Начална » как да » Как работи антивирусен софтуер

    Как работи антивирусен софтуер

    Антивирусните програми са мощни части от софтуера, които са от съществено значение за Windows компютрите. Ако някога сте се чудили как антивирусните програми откриват вируси, какво правят на компютъра ви и дали трябва да извършвате редовни системни сканирания, прочетете на.

    Антивирусната програма е съществена част от многопластова стратегия за сигурност - дори ако сте интелигентен потребител на компютър, постоянният поток от уязвимости за браузъри, приставки и самата операционна система Windows правят антивирусната защита важна.

    Сканиране при достъп

    Антивирусният софтуер работи във фонов режим на компютъра ви, като проверява всеки отворен от вас файл. Това обикновено е известно като сканиране при достъп, фоново сканиране, локално сканиране, защита в реално време или нещо друго, в зависимост от антивирусната ви програма.

    Когато щракнете двукратно върху EXE файл, може да изглежда, че програмата стартира веднага - но не го прави. Вашият антивирусен софтуер първо проверява програмата, сравнявайки я с известни вируси, червеи и други видове зловреден софтуер. Вашият антивирусен софтуер също прави "евристични" проверки, като проверява програми за видове лошо поведение, които могат да означават нов, неизвестен вирус.

    Антивирусните програми също сканират други типове файлове, които могат да съдържат вируси. Например архивен файл .zip може да съдържа компресирани вируси или документ на Word може да съдържа злонамерен макрос. Файловете се сканират, когато се използват - например, ако изтеглите EXE файл, той ще бъде сканиран незабавно, дори преди да го отворите.

    Възможно е да се използва антивирусна програма без сканиране на достъп, но това като цяло не е добра идея - вирусите, които използват дупки в сигурността в програмите, няма да бъдат хванати от скенера. След като вирусът е заразил вашата система, е много по-трудно да се премахне. (Също така е трудно да се уверите, че зловредният софтуер е бил напълно премахнат.)

    Пълно сканиране на системата

    Поради сканирането по време на достъп обикновено не е необходимо да се извършват сканирания на цялата система. Ако изтеглите вирус на компютъра, антивирусната ви програма ще забележи незабавно - не е необходимо първо да стартирате ръчно сканиране.

    Пълен сканиране на системата обаче може да е полезно за някои неща. Пълното сканиране на системата е полезно, когато току-що сте инсталирали антивирусна програма - тя гарантира, че на компютъра ви няма вируси. Повечето антивирусни програми създават планирани пълни системни сканирания, често веднъж седмично. Това гарантира, че най-новите файлове с дефиниции на вируси се използват за сканиране на вашата система за латентни вируси.

    Тези пълни сканирания на диска също могат да бъдат полезни при ремонт на компютър. Ако искате да поправите вече заразен компютър, полезно е да поставите твърдия диск в друг компютър и да извършите пълно сканиране за вируси (ако не извършите пълно преинсталиране на Windows). Обикновено не се налага да изпълнявате пълно сканиране на системата, когато някоя антивирусна програма вече ви защитава - тя винаги сканира във фонов режим и прави свои собствени, редовни, пълни сканирания..

    Дефиниции на вируси

    Вашият антивирусен софтуер разчита на дефиниции на вируси за откриване на зловреден софтуер. Ето защо той автоматично изтегля нови, актуализирани файлове с дефиниции - веднъж дневно или дори по-често. Файловете с дефиниции съдържат подписи за вируси и друг зловреден софтуер, които са срещани в природата. Когато антивирусна програма сканира файл и забележи, че файлът съответства на известен зловреден софтуер, антивирусната програма спира изпълнението на файла, поставяйки го в „карантина“. В зависимост от настройките на антивирусната ви програма антивирусната програма може автоматично да изтрие файла или пък може да успеете да позволите на файла да работи, ако сте сигурни, че е фалшиво положителен.

    Антивирусните компании трябва непрекъснато да поддържат актуална информация за последните зловредни програми, като издават актуализации на дефиниции, които гарантират, че зловредният софтуер е заловен от техните програми. Лабораториите за антивирусни програми използват разнообразни инструменти за разглобяване на вируси, пускането им в пясъчника и освобождаване на навременни актуализации, които гарантират, че потребителите са защитени от новия зловреден софтуер.

    евристики

    Антивирусните програми използват и евристики. Евристиката позволява на антивирусна програма да идентифицира нови или модифицирани видове злонамерен софтуер, дори и без дефиниции на вируси. Например, ако дадена антивирусна програма забележи, че дадена програма, която се изпълнява на вашата система, се опитва да отвори всеки EXE файл на вашата система, като я зарази, като напише копие на оригиналната програма в нея, антивирусната програма може да открие тази програма като нова, неизвестен тип вирус.

    Няма антивирусна програма. Евристиката не може да бъде твърде агресивна или ще маркира законния софтуер като вируси.

    Фалшиви позитиви

    Поради голямото количество софтуер там е възможно антивирусните програми понякога да казват, че даден файл е вирус, когато всъщност е напълно безопасен файл. Това е известно като "фалшиво позитивно". Понякога антивирусните компании правят грешки, като например идентифициране на системни файлове на Windows, популярни програми на трети страни или собствени антивирусни програми като вируси. Тези фалшиви положителни резултати могат да навредят на системите на потребителите - такива грешки обикновено се оказват в новините, тъй като когато Microsoft Security Essentials идентифицира Google Chrome като вирус, AVG е повредил 64-битовите версии на Windows 7, или Sophos се идентифицира като злонамерен софтуер.

    Евристиката също може да увеличи процента на неверни положителни резултати. Антивирусът може да забележи, че дадена програма се държи подобно на злонамерена програма и я идентифицира като вирус.

    Въпреки това фалшивите положителни резултати са рядкост при нормална употреба. Ако антивирусната ви система твърди, че даден файл е злонамерен, обикновено трябва да го вярвате. Ако не сте сигурни дали даден файл всъщност е вирус, можете да опитате да го качите в VirusTotal (който сега е собственост на Google). VirusTotal сканира файла с различни антивирусни продукти и ви казва какво казва всеки от тях.

    Честота на разпознаване

    Различните антивирусни програми имат различни нива на откриване, в които участват и двете дефиниции на вируси и евристики. Някои антивирусни компании могат да имат по-ефективна евристика и да издават повече дефиниции на вируси от своите конкуренти, което води до по-висока степен на откриване.

    Някои организации правят редовни тестове на антивирусни програми в сравнение с тях, като сравняват нивата на откриване в реална употреба. AV-Comparitives публикува редовно проучвания, които сравняват текущото състояние на антивирусното откриване. Процентът на откриване има тенденция да се колебае с течение на времето - няма един най-добър продукт, който да е на върха. Ако наистина искате да видите колко ефективна е една антивирусна програма и кои са най-добрите там, проучванията за степента на откриване са мястото, което трябва да търсите.

    Тестване на антивирусна програма

    Ако някога искате да тествате дали дадена антивирусна програма работи правилно, можете да използвате тестовия файл на EICAR. Файлът EICAR е стандартен начин за тестване на антивирусни програми - той всъщност не е опасен, но антивирусните програми се държат така, сякаш са опасни, идентифицирайки го като вирус. Това ви позволява да тествате отговорите на антивирусната програма, без да използвате жив вирус.


    Антивирусните програми са сложни части от софтуера, а дебели книги могат да бъдат написани по тази тема - но се надяваме, че тази статия ви доведе до бързина с основите.