杀毒软件的作业原理

杀毒软件是 Windows 核算机上必不可少的功能强大的软件。假如您想知道杀毒软件怎么检测病毒、它们在您的核算机上做什么以及您是否需求自己履行定时体系扫描，请持续阅览。

杀毒软件是多层安全策略的重要组成部分 - 即便您是智能核算机用户，浏览器、扩展程序和 Windows 操作体系自身的漏洞连绵不断，使防病毒维护变得重要。

?

按拜访扫描

杀毒软件在您的核算机后台运转，检查您翻开的每个文件。这一般称为按拜访扫描、后台扫描、常驻扫描、实时维护或其他内容，具体取决于您的杀毒软件。

当您双击一个 EXE 文件时，程序似乎会当即发动，但实际上并非如此。您的杀毒软件首先检查程序，将其与已知病毒、蠕虫和其他类型的歹意软件进行比较。您的杀毒软件还会进行“启发式”检查，检查程序是否存在或许表明新的未知病毒的不良行为类型。

杀毒软件还会扫描或许包括病毒的其他类型的文件。例如，.zip 存档文件或许包括紧缩病毒，或许Word 文档或许包括歹意宏。文件在运用时都会被扫描——例如，假如您下载一个 EXE 文件，它会在您翻开它之前当即被扫描。

能够在没有拜访时扫描的情况下运用杀毒软件，但这一般不是一个好主意——利用程序中的安全漏洞的病毒不会被扫描程序捕获。病毒感染您的体系后，要删去. （也很难确认歹意软件是否已被彻底删去。）

全体系扫描

因为按拜访扫描，一般不需求运转全体系扫描。假如您将病毒下载到您的核算机上，您的杀毒软件会当即注意到 — 您不必先手动发动扫描。

可是，全体系扫描关于某些事情或许很有用。当您刚刚安装了杀毒软件时，完好的体系扫描会很有协助——它能够保证您的核算机上没有埋伏的病毒。大多数杀毒软件都会设置方案的完好体系扫描，一般每周一次。这可保证运用最新的病毒界说文件来扫描您的体系以查找休眠病毒。

这些全盘扫描在修复核算机时也很有协助。假如您想修复已经感染的核算机，将其硬盘插入另一台核算机并履行全体系病毒扫描（假如不彻底重新安装 Windows）很有用。可是，当杀毒软件已经在维护您时，您一般不必自己运转完好的体系扫描 - 它总是在后台扫描并履行其自己的定时全体系扫描。

病毒界说

您的杀毒软件依赖病毒界说来检测歹意软件。这就是它主动下载新的、更新的界说文件的原因——每天一次，乃至更频频。界说文件包括在野外遇到的病毒和其他歹意软件的签名。当杀毒软件扫描文件并注意到该文件与已知的歹意软件匹配时，杀毒软件会停止运转该文件，并将其放入“阻隔区”。根据您的杀毒软件的设置，杀毒软件或许会主动删去该文件，或许您能够答应该文件运转——假如您确信它是误报的话。

杀毒软件公司必须不断了解最新的歹意软件，发布界说更新以保证歹意软件被他们的程序捕获。防病毒实验室运用各种工具来分化病毒，在沙盒中运转它们，并及时发布更新以保证用户免受新歹意软件的侵害。

启发式

杀毒软件还选用启发式和机器学习。机器学习模型是经过剖析成百上千的歹意软件以找到一起的属性或行为来创立的。这种组合答应杀毒软件辨认新的或修改正的歹意软件类型，即便没有病毒界说文件。例如，假如杀毒软件注意到体系上运转的程序正试图翻开体系上的每个 EXE 文件，并经过将原始程序的副本写入其间来感染它，则杀毒软件能够将此程序检测为新的、未知类型的病毒。

没有杀毒软件是完美的。过于激进的启发式办法（或练习不正确的机器学习模型）或许会意外地将彻底安全的软件符号为歹意软件。

误报

因为存在大量软件，杀毒软件或许偶然会说文件是病毒，而实际上它是一个彻底安全的文件。这被称为“误报”。有时候，杀毒公司乃至会犯过错，比方将Windows体系文件、盛行的第三方程序、或许自己的杀毒程序文件辨认为病毒。这些误报或许会损坏用户的体系——此类过错一般会出现在新闻中，例如 Microsoft Security Essentials 将 Google Chrome 辨认为病毒、AVG 损坏了 64 位版别的 Windows 7 或 Sophos 将自己辨认为歹意软件。

启发式也能够增加误报率。杀毒软件或许会注意到某个程序的行为与歹意程序相似，并过错地将其辨认为病毒。

尽管如此，误报在正常运用中相当罕见。假如您的杀毒软件说文件是歹意的，您一般应该相信它。假如您不确认文件是否真的是病毒，您能够测验将其上传到VirusTotal（现在归 Google 一切）。VirusTotal 运用各种不同的防病毒产品扫描文件，并告诉您每个产品的内容。

检出率

不同的杀毒软件具有不同的检测率，并且病毒界说和启发式都会导致差异。一些防病毒公司或许比竞争对手拥有更有用的启发式办法并发布更多病毒界说，然后导致更高的检测率。

一些安排定时对防病毒程序进行相互比较，比较它们在实际运用中的检测率。AV-Comparitives定时发布比较当时反病毒检测率状态的研讨。检测率往往会随着时间的推移而波动——没有一种最好的产品始终处于领先地位。假如您真的想了解防病毒程序的有用性以及哪些程序是最好的，那么检测率研讨是值得重视的地方。

2021 年 7 月至 2021 年 10 月的总体结果

测验杀毒软件

假如您想测验杀毒软件是否正常作业，能够运用EICAR 测验文件。EICAR 文件是测验杀毒软件的标准办法——它实际上并不风险，但防病毒程序表现得如同它很风险，将其辨认为病毒。这使您能够在不运用活病毒的情况下测验防病毒程序响应。

杀毒软件是复杂的软件，关于这个主题能够写厚厚的书。