Антивирусные программы являются мощной частью программного обеспечения, которые необходимы на компьютерах Windows. Как антивирусная программа обнаруживает вирусы, что они делают на вашем компьютере, и нужно ли выполнять регулярное сканирование системы. Антивирусная программа является неотъемлемой частью многоуровневой защиты, целая стратегия — даже если вы умный пользователь, постоянный поток уязвимостей браузеров, плагинов, и операционных систем, делает антивирусную защиту важной. Антивирусное программное обеспечение работает в фоновом режиме, проверяя при запуске каждый файл. Это, как известно, сканирование при доступе, фоновое сканирование, сканирование резидентов, защиту в реальном времени, или что-то еще, в зависимости от вашей антивирусной программы. В компьютерной безопасности, термин «уязвимость» используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ. Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления и использовать инструменты, которые помогают противодействовать возможным атакам.
Когда вы запускаете EXE-файл. то может показаться, что программа запускается сразу, — но это не так. Сначала ваша антивирусная программа проверяет программу, сравнивая ее с уже известными вирусами, червями и другими видами вредоносного программного обеспечения. Антивирусное программное обеспечение также проводит «эвристический» анализ системы.
Эвристический анализ (эвристическое сканирование) — это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов. Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.
Проверка программ по видам поведения, что может указывать на новые, неизвестные вирусы. Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, ZIP. Архивный файл может содержать вирусы. Файлы проверяются, когда они используются — например, если вы загружаете EXE файл, он будет проверен сразу же, прежде чем вы его откроете. Можно конечно использовать антивирус без сканирования при доступе, но это не очень хорошая идея — вирусы, которые используют дыры в безопасности программы не будут обнаружены сканером. После того, как вирус заразил вашу систему, это гораздо труднее удалить. Также трудно быть уверенным, что вредоносная программа была полностью удалена.
Полное сканирование системы полезно, когда вы только что установили антивирусную программу — это обнаружит вирусы на вашем компьютере. У большинства антивирусных программ, запланировано полное сканирование системы раз в неделю. Это гарантирует, что последние версии файлов описаний вирусов используется для сканирования системы для неактивных вирусов.
Вирус Определение — ваша антивирусная программа опирается на описания вирусов для обнаружения вредоносных программ. Вот почему она автоматически загружает новые, обновленные файлы определения — один раз в день, в неделю или даже чаще. Определение файлов содержат подписи на наличие вирусов и других вредоносных программ, которые встречаются во всемирной паутине.
Если антивирусная программа сканирует файл и отмечает, что файл соответствует известной вредоносной программы, антивирусная программа останавливает файл от запуска, отправляя его в «карантин». В зависимости от настроек антивирусной программы, она может автоматически удалить файл или вы можете позволить запустить файл, если вы уверены, что это ложно-положительный.
Антивирусные компании должны постоянно быть в курсе последних определений вредоносных программ, выпуская обновления, которые обеспечивают обнаружение вредоносных программ.
Антивирусные лаборатории используют различные инструменты для обезвреживания вирусов. Они специально запускают их в своей лаборатории для изучения и поиска современных средств, которые обеспечат пользователям защищиту от новой вредоносной программы.
Эвристика — антивирусные программы также используют эвристику. Эвристика позволяет антивирусной программе выявить новые или измененные типы вредоносных программ, даже без файла вирусных сигнатур. Например, если антивирусная программа замечает, что программа, работающая на вашей системе пытается открыть каждый EXE файл в системе, заражая ее, написав копию исходной программы в ней, антивирусная программа может обнаружить эту программу в качестве нового, неизвестный типа вируса.
Ни одна антивирусная программа не является совершенной. Эвристика то же иногда принимает легальные программы как вирусы.
Ложные срабатывания — из-за большого количества программного обеспечения, вполне возможно, что антивирусные программы могут иногда принять абсолютно безопасный файл за вирус. Это называется ложное срабатывание. Иногда, антивирусные компании даже делают ошибки, например принимают некоторые системные файлы в Windows и популярные сторонние антивирусные программы и их собственную антивирусную сигнатуру как вирусы. Эти ложные срабатывания могут привести к повреждению операционной системы пользователей — ну и соответственно не очень хорошая репутация, например, когда Microsoft Security Essentials определили Google Chrome как вирус или когда AVG повредил 64-разрядные версии Windows 7, ну и совсем уж из ряда вон выходящий случай с Sophos который сам себя идентифицировал как вредоносную программу. Несмотря на всё это, ложных срабатывания довольно редки. Если ваш антивирус говорит, что файл является вредоносным, следует это поверить. Если вы не уверены, является ли файл на самом деле вирусом, вы можете попробовать загрузить его на VirusTotal (сервис который теперь принадлежит Google).
VirusTotal просканирует файл различными антивирусными продуктами и говорит вам, что каждый из них говорит об этом.
VirusTotal
Онлайн-сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами. VirusTotal награжден Американским изданием PC World Magazine как один из 100 лучших продуктов 2007 года. Имел локализацию на многие языки мира, включая русский. После обновления доступен только английский вариант. Сервис является полностью бесплатным, не принуждая пользователя ни к прямым, ни к косвенным тратам. Результаты проверок файлов сервисом не зависят от какого-то одного производителя антивирусов. В VirusTotal используется несколько десятков антивирусных систем, что позволяет делать более надёжные выводы об опасности файла, по сравнению с каким-то одним продуктом. Это позволяет выявлять ложные срабатывания какого-то одного антивируса, либо, наоборот, несрабатывания на свежий штамм, возможно, уже внесенный другими производителями в свои базы.
Все используемые сервисом антивирусные базы постоянно обновляются. В результатах проверки указываются даты последних обновлений всех баз. Замечательной возможностью VirusTotal является определение уже проверенных файлов по хэшу. После загрузки файла система вычисляет его хэш и при наличии результатов проверки файла с таким же хэшем сразу выдаст их пользователю, с указанием всех подробностей, включая дату проверки. При этом возможно повторить проверку на текущий момент, с текущими обновлениями баз.
На сайте можно посмотреть статистику по проведенным проверкам в реальном времени. С 7 сентября 2012 года сервис приобретён компанией Google.
Различные антивирусные программы имеют различный уровень обнаружения. Некоторые сервисы делают регулярные тесты антивирусных программ в сравнении друг с другом, сравнивая их уровень обнаружения. AV-Comparitives регулярно выпускает исследования, которые сравнивают текущее состояние ставок антивирусов.
Определение, колеблется с течением времени — на сервисе не выявляется лучший продукт. Если вы действительно хотите увидеть, какие антивирусные программы лучшие, надо использовать рейтинг. Он основан на компетентной комиссией и общим голосованием.
Тестирование антивирусных программ
Если вы хотите, проверить, работает ли ваша антивирусная программа должным образом, вы можете использовать тестовый файл от EICAR. EICAR файл является стандартным способом тестирования антивирусных программ — это на самом деле не опасно, но антивирусные программы ведут себя, как будто это вирус, соответственно и идентифицируя его как вирус, правда будет указано что это тест.
Антивирусные программы являются сложной частью программного обеспечения, на эту тему можно написать толстенные книги, — но, мы надеемся, что данная статья позволила вам понять основы.