Tuesday 26 February 2013

How an Antivirus Program Works


Pengenalan

Kerana semakin meningkat ancaman dari virus dan program berbahaya yang lain, hampir setiap komputer hari ini dilengkapi dengan perisian antivirus pra-pasang di dalamnya. Bahkan, antivirus telah menjadi salah satu daripada pakej perisian yang paling penting bagi setiap komputer. Walaupun setiap orang dari kita memiliki software antivirus yang dipasang di komputer kita, hanya sedikit yang benar-benar mahu untuk memahami bagaimana antivirus bekerja! jika korang adalah salah satu di antara orang yang benar-benar akan mahu untuk memahami bagaimana antivirus bekerja, maka artikel ini adalah untuk korang.


Bagaimana Antivirus Melakukan Kerjanya?

Sebuah perisian antivirus biasanya menggunakan pelbagai strategi dalam mengesan dan menghilangkan virus, worm dan program malware yang lain. Berikut ini adalah dua kaedah pengenalan yang paling banyak digunakan:


1. Pengesanan Berasaskan Signature Detection (Pendekatan Kamus)

Ini adalah kaedah yang paling umum digunakan yang melibatkan mencari pola yang dikenali virus dalam fail yang diberikan. Setiap perisian antivirus akan memiliki kamus kod malware sampel disebut tanda tangan (signature database) dalam database itu. Setiap kali sebuah file diperiksa, antivirus merujuk pada kamus kod sampel yang ada di dalam database dan membandingkan dengan fail pada saat itu. Jika potongan kod dalam fail sesuai dengan yang di dalam kamus maka ia ditandai dan tindakan yang tepat diambil untuk menghentikan virus sebelum replikasi lebih jauh. Antivirus boleh memilih untuk memperbaiki fail tersebut, kuarantin atau memadamnya secara kekal berdasarkan potensi risiko virus itu.

Apabila virus baru dan malwares dicipta dan dikeluarkan setiap hari, kaedah pengesanan tidak dapat membela dan melawan malwares baru kecuali sampel mereka dikumpulkan dan tanda tangan yang baru dikeluarkan oleh syarikat perisian antivirus. Beberapa syarikat juga boleh mendorong pengguna untuk meng-upload virus baru atau variasi (variants), sehingga virus dapat dianalisis dan tanda tangan boleh ditambah ke dalam kamus.

Pengesanan berasaskan signature database boleh jadi sangat berkesan, tetapi memerlukan kita untuk sering update dari kamus virus signature database. Oleh kerana itu pengguna harus mengemas kini perisian antivirus mereka secara teratur sehingga dapat bertahan terhadap ancaman baru yang dikeluarkan setiap hari.


2. Pengesanan Berasasan Heuristik (Pendekatan Terhadap Perilaku Mencurigakan)

Pengesanan berasaskan Heuristik melibatkan pengenapastian perilaku yang mencurigakan dari setiap program tertentu yang mungkin menunjukkan risiko berpotensi. Pendekatan ini digunakan oleh beberapa software antivirus canggih seperti ESET NOD32 ANTIVIRUS dan ESET NOD32 SMART SECURITY untuk mengenalpasti malware baru dan variasi malware yang dikenali. Berbeza dengan pendekatan yang berpusat kepada tanda tangan, di sini antivirus tidak mencuba untuk mengenal pasti virus yang dikenali, melainkan memantau perilaku semua program.

Misalnya, perilaku berbahaya seperti sebuah program cuba untuk menulis data ke program eksekusi, ditandakan dan pengguna diperingatkan tentang tindakan ini. Kaedah pengesanan memberikan tambahan tahap keselamatan daripada ancaman yang tidak diketahui.

Fail emulasi: Ini adalah jenis lain dari pendekatan berasaskan heuristik di mana program tertentu dijalankan dalam persekitaran maya dan tindakan yang dilakukan olehnya direkodkan. Berdasarkan tindakan login, perisian antivirus dapat menentukan sama ada program ini berbahaya atau tidak dan melakukan tindakan yang diperlukan dalam rangka untuk membersihkan jangkitan.

Kebanyakan software antivirus komersial menggunakan kombinasi pendekatan keduanya berasaskan signature dan heuristik ntuk memerangi malware.

No comments:

Post a Comment