Cum funcționează software-ul antivirus
Programele antivirus sunt componente puternice de software care sunt esențiale pe calculatoarele Windows. Dacă v-ați întrebat vreodată cum programe antivirus detectează viruși, ce fac pe computerul dvs. și dacă trebuie să efectuați periodic scanări de sistem, citiți mai departe.
Un program antivirus este o parte esențială a unei strategii de securitate cu mai multe straturi - chiar dacă sunteți un utilizator de computer inteligent, fluxul constant de vulnerabilități pentru browsere, plug-in-uri și sistemul de operare Windows face ca protecția antivirus să fie importantă.
Scanare la acces
Software-ul antivirus rulează în fundal pe computer, verificând fiecare fișier pe care îl deschideți. Aceasta este în general cunoscută ca scanare la acces, scanare de fundal, scanare rezidentă, protecție în timp real sau altceva, în funcție de programul dvs. antivirus.
Când faceți dublu clic pe un fișier EXE, se poate ca programul să se lanseze imediat - dar nu. Software-ul antivirus verifică mai întâi programul, comparându-l cu viruși, viermi și alte tipuri de malware cunoscute. Software-ul antivirus efectuează, de asemenea, verificări "euriste", verificând programele pentru tipuri de comportamente necorespunzătoare care pot indica un nou virus necunoscut.
Programele antivirus scanează și alte tipuri de fișiere care pot conține viruși. De exemplu, un fișier arhivat .zip poate conține viruși comprimați sau un document Word poate conține o macrocomandă rău intenționată. Fișierele sunt scanate ori de câte ori sunt utilizate - de exemplu, dacă descărcați un fișier EXE, acesta va fi scanat imediat, înainte de a-l deschide chiar.
Este posibil să utilizați un antivirus fără scanare la acces, însă în general aceasta nu este o idee bună - virușii care exploatează găurile de securitate din programe nu ar fi prinși de scaner. După ce un virus a infectat sistemul dvs., este mult mai greu să îl eliminați. (De asemenea, este greu să fii sigur că malware-ul a fost vreodată complet eliminat.)
Scanează sistemul complet
Din cauza scanării la acces, nu este de obicei necesar să rulați scanările de pe întregul sistem. Dacă descărcați un virus pe computerul dvs., programul dvs. antivirus va observa imediat - nu este necesar să inițializați manual o scanare.
Scanează sistemul complet poate fi util pentru unele lucruri, totuși. O scanare completă a sistemului este utilă atunci când tocmai ați instalat un program antivirus - vă asigură că nu există virusi care stau latente pe calculatorul dumneavoastră. Majoritatea programelor antivirus au stabilit scanări complete programate, adesea o dată pe săptămână. Acest lucru asigură faptul că cele mai recente fișiere de definiție a virusului sunt utilizate pentru a scana sistemul pentru viruși inactivi.
Aceste scanări complete de disc pot fi, de asemenea, utile atunci când se repară un computer. Dacă doriți să reparați un computer deja infectat, inserarea hard disk-ului în alt computer și efectuarea unei scanări complete a sistemului pentru viruși (dacă nu faceți o reinstalare completă a Windows) este utilă. Cu toate acestea, de obicei, nu trebuie să rulați complet sistemul de scanare atunci când un program antivirus vă protejează deja - acesta este întotdeauna scanarea în fundal și efectuarea propriilor scane de scanare complete.
Definiții ale virușilor
Software-ul antivirus se bazează pe definiții de virusi pentru detectarea malware-ului. De aceea, se descarcă automat fișiere de definiție noi, actualizate - o dată pe zi sau chiar mai des. Fișierele de definiție conțin semnături pentru viruși și alte programe malware care au fost întâlnite în sălbăticie. Când un program antivirus scanează un fișier și observă că fișierul se potrivește cu o malware cunoscută, programul antivirus oprește rularea fișierului, punându-l în "carantină". În funcție de setările programului antivirus, programul antivirus poate șterge automat fișierul sau ați putea permite fișierului să ruleze oricum, dacă sunteți încrezător că este un tip fals pozitiv.
