MR.X
01-08-2008, 08:04 PM
بسم الله الرحمن الرحيم
إخواننا الكرام كثيرا ما نواجه السؤال الشهير:
ما هو أفضل مضاد للفيروسات ؟
وكل يجيب حسب وجهة نظره وحسب تجربته، وآخرون يعيدون فقط قول ما سمعوه.
وعند طرح هذا السؤال نجد أن الإجابة غالبا ما تحوي هذه الجملة وهي "أنا عندي هذا المضاد ولم أشتكي من أي فيروس إلى الآن" وذلك كدليل على فعالية المضاد، والحقيقة هي أنه لا يمكن استنباط أي شيء من هذه الجملة.
وذلك لأن استخدام الجهاز يختلف من واحد إلى الآخر،
الذي أريد قوله هو أن حظوظ إصابة جهاز شخص ما يمضي جل وقته في تحميل الملفات والبرامج دون التثبت من المصدر ويزور المواقع المشكوك بها طيلة الوقت ولديه أقوى المضادات، هي أكبر ممن يستعمل جهازه استعمالا محدودا ويتجنب تثبيت أول برنامج يقع بين يديه ولو بمضاد فيروسات يمكن تسميته ب"ضعيف".
كما يعلم بعض الإخوة فإن لي صولات وجولات في بعض المنتديات الغربية الخاصة بمكافحة الفيروسات (وذلك لمحاولة تطوير مجال التأمين في دولنا الإسلامية) ولله الحمد، مما يمكنني من الاضطلاع على الكثير من البرامج الضارة الجديدة، والتي لم يتم بعد إضافتها إلى قواعد بيانات المضادات، ليتم التعرف عليها وحذفها أو عزلها من قبل المضاد.
وبعد فحص هذه الملفات والبرامج الضارة بواسطة مواقع الفحص التي تقوم بفحص الملف باستعمال الكثير من المضادات، وإعطاء نتيجة فحص كل منها كالموقع الذي يعرفه جل المهتمين بهذا المجال وهو:
http://www.virustotal.com
هذه الفحوصات تمكن من معرفة مستوى رصد مضادات الفيروسات، وردت فعل مبرمجي هذه المضادات حيال الأخطار الحديثة.
تمكننا أيضا هذه الفحوصات من استنتاج مستوى التحري عند المضاد، للتذكرة هذه طريقة عمل المضادات :
إذا كان الفيروس معروفا، فإن رصده يقوم على معرفة بصمته، يعني أن متتالية كتابة برمجة الملف الخبيث تمكن المضاد من معرفة ما إذا كان ينتمي لملفات تشغيل هذا الفيروس أو ذاك.
وهذا هو سبب تسابق مبرمجي المضادات لملئ قواعد بيانات مضاداتهم من خلال التحديثات وذلك لإضافة بصمات الفيروسات الجديدة.
رغم كثرة وسائل الرصد عند المضادات فإنها تستند أساسا على هذه الخاصية، ولذلك أنصح دائما بالتأكد من وجودها في المضاد المتواجد بالجهاز.
إذا كان الفيروس غير معروف، يمكن للمضاد تحديد ما إذا كان الملف المفحوص فيروسا أم لا بواسطة خاصية التحري، بعد فحص الملف يمكن للمضاد تهمة الملف أو تبرئته حسب شكل برمجة الملف، دون الحاجة لتواجد بصمته في قاعدة بيانات المضاد.
هذا النوع من الرصد لا يصيب دائما وهو معرض للخطأ وذلك باعتبار بعض الملفات المسالمة كخطيرة، لذلك فيجب الحذر تجاهه.
هناك أيضا الكثير من الوسائل الأخرى التي تستعملها مضادات الفيروسات للرصد والعلاج سأتطرق إليها بإذن الله في موضوع آخر.
وسائل انتشار البرامج الضارة كثيرة منها الملفات الملغمة المنتشرة في شبكة التحميل P2P(Kaza, Emul, Sharizza…)
الكراكات، الملفات المحملة من المواقع المشبوهة سواء برضاك وذلك بعد إخفائه وسط أحد الملفات، أو من دون رضاك وذلك باستغلال أحد هفوات الويندوز وزرع الملف داخل الجهاز بمجرد زيارة الموقع المشبوه (كما كان الحال بالنسبة لموقع أخبار اليوم الشهر الماضي تحذير مهم).
