Kuidas viirusetõrjetarkvara töötab?

 (17)
Kuidas viirusetõrjetarkvara töötab?
Foto: ekraanitõmmis rakendusest

Viirusetõrjeprogrammid kujutavad endast võimsaid tarkvaratooteid, mis on Windowsi operatsioonisüsteemiga arvutite korralikuks funktsioneerimiseks hädavajalikud.

Kui teil on kunagi tekkinud küsimused, kuidas viirusetõrjeprogrammid viiruseid tuvastavad, mida nad teie arvutis täpsemalt teevad ja kas te peaksite ise regulaarselt süsteemi viirusepuhtust kontrollima, on see artikkel just teie jaoks, selgitab How-To Geek.

Viirusetõrjeprogramm etendab keskset rolli mitmekihilises turvastrateegias. Isegi, kui olete nutikas arvutikasutaja, nõuab brauserites, pluginates ning Windowsi operatsioonisüsteemis endas alatasa ilmnevate nõrkade kohtade lakkamatu voog viiruste eest kaitset pakkuvate programmide rakendamist.

Eelkontroll

Viirusetõrjevara töötab arvutis taustal, sondeerides iga avatavat faili.

Seda protsessi nimetatakse programmi tootjast sõltuvalt eelkontrolliks (ingl on-access scanning), taustkontrolliks (background scanning), püsikontrolliks (resident scanning), kaitseks reaalajas (real-time protection) või millekski sarnaseks.

Kui käivitate mõne programmi .exe-faili ehk täitmisprogrammi, võib jääda mulje, et programm käivitub otsekohe, aga tegelikult pole see nii. Kõigepealt tegeleb sellega viirusetõrjevara, mis võrdleb seda tuntud viiruste, ussviiruste ja muude pahavaratoodetega.

Seotud lood:

Pealeselle tegeleb viirusetõrjeprogramm nn heuristilise seirega, kontrollides, ega programmid ei käitu viisil, mis võiks olla omane uutele, tundmatutele viirustele.

Lisaks sõeluvad viirusetõrjetooted muudki tüüpi faile, mis võivad endas viiruseid peita. Näiteks võib .zip-vormingus kaust sisaldada pakitud viiruseid, Wordi dokument aga mõnd hävitava loomuga makroviirust.

Faile skannitakse igal kasutuskorral — kui laadite alla näiteks .EXE-faili, analüüsib viirusetõrjevara seda otsekohe, juba enne avamist.

Viirusetõrjetarkvara on võimalik kasutada ka ilma eelkontrollita, aga see pole reeglina hea mõte, kuna siis jäävad programmide turvaauke ära kasutavad viirused tabamata.

Kui viirus on süsteemi kord juba nakatanud, on seda märksa keerulisem välja rookida. (Samuti ei saa sellisel puhul kunagi olla täiesti kindel, et pahavara kõrvaldamine tegelikult õnnestus.)

Süsteemi lauskontroll

Tänu eelkontrolli-sõelale pole kogu süsteemi skannimine enamasti vajalik. Viiruse laadimisel arvutisse märkab tõrjeprogramm seda kohe, ilma, et peaksite esmalt käsitsi skannimisfunktsiooni käivitama.

Küll aga võib süsteemi lauskontrollist teatud puhkudel kasu olla. Näiteks saab selle abil pärast uue viirusetõrjeprogrammi installimist veenduda, et masinas ei varitse mõnd uinuvas olekus viirust.

Enamik viirusetõrjeprogramme teostab süsteemi lauskontrolli kindla graafiku alusel, näiteks kord nädalas. Nii võite olla kindel, et uinuvaid viiruseid sõelutakse süsteemist välja kõige värskemate viirusemäärangufailide (ingl virus definition file) alusel.

Lisaks on kogu ketta lauskontroll hea mõte arvuti putitamise korral. Kui soovite remontida juba nakatunud arvutit, tuleks selle kõvaketas ühendada teise arvutiga ning viia läbi süsteemi lauskontroll viiruste suhtes (kui te just Windowsit täies mahus uuesti ei installi).

Kui viirusetõrjeprogramm aga arvutit juba aktiivselt kaitseb, pole süsteemi lauskontroll üldiselt vajalik — tõrjevara töötab ju lakkamatult taustal ning viib omal käel läbi kogu süsteemi hõlmavaid regulaarseid seireseansse.

Viirusemäärangud

Pahavara tuvastamisel lähtub viirusetõrjevara nn viirusemäärangutest (ingl virus definition). Sellepärast laadibki tõrjetoode kord päevas või tiheminigi alla uusi, värskendatud määrangufaile.

Määrangufailid sisaldavad viiruste ja muude veebiavarustest leitud pahavaraobjektide signatuure. Kui viirusetõrjeprogramm skannib faili ja märkab, et see langeb kokku mõne tuntud pahavaratootega, peatab tõrjevara programmi töö ja saadab selle "karantiini".

Sõltuvalt viirusetõrjeprogrammi sätetest võib programm soovimatu faili kustutada; kui olete aga veendunud, et tegemist on valehäirega (ingl false positive), võite faili tööl siiski jätkuda lubada.

