Phần mềm diệt virus hoạt động như thế nào
Các chương trình chống vi-rút là những phần mềm mạnh mẽ rất cần thiết trên máy tính Windows. Nếu bạn đã từng tự hỏi làm thế nào các chương trình chống vi-rút phát hiện vi-rút, những gì họ đang làm trên máy tính của bạn và liệu bạn có cần thực hiện quét hệ thống thường xuyên hay không, hãy đọc tiếp.
Chương trình chống vi-rút là một phần thiết yếu của chiến lược bảo mật đa lớp - ngay cả khi bạn là người dùng máy tính thông minh, dòng lỗ hổng liên tục cho trình duyệt, trình cắm và hệ điều hành Windows tự bảo vệ chống vi-rút quan trọng.
Quét truy cập
Phần mềm chống vi-rút chạy trong nền trên máy tính của bạn, kiểm tra mọi tệp bạn mở. Điều này thường được gọi là quét truy cập, quét nền, quét thường trú, bảo vệ thời gian thực hoặc một cái gì đó khác, tùy thuộc vào chương trình chống vi-rút của bạn.
Khi bạn bấm đúp vào tệp EXE, có vẻ như chương trình sẽ khởi chạy ngay lập tức - nhưng không. Phần mềm chống vi-rút của bạn trước tiên kiểm tra chương trình, so sánh nó với các vi-rút đã biết, sâu và các loại phần mềm độc hại khác. Phần mềm chống vi-rút của bạn cũng thực hiện kiểm tra, kiểm tra các chương trình tìm kiếm các loại hành vi xấu có thể chỉ ra một loại vi-rút mới, chưa biết.
Các chương trình chống vi-rút cũng quét các loại tệp khác có thể chứa vi-rút. Ví dụ: tệp lưu trữ .zip có thể chứa vi-rút nén hoặc tài liệu Word có thể chứa macro độc hại. Các tệp được quét bất cứ khi nào chúng được sử dụng - ví dụ: nếu bạn tải xuống tệp EXE, nó sẽ được quét ngay lập tức, trước khi bạn mở nó.
Có thể sử dụng chương trình chống vi-rút mà không cần quét khi truy cập, nhưng điều này thường không phải là ý tưởng hay - vi-rút khai thác lỗ hổng bảo mật trong các chương trình sẽ không bị máy quét bắt. Sau khi virus đã lây nhiễm vào hệ thống của bạn, việc loại bỏ nó sẽ khó khăn hơn nhiều. (Thật khó để chắc chắn rằng phần mềm độc hại đã bị xóa hoàn toàn.)
Quét toàn hệ thống
Do quá trình quét truy cập, thông thường không cần thiết phải quét toàn bộ hệ thống. Nếu bạn tải vi-rút về máy tính, chương trình chống vi-rút của bạn sẽ thông báo ngay lập tức - trước tiên bạn không phải thực hiện quét theo cách thủ công.
Tuy nhiên, quét toàn hệ thống có thể hữu ích cho một số thứ. Quét toàn bộ hệ thống rất hữu ích khi bạn vừa cài đặt chương trình chống vi-rút - nó đảm bảo không có vi-rút nằm im lìm trên máy tính của bạn. Hầu hết các chương trình chống vi-rút thiết lập quét toàn bộ hệ thống theo lịch trình, thường là một lần một tuần. Điều này đảm bảo rằng các tệp định nghĩa vi-rút mới nhất được sử dụng để quét hệ thống của bạn để tìm vi-rút không hoạt động.
Những bản quét toàn bộ đĩa này cũng có thể hữu ích khi sửa chữa máy tính. Nếu bạn muốn sửa chữa một máy tính đã bị nhiễm, việc đưa ổ cứng của nó vào một máy tính khác và thực hiện quét toàn bộ hệ thống để tìm virus (nếu không thực hiện cài đặt lại Windows hoàn chỉnh) là hữu ích. Tuy nhiên, bạn thường không phải tự chạy toàn bộ hệ thống khi chương trình chống vi-rút đã bảo vệ bạn - nó luôn quét trong nền và thực hiện quét toàn bộ, thường xuyên, toàn hệ thống.
Định nghĩa virus
Phần mềm chống vi-rút của bạn dựa trên các định nghĩa vi-rút để phát hiện phần mềm độc hại. Đó là lý do tại sao nó tự động tải xuống các tệp định nghĩa mới, cập nhật - một lần một ngày hoặc thậm chí thường xuyên hơn. Các tệp định nghĩa chứa chữ ký cho vi-rút và phần mềm độc hại khác đã gặp phải trong tự nhiên. Khi một chương trình chống vi-rút quét một tệp và thông báo rằng tệp đó khớp với một phần mềm độc hại đã biết, chương trình chống vi-rút ngăn không cho tệp chạy, đưa nó vào kiểm dịch của Wap. Tùy thuộc vào cài đặt chương trình chống vi-rút của bạn, chương trình chống vi-rút có thể tự động xóa tệp hoặc bạn có thể cho phép tệp chạy bằng mọi cách, nếu bạn tự tin rằng đó là dương tính giả.
