
با ظهور وب ۲ و فراهم شدن بستر پردازش‌های آنلاین، سرویس‌هایی موسوم به ویروس‌یاب آنلاین (تحت وب) نیز متولد شدند و همپای دیگر سرویس‌های پردازشی تحت وب در مسیر رشد و تکامل قرار گرفتند.
این آنتی‌ویروس‌ها دارای موتوری چندگانه از آنتی‌ویروس‌های مختلف هستند. به این معنا که، هنگام اسکن یک فایل مشکوک، در واقع چند موتور جست‌وجوگر مربوط به آنتی‌ویروس‌های مختلف به صورت موازی عملیات اسکن را روی آن فایل انجام می‌دهند تا ضریب شناسایی فایل‌های آلوده افزایش یابد.
برای راه‌اندازی چند موتور جست‌وجوگر به صورت همزمان و موازی، از سیستم Virtual Machine استفاده می‌شود که به این موتور در اصطلاح، Cloud Detection Engine گفته‌می‌شود. در این فناوری با ایجاد  تاریخچه‌ای از تمامی موارد مشکوکی که پیش‌تر ثبت شده‌اند، سعی می‌شود هنگام اسکن فایل مشکوک با موتور ابری این نوع آنتی‌ویروس به صورت همزمان تمامی تاریخچه قبلی نیز اسکن شود (به صورت موازی) که این امر باعث بالا رفتن سرعت تشخیص یک فایل آلوده می‌شود.
در حال حاضر، با تکامل بسترهای پردازشی تحت وب و محاسبات ابری Cloud Computing شاهد انتشار و عرضه ویرایش جدیدی از برخی آنتی‌ویروس‌ها به نام Cloud هستیم. شرکت امنیتی خوشنام Panda اولین آنتی‌ویروسی است که به راه‌اندازی سرویس Cloud و توسعه آن اقدام کرد.
با توجه به موارد گفته‌شده، یکی از بهترین گزینه‌ها برای بررسی آلودگی یا سلامت فایل‌ها در نقل و انتقال اطلاعات بر بستر اینترنت، استفاده از نسخه‌های ابری آنتی‌ویروس‌هاست.

منبع :

http://www.sakhtafzarmag.com/security-network/security-articles