Hur antivirusprogram fungerar
Antivirusprogram är kraftfulla programvaror som är viktiga för Windows-datorer. Om du någonsin har undrat hur antivirusprogram upptäcker virus, vad de gör på din dator, och om du behöver utföra vanliga systemskanningar, läs vidare.
Ett antivirusprogram är en väsentlig del av en säkerhetsövergripande strategi med flera lager - även om du är en smart datoranvändare, gör det ständigt ström av sårbarheter för webbläsare, plugin-program och Windows-operativsystemet i sig antivirusskydd viktigt.
On-Access Scanning
Antivirusprogram körs i bakgrunden på din dator och kontrollerar varje fil du öppnar. Detta är allmänt känt som scanning på åtkomst, bakgrundsskanning, inbyggd skanning, realtidsskydd eller något annat, beroende på ditt antivirusprogram.
När du dubbelklickar på en EXE-fil kan det verka som om programmet lanseras omedelbart - men det gör det inte. Din antivirusprogram kontrollerar programmet först och jämför det med kända virus, maskar och andra typer av skadlig kod. Din antivirusprogram gör också "heuristisk" kontroll, kontrollprogram för typer av dåligt beteende som kan indikera ett nytt, okänt virus.
Antivirusprogram skanna även andra typer av filer som kan innehålla virus. En. Zip arkivfil kan till exempel innehålla komprimerade virus eller ett Word-dokument kan innehålla ett skadligt makro. Filerna skannas när de används - till exempel om du laddar ner en EXE-fil, kommer den att skannas omedelbart innan du ens öppnar den.
Det är möjligt att använda ett antivirusprogram utan åtkomstsökning, men det är i allmänhet inte en bra idé - virus som utnyttjar säkerhetshål i program skulle inte fångas av scannern. När ett virus har infekterat ditt system är det mycket svårare att ta bort. (Det är också svårt att vara säker på att skadlig programvara någonsin har tagits bort helt.)
Fulla systemskanningar
På grund av åtkomstsökningen är det vanligtvis inte nödvändigt att köra fullständiga systemskanningar. Om du laddar ner ett virus till din dator kommer ditt antivirusprogram att märka omedelbart - du behöver inte manuellt initiera en skanning först.
Full-systemskanningar kan dock vara användbara för vissa saker. En fullständig systemsökning är till hjälp när du just har installerat ett antivirusprogram - det säkerställer att det inte finns några virus som ligger vilande på din dator. De flesta antivirusprogrammen konfigurerar schemalagda fullständiga systemskanningar, ofta en gång i veckan. Detta säkerställer att de senaste virusdefinitionsfilerna används för att skanna ditt system för vilande virus.
Dessa fullständiga diskskanningar kan också vara till hjälp när du reparerar en dator. Om du vill reparera en redan infekterad dator, sätter du in hårddisken i en annan dator och utför en fullständig systemsökning för virus (om inte en fullständig ominstallation av Windows) är användbar. Dock behöver du vanligtvis inte köra hela systemskannar själv när ett antivirusprogram redan skyddar dig - det skannar alltid i bakgrunden och gör egna, vanliga, fullständiga systemskanningar.
Virusdefinitioner
Din antivirusprogram bygger på virusdefinitioner för att upptäcka skadlig kod. Därför hämtar du automatiskt nya, uppdaterade definitionfiler - en gång om dagen eller ännu oftare. Definitionfilerna innehåller signaturer för virus och annan skadlig kod som har uppstått i det vilda. När ett antivirusprogram skannar en fil och märker att filen matchar en känd bit av skadlig kod, stannar antivirusprogrammet filen från att köra och sätter den i "karantän". Beroende på antivirusprogrammets inställningar kan antivirusprogrammet automatiskt ta bort filen eller du kan eventuellt tillåta att filen körs ändå, om du är säker på att den är en falsk positiv.
Antivirusföretag måste ständigt hålla sig uppdaterade med de senaste delarna av skadlig kod och släppa upp definitionuppdateringar som säkerställer att skadlig programvara fångas av sina program. Antiviruslabs använder en mängd olika verktyg för att demontera virus, springa dem i sandlådor och släppa aktuella uppdateringar som säkerställer att användarna är skyddade från den nya skadan.
Heuristik
Antivirusprogrammen använder också heuristik. Heuristics tillåter ett antivirusprogram att identifiera nya eller modifierade typer av skadlig kod, även utan virusdefinitionsfiler. Om ett antivirusprogram märker att ett program som körs på ditt system försöker öppna varje EXE-fil på ditt system, smittar det genom att skriva en kopia av det ursprungliga programmet i det, kan antivirusprogrammet upptäcka det här programmet som en ny, okänd typ av virus.
Inget antivirusprogram är perfekt. Heuristik kan inte vara för aggressiv eller de kommer att flagga legitim mjukvara som virus.
Falska positiva
På grund av den stora mängden programvara där ute, är det möjligt att antivirusprogram ibland kan säga att en fil är ett virus när det verkligen är en helt säker fil. Detta kallas "falskt positivt". Ibland gör antivirusföretag även misstag som att identifiera Windows-systemfiler, populära tredjepartsprogram eller egna antivirusprogramfiler som virus. Dessa falska positiva effekter kan skada användarnas system. Sådana misstag hamnar i allmänhet i nyheterna, som när Microsoft Security Essentials identifierade Google Chrome som ett virus, skadade AVG 64-bitarsversioner av Windows 7 eller Sophos identifierade sig som skadlig kod.
Heuristics kan också öka andelen falska positiva. Ett antivirusprogram kan märka att ett program beter sig som ett skadligt program och identifierar det som ett virus.
Trots detta är falska positiva ganska sällsynta vid normal användning. Om ditt antivirus säger att en fil är skadlig, bör du generellt tro det. Om du inte är säker på om en fil faktiskt är ett virus kan du försöka ladda upp det till VirusTotal (som nu ägs av Google). VirusTotal skannar filen med en mängd olika antivirusprodukter och berättar om vad varje säger om det.
Detektionspriser
Olika antivirusprogram har olika detekteringsfrekvenser, som både virusdefinitioner och heuristik är inblandade i. Vissa antivirusföretag kan ha effektivare heuristik och släppa mer virusdefinitioner än sina konkurrenter, vilket resulterar i en högre detekteringshastighet.
Vissa organisationer gör regelbundna tester av antivirusprogram i jämförelse med varandra, jämför deras upptäcktshastigheter i verklig användning. AV-Comparitives släpper regelbundet studier som jämför aktuell status för antivirusdetektering. Detekteringsgraden tenderar att fluktuera över tiden - det finns ingen bästa produkt som är konsekvent överst. Om du verkligen ser hur effektiv ett antivirusprogram är och vilka är de bästa där ute, är detekteringsfrekvensstudier platsen att titta på.
Testa ett antivirusprogram
Om du någonsin vill testa om ett antivirusprogram fungerar korrekt kan du använda EICAR testfilen. EICAR-filen är ett vanligt sätt att testa antivirusprogram - det är inte farligt, men antivirusprogram beter sig som om det är farligt och identifierar det som ett virus. Det här låter dig testa antivirusprogramsvar utan att använda ett live-virus.
Antivirusprogram är komplicerade programvaror, och det kan skrivas tjocka böcker om detta ämne - men förhoppningsvis gav den här artikeln dig snabbare med grunderna.