A víruskereső programok hatékony szoftverek, amelyek nélkülözhetetlenek a Windows számítógépeken. Ha elgondolkodott már azon, hogy a víruskereső programok miként észlelik a vírusokat, mit csinálnak a számítógépén, és hogy rendszeres rendszerellenőrzéseket kell-e elvégeznie magának, olvassa el.
A víruskereső program elengedhetetlen része a többrétegű biztonsági stratégiának - még akkor is, ha intelligens számítógép-felhasználó vagy, a böngészők, a beépülő modulok és maga a Windows operációs rendszer állandó sebezhetőségének fontossága fontos.
On-Access szkennelés
A víruskereső szoftver a számítógép háttérben fut, és minden megnyitott fájlt ellenőriz. Ezt általában víruskereső programtól függően hozzáférés-ellenőrzésnek, háttér-vizsgálatnak, lakossági vizsgálatnak, valós idejű védelemnek vagy másnak nevezik.
Amikor kétszer kattint egy EXE fájlra, úgy tűnhet, hogy a program azonnal elindul - de mégsem. A víruskereső szoftver először ellenőrzi a programot, összehasonlítva az ismert vírusokkal, férgekkel és más típusú rosszindulatú programokkal. A víruskereső szoftver „heurisztikus” ellenőrzést is végez, ellenőrzi a programokat, hogy vannak-e olyan rossz viselkedések, amelyek új, ismeretlen vírust jelezhetnek.
A víruskereső programok más típusú fájlokat is vizsgálnak, amelyek vírusokat tartalmazhatnak. Például egy .zip archív fájl tartalmazhat tömörített vírusokat, vagy egy Word dokumentum rosszindulatú makrót tartalmazhat. A fájlokat minden alkalommal megvizsgálják, ha használják - például ha letöltenek egy EXE fájlt, akkor azt azonnal megvizsgálják, még mielőtt megnyitná őket.
Lehetséges antivírus használata hozzáférés-ellenőrzés nélkül, de ez általában nem jó ötlet - a programok biztonsági réseit kihasználó vírusokat nem fogja el a szkenner. Miután egy vírus megfertőzte a rendszert, sokkal nehezebb eltávolítani. (Azt is nehéz megbizonyosodni, hogy a rosszindulatú programot valaha is teljesen eltávolították-e.)
Teljes rendszer-átvizsgálások
Az on-access vizsgálat miatt általában nem szükséges teljes rendszerű vizsgálatokat futtatni. Ha vírust tölt le számítógépére, akkor a víruskereső program azonnal észreveszi - nem kell először manuálisan kezdeményeznie a vizsgálatot.
A teljes rendszerű vizsgálatok azonban hasznosak lehetnek bizonyos dolgokhoz. A teljes rendszerellenőrzés akkor hasznos, ha éppen telepített egy víruskereső programot - biztosítja, hogy ne legyenek szunnyadó vírusok a számítógépén. A legtöbb víruskereső program ütemezett teljes rendszerellenőrzést állít be, gyakran hetente egyszer. Ez biztosítja, hogy a legújabb vírusdefiníciós fájlokat használják a rendszer alvó vírusok keresésére.
Ezek a teljes lemezen végzett vizsgálatok a számítógép javításakor is hasznosak lehetnek. Ha javítani szeretne egy már fertőzött számítógépet, akkor hasznos, ha a merevlemezt behelyezi egy másik számítógépbe, és teljes rendszerű víruskeresést hajt végre (ha nem a Windows teljes újratelepítését hajtja végre). Azonban általában nem kell teljes rendszerellenőrzéseket futtatnia, amikor egy víruskereső program már megvédi Önt - mindig a háttérben vizsgál, és saját, rendszeres, teljes rendszerű vizsgálatokat végez.
Vírusdefiníciók
A víruskereső szoftver a vírusleírásokra támaszkodik a rosszindulatú programok felderítésében. Ezért tölti le automatikusan az új, frissített definíciós fájlokat - naponta egyszer vagy még gyakrabban. A definíciós fájlok a vadonban vírusok és más rosszindulatú programok aláírásait tartalmazzák. Amikor egy víruskereső program átvizsgál egy fájlt, és észreveszi, hogy a fájl megegyezik egy ismert rosszindulatú programmal, a víruskereső program leállítja a fájl futtatását, és „karanténba” helyezi. A víruskereső program beállításaitól függően a víruskereső program automatikusan törölheti a fájlt, vagy akárhogy is engedélyezheti a fájl futtatását, ha biztos benne, hogy hamis pozitív.
