نرم‌افزار ضدویروس

دوره ۱۹۴۹–۱۹۸۰ (روزهای قبل از آنتی‌ویروس)

اگرچه ریشه‌های ویروس رایانه ای از سال ۱۹۴۹ شروع می‌شود، زمانی که دانشمند مجارستانی جان فون نویمان "نظریه اتوماتیک خود بازتولید" را منتشر کرد، اولین ویروس رایانه ای شناخته شده در سال ۱۹۷۱ ظاهر شد و "ویروس خزنده" نام گرفت. ". این ویروس رایانه ای رایانه‌های اصلی PDP-10 Digital Equipment Corporation (DEC) که دارای سیستم عامل TENEX هستند را آلوده کرده‌است.

ویروس Creeper سرانجام توسط برنامه ای که توسط Ray Tomlinson ایجاد شده و به "The Reaper" معروف است حذف شد. برخی افراد "The Reaper" را اولین نرم‌افزار ضد ویروسی می‌دانند که ممکن است چنین باشد، اما مهم است که توجه داشته باشید که Reaper در واقع یک ویروس بوده‌است که به‌طور خاص برای حذف ویروس Creeper طراحی شده‌است.

ویروس Creeper توسط چندین ویروس دیگر دنبال شد. اولین موردی که در طبیعت ظاهر شد "Elk Cloner" بود که در سال ۱۹۸۱ رایانه‌های Apple II را آلوده کرد.

در سال ۱۹۸۳، عبارت "ویروس رایانه ای" توسط فرد کوهن در یکی از اولین مقالات آکادمیک منتشر شده در مورد ویروس‌های رایانه ای ابداع شد. کوهن از واژه "ویروس رایانه" برای توصیف برنامه‌هایی استفاده می‌کند که: "سایر برنامه‌های رایانه ای را با تغییر آنها به گونه ای که شامل یک نسخه (احتمالاً تکامل یافته) از خود باشد، تحت تأثیر قرار می‌دهد." (توجه داشته باشید که جدیدتر و دقیق تر است)، تعریف ویروس کامپیوتری توسط محقق امنیتی مجارستانی Péter Szőr ارائه شده‌است: "کدی که به طور بازگشتی یک نسخه احتمالاً تکامل یافته خود را تکرار می‌کند").

اولین ویروس رایانه ای IBM PC "سازگار با طبیعت" و یکی از اولین عفونت‌های گسترده واقعی "Brain" در سال ۱۹۸۶ بود. از آن زمان، تعداد ویروس‌ها به‌طور تصاعدی افزایش یافته‌است. اکثر ویروسهای رایانه ای که در اوایل و اواسط دهه ۱۹۸۰ نوشته شده بودند، محدود به تولید مثل خود بودند و هیچگونه آسیب روتین خاصی در کد وجود نداشت. وقتی برنامه نویسان بیشتر با برنامه‌نویسی ویروس‌های رایانه ای آشنا شدند و ویروس‌هایی ایجاد کردند که داده‌های رایانه‌های آلوده را دستکاری یا حتی از بین می‌برد، تغییر کرد.

قبل از گسترش اتصال اینترنت ، ویروس‌های رایانه ای معمولاً توسط فلاپی دیسک‌های آلوده پخش می‌شدند. نرم‌افزار آنتی‌ویروس مورد استفاده قرار گرفت، اما به ندرت به روز شد. در این مدت ، کنترل‌کننده‌های ویروس اساساً باید فایل‌های اجرایی و بخش‌های راه اندازی فلاپی دیسک‌ها و هارد دیسک‌ها را بررسی می‌کردند. با این حال، با رایج شدن استفاده از اینترنت ، ویروس‌ها به صورت آنلاین شروع به گسترش کردند.

دوره ۱۹۸۰–۱۹۹۰ (روزهای اولیه)

ادعاهای رقابتی برای مبتکر اولین محصول آنتی‌ویروس وجود دارد. احتمالاً، اولین حذف عمومی مستند ویروس رایانه ای "در طبیعت" (یعنی "ویروس وین") توسط برند فیکس در سال ۱۹۸۷ انجام شد.

در سال ۱۹۸۷، Andreas Lüning و Kai Figge، که G Data Software را در ۱۹۸۵ تأسیس کردند، اولین محصول آنتی‌ویروس خود را برای پلت فرم Atari ST منتشر کردند. در سال ۱۹۸۷، Ultimate Virus Killer (UVK) نیز منتشر شد. این عملاً قاتل ویروس استاندارد صنعت Atari ST و Atari Falcon بود، آخرین نسخه آن (نسخه ۹٫۰) در آوریل ۲۰۰۴ منتشر شد. [نیازمند منبع] در سال ۱۹۸۷، در ایالات متحده، جان مک آفی شرکت McAfee را تأسیس کرد (بخشی از Intel Security بود) و در پایان همان سال اولین نسخه VirusScan را منتشر کرد. همچنین در سال ۱۹۸۷ (در چکسلواکی)، پیتر پاشکو، رودولف هروبا و میروسلاو ترنکا اولین نسخه آنتی‌ویروس NOD را ایجاد کردند.

در سال ۱۹۸۷، فرد کوهن نوشت که هیچ الگوریتمی وجود ندارد که بتواند تمام ویروس‌های رایانه ای را به‌طور کامل تشخیص دهد.

سرانجام، در پایان سال ۱۹۸۷، دو ابزار اولیه آنتی‌ویروس ابتکاری منتشر شد: Flushot Plus توسط راس گرینبرگ و Anti4us توسط اروین لانتینگ. راجر گریمز در کتاب O'Reilly خود، Malicious Code Code: Virus Protection for Windows , Flushot Plus را به عنوان "اولین برنامه جامع برای مبارزه با کد مخرب تلفن همراه (MMC)" توصیف کرد.

با این حال، نوع ابتکاری مورد استفاده در موتورهای AV اولیه کاملاً متفاوت از موتورهای امروزی بود. اولین محصول با موتور اکتشافی شبیه موتورهای مدرن F-PROT در سال ۱۹۹۱ بود. موتورهای ابتکاری اولیه مبتنی بر تقسیم دوتایی به بخشهای مختلف بودند: بخش داده، بخش کد (در یک باینری مشروع، معمولاً همیشه از یک مکان شروع می‌شود). در واقع، ویروس‌های اولیه طرح بندی بخش‌ها را مجدداً سازماندهی می‌کنند، یا قسمت اولیه یک بخش را لغو می‌کنند تا به انتهای پرونده ای که کد مخرب در آن قرار داشت بپردازند-فقط برای از سرگیری اجرای کد اصلی بازمی‌گردند. این یک الگوی بسیار خاص بود، که در آن زمان توسط هیچ نرم‌افزار قانونی استفاده نمی‌شد، که نشان دهنده یک روش ابتکاری زیبا برای گرفتن کد مشکوک بود. انواع دیگری از روشهای اکتشافی پیشرفته بعداً اضافه شد، مانند نام بخش مشکوک، اندازه هدر نادرست، عبارات منظم و الگوی جزئی در تطبیق حافظه.

در سال ۱