Как работает антивирусное программное обеспечение

Tartuga

Проверенный
Регистрация
10 Апр 2020
Сообщения
109
Реакции
23
На данный момент на пользователя Tartuga открыто 1 арбитражей, ознакомьтесь с ними, прежде чем проводить с ним сделку.
Все знают, что антивирусные приложения нужны для защиты и конфиденциальности в интернете. Как они работают?

Антивирусы сканируют, отключают и удаляют вредоносные приложения на вашем компьютере. Как именно происходит сканирование такого большого количества различных видов вредоносных программ?

Чтобы понять процесс сканирования, нужно понимать, как распространяются разные типа вредоносных приложений. Тогда можно будет оценить разные методы, которые антивирусы используют для обнаружения и устранения атак.

Как распространяются вредоносные программы и как антивирусы их останавливают?
Вредоносные приложения и вирусы представляют собой программное обеспечение с кодом. Они работают как и любые другие программы. Отличием является цель, с которой они созданы.

Вредоносные приложения предназначаются для нанесения урона или блокировки компьютеров. Они могут красть информацию, шифровать или стирать данные, превращать приложения в шпионы или делать ваш компьютер участником сети ботов и многое другое.

Использование анализа данных для определения типов вредоносного приложения
Поскольку вредоносные приложения разных типов имеют разные функции, они по-разному проникают в систему и затрагивают разные компоненты. Каждое обладает собственной сигнатурой, что позволяет антивирусам отличать их от других приложений.

Антивирусы работают с огромными базами данных, который содержат определение всех известных типов вредоносных программ. Базы данных постоянно обновляются по мере обнаружения новых типов угроз.

Поэтому антивирус сканирует свою базу данных на предмет совпадения, когда обнаруживает подозрительный код. Если совпадение найдено, антивирус автоматически удаляет или изолирует файл или приложение.


Этот вид сканирования называется специфическое обнаружение. Также существует более общее обнаружение, где могут рассматриваться разные варианты семейств вредоносных приложений.

Поскольку многие типы вредоносных программ используют модифицированные сигнатуры старых образцов, такой метод тоже эффективен. В этом случае антивирус изолирует приложение на основе общего с известными типами вредоносных программ кода.

Обнаружение поведения исполняемого файла
Что насчёт новых вредоносных угроз? Как антивирус определяет типы приложений, прежде неизвестные для него?

Хакеры знают, как работают антивирусы. Они знают, что антивирус ищет все возможные сочетания нулей и единиц, пока не избавит систему от вредоносных программ.

Поэтому у хакеров есть собственные трюки, чтобы выдавать вредоносные программы за обычные. Например, для этого может применяться шифрование. Антивирусы тоже используют этот метод, чтобы защитить вашу информацию и сделать её недоступной.

Хакеры используют шифрование, чтобы спрятать вредоносные программы или часть их сигнатур, чтобы не было совпадений с базами данных вирусов.

Шифрование прячет данные под замок. В зависимости от уровня используемого шифрования может стать почти невозможно расшифровать содержимое файла.

В результате антивирус неспособен обнаружить вредоносных файл, а значит и блокировать его. Также вредоносные приложения могут скрываться внутри обычных программ.

В качестве примера можно назвать трояны, которые выдают себя за нормальное программное обеспечение. Трояны прячутся внутри других приложений, таких как игры и различное программное обеспечение. Ещё их можно распространять как вложение в электронные письма.

Также современные хакеры используют метод под названием самоповреждение. При помощи этого метода вредоносная программа сначала заражает устройство, а потом создаёт новые свои версии с более сложными методами обфускации.

Хакеры создают вирусы по образцу биологических. Их цель заключается в том, чтобы затруднить обнаружение антивирусами.

Мутация является самым передовым методом хакеров. Такие вирусы называются также метаморфными. В качестве примеров можно назвать вирусы MSIL/Gastropod и Zmist.


Полиморфные вирусы могут менять свой код, чтобы избежать обнаружения. Согласно докладу Webroot Threat, 93% всех вредоносных приложений 2018 года были полиморфными.

Такой вид вирусов не только затрудняет обнаружение, но и вносит хаос в компьютерные системы. Если раньше антивирус должен был тушить небольшие пожары там и тут, то теперь словно горит весь лес.

Впрочем, у антивирусов есть свои трюки. Они используют эвристику для обнаружения и блокировки новых сложных вредоносных приложений. Это сочетание анализа данных и машинного обучения для мониторинга и изучения поведения исполняемых файлов.

Например, если ваш антивирус видит, что приложение пытается взаимодействовать с каждым исполняемым файлом .exe на компьютере, он помечает эту программу как неизвестный тип вредоносного приложения.

Правда, в результате вредоносными могут быть названы и безобидные приложения. И всё равно, это эффективный метод обнаружения, который позволяет блокировать неизвестные прежде атаки.

Как работает сканирование в реальном времени?
Кроме этих методов обнаружения, антивирусы используют разные методы сканирования для обеспечения защиты против вредоносных программ.

В наши дни часто можно слышать о мониторинге в реальном времени. Это постоянное сканирование со стороны антивирусных программ.

Пока вы выполняете свою каждодневную работу на компьютере, антивирус запущен в фоновом режиме и проверяет каждый файл, который открывается, каждую ссылку, по которой вы переходите, каждый загружаемый вами сайт.

В результате происходит непрерывное сканирование файлов при каждом вашем обращении к ним. Этот метод называется также сканирование при запросе, резидентное сканирование или фоновое сканирование.


