از کجا و چگونه بفهمیم فایلی که دانلود کردیم ویروسی هست یا نه؟

6, 2, 1389

دیگر مطالب, معرفی سایت و وبلاگ, معرفی سرویس, نرم افزار

* این پست، به جهت سالروز تولد عزیزترین دوست و برادر دنیا، همراه این سالهای اخیرم، به آقای رفیق، با احترام تقدیم می‌شود. شاید شما ندانید، اما مسلما ایشان به خوبی می‌دانند، که قادر به بیان ذره‌ای از شادمانی خود در این روز عزیز، نیستم، پس وقت شما را نمی‌گیرم و از شما می‌خواهم به ادامه خواندن این پست ویژه، بپردازید :)

با سریعتر شدن دسترسی به اینترنت، یکی از مواردی که با رشد چشمگیری روبرو می‌شود، میزان دانلود فایل از این شبکه فوق پهناور است. هکرها این نکته را به خوبی می‌دانند و از این بستر برای پخش کردن ویروسهای مخربشان استفاده می‌کنند.
این است که همواره کارشناسان امنیتی، فایل‌های دانلود شده از اینترنت را، فایل‌هایی بسیار پرخطر برمی‌شمرند. اما بسیار هم دیده می‌شود که فایلهای دانلود شده واقعا هم آنقدر خطرناک نیستند. حتی آنهایی که از طریق سایت‌های دانلود رایگان به دست ما می‌رسد هم ممکن است ویروس نباشند. هر چند که توسط آنتی ویروس ما به عنوان ویروس شناخته شوند!

در این مقاله یک سرویس را به شما معرفی می‌کنیم که به سادگی به شما می‌گوید آیا فایلی که دانلود کرده‌اید ویروس است یا حاوی ویروس هست یا نه؟ این سرویس زمانی که آنتی ویروس شما یک فایلی را به عنوان ویروس می‌شناسد ولی شما فکر می‌کنید که آن فایل ویروس نیست هم به شما کمک می‌کند.
فکر می‌کنم شمایی که این روزها دست به دانلودتان بالاست، به این سرویس نیاز زیادی داشته باشید :)

مثبت کاذب ( False Positive ) چیست؟ و چگونه می‌تواند خطرساز شود؟
فالس پوزیتیو یک اتفاق است که امکان وقوعش کم هم نیست! توی این اتفاق آنتی ویروس یا آنتی تروجان یا هر برنامه امنیتی که ممکن است ما به آن اعتماد داشته باشیم اشتباه می‌کند.
چند وقت پیش اگر یادتان باشد مک‌آفی یک به روز رسانی اشتباه داشت که دخل سیستم کاربرانش را آورد. دم عیدی هم کاربران bitDefender اگر یادتان باشد خیلی به مشکل خوردند. امیر به عنوان یکی از این کاربران توضیح داده است جریان خودش را و توضیح داده است که خیلی‌ها مجبور شدند سیستم عاملشان را عوض کنند.
در حقیقت خطر مثبت کاذب چی است؟ این است که ممکن است فایلهای ویندوزی یا مهم‌تان را پاک یا قرنطینه کند و شما به آن فایل‌ها دسترسی نداشته باشید. معمولا کم پیش می‌آید این جوری، ولی اگر پیش بیاید شما باید بدون هیچ دلیلی با بسیاری از فایلهایتان خداحافظی کنید.

