Jak działa program antywirusowy:
Programy antywirusowe to potężne elementy oprogramowania, które są niezbędne na komputerach z systemem Windows. Jeśli kiedykolwiek zastanawiałeś się, w jaki sposób oprogramowanie antywirusowe wykrywa wirusy, co robią na komputerze i czy musisz samodzielnie przeprowadzać regularne skanowanie systemu, czytaj dalej.
Oprogramowanie antywirusowe jest istotną częścią wielowarstwowej strategii bezpieczeństwa — nawet jeśli jesteś użytkownikiem smartfona, ciągły strumień luk w zabezpieczeniach przeglądarki i wtyczki I system Sam system Windows sprawia, że ochrona przed wirusami jest ważna.
Zeskanuj po przyjeździe
Antywirus działa w tle na Twoim komputerze, skanując każdy otwierany plik. Jest to ogólnie znane jako skanowanie podczas uzyskiwania dostępu, skanowanie w tle, skanowanie rezydentne, ochrona w czasie rzeczywistym lub coś innego, w zależności od programu antywirusowego.
Po dwukrotnym kliknięciu pliku EXE może się wydawać, że program uruchamia się od razu — ale tak nie jest. Program antywirusowy najpierw skanuje program i porównuje go Wirusy, robaki i inne rodzaje złośliwego oprogramowania znany. Program antywirusowy wykonuje również skanowanie „heurystyczne”, skanując programy w poszukiwaniu typów złego zachowania, które mogą wskazywać na nowego, nieznanego wirusa.
Oprogramowanie antywirusowe sprawdza również inne typy plików, które mogą zawierać wirusy. Na przykład może zawierać plik archiwum .zip zawierają skompresowane wirusy lub mogą zawierać Dokument Worda na szkodliwe makro. Pliki są skanowane za każdym razem, gdy są używane — na przykład, jeśli pobierzesz plik EXE, zostanie on przeskanowany natychmiast, nawet przed jego otwarciem.
Prawdopodobnie Używaj programu antywirusowego bez skanowania podczas uzyskiwania dostępu Jednak generalnie nie jest to dobry pomysł — wirusy wykorzystujące luki w oprogramowaniu nie zostaną wykryte przez skaner. Po zainfekowaniu systemu wirusem tak jest Trudno go usunąć . (To też jest trudne Upewnij się, że złośliwe oprogramowanie zostało całkowicie usunięte .)
Pełna kontrola systemu
Ze względu na skanowanie podczas uzyskiwania dostępu zwykle nie jest konieczne przeprowadzanie pełnego skanowania systemu. Jeśli pobierzesz wirusa na swój komputer, Twój program antywirusowy od razu go wykryje — nie musisz najpierw ręcznie uruchamiać skanowania.
Jednak pełne skanowanie systemu może być Przydatne do pewnych rzeczy. Pełne skanowanie systemu jest przydatne, gdy właśnie zainstalowałeś program antywirusowy - gwarantuje, że na komputerze nie czają się żadne wirusy. Większość programów antywirusowych to robi Skonfiguruj zaplanowane skanowanie całego systemu , zwykle raz w tygodniu. Dzięki temu do skanowania systemu w poszukiwaniu ukrytych wirusów używane są najnowsze pliki definicji wirusów.
Te pełne kontrole dysku mogą być również przydatne podczas naprawy komputera. Jeśli chcesz naprawić już zainfekowany komputer, dobrym pomysłem jest włożenie jego dysku twardego do innego komputera i wykonanie pełnego skanowania systemu w poszukiwaniu wirusów (jeśli nie zostało wykonane). pełna ponowna instalacja systemu Windows). Jednak zwykle nie musisz uruchamiać pełnego skanowania systemu, gdy program antywirusowy faktycznie Cię chroni — zawsze skanuje w tle i regularnie przegląda cały system.
Definicje wirusów
Oprogramowanie antywirusowe wykorzystuje definicje wirusów do wykrywania złośliwego oprogramowania. Dlatego automatycznie pobiera nowe i zaktualizowane profile - raz dziennie lub nawet częściej. Pliki definicji zawierają sygnatury wirusów i innego złośliwego oprogramowania napotkanego w środowisku naturalnym. Kiedy oprogramowanie antywirusowe skanuje plik i zauważa, że pasuje on do znanego złośliwego oprogramowania, zamyka plik, umieszczając go w folderze „ izolacja ”. W zależności od ustawień programu antywirusowego program antywirusowy może automatycznie usunąć plik lub możesz mimo to pozwolić na uruchomienie pliku — jeśli masz pewność, że jest to fałszywy alarm.
