Chương trình chống vi-rút là phần mềm mạnh mẽ cần thiết trên máy tính Windows. Nếu bạn đã từng thắc mắc về cách các chương trình chống vi-rút phát hiện vi-rút, chúng đang làm gì trên máy tính của bạn và liệu bạn có cần tự mình thực hiện quét hệ thống thường xuyên hay không, hãy đọc tiếp.
Chương trình chống vi-rút là một phần thiết yếu của chiến lược bảo mật nhiều lớp - ngay cả khi bạn là người dùng máy tính thông minh, thì việc liên tục có các lỗ hổng bảo mật cho trình duyệt, trình cắm và bản thân hệ điều hành Windows khiến việc bảo vệ chống vi-rút trở nên quan trọng.
Quét khi truy cập
Phần mềm chống vi-rút chạy ngầm trên máy tính của bạn, kiểm tra mọi tệp bạn mở. Điều này thường được gọi là quét khi truy cập, quét nền, quét thường trú, bảo vệ thời gian thực hoặc một cái gì đó khác, tùy thuộc vào chương trình chống vi-rút của bạn.
Khi bạn nhấp đúp vào tệp EXE, có vẻ như chương trình sẽ khởi chạy ngay lập tức - nhưng không. Trước tiên, phần mềm chống vi-rút của bạn sẽ kiểm tra chương trình, so sánh nó với các vi-rút, sâu và các loại phần mềm độc hại khác đã biết. Phần mềm chống vi-rút của bạn cũng thực hiện kiểm tra “heuristic”, kiểm tra các chương trình để tìm các loại hành vi xấu có thể chỉ ra một loại vi-rút mới, không xác định.
Các chương trình chống vi-rút cũng quét các loại tệp khác có thể chứa vi-rút. Ví dụ: tệp lưu trữ .zip có thể chứa vi-rút được nén hoặc tài liệu Word có thể chứa macro độc hại. Các tệp được quét bất cứ khi nào chúng được sử dụng - ví dụ: nếu bạn tải xuống tệp EXE, tệp đó sẽ được quét ngay lập tức, trước cả khi bạn mở nó.
Có thể sử dụng phần mềm chống vi-rút mà không cần quét khi truy cập, nhưng điều này thường không phải là ý kiến hay - vi-rút khai thác lỗ hổng bảo mật trong các chương trình sẽ không bị máy quét bắt. Sau khi vi-rút đã lây nhiễm vào hệ thống của bạn, việc loại bỏ sẽ khó hơn nhiều. (Cũng khó có thể chắc chắn rằng phần mềm độc hại đã được xóa hoàn toàn.)
Quét toàn bộ hệ thống
Do quét khi truy cập, thường không cần thiết phải chạy quét toàn hệ thống. Nếu bạn tải vi-rút xuống máy tính của mình, chương trình chống vi-rút của bạn sẽ nhận thấy ngay lập tức - trước tiên bạn không phải bắt đầu quét theo cách thủ công.
Tuy nhiên, quét toàn bộ hệ thống có thể hữu ích cho một số thứ. Quét toàn bộ hệ thống rất hữu ích khi bạn vừa cài đặt một chương trình chống vi-rút - chương trình này đảm bảo không có vi-rút nào nằm im trên máy tính của bạn. Hầu hết các chương trình chống vi-rút đều thiết lập lịch quét toàn bộ hệ thống, thường là mỗi tuần một lần. Điều này đảm bảo rằng các tệp định nghĩa vi rút mới nhất được sử dụng để quét hệ thống của bạn để tìm vi rút không hoạt động.
Việc quét toàn bộ đĩa này cũng có thể hữu ích khi sửa chữa máy tính. Nếu bạn muốn sửa chữa một máy tính đã bị nhiễm virus, việc lắp ổ cứng của nó vào một máy tính khác và thực hiện quét toàn bộ hệ thống để tìm vi-rút (nếu không cài đặt lại toàn bộ Windows) là hữu ích. Tuy nhiên, bạn thường không phải tự mình quét toàn bộ hệ thống khi một chương trình chống vi-rút đã bảo vệ bạn - chương trình này luôn quét trong nền và thực hiện quét toàn bộ hệ thống, thường xuyên.
Định nghĩa về Virus
Phần mềm chống vi-rút của bạn dựa vào các định nghĩa vi-rút để phát hiện phần mềm độc hại. Đó là lý do tại sao nó tự động tải xuống các tệp định nghĩa mới, cập nhật - mỗi ngày một lần hoặc thậm chí thường xuyên hơn. Các tệp định nghĩa chứa các chữ ký cho vi-rút và phần mềm độc hại khác đã gặp trong tự nhiên. Khi một chương trình chống vi-rút quét một tệp và nhận thấy rằng tệp khớp với một phần mềm độc hại đã biết, chương trình chống vi-rút sẽ ngừng chạy tệp, đưa tệp vào “vùng cách ly”. Tùy thuộc vào cài đặt chương trình chống vi-rút của bạn, chương trình chống vi-rút có thể tự động xóa tệp hoặc bạn vẫn có thể cho phép tệp chạy nếu bạn tin rằng đó là dương tính giả.