A víruskereső vállalatoknak folyamatosan naprakészen kell tartaniuk a legújabb rosszindulatú programokat, és frissítéseket kell kiadniuk, amelyek biztosítják, hogy programjaik elkapják a rosszindulatú programokat. A víruskereső laboratóriumok számos eszközt használnak a vírusok szétszereléséhez, futtatásához homokozóban, és időszerű frissítések kiadásához, amelyek biztosítják a felhasználók védelmét az új rosszindulatú programoktól.
Heurisztika
A víruskereső programok heurisztikát is alkalmaznak. A heurisztika lehetővé teszi, hogy egy víruskereső program vírusdefiníciós fájlok nélkül is azonosítsa az új vagy módosított kártékony programokat. Például, ha egy víruskereső program észreveszi, hogy a rendszerén futó program megpróbálja megnyitni a rendszer minden EXE fájlját, megfertőzve azt az eredeti program másolatának beírásával, a víruskereső program ezt a programot újként képes felismerni, ismeretlen típusú vírus.
Egyetlen víruskereső program sem tökéletes. A heurisztika nem lehet túl agresszív, vagy vírusként jelölik meg a törvényes szoftvereket.
Hamis Pozitívumok
A nagy mennyiségű szoftver miatt előfordulhat, hogy a víruskereső programok időnként azt mondhatják, hogy egy fájl vírus, amikor valójában egy teljesen biztonságos fájl. Ezt „hamis pozitívnak” nevezik. Előfordul, hogy a víruskereső cégek olyan hibákat is elkövetnek, mint például a Windows rendszerfájlok, népszerű harmadik féltől származó programok vagy saját víruskereső program fájljaik vírusként történő azonosítása. Ezek a hamis pozitív eredmények kárt tehetnek a felhasználók rendszerében - az ilyen hibák általában hírekbe kerülnek, például amikor a Microsoft Security Essentials vírusként azonosította a Google Chrome-ot, az AVG megrongálta a Windows 7 64 bites verzióit, vagy a Sophos rosszindulatú programként azonosította magát.
A heurisztika szintén növelheti a hamis pozitív eredmények arányát. Egy víruskereső észreveheti, hogy egy program hasonlóan viselkedik, mint egy rosszindulatú program, és vírusként azonosíthatja.
Ennek ellenére a hamis pozitív eredmények a normál használat során meglehetősen ritkák. Ha víruskeresője szerint egy fájl rosszindulatú, akkor általában el kell hinnie. Ha nem biztos abban, hogy egy fájl valóban vírus-e, megpróbálhatja feltölteni ide VirusTotal (amely most a Google tulajdonában van). A VirusTotal különféle víruskereső termékekkel vizsgálja a fájlt, és elmondja, mit mondanak róla.
Észlelési árak
A különböző víruskereső programok eltérő felismerési arányokkal rendelkeznek, amelyek mind a vírusdefiníciókban, mind a heurisztikában részt vesznek. Egyes antivírus-társaságok hatékonyabb heurisztikával rendelkeznek, és több vírusdefiníciót bocsátanak ki, mint versenytársaik, ami magasabb detektálási arányt eredményez.
Egyes szervezetek rendszeresen tesztelik a víruskereső programokat egymással összehasonlítva, összehasonlítva azok észlelési arányát a valós használat során. AV-összehasonlító anyagok rendszeresen kiad tanulmányokat, amelyek összehasonlítják a víruskereső észlelési arányok jelenlegi állapotát. Az észlelési arányok az idő múlásával ingadozni szoktak - nincs egyetlen legjobb termék, amely folyamatosan a tetején lenne. Ha valóban azt szeretné megtudni, hogy mennyire hatékony egy víruskereső program, és melyek a legjobbak ott, akkor a felderítési arány tanulmányok a megfelelő helyek.
Antivirus program tesztelése
Ha valaha is tesztelni szeretné, hogy egy víruskereső program megfelelően működik-e, használhatja a EICAR tesztfájl . Az EICAR fájl a víruskereső programok tesztelésének szokásos módja - valójában nem veszélyes, de a víruskereső programok úgy viselkednek, mintha veszélyesek lennének, vírusként azonosítva. Ez lehetővé teszi az antivírus programok válaszainak tesztelését élő vírus használata nélkül.
A víruskereső programok bonyolult szoftverek, és vastag könyveket lehetne írni erről a témáról - de remélhetőleg ez a cikk felismerte az alapokat.