Firmy antywirusowe muszą stale nadążać za najnowszym złośliwym oprogramowaniem i publikować aktualizacje definicji, które zapewniają wykrywanie złośliwego oprogramowania przez ich oprogramowanie. Laboratoria antywirusowe używają różnych narzędzi do dezasemblacji i uruchamiania wirusów Piaskownice I wydawaj aktualne aktualizacje, które zapewniają ochronę użytkowników przed nowym złośliwym oprogramowaniem.
wnioskowanie
Oprogramowanie antywirusowe wykorzystuje również heurystykę i uczenie maszynowe. Tworzone są modele uczenia maszynowego Analizując setki lub tysiące fragmentów złośliwego oprogramowania w celu znalezienia wspólnych cech lub zachowań. Pakiet pozwala programowi antywirusowemu identyfikować nowe lub zmodyfikowane typy złośliwego oprogramowania, nawet bez plików definicji wirusów. Na przykład, jeśli program antywirusowy zauważy, że program działający w systemie próbuje otworzyć każdy plik EXE w systemie i infekuje go, zapisując w nim kopię oryginalnego programu, może wykryć ten program jako nowy, nieznany typ wirusa.
Żaden program antywirusowy nie jest doskonały. Zbyt agresywna heurystyka — lub niewłaściwie wyszkolone modele uczenia maszynowego — może omyłkowo oznaczać doskonale bezpieczne oprogramowanie jako złośliwe oprogramowanie.
Fałszywe alarmy
Ze względu na dużą ilość dostępnego oprogramowania oprogramowanie antywirusowe prawdopodobnie czasami powie, że plik jest wirusem, podczas gdy w rzeczywistości jest to całkowicie bezpieczny plik. Jest to znane jako „ fałszywie dodatni. Czasami firmy antywirusowe popełniają błędy, takie jak identyfikowanie plików systemowych Windows, popularnego oprogramowania innych firm lub własnych plików oprogramowania antywirusowego jako wirusów. Te fałszywe alarmy mogą uszkodzić systemy użytkowników — takie błędy zwykle pojawiają się w wiadomościach, na przykład gdy Microsoft Security Essentials zidentyfikował Google Chrome jako wirusa, AVG uszkodził 64-bitowe wersje systemu Windows 7 lub Sophos zidentyfikował się jako oprogramowanie szkodliwe.
Heurystyka może również zwiększyć odsetek fałszywych alarmów. Program antywirusowy może zauważyć, że program zachowuje się podobnie do złośliwego oprogramowania i pomylić go z wirusem.
chociaż, Fałszywe alarmy są dość rzadkie w normalnym użytkowaniu . Jeśli Twój program antywirusowy mówi, że plik jest złośliwy, ogólnie powinieneś w to uwierzyć. Jeśli nie masz pewności, czy plik jest naprawdę wirusem, możesz spróbować przesłać go do VirusTotal (który jest teraz własnością Google). VirusTotal skanuje plik za pomocą różnych produktów antywirusowych i informuje, co każdy z nich mówi o nich.
wskaźniki wykrywalności
Różne programy antywirusowe mają różne wskaźniki wykrywalności, a zarówno definicje wirusów, jak i metody wnioskowania przyczyniają się do rozbieżności. Niektóre firmy antywirusowe mogą mieć bardziej efektywną heurystykę i publikować więcej definicji wirusów niż ich konkurenci, co skutkuje wyższym współczynnikiem wykrywalności.
Niektóre organizacje regularnie testują programy antywirusowe, porównując ich wskaźniki wykrywalności w rzeczywistych zastosowaniach. Wydawane są porównania AV Badania regularnie porównują aktualny stan wskaźników wykrywalności programów antywirusowych. Współczynniki odkrywania zwykle zmieniają się w czasie — żaden najlepszy produkt nie zawsze wyprzedza konkurencję. Jeśli naprawdę chcesz dowiedzieć się, jak skuteczne jest twoje oprogramowanie antywirusowe i które z nich jest najlepsze, warto przyjrzeć się badaniom współczynnika wykrywalności.
Test oprogramowania antywirusowego
Jeśli kiedykolwiek chcesz sprawdzić, czy Twój program antywirusowy działa poprawnie, możesz użyć plik testowy EICAR . Plik EICAR to standardowy sposób testowania oprogramowania antywirusowego — w rzeczywistości nie jest niebezpieczny, ale programy antywirusowe zachowują się tak, jakby był niebezpieczny i identyfikują go jako wirusa. Pozwala to na testowanie odpowiedzi antywirusowych bez użycia żywego wirusa.
Programy antywirusowe to złożone programy, a na ten temat można by napisać grube książki – ale mam nadzieję, że ten artykuł przybliżył Ci podstawy.
