Phần mềm diệt virus

Phần mềm diệt virus (còn được gọi là anti-malware), là một chương trình máy tính được sử dụng để ngăn chặn, phát hiện và loại bỏ phần mềm độc hại.

ClamTk, một phần mềm diệt vi-rút mã nguồn mở dựa trên công cụ diệt virus ClamAV, ban đầu được Tomasz Kojm phát triển vào năm 2001.

Ảnh chụp giao diện phần mềm diệt virus có tên FireLion- FastHelper

Phần mềm diệt vi-rút ban đầu được phát triển để phát hiện và loại bỏ virút máy tính, do đó có tên như vậy. Tuy nhiên, với sự gia tăng của các phần mềm độc hại khác, phần mềm diệt virus bắt đầu bảo vệ chống lại các mối đe dọa máy tính khác. Một số sản phẩm cũng bao gồm bảo vệ khỏi các URL độc hại, thư rác và phishing.^[1]

Lịch sử

Giai đoạn 1971–1980 (thời kỳ trước khi có phần mềm diệt virus)

Virus máy tính đầu tiên được biết đến xuất hiện vào năm 1971 và được gọi là "Creeper virus".^[2] Virus máy tính này đã lây nhiễm vào các máy tính lớn PDP-10 của Digital Equipment Corporation (DEC) chạy hệ điều hành TENEX .^[3][4]

Virus Creeper cuối cùng đã bị xóa bởi một chương trình do Ray Tomlinson tạo ra và được gọi là "The Reaper".^[5] Một số người coi "The Reaper" là phần mềm diệt vi-rút đầu tiên từng được viết - có thể đúng như vậy, nhưng điều quan trọng cần lưu ý là Reaper thực chất là một loại virus được thiết kế riêng để loại bỏ virus Creeper.^[5][6]

Virus Creeper được theo sau bởi một số loại vi-rút khác. Loại vi-rút đầu tiên được biết đến xuất hiện "ngoài tự nhiên" là "Elk Cloner", vào năm 1981, đã lây nhiễm vào máy tính Apple II.^[7][8][9]

Năm 1983, thuật ngữ "virus máy tính" được Fred Cohen đặt ra trong một trong những bài báo học thuật đầu tiên được công bố về virus máy tính.^[10] Cohen đã sử dụng thuật ngữ "virus máy tính" để mô tả các chương trình: "ảnh hưởng đến các chương trình máy tính khác bằng cách sửa đổi chúng theo cách bao gồm một bản sao (có thể đã tiến hóa) của chính nó.^[11] (lưu ý rằng một định nghĩa gần đây hơn về virus máy tính đã được nhà nghiên cứu bảo mật người Hungary Péter Szőr đưa ra: "một mã sao chép đệ quy một bản sao có thể đã tiến hóa của chính nó").^[12]

Virus máy tính "trong tự nhiên" tương thích với IBM PC đầu tiên và là một trong những loại virus lây lan rộng rãi thực sự đầu tiên là "Brain" năm 1986. FTừ đó, số lượng virus đã tăng theo cấp số nhân.^[13][14] Hầu hết các loại virus máy tính được viết vào đầu và giữa những năm 1980 chỉ giới hạn ở khả năng tự sao chép và không có quy trình gây hại cụ thể nào được tích hợp vào mã. Điều đó đã thay đổi khi ngày càng nhiều lập trình viên làm quen với lập trình virus máy tính và tạo ra các loại virus có thể thao túng hoặc thậm chí phá hủy dữ liệu trên các máy tính bị nhiễm.^[15]

Trước khi kết nối internet trở nên phổ biến, virus máy tính thường lây lan qua các đĩa mềm bị nhiễm. Phần mềm diệt virus đã được sử dụng, nhưng được cập nhật tương đối ít thường xuyên. Trong thời gian này, về cơ bản, các trình kiểm tra virus phải kiểm tra các tệp thực thi và các sector khởi động của đĩa mềm và đĩa cứng. Tuy nhiên, khi việc sử dụng internet trở nên phổ biến, virus bắt đầu lây lan trực tuyến.^[16]

Giai đoạn 1980–1990 (những ngày đầu)

