Làm sao phần mềm diệt virus biết đâu là virus?

duy_duy · October 8, 2021, 3:38am

Làm sao 1 phần mềm virus biết đâu là virus nhỉ? Rõ ràng cái file nào chả giống cái file nào.
Em cảm ơn ạ ^^

SITUVN.gcd · October 8, 2021, 9:45am

Thế mới gọi là quét (scan) virus chứ. Phần mềm phải quét hết các tập tin (thực thi) trong hệ thống và so sánh với mẫu. Quá trình này có thể thực hiện tự động và chạy ngầm.
Sau khi quét thì có thể đảm bảo các tập tin đã quét khá an toàn. Chế độ bảo vệ thời gian thực có thể bật nhằm quét những tập tin được tạo mới, chép - dán hoặc chuẩn bị thực thi.

Duong_Act · October 8, 2021, 9:45am

Nó có một số các khác nhau :
C1 :
So sánh mẫu. Các này AV sẽ scan các file có khả năng chứa virus. Cái này rất mất thời gian vì phải quét toàn bộ.
Một virus sẽ có những đoạn lệnh đặc trưng. AV sẽ đọc các file và tìm kiếm trong các file đó có chứa đoạn lệnh đặc trưng đó không. Nếu có thì rất có thể là virus. Với cách này thì sau khi virus hoành hành một thời gian thì các đoạn lệnh mới được cập nhật vào cơ sở dữ liệu của AV thì AV mới phát hiện được.

C2 : SandBox.
Một tập tin chứa virus nếu vẫn đang nằm yên thì virus chưa được kích hoạt và không có ảnh hưởng gì. Nên để giảm thời gian và realtime thì AV sẽ quét các tập tin được chạy thôi. Trong trường hợp quét cách 1 không phát hiện ra thì nó có thể dùng thêm cách này. Nó tạo một môi trường ảo gọi là sandbox và cho tập tin chạy sau đó theo dõi hành vi của ứng dụng xem nó có làm điều gì “khuất tất” hay không
Nếu không có bất thường thì OK, nếu có nó sẽ dừng và máy tính vẫn không bị ảnh hưởng vì nó chạy ứng dụng trong sandbox. Cách này thì có thể phát hiện và ngăn chặn một số virus mặc dù chưa có mẫu nhận dạng.

noname00 · October 9, 2021, 1:58am

A post was merged into an existing topic: Topic lưu trữ các post off-topic - version 3