Антивирусните програми са мощни части от софтуера, които са от съществено значение за компютрите на Windows. Ако някога сте се чудили как антивирусните програми откриват вируси, какво правят на компютъра ви и дали трябва да извършвате редовни системни сканирания, прочетете нататък.
Антивирусната програма е съществена част от многопластовата стратегия за сигурност - дори и да сте интелигентен потребител на компютъра, постоянният поток от уязвимости за браузъри, приставки и самата операционна система Windows прави антивирусната защита важна.
Антивирусният софтуер работи във фонов режим на компютъра, като проверява всеки отворен файл. Това обикновено е известно като сканиране по време на достъп, сканиране на фона, местно сканиране, защита в реално време или нещо друго, в зависимост от вашата антивирусна програма.
Когато кликнете два пъти върху EXE файл, може да изглежда, че програмата стартира незабавно - но не. Антивирусният ви софтуер първо проверява програмата, сравнявайки я с известни вируси, червеи и други видове зловреден софтуер. Антивирусният ви софтуер също така прави "проверка", проверявайки програмите за видовете лошо поведение, което може да означава нов, неизвестен вирус.
Антивирусните програми сканират и други типове файлове, които могат да съдържат вируси. Например архивен файл .zip може да съдържа компресирани вируси или документ в Word може да съдържа злонамерен макрос. Файловете се сканират, когато се използват - например, ако изтеглите EXE файл, той ще бъде сканиран незабавно, преди да го отворите.
Възможно е да се използва антивирус без сканиране при достъп, но това обикновено не е добра идея - вируси, които използват дупки за сигурност в програмите, няма да бъдат захванати от скенера. След като вирусът зарази вашата система, е много по-трудно да я премахнете. (Също така е трудно да сте сигурни, че злонамереният софтуер някога е бил напълно премахнат.)
Поради сканирането по време на достъп, обикновено не е необходимо да се провеждат сканиране на цялата система. Ако изтеглите вирус на компютъра си, антивирусната ви програма веднага ще забележи - не е необходимо първо да стартирате ръчно сканирането.
Пълните системни сканирания обаче могат да бъдат полезни за някои неща. Пълното сканиране на системата е от полза, когато току-що сте инсталирали антивирусна програма - тя гарантира, че няма вируси, които са на латентност на вашия компютър. Повечето антивирусни програми създават планирани пълни системни сканирания, често веднъж седмично. Това гарантира, че най-новите файлове за дефиниране на вируси се използват за сканиране на вашата система за латентни вируси.
Тези пълно сканирани сканирания също могат да ви помогнат при ремонт на компютър. Ако искате да поправите вече заразен компютър, вмъкване на твърдия диск на друг компютър и извършване на цялостно сканиране на вируси (ако не извършите пълно преинсталиране на Windows) е полезно. Обикновено, обаче, обикновено не се налага да провеждате пълно сканиране на системата, когато антивирусна програма вече ви защитава - винаги сканира във фонов режим и извършва свои собствени, редовни сканирания на цялата система.
Вашият антивирусен софтуер разчита на вирусни дефиниции за откриване на злонамерен софтуер. Ето защо той автоматично изтегля нови, актуализирани файлове за дефиниране - веднъж на ден или дори по-често. Файловете за дефиниране съдържат подписи за вируси и друг злонамерен софтуер, срещани в дивата природа. Когато антивирусна програма сканира файл и забелязва, че файлът съвпада с известно злонамерен софтуер, антивирусната програма спира файла да се изпълнява и го поставя в "quantum". В зависимост от настройките на антивирусната програма антивирусната програма може автоматично да изтрие файл или може да сте в състояние да позволите на файла да работи така или иначе, ако сте сигурни, че това е фалшиво положително.
Антивирусните компании трябва непрекъснато да поддържат актуална информация за най-новите зловреден софтуер, като предоставят актуализации на дефинициите, които гарантират, че злонамереният софтуер се улавя от програмите им. Антивирусните лаборатории използват различни инструменти, за да разглобяват вируси, да ги пускат в пясъчни кутии и да освобождават своевременни актуализации, които гарантират, че потребителите са защитени от новата част от зловреден софтуер.
Антивирусните програми също използват евристика. Евристиката позволява на антивирусна програма да идентифицира нови или модифицирани типове зловреден софтуер, дори без файлове за дефиниране на вируси. Например, ако една антивирусна програма забележи, че програма, изпълнявана на вашата система, се опитва да отвори всеки EXE файл на вашата система, като я зарази, като напише копие на оригиналната програма в нея, антивирусната програма може да открие тази програма като нова, неизвестен тип вирус.
Никоя антивирусна програма не е перфектна. Евристиката не може да бъде прекалено агресивна или те ще маркират легитимен софтуер като вируси.
Поради голямото количество софтуер там, възможно е антивирусните програми понякога да казват, че даден файл е вирус, когато всъщност е напълно безопасен файл. Това е известно като "фалшиво положително". Понякога антивирусните компании дори правят грешки като идентифициране на системни файлове на Windows, популярни програми на трети страни или на собствени антивирусни програми като вируси. Тези фалшиви положителни данни могат да увредят системите на потребителите - такива грешки обикновено завършват в новините, тъй като Microsoft Security Essentials идентифицира Google Chrome като вирус, а AVG повредени 64-битови версии на Windows 7 или Sophos се идентифицира като злонамерен софтуер.
Евристиката може също така да увеличи честотата на фалшивите положителни резултати. Антивирусът може да забележи, че дадена програма се държи по същия начин като злонамерена програма и я идентифицира като вирус.
Въпреки това, фалшивите положителни резултати са доста редки при нормална употреба. Ако вашият антивирус казва, че файлът е злонамерен, по принцип трябва да го вярвате. Ако не сте сигурни дали даден файл всъщност е вирус, можете да опитате да го качите на VirusTotal (който в момента е собственост на Google).VirusTotal сканира файла с различни антивирусни продукти и ви казва какво казва всеки от него.
Различните антивирусни програми имат различни проценти на откриване, в които участват както вирусните дефиниции, така и евристиката. Някои антивирусни компании могат да имат по-ефективна евристика и да издават повече дефиниции на вируси от техните конкуренти, което води до по-висока степен на откриване.
Някои организации извършват редовни тестове на антивирусни програми в сравнение помежду си, сравнявайки техните проценти на откриване в реалния свят. AV-Comparitives редовно публикува проучвания, които сравняват текущото състояние на антивирусните нива на откриване. Процентът на откриване има тенденция да се колебае с течение на времето - няма нито един най-добър продукт, който да е последователно на върха. Ако наистина искате да видите колко е ефективна антивирусната програма и кои са най-добрите там, проучванията за степента на откриване са мястото, където можете да търсите.
Ако някога искате да тествате дали антивирусната програма работи правилно, можете да използвате тестовия файл на EICAR. Файлът на EICAR е стандартен начин за тестване на антивирусни програми - всъщност не е опасен, но антивирусните програми се държат като опасни, като ги идентифицират като вируси. Това ви позволява да тествате реакциите на антивирусната програма, без да използвате жив вирус.
Антивирусните програми са сложни софтуерни продукти и могат да се напишат дебели книги за тази тема - но се надяваме, че тази статия ви доведе до бързина с основите.
