Come funziona l'antivirus:
I programmi antivirus sono potenti software essenziali sui computer Windows. Se ti sei mai chiesto in che modo il software antivirus rileva i virus, cosa fa sul tuo computer e se è necessario eseguire tu stesso scansioni regolari del sistema, continua a leggere.
Il software antivirus è una parte essenziale di una strategia di sicurezza a più livelli: anche se sei un utente di smartphone, il flusso costante di vulnerabilità del browser e componenti aggiuntivi E sistema Il funzionamento di Windows stesso rende importante la protezione antivirus.
Scansione all'arrivo
L'antivirus viene eseguito in background sul tuo computer, scansionando ogni file che apri. Questo è generalmente noto come scansione in accesso, scansione in background, scansione residente, protezione in tempo reale o qualcos'altro, a seconda del tuo antivirus.
Quando fai doppio clic su un file EXE, potrebbe sembrare che il programma si avvii immediatamente, ma non è così. L'antivirus scansiona prima il programma e lo confronta Virus, worm e altri tipi di malware conosciuto. L'antivirus esegue anche una scansione "euristica", scansionando i programmi alla ricerca di tipi di comportamento scorretto che potrebbero indicare un virus nuovo e sconosciuto.
Il software antivirus controlla anche altri tipi di file che potrebbero contenere virus. Ad esempio, può contenere File di archivio .zip contengono virus compressi o possono contenere Documento di Word su una macro dannosa. I file vengono scansionati ogni volta che vengono utilizzati, ad esempio, se scarichi un file EXE, verrà scansionato immediatamente, anche prima di aprirlo.
Probabilmente Utilizzare un antivirus senza una scansione all'accesso Tuttavia, questa non è generalmente una buona idea: i virus che sfruttano le vulnerabilità nel software non verranno rilevati dallo scanner. Dopo che il tuo sistema è stato infettato da un virus, lo è È difficile rimuoverlo . (È anche difficile Assicurati che il malware sia stato completamente rimosso .)
Controllo completo del sistema
A causa della scansione in accesso, di solito non è necessario eseguire scansioni complete del sistema. Se scarichi un virus sul tuo computer, il tuo antivirus lo noterà immediatamente: non devi prima avviare manualmente la scansione.
Tuttavia, possono essere eseguite scansioni complete del sistema Utile per alcune cose. Una scansione completa del sistema è utile quando hai appena installato un antivirus: assicura che non ci siano virus in agguato sul tuo computer. La maggior parte dei programmi antivirus lo fa Impostare scansioni pianificate dell'intero sistema , di solito una volta alla settimana. Ciò garantisce che i file di definizione dei virus più recenti vengano utilizzati per eseguire la scansione del sistema alla ricerca di virus latenti.
Questi controlli completi del disco possono essere utili anche durante la riparazione di un computer. Se vuoi riparare un computer già infetto, è una buona idea inserire il suo disco rigido in un altro computer ed eseguire una scansione completa del sistema alla ricerca di virus (se non eseguita). una reinstallazione completa di Windows). Tuttavia, di solito non è necessario eseguire una scansione completa del sistema quando un antivirus ti sta effettivamente proteggendo: esegue sempre la scansione in background ed esegue le sue scansioni regolari dell'intero sistema.
Definizioni di virus
Il software antivirus si basa sulle definizioni dei virus per rilevare il malware. Ecco perché scarica automaticamente i profili nuovi e aggiornati, una volta al giorno o anche più spesso. I file di definizione contengono firme di virus e altri malware rilevati in natura. Quando il software antivirus esegue la scansione di un file e rileva che il file corrisponde a un malware noto, il software antivirus chiude il file, inserendolo nella cartella " isolamento .” A seconda delle impostazioni dell'antivirus, l'antivirus potrebbe eliminare il file automaticamente o potresti essere in grado di eseguire comunque il file, se sei sicuro che si tratti di un falso positivo.
