就像我们人类会被感染并生病一样,我们的计算机在连接到 Internet 时也会被感染。病毒可以通过我们从 Internet 下载的内容(例如我们在线复制的电子邮件或文件)进入我们的计算机。病毒可以通过清除数据或使其无法使用来破坏我们的数据,还可以通过显着减慢速度来影响我们的计算机的性能。病毒还可以将我们的机密数据传回给其他人,或者让某人远程控制我们的计算机并将其用于自己的目的。
防病毒软件是 Windows 计算机上最重要的软件,可以防止它们感染病毒。如果您想知道这些防病毒程序如何检测病毒(就像我一样 :p),请继续阅读!
防病毒软件如何检测病毒?
签名检测是一种防病毒软件敏锐地扫描带入系统的文件以分析更可能的危险文件的方法。
本质上,防病毒应用程序带有一个已检查病毒的目录,并将文件和网页中的代码和模式与构成病毒代码的独特位和模式进行匹配。如果它们匹配,则文件被隔离,这意味着它被移动到一个新的安全位置,这样它就不会感染系统上的任何其他文件。
防病毒程序还会检查系统上的任何恶意行为,例如可疑的注册表项或在系统启动时自动执行未知程序,从而保护我们的计算机免受加密病毒或仍未识别的病毒的侵害。
以下是防病毒软件可以用来保护我们的计算机的不同病毒检测方法的列表。
- 病毒定义:这本质上是传统防病毒软件用来识别病毒的第一种方法。
这些程序会寻找签名来检测新的恶意软件。防病毒公司分析并提取文件的准确签名,并将它们保存在数据库中,与威胁进行比较,然后在签名匹配的情况下保护设备。 - 基于启发式的检测:这是最常见的检测形式,它使用算法将已知病毒的签名与潜在威胁进行比较。具有此类检测功能的防病毒软件还可以检测尚未发现并作为新病毒发布的病毒,但它也可以生成误报匹配,这意味着防病毒扫描程序可能会将未受感染的文件报告为受感染的文件。
- 基于行为的检测:如果病毒通过上述检测方法,则防病毒软件会观察计算机上运行的程序的行为。如果程序开始执行下面列出的奇怪操作,防病毒软件会触发警告:
- 其他程序的设置被更改
- 数十个文件被修改或删除
- 远程连接电脑
这是查找试图窃取或记录信息的病毒或任何其他类型的恶意软件的有用方法。
- 沙盒检测:这是一种检测方法,其中杀毒软件在虚拟环境中运行程序并记录其执行的操作以识别程序是否为恶意程序。如果发现该程序是安全的,则它会在真实环境中执行。
这种技术很少用于消费者防病毒解决方案,因为它既笨重又缓慢,但专为企业和网络使用而设计的防病毒解决方案提供了这一点。
- 数据挖掘:数据挖掘是恶意软件检测方面的最新发展,安全公司现在提供其防病毒产品,以检测和消除刚刚发布的恶意软件形式。首先从文件中提取文件的一系列特征,然后利用数据挖掘和机器学习算法来判断文件的行为,从而检测文件是否为恶意文件。
扫描类型
除了上面解释的检测方法之外,防病毒软件提供的扫描类型也是衡量其成功程度的同等标准。
- 按需扫描:术语“按需”扫描本身意味着此功能要么在用户怀疑有任何异常行为而想要扫描他的计算机时运行,要么用户安排它在指定时间运行。它还会搜索磁盘、目录和文件以及引导扇区和系统组件的内容。这些要么用作预防性维护活动,要么在怀疑有病毒时使用。
- 实时保护:几乎所有现代防病毒程序都提供这种在后台运行的自动保护,从而增加在恶意软件造成破坏之前捕获恶意软件的机会。因此,这些类型的扫描也被称为“后台保护” 。当数据加载到活动内存中时,它基本上实时监控系统是否有任何可疑活动。例如,当插入 USB 驱动器或执行下载的文件时。
- 智能扫描:在智能扫描下,防病毒软件仅扫描更可疑被感染的选定文件。这种类型的扫描降低了对系统资源的需求,同时防止了更常见的病毒、威胁和风险类型。