antivirus

Antivirus er en betegnelse for programvare som har til hensikt å oppdage og fjerne ulike former for skadevare. Av historiske grunner kalles det ikke antiskadevare.

Faktaboks

Også kjent som

antivirusprogram, antiskadevare, antiskadevareprogram, anti-malware og malware protection

Metoder

Signaturbasert deteksjon og heuristikk er de to vanligste metodene for å oppdage skadevare. Nyere antivirusprogramvare vil benytte en kombinasjon av disse metodene, da de begge har sine fordeler og ulemper.

Signaturbasert deteksjon

Signaturbasert deteksjon vil sammenligne filer på en datamaskin opp mot en liste med oppbygningen til kjente skadevarer. Dersom antivirusprogramvaren finner igjen signaturen til en skadevare i en fil, betyr det at denne filen er infisert med den aktuelle skadevaren.

Fordelen med signaturbasert deteksjon er at man med stor sikkerhet kan oppdage kjente skadevarer. Ulempene er at denne metoden krever en jevnlig oppdatert signaturliste, samt at skadevaren på forhånd må være oppdaget og analysert av utviklerne til antivirusprogramvaren.

Heuristisk deteksjon

Heuristisk deteksjon vil se etter vanlige kjennetegn på skadevare i en fil. For eksempel at filen forsøker slette andre filer eller at den forsøker kopiere kode inn i andre filer. Hvert kjennetegn som oppdages gis en poengsum, og dersom den totale poengsummen kommer over et gitt nivå vil det antas at filen er infisert.

Fordelen til heuristikk er at også ukjente skadevarer kan oppdages. Ulempene er feilklassifisering og at fjerning er vanskelig uten å kjenne virusets signatur.

Nyere antivirusprogramvarer vil ved heuristisk deteksjon også forsøke kjøre programmet i et lukket og sikkert miljø for å se hva programmet faktisk utfører. Dette kan gi en bedre analyse enn å kun se på programkoden. Et slikt lukket miljø kalles en sandkasse, og er en form for virtuell maskin.

Fjerning av skadevare

Dersom en skadevare er oppdaget ved signaturbasert deteksjon er det i mange tilfeller mulig å fjerne den skadelige programkoden fra filen. I andre tilfeller må filen slettes eller «settes i karantene» slik at den ikke kan startes.

Det er en utfordring dersom den infiserte filen er en systemfil. Sletting kan i slike tilfeller føre til at operativsystemet ikke lenger fungerer.

Felles for alle former for fjerning er det at konsekvensene av skadevaren (nyttelasten) sjelden kan tilbakestilles.

Utfordringer ved antivirusprogramvare

Det vil alltid finnes skadevare som antivirusprogramvare ikke oppdager. At et antivirusprogram ikke rapporterer skadevare betyr derfor ikke at filen med sikkerhet er trygg.

Les mer i Store norske leksikon

Kommentarer

Kommentaren din publiseres her. Fagansvarlig eller redaktør svarer når de kan.

Du må være logget inn for å kommentere.

eller registrer deg