Zughekker

Mi lehet a közös a víruskereső programok működésében, a törvényszéki DNS-vizsgálatban és a Harry Potterben? A kérdés ebben a formában feltéve körülbelül olyan hülyén hangzik, mint amikor a South Park című kulturális remek mozifilm változatában Terrance megkérdezi Philipet, hogy "Mit mond a spanyol pap az iráni nőgyógyásznak?", majd válaszként fingik egy oltári nagyot.

Valójában mind a DNS-vizsgálat, mind pedig a víruskereső programok kereső algoritmusainak egy gyakori típusa ugyanazon analógia szerint működik!

Gondolkoztál-e már azon, hogy a jelenleg ismert több százezer számítógépes vírus mindegyikéről hogyan állapítja meg a víruskereső programod minden egyes fájlnál a másodperc törtrésze alatt, hogy tartalmazza-e? Másrészt: ha még elnagyolt becsléssel egy vírus átlagos méretét csak néhány kilobyte-osnak tekintünk, majd azt felszorozzuk a víruskeresők adatbázisaiban tárolt vírusok számával, kiderül, hogy a víruskereső frissítésekor magukat a vírusmintákat tartalmazó ún. vírusdefiníciós fájl óriási nagy, legalább 3-10 gigabyte kellene, hogy legyen. Mégis csupán néhány megabyte összesen! Hogyan?

A szemléletes magyarázat kedvéért gondoljunk bele, hogy ha meg kellene állapítanunk, hogy két teljes kötet betűről betűre ugyanaz-e, hogyan járnánk el! Tételezzük fel, hogy analfabéták vagyunk, de azért szivatásból egy ismerősünk odaadja a teljes Harry Potter-kötetet egy szövegfájl formájában. Emellett kapunk egy másik, valamelyest hasonló, azonos méretű irodalmi szöveget, amit szintén nem tudunk elolvasni, viszont meg tudjuk különböztetni a szöveget felépítő betűket.

Az összehasonlítás persze elvégezhető úgy, hogy sorszámot adunk minden betűnek mindkét szövegben, majd betűről betűre haladva megnézzük, hogy a két szövegben azonosak-e. A feladat megoldható ugyan így is, csak rémesen sok idő alatt, ha eltérés csak a szöveg második felétől van. Sokkal egyszerűbb, ha leleményes analfabétaként a megszámozott betűk közt kiválasztunk néhányat a sorszáma szerint, majd csak azokat hasonlítjuk össze a két szövegben. Ha például megnézzük mindkettőben a 9318. betűt és azt tapasztaljuk, hogy eltérő, biztos, hogy a két szöveg különbözik. Ha viszont azonos, az még nem jelenti biztosan, hogy a két szöveg ugyanaz. Ha már két különböző pozíciójú betűt hasonlítunk össze és azonosnak találjuk őket, szintén lehetnek azonos regények, de már jóval kisebb valószínűséggel. Viszont, ha megnézünk többet, például a 9318; 11284; 19474; 45362; 64527; 11037. betűt és azt találjuk, hogy ugyanazok a betűk vannak mind a két szövegben azonos sorszám alatt, biztosak lehetünk benne, a két szöveg ugyanaz. Ha pedig feljegyezzük, hogy a Harry Potterben a 9318; 11284; 19474; 45362; 64527; 11037. sorszámú betű például rendre "e"; "z"; "t"; "t"; "q" és "s", legközelebb ha egy kötetről meg szeretnénk állapítani, hogy a Harry Potter vagy sem, nem szükséges, hogy meg legyen másolatként a teljes könyv. Elegendő csak ezt a 6 betűt megnézni az adott pozícióban. Abban pedig teljesen biztosak lehetünk, hogy a világon nem létezik még egy olyan szöveg, amire ugyanezek a pozíció-betű-párosok lennének jelen, azaz néhány betűt vizsgálva meg lehet állapítani, hogy a kötet jelen esetben a Harry Potter vagy sem. Persze érdemesebb megtanulni olvasni, de ezzel most nem bonyolítanám a képet.

A számítógépes vírusok, mint bármilyen más lehetséges adatszerkezet, szintén elképzelhető jelek – most konkrétan byte-ok – egymásutánjaként. A régi vírusirtó kereső algoritmusa az előbb leírttal teljesen analóg módon működik. Azaz megnézi (nem feltétlenül kevés, de semmiképp sem az összes) minden fájl esetén az olyan variációkat, amik egy adott vírusra jellemző pozíció-byte-párosok, azaz nem a teljes víruskódot ismeri fel.

