Для чего необходимы антивирусные программы?

Антивирусная программа призвана обнаруживать на компьютере «зловредов», а затем удалять или блокировать их. Внутренний принцип работы почти всех антивирусов — анализ файлов и поиск в них фрагментов, характерных для вредоносного ПО.

Делается это путем сравнения. Существует некий набор образцов вредоносного кода. Его называют «антивирусными базами», или, например, «определениями» — это всего лишь вопрос терминологии. Ядро программы «примеряет» содержащиеся в таком наборе образцы к различным участкам исследуемого файла. Если обнаруживается точное совпадение, антивирус делает вывод, что этот файл «заражен» или целиком является вредоносной программой. При частичных совпадениях файл может быть признан «подозрительным» и т. д. Такая методика часто называется «сигнатурной».

Отсюда следует вывод: любая из существующих антивирусных программ эффективна ровно настолько, насколько хорошим и «свежим» набором образцов для сравнения она располагает. Фактически антивирусная программа на компьютере выступает всего лишь частью большой организованной системы. Важнейшая ее сторона — команда разработчиков и аналитиков, которые непрерывно собирают образцы новых «зловредов», изучают и включают их в очередные обновления антивирусных баз.

Становится очевидным и принципиальное ограничение антивирусного ПО. Неизвестный вредоносный код сначала должен быть где-то найден, исследован, ли «зловредов» всегда немного опережают разработчиков антивирусных программ! Ведущие антивирусные лаборатории, несмотря на конкуренцию, зачастую делятся друг с другом информацией о новых угрозах. Как правило, от появления новой вредоносной программы до того, как популярные антивирусы «научатся» ее распознавать, проходят часы или дни, максимум, неделя.

Типичные антивирусные программы способны работать в двух режимах. Один из них принято называть «монитором», а другой — «сканером». Постоянно программа действует в режиме мониторинга: в реальном времени она проверяет файлы, к которым обращаются ОС и приложения. По расписанию или по требованию пользователя программа может работать и в режиме сканирования. В таком случае она проверяет все файлы на всех дисках подряд («полная проверка»), или только в определенных расположениях («быстрая или выборочная проверка»). Помимо испытанного «поиска по образцам», разработчики антивирусов пытаются изобрести и добавить к нему другие методы выявления и предотвращения угроз. В основном это «проактивные» методики, которые задействуют вероятностный и ситуационный анализ.

Например, «эвристический анализ» по описаниям уже известных «зловредов» позволяет определять отчасти похожие, но еще не занесенные в базу данных. «Поведенческий анализ» основывается на том, что вне зависимости от своего внутреннего устройства многие вредоносные программы проявляют вполне предсказуемую активность. Вирусы создают свои копии, трояны пытаются открыть порты в брандмауэре, шпионы отправляют данные, руткиты модифицируют определенные ключи реестра и т. д. Следовательно, цепочка подозрительных действий программы с большой вероятностью указывает на ее «зловредный» характер, и «поведенческий блокиратор» способен предупредить об этом.

Что должен делать антивирус дальше? Как минимум, уведомить пользователя о выявленной угрозе. В зависимости от настроек, программа либо предлагает пользователю выбрать требуемое действие, либо выполняет такие операции автоматически. Типичными вариантами являются:

  • лечение — антивирусная программа пытается выделить и удалить из файла внедрившийся в него вредоносный код файлового вируса. В лучшем случае сделать это удается, и «зараженный» файл восстанавливается к первоначальному виду;
  • удаление — радикальная операция. Если попытка «лечения» была безуспешной, такой файл остается только удалить. «Зловреды», которые не являются файловыми вирусами, подлежат удалению в любом случае;
  • помещение в карантин уместно по отношению к файлам, вредоносный характер которых окончательно еще не доказан. Например, это «подозрительные» файлы, выявленные проактивными методами. Файл перемещается в особую папку, доступ к которой имеет только антивирусная программа. Такой файл целесообразно передать на анализ специалистам — все антивирусы умеют отправлять файлы из карантина через Интернет. Если угроза подтвердилась, образец будет добавлен в очередное обновление баз. Через некоторое время вы сможете проверить файл в карантине повторно и принять окончательное решение: то ли удалить его, то ли вернуть на прежнее место;
  • если вы уверены, что имела место «ложная тревога», а файл опасности не представляет, его открытие можно разрешить, а предупреждение игнорировать.

Как правило, по умолчанию в настройках антивирусных программ задано, что зараженные файлы антивирус попытается вылечить, неизлечимые — удалит, а подозрительные поместит в карантин и отправит на анализ. Это самый логичный и универсальный алгоритм. Впрочем, в настройках любого антивируса этот шаблон вы можете изменить. Конкретный интерфейс настроек зависит от того, какой антивирус вы используете, но принцип везде один: выберите желаемое действие для каждой из предусмотренных ситуаций.

Как правило, в настройках предусмотрен и флажок или переключатель с названием наподобие Запрос подтверждения или Применить указанные действия автоматически. В зависимости от его положения программа будет выполнять заданные действия «молча» и автоматически, либо каждый раз станет запрашивать, что именно следует сделать.

Top