Le società di antivirus devono tenere costantemente il passo con il malware più recente e rilasciare aggiornamenti delle definizioni che assicurano che il malware venga rilevato dal loro software. I laboratori antivirus utilizzano una varietà di strumenti per disassemblare ed eseguire virus Sandbox E rilascia aggiornamenti tempestivi che assicurano che gli utenti siano protetti da nuovi malware.
inferenza
Il software antivirus utilizza anche l'euristica e l'apprendimento automatico. Vengono creati modelli di apprendimento automatico Analizzando centinaia o migliaia di frammenti di malware per trovare caratteristiche o comportamenti comuni. La suite consente al programma antivirus di identificare tipi di malware nuovi o modificati, anche senza file di definizione dei virus. Ad esempio, se il tuo antivirus nota che un programma in esecuzione sul tuo sistema sta tentando di aprire ogni file EXE sul tuo sistema e lo infetta scrivendovi una copia del programma originale, l'antivirus può rilevare quel programma come nuovo, sconosciuto tipo di virus.
Nessun antivirus è perfetto. Euristiche eccessivamente aggressive o modelli di apprendimento automatico addestrati in modo improprio possono contrassegnare erroneamente software perfettamente sicuri come malware.
Falsi positivi
A causa della grande quantità di software disponibile, il software antivirus a volte probabilmente dirà che un file è un virus quando, in realtà, è un file completamente sicuro. Questo è noto come " falso positivo. A volte, le aziende produttrici di antivirus commettono errori come l'identificazione di file di sistema di Windows, software di terze parti popolari o file del proprio software antivirus come virus. Questi falsi positivi possono danneggiare i sistemi degli utenti: tali errori generalmente finiscono nelle notizie, come quando Microsoft Security Essentials ha identificato Google Chrome come un virus, AVG ha danneggiato le versioni a 64 bit di Windows 7 o Sophos si è identificata come software dannoso.
L'euristica può anche aumentare il tasso di falsi positivi. Un programma antivirus potrebbe notare che un programma si comporta in modo simile al malware e scambiarlo per un virus.
Anche se, I falsi positivi sono abbastanza rari nell'uso normale . Se il tuo antivirus dice che un file è dannoso, dovresti generalmente crederci. Se non sei sicuro che un file sia davvero un virus, puoi provare a caricarlo su VirusTotal (che ora è di proprietà di Google). VirusTotal esegue la scansione del file con una varietà di diversi prodotti antivirus e ti dice cosa dice ciascuno di essi.
tassi di rilevamento
Diversi programmi antivirus hanno tassi di rilevamento diversi e sia le definizioni dei virus che i metodi di inferenza contribuiscono alle discrepanze. Alcune aziende produttrici di antivirus possono disporre di un'euristica più efficace e rilasciare più definizioni di virus rispetto ai loro concorrenti, determinando un tasso di rilevamento più elevato.
Alcune organizzazioni testano regolarmente i programmi antivirus l'uno contro l'altro, confrontando i loro tassi di rilevamento nell'uso effettivo. Vengono emessi i comparativi AV Gli studi confrontano regolarmente lo stato attuale dei tassi di rilevamento degli antivirus. I tassi di scoperta tendono a fluttuare nel tempo: nessun prodotto migliore è sempre all'avanguardia. Se stai davvero cercando di scoprire quanto è efficace il tuo software antivirus e qual è il migliore, gli studi sui tassi di rilevamento sono il posto dove cercare.
Test software antivirus
Se vuoi verificare se il tuo antivirus funziona correttamente, puoi utilizzare File di prova EICAR . Un file EICAR è un modo standard per testare il software antivirus: in realtà non è pericoloso, ma i programmi antivirus si comportano come se fosse pericoloso e lo identificano come un virus. Ciò consente di testare le risposte antivirus senza utilizzare un virus attivo.
I programmi antivirus sono software complessi e si potrebbero scrivere libri spessi sull'argomento, ma, si spera, questo articolo ti ha fatto conoscere le basi.
