Antivírusový program je neoddeliteľnou súčasťou viacvrstvovej bezpečnostnej stratégie - aj keď ste užívateľom inteligentného počítača, stály prúd zraniteľnosti pre prehliadače, plug-iny a samotný operačný systém Windows robia antivírusovú ochranu dôležitou.
Skenovanie na základe prístupu
Antivírusový softvér beží na pozadí počítača a kontroluje každý otvorený súbor. Toto je všeobecne známe ako skenovanie na pozadí, skenovanie na pozadí, rezidentné skenovanie, ochrana v reálnom čase alebo niečo iné v závislosti od antivírusového programu.
Keď dvakrát kliknete na súbor EXE, môže sa zdať, že program sa spustí ihneď - ale nie. Váš antivírusový softvér najskôr kontroluje program, porovnáva ho so známymi vírusmi, červami a inými typmi malware. Váš antivírusový softvér tiež vykonáva "heuristické" kontroly a kontrolu programov pre typy zlého správania, ktoré môžu naznačovať nový, neznámy vírus.
Antivírusové programy tiež vyhľadávajú iné typy súborov, ktoré môžu obsahovať vírusy. Napríklad súbor archívu.zip môže obsahovať komprimované vírusy alebo dokument programu Word môže obsahovať škodlivé makro. Súbory sa naskenujú vždy, keď sa používajú - napríklad ak si stiahnete súbor EXE, skenuje sa okamžite, skôr ako ho otvoríte.
Je možné používať antivírus bez kontroly prístupu, ale to nie je dobrý nápad - vírusy, ktoré využívajú bezpečnostné diery v programoch, nebudú skenerom zachytené. Po napadnutí vírusu systémom je oveľa ťažšie ho odstrániť. (Je tiež ťažké si byť istý, že malware bol úplne odstránený.)
Úplné systémové kontroly
Z dôvodu skenovania na základe prístupu nie je zvyčajne potrebné spustiť celoplošné skenovanie. Ak stiahnete vírus do vášho počítača, antivírusový program okamžite skontroluje - najskôr nemusíte manuálne iniciovať skenovanie.
Úplné systémové kontroly však môžu byť užitočné pre niektoré veci. Úplné skenovanie systému je užitočné, keď ste práve nainštalovali antivírusový program - zaručuje, že na vašom počítači nie sú prítomné žiadne vírusy. Väčšina antivírusových programov nastavuje plánované úplné systémové kontroly, často raz týždenne. Tým sa zabezpečí, že najnovšie súbory s definíciou vírusov sa použijú na skenovanie vášho systému pre spiace vírusy.
Tieto úplné skenovanie môže byť tiež užitočné pri opravách počítača. Ak chcete opraviť už infikovaný počítač, vloženie pevného disku do iného počítača a vykonanie úplnej kontroly vírusov (ak sa nepodarí vykonať úplnú preinštaláciu systému Windows) je užitočná. Nevyžaduje sa však bežná kontrola celého systému, ak antivírusový program už vás chráni - vždy skenuje na pozadí a robí svoje vlastné pravidelné celoplošné skenovanie.
Vírusové definície
Váš antivírusový softvér závisí od definícií vírusov na detekciu malware. To je dôvod, prečo automaticky stiahne nové aktualizované súbory definícií - raz denne alebo ešte častejšie. Súbory definície obsahujú podpisy pre vírusy a ďalší malware, s ktorými sa stretávame vo voľnej prírode. Keď antivírusový program prehľadá súbor a zistí, že súbor zodpovedá známy kus malware, antivírusový program zastaví súbor z behu, jeho uvedenie do "karantény". V závislosti od nastavenia vášho antivírusového programu, antivírusový program môže automaticky odstrániť súbor alebo ste schopní umožniť spustenie súboru, ak ste presvedčení, že je to falošne pozitívne.
