Пресс-центр

16 сентября 2021

Как работает антивирус: принцип работы антивирусных программ

Цифровая вакцина

Как работает антивирусная программа и почему она уже не только антивирусная.

В последние пару лет людям довелось лишний раз убедиться в своей явной уязвимости перед вирусами. Несмотря на все научно-технические достижения, полностью обезопасить себя от маленьких коварных врагов пока не удаётся. Единственным спасением остаются вакцины. Все эти утверждения справедливы и для цифрового мира. О принципах действия антивирусных программ — в нашей новой статье.

Что такое современный антивирус?

Антивирус в традиционном понимании — это программа для обнаружения, идентификации и устранения вирусов с компьютера или другого устройства.

Эволюция компьютерных вирусов происходила в том же направлении и с теми же темпами, что и развитие технологий обмена информацией. Большая часть вирусов написана под Microsoft Windows — самую популярную операционную систему в мире. Вслед за распространением интернета и мобильных устройств, киберпреступники ринулись в эти сферы и ожидаемо получили массу новых возможностей для атак, слежки и кражи личных данных пользователей. Но, как известно, на любое действие найдётся противодействие. Принцип работы антивирусных программ претерпел значительные изменения с момента их появления в конце 80-х годов. А борьба с вирусописателями вышла на новый уровень.

Строго говоря, классических вирусов, заражающих исполняемые файлы ОС и создающих свои копии в разных отделах диска, уже нет. Зато есть много других вредоносных программ (malware): трояны, черви, руткиты, эксплойты, шпионы, ботнеты, бэкдоры, рекламные приложения (один из самых распространенных видов) и другие.

Получается, что слово «антивирус» тоже не совсем корректное. Сегодня антивирусные программы работают не просто как сканеры, ищущие вирусы на диске. Теперь это многофункциональное комплексное решения для защиты от киберугроз на всех уровнях.

На чём основано действие антивирусной программы?

Для эффективной защиты от различных типов вредоносного ПО, антивирус использует несколько методов их обнаружения.

  • Сигнатурный метод или реактивная защита. Базовый и проверенный временем механизм. В его основе лежит сигнатура — набор уникальных характеристик вируса или семейства однотипных вирусов. Сигнатуры создаются вирусными аналитиками на основе анализа уже известных вредоносных программ и формируются в постоянно обновляемую антивирусную базу. Антивирусное ПО автоматически загружает свежие базы и сравнивает содержимое локальных и внешних файлов с данными из сигнатур. Принцип работы антивируса с сигнатурами позволят точно определить тип угрозы и понять как с ней бороться. Недостаток сигнатурного метода в том, что он бессилен против неизвестных и модифицированных вирусов, а также не способен анализировать подозрительную активность приложений.

  • Эвристический анализ или проактивная защита. Используется для предупреждения потенциальных угроз и решения задач, с которыми сигнатурный метод не справляется. Возможностей много:

    • анализ работы программ на предмет подозрительных действий. Например, программе для скачивания видео с видеохостингов явно не нужно без вашего согласия прописываться в ветке автозагрузки системного реестра, произвольно открывать порты и обмениваться данными с неизвестными серверами. Если таких подозрительных активностей становится слишком много, антивирус сигнализирует об этом. Конечно то, как работают антивирусы с эвристическим анализом пока нельзя назвать совершенством. Случаются ложные срабатывания на доверенные программы. Впрочем, это решается настройкой;
    • безопасный запуск и поведенческий анализ подозрительных программ в «песочнице» — эмуляторе ОС;
    • обнаружение (но не лечение) незнакомого вредоносного ПО, на основе похожих сигнатур и по косвенным признакам.

Из чего состоит антивирусное ПО?

Принцип работы современных антивирусов заключается в комплексном подходе к вопросам кибербезопасности. У всех компаний разный состав модулей антивирусного ПО. Вот несколько основных:

  • Сканер. Ищет вредоносное ПО в оперативной памяти, загрузочных записях при включении, на локальных и внешних дисках, а также в системных файлах ОС. Может выполняться по расписанию, по запросу пользователя или при обращении к данным. Что делает антивирус, если находит угрозу в каком-то файле? Предоставляет пользователю несколько вариантов на выбор:

  • попытаться вылечить, удалив вредоносный код;

  • поместить в карантин, чтобы вылечить позже или удалить;

  • удалить, если вылечить не удалось;

  • получить отчёт, но больше ничего не делать;

  • игнорировать.

  • Монитор. Отслеживает все манипуляции с файлами в режиме реального времени. Находит и обезвреживает вредоносное ПО до того, как оно успевает инфицировать систему.

  • Проактивная защита или HIPS. Анализирует в реальном времени поведение всех запущенных программ и файлов в системе. Выявляет нежелательную активность и вредоносные программы, включая эксплойты.

  • Файервол. Контролирует входящий трафик для защиты устройства от несанкционированного вторжения из локальной сети или интернета. Фильтрует подозрительный исходящий трафик. Этот модуль может выпускаться как отдельное ПО. Помните, что автоматический режим работы файервола не является оптимальным, поэтому лучше настраивать правила для программ и серверов.

  • Интернет. Мониторит весь веб-трафик пользователя, блокирует опасные и фишинговые страницы. Фильтрует спам, а также проверяет вложения и ссылки в электронной почте на наличие вредоносных программ и фишинга. Использует отдельный зашифрованный браузер с защитой от клавиатурных шпионов для безопасных онлайн-платежей. Позволяет настроить ограничения доступа к нежелательным категориям сайтов.

Принцип действия современной антивирусной программы подразумевает использование машинного обучения. Алгоритмы обнаружения вредоносного ПО быстро совершенствуются. С каждым годом появляется всё больше дополнительных инструментов кибербезопасности, которые оставляют всё меньше лазеек злоумышленникам.

Не пренебрегайте использованием антивирусного ПО и сами не болейте!