防病毒软件如何工作

杀毒软件是如何工作的：

主题涵盖 展示

防病毒程序是功能强大的软件，在 Windows 计算机上必不可少。如果您曾经想知道防病毒软件如何检测病毒、它们在您的计算机上做什么以及您是否需要自己运行定期系统扫描，请继续阅读。

防病毒软件是多层安全策略的重要组成部分——即使您是智能手机用户，浏览器漏洞源源不断和附加组件和系统操作系统本身使病毒防护变得很重要。

到达时扫描

防病毒软件在您的计算机后台运行，扫描您打开的每个文件。这通常称为按访问扫描、后台扫描、驻留扫描、实时保护或其他名称，具体取决于您的防病毒软件。

当您双击 EXE 文件时，程序可能会立即启动，但实际上并没有。防病毒程序首先扫描程序，然后进行比较病毒、蠕虫和其他类型的恶意软件已知。防病毒软件还进行“启发式”扫描，扫描程序以查找可能指示新的未知病毒的不良行为类型。

防病毒软件还会检查可能包含病毒的其他类型的文件。例如，它可能包含 .zip 归档文件包含压缩病毒，或可能包含 Word 文档在有害的宏上。文件在使用时会被扫描 - 例如，如果您下载了一个 EXE 文件，它会立即被扫描，甚至在您打开它之前。

大概使用不带按访问扫描的防病毒软件然而，这通常不是一个好主意——利用软件漏洞的病毒不会被扫描器检测到。系统感染病毒后，很难去除 . （也很难确保完全删除恶意软件 .)

另请阅读如何在 Windows 10 中使用 CMD 卸载程序

全系统检查

由于按访问扫描，通常不需要执行完整的系统扫描。如果您将病毒下载到您的计算机，您的防病毒软件会立即注意到它 - 您不必先手动开始扫描。

但是，完整的系统扫描可以对某些事情有用。当您刚安装防病毒软件时，全面系统扫描很有用 - 它可以确保您的计算机上没有潜伏的病毒。大多数防病毒程序都可以设置整个系统的计划扫描，通常每周一次。这可确保使用最新的病毒定义文件来扫描您的系统以查找潜在病毒。

这些完整的磁盘检查在修理计算机时也很有用。如果要修复已感染的计算机，最好将其硬盘驱动器插入另一台计算机并执行完整的系统病毒扫描（如果未执行）。完全重新安装 Windows）。但是，当防病毒软件真正保护您时，您通常不必运行完整的系统扫描——它总是在后台扫描并定期扫描整个系统。

病毒定义

防病毒软件依靠病毒定义来检测恶意软件。这就是为什么它会自动下载新的和更新的配置文件的原因 - 每天一次甚至更频繁。定义文件包含在野外遇到的病毒和其他恶意软件的签名。当防病毒软件扫描文件并注意到该文件与已知的恶意软件匹配时，防病毒软件会关闭该文件，将其置于“ 绝缘 ” 根据您的防病毒设置，防病毒软件可能会自动删除该文件，或者您可以让该文件运行 - 如果您确信它是误报。

另请阅读保护您的 PC 的 10 大反勒索软件工具

防病毒公司必须不断跟上最新的恶意软件，并发布定义更新以确保其软件检测到恶意软件。防病毒实验室使用各种工具来反汇编和运行病毒沙箱并及时发布更新，确保用户免受新恶意软件的侵害。

推理

防病毒软件还使用启发式和机器学习。创建机器学习模型通过分析数百或数千个恶意软件片段来找到共同的特征或行为。该套件允许防病毒程序识别新的或修改过的恶意软件类型，即使没有病毒定义文件。例如，如果您的防病毒软件注意到系统上运行的程序试图打开系统上的每个 EXE 文件，并通过将原始程序的副本写入其中来感染它，则防病毒软件可以将该程序检测为新的未知程序病毒的类型。

没有防病毒软件是完美的。过于激进的启发式方法——或训练不当的机器学习模型——可能会错误地将完全安全的软件标记为恶意软件。

误报

由于存在大量软件，防病毒软件有时可能会说某个文件是病毒，而实际上它是一个完全安全的文件。这被称为“ 假阳性。有时，杀毒公司会犯错误，例如将 Windows 系统文件、流行的第三方软件或他们自己的杀毒软件文件识别为病毒。这些误报可能会损害用户的系统——此类错误通常会出现在新闻中，例如 Microsoft Security Essentials 将 Google Chrome 识别为病毒，AVG 损坏了 64 位版本的 Windows 7，或者 Sophos 将自己识别为有害软件。

另请阅读 2024 年 Memoji 将如何在 Android 上运行

启发式方法还会增加误报率。防病毒程序可能会注意到某个程序的行为与恶意软件相似，并将其误认为是病毒。

尽管，误报在正常使用中相当罕见 . 如果您的防病毒软件说某个文件是恶意的，您通常应该相信它。如果不确定文件是否真的有病毒，可以尝试上传到 VirusTotal （现在归谷歌所有）。 VirusTotal 使用各种不同的防病毒产品扫描文件，并告诉您每个产品对它们的评价。

检出率

不同的反病毒程序有不同的检测率，病毒定义和推理方法都会导致差异。一些防病毒公司可能比他们的竞争对手有更有效的启发式方法并发布更多的病毒定义，从而导致更高的检测率。

一些组织定期相互测试防病毒程序，比较它们在实际使用中的检测率。 AV-Comparitives 发行研究定期比较防病毒检测率的当前状态。发现率往往会随着时间的推移而波动——没有哪个最好的产品总是走在曲线的前面。如果您真的想了解您的防病毒软件的有效性以及哪一个是最好的，那么检出率研究是值得关注的地方。