Hoe Antivirus werkt

Antivirussoftware is een programma dat wordt gebruikt om computers, notebooks en andere apparaten tegen malware te beschermen. Zo werken ze

Uzelf beschermen tegen alle malware die zich op het net verstopt, wordt steeds moeilijker. Eén wapen dat op geen enkel apparaat mag ontbreken is antivirussoftware, vooral op computers en notebooks, die over het algemeen kwetsbaarder zijn dan tablets en smartphones. Ze werken geruisloos en voorkomen dat malware op het apparaat terechtkomt.

Het enige wat gebruikers hoeven te doen is er een te vinden en te installeren – de antivirus zorgt voor de rest. Beveiligingsprogramma’s zijn ontworpen om de machine voortdurend te controleren. We kunnen ze zien als virtuele poorten die opengaan om alleen legitieme bestanden door te laten, schadelijke bestanden te blokkeren en verdachte bestanden te isoleren. Zonder een antivirus zou een machine zijn overgeleverd aan Trojaanse paarden, wormen en andere malware. Een computer zonder beschermingsschild is als een huis zonder deuren. En een huis onbeheerd achterlaten betekent jezelf blootstellen aan tal van gevaren.

Nu we de belangrijke taak van antivirussoftware begrijpen, is het ook nuttig om ons af te vragen hoe deze beveiligingsprogramma’s werken. Hoe beschermen ze ons tegen hackers?

Hoe werkt een antivirus

In algemene termen kunnen we beginnen met te zeggen dat antivirussen elk bestand of programma analyseren dat op het punt staat het systeem binnen te komen. De elementen worden gecontroleerd aan de hand van wat in jargon bekend staat als “virushandtekeningen”, een archief van handtekeningen waarin informatie over de malware is opgeslagen.

Als het bestand overeenkomt met de definities in de “archiefkast”, blokkeert het antivirus het.

De andere elementen daarentegen worden door de eerste poort gelaten en naar een andere beveiligings “ruimte” geleid, die in sommige firewalls en antivirussoftware wordt aangetroffen: het Host Based Intrusion Prevention System (HIPS). Wat gebeurt er in dit gebied? Simpel. Betrouwbare programma’s circuleren in het systeem, terwijl bestanden die niet bekend zijn bij het antivirus een soort tijdelijke “vrijgave” krijgen: zij draaien op de computer, maar alleen in geïsoleerde “omgevingen”. Het is dan aan de gebruiker om te beslissen of hij de deuren van de machine wil openen voor deze programma’s of ze voorgoed wil sluiten. In het laatste geval komen de bestanden, net als andere malware, in quarantaine terecht.

Analysetechnieken

Zoals gezegd voert antivirussoftware continu en in realtime scans uit, waarbij het hele ’territorium’ wordt afgestruind. Het belangrijkste aanvalsinstrument is, zoals we hebben gezien, malware. Daarom is het van groot belang dat antivirussoftware up-to-date wordt gehouden: een verouderd handtekeningenarchief zou niet in staat zijn nieuwe malware te blokkeren.

Er zijn ook andere onderzoekstechnieken. Een populaire methode is heuristiek, die gewoonlijk samenwerkt met “virushandtekeningen”. Wat is dit? Het wordt gebruikt om kwaadaardige code op te sporen die niet bekend is bij het antivirus. Met behulp van deze technologie analyseert het beveiligingsprogramma een verdacht bestand in een virtuele zone die is geïsoleerd van het systeem. Op die manier loopt het bestand, als het gevaarlijk is, niet het risico de hele machine te besmetten.

Dan is er ook nog de techniek die gedragsanalyse uitvoert, d.w.z. het programma detecteert malware door het ‘gedrag’ ervan te bestuderen terwijl het draait.

Een van de meest geavanceerde onderzoeksoplossingen is datamining, waarbij het bestand wordt geanalyseerd door delen van de binaire code te extraheren. Een andere analysemethode is sandboxing: verdachte bestanden worden in een virtuele omgeving uitgevoerd, waar het antivirus kan achterhalen of ze al dan niet kwaadaardig zijn.