Что нужно для долгой успешной работы антивирусных программ

Содержание

В серии тестов лаборатория AV-Comparatives попыталась ответить на вопрос, могут ли какие-либо меры по повышению производительности, принятые антивирусными вендорами, повлиять на способность антивирусов обнаруживать вредоносное ПО

В прошлом антивирусы нередко вызывали критику пользователей за серьезное влияние на производительность ПК, т.е. на замедление его работы при повседневном использовании. В настоящее время антивирусы используют различные методы оптимизации для снижения воздействия на систему и исключения прерываний при выполнении повседневных задач.

В серии тестов лаборатория AV-Comparatives попыталась ответить на вопрос, могут ли какие-либо меры по повышению производительности, принятые антивирусными вендорами, повлиять на способность продуктов обнаруживать вредоносное ПО при определенных обстоятельствах. С этой целью была проанализирована стабильность обнаружения вредоносного ПО в определенных сценариях.

Найти оптимальный баланс между обнаружением угроз в режиме реального времени и производительностью непросто. Вендоры применяют различные оптимизации, чтобы уменьшить влияние на производительность системы. Ниже приведены некоторые примеры оптимизаций, которые теоретически могут быть применены в определенных продуктах.

Защитник Windows 10 Настройка для начинающих Как пользоваться Исключения

Все они могут оказать положительное влияние на производительность, но могут снизить уровень обнаружения любых вредоносных файлов. Список может быть неполным, так как существует много неизвестных переменных и различных реализаций, рассмотреть которые не представляется возможным. Точные ответы и технические подробности об отдельном продукте может предоставить только соответствующий поставщик антивирусного ПО.

  • Исключить анализ определенных типов файлов: антивирусы часто исключают определенные типы файлов (или даже расширения файлов) из анализа.
  • Исключить анализ файлов, подписанных известными разработчиками: антивирусы могут исключать из анализа файлы, подписанные известными и надежными разработчиками.
  • Исключить анализ файлов из белого списка: антивирусы могут исключить анализ списка определенных, предопределенных программ из белого списка.
  • Исключить файлы или программы с проверенным цифровым профилем: антивирусы могут пропускать повторный анализ файлов, которые уже были проанализированы или не изменились с момента последнего анализа или обновления. Кроме того, файлы, к которым пользователь обращается в текущем сеансе Windows, могут быть проанализированы только один раз и повторно проанализированы только после перезагрузки системы или обновления подписи. Некоторые антивирусы могут запустить полное сканирование системы по запросу сразу после установки, чтобы снять цифровые отпечатки с определенных файлов в системе.
  • Использовать различные уровни эвристического анализа: в зависимости от происхождения файла (например, из Интернета или локальный файл), действия, которое пользователь выполняет над файлом (например, копирование, добавление в архив или запуск), или количества обрабатываемых файлов, антивирусы могут применять различные эвристические методы при анализе. При использовании некоторых эвристических моделей анализ может занять меньше времени, что потребует меньше системных ресурсов.
  • Исключить анализ конкретных целей: анализ может не выполняться, если файлы записываются в определенные целевые места (например, на USB-накопитель) во время копирования, извлечения архива, скачивания и др.
  • Исключить анализ файлов на больших носителях или в сетевых ресурсах: содержимое носителей с потенциально большой емкостью (например, внешние USB-накопители) или источников в локальной сети может не анализироваться.
  • Исключить анализ для разных разделов одного диска: анализ может не выполняться, когда файлы копируются или перемещаются между разными разделами на одном диске.
  • Исключить анализ файлов во время их создания, чтения, перемещения или копирования: антивирусы могут анализировать файлы только при их запуске.
  • Исключить анализ определенных имен файлов или местоположений: антивирусы могут исключить из анализа файлы с определенными именами или в определенных местах в системе.
  • Исключить анализ для определенных действий: анализ файлов во время операций, выполнение которых часто занимает некоторое время (например, архивирование или разархивирование файлов), может быть пропущен.
  • Запустить анализ после определенных действий: анализ может начаться только после завершения текущей операции (например, копирования или разархивирования файлов). В этом случае пользователь может не заметить падения производительности во время самой операции.
  • Ограничить количество и размер файлов для анализа: при копировании нескольких файлов (как отдельных, так и в папках) антивирусы могут анализировать только определенное количество файлов, а затем остановят анализ для остальных файлов. Точно так же антивирусы могут пропустить анализ больших папок или файлов или просто запустить выборочную проверку некоторых файлов.
  • Различные уровни анализа в зависимости от оборудования: по умолчанию антивирусы могут выполнять более глубокий анализ на высокопроизводительных компьютерах, но менее полный анализ на более слабом оборудовании, чтобы уменьшить общую нагрузку.

Как проходит тестирование

В чистой и обновленной системе Windows 10, версия 21H2, защищаемой соответствующим антивирусом с настройками по умолчанию, выполнялись различные виды пользовательских действий. Тестовая система была подключена к Интернету, чтобы также учитываться влияние облачных защитных функций.