Có nhiều tuyên bố cạnh tranh về người sáng tạo ra sản phẩm diệt virus đầu tiên. Có thể, lần đầu tiên công khai ghi chép về việc loại bỏ virus máy tính "trong tự nhiên" ("virus Vienna") là do Bernd Fix thực hiện vào năm 1987.^[17][18]

Năm 1987, Andreas Lüning và Kai Figge, những người sáng lập G Data Software vào năm 1985, đã phát hành sản phẩm diệt vi-rút đầu tiên của họ cho nền tảng Atari ST .^[19] Năm 1987, Ultimate Virus Killer (UVK) cũng được phát hành.^[20] Đây là trình diệt virus tiêu chuẩn công nghiệp trên thực tế cho Atari ST và Atari Falcon, phiên bản cuối cùng của nó (phiên bản 9.0) được phát hành vào tháng 4 năm 2004. Năm 1987, tại Mỹ, John McAfee đã thành lập công ty McAfee và vào cuối năm đó, ông đã phát hành phiên bản đầu tiên của VirusScan.^[21] Cũng trong năm 1987 (tại Tiệp Khắc), Peter Paško, Rudolf Hrubý và Miroslav Trnka đã tạo ra phiên bản đầu tiên của phần mềm diệt virus NOD.^[22][23]

Năm 1987, Fred Cohen đã viết rằng không có thuật toán nào có thể phát hiện hoàn hảo mọi loại vi-rút máy tính có thể xảy ra.^[24]

Cuối cùng, vào cuối năm 1987, hai tiện ích diệt virus theo phương pháp heuristic đầu tiên đã được phát hành: Flushot Plus của Ross Greenberg^[25][26][27] và Anti4us bởi Erwin Lanting.^[28] Trong cuốn sách Malicious Mobile Code: Virus Protection for Windows của O'Reilly, Roger Grimes đã mô tả Flushot Plus là "chương trình toàn diện đầu tiên chống lại mã di động độc hại (MMC)."^[29]

Tuy nhiên, loại phương pháp heuristic được sử dụng bởi các công cụ AV ban đầu hoàn toàn khác so với loại được sử dụng ngày nay. Sản phẩm đầu tiên có công cụ heuristic giống với công cụ hiện đại là F-PROT vào năm 1991.^[30] Các công cụ heuristic ban đầu dựa trên việc chia nhị phân thành các phần khác nhau: phần dữ liệu, phần mã (trong một nhị phân hợp lệ, nó thường luôn bắt đầu từ cùng một vị trí). Thật vậy, các loại virus ban đầu đã sắp xếp lại bố cục của các phần hoặc ghi đè phần đầu của một phần để nhảy đến phần cuối cùng của file nơi mã độc được đặt—chỉ quay lại để tiếp tục thực thi mã gốc. Đây là một mẫu rất cụ thể, không được bất kỳ phần mềm hợp pháp nào sử dụng vào thời điểm đó, đại diện cho một phương pháp tìm kiếm tinh tế để bắt mã đáng ngờ. Các loại phương pháp tìm kiếm nâng cao hơn khác sau đó đã được thêm vào, chẳng hạn như tên phần đáng ngờ, kích thước tiêu đề không chính xác, biểu thức chính quy và khớp mẫu trong bộ nhớ một phần.

Năm 1988, sự phát triển của các công ty phần mềm diệt virus tiếp tục. Tại Đức, Tjark Auerbach đã thành lập Avira (H+BEDV vào thời điểm đó) và phát hành phiên bản đầu tiên của AntiVir (có tên là "Luke Filewalker" vào thời điểm đó). Tại Bulgaria, Vesselin Bontchev đã phát hành chương trình diệt virus miễn phí đầu tiên của mình (sau đó ông đã gia nhập FRISK Software). Frans Veldman cũng đã phát hành phiên bản đầu tiên của ThunderByte Antivirus, còn được gọi là TBAV (ông đã bán công ty của mình cho Norman Safeground vào năm 1998). Tại Tiệp Khắc, Pavel Baudiš và Eduard Kučera đã thành lập Avast Software (lúc đó là ALWIL Software) và phát hành phiên bản đầu tiên của avast! antivirus. Vào tháng 6 năm 1988, tại Hàn Quốc, Ahn Cheol-Soo đã phát hành phần mềm diệt virus đầu tiên của mình, có tên là V1 (ông đã thành lập AhnLab vào cuối năm 1995). Cuối cùng, vào mùa thu năm 1988, tại Vương quốc Anh, Alan Solomon đã thành lập S&S International và tạo ra Dr. Solomon's Anti-Virus Toolkit (mặc dù ông chỉ tung ra thị trường vào năm 1991 – năm 1998, công ty của Solomon đã được McAfee mua lại, khi đó được gọi là Network Associates Inc.).