Companiile antivirus trebuie să țină mereu la curent cu cele mai recente fragmente de programe malware, eliberând actualizări de definiții care asigură că programele lor sunt prinse de programele malware. Laboratoarele antivirus utilizează o varietate de instrumente pentru dezasamblarea virușilor, pentru a le rula în sandbox-uri și pentru a lansa actualizări în timp util, care asigură că utilizatorii sunt protejați de noua piesă de malware.
Euristici
Programele antivirus folosesc de asemenea euristici. Euristica permite unui program antivirus să identifice tipuri noi de malware, chiar și fără fișiere de definiție a virusului. De exemplu, dacă un program antivirus observă că un program care rulează pe sistemul dvs. încearcă să deschidă fiecare fișier EXE din sistem, infectându-l scriind o copie a programului original în el, programul antivirus poate detecta acest program ca un nou, tip necunoscut de virus.
Niciun program antivirus nu este perfect. Heuristica nu poate fi prea agresivă sau va marca software-ul legitim ca viruși.
Fals pozitive
Datorită cantității mari de software aflate acolo, este posibil ca programele antivirus să poată spune ocazional că un fișier este un virus atunci când este de fapt un fișier complet sigur. Acest lucru este cunoscut ca un "fals pozitiv". Ocazional, companiile antivirus fac chiar greșeli cum ar fi identificarea fișierelor de sistem Windows, programe populare de la terți sau propriile fișiere de programe antivirus ca viruși. Aceste fals pozitive pot deteriora sistemele utilizatorilor - astfel de greșeli se termină, în general, în știri, ca atunci când Microsoft Security Essentials identifică Google Chrome ca un virus, AVG a deteriorat versiunile pe 64 de biți ale Windows 7 sau Sophos sa identificat ca malware.
Heuristica poate, de asemenea, crește rata de fals pozitive. Un antivirus poate observa că un program se comportă similar cu un program rău intenționat și îl identifică ca un virus.
În ciuda acestui fapt, fals pozitive sunt destul de rare în utilizarea normală. Dacă antivirusul dvs. spune că un fișier este rău intenționat, ar trebui să credeți în general. Dacă nu sunteți sigur dacă un fișier este de fapt un virus, puteți încerca să îl încărcați în VirusTotal (care este în prezent deținut de Google). VirusTotal scanează fișierul cu o varietate de produse antivirus diferite și vă spune ce spune fiecare despre el.
Rata de detecție
Diferitele programe antivirus au diferite rate de detecție, în care sunt implicate atât definițiile virușilor, cât și euristica. Unele companii antivirus pot avea euristici mai eficiente și pot elibera mai multe definiții ale virușilor decât concurenții lor, rezultând o rată de detecție mai mare.
Unele organizații fac teste regulate ale programelor antivirus în comparație cu altele, comparând ratele lor de detectare în utilizarea în lumea reală. Companiile AV-Comparitive publică în mod regulat studii care compară starea actuală a ratelor de detecție antivirus. Ratele de detectare tind să fluctueze în timp - nu există niciunul dintre cele mai bune produse care să fie în mod constant în partea de sus. Dacă sunteți într-adevăr în căutarea pentru a vedea cât de eficient este un program antivirus și care sunt cele mai bune acolo, studiile de rată de detecție sunt locul de a arăta.
Testarea unui program antivirus
Dacă doriți vreodată să testați dacă un program antivirus funcționează corect, puteți utiliza fișierul de test EICAR. Fișierul EICAR este un mod standard de a testa programele antivirus - nu este de fapt periculos, dar programele antivirus se comportă ca și cum ar fi periculoase, identificând-o ca un virus. Acest lucru vă permite să testați răspunsurile programului antivirus fără a utiliza un virus live.
Programele antivirus sunt părți complicate de software și cărți groase pot fi scrise despre acest subiect - dar sperăm că acest articol v-a adus la curent cu elementele de bază.