Chương trình chống vi-rút là một phần thiết yếu của chiến lược bảo mật nhiều lớp - ngay cả khi bạn là người dùng máy tính thông minh, luồng lỗ hổng liên tục cho trình duyệt, trình cắm và hệ điều hành Windows giúp bảo vệ chống vi-rút trở nên quan trọng.
Quét khi truy cập
Phần mềm diệt vi-rút chạy trong nền trên máy tính của bạn, kiểm tra mọi tệp bạn mở. Điều này thường được gọi là quét khi truy cập, quét nền, quét thường trú, bảo vệ theo thời gian thực hoặc một thứ khác, tùy thuộc vào chương trình chống vi-rút của bạn.
Khi bạn nhấp đúp vào tệp EXE, có vẻ như chương trình sẽ khởi chạy ngay lập tức - nhưng không. Phần mềm diệt vi-rút của bạn kiểm tra chương trình trước tiên, so sánh nó với các loại vi-rút, sâu và các loại phần mềm độc hại đã biết khác. Phần mềm chống vi-rút của bạn cũng kiểm tra "heuristic", kiểm tra các chương trình cho các loại hành vi xấu có thể chỉ ra một vi-rút mới, không xác định.
Các chương trình diệt vi-rút cũng quét các loại tệp khác có thể chứa vi-rút. Ví dụ: tệp lưu trữ.zip có thể chứa vi rút được nén hoặc tài liệu Word có thể chứa macro độc hại. Các tệp được quét bất cứ khi nào chúng được sử dụng - ví dụ: nếu bạn tải xuống tệp EXE, tệp sẽ được quét ngay lập tức, trước khi bạn mở tệp đó.
Có thể sử dụng phần mềm chống vi-rút mà không cần quét khi truy cập, nhưng điều này thường không phải là ý tưởng hay - vi rút khai thác lỗ hổng bảo mật trong chương trình sẽ không bị máy quét bắt. Sau khi vi-rút đã lây nhiễm cho hệ thống của bạn, sẽ khó loại bỏ hơn. (Cũng khó có thể chắc chắn rằng phần mềm độc hại đã từng bị xóa hoàn toàn).
Quét toàn bộ hệ thống
Do tính năng quét khi truy cập, thường không cần thiết phải quét toàn bộ hệ thống. Nếu bạn tải xuống vi-rút cho máy tính, chương trình chống vi-rút của bạn sẽ thông báo ngay lập tức - trước tiên bạn không phải bắt đầu quét theo cách thủ công.
Tuy nhiên, việc quét toàn bộ hệ thống có thể hữu ích cho một số thứ. Quét toàn bộ hệ thống là hữu ích khi bạn vừa cài đặt một chương trình chống vi-rút - nó đảm bảo không có vi-rút nằm im trên máy tính của bạn. Hầu hết các chương trình diệt virus đều được thiết lập để quét toàn bộ hệ thống theo lịch trình, thường một lần một tuần. Điều này đảm bảo rằng các tệp định nghĩa vi-rút mới nhất được sử dụng để quét hệ thống của bạn cho các vi-rút không hoạt động.
Việc quét toàn bộ đĩa này cũng có thể hữu ích khi sửa chữa máy tính. Nếu bạn muốn sửa chữa một máy tính đã bị nhiễm, hãy chèn ổ đĩa cứng của nó vào một máy tính khác và thực hiện quét toàn bộ hệ thống vi-rút (nếu không thực hiện cài đặt lại hoàn toàn Windows) sẽ hữu ích. Tuy nhiên, bạn thường không phải tự mình quét toàn bộ hệ thống khi chương trình chống vi-rút đã bảo vệ bạn - chương trình luôn quét trong nền và thực hiện quét, quét toàn bộ, thường xuyên của riêng hệ thống.
Định nghĩa về Virus
Phần mềm chống vi-rút của bạn dựa vào các định nghĩa vi-rút để phát hiện phần mềm độc hại. Đó là lý do tại sao nó tự động tải xuống các tệp định nghĩa mới, cập nhật - mỗi ngày một lần hoặc thậm chí thường xuyên hơn. Các tệp định nghĩa chứa chữ ký cho vi-rút và các phần mềm độc hại khác đã gặp phải trong môi trường hoang dã. Khi chương trình chống vi-rút quét tệp và thông báo rằng tệp khớp với phần mềm độc hại đã biết, chương trình chống vi-rút sẽ ngừng chạy tệp, đưa tệp đó vào "cách ly". Tùy thuộc vào cài đặt chương trình chống vi-rút của bạn, chương trình chống vi-rút có thể tự động xóa tệp hoặc bạn có thể cho phép tệp chạy dù sao đi nữa, nếu bạn tin tưởng rằng nó là dương tính giả.
