27Aug

Hoe antivirussoftware werkt

Antivirus-programma's zijn krachtige stukjes software die essentieel zijn op Windows-computers. Als je je ooit hebt afgevraagd hoe antivirusprogramma's virussen detecteren, wat ze op je computer doen en of je zelf regelmatig systeem-scans moet uitvoeren, lees dan verder.

Een antivirusprogramma is een essentieel onderdeel van een meerlaagse beveiligingsstrategie - zelfs als u een slimme computergebruiker bent, maakt de constante stroom van kwetsbaarheden voor browsers, plug-ins en het Windows-besturingssysteem zelf antivirusbescherming belangrijk.

Scannen bij toegang

Antivirussoftware draait op de achtergrond van uw computer en controleert elk bestand dat u opent. Dit staat algemeen bekend als scannen bij toegang, scannen op de achtergrond, scannen door een gebruiker, realtimebescherming of iets anders, afhankelijk van uw antivirusprogramma.

Wanneer u dubbelklikt op een EXE-bestand, kan het lijken alsof het programma onmiddellijk wordt gestart, maar dat is niet het geval. Uw antivirussoftware controleert eerst het programma en vergelijkt het met bekende virussen, wormen en andere soorten malware. Uw antivirussoftware controleert ook 'heuristisch' en controleert programma's op soorten slecht gedrag die kunnen wijzen op een nieuw, onbekend virus.

Antivirusprogramma's scannen ook andere soorten bestanden die virussen kunnen bevatten. Een ZIP-archiefbestand kan bijvoorbeeld gecomprimeerde virussen bevatten of een Word-document kan een schadelijke macro bevatten. Bestanden worden gescand wanneer ze worden gebruikt. Als u bijvoorbeeld een EXE-bestand downloadt, wordt het onmiddellijk gescand voordat u het opent.

Het is mogelijk om een ​​antivirus te gebruiken zonder scannen bij toegang, maar dit is over het algemeen geen goed idee - virussen die beveiligingslekken in programma's misbruiken, zouden niet door de scanner worden gepakt. Nadat een virus uw systeem heeft geïnfecteerd, is het veel moeilijker om het te verwijderen.(Het is ook moeilijk om er zeker van te zijn dat de malware ooit volledig is verwijderd.)

Volledige systeemscans

Vanwege scannen bij toegang is het meestal niet nodig om scans op het volledige systeem uit te voeren. Als u een virus downloadt naar uw computer, zal uw antivirusprogramma dit onmiddellijk opmerken - u hoeft niet eerst handmatig een scan te starten.

Scans op volledig systeem kunnen echter voor sommige dingen nuttig zijn. Een volledige systeemscan is handig wanneer u net een antivirusprogramma hebt geïnstalleerd - het zorgt ervoor dat er geen virussen op uw computer slapen. De meeste antivirusprogramma's zetten geplande volledige systeemscans in, vaak één keer per week. Dit zorgt ervoor dat de nieuwste virusdefinitiebestanden worden gebruikt om uw systeem te scannen op sluimerende virussen.

Deze volledige schijfscans kunnen ook nuttig zijn bij het repareren van een computer. Als u een reeds geïnfecteerde computer wilt repareren, is het handig om de vaste schijf in een andere computer te plaatsen en een volledige scan op virussen uit te voeren( als u Windows niet opnieuw installeert).Meestal hoeft u echter niet zelf volledige systeemscans uit te voeren wanneer een antivirusprogramma u al beschermt: het scant altijd op de achtergrond en doet zijn eigen, normale, volledige systeemscans.

-virusdefinities

Uw antivirussoftware vertrouwt op virusdefinities om malware te detecteren. Daarom downloadt het automatisch nieuwe, bijgewerkte definitiebestanden - een keer per dag of zelfs vaker. De definitiebestanden bevatten handtekeningen voor virussen en andere malware die in het wild zijn aangetroffen. Wanneer een antivirusprogramma een bestand scant en merkt dat het bestand overeenkomt met een bekend stukje malware, stopt het antivirusprogramma het uitvoeren van het bestand, waardoor het in "quarantaine" wordt geplaatst. Afhankelijk van de instellingen van uw antivirusprogramma kan het antivirusprogramma het bestand automatisch verwijderenof je kunt het bestand toch laten draaien, als je zeker weet dat het fout-positief is.

