Các kỹ thuật phát hiện, diệt virus

Phần mềm diệt virus là phần mềm có tính năng phát hiện, loại bỏ các virus máy tính, khắcphục (một phần hoặc hoàn toàn) hậu quả của virus gây ra và có khả năng được nâng cấp đểnhận biết các loại virus trong tương lai.
Nội dung trích xuất từ tài liệu:
Các kỹ thuật phát hiện, diệt virus Các kỹ thuật phát hiện, diệt virus .Dành cho các bạn mới làm quen với máy tính.Phần mềm diệt virus là phần mềm có tính năng phát hiện, loại bỏ các virus máy tính, khắcphục (một phần hoặc hoàn toàn) hậu quả của virus gây ra và có khả năng được nâng cấp đểnhận biết các loại virus trong tương lai.Để đạt được các mục tiêu tối thiểu trên và mở rộng tính năng, phần mềm diệt virus thườnghoạt động trên các nguyên lí cơ bản nhất như sau:Kiểm tra (quét) các tập tin để phát hiện các virus đã biết trong cơ sở dữ liệu nhận dạng vềvirus của chúng.Phát hiện các hành động của các phần mềm giống như các hành động của virus hoặc cácphần mềm độc hại.So sánh với mẫu virus biết trước.Toàn bộ các phần mềm diệt virus đều sử dụng kỹ thuật này để quét virus. Kỹ thuật so sánhvới mẫu có thể mô tả đơn giản như sau: Các file cần kiểm tra virus được phân tích và so sánhvới các mẫu virus đã biết trước, nếu phát hiện một đoạn mã virus thì file đó có thể bị lâynhiễm virus và phần mềm thực hiện biện pháp loại bỏ virus khỏi file bị lây nhiễm. Tất nhiênđây là việc mô tả đơn giản, các hành động cụ thể của các phần mềm này phức tạp hơn nhiềuđể có thể quét nhanh nhất, loại bỏ sự nhầm lẫn và việc sửa chữa file không làm hư hỏng file.Kỹ thuật so sánh mẫu virus khiến cho các phần mềm liên tục phải cập nhật cơ sở dữ liệu đểcó khả năng nhận biết các loại virus mới cùng các biến thể của nó. Có hai dạng cập nhật cơsở dữ liệu:Cập nhật bằng hình thức tải file từ Internet: Hình thức này có thể tải một lần file cập nhật đểcó thể cập nhật cho nhiều máy khác nhau, tuy nhiên kích thước file tải lớn, đa số các file cơsở dữ liệu của các phần mềm diệt virus thông dụng và được nhiều người sử dụng có kíchthước file từ 16 Mb trở lên.Cập nhật trực tiếp bằng tính năng tự động cập nhật của phần mềm diệt virus: Cách này phùhợp với những người sử dụng cá nhân: Phần mềm chỉ tải các cơ sở dữ liệu của các loại virusmới nên mỗi lần cập nhật chỉ cần tải xuống một dung lượng thấp (thường chỉ vài trămKb/lần cập nhật).Như ta đã biết về virus với cơ chế lây nhiễm vào các file: Chúng gắn chính đoạn mã của bảnthân vào một phần của file để được kích hoạt khi thực thi file này. Kỹ thuật so sánh mẫu sẽphát hiện ra các đoạn mã của virus giống như dấu hiệu nhận biết trong cơ sở dữ liệu củaphần mềm diệt virus, phần mềm sẽ tiến hành loại bỏ các đoạn mã này. Quá trình này có thểxảy ra các vấn đề:Để đảm bảo các phần cập nhật có dung lượng không quá lớn, cơ sở dữ liệu có thể đượclược giản, do đó khi sửa chữa file bị lây nhiễm có thể chỉ xóa một đoạn mã đặc trưng, quantrọng nên có thể phần mềm khác (với cơ chế so sánh ở một đặc điểm khác) có thể vẫn pháthiện file đó bị nhiễm virus.Việc xóa các đoạn mã được coi là của một virus nào đó có thể dẫn đến phần mềm vô tình xóađoạn mã nhận dạng ở một file hoàn toàn không bị lây nhiễm virus: Đây là hiện tượng nhậnnhầm không thể tránh khỏi bởi người viết phần mềm không thể lường hết mọi file của mọiphần mềm trên thến giới, tuy nhiên cần hạn chế đến mức tối thiểu và phải được sửa đổingay khi phát hiện ra sự nhầm lẫn.Nhiều file được gắn các chữ ký điện tử nhằm xác nhận file có nguồn gốc, đảm bảo antoàn, sau khi bị lây nhiễm virus và được diệt bởi một phần mềm diệt virus, file có thể khôngcòn chữ ký, do đó cần thay thế file đó bằng file nguyên bản hoặc cài đặt lại phần mềm.Việc sửa chữa file đã bị nhiễm virus cũng có thể còn gây nên hư hỏng file nên các phần mềmdiệt virus thường lưu lại file trước khi sửa chữa (vẫn nguyên tình trạng bị nhiễm virus) dướidạng nén lại hoặc mã hóa để không thể lây nhiễm ngược trở lại. Ở đây có thể cần haitrường hợp: Nếu phần mềm diệt virus được cập nhật các thuật toán mới (nâng cấp engine)thì nên phục hồi để diệt lại; Nếu hệ điều hành hoặc các phần mềm khác bị nhiễm quá nhiềuthể loại virus mà đã được diệt nhưng hệ thống không ổn định thì nên cài đặt lại hệ điều hành(hoặc phần mềm) để có được các file nguyên bản.Nhận dạng hành vi đáng ngờNhận dạng các hành vi đáng ngờ là một chức năng thông minh mà không phải bất kỳ phầnmềm diệt virus nào cũng có. Hiểu một cách đơn giản thì phần mềm diệt virus sẽ theo dõi sựhoạt động bất thường của hệ thống để có thể phát hiện các virus chưa được biết đến (trongdữ liệu của nó) hoặc các phần mềm độc hại để từ đó đưa ra cảnh báo người sử dụng, cô lậpvirus để sẵn sàng gửi mẫu đến hãng bảo mật phân tích và cập nhật vào bản nâng cấp cơ sởdữ liệu kế tiếp.Chức năng này ở các phần mềm diệt virus thường cho phép lựa chọn kích hoạt hoặc không,mức độ hoạt động (sử dụng ở mức độ hoạt động tích cực, hoạt động trung bình ở mức đềcử, hay hoạt động ở mức độ thấp - mặc định thiết lập thường là kích hoạt sẵn ở mức độ đềcử) bởi đa số chúng có thể chiếm tài nguyên và làm chậm hệ thống đối với các máy tínhkhông đủ mạnh.Kiểm soát liên tụcPhần mềm diệt virus máy tính thường thực hiện kiểm soát liên tục theo thời gian thực để bảovệ hệ thống. Hình thức kiểm so ...