एंटी-वायरस कैसे काम करते हैं?

तो मैं हाल ही में वायरस के बारे में सोच रहा था, और सोच रहा था कि वास्तव में एंटीवायरस कैसे रहते हैं? किसी को भी, जो कुछ हफ्तों के लिए कोडिंग कर रहा था, को ध्यान में रखते हुए किसी चीज़ को हैक कर सकते हैं, किसी की पीसी पर बुरा काम करते हैं, अकेले मात्रा हैश निषेधात्मक की एक सरल सूची बनाते हैं, तो एंटीवायरस कैसे करते हैं? क्या वे प्रक्रिया गतिविधि की निगरानी करते हैं और वायरस जैसी चीजों को करने के लिए 3 स्ट्राइक नियम रखते हैं? और अगर ऐसा है, तो इसे पूरी तरह से हानिरहित चीजों पर ट्रिगर करने से क्या रोक रहा है (जैसे कि मैं \ system32 में फाइलों को इधर-उधर कर रहा हूं)?

मैंने थोड़ा गुगली किया, लेकिन नियमित स्थानों ने विशेष रूप से मदद नहीं की, और मैं यहां एक ठग नहीं मिला, इसलिए मैंने सोचा कि यह पूछना अच्छा होगा :)

2002 का यह लेख एक एंटीवायरस इंजन के निर्माण के बारे में बात करता है।

लेख मूल विचारों, अवधारणाओं, घटकों और दृष्टिकोण का वर्णन करेगा जो एक डेवलपर / सॉफ्टवेयर इंजीनियर के दृष्टिकोण से खरोंच से एक एंटी-वायरस प्रोग्राम विकसित करने में शामिल है। यह एंटी-वायरस इंजन के मुख्य तत्वों (इसके बाद AV इंजन के रूप में संदर्भित) पर ध्यान केंद्रित करेगा और Microsoft Exchange जैसे कुछ एप्लिकेशन सॉफ़्टवेयर के लिए ग्राफिकल यूज़र इंटरफेस, रीयल-टाइम मॉनिटर, फ़ाइल सिस्टम ड्राइवर और प्लग-इन जैसे पहलुओं को बाहर करेगा। माइक्रोसॉफ्ट ऑफिस। हालांकि एवी इंजन सिंगल प्लेटफॉर्म (जैसे कि पाम ओएस या ईपीओसी / सिम्बियन ओएस) के लिए रनिंग / स्कैनिंग उसी तरह से डिजाइन किए जा सकते हैं, यह आलेख मल्टी-प्लेटफॉर्म स्कैनिंग इंजनों को डिजाइन करने पर ध्यान केंद्रित करेगा, जो कहीं अधिक जटिल हैं।

संक्रमण का पता लगाने के लिए अनुमानी तकनीक पर एक लेख भी है। यह भी एक दिलचस्प पढ़ा है।

लगभग एक साल पहले मैं एफ-सिक्योर के मुख्य शोधकर्ताओं में से एक मिको हाईपेन द्वारा एक व्याख्यान में भाग लिया था। उन्होंने अपने स्वचालित परीक्षण नेटवर्क को दिखाया, जहां वे अपने भेजे गए प्रत्येक नमूने के लिए वर्चुअल मशीन बनाते हैं, इसकी संरचना का विश्लेषण करते हैं, इसे चलाते हैं, जो कुछ भी करते हैं उसे लॉग करते हैं, पिछले नमूनों के साथ इसे संदर्भित करते हैं और बाद में जांच करने के लिए मानव के लिए एक सारांश उत्पन्न करते हैं। यदि मानव निष्कर्ष निकालता है कि यह एक वायरस है, तो सिस्टम स्वचालित रूप से डिटेक्शन सिग्नेचर तैयार करता है और ग्राहकों को एक अपडेट भेजता है। मुझे लगता है कि अन्य विक्रेताओं के पास समान सिस्टम हैं और साथ ही उनके हस्ताक्षर डेटाबेस को अद्यतित रखने के लिए भी हैं।

से कैसे एंटी-वायरस सॉफ्टवेयर काम करता है? (AntivirusWorld):

