Antivirusprogramma's zijn krachtige stukjes software die essentieel zijn op Windows-computers. Als u zich ooit heeft afgevraagd hoe antivirusprogramma's virussen detecteren, wat ze op uw computer doen en of u zelf regelmatig systeemscans moet uitvoeren, lees dan verder.
Een antivirusprogramma is een essentieel onderdeel van een meerlaagse beveiligingsstrategie - zelfs als u een slimme computergebruiker bent, maakt de constante stroom kwetsbaarheden voor browsers, plug-ins en het Windows-besturingssysteem zelf antivirusbescherming belangrijk.
Scannen bij toegang
Antivirussoftware wordt op de achtergrond op uw computer uitgevoerd en controleert elk bestand dat u opent. Dit is algemeen bekend als scannen bij toegang, scannen op de achtergrond, scannen op locatie, realtime bescherming of iets anders, afhankelijk van uw antivirusprogramma.
Wanneer u dubbelklikt op een EXE-bestand, lijkt het alsof het programma onmiddellijk wordt gestart, maar dat is niet het geval. Uw antivirussoftware controleert het programma eerst en vergelijkt het met bekende virussen, wormen en andere soorten malware. Uw antivirussoftware voert ook "heuristische" controles uit, waarbij programma's worden gecontroleerd op soorten slecht gedrag die kunnen duiden op een nieuw, onbekend virus.
Antivirusprogramma's scannen ook andere soorten bestanden die virussen kunnen bevatten. Een .zip-archiefbestand kan bijvoorbeeld gecomprimeerde virussen bevatten, of een Word-document kan een schadelijke macro bevatten. Bestanden worden gescand wanneer ze worden gebruikt. Als u bijvoorbeeld een EXE-bestand downloadt, wordt het onmiddellijk gescand, zelfs voordat u het opent.
Het is mogelijk om een antivirusprogramma te gebruiken zonder scannen bij toegang, maar dit is over het algemeen geen goed idee: virussen die beveiligingslekken in programma's misbruiken, worden niet door de scanner opgevangen. Nadat een virus uw systeem heeft geïnfecteerd, is het veel moeilijker te verwijderen. (Het is ook moeilijk om er zeker van te zijn dat de malware ooit volledig is verwijderd.)
Volledige systeemscans
Vanwege het scannen bij toegang is het meestal niet nodig om volledige systeemscans uit te voeren. Als u een virus naar uw computer downloadt, merkt uw antivirusprogramma dat onmiddellijk op: u hoeft niet eerst handmatig een scan te starten.
Voor sommige dingen kunnen echter volledige systeemscans nuttig zijn. Een volledige systeemscan is handig als u zojuist een antivirusprogramma heeft geïnstalleerd: het zorgt ervoor dat er geen virussen op uw computer sluimeren. De meeste antivirusprogramma's zetten geplande volledige systeemscans op, vaak een keer per week. Dit zorgt ervoor dat de nieuwste virusdefinitiebestanden worden gebruikt om uw systeem te scannen op slapende virussen.
Deze volledige schijfscans kunnen ook handig zijn bij het repareren van een computer. Als u een reeds geïnfecteerde computer wilt repareren, is het handig om de harde schijf in een andere computer te plaatsen en een volledige systeemscan op virussen uit te voeren (als u Windows niet volledig opnieuw installeert). Meestal hoeft u echter niet zelf volledige systeemscans uit te voeren wanneer een antivirusprogramma u al beschermt - het scant altijd op de achtergrond en voert zijn eigen, regelmatige, volledige systeemscans uit.
Virusdefinities
Uw antivirussoftware vertrouwt op virusdefinities om malware te detecteren. Daarom downloadt het automatisch nieuwe, bijgewerkte definitiebestanden - een keer per dag of zelfs vaker. De definitiebestanden bevatten handtekeningen voor virussen en andere malware die in het wild zijn aangetroffen. Wanneer een antivirusprogramma een bestand scant en merkt dat het bestand overeenkomt met een bekend stukje malware, stopt het antivirusprogramma de uitvoering van het bestand en wordt het in "quarantaine" geplaatst. Afhankelijk van de instellingen van uw antivirusprogramma, kan het antivirusprogramma het bestand automatisch verwijderen of kunt u het bestand toch laten uitvoeren als u zeker weet dat het een vals-positief resultaat is.
