27Aug
A víruskereső programok olyan erőteljes szoftverek, amelyek alapvető fontosságúak a Windows számítógépeken. Ha valaha is elgondolkoztál, hogy a víruskereső programok milyen vírusokat észlelnek, mit csinálnak a számítógépen, és hogy rendszeresen be kell-e szkennelni a rendszereket, olvasd el.
A víruskereső program egy többrétegű biztonsági stratégia lényeges része - még akkor is, ha okos számítógépes felhasználó vagy, a böngészők, plug-inek és a Windows operációs rendszer állandó sebezhetősége miatt a vírusvédelem fontos.
On-Access szkennelés
A víruskereső szoftver fut a számítógép hátterében, ellenőrizve minden megnyitott fájlt. Ezt általában az on-access szkennelésnek, a háttér-szkennelésnek, a rezidens beolvasásnak, a valós idejű védelemnek vagy valami másnak nevezik, a víruskereső programtól függően.
Ha duplán kattint egy EXE fájlra, úgy tűnhet, hogy a program azonnal elindul - de nem. Először a víruskereső program ellenőrzi a programot, összehasonlítva az ismert vírusokkal, férgekkel és egyéb rosszindulatú programokkal. A víruskereső szoftverek "heurisztikus" ellenőrzést is végeznek, és ellenőrzik a rossz viselkedésű típusok programjait, amelyek új, ismeretlen vírust jelezhetnek.
A víruskereső programok más típusú fájlokat is beolvastathatnak, amelyek vírusokat tartalmazhatnak. Például egy. zip archív fájl tömörített vírusokat tartalmazhat, vagy a Word dokumentum rosszindulatú makrót tartalmazhat. A fájlok szkennelésre kerülnek minden alkalommal, amikor használják őket - például ha EXE fájlt tölt le, azonnal beolvasásra kerül, mielőtt még megnyitná.
A víruskereső vírusellenőrzés nélkül is használható, de ez általában nem jó ötlet - a vírusokat, amelyek a programokban lévő biztonsági réseket kihasználják, a szkenner nem fogja megragadni. Miután a vírus megfertőzte a rendszert, sokkal nehezebb eltávolítani.(Nehéz meggyőződni arról, hogy a rosszindulatú programot valaha teljesen eltávolították.)
A teljes rendszerellenőrzés
Az on-line beolvasás miatt rendszerint nem szükséges teljes rendszerellenőrzést végezni. Ha vírust tölt le a számítógépére, a víruskereső program azonnal észreveszi - először nem kell manuálisan elindítania a szkennelést.
A teljes rendszerellenőrzések hasznosak lehetnek bizonyos dolgok számára. A teljes rendszerellenőrzés hasznos, ha csak telepített egy víruskereső programot - biztosítja, hogy ne legyenek vírusok a számítógépen. A legtöbb víruskereső program ütemezett teljes rendszerellenőrzést állít be, gyakran hetente egyszer. Ez biztosítja, hogy a legfrissebb vírusdefiníciós fájlokat használják a rendszer lehallgatott vírusainak beolvasására.
Ezek a teljes lemezes beolvasások hasznosak lehetnek a számítógép javításakor is. Ha meg szeretné javítani egy már fertőzött számítógépet, akkor a merevlemez egy másik számítógépbe történő behelyezésével és a teljes rendszerű víruskeresés végrehajtásával( ha nem végzi el teljesen a Windows újratelepítését) hasznos. Azonban általában nem kell a teljes rendszerellenőrzést végrehajtani, amikor egy vírusvédelmi program már védelmet nyújt Önnek - mindig a háttérben vizsgálja, és saját, rendszeres, teljes rendszerű vizsgálatokat végez.
vírusleírások
A víruskereső szoftver vírusleírásokra támaszkodik a rosszindulatú programok észlelésére. Ezért tölt le új, frissített definíciós fájlokat - naponta egyszer vagy még gyakrabban. A definíciós fájlok aláírják a vírusokat és egyéb rosszindulatú programokat, amelyek a vadonban előfordultak. Ha egy víruskereső program beolvassa a fájlt, és észreveszi, hogy a fájl egy ismert malware-programnak felel meg, a víruskereső program megakadályozza a fájl futását és "karanténba" helyezését. A víruskereső program beállításaitól függően a víruskereső program automatikusan törölheti a fájltvagy engedélyezheti a fájl futtatását, ha biztos abban, hogy hamis pozitív.