Читайте также:
Постоянно вылетает из программы

5 вещей, которые нужно обновлять, чтобы защитить ваши устройства и данные

Использовались повседневные операции пользователей, но с добавлением вредоносных файлов в соответствующий сценарий. Чтобы получить более полное представление о механизмах обнаружения, предлагаемых каждым антивирусом, были использованы различные методы выполнения этих действий. Например, при проверке копирования файлов применялись разные инструменты и процедуры копирования файлов. Также рассматривались разные расположения и направления копирования.

  • Копирование файлов: копировался набор файлов, состоящий из нескольких чистых файлов и одного вредоносного файла.
  • Архивирование и распаковка архивов: для тестирования архивирования в архив добавлялся набор файлов, состоящий из нескольких чистых файлов и одного вредоносного файла. Для проверки разархивирования был подготовлен архив, содержащий один вредоносный файл и несколько чистых файлов, после чего выполнялось извлечение архива
  • Установка приложений: устанавливалось приложение, которое в процессе установки размещает вредоносный файл на системном диске.
  • Запуск приложений: открывался вредоносный документ с соответствующим приложением.
  • Загрузка файлов: выполнялась загрузка вредоносных файлов с различных серверов в Интернете.

Вредоносные образцы, использованные в этом тесте, будут обнаружены всеми протестированными антивирусами при простом сканировании по требованию. Тест проверяет, будут ли эти образцы обнаружены в дополнительных конкретных сценариях, перечисленных выше.

Нужно понимать, что сценарии, используемые для этого тестирования, являются лишь подмножеством возможных сценариев. Протестировать каждый потенциальный сценарий невозможно, учитывая, что существует ряд переменных (типы файлов, местоположения файлов, количество и размеры файлов, структура папок, тип диска и т. д.). Возможные комбинации этих переменных не ограничены.

Результаты тестирования

В апреле 2022 года были протестированы следующие антивирусы с настройками по умолчанию:

  • Avast Free Antivirus
  • AVG Free Antivirus
  • Avira Prime
  • Bitdefender Internet Security
  • ESET NOD32 Internet Security
  • G Data Total Security
  • K7 Total Security
  • Kaspersky Internet Security
  • Malwarebytes Premium
  • McAfee Total Protection
  • Microsoft Defender Antivirus
  • NortonLifeLock Norton 360 Deluxe
  • Panda Free Antivirus
  • Total Defense Essential Antivirus
  • Total AV Total Security
  • Trend Micro Internet Security
  • VIPRE Advanced Security

В таблице ниже приведены результаты для каждого сценария. В таблице показано, анализировали ли антивирусы тестовые образцы во время различных операций, таких как копирование или загрузка файлов.

  • Всегда анализируется (Always analysed): продукт постоянно анализирует файлы (и, следовательно, обнаруживает вредоносное ПО) в конкретном тестовом сценарии и с использованием используемых методов. Результаты тестирования показывают, что все продукты анализировали файлы на наличие вредоносного ПО как минимум в сценариях «Установка приложений» и «Запуск приложений». Это сценарии, в которых вредоносное ПО может напрямую заразить систему.
  • Иногда анализировались (Sometimes analysed): файлы иногда, но не всегда, анализировались в зависимости от обстоятельств (используемой программы, общего количества файлов, расположения файлов) и логики оптимизации.
  • Никогда не анализировалось (Never analysed): продукт не анализировал файлы в конкретном сценарии и с использованием используемых методов, поэтому в этом случае не было обнаружено вредоносного ПО. Malwarebytes и McAfee никогда не анализировали файлы во время «Копирования файлов» и «Архивации/разархивации».

Выводы

Как видно из таблицы, два продукта никогда не анализируют файлы во время копирования или архивирования. Еще 7 антивирусов только иногда сканируют во время архивирования или извлечения архива, а еще 4 антивируса сканируют только иногда во время копирования файлов. Однако все решения выполняют сканирование при установке и запуске приложений (имеется в виду, что все файлы сканируются при выполнении, тем самым защищая систему). Если указано что файлы иногда анализируются, это означает, что сканирование зависит от таких факторов, как расположение файла, используемая программа или метод, количество копируемых файлов.

Отрицательный эффект оптимизаций производительности

Результаты показывают, что в некоторых случаях файлы могут не анализироваться и, следовательно, вредоносное ПО не будет обнаружено. Это может создать у пользователей ложное впечатление, что если файлы, которые они загрузили/скопировали/разархивировали в свою систему, не были автоматически обнаружены антивирусом как вредоносные, то их можно безопасно передать другим пользователям.

Рекомендации по защите

Вполне естественно, что пользователям нужны очень быстрые антивирусные продукты, поэтому вендоры стараются максимально оптимизировать производительность, не влияя на безопасность. Однако, разработчики антивирусов могли бы быть более прозрачными в отношении того, как реализуются компромиссы между обнаружением и производительностью, чтобы пользователи могли принять это во внимание. Если антивирусная программа не отслеживает некоторые операции с файлами для оптимизации производительности, то вендору следует четко сообщить об этом пользователям (это можно сделать, например, в процессе установки). Некоторые продукты способны найти правильный баланс между безопасностью и производительностью.

