A víruskereső program egy többrétegű biztonsági stratégia lényeges része - még akkor is, ha okos számítógépes felhasználó vagy, a böngészők, plug-inek és a Windows operációs rendszer állandó sebezhetősége miatt a vírusvédelem fontos.
On-Access szkennelés
Víruskereső szoftver fut a háttérben a számítógépen, ellenőrizve minden megnyitott fájlt. Ezt általában az on-access szkennelésnek, a háttér-szkennelésnek, a rezidens beolvasásnak, a valós idejű védelemnek vagy valami másnak nevezik, a víruskereső programtól függően.
Ha duplán kattint egy EXE fájlra, úgy tűnhet, hogy a program azonnal elindul - de nem. Először a víruskereső program ellenőrzi a programot, összehasonlítva az ismert vírusokkal, férgekkel és egyéb rosszindulatú programokkal. A víruskereső szoftverek "heurisztikus" ellenőrzést is végeznek, és ellenőrzik a rossz viselkedésű típusok programjait, amelyek új, ismeretlen vírust jelezhetnek.
A víruskereső programok más típusú fájlokat is beolvastathatnak, amelyek vírusokat tartalmazhatnak. Például egy.zip archív fájl tömörített vírusokat tartalmazhat, vagy a Word dokumentum rosszindulatú makrót tartalmazhat. A fájlok szkennelésre kerülnek minden alkalommal, amikor használják őket - például ha EXE fájlt tölt le, azonnal beolvasásra kerül, mielőtt még meg is nyitja.
A víruskereső vírusellenőrzés nélkül is használható, de ez általában nem jó ötlet - a vírusokat, amelyek a programokban lévő biztonsági réseket kihasználják, a szkenner nem fogja megragadni. Miután a vírus megfertőzte a rendszert, sokkal nehezebb eltávolítani. (Nehéz meggyőződni arról, hogy a rosszindulatú programot valaha teljesen eltávolították.)
Teljes rendszerellenőrzés
Az on-access szkennelés miatt rendszerint nem szükséges teljes rendszerellenőrzést végezni. Ha vírust tölt le a számítógépére, a víruskereső program azonnal észreveszi - először nem kell manuálisan elindítania a szkennelést.
A teljes rendszerű beolvasások azonban hasznosak lehetnek bizonyos dolgok számára. A teljes rendszerellenőrzés hasznos, ha csak telepített egy víruskereső programot - biztosítja, hogy ne legyenek vírusok a számítógépen. A legtöbb víruskereső program ütemezett teljes rendszerellenőrzést állít be, gyakran hetente egyszer. Ez biztosítja, hogy a legfrissebb vírusdefiníciós fájlokat használják a rendszer lehallgatott vírusainak beolvasására.
Ezek a teljes lemezes beolvasások hasznosak lehetnek a számítógép javításakor is. Ha meg szeretné javítani egy már fertőzött számítógépet, akkor a merevlemez egy másik számítógépbe történő behelyezésével és a teljes rendszerű víruskeresés végrehajtásával (ha nem végzi el teljesen a Windows újratelepítését) hasznos. Azonban általában nem kell a teljes rendszerellenőrzést végrehajtani, amikor egy vírusvédelmi program már védelmet nyújt Önnek - mindig a háttérben vizsgálja, és saját, rendszeres, teljes rendszerű vizsgálatokat végez.
Vírusleírások
A víruskereső szoftver vírusleírásokra támaszkodik a rosszindulatú programok észlelésére. Ezért tölt le új, frissített definíciós fájlokat - naponta egyszer vagy még gyakrabban. A definíciós fájlok aláírják a vírusokat és egyéb rosszindulatú programokat, amelyek a vadonban előfordultak. Ha egy víruskereső program beolvassa a fájlt, és észreveszi, hogy a fájl egy ismert malware-programnak felel meg, a víruskereső program megakadályozza a fájl futását és "karanténba" helyezését. A víruskereső program beállításaitól függően a víruskereső program automatikusan törölheti a fájlt vagy engedélyezheti a fájl futtatását, ha biztos abban, hogy hamis pozitív.
