Técnicas de escaneamento
Para melhor compreender o funcionamento de um antivírus, é necessário estar atento aos componentes que o caracterizam, ou seja, os módulos de digitalização que constituem o seu "escudo defensivo".
Varredura em tempo real
A forma de varredura em tempo real (também chamado Ao acessar) é o componente do antivírus que inicializa junto com o sistema operacional, é colocado na memória RAM e analisa em tempo real qualquer ação realizada no computador. Cada vez que um arquivo é executado, movido, criado ou modificado (mesmo de forma "invisível", por exemplo, ao simplesmente abrir um programa), o módulo em tempo real analisa cada arquivo utilizado no processo (binários de arquivo, DLL etc.) procurando um arquivo malicioso ou suspeito. Quando o "alarme é acionado", o módulo cuida de bloquear toda ação do arquivo e de "neutralizá-lo", movendo-o para uma área protegida, localizada dentro das pastas do antivírus (esta área protegida é geralmente chamada quarentena o cesta).
Este módulo é, portanto, um componente fundamental do antivírus: ele, não surpreendentemente, está presente na maioria dos programas projetados para esse fim. Graças à varredura ao acessar, é possível bloquear uma infecção pela raiz, evitando que os vírus alterem o comportamento do sistema e danifiquem arquivos pessoais.
Obviamente, este módulo não é infalível: se o vírus estiver bem escondido dentro de arquivos legítimos ou não estiver presente na "lista" especial de posse do antivírus (à qual retornaremos mais tarde), ele pode escapar desse controle, resultando quase totalmente invisível. Muitos vírus, na verdade, podem ser ativados remotamente ou após um determinado período de tempo, escapando ao controle da varredura em tempo real e, consequentemente, gerando uma infecção maior.
Um módulo de digitalização em tempo real deve ser leve e discreto durante sua ação: se não fosse o caso, o desempenho do computador diminuiria significativamente após qualquer operação iniciada pelo usuário (mesmo a simples abertura de um arquivo ou pasta, por exemplo).
Varredura sob demanda
A forma de varredura sob demanda (também chamado Sob demanda) é o componente do antivírus que analisa, um por vez, todos os arquivos presentes no sistema ou na pasta indicada. Comparado com o módulo de digitalização em tempo real, ele adota um sistema muito mais preciso e eficaz, e requer uma quantidade maior de recursos: no passado, não era incomum ter que interromper seu trabalho ao iniciar uma varredura por solicitação, pois o disco rígido e a CPU ficavam completamente ocupados com essa tarefa.
Devido a essa alta demanda de recursos, este módulo só pode ser iniciado mediante solicitação, clicando em um botão específico na interface do antivírus, ou chamando a funcionalidade relacionada a partir do menu de contexto dos arquivos salvos no sistema.
A verificação sob demanda também pode ser agendada, para que você possa fazer isso acontecer quando o seu computador não for usado para outras tarefas.
Pessoalmente, eu recomendo que você agende uma verificação completa do sistema pelo menos uma vez por mês, definindo um dia e / ou hora em que você tem certeza de não estar presente no PC (melhor deixar o computador ligado para o efeito, para não ter que adiá-lo para um primeiro início útil).
Verificação de nuvem
Recentemente, um novo módulo foi adicionado aos componentes do antivírus para oferecer suporte aos componentes On-Access e On-Demand: o varredura baseada na nuvem. Quando este componente está ativo, todos os dados nos arquivos verificados pelo antivírus são enviado pela internet a uma rede de servidores interligados, de forma a poder usufruir de um poder computacional muito superior: os servidores, desta forma, podem escanear os dados do arquivo (ou todo o arquivo, se este for relativamente pequeno) e fornecer um resposta imediata ao antivírus, que pode assim excluí-lo (no caso de um vírus) ou "deixá-lo passar" (no caso de um arquivo legítimo).
Esta abordagem tem duas vantagens principais: em primeiro lugar, a análise ocorre em vários motores ao mesmo tempo, o que reduz drasticamente o risco de falsos negativos (ou falsos positivos); Em segundo lugar, os recursos do seu computador não estão comprometidos com a verificação, que é feita exclusivamente pela Internet.