Эксперты AV-Comparatives считают, что антивирусы должны иметь настройки по умолчанию, которые больше внимания уделяют обнаружению, чем производительности, чтобы повысить безопасность для неопытных пользователей. А опытные пользователи, используя четко описанные параметры, смогли бы отключать обнаружение в некоторых конкретных сценариях.

Как показывают результаты тестирования, некоторые продукты могут анализировать файлы непоследовательно или вообще пропускать анализ при определенных сценариях, например при копировании файлов. По этой причине рекомендуется запускать сканирование по требованию любых файлов, которые могут быть вредоносными (или даже сканирование всей системы). Хотя это также может иметь свои ограничения, сканирование по требованию обычно анализирует файлы более глубоко, чем анализ в реальном времени, используемый, например, когда файлы скопированы, загружены или извлечены из архива. По возможности сканирование следует запускать при активном подключении к Интернету, чтобы антивирусный продукт мог получить доступ к своим облачным службам, что часто значительно повышает уровень обнаружения.

Читайте также:
Андроид программа сохранить контакты

Информация, приведенная в этой статье, может помочь пользователям соотнести результаты тестов производительности, в которых используются распространенные реальные сценарии. Вы также можете посмотреть отдельные результаты тестов на защиту и тестов производительности, проведенных лабораторией AV-Comparatives в 2022 году.

Источник: www.comss.ru

4 вещи, которые антивирус должен улучшить в будущем

Антивирусы это программы, которые большинство из нас использует на своих компьютерах. Хотя они работают в фоновом режиме, как правило, они активны, чтобы защитить нас в реальном времени от возможных угроз, с которыми мы можем столкнуться, например, в Интернете.

Фактически, это программы, которые были с нами в течение многих лет и которые должны были развиваться одновременно с кибератаки . Таким образом, можно сказать, что они представляют собой тип программы, которая не перестает расти и развиваться с течением времени. Многие пользователи жалуются, что иногда потребляют много компьютерных ресурсов, а другие напрямую обходятся без них. Однако последнее вообще не рекомендуется, так как мы никогда не знаем, откуда может исходить опасность.

Кроме того, если на компьютер попадет какой-либо тип вредоносного ПО, он может быть серьезно поврежден. операционная система уровень. И это еще не все, но в то же время ваши собственные сохраненные данные могут быть скомпрометированы, что не рекомендуется. Следовательно, возможно, что те, кто неохотно использует этот тип программ, захотят выбрать некоторые вещи, которые отсутствуют, которые могут быть оставлены или нуждаются в улучшении в антивирусе. Вот почему в этих строках мы сосредоточимся на некоторых из этих улучшений, которые можно было бы реализовать.

Bitdefender Total Security 2021-1

Уменьшите влияние на производительность ПК

Это одна из основных жалоб многих пользователей антивируса. И дело в том, что они постоянно работают в фоновом режиме, гарантируя, что в наш Дисковый привод . Это вычитает ресурсы, как и ожидалось, не говоря уже о том, когда они начинают выполнять сканирование, поэтому это потребление увеличивается. Так что это то, что разработчики могли бы попытаться как-то улучшить.

Лицензии или полные пожизненные версии антивируса

Многие антивирусы продаются с ограниченным сроком службы. Это потому, что мы купили определенную версию программы, но позже нам придется заплатить плюс, чтобы иметь возможность ее обновить. То же самое происходит с лицензии проданные на несколько месяцев или на год, по истечении этого времени перестают работать. Следовательно, это можно подавить или, по крайней мере, изменить монетизация режим продукта в сторону чего-то менее опасного для пользователя.

Большая фрагментация для выбора конкретных функций

Есть некоторые из этих антивирусных решений, которые содержат функции, которые во многих случаях нам совсем не нужны. Это только делает продукт более дорогим и, следовательно, потребляет ресурсы оборудования , например, космос. Следовательно, лучшее, что можно было сделать, — это иметь возможность более фрагментированно выбирать те функции, которые нам действительно нужны в нашем решении безопасности.

Более простое и прямое удаление

Несомненно, с годами, особенно если вы попробовали несколько решений этого типа, вы поняли, что некоторые из них трудно устранить. И когда приходит время удалить некоторые из этих антивирус с компьютера , задача становится чрезвычайно сложной, а в некоторых случаях почти невозможной. Это то, что сильно вредит изображение компании-разработчика, поэтому их следует избегать любой ценой.

Источник: itigic.com

Основы работы антивирусных программ

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ , который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании — производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке — HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Читайте также:
С помощью какой программы открывать zip файлы

Второе, в чем могут отличаться модули обновления — это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка — повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль — это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль планирования как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал — один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования — давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае — это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

  • Настройке параметров антивирусных модулей
  • Настройке обновлений
  • Настройке периодического запуска обновления и проверки
  • Запуску модулей вручную, по требованию пользователя
  • Отчетам о проверке
  • Другим функциям, в зависимости от конкретного антивируса

Основные требования к такому модулю — удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

  • Поддержка удаленного управления и настройки — администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места
  • Защита настроек от изменений — модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить незараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

Источник: intuit.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru