If-Koubou

Cum funcționează software-ul antivirus

Cum funcționează software-ul antivirus (Cum să)

Programele antivirus sunt componente puternice de software care sunt esențiale pe calculatoarele Windows. Dacă v-ați întrebat vreodată cum programe antivirus detectează viruși, ce fac pe computerul dvs. și dacă trebuie să efectuați scanări periodice de sistem, citiți mai departe.

Un program antivirus este o parte esențială a unei strategii de securitate cu mai multe straturi - chiar dacă sunteți un utilizator de computer inteligent, fluxul constant de vulnerabilități pentru browsere, plug-in-uri și sistemul de operare Windows face ca protecția antivirus să fie importantă.

Scanare la acces

Software-ul antivirus rulează în fundal pe computer, verificând fiecare fișier pe care îl deschideți. Acest lucru este cunoscut în general ca scanare la acces, scanare de fundal, scanare rezidentă, protecție în timp real sau altceva, în funcție de programul dvs. antivirus.

Când faceți dublu clic pe un fișier EXE, poate părea că programul se lansează imediat - dar nu. Software-ul antivirus verifică mai întâi programul, comparându-l cu viruși, viermi și alte tipuri de malware cunoscute. De asemenea, software-ul antivirus nu verifică "heuristic", verificând programele pentru tipuri de comportamente necorespunzătoare care pot indica un nou virus necunoscut.

Programele antivirus scanează și alte tipuri de fișiere care pot conține viruși. De exemplu, un fișier arhivat .zip poate conține viruși comprimați sau un document Word poate conține o macrocomandă rău intenționată. Fișierele sunt scanate ori de câte ori sunt utilizate - de exemplu, dacă descărcați un fișier EXE, acesta va fi scanat imediat, înainte să îl deschideți chiar.

Este posibil să utilizați un antivirus fără scanare la acces, însă în general aceasta nu este o idee bună - virușii care exploatează găurile de securitate din programe nu ar fi prinși de scaner. După ce un virus a infectat sistemul dvs., este mult mai greu să îl eliminați. (Este, de asemenea, greu să fiți sigur că malware-ul a fost vreodată complet eliminat.)

Scanează sistemul complet

Din cauza scanării la acces, de obicei, nu este necesar să rulați scanarea în întregul sistem. Dacă descărcați un virus pe computerul dvs., programul dvs. antivirus va observa imediat - nu trebuie să inițiați manual o scanare mai întâi.

Scanările de pe întregul sistem pot fi utile pentru anumite lucruri. O scanare completă a sistemului este utilă atunci când tocmai ați instalat un program antivirus - vă asigură că nu există virusi care stau latente pe computer. Majoritatea programelor antivirus au instalat scanări complete programate, adesea o dată pe săptămână. Acest lucru asigură faptul că cele mai recente fișiere de definiție ale virusului sunt utilizate pentru a scana sistemul pentru virușii latenți.

Aceste scanări complete pe disc pot fi, de asemenea, utile atunci când reparați un computer. Dacă doriți să reparați un computer deja infectat, inserarea hard diskului în alt computer și efectuarea unei scanări complete a sistemului pentru viruși (dacă nu faceți o reinstalare completă a Windows) este utilă. Cu toate acestea, de obicei, nu trebuie să rulați complet sistemul de scanare atunci când un program antivirus vă protejează deja - este întotdeauna scanarea în fundal și efectuarea propriilor scane de scanare complete.

Virus Definitions

Software-ul antivirus se bazează pe definiții de virusi pentru detectarea malware-ului. De aceea, se descarcă automat fișiere de definiție noi, actualizate - o dată pe zi sau chiar mai des. Fișierele de definiție conțin semnături pentru viruși și alte programe malware care au fost întâlnite în sălbăticie. Atunci când un program antivirus scanează un fișier și observă că fișierul se potrivește cu o piesă de malware cunoscută, programul antivirus oprește rularea fișierului, punându-l în "quatantine". În funcție de setările programului antivirus, programul antivirus poate șterge automat fișier sau este posibil să puteți permite fișierului să ruleze oricum, dacă sunteți încrezător că este un tip fals pozitiv.