एक एंटी-वायरस सॉफ़्टवेयर प्रोग्राम एक कंप्यूटर प्रोग्राम है, जिसका उपयोग कंप्यूटर वायरस और अन्य दुर्भावनापूर्ण सॉफ़्टवेयर (मैलवेयर) को पहचानने और समाप्त करने के लिए फ़ाइलों को स्कैन करने के लिए किया जा सकता है।

एंटी-वायरस सॉफ़्टवेयर आमतौर पर इसे पूरा करने के लिए दो अलग-अलग तकनीकों का उपयोग करता है:

• वायरस शब्दकोश के माध्यम से ज्ञात वायरस की तलाश के लिए फाइलों की जांच करना किसी भी कंप्यूटर प्रोग्राम से संदिग्ध व्यवहार की पहचान करना जो संक्रमण का संकेत हो सकता है
• अधिकांश व्यावसायिक एंटी-वायरस सॉफ़्टवेयर इन दोनों तरीकों का उपयोग करते हैं, वायरस शब्दकोश दृष्टिकोण पर जोर देने के साथ।

वायरस शब्दकोश दृष्टिकोण वायरस शब्दकोश दृष्टिकोण में, जब एंटी-वायरस सॉफ़्टवेयर एक फ़ाइल की जांच करता है, तो यह ज्ञात वायरस के एक शब्दकोश को संदर्भित करता है जिसे एंटी-वायरस सॉफ़्टवेयर के लेखक द्वारा पहचाना गया है। यदि फ़ाइल में कोड का एक टुकड़ा शब्दकोश में पहचाने गए किसी भी वायरस से मेल खाता है, तो एंटी-वायरस सॉफ़्टवेयर तब फ़ाइल को हटा सकता है, इसे संगरोध कर सकता है ताकि फ़ाइल अन्य कार्यक्रमों के लिए दुर्गम हो और उसका वायरस फैलने में असमर्थ हो, या प्रयास नहीं कर सके फ़ाइल से वायरस को हटाकर फ़ाइल को सुधारना।

मध्यम और दीर्घकालिक में सफल होने के लिए, वायरस शब्दकोश दृष्टिकोण को अद्यतन वायरस शब्दकोश प्रविष्टियों के आवधिक ऑनलाइन डाउनलोड की आवश्यकता होती है। जैसा कि नए वायरस "जंगली में" पहचाने जाते हैं, नागरिक मन और तकनीकी रूप से इच्छुक उपयोगकर्ता एंटी-वायरस सॉफ़्टवेयर के लेखकों को अपनी संक्रमित फाइलें भेज सकते हैं, जो तब अपने शब्दकोशों में नए वायरस के बारे में जानकारी शामिल करते हैं।

शब्दकोश-आधारित एंटी-वायरस सॉफ़्टवेयर आमतौर पर फाइलों की जांच करता है जब कंप्यूटर का ऑपरेटिंग सिस्टम बनाता है, खोलता है, और उन्हें बंद करता है; और जब फाइलें ई-मेल की जाती हैं। इस तरह, एक ज्ञात वायरस को रसीद पर तुरंत पता लगाया जा सकता है। सॉफ्टवेयर को आम तौर पर नियमित आधार पर उपयोगकर्ता की हार्ड डिस्क पर सभी फ़ाइलों की जांच करने के लिए निर्धारित किया जा सकता है।

यद्यपि डिक्शनरी दृष्टिकोण को प्रभावी माना जाता है, वायरस लेखकों ने "पॉलीमॉर्फिक वायरस" लिखकर ऐसे सॉफ़्टवेयर से एक कदम आगे रहने की कोशिश की है, जो स्वयं के कुछ हिस्सों को एन्क्रिप्ट करते हैं या अन्यथा खुद को भेस की विधि के रूप में संशोधित करते हैं, ताकि वायरस के हस्ताक्षर से मेल न खाएं। शब्दकोश में।

संदिग्ध व्यवहार दृष्टिकोण संदिग्ध व्यवहार दृष्टिकोण, इसके विपरीत, ज्ञात वायरस की पहचान करने का प्रयास नहीं करता है, बल्कि इसके बजाय सभी कार्यक्रमों के व्यवहार की निगरानी करता है। यदि कोई प्रोग्राम निष्पादन योग्य प्रोग्राम में डेटा लिखने की कोशिश करता है, उदाहरण के लिए, इसे संदिग्ध व्यवहार के रूप में चिह्नित किया जाता है और उपयोगकर्ता को इस बारे में सतर्क किया जाता है, और पूछा जाता है कि क्या करना है।

