Wright Studio / Shutterstock.comChương trình chống vi-rút là phần mềm mạnh mẽ cần thiết trên máy tính Windows. Nếu bạn đã bao giờ tự hỏi làm thế nào các chương trình chống vi-rút phát hiện vi-rút, chúng đang làm gì trên máy tính của bạn và liệu bạn có cần phải tự mình quét hệ thống thường xuyên hay không, hãy đọc tiếp.
Chương trình chống vi-rút là một phần thiết yếu của chiến lược bảo mật nhiều lớp – ngay cả khi bạn là người dùng máy tính thông minh, thì việc liên tục có các lỗ hổng bảo mật cho các trình duyệt , tiện ích mở rộng và bản thân hệ điều hành Windows khiến việc bảo vệ chống vi-rút trở nên quan trọng.
Mục lục
Quét khi truy cập
Phần mềm chống vi-rút chạy ở chế độ nền trên máy tính của bạn, kiểm tra mọi tệp bạn mở. Điều này thường được gọi là quét khi truy cập, quét nền, quét thường trú, bảo vệ thời gian thực hoặc một cái gì đó khác, tùy thuộc vào chương trình chống vi-rút của bạn.
Khi bạn nhấp đúp vào tệp EXE, có vẻ như chương trình sẽ khởi chạy ngay lập tức – nhưng không. Trước tiên, phần mềm chống vi-rút của bạn sẽ kiểm tra chương trình, so sánh chương trình với các loại vi-rút, sâu và các loại phần mềm độc hại khác đã biết . Phần mềm chống vi-rút của bạn cũng thực hiện kiểm tra “heuristic”, kiểm tra các chương trình để tìm các loại hành vi xấu có thể chỉ ra một loại vi-rút mới, không xác định.
Các chương trình chống vi-rút cũng quét các loại tệp khác có thể chứa vi-rút. Ví dụ: tệp lưu trữ .zip có thể chứa vi-rút được nén hoặc tài liệu Word có thể chứa macro độc hại. Các tệp được quét bất cứ khi nào chúng được sử dụng – ví dụ: nếu bạn tải xuống tệp EXE, tệp đó sẽ được quét ngay lập tức, trước cả khi bạn mở nó.
Có thể sử dụng phần mềm chống vi-rút mà không cần quét khi truy cập , nhưng điều này nói chung không phải là một ý tưởng hay – vi-rút khai thác lỗ hổng bảo mật trong các chương trình sẽ không bị máy quét bắt. Sau khi vi-rút đã lây nhiễm vào hệ thống của bạn, việc loại bỏ sẽ khó hơn nhiều . (Cũng khó để chắc chắn rằng phần mềm độc hại đã được xóa hoàn toàn .)
Quét toàn bộ hệ thống
Do tính năng quét khi truy cập, thông thường không cần thiết phải chạy quét toàn hệ thống. Nếu bạn tải vi-rút xuống máy tính của mình, chương trình chống vi-rút của bạn sẽ nhận thấy ngay lập tức – trước tiên bạn không phải bắt đầu quét theo cách thủ công.
Tuy nhiên, quét toàn bộ hệ thống có thể hữu ích cho một số thứ. Quét toàn bộ hệ thống rất hữu ích khi bạn vừa cài đặt một chương trình chống vi-rút – nó đảm bảo không có vi-rút nào nằm im trên máy tính của bạn. Hầu hết các chương trình chống vi-rút đều thiết lập lịch quét toàn bộ hệ thống , thường một lần một tuần. Điều này đảm bảo rằng các tệp định nghĩa vi-rút mới nhất được sử dụng để quét hệ thống của bạn để tìm vi-rút không hoạt động.
Những lần quét toàn bộ đĩa này cũng có thể hữu ích khi sửa chữa máy tính. Nếu bạn muốn sửa chữa một máy tính đã bị nhiễm virus, việc lắp ổ cứng của nó vào một máy tính khác và thực hiện quét toàn bộ hệ thống để tìm vi rút (nếu không cài đặt lại Windows hoàn chỉnh ) là hữu ích. Tuy nhiên, bạn thường không phải tự mình quét toàn bộ hệ thống khi một chương trình chống vi-rút đã bảo vệ bạn – chương trình này luôn quét ở chế độ nền và thực hiện quét toàn bộ hệ thống, thường xuyên.
Định nghĩa về Virus
Phần mềm chống vi-rút của bạn dựa vào các định nghĩa về vi-rút để phát hiện phần mềm độc hại. Đó là lý do tại sao nó tự động tải xuống các tệp định nghĩa mới, cập nhật – mỗi ngày một lần hoặc thậm chí thường xuyên hơn. Các tệp định nghĩa chứa các chữ ký cho vi-rút và phần mềm độc hại khác đã gặp trong tự nhiên. Khi chương trình chống vi-rút quét một tệp và nhận thấy rằng tệp đó khớp với một phần mềm độc hại đã biết, chương trình chống vi-rút sẽ ngừng chạy tệp, đưa tệp vào “ vùng cách ly ”. Tùy thuộc vào cài đặt chương trình chống vi-rút của bạn, chương trình chống vi-rút có thể tự động xóa tệp hoặc bạn vẫn có thể cho phép tệp chạy — nếu bạn tin rằng đó là dương tính giả.
