Como funcionam os antivírus

Autor e referências

Técnicas de escaneamento

Para melhor compreender o funcionamento de um antivírus, é necessário estar atento aos componentes que o caracterizam, ou seja, os módulos de digitalização que constituem o seu "escudo defensivo".

Varredura em tempo real

A forma de varredura em tempo real (também chamado Ao acessar) é o componente do antivírus que inicializa junto com o sistema operacional, é colocado na memória RAM e analisa em tempo real qualquer ação realizada no computador. Cada vez que um arquivo é executado, movido, criado ou modificado (mesmo de forma "invisível", por exemplo, ao simplesmente abrir um programa), o módulo em tempo real analisa cada arquivo utilizado no processo (binários de arquivo, DLL etc.) procurando um arquivo malicioso ou suspeito. Quando o "alarme é acionado", o módulo cuida de bloquear toda ação do arquivo e de "neutralizá-lo", movendo-o para uma área protegida, localizada dentro das pastas do antivírus (esta área protegida é geralmente chamada quarentena o cesta).



Este módulo é, portanto, um componente fundamental do antivírus: ele, não surpreendentemente, está presente na maioria dos programas projetados para esse fim. Graças à varredura ao acessar, é possível bloquear uma infecção pela raiz, evitando que os vírus alterem o comportamento do sistema e danifiquem arquivos pessoais.

Obviamente, este módulo não é infalível: se o vírus estiver bem escondido dentro de arquivos legítimos ou não estiver presente na "lista" especial de posse do antivírus (à qual retornaremos mais tarde), ele pode escapar desse controle, resultando quase totalmente invisível. Muitos vírus, na verdade, podem ser ativados remotamente ou após um determinado período de tempo, escapando ao controle da varredura em tempo real e, consequentemente, gerando uma infecção maior.

Um módulo de digitalização em tempo real deve ser leve e discreto durante sua ação: se não fosse o caso, o desempenho do computador diminuiria significativamente após qualquer operação iniciada pelo usuário (mesmo a simples abertura de um arquivo ou pasta, por exemplo).



Varredura sob demanda

A forma de varredura sob demanda (também chamado Sob demanda) é o componente do antivírus que analisa, um por vez, todos os arquivos presentes no sistema ou na pasta indicada. Comparado com o módulo de digitalização em tempo real, ele adota um sistema muito mais preciso e eficaz, e requer uma quantidade maior de recursos: no passado, não era incomum ter que interromper seu trabalho ao iniciar uma varredura por solicitação, pois o disco rígido e a CPU ficavam completamente ocupados com essa tarefa.

Devido a essa alta demanda de recursos, este módulo só pode ser iniciado mediante solicitação, clicando em um botão específico na interface do antivírus, ou chamando a funcionalidade relacionada a partir do menu de contexto dos arquivos salvos no sistema.

A verificação sob demanda também pode ser agendada, para que você possa fazer isso acontecer quando o seu computador não for usado para outras tarefas.

Pessoalmente, eu recomendo que voc√™ agende uma verifica√ß√£o completa do sistema pelo menos uma vez por m√™s, definindo um dia e / ou hora em que voc√™ tem certeza de n√£o estar presente no PC (melhor deixar o computador ligado para o efeito, para n√£o ter que adi√°-lo para um primeiro in√≠cio √ļtil).

Verificação de nuvem

Recentemente, um novo módulo foi adicionado aos componentes do antivírus para oferecer suporte aos componentes On-Access e On-Demand: o varredura baseada na nuvem. Quando este componente está ativo, todos os dados nos arquivos verificados pelo antivírus são enviado pela internet a uma rede de servidores interligados, de forma a poder usufruir de um poder computacional muito superior: os servidores, desta forma, podem escanear os dados do arquivo (ou todo o arquivo, se este for relativamente pequeno) e fornecer um resposta imediata ao antivírus, que pode assim excluí-lo (no caso de um vírus) ou "deixá-lo passar" (no caso de um arquivo legítimo).



Esta abordagem tem duas vantagens principais: em primeiro lugar, a análise ocorre em vários motores ao mesmo tempo, o que reduz drasticamente o risco de falsos negativos (ou falsos positivos); Em segundo lugar, os recursos do seu computador não estão comprometidos com a verificação, que é feita exclusivamente pela Internet.

No entanto, o sistema de varredura em nuvem requer acesso constante à internet, já que os servidores analíticos devem estar sempre disponíveis. Para evitar a saturação da largura de banda da Internet (um problema muito comum principalmente se você tiver uma conexão que não seja muito rápida), este componente normalmente entra em ação apenas para varreduras sob demanda e / ou para arquivos classificados como "suspeitos". Na ausência de uma conexão com a Internet, o componente nuvem não funciona, então o antivírus deve usar as ferramentas disponibilizadas "offline" para bloquear ameaças potenciais.

