Programy antywirusowe to potężne programy, które są niezbędne na komputerach z systemem Windows. Jeśli kiedykolwiek zastanawiałeś się, jak programy antywirusowe wykrywają wirusy, co robią na Twoim komputerze i czy musisz samodzielnie wykonywać regularne skanowanie systemu, czytaj dalej.
Program antywirusowy jest istotną częścią wielowarstwowej strategii bezpieczeństwa - nawet jeśli jesteś inteligentnym użytkownikiem komputera, ciągły strumień luk w zabezpieczeniach przeglądarek, wtyczek i samego systemu operacyjnego Windows sprawia, że ochrona antywirusowa jest ważna.
Skanowanie na bieżąco
Oprogramowanie antywirusowe działa w tle na Twoim komputerze, sprawdzając każdy otwierany plik. Jest to ogólnie znane jako skanowanie podczas uzyskiwania dostępu, skanowanie w tle, skanowanie rezydentne, ochrona w czasie rzeczywistym lub coś innego, w zależności od programu antywirusowego.
Po dwukrotnym kliknięciu pliku EXE może się wydawać, że program uruchamia się natychmiast - ale tak się nie dzieje. Oprogramowanie antywirusowe najpierw sprawdza program, porównując go ze znanymi wirusami, robakami i innymi typami złośliwego oprogramowania. Oprogramowanie antywirusowe wykonuje również „heurystyczne” sprawdzanie, sprawdzając programy pod kątem typów złego zachowania, które mogą wskazywać na nowego, nieznanego wirusa.
Programy antywirusowe skanują również inne typy plików, które mogą zawierać wirusy. Na przykład plik archiwum .zip może zawierać skompresowane wirusy lub dokument programu Word może zawierać złośliwe makro. Pliki są skanowane za każdym razem, gdy są używane - na przykład jeśli pobierzesz plik EXE, zostanie przeskanowany natychmiast, zanim jeszcze go otworzysz.
Możliwe jest użycie programu antywirusowego bez skanowania podczas uzyskiwania dostępu, ale generalnie nie jest to dobry pomysł - wirusy wykorzystujące luki w zabezpieczeniach programów nie zostałyby przechwycone przez skaner. Po tym, jak wirus zainfekuje system, znacznie trudniej go usunąć. (Trudno też mieć pewność, że złośliwe oprogramowanie zostało kiedykolwiek całkowicie usunięte).
Pełne skanowanie systemu
Ze względu na skanowanie podczas uzyskiwania dostępu zwykle nie jest konieczne uruchamianie skanowania całego systemu. Jeśli pobierzesz wirusa na swój komputer, program antywirusowy natychmiast zauważy - nie musisz najpierw ręcznie inicjować skanowania.
W niektórych przypadkach przydatne mogą być jednak skanowanie całego systemu. Pełne skanowanie systemu jest pomocne, gdy właśnie zainstalowałeś program antywirusowy - zapewnia, że na komputerze nie ma żadnych uśpionych wirusów. Większość programów antywirusowych konfiguruje zaplanowane pełne skanowanie systemu, często raz w tygodniu. Dzięki temu do skanowania systemu w poszukiwaniu nieaktywnych wirusów używane są najnowsze pliki definicji wirusów.
Te pełne skany dysku mogą być również pomocne podczas naprawy komputera. Jeśli chcesz naprawić już zainfekowany komputer, przydatne jest włożenie jego dysku twardego do innego komputera i wykonanie pełnego skanowania systemu w poszukiwaniu wirusów (jeśli nie wykonujesz pełnej ponownej instalacji systemu Windows). Jednak zazwyczaj nie musisz samodzielnie uruchamiać pełnego skanowania systemu, gdy program antywirusowy już Cię chroni - zawsze skanuje on w tle i wykonuje własne, regularne skanowanie całego systemu.
Definicje wirusów
Oprogramowanie antywirusowe wykrywa złośliwe oprogramowanie na podstawie definicji wirusów. Dlatego automatycznie pobiera nowe, zaktualizowane pliki definicji - raz dziennie lub nawet częściej. Pliki definicji zawierają sygnatury wirusów i innego złośliwego oprogramowania, które napotkano na wolności. Gdy program antywirusowy skanuje plik i zauważa, że plik pasuje do znanego złośliwego oprogramowania, program antywirusowy zatrzymuje działanie pliku i umieszcza go w „kwarantannie”. W zależności od ustawień programu antywirusowego program antywirusowy może automatycznie usunąć plik lub możesz mimo wszystko zezwolić na jego uruchomienie, jeśli masz pewność, że jest to fałszywy alarm.
