Hvordan fungerer antiviruset:
Antivirusprogrammer er kraftige stykker programvare som er essensielle på Windows-datamaskiner. Hvis du noen gang har lurt på hvordan antivirusprogramvare oppdager virus, hva de gjør på datamaskinen din, og om du trenger å kjøre vanlige systemskanninger selv, les videre.
Antivirusprogramvare er en viktig del av en flerlags sikkerhetsstrategi – selv om du er en smarttelefonbruker, den konstante strømmen av nettlesersårbarheter og plugins system Å betjene Windows i seg selv gjør virusbeskyttelse viktig.
Skann ved ankomst
Antivirus kjører i bakgrunnen på datamaskinen din og skanner hver fil du åpner. Dette er generelt kjent som skanning ved tilgang, bakgrunnsskanning, innbyggerskanning, sanntidsbeskyttelse eller noe annet, avhengig av antivirusprogrammet ditt.
Når du dobbeltklikker på en EXE-fil, kan det se ut til at programmet starter med en gang – men det gjør det ikke. Antiviruset skanner programmet først og sammenligner det Virus, ormer og andre typer skadelig programvare kjent. Antiviruset gjør også en "heuristisk" skanning, og skanner programmer for typer dårlig oppførsel som kan indikere et nytt, ukjent virus.
Antivirusprogramvare ser også etter andre typer filer som kan inneholde virus. Den kan for eksempel inneholde .zip-arkivfil inneholder komprimerte virus, eller kan inneholde Word-dokument på en skadelig makro. Filer skannes når de brukes - hvis du for eksempel laster ned en EXE-fil, vil den bli skannet umiddelbart, selv før du åpner den.
Sannsynligvis Bruk et antivirus uten skanning ved tilgang Imidlertid er dette generelt ikke en god idé - virus som utnytter sårbarheter i programvare vil ikke bli oppdaget av skanneren. Etter at systemet ditt er infisert med et virus, er det det Det er vanskelig å fjerne det . (Det er også vanskelig Sørg for at skadelig programvare er fullstendig fjernet .)
Full systemsjekk
På grunn av skanning ved tilgang, er det vanligvis ikke nødvendig å utføre fullstendige systemskanninger. Hvis du laster ned et virus til datamaskinen din, vil antivirusprogrammet ditt merke det med en gang - du trenger ikke å starte skanningen manuelt først.
Imidlertid kan full systemskanning være Nyttig til enkelte ting. En full systemskanning er nyttig når du nettopp har installert et antivirus - det sikrer at det ikke er noen virus på lur på datamaskinen din. De fleste antivirusprogrammer gjør det Sett opp planlagte skanninger av hele systemet , vanligvis en gang i uken. Dette sikrer at de nyeste virusdefinisjonsfilene brukes til å skanne systemet for latente virus.
Disse fullstendige disksjekkene kan også være nyttige når du reparerer en datamaskin. Hvis du vil fikse en allerede infisert datamaskin, er det en god idé å sette inn harddisken i en annen datamaskin og utføre en fullstendig systemskanning for virus (hvis den ikke utføres). en fullstendig ominstallering av Windows). Imidlertid trenger du vanligvis ikke å kjøre en full systemskanning når et antivirus faktisk beskytter deg - det skanner alltid i bakgrunnen og utfører sine vanlige sveiper av hele systemet.
Virusdefinisjoner
Antivirusprogramvare er avhengig av virusdefinisjoner for å oppdage skadelig programvare. Derfor laster den automatisk ned nye og oppdaterte profiler – en gang om dagen eller enda oftere. Definisjonsfiler inneholder signaturer av virus og annen skadelig programvare som finnes i naturen. Når antivirusprogramvaren skanner en fil og merker at filen samsvarer med en kjent del av skadelig programvare, slår antivirusprogramvaren av filen og plasserer den i " isolasjon ." Avhengig av antivirusinnstillingene dine, kan antivirusprogrammet slette filen automatisk, eller du kan la filen kjøre uansett - hvis du er sikker på at den er en falsk positiv.
