التحليل التجريبي هو طريقة لاكتشاف الفيروسات من خلال فحص التعليمات البرمجية بحثًا عن خصائص مشبوهة.
تتضمن الطرق التقليدية لاكتشاف الفيروسات التعرف على البرنامج الضار من خلال مقارنة التعليمات البرمجية لبرنامج ما بالتعليمات البرمجية لأنواع معروفة من الفيروسات التي تمت مصادفتها من قبل وتحليلها وتسجيلها في قاعدة بيانات – تُعرف باسم كشف التوقيع.
وبالرغم من أن طريقة كشف التوقيع مفيدة ولا تزال مستخدمة، إلا أنها أصبحت محدودة أكثر بسبب تطوير تهديدات جديدة توسعت بشكل كبير إبان مطلع القرن وتستمر في الظهور طوال الوقت.
لمواجهة هذه المشكلة، صُمِّم النموذج التجريبي خصيصًا لرصد السمات المشبوهة التي يمكن العثور عليها في فيروسات جديدة غير معروفة ونُسخ معدَّلة من تهديدات قائمة بالفعل بالإضافة إلى نماذج البرامج الضارة المعروفة.
يطور المجرمون الإلكترونيون تهديدات جديدة بصورة مستمرة، والتحليل التجريبي هو أحد الأساليب القليلة المستخدمة للتعامل مع هذا الحجم الهائل من التهديدات الجديدة التي تظهر بشكل يومي.
ويُعدّ التحليل التجريبي كذلك أحد الأساليب القليلة القادرة على مكافحة الفيروسات متعددة الأشكال — وهو مصطلح يُطلَق على التعليمات البرمجية الضارة التي تتغير وتتكيف باستمرار. يتم دمج التحليل التجريبي في حلول أمنية متقدمة تقدمها شركات مثل Kaspersky Labs لاكتشاف التهديدات الجديدة قبل أن تسبب أي ضرر، من دون الحاجة إلى توقيع محدد.
كيف يعمل التحليل التجريبي؟
يستطيع التحليل التجريبي نشر عدد من التقنيات المختلفة. وأحد الأساليب التجريبية، المعروف باسم التحليل التجريبي الثابت، يقوم على تفكيك البرنامج المشتبه فيه وفحص التعليمات البرمجية المصدر الخاصة به. تتم بعد ذلك مقارنة هذه التعليمات البرمجية بالفيروسات المعروفة بالفعل والموجودة في قاعدة البيانات التجريبية. إذا طابقت نسبة معينة من التعليمات البرمجية المصدر أي شيء في قاعدة البيانات التجريبية، تُوضع علامة على التعليمات البرمجية كتهديد محتمل.
يُعرف أسلوب آخر باسم المناهج التجريبية الديناميكية. عندما يعمل العلماء على تحليل شيء مشبوه من دون تعريض الناس للخطر، يقومون باحتواء المادة في بيئة تحت السيطرة مثل معمل آمن ويجرون اختبارات. تشبه هذه العملية ما يحدث في التحليل التجريبي — ولكن في عالم افتراضي.
يعزل البرنامج المشبوه أو جزء من التعليمات البرمجية داخل آلة افتراضية متخصصة — أو آلية تحديد الوصول — ويعطي برنامج مكافحة الفيروسات فرصة لاختبار التعليمات البرمجية ومحاكاة ما كان سيحدث إذا تم السماح بتشغيل الملف المشبوه. يفحص كل أمر عند تفعيله ويبحث عن أي سلوكيات مشبوهة، مثل النسخ الذاتي والكتابة فوق الملفات وغيرها من الإجراءات الشائعة بين الفيروسات.
المشاكل المحتملة
يُعد التحليل التجريبي مثاليًا لتحديد التهديدات الجديدة، ولكن ليكون فعالاً لا بد من ضبط المناهج التجريبية بعناية لتوفير أفضل كشف ممكن عن التهديدات الجديدة من دون إنشاء نتائج إيجابية زائفة للتعليمات البرمجية الآمنة تمامًا.
ولهذا السبب، عادة ما تكون الأدوات التجريبية سلاحًا واحدًا ضمن مجموعة متطورة من أسلحة مكافحة الفيروسات. وعادة ما تُنشر مع أساليب أخرى لاكتشاف الفيروسات، مثل تحليل التوقيع وغيره من التقنيات الاستباقية.
مقالات ذات صلة:
- ما هي برامج الإعلانات المتسللة؟
- ما هو برنامج حصان طروادة؟
- الحقائق والأسئلة المتداولة الخاصة بفيروسات الحاسوب والبرامج الضارة
- البريد الإلكتروني العشوائي والتصيُّد الاحتيالي
منتجات ذات صلة: