Антивирусная программа — компьютерная программа, задачей которой является обнаружение, борьба с компьютерными вирусами, их удаление и изоляция. Сегодня он чаще всего входит в состав пакета программ, защищающих компьютер от многих других угроз.
Характеристика
Антивирусные программы часто оснащены двумя независимо функционирующими модулями, причем разные производители используют разную номенклатуру:
сканер — проверяет файлы по запросу или периодически; используется для поиска содержимого запоминающих устройств (например, жесткого диска, флешки); они также могут помечать файлы как содержащие подозрительный код с помощью эвристики.
резидентный монитор/сканер – автоматически проверяет файлы; он используется для управления текущими операциями компьютера.
Антивирусные программы имеют возможность обновлять определения вновь обнаруженных вирусов, часто на постоянной основе, путем их загрузки с серверов производителей программного обеспечения через Интернет.
Антивирусные пакеты часто также включают в себя собственную реализацию брандмауэра, средства управления электронной почтой и загрузкой из Интернета, защиту банковских операций, обнаружение и предотвращение вторжений, сканер памяти и MBR. Эти модули могут быть включены в пакеты интернет-безопасности, а могут устанавливаться отдельно, что, согласно многочисленным тестам антивирусных лабораторий, обеспечивает гораздо более высокий уровень защиты от вредоносного ПО, чем пакеты безопасности.
Современные антивирусные программы используют облачные вычисления, что позволяет быстрее реагировать на новые угрозы еще до выпуска обновленного определения вируса. Многие производители используют облако для уменьшения размера своих файлов определений.
Типы антивирусных инструментов/модулей
Сканеры
Сканеры — самый старый и простой способ антивирусной защиты. Они работают путем поиска определенной последовательности байтов в строке данных. Большинство вирусов содержат уникальную последовательность байтов, так называемую сигнатура — характерная последовательность байтов, благодаря которой можно найти вирус в памяти или в зараженной жертве. Эффективность антивирусного сканера зависит от того, насколько специфична последовательность. Защита наиболее эффективна, если вирус содержит какую-то очень специфическую строку или строку байтов.
С появлением полиморфных вирусов значение сканеров несколько уменьшилось, но они по-прежнему являются важнейшим методом борьбы с вирусами. Полиморфные вирусы трудно обнаружить, потому что их разные образцы выглядят неодинаково. Часто два образца данного вируса не имеют ничего общего друг с другом. Полиморфизм может быть достигнут путем кодирования тела вируса. Для этих вирусов также используются сканеры, но только на более позднем этапе обнаружения.
Мониторы
Монитор — это антивирусная программа, установленная как драйвер Terminate and Stay Resident (TSR) или SYS, который, отслеживая соответствующие функции DOS и BIOS, обнаруживает все ссылки на диски, сделанные этими функциями. Будет ли монитор работать должным образом, часто зависит от того, когда он получил контроль над системой (до или после попадания вируса) и насколько глубоко он проник в операционную систему. Авторы антивирусов должны использовать методы, аналогичные вирусописателям. Большим недостатком программ мониторинга является то, что они часто дают ложные срабатывания. Иногда бывает так, что пользователь после очередного подтверждения какой-нибудь рядовой операции с диском становится менее внимательным и даже удаляет антивирусную программу из памяти.
Прививки
Это программы, нацеленные на определенные вирусы. На основании имеющейся или обнаруженной копии вируса можно после соответствующего анализа его кода определить так называемую сигнатуры, на основании которых в системе обнаруживаются последовательные копии вируса. Тщательный анализ кода вируса иногда позволяет найти исходные значения некоторых параметров, которые можно использовать для лечения файлов. Большинство существующих вакцин представляют собой сложные программы, способные обнаруживать и удалять несколько тысяч конкретных вирусов. Только в случае новых вирусов вакцины неэффективны.
Программы самопроверки
Эти программы позволяют вам проверить, не была ли данная программа каким-либо образом изменена вирусом. Эта проверка возможна путем добавления определенной короткой программы в указанный файл. Добавленный код добавляется в файл с использованием тех же механизмов, что и вирусы, и обеспечивает механизм самопроверки, т. е. автоматическую проверку данной программы на наличие модификаций.
Они работают, вычисляя контрольные суммы запрошенного файла или файлов. Определенные контрольные суммы хранятся в отдельных файлах, создаваемых после первого запуска программы. Если эти файлы уже существовали, антивирусная программа использует содержащиеся в них данные для сравнения рассчитанной в данный момент суммы с суммой, ранее сохраненной в файле.
Эти программы обычно не способны бороться с вирусами, использующими технику сокрытия своего кода. Недостатком метода самопроверки является также то, что файлы, хранящие рассчитанные контрольные суммы, не защищены, а благодаря знанию многих алгоритмов, используемых антивирусными программами, некоторые вирусы могут заразить конкретный файл и вычислить для него новую контрольную сумму.
Карантин
Исполняемые файлы, выполняющие подозрительные действия, помещаются на карантин, где они изолированы от файловой системы — это позволяет их восстановить (удаление вредоносного кода) или безопасно удалить, а вирус больше не может размножаться.
Онлайн-сканеры вирусов
Онлайн-антивирусные сканеры — это модуль антивирусной программы, который компьютер использует для проверки указанного пользователем файла или области на жестком диске, дискете или диске. Когда сканер закончит свою работу, он сообщит вам о количестве найденных вирусов и о том, сколько из них удалось успешно удалить. Для использования сканера требуется веб-браузер. Также есть страницы, на которых пользователь загружает образец файла, который затем сканируется различными антивирусными программами. Примером такого сервиса является сканер VirusTotal.