مثبت کاذب چرا اتفاق می‌افتد؟
توضیح این که چرا سیستم امنیتی ما ( مثلا آنتی ویروس ) باید اشتباه کند خیلی ساده نیست. نرم‌افزارهای امنیتی، عموما نرم‌افزارهای پیچیده‌ای هستند.
اما یک توضیح ساده اگر بخواهیم بدهیم این طور باید توضیح بدهیم که نرم‌افزارهای امنیتی یک سری کدنویسی‌ها را شناسایی می‌کند که توی ویروسها مشاهده می‌شوند. آنها می‌گردند توی فایلها را که ببینند آیا آن فایلها این کدها را در خودشان دارند یا نه؟ اگر داشته باشند به احتمال زیاد ویروس هستند ( که آنتی ویروس آنها را قرنطینه می‌کند ) یا اینکه به اثبات رسیده است که آنها ویروس هستند ( و آنتی‌ویروس آنها را پاک می‌کند ).
مشکل «معمولا» وقتی خیلی حاد می‌شود که این رشته کدها توی فایلهای سالم هم زیاد باشند. آن وقت است که هزاران فایل، از جمله فایل‌های مهم ویندوزی هم ممکن است به عنوان ویروس شناخته بشوند.
این اطلاعات را از این نوشته لایف‌هکر عمدتا گرفتم، که کاربرانش زیاد ایمیل می‌زنند و شکایت می‌کنند که فایلهایی که از لایف هکر دانلود کرده‌اند ویروس داشته است. اما مسئولان این سرویس مدعی هستند در این 5 سال، یک مورد هم فایلی حاوی ویروس برای دانلود ارائه نکرده‌اند.
نامگذاری جالب این اتفاق ( فالس پوزیتیو ) هم برای شخص من خیلی جالب بود. دقت کرده‌اید که اگر حاوی ویروسی باشید، آزمایشگاه می‌گوید نتیجه آزمایشتان مثبت است؟ این مثبت کاذب از همان‌جا آمده است.

حالا چی کار می‌شود کرد؟
پاسخ خیلی ساده است. شما فرض کنید یک فایلی را ضدویروس‌تان به عنوان ویروس شناسایی کرد. شما مطمئن نیستید که آیا واقعا ویروس هست یا نه؟ یا دوست دارید مطمئن‌تر بشوید که فایلی که دانلود می‌کنید ویروس نیست؟ یا وقتی AntiVirus در دسترس نیست چگونه می‌توان مطمئن شد فایلی ویروسی هست یا نه؟
برای اینکار کافی است فایلتان را در یک سرویس آنلاین امنیتی آپلود کنید. این سرویس شروع می‌کند به بررسی فایل به صورت آنلاین و نتیجه را آنلاین به شما خبر می‌دهد.
اما سرویسی که امروز معرفی می‌کنیم خیلی عالی‌تر از این حرفهاست. VirusTotal در 40 سرویس آنلاین می‌گردد و فایل شما را به وسیله آنها بررسی می‌کند.

اگر فالس پوزیتیو اتفاق افتاده باشد، قاعدتا باید فقط در یکی دوتا از سرویسهایی که ویروس توتال از آنها استفاده می‌کند، ویروس تشخیص داده بشود و در 38-39 سرویس دیگر مشکلی وجود نداشته باشد. این جوری می‌توانید بفهمید که آیا مثلا فلان فایل ویندوزی شما که توسط آنتی‌ویروس به عنوان ویروس شناخته می‌شود، ویروس هست یا خیر؟
در ثانی اگر ویروسی تازه منتشر بشود، چون ویروس توتال از 40 موتور امنیتی مختلف استفاده می‌کند، شانس این که توسط ویروس توتال از وجود آن مطلع بشویم خیلی بهتر است. بد نیست فایلهای مشکوکی که از اینترنت دانلود می‌کنید را یک بار در این سرویس بررسی کنید.
ثالثا بدیهی است که همه جا دسترسی به آنتی ویروسمان نداریم. آن وقت‌ها می‌شود به راحتی با یک سرویس آنلاینی مثل ویروس توتال رفت توی دل ویروسها :)

چطوری از ویروس توتال بهتر استفاده کنیم؟
با یک ابزار بسیار ساده و سبک. VirusTotal Uploader به شما اجازه می‌دهد که با یک کلیک راست، فایل را مستقیما برای ویروس توتال بفرستید. خوبی این روش این است که شما هیچ کاری نمی‌کنید. همه چیز اتوماتیک برای سایت فرستاده می‌شود و بررسی می‌شود و نتیجه‌اش برای شما می‌آید :)

