Kuidas viirusetõrjetarkvara töötab
Viirusetõrjeprogrammid on võimas tarkvara, mis on Windowsi arvutites hädavajalik. Kui olete kunagi mõelnud, kuidas viirusetõrjeprogrammid viirusi tuvastavad, mida nad teie arvutis teevad ja kas te peate regulaarselt süsteemi skaneerima, loe edasi.
Viirusetõrjeprogramm on mitmekihilise turvastrateegia oluline osa - isegi kui olete nutikas arvuti kasutaja, teeb brauserite, pistikprogrammide ja Windowsi operatsioonisüsteemi haavatavuste pidev voog ise viirusetõrje tähtsuse.
On-Access skaneerimine
Viirusetõrjetarkvara töötab teie arvuti taustal, kontrollides iga avatud faili. Seda tuntakse üldjuhul ligipääsetava skaneerimise, taustal skaneerimise, residentide skaneerimise, reaalajas kaitse või mõne muu, sõltuvalt teie viirusetõrjeprogrammist.
Kui topeltklõpsate EXE-failil, võib see tunduda, et programm käivitub kohe - aga see ei ole. Teie viirusetõrjetarkvara kontrollib programmi kõigepealt, võrrelda seda teadaolevate viiruste, usside ja muude pahavara tüüpidega. Teie viirusetõrjetarkvara teostab ka heuristilist kontrolli, kontrollides programme selliste halva käitumise tüüpide jaoks, mis võivad viidata uuele tundmatule viirusele.
Viirusetõrjeprogrammid skannivad ka muud tüüpi faile, mis võivad sisaldada viirusi. Näiteks .zip-arhiivifail võib sisaldada kokkusurutud viiruseid või Wordi dokument võib sisaldada pahatahtlikku makro. Faile skannitakse alati, kui neid kasutatakse - näiteks kui laadite alla EXE-faili, skannitakse see kohe, enne kui avate selle.
Viirusetõrjet on võimalik kasutada ilma juurdepääsuta skaneerimiseta, kuid see pole üldjuhul hea mõte - viirused, mis kasutavad programmis turvalisuse auke, ei jääks skannerisse kinni. Kui viirus on teie süsteemi nakatanud, on see palju raskem eemaldada. (Samuti on raske olla kindel, et pahavara on kunagi täielikult eemaldatud.)
Täielik süsteemi skaneerimine
Juurdepääsuga skaneerimise tõttu ei ole tavaliselt vaja kogu süsteemi skaneerida. Kui laadite oma arvutisse viiruse alla, märkab teie viirusetõrjeprogramm kohe - te ei pea esmalt skannima käsitsi.
Täieliku süsteemi skaneerimine võib siiski olla mõningate asjade jaoks kasulik. Täielik süsteemi skaneerimine on kasulik, kui olete just installinud viirusetõrje programmi - see tagab, et teie arvutis pole ühtegi viirust. Enamik viirusetõrjeprogramme seadistavad planeeritud täissüsteemi skaneeringud, sageli kord nädalas. See tagab viimaste viirusetõrjefailide skaneerimise teie vaikivate viiruste jaoks.
Need täieliku ketta skaneeringud võivad olla abiks ka arvuti parandamisel. Kui soovite juba nakatunud arvutit parandada, siis on kasulik paigaldada selle kõvaketas teise arvutisse ja teostada täissüsteemi skaneerimine viiruste jaoks (kui see ei tee täielikku Windowsi uuesti installimist). Siiski ei pea te üldjuhul täis süsteemi skaneerima, kui viirusetõrjeprogramm juba kaitseb sind - see skaneerib alati taustal ja teeb oma, korrapärase, täissüsteemi skaneerimise.
Viiruse definitsioonid
Viirusetõrje avastamiseks kasutab teie viirusetõrjetarkvara viiruse määratlusi. Sellepärast laadib see automaatselt alla uued, uuendatud definitsioonifailid - üks kord päevas või isegi sagedamini. Määratlusfailid sisaldavad allkirju viiruste ja muude looduses esinevate pahavara jaoks. Kui viirusetõrjeprogramm skannib faili ja märkab, et fail sobib teadaoleva pahavara osaga, peatab viirusetõrje programm faili käivitamise, asetades selle „karantiini.” Olenevalt viirusetõrjeprogrammi seadetest võib viirusetõrjeprogramm faili automaatselt kustutada või võite lubada faili igal juhul käivitada, kui olete kindel, et see on valepositiivne.
