Home

Friday, 8 July 2011

Bagaimana Perisian Antivirus Berfungsi

Bagaimana Antivirus Melakukan Kerjanya?

Sebuah perisian antivirus biasanya menggunakan pelbagai strategi dalam mengesan dan menghilangkan virus, worm dan program malware yang lain. Berikut ini adalah dua kaedah pengenalan yang paling banyak digunakan:


1. Pengesanan Berasaskan Signature Detection (Pendekatan Kamus)

Ini adalah kaedah yang paling umum digunakan yang melibatkan mencari pola yang dikenali virus dalam fail yang diberikan. Setiap perisian antivirus akan memiliki kamus kod malware sampel disebut tanda tangan (signature database) dalam database itu. Setiap kali sebuah.. (klik "read More")

file diperiksa, antivirus merujuk pada kamus kod sampel yang ada di dalam database dan membandingkan dengan fail pada saat itu. Jika potongan kod dalam fail sesuai dengan yang di dalam kamus maka ia ditandai dan tindakan yang tepat diambil untuk menghentikan virus sebelum replikasi lebih jauh. Antivirus boleh memilih untuk memperbaiki fail tersebut, kuarantin atau memadamnya secara kekal berdasarkan potensi risiko virus itu.

Apabila virus baru dan malwares dicipta dan dikeluarkan setiap hari, kaedah pengesanan tidak dapat membela dan melawan malwares baru kecuali sampel mereka dikumpulkan dan tanda tangan yang baru dikeluarkan oleh syarikat perisian antivirus. Beberapa syarikat juga boleh mendorong pengguna untuk meng-upload virus baru atau variasi (variants), sehingga virus dapat dianalisis dan tanda tangan boleh ditambah ke dalam kamus.

Pengesanan berasaskan signature database boleh jadi sangat berkesan, tetapi memerlukan kita untuk sering update dari kamus virus signature database. Oleh kerana itu pengguna harus mengemas kini perisian antivirus mereka secara teratur sehingga dapat bertahan terhadap ancaman baru yang dikeluarkan setiap hari.


2. Pengesanan Berasasan Heuristik (Pendekatan Terhadap Perilaku Mencurigakan)

Pengesanan berasaskan Heuristik melibatkan pengenapastian perilaku yang mencurigakan dari setiap program tertentu yang mungkin menunjukkan risiko berpotensi. Pendekatan ini digunakan oleh beberapa software antivirus canggih seperti ESET NOD32 ANTIVIRUS dan ESET NOD32 SMART SECURITY untuk mengenalpasti malware baru dan variasi malware yang dikenali. Berbeza dengan pendekatan yang berpusat kepada tanda tangan, di sini antivirus tidak mencuba untuk mengenal pasti virus yang dikenali, melainkan memantau perilaku semua program.

Misalnya, perilaku berbahaya seperti sebuah program cuba untuk menulis data ke program eksekusi, ditandakan dan pengguna diperingatkan tentang tindakan ini. Kaedah pengesanan memberikan tambahan tahap keselamatan daripada ancaman yang tidak diketahui.

Fail emulasi: Ini adalah jenis lain dari pendekatan berasaskan heuristik di mana program tertentu dijalankan dalam persekitaran maya dan tindakan yang dilakukan olehnya direkodkan. Berdasarkan tindakan login, perisian antivirus dapat menentukan sama ada program ini berbahaya atau tidak dan melakukan tindakan yang diperlukan dalam rangka untuk membersihkan jangkitan.

Kebanyakan software antivirus komersial menggunakan kombinasi pendekatan keduanya berasaskan signature dan heuristik ntuk memerangi malware.





Isu yang menjadi perhatian




Zero-day threats: Hari Ancaman atau Serangan sifar adalah di mana malware cuba untuk mengeksploitasi kelemahan aplikasi komputer yang belum dikenalpasti oleh syarikat perisian antivirus. Serangan ini digunakan untuk menyebabkan kerosakan pada komputer bahkan sebelum mereka dikenalpasti. Kerana patch belum dikeluarkan untuk ancaman baru, ia dengan mudah dapat mengelakkan perisian antivirus dan melakukan tindakan jahat. Namun sebahagian besar ancaman dikenalpasti selepas satu atau dua hari ia dikeluarkan, tapi kerosakan yang disebabkan oleh ia sebelum pengenalan tanda tangan (signature identification) tidak dapat dielakkan.

Daily Updates: Sejak virus baru dan ancaman dikeluarkan setiap hari, hal ini sangat penting untuk mengemas kini perisian antivirus untuk menjaga definisi virus yang sentiasa dikemaskini. Kebanyakan perisian akan mempunyai ciri-ciri auto-update sehingga definisi virus diupdate setiap kali komputer disambungkan kepada Internet.

Keberkesanan: Walaupun perisian antivirus dapat menangkap hampir setiap malware, hal ini masih belum 100% sangat kebal terhadap segala macam ancaman. Seperti dijelaskan sebelum ini, ancaman zero-day dengan mudah dapat melewati perisai pelindung (protective shield) dari perisian antivirus. Juga penulis virus telah mencuba untuk tetap selangkah di depan dengan menulis kod virus "oligomorphic", "polimorfik" dan "metamorfosa", yang akan meng-enkripsi (melindungi) sebahagian daripada diri mereka sendiri atau mengubah diri mereka sebagai kaedah menyamar, sehingga tidak menyamai tanda tangan virus dalam kamus.

Dengan demikian pendidikan pengguna sama pentingnya dengan perisian antivirus, pengguna harus dilatih untuk amalan kebiasaan surfing aman seperti men-download file hanya dari tapak laman yang dipercayai dan tidak membabi buta melaksanakan program yang tidak diketahui atau diperolehi daripada sumber yang tidak dipercayai.

No comments:

Post a Comment