یک خوبی فوق‌العاده این روش دارد. شما همیشه نیاز نیست منتظر بمانید. در حقیقت هر ویروس یک شناسه یکتا دارد. فقط کافی است آپلودر بعد از این که شما درخواست بررسی دادید، بگردد و ببیند آیا شناسه یکتایی که برای ویروسها، در بانک اطلاعاتیش دارد را در فایل شما هم می‌بیند یا نه؟
متوجه نشدید؟ وقتی فایلی را می‌خواهید بررسی کنید، اگر واقعا ویروس باشد و قبلا نمونه مشابهی از آن دیده شده باشد، بدون این که آپلود کند به شما می‌گوید که این فایل ویروس است.
اگر هم تا به حال نمونه آن آپلود نشده باشد، که آپلود می‌کند و بررسی می‌کند که ببیند ویروس هست یا نه؟ با این وضع اینترنت ما، این امکانی عالی است چون لازم نیست هر بار که به شک افتادیم فایل را آپلود کنیم. اگر ویروس باشد قبل از آپلود به ما اطلاع می‌دهد :)

امیدوارم این سایت عالی به درد شما هم بخورد. یک نکته دیگر را که باید یادآوری کنم و ممکن است برای شما سوال باشد هم این است که پس با وجود این سایت چه نیازی به نرم افزار است؟ چرا باید نرم افزار آنتی ویروس را در سیستم نصب کنیم که سرعت سیستممان هم پایین بیاید؟
پاسخ ساده است. این سایت وقتی فایلی را بررسی می‌کند که شما بخواهید. ولی آنتی ویروسها بدون دخالت شما و در تمام لحظات این کار را می‌کنند. ممکن است شما هیچ وقت به فایلی مشکوک نشوید و با این سرویس آن را چک نکنید. اما آنتی‌ویروس این حرفها حالیش نیست و هر فایلی ببیند بررسی می‌کند. به همین خاطر است که انتخاب یک آنتی‌ویروس مناسب نیاز هر کاربر کامپیوتری عاقلی است :)
+ 5 آنتی ویروس برتر برای حفاظت از کامپیوتر شما

* تولدت مبارک آقای رفیق :)

antivirus, آنتی ویروس, دانلود, دانلود رایگان, نرم افزار, ویروس

شما هم به جمع هزاران مشترک یک فتحی بپیوندید

به شما توصیه می‌کنیم اولین کسی باشید که مطلب بعدی ما را می‌خوانید. برای این کار توصیه می‌کنیم مشترک فید این سایت شوید. این راهنما می‌تواند به شما کمک کند. علاوه بر هزاران نفر مشترک ما، حدود هزاران نفر هم هر روز صبح جدیدترین مطلب ما را در ایمیل خود می‌خوانند. ایمیل خود را وارد کنید تا شما هم به ما بپیوندید

← 10 قدم کوچک برای داشتن یک سیاره خیلی خوشگل‌تر [روز زمین]

چگونه در چهار مرحله در عکاسی پیشرفت کنیم؟ [پست مهمان] →

37 نظر برای “از کجا و چگونه بفهمیم فایلی که دانلود کردیم ویروسی هست یا نه؟”

وارش
6, 2, 1389
تولد آقای رفیق مبارک :)
کاش یکمی بیشتر توضیح میدادین برای کار با این سرویس و چگونگی دریافت نتیجه و …

تیتر مطلب یه چیز کلی رو میرسونه. شاید باید مینوشتید: معرفی یک سرویس برای اینکه بفهمیم فایل ویروسی هست یا نه!

پاسخ به این نظر
فتحی Reply:
اردیبهشت 6م, 1389 at 2:48 ب.ظ
@وارش, کلا درست می‌گویی وارش جان. قضیه این است که می‌خواستم چندین سوال را سعی کنم با هم پاسخ بدهم و برای همین تیتر مطلب این جوری شد :)

پاسخ به این نظر
وارش
6, 2, 1389
یکی از فایل هایی که از یه بانک گرفتم رو تست کردم،3 درصد ویروسی بود

پاسخ به این نظر
سینا جامی
6, 2, 1389
سلام.
آقا جان! جنگل مدرن هزارتویی شده است این دنیای مجاز، آدم به تصویر خودش هم توی آینه شک می‌کند.