No entanto, o sistema de varredura em nuvem requer acesso constante à internet, já que os servidores analíticos devem estar sempre disponíveis. Para evitar a saturação da largura de banda da Internet (um problema muito comum principalmente se você tiver uma conexão que não seja muito rápida), este componente normalmente entra em ação apenas para varreduras sob demanda e / ou para arquivos classificados como "suspeitos". Na ausência de uma conexão com a Internet, o componente nuvem não funciona, então o antivírus deve usar as ferramentas disponibilizadas "offline" para bloquear ameaças potenciais.
Métodos de análise
Depois de analisar os módulos de escaneamento característicos dos antivírus modernos, é hora de entender quais são as ferramentas que esses softwares utilizam para poder saber se um arquivo é nocivo ou não.
Para entender essa diferença, imagine um obstáculo: as técnicas de escaneamento podem ser os policiais, enquanto você pode ver os métodos de análise, como as ferramentas usadas para detectar infrações, como câmeras de velocidade, bafômetros e assim por diante.
Método baseado em assinaturas
O método mais simples e rápido usado pelo antivírus para encontrar ameaças envolve o uso de uma série de "listas especiais" contendo o assinaturas o definições vírus conhecidos: os últimos são características específicas de ameaças cibernéticas, como comportamentos conhecidos, preciso sequências de bits dentro de arquivos infectados ou códigos hash. Esses arquivos são consultados sempre que um arquivo é verificado pelos módulos de verificação por demanda e por acesso.
As listas de assinaturas / definições também são atualizadas regularmente por todos os fabricantes de antivírus, de modo a poder "capturar" (no menor tempo possível) quaisquer novas ameaças reconhecidas. Infelizmente, no entanto, esse método é ineficaz para vírus colocados em circulação alguns dias ou horas após a análise: como não há assinatura conhecida, o antivírus pode deixar uma ameaça passar sem acionar o alarme (ameaças de 0 dia).
Voltando ao nosso exemplo sobre autoridades, você pode considerar assinaturas / definições como fotos usadas por policiais para identificar criminosos procurados imediatamente. Se um criminoso mudou suas conotações, ou ainda não foi pego em flagrante (portanto, ele não tem nenhuma fotografia associada a sua identidade), ele pode facilmente escapar do controle até mesmo da patrulha mais atenta.
Método baseado em heurísticas
Se a assinatura de um vírus não estiver presente no arquivo apropriado, ele pode ser bloqueado usando um componente específico do antivírus, ou seja, o módulo heurístico. Esse módulo lida com para impedir arquivos suspeitos (mas não bloqueados por assinaturas) e monitorar seu comportamento: se os arquivos seguirem padrões reconhecidos como altamente suspeitos ou perigosos, eles são imediatamente bloqueados e colocados em quarentena, aguardando novas investigações (ou seja, a chegada de assinaturas sobre a natureza maliciosa do arquivo).
Graças a este módulo, o computador pode se defender contra novas ameaças. Por outro lado, no entanto, o sensibilidade heurística desempenha um papel fundamental em seu sucesso: um módulo que é muito restrito pode bloquear até mesmo arquivos perfeitamente legítimos, enquanto um módulo que é muito permissivo pode deixar os vírus passarem sem qualquer intervenção.
Voltando ao exemplo da autoridade, você pode comparar a heurística à verificação completa que os policiais realizam quando um carro suspeito passa durante um bloqueio na estrada. Mesmo que a pessoa parada não seja desejada, mas pareça inquieta, agitada, tenha medo de verificar o carro ou a pessoa, é fácil presumir que ela está escondendo alguma coisa!
Métodos baseados em nuvem
Muitas ferramentas modernas, a fim de bloquear vírus, envolvem o uso da Internet: técnicas comoanálise de telemetria, Aheurísticas de "enxame" (com base nos comportamentos registrados por outros usuários usando o mesmo antivírus e encontrando o mesmo arquivo) e o mineração de dados eles ajudam a impedir até mesmo as ameaças mais perigosas, aquelas realizadas por vírus polimórficos, ou seja, capazes de alterar a identidade (resultando assim limpo em todos os PCs infectados), e por ransomware (capaz de se ocultar em arquivos insuspeitados).