Cũng trong năm 1988, một mailing list có tên VIRUS-L^[31] đã được bắt đầu trên mạng BITNET/EARN, nơi các loại vi-rút mới và khả năng phát hiện và loại bỏ vi-rút đã được thảo luận. Một số thành viên của danh sách gửi thư này là: Alan Solomon, Eugene Kaspersky (Kaspersky Lab), Friðrik Skúlason (FRISK Software), John McAfee (McAfee), Luis Corrons (Panda Security), Mikko Hyppönen (F-Secure), Péter Szőr, Tjark Auerbach (Avira) và Vesselin Bontchev (FRISK Software).^[31]

Năm 1989, tại Iceland, Friðrik Skúlason đã tạo ra phiên bản đầu tiên của F-PROT Anti-Virus (ông chỉ thành lập FRISK Software vào năm 1993). Trong khi đó, tại Mỹ, Symantec (do Gary Hendrix thành lập năm 1982) đã ra mắt Symantec antivirus for Macintosh (SAM).^[32][33] SAM 2.0, rphát hành vào tháng 3 năm 1990, tích hợp công nghệ cho phép người dùng dễ dàng cập nhật SAM để chặn và loại bỏ vi-rút mới, bao gồm nhiều loại vi-rút không tồn tại tại thời điểm chương trình phát hành.^[34]

Vào cuối những năm 1980, tại Vương quốc Anh, Jan Hruska và Peter Lammer đã thành lập công ty bảo mật Sophos và bắt đầu sản xuất các sản phẩm diệt vi-rút và mã hóa đầu tiên của họ. Cùng thời gian đó, VirusBuster được thành lập tại Hungary (và sau đó được Sophos hợp nhất).

Giai đoạn 1990–2000 (sự xuất hiện của ngành công nghiệp phần mềm diệt virus)

Năm 1990, tại Tây Ban Nha, Mikel Urizarbarrena đã thành lập Panda Security (Panda Software vào thời điểm đó).^[35] Tại Hungary, nhà nghiên cứu bảo mật Péter Szőr đã phát hành phiên bản đầu tiên của phần mềm diệt virus Pasteur.

Năm 1990, Tổ chức nghiên cứu phần mềm diệt virus máy tính (CARO) được thành lập. Năm 1991, CARO đã phát hành "Virus Naming Scheme", ban đầu được Friðrik Skúlason và Vesselin Bontchev viết.^[36] Mặc dù sơ đồ đặt tên này hiện đã lỗi thời, nhưng nó vẫn là tiêu chuẩn hiện hành duy nhất mà hầu hết các công ty và nhà nghiên cứu bảo mật máy tính từng cố gắng áp dụng. Các thành viên CARO bao gồm: Alan Solomon, Costin Raiu, Dmitry Gryaznov, Eugene Kaspersky, Friðrik Skúlason, Igor Muttik, Mikko Hyppönen, Morton Swimmer, Nick FitzGerald, Padgett Peterson, Peter Ferrie, Righard Zwienenberg và Vesselin Bontchev.^[37][38]

Năm 1991, tại Mỹ, Symantec đã phát hành phiên bản đầu tiên của Norton AntiVirus. Cùng năm đó, tại Cộng hòa Séc, Jan Gritzbach và Tomáš Hofer đã thành lập AVG Technologies (Grisoft vào thời điểm đó), mặc dù họ chỉ phát hành phiên bản đầu tiên của Anti-Virus Guard (AVG) vào năm 1992. Mặt khác, tại Phần Lan, F-Secure (do Petri Allas và Risto Siilasmaa thành lập vào năm 1988 – với tên gọi là Data Fellows) đã phát hành phiên bản đầu tiên của sản phẩm diệt virus của họ. F-Secure tuyên bố là công ty phần mềm diệt virus đầu tiên có mặt trên World Wide Web.^[39]