Пользователю может казаться, что файл открывается мгновенно, но антивирус уже успел проверить его на наличие вредоносного кода.

Этот метод быстрый, эффективный, ненавязчивый и постоянно готовый к работе. Сканирование в реальном времени особенно эффективно против вредоносных приложений, которые постоянно ищут уязвимости в системе безопасности.

Например, черви ищут уязвимости в операционной системе для своей установки. Вы можете отключить такую функциональность, но делать этого не рекомендуется.

Когда вредоносное приложение попадает в вашу систему, удалить его трудно. Также сложно убедиться в том, что вредоносная программа была удалена после полного сканирования системы.

Давайте посмотрим, почему важно выполнять полное сканирование системы, хотя антивирус ведёт непрерывное сканирование.

Зачем нужно полное сканирование системы?
Полное сканирование системы имеет смысл, несмотря на выполнение непрерывного сканирования. В первую очередь полное сканирование требуется выполнять после установки антивируса. Приложение проверяет вашу систему на наличие всех видов вредоносных программ и удаляет их или помещает в карантин.

Если находится подозрительный код, антивирус мгновенно блокирует его или уведомляет вас с запросом на удаление или исправление. Таким образом, система сначала производит очистку, а затем включает защиту, чтобы угрозы больше не проникали внутрь.


Большинство антивирусов выполняют сканирование по расписанию раз в неделю. Так антивирус может проверить наличие последних вирусов и скрытых типов вредоносных программ.

Полное системное сканирование выполняется только тогда, когда компьютер включен и подключен к розетке. Подобное сканирование можно выполнять в различных ситуациях:

  • Если вы пытаетесь починить инфицированный компьютер
  • Если вы пользуетесь устройством в публичных сетях Wi-Fi
  • Если вы устанавливали свой жёсткий диск в другую систему
  • Если вы используете внешние жёсткие диски для копирования и переноса информации
Ложные положительные срабатывания
Из-за агрессивной природы эвристического подхода и большого количества программного обеспечения иногда антивирусы ошибаются и называют безопасные файлы вредоносными. Это называется ложное положительное срабатывание.

Премиальные антивирусы вроде BitDefender, Norton, антивируса Касперского ошибаются редко, что можно увидеть в недавней независимой оценке AV-Comparatives. Здесь проводятся тесты на ложные положительные срабатывания в рамках теста Real-World Protection и в рамках отдельного False Alarm Test.

В премиальных антивирусных программах ложные положительные срабатывания редко, но всё же случаются. Например, в 2017 году Google Play Protect пометила и удалила приложение со смартфонов Motorola Moto G4. Из-за этого ложного положительного срабатывания обладатели устройств не могли пользоваться Bluetooth.

Несмотря на такие случаи, обычно стоит верить, если антивирус называет файл или приложение вредоносным. Если вы не уверены, то можете загрузить файл на принадлежащий Google сайт VirusTotal.

Там будет произведено сканирование файла разными антивирусами и показано, какой из них посчитал файл вирусным, а какой нет. Если большинство приложений называет файл вирусом, нужно удалить его из системы.

Значит ли это, что можно доверять всем антивирусным программам? Конечно нет. Нельзя доверять каждому антивирусу полную защиту своего компьютера. Многие бесплатные антивирусы могут быть даже вредными, особенно если у них нет надёжной репутации.

Например, WinFixer. Это вредоносная программа для Windows, которая выдаёт себя за диагностический инструмент для восстановления повреждённых файлов и повышения системной производительности. Ничего не подозревающий пользователь может стать жертвой этой программы из-за её названия. Подвох заключается в принципе работы приложения. Когда вы посещаете инфицированный программой сайт, WinFixer устанавливается на компьютер автоматически.

После этого начинают присылаться сообщения о том, что на компьютере есть вредоносные программы. В них рекомендуется купить продвинутую версию WinFixer для избавления от проблем.


WinFixer прописывается в реестре Windows и восстанавливает себя при каждой загрузке.

Это всего один из бесконечных примеров, когда безопасное приложение оказывается большой банкой с червями. Поэтому всегда нужно с осторожностью относиться к установке неизвестных программ, особенно бесплатных.

Избавление компьютера от попавших на него вирусов обойдётся дороже, чем покупка антивируса, который не допустит инфицирования.

Другая проблема заключается в том, что антивирус установлен, но вредоносные приложения всё равно проникают на компьютер. Это происходит при низком уровне обнаружения угроз. Такое чаще бывает на малоизвестных бесплатных антивирусах.

Поэтому нужно устанавливать хорошо известные антивирусы. AV-Comparatives регулярно проводит тесты уровня обнаружения среди антивирусов. Результаты можно посмотреть здесь.

Также нужно обращать внимание на число положительных срабатываний. Так вы узнаете, насколько достоверны высокие уровни обнаружения.

Заключение
Вредоносные приложения становятся всё более изощрёнными. Они могут прятаться, адаптироваться, выдавая себя за другие программы, даже переписывать свой код и восстанавливаться. С каждым днём конфиденциальность и безопасность пользователей подвергается всё большей угрозе.

Поэтому лучшие антивирусы используют множество методов обнаружения и блокировки вредоносных угроз различных типов на разных уровнях. Для операционной системы Windows 10 существуют прекрасные антивирусы. Предотвращение является лучшей формой защиты и антивирус должен помочь в этом.
 
Сверху Снизу