Jak działa oprogramowanie antywirusowe
Programy antywirusowe są potężnymi programami niezbędnymi na komputerach z systemem Windows. Jeśli kiedykolwiek zastanawiałeś się, w jaki sposób programy antywirusowe wykrywają wirusy, co robią na Twoim komputerze i czy musisz regularnie wykonywać skanowanie systemu, przeczytaj.
Program antywirusowy jest istotną częścią wielowarstwowej strategii bezpieczeństwa - nawet jeśli jesteś inteligentnym użytkownikiem komputera, ciągły strumień luk w przeglądarkach, wtyczkach i systemie operacyjnym Windows sprawia, że ochrona antywirusowa jest ważna.
Skanowanie podczas uzyskiwania dostępu
Oprogramowanie antywirusowe działa w tle na komputerze, sprawdzając każdy otwierany plik. Jest to ogólnie znane jako skanowanie podczas uzyskiwania dostępu, skanowanie w tle, skanowanie rezydentne, ochrona w czasie rzeczywistym lub coś innego, w zależności od programu antywirusowego.
Po dwukrotnym kliknięciu pliku EXE może się wydawać, że program uruchamia się natychmiast - ale tak się nie dzieje. Oprogramowanie antywirusowe najpierw sprawdza program, porównując go ze znanymi wirusami, robakami i innymi rodzajami złośliwego oprogramowania. Twoje oprogramowanie antywirusowe sprawdza także "heurystyczne", sprawdzając programy pod kątem złych zachowań, które mogą wskazywać na nowego, nieznanego wirusa.
Programy antywirusowe skanują również inne typy plików, które mogą zawierać wirusy. Na przykład plik archiwum .zip może zawierać skompresowane wirusy lub dokument programu Word może zawierać złośliwe makro. Pliki są skanowane, gdy są używane - na przykład, jeśli pobierzesz plik EXE, zostanie on zeskanowany natychmiast, zanim go otworzysz.
Możliwe jest użycie programu antywirusowego bez skanowania dostępowego, ale generalnie nie jest to dobry pomysł - wirusy wykorzystujące luki w zabezpieczeniach programów nie zostaną przechwycone przez skaner. Po zainfekowaniu systemu przez wirus znacznie trudniej go usunąć. (Trudno też mieć pewność, że złośliwe oprogramowanie zostało całkowicie usunięte.)
Pełne skanowanie systemu
Ze względu na skanowanie podczas uzyskiwania dostępu zwykle nie jest konieczne skanowanie całego systemu. Po pobraniu wirusa na komputer program antywirusowy natychmiast zauważy - nie trzeba ręcznie inicjować skanowania.
Pełne skanowanie systemu może być jednak przydatne w niektórych sprawach. Pełne skanowanie systemu jest przydatne, gdy właśnie zainstalowano program antywirusowy - zapewnia on, że na komputerze nie ma uśpionych wirusów. Większość programów antywirusowych konfiguruje zaplanowane pełne skanowanie systemu, często raz w tygodniu. Zapewnia to, że najnowsze pliki definicji wirusów są używane do przeskanowania systemu w poszukiwaniu uśpionych wirusów.
Pełne skanowanie dysku może być również pomocne podczas naprawy komputera. Jeśli chcesz naprawić już zainfekowany komputer, włożenie dysku twardego do innego komputera i wykonanie pełnego skanowania systemu w poszukiwaniu wirusów (jeśli nie jest to pełne ponowne zainstalowanie systemu Windows), jest przydatne. Jednak zazwyczaj nie trzeba uruchamiać pełnych skanowań systemowych, gdy program antywirusowy już was chroni - zawsze skanuje w tle i wykonuje własne, regularne, pełne skanowanie systemu.
Definicje wirusów
Oprogramowanie antywirusowe wykorzystuje definicje wirusów do wykrywania złośliwego oprogramowania. Dlatego automatycznie pobiera nowe, zaktualizowane pliki definicji - raz dziennie lub częściej. Pliki definicji zawierają sygnatury wirusów i innych złośliwych programów, które napotkano na wolności. Gdy program antywirusowy zeskanuje plik i zauważy, że plik pasuje do znanego szkodliwego oprogramowania, program antywirusowy zatrzymuje jego uruchamianie, umieszczając go w "kwarantannie". W zależności od ustawień programu antywirusowego program antywirusowy może automatycznie usunąć plik albo możesz zezwolić na uruchomienie pliku mimo to, jeśli masz pewność, że jest fałszywy-pozytywny.