Các công ty chống vi-rút phải liên tục cập nhật các phần mềm độc hại mới nhất, phát hành các bản cập nhật định nghĩa để đảm bảo phần mềm độc hại bị chương trình của họ bắt. Các phòng thí nghiệm chống vi-rút sử dụng nhiều công cụ khác nhau để phân tách vi-rút, chạy chúng trong hộp cát và phát hành bản cập nhật kịp thời để đảm bảo người dùng được bảo vệ khỏi phần mềm độc hại mới.
Heuristic
Các chương trình chống vi-rút cũng sử dụng phương pháp phỏng đoán. Heuristic cho phép một chương trình chống vi-rút xác định các loại phần mềm độc hại mới hoặc được sửa đổi, ngay cả khi không có tệp định nghĩa vi-rút. Ví dụ: nếu chương trình chống vi-rút thông báo rằng chương trình đang chạy trên hệ thống của bạn đang cố mở mọi tệp EXE trên hệ thống của bạn, lây nhiễm bằng cách viết một bản sao của chương trình gốc vào đó, chương trình chống vi-rút có thể phát hiện chương trình này là mới, loại virus chưa biết.
Không có chương trình chống vi-rút là hoàn hảo. Heuristic không thể quá tích cực hoặc họ sẽ gắn cờ phần mềm hợp pháp là vi-rút.
Tích cực sai
Do có số lượng lớn phần mềm ngoài đó, đôi khi các chương trình chống vi-rút có thể nói rằng một tệp là vi-rút khi đó thực sự là một tệp hoàn toàn an toàn. Điều này được biết đến như là một sự giả mạo của người Hồi giáo. Đôi khi, các công ty chống vi-rút thậm chí còn mắc các lỗi như xác định các tệp hệ thống Windows, các chương trình phổ biến của bên thứ ba hoặc các tệp chương trình chống vi-rút của riêng họ là vi-rút. Những thông tin sai lệch này có thể làm hỏng hệ thống của người dùng - những lỗi như vậy thường xuất hiện trong tin tức, vì khi Microsoft Security Essentials xác định Google Chrome là vi-rút, AVG đã làm hỏng các phiên bản 64-bit của Windows 7 hoặc Sophos tự nhận là phần mềm độc hại.
Heuristic cũng có thể làm tăng tỷ lệ dương tính giả. Một phần mềm chống vi-rút có thể nhận thấy rằng một chương trình đang hoạt động tương tự như một chương trình độc hại và xác định đó là vi-rút.
Mặc dù vậy, dương tính giả là khá hiếm trong sử dụng bình thường. Nếu phần mềm chống vi-rút của bạn nói rằng một tệp là độc hại, bạn thường nên tin vào nó. Nếu bạn không chắc liệu một tệp có thực sự là vi-rút hay không, bạn có thể thử tải tệp đó lên VirusTotal (hiện thuộc sở hữu của Google). VirusTotal quét tệp với nhiều sản phẩm chống vi-rút khác nhau và cho bạn biết mỗi người nói gì về nó.
Tỷ lệ phát hiện
Các chương trình chống vi-rút khác nhau có tỷ lệ phát hiện khác nhau, cả hai định nghĩa vi-rút và chẩn đoán vi-rút đều có liên quan. Một số công ty chống vi-rút có thể có phương pháp chẩn đoán hiệu quả hơn và giải phóng nhiều định nghĩa vi-rút hơn so với đối thủ cạnh tranh, dẫn đến tỷ lệ phát hiện cao hơn.
Một số tổ chức thực hiện kiểm tra thường xuyên các chương trình chống vi-rút so với nhau, so sánh tỷ lệ phát hiện của chúng trong sử dụng trong thế giới thực. AV-So sánh thường xuyên phát hành các nghiên cứu so sánh trạng thái hiện tại của tỷ lệ phát hiện chống vi-rút. Tỷ lệ phát hiện có xu hướng dao động theo thời gian - không có sản phẩm tốt nhất nào luôn đứng đầu. Nếu bạn thực sự mong muốn xem chương trình chống vi-rút có hiệu quả như thế nào và là chương trình tốt nhất hiện có, thì các nghiên cứu về tỷ lệ phát hiện là nơi để xem xét.
Kiểm tra chương trình chống vi-rút
Nếu bạn muốn kiểm tra xem chương trình chống vi-rút có hoạt động tốt hay không, bạn có thể sử dụng tệp kiểm tra EICAR. Tệp EICAR là một cách tiêu chuẩn để kiểm tra các chương trình chống vi-rút - nó không thực sự nguy hiểm, nhưng các chương trình chống vi-rút hoạt động như thể nó nguy hiểm, xác định đó là vi-rút. Điều này cho phép bạn kiểm tra phản hồi của chương trình chống vi-rút mà không cần sử dụng vi-rút sống.
Các chương trình chống vi-rút là những phần mềm phức tạp và những cuốn sách dày có thể được viết về chủ đề này - nhưng hy vọng bài viết này đã giúp bạn tăng tốc với những điều cơ bản.
