Антивирусная программа является неотъемлемой частью многоуровневой стратегии безопасности - даже если вы являетесь пользователем интеллектуального компьютера, постоянный поток уязвимостей для браузеров, подключаемых модулей и самой операционной системы Windows делает важным антивирусную защиту.
Сканирование через доступ
Антивирусное программное обеспечение работает в фоновом режиме на вашем компьютере, проверяя каждый файл, который вы открываете. Это обычно известно как сканирование при доступе, сканирование в фоновом режиме, резидентное сканирование, защита в реальном времени или что-то еще, в зависимости от вашей антивирусной программы.
Когда вы дважды щелкните файл EXE, может показаться, что программа запускается немедленно - но это не так. Сначала антивирусное программное обеспечение проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет «эвристическую» проверку, проверяя программы для типов плохого поведения, которые могут указывать на новый неизвестный вирус.
Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива.zip может содержать сжатые вирусы, или документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются - например, если вы загружаете EXE-файл, он будет сканироваться немедленно, прежде чем вы его даже откроете.
Можно использовать антивирус без сканирования при доступе, но это, как правило, не очень хорошая идея - вирусы, которые используют дыры в безопасности в программах, не будут пойманы сканером. После того, как вирус заразил вашу систему, его гораздо труднее удалить. (Также трудно быть уверенным, что вредоносное ПО когда-либо было полностью удалено).
Полное сканирование системы
Из-за сканирования при доступе обычно нет необходимости запускать полномасштабное сканирование. Если вы загружаете вирус на свой компьютер, ваша антивирусная программа сразу же заметит - сначала вам не нужно вручную запускать сканирование.
Однако полномасштабное сканирование может быть полезно для некоторых вещей. Полное сканирование системы полезно, когда вы только что установили антивирусную программу - это гарантирует, что на вашем компьютере не будет вирусов. Большинство антивирусных программ устанавливают запланированное полное сканирование системы, часто один раз в неделю. Это гарантирует, что последние файлы определения вируса используются для сканирования вашей системы для спящих вирусов.
Эти полные сканирование дисков также могут быть полезны при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск на другой компьютер и выполнить полнофункциональную проверку на наличие вирусов (если не выполнить полную переустановку Windows). Однако обычно вам не нужно запускать полную проверку системы самостоятельно, когда антивирусная программа уже защищает вас - она всегда сканирует в фоновом режиме и выполняет собственные, регулярные полномасштабные сканирование.
Определения вирусов
Ваше антивирусное программное обеспечение использует определения вирусов для обнаружения вредоносных программ. Именно поэтому он автоматически загружает новые, обновленные файлы определений - один раз в день или даже чаще. Файлы определения содержат подписи для вирусов и других вредоносных программ, которые встречаются в дикой природе. Когда антивирусная программа сканирует файл и замечает, что файл соответствует известному вредоносному ПО, антивирусная программа останавливает работу файла, помещая его в «карантин». В зависимости от настроек антивирусной программы антивирусная программа может автоматически удалять файл или вы можете позволить файлу работать в любом случае, если вы уверены, что это ложноположительный.
Антивирусные компании должны постоянно следить за последними вредоносными программами, выпуская обновления определений, которые гарантируют, что вредоносная программа поймает их программы. Лаборатории антивирусов используют различные инструменты для демонстрации вирусов, запуска их в песочницах и своевременного выпуска обновлений, которые гарантируют пользователям защиту от нового вредоносного ПО.
Эвристика
В антивирусных программах также используются эвристики. Эвристика позволяет антивирусной программе идентифицировать новые или измененные типы вредоносных программ, даже без файлов определения вирусов. Например, если антивирусная программа отмечает, что программа, запущенная в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, введя в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.
Никакая антивирусная программа не идеальна. Эвристика не может быть слишком агрессивной или они будут обозначать законное программное обеспечение как вирусы.
Ложные положительные
Из-за большого количества программного обеспечения там, возможно, что антивирусные программы иногда могут сказать, что файл является вирусом, когда он на самом деле является полностью безопасным файлом. Это называется «ложным положительным». Иногда антивирусные компании даже допускают ошибки, такие как идентификация системных файлов Windows, популярных сторонних программ или их собственных антивирусных программных файлов в качестве вирусов. Эти ложные срабатывания могут повредить системы пользователей - такие ошибки обычно заканчиваются новостями, так как Microsoft Security Essentials определила Google Chrome как вирус, AVG поврежденные 64-разрядные версии Windows 7 или Sophos идентифицировали себя как вредоносное ПО.
Эвристика также может увеличить скорость ложных срабатываний. Антивирус может заметить, что программа ведет себя аналогично вредоносной программе и идентифицирует ее как вирус.
Несмотря на это, ложные срабатывания довольно обычны при нормальном использовании. Если ваш антивирус говорит, что файл злонамерен, вы должны в это поверить. Если вы не уверены, действительно ли файл является вирусом, вы можете попробовать загрузить его в VirusTotal (который теперь принадлежит Google). VirusTotal сканирует файл с различными антивирусными продуктами и рассказывает вам, что каждый говорит об этом.
Показатели детекции
Различные антивирусные программы имеют разные уровни обнаружения, в которых задействованы как определения вирусов, так и эвристика. Некоторые антивирусные компании могут иметь более эффективную эвристику и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокой скорости обнаружения.
Некоторые организации проводят регулярные тесты антивирусных программ по сравнению друг с другом, сравнивая их показатели обнаружения в реальном мире. AV-Comparitives регулярно выпускает исследования, которые сравнивают текущее состояние уровней обнаружения антивируса. Частоты обнаружения, как правило, колеблются с течением времени - нет ни одного лучшего продукта, который постоянно находится на вершине. Если вы действительно хотите посмотреть, насколько эффективна антивирусная программа, и какие из них лучшие, исследования по определению уровня обнаружения - это место для поиска.
Тестирование антивирусной программы
Если вы когда-нибудь захотите проверить, работает ли антивирусная программа, вы можете использовать тестовый файл EICAR. Файл EICAR является стандартным способом проверки антивирусных программ - на самом деле это не опасно, но антивирусные программы ведут себя так, как будто это опасно, идентифицируя его как вирус. Это позволяет тестировать ответы на антивирусные программы без использования живого вируса.
Антивирусные программы - это сложные части программного обеспечения, и толстые книги могут быть написаны по этому вопросу, но, надеюсь, эта статья привела вас к ускорению с основами.
