Антивирусные программы - это мощные программы, которые необходимы на компьютерах с Windows. Если вы когда-нибудь задумывались, как антивирусные программы обнаруживают вирусы, что они делают на вашем компьютере и нужно ли вам самостоятельно выполнять регулярное сканирование системы, читайте дальше.
Антивирусная программа является важной частью многоуровневой стратегии безопасности - даже если вы умный пользователь компьютера, постоянный поток уязвимостей для браузеров, подключаемых модулей и самой операционной системы Windows делает антивирусную защиту важной.
Сканирование при доступе
Антивирусное программное обеспечение работает на вашем компьютере в фоновом режиме, проверяя каждый открываемый вами файл. Это обычно называется сканированием при доступе, фоновым сканированием, резидентным сканированием, защитой в реальном времени или чем-то еще, в зависимости от вашей антивирусной программы.
Если дважды щелкнуть EXE-файл, может показаться, что программа запускается немедленно, но это не так. Ваше антивирусное программное обеспечение сначала проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет «эвристическую» проверку, проверяя программы на предмет неправильного поведения, которое может указывать на новый, неизвестный вирус.
Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива .zip может содержать сжатые вирусы, или документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются - например, если вы загружаете EXE-файл, он будет сканироваться немедленно, прежде чем вы его откроете.
Можно использовать антивирус без проверки при доступе, но, как правило, это не очень хорошая идея - вирусы, использующие бреши в безопасности программ, не будут обнаружены сканером. После того, как вирус заразил вашу систему, удалить его гораздо сложнее. (Также трудно быть уверенным, что вредоносная программа когда-либо была полностью удалена.)
Полное сканирование системы
Из-за сканирования при доступе обычно нет необходимости выполнять полное сканирование системы. Если вы загрузите вирус на свой компьютер, ваша антивирусная программа сразу заметит это - вам не нужно сначала запускать сканирование вручную.
Однако полное сканирование системы может быть полезно для некоторых вещей. Полное сканирование системы полезно, если вы только что установили антивирусную программу - она гарантирует, что на вашем компьютере нет скрытых вирусов. Большинство антивирусных программ настраивают полное сканирование системы по расписанию, часто раз в неделю. Это гарантирует, что последние файлы определений вирусов будут использоваться для сканирования вашей системы на наличие неактивных вирусов.
Это полное сканирование диска также может быть полезно при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск в другой компьютер и выполнить полное сканирование системы на наличие вирусов (если не выполнять полную переустановку Windows). Однако обычно вам не нужно запускать полное сканирование системы самостоятельно, когда антивирусная программа уже защищает вас - она всегда сканирует в фоновом режиме и выполняет свои собственные регулярные проверки всей системы.
Определения вирусов
Ваше антивирусное программное обеспечение полагается на определения вирусов для обнаружения вредоносных программ. Вот почему он автоматически загружает новые, обновленные файлы определений - один раз в день или даже чаще. Файлы определений содержат сигнатуры вирусов и других вредоносных программ, которые встречались в дикой природе. Когда антивирусная программа сканирует файл и замечает, что файл соответствует известной вредоносной программе, антивирусная программа останавливает запуск файла, помещая его в «карантин». В зависимости от настроек вашей антивирусной программы, антивирусная программа может автоматически удалить файл, или вы можете разрешить запуск файла в любом случае, если уверены, что это ложное срабатывание.
Антивирусные компании должны постоянно быть в курсе последних вредоносных программ, выпуская обновления определений, которые гарантируют, что вредоносное ПО будет обнаружено их программами. Антивирусные лаборатории используют различные инструменты для дизассемблирования вирусов, запуска их в песочнице и выпуска своевременных обновлений, обеспечивающих защиту пользователей от нового вредоносного ПО.
Эвристика
Антивирусные программы также используют эвристику. Эвристика позволяет антивирусной программе идентифицировать новые или измененные типы вредоносных программ даже без файлов определений вирусов. Например, если антивирусная программа замечает, что программа, запущенная в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, записывая в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.
Никакая антивирусная программа не идеальна. Эвристика не может быть слишком агрессивной, иначе законное программное обеспечение будет помечено как вирусы.
Ложные срабатывания
Из-за большого количества программного обеспечения возможно, что антивирусные программы иногда могут сказать, что файл является вирусом, хотя на самом деле это полностью безопасный файл. Это известно как «ложное срабатывание». Иногда антивирусные компании даже допускают ошибки, такие как идентификация системных файлов Windows, популярных сторонних программ или файлов собственных антивирусных программ как вирусов. Эти ложные срабатывания могут повредить системы пользователей - такие ошибки обычно попадают в новости, например, когда Microsoft Security Essentials идентифицировал Google Chrome как вирус, AVG повредил 64-битные версии Windows 7 или Sophos идентифицировал себя как вредоносное ПО.
Эвристика также может увеличить количество ложных срабатываний. Антивирус может заметить, что программа ведет себя аналогично вредоносной программе, и идентифицировать ее как вирус.
Несмотря на это, при нормальном использовании ложные срабатывания довольно редки. Если ваш антивирус сообщает, что файл является вредоносным, вам, как правило, следует верить. Если вы не уверены, действительно ли файл является вирусом, вы можете попробовать загрузить его в VirusTotal (который сейчас принадлежит Google). VirusTotal сканирует файл с помощью различных антивирусных продуктов и сообщает вам, что каждый говорит о нем.
Скорость обнаружения
Различные антивирусные программы имеют разную степень обнаружения, в которой участвуют как определения вирусов, так и эвристика. Некоторые антивирусные компании могут использовать более эффективные эвристики и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокому уровню обнаружения.
Некоторые организации проводят регулярные тесты антивирусных программ в сравнении друг с другом, сравнивая уровень их обнаружения в реальных условиях. AV-Comparatives регулярно выпускает исследования, в которых сравнивается текущее состояние уровня обнаружения антивирусов. Показатели обнаружения, как правило, колеблются со временем - нет ни одного лучшего продукта, который бы постоянно был на вершине. Если вы действительно хотите узнать, насколько эффективна антивирусная программа и какие из них являются лучшими, вам следует изучить исследования уровня обнаружения.
Тестирование антивирусной программы
Если вы когда-нибудь захотите проверить, правильно ли работает антивирусная программа, вы можете использовать Тестовый файл EICAR . Файл EICAR - это стандартный способ тестирования антивирусных программ - на самом деле он не опасен, но антивирусные программы ведут себя так, как будто это опасно, идентифицируя его как вирус. Это позволяет вам тестировать ответы антивирусной программы без использования живого вируса.
Антивирусные программы - это сложные программы, и на эту тему можно было бы написать толстые книги, но, надеюсь, эта статья познакомила вас с основами.