Métodos de análise

Depois de analisar os módulos de escaneamento característicos dos antivírus modernos, é hora de entender quais são as ferramentas que esses softwares utilizam para poder saber se um arquivo é nocivo ou não.

Para entender essa diferen√ßa, imagine um obst√°culo: as t√©cnicas de escaneamento podem ser os policiais, enquanto voc√™ pode ver os m√©todos de an√°lise, como as ferramentas usadas para detectar infra√ß√Ķes, como c√Ęmeras de velocidade, baf√īmetros e assim por diante.

Método baseado em assinaturas

O m√©todo mais simples e r√°pido usado pelo antiv√≠rus para encontrar amea√ßas envolve o uso de uma s√©rie de "listas especiais" contendo o assinaturas o defini√ß√Ķes v√≠rus conhecidos: os √ļltimos s√£o caracter√≠sticas espec√≠ficas de amea√ßas cibern√©ticas, como comportamentos conhecidos, preciso sequ√™ncias de bits dentro de arquivos infectados ou c√≥digos hash. Esses arquivos s√£o consultados sempre que um arquivo √© verificado pelos m√≥dulos de verifica√ß√£o por demanda e por acesso.



As listas de assinaturas / defini√ß√Ķes tamb√©m s√£o atualizadas regularmente por todos os fabricantes de antiv√≠rus, de modo a poder "capturar" (no menor tempo poss√≠vel) quaisquer novas amea√ßas reconhecidas. Infelizmente, no entanto, esse m√©todo √© ineficaz para v√≠rus colocados em circula√ß√£o alguns dias ou horas ap√≥s a an√°lise: como n√£o h√° assinatura conhecida, o antiv√≠rus pode deixar uma amea√ßa passar sem acionar o alarme (amea√ßas de 0 dia).

Voltando ao nosso exemplo sobre autoridades, voc√™ pode considerar assinaturas / defini√ß√Ķes como fotos usadas por policiais para identificar criminosos procurados imediatamente. Se um criminoso mudou suas conota√ß√Ķes, ou ainda n√£o foi pego em flagrante (portanto, ele n√£o tem nenhuma fotografia associada a sua identidade), ele pode facilmente escapar do controle at√© mesmo da patrulha mais atenta.

Método baseado em heurísticas

Se a assinatura de um v√≠rus n√£o estiver presente no arquivo apropriado, ele pode ser bloqueado usando um componente espec√≠fico do antiv√≠rus, ou seja, o m√≥dulo heur√≠stico. Esse m√≥dulo lida com para impedir arquivos suspeitos (mas n√£o bloqueados por assinaturas) e monitorar seu comportamento: se os arquivos seguirem padr√Ķes reconhecidos como altamente suspeitos ou perigosos, eles s√£o imediatamente bloqueados e colocados em quarentena, aguardando novas investiga√ß√Ķes (ou seja, a chegada de assinaturas sobre a natureza maliciosa do arquivo).

Graças a este módulo, o computador pode se defender contra novas ameaças. Por outro lado, no entanto, o sensibilidade heurística desempenha um papel fundamental em seu sucesso: um módulo que é muito restrito pode bloquear até mesmo arquivos perfeitamente legítimos, enquanto um módulo que é muito permissivo pode deixar os vírus passarem sem qualquer intervenção.

Voltando ao exemplo da autoridade, você pode comparar a heurística à verificação completa que os policiais realizam quando um carro suspeito passa durante um bloqueio na estrada. Mesmo que a pessoa parada não seja desejada, mas pareça inquieta, agitada, tenha medo de verificar o carro ou a pessoa, é fácil presumir que ela está escondendo alguma coisa!

Métodos baseados em nuvem

Muitas ferramentas modernas, a fim de bloquear vírus, envolvem o uso da Internet: técnicas comoanálise de telemetria, Aheurísticas de "enxame" (com base nos comportamentos registrados por outros usuários usando o mesmo antivírus e encontrando o mesmo arquivo) e o mineração de dados eles ajudam a impedir até mesmo as ameaças mais perigosas, aquelas realizadas por vírus polimórficos, ou seja, capazes de alterar a identidade (resultando assim limpo em todos os PCs infectados), e por ransomware (capaz de se ocultar em arquivos insuspeitados).

Voc√™ pode comparar m√©todos anal√≠ticos baseados em nuvem, como o suporte "externo" oferecido aos policiais durante uma grande ca√ßada: helic√≥pteros, comunica√ß√Ķes de r√°dio e c√£es de guarda.

Sandbox

Outra ferramenta popular disponível em antivírus modernos é o chamado sandbox: prevê a criação de um espaço isolado, sem comunicação com o exterior, no qual todos os arquivos de sistema necessários ao iniciar um programa suspeito são virtualizados ou um executável.

Se o executável for um vírus, ele poderá infectar apenas a parte do sistema virtualizado dentro da sandbox, sem danificar o sistema operacional real.