البرنامج الخبيث يثبت عادتا باستعمال ما يسمى "المحقنة"، وهو ملف يقوم بحقن الفيروس داخل النظام، تم إنشاء هذا الملف (المحقنة) بعناية تامة ليتمكن من تغليف الفيروس وإخفائه بطريقة يصعب من خلالها رصد هذا الأخير (غلبا تشفير الملف بعدة طرق).
إذا رصد المضاد المحقنة فقد انتهى الأمر، فسيتم إيقاف الملف قبل حقنه بالنظام.
إذا لم يتم رصد المحقنة وتم الحقن فقد انتهى الأمر كذلك ولكن أي أمر، انتهى أمر الجهاز وذلك لأن :
لأنه سيتم تثبيت العدوى في الجهاز، وغالبا لا يستطيع المضاد إزالتها (هذا إذا استطاع تحديد مكان كل أطرافها)، وردة فعلك الوحيدة ستكون فحص جهازك بعدد هائل من برامج الحماية، والنتيجة لا تكون دائما مفرحة.
حاليا يستعمل مبرمجو الفيروسات أكثر فأكثر ما يسمى بالغوتكيتس rootkits بخلاصة هي برامج تستطيع الاختباء داخل النظام (مستحيل أن ترى سواء في إدارة مهام الجهاز، داخل الأقراص...)، داخل البرامج، أو حتى داخل المضادات نفسها. لرصد هذا النوع يلزم استعمال فاحص للروتكيتات وأشياء أخرى وذلك لاختلاف تقنيات هذا النوع من العدوى.
(بعض الروتكيتات المعروفة rootkit Pe386، Gromozon/LinkOptimizer ، Trojan/DNS والأكثر شهرة Magic.Control)
في الوقت الذي أكتب فيه هذه المقالة مبرمجو المضادات متأخرون جدا بالنسبة لرصد هذا النوع من الإصابات.
في الوقت الذي أكتب فيه هذه المقالة مبرمجو المضادات متأخرون جدا بالنسبة لرصد هذا النوع من الإصابات. ولقد بدأو للتو ببرمجة مضادات خاصة بهذا النوع أذكر مثلا :
- AVG AntiRootkit
Panda Anti-Rootkit -
McAfee Avert Labs Rootkit Detective Beta
والأكثر تطورا في هذا المجال هو gmer
أيضا هناك من بدء بزرع هذا النوع من الفاحصات بمضاد الفيروسات كشركة F-Secure وذلك في F-Secure Internet Security 2007مثلا.
للرجوع إلى الفحوصات التي بدأنا بها الموضوع، فقد وجدت أن خاصية التحري التي تكلمت عنها مسبقا متطورة جدا في مضاد الفيروسات Antivir لشركة Avira .
عندما لا نجد بصمة الفيروس في قاعدة بيانات المضاد فإن هذه الخاصية تملأ هذا الفراغ بشكل فعال جدا.
في الوجه المقابل مضاد الفيروسات Avast خيب أملي.
Avast من المضادات المجانية الكثيرة الانتشار، وطالما وجدته مثبتا في الأجهزة المصابة.
بالنسبة لي فأنا أنصح باستعمال المضاد Antivir لشركة Avira أولا لكفاءته وثانيا لكونه مجانيا 100%،
في الأسفل ستجدون مباراة لبعض المضادات المعروفة، بطبيعة الحال لا يمكننا أن نقرر أفضلية مضاد بالنسبة للآخر بمجرد امتحانهم بعدد محدود من الملفات الخبيثة، لأنه ربما يكون المضاد الأفضل بالنسبة للملفات المختارة فقط، وكلما كبر عدد الملفات الخبيثة في الامتحان كلما كانت النتيجة أقرب إلى الواقع.