Você pode comparar métodos analíticos baseados em nuvem, como o suporte "externo" oferecido aos policiais durante uma grande caçada: helicópteros, comunicações de rádio e cães de guarda.
Sandbox
Outra ferramenta popular disponível em antivírus modernos é o chamado sandbox: prevê a criação de um espaço isolado, sem comunicação com o exterior, no qual todos os arquivos de sistema necessários ao iniciar um programa suspeito são virtualizados ou um executável.
Se o executável for um vírus, ele poderá infectar apenas a parte do sistema virtualizado dentro da sandbox, sem danificar o sistema operacional real.
Graças à sandbox, você pode evitar um grande número de infecções: se a solução de sua escolha as tiver, tome cuidado para incluir todos os novos programas baixados ou aqueles que podem representar vetores de ameaças importantes (por exemplo. navegador e cliente de email).
Importância das Atualizações
Como você pode facilmente adivinhar, neste ponto, atualize constantemente o antivírus é a única maneira de manter sempre alta a barreira de segurança oferecida pelo software. As atualizações, na verdade, costumam incluir o download de novas assinaturas e o aprimoramento dos módulos integrados ao antivírus.
Até o momento, quase todos os antivírus são programados para baixar atualizações assim que estiverem disponíveis: para aqueles baseados principalmente no nuvem, a atualização é, por outro lado, constante e em tempo real, uma vez que as bases de dados são sincronizadas assim que uma única assinatura é adicionada. Você não vai acreditar, mas essa operação também pode acontecer várias vezes em um minuto!
A falta de atualizações, por outro lado, pode tornar os recursos de proteção integrados ao antivírus completamente inúteis: os arquivos maliciosos mais recentes, neste caso, podem agir sem ser perturbados e danificar o sistema operacional e os dados nele armazenados. Na verdade, seria como não ter proteção!
Normalmente, você pode ajustar a frequência das atualizações automáticas de painel de configurações antivírus: primeiro certifique-se de que eles estão ativos e tome cuidado para definir o intervalo de verificação / download para um tempo muito baixo (uma hora ou menos).
Para soluções integradas em sistemas operacionais, como o Windows Defender, você pode baixar manualmente as atualizações nas configurações do sistema: em janelas 10, por exemplo, você tem que ir ao menu Iniciar e clique no botão em forma de ingranaggio, localizado à esquerda, para abrir a janela Configurações.
Depois, você deve clicar no botão Atualização e segurança, vá para a seção dedicada a Windows Update e clique no botão Verifique se há atualizações.
O melhor antivirus
Deixe-me adivinhar: agora que você entende como o antivírus funciona e se você tem ideias claras sobre suas necessidades, gostaria de dar uma olhada no que a cena do computador oferece para escolher a que melhor se adapta ao seu caso? Não tem problema, realmente acho que posso ajudá-lo.
Existem tantos softwares de segurança desse tipo, cada um com suas próprias características: gratuito, pago, equipado com módulos de varredura em tempo real, pronto para varreduras sob demanda apenas, baseado em nuvem e assim por diante. Se você usa o sistema operacional Windows, por exemplo, sugiro que leia meu guia do melhor antivírus para Windows 10, válido também para todas as outras versões do sistema operacional, no qual expliquei como comparar os diversos produtos gratuitos e como escolha o certo para você.
Se, por outro lado, necessita de uma solução eficiente, personalizável e equipada com um grande número de módulos, sugiro que opte por um antivírus pago.
Quanto às soluções de segurança projetadas para smartphones e tablets com sistema operacional Android, você pode dar uma olhada em meu guia do melhor antivírus para Android, no qual listei os melhores aplicativos projetados para preservar a integridade dos dispositivos.
em relação a MacOS e iOSNo entanto, não tenho muito a dizer: esses sistemas operacionais possuem proteções de segurança integradas extremamente eficientes, portanto, como regra, não requerem a presença de uma solução antivírus específica.
Se, no entanto, você contornou essas proteções por um motivo ou outro ou ainda considera essencial ter um antivírus disponível, pode consultar meus tutoriais dedicados a antivírus para Mac e remoção de vírus do iPhone, nos quais tratei do assunto "segurança" com uma riqueza de detalhes.
Como funcionam os antivírus
