Антивирусната програма е съществена част от многопластовата стратегия за сигурност - дори и да сте интелигентен потребител на компютъра, постоянният поток от уязвимости за браузъри, приставки и самата операционна система Windows прави антивирусната защита важна.
Сканиране по време на достъп
Антивирусният софтуер работи във фонов режим на компютъра, като проверява всеки отворен файл. Това обикновено е известно като сканиране по време на достъп, сканиране на фона, местно сканиране, защита в реално време или нещо друго, в зависимост от вашата антивирусна програма.
Когато кликнете два пъти върху EXE файл, може да изглежда, че програмата стартира незабавно - но не. Антивирусният ви софтуер първо проверява програмата, сравнявайки я с известни вируси, червеи и други видове зловреден софтуер. Вашият антивирусен софтуер извършва и "евристична" проверка, като проверява програми за видовете лошо поведение, което може да означава нов, неизвестен вирус.
Антивирусните програми сканират и други типове файлове, които могат да съдържат вируси. Например архивен файл.zip може да съдържа компресирани вируси или документ в Word може да съдържа злонамерен макрос. Файловете се сканират, когато се използват - например, ако изтеглите EXE файл, той ще бъде сканиран незабавно, преди да го отворите.
Възможно е да се използва антивирус без сканиране при достъп, но това обикновено не е добра идея - вируси, които използват дупки за сигурност в програмите, няма да бъдат захванати от скенера. След като вирусът зарази вашата система, е много по-трудно да я премахнете. (Също така е трудно да сте сигурни, че злонамереният софтуер някога е бил напълно премахнат.)
Пълен сканиране на системата
Поради сканирането по време на достъп, обикновено не е необходимо да се провеждат сканиране на цялата система. Ако изтеглите вирус на компютъра си, антивирусната ви програма веднага ще забележи - не е необходимо първо да стартирате ръчно сканирането.
Пълните системни сканирания обаче могат да бъдат полезни за някои неща. Пълното сканиране на системата е от полза, когато току-що сте инсталирали антивирусна програма - тя гарантира, че няма вируси, които са на латентност на вашия компютър. Повечето антивирусни програми създават планирани пълни системни сканирания, често веднъж седмично. Това гарантира, че най-новите файлове за дефиниране на вируси се използват за сканиране на вашата система за латентни вируси.
Тези пълно сканирани сканирания също могат да ви помогнат при ремонт на компютър. Ако искате да поправите вече заразен компютър, вмъкване на твърдия диск на друг компютър и извършване на цялостно сканиране на вируси (ако не извършите пълно преинсталиране на Windows) е полезно. Обикновено, обаче, обикновено не се налага да провеждате пълно сканиране на системата, когато антивирусна програма вече ви защитава - винаги сканира във фонов режим и извършва свои собствени, редовни сканирания на цялата система.
Дефиниции на вируси
Вашият антивирусен софтуер разчита на вирусни дефиниции за откриване на злонамерен софтуер. Ето защо той автоматично изтегля нови, актуализирани файлове за дефиниране - веднъж на ден или дори по-често. Файловете за дефиниране съдържат подписи за вируси и друг злонамерен софтуер, срещани в дивата природа. Когато антивирусна програма сканира файл и забелязва, че файлът съвпада с известно зловреден софтуер, антивирусната програма спира файла да се изпълнява и го поставя в "карантина". В зависимост от настройките на антивирусната програма, антивирусната програма може автоматично да изтрие файла или може да сте в състояние да позволите на файла да работи така или иначе, ако сте уверени, че това е фалшиво положително.
Антивирусните компании трябва непрекъснато да поддържат актуална информация за най-новите зловреден софтуер, като предоставят актуализации на дефинициите, които гарантират, че злонамереният софтуер се улавя от програмите им. Антивирусните лаборатории използват различни инструменти, за да разглобяват вируси, да ги пускат в пясъчни кутии и да освобождават своевременни актуализации, които гарантират, че потребителите са защитени от новата част от зловреден софтуер.
евристики
Антивирусните програми също използват евристика. Евристиката позволява на антивирусна програма да идентифицира нови или модифицирани типове зловреден софтуер, дори без файлове за дефиниране на вируси. Например, ако една антивирусна програма забележи, че програма, изпълнявана на вашата система, се опитва да отвори всеки EXE файл на вашата система, като я зарази, като напише копие на оригиналната програма в нея, антивирусната програма може да открие тази програма като нова, неизвестен тип вирус.
Никоя антивирусна програма не е перфектна. Евристиката не може да бъде прекалено агресивна или те ще маркират легитимен софтуер като вируси.
Фалшиви позитиви
Поради голямото количество софтуер там, възможно е антивирусните програми понякога да казват, че даден файл е вирус, когато всъщност е напълно безопасен файл. Това е известно като "фалшиво положително". Понякога антивирусните компании дори правят грешки като идентифициране на системни файлове на Windows, популярни програми на трети страни или на собствени антивирусни програми като вируси. Тези фалшиви положителни данни могат да увредят системите на потребителите - такива грешки обикновено завършват в новините, тъй като Microsoft Security Essentials идентифицира Google Chrome като вирус, а AVG повредени 64-битови версии на Windows 7 или Sophos се идентифицира като злонамерен софтуер.
Евристиката може също да увеличи честотата на фалшивите положителни резултати. Антивирусът може да забележи, че дадена програма се държи по същия начин като злонамерена програма и я идентифицира като вирус.
Въпреки това, фалшивите положителни резултати са доста редки при нормална употреба. Ако вашият антивирус казва, че файлът е злонамерен, по принцип трябва да го вярвате. Ако не сте сигурни дали даден файл всъщност е вирус, можете да опитате да го качите на VirusTotal (който в момента е собственост на Google). VirusTotal сканира файла с различни антивирусни продукти и ви казва какво казва всеки от него.
Степени на откриване
Различните антивирусни програми имат различни проценти на откриване, в които участват както вирусните дефиниции, така и евристиката. Някои антивирусни компании могат да имат по-ефективна евристика и да издават повече дефиниции на вируси от техните конкуренти, което води до по-висока степен на откриване.
Някои организации извършват редовни тестове на антивирусни програми в сравнение помежду си, сравнявайки техните проценти на откриване в реалния свят. AV-Comparitives редовно публикува проучвания, които сравняват текущото състояние на антивирусните нива на откриване. Процентът на откриване има тенденция да се колебае с течение на времето - няма нито един най-добър продукт, който да е последователно на върха. Ако наистина искате да видите колко е ефективна антивирусната програма и кои са най-добрите там, проучванията за степента на откриване са мястото, където можете да търсите.
Тестване на антивирусна програма
Ако някога искате да тествате дали антивирусната програма работи правилно, можете да използвате тестовия файл на EICAR. Файлът на EICAR е стандартен начин за тестване на антивирусни програми - всъщност не е опасен, но антивирусните програми се държат като опасни, като ги идентифицират като вируси. Това ви позволява да тествате реакциите на антивирусната програма, без да използвате жив вирус.
Антивирусните програми са сложни софтуерни продукти и могат да се напишат дебели книги за тази тема - но се надяваме, че тази статия ви доведе до бързина с основите.