Năm 1991, Viện nghiên cứu chống virus máy tính châu Âu (EICAR) được thành lập để thúc đẩy nghiên cứu chống vi-rút và cải thiện quá trình phát triển phần mềm chống virus.^[40][41]

Năm 1992, tại Nga, Igor Danilov đã phát hành phiên bản đầu tiên của SpiderWeb, sau này trở thành Dr.Web.^[42]

Năm 1994, AV-TEST báo cáo rằng có 28.613 mẫu phần mềm độc hại duy nhất (dựa trên MD5) trong cơ sở dữ liệu của họ.^[43]

Theo thời gian, các công ty khác đã được thành lập. Năm 1996, tại Romania, Bitdefender được thành lập và phát hành phiên bản đầu tiên của Anti-Virus eXpert (AVX).^[44] Năm 1997, tại Nga, Eugene Kaspersky và Natalya Kaspersky đã đồng sáng lập công ty bảo mật Kaspersky Lab.^[45]

Năm 1996, cũng có virus Linux "ngoài tự nhiên" đầu tiên, được gọi là "Staog".^[46]

Năm 1999, AV-TEST báo cáo rằng có 98.428 mẫu phần mềm độc hại duy nhất (dựa trên MD5) trong cơ sở dữ liệu của họ.^[43]

Giai đoạn 2000–2005

Năm 2000, Rainer Link và Howard Fuhs đã khởi động công cụ diệt virus nguồn mở đầu tiên, có tên là OpenAntivirus Project.^[47]

Năm 2001, Tomasz Kojm đã phát hành phiên bản đầu tiên của ClamAV, công cụ diệt vi-rút nguồn mở đầu tiên được thương mại hóa. Năm 2007, ClamAV đã được Sourcefire mua lại,^[48] công ty này sau đó đã được Cisco Systems mua lại vào năm 2013.

Năm 2002, tại Vương quốc Anh, Morten Lund và Theis Søndergaard đã đồng sáng lập công ty diệt virus BullGuard.^[49]

Năm 2005, AV-TEST báo cáo rằng có 333.425 mẫu phần mềm độc hại duy nhất (dựa trên MD5) trong cơ sở dữ liệu của họ.^[43]

Giai đoạn 2005–2014

Năm 2007, AV-TEST đã báo cáo một số lượng 5.490.960 mẫu phần mềm độc hại mới duy nhất (dựa trên MD5) chỉ trong năm đó.^[43] Trong năm 2012 và 2013, các công ty phần mềm diệt virus đã báo cáo một số mẫu phần mềm độc hại mới dao động từ 300.000 đến hơn 500.000 mỗi ngày.^[50][51]

Trong những năm qua, phần mềm diệt vi-rút đã trở nên cần thiết để sử dụng một số chiến lược khác nhau (ví dụ: bảo vệ email và mạng cụ thể hoặc các mô-đun cấp thấp) và các thuật toán phát hiện, cũng như để kiểm tra nhiều loại tệp khác nhau, thay vì chỉ các tệp thực thi, vì một số lý do:

• Các macro mạnh mẽ được sử dụng trong các ứng dụng xử lý văn bản, chẳng hạn như Microsoft Word, gây ra rủi ro. Những người viết virus có thể sử dụng các macro để viết virus nhúng trong tài liệu. Điều này có nghĩa là máy tính hiện cũng có thể gặp rủi ro bị nhiễm khi mở các tài liệu có macro ẩn đính kèm.^[52]
• Khả năng nhúng các đối tượng thực thi bên trong các định dạng file không thể thực thi có thể khiến việc mở các file đó trở thành rủi ro.^[53]
• Các chương trình email sau này, đặc biệt là Outlook Express và Outlook của Microsoft, dễ bị virus nhúng trong chính nội dung email. Máy tính của người dùng có thể bị nhiễm chỉ bằng cách mở hoặc xem trước một tin nhắn.^[54]

Năm 2005, F-Secure là công ty bảo mật đầu tiên phát triển công nghệ Anti-Rootkit, có tên là BlackLight.

