כיצד פועלת תוכנת אנטי וירוס?
תוכנות אנטי וירוס הן בדרך כלל יישומים רבי עוצמה החיוניים במחשבי Windows. אם רציתם לדעת איך תוכנות אנטי וירוס מזהות וירוסים, מה הן עושות במחשב והאם אנחנו צריכים לבצע סריקות מערכת רגילות, המשיכו לקרוא. תוכנת אנטי וירוס היא חלק מהותי מאסטרטגיית אבטחה רב שכבתית - גם אם יש לכם ניסיון רב בשימוש במחשב, זרם הפגיעות המתמיד של דפדפנים, של תוספים ושל מערכת ההפעלה Windows עצמה הופכים שימוש בתוכנת האנטי וירוס לחשוב מאוד.
סריקה לפי גישה
תוכנת הגנה פועלת ברקע ובודקת כל קובץ שאתם פותחים. זה ידוע בדרך כלל כסריקה לפי גישה, סריקה ברקע, הגנה בזמן אמת, תלוי בתוכנית האנטי וירוס המותקנת.
כאשר אתם לוחצים פעמיים על קובץ EXE, נראה כי האפליקציה מופעלת מייד - אך היא לא עושה זאת. תוכנת האנטי וירוס המותקנת בודקת תחילה את התוכנית ומשווה אותה לוירוסים ידועים, תולעים וסוגים אחרים של תוכנות זדוניות. אנטי וירוס גם עושה בדיקות "היוריסטיות", בודק יישומים על מנת לזהות התנהגות לא רגילה שעשויה להצביע על וירוס חדש ולא ידוע.
תוכנת אנטי וירוס סורקות גם סוגים אחרים של קבצים שיכולים להכיל וירוסים. לדוגמה, קובץ ארכיון zip עשוי להכיל וירוסים דחוסים, או מסמך Word יכול להכיל מאקרו זדוני. קבצים נסרקים בכל פעם שמשתמשים בהם - לדוגמה, אם אתם מורידים קובץ EXE, הוא ייסרק מייד, לפני שתפתחו אותו.
אפשר להשתמש בתוכנת אנטי וירוס במחשב ללא סריקת לפי גישה, אך בדרך כלל זה לא רעיון טוב - וירוסים המנצלים פרצות אבטחה בתוכניות לא יתפסו על ידי הסורק. לאחר שוירוס הדביק את המערכת, הרבה יותר קשה להסיר אותה.
סריקות מלאות
הודות לסריקה לפי גישה, בדרך כלל אין צורך לבצע סריקות מלאות. אם תורידו וירוס למחשב, תוכנת האנטי וירוס תזהה מייד - ולכן אין צורך להריץ סריקה ידנית.
עם זאת, סריקות מלאות יכולות להועיל לדברים מסוימים. סריקת מערכת מלאה מועילה כאשר רק התקנתם תוכנת היא מבטיחה שאין וירוסים רדומים במערכת. רוב תוכנות האנטי וירוס מאפשרות להגדיר סריקות מערכת מלאות מתוזמנות, לעיתים קרובות אחת לשבוע. זה מבטיח כי קבצי הגדרת הנגיף האחרונים משמשים לסריקת המערכת לאיתור וירוסים רדומים.
סריקות מלאות יכולות לעזור גם בעת תיקון מחשב. אם ברצונכם לתקן מחשב שכבר נגוע, הכנסת הכונן הקשיח שלו למחשב אחר וביצוע סריקת מערכת מלאה לאיתור וירוסים (אם לא מבצעים התקנה מלאה מחדש של Windows) מאוד יעזור. עם זאת, בדרך כלל אין צורך להפעיל סריקות מערכת מלאות כאשר אנטי וירוס כבר מותקן והופעל במחשב - הוא תמיד סורק ברקע ועושה סריקות מערכת מלאות מדי פעם.
הגדרות וירוס
אנטי וירוס מסתמך על הגדרות וירוסים כדי לאתר תוכנות זדוניות. זו הסיבה שהוא מוריד אוטומטית קבצי הגדרה חדשים ומעודכנים - פעם ביום או אפילו לעתים קרובות יותר. קבצי ההגדרה כוללים חתימות על וירוסים ותוכנות זדוניות אחרות שכבר התגלו. כאשר אנטי וירוס סורק קובץ במחשב ומבחין שהקובץ תואם לחלק ידוע של תוכנה זדונית, הוא עוצר את הפעלת הקובץ ומכניס אותו לתיקיית הסגר. בהתאם להגדרות האנטי וירוס, הוא יכול למחוק את הקובץ באופן אוטומטי או שתוכלו בכל זאת להריץ קובץ , אם אתם בטוחים שהוא לא נגוע.
יצרני אנטי וירוס צריכים להתעדכן ללא הרף עם קטעי התוכנה הזדוניים האחרונים, ולשחרר עדכוני הגדרות שמבטיחים שהתוכנות שלהם יגלו יישומים זדונית. מעבדות אנטי וירוס משתמשות במגוון כלים כדי לפרק וירוסים, להריץ אותם בסביבה וירטואלית במחשב ולשחרר עדכונים בזמן כדי להבטיח שהמשתמשים יקבלו הגנה יעילה מפני גרסאות חדשות של תוכנות זדוניות.