يمكنكم إذا زيارة هذا الموقع (باللغة الإنجليزية) للاضطلاع على المباريات التي أجريت للمضادات باستعمال عدد أكبر من البرامج والملفات الخبيثة:
http://www.av-comparatives.org/seiten/comparatives.html
(هام : الامتحان الأول كان في سنة 2004 يجب النزول للأسفل للاضطلاع على المباريات الحديثة)
للمزيد من التوضيح حول هذه المباراة، أقول بأن الملفات الخبيثة المستعملة في هذه المباراة والتي تم جمعها من المنتديات العالمية للحماية:
· هي ملفات ناتجة عن إصابات حديثة، الإصابات الحديثة هي الأكثر خطورة لأنها تكون صعبة الرصد من قبل المضادات وذلك لأن المبرمج لا يكون قد إضافتها بعد إلى قاعدة بيانات بصمات الفيروسات لدى المضاد.
· هذه المباراة تظهر مدى فعالية المضاد بالنسبة للفيروسات المنتشرة في زمن المباراة والتي يشتكي منها أغلب المتضررين.
يمكنكم ملاحظة أنه لكل مباراة تاريخ، وأنه عادتا ما تكون الملفات قد جمعت خلال الشهر الذي يسبق تاريخ المباريات، وسأحاول بإذن الله وضع آخر الإحصائيات بعد كل شهر أو شهرين.
وهذه هي الإحصائيات :
استعمل في هذه المباراة 840 فحص، التاريخ: الأحد 30 سبتمبر 2007.
· مضاد الفيروسات Antivir
اكتشف 512
ولم يكتشف 334
· مضاد الفيروسات Avast
اكتشف 135
ولم يكتشف 704
· مضاد الفيروسات BitDefender
اكتشف 282
ولم يكتشف 557
· مضاد الفيروسات Kaspersky
اكتشف 259
ولم يكتشف 580
· مضاد الفيروسات Norton Symantec
اكتشف 149
ولم يكتشف 670
· مضاد الفيروسات Sophos
اكتشف 233
ولم يكتشف 592
· مضاد الفيروسات McAfee
اكتشف 141
ولم يكتشف 685
· مضاد الفيروسات Prevx1
اكتشف135
ولم يكتشف 278
· مضاد الفيروسات Microsoft
اكتشف 111
ولم يكتشف 715
· مضاد الفيروسات F-Prot
اكتشف 84
ولم يكتشف 759
· مضاد الفيروسات Ewido
اكتشف 114
ولم يكتشف 700
· مضاد الفيروسات DrWeb
اكتشف 209
ولم يكتشف 617
· مضاد الفيروسات AVG
اكتشف 172
ولم يكتشف 666
· مضاد الفيروسات Panda
اكتشف 458
ولم يكتشف 382
أضيف نقطة هامة جدا بالنسبة لهذا المضاد وهي خفة استعماله وذلك لكونه لا يحتاج إلا لجزء بسيط من ذاكرة الجهاز.
السلبية الوحيدة التي أجدها في هذا المضاد هي أنه لا يفحص الرسائل الإلكترونية، وقد تجاوزت هذه السلبية لأربعة أسباب :
· أولها:أن أغلب الإخوة لا يستعمل الصناديق الإلكترونية المحلية والتي تضع الرسائل مباشرة في جهازك.
· ثانيها: أن شركات صناديق البريد الإلكترونية أصبحت تتسابق لتأمين بريدها وإيقاف استعماله في إرسال الرسائل الملغمة، وقد لاحظ أكثركم هذا في الشهور الأخيرة خصوصا منخرطي شركة Hotmail
· وثالثها: أن استعمال الرسائل الإلكترونية كوسيلة للعدوى قد بدء ينقص شيئا فشيئا.
· رابعها : أن هذا المضاد لا يملك القدرة على رصد البريد الملغم فقط عند وصوله، ولكن يملك كل القدرة على رصده عند فتح البريد وقد تم تجربة هذه الخاصية وذلك بوضع فيروس Eicar كملف مرفق داخل إحدى الرسائل الإلكترونية وقد تم رصده من قبل المضاد عند محاولة فتح الملف المرفق.
