Antivirusprogrammer er kraftfulde stykker software, der er vigtige på Windows-computere. Hvis du nogensinde har spekuleret på, hvordan antivirusprogrammer opdager vira, hvad de laver på din computer, og om du selv skal udføre regelmæssige systemscanninger, læs videre.
Et antivirusprogram er en vigtig del af en flerlags sikkerhedsstrategi - selvom du er en smart computerbruger, er den konstante strøm af sårbarheder for browsere, plug-ins og selve Windows-operativsystemet vigtig for antivirusbeskyttelse.
Scanning ved adgang
Antivirussoftware kører i baggrunden på din computer og kontrollerer alle filer, du åbner. Dette er generelt kendt som on-access scanning, baggrundsscanning, resident scanning, realtidsbeskyttelse eller noget andet, afhængigt af dit antivirusprogram.
Når du dobbeltklikker på en EXE-fil, kan det virke som om programmet starter med det samme - men det gør det ikke. Din antivirussoftware kontrollerer først programmet og sammenligner det med kendte vira, orme og andre typer malware. Din antivirussoftware udfører også "heuristisk" kontrol og kontrollerer programmer for typer af dårlig opførsel, der kan indikere en ny, ukendt virus.
Antivirusprogrammer scanner også andre typer filer, der kan indeholde vira. For eksempel kan en .zip-arkivfil indeholde komprimerede vira, eller et Word-dokument kan indeholde en ondsindet makro. Filer scannes, når de bruges - for eksempel, hvis du downloader en EXE-fil, scannes den straks, før du endda åbner den.
Det er muligt at bruge et antivirus uden on-access scanning, men dette er generelt ikke en god idé - vira, der udnytter sikkerhedshuller i programmer, bliver ikke fanget af scanneren. Når en virus har inficeret dit system, er det meget sværere at fjerne. (Det er også svært at være sikker på, at malware nogensinde er blevet fjernet fuldstændigt.)
Fuld systemscanning
På grund af scanning ved adgang er det normalt ikke nødvendigt at køre fuldsystemscanninger. Hvis du downloader en virus til din computer, vil dit antivirusprogram bemærke det med det samme - du behøver ikke manuelt at starte en scanning først.
Fuldsystemscanninger kan dog være nyttige til nogle ting. En komplet systemscanning er nyttig, når du lige har installeret et antivirusprogram - det sikrer, at der ikke er vira, der ligger i dvale på din computer. De fleste antivirusprogrammer opretter planlagte fulde systemscanninger, ofte en gang om ugen. Dette sikrer, at de nyeste virusdefinitionsfiler bruges til at scanne dit system for sovende vira.
Disse fulde diskscanninger kan også være nyttige, når du reparerer en computer. Hvis du vil reparere en allerede inficeret computer, er det nyttigt at indsætte harddisken i en anden computer og udføre en komplet systemscanning for vira (hvis du ikke foretager en komplet geninstallation af Windows). Du behøver dog normalt ikke køre fulde systemscanninger selv, når et antivirusprogram allerede beskytter dig - det scanner altid i baggrunden og laver sine egne, regelmæssige, komplette systemscanninger.
Virusdefinitioner
Din antivirussoftware er afhængig af virusdefinitioner til at opdage malware. Derfor downloader den automatisk nye, opdaterede definitionsfiler - en gang om dagen eller endnu oftere. Definitionsfilerne indeholder signaturer for vira og anden malware, der er stødt på i naturen. Når et antivirusprogram scanner en fil og bemærker, at filen matcher et kendt stykke malware, stopper antivirusprogrammet filen fra at køre og sætter den i "karantæne". Afhængigt af dit antivirusprograms indstillinger sletter antivirusprogrammet muligvis automatisk filen, eller du kan muligvis tillade, at filen kører alligevel, hvis du er sikker på, at den er falsk positiv.
Antivirusfirmaer skal løbende holde sig ajour med de nyeste stykker malware og frigive definitionsopdateringer, der sikrer, at malware fanges af deres programmer. Antiviruslaboratorier bruger en række værktøjer til at adskille vira, køre dem i sandkasser og frigive rettidige opdateringer, der sikrer, at brugerne er beskyttet mod det nye stykke malware.
Heuristik
Antivirusprogrammer anvender også heuristikker. Heuristik tillader et antivirusprogram at identificere nye eller modificerede typer malware, selv uden virusdefinitionsfiler. For eksempel, hvis et antivirusprogram bemærker, at et program, der kører på dit system, prøver at åbne alle EXE-filer på dit system og inficerer det ved at skrive en kopi af det originale program ind i det, kan antivirusprogrammet registrere dette program som et nyt, ukendt type virus.
Intet antivirusprogram er perfekt. Heuristik kan ikke være for aggressiv, ellers markerer de legitim software som vira.
Falske positive
På grund af den store mængde software derude er det muligt, at antivirusprogrammer lejlighedsvis kan sige, at en fil er en virus, når den faktisk er en helt sikker fil. Dette er kendt som en "falsk positiv". Lejlighedsvis laver antivirusfirmaer endda fejl som at identificere Windows-systemfiler, populære tredjepartsprogrammer eller deres egne antivirusprogramfiler som vira. Disse falske positive kan skade brugernes systemer - sådanne fejl ender som regel i nyhederne, som når Microsoft Security Essentials identificerede Google Chrome som en virus, AVG beskadigede 64-bit versioner af Windows 7, eller Sophos identificerede sig selv som malware.
Heuristik kan også øge antallet af falske positive. Et antivirus kan bemærke, at et program opfører sig på samme måde som et ondsindet program, og identificere det som en virus.
På trods af dette er falske positive ret sjældne ved normal brug. Hvis dit antivirus siger, at en fil er skadelig, skal du generelt tro det. Hvis du ikke er sikker på, om en fil faktisk er en virus, kan du prøve at uploade den til VirusTotal (som nu ejes af Google). VirusTotal scanner filen med en række forskellige antivirusprodukter og fortæller dig, hvad hver enkelt siger om det.
Registreringshastigheder
Forskellige antivirusprogrammer har forskellige påvisningshastigheder, som både virusdefinitioner og heuristik er involveret i. Nogle antivirusfirmaer kan have mere effektiv heuristik og frigive flere virusdefinitioner end deres konkurrenter, hvilket resulterer i en højere påvisningshastighed.
Nogle organisationer foretager regelmæssige tests af antivirusprogrammer i sammenligning med hinanden og sammenligner deres detektionsrater i den virkelige verden. AV-komparativer frigiver regelmæssigt undersøgelser, der sammenligner den aktuelle tilstand af antiviruspåvisningshastigheder. Registreringshastighederne har tendens til at svinge over tid - der er ikke noget bedste produkt, der konsekvent er på toppen. Hvis du virkelig ønsker at se, hvor effektivt et antivirusprogram er, og hvilke der er de bedste derude, er detekteringsfrekvensstudier det rette sted at se.
Test af et antivirusprogram
Hvis du nogensinde vil teste, om et antivirusprogram fungerer korrekt, kan du bruge EICAR testfil . EICAR-filen er en standard måde at teste antivirusprogrammer på - det er faktisk ikke farligt, men antivirusprogrammer opfører sig som om det er farligt og identificerer det som en virus. Dette giver dig mulighed for at teste antivirusprogramsvar uden at bruge en live virus.
Antivirusprogrammer er komplicerede softwarestykker, og der kunne skrives tykke bøger om dette emne - men forhåbentlig bragte denne artikel dig hurtigere med det grundlæggende.
