Como funciona o antivirus:
Os programas antivirus son poderosos programas que son esenciais nos ordenadores con Windows. Se algunha vez te preguntas como o software antivirus detecta os virus, o que fan no teu ordenador e se precisas realizar análises regulares do sistema, continúa lendo.
O software antivirus é unha parte esencial dunha estratexia de seguridade de varias capas, aínda que sexa un usuario dun teléfono intelixente, o fluxo constante de vulnerabilidades do navegador e complementos sistema O funcionamento de Windows fai que a protección contra virus sexa importante.
Escanear á chegada
O antivirus execútase en segundo plano no teu ordenador, analizando todos os ficheiros que abres. Isto coñécese xeralmente como exploración en acceso, exploración en segundo plano, exploración residente, protección en tempo real ou outra cousa, dependendo do teu antivirus.
Cando fai dobre clic nun ficheiro EXE, pode parecer que o programa se inicia inmediatamente, pero non é así. O antivirus analiza primeiro o programa e compárao Virus, vermes e outros tipos de malware coñecido. O antivirus tamén realiza unha exploración "heurística", analizando os programas en busca de tipos de mal comportamento que poidan indicar un virus novo e descoñecido.
O software antivirus tamén busca outros tipos de ficheiros que poidan conter virus. Por exemplo, pode conter Arquivo .zip conter virus comprimidos ou pode conter documento de word nunha macro prexudicial. Os ficheiros son escaneados sempre que se usan; por exemplo, se descargas un ficheiro EXE, analizarase inmediatamente, mesmo antes de abrilo.
Probablemente Use un antivirus sen unha análise de acceso Non obstante, isto xeralmente non é unha boa idea: os virus que explotan vulnerabilidades do software non serán detectados polo escáner. Despois de que o seu sistema se infecte cun virus, é así É difícil eliminalo . (Tamén é difícil Asegúrese de que o malware estea completamente eliminado .)
Comprobación completa do sistema
Debido á exploración no acceso, normalmente non é necesario realizar exploracións completas do sistema. Se descargas un virus no teu ordenador, o teu antivirus notarao inmediatamente; non tes que iniciar a exploración manualmente primeiro.
Non obstante, as exploracións completas do sistema poden ser Útil para algunhas cousas. Unha análise completa do sistema é útil cando acabas de instalar un antivirus: garante que non hai virus á espreita no teu ordenador. A maioría dos programas antivirus si Configura exploracións programadas de todo o sistema , normalmente unha vez á semana. Isto garante que se utilicen os ficheiros de definición de virus máis recentes para analizar o seu sistema en busca de virus latentes.
Estas comprobacións de disco completo tamén poden ser útiles cando se repara un ordenador. Se queres arranxar un ordenador xa infectado, é unha boa idea inserir o seu disco duro noutro ordenador e realizar unha exploración completa do sistema para detectar virus (se non se realiza). unha reinstalación completa de Windows). Non obstante, normalmente non tes que realizar unha exploración completa do sistema cando un antivirus realmente te protexe - sempre está a analizar en segundo plano e a realizar os seus varridos regulares de todo o sistema.
Definicións de virus
O software antivirus depende das definicións de virus para detectar malware. É por iso que descarga automaticamente perfís novos e actualizados, unha vez ao día ou incluso con máis frecuencia. Os ficheiros de definición conteñen sinaturas de virus e outros programas maliciosos atopados na natureza. Cando o software antivirus escanea un ficheiro e observa que o ficheiro coincide cunha peza coñecida de malware, o software antivirus pecha o ficheiro, colocándoo no " illamento ”. Dependendo da configuración do teu antivirus, o antivirus pode eliminar o ficheiro automaticamente ou podes deixar que o ficheiro se execute de todos os xeitos, se estás seguro de que é un falso positivo.
As compañías de antivirus teñen que estar ao día dos últimos programas maliciosos e publicar actualizacións de definicións que garantan que o seu software detecte malware. Os laboratorios de antivirus usan unha variedade de ferramentas para desmontar e executar virus Sandboxes E publica actualizacións oportunas que garanten que os usuarios estean protexidos contra novos programas maliciosos.
conclusión
O software antivirus tamén usa heurística e aprendizaxe automática. Créanse modelos de aprendizaxe automática Ao analizar centos ou miles de fragmentos de malware para atopar características ou comportamentos comúns. A suite permite que o programa antivirus identifique tipos novos ou modificados de malware, mesmo sen ficheiros de definición de virus. Por exemplo, se o seu antivirus nota que un programa que se está executando no seu sistema está tentando abrir todos os ficheiros EXE do seu sistema e inféctao escribindo unha copia do programa orixinal nel, o antivirus pode detectar ese programa como un novo e descoñecido. tipo de virus.
Ningún antivirus é perfecto. As heurísticas excesivamente agresivas (ou os modelos de aprendizaxe automática mal adestrados) poden marcar por erro software perfectamente seguro como malware.
Falsos positivos
Debido á gran cantidade de software que hai, o software antivirus probablemente dirá ás veces que un ficheiro é un virus cando, en realidade, é un ficheiro completamente seguro. Isto coñécese como " falso positivo. Ás veces, as compañías de antivirus cometen erros, como identificar os ficheiros do sistema de Windows, o software popular de terceiros ou os seus propios ficheiros de software antivirus como virus. Estes falsos positivos poden danar os sistemas dos usuarios; estes erros xeralmente acaban nas noticias, como cando Microsoft Security Essentials identificou Google Chrome como un virus, AVG corrompiu as versións de 64 bits de Windows 7 ou Sophos se identificou como software prexudicial.
A heurística tamén pode aumentar a taxa de falsos positivos. Un programa antivirus pode notar que un programa se comporta de forma similar ao malware e confundilo cun virus.
aínda que, Os falsos positivos son bastante raros no uso normal . Se o teu antivirus di que un ficheiro é malicioso, normalmente deberías crelo. Se non está seguro de se un ficheiro é realmente un virus, pode tentar cargalo VirusTotal (que agora é propiedade de Google). VirusTotal analiza o ficheiro cunha variedade de produtos antivirus diferentes e dille o que di cada un sobre eles.
taxas de detección
Distintos programas antivirus teñen diferentes taxas de detección e tanto as definicións de virus como os métodos de inferencia contribúen ás discrepancias. Algunhas empresas de antivirus poden ter heurísticas máis eficaces e publicar máis definicións de virus que os seus competidores, o que resulta nunha maior taxa de detección.
Algunhas organizacións proban regularmente os programas antivirus entre si, comparando as súas taxas de detección no uso real. Emítense AV-Comparativos Os estudos comparan regularmente o estado actual das taxas de detección de antivirus. As taxas de descubrimento tenden a flutuar co paso do tempo: ningún produto mellor está sempre por diante da curva. Se realmente estás buscando descubrir o eficaz que é o teu software antivirus e cal é o mellor, os estudos de taxas de detección son o lugar onde buscar.
Proba de software antivirus
Se algunha vez queres probar se o teu antivirus funciona correctamente, podes usar Ficheiro de proba EICAR . Un ficheiro EICAR é unha forma estándar de probar o software antivirus; en realidade non é perigoso, pero os programas antivirus actúan coma se fose perigoso e identifícano como virus. Isto permítelle probar as respostas antivirus sen usar un virus vivo.
Os programas antivirus son pezas complexas de software e pódense escribir libros grosos sobre o tema, pero, con sorte, este artigo fíxoche familiarizado cos conceptos básicos.
