Phần mềm bảo vệ chống virus

Phần mềm bảo vệ chống virus giúp phát hiện và loại bỏ virus máy tính, khôi phục hệ thống bị ảnh hưởng và có khả năng cập nhật để nhận diện các loại virus mới trong tương lai.

Để thực hiện các chức năng cơ bản và mở rộng, phần mềm bảo vệ thường dựa vào những nguyên lý chính sau:

• Quét các tập tin để tìm kiếm virus theo cơ sở dữ liệu nhận diện.
• Nhận diện các hành động giống như virus hoặc phần mềm độc hại.

Kỹ thuật phát hiện và loại bỏ virus

So sánh với mẫu virus đã biết

Các phần mềm bảo vệ chống virus đều áp dụng phương pháp này để quét virus. Kỹ thuật so sánh mẫu hoạt động như sau: Các tập tin cần kiểm tra được phân tích và so sánh với các mẫu virus đã lưu trữ. Nếu phát hiện mã độc, phần mềm sẽ loại bỏ virus khỏi tập tin. Đây là mô tả cơ bản; thực tế, các phần mềm phải thực hiện nhiều bước phức tạp để quét nhanh, giảm lỗi và bảo đảm không làm hỏng tập tin.

Kỹ thuật so sánh mẫu yêu cầu phần mềm liên tục cập nhật cơ sở dữ liệu để nhận diện các virus mới và biến thể của chúng. Có hai hình thức cập nhật cơ sở dữ liệu:

• Cập nhật qua tải file từ Internet: Hình thức này cho phép tải một file cập nhật lớn để sử dụng cho nhiều máy, nhưng kích thước file thường từ 16 Mb trở lên.
• Cập nhật tự động qua phần mềm: Phù hợp với người dùng cá nhân, chỉ tải các cơ sở dữ liệu virus mới với dung lượng nhỏ (vài trăm Kb mỗi lần cập nhật).

Virus lây nhiễm vào các tập tin bằng cách chèn mã của chúng vào phần của tập tin và được kích hoạt khi tập tin đó được mở. Kỹ thuật so sánh mẫu giúp nhận diện các đoạn mã virus tương tự trong cơ sở dữ liệu của phần mềm diệt virus và loại bỏ chúng. Tuy nhiên, quá trình này có thể gặp một số vấn đề:

• Để giữ kích thước cập nhật nhỏ, cơ sở dữ liệu có thể bị rút gọn, dẫn đến việc phần mềm có thể chỉ loại bỏ các mã đặc trưng, điều này có thể khiến phần mềm khác vẫn phát hiện virus.
• Xóa mã của một virus có thể dẫn đến việc xóa mã nhận diện trong tập tin không bị nhiễm, điều này không thể hoàn toàn tránh khỏi nhưng cần được giảm thiểu và sửa chữa ngay khi phát hiện.
• Nhiều tập tin được gán 'chữ ký số' để xác nhận nguồn gốc và bảo mật; nếu bị nhiễm và được xử lý, tập tin có thể mất chữ ký và cần thay thế bằng phiên bản gốc hoặc cài đặt lại phần mềm.
• Việc sửa chữa tập tin nhiễm virus có thể gây hư hỏng tập tin, do đó phần mềm diệt virus thường lưu trữ phiên bản trước khi sửa chữa dưới dạng nén hoặc mã hóa, và có thể cần phục hồi hoặc cài đặt lại hệ điều hành nếu virus quá nhiều và hệ thống không ổn định.

Nhận diện hành vi nghi ngờ

Nhận diện hành vi nghi ngờ là một chức năng 'thông minh' không phải phần mềm diệt virus nào cũng có. Phần mềm sẽ theo dõi các hoạt động bất thường của hệ thống để phát hiện virus hoặc phần mềm độc hại chưa được biết đến, từ đó cảnh báo người dùng, cô lập virus và gửi mẫu đến nhà cung cấp bảo mật để phân tích và cập nhật cơ sở dữ liệu.

