Как работает антивирусное программное обеспечение



Антивирусные программы - это мощные программы, которые необходимы на компьютерах с Windows. Если вы когда-нибудь задумывались, как антивирусные программы обнаруживают вирусы, что они делают на вашем компьютере и нужно ли вам самостоятельно выполнять регулярное сканирование системы, читайте дальше.

Антивирусная программа является неотъемлемой частью многоуровневой стратегии безопасности - даже если вы умный пользователь компьютера, постоянный поток уязвимостей для браузеров, подключаемых модулей и самой операционной системы Windows делает антивирусную защиту важной.





Сканирование при доступе

Антивирусное программное обеспечение работает на вашем компьютере в фоновом режиме, проверяя каждый открываемый вами файл. Это обычно называется сканированием при доступе, фоновым сканированием, резидентным сканированием, защитой в реальном времени или чем-то еще, в зависимости от вашей антивирусной программы.

Если дважды щелкнуть EXE-файл, может показаться, что программа запускается немедленно, но это не так. Ваше антивирусное программное обеспечение сначала проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет эвристическую проверку, проверяя программы на наличие типов плохого поведения, которые могут указывать на новый, неизвестный вирус.



Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива .zip может содержать сжатые вирусы, или документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются - например, если вы загружаете EXE-файл, он будет сканироваться немедленно, прежде чем вы его откроете.

Реклама

Можно использовать антивирус без сканирования при доступе, но, как правило, это не очень хорошая идея - вирусы, использующие бреши в системе безопасности в программах, не будут обнаружены сканером. После того, как вирус заразил вашу систему, удалить его гораздо сложнее. (Также трудно быть уверенным, что вредоносная программа когда-либо была полностью удалена.)



Полное сканирование системы

Из-за сканирования при доступе обычно нет необходимости запускать полное сканирование системы. Если вы загрузите вирус на свой компьютер, ваша антивирусная программа сразу же заметит это - вам не нужно сначала запускать сканирование вручную.

Однако полное сканирование системы может быть полезно для некоторых вещей. Полное сканирование системы полезно, если вы только что установили антивирусную программу - она ​​гарантирует, что на вашем компьютере нет «спящих» вирусов. Большинство антивирусных программ настраивают полное сканирование системы по расписанию, часто один раз в неделю. Это гарантирует, что самые последние файлы определений вирусов будут использоваться для сканирования вашей системы на наличие неактивных вирусов.

Это полное сканирование диска также может быть полезно при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск в другой компьютер и выполнить полное сканирование системы на вирусы (если не выполнять полную переустановку Windows). Однако обычно вам не нужно запускать полное сканирование системы самостоятельно, когда антивирусная программа уже защищает вас - она ​​всегда сканирует в фоновом режиме и выполняет свои собственные регулярные проверки всей системы.

Определения вирусов

Ваше антивирусное программное обеспечение полагается на определения вирусов для обнаружения вредоносных программ. Вот почему он автоматически загружает новые, обновленные файлы определений - один раз в день или даже чаще. Файлы определений содержат сигнатуры вирусов и других вредоносных программ, которые встречались в дикой природе. Когда антивирусная программа сканирует файл и замечает, что файл соответствует известной вредоносной программе, антивирусная программа останавливает запуск файла и помещает его в карантин. В зависимости от настроек вашей антивирусной программы, антивирусная программа может автоматически удалить файл, или вы можете разрешить запуск файла в любом случае, если уверены, что это ложное срабатывание.

Антивирусные компании должны постоянно быть в курсе последних вредоносных программ, выпуская обновления определений, которые гарантируют, что вредоносное ПО будет обнаружено их программами. Антивирусные лаборатории используют различные инструменты для дизассемблирования вирусов, запуска их в песочнице и выпуска своевременных обновлений, обеспечивающих защиту пользователей от нового вредоносного ПО.

Эвристика

Антивирусные программы также используют эвристику. Эвристика позволяет антивирусной программе определять новые или измененные типы вредоносных программ даже без файлов определений вирусов. Например, если антивирусная программа замечает, что программа, запущенная в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, записывая в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.

Реклама

Никакая антивирусная программа не идеальна. Эвристика не может быть слишком агрессивной, иначе законное программное обеспечение будет помечено как вирусы.

Ложные срабатывания

Из-за большого количества программного обеспечения возможно, что антивирусные программы иногда могут сказать, что файл является вирусом, хотя на самом деле это полностью безопасный файл. Это называется ложным срабатыванием. Иногда антивирусные компании даже допускают ошибки, такие как идентификация системных файлов Windows, популярных сторонних программ или файлов собственных антивирусных программ как вирусов. Эти ложные срабатывания могут повредить системы пользователей - такие ошибки обычно попадают в новости, например, когда Microsoft Security Essentials идентифицировал Google Chrome как вирус, AVG повредил 64-битные версии Windows 7 или Sophos идентифицировал себя как вредоносное ПО.

Эвристика также может увеличить количество ложных срабатываний. Антивирус может заметить, что программа ведет себя аналогично вредоносной программе, и идентифицировать ее как вирус.

Несмотря на это, при нормальном использовании ложные срабатывания довольно редки. Если ваш антивирус говорит, что файл является вредоносным, вам, как правило, следует верить. Если вы не уверены, действительно ли файл является вирусом, вы можете попробовать загрузить его в VirusTotal (который сейчас принадлежит Google). VirusTotal сканирует файл с помощью различных антивирусных продуктов и сообщает вам, что каждый говорит о нем.

Скорость обнаружения

Различные антивирусные программы имеют разную степень обнаружения, в которой задействованы как определения вирусов, так и эвристика. Некоторые антивирусные компании могут иметь более эффективные эвристики и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокому уровню обнаружения.

Реклама

Некоторые организации проводят регулярные тесты антивирусных программ в сравнении друг с другом, сравнивая уровень их обнаружения в реальных условиях. AV-Comparitives регулярно выпускает исследования, в которых сравнивается текущее состояние уровня обнаружения антивирусов. Показатели обнаружения, как правило, колеблются со временем - нет ни одного лучшего продукта, который всегда был бы на вершине. Если вы действительно хотите узнать, насколько эффективна антивирусная программа и какие из них являются лучшими, вам следует изучить исследования уровня обнаружения.

Тестирование антивирусной программы

Если вы когда-нибудь захотите проверить, правильно ли работает антивирусная программа, вы можете использовать Тестовый файл EICAR . Файл EICAR - это стандартный способ тестирования антивирусных программ - на самом деле он не опасен, но антивирусные программы ведут себя так, как будто это опасно, идентифицируя его как вирус. Это позволяет вам тестировать ответы антивирусной программы без использования живого вируса.


Антивирусные программы - это сложные программы, и на эту тему можно было бы написать толстые книги, но, надеюсь, эта статья познакомила вас с основами.

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ Фотография профиля Криса Хоффмана Крис Хоффман
Крис Хоффман - главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года вел обозреватель PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на таких телеканалах, как NBC 6 в Майами, и его работа освещалась такими новостными агентствами, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз - и это только здесь, в How-To Geek.
Прочитать полную биографию

Интересные статьи