Antivirusselskaper må hele tiden holde tritt med den nyeste skadevare, og gi ut definisjonsoppdateringer som sikrer at skadevare oppdages av programvaren deres. Antiviruslaboratorier bruker en rekke verktøy for å demontere og kjøre virus inn Sandkasser Og slipper rettidige oppdateringer som sikrer at brukerne er beskyttet mot ny skadelig programvare.
slutning
Antivirusprogramvare bruker også heuristikk og maskinlæring. Maskinlæringsmodeller lages Ved å analysere hundrevis eller tusenvis av skadevarefragmenter for å finne vanlige funksjoner eller atferd. Suiten lar antivirusprogrammet identifisere nye eller modifiserte typer skadelig programvare, selv uten virusdefinisjonsfiler. For eksempel, hvis antivirusprogrammet ditt merker at et program som kjører på systemet ditt prøver å åpne hver EXE-fil på systemet ditt, og infiserer den ved å skrive en kopi av det originale programmet inn i det, kan antivirusprogrammet oppdage det programmet som et nytt, ukjent type virus.
Ingen antivirus er perfekt. For aggressive heuristikk – eller feiltrente maskinlæringsmodeller – kan feilaktig merke helt sikker programvare som skadelig programvare.
Falske positive
På grunn av den store mengden programvare der ute, vil antivirusprogramvare sannsynligvis noen ganger si at en fil er et virus når det faktisk er en helt sikker fil. Dette er kjent som " falsk positiv. Noen ganger gjør antivirusselskaper feil som å identifisere Windows-systemfiler, populær tredjepartsprogramvare eller deres egne antivirusprogramvarefiler som virus. Disse falske positivene kan skade brukernes systemer – slike feil havner vanligvis i nyhetene, som da Microsoft Security Essentials identifiserte Google Chrome som et virus, AVG korrupte 64-biters versjoner av Windows 7 eller Sophos identifiserte seg selv som skadelig programvare.
Heuristikk kan også øke frekvensen av falske positiver. Et antivirusprogram kan legge merke til at et program oppfører seg på samme måte som skadelig programvare og forveksle det med et virus.
selv om, Falske positiver er ganske sjeldne ved normal bruk . Hvis antivirusprogrammet ditt sier at en fil er skadelig, bør du generelt tro det. Hvis du ikke er sikker på om en fil virkelig er et virus, kan du prøve å laste den opp til VirusTotal (som nå eies av Google). VirusTotal skanner filen med en rekke forskjellige antivirusprodukter og forteller deg hva hver enkelt sier om dem.
deteksjonsrater
Ulike antivirusprogrammer har ulik deteksjonshastighet, og både virusdefinisjoner og slutningsmetoder bidrar til avvik. Noen antivirusselskaper kan ha mer effektive heuristikk og frigi flere virusdefinisjoner enn konkurrentene, noe som resulterer i en høyere deteksjonsrate.
Noen organisasjoner tester regelmessig antivirusprogrammer mot hverandre, og sammenligner deteksjonsratene deres i faktisk bruk. AV-komparitiver utstedes Studier sammenligner regelmessig den nåværende statusen for antivirusdeteksjonsrater. Oppdagelsesratene har en tendens til å svinge over tid - ingen enkelt beste produkt er alltid foran kurven. Hvis du virkelig er ute etter å finne ut hvor effektiv antivirusprogramvaren din er og hvilken som er best, er deteksjonshastighetsstudier stedet å se.
Test av antivirusprogramvare
Hvis du noen gang vil teste om antivirusprogrammet ditt fungerer som det skal, kan du bruke EICAR testfil . En EICAR-fil er en standard måte å teste antivirusprogramvare på - det er faktisk ikke farlig, men antivirusprogrammer fungerer som om det er farlig, og identifiserer det som et virus. Dette lar deg teste antivirusresponser uten å bruke et levende virus.
Antivirusprogrammer er komplekse stykker programvare, og tykke bøker kan skrives om emnet – men forhåpentligvis gjorde denne artikkelen deg kjent med det grunnleggende.
