Hogyan dolgozik egy vírusirtó?

Konyhanyelven magyarázom el, három okból:

1. csak így tudom :)

2. nem szeretem túl műszakiasan magyarázni amúgy sem

3. nem értenéd meg, szerintem, ha bonyolultan lenne elmagyarázva

Azért, ha valamit nem jól írok, remélem, jönnek kisegítők.

A vírusdefiníciós adatbázisban (vagy vírus adatbázis, vírusleíró adatbázis stb. elnevezése lehet) olyan információk vannak, melyek segítségével a vírusirtó felismeri a kártevőket.

Az adatbázist naponta többször kell frissíteni, hogy az újabb kártevők ellen is védettek legyünk.

Az adatbázison alapuló (reaktív) felismerés mellett fontos a proaktív is.

Nemcsak azokat a mintákat keresi, amiket már ismer, hanem ahhoz hasonló kódrészleteket is. Ezek a generikus illetve heurisztikus találatok (mármint ha észlel is valamit).

Napjainkban egyre fontosabbak a HIPS-ek illetve viselkedés elemzők. Lényegében a két fogalom ugyan azt takarja.

A különbség az, hogy a HIPS nagyon sokat kérdez (adott szoftver hozzá akar férni egy fájlhoz [komolyan, ilyesmire is rákérdezhet], adott szoftver módosítani akarja a leíró kulcsokat, adott szoftver csatlakozni akar a netre, stb).

A viselkedés elemzők inkább csak a gyanús viselkedésre kérdeznek rá.

Hátránya persze mindegyiknek van.

Adatbázis alapján pontosan - talán a leginkább fals-találat mentesen - lehet detektálni, azonban a legújabb kártevők ellen, akár milyen sűrűn is érkezik frissítés, nem vagyunk védettek.

A heurisztikus találatok sokszor tévesek. Nem minden proginál lehet magasra állítani a heurisztikus érzékenységet... ;)

A HIPS nagyon idegesítő, de ha valaki tudja a dolgát, tudja, mit engedélyezzen, és mit ne, az hatalmas biztonságban van mellette. Semmi nem történik a gépen az illető tudta nélkül.

A viselkedés elemzők... háát, nehéz egy olyan programot alkotni, ami eldönti, milyen viselkedés veszélyes és milyen nem...

Akkor beszállok én is.

Amikor elindítod a vírusírtást, akkor egymás után nézi át a fájlokat, ezért van az, hogy lelassul a gép közben. Minden fájlon lefuttatja azt a 3pontos tesztet amit az előző írt, majd ugrik a következőre. De persze a számítógép több műveletet végez egyszerre, nem egyesével halad, többet vizsgál egy pillanatban.