אנטי-וירוס היא תוכנה שנועדה לאתר וירוסי מחשב ולהגן על המחשב מפני פעילותם.
מחשב ללא תוכנת אנטי וירוס נמצא בסיכון גבוהה להיפגע מוירוסים שונים באינטרנט אשר יכולים לפגוע במחשב בדרכים שונות החל מלהאט בצורה ניכרת את פעילות המחשב ועד לקריסה מוחלטת של מערכת ההפעלה.
מאפיינים
מאפייני תוכנות האנטי-וירוס:
- שומר בזמן אמת מבצע סריקות בכל זמן פעילות המחשב, ובודק ללא הרף דפוסים ועקבות של פעילות ויראלית, בזיכרון, בפעולות העיבוד ובגזרת ה-BOOT.
- סורק דואר אלקטרוני בודק בזמן קבלת דואר אלקטרוני או שליחתו שהדואר האלקטרוני אינו נגוע בווירוס.
- סורק כללי לבקשת המשתמש או על פי תזמון סורק את הכוננים ומדיות האיחסון של המחשב במטרה לזהות דפוסים ועקבות של וירוסים.
סוגי התקנות
מרבית תוכנות האנטי-וירוס מותקנות מקומית על המחשב ומתעדכנות משרתים מרכזיים כדי לחדש את מאגר הווירוסים המוכר להן. סוג אחר של תוכנות אנטי-וירוס הוא אנטי-וירוס מקוון (באנגלית: Online virus scanners) המאפשר לסרוק את המחשב דרך האינטרנט, ללא צורך בהתקנת תוכנה על המחשב המקומי. השירות המקוון ניתן בדרך כלל בחינם, ומבוצע לרוב על ידי יישומון Java או ActiveX אליו המשתמש גולש באמצעות הדפדפן.
היסטוריה
האנטי-וירוס הראשון שנועד להתמודד עם יותר מווירוס בודד היה AntiVir (גרסה מוקדמת של Avira AntiVir המוכר היום) שהופיע ב-1988. [1] בטרם עידן האינטרנט תוכנות האנטי-וירוס הופצו על גבי דיסקטים והתעדכנו רק לעתים רחוקות. עידן האינטרנט הביא לעלייה בתפוצתם, בממדי הדבקתם ובדרכי הפצתם של הווירוסים (למשל: וירוסים שמשתמשים בפקודות מאקרו של תוכנות מחבילת מיקרוסופט אופיס). יצרניות תוכנות האנטי-וירוס נאלצו להיערך בהתאם והחלו להוציא גרסאות חדשות בקצב מהיר בהרבה והחלו לעדכן את בסיס הנתונים של התוכנות דרך האינטרנט.
אופן פעולה ארגז חול
ארגז חול הינו מערכת אמולציה בה מנתח האנטי-וירוס קובץ או תהליך במחשב באזור הסגר בזיכרון.
כאשר הוירוס נמצא באזור ההסגר, הוא אינו יכול להזיק וניתן לבדוק מה יהיו תוצאות הפעלתו. ניתוח התהליך בתוך ארגז החול כולל בדיקת הקוד של התהליך, בדיקת חתימת הקובץ ובדיקה גנרית של אותו תהליך. אם התהליך לא מסומן כווירוס, האנטי-וירוס משחרר אותו מארגז החול ומאפשר לו לבצע את פעילויותיו; אם הקובץ מתגלה כווירוס, האנטי-וירוס חוסם אותו ומודיע למשתמש על כך.
חתימת הקובץ
חתימת קובץ הינה מבנה הקובץ הייחודי לכל קובץ. בדומה לטביעת אצבע אצל בני אדם, כך גם חתימת הקובץ ייחודית לקובץ מסוים ברמת וודאות גבוהה. מעבדות חברות האנטי-וירוסים חוקרות וירוסים חדשים על מנת למצוא את החתימה שלהם. את תוצאות הניתוח הן מעבירות לבסיס נתונים הנמצא בשרת מרכזי. במקביל, נשלחת הודעה לתוכנת האנטי-וירוס שעדכון לתוכנה זמין. תוכנת האנטי-וירוס שמותקנת על המחשב מורידה את קובץ העדכון שכולל את החתימות שהחוקרים הצליחו להוציא מהווירוסים החדשים שהתגלו ומתקינה אותו. באופן זה יכול האנטי-וירוס לבדוק קבצים הנכנסים למחשב על ידי השוואת חתימותיהם לחתימות המוכרות לו.
בדיקה גנרית
האנטי-וירוס מנתח את התנהגותם של התהליכים הרצים במחשב כדי לקבוע האם תוכנה מסוימת היא וירוס או לא. אלגוריתם זה עוקב אחרי תהליכים וקבצים שפועלים במחשב ומנתח את התנהגותם. הוא כולל מעקב אחר פעילות התהליך, בדיקת נסיונות גישה של התהליך לתהליכים אחרים גישה למשאבים וכו'.
וירוסים נוהגים להכניס את עצמם לערכים מסוימים בקובצי מערכת חשובים (על מנת להקל על הישרדות הווירוס במחשב והפצתו למחשבים אחרים). כשתהליך מסוים מתחיל לשנות קובץ מערכת, האנטי-וירוס מנטר את התנהגותו בקפידה. ערכים מסוימים בקובצי מערכת שווירוסים משתמשים בהם הם ערכים שגם תוכנות שאינן וירוסים משתמשות בהם. כשתוכנה משתמשת בערך שגם וירוסים משתמשים בו, האנטי-וירוס לא תמיד יחשוד בתוכנה, אלא רק לאחר שיהיו לו די אינדיקציות.