پاسخ به این نظر
حسین میری
6, 2, 1389
خیلی جالب بود
لینک شد در گویاآی‌تی

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 1:11 ب.ظ
@حسین میری, مرسی حسین جان :)

پاسخ به این نظر
Natilous
6, 2, 1389
سلام .. ممنون آقای فتحی
لطفا در مورد تفاوت های هکر (Hacker) و کرک (Cracker) هم مطلبی بنویسید تا تفاوت بین هکرها و کرکرها روشن شود ..
با تشکر

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 1:11 ب.ظ
@Natilous, چشم. مرسی از پیشنهاد سوژه. به زودی زود می‌نویسم. :)

پاسخ به این نظر
یک دختر اسفند
6, 2, 1389
دقیقا این سوالی که آخرش مطرح کردین برام سوال شد ، یهو دیدم جوابش رو دادین :دی
مرسی :)
تولد آقای رفیقتون هم خیلی مبارک :)

پاسخ به این نظر
شیخ شهر
6, 2, 1389
ببینم یعنی مشکل حقوقی برای این سایتی که شما گفتید ایجاد نمی شه که داره از موتور این همه آنتی ویروس استفاده می کنه
آخه این آنتی ویروس ها همشون یک همچین سیستمی دارن برای اسکن آنلاین

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 12:49 ب.ظ
@شیخ شهر, فکر نمی‌کنم چون این یک سرویس خیلی مشهور است. وقتی بهش اجازه ندهند که از یک موتور امنیتی استفاده کنه، اون وقت ملت نمیگویند که اجازه ندادند که. می‌گویند آدم حساب نکرده :)

در ثانی فرض کنید یک ویروسی باشد و فقط یکی دو تا آنتی‌ویروس بتوانند کشفش کنند. آن وقت این سرویس کلی باعث سر و صدا کردن آن آنتی ویروس هم می‌شود که یک تبلیغ عالی است

پاسخ به این نظر
یه آدم معمولی
6, 2, 1389
سلام عرض شد جناب فتحی،راستش یه خواهشی دارم هرچند بی جا و بی ربط وایناس اما نشون دهنده ی استیصال منه…
میگم شما که خیلی سردر میاری میفرماید من واسه تنها وبلاگم تو بلاگر فیل تر شده دقیقا چه خاکی به سرم بریزم؟
دیگه از پست جدید و اینا خبری نیست قطعا،فیل تر شکن؟یا…یا چی؟یه راهنمایی بکنید لطفا من فلک زده رو
و البته نگید که اگه تو وردپرس بودی این دردسرها رو نداشتی(آیکن گریه ی یه دختر لوس که دفتر خاطراتشو ازش گرفتن)

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 12:51 ب.ظ
@یه آدم معمولی, از من می‌شنوید سوییچ کنید روی هاست شخصی. یک وبلاگ درست و درمان راه بیاندازید ( خواستید خودم کمکتون می‌کنم کلا ) و بدون این دردسرها برای همیشه وبلاگ بنویسید :)

* مسلما من در زمینه بلوکه شدن سرویسی نمی‌توانم نظر بدهم :) در ضمن خودتون خیلی سر در میارید. من که چیزی حالیم نیست :)

پاسخ به این نظر
یک شیرفروش
6, 2, 1389
همین که در اکثر موراد لازم به آپلود کل فایل نیست برای ما ایرانی ها کلی ارزش دارد

پاسخ به این نظر
afshin
7, 2, 1389
واقعا ممنون. یکی از بهترین مطالب آموزشی که تا حالا خوندم بود. از این مفید تر نمی شد. مرسی برای sharing :)

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 12:28 ب.ظ
@afshin, خواهش می‌کنم :)

پاسخ به این نظر
پیاز وبگرد
7, 2, 1389
سلام.آقا فتحی سرچ وبلاگتون برای من جواب نمیده.دنبال یه مطلب خاص هستم اما از توی آرشیو موضوعیتونم نتونستم پیداش کنم.خواستم یه آپلود سنتر پرسرعت و یه فشرده کننده ی عکس کمپسور پی دی اف بم معرفی کنید.ممنون

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 1:04 ب.ظ
@پیاز وبگرد, سلام. ببخشید. به زودی این بخش باز هم درست می‌شود.