शब्दकोश के दृष्टिकोण के विपरीत, संदिग्ध व्यवहार दृष्टिकोण इसलिए ब्रांड-नए वायरस से सुरक्षा प्रदान करता है जो अभी तक किसी भी वायरस शब्दकोशों में मौजूद नहीं हैं। हालाँकि, यह बड़ी संख्या में झूठी सकारात्मकता को भी दर्शाता है, और उपयोगकर्ता संभवतः सभी चेतावनियों के प्रति उदासीन हो जाते हैं। यदि उपयोगकर्ता ऐसी हर चेतावनी पर "स्वीकार" पर क्लिक करता है, तो एंटी-वायरस सॉफ़्टवेयर स्पष्ट रूप से उस उपयोगकर्ता के लिए बेकार है। इस समस्या को विशेष रूप से पिछले 7 वर्षों में बदतर बना दिया गया है, क्योंकि कई और गैर-दुर्भावनापूर्ण प्रोग्राम डिज़ाइन ने इस गलत सकारात्मक मुद्दे के संबंध में अन्य .exes को संशोधित करने का विकल्प चुना है। इस प्रकार, अधिकांश आधुनिक एंटी वायरस सॉफ़्टवेयर इस तकनीक का कम और कम उपयोग करते हैं।

वायरस का पता लगाने के अन्य तरीके कुछ एंटी-वायरस-सॉफ़्टवेयर प्रत्येक नए निष्पादन योग्य कोड की शुरुआत का अनुकरण करने की कोशिश करेंगे, जो निष्पादन योग्य पर नियंत्रण स्थानांतरित करने से पहले निष्पादित किया जा रहा है। यदि प्रोग्राम स्व-संशोधित कोड का उपयोग करता हुआ प्रतीत होता है या अन्यथा वायरस के रूप में प्रकट होता है (यह तुरंत अन्य निष्पादकों को खोजने की कोशिश करता है), तो कोई यह मान सकता है कि निष्पादन योग्य वायरस से संक्रमित हो गया है। हालांकि, इस पद्धति के परिणामस्वरूप बहुत सारी झूठी सकारात्मकताएं हैं।

अभी तक एक अन्य पता लगाने की विधि एक सैंडबॉक्स का उपयोग कर रही है। एक सैंडबॉक्स ऑपरेटिंग सिस्टम का अनुकरण करता है और इस सिमुलेशन में निष्पादन योग्य चलाता है। कार्यक्रम समाप्त होने के बाद, सैंडबॉक्स उन परिवर्तनों के लिए विश्लेषण करता है जो वायरस का संकेत दे सकते हैं। प्रदर्शन के मुद्दों के कारण इस प्रकार की पहचान आम तौर पर ऑन-डिमांड स्कैन के दौरान की जाती है।

चिंता के मुद्दों

मैक्रो वायरस, यकीनन सबसे विनाशकारी और व्यापक कंप्यूटर वायरस, को अधिक सस्ते और प्रभावी रूप से रोका जा सकता है, और सभी उपयोगकर्ताओं को एंटी-वायरस सॉफ़्टवेयर खरीदने की आवश्यकता के बिना, यदि Microsoft Microsoft Outlook और Microsoft Office से संबंधित सुरक्षा खामियों को ठीक करेगा डाउनलोड किए गए कोड का निष्पादन और दस्तावेज़ मैक्रो को फैलाने और नष्ट करने की क्षमता के लिए।

उपयोगकर्ता की शिक्षा एंटी-वायरस सॉफ़्टवेयर जितनी महत्वपूर्ण है; केवल उपयोगकर्ताओं को सुरक्षित कंप्यूटिंग प्रथाओं में प्रशिक्षित करना, जैसे कि इंटरनेट से अज्ञात प्रोग्राम को डाउनलोड और निष्पादित नहीं करना, एंटी-वायरस सॉफ़्टवेयर की आवश्यकता के बिना वायरस के प्रसार को धीमा कर देगा।

कंप्यूटर उपयोगकर्ताओं को हमेशा अपने स्वयं के मशीन के लिए व्यवस्थापक पहुँच के साथ नहीं चलना चाहिए। यदि वे केवल उपयोगकर्ता मोड में चलते हैं तो कुछ प्रकार के वायरस फैलने में सक्षम नहीं होंगे।

