Mặc dù máy tính có vẻ rực rỡ nhưng về cốt lõi, chúng là những cỗ máy không thông minh dựa vào các chỉ dẫn mà con người tạo ra để làm cho chúng hoạt động. Vi rút là các chương trình khiến máy tính thực hiện các hướng dẫn có thể gây hại cho chúng và dữ liệu của bạn. Các nhà phát triển phần mềm tạo ra các ứng dụng chống vi-rút theo hành vi và theo kinh nghiệm sử dụng các phương pháp khác nhau để phát hiện và loại bỏ vi-rút cũng như các dạng phần mềm độc hại khác có thể lây nhiễm vào máy tính của bạn.
Cơ sở dữ liệu Virus và Chữ ký Mã
Windows Defender, một ứng dụng bảo mật đi kèm với Windows, xác định một chương trình đáng ngờ bằng cách kiểm tra chương trình đó với cơ sở dữ liệu mà Microsoft duy trì. Các chương trình bảo mật dựa vào cơ sở dữ liệu để biết thông tin về phần mềm độc hại thường xuyên kiểm tra chúng vì mọi người liên tục tạo ra các loại vi-rút mới. Nhiều chương trình chống vi-rút xác định các mối đe dọa bằng cách kiểm tra "chữ ký" của chúng. Chữ ký tương tự như dấu vân tay: nó đại diện cho một tập hợp cụ thể các đặc điểm của tệp giúp người khác nhận dạng tệp.
Phát hiện hành vi
Một chương trình chống vi-rút phát hiện hành vi hoạt động giống như một sĩ quan cảnh sát đang tìm kiếm hành vi kỳ quặc của một kẻ tình nghi. Nếu bạn cài đặt một ứng dụng chống vi-rút sử dụng tính năng phát hiện hành vi, ứng dụng này sẽ theo dõi hệ điều hành của bạn, tìm kiếm các sự kiện đáng ngờ. Ví dụ: nếu chương trình chống vi-rút chứng kiến nỗ lực thay đổi hoặc sửa đổi một tệp hoặc giao tiếp qua Web, nó có thể thực hiện hành động và cảnh báo bạn về mối đe dọa. Nó cũng có thể chặn mối đe dọa tùy thuộc vào cách bạn điều chỉnh cài đặt bảo mật của nó.
Phát hiện Heuristic
Các ứng dụng chống vi-rút sử dụng phương pháp phỏng đoán tương tự như các chương trình phát hiện dựa trên chữ ký. Họ tìm cách xác định phần mềm độc hại bằng cách kiểm tra mã trong một chương trình vi rút và phân tích cấu trúc của chương trình. Một ứng dụng chống vi-rút heuristic sử dụng phương pháp phát hiện này có thể chạy một quy trình mô phỏng thực sự đang chạy mã mà nó đang kiểm tra. Khi làm được điều đó, ứng dụng chống vi-rút sẽ tìm cách xác định logic mã bổ sung có thể giúp xác định xem vi-rút bị nghi ngờ có thực sự là mối đe dọa hay không.
Thay đổi mẫu mã
Bởi vì các chương trình chống vi-rút sử dụng tính năng phát hiện hành vi tìm kiếm hành vi đáng ngờ của một vi-rút tiềm ẩn, chúng có thể xác định các mối đe dọa mà một số chương trình chống vi-rút heuristic có thể bỏ sót. Ví dụ, giả sử rằng một cơ sở dữ liệu heuristic chứa một mẫu mã bao gồm A-B-B-A. Nếu người tạo ra vi-rút sửa đổi mã của họ để mẫu thay đổi thành A-A-B-B, một ứng dụng chống vi-rút heuristic có thể không phát hiện ra phiên bản đã sửa đổi đó.
Cân nhắc
Dương tính giả xảy ra khi chương trình chống vi-rút thông báo cho bạn rằng chương trình đó nguy hiểm mặc dù không phải vậy. Việc phát hiện phần mềm độc hại bằng phương pháp heuristic thường làm tăng số lượng các sự cố dương tính giả. Các chương trình chống vi-rút heuristic cũng có thể mất nhiều thời gian hơn để quét tệp so với các chương trình sử dụng tính năng phát hiện hành vi. Nhiều chương trình chống vi-rút hiện đại sử dụng cả phương pháp phỏng đoán và phương pháp hành vi để bảo vệ máy tính khỏi phần mềm độc hại.