آپلودسنتر زیاد است. برای چه فایلی می‌خواهید؟ برای نمونه یک نگاه به http://www.mediafire.com بندازید.
برای کم کردن حجم پی‌دی‌اف هم فکر کنم این نرم‌افزار خوب باشد

پاسخ به این نظر
babak
7, 2, 1389
mamnon ke vaght gozahsti in matlab ro tahie kardi vali aksare iraniha dial up daran va estefade az in service ba dial up kheili moshkele,maslan ye file kochik 20 mb ba dial up kheili tol mikeshe ta scan beshe

پاسخ به این نظر
فتحی Reply:
اردیبهشت 7م, 1389 at 1:10 ب.ظ
@babak, برای همین است که می‌گویم عالی است. چون اگر از آپلودر استفاده کنید، قبل از آپلود یک بار چک می‌کنه. اگر فایلی در دیتابیس این سرویس نبود ( و نیاز شد آپلود کنید ) یا ویروس خیلی جدیدی ه یا اصلا ویروس نیست. همانطوری که می‌بینید بدون آپلود هم می‌شود کمی آرامش پیدا کرد که ویروس نیست :)

پاسخ به این نظر
Assassin’s Creed II
7, 2, 1389
مطلب زیبایی بود
امیدوارم که هیچ وقت ویروسی نشوید
:-)

پاسخ به این نظر
nassrt
7, 2, 1389
درود بر تو، مطلبت فوق العاده بود

پاسخ به این نظر
فتحی Reply:
اردیبهشت 8م, 1389 at 7:16 ق.ظ
@nassrt, مرسی. درود بر شما که از کامنت گذاشتن و خوشحال کردن یک وبلاگنویس کوچک دریغ نمی‌کنید :)

پاسخ به این نظر
nassrt
7, 2, 1389
برنامه قبل از آپلود سریعا شناسه فایل را که احتمالا یک شناسه رمزگذاری شده بوسیله md5 یا sha1 یا sha256 هست به سرور ارسال می کند و در صورتی که قبلا در پایگاه داده اش وجود داشته باشد نتیجه ویروسی بودن آن از طریق جستجو در پایگاه داده فرستاده می شود و به کاربر ابلاغ می شود. اگر چنین باشد ممکن است فایلی باشد که قبلا بررسی شده و ویروسی نبوده ولی حالا ویروس شناخته می شود و ضمنا در پایگاه داده سایت هم به عنوان فایل پاک ارزیابی شده است.
آیا این یک ضعف نیست؟

پاسخ به این نظر
فتحی Reply:
اردیبهشت 8م, 1389 at 7:21 ق.ظ
@nassrt, خیر. این سایت، فایلها را در دیتابیسش انبار نمی‌کند. کدها را انبار می‌کند. وقتی فایلی را بررسی کرد و سالم تشخیص داد، اگر آن فایل تغییری بکند و ویروسی بشود، آن وقت یک شناسه یکتای دیگر به آن تعلق می‌گیرد و در دیتابیس با فایل قبلی اشتباه گرفته نمی‌شود.
در ثانی شما برای اطمینان بیشتر هم، با آنتی‌ویروس محلی خودتان هم یک بار چک می‌کنید. هر چند نیازی نیست و احتمالا آنتی‌ویروس شما هم موتور خود را در این سرویس ثبت کرده است.
ثالثا فکر کنم مواردی باشد که شما بتوانید این قابلیت را غیرفعال کنید که در هر حال فایل را یک بار اسکن کند.