Antivírusové spoločnosti musia neustále udržiavať aktuálne informácie o najnovších chybách škodlivého softvéru, čím uvoľňujú aktualizácie definícií, ktoré zabezpečujú, že ich škodlivý softvér zachycuje ich programy. Antivírusové laboratóriá používajú rôzne nástroje na rozobranie vírusov, ich spúšťanie v karanténoch a uvoľnenie včasných aktualizácií, ktoré zabezpečujú, že používatelia sú chránení pred novým škodlivým softvérom.
heuristika
Antivírusové programy využívajú aj heuristiku. Heuristika umožňuje antivírusový program identifikovať nové alebo upravené typy škodlivého softvéru aj bez súborov s definíciou vírusov. Napríklad, ak antivírusový program zistil, že program spustený vo vašom systéme sa pokúša otvoriť každý súbor EXE vo vašom systéme, čím ho napadne napísaním kópie pôvodného programu, antivírusový program dokáže tento program rozpoznať ako nový, neznámy typ vírusu.
Žiadny antivírusový program je dokonalý. Heuristika nemôže byť príliš agresívna, alebo budú označovať legitímny softvér za vírusy.
Falošné pozitíva
Vzhľadom na veľké množstvo softvéru tam je možné, že antivírusové programy môžu občas povedať, že súbor je vírus, keď je to vlastne úplne bezpečný súbor. Toto je známe ako "falošne pozitívne." Občas antivírusové spoločnosti dokonca robia chyby, ako napríklad identifikáciu systémových súborov systému Windows, populárnych programov tretích strán alebo vlastných antivírusových programových súborov ako vírusy. Tieto falošné pozitívy môžu poškodiť používateľské systémy - takéto chyby sa zvyčajne skončia v správach, pretože Microsoft Security Essentials identifikoval prehliadač Google Chrome ako vírus, poškodili 64-bitové verzie systému Windows 7 alebo spoločnosť Sophos sa označila za škodlivý softvér.
Heuristika môže tiež zvýšiť mieru falošných pozitív. Antivírus môže zaznamenať, že program sa správa podobne ako škodlivý program a identifikuje ho ako vírus.
Napriek tomu sú falošné pozitívne v normálnom používaní pomerne zriedkavé. Ak váš antivírus hovorí, že súbor je škodlivý, mali by ste to všeobecne veriť. Ak si nie ste istí, či je súbor v skutočnosti vírusom, skúste ho nahrať na VirusTotal (ktorý teraz vlastní spoločnosť Google). VirusTotal skenuje súbor s množstvom rôznych antivírusových produktov a rozpráva sa o tom, čo každý o tom hovorí.
Detekčné miery
Rôzne antivírusové programy majú rôzne miery detekcie, ktoré sa týkajú definícií vírusov aj heuristiky. Niektoré antivírusové spoločnosti môžu mať efektívnejšiu heuristiku a uvoľniť viac definícií vírusov než ich konkurenti, čo má za následok vyššiu mieru detekcie.
Niektoré organizácie vykonávajú pravidelné testy antivírusových programov v porovnaní so sebou navzájom, porovnávajúc ich mieru detekcie v reálnom svete. AV-Comparitives pravidelne vydáva štúdie, ktoré porovnávajú aktuálny stav antivírusovej detekcie. Rýchlosť detekcie má tendenciu kolísať v priebehu času - nie je tam žiadny jeden najlepší produkt, ktorý by bol konzistentne na vrchole. Ak sa naozaj snažíte vidieť, ako efektívny je antivírusový program a aké sú najlepšie tam, štúdie miery detekcie sú miesto, kde sa môžete pozrieť.
Testovanie antivírusového programu
Ak ste niekedy chceli otestovať, či antivírusový program funguje správne, môžete použiť testovací súbor EICAR. Súbor EICAR je štandardný spôsob testovania antivírusových programov - nie je to naozaj nebezpečné, ale antivírusové programy sa správajú ako keby to bolo nebezpečné a identifikovali ich ako vírus. To vám umožní otestovať odpovede antivírusového programu bez použitia živého vírusu.
Antivírusové programy sú komplikované kusy softvéru a na túto tému je možné napísať hrubé knihy - ale dúfajme, že tento článok vás prináša rýchlosťou so základmi.
