Từ phần mềm chống vi-rút hoạt động như thế nào? (Thế giới chống vi-rút):
Chương trình phần mềm chống vi-rút là chương trình máy tính có thể được sử dụng để quét các tệp để xác định và loại bỏ vi-rút máy tính và phần mềm độc hại khác (phần mềm độc hại).
Phần mềm chống vi-rút thường sử dụng hai kỹ thuật khác nhau để thực hiện việc này:
- Kiểm tra các tệp để tìm vi-rút đã biết bằng từ điển vi-rút Xác định hành vi đáng ngờ từ bất kỳ chương trình máy tính nào có thể chỉ ra nhiễm trùng
- Hầu hết các phần mềm chống vi-rút thương mại sử dụng cả hai cách tiếp cận này, tập trung vào cách tiếp cận từ điển vi-rút.
Cách tiếp cận từ điển
vi-rút Trong phương pháp từ điển vi-rút, khi phần mềm chống vi-rút kiểm tra một tệp, nó đề cập đến một từ điển các vi-rút đã biết đã được xác định bởi tác giả của phần mềm chống vi-rút. Nếu một đoạn mã trong tệp khớp với bất kỳ vi-rút nào được xác định trong từ điển, thì phần mềm chống vi-rút có thể xóa tệp đó, cách ly nó để tệp không thể truy cập được vào các chương trình khác và vi-rút không thể lây lan hoặc cố gắng để sửa chữa tệp bằng cách loại bỏ vi rút khỏi tệp.
Để thành công trong trung và dài hạn, phương pháp từ điển vi-rút yêu cầu tải xuống trực tuyến định kỳ các mục từ điển vi-rút được cập nhật. Khi các vi-rút mới được xác định là "trong tự nhiên", người dùng có đầu óc kỹ thuật và thiên về kỹ thuật có thể gửi các tệp bị nhiễm của mình cho các tác giả của phần mềm chống vi-rút, sau đó đưa thông tin về vi-rút mới vào từ điển của họ.
Phần mềm chống vi-rút dựa trên từ điển thường kiểm tra các tệp khi hệ điều hành của máy tính tạo, mở và đóng chúng; và khi các tập tin được gửi qua email. Bằng cách này, một loại virus đã biết có thể được phát hiện ngay khi nhận được. Phần mềm cũng có thể được lên lịch để kiểm tra tất cả các tệp trên đĩa cứng của người dùng một cách thường xuyên.
Mặc dù cách tiếp cận từ điển được coi là hiệu quả, các tác giả vi-rút đã cố gắng đi trước một phần mềm như vậy bằng cách viết "vi-rút đa hình", mã hóa các bộ phận của chính họ hoặc sửa đổi bản thân như một phương pháp ngụy trang, để không khớp với chữ ký của vi-rút trong từ điển
Hành vi đáng ngờ tiếp cận
Cách tiếp cận hành vi đáng ngờ, ngược lại, không cố gắng để xác định virus được biết đến, nhưng thay vì theo dõi các hành vi của tất cả các chương trình. Ví dụ, nếu một chương trình cố gắng ghi dữ liệu vào một chương trình thực thi, thì điều này được gắn cờ là hành vi đáng ngờ và người dùng được cảnh báo về điều này và hỏi phải làm gì.
Không giống như cách tiếp cận từ điển, cách tiếp cận hành vi đáng ngờ do đó cung cấp sự bảo vệ chống lại các vi-rút hoàn toàn mới chưa tồn tại trong bất kỳ từ điển vi-rút nào. Tuy nhiên, nó cũng có vẻ là một số lượng lớn các thông tin sai lệch và người dùng có thể trở nên mẫn cảm với tất cả các cảnh báo. Nếu người dùng nhấp vào "Chấp nhận" trên mỗi cảnh báo như vậy, thì phần mềm chống vi-rút rõ ràng là vô dụng đối với người dùng đó. Vấn đề này đặc biệt trở nên tồi tệ hơn trong 7 năm qua, vì nhiều thiết kế chương trình không độc hại khác đã chọn sửa đổi các .exes khác mà không liên quan đến vấn đề tích cực sai này. Vì vậy, hầu hết các phần mềm chống vi-rút hiện đại sử dụng kỹ thuật này ngày càng ít đi.
Các cách khác để phát hiện vi-rút
Một số phần mềm chống vi-rút sẽ cố gắng mô phỏng phần đầu của mã của mỗi tệp thực thi mới đang được thực thi trước khi chuyển quyền kiểm soát sang tệp thực thi. Nếu chương trình dường như đang sử dụng mã tự sửa đổi hoặc xuất hiện dưới dạng vi-rút (nó ngay lập tức cố gắng tìm các tệp thực thi khác), người ta có thể cho rằng tệp thực thi đã bị nhiễm vi-rút. Tuy nhiên, phương pháp này dẫn đến rất nhiều kết quả dương tính giả.
Một phương pháp phát hiện khác là sử dụng hộp cát. Một hộp cát mô phỏng hệ điều hành và chạy chương trình thực thi trong mô phỏng này. Sau khi chương trình kết thúc, hộp cát sẽ phân tích các thay đổi có thể chỉ ra vi-rút. Do vấn đề về hiệu năng, loại phát hiện này thường chỉ được thực hiện trong quá trình quét theo yêu cầu.
Vấn đề băn khoăn
Vi-rút macro, được cho là vi-rút máy tính phổ biến và có sức hủy diệt cao nhất, có thể được ngăn chặn rẻ hơn và hiệu quả hơn và không cần tất cả người dùng mua phần mềm chống vi-rút, nếu Microsoft sẽ sửa các lỗi bảo mật trong Microsoft Outlook và Microsoft Office liên quan đến thực thi mã đã tải xuống và khả năng của các macro tài liệu để phát tán và phá hoại.
Giáo dục người dùng cũng quan trọng như phần mềm chống vi-rút; chỉ cần đào tạo người dùng về các thực hành điện toán an toàn, chẳng hạn như không tải xuống và thực hiện các chương trình không xác định từ Internet, sẽ làm chậm sự lây lan của vi-rút mà không cần phần mềm chống vi-rút.
Người dùng máy tính không nên luôn luôn chạy với quyền truy cập của quản trị viên vào máy của họ. Nếu chúng chỉ đơn giản là chạy trong chế độ người dùng thì một số loại vi-rút sẽ không thể lây lan.
Cách tiếp cận từ điển để phát hiện virus thường không đủ do việc tạo ra các virus mới liên tục, tuy nhiên cách tiếp cận hành vi đáng ngờ là không hiệu quả do vấn đề dương tính giả; do đó, sự hiểu biết hiện tại về phần mềm chống vi-rút sẽ không bao giờ chinh phục được vi-rút máy tính.
Có nhiều phương pháp mã hóa và đóng gói phần mềm độc hại sẽ làm cho ngay cả những virus nổi tiếng không thể phát hiện được đối với phần mềm chống vi-rút. Việc phát hiện các virus "ngụy trang" này đòi hỏi một công cụ giải nén mạnh mẽ, có thể giải mã các tập tin trước khi kiểm tra chúng. Thật không may, nhiều chương trình chống vi-rút phổ biến không có điều này và do đó thường không thể phát hiện vi-rút được mã hóa.
Các công ty bán phần mềm chống vi-rút dường như có động lực tài chính cho vi-rút được viết và phát tán, và khiến công chúng hoang mang về mối đe dọa.
(Tôi thích bài viết này, và tôi chỉ sao chép và dán từ AntivirusWorld.)