Các công ty chống vi-rút phải liên tục cập nhật các phần mềm độc hại mới nhất, phát hành bản cập nhật định nghĩa để đảm bảo phần mềm độc hại bị chương trình của họ bắt. Phòng thí nghiệm chống vi-rút sử dụng nhiều công cụ khác nhau để tháo rời vi-rút, chạy chúng trong hộp cát và phát hành cập nhật kịp thời để đảm bảo người dùng được bảo vệ khỏi phần mềm độc hại mới.
Heuristics
Các chương trình diệt virus cũng sử dụng các chẩn đoán. Heuristics cho phép chương trình chống vi-rút xác định các loại phần mềm độc hại mới hoặc đã sửa đổi, ngay cả khi không có tệp định nghĩa vi-rút. Ví dụ, nếu chương trình chống vi-rút thông báo rằng một chương trình đang chạy trên hệ thống của bạn đang cố gắng mở mọi tệp EXE trên hệ thống của bạn, hãy lây nhiễm nó bằng cách viết một bản sao của chương trình gốc vào đó, chương trình chống vi-rút có thể phát hiện chương trình này loại virus không xác định.
Không có chương trình chống vi rút nào là hoàn hảo. Phương pháp chẩn đoán không thể quá hung hăng hoặc chúng sẽ gắn cờ phần mềm hợp pháp là vi-rút.
False Positives
Do số lượng lớn phần mềm ngoài đó, có thể các chương trình chống vi-rút đôi khi có thể nói tệp là vi-rút khi tệp thực sự là tệp hoàn toàn an toàn. Điều này được gọi là "sai tích cực". Đôi khi, các công ty chống vi-rút thậm chí mắc lỗi như xác định các tệp hệ thống Windows, các chương trình bên thứ ba phổ biến hoặc các tệp chương trình chống vi-rút của riêng chúng dưới dạng vi-rút. Những lỗi tích cực này có thể làm hỏng hệ thống của người dùng - những lỗi như vậy thường kết thúc trong tin tức, như khi Microsoft Security Essentials xác định Google Chrome là vi-rút, AVG đã hỏng các phiên bản Windows 7 64 bit hoặc Sophos tự xác định là phần mềm độc hại.
Heuristics cũng có thể làm tăng tỷ lệ dương tính giả. Một chương trình chống vi-rút có thể nhận thấy rằng một chương trình hoạt động tương tự như một chương trình độc hại và xác định nó là vi-rút.
Mặc dù vậy, dương tính giả là khá hiếm khi sử dụng bình thường. Nếu phần mềm chống vi-rút của bạn cho biết tệp độc hại, bạn thường nên tin tưởng. Nếu bạn không chắc chắn liệu tệp có thực sự là vi-rút hay không, bạn có thể thử tải tệp đó lên VirusTotal (hiện thuộc sở hữu của Google). VirusTotal quét tệp bằng nhiều sản phẩm chống vi-rút khác nhau và cho bạn biết mỗi người nói gì về nó.
Tỷ lệ phát hiện
Một số công ty chống virus có thể có các chẩn đoán hiệu quả hơn và phát hành nhiều định nghĩa virus hơn các đối thủ cạnh tranh của họ, dẫn đến tỷ lệ phát hiện cao hơn.
Một số tổ chức kiểm tra thường xuyên các chương trình chống vi-rút so với nhau, so sánh tỷ lệ phát hiện của họ trong việc sử dụng trong thế giới thực. AV-Comparitives thường xuyên phát hành các nghiên cứu so sánh trạng thái hiện tại của tỷ lệ phát hiện chống virus. Tỷ lệ phát hiện có xu hướng dao động theo thời gian - không có sản phẩm nào tốt nhất luôn đứng đầu. Nếu bạn thực sự muốn xem hiệu quả của chương trình chống vi-rút và đó là chương trình tốt nhất ở đó, nghiên cứu tỷ lệ phát hiện là nơi để xem xét.
Thử nghiệm chương trình chống vi-rút
Nếu bạn muốn kiểm tra xem chương trình chống vi-rút có hoạt động đúng hay không, bạn có thể sử dụng tệp kiểm tra EICAR. Tệp EICAR là một cách tiêu chuẩn để kiểm tra các chương trình chống vi-rút - nó không thực sự nguy hiểm, nhưng các chương trình chống vi-rút hoạt động như thể nó nguy hiểm, xác định đó là vi-rút. Điều này cho phép bạn kiểm tra phản hồi chương trình chống vi-rút mà không cần sử dụng vi-rút trực tiếp.
Các chương trình diệt vi-rút là những phần mềm phức tạp và sách dày có thể được viết về chủ đề này - nhưng hy vọng bài viết này đưa bạn đến với tốc độ cơ bản.