वायरस का पता लगाने के लिए शब्दकोश दृष्टिकोण अक्सर नए वायरस के निर्माण के कारण अपर्याप्त है, फिर भी झूठी सकारात्मक समस्या के कारण संदिग्ध व्यवहार दृष्टिकोण अप्रभावी है; इसलिए, एंटी-वायरस सॉफ़्टवेयर की वर्तमान समझ कभी भी कंप्यूटर वायरस को जीत नहीं पाएगी।

दुर्भावनापूर्ण सॉफ़्टवेयर को एन्क्रिप्ट करने और पैकिंग करने के विभिन्न तरीके हैं जो एंटी वायरस सॉफ़्टवेयर के लिए भी जाने-माने वायरस को अनपेक्षित बना देंगे। इन "छलावरण" वायरस का पता लगाने के लिए एक शक्तिशाली अनपैकिंग इंजन की आवश्यकता होती है, जो फाइलों की जांच करने से पहले उन्हें डिक्रिप्ट कर सकता है। दुर्भाग्य से, कई लोकप्रिय एंटी-वायरस प्रोग्रामों में यह नहीं होता है और इस प्रकार अक्सर एन्क्रिप्ट किए गए वायरस का पता लगाने में असमर्थ होते हैं।

एंटी-वायरस सॉफ़्टवेयर बेचने वाली कंपनियों को लगता है कि वायरस को लिखने और फैलाने के लिए, और जनता के लिए खतरे से घबराने के लिए वित्तीय प्रोत्साहन है।

(मुझे यह लेख पसंद है, और मैं अभी एंटीवायरसवर्ल्ड से कॉपी और पेस्ट करता हूं।)

फ़ॉसी, आपका प्रश्न बहुत दिलचस्प है, लेकिन मैं आपको एक और एक के साथ अपनी खोज शुरू करने का सुझाव देता हूं। मैं यह सलाह दे रहा हूं क्योंकि आपके द्वारा पूछे गए प्रश्न के उत्तर आपको गुमराह कर सकते हैं।

मैं आपको सुझाव देता हूं कि आप इस बात पर विचार करना शुरू करें कि आप वायरस को क्या मानते हैं, इसकी परिभाषा क्या है।

एलीट वायरस लेखक सुरक्षा शोधकर्ता हैं, स्क्रिप्ट किडिज़ नहीं। उनकी वायरस परिभाषा है: "एक वायरस कोड का एक टुकड़ा है जो खुद को गुणा कर सकता है"। बस। जैसा कि आप देख सकते हैं, यहां उल्लिखित विनाशकारी विशेषताएं नहीं हैं। सभी वायरस अनिवार्य रूप से बुरे हैं - यही है कि FUD आपको मालिकाना एंटीवायरस निर्माताओं से मिलता है ताकि वे अपना सॉफ़्टवेयर बेच सकें।

IMHO यह संपूर्ण सॉफ़्टवेयर पारिस्थितिकी तंत्र के एक भाग के रूप में वायरस का इलाज करने के लिए बुद्धिमान है, न कि बाहर की बुराई "एलियंस" के रूप में।

वायरसों को देखने का एक बहुत महत्वपूर्ण तरीका दूसरा तरीका है। वायरस कैसे करते हैं सिस्टम से समझौता यह आमतौर पर सॉफ्टवेयर कमजोरियों के माध्यम से होता है। एंटी वायरस सॉफ्टवेयर इन कमजोरियों से अवगत है और इन कमजोरियों को प्रभावित करने वाले सॉफ्टवेयर की तलाश करता है। किसी भी तरह से, virusses हमेशा कुछ करते हैं। इसलिए उन्हें जो कुछ भी करना है उसे करने के लिए उन्हें काम करने की प्रक्रिया की आवश्यकता होती है। कभी-कभी यह एक मौजूदा एक में होता है, कभी-कभी वे एक थीम बनाते हैं।

हालांकि, MOST वायरस समान तरीके से काम करते हैं, जिससे वायरस-स्कैनर के बीच अंतर करना आसान हो जाता है। एक ही भेद्यता का उपयोग करने वाले कई अलग-अलग वायरस हैं!

http://en.wikipedia.org/wiki/List_of_computer_viruses