防病毒软件的工作原理
防病毒程序是功能强大的软件,在Windows计算机上是必不可少的。如果你想知道杀毒程序是如何检测病毒的,它们在你的电脑上做什么,你是否需要自己执行定期的系统扫描,请继续阅读。
防病毒程序是多层安全策略的重要组成部分–即使您是智能计算机用户,浏览器、插件和Windows操作系统本身的不断漏洞也使得防病毒保护非常重要。
访问扫描
杀毒软件在你的电脑后台运行,检查你打开的每个文件。这通常称为访问扫描、背景扫描、驻留扫描、实时保护或其他,具体取决于您的防病毒程序。
当你双击一个EXE文件时,程序看起来会立即启动,但实际上不会。你的防病毒软件会先检查程序,将其与已知的病毒、蠕虫和其他类型的恶意软件进行比较。你的防病毒软件也会做“启发式”检查,检查程序是否存在可能表示新的未知病毒的不良行为。
防病毒程序还可以扫描其他类型的文件,可能包含病毒。例如,.zip存档文件可能包含压缩病毒,或者Word文档可能包含恶意宏。文件在使用时都会被扫描——例如,如果你下载了一个EXE文件,它会被立即扫描,甚至在你打开它之前。
不进行访问扫描就可以使用防病毒软件,但这通常不是一个好主意——利用程序安全漏洞的病毒不会被扫描程序捕获。病毒感染了你的系统后,要清除就困难多了。(也很难确定恶意软件是否被完全删除。)
全系统扫描
由于访问扫描,通常不需要运行完整的系统扫描。如果你下载病毒到你的电脑,你的防病毒程序会立即通知-你不必手动启动扫描第一。
但是,完整的系统扫描在某些方面是有用的。当您刚刚安装了防病毒程序时,完整的系统扫描是很有帮助的—它可以确保您的计算机上没有处于休眠状态的病毒。大多数防病毒程序都会设置定时的完整系统扫描,通常是一周一次。这样可以确保使用最新的病毒定义文件扫描系统中的休眠病毒。
这些完整的磁盘扫描在修复计算机时也很有帮助。如果要修复已感染的计算机,请将其硬盘驱动器**另一台计算机并执行完整的系统病毒扫描(如果不完全重新安装Windows),这很有用。但是,当防病毒程序已经在保护您时,您通常不必自己运行完整的系统扫描—它总是在后台扫描,并执行自己的、定期的完整系统扫描。
病毒定义
您的防病毒软件依赖病毒定义来检测恶意软件。这就是为什么它会自动下载新的,更新的定义文件-一天一次,甚至更频繁。定义文件包含在野外遇到的病毒和其他恶意软件的签名。当防病毒程序扫描文件并注意到该文件与已知的恶意软件匹配时,该防病毒程序会停止该文件的运行,并将其置于“隔离”状态。根据防病毒程序的设置,该防病毒程序可能会自动删除该文件,或者您也可以允许该文件运行,如果你确信这是假阳性。
反病毒公司必须不断更新最新的恶意软件,发布定义更新,以确保恶意软件被他们的程序捕获。反病毒实验室使用各种工具来分解病毒,在沙盒中运行病毒,并及时发布更新,确保用户免受新的恶意软件的侵害。
启发式
反病毒程序也采用启发式。启发式允许防病毒程序识别新的或修改过的恶意软件类型,即使没有病毒定义文件。例如,如果某个防病毒程序注意到系统上运行的程序试图打开系统上的每个EXE文件,并通过将原始程序的副本写入其中来感染该文件,则该防病毒程序可以将此程序检测为新的未知病毒类型。
没有一个防病毒程序是完美的。启发式不能太激进,否则他们会将合法软件标记为病毒。
假阳性
由于存在大量的软件,有可能防病毒程序偶尔会说一个文件是病毒,而实际上它是一个完全安全的文件。有时,反病毒公司甚至会犯错误,比如将Windows系统文件、流行的第三方程序或自己的反病毒程序文件识别为病毒。这些误报可能会损坏用户的系统—这些错误通常会出现在新闻中,比如当Microsoft Security Essentials将Google Chrome识别为病毒、AVG损坏64位版本的Windows 7或Sophos将自己识别为恶意软件时。