Firmy antywirusowe muszą być na bieżąco z najnowszymi wersjami złośliwego oprogramowania, udostępniając aktualizacje definicji, które zapewniają, że złośliwe oprogramowanie zostanie przechwycone przez ich programy. Laboratoria antywirusowe wykorzystują różnorodne narzędzia do deasemblowania wirusów, uruchamiania ich w piaskownicach i wydawania aktualnych aktualizacji zapewniających ochronę użytkowników przed nowym szkodliwym oprogramowaniem.
Heurystyka
Programy antywirusowe również wykorzystują heurystykę. Heurystyka umożliwia programowi antywirusowemu identyfikację nowych lub zmodyfikowanych typów złośliwego oprogramowania, nawet bez plików definicji wirusów. Na przykład, jeśli program antywirusowy zauważy, że program działający w systemie próbuje otworzyć każdy plik EXE w systemie, infekując go, zapisując w nim kopię oryginalnego programu, program antywirusowy może wykryć ten program jako nowy, nieznany typ wirusa.
Żaden program antywirusowy nie jest doskonały. Heurystyki nie mogą być zbyt agresywne lub będą oznaczać legalne oprogramowanie jako wirusy.
Fałszywe pozytywne
Ze względu na dużą ilość oprogramowania, może się zdarzyć, że programy antywirusowe czasami mówią, że plik jest wirusem, gdy w rzeczywistości jest to całkowicie bezpieczny plik. Jest to znane jako "fałszywy alarm". Czasami firmy antywirusowe popełniają błędy, na przykład identyfikując pliki systemu Windows, popularne programy innych firm lub własne pliki programów antywirusowych jako wirusy. Te fałszywe alarmy mogą uszkodzić systemy użytkowników - takie błędy zazwyczaj trafiają do wiadomości, gdy Microsoft Security Essentials zidentyfikował Google Chrome jako wirus, AVG uszkodził 64-bitowe wersje systemu Windows 7 lub Sophos zidentyfikował się jako złośliwe oprogramowanie.
Heurystyka może również zwiększyć liczbę fałszywych alarmów. Program antywirusowy może zauważyć, że program zachowuje się podobnie do szkodliwego programu i identyfikuje go jako wirusa.
Mimo to, fałszywe trafienia są dość rzadkie w normalnym użyciu. Jeśli twój program antywirusowy mówi, że plik jest złośliwy, powinieneś w to uwierzyć. Jeśli nie masz pewności, czy plik jest rzeczywiście wirusem, możesz spróbować przesłać go do VirusTotal (która jest teraz własnością Google). VirusTotal skanuje plik za pomocą różnych produktów antywirusowych i informuje o tym, co o nim mówią.
Wskaźniki wykrywania
Różne programy antywirusowe mają różne wskaźniki wykrywalności, w które zaangażowane są zarówno definicje wirusów, jak i heurystyki. Niektóre firmy antywirusowe mogą mieć bardziej efektywną heurystykę i udostępniać więcej definicji wirusów niż ich konkurenci, co skutkuje wyższą wykrywalnością.
Niektóre organizacje przeprowadzają regularne testy programów antywirusowych w porównaniu do siebie nawzajem, porównując ich wskaźniki wykrywalności w rzeczywistych zastosowaniach. AV-Comparitives regularnie publikuje badania porównujące obecny stan wykrywalności antywirusowej. Wskaźniki wykrywania zmieniają się z czasem - nie ma jednego najlepszego produktu, który jest konsekwentnie na szczycie. Jeśli naprawdę chcesz sprawdzić, jak skuteczny jest program antywirusowy i które są najlepsze, badania nad wykrywaniem są miejscem, w którym warto szukać.
Testowanie programu antywirusowego
Jeśli kiedykolwiek będziesz chciał sprawdzić, czy program antywirusowy działa poprawnie, możesz użyć pliku testowego EICAR. Plik EICAR jest standardowym sposobem testowania programów antywirusowych - nie jest tak naprawdę niebezpieczny, ale programy antywirusowe zachowują się tak, jakby były niebezpieczne, identyfikując je jako wirusy. Umożliwia to testowanie odpowiedzi programu antywirusowego bez użycia aktywnego wirusa.
Programy antywirusowe są skomplikowanymi programami i można na ich temat napisać grube książki - ale mam nadzieję, że ten artykuł sprawił, że szybko opanowałeś podstawy.