A vírusvédelmi vállalatoknak folyamatosan folyamatosan naprakészeknek kell lenniük a legfrissebb rosszindulatú programokkal, és felszabadítják a definíciós frissítéseket, amelyek biztosítják, hogy a rosszindulatú programokat a programjuk fogta el. Az antivírus laboratóriumok számos eszközt használnak a vírusok szétszereléséhez, a homokozóban történő futtatáshoz és az időszerű frissítések kiadásához, amelyek biztosítják a felhasználók számára az új kártevők elleni védelmet.
Heurisztika
A víruskereső programok heurisztikát is alkalmaznak. A heurisztika lehetővé teszi egy víruskereső program számára új vagy módosított rosszindulatú programok azonosítását, még vírusleíró fájlok nélkül is. Ha például egy víruskereső program észleli, hogy egy rendszeren futó program megpróbálja megnyitni a rendszer összes EXE fájlját, megfertőzve az eredeti program másolatának beírásával, a víruskereső program felismeri ezt a programot, mint új,ismeretlen típusú vírus.
Nincs víruskereső program tökéletes. A heurisztika nem lehet túl agresszív vagy a legális szoftvereket vírusként jelöli meg.
False Positives
A nagyszámú szoftver miatt a víruskereső programok alkalmanként azt mondhatják, hogy egy fájl vírus, ha valóban egy teljesen biztonságos fájl. Ezt "hamis pozitívnak" hívják. Előfordul, hogy a víruskereső vállalatok hibákat is okoznak, például a Windows rendszerfájlok, a népszerű harmadik fél programok vagy a saját víruskereső programfájljaik vírusként való azonosítását. Ezek a hamis pozitívumok károsíthatják a felhasználók rendszereit - az ilyen hibák általában a hírekben végződnek, amikor a Microsoft Security Essentials vírusként azonosította a Google Chrome-ot, az AVG megsérült a Windows 7 64 bites verzióit vagy a Sophos kártékony programként azonosították magát.
A heurisztika növelheti a hamis pozitív értékek számát is. A víruskereső észlelheti, hogy egy program rosszindulatú programhoz hasonlóan viselkedik és vírusként azonosítja azt.
Ennek ellenére a hamis pozitívumok viszonylag ritkák a normál használat során. Ha a víruskereső azt mondja, hogy egy fájl rosszindulatú, akkor általában el kell hinni. Ha nem biztos abban, hogy egy fájl valójában vírus, próbálja meg feltölteni a VirusTotalba( amely jelenleg a Google tulajdonában van).A VirusTotal többféle vírusirtó termékkel vizsgálja meg a fájlt, és elmondja, mit mondanak róla.
észlelési ráta
A különböző víruskereső programok különböző észlelési arányokat tartalmaznak, amelyek mind vírusleírásokkal, mind heurisztikával kapcsolatosak. Egyes vírusvédelmi vállalatok hatékonyabb heurisztikával rendelkezhetnek, és több vírusleírást bocsátanak ki, mint a versenytársaik, ami magasabb észlelési arányt eredményez.
Egyes szervezetek rendszeresen tesztelik a víruskereső programokat, összehasonlítva egymással az észlelési arányukat a valóságos használat során. Az AV-Comparatives rendszeresen kiad olyan tanulmányokat, amelyek összehasonlítják a víruskereső észlelési sebességének jelenlegi állapotát. Az észlelési sebességek hajlamosak ingadozni az idő múlásával - nincs egyetlen legjobb termék, amely következetesen felül van. Ha valóban arra törekszünk, hogy megnézzük, mennyire hatékony egy víruskereső program, és amelyek a legjobbak, akkor az észlelési arányok tanulmányozása az a hely, ahol meg kell nézni.
Víruskereső program tesztelése
Ha meg akarja tudni ellenőrizni, hogy egy víruskereső program megfelelően működik-e, használhatja az EICAR tesztfájlt. Az EICAR fájl szabványos módszer a víruskereső programok tesztelésére - ez valójában nem veszélyes, de a víruskereső programok úgy viselkednek, mintha veszélyesek lennének, és vírusként azonosíthatnák. Ez lehetővé teszi a víruskereső program válaszainak tesztelését élő vírus használata nélkül.
Az antivírus programok bonyolult szoftverek, és vastag könyveket lehet írni ezen a témakörön - de remélhetőleg ez a cikk felgyorsította az alapokat.