防病毒程序是多层安全策略的重要组成部分 – 即使您是智能计算机用户,浏览器、扩展程序和 Windows 操作系统本身的漏洞源源不断地使防病毒保护变得重要。
按访问扫描
防病毒软件在您的计算机后台运行,检查您打开的每个文件。这通常称为按访问扫描、后台扫描、常驻扫描、实时保护或其他内容,具体取决于您的防病毒程序。
当您双击一个 EXE 文件时,程序似乎会立即启动,但实际上并非如此。您的防病毒软件首先检查程序,将其与已知病毒、蠕虫和其他类型的恶意软件进行比较。您的防病毒软件还会进行“启发式”检查,检查程序是否存在可能表明新的未知病毒的不良行为类型。
防病毒程序还会扫描可能包含病毒的其他类型的文件。例如,.zip 存档文件可能包含压缩病毒,或者Word 文档可能包含恶意宏。文件在使用时都会被扫描——例如,如果您下载一个 EXE 文件,它会在您打开它之前立即被扫描。
可以在不使用访问扫描的情况下使用防病毒软件,但这通常不是一个好主意——利用程序安全漏洞的病毒不会被扫描程序捕获。病毒感染您的系统后,要删除. (也很难确定恶意软件是否已被完全删除。)
全系统扫描
由于按访问扫描,通常不需要运行全系统扫描。如果您将病毒下载到您的计算机上,您的防病毒程序会立即注意到 — 您不必先手动启动扫描。
但是,全系统扫描对于某些事情可能很有用。当您刚刚安装了防病毒程序时,完整的系统扫描会很有帮助——它可以确保您的计算机上没有潜伏的病毒。大多数防病毒程序都会设置计划的完整系统扫描,通常每周一次。这可确保使用最新的病毒定义文件来扫描您的系统以查找休眠病毒。
这些全盘扫描在修复计算机时也很有帮助。如果您想修复已经感染的计算机,将其硬盘插入另一台计算机并执行全系统病毒扫描(如果不完全重新安装 Windows)会很有用。但是,当防病毒程序已经在保护您时,您通常不必自己运行完整的系统扫描——它总是在后台扫描并执行自己的、定期的、完整的系统扫描。
病毒定义
您的防病毒软件依赖病毒定义来检测恶意软件。这就是它自动下载新的、更新的定义文件的原因——每天一次,甚至更频繁。定义文件包含在野外遇到的病毒和其他恶意软件的签名。当防病毒程序扫描文件并注意到该文件与已知的恶意软件相匹配时,防病毒程序会停止运行该文件,并将其放入“隔离区”。根据您的防病毒程序的设置,防病毒程序可能会自动删除该文件,或者您可以允许该文件运行——如果您确信它是误报的话。
防病毒公司必须不断了解最新的恶意软件,发布定义更新以确保恶意软件被他们的程序捕获。防病毒实验室使用各种工具来分解病毒,在沙箱中运行它们,并及时发布更新,以确保用户免受新恶意软件的侵害。
启发式
防病毒程序还采用启发式和机器学习。机器学习模型是通过分析成百上千的恶意软件以找到共同的属性或行为来创建的。这种组合允许防病毒程序识别新的或修改过的恶意软件类型,即使没有病毒定义文件。例如,如果防病毒程序注意到系统上运行的程序正试图打开系统上的每个 EXE 文件,并通过将原始程序的副本写入其中来感染它,则防病毒程序可以将此程序检测为新的、未知类型的病毒。
没有防病毒程序是完美的。过于激进的启发式方法(或训练不正确的机器学习模型)可能会意外地将完全安全的软件标记为恶意软件。
误报
由于存在大量软件,防病毒程序可能偶尔会说文件是病毒,而实际上它是一个完全安全的文件。这被称为“误报”。有时候,杀毒公司甚至会犯错误,比如将Windows系统文件、流行的第三方程序、或者自己的杀毒程序文件识别为病毒。这些误报可能会损坏用户的系统——此类错误通常会出现在新闻中,例如 Microsoft Security Essentials 将 Google Chrome 识别为病毒、AVG 损坏了 64 位版本的 Windows 7 或 Sophos 将自己识别为恶意软件。
启发式也可以增加误报率。防病毒软件可能会注意到某个程序的行为与恶意程序相似,并错误地将其识别为病毒。
尽管如此,误报在正常使用中相当罕见。如果您的防病毒软件说文件是恶意的,您通常应该相信它。如果您不确定文件是否真的是病毒,您可以尝试将其上传到VirusTotal(现在归 Google 所有)。VirusTotal 使用各种不同的防病毒产品扫描文件,并告诉您每个产品的内容。
检出率
不同的防病毒程序具有不同的检测率,并且病毒定义和启发式都会导致差异。一些防病毒公司可能比竞争对手拥有更有效的启发式方法并发布更多病毒定义,从而导致更高的检测率。
一些组织定期对防病毒程序进行相互比较,比较它们在实际使用中的检测率。AV-Comparitives定期发布比较当前反病毒检测率状态的研究。检测率往往会随着时间的推移而波动——没有一种最好的产品始终处于领先地位。如果您真的想了解防病毒程序的有效性以及哪些程序是最好的,那么检测率研究是值得关注的地方。
测试防病毒程序
如果您想测试防病毒程序是否正常工作,可以使用EICAR 测试文件。EICAR 文件是测试防病毒程序的标准方法——它实际上并不危险,但防病毒程序表现得好像它很危险,将其识别为病毒。这使您可以在不使用活病毒的情况下测试防病毒程序响应。
防病毒程序是复杂的软件,关于这个主题可以写厚厚的书——但是,希望这篇文章能让你快速了解基础知识。