Vì hầu hết người dùng thường kết nối Internet liên tục, Jon Oberheide lần đầu tiên đề xuất thiết kế phần mềm diệt vi-rút dựa trên Đám mây vào năm 2008.^[55]

Vào tháng 2 năm 2008, McAfee Labs đã thêm chức năng chống phần mềm độc hại dựa trên đám mây đầu tiên trong ngành vào VirusScan dưới tên Artemis. Nó đã được AV-Comparatives thử nghiệm vào tháng 2 năm 2008^[56] và chính thức ra mắt vào tháng 8 năm 2008 trong McAfee VirusScan.^[57]

Cloud AV đã tạo ra các vấn đề trong quá trình thử nghiệm so sánh phần mềm bảo mật – một phần định nghĩa AV nằm ngoài tầm kiểm soát của người thử nghiệm (trên các máy chủ của công ty AV liên tục được cập nhật) do đó làm cho kết quả không thể lặp lại. Do đó, Tổ chức Tiêu chuẩn Kiểm tra Phần mềm độc hại (AMTSO) đã bắt đầu nghiên cứu phương pháp thử nghiệm các sản phẩm đám mây được áp dụng vào ngày 7 tháng 5 năm 2009.^[58]

Vào năm 2011, AVG đã giới thiệu một dịch vụ đám mây tương tự, có tên là Protective Cloud Technology.^[59]

2014–hiện tại: sự trỗi dậy của thế hệ tiếp theo, sự hợp nhất thị trường

Sau khi báo cáo APT 1 của Mandiant được phát hành năm 2013, ngành công nghiệp đã chứng kiến ​​sự chuyển dịch sang các phương pháp tiếp cận không cần chữ ký đối với vấn đề có khả năng phát hiện và giảm thiểu các cuộc tấn công zero-day.^[60] Nhiều phương pháp tiếp cận để giải quyết các hình thức đe dọa mới này đã xuất hiện, bao gồm phát hiện hành vi, trí tuệ nhân tạo, máy học và phát hiện tệp dựa trên đám mây. Theo Gartner, dự kiến ​​sự gia tăng của những người mới tham gia, chẳng hạn như Carbon Black, Cylance và Crowdstrike sẽ buộc các công ty bảo vệ điểm cuối đương nhiệm phải bước vào giai đoạn đổi mới và mua lại mới.^[61]

Một phương pháp từ Bromium liên quan đến ảo hóa vi mô để bảo vệ máy tính để bàn khỏi việc thực thi mã độc do người dùng cuối khởi tạo. Một phương pháp tiếp cận khác từ SentinelOne và Carbon Black tập trung vào phát hiện hành vi bằng cách xây dựng một bối cảnh đầy đủ xung quanh mọi đường dẫn thực thi quy trình theo thời gian thực,^[62][63] trong khi Cylance tận dụng mô hình trí tuệ nhân tạo dựa trên máy học.^[64]

Ngày càng nhiều, các phương pháp tiếp cận không cần chữ ký này được các công ty truyền thông và phân tích định nghĩa là phần mềm diệt virus "thế hệ tiếp theo"^[65] và đang chứng kiến ​​sự áp dụng nhanh chóng của thị trường như các công nghệ thay thế phần mềm diệt virus được chứng nhận bởi các công ty như Coalfire và DirectDefense.^[66] Để đáp lại, các nhà cung cấp phần mềm diệt vi-rút truyền thống như Trend Micro,^[67] Symantec và Sophos^[68] đã phản ứng bằng cách đưa các sản phẩm "thế hệ tiếp theo" vào danh mục đầu tư của họ vì các công ty phân tích như Forrester và Gartner đã gọi phần mềm diệt vi-rút dựa trên chữ ký truyền thống là "không hiệu quả" và "lỗi thời".^[69]

