Jak działa antywirus


Oprogramowanie antywirusowe to program służący do ochrony komputerów, notebooków i innych urządzeń przed złośliwym oprogramowaniem. Oto jak one działają

Ochrona przed złośliwym oprogramowaniem ukrywającym się w sieci staje się coraz trudniejsza. Jedną z broni, której nigdy nie powinno zabraknąć w żadnym urządzeniu, jest oprogramowanie antywirusowe, zwłaszcza na komputerach i notebookach, które są notorycznie bardziej wrażliwe niż tablety i smartfony. Działają one bezgłośnie, zapobiegając przedostawaniu się złośliwego oprogramowania na urządzenie.

Wszystko, co użytkownicy muszą zrobić, to znaleźć i zainstalować jeden z nich - antywirus zajmie się resztą. Programy ochronne mają na celu przeprowadzanie ciągłych kontroli maszyny. Możemy je sobie wyobrazić jako wirtualne bramy, które otwierają się, aby przepuścić tylko legalne pliki, blokując te szkodliwe i izolując te podejrzane. Bez programu antywirusowego komputer byłby zdany na łaskę trojanów, robaków i innego złośliwego oprogramowania. Komputer bez osłony ochronnej jest jak dom bez drzwi. A pozostawienie domu bez opieki oznacza narażenie się na liczne niebezpieczeństwa.

Gdy zrozumiemy, jak ważne zadanie spełnia oprogramowanie antywirusowe, warto zadać sobie pytanie, jak działają te programy zabezpieczające. Jak chronią nas przed hakerami?

Jak działa antywirus

Ogólnie można zacząć od tego, że antywirusy analizują każdy plik lub program, który ma wejść do systemu. Elementy te są sprawdzane pod kątem zgodności z tzw. sygnaturami wirusów, czyli archiwum sygnatur, w którym przechowywane są informacje o złośliwym oprogramowaniu.

Jeśli plik pasuje do definicji w "szafie", antywirus go blokuje.

Pozostałe natomiast są przepuszczane przez pierwszą bramkę i kierowane do innej "przestrzeni" bezpieczeństwa, występującej w niektórych zaporach ogniowych i oprogramowaniu antywirusowym: systemu zapobiegania włamaniom opartego na hostach (HIPS). Co się dzieje w tym obszarze? Proste. Niezawodne programy krążą w systemie, natomiast pliki nieznane antywirusowi otrzymują rodzaj tymczasowego "zezwolenia": działają na komputerze, ale tylko w izolowanych "środowiskach". Do użytkownika należy decyzja, czy chce otworzyć drzwi maszyny dla tych programów, czy też zamknąć je na zawsze. W tym drugim przypadku, podobnie jak inne złośliwe oprogramowanie, pliki trafiają do kwarantanny.


Techniki analizy

Jak już wspomniano, oprogramowanie antywirusowe wykonuje skanowanie ciągłe i w czasie rzeczywistym, przeszukując całe "terytorium". Głównym narzędziem ataku jest, jak już widzieliśmy, złośliwe oprogramowanie. Dlatego tak ważne jest aktualizowanie oprogramowania antywirusowego: nieaktualne archiwum sygnatur nie będzie w stanie zablokować nowego złośliwego oprogramowania.

Istnieją również inne techniki śledcze. Jedną z popularnych metod jest heurystyka, która zwykle działa w połączeniu z "sygnaturami wirusów". Co to jest? Służy on do wykrywania złośliwego kodu, który nie jest znany antywirusowi. Wykorzystując tę technologię, program ochronny analizuje podejrzany plik w wirtualnej strefie odizolowanej od systemu. Dzięki temu, jeśli plik jest niebezpieczny, nie grozi zainfekowaniem całej maszyny.

Jest też technika analizy behawioralnej, czyli program wykrywający złośliwe oprogramowanie poprzez badanie jego "zachowania" w trakcie działania.

Jednym z najbardziej zaawansowanych rozwiązań śledczych jest data mining, który analizuje plik poprzez wyodrębnienie fragmentów kodu binarnego. Inną metodą analizy jest sandboxing: podejrzane pliki są uruchamiane w wirtualnym środowisku, gdzie antywirus może stwierdzić, czy są one złośliwe, czy nie.