:SnipeR (92)::SnipeR (92)::eh_s(15):
إخواننا الكرام كثيرا ما نواجه السؤال الشهير:
ما هو أفضل مضاد للفيروسات ؟
وكل يجيب حسب وجهة نظره وحسب تجربته، وآخرون يعيدون فقط قول ما سمعوه.
وعند طرح هذا السؤال نجد أن الإجابة غالبا ما تحوي هذه الجملة وهي "أنا عندي هذا المضاد ولم أشتكي من أي فيروس إلى الآن" وذلك كدليل على فعالية المضاد، والحقيقة هي أنه لا يمكن استنباط أي شيء من هذه الجملة.
وذلك لأن استخدام الجهاز يختلف من واحد إلى الآخر،
الذي أريد قوله هو أن حظوظ إصابة جهاز شخص ما يمضي جل وقته في تحميل الملفات والبرامج دون التثبت من المصدر ويزور المواقع المشكوك بها طيلة الوقت ولديه أقوى المضادات، هي أكبر ممن يستعمل جهازه استعمالا محدودا ويتجنب تثبيت أول برنامج يقع بين يديه ولو بمضاد فيروسات يمكن تسميته ب"ضعيف".
كما يعلم بعض الإخوة فإن لي صولات وجولات في بعض المنتديات الغربية الخاصة بمكافحة الفيروسات (وذلك لمحاولة تطوير مجال التأمين في دولنا الإسلامية) ولله الحمد، مما يمكنني من الاضطلاع على الكثير من البرامج الضارة الجديدة، والتي لم يتم بعد إضافتها إلى قواعد بيانات المضادات، ليتم التعرف عليها وحذفها أو عزلها من قبل المضاد.
وبعد فحص هذه الملفات والبرامج الضارة بواسطة مواقع الفحص التي تقوم بفحص الملف باستعمال الكثير من المضادات، وإعطاء نتيجة فحص كل منها كالموقع الذي يعرفه جل المهتمين بهذا المجال وهو:
http://www.virustotal.com
هذه الفحوصات تمكن من معرفة مستوى رصد مضادات الفيروسات، وردت فعل مبرمجي هذه المضادات حيال الأخطار الحديثة.
تمكننا أيضا هذه الفحوصات من استنتاج مستوى التحري عند المضاد، للتذكرة هذه طريقة عمل المضادات :
إذا كان الفيروس معروفا، فإن رصده يقوم على معرفة بصمته، يعني أن متتالية كتابة برمجة الملف الخبيث تمكن المضاد من معرفة ما إذا كان ينتمي لملفات تشغيل هذا الفيروس أو ذاك.
وهذا هو سبب تسابق مبرمجي المضادات لملئ قواعد بيانات مضاداتهم من خلال التحديثات وذلك لإضافة بصمات الفيروسات الجديدة.
رغم كثرة وسائل الرصد عند المضادات فإنها تستند أساسا على هذه الخاصية، ولذلك أنصح دائما بالتأكد من وجودها في المضاد المتواجد بالجهاز.
إذا كان الفيروس غير معروف، يمكن للمضاد تحديد ما إذا كان الملف المفحوص فيروسا أم لا بواسطة خاصية التحري، بعد فحص الملف يمكن للمضاد تهمة الملف أو تبرئته حسب شكل برمجة الملف، دون الحاجة لتواجد بصمته في قاعدة بيانات المضاد.
هذا النوع من الرصد لا يصيب دائما وهو معرض للخطأ وذلك باعتبار بعض الملفات المسالمة كخطيرة، لذلك فيجب الحذر تجاهه.
هناك أيضا الكثير من الوسائل الأخرى التي تستعملها مضادات الفيروسات للرصد والعلاج سأتطرق إليها بإذن الله في موضوع آخر.
وسائل انتشار البرامج الضارة كثيرة منها الملفات الملغمة المنتشرة في شبكة التحميل P2P(Kaza, Emul, Sharizza…)
الكراكات، الملفات المحملة من المواقع المشبوهة سواء برضاك وذلك بعد إخفائه وسط أحد الملفات، أو من دون رضاك وذلك باستغلال أحد هفوات الويندوز وزرع الملف داخل الجهاز بمجرد زيارة الموقع المشبوه (كما كان الحال بالنسبة لموقع أخبار اليوم الشهر الماضي تحذير مهم).
