Hoe Antivirus Software werkt
Antivirusprogramma's zijn krachtige stukjes software die essentieel zijn op Windows-computers. Als u zich ooit hebt afgevraagd hoe antivirusprogramma's virussen detecteren, wat ze op uw computer doen en of u zelf regelmatig systeem-scans moet uitvoeren, lees dan verder.
Een antivirusprogramma is een essentieel onderdeel van een meerlaagse beveiligingsstrategie - zelfs als u een slimme computergebruiker bent, maakt de constante stroom van kwetsbaarheden voor browsers, plug-ins en het Windows-besturingssysteem zelf antivirusbescherming belangrijk.
Scannen bij toegang
Antivirussoftware wordt op de achtergrond uitgevoerd op uw computer en controleert elk bestand dat u opent. Dit staat algemeen bekend als scannen bij toegang, scannen op de achtergrond, scannen door een gebruiker, real-timebeveiliging of iets anders, afhankelijk van uw antivirusprogramma..
Wanneer u dubbelklikt op een EXE-bestand, lijkt het alsof het programma onmiddellijk wordt gestart, maar dat is niet het geval. Uw antivirussoftware controleert eerst het programma en vergelijkt het met bekende virussen, wormen en andere soorten malware. Uw antivirussoftware controleert ook 'heuristisch' en controleert programma's op soorten slecht gedrag die kunnen wijzen op een nieuw, onbekend virus.
Antivirusprogramma's scannen ook andere typen bestanden die virussen kunnen bevatten. Een ZIP-archiefbestand kan bijvoorbeeld gecomprimeerde virussen bevatten of een Word-document kan een schadelijke macro bevatten. Bestanden worden gescand wanneer ze worden gebruikt. Als u bijvoorbeeld een EXE-bestand downloadt, wordt het onmiddellijk gescand voordat u het opent.
Het is mogelijk om een antivirus te gebruiken zonder scannen bij toegang, maar dit is over het algemeen geen goed idee - virussen die beveiligingslekken in programma's misbruiken, zouden niet door de scanner worden gepakt. Nadat een virus uw systeem heeft geïnfecteerd, is het veel moeilijker om het te verwijderen. (Het is ook moeilijk om er zeker van te zijn dat de malware ooit volledig is verwijderd.)
Volledige systeemscans
Vanwege scannen bij toegang is het meestal niet nodig om scans op het volledige systeem uit te voeren. Als u een virus downloadt naar uw computer, merkt uw antivirusprogramma dit onmiddellijk op: u hoeft niet eerst handmatig een scan te starten.
Scannen op volledig systeem kan echter voor sommige dingen nuttig zijn. Een volledige systeemscan is handig wanneer u net een antivirusprogramma hebt geïnstalleerd - het zorgt ervoor dat er geen virussen op uw computer slapen. De meeste antivirusprogramma's stellen geplande volledige systeemscans in, vaak één keer per week. Dit zorgt ervoor dat de nieuwste virusdefinitiebestanden worden gebruikt om uw systeem te scannen op slapende virussen.
Deze volledige schijfscans kunnen ook nuttig zijn bij het repareren van een computer. Als u een reeds geïnfecteerde computer wilt repareren, is het nuttig om de vaste schijf in een andere computer te plaatsen en een volledige scan op virussen uit te voeren (als u Windows niet opnieuw installeert). Meestal hoeft u echter niet zelf volledige systeemscans uit te voeren wanneer een antivirusprogramma u al beschermt: het scant altijd op de achtergrond en doet zijn eigen, normale scans van het volledige systeem.
Virusdefinities
Uw antivirussoftware vertrouwt op virusdefinities om malware te detecteren. Daarom downloadt het automatisch nieuwe, bijgewerkte definitiebestanden - één keer per dag of zelfs vaker. De definitiebestanden bevatten handtekeningen voor virussen en andere malware die in het wild zijn aangetroffen. Wanneer een antivirusprogramma een bestand scant en merkt dat het bestand overeenkomt met een bekend stukje malware, stopt het antivirusprogramma het uitvoeren van het bestand, waardoor het in "quarantaine" wordt geplaatst. Afhankelijk van de instellingen van uw antivirusprogramma kan het antivirusprogramma het bestand automatisch verwijderen of je kunt het bestand toch laten draaien, als je zeker weet dat het fout-positief is.