היוריסטיקה
תוכנות הגנה משתמשות גם בהיוריסטיקה. ניתוח היוריסטי מאפשר לאנטי וירוס לזהות סוגים חדשים או משתנים של תוכנות זדוניות, אפילו ללא קבצי הגדרת וירוסים. לדוגמה, אם אנטי וירוס שם לב שתוכנית הפועלת במערכת מנסה לפתוח כל קובץ EXE ומדביקה אותו על ידי כתיבת עותק של הקובץ המקורי, תוכנת האנטי וירוס יכולה לזהות יישום זה בתור וירוס חדש שעדיין לא ידוע.
אין פתרון הגנה מושלם. ניתוח היוריסטי לא יכול להיות אגרסיבי מדי או שהוא יזהה תוכנות לגיטימיות בתור וירוסים.
גילוי כוזב
בגלל כמות גדולה של אפליקציות שונות היום, יתכן שאנטי וירוס יכול לזהות במחשב מדי פעם קובץ בתור וירוס כאשר הוא למעשה קובץ בטוח לחלוטין. זה ידוע כ"גילוי כוזב ". לעיתים יצרני אנטי וירוס עושות שגיאות כמו זיהוי קבצים של מערכת Windows, של יישומים פופולריים או קבצי תוכנת אנטי וירוס שלהם בתור וירוסים. גילויים כוזבים אלה עלולים לפגוע במערכות המשתמשים - טעויות כאלה בדרך כלל מופיעות בחדשות, כמו כאשר Microsoft Security Essentials זיהה את גוגל כרום כנגיף, AVG פגע בגרסאות 64 סיביות של Windows 7, או Sophos זיהתה את עצמה כתוכנה זדונית.
ניתוח היוריסטי יכול גם להגדיל את שיעור של גילוי כוזב. אנטי וירוס עשוי לשים לב שתוכנית מתנהגת באופן דומה לתוכנית זדונית ולזהות אותה בתור וירוס.
למרות זאת, מקרים של גילוי כוזב נדירים מאוד. אם אנטי וירוס טוען שקובץ זדוני, בדרך כלל עליכם להאמין לו. אם אינכם בטוחים אם קובץ הוא למעשה וירוס, אפשר לנסות להעלות אותו לאתר VirusTotal. האתר סורק את הקובץ בעזרת מגוון מוצרי אבטחת מידע שונים ומראה מה כל אחד אומר על הקובץ.
שיעורי גילוי
לפתרונות הגנה יש שיעורי זיהוי שונים, כאשר מעורבים גם הגדרות הנגיף וגם ניתוח היוריסטי. לחלק מיצרני פתרונות הגנה יכולות להיות היוריסטיקות יעילות יותר והם משחררים יותר הגדרות וירוסים מהמתחרים שלהם, וכתוצאה מכך יש להם שיעור גילוי גבוה יותר.
ארגונים מסוימים מבצעים בדיקות קבועות של תוכנות אנטי וירוס בהשוואה זו לזו, ומשווים את שיעורי הגילוי שלהם בשימוש בעולם האמיתי. AV-Comparitives משחרר באופן קבוע מחקרים המשווים את המצב הנוכחי של שיעורי גילוי של פתרונות שונים. שיעורי הגילוי נוטים לנוע לאורך זמן - אין אף אחד הטוב ביותר שמוצג בצורה עקבית. אם אתם באמת רוצים לראות עד כמה תוכנת אנטי וירוס יעילה ואילו הטובה ביותר, מחקרי שיעורי איתור הם המקום לחפש.
בדיקת פעילות האנטי וירוס
אם אי פעם תרצו לבדוק אם אנטי וירוס שלכם פועל כראוי במחשב, אתם יכולים להשתמש בקובץ הבדיקה EICAR. קובץ EICAR הוא דרך סטנדרטית לבחון תוכנות אנטי וירוס - הוא לא מסוכן בפועל, אבל פתרונות אבטחת מידע מקבלות אותו כקובץ מסוכן, ומזהים בתור וירוס. זה מאפשר לבדוק תגובות של אנטי וירוס מבלי להשתמש בוירוס אמיתי.
תוכנות אנטי וירוס הן יישומים מאוד יעילים, וניתן היה לכתוב ספרים עבים בנושא זה - אך אנו מקווים שמאמר זה אפשר לכם להבין במהירות את יסודות הנושא.
מומלץ מאוד לבצע עדכונים של מערכת ההפעלה חלונות המסופקים על ידי מייקרוסופט. לרוב, העדכונים מתקנים פרצות אבטחה במערכת ההפעלה, או תוספות ותיקונים שונים המשפרים יציבות ויעילות. על מנת לקבל עדכונים אלה יש לדאוג להתקין על המחשב עותק חוקי של מערכת ההפעלה חלונות.