Sådan virker Antivirus Software
Antivirusprogrammer er kraftfulde stykker software, der er afgørende for Windows-computere. Hvis du nogensinde har spekuleret på, hvordan antivirusprogrammer registrerer vira, hvad de laver på din computer, og om du skal udføre regelmæssigt system scanninger selv, læs videre.
Et antivirusprogram er en væsentlig del af en flerlags sikkerhedsstrategi - selvom du er en smart computerbruger, gør den konstante strøm af sårbarheder til browsere, plug-ins og Windows-operativsystemet selv antivirusbeskyttelse vigtig.
On-Access Scanning
Antivirus-software kører i baggrunden på din computer og kontrollerer hver fil, du åbner. Dette er almindeligvis kendt som scanning til adgang, baggrundsscanning, resident scanning, real-time beskyttelse eller noget andet afhængigt af dit antivirusprogram.
Når du dobbeltklikker på en EXE-fil, kan det virke som om programmet lanceres med det samme - men det gør det ikke. Din antivirus software kontrollerer programmet først, sammenligner det med kendte vira, orme og andre typer af malware. Din antivirusprogram gør også "heuristisk" kontrol, kontrolprogrammer for typer af dårlig opførsel, der kan indikere en ny, ukendt virus.
Antivirusprogrammer scanner også andre typer filer, der kan indeholde virus. For eksempel kan en .zip arkivfil indeholde komprimerede vira, eller et Word-dokument kan indeholde en ondsindet makro. Filerne scannes, når de bruges - for eksempel, hvis du downloader en EXE-fil, bliver den scannet straks, før du selv åbner den.
Det er muligt at bruge et antivirus uden adgangs scanning, men det er generelt ikke en god idé - vira, der udnytter sikkerhedshuller i programmer, vil ikke blive fanget af scanneren. Når en virus har inficeret dit system, er det meget sværere at fjerne. (Det er også svært at være sikker på, at malware nogensinde er blevet fjernet.)
Fuld system scanninger
På grund af scanning på adgang er det normalt ikke nødvendigt at køre fuld system scanninger. Hvis du downloader en virus til din computer, vil dit antivirusprogram straks mærke - du behøver ikke manuelt at starte en scanning først.
Fuld system scanninger kan imidlertid være nyttige for nogle ting. En fuldstændig systemscanning er nyttig, når du lige har installeret et antivirusprogram - det sikrer, at der ikke er nogen vira, som er dvale på din computer. De fleste antivirusprogrammer opretter planlagte fulde systemscanninger, ofte en gang om ugen. Dette sikrer, at de nyeste virusdefinitionsfiler bruges til at scanne dit system til hvilende vira.
Disse fulddiskskanninger kan også være nyttige, når du reparerer en computer. Hvis du vil reparere en allerede inficeret computer, er det nyttigt at indsætte harddisken i en anden computer og foretage en fuld systemscanning af virus (hvis ikke en komplet installation af Windows). Du behøver dog ikke at køre hele systemet selv, når et antivirusprogram allerede beskytter dig - det scanner altid i baggrunden og gør sine egne, regelmæssige, fuld system scanninger.
Virusdefinitioner
Din antivirusprogram afhænger af virusdefinitioner for at registrere malware. Derfor downloader den automatisk nye, opdaterede definition filer - en gang om dagen eller endnu oftere. Definitionfilerne indeholder signaturer til vira og anden malware, der er stødt på i naturen. Når et antivirusprogram scanner en fil og bemærker, at filen matcher et kendt malware, stopper antivirusprogrammet filen fra at køre, og sætter den i karantæne. Afhængigt af antivirusprogrammets indstillinger kan antivirusprogrammet automatisk slette filen eller du kan muligvis tillade filen at køre alligevel, hvis du er sikker på, at det er en falsk positiv.
Antivirusvirksomheder skal løbende holde sig ajour med de nyeste stykker malware, og frigive definitionopdateringer, der sikrer, at malware er fanget af deres programmer. Antivirus labs bruger en række værktøjer til at demontere virus, køre dem i sandkasser og frigive rettidige opdateringer, der sikrer, at brugerne er beskyttet mod det nye stykke malware.
Heuristik
Antivirusprogrammer anvender også heuristik. Heuristics tillader et antivirusprogram at identificere nye eller ændrede typer af malware, selv uden virusdefinitionsfiler. Hvis et antivirusprogram bemærker, at et program, der kører på dit system, forsøger at åbne hver EXE-fil på dit system, inficerer det ved at skrive en kopi af det oprindelige program i det, kan antivirusprogrammet registrere dette program som en ny, ukendt virustype.
Intet antivirusprogram er perfekt. Heuristik kan ikke være for aggressiv, eller de vil markere legitim software som vira.
Falske Positiver
På grund af den store mængde software derude, er det muligt, at antivirusprogrammer lejlighedsvis kan sige, at en fil er en virus, når det faktisk er en helt sikker fil. Dette er kendt som en "falsk positiv". Lejlighedsvis laver antivirusvirksomheder endog fejl som at identificere Windows-systemfiler, populære tredjepartsprogrammer eller deres egne antivirusprogramfiler som vira. Disse falske positiver kan beskadige brugernes systemer. Sådanne fejl opstår som regel i nyhederne, som da Microsoft Security Essentials identificerede Google Chrome som en virus, beskadigede AVG 64-bit versioner af Windows 7 eller Sophos identificerede sig som malware.
Heuristik kan også øge antallet af falske positive. Et antivirusprogram bemærker måske, at et program opfører sig på samme måde som et ondsindet program og identificerer det som en virus.
På trods af dette er falske positiver ret sjældne under normal brug. Hvis dit antivirus siger, at en fil er ondsindet, bør du generelt tro det. Hvis du ikke er sikker på, om en fil faktisk er en virus, kan du prøve at uploade den til VirusTotal (som nu ejes af Google). VirusTotal scanner filen med en række forskellige antivirusprodukter og fortæller dig, hvad hver enkelt siger om det.
Detection Rates
Forskellige antivirusprogrammer har forskellige detektionshastigheder, som både virusdefinitioner og heuristik er involveret i. Nogle antivirusvirksomheder kan have mere effektiv heuristik og frigive flere virusdefinitioner end deres konkurrenter, hvilket resulterer i en højere detekteringshastighed.
Nogle organisationer foretager regelmæssige tests af antivirusprogrammer i forhold til hinanden, sammenligning af deres registreringshastigheder i brug i verden. AV-Comparitives udgiver regelmæssigt undersøgelser, der sammenligner den aktuelle tilstand af antivirus-detektionshastigheder. Detektionshastighederne har tendens til at svinge over tid - der er ikke noget bedste produkt, der er konsekvent på toppen. Hvis du virkelig ser ud til at se lige hvor effektivt et antivirusprogram er, og som er det bedste derude, er detekteringsfrekvensstudier stedet at se.
Test af et antivirusprogram
Hvis du nogensinde vil teste om et antivirusprogram fungerer korrekt, kan du bruge EICAR testfilen. EICAR-filen er en standard måde at teste antivirusprogrammer på - det er faktisk ikke farligt, men antivirusprogrammer opfører sig som om det er farligt og identificerer det som en virus. Dette giver dig mulighed for at teste antivirusprogramsvar uden at bruge en live-virus.
Antivirusprogrammer er komplicerede softwarestykker, og der kan skrives tykke bøger om dette emne - men forhåbentlig har denne artikel ført dig hurtigere med det grundlæggende.