Антивирусные программы — это мощные программы, которые необходимы на компьютерах с Windows. Если вы когда-нибудь задумывались, как антивирусные программы обнаруживают вирусы, что они делают на вашем компьютере и нужно ли вам выполнять регулярное сканирование системы самостоятельно, читайте дальше.
Антивирусная программа является неотъемлемой частью многоуровневой стратегии безопасности — даже если вы являетесь пользователем умного компьютера, постоянный поток уязвимостей для браузеров, плагинов и самой операционной системы Windows делает антивирусную защиту важной.
Сканирование при доступе
Антивирусное программное обеспечение работает в фоновом режиме на вашем компьютере, проверяя каждый файл, который вы открываете. Это обычно называется сканированием при доступе, фоновым сканированием, резидентным сканированием, защитой в реальном времени или чем-то еще, в зависимости от вашей антивирусной программы.
При двойном щелчке по файлу EXE может показаться, что программа запускается немедленно, но это не так. Ваше антивирусное программное обеспечение сначала проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет «эвристическую» проверку, проверяя программы на наличие типов плохого поведения, которые могут указывать на новый, неизвестный вирус.
Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива .zip может содержать сжатые вирусы, или документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются — например, если вы загружаете EXE-файл, он будет сканироваться немедленно, даже прежде чем вы его откроете.
Можно использовать антивирус без сканирования при доступе, но это, как правило, не очень хорошая идея — вирусы, использующие дыры в безопасности программ, не будут обнаружены сканером. После того, как вирус заразил вашу систему, его гораздо сложнее удалить. (Также трудно быть уверенным, что вредоносная программа когда-либо была полностью удалена.)
Полное сканирование системы
Из-за сканирования при доступе обычно нет необходимости запускать сканирование всей системы. Если вы загрузите вирус на свой компьютер, ваша антивирусная программа немедленно заметит — вам не нужно сначала запускать сканирование вручную.
Однако полное сканирование системы может быть полезно для некоторых вещей. Полная проверка системы полезна, когда вы только что установили антивирусную программу — она гарантирует, что на вашем компьютере не будет никаких вирусов, которые могут бездействовать. Большинство антивирусных программ настраивают полное сканирование системы по расписанию, часто раз в неделю. Это гарантирует, что последние файлы определений вирусов используются для сканирования вашей системы на наличие неактивных вирусов.
Это полное сканирование диска также может быть полезно при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск в другой компьютер и выполнить полную проверку системы на наличие вирусов (если не выполняется полная переустановка Windows). Однако вам обычно не нужно запускать полное сканирование системы самостоятельно, когда антивирусная программа уже защищает вас — оно всегда сканирует в фоновом режиме и выполняет свои собственные регулярные проверки всей системы.
Определения вирусов
Ваше антивирусное программное обеспечение использует определения вирусов для обнаружения вредоносных программ. Вот почему он автоматически загружает новые, обновленные файлы определений — один раз в день или даже чаще. Файлы определения содержат сигнатуры вирусов и других вредоносных программ, которые встречались в дикой природе. Когда антивирусная программа сканирует файл и замечает, что файл соответствует известной вредоносной программе, антивирусная программа останавливает запуск файла, помещая его в «карантин». В зависимости от настроек антивирусной программы антивирусная программа может автоматически удалить файл. или вы можете разрешить запуск файла в любом случае, если уверены, что это ложноположительный результат.
Антивирусные компании должны постоянно быть в курсе последних версий вредоносного ПО, выпуская обновления определений, которые гарантируют, что вредоносное ПО будет обнаружено их программами. Антивирусные лаборатории используют различные инструменты для дизассемблирования вирусов, запуска их в «песочницах» и своевременного выпуска обновлений, обеспечивающих защиту пользователей от нового вредоносного ПО.
Эвристика
Антивирусные программы также используют эвристику. Эвристика позволяет антивирусной программе выявлять новые или измененные типы вредоносных программ даже без файлов определений вирусов. Например, если антивирусная программа замечает, что программа, работающая в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, записав в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.
Ни одна антивирусная программа не идеальна. Эвристика не может быть слишком агрессивной, иначе законное программное обеспечение будет помечено как вирус.
Ложные срабатывания
Из-за большого количества программного обеспечения антивирусные программы могут время от времени заявлять, что файл является вирусом, хотя на самом деле это совершенно безопасный файл. Это называется «ложным срабатыванием». Иногда антивирусные компании даже допускают ошибки, такие как определение системных файлов Windows, популярных сторонних программ или собственных файлов антивирусных программ в качестве вирусов. Эти ложные срабатывания могут повредить системы пользователей — такие ошибки обычно заканчиваются новостями, например, когда Microsoft Security Essentials идентифицировал Google Chrome как вирус, AVG повредил 64-разрядные версии Windows 7 или Sophos идентифицировал себя как вредоносное ПО.
Эвристика также может увеличить частоту ложных срабатываний. Антивирус может заметить, что программа ведет себя подобно вредоносной программе, и идентифицировать ее как вирус.
Несмотря на это, ложные срабатывания довольно редки при нормальном использовании. Если ваш антивирус говорит, что файл является вредоносным, вы, как правило, должны в это верить. Если вы не уверены, является ли файл на самом деле вирусом, вы можете попробовать загрузить его в VirusTotal (который теперь принадлежит Google). VirusTotal сканирует файл с помощью различных антивирусных продуктов и сообщает вам, что каждый из них говорит об этом.
Скорость обнаружения
Различные антивирусные программы имеют разные уровни обнаружения, в которых участвуют как определения вирусов, так и эвристики. Некоторые антивирусные компании могут использовать более эффективную эвристику и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокому уровню обнаружения.
Некоторые организации проводят регулярные тесты антивирусных программ по сравнению друг с другом, сравнивая их уровни обнаружения в реальных условиях использования. AV-Comparitives регулярно публикует исследования, в которых сравнивается текущее состояние обнаружения антивирусов. Частота обнаружения имеет тенденцию колебаться с течением времени — нет ни одного лучшего продукта, который бы всегда был на вершине. Если вы действительно хотите узнать, насколько эффективна антивирусная программа и какие из них являются лучшими, лучше всего изучить показатели обнаружения.
Тестирование антивирусной программы
Если вы когда-нибудь захотите проверить, работает ли антивирусная программа должным образом, вы можете использовать тестовый файл EICAR . Файл EICAR является стандартным способом проверки антивирусных программ — на самом деле он не опасен, но антивирусные программы ведут себя так, как будто это опасно, идентифицируя его как вирус. Это позволяет тестировать ответы антивирусной программы без использования живого вируса.
Антивирусные программы — это сложные части программного обеспечения, и на эту тему можно написать толстые книги, но, надеюсь, эта статья познакомит вас с основами.