Muitas vezes interagimos com nossos software program antivírus duas vezes: quando instalamos e quando algo dá errado. No meio, ele simplesmente funciona. Você pode iniciar uma verificação guide de vez em quando, observar uma barra de progresso se mover pela tela e encerrar o dia.
Mas, nos bastidores, há muito mais coisas acontecendo do que a barra de progresso sugere. O software program antivírus moderno é um sistema multicamadas executado continuamente em segundo plano, usando vários métodos para detectar ameaças em vários estágios. Alguns desses métodos existem há décadas, enquanto outros estão agora sendo remodelados pela IA.
Aqui está o que você precisa saber para entender como eles funcionam juntos – e onde as coisas ainda podem escapar.
Seu antivírus está funcionando antes de você clicar em ‘verificar’
Esqueça a verificação guide. Aquela barra de progresso que você olha uma vez por mês não é onde o verdadeiro trabalho acontece.
O mecanismo que realmente importa é a verificação em tempo actual, e ela nunca para a menos que você solicite. No momento em que você baixa um arquivo, abre um anexo ou retirar algo de uma unidade USBseu antivírus geralmente já está verificando. Muitas ameaças são detectadas aqui mesmo, antes mesmo de terem an opportunity de serem executadas.
A verificação guide completa tem seu lugar. Ele verifica tudo que já está em sua unidade, o que é útil para detectar qualquer coisa que tenha escapado antes de você instalar o antivírus atual. Mas é reativo. A verificação em tempo actual não é.
Para conseguir isso, seu antivírus executa vários processos em segundo plano 24 horas por dia. Um monitor do sistema de arquivos observa qualquer coisa nova ou alterada. Um monitor de processo rastreia o que os programas em execução estão realmente fazendo. Um filtro da internet filtra URLs e downloads antes que eles cheguem ao seu sistema. Nada disso requer sua contribuição além da configuração inicial.
O banco de dados de assinaturas é a base de cada digitalização
Cada malware tem uma impressão digital: uma sequência específica de código, uma estrutura de arquivo específica ou um padrão que o identifica. As empresas de segurança os catalogam em um banco de dados de assinaturas conhecidas e, quando o software program verifica um arquivo, ele basicamente executa uma verificação de comparação com essa lista. Correspondência encontrada? O arquivo é sinalizado.
O sistema de correspondência acontece de forma rápida e em grande escala. Seu antivírus está verificando arquivo após arquivo em um banco de dados que contém milhões de entradas, procurando por qualquer sobreposição. Quando encontra um, sabe exatamente com o que está lidando e como lidar com isso.
Esse banco de dados só será útil se permanecer atualizado. Novas variantes de malware são descobertas diariamentee os fornecedores de antivírus enviam atualizações constantemente para acompanhar o ritmo. A maioria dos softwares extrai essas atualizações automaticamente, às vezes várias vezes ao dia.
Essa também é a limitação basic da detecção baseada em assinaturas. Ele detecta apenas ameaças já conhecidas e documentadas. Um malware totalmente novo, que nunca foi visto antes e não tem entradas em nenhum banco de dados, às vezes passa direto. A verificação de assinaturas é completa e confiável contra ameaças estabelecidas. Mas algo novo é mais difícil de detectar.
A heurística e a análise comportamental detectam o que falta nas assinaturas
Há boas notícias, no entanto. Quando um arquivo não tem assinatura conhecida, seu antivírus não apenas o envia. Ele executa detecção heurística, que pontua um arquivo com base em características suspeitas, como estruturas de código incomuns, padrões de exploração conhecidos e propriedades que não correspondem ao que o arquivo afirma ser. Ultrapasse um determinado limite e ele será sinalizado – não é necessário registro prévio.
A análise comportamental observa o que um arquivo realmente faz quando é executado. Um programa que criptografa arquivos rapidamente, desativa software program de segurança ou se esconde do sistema operacional provavelmente será pego porque suas ações o denunciam.
Esses dois métodos também diferem no tempo. A análise estática examina um arquivo antes de ser executado. A análise dinâmica observa isso em ação. A maioria dos softwares antivírus executa primeiro uma verificação estática e passa para uma análise dinâmica quando algo merece uma análise mais detalhada. Nenhum deles é infalível, mas juntos eles cobrem o terreno que os bancos de dados de assinaturas não conseguem.
