Hogyan működik a vírusirtó:
A víruskereső programok olyan hatékony szoftverek, amelyek nélkülözhetetlenek a Windows rendszerű számítógépeken. Ha valaha is azon töprengett, hogyan észleli a víruskereső szoftver a vírusokat, mit csinálnak a számítógépén, és hogy Önnek kell-e rendszeres rendszervizsgálatot végeznie, olvassa el.
A víruskereső szoftver egy többrétegű biztonsági stratégia elengedhetetlen része – még akkor is, ha Ön okostelefon-felhasználó, a böngésző sebezhetőségeinek folyamatos áradata. és beépülő modulok és rendszer Maga a Windows operációs rendszer is fontossá teszi a vírusvédelmet.
Szkennelés érkezéskor
A víruskereső a háttérben fut a számítógépén, és minden megnyitott fájlt megvizsgál. Ezt általában hozzáférés közbeni vizsgálatnak, háttérben történő vizsgálatnak, rezidens vizsgálatnak, valós idejű védelemnek vagy valami másnak nevezik, a vírusirtótól függően.
Ha duplán kattint egy EXE fájlra, úgy tűnhet, hogy a program azonnal elindul, de nem. A víruskereső először átvizsgálja a programot, és összehasonlítja Vírusok, férgek és más típusú rosszindulatú programok ismert. A víruskereső "heurisztikus" vizsgálatot is végez, és olyan rossz viselkedést keres a programokban, amelyek új, ismeretlen vírusra utalhatnak.
A víruskereső szoftver más típusú fájlokat is keres, amelyek vírusokat tartalmazhatnak. Például tartalmazhat .zip archív fájl tömörített vírusokat tartalmaz, vagy tartalmazhat Word dokumentum egy káros makrón. A fájlok vizsgálata minden használatkor megtörténik – például ha letölt egy EXE fájlt, a rendszer azonnal megvizsgálja, még a megnyitás előtt is.
Valószínűleg Használjon víruskeresőt on-access vizsgálat nélkül Ez azonban általában nem jó ötlet – a szoftverek sebezhetőségeit kihasználó vírusokat a szkenner nem észleli. Miután a rendszer megfertőződött egy vírussal, az Nehéz eltávolítani . (Ez is nehéz Győződjön meg arról, hogy a rosszindulatú programokat teljesen eltávolította .)
Teljes rendszerellenőrzés
Az on-access vizsgálat miatt általában nincs szükség teljes rendszerellenőrzésre. Ha letölt egy vírust a számítógépére, a vírusirtó azonnal észreveszi – nem kell először manuálisan elindítania a vizsgálatot.
A teljes rendszerellenőrzés azonban lehetséges Néhány dologhoz hasznos. A teljes rendszerellenőrzés akkor hasznos, ha éppen most telepített egy víruskeresőt – ez biztosítja, hogy ne leselkedjenek vírusok a számítógépére. A legtöbb víruskereső program igen Állítsa be a teljes rendszer ütemezett vizsgálatát , általában hetente egyszer. Ez biztosítja, hogy a rendszer a legújabb vírusleíró fájlokat használja a rendszere látens vírusok keresésére.
Ezek a teljes lemezellenőrzések a számítógép javítása során is hasznosak lehetnek. Ha egy már fertőzött számítógépet szeretne megjavítani, célszerű a merevlemezét egy másik számítógépbe helyezni, és teljes rendszerellenőrzést végezni víruskereső (ha nem történik meg). a Windows teljes újratelepítése). Általában azonban nem kell teljes rendszerellenőrzést futtatnia, ha egy vírusirtó ténylegesen megvédi Önt – ez mindig a háttérben vizsgálja, és rendszeresen átkutatja az egész rendszert.
Vírusdefiníciók
A víruskereső szoftver vírusdefiníciókra támaszkodik a rosszindulatú programok észleléséhez. Ezért automatikusan letölti az új és frissített profilokat – naponta egyszer vagy még gyakrabban. A definíciós fájlok a vadonban előforduló vírusok és más rosszindulatú programok aláírásait tartalmazzák. Amikor a víruskereső szoftver átvizsgál egy fájlt, és észreveszi, hogy a fájl egy ismert rosszindulatú programnak felel meg, a víruskereső szoftver leállítja a fájlt, és a „ szigetelés .” A víruskereső beállításaitól függően előfordulhat, hogy a víruskereső automatikusan törli a fájlt, vagy mégis engedélyezheti a fájl futtatását – ha biztos benne, hogy hamis pozitív eredményt ad.
