If-Koubou

Jak działa oprogramowanie antywirusowe

Jak działa oprogramowanie antywirusowe (Jak)

Programy antywirusowe to potężne elementy oprogramowania, które są niezbędne na komputerach z systemem Windows. Jeśli kiedykolwiek zastanawiałeś się, w jaki sposób programy antywirusowe wykrywają wirusy, co robią na komputerze i czy musisz regularnie wykonywać skanowanie systemu, czytaj dalej.

Program antywirusowy jest istotną częścią wielowarstwowej strategii bezpieczeństwa - nawet jeśli jesteś inteligentnym użytkownikiem komputera, ciągły strumień luk w przeglądarkach, wtyczkach i systemie operacyjnym Windows sprawia, że ​​ochrona antywirusowa jest ważna.

Skanowanie podczas uzyskiwania dostępu

Oprogramowanie antywirusowe działa w tle na komputerze, sprawdzając każdy otwierany plik. Jest to ogólnie znane jako skanowanie podczas uzyskiwania dostępu, skanowanie w tle, skanowanie rezydentne, ochrona w czasie rzeczywistym lub coś innego, w zależności od programu antywirusowego.

Po dwukrotnym kliknięciu pliku EXE może się wydawać, że program uruchamia się natychmiast - ale tak się nie dzieje. Oprogramowanie antywirusowe najpierw sprawdza program, porównując go ze znanymi wirusami, robakami i innymi rodzajami złośliwego oprogramowania. Twoje oprogramowanie antywirusowe robi także "heurystyczne" sprawdzanie, sprawdzanie programów pod kątem złych zachowań, które mogą wskazywać na nowego, nieznanego wirusa.

Programy antywirusowe skanują również inne typy plików, które mogą zawierać wirusy. Na przykład plik archiwum .zip może zawierać skompresowane wirusy lub dokument programu Word może zawierać złośliwe makro. Pliki są skanowane, gdy są używane - na przykład, jeśli pobierzesz plik EXE, zostanie on zeskanowany natychmiast, zanim go otworzysz.

Możliwe jest użycie programu antywirusowego bez skanowania dostępowego, ale generalnie nie jest to dobry pomysł - wirusy wykorzystujące luki w zabezpieczeniach programów nie zostaną przechwycone przez skaner. Po zainfekowaniu systemu przez wirus znacznie trudniej go usunąć. (Trudno też mieć pewność, że złośliwe oprogramowanie zostało całkowicie usunięte.)

Pełne skanowanie systemu

Ze względu na skanowanie podczas uzyskiwania dostępu zwykle nie jest konieczne skanowanie całego systemu. Po pobraniu wirusa na komputer program antywirusowy natychmiast zauważy - nie trzeba ręcznie inicjować skanowania.

Skanowanie całego systemu może być jednak przydatne w niektórych sytuacjach. Pełne skanowanie systemu jest przydatne, gdy właśnie zainstalowano program antywirusowy - zapewnia on, że na komputerze nie ma uśpionych wirusów. Większość programów antywirusowych konfiguruje zaplanowane pełne skanowanie systemu, często raz w tygodniu. Zapewnia to, że najnowsze pliki definicji wirusów są używane do przeskanowania systemu w poszukiwaniu uśpionych wirusów.

Pełne skanowanie dysku może być również pomocne podczas naprawy komputera. Jeśli chcesz naprawić już zainfekowany komputer, włożenie dysku twardego do innego komputera i wykonanie pełnego skanowania systemu w poszukiwaniu wirusów (jeśli nie jest to pełne ponowne zainstalowanie systemu Windows), jest przydatne. Jednak zwykle nie trzeba uruchamiać pełnych skanowań systemowych, gdy program antywirusowy już was chroni - zawsze skanuje w tle i wykonuje własne, regularne, pełne skanowanie systemu.

Definicje wirusów

Oprogramowanie antywirusowe wykorzystuje definicje wirusów do wykrywania złośliwego oprogramowania. Dlatego automatycznie pobiera nowe, zaktualizowane pliki definicji - raz dziennie lub częściej. Pliki definicji zawierają sygnatury wirusów i innych złośliwych programów, które napotkano na wolności. Gdy program antywirusowy skanuje plik i zauważa, że ​​plik pasuje do znanego szkodliwego oprogramowania, program antywirusowy zatrzymuje jego uruchamianie, umieszczając go w "Kwarantannie". W zależności od ustawień programu antywirusowego program antywirusowy może automatycznie usunąć plik może być w stanie zezwolić na uruchomienie pliku mimo to, jeśli masz pewność, że jest fałszywy-pozytywny.

