Motor antivirus (Anti-virus Engine)

De asemenea cunoscut sub numele de: protectia antivirus in timp real, protectia in timp real, monitorizarea fisierelor, protectia impotriva programelor malware.

Motor antivirus – componenta principala, inclusa in cele mai multe suite de securitate, prezentate pe piata. Rolul principal al motorului – scanarea depozitului de date, acesta patrunde in calculator pentru a detecta si elimina programe periculoase. Codul malitios poate fi stocat in fisiere de pe hard disk, dispozitive USB, in memoria calculatorului, drivere de retea, sectorul de boot sau sa faca parte din traficul de retea.




Metode de determinare

Motorul antivirus foloseste un numar mare de metode pentru detectarea de software periculos.  Programele antivirus contin o baza de date cu monstre de virusi, care trebuie sa fie indentificati in timpul scanarii. Fiecare monstra poate defini codul unic malitios sau, ce este mult mai raspandit, a descrie intreaga familie de virusi. Caracteristica principala a definitiilor de virusi prin compararea de monstre consta in faptul ca programul antivirus poate detecta doar virus cunoscut, in timp ce noile amenintari nu pot fi detectate.

Metoda de analiza euristica (heuristic-based detection) este utilizata pentru a identifica acei virusi, pentru care nu exista monstre in baza de date a programului antivirus. Exista diferite metode pentru analiza euristica. Principiul de baza – identificarea codului, care nu este dorit pentru programele sigure. Aceasta metoda nu este precisa si poate provoca o multime de alarme false. Analiza euristica buna este echilibrata perfect si provoaca numarul minim de alarme false intr-o proportie mare de detectare a programelor periculoase. Sensibilitatea euristica poate fi personalizata.

Virtualizarea (crearea medii virtuale, Virtualization) sau sandbox (sandboxing) sunt metode mai avansate pentru determinarea ameintarilor. Un timp anume monstrele codului sunt executate intr-o masina virtuala sau in alt mediu sigur, din care monstrele scanate nu se pot elibira si afecta sistemul de operare. Comportamentul de monstra in sandbox este monitorizat si analizat. Aceata metoda este convenabila in cazul in care programul periculos este ambalat cu algoritmi necunoscuti (este o metoda obisnuita de a fi imun pentru sistemul de detectare a virusilor), si nu poate fi despachetat de sistemul antivirus. In interiorul mediului virtual virusul se despacheteaza singur, ca in cazul in care este executat pe un sistem real si motorul antivirus poate scana codul si datele extrase.

Una dintre cele mai recente realizari a instrumentelor antivirus – scanare in nor (scanning in the cloud). Aceasta metoda se bazeaza pe faptul ca calculatoarele sunt limitate in abilitatea de calcul, in timp ce producatorii suitelor de securitae sunt in masura sa construiasca sisteme mari, cu eficienta puternica. Puterea calculatorului este necesara pentru a efectua o analiza euristica, precum si pentru analize complexe folosind masini virtuale. Serverele producatorilor pot functiona cu baze mult mai mari comparativ cu calculatoare in regim de timp real. Prin scanarea in nor (cloud) singura cerinta este conexiunea rapida si stabila la Internet. Cand un fisier trebuie scanat, acesta se trimite pe serverul dezvoltatorului antivirusului printr-o conexiune de retea si se asteapta raspunsul. Intre timp, calculatorul poate efectua propria scanare.

Tipuri de scanare si setari

Din perspectiva utilizatorului, exista mai multe tipuri de scanare antivirus, care depind de evenimente, ce au declansat inceputul procesului de scanare:

Scanare la accesare (On access scan) – scanare, care are loc cand resursa devine disponibila. De exemplu, cand fisierul se copiaza pe hard disk sau cand ruleaza fisierul executabil (inceperea procesului de scanare, in acest caz, uneori este numit scanare la pornire). Doar resursa, la care apare accesul, este scanata in acest caz.

Scanare la cerere (On demand scan) este declansata de catre utilizatorul final – de exemplu, cand utilizatorul declanseaza comanda de scanare din meniu corespunzator in Windows Explorer din Windows. Acest tip de scanare este numit si manual. Doar fisierele si folderele selectate sunt scanate cu aceasta metoda.

Scanare programata (Scheduled scan) este de regula actiune repetabila, care asigura o verificare constanta pentru prezenta programelor malware. Utilizatorul poate seta timpul si frecventa de scanare. Aceasta metode de obicei este folosita pentru scanarea completa a sistemului.

Scanare de boot (Startup scan) – scanare, generata de programul antivirus cand sistemul de operare porneste. Este o scanare papida si atinge folderul de pornire, procese care ruleaza, memoria de sistem, servicii de sistem si sectorul de boot.

Optiuni suplimentare

Motorul antivirus de obicei este strans legat de restul pachetului de securitate. Unele produse ofera caracteristici suplimentare, ca parte a motorului antivirus, altele le au separate. Control web –o optiune care este reprezentata ca a doua grupa. Aceasta optiune o vom analiza separat.

Motor antivirus (Anti-virus Engine)
3.67 (73.33%) 3 votes

Share This Post

Post Comment