Hvordan gjøre for antivirusprogrammer arbeid?
Introduksjon
Anti-virus programmer brukes til å skanne filer, fjerne datavirus og malware (ondsinnet programvare). Det finnes to metoder for denne prosessen. Den første er å søke etter filer for gjenkjente virus via et virus katalogen. Den andre metoden skanner for mistenkelig aktivitet fra et dataprogram som kan være et tegn på infeksjon. Flertallet av anti-virus programvare benytter begge disse metodene, understreker viruset katalogen metoden.
Virus Directory Metode
Når en anti-virus program sjekker en fil, refererer det til en katalog av identifiserte virus som har blitt anerkjent av anti-virus programvare forfatter. Hvis en del av en kode i filen samsvarer med alle virus som finnes i katalogen, vil det enten slette filen, karantene filen (slik at det ikke vil spre seg til andre programmer), eller prøve å fikse filen ved å eliminere bare viruset fra den ødelagte filen.
Directory-basert anti-virus programvare sjekker vanligvis filer når operativsystemet på en datamaskin åpnes, lukkes og skaper dem og når filene blir mottatt via e-post. Med denne metoden kan en anerkjent virus identifiseres umiddelbart når den er mottatt. Det kan også vanligvis programmeres til å inspisere alle filene på harddisken på en daglig basis.
Mistenkelig aktivitet Method
Den mistenkelig aktivitet metoden er forskjellig fra viruset katalogen metode ved at den ikke prøver å få øye på anerkjente virus. I stedet undersøker det aktiviteten til alle programmer. For eksempel, hvis et program forsøker å skrive data til et kjørbart program, dette vil bli flagget som et mistenkelig aktivitet. Brukeren vil bli informert og spurt om hva de skal gjøre.
Derfor er mistenkelig aktivitet metoden gir beskyttelse mot nye virus som ennå ikke er identifisert i noen virus kataloger. På den annen side, genererer den også et antall av falske positiver, og brukerne har større sannsynlighet for å bli ufølsom for alle varsler. Hvis en bruker holder klikke på "Godta" på hver vakt, er programvaren klart ineffektive til brukeren. Dette dilemmaet er særlig verre i de siste årene som mange ikke-skadelig program modeller valgte å endre ".exes" uten hensyn til denne falske positive bekymring. Derfor er de fleste nye antivirusprogrammer bruker denne metoden mindre.
Andre måter å identifisere virus
En rekke anti-virus programmer imitere starten av koden for hver nye kjørbar som skannes før overføring av en kommando til kjørbar. Dersom programmet ser ut til å være å benytte selvjuster kode eller annen måte virker som et virus (det umiddelbart forsøker å søke andre kjørbare), kan man utlede at den kjør har et virus. Likevel, fører denne fremgangsmåte mange falske positiver.
En annen metode for å detektere virus benytter en sandkasse. En sandkasse imiterer operativsystemet på datamaskinen og sjekker kjørbar i simuleringen. Når programmet er ferdig, er det sand undersøkt for modifikasjon som kan betegne et virus. På grunn av problemer med ytelsen til datamaskinen, er denne typen testing vanligvis bare gjort under skanninger som er on-demand.