البرنامج الخبيث يثبت عادتا باستعمال ما يسمى "المحقنة"، وهو ملف يقوم بحقن الفيروس داخل النظام، تم إنشاء هذا الملف (المحقنة) بعناية تامة ليتمكن من تغليف الفيروس وإخفائه بطريقة يصعب من خلالها رصد هذا الأخير (غلبا تشفير الملف بعدة طرق).
إذا رصد المضاد المحقنة فقد انتهى الأمر، فسيتم إيقاف الملف قبل حقنه بالنظام.
إذا لم يتم رصد المحقنة وتم الحقن فقد انتهى الأمر كذلك ولكن أي أمر، انتهى أمر الجهاز وذلك لأن :
لأنه سيتم تثبيت العدوى في الجهاز، وغالبا لا يستطيع المضاد إزالتها (هذا إذا استطاع تحديد مكان كل أطرافها)، وردة فعلك الوحيدة ستكون فحص جهازك بعدد هائل من برامج الحماية، والنتيجة لا تكون دائما مفرحة.
حاليا يستعمل مبرمجو الفيروسات أكثر فأكثر ما يسمى بالغوتكيتس rootkits بخلاصة هي برامج تستطيع الاختباء داخل النظام (مستحيل أن ترى سواء في إدارة مهام الجهاز، داخل الأقراص...)، داخل البرامج، أو حتى داخل المضادات نفسها. لرصد هذا النوع يلزم استعمال فاحص للروتكيتات وأشياء أخرى وذلك لاختلاف تقنيات هذا النوع من العدوى.
(بعض الروتكيتات المعروفة rootkit Pe386، Gromozon/LinkOptimizer ، Trojan/DNS والأكثر شهرة Magic.Control)
في الوقت الذي أكتب فيه هذه المقالة مبرمجو المضادات متأخرون جدا بالنسبة لرصد هذا النوع من الإصابات.
في الوقت الذي أكتب فيه هذه المقالة مبرمجو المضادات متأخرون جدا بالنسبة لرصد هذا النوع من الإصابات. ولقد بدأو للتو ببرمجة مضادات خاصة بهذا النوع أذكر مثلا :
- AVG AntiRootkit
Panda Anti-Rootkit -
McAfee Avert Labs Rootkit Detective Beta
والأكثر تطورا في هذا المجال هو gmer
أيضا هناك من بدء بزرع هذا النوع من الفاحصات بمضاد الفيروسات كشركة F-Secure وذلك في F-Secure Internet Security 2007مثلا.
للرجوع إلى الفحوصات التي بدأنا بها الموضوع، فقد وجدت أن خاصية التحري التي تكلمت عنها مسبقا متطورة جدا في مضاد الفيروسات Antivir لشركة Avira .
عندما لا نجد بصمة الفيروس في قاعدة بيانات المضاد فإن هذه الخاصية تملأ هذا الفراغ بشكل فعال جدا.
في الوجه المقابل مضاد الفيروسات Avast خيب أملي.
Avast من المضادات المجانية الكثيرة الانتشار، وطالما وجدته مثبتا في الأجهزة المصابة.
بالنسبة لي فأنا أنصح باستعمال المضاد Antivir لشركة Avira أولا لكفاءته وثانيا لكونه مجانيا 100%،
في الأسفل ستجدون مباراة لبعض المضادات المعروفة، بطبيعة الحال لا يمكننا أن نقرر أفضلية مضاد بالنسبة للآخر بمجرد امتحانهم بعدد محدود من الملفات الخبيثة، لأنه ربما يكون المضاد الأفضل بالنسبة للملفات المختارة فقط، وكلما كبر عدد الملفات الخبيثة في الامتحان كلما كانت النتيجة أقرب إلى الواقع.