启发式还可以提高误报率。防病毒软件可能会注意到程序的行为与恶意程序相似,并将其识别为病毒。
尽管如此,假阳性在正常使用中还是相当罕见的。如果你的防病毒软件说一个文件是恶意的,你应该相信它。如果你不确定一个文件是否真的是病毒,你可以尝试将它上传到VirusTotal(现在由Google拥有)。VirusTotal使用各种不同的防病毒产品扫描文件,并告诉您每种产品对该文件的看法。
检出率
不同的防病毒程序具有不同的检测率,这涉及到病毒定义和启发式算法。一些反病毒公司可能有更有效的启发式和发布更多的病毒定义比他们的竞争对手,导致更高的检测率。
一些组织定期对反病毒程序进行对比测试,比较它们在实际使用中的检测率。AV Comparitives定期发布研究报告,比较当前的防病毒检测率。检测率往往会随着时间的推移而波动——没有一款最好的产品能始终保持领先地位。如果你真的想知道一个杀毒程序到底有多有效,哪一个是最好的,那么检测率研究就是最好的选择。
测试防病毒程序
如果您想测试防病毒程序是否正常工作,可以使用EICAR测试文件。EICAR文件是测试防病毒程序的标准方法——它实际上并不危险,但防病毒程序的行为就像它是危险的一样,将它标识为病毒。这允许您在不使用活病毒的情况下测试防病毒程序响应。
杀毒程序是一个复杂的软件,关于这个问题可以写厚厚的书,但希望这篇文章能让你快速掌握基本知识。
- 发表于 2021-04-09 02:42
- 阅读 ( 170 )
- 分类:互联网
你可能感兴趣的文章
基于主机和网络的入侵检测系统的工作原理
...了入侵检测系统的基础知识,请将搜索范围扩展到预防、防病毒和其他管理工具。你对这些软件了解得越多,以及它们如何与你的环境相联系,你就越能使它们适合你。 ...
网络安全能跟上吗?恶意软件和杀毒软件的未来
...件的未来将是一个有趣的战场。恶意软件不断演变,迫使防病毒开发者保持速度。但是自动化机器学习反黑客系统的未来愿景比你想象的要近得多。 ...
安全测试防病毒软件的5种方法
...么要等到为时已晚?有一些安全的方法,你可以测试你的防病毒软件,以确保它的工作正常。 ...
什么是代码签名恶意软件?如何避免它?
...意软件发行商正利用这个精确的系统来帮助恶意代码溜过防病毒套件和其他安全程序。 ...
什么是dns缓存中毒?dns欺骗如何劫持你
... 1保持您的防病毒软件处于活动状态并保持最新 ...
2019年5大网络安全威胁揭晓
...经被感染,直到为时已晚。因此,必须使用健壮且最新的防病毒软件执行定期扫描。 ...
这4个防病毒工具使用人工智能来保护你的系统
防病毒保护的未来是令人兴奋的。就像我们的汽车、火车和船只一样,杀毒软件的未来也依赖于人工智能。人工智能技术是世界上发展最快的领域之一,安全研究人员正在不断地评估并将其集成到他们的消费产品中。 ...
什么是驱动下载恶意软件攻击?
... 你有几个选择。您可以下载并安装第三方防病毒工具,或使用计算机上的集成防病毒工具。Windows和macOS都有默认的防病毒程序。虽然Linux安全得多,但您可以随时选择免费的Linux防病毒工具来提高安全性。 ...
你的chromebook需要防病毒软件吗?
... 那么,即使有了这些保护措施,Chromebook还需要防病毒软件吗? ...
office 365的恶意软件沙盒进入公共预览
...得applicationguard的公共预览,您仍然可以使用功能强大的防病毒软件保护您的计算机。 ...
0 篇文章