Antivirusbedrijven moeten voortdurend up-to-date blijven met de nieuwste stukjes malware en definitie-updates vrijgeven die ervoor zorgen dat de malware door hun programma's wordt onderschept. Antiviruslaboratoria gebruiken verschillende hulpmiddelen om virussen te demonteren, in sandboxen uit te voeren en tijdig updates vrij te geven die ervoor zorgen dat gebruikers worden beschermd tegen het nieuwe stukje malware.
heuristiek
Antivirusprogramma's maken ook gebruik van heuristieken. Met heuristieken kan een antivirusprogramma nieuwe of gewijzigde soorten malware identificeren, zelfs zonder virusdefinitiebestanden. Als een antivirusprogramma bijvoorbeeld merkt dat een programma dat op uw systeem wordt uitgevoerd, probeert elk EXE-bestand op uw systeem te openen en het te infecteren door er een kopie van het originele programma in te schrijven, kan het antivirusprogramma dit programma als een nieuw, onbekend type virus.
Geen antivirusprogramma is perfect. Heuristieken kunnen niet te agressief zijn of legitieme software markeren als virussen.
Valse positieven
Vanwege de grote hoeveelheid software die er is, is het mogelijk dat antivirusprogramma's af en toe zeggen dat een bestand een virus is, terwijl het in werkelijkheid een volledig veilig bestand is. Dit staat bekend als een "vals positief". Af en toe maken antivirusbedrijven zelfs fouten, zoals het identificeren van Windows-systeembestanden, populaire programma's van derden of hun eigen antivirusprogramma-bestanden als virussen. Deze valse positieven kunnen de systemen van gebruikers beschadigen - dergelijke fouten komen meestal in het nieuws terecht, zoals toen Microsoft Security Essentials Google Chrome als een virus identificeerde, 64-bits versies van Windows 7 beschadigde of Sophos zichzelf als malware beschouwde.
Heuristieken kunnen ook het aantal valse positieven verhogen. Een antivirus kan merken dat een programma zich op dezelfde manier gedraagt als een kwaadaardig programma en het als een virus identificeert.
Desondanks zijn valse positieven vrij zeldzaam bij normaal gebruik. Als uw antivirus zegt dat een bestand kwaadaardig is, zou u het over het algemeen moeten geloven. Als u niet zeker weet of een bestand daadwerkelijk een virus is, kunt u proberen het te uploaden naar VirusTotal (dat nu eigendom is van Google). VirusTotal scant het bestand met een verscheidenheid aan verschillende antivirusproducten en vertelt u wat iedereen ervan zegt.
Detectie tarieven
Verschillende antivirusprogramma's hebben verschillende detectiesnelheden, waarbij zowel virusdefinities als heuristieken zijn betrokken. Sommige antivirusbedrijven hebben mogelijk meer effectieve heuristieken en geven meer virusdefinities vrij dan hun concurrenten, wat resulteert in een hoger detectiepercentage.
Sommige organisaties doen regelmatig tests van antivirusprogramma's in vergelijking met elkaar en vergelijken hun detectiepercentages in real-world gebruik. AV-Comparitives publiceert regelmatig studies die de huidige stand van de antivirusdetectiesnelheden vergelijken. De detectiepercentages kunnen na verloop van tijd fluctueren - er is niemand een beste product dat consistent bovenaan staat. Als u echt wilt weten hoe effectief een antivirusprogramma is en welke de beste zijn, zijn detectiepercentagestudies de plek om te kijken.
Een antivirusprogramma testen
Als u ooit wilt testen of een antivirusprogramma correct werkt, kunt u het EICAR-testbestand gebruiken. Het EICAR-bestand is een standaardmanier om antivirusprogramma's te testen - het is niet echt gevaarlijk, maar antivirusprogramma's gedragen zich alsof het gevaarlijk is, en identificeren het als een virus. Hiermee kunt u antivirusprogramma-antwoorden testen zonder een levend virus te gebruiken.
Antivirusprogramma's zijn ingewikkelde stukjes software en dikke boeken kunnen over dit onderwerp worden geschreven, maar hopelijk heeft dit artikel u op de hoogte gebracht van de basis.