Antivirusbedrijven moeten voortdurend op de hoogte blijven van de nieuwste malware en definitie-updates vrijgeven die ervoor zorgen dat de malware door hun programma's wordt gepakt. Antiviruslaboratoria gebruiken verschillende tools om virussen uit elkaar te halen, ze in sandboxen uit te voeren en tijdige updates vrij te geven die ervoor zorgen dat gebruikers worden beschermd tegen het nieuwe stukje malware.
Heuristieken
Antivirusprogramma's maken ook gebruik van heuristieken. Heuristieken stellen een antivirusprogramma in staat om nieuwe of gewijzigde soorten malware te identificeren, zelfs zonder virusdefinitiebestanden. Als een antivirusprogramma bijvoorbeeld merkt dat een programma dat op uw systeem wordt uitgevoerd, elk EXE-bestand op uw systeem probeert te openen en het infecteert door er een kopie van het originele programma in te schrijven, kan het antivirusprogramma dit programma detecteren als een nieuw, onbekend type virus.
Geen enkel antivirusprogramma is perfect. Heuristieken mogen niet te agressief zijn, anders markeren ze legitieme software als virussen.
Valse positieven
Vanwege de grote hoeveelheid software die er is, is het mogelijk dat antivirusprogramma's af en toe zeggen dat een bestand een virus is, terwijl het eigenlijk een volkomen veilig bestand is. Dit staat bekend als een 'vals positief'. Af en toe maken antivirusbedrijven zelfs fouten, zoals het identificeren van Windows-systeembestanden, populaire programma's van derden of hun eigen antivirusprogrammabestanden als virussen. Deze valse positieven kunnen de systemen van gebruikers beschadigen - dergelijke fouten komen over het algemeen in het nieuws, zoals wanneer Microsoft Security Essentials Google Chrome als een virus identificeerde, AVG 64-bits versies van Windows 7 beschadigde of Sophos zichzelf identificeerde als malware.
Heuristieken kunnen ook het aantal valse positieven verhogen. Een antivirusprogramma merkt mogelijk op dat een programma zich op dezelfde manier gedraagt als een kwaadaardig programma en identificeert het als een virus.
Desondanks zijn valse positieven bij normaal gebruik vrij zeldzaam. Als uw antivirusprogramma zegt dat een bestand schadelijk is, moet u dit doorgaans geloven. Als u niet zeker weet of een bestand daadwerkelijk een virus is, kunt u proberen het te uploaden naar VirusTotal (die nu eigendom is van Google). VirusTotal scant het bestand met verschillende antivirusproducten en vertelt u wat elk ervan erover zegt.
Detectiepercentages
Verschillende antivirusprogramma's hebben verschillende detectiepercentages, waarbij zowel virusdefinities als heuristieken betrokken zijn. Sommige antivirusbedrijven hebben mogelijk effectievere heuristieken en geven meer virusdefinities vrij dan hun concurrenten, wat resulteert in een hoger detectiepercentage.
Sommige organisaties testen regelmatig antivirusprogramma's in vergelijking met elkaar en vergelijken hun detectiepercentages bij gebruik in de echte wereld. AV-vergelijkers publiceert regelmatig onderzoeken die de huidige stand van de antivirusopsporingspercentages vergelijken. De detectiepercentages hebben de neiging om in de loop van de tijd te fluctueren - er is niet één beste product dat consequent bovenaan staat. Als u echt wilt weten hoe effectief een antivirusprogramma is en welke de beste zijn, zijn onderzoeken naar detectiepercentages de plek om te kijken.
Een antivirusprogramma testen
Als u ooit wilt testen of een antivirusprogramma correct werkt, kunt u het EICAR-testbestand . Het EICAR-bestand is een standaardmanier om antivirusprogramma's te testen - het is niet echt gevaarlijk, maar antivirusprogramma's gedragen zich alsof het gevaarlijk is en identificeren het als een virus. Hiermee kunt u de reacties van antivirusprogramma's testen zonder een levend virus te gebruiken.
Antivirusprogramma's zijn gecompliceerde stukjes software en er zouden dikke boeken over dit onderwerp kunnen worden geschreven - maar hopelijk heeft dit artikel u op de hoogte gebracht van de basisprincipes.