Sandboxing permite que seu antivírus execute arquivos suspeitos em um PC ‘falso’
Uma sandbox é um ambiente digital isolado onde seu software program antivírus pode executar um arquivo suspeito sem arriscar seu sistema actual. O arquivo é executado, faz o que for necessário e o software program observa. Alterações no registro, chamadas de rede, tentativas de modificar arquivos do sistema – tudo isso é registrado. Se o comportamento for malicioso, o arquivo será bloqueado antes mesmo de tocar na sua máquina “actual”.
Isto é especialmente valioso contra malware que reescreve seu próprio código para evitar a detecção de assinatura. Um arquivo que parece limpo na superfície ainda pode se comportar como malware quando é executado. A sandbox captura isso.
A IA e o aprendizado de máquina tornaram esse processo mais rápido e preciso. Historicamente, a análise de sandbox period demorada e exigia revisão humana. Agora, modelos de IA treinados em enormes conjuntos de dados de comportamento conhecido de malware podem avaliar as ações de um arquivo na sandbox e tomar uma decisão em segundos. Eles também melhoram com o tempo, pois são continuamente treinados para lidar com novas ameaças à medida que surgem.
Quarentena não é o mesmo que excluir uma ameaça
Quando seu antivírus coloca um arquivo em quarentenaele retira sua capacidade de execução, criptografa-o (ou bloqueia-o com permissão em sistemas mais antigos) e bloqueia-o em um native isolado que nenhum outro processo pode acessar. O arquivo ainda existe, mas não pode ser executado, espalhado ou fazer qualquer coisa até que você decida o que fazer com ele.
A razão pela qual o software program antivírus usa como padrão a quarentena em vez da exclusão imediata é devido a falsos positivos. A detecção não é perfeita e, ocasionalmente, arquivos legítimos são sinalizados. A quarentena oferece uma janela para revisar a chamada antes que algo seja removido permanentemente. Se um arquivo crítico do sistema for excluído devido a um falso positivo, você poderá ter um problema actual em mãos.
Se algo estiver em quarentena, verifique o relatório de ameaça gerado pelo seu antivírus antes de fazer qualquer coisa. Geralmente incluirá o nome do arquivo, localização e o motivo pelo qual foi sinalizado. Se o arquivo for de uma fonte legítima conhecida e a detecção parecer exagerada, restaurá-lo é razoável. Se veio de um anexo de e-mail, uma torrente ou software program não verificado, você provavelmente deveria deixá-lo em quarentena ou excluí-lo. Uma pesquisa rápida pelo nome da ameaça geralmente lhe dirá o que você precisa saber.
Verificações pode tem um custo actual para o desempenho do seu PC
Uma verificação completa faz muitas coisas de uma vez. Seu antivírus está verificando todos os arquivos da sua unidade, comparando-os com o banco de dados de assinaturas e escalando qualquer coisa suspeita para uma análise mais profunda. Essa carga de trabalho pode colocar uma demanda actual em sua CPU e RAMe você sentirá isso especialmente em máquinas mais antigas.
A digitalização em tempo actual é muito mais leve por design. Ele processa os arquivos apenas à medida que são acessados, distribuindo a carga em vez de atingir o sistema de uma só vez. Uma verificação completa agendada é aquela que tornará as coisas visivelmente mais lentas, e é por isso que é importante quando você a executa.
Algumas coisas para ajudar:
- Agende verificações completas durante o tempo ocioso: A maioria dos softwares antivírus permite definir uma programação de verificação. Escolha um horário em que você não esteja usando a máquina ativamente, como durante a noite ou durante o intervalo para o almoço.
- Exclua pastas confiáveis: Diretórios grandes que você sabe que estão limpos podem ser excluídos das verificações sem reduzir significativamente sua proteção.
- Considere uma opção leve ou baseada em nuvem: O antivírus baseado em nuvem transfere grande parte do processamento pesado para servidores remotos, o que mantém o espaço native menor. A proteção é a mesma, mas seu PC faz menos trabalho.
Como sempre, fique seguro lá fora!
