Jak fungují antiviry aby vás ochránily před škodlivímy viry.
Mezi autory počítačových virů a antivirových programů probíhá od vzniku prvních virů závod přinášející neustále nové viry, ale i stále dokonalejší antivirové programy. Antivirových programů existuje mnoho, ale způsoby hledání viru se ustálily na následujících technikách.
Porovnání s databází virů (skenování, scan)
Antivirový program využívá vlastní databázi známých virů. Testuje prohledávané soubory na výskyt určité posloupnosti bytů, která identifikuje vir z databáze. Jedná se o nejstarší a stále pravděpodobně nejrozšířenější způsob detekce napadení virem. Tato metoda umožňuje nalezení pouze těch virů, které jsou již zaneseny v databázi známých virů. Databáze musí být proto pravidelně aktualizována, aby bylo skenování skutečně účinné.
Heuristická analýza
Antivirový program se nespoléhá na databázi známých virů, ale analyzuje kód souboru a jeho význam. Hledá v něm postupy, které jsou typické pro viry a které se v normálních programech nevyskytují. Výhodou této metody je možnost nalezení virů, které ještě nebyly analyzovány a zaneseny do databáze virů. Nevýhodou je možnost omylu a „nalezení“ viru v souboru, který není virem napaden.
Sledování změn (kontrola integrity)
Antivirový program sleduje změny v systému souborů. Využívá toho, že uložením viru do některého souboru dojde ke změně souboru, kterou je možné detekovat. Pokud dojde ke změně textového souboru, pravděpodobně se nejedná o následek činnosti viru, ale pokud dojde ke změně v některém programu nebo systémovém souboru, je možné, že příčinou je napadení virem.
Antivirový program si nejprve při prvním spuštění vytvoří databázi souborů na disku. Při dalších spuštěních srovnává aktuální stav souborů s příslušnými položkami ve své databázi a zjišťuje, zda se od posledního průchodu nezměnily. Výhodou kontroly integrity je možnost nalezení dosud neznámého viru. Nevýhodou je, že antivirový program nedokáže sdělit, že nalezl vir, ale pouze že došlo ke změně v souboru. Záleží na uživatelově úsudku, zda se jedná o virový útok. Sledování změn také není efektivní ochranou proti makrovirům. Je sice možné zapnout sledování změn v dokumentech. Ty se ale obvykle mění tak často, že výsledkem by asi bylo zahlcení uživatele množstvím hlášení o změnách v souborech.
Rezidentní sledování
V systému je neustále spuštěn proces, který kontroluje prováděné operace. Mohou být sledovány podezřelé operace se soubory a systémovými oblastmi disku. Například při pokusu o zápis do boot sektoru je operace přerušena a uživatel dotázán, zda zápis povolí. Dále jsou při rezidentním sledování obvykle kontrolovány spouštěné programy na přítomnost viru. Když chce uživatel spustit některý program, antivirový program nejprve zkontroluje, zda neobsahuje virus.
Většina antivirových programů kombinuje více z uvedených způsobů a nechává na uživateli nastavení Ykombinace, která mu vyhovuje. Rezidentní sledování je obvykle neustále spuštěno na pozadí a v pravidelných intervalech podle nastavení uživatele se provádí kompletní kontrola souborů na pevných discích. Ta může mít například podobu kontroly integrity všech souborů a následné časově náročné heuristické analýzy pouze změněných souborů.
Nejenom viry
S propojováním PC počítačů do rozsáhlých počítačových sítí (především Internetu) se dnes otázka pouhé antivirové ochrany rozšiřuje na potřebu ochrany před všemi druhy „zlomyslného“ softwaru, pro který se někdy používá pojem malware. Nejedná se už pouze o klasické počítačové viry, tak jak jsme je znali dříve, ale můžeme se setkat s vlastnostmi typickými pro síťové červy nebo trojské koně.
Další potenciální hrozbou jsou programové komponenty spouštěné při prohlížení WWW-stránek na straně klienta. Jedná se především o Java applety, ActiveX komponenty a Netscape plug-ins. Je zajímavé, že i když už několikrát byly demonstrovány bezpečnostní nedostatky a možnosti zneužití těchto technologií, nebyly zatím zaznamenány prakticky žádné útoky provedené tímto způsobem. Přesto se jedná o hrozbu, kterou je třeba mít na paměti.