Kể từ Windows 8, Windows đã tích hợp phần mềm diệt virus miễn phí của riêng mình dưới thương hiệu Windows Defender. Mặc dù điểm phát hiện kém trong những ngày đầu, AV-Test hiện chứng nhận Defender là một trong những sản phẩm hàng đầu của mình.^[70][71] Mặc dù không biết công khai việc đưa phần mềm diệt virus vào Windows ảnh hưởng đến doanh số bán phần mềm diệt vi-rút như thế nào, nhưng lưu lượng tìm kiếm phần mềm diệt vi-rút trên Google đã giảm đáng kể kể từ năm 2010.^[72] Năm 2014, Microsoft đã mua McAfee.^[73]

Kể từ năm 2016, đã có một lượng hợp nhất đáng kể trong ngành. Avast mua lại AVG năm 2016 với giá 1,3 tỉ USD.^[74] Avira đã được chủ sở hữu Norton là Gen Digital (khi đó là NortonLifeLock) mua lại vào năm 2020 với giá 360 triệu đô la.^[75] Năm 2021, bộ phận Avira của Gen Digital đã mua lại BullGuard.^[76] Thương hiệu BullGuard đã ngừng hoạt động vào năm 2022 và khách hàng của thương hiệu này đã chuyển sang Norton. Năm 2022, Gen Digital đã mua lại Avast, về cơ bản là hợp nhất bốn thương hiệu phần mềm diệt vi-rút lớn dưới một chủ sở hữu.^[77]

Tính đến năm 2024, hơn một nửa người Mỹ sử dụng phần mềm diệt vi-rút tích hợp cho các thiết bị của họ như Microsoft Defender hoặc XProtect từ Apple. Tuy nhiên, khoảng 121 triệu người trưởng thành vẫn sử dụng phần mềm diệt vi-rút của bên thứ ba. Một nửa trong số những người trưởng thành này sử dụng các sản phẩm trả phí và khoảng 50% người dùng phần mềm của bên thứ ba - chủ sở hữu máy tính cá nhân và hệ điều hành Windows.^[78] 17% người trưởng thành sử dụng các chương trình diệt vi-rút trên thiết bị di động.^[79]

Phương pháp nhận dạng

Năm 1987, Frederick B. Cohen đã chứng minh rằng thuật toán có thể phát hiện tất cả các loại virus có thể không tồn tại (giống như thuật toán xác định chương trình đã cho có dừng lại hay không).^[80] Tuy nhiên, bằng cách sử dụng các lớp phòng thủ khác nhau, có thể đạt được tỷ lệ phát hiện tốt.

Có một số phương pháp mà công cụ diệt virus có thể sử dụng để xác định phần mềm độc hại:

• Phát hiện Sandbox: một kỹ thuật phát hiện dựa trên hành vi cụ thể, thay vì phát hiện dấu vân tay hành vi tại thời điểm chạy, nó sẽ thực thi các chương trình trong môi trường ảo, ghi lại các hành động mà chương trình thực hiện. Tùy thuộc vào các hành động được ghi lại có thể bao gồm việc sử dụng bộ nhớ và truy cập mạng,^[81] công cụ diệt virus có thể xác định chương trình có độc hại hay không.^[82] Nếu không, thì chương trình sẽ được thực thi trong môi trường thực. Mặc dù kỹ thuật này đã chứng minh là khá hiệu quả, nhưng do tính nặng nề và chậm chạp của nó, nó hiếm khi được sử dụng trong các giải pháp diệt virus dành cho người dùng cuối.^[83]
• Kỹ thuật khai thác dữ liệu: một trong những phương pháp tiếp cận mới nhất được áp dụng trong phát hiện phần mềm độc hại. Các thuật toán khai thác dữ liệu và máy học được sử dụng để cố gắng phân loại hành vi của một file (là độc hại hay lành tính) dựa trên một loạt các tính năng của file được trích xuất từ ​​chính file đó.^{[84][85][86][87][88][89][90][91][92][93][94][95][96][97][quá nhiều chú thích]}

Phát hiện dựa trên chữ ký

Phần mềm diệt vi-rút truyền thống dựa rất nhiều vào chữ ký để xác định phần mềm độc hại.^[98]