Természetesen ahogy a szöveg-összehasonlításnál is csak egy, speciális esetekben alkalmazható (azonosan formalizált szöveg) módszert ismertettem, a víruskereső programok sem csak ezt a módszert alkalmazzák. Sőt! Amit leírtam, a kimondottan régi víruskeresők működésének lényege volt, a mai víruskeresők mindegyike már főként más megoldásokat alkalmaz, mert a 90-es évekhez képest mára a vírusok nagy száma miatt már ez a módszer is túl időigényes lenne, de a példánk szempontjából teljesen megfelelő.

Miután alaposan megszadiztalak benneteket elborultnak tűnő, hipotetikus összehasonlító módszerekkel, szintén egyszerűsítve ismertetem azt a módszert, amit az igazságügyi orvostanban a származás megállapítására sokszor alkalmaznak.

A származás megállapításának rendkívül sokféle módja van, a legegyszerűbbek a klasszikus genetikára és antropológiára alapozó módszerek, itt viszont egy elegánsabb megoldásról lesz szó. A "DNS-vizsgálat" kicsit olyan, mint a "magyar dübörgő gazdaság", azaz mindenki hallott már róla, de senki sem tudja, hogy mit jelent. Persze az előbbi létezik is, az utóbbi pedig nem, de ezt most hagyjuk.

A DNS-vizsgálat azért válhatott az igazságügyi orvostani módszerek egyik gyöngyszemévé, mert elképesztően kevés, akár 0,5 nanogramm (ng=a gramm milliomod részének ezred része) mintából is elvégezhető és az eredmény megkérdőjelezhetetlen az eredet megállapítása szempontjából, hacsak nem egypetéjű ikrekből származó anyagot hasonlítanak össze. A DNS minta lehet akár több ezer éves is, szinte akárhonnan származhat, a magzatvíztől a fogkefén és a felnyalt bélyegen át ki tudja miig. A minta izolálása és tipizálása nem tárgya ennen az írásnak, ezért ezt most kihagyom. Ami minket a DNS-vizsgáló módszerek közül érdekel, a szekvencia polimorfizmusok közt az ún. mitokondriális DNS (mtDNS) hypervariábilis régióinak vizsgálata. A DNS is bizonyos típusú jelek, konkrétan nukleotidok egymásutánjából, azaz szekvenciájából áll. A polimorfizmus szó itt a szekvenciák sokszínűségét jelenti. Az mtDNS pedig az a DNS, ami nem a sejt magjában, hanem a sejtnek az energiatermelő szervecskéjében, a mitokondriumban van. A hypervariábilitás, ahogy a nevéből is kitalálható, azt jelenti, hogy egyénenként nem kicsit, hanem rendkívül eltér az mtDNS jelsorrendje ugyanazon a helyen, azaz régióban különböző egyéneknél.

Az mtDNS-vizsgálat lényegét az eddig leírtakból Ti is kitalálhatjátok. Ennek a régiónak néhány kevés pontján lévő jeleket (nukleotidokat) összehasonlítva egyértelműen megállapítható, hogy a minta adott, ismert mtDNS-sel rendelkező személytől származik-e.

Szemben a magi (nukleáris) DNS vizsgálatával az mtDNS vizsgálata felhasználható olyan minták elemzésében is, amik nem rendelkeznek sejtmaggal (pl. hajszál), rendkívül régiek, így a magi DNS töredezettsége miatt a vizsgálatra már alkalmatlan lenne, vagy a minta, akiével az összehasonlítás történik, nagyon közeli rokoné.

A leírás ismeretterjesztő, ennek megfelelően a tudományos igényességet követelő kötekedéseket kommentként várom!

a mintaillesztés tudományáról:

Reguláris kifejezések mesterfokon

Kimondottan az igazságügyi DNS-elemzéssel kapcsolatban (nem ez, STR módszer) 2 könyvet találtam. Az árából ítélve hülyének is megéri :- )

Statistical DNA Forensics: Theory, Methods and Computation

Forensic DNA Typing: Biology & Technology behind STR Markers