Viirusetõrjefirmad peavad pidevalt püsima kursis uusimate pahavaratoodetega ning väljastama määranguvärskendusi, mille toel nende loodud programmid pahavaraobjekte kirbule võtavad.

Viirusetõrjelaborites rakendatakse viiruste dekonstrueerimiseks mitmesuguseid vahendeid nagu viiruste jooksutamine "liivakastirežiimis"; seejärel avaldatakse võimalikult kiiresti värskendused, et kasutajad oma arvuteid uue pahavara eest kohe kaitsma saaksid hakata.

Heuristika

Viirusetõrjeprogrammid rakendavad ka heuristilist analüüsi. Heuristika võimaldab tuvastada uusi või modifitseeritud pahavaratüüpe isegi ilma viirusemäärangufailideta.

Märgates näiteks programmi, mis üritab avada kõiki süsteemis leiduvaid täitmisprogramme (.EXE-faile) ja neisse algupärase programmi koopiaid kirjutades arvutit nakatada, suudab tõrjeprogramm tuvastada selle uue, tundmatut tüüpi viirusena.

Ükski viirusetõrjeprogramm pole täiuslik. Heuristika ei saa toimida liiga agressiivselt, muidu hakkab tõrjeprogramm ka mitteviiruslikes tarkvaraobjektides ohtu nägema.

Valehäired

Tarkvaratoodete ülekülluse tingimustes võib mõnikord juhtuda, et viirusetõrjeprogrammid sildistavad viiruseks faili, mis tegelikult on täiesti ohutu. Seda nimetatakse valehäireks (ingl false positive).

Juhtub sedagi, et viirusetõrjetoode peab ekslikult viirusteks Windowsi süsteemifaile, kolmandate osapoolte toodetud menukaid programme või viirusetõrjeprogrammi endaga seotud faile.

Taolised valehäired võivad süsteeme kahjustada. Enamasti jõuavad teated sedasorti apsudest uudisveergudele — nagu siis, kui Microsoft Security Essentials pidas Google Chrome'i viiruseks, AVG rikkus Windows 7 64-bitise versiooni või Sophos hakkas iseennast pahavaraks pidama.

Ka heuristiline analüüs võib valehäirete osakaalu suurendada, kuna viirusetõrjeprogramm võib pahavaraprogrammile sarnaselt käituvat programmi pidada viiruseks.

Sellest hoolimata tuleb arvuti tavakasutuse juures valehäireid ette üsna harva. Kui tõrjeprogramm väidab, et mingi fail on pahavaraline, tuleks seda enamasti uskuda.

Kui te pole päris kindel, kas faili näol ikka on tegemist viirusega, võite proovida seda laadida (nüüdseks Google'ile kuuluvasse) tuvastuskeskkonda VirusTotal.

VirusTotal analüüsib faili mitmete viirusetõrjevahenditega ning edastab teile kõikide programmide hinnangud.

Tuvastusprotsent

Eri viirusetõrjeprogrammide tuvastusmäärad varieeruvad sõltuvalt viirusmäärangutest ja heuristikast.

Mõne viirusetõrjetootja heuristika võib olla konkurentide omast tõhusam, väljastatud viirusemäärangud ajakohasemad ja ohtramad ning nende abil tuvastatud viiruste hulk seetõttu suurem.

Leidub organisatsioone, mis on võtnud endale ülesandeks viirusetõrjeprogrammide tuvastusmäärade kõrvutava võrdlemise reaalse kasutuse juures. Sõltumatu viirusekontrollilabor AV-Comparatives üllitab regulaarselt uuringuid, milles võrreldakse nüüdisaegsete kõrgtasemel viirusetõrjetoodete tuvastusmäärasid.

Aja jooksul kipuvad need määrad kõikuma — pole ühtegi konkreetset toodet, mis püsiks vankumatult edetabeli tipus. Kui tahate tõepoolest teada, kui tõhus üks tõrjeprogramm tegelikult on ning millised on parimate näitajatega tooted turul, aitavad teid järjele just tuvastusmäärade uuringud (ingl detection rate study).

Viirusetõrjeprogrammide testimine

Kui tahate kontrollida, kas viirusetõrjeprogramm ikka korralikult töötab, võite võtta appi Euroopa arvutiviiruseuuringute instituudi EICAR testfaili.

EICARi fail on viirusetõrjeprogrammide testimise standardmeetod — fail pole tegelikult ohtlik, kuid viirusetõrjeprogrammid käituvad, nagu oleks tegu pahavaraga ning sildistavad selle viiruseks. Nii saate viirusetõrjeprogrammi reaktsioone proovile panna, nakatamata arvutit päris viirustega.

Viirusetõrjeprogrammid on ülimalt keeruka ülesehitusega tarkvaratooted ning nende kasutamise iseärasustest võiks kirjutada pakse raamatuid, ent loodetavasti aitas see artikkel vähemalt teema elementaarsemaid aspekte paremini mõista.