الاستدلال

النظر في الوضع الذي انت مع تحديد مهمة كل العالم من الدرجة الدولية جواسيس انك قد تلتقي ، ولكنك لا يعلمون ما يجب عليهم فعلا تبدو كانها. انت يمكن ان النهج هذا التحدي من خلال تطوير مصفوفه الاولى المدرجه المعروف ان الجاسوس الصفات والنقاط المسنده إليهم على أساس كيف انها تشير بقوة الى التجسس. قاءمتك قد يبدو مثل هذا الشيء :

أ يلبس انيق يناسب او البدله الرسمية (70 نقطة).
يبقى واردا الكوارث وغيرها من الحالات (30 نقطة).
أ بقعة يحرك السياره (80 نقطة).
وقد ابدا سيئا الشعر اليوم (58 نقطة).

القائمة يمكن ان تستمر ، ولكن لك الفكره. اذا كان مجموع النقاط لجميع الافراد يتجاوز قيمة معينة ، انك قد تقرر انه أو انها من المحتمل ان يكون هذا الجاسوس من اي وقت مضى من دون رؤية ولا سيما هذا الجاسوس من قبل. ثم ، يمكنك ان تسأل عن الركوب في سيارة بقعة.

وادراكا من القيود التوقيع على اساس اساليب الكشف ، مضادات البائعين ابتكرت مماثلة الطرق التي تستطيع الكشف عن الفيروسات التي سبق بالغيب إن المعرض بعض الخصائص الهيكليه والسلوكيه. سيمانتك ، على سبيل المثال ، تدعو هذه الميزه من نورتون مضادات المنتج الكلب البوليسي. أ الاستدلال القائم على الكشف عن محرك مسحا ملف لملامح كثيرا ما ينظر اليها في الفيروسات ، مثل هذه :

محاولات للوصول الى قطاع الاحذيه.
محاولات العثور على جميع الوثائق في الدليل الحالي.
محاولات لكتابه الى ملف اكس.
محاولات لحذف محتويات القرص الثابت.

كما الاستدلال ماسحه يدرس الملف ، وعادة ما يسند الى وزن كل الفيروس تشبه الميزه التي تواجهها. واذا كان الملف اجمالى وزن يتجاوز عتبة معينة ، ثم ماسحه ترى انها خبيثة المدونه. اذا ماسحه للمطور يحدد العتبة منخفضه للغاية ، وعندئذ يمكن للمستخدم فيضا من الانذارات الكاذبه. ومن ناحية أخرى ، اذا كان هو مجموعة عتبة مرتفعة جدا ، او اذا كان الفيروس تشبه ملامح لا تحدد بشكل صحيح ، ثم كاشف سيفتقد الكثير من الفيروسات. اما الطريقة ، المستخدم هو حمايه محدودة ما لم الحساسيه هي مجموعة عادل الحق.

هذا الاسلوب لن يكون مفيدا جدا اذا كانت مضادات برمجيات قادرة على كشف البرامج الضاره الا بعد ان الفيروس معارضها التصرفات الخبيثه مثل إصابة البرامج او حذف الملفات. اذا كان هذا هو الحال ، انك قد تحصل على تحذير من مضادات البرمجيات ان يقول ، "النظام الخاص بك للتو تماما يقوضه فيروسا! من الجميل ان يكون لها اليوم. " ورغم ان هذا هو بالتأكيد معلومات مثيرة للاهتمام ، انت بحاجة الى الحصول على انذار قبل البرامج الضاره وقد طريقها مع جهازك. فان هو خدعة لاعرب المشبوه في الملف بطريقة تسمح مضادات البرمجيات لتقدير ما هى الاجراءات التى سوف يقوم الفيروس اذا كان فعلا لديه فرصة لتنفيذه. هذا التحليل يجب ان يحدث قبل ان المدونه التي يديرها. مضادات البرمجيات ينجز هذا الهدف عن طريق محاولة لمحاكاه المعالج من شأنه أن ينفذ البرنامج الذي يحتمل الخبيثه. في حالة تجميع لبرامج شركة انتل x86 آلات ، ويدعو هذا النهج الى محاكاه الملامح الاساسية للمعالج x86. في حالة تشغيل ماكرو متاصله في وثائق مكتب مايكروسوفت ، ويتطلب هذا النهج محاكاه الوظيفة الاساسية للتجهيز تشغيل المحرك.

وبالنظر الى صعوبة موثوق محاكاه أ معالج ، كشف ارشادي النهج أبعد ما تكون عن مضمون. ومن خصوصا تحديا لتقييم اثار الكلي القائم على الفيروسات ، لأن بنيتها وممكنة التنفيذ التدفقات هي اقل بكثير من تلك التي يمكن التنبؤ بها من برامج تجميعها. وكنتيجه لذلك ، فيروس ماسحات ضوءيه لا تعتمد على الاستدلال على النحو النهج الوحيد لاكتشاف الفيروسات - وهم يستخدمون ايضا العز وتقنيه توقيع ، واحيانا كما انها تستخدم سلامة طريقة للتحقق وصف المقبل.

هذا هو مقال ليفي اضافها د. جونسون