Антивирусные программы — это мощные части программного обеспечения, которые необходимы на компьютерах. Возможно, вы когда-нибудь задавались вопросом, как антивирусные программы обнаруживают вирусы, что они делают на вашем компьютере и нужно ли вам самостоятельно выполнять регулярное сканирование системы.
Антивирусная программа является неотъемлемой частью многоуровневой стратегии безопасности — даже если вы являетесь продвинутым пользователем компьютера, постоянный поток уязвимостей для браузеров, расширений и самой операционной системы делает антивирусную защиту важной.
Сканирование при доступе
Антивирусное программное обеспечение работает в фоновом режиме на вашем компьютере, проверяя каждый открываемый вами файл. Это обычно назвается как сканирование при доступе, фоновое сканирование, резидентное сканирование, защита в реальном времени или что-то еще, в зависимости от вашей антивирусной программы.
Когда вы дважды щелкаете EXE-файл, может показаться, что программа запускается немедленно, но это не так. Ваше антивирусное программное обеспечение сначала проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет «эвристическую» проверку, проверяя программы на наличие типов плохого поведения, которые могут указывать на новый неизвестный вирус.
Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива .zip может содержать сжатые вирусы, а документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются — например, если вы загружаете EXE-файл, он будет сканироваться немедленно, еще до того, как вы его откроете.
Можно использовать антивирус без сканирования при доступе, но это, как правило, не очень хорошая идея — вирусы, которые используют дыры в безопасности программ, не будут обнаружены сканером. После того, как вирус заразил вашу систему, его гораздо сложнее удалить.
Полное сканирование системы
Из-за сканирования при доступе обычно нет необходимости запускать полное сканирование системы. Если вы загрузите вирус на свой компьютер, ваша антивирусная программа сразу же обнаружит это — вам не нужно предварительно запускать сканирование вручную.
Однако полное сканирование системы может быть полезно для некоторых вещей. Полное сканирование системы полезно, когда вы только что установили антивирусную программу — оно гарантирует, что на вашем компьютере нет бездействующих вирусов. Большинство антивирусных программ настраивают полное сканирование системы по расписанию, часто раз в неделю. Это гарантирует, что самые последние файлы определений вирусов будут использоваться для сканирования вашей системы на наличие спящих вирусов.
Эти полные сканирования диска также могут быть полезны при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск в другой компьютер и выполнить полное сканирование системы на наличие вирусов (если не выполнять полную переустановку Windows). Однако обычно вам не нужно запускать полное сканирование системы самостоятельно, когда антивирусная программа уже защищает вас — она всегда сканирует в фоновом режиме и выполняет свое собственное регулярное полное сканирование системы.
Определения вирусов
Ваше антивирусное программное обеспечение использует определения вирусов для обнаружения вредоносных программ. Вот почему он автоматически загружает новые обновленные файлы определений — раз в день или даже чаще. Файлы определений содержат сигнатуры вирусов и других вредоносных программ. Когда антивирусная программа сканирует файл и обнаруживает, что файл соответствует известной вредоносной программе, антивирусная программа останавливает запуск файла, помещая его в «карантин». В зависимости от настроек вашей антивирусной программы антивирусная программа может автоматически удалить файл, или вы все равно сможете разрешить запуск файла, если вы уверены, что это ложное срабатывание.
Антивирусные компании должны постоянно быть в курсе последних вредоносных программ, выпуская обновления определений, которые гарантируют, что вредоносное ПО будет перехвачено их программами. Антивирусные лаборатории используют различные инструменты для дизассемблирования вирусов, запуска их в песочницах и выпуска своевременных обновлений, обеспечивающих защиту пользователей от новых вредоносных программ.
Эвристика
Антивирусные программы также используют эвристику и машинное обучение. Модели машинного обучения создаются путем анализа сотен или тысяч единиц вредоносного ПО для поиска общих свойств или поведения. Эта комбинация позволяет антивирусной программе идентифицировать новые или измененные типы вредоносных программ даже без файлов определений вирусов. Например, если антивирусная программа замечает, что программа, работающая в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, записывая в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.
Ни одна антивирусная программа не идеальна. Слишком агрессивные эвристики или неправильно обученные модели машинного обучения могут случайно пометить совершенно безопасное программное обеспечение как вредоносное ПО.
Ложные срабатывания
Из-за большого количества программного обеспечения вполне возможно, что антивирусные программы могут иногда называть файл вирусом, хотя на самом деле это совершенно безопасный файл. Это известно как «ложноположительный результат». Иногда антивирусные компании даже допускают ошибки, например, идентифицируя системные файлы Windows, популярные сторонние программы или файлы собственных антивирусных программ как вирусы. Эти ложные срабатывания могут повредить системы пользователей — такие ошибки обычно попадают в новости, например, когда Microsoft Security Essentials идентифицировала Google Chrome как вирус, AVG повредила 64-разрядные версии Windows 7 или Sophos идентифицировала себя как вредоносное ПО.
Эвристика также может увеличить количество ложных срабатываний. Антивирус может заметить, что программа ведет себя аналогично вредоносной программе, и ошибочно идентифицировать ее как вирус.
Несмотря на это, ложные срабатывания довольно редки при обычном использовании. Если ваш антивирус говорит, что файл является вредоносным, вы, как правило, должны ему верить. Если вы не уверены, действительно ли файл является вирусом, вы можете попробовать загрузить его на VirusTotal (который теперь принадлежит Google). VirusTotal сканирует файл с помощью различных антивирусных продуктов и сообщает вам, что каждый из них говорит о нем.
Скорость обнаружения
Различные антивирусные программы имеют разную скорость обнаружения, и как определения вирусов, так и эвристики вносят свой вклад в расхождения. Некоторые антивирусные компании могут иметь более эффективную эвристику и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокому уровню обнаружения.
Некоторые организации проводят регулярные тесты антивирусных программ в сравнении друг с другом, сравнивая показатели их обнаружения в реальных условиях. AV-Comparitives регулярно публикует исследования, в которых сравниваются текущие показатели обнаружения вирусов. Показатели обнаружения имеют тенденцию колебаться со временем — нет лучшего продукта, который постоянно находится на вершине. Если вы действительно хотите узнать, насколько эффективна антивирусная программа и какие из них являются лучшими, обратите внимание на исследования уровня обнаружения.
Тестирование антивирусной программы
Если вы когда-нибудь захотите проверить, правильно ли работает антивирусная программа, вы можете использовать тестовый файл EICAR. Файл EICAR — это стандартный способ проверки антивирусных программ — на самом деле он не опасен, но антивирусные программы ведут себя так, как будто он опасен, идентифицируя его как вирус. Это позволяет протестировать реакцию антивирусной программы без использования живого вируса.
