Jak funguje antivirový software
Antivirové programy jsou výkonné programy, které jsou nezbytné pro počítače se systémem Windows. Pokud jste někdy uvažovali o tom, jak antivirové programy detekují viry, co dělají v počítači a zda potřebujete provádět pravidelné kontroly systému, přečtěte si.
Antivirový program je nezbytnou součástí vícevrstvové strategie zabezpečení - i když jste chytrý počítač, neustálý proud zranitelných míst pro prohlížeče, plug-iny a samotný operační systém Windows činí antivirovou ochranu důležitou.
Skenování na přístroji
Antivirový software běží na pozadí v počítači a kontroluje každý otevřený soubor. Toto je obecně známé jako skenování na obrazovce, skenování na pozadí, rezidentní skenování, ochrana v reálném čase nebo něco jiného, v závislosti na antivirovém programu.
Když poklepete na soubor EXE, může se stát, že program se spustí okamžitě - ale ne. Váš antivirový software nejprve zkontroluje program, porovná jej se známými viry, červy a dalšími typy malwaru. Váš antivirový software provádí také "heuristická" kontrola, kontrolu programů pro typy špatného chování, které mohou znamenat nový, neznámý virus.
Antivirové programy také kontrolují další typy souborů, které mohou obsahovat viry. Soubor archivu .zip může například obsahovat komprimované viry nebo dokument aplikace Word může obsahovat škodlivé makro. Soubory jsou naskenovány vždy, když jsou používány - například pokud stáhnete soubor EXE, bude okamžitě naskenován, ještě než ho dokonce otevřete.
Je možné použít antivirový program bez kontroly přístupu, ale to obecně není dobrý nápad - viry, které využívají bezpečnostní díry v programech, by nebyly snímačem zachyceny. Poté, co virus napadl váš systém, je mnohem těžší jej odstranit. (Je také těžké si být jisti, že malware někdy byl zcela odstraněn.)
Úplné systémové kontroly
Kvůli skenování na obrazovce není obvykle nutné provádět skenování v celém systému. Pokud stahujete antivirový program do počítače, antivirový program okamžitě zjistí - nemusíte manuálně spouštět skenování.
Úplné systémové kontroly však mohou být pro některé věci užitečné. Úplná kontrola systému je užitečná, když jste právě nainstalovali antivirový program - zajišťuje, že v počítači nejsou žádné viry spící. Většina antivirových programů nastavuje plánované plné systémové kontroly, často jednou týdně. Tím zajistíte, že nejnovější soubory definic virů se používají ke kontrole vašeho systému pro spící viry.
Tyto úplné kontroly disku mohou být také užitečné při opravě počítače. Pokud chcete opravit již infikovaný počítač, vložení jeho pevného disku do jiného počítače a provedení úplného systému prohledávání virů (pokud neprovedete úplnou přeinstalaci systému Windows) je užitečné. Většinou však nemusíte spustit plnou kontrolu systému, když vás antivirový program již chrání - vždy skenuje na pozadí a provádí své vlastní pravidelné celoplošné kontroly.
Definice virů
Váš antivirový software se spoléhá na definice virů pro detekci škodlivého softwaru. Proto automaticky stáhne nové, aktualizované definice souborů - jednou za den nebo ještě častěji. Soubory definice obsahují podpisy pro viry a další malware, s nimiž se setkáváme ve volné přírodě. Když antivirový program prohledá soubor a zjistí, že soubor odpovídá známému malwaru, antivirový program zastaví spuštění souboru a jeho uvedení do "karantény". V závislosti na nastavení antivirového programu může antivirový program automaticky smazat soubor nebo můžete být schopni umožnit soubor běží stejně, pokud jste si jisti, že je to falešně pozitivní.
Antivirové společnosti musí neustále udržovat aktuální informace o nejnovějších škodlivém softwaru a zveřejňovat definice aktualizací, které zajišťují, že je malware zachyceno jejich programy. Antivirové laboratoře používají různé nástroje k rozebrání virů, jejich spuštění v karanténách a uvolňování včasných aktualizací, které zajišťují, že uživatelé jsou chráněni před novým kusem malwaru.
Heuristika
Antivirové programy také využívají heuristiku. Heuristika umožňuje antivirovému programu identifikovat nové nebo upravené typy škodlivého softwaru, a to i bez souborů definic virů. Pokud například antivirový program zjistí, že program spuštěný ve vašem systému se pokouší o otevření každého souboru EXE ve vašem systému a jeho napadení tím, že do něj zapíše kopii původního programu, antivirový program dokáže tento program rozpoznat jako nový, neznámý typ viru.
Žádný antivirový program není dokonalý. Heuristika nemůže být příliš agresivní nebo budou označovat legitimní software jako viry.
Falešné pozitivy
Kvůli velkému množství softwaru tam je možné, že antivirové programy mohou příležitostně říci, že soubor je virus, když je to vlastně zcela bezpečný soubor. Toto je známé jako "falešně pozitivní". Občas antivirové společnosti dokonce dělají chyby jako identifikace systémových souborů systému Windows, populárních programů třetích stran nebo vlastních antivirových programů jako viry. Tyto falešné pozitivy mohou poškodit uživatelské systémy - takové chyby obecně skončí ve zprávách, jako když Microsoft Security Essentials identifikoval Google Chrome jako virus, AVG poškozené 64bitové verze systému Windows 7 nebo Sophos se označil jako malware.
Heuristika může také zvýšit míru falešných pozitiv. Antivirový program může zaznamenat, že se program chová podobně jako škodlivý program a identifikuje ho jako virus.
Navzdory tomu jsou falešné pozitiva při normálním používání poměrně vzácné. Pokud váš antivirus říká, že soubor je škodlivý, měli byste to obecně věřit. Pokud si nejste jisti, zda je soubor v podstatě virem, zkuste jej nahrát na VirusTotal (který je nyní vlastněn společností Google). VirusTotal skenuje soubor s nejrůznějšími antivirovými produkty a říká, co o něm říká každý.
Detekční rychlosti
Různé antivirové programy mají různé míry detekce, které se týkají jak definic virů, tak heuristiky. Některé antivirové společnosti mohou mít efektivnější heuristiku a uvolnit více definic virů než jejich konkurenti, což vede k vyšší míře detekce.
Některé organizace provádějí pravidelné testy antivirových programů ve srovnání s ostatními a porovnávají jejich míru detekce v reálném světě. AV-Comparitives pravidelně vydává studie, které porovnávají aktuální stav antivirových detekčních rychlostí. Detekční míry mají tendenci kolísat v průběhu času - neexistuje žádný nejlepší produkt, který by byl důsledně na vrcholu. Pokud se opravdu snažíte vidět, jak efektivní je antivirový program a co jsou nejlepší tam, studie míry detekce jsou místo, kde můžete hledat.
Testování antivirového programu
Pokud někdy chcete ověřit, zda antivirový program funguje správně, můžete použít testovací soubor EICAR. Soubor EICAR je standardním způsobem testování antivirových programů - není to skutečně nebezpečné, avšak antivirové programy se chovají, jako by byly nebezpečné a identifikovaly je jako virus. To umožňuje testovat odpovědi antivirových programů bez použití živého viru.
Antivirové programy jsou komplikované kusy softwaru a na toto téma je možné psát tlusté knihy - ale doufejme, že tento článek vás přivedl k rychlosti se základy.