32 220 35 21 biuro@omegasoft.pl

Programy antywirusowe są znane wiele lat odkąd mamy do czynienia z pierwszymi systemami. Nawet wówczas, gdy nie mieliśmy Internetu, hakerzy namiętnie pisali wirusy. Obecnie każdego dnia ilość nowych wirusów wynosi setki tysięcy. Bardzo trudno uchronić się przed szkodliwymi infekcjami jeśli nie posiadamy oprogramowania antywirusowego.

Bardzo wielu użytkowników komputerów zastanawia się, w jaki sposób działa program antywirusowy? Jak to jest, że wykrywa oraz usuwa groźne oprogramowanie? Skąd tak naprawdę wiadomo czy wirus zniknął z komputera, czy pliki są czyste? Jakie nowoczsne technologie stosowane są przez producentów oprogramowania antywirusowego? Na te pytania warto znać odpowiedź.

Warto wiedzieć, w jaki sposób program antywirusowy naprawia pliki, które są już zainfekowane, warto znać metody ochrony przed oprogramowaniem szkodliwym.

Ochrona dla Windowsa

Windows to oprogramowanie, z którego większość korzysta. Właśnie, dlatego najwięcej groźnego oprogramowania jest pod niego pisanych. Ciekawostką jest, że działając w oparciu o system Linux nie będzie uruchomiony żaden wirus bez wiedzy użytkownika. System ten działa inaczej niż Windows, a użytkownicy Linuksa twierdzą, że wirusy nie są żadnym zagrożeniem. Jest to bardzo bezpieczny system i aby uruchomić tutaj szkodliwe oprogramowanie, trzeba przyznać mu tak zwane prawa roota. Autorzy oprogramowania antywirusowego twierdzą, że Linux nie jest jednakże całkiem bezpieczny w porównaniu do Windowsa.

Wszystko opiera się tutaj na popularności systemu. Jeśli Linux stanie się bardziej popularny (dzięki na przykład większej ilość gier zgodnych z tym systemem), to można sądzić, że wielu hakerów zacznie pisać wirusy omijające zabezpieczenia także i tego systemu operacyjnego. Prawdopodobnie można będzie się o tym przekonać w przyszłości.

Działanie programów antywirusowych, znaczenie skanowania

Producenci oprogramowania antywirusowego stosują kilka sposobów ochrony. Najbardziej znaną z metod jest obecnie skanowanie całego komputera – pamięci operacyjnej oraz dysków twardych. Skaner programu dokonuje dogłębnej analizy oraz sprawdzenia plików pod kątem czy nie zawierają one w sobie wirusów. Tak jak wszelkie inne programy, tak też i wirusy składają się ze specjalnego kodu. Jego ciąg producenci oprogramowania rejestrują oraz dodają je do sygnatur, czyli do swojej bazy wirusów. Taka sygnatura składa się z pewnego ciągu znaków, a przykładem może być np.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Mamy do czynienia z bardzo prostą oraz popularną metoda o nazwie EICAR. Po dokonaniu kopiowania wiersza do pliku tekstowego oraz zapisania go w formie pliku wykonywalnego z rozszerzeniem .com, dany program antywirusowy przeczyta ten plik za wirusa, z uwagi na to, że  określone kody są umieszczone w jego bazie danych. O typie rozszerzenia obiektów, które są skanowane, decydują ustawienia programu. Może być ono szybkie, pełne, inteligentne, może dotyczyć tylko sektorów rozruchowych, pamięci, procesów. Metoda ta jest bez wątpienia pomocna w przypadku, gdy mamy podejrzenie zainfekowania komputera. Skanowanie nie zawsze jest takie samo. Można tu bowiem wyróżnić:

  • skanowanie w tle / on access. W trakcie korzystania z komputera, dany program skanuje pliki / procesy biorąc pod uwagę podejrzane zachowania. Korzysta on z nowoczesnych technik heurystycznych albo z określonych sygnatur. Każdy program, proces, który jest uruchamiany, każde załadowanie biblioteki są dokładnie sprawdzane czy nie ma miejsca potencjalna infekcja.
  • skanowanie on demand. Jest to ręczne uruchomienie skanera, aby móc przeskanować komputer pod kątem wirusów.

We współczesnych czasach skanowanie komputera nie jest wystarczające. Potrzebna jest znacznie bardziej zaawansowana ochrona. Potrzebna jest ochrona w czasie rzeczywistym, W czasie korzystania z Internetu, itp. Poza skanerem on demand / on access, modułem używanym do aktualizacji sygnatur, firewallem, modułem do ochrony poczty, filtrom stron www, modułem przeciw włamaniom oraz kradzieżom czy też ochroną sektora MBR, programy antywirusowe zawierają bardzp zaawansowane technologie. Mowa między innymi o monitorze behawioralnym oraz analizie w chmurze. Działanie skanerów sprowadza się do wyszukiwania pewnej sekwencji bajtów w ciągu danych poddawanych sprawdzeniu. Przy dużej liczbie wirusów można wyróżnić dosyć unikalną sekwencję bajtów, (sygnaturę), dzięki której możliwe jest wykrycie wirusa. Jeśli zostanie on wykryty przez sygnatury, to mamy zakończenie tego procesu. Jeśli program ten nie zawiera sygnatury, włączamy analizę heurystyczną bądź też behawioralną.

Od momentu, gdy pojawiły się wirusy polimorficzne skanery nie mają już tak dużego znaczenia. Nadal jest to jednak bardzo ważna metoda walki z wirusami. Wirus polimorficzny potrafi zmienić swój kod i wówczas bardzo trudno jest go odpowiednio zweryfikować przy pomocy samych sygnatur. Rozwiązaniem jest tu analiza heurystyczna. Jest ona niezależna od sygnatur. Technika ta wykorzystuje sztuczną inteligencję. Wykrywa wirusy poprzez rozpoznanie rożnych, nietypowych wzorówe zachowań dla danej aplikacji.

Wirus polimorficzny po uruchomieniu próbuje się skopiować jak również odszyfrować swój kod początkowy. Następne kopie wirusa będą inne niż oryginalny. Przez to jego wykrycie jest znacznie trudniejsze. Wynika to z faktu, że program antywirusowy szuka wirusów przez sygnatury konkretnego fragmentu kodu. Wirus polimorficzny potrafi go zmienić. Dlatego opracowano metody heurystycznego wykrywania wirusów. W sytuacji, gdy antywirus wychwyci podejrzane zachowanie, zaalarmuje. W zależności od ustawień danego programu może go sam usunąć albo poprosić użytkownika o odpowiednią reakcję. Mimo, że nie posiada on właściwych sygnatur, żeby go zneutralizować, może pomóc w jego pozbyciu się. Jest to dosyć efektywna technika, ale mogą się zdarzyć także fałszywe alarmy. Ryzyko można zminimalizować przez zastosowanie kontrola spójności, który na bieżąco dokonuje sprawdzenia stałych wartości programów.