Некоторые антивирусы наподобие F-PROT выдают содержимое внутренних флагов эвристического анализатора, предоставляя пользователю возможность проанализировать причины "неудовольствия" антивируса самостоятельно. К сожалению для многих из них эта информация ни о чем не говорит, и они предпочитают антивирусы, работающие полностью в автоматическом режиме, и на задающие непонятных вопросов. Любопытно, что и у профессиональных пользователей подобные продукты не пользуются успехом. Для вынесения окончательного решения "вирус - не_вирус" требуется взглянуть на подозреваемый файл в дизассемблере. Разумеется, что подобное для массового рынка не приемлемо и никогда и никем не было реализовано. (Единственным антивирусов содержащим интегрированный отладчик и ориентированным на профессионального пользователя вероятно является x-safe)

Заметно больше верят дисковым ревизорам, особенно работающими в обход 0x13 (наподобие ADinfo). Считается, что последние практически невозможно "обмануть" и на результаты сканирования можно положиться. Увы - это вывод основан не более чем на безосновательной вере и жиздется на незнании. На самом деле есть множество эффективных алгоритмов, которые позволяют вирусу остаться незамеченным. Например, если файлы будут заражаться через некоторые промежутки времени (скажем в несколько минут), то тогда в течении сканирования могут оказаться зараженными уже проверенные файлы. Запуск с чистой дискеты это мог бы предотвратить, но при этом ADInfo не сможет обнаруживать Staelth- вирусы, да и все же далеко не для всех случает такая загрузка возможна. Например в NT с дисковой системой NTFS грузиться с дос-овской дискеты просто бессмысленно, поскольку оттуда соответствующие разделы диска просто не будут видны.

При этом вирус Antiх8-ADinfo не смотря на постоянное сканирование диска ревизорами (и удаления всех загаженных файлов) будет обнаруживаться вновь и вновь до той поры пока пользователь в ярости не удалит с диска _все_ файлы или разработчики антивирусов не включат его в базы данных. Впрочем, насколько мне известно последние версии AVP и DrWeb его не детектируют. К счастью пока данное "насекомое" с завидно медленной скоростью кочует с машины на машину, распространясь _только_ через загрузочные сектора жестких дисков, но это не может служить поводом для беспечности. (Любой другой вирус, использующий те же алгоритмы может распространяться не в пример быстрее).

Безосновательная вера в техническую документацию, рекламные проспекты и и авторитет разработчиков все же не лучшее средство в борьбе с вирусами и выборе антивирусного продукта. Чем больше человек верит в собственную неуязвимость, тем тяжелее ему сориентироваться при вирусной атаке. Как правило понадеявшись на антивирус резервное копирование давно не поводилось, права доступа большинству приложений выделены излишне высокие за что теперь приходиться расплачиваться зараженными файлами и потерянной информацией.

Быть может в этом виноваты не разработчики, а рекламные агенты? Ведь именно они, а ни кто другой приписали товару свойства, которыми он мягко говоря и не претендовал обладать. Действительно, искусство рекламы - это умение преподнести дезинформацию ни разу при этом ни солгав. Например, утверждается, что некий эвристический алгоритм находит 97% всех вирусов. Но означает ли это, что хотя бы в девяти из десяти случаев новый вирус будет обнаружен? Это зависит от того как была получена эта цифра "97". На самом деле _новыми_ могут считаться только те вирусы, которые были написаны после выхода данного антивируса "в свет", т.к. большинство вирусописателей заботится об том, что бы их детища попали как раз в те самые "3%", которые эвристик не обнаруживает. Никто не спорит, что это удается не всем и какая-то часть вирусов все же будет обнаружена. Однако, разумеется, что результат будет далек от 97%, особенно учитывая быстрое развитие вирусных технологий и интенсивный обмен удачными решениями между вирусописателями. В последнее время растет доля вирусов, написанных на языках высокого уровня. Пока эвристики не способны различить и процента от таких созданий. Откуда же тогда взялась такая заманчивая цифра 97? Да очень просто - это процент обнаруженных вирусов от _всех_существующих_в_коллекции_разработчика_ экземпляров. Разумеется, что большую часть из них представляют "академические" и ныне уже не встречаемые образцы наподобие сотен модификаций классической "Виенны".

Выходит, что приведенные цифры и в мусорную корзину не отправишь, но и к сведению не примешь, поскольку реального положения вещей они не отображают. Неудивительно, что эвристики срабатывают не так часто, как ожидают многие пользователи. Самое парадоксальное, что нельзя обвинить разработчиков в введении клиентов в заблуждение. Если их прямо спросить как были полученные приведенные цифры, то скорее всего они честно ответят. Однако, рекламный расчет строиться на том, что большинству покупателей это просто не придет в голову.

- Ты нисколько не обязана верить в меня. Я хочу, чтобы у тебя была вера в саму себя.
Ф. Херберт "Бог император Дюны"

Таким образом, антивирусы на самом деле не так надежны, как этого ожидают приобретающие их пользователи. По настоящему уверенно могут себя чувствовать себе лишь те, за чьими компьютерами неусыпно следят живые специалисты, а не автоматические программы.

К сожалению таковых специалистов никогда не будет достаточно, что бы охватить весь существующий парк компьютеров и на ближайшие несколько лет использование антивирусов это единственный выход для большинства владельцев персоналок.

Что они не надежны мы уже выяснили, остается только решить что делать и как бороться в этой ситуации. В идеале можно было бы засесть за книги по ассемблеру и технические руководства по операционной системе с тем, что бы научиться отлавливать вирусы самостоятельно, манипулируя отладчиком и дизассемблером. К сожалению этот путь для большинства не приемлем. Мало кто располагает свободным временем для подобных занятий. Поэтому приходится искать некий компромис и нехватку собственных знаний компенсировать готовыми автоматическими инструментами.

Действительно, можно обойтись и без знаний ассемблера и умения программировать - достаточно хотя бы в общих чертах понять как функционирует вирус и какими методами его обнаруживают и лечат. Ниже будет показано как вести себя, что бы антивирус ошибался не так часто.

Начнем с того, что главным оружием в борьбе с вредителями должно быть разграничение доступа и резервное копирование. При этом любая атака приносит минимальный ущерб, который без последствий и задержек может быть ликвидирован. Антивирус нужен только для установления _факта_ заражения. Однако объем и периодичность обновления вирусных баз все же не так критична, как это принято считать. Во-первых _общее_ количество детектируемых вирусов еще ни об чем не говорит и не более чем очередная бесполезная рекламная информация.

Так например, очень маловероятно, что пользователи встретятся с многочисленными древними, а ныне "вымершими" да и неработоспособными на современных операционных системах вирусами.