پاسخ به این نظر
پیام
7, 2, 1389
قصد داشتم در مورد اسکنر آنلاین کاسپرسکی در وبلاگم بنویسم که حالا شما این مطلب 40 برابر کامل رو نوشتید.
ممنون، و تولّد دوست‏تان مبارک.

پاسخ به این نظر
فتحی Reply:
اردیبهشت 8م, 1389 at 7:15 ق.ظ
@پیام, الته نوشته ابروبلاگنویسی مثل پیام، چیز دیگری است :)

پاسخ به این نظر
ali
7, 2, 1389
سلام،
سئوالی درباره⁯ی گوگل ریدر داشتم، اگر لطف کنید پاسخ بدهید خیلی خیلی ممنون می⁯شوم.
گوگل ریدر پست⁯های جدید وبلاگی را نه در تاریخ درست⁯اش (مثلاً این آخری⁯ها باید در 2010 نمایش داده شود) بلکه در تاریخ 2009 نمایش می⁯شود، در واقع یک⁯جورهایی به⁯هم ریخته و پست⁯ها پس و پیش نمایش داده می⁯شوند (مشکل فقط در مورد همین یک وبلاگ است). مشکل چطور برطرف می⁯شود؟
بی⁯نهایت ممنون.

پاسخ به این نظر
فتحی Reply:
اردیبهشت 8م, 1389 at 7:23 ق.ظ
@ali, سلام. آدرس فید را می‌شود به من بدهید؟ به احتمال قریب به یقین مشکل از فید است.
البته یک خواهش کوچولو هم داشتم. لطفا این جور مشکلات را از طریق ایمیل پیگیری کنید. خدا وکیلی زیر یک پست امنیتی مشکل گوگل‌ریدری یک چیز عجیب است :)

پاسخ به این نظر
homan
8, 2, 1389
salam

پاسخ به این نظر
فتحی Reply:
اردیبهشت 8م, 1389 at 7:13 ق.ظ
@homan, سلام :)

پاسخ به این نظر
Memorialist
8, 2, 1389
سلام :
اول اینکه تولد آقای رفیق مبارک . انشالله 120 ساله بشن .
دوم اینکه واقعا دستتون درد نکنه ! من با بیت دیفندرم همین مشکل رو داشتم ! مثلا یک سی دی اوریجینال می ذارم تو سی دی رامم بعد می گه ویروس داره نمی شه بریزیش و منم مجبورم برم هزار تا کار بکنم تا بالاخره درست شه !
سایته واقعا بدرد بخوره . برنامه اش رو هم حتما دانلود می کنم .
موفق باشید :)

پاسخ به این نظر
سوده
8, 2, 1389
سلام.وبلاگ بسیار خوبی دارید.تبریک میگم.
سبک نوشتاری وبلاگتان رو خیلی می پسندم.فکر کنم از این به بعد مشتری پروپا قرص وبلاگتان شوم.
موفق باشید..

پاسخ به این نظر
فتحی Reply:
اردیبهشت 10م, 1389 at 11:10 ق.ظ
@سوده, لطف می‌کنید :) امیدوارم مشترک بشوید تا برای خواندن مطالب به زحمت نیافتید

پاسخ به این نظر
mhkh
8, 2, 1389
با سلام و تشکر از مطلب خوبتان.
در ضمن با این سرویس می توان اتچمنت ایمیلهایی که به دستمان می رسد را بدون اینکه دانلود کنم، از نظر ویروسی بودن بررسی کنیم. برای این کار کافیست ایمیل حاوی اتچمنت خود را به scan@virustotal.com فوروارد کرده و در قسمت موضوع ایمیل(subject)بنویسید SCAN. پس از چند دقیقه ایمیلی حاوی گزاش فایل ارسالی به دست شما میرسد.

پاسخ به این نظر
فتحی Reply:
اردیبهشت 10م, 1389 at 11:10 ق.ظ
@mhkh, من این را نمی‌دانستم. عالی بود :)

پاسخ به این نظر
mr
9, 2, 1389
شکرا جزیلا

پاسخ به این نظر