Firmy antywirusowe muszą być na bieżąco z najnowszymi szkodliwymi programami, udostępniając aktualizacje definicji, które zapewniają, że złośliwe oprogramowanie zostanie przechwycone przez ich programy. Laboratoria antywirusowe wykorzystują różnorodne narzędzia do deasemblowania wirusów, uruchamiania ich w piaskownicach i wydawania aktualnych aktualizacji, które zapewniają użytkownikom ochronę przed nowym szkodliwym oprogramowaniem.

Heurystyka

Programy antywirusowe również wykorzystują heurystykę. Heurystyka umożliwia programowi antywirusowemu identyfikację nowych lub zmodyfikowanych typów złośliwego oprogramowania, nawet bez plików definicji wirusów. Na przykład, jeśli program antywirusowy zauważy, że program działający w systemie próbuje otworzyć każdy plik EXE w systemie, infekując go, zapisując w nim kopię oryginalnego programu, program antywirusowy może wykryć ten program jako nowy, nieznany typ wirusa.

Żaden program antywirusowy nie jest doskonały. Heurystyki nie mogą być zbyt agresywne lub będą oznaczać legalne oprogramowanie jako wirusy.

Fałszywe pozytywne

Ze względu na dużą ilość oprogramowania, może się zdarzyć, że programy antywirusowe czasami mówią, że plik jest wirusem, gdy w rzeczywistości jest to całkowicie bezpieczny plik. Jest to znane jako "pozytywne". Czasami firmy antywirusowe popełniają błędy, na przykład identyfikując pliki systemu Windows, popularne programy innych firm lub własne pliki programów antywirusowych jako wirusy. Te fałszywe alarmy mogą uszkodzić systemy użytkowników - takie błędy zazwyczaj trafiają do wiadomości, gdy Microsoft Security Essentials zidentyfikował Google Chrome jako wirus, AVG uszkodził 64-bitowe wersje systemu Windows 7 lub Sophos zidentyfikował się jako złośliwe oprogramowanie.

Heurystyka może również zwiększyć liczbę fałszywych alarmów. Program antywirusowy może zauważyć, że program zachowuje się podobnie do szkodliwego programu i identyfikuje go jako wirusa.

Mimo to, fałszywe trafienia są dość rzadkie w normalnym użyciu. Jeśli twój program antywirusowy mówi, że plik jest złośliwy, powinieneś w to uwierzyć. Jeśli nie masz pewności, czy plik jest rzeczywiście wirusem, możesz spróbować przesłać go do VirusTotal (który jest teraz własnością Google).VirusTotal skanuje plik za pomocą wielu różnych produktów antywirusowych i mówi, co każdy z nich mówi na ten temat.

Stawki wykrywania

Różne programy antywirusowe mają różne wskaźniki wykrywalności, w które zaangażowane są zarówno definicje wirusów, jak i heurystyki. Niektóre firmy antywirusowe mogą mieć skuteczniejszą heurystykę i udostępniać więcej definicji wirusów niż ich konkurenci, co skutkuje wyższą wykrywalnością.

Niektóre organizacje przeprowadzają regularne testy programów antywirusowych w porównaniu do siebie nawzajem, porównując ich wskaźniki wykrywalności w rzeczywistym świecie. AV-Comparitives regularnie publikuje badania porównujące obecny stan wykrywalności antywirusowej. Wskaźniki wykrywania zmieniają się z biegiem czasu - nie ma jednego najlepszego produktu, który jest konsekwentnie na szczycie. Jeśli naprawdę chcesz się przekonać, jak skuteczny jest program antywirusowy i jakie są najlepsze, badania nad wykrywaniem są miejscem, w którym należy szukać.

Testowanie programu antywirusowego

Jeśli kiedykolwiek będziesz chciał sprawdzić, czy program antywirusowy działa poprawnie, możesz użyć pliku testowego EICAR. Plik EICAR jest standardowym sposobem testowania programów antywirusowych - nie jest tak naprawdę niebezpieczny, ale programy antywirusowe zachowują się tak, jakby były niebezpieczne, identyfikując je jako wirusy. Umożliwia to testowanie odpowiedzi programu antywirusowego bez użycia aktywnego wirusa.

Programy antywirusowe są skomplikowanymi programami i można na ich temat napisać grube książki - ale mam nadzieję, że ten artykuł sprawił, że nauczyłeś się podstaw.