Antivirusbedrijven moeten voortdurend up-to-date blijven met de nieuwste stukjes malware en definitie-updates vrijgeven die ervoor zorgen dat de malware door hun programma's wordt onderschept. Antiviruslaboratoria gebruiken verschillende hulpmiddelen om virussen te demonteren, uit te voeren in sandboxen en tijdig updates vrij te geven die ervoor zorgen dat gebruikers worden beschermd tegen het nieuwe stukje malware.

Heuristieken

Antivirusprogramma's maken ook gebruik van heuristieken. Met heuristieken kan een antivirusprogramma nieuwe of gewijzigde soorten malware identificeren, zelfs zonder virusdefinitiebestanden. Als een antivirusprogramma bijvoorbeeld merkt dat een programma dat op uw systeem wordt uitgevoerd, probeert elk EXE-bestand op uw systeem te openen en het te infecteren door er een kopie van het oorspronkelijke programma in te schrijven, kan het antivirusprogramma dit programma als een nieuw,onbekend type virus.

Geen antivirusprogramma is perfect. Heuristieken kunnen niet te agressief zijn of legitieme software markeren als virussen.

False Positives

Vanwege de grote hoeveelheid software die er is, is het mogelijk dat antivirusprogramma's af en toe zeggen dat een bestand een virus is, terwijl het eigenlijk een volledig veilig bestand is. Dit staat bekend als een "vals positief". Af en toe maken antivirusbedrijven zelfs fouten, zoals het identificeren van Windows-systeembestanden, populaire programma's van derden of hun eigen antivirusprogramma-bestanden als virussen. Deze valse positieven kunnen de systemen van gebruikers beschadigen - dergelijke fouten komen meestal in het nieuws terecht, zoals toen Microsoft Security Essentials Google Chrome als een virus identificeerde, 64-bits versies van Windows 7 beschadigde of Sophos zichzelf als malware beschouwde.

Heuristieken kunnen ook het aantal valse positieven verhogen. Een antivirus kan merken dat een programma zich op dezelfde manier gedraagt ​​als een kwaadaardig programma en het als een virus identificeert.

Desondanks zijn valse positieven vrij zeldzaam bij normaal gebruik. Als uw antivirus zegt dat een bestand kwaadaardig is, zou u het over het algemeen moeten geloven. Als u niet zeker weet of een bestand daadwerkelijk een virus is, kunt u proberen het te uploaden naar VirusTotal( dat nu eigendom is van Google).VirusTotal scant het bestand met een verscheidenheid aan verschillende antivirusproducten en vertelt u wat iedereen ervan zegt.

Detectieratio's

Verschillende antivirusprogramma's hebben verschillende detectiepercentages, waarbij zowel virusdefinities als heuristieken zijn betrokken. Sommige antivirusbedrijven hebben mogelijk meer effectieve heuristieken en geven meer virusdefinities vrij dan hun concurrenten, wat resulteert in een hogere detectiegraad.

Sommige organisaties testen antivirusprogramma's regelmatig in vergelijking met elkaar en vergelijken hun detectiepercentages in real-world gebruik. AV-Comparitives publiceert regelmatig studies die de huidige antivirus-detectiepercentages vergelijken. De detectiepercentages neigen in de loop van de tijd te variëren - er is niemand een beste product dat consistent bovenaan staat. Als u echt wilt weten hoe effectief een antivirusprogramma is en welke de beste zijn, zijn detectiepercentagestudies de plek om te kijken.

Een antivirusprogramma testen

Als u ooit wilt testen of een antivirusprogramma correct werkt, kunt u het EICAR-testbestand gebruiken. Het EICAR-bestand is een standaardmanier om antivirusprogramma's te testen - het is niet echt gevaarlijk, maar antivirusprogramma's gedragen zich alsof het gevaarlijk is, en identificeren het als een virus. Hiermee kunt u antivirusprogramma-antwoorden testen zonder een levend virus te gebruiken.

Antivirusprogramma's zijn ingewikkelde stukjes software en dikke boeken kunnen over dit onderwerp worden geschreven, maar hopelijk heeft dit artikel u op de hoogte gebracht van de basis.