Chức năng này thường có tùy chọn để bật hoặc tắt và điều chỉnh mức độ hoạt động (tích cực, trung bình, hoặc thấp - thường được đặt mặc định là mức đề xuất). Tuy nhiên, chức năng này có thể tiêu tốn tài nguyên và làm chậm hệ thống, đặc biệt trên máy tính không đủ mạnh.

Giám sát liên tục

Phần mềm diệt virus thường thực hiện giám sát liên tục để bảo vệ hệ thống. Chức năng này quét virus trong mọi tập tin mà hệ thống truy cập, từ khi tập tin được sao chép vào hệ thống, bằng cách so sánh mẫu và theo dõi các hành vi nghi ngờ.

Kết hợp các phương pháp

Chỉ dựa vào kỹ thuật so sánh mẫu có thể không đủ để phần mềm diệt virus hoạt động hiệu quả, vì chúng chỉ xử lý hậu quả mà không giải quyết nguyên nhân. Một số phần mềm yếu có thể diệt virus nhưng vẫn phát hiện lại virus đó sau khi khởi động lại hệ điều hành, do phần mềm không giám sát quá trình khởi động từ BIOS.

Vì vậy, phần mềm diệt virus cần kết hợp nhiều phương pháp để kiểm soát và ngăn chặn virus. Virus có thể lây nhiễm qua registry, vô hiệu hóa phần mềm diệt virus, hoặc tự động tải về khi sử dụng trình duyệt. Phần mềm diệt virus cần tích hợp nhiều chiến lược để phòng chống hiệu quả, làm cho nó khác biệt so với các phần mềm diệt virus khác hiện có trên thị trường.

Những loại phần mềm

Phần mềm phổ biến

Có rất nhiều phần mềm diệt virus hiện nay. Dưới đây là danh sách một số phần mềm diệt virus phổ biến và được nhiều người dùng trên toàn thế giới đánh giá cao về hiệu quả bảo vệ (danh sách theo thứ tự ABC, không phản ánh chất lượng cụ thể).

• Kaspersky Anti-Virus: Phần mềm này mới được phát triển trong vài năm gần đây và đã nhanh chóng trở thành một trong những lựa chọn hàng đầu, mặc dù không có lịch sử lâu đời như các tên tuổi khác. Phần mềm này không miễn phí nhưng cung cấp tùy chọn quét virus trực tuyến.
• McAfee: Một phần mềm diệt virus và chống phần mềm độc hại lâu đời của hãng McAfee, nổi tiếng với uy tín vững chắc. Đây là phần mềm thương mại.
• Norton AntiVirus: Phần mềm của Symantec, phát triển từ lâu và được đánh giá cao. Đây cũng là phần mềm thương mại.
• Symantec Antivirus: Cũng thuộc hãng Symantec, phần mềm này nhẹ hơn và tiêu tốn ít tài nguyên hơn Norton Antivirus. Thích hợp cho mạng nội bộ với sự quản lý từ một máy chủ. Có phiên bản miễn phí.
• Trend Micro Antivirus: Sản phẩm của hãng Trend Micro, sử dụng công nghệ điện toán đám mây để xử lý nhanh chóng mọi loại virus, thực thi ngầm và tiết kiệm tài nguyên. Phần mềm này thuộc top hàng đầu tại Nhật Bản và bảo vệ tốt khi kết nối Internet.
• Avast Premium Antivirus: Phiên bản trả phí của hãng Avast!, là một trong ba phần mềm đầu tiên trên thế giới đạt chứng chỉ VB100.

Diệt virus trực tuyến

Nhiều công ty cung cấp dịch vụ quét và loại bỏ virus trực tuyến khi người dùng kết nối Internet. Một số trang web cung cấp dịch vụ này bao gồm: Kaspersky.com, virustotal.com, Bitdefender.com, Cmcinfosec.com (trình duyệt IE).