З Як працює антивірусне програмне забезпечення? (Антивірусний світ):
Антивірусна програма - це комп'ютерна програма, яка може використовуватися для сканування файлів для виявлення та усунення комп’ютерних вірусів та іншого шкідливого програмного забезпечення (зловмисного програмного забезпечення).
Для цього антивірусне програмне забезпечення зазвичай використовує дві різні методики:
- Вивчення файлів для пошуку відомих вірусів за допомогою словника вірусів Ідентифікація підозрілої поведінки будь-якої комп’ютерної програми, яка може свідчити про зараження
- Більшість комерційних антивірусних програм використовує обидва ці підходи з акцентом на підхід до словника вірусів.
Підхід
до вірусного словника У підході до словника вірусів, коли антивірусне програмне забезпечення вивчає файл, він посилається на словник відомих вірусів, який був визначений автором антивірусного програмного забезпечення. Якщо фрагмент коду у файлі відповідає будь-якому вірусу, визначеному у словнику, то антивірусне програмне забезпечення може потім видалити файл, поставити його на карантин, щоб файл був недоступний для інших програм і його вірус не міг поширюватися або намагатися відновити файл, видаливши сам вірус з файлу.
Щоб досягти успіху в середньо- та довгостроковій перспективі, підхід до словника вірусів вимагає періодичних онлайн-завантажень оновлених записів у словнику вірусів. Оскільки нові віруси ідентифікуються «в дикій природі», громадянські та технічно схильні користувачі можуть надсилати свої заражені файли авторам антивірусного програмного забезпечення, які потім включають інформацію про нові віруси у свої словники.
Антивірусне програмне забезпечення на основі словника зазвичай вивчає файли, коли операційна система комп'ютера створює, відкриває та закриває їх; і коли файли надсилаються електронною поштою. Таким чином відомий вірус може бути виявлений відразу після отримання. Програмне забезпечення також може регулярно перевіряти всі файли на жорсткому диску користувача.
Хоча підхід до словника вважається ефективним, автори вірусів намагалися йти на крок попереду такого програмного забезпечення, написавши "поліморфні віруси", які шифрують частини себе або іншим чином модифікують себе як метод маскування, щоб не збігатися з підписом вірусу. у словнику.
Підхід
підозрілої поведінки Навпаки підозрілої поведінки не намагається ідентифікувати відомі віруси, а натомість контролює поведінку всіх програм. Якщо одна програма намагається записати дані у виконувану програму, наприклад, це позначається як підозріла поведінка, і користувач попереджає про це, і запитує, що робити.
На відміну від словникового підходу, підозрілий поведінковий підхід, таким чином, забезпечує захист від абсолютно нових вірусів, яких ще немає в жодних вірусних словниках. Однак також звучить велика кількість помилкових позитивних результатів, і, ймовірно, користувачі стають десенсибілізованими на всі попередження. Якщо користувач натискає "Прийняти" на кожне таке попередження, антивірусне програмне забезпечення, очевидно, марно для цього користувача. Ця проблема особливо загострилася за останні 7 років, оскільки багато інших не шкідливих програм програм вирішили модифікувати інші .exe, не враховуючи цього помилкового позитивного питання. Таким чином, більшість сучасних антивірусних програм все менше і менше використовують цю техніку.
Інші способи виявлення вірусів
Деякі антивірусні програми намагатимуться емулювати початок коду кожного нового виконуваного файлу, який виконується перед передачею контролю на виконуваний файл. Якщо програма, здається, використовує код, що самовиправляється, або іншим чином з'являється у вигляді вірусу (він негайно намагається знайти інші виконувані файли), можна припустити, що виконуваний файл був заражений вірусом. Однак цей метод призводить до безлічі помилкових позитивних результатів.
Ще один метод виявлення - це використання пісочниці. Пісочниця імітує операційну систему і запускає виконуваний файл у цій симуляції. Після закінчення програми пісочниця проводить аналіз на зміни, які можуть вказувати на вірус. Через проблеми з роботою цього типу виявлення зазвичай виконується лише під час сканування на вимогу.
Питання, що хвилюють
Макровіруси, мабуть, найбільш руйнівні та найпоширеніші комп'ютерні віруси, можна було б запобігти набагато дешевше та ефективніше та без потреби всіх користувачів купувати антивірусне програмне забезпечення, якщо Microsoft виправить недоліки безпеки у Microsoft Outlook та Microsoft Office, пов’язані з виконання завантаженого коду та здатність макросів документів поширюватись і спричиняти хаос.
Освіта користувачів так само важлива, як і антивірусне програмне забезпечення; просто навчання користувачів безпечній обчислювальній практиці, наприклад, не завантажуванню та виконанню невідомих програм з Інтернету, уповільнить поширення вірусів без необхідності антивірусного програмного забезпечення.
Користувачі комп'ютерів не завжди повинні працювати з доступом адміністратора до власної машини. Якщо вони просто запускаються в режимі користувача, то деякі види вірусів не зможуть поширюватися.
Словниковий підхід до виявлення вірусів часто недостатній через постійне створення нових вірусів, однак підозрілий поведінковий підхід є неефективним через помилково позитивну проблему; отже, сучасне розуміння антивірусного програмного забезпечення ніколи не переможе комп'ютерні віруси.
Існують різні методи шифрування та упаковки шкідливого програмного забезпечення, яке зробить навіть відомі віруси невизначними для антивірусного програмного забезпечення. Для виявлення цих «замаскованих» вірусів потрібен потужний механізм розпакування, який може розшифрувати файли перед їх вивченням. На жаль, у багатьох популярних антивірусних програмах цього немає, і тому часто не вдається виявити зашифровані віруси.
Компанії, які продають антивірусне програмне забезпечення, схоже, мають фінансовий стимул для написання вірусів та їх розповсюдження, а громадськість панікує загрозу.
(Мені подобається ця стаття, і я просто копіюю та вставляю з AntivirusWorld.)