Антивирус находит вирусы и другие цифровые угрозы с помощью специальных методов. Сигнатурное сканирование остается самым точным способом идентифицировать компьютерный вирус. Для обнаружения новых угроз применяются проактивные технологии, основанные на эвристическом и поведенческом анализе, виртуализации и эмуляции.
Принцип работы антивируса
Антивирусный сканер — это центральный элемент антивируса. С помощью сканирования обнаруживаются известные (изученные) вирусы. Происходит поиск последовательностей вирусного кода — сигнатуры, поэтому сканирование называют сигнатурным. Это самый достоверный способ определить тип вирусной угрозы и правильно применить, разработанное для неё лечение.
При ежедневном обновлении пополняются базы компьютерных вирусов, шпионских и вредоносных программ. В экстренных случаях (когда нужно срочно остановить эпидемию) выходят внеплановые обновления.
Не последнюю роль в нахождении вирусов играет чувствительность сканера и глубина проверки. С другой стороны, чем она выше, тем больше вероятность ложного срабатывания на чистый файл или приложение.
Очень важно вовремя предотвратить злонамеренную активность. Система поиска вирусов в режиме реального времени сразу проверяет скачанные файлы, установленный софт, открытые страницы сайтов, запущенные скрипты, Url-ссылки, вложенные файлы электронной почты. Бесплатные сканеры вирусов не имеют такой функции.
Виды антивирусных программ
С практической точки зрения различают такие виды антивирусных программ:
- антивирусы, защищающие в режиме реального времени;
- сканеры быстрой проверки на вирусы (их еще называют лечащими утилитами);
- антивирусные загрузочный диски для удаления глубоко внедрённых злонамеренного ПО.
Существуют комплексные решения, которые кроме антивируса, содержат дополнительные модули:
- фаервол;
- резервное копирование;
- веб-защита;
- VPN;
- антишпион;
- автоматическое обновление программного обеспечения;
- шифрование;
- безопасные платежи;
- родительский контроль и другое.
По стоимости, приложения безопасности бывает бесплатные для домашнего индивидуального использования и платные. У бесплатных более низкий уровень защиты, менее частый график обновления, без технической поддержки и показывают рекламу (иногда очень навязчивую).
Обнаружение новых вирусов
Каждый день появляются сотни новых цифровых угроз. Антивирусные программы, сталкиваясь с неизвестным вирусом, применяют косвенные проактивные методы обнаружения.
Эвристический анализ
Поиск зловредов значительно усложнился при появлении полиморфных вирусов, которые видоизменяют свой код после каждого заражения. С ними сигнатурный метод оказался бессилен. Разработчики антивирусного ПО создали эвристический анализ для обнаружения полиморфных вирусов.
Анализ поведения
Поведенческий анализ — эффективный метод обнаружить скрытую вирусную деятельность. Происходит изучение поведения программ и системных служб для выявления подозрительной активности.
Изолированная песочница
Песочница — изолированная среда в которой запускаются подозрительные или нестабильные приложения, не опасаясь нанести вред компьютеру. Не все антивирусы оснащаются песочницей, базовые (начальные) версии её не имеют.
Эмуляция кода и виртуализация
Эмуляция — процесс имитации исполнения кода (в среде эмулятора) для расшифровки и обнаружения вредоносного содержимого.
Виртуализация — самый энергозатратный метод, требующий много мощности процессора и оперативной памяти. Зачастую он реализуется не на компьютере, где была найдена вредоносная программа, а в облаке или на сервере антивирусной лаборатории. Подозрительный файл отправляется на проверку, а затем сообщаются её результаты.
Помощь коллективного разума
Интернет-технологии тоже помогают находить вирусы. Коллективный разум сообщества тысяч пользователей делится опытом столкновения со злонамеренным ПО.
Обнаруженные косвенными методами цифровые угрозы не лечатся, а только удаляются или помещаются в карантин, из-за отсутствия алгоритма лечения. Разумнее изолировать подозрительные объекты в карантине. При ложном (ошибочном) срабатывании их можно вернуть на место.
Все ли вирусы находит антивирус? Конечно нет. Все описанные выше методы бессильны против новаторских (непохожих на уже существующие) вирусных угроз.
Каждый разработчик антивирусного программного обеспечения в своих решениях совмещает несколько технологий обнаружения злонамеренного софта. В топовых продуктах компоненты защиты сочетаются с элементами предотвращающими заражение.