Як працюють антивіруси?

Антивірус являє собою комп`ютерну програму, яка застосовується для сканування файлів з метою виявлення і усунення потенційних загроз, серед яких комп`ютерні віруси та інші форми шкідливих програм.

Антивіруси, як правило, використовують два методи для досягнення цієї мети:

• Дослідження файлів на предмет відомих вірусів, згідно вірусної базі
• Ідентифікація підозрілої поведінки будь-якої комп`ютерної програми, здатного вказати на зараження

Більшість комерційних антивірусів використовують обидва підходи, але більша увага приділяється вірусних баз.

Метод вірусних баз

Метод вірусних баз на увазі аналіз антивірусом файлу і порівняння даних з його вірусними базами, куди занесені всі відомі розробником антивіруса шкідливі програми. Якщо шматок коду у файлі відповідає будь-якому ідентифікатором вірусу в базі, антивірусна програма може або видалити файл, або перемістити його в карантин, що зробить його недоступним для інших програм і запобіжить його поширення. Антивірус може також спробувати відновити файл, вирізавши з нього вірус.

Щоб залишатися ефективним в середньостроковій і довгостроковій перспективі, метод вірусних баз вимагає періодичного завантаження оновлених записів з мережі. У міру розвитку нових вірусів, які ідентифікуються, як «дикі», звичайні і технічно підковані користувачі можуть відправляти заражені файли розробникам антивірусного ПО, які потім включають інформацію про нові віруси в бази своїх продуктів.

За методом вірусних баз антивіруси, як правило, перевіряють файли, коли до них звертається операційна система комп`ютера, відкриває і закриває їх, а також коли файли виходять по електронній пошті або з браузера. Таким чином, відомий вірус може бути пізнаний одразу після отримання. Антивіруси також підтримують заплановане сканування всіх файлів на жорсткому диску комп`ютера, яке повинно виконуватися на регулярній основі.

І хоча метод вірусних баз вважається ефективним, автори вірусів залишаються на крок попереду, випускаючи в мережу «поліморфні віруси», які шифрують код і іншими способами маскуються, щоб не потрапити під ідентифікатор вірусних баз антивірусу.

Метод підозрілої поведінки

Метод підозрілої поведінки, навпаки, не намагається відшукати відомі віруси, замість цього він відстежує поведінку всіх програм комп`ютера. Якщо програма намагається записати дані в виконувану програму, антивірус відзначає цю дію, як підозрілу поведінку, а користувач отримує попередження з запитом на наступні дії.

На відміну від методу вірусних баз, аналіз підозрілої поведінки, отже, здатний забезпечити захист від нових вірусів, які ще не зареєстровані в базах. Проте, є і зворотна сторона медалі, яка виражається у великій кількості помилкових спрацьовувань, в результаті чого, користувач втрачає пильність і припиняє реагувати на попередження антивіруса. Якщо користувач відхиляє всі попередження, пропускаючи підозрілу активність програм, антивірус втрачає будь-який сенс. Це проблема посилюється розвитком програмного забезпечення, яке в останні роки дуже активно взаємодіє один з одним, регулярно перезаписуючи дані. Таким чином, найбільш сучасні антивіруси використовують цей підхід все менше і менше.

Інші способи виявлення вірусів

Деякі антивіруси намагаються імітувати початок коду кожного нового файлу, перш ніж пропустити його. Якщо програма використовує самомодіфіцірующіеся код або ж іншими способами проявляє себе, як вірус, (намагається знайти інші виконувані файли), можна припустити, що виконуваний файл був заражений вірусом. Проте, ця методика веде до великої кількості помилкових спрацьовувань.

Ще один спосіб виявлення вірусів задіє пісочницю. Пісочниця емулює операційну систему і звертається до виконуваного файлу в рамках цієї симуляції. Після того, як робота виконуваного файлу завершена, пісочниця аналізується на предмет змін, які могли б вказувати на діяльність вірусу. У зв`язку з великими вимогами до продуктивності комп`ютера, цей тип виявлення, як правило, застосовується тільки під час перевірки на вимогу користувача.

Питання, що викликають заклопотаність

Макро-віруси, ймовірно, самі деструктивні і широко поширені комп`ютерні віруси, запобігти поширенню яких можна зовсім недорого і дуже ефективно, зовсім без допомоги антивірусних програм. Якщо Microsoft виправить діри в безпеці Microsoft Outlook і Microsoft Office, пов`язані з виконанням завантаженого коду, проблема зникне. А до тих пір шкідливі макроси будуть продовжувати сіяти хаос на комп`ютерах користувачів Windows.

Виховання користувачів теж грає важливу роль, поряд з антивірусами. Користувачі комп`ютерів повинні мати уявлення про безпечних обчислювальних методах роботи, наприклад, не завантажувати і не запускати невідомі програми з мережі Інтернет, що суттєво скоротить поширення вірусів, без допомоги антивірусного ПО.

Користувачі комп`ютерів далеко не завжди повинні працювати з правами адміністратора на власному комп`ютері. Якби вони працювали в режимі користувача з обмеженими правами, істотна частка вірусів просто не змогла б поширюватися.

Метод вірусних баз не може гарантувати захисту, оскільки постійно пишуться нові віруси, а й аналіз підозрілої поведінки не є ефективним через високого рівня помилкових спрацьовувань, отже, антивіруси в сучасному розумінні просто не здатні перемогти віруси.

Існують різні методи шифрування і упаковки шкідливого ПО, які дозволяють приховати навіть відомі віруси від пильних антивірусних програм. Для виявлення «замаскованих» вірусів потрібна потужна система розшифровки, здатна встигнути розшифрувати і перевірити файл до його виконання операційною системою. На жаль, більшість популярних антивірусних програм не мають такої системи, таким чином, вони часто не в змозі виявити зашифровані файли.

Компанії, які продають антивірусне ПЗ, схоже, мають певний фінансовий стимул до розвитку вірусів, які регулярно пишуться і поширюються, змушуючи громадськість панікувати.