Các công ty chống vi-rút phải liên tục cập nhật các phần mềm độc hại mới nhất, phát hành các bản cập nhật định nghĩa để đảm bảo chương trình của họ bắt được phần mềm độc hại. Phòng thí nghiệm chống vi-rút sử dụng nhiều công cụ khác nhau để loại bỏ vi-rút, chạy chúng trong hộp cát và phát hành các bản cập nhật kịp thời để đảm bảo người dùng được bảo vệ khỏi phần mềm độc hại mới.
Heuristics
Các chương trình chống vi-rút cũng sử dụng phương pháp phỏng đoán. Heuristics cho phép chương trình chống vi-rút xác định các loại phần mềm độc hại mới hoặc đã sửa đổi, ngay cả khi không có tệp định nghĩa vi-rút. Ví dụ: nếu một chương trình chống vi-rút nhận thấy rằng một chương trình đang chạy trên hệ thống của bạn đang cố gắng mở mọi tệp EXE trên hệ thống của bạn, lây nhiễm nó bằng cách ghi một bản sao của chương trình gốc vào đó, thì chương trình chống vi-rút có thể phát hiện chương trình này là một tệp mới, loại vi rút không xác định.
Không có chương trình chống vi-rút nào là hoàn hảo. Heuristics không được quá hung hăng nếu không họ sẽ gắn cờ phần mềm hợp pháp là vi rút.
Khẳng định sai
Do số lượng lớn phần mềm ngoài kia, có thể các chương trình chống vi-rút đôi khi có thể nói rằng một tệp là vi-rút trong khi đó thực sự là một tệp hoàn toàn an toàn. Điều này được gọi là "dương tính giả". Đôi khi, các công ty chống vi-rút thậm chí còn mắc các lỗi như xác định tệp hệ thống Windows, các chương trình phổ biến của bên thứ ba hoặc tệp chương trình chống vi-rút của chính họ là vi-rút. Những thông tin xác thực sai này có thể làm hỏng hệ thống của người dùng - những sai lầm như vậy thường xuất hiện trong tin tức, chẳng hạn như khi Microsoft Security Essentials xác định Google Chrome là vi-rút, AVG làm hỏng phiên bản 64-bit của Windows 7 hoặc Sophos tự nhận là phần mềm độc hại.
Heuristics cũng có thể làm tăng tỷ lệ dương tính giả. Phần mềm chống vi-rút có thể nhận thấy rằng một chương trình đang hoạt động tương tự như một chương trình độc hại và xác định nó là vi-rút.
Mặc dù vậy, dương tính giả khá hiếm khi sử dụng bình thường. Nếu phần mềm chống vi-rút của bạn cho biết một tệp là độc hại, bạn nên tin vào điều đó. Nếu bạn không chắc liệu một tệp có thực sự là vi-rút hay không, bạn có thể thử tải tệp đó lên VirusTotal (hiện thuộc sở hữu của Google). VirusTotal quét tệp bằng nhiều sản phẩm chống vi-rút khác nhau và cho bạn biết mỗi sản phẩm nói gì về nó.
Tỷ lệ phát hiện
Các chương trình chống vi-rút khác nhau có tỷ lệ phát hiện khác nhau, mà cả định nghĩa vi-rút và phương pháp chẩn đoán đều có liên quan. Một số công ty chống vi-rút có thể có phương pháp khám phá hiệu quả hơn và đưa ra nhiều định nghĩa vi-rút hơn đối thủ cạnh tranh, dẫn đến tỷ lệ phát hiện cao hơn.
Một số tổ chức thực hiện kiểm tra thường xuyên các chương trình chống vi-rút so với nhau, so sánh tỷ lệ phát hiện của chúng khi sử dụng trong thế giới thực. AV-So sánh thường xuyên phát hành các nghiên cứu so sánh trạng thái hiện tại của tỷ lệ phát hiện chống vi-rút. Tỷ lệ phát hiện có xu hướng dao động theo thời gian - không có sản phẩm tốt nhất nào luôn đứng đầu. Nếu bạn thực sự muốn xem chương trình chống vi-rút hiệu quả như thế nào và chương trình nào tốt nhất hiện có, thì nghiên cứu tỷ lệ phát hiện là nơi để xem xét.
Kiểm tra chương trình chống vi-rút
Nếu bạn muốn kiểm tra xem chương trình chống vi-rút có hoạt động bình thường hay không, bạn có thể sử dụng Tệp kiểm tra EICAR . Tệp EICAR là một cách tiêu chuẩn để kiểm tra các chương trình chống vi-rút - nó không thực sự nguy hiểm, nhưng các chương trình chống vi-rút hoạt động như thể nó nguy hiểm, xác định nó là vi-rút. Điều này cho phép bạn kiểm tra các phản hồi của chương trình chống vi-rút mà không cần sử dụng vi-rút sống.
Các chương trình chống vi-rút là những phần mềm phức tạp và có thể viết những cuốn sách dày về chủ đề này - nhưng hy vọng bài viết này sẽ giúp bạn cập nhật những kiến thức cơ bản.