يمكنكم إذا زيارة هذا الموقع (باللغة الإنجليزية) للاضطلاع على المباريات التي أجريت للمضادات باستعمال عدد أكبر من البرامج والملفات الخبيثة:
http://www.av-comparatives.org/seiten/comparatives.html
(هام : الامتحان الأول كان في سنة 2004 يجب النزول للأسفل للاضطلاع على المباريات الحديثة)
للمزيد من التوضيح حول هذه المباراة، أقول بأن الملفات الخبيثة المستعملة في هذه المباراة والتي تم جمعها من المنتديات العالمية للحماية:
· هي ملفات ناتجة عن إصابات حديثة، الإصابات الحديثة هي الأكثر خطورة لأنها تكون صعبة الرصد من قبل المضادات وذلك لأن المبرمج لا يكون قد إضافتها بعد إلى قاعدة بيانات بصمات الفيروسات لدى المضاد.
· هذه المباراة تظهر مدى فعالية المضاد بالنسبة للفيروسات المنتشرة في زمن المباراة والتي يشتكي منها أغلب المتضررين.
يمكنكم ملاحظة أنه لكل مباراة تاريخ، وأنه عادتا ما تكون الملفات قد جمعت خلال الشهر الذي يسبق تاريخ المباريات، وسأحاول بإذن الله وضع آخر الإحصائيات بعد كل شهر أو شهرين.
وهذه هي الإحصائيات :
استعمل في هذه المباراة 840 فحص، التاريخ: الأحد 30 سبتمبر 2007.
· مضاد الفيروسات Antivir
اكتشف 512
ولم يكتشف 334
· مضاد الفيروسات Avast
اكتشف 135
ولم يكتشف 704
· مضاد الفيروسات BitDefender
اكتشف 282
ولم يكتشف 557
· مضاد الفيروسات Kaspersky
اكتشف 259
ولم يكتشف 580
· مضاد الفيروسات Norton Symantec
اكتشف 149
ولم يكتشف 670
· مضاد الفيروسات Sophos
اكتشف 233
ولم يكتشف 592
· مضاد الفيروسات McAfee
اكتشف 141
ولم يكتشف 685
· مضاد الفيروسات Prevx1
اكتشف135
ولم يكتشف 278
· مضاد الفيروسات Microsoft
اكتشف 111
ولم يكتشف 715
· مضاد الفيروسات F-Prot
اكتشف 84
ولم يكتشف 759
· مضاد الفيروسات Ewido
اكتشف 114
ولم يكتشف 700
· مضاد الفيروسات DrWeb
اكتشف 209
ولم يكتشف 617
· مضاد الفيروسات AVG
اكتشف 172
ولم يكتشف 666
· مضاد الفيروسات Panda
اكتشف 458
ولم يكتشف 382
أضيف نقطة هامة جدا بالنسبة لهذا المضاد وهي خفة استعماله وذلك لكونه لا يحتاج إلا لجزء بسيط من ذاكرة الجهاز.
السلبية الوحيدة التي أجدها في هذا المضاد هي أنه لا يفحص الرسائل الإلكترونية، وقد تجاوزت هذه السلبية لأربعة أسباب :
· أولها:أن أغلب الإخوة لا يستعمل الصناديق الإلكترونية المحلية والتي تضع الرسائل مباشرة في جهازك.
· ثانيها: أن شركات صناديق البريد الإلكترونية أصبحت تتسابق لتأمين بريدها وإيقاف استعماله في إرسال الرسائل الملغمة، وقد لاحظ أكثركم هذا في الشهور الأخيرة خصوصا منخرطي شركة Hotmail
· وثالثها: أن استعمال الرسائل الإلكترونية كوسيلة للعدوى قد بدء ينقص شيئا فشيئا.
· رابعها : أن هذا المضاد لا يملك القدرة على رصد البريد الملغم فقط عند وصوله، ولكن يملك كل القدرة على رصده عند فتح البريد وقد تم تجربة هذه الخاصية وذلك بوضع فيروس Eicar كملف مرفق داخل إحدى الرسائل الإلكترونية وقد تم رصده من قبل المضاد عند محاولة فتح الملف المرفق.
:SnipeR (92)::SnipeR (92)::eh_s(15):