Viirusetõrjeettevõtted peavad pidevalt ajakohastama uusimaid pahavara tükke, vabastades määratluse värskendusi, mis tagavad, et nende programmid haaravad pahavara. Viirusetõrje laborid kasutavad viiruste demonteerimiseks erinevaid tööriistu, käivitavad neid liivakastides ja vabastavad õigeaegseid värskendusi, mis tagavad kasutajate kaitsmise uue õelvara eest.
Heuristika
Viirusetõrje programmid kasutavad ka heuristikat. Heuristics võimaldab viirusetõrjeprogrammil tuvastada uusi või modifitseeritud pahavara tüüpe isegi ilma viiruse määratlemise failideta. Näiteks, kui viirusetõrjeprogramm märkab, et teie süsteemis töötav programm püüab avada iga teie EXE-faili oma süsteemis, nakatades seda, kirjutades algupärase programmi koopia, võib viirusetõrjeprogramm seda programmi tuvastada, tundmatu viiruse tüüp.
Ükski viirusetõrjeprogramm pole täiuslik. Heuristika ei saa olla liiga agressiivne ega luba seaduslikku tarkvara viirustena.
Vale positiivne
Kuna seal on palju tarkvara, on võimalik, et viirusetõrjeprogrammid võivad mõnikord öelda, et fail on viirus, kui see on täiesti ohutu fail. Seda nimetatakse „valepositiivseks“. Vahel teevad viirusetõrjeettevõtted vigu, nagu näiteks Windowsi süsteemifailide, populaarsete kolmanda osapoole programmide või oma viirusetõrjeprogrammi tuvastamine. Need valepositiivsed tulemused võivad kasutajate süsteeme kahjustada - sellised vead jõuavad tavaliselt uudisesse, sest kui Microsoft Security Essentials tuvastas Google Chrome'i viirusena, kahjustas AVG Windows 7 64-bitisi versioone või Sophos tuvastas ennast pahavara.
Heuristika võib suurendada ka valepositiivseid tulemusi. Viirusetõrje võib täheldada, et programm käitub sarnaselt pahatahtliku programmiga ja tuvastab selle viirusena.
Sellest hoolimata on tavapärasel kasutamisel valepositiivsed. Kui teie viirusetõrje ütleb, et fail on pahatahtlik, peaksite seda üldiselt uskuma. Kui te ei ole kindel, kas fail on tegelikult viirus, võite proovida selle laadida programmi VirusTotal (mis on nüüd Google'i omandis). VirusTotal skannib faili mitmesuguste viirusetõrjetoodetega ja ütleb teile, mida igaüks sellest räägib.
Tuvastamise määrad
Erinevatel viirusetõrjeprogrammidel on erinevad avastamiskiirused, millega on seotud nii viiruse määratlused kui ka heuristika. Mõnedel viirusetõrjeettevõtetel võib olla tõhusam heuristika ja vabastada rohkem viiruse määratlusi kui nende konkurendid, mille tulemuseks on kõrgem tuvastusmäär.
Mõned organisatsioonid kontrollivad üksteisega regulaarselt viirusetõrjeprogramme, võrreldes nende avastamise määrasid reaalses kasutuses. AV-Comparitives avaldab regulaarselt uuringuid, mis võrdlevad viirusetõrje avastamise määra praegust olukorda. Tuvastamise määrad kipuvad aja jooksul kõikuma - seal ei ole ühtegi parimat toodet, mis on järjekindlalt peal. Kui soovite tõesti näha, kui tõhus on viirusetõrjeprogramm ja mis on seal parimad, on avastamise määra uuringud kohad, mida vaadata.
Viirusetõrje programmi testimine
Kui soovite kunagi kontrollida, kas viirusetõrjeprogramm töötab korralikult, saate kasutada EICAR-i testifaili. EICAR-fail on viirusetõrjeprogrammide testimise tavapärane viis - see ei ole tegelikult ohtlik, kuid viirusetõrjeprogrammid käituvad nii, nagu oleks ohtlik, identifitseerides selle viirusena. See võimaldab teil testida viirusetõrje programmi vastuseid ilma elusviirust kasutamata.
Viirusetõrjeprogrammid on keerulised tarkvarad ning selle teema kohta võib kirjutada paksusid raamatuid, kuid loodetavasti tõi see artikkel kaasa põhitõedega.