Firmy antywirusowe muszą stale być na bieżąco z najnowszymi fragmentami złośliwego oprogramowania, udostępniając aktualizacje definicji, które zapewniają, że złośliwe oprogramowanie zostanie wykryte przez ich programy. Laboratoria antywirusowe używają różnych narzędzi do dezasemblacji wirusów, uruchamiania ich w piaskownicach i publikowania na czas aktualizacji, które zapewniają użytkownikom ochronę przed nowym złośliwym oprogramowaniem.
Heurystyka
Programy antywirusowe również wykorzystują heurystykę. Heurystyka umożliwia programowi antywirusowemu identyfikację nowych lub zmodyfikowanych typów złośliwego oprogramowania, nawet bez plików definicji wirusów. Na przykład, jeśli program antywirusowy zauważy, że program działający w systemie próbuje otworzyć każdy plik EXE w systemie, infekując go, zapisując w nim kopię oryginalnego programu, program antywirusowy może wykryć ten program jako nowy, nieznany typ wirusa.
Żaden program antywirusowy nie jest doskonały. Heurystyka nie może być zbyt agresywna, w przeciwnym razie legalne oprogramowanie będzie oznaczane jako wirusy.
Fałszywie pozytywne
Ze względu na dużą ilość oprogramowania istnieje możliwość, że programy antywirusowe mogą czasami informować, że plik jest wirusem, podczas gdy w rzeczywistości jest to plik całkowicie bezpieczny. Nazywa się to „fałszywym trafieniem”. Czasami firmy antywirusowe popełniają nawet błędy, takie jak identyfikacja plików systemu Windows, popularnych programów innych firm lub własnych plików programów antywirusowych jako wirusów. Te fałszywe alarmy mogą uszkodzić systemy użytkowników - takie błędy zwykle trafiają do wiadomości, na przykład gdy Microsoft Security Essentials zidentyfikował Google Chrome jako wirusa, uszkodzone przez AVG 64-bitowe wersje systemu Windows 7 lub Sophos zidentyfikowało się jako złośliwe oprogramowanie.
Heurystyka może również zwiększyć odsetek fałszywych alarmów. Program antywirusowy może zauważyć, że program zachowuje się podobnie do złośliwego programu i zidentyfikować go jako wirusa.
Mimo to fałszywe alarmy są dość rzadkie w normalnym użytkowaniu. Jeśli Twój program antywirusowy mówi, że plik jest złośliwy, powinieneś w to ogólnie uwierzyć. Jeśli nie masz pewności, czy plik jest rzeczywiście wirusem, możesz spróbować przesłać go do VirusTotal (który jest teraz własnością Google). VirusTotal skanuje plik za pomocą różnych produktów antywirusowych i informuje o tym, co każdy z nich o nim mówi.
Wskaźniki wykrywalności
Różne programy antywirusowe mają różne współczynniki wykrywalności, w które zaangażowane są zarówno definicje wirusów, jak i heurystyka. Niektóre firmy antywirusowe mogą mieć bardziej efektywną heurystykę i publikować więcej definicji wirusów niż ich konkurenci, co skutkuje wyższym współczynnikiem wykrywania.
Niektóre organizacje regularnie porównują programy antywirusowe, porównując ich współczynniki wykrywalności w warunkach rzeczywistych. AV-Comparatives regularnie publikuje badania porównujące obecny stan wskaźników wykrywalności programów antywirusowych. Wskaźniki wykrywalności zwykle zmieniają się w czasie - nie ma jednego najlepszego produktu, który stale byłby najlepszy. Jeśli naprawdę chcesz się przekonać, jak skuteczny jest program antywirusowy i który jest najlepszy, warto przyjrzeć się badaniu wskaźnika wykrywalności.
Testowanie programu antywirusowego
Jeśli kiedykolwiek chcesz sprawdzić, czy program antywirusowy działa poprawnie, możesz użyć pliku Plik testowy EICAR . Plik EICAR to standardowy sposób testowania programów antywirusowych - w rzeczywistości nie jest niebezpieczny, ale programy antywirusowe zachowują się tak, jakby były niebezpieczne, identyfikując je jako wirusa. Umożliwia to testowanie odpowiedzi programu antywirusowego bez używania żywego wirusa.
Programy antywirusowe to skomplikowane programy, a na ten temat można by napisać grube książki - mam jednak nadzieję, że ten artykuł przybliżył Ci podstawy.