Về cơ bản, khi một mẫu phần mềm độc hại đến tay một công ty diệt virus, nó sẽ được các nhà nghiên cứu phần mềm độc hại hoặc các hệ thống phân tích động phân tích. Sau đó, khi đã xác định được là phần mềm độc hại, một chữ ký thích hợp của file sẽ được trích xuất và thêm vào cơ sở dữ liệu chữ ký của phần mềm diệt virus.^[99]

Mặc dù phương pháp dựa trên chữ ký có thể ngăn chặn hiệu quả các đợt bùng phát phần mềm độc hại, nhưng các tác giả phần mềm độc hại đã cố gắng đi trước một bước so với phần mềm như vậy bằng cách viết các loại vi-rút "oligomorphic", "polymorphic" và gần đây hơn là "metamorphic", mã hóa các bộ phận của chính chúng hoặc tự sửa đổi theo cách khác như một phương pháp ngụy trang, để không khớp với chữ ký virus trong từ điển.^[100]

Phương pháp tự phát hiện

Nhiều loại vi-rút bắt đầu là một lần nhiễm duy nhất và thông qua đột biến hoặc tinh chỉnh của những kẻ tấn công khác, có thể phát triển thành hàng chục chủng hơi khác nhau, được gọi là các biến thể. Phát hiện chung đề cập đến việc phát hiện và loại bỏ nhiều mối đe dọa bằng cách sử dụng một định nghĩa vi-rút duy nhất.^[101]

Ví dụ, trojan Vundo có một số thành viên trong họ, tùy thuộc vào phân loại của nhà cung cấp phần mềm diệt virus. Symantec phân loại các thành viên của họ Vundo thành hai loại riêng biệt, Trojan.Vundo và Trojan.Vundo.B.^[102][103]

Mặc dù có thể có lợi khi xác định một loại virus cụ thể, nhưng phát hiện một họ vi-rút thông qua chữ ký chung hoặc thông qua sự trùng khớp không chính xác với chữ ký hiện có có thể nhanh hơn. Các nhà nghiên cứu virus tìm thấy những điểm chung mà tất cả các virus trong một họ chia sẻ một cách độc đáo và do đó có thể tạo ra một chữ ký chung duy nhất. Các chữ ký này thường chứa mã không liền kề, sử dụng các ký tự đại diện khi có sự khác biệt. Các ký tự đại diện này cho phép máy quét phát hiện virus ngay cả khi chúng được đệm bằng mã thừa, vô nghĩa.^[104] Phát hiện sử dụng phương pháp này được gọi là "phát hiện theo phương pháp kinh nghiệm".

Phát hiện Rootkit

Bài chi tiết: Rootkit

Phần mềm diệt virus có thể cố gắng quét rootkits. Rootkit là một loại malware được thiết kế để giành quyền kiểm soát cấp quản trị đối với hệ thống máy tính mà không bị phát hiện. Rootkit có thể thay đổi cách thức hoạt động của hệ điều hành và trong một số trường hợp có thể can thiệp vào chương trình diệt vi-rút và khiến chương trình đó không hiệu quả. Rootkit cũng khó loại bỏ, trong một số trường hợp, cần phải cài đặt lại toàn bộ hệ điều hành.^[105]

Bảo vệ thời gian thực

Bảo vệ thời gian thực, quét khi truy cập, bảo vệ nền, lá chắn thường trú, tự động bảo vệ và các từ đồng nghĩa khác đề cập đến khả năng bảo vệ tự động được cung cấp bởi hầu hết các chương trình chống virus, chống phần mềm gián điệp và các chương trình chống phần mềm độc hại khác. Tính năng này giám sát các hệ thống máy tính để tìm hoạt động đáng ngờ như virus máy tính, phần mềm gián điệp, phần mềm quảng cáo và các đối tượng độc hại khác. Bảo vệ thời gian thực phát hiện các mối đe dọa trong các tệp đã mở và quét các ứng dụng theo thời gian thực khi chúng được cài đặt trên thiết bị.^[106] Khi lắp đĩa CD, mở email hoặc duyệt web hoặc khi một file đã có trên máy tính được mở hoặc thực thi.^[107]