Gra√ßas √† sandbox, voc√™ pode evitar um grande n√ļmero de infec√ß√Ķes: se a solu√ß√£o de sua escolha as tiver, tome cuidado para incluir todos os novos programas baixados ou aqueles que podem representar vetores de amea√ßas importantes (por exemplo. navegador e cliente de email).

Import√Ęncia das Atualiza√ß√Ķes

Como voc√™ pode facilmente adivinhar, neste ponto, atualize constantemente o antiv√≠rus √© a √ļnica maneira de manter sempre alta a barreira de seguran√ßa oferecida pelo software. As atualiza√ß√Ķes, na verdade, costumam incluir o download de novas assinaturas e o aprimoramento dos m√≥dulos integrados ao antiv√≠rus.

At√© o momento, quase todos os antiv√≠rus s√£o programados para baixar atualiza√ß√Ķes assim que estiverem dispon√≠veis: para aqueles baseados principalmente no nuvem, a atualiza√ß√£o √©, por outro lado, constante e em tempo real, uma vez que as bases de dados s√£o sincronizadas assim que uma √ļnica assinatura √© adicionada. Voc√™ n√£o vai acreditar, mas essa opera√ß√£o tamb√©m pode acontecer v√°rias vezes em um minuto!

A falta de atualiza√ß√Ķes, por outro lado, pode tornar os recursos de prote√ß√£o integrados ao antiv√≠rus completamente in√ļteis: os arquivos maliciosos mais recentes, neste caso, podem agir sem ser perturbados e danificar o sistema operacional e os dados nele armazenados. Na verdade, seria como n√£o ter prote√ß√£o!

Normalmente, voc√™ pode ajustar a frequ√™ncia das atualiza√ß√Ķes autom√°ticas de painel de configura√ß√Ķes antiv√≠rus: primeiro certifique-se de que eles est√£o ativos e tome cuidado para definir o intervalo de verifica√ß√£o / download para um tempo muito baixo (uma hora ou menos).

Para solu√ß√Ķes integradas em sistemas operacionais, como o Windows Defender, voc√™ pode baixar manualmente as atualiza√ß√Ķes nas configura√ß√Ķes do sistema: em janelas 10, por exemplo, voc√™ tem que ir ao menu Iniciar e clique no bot√£o em forma de ingranaggio, localizado √† esquerda, para abrir a janela Configura√ß√Ķes.

Depois, voc√™ deve clicar no bot√£o Atualiza√ß√£o e seguran√ßa, v√° para a se√ß√£o dedicada a Windows Update e clique no bot√£o Verifique se h√° atualiza√ß√Ķes.

O melhor antivirus

Deixe-me adivinhar: agora que você entende como o antivírus funciona e se você tem ideias claras sobre suas necessidades, gostaria de dar uma olhada no que a cena do computador oferece para escolher a que melhor se adapta ao seu caso? Não tem problema, realmente acho que posso ajudá-lo.

Existem tantos softwares de seguran√ßa desse tipo, cada um com suas pr√≥prias caracter√≠sticas: gratuito, pago, equipado com m√≥dulos de varredura em tempo real, pronto para varreduras sob demanda apenas, baseado em nuvem e assim por diante. Se voc√™ usa o sistema operacional Windows, por exemplo, sugiro que leia meu guia do melhor antiv√≠rus para Windows 10, v√°lido tamb√©m para todas as outras vers√Ķes do sistema operacional, no qual expliquei como comparar os diversos produtos gratuitos e como escolha o certo para voc√™.

Se, por outro lado, necessita de uma solu√ß√£o eficiente, personaliz√°vel e equipada com um grande n√ļmero de m√≥dulos, sugiro que opte por um antiv√≠rus pago.

Quanto √†s solu√ß√Ķes de seguran√ßa projetadas para smartphones e tablets com sistema operacional Android, voc√™ pode dar uma olhada em meu guia do melhor antiv√≠rus para Android, no qual listei os melhores aplicativos projetados para preservar a integridade dos dispositivos.

em rela√ß√£o a MacOS e iOSNo entanto, n√£o tenho muito a dizer: esses sistemas operacionais possuem prote√ß√Ķes de seguran√ßa integradas extremamente eficientes, portanto, como regra, n√£o requerem a presen√ßa de uma solu√ß√£o antiv√≠rus espec√≠fica.

Se, no entanto, voc√™ contornou essas prote√ß√Ķes por um motivo ou outro ou ainda considera essencial ter um antiv√≠rus dispon√≠vel, pode consultar meus tutoriais dedicados a antiv√≠rus para Mac e remo√ß√£o de v√≠rus do iPhone, nos quais tratei do assunto "seguran√ßa" com uma riqueza de detalhes.

Como funcionam os antivírus


√Āudio v√≠deo Como funcionam os antiv√≠rus
Adicione um comentário do Como funcionam os antivírus
Comentário enviado com sucesso! Vamos analisá-lo nas próximas horas.