Як працює антивірусне програмне забезпечення
Антивірусні програми є потужним програмним забезпеченням, необхідним для комп'ютерів Windows. Якщо ви коли-небудь замислювалися, як антивірусні програми виявляють віруси, що вони роблять на вашому комп'ютері, і чи потрібно виконувати регулярні системні сканування, читайте далі.
Антивірусна програма є невід'ємною частиною багатошарової стратегії безпеки - навіть якщо ви розумний користувач комп'ютера, постійний потік вразливостей для браузерів, плагінів і самої операційної системи Windows робить важливим антивірусний захист важливим.
Сканування при доступі
Антивірусне програмне забезпечення працює у фоновому режимі на вашому комп'ютері, перевіряючи всі відкриті файли. Це, як правило, відоме як сканування під час доступу, фонове сканування, резидентне сканування, захист у реальному часі, або щось інше, залежно від антивірусної програми.
Коли ви двічі клацнете файл EXE, це може здатися, що програма запускається негайно - але це не так. Ваша антивірусна програма спочатку перевіряє програму, порівнюючи її з відомими вірусами, черв'яками та іншими типами шкідливих програм. Антивірусне програмне забезпечення також здійснює «евристичну» перевірку, перевіряючи програми на погані дії, які можуть вказувати на новий, невідомий вірус.
Антивірусні програми також сканують інші типи файлів, які можуть містити віруси. Наприклад, файл архіву .zip може містити стислі віруси, або документ Word може містити шкідливий макрос. Файли скануються, коли вони використовуються - наприклад, якщо ви завантажуєте EXE-файл, він буде відскановано відразу, ще до його відкриття.
Можна використовувати антивірус без сканування на доступ, але це взагалі не є гарною ідеєю - віруси, які використовують отвори безпеки в програмах, не будуть виявлені сканером. Після того, як вірус заразив вашу систему, його важче видалити. (Також важко переконатися, що зловмисне програмне забезпечення було повністю вилучено.)
Повний сканування системи
Завдяки скануванню на доступ, зазвичай, не потрібно запускати повномасштабні сканування. Якщо ви завантажили вірус на комп'ютер, антивірусна програма негайно помітить - спочатку вам не потрібно вручну ініціювати сканування.
Проте, сканування в повній системі може бути корисним для деяких речей. Повна перевірка системи корисна, коли ви тільки що встановили антивірусну програму - вона гарантує відсутність вірусів, що лежать на комп'ютері. Більшість антивірусних програм встановлюють заплановану повну перевірку системи, часто раз на тиждень. Це гарантує, що найостанніші файли визначення вірусів використовуються для сканування системи на неактивні віруси.
Ці повне сканування диска також може бути корисним при ремонті комп'ютера. Якщо ви хочете відремонтувати вже заражений комп'ютер, вставте його жорсткий диск в інший комп'ютер і виконаєте повноцінну перевірку на наявність вірусів (якщо не виконуєте повну переінсталяцію Windows). Проте, зазвичай, вам не потрібно запускати повну перевірку системи, коли антивірусна програма вже захищає вас - це завжди сканування у фоновому режимі та виконання власних, регулярних, повних системних сканувань..
Визначення вірусів
Антивірусне програмне забезпечення покладається на визначення вірусів для виявлення шкідливих програм. Тому він автоматично завантажує нові, оновлені файли визначення - раз на день або навіть частіше. Файли визначення містять підписи для вірусів та інших шкідливих програм, які зустрічаються в дикій природі. Коли антивірусна програма сканує файл і помічає, що файл відповідає відомому зловмисному коду, антивірусна програма зупиняє роботу файлу, переводячи його в «карантин». Залежно від налаштувань антивірусної програми, антивірусна програма може автоматично видалити файл. або ви можете дозволити запускати файл у будь-якому випадку, якщо ви впевнені, що це помилково.
Антивірусні компанії постійно повинні бути в курсі останніх частин шкідливого програмного забезпечення, випускаючи оновлення визначень, які гарантують, що шкідливі програми потрапляють у їхні програми. Антивірусні лабораторії використовують різноманітні інструменти для розбирання вірусів, запуск їх у пісочниці та випуск своєчасних оновлень, які гарантують захист користувачів від нових шкідливих програм.
Евристика
Антивірусні програми також використовують евристику. Евристика дозволяє антивірусній програмі ідентифікувати нові або змінені типи шкідливих програм, навіть без файлів визначення вірусів. Наприклад, якщо антивірусна програма помічає, що програма, запущена у вашій системі, намагається відкрити кожен EXE-файл у вашій системі, заразивши її копією оригінальної програми, антивірусна програма може виявити цю програму як нову, невідомий тип вірусу.
Жодна антивірусна програма не ідеальна. Евристика не може бути занадто агресивною або вони будуть позначати законне програмне забезпечення як віруси.
Помилки
Через велику кількість програмного забезпечення, можливо, антивірусні програми можуть іноді казати, що файл є вірусом, коли він насправді є абсолютно безпечним файлом. Це називається "помилковим позитивом". Іноді антивірусні компанії навіть роблять помилки, такі як виявлення системних файлів Windows, популярних програм сторонніх виробників або власних антивірусних програм як вірусів. Ці помилкові спрацьовування можуть пошкодити системи користувачів - такі помилки, як правило, виникають у новинах, оскільки, коли Microsoft Security Essentials ідентифікувала Google Chrome як вірус, AVG пошкодила 64-розрядні версії Windows 7, або Sophos визначила себе як шкідливе програмне забезпечення.
Евристика також може збільшити швидкість помилкових спрацьовувань. Антивірус може помітити, що програма веде себе подібно до шкідливої програми і ідентифікує її як вірус.
Незважаючи на це, помилкові спрацьовування досить рідкісні при нормальному використанні. Якщо антивірус повідомляє, що файл шкідливий, то, як правило, слід вірити. Якщо ви не впевнені, чи є файл фактично вірусом, можете спробувати завантажити його до VirusTotal (який тепер належить Google). VirusTotal сканує файл різними антивірусними продуктами і повідомляє про те, що кожен говорить про нього.
Частота виявлення
Різні антивірусні програми мають різні показники виявлення, в яких беруть участь обидва визначення вірусів і евристики. Деякі антивірусні компанії можуть мати більш ефективну евристику і випускати більше визначень вірусів, ніж їхні конкуренти, що призводить до більш високого рівня виявлення..
Деякі організації регулярно перевіряють антивірусні програми порівняно один з одним, порівнюючи показники виявлення в реальному використанні. AV-Comparitives регулярно публікує дослідження, які порівнюють поточний стан виявлення антивірусів. Час виявлення, як правило, коливається з плином часу - немає жодного найкращого продукту, який послідовно знаходиться на вершині. Якщо ви дійсно бажаєте побачити, наскільки ефективною є антивірусна програма, і які найкращі з них, дослідження місця виявлення є місцем для перегляду.
Тестування антивірусної програми
Якщо ви хочете перевірити, чи антивірусна програма працює належним чином, ви можете скористатися тестовим файлом EICAR. Файл EICAR є стандартним способом тестування антивірусних програм - це насправді не небезпечно, але антивірусні програми ведуть себе так, як ніби це небезпечно, ідентифікуючи його як вірус. Це дозволяє перевірити відповіді антивірусних програм без використання вірусу.
Антивірусні програми - це складні частини програмного забезпечення, і про цю тему можна писати товсті книги - але, сподіваюся, ця стаття привела вас до швидкості.