Kết hợp mọi phương thức

Nếu chỉ đơn thuần sử dụng kỹ thuật so sánh mẫu thì một phần mềm diệt virus sẽ thất bại bởi chúng chỉ giải quyết hậu quả các file bị nhiễm chứ chưa tìm đến nguyên nhân dẫn đến file bị nhiễm. Khi sử dụng một số phần mềm chưa đủ mạnh bạn sẽ nhận thấy trường hợp: Phần mềm đã diệt được hoàn toàn virus trong máy, nhưng ngay sau khi phiên khởi động kế tiếp của hệ điều hành, phần mềm lại phát hiện ra virus chính virus đó. Đây có thể không phải là phần mềm nhận dạng được nhưng không diệt được, mà là virus lại được lây nhiễm trở lại bởi phần mềm đã không thể giám sát quá trình khởi động hệ điều hành ngay từ khi bios trao quyền điều khiển.

Chính vì vậy, phần mềm cần phải kết hợp mọi phương thức để kiểm soát và ngăn chặn các hành vi của virus. Virus có thể đặt các dòng lệnh trong registry để lây nhiễm virus từ một file nén nào đó hoặc vô hiệu hóa phần mềm diệt virus; Cũng có thể virus thiết lập tải về ngay khi sử dụng trình duyệt để kết nối vào mạng Internet. Do vậy phần mềm diệt virus cần phải kết hợp mọi phương thức để ngăn chặn virus. Chính những yếu tố này làm lên sự khác biệt giữa các phần mềm diệt virus hiện nay, không lẫn nó với vô vàn phần mềm diệt virus khác khi mà ngay một sinh viên cũng có thể viết một phần mềm diệt virus nếu chịu khó sưu tầm các mẫu virus trên mạng Internet hiện nay.

Các dạng phần mềm

Thông dụng

Hiện nay có rất nhiều phần mềm diệt virus, ở đây chỉ liệt kê một số phần mềm diệt virus thông dụng và được nhiều người trên thế giới sử dụng và đánh giá là bảo vệ hữu hiệu (xếp theo danh sách ABC, danh sách này không nói đến thứ tự chất lượng của phần mềm).

• Kaspersky Anti-Virus: Phần mềm mới được phát triển vài năm gần đây, tuy không có lịch sử như các đại gia khác nhưng cũng đã vươn lên đứng trong danh sách các phần mềm diệt virus loại tốt, thuộc hãng Kaspersky. Phần mềm không miễn phí, tuy nhiên cũng có phần cho phép quét virus trực tuyến.
• McAfee: Phần mềm diệt virus và các phần mềm độc hại Của hãng McAfee, phát triển khá lâu và có uy tín. Đây là phần mềm thương mại.
• Norton AntiVirus: Phần mềm diệt virus và các phần mềm độc hại của hãng Symantec, được phát triển từ khá lâu, và được đánh giá tốt. Đây là phần mềm thương mại.
• Symantec Antivirus: Một phần mềm diệt virus khác cũng của hãng Symantec, được đánh giá là "nhẹ", ít chiếm tài nguyên hơn so với Norton Antivirus. Phần mềm này thường thích hợp với mạng nội bộ (các máy trạm cài bản client) với sự quản lý của một máy chủ (được cài bản server). Phần mềm này có phiên bản miễn phí.
• Trend Micro Antivirus: Là phần mềm của hãng Trend Micro, phần mềm này dùng công nghệ điện toán đám mây xử lý nhanh chóng mọi virus hiện nay, thực thi ngầm và ít tốn tài nguyên, mọi dữ liệu sẽ được truyền tải lên máy chủ giúp cho người dùng sử dụng một cách an toàn không bị gián đoạn. Đây là một phần mềm hàng đầu Nhật Bản. Xử lý rất tốt khi người dùng kết nối Internet và ngăn chặn mọi dữ liệu có ảnh hưởng đến máy trạm.
• Avast Premium Antivirus: Là một trong những phiên bản diệt virus trả phí của hãng Avast!. Là một trong 3 phần mềm được cấp chứng chỉ VB100 đầu tiên trên thế giới.

Diệt virus trực tuyến

Một số hãng cho phép quét virus và diệt virus khi người dùng kết nối với Internet. Địa chỉ một số trang web quét virus trực tuyến như: Kaspersky.com, virustotal.com, Bitdefender.com, Cmcinfosec.com (trình duyệt IE)