Companiile antivirus trebuie să țină mereu la curent cu cele mai recente fragmente de programe malware, eliberând actualizări de definiție care asigură că programele lor sunt prinse de programele malware. Laboratoarele antivirus utilizează o varietate de instrumente pentru dezasamblarea virușilor, pentru a le rula în sandbox-uri și pentru a lansa actualizări în timp util, care asigură că utilizatorii sunt protejați de noua piesă de malware.

Euristici

Programele antivirus folosesc de asemenea heuristici. Euristica permite unui program antivirus să identifice tipuri de malware noi sau modificate, chiar și fără fișiere de definiție a virusului. De exemplu, dacă un program antivirus observă că un program care rulează pe sistemul dvs. încearcă să deschidă fiecare fișier EXE din sistem, infectându-l scriind o copie a programului original în el, programul antivirus poate detecta acest program ca un nou, tipul necunoscut de virus.

Niciun program antivirus nu este perfect. Heuristica nu poate fi prea agresivă sau va marca software-ul legitim ca viruși.

Poziții false

Datorită cantității mari de software aflate acolo, este posibil ca programele antivirus să poată spune ocazional că un fișier este un virus atunci când acesta este de fapt un fișier complet sigur. Acest lucru este cunoscut sub numele de "fals pozitiv". Ocazional, companiile antivirus fac chiar greșeli cum ar fi identificarea fișierelor de sistem Windows, programe populare de la terți sau propriile fișiere de programe antivirus ca viruși. Aceste false pozitive pot deteriora sistemele utilizatorilor - astfel de greșeli se termină în știri, ca atunci când Microsoft Security Essentials identifică Google Chrome ca un virus, AVG a deteriorat versiunile pe 64 de biți ale Windows 7 sau Sophos sa identificat ca malware.

Euristica poate, de asemenea, crește rata de fals pozitive. Un antivirus poate observa că un program se comportă similar cu un program rău intenționat și îl identifică ca un virus.

Cu toate acestea, fals pozitive sunt destul de rare în utilizarea normală. Dacă antivirusul dvs. spune că un fișier este rău intenționat, ar trebui să credeți în general. Dacă nu sunteți sigur dacă un fișier este de fapt un virus, puteți încerca să îl încărcați în VirusTotal (care este în prezent deținut de Google).VirusTotal scanează fișierul cu o varietate de produse antivirus diferite și vă spune ce spune fiecare despre el.

Rata de detecție

Diferitele programe antivirus au rate de detecție diferite, care implică atât definiții ale virușilor, cât și euristic. Unele companii antivirus pot avea euristici mai eficiente și pot elibera mai multe definiții ale virușilor decât concurenții lor, rezultând o rată mai mare de detectare.

Unele organizații fac teste regulate ale programelor antivirus în comparație cu altele, comparând ratele de detecție în utilizarea în lumea reală. AV-Comparitives publică în mod regulat studii care compară starea actuală a ratelor de detecție antivirus. Ratele de detectare tind să fluctueze în timp - nu există niciunul dintre cele mai bune produse care să fie în mod constant în partea de sus. Dacă sunteți într-adevăr în căutarea pentru a vedea cât de eficient este un program antivirus și care sunt cele mai bune acolo, studiile ratei de detectare sunt locul de a arăta.

Testarea unui program antivirus

Dacă doriți vreodată să testați dacă un program antivirus funcționează corect, puteți utiliza fișierul de testare EICAR. Fișierul EICAR este o modalitate standard de a testa programele antivirus - nu este de fapt periculoasă, dar programele antivirus se comportă ca și cum ar fi periculoase, identificând-o ca un virus. Acest lucru vă permite să testați răspunsurile programului antivirus fără a utiliza un virus live.

Programele antivirus sunt componente complicate de software și cărți groase pot fi scrise despre acest subiect - dar sperăm că acest articol v-a adus la curent cu elementele de bază.