A vírusvédelmi vállalatok folyamatosan naprakészen kell tartaniuk a legfrissebb rosszindulatú programokat, és közzé kell tenniük a definíciós frissítéseket, amelyek biztosítják, hogy a rosszindulatú programokat a programjuk megragadja. Az antivírus laboratóriumok számos eszközt használnak a vírusok szétszereléséhez, a homokozóban történő futtatáshoz, és időben frissítik azokat, amelyek biztosítják a felhasználók számára az új kártevők elleni védelmet.
A heurisztika
A víruskereső programok heurisztikát is alkalmaznak. A heurisztika lehetővé teszi egy víruskereső program számára új vagy módosított rosszindulatú programok azonosítását, még vírusleíró fájlok nélkül is. Ha például egy víruskereső program észleli, hogy egy rendszeren futó program megpróbálja megnyitni a rendszer összes EXE fájlját, megfertőzve az eredeti program másolatának beírásával, a víruskereső program felismeri ezt a programot, mint új, ismeretlen típusú vírus.
Nincs antivírus program tökéletes. A heurisztika nem lehet túl agresszív vagy a legális szoftvereket vírusként jelöli meg.
Hamis pozitív
A nagyszámú szoftvertől függően előfordulhat, hogy a víruskereső programok alkalmanként azt mondják, hogy egy fájl vírus, ha valójában egy teljesen biztonságos fájl. Ezt "hamis pozitívnak" hívják. Előfordul, hogy a víruskereső vállalatok hibákat is okoznak, például a Windows rendszerfájlok, a népszerű harmadik fél programok vagy a saját víruskereső programfájljaik vírusként való azonosítását. Ezek a hamis pozitívumok károsíthatják a felhasználók rendszereit - az ilyen hibák általában a hírekben végződnek, amikor a Microsoft Security Essentials vírusként azonosította a Google Chrome-ot, az AVG megsérült a Windows 7 64 bites verzióit vagy a Sophos kártékony programként azonosították magát.
A heurisztika növelheti a hamis pozitívumok arányát is. A víruskereső észlelheti, hogy egy program rosszindulatú programhoz hasonlóan viselkedik és vírusként azonosítja azt.
Ennek ellenére a hamis pozitívumok normális használat során meglehetősen ritkák. Ha a víruskereső azt mondja, hogy egy fájl rosszindulatú, akkor általában el kell hinni. Ha nem biztos abban, hogy egy fájl valójában vírus, próbálja meg feltölteni a VirusTotalba (amely jelenleg a Google tulajdonában van). A VirusTotal többféle vírusirtó termékkel vizsgálja meg a fájlt, és elmondja, mit mondanak róla.
Érzékelési árak
A különböző víruskereső programok különböző észlelési arányokat tartalmaznak, amelyek mind vírusleírásokkal, mind heurisztikával kapcsolatosak. Egyes vírusvédelmi vállalatok hatékonyabb heurisztikával rendelkezhetnek, és több vírusleírást bocsátanak ki, mint a versenytársaik, ami magasabb felismerési arányt eredményez.
Egyes szervezetek rendszeresen tesztelik a víruskereső programokat, összehasonlítva egymással a felismerési arányukat a valóságos használat során. Az AV-Comparatives rendszeresen kiad olyan tanulmányokat, amelyek összehasonlítják a víruskereső észlelési sebességének jelenlegi állapotát. Az észlelési sebességek hajlamosak ingadozni az idő múlásával - nincs egyetlen legjobb termék, amely következetesen felül van. Ha valóban arra törekszünk, hogy megnézzük, mennyire hatékony egy víruskereső program, és amelyek a legjobbak, akkor az észlelési arányok tanulmányozása az a hely, ahol meg kell nézni.
Antivirus program tesztelése
Ha valaha meg akarja tesztelni, hogy egy víruskereső program megfelelően működik-e, használhatja az EICAR tesztfájlt. Az EICAR fájl szabványos módszer a víruskereső programok tesztelésére - ez valójában nem veszélyes, de a víruskereső programok úgy viselkednek, mintha veszélyesek lennének, és vírusként azonosíthatnák. Ez lehetővé teszi a víruskereső program válaszainak tesztelését élő vírus használata nélkül.
A víruskereső programok bonyolult szoftverek, és vastag könyveket lehet írni a témáról - de remélhetőleg ez a cikk felgyorsította az alapokat.