A víruskereső cégeknek folyamatosan lépést kell tartaniuk a legújabb rosszindulatú programokkal, és olyan definíciós frissítéseket kell kiadniuk, amelyek biztosítják, hogy szoftvereik észleljék a rosszindulatú programokat. A víruskereső laboratóriumok különféle eszközöket használnak a vírusok szétszedésére és futtatására Homokozók És adjon ki időben frissítéseket, amelyek biztosítják a felhasználók védelmét az új rosszindulatú programok ellen.
következtetés
A víruskereső szoftverek heurisztikát és gépi tanulást is használnak. Gépi tanulási modellek jönnek létre Több száz vagy több ezer rosszindulatú programtöredék elemzésével, hogy megtalálják a közös jellemzőket vagy viselkedéseket. A programcsomag lehetővé teszi a víruskereső program számára az új vagy módosított típusú rosszindulatú programok azonosítását, még vírusleíró fájlok nélkül is. Például, ha a víruskereső azt észleli, hogy a rendszeren futó program megpróbál megnyitni minden EXE fájlt a rendszeren, és megfertőzi az eredeti program másolatának beírásával, a vírusirtó új, ismeretlenként észlelheti a programot. vírus típusa.
Egyetlen vírusirtó sem tökéletes. A túl agresszív heurisztika – vagy a nem megfelelően képzett gépi tanulási modellek – tévesen a tökéletesen biztonságos szoftvereket rosszindulatú programként jelölhetik meg.
Hamis pozitívumok
A nagy mennyiségű szoftver miatt a víruskereső szoftverek valószínűleg néha azt mondják, hogy egy fájl vírus, pedig valójában teljesen biztonságos fájl. Ez az úgynevezett " álpozitív. A víruskereső cégek néha hibákat követnek el, például a Windows rendszerfájlokat, a népszerű harmadik féltől származó szoftvereket vagy a saját víruskereső szoftvereiket vírusként azonosítják. Ezek a téves pozitív adatok károsíthatják a felhasználók rendszereit – az ilyen hibák általában a hírekbe kerülnek, például amikor a Microsoft Security Essentials vírusként azonosította a Google Chrome-ot, az AVG megrongálta a Windows 64 7 bites verzióit, vagy a Sophos kártékony szoftverként azonosította magát.
A heurisztika növelheti a hamis pozitív eredmények arányát is. Egy víruskereső program észreveheti, hogy egy program a rosszindulatú programokhoz hasonlóan viselkedik, és összetévesztheti vírussal.
bár, Normál használat során a téves pozitív eredmények meglehetősen ritkák . Ha a víruskereső azt mondja, hogy egy fájl rosszindulatú, akkor általában el kell hinnie. Ha nem biztos abban, hogy egy fájl valóban vírus-e, megpróbálhatja feltölteni ide VirusTotal (amely jelenleg a Google tulajdona). A VirusTotal számos különböző víruskereső termékkel ellenőrzi a fájlt, és elmondja, hogy mindegyik mit mond róluk.
észlelési arányok
A különböző víruskereső programok eltérő észlelési arányúak, és mind a vírusdefiníciók, mind a következtetési módszerek hozzájárulnak az eltérésekhez. Előfordulhat, hogy egyes víruskereső cégek hatékonyabb heurisztikával rendelkeznek, és több vírusdefiníciót adnak ki, mint versenytársaik, ami magasabb észlelési arányt eredményez.
Egyes szervezetek rendszeresen tesztelik egymás ellen a víruskereső programokat, összehasonlítva azok észlelési arányát a tényleges használat során. AV-összehasonlító kiadványokat adnak ki A tanulmányok rendszeresen összehasonlítják a víruskereső ráta jelenlegi állapotát. A felfedezési arányok idővel ingadoznak – egyetlen legjobb termék sem jár mindig a görbe előtt. Ha valóban azt szeretné megtudni, mennyire hatékony a víruskereső szoftvere, és melyik a legjobb, érdemes az észlelési arányról szóló tanulmányokat megvizsgálni.
Víruskereső szoftver teszt
Ha valaha is szeretné tesztelni, hogy a vírusirtó megfelelően működik-e, használhatja EICAR tesztfájl . Az EICAR-fájl a víruskereső szoftverek tesztelésének szokásos módja – valójában nem veszélyes, de a víruskereső programok úgy viselkednek, mintha veszélyesek lennének, és vírusként azonosítják. Ez lehetővé teszi a víruskereső válaszok tesztelését élő vírus használata nélkül.
A víruskereső programok összetett szoftverek, és vastag könyveket lehetne írni a témáról – de remélhetőleg ez a cikk megismertette az alapokkal.
