Program Təhlükəsizlik

Antivirus necə işləyir ?

by
10 June 2024

İlk öncə antivirus nədir ona baxaq.

Antivirus proqramları gələn faylları və şəbəkə trafikindən keçən kodları scan edərək işləyir. Adətən bu proqramları quran şirkətlər daha əvvəldən bilinən virus və zərərli proqramlardan ibarət bir databaza yaradırlar, antivirusa bu kimi təhdidləri necə müəyyən edəcəyini, işarə qoymağını və necə qarşısını alacağını proqramlaşdırırlar. Adından da göründüyü kimi viruslardan qoruma proqramı, müxtəlif viruslarla mübarizə aparmaq üçün kodlaşdırılmış bir həlldir. Bu prosesi 3 hissəli bir sistem ilə edir:

  • Virusları axtarmaq, scan
  • Virusları müəyyən etmək
  • Virusları karantinaya almaq və ya birdəfəlik silmək

Fayllar, proqramlar və müxtəlif toollar (software) komputerimizə girib-çıxarkən antivirus bunları öz databazasında olanlarla müqayisə edir. Databazada olanlara bənzər və ya eyni uyğunluqda olanlar izolasiya edilir, qarşısı alınır. Bəzi antiviruslar zərərli proqramları silmədən əvvəl icazə istəyir, ilk öncə karantinaya alır biz qəbul etdikdən sonra silir. Həmçinin istəsək bunu avtomatik özü silsin də deyə bilərik.

Sadə dildə desək bir Neft Emalı Zavodu düşünün, burda qaydaya uyğun olaraq hərkəs boz köynək geyinməlidir. Qapıda bir mühafizə var hərgün işçilərin uniformalarını yoxlayıb içəri buraxır, düzgün olmayanları isə geri göndərir. Bu senaryoda Hədəf: Neft Emalı Zavodu, Antivirus: Qapıda duran mühafizə dayı, bizim yaratdığımız Payload isə Zavoda istədiyi paltar ilə girməyə çalışan nadinc bir gənc işçidir. Yəni bu disiplinsiz işçi Zavoda digər işçilərdən fərqli geyimdə daxil olmağa çalışır, uyumsuzdur bir sözlə komputerdə olan digər fayllar kimi deyil, fərqlidir. Birinci gün qara köynək ilə daxil olmağa çalışır Mühafizə görür icazə vermir, ikinci gün isə bu işçi Zavod uniformasına bənzər başqa bir boz rəng çaları incə jaket ilə girməyə çalışdı, mühafizə düşündüki hə bu eyni rəngdi oxşayır uniformaya ötəri yanaşdı, keçsin deyib onu içəri aldı. Üçüncü gün yenə bu işçi belə gəldi zavoda amma bu səfər mühafizə dayı daha diqqətlə yoxlamaq istədi dedi oğul jaketin qabağını aç baxım, gördü tamam başqa paltar ilə gəlib işə, bu səfər onu müəyyən etdi və belə formada içəri girməsinin qarşısını aldı. Bu senaridə olan Mühafizənin davranışı eyni Statik Antivirus Aşkarlama metodu kimidir.

Antiviruslar necə işləyir ?

Adətən antiviruslar 3 cür işləyir, birincisində yəni Static Antivirus Müəyyən etmə metodunda Antvirus program və faylları cihaza (end device) girərkən skan edib bunları öz databazasında olan viruslarla tutuşdurmağa çalışır (Payload-un hash sum dəyərlərini öz data bazasında olan zərərli hash sum dəyərləriylə müqayisə edib uyğunluq axtarır, əgər eynisi olarla onu karantinaya alır və ya birbaşa avtomatik silir), ikincisində isə Dinamik Antivirus metodu ilə hər hansı bir şübhəli davranışı (suspicious activity) müəyyən etmək üçün komputerdə var olan proqramları skan edir. Həmçinin əgər birinci metodla hash sum ilə match edib virusu tuta bilməsə Byte (string) Matching metodu ilə proqramların əsas kodlarına da baxıb müəyyən edə bilir. Əlavə olaraq birçox antiviruslar müəyyən etdikləri zərərli proqram və faylları karantinya alıb bizim təsdiqimizdən sonra ona komputerdə qalması üçün icazə və ya qadağa verə bilir.

Antivirus proqramları virusları müəyyən etmək üçün İmza əsaslı (Signature based), Hevristik yəni Sezgilərlə axtarış (Heuristic Based Analysis and detection) və Davranış əsaslı aşkarlama (Behaviour-based detection) kimi metodikalardan istifadə edir. Müasir Antiviruslar adətən bu metodikaların hamsını eyni anda işlədir.

Signature Based Detection: İmza əsaslı antvirus qoruması ən köhnə metodikalardan biridir. Komputerə əlavə olunan faylları və proqramları zərərli məqsədlər üçün yaradılmış proqramlarla imza uyğunluqlarını müqayisə edir, tutuşanları müəyyən edir. Bu tip işləyən antivirus proqramların effektli işləməsi üçün daha əvvəl var olan bilinən virus və zərərverici proqram adları və imzaları ilə dolu olan databazalarını mütləq şəkildə hər zaman yeniləyin, daim ən son güncəl versiyada saxlayın.

Heuristic Based Detection: Sezgilərlə axtarış metodikası da eyni İmza əsaslı metodikadakı kimi komputerə gələn fayl və proqramları databaza ilə tutuşdurub uyğunluqları müəyyən etməyə çalışdığı üçün Signature based detection-a bənzəyir, lakin İmza əsaslı axtarış tam uyğunluq axtarmağa çalışarkən Hevristik əsaslı müəyyən etmə metodu isə fayl və proqramların kodunda oxşar meylləri və ya nümunələri axtarıb tapmağa çalışır. Nəticə etibarı ilə bu metod digərinin müəyyən edə bilmədiyi virusları da tutmağa çalışır.

Behaviour-based detection: Davranış əsaslı aşkarlama isə komputerdə olan fayl və proqramların cihazda necə davrandığını yoxlayır, qeyri-adi davranış və detalları axtarır. Bu metodika ilə işləyən antivirus komputerdəki bir çox davranışları izləyərək potensial təhdidlərin qarşısını almağa çalışır, məsələn hər hansı bir fayl sistematik olaraq digər fayl və proqramları dəyişdirirsə və yaxud şübhəli şəbəkə trafiki yaradırsa antivirus bunu müəyyən edib qarşısını ala bilir. Bəzi təkmilləşmiş antivirus proqramları hətta Machine Learning və AI (Süni intelekt) köməyi ilə də real təhlükələri, şübhəli davranış və addımları müəyyən edə bilir.

2024-cü il ən yaxşı antivirus seçimləri:

  1. Bitdefender
  2. Eset, Kaspersky, Malwarebytes
  3. McAfee, Norton, MS Defender

Author

Cavad Mikayil

Network Security Engineer⚜️ CCNA | Sec+ | PCNSA | AZ-900 | 📚 IT Instructor | 👨‍💻 Blog cavadmikayil.com

See author's posts

Tags:

Cavad Mikayil

Network Security Engineer⚜️ CCNA | Sec+ | PCNSA | AZ-900 | 📚 IT Instructor | 👨‍💻 Blog cavadmikayil.com

Leave a Reply

Your email address will not be published. Required fields are marked *

You may also like

Sosyal Medya Hesablarım

File Server Qurulması Dərsi

Son Yazılarım