Các công ty chống vi-rút phải liên tục cập nhật các phần mềm độc hại mới nhất, phát hành các bản cập nhật định nghĩa để đảm bảo chương trình của họ bắt được phần mềm độc hại. Phòng thí nghiệm chống vi-rút sử dụng nhiều công cụ khác nhau để loại bỏ vi-rút, chạy chúng trong hộp cát và phát hành các bản cập nhật kịp thời để đảm bảo người dùng được bảo vệ khỏi phần mềm độc hại mới.
Heuristics
Các chương trình chống vi-rút cũng sử dụng phương pháp phỏng đoán và học máy. Các mô hình học máy được tạo ra bằng cách phân tích hàng trăm hoặc hàng nghìn phần mềm độc hại để tìm ra các thuộc tính hoặc hành vi phổ biến. Sự kết hợp này cho phép chương trình chống vi-rút xác định các loại phần mềm độc hại mới hoặc đã sửa đổi, ngay cả khi không có tệp định nghĩa vi-rút. Ví dụ: nếu một chương trình chống vi-rút nhận thấy rằng một chương trình đang chạy trên hệ thống của bạn đang cố gắng mở mọi tệp EXE trên hệ thống của bạn, lây nhiễm nó bằng cách ghi một bản sao của chương trình gốc vào đó, thì chương trình chống vi-rút có thể phát hiện ra chương trình này là một tệp mới, loại vi rút không xác định.
Không có chương trình chống vi-rút nào là hoàn hảo. Heuristics quá hung hăng – hoặc các mô hình học máy được đào tạo không chính xác – có thể vô tình đánh dấu phần mềm hoàn toàn an toàn là phần mềm độc hại.
Khẳng định sai
Do số lượng lớn phần mềm ngoài kia, có thể các chương trình chống vi-rút đôi khi nói rằng một tệp là vi-rút trong khi đó thực sự là một tệp hoàn toàn an toàn. Điều này được gọi là “ dương tính giả. ”Đôi khi, các công ty chống vi-rút thậm chí còn mắc lỗi như xác định các tệp hệ thống Windows, các chương trình phổ biến của bên thứ ba hoặc các tệp chương trình chống vi-rút của chính họ là vi-rút. Những sai lầm này có thể làm hỏng hệ thống của người dùng – những sai lầm như vậy thường xuất hiện trong tin tức, chẳng hạn như khi Microsoft Security Essentials xác định Google Chrome là vi-rút, AVG làm hỏng phiên bản 64-bit của Windows 7 hoặc Sophos tự nhận mình là phần mềm độc hại.
Heuristics cũng có thể làm tăng tỷ lệ dương tính giả. Phần mềm chống vi-rút có thể nhận thấy rằng một chương trình đang hoạt động tương tự như một chương trình độc hại và xác định sai nó là vi-rút.
Mặc dù vậy, dương tính giả khá hiếm khi sử dụng bình thường . Nếu phần mềm chống vi-rút của bạn cho biết một tệp là độc hại, thì bạn nên tin vào điều đó. Nếu bạn không chắc liệu một tệp có thực sự là vi-rút hay không, bạn có thể thử tải tệp đó lên VirusTotal (hiện thuộc sở hữu của Google). VirusTotal quét tệp bằng nhiều sản phẩm chống vi-rút khác nhau và cho bạn biết mỗi sản phẩm nói gì về nó.
Tỷ lệ phát hiện
Các chương trình chống vi-rút khác nhau có tỷ lệ phát hiện khác nhau và cả định nghĩa vi-rút và phương pháp chẩn đoán đều góp phần vào sự khác biệt. Một số công ty chống vi-rút có thể có phương pháp khám phá hiệu quả hơn và đưa ra nhiều định nghĩa về vi-rút hơn so với các đối thủ cạnh tranh của họ, dẫn đến tỷ lệ phát hiện cao hơn.
Một số tổ chức thực hiện kiểm tra thường xuyên các chương trình chống vi-rút so với nhau, so sánh tỷ lệ phát hiện của chúng khi sử dụng trong thế giới thực. AV-Comparitives thường xuyên phát hành các nghiên cứu so sánh trạng thái hiện tại của tỷ lệ phát hiện chống vi-rút. Tỷ lệ phát hiện có xu hướng dao động theo thời gian – không có sản phẩm tốt nhất nào luôn đứng đầu. Nếu bạn thực sự muốn xem chương trình chống vi-rút hiệu quả như thế nào và chương trình nào tốt nhất hiện có, thì nghiên cứu tỷ lệ phát hiện là nơi để xem xét.
Kết quả chung từ tháng 7 đến tháng 10 năm 2021Kiểm tra một chương trình chống vi-rút
Nếu bạn muốn kiểm tra xem chương trình chống vi-rút có hoạt động bình thường hay không, bạn có thể sử dụng tệp kiểm tra EICAR . Tệp EICAR là một cách tiêu chuẩn để kiểm tra các chương trình chống vi-rút – nó không thực sự nguy hiểm, nhưng các chương trình chống vi-rút hoạt động như thể nó nguy hiểm, xác định nó là vi-rút. Điều này cho phép bạn kiểm tra phản hồi của chương trình chống vi-rút mà không cần sử dụng vi-rút đang sống.
Các chương trình chống vi-rút là những phần mềm phức tạp và có thể viết những cuốn sách dày về chủ đề này – nhưng hy vọng rằng bài viết này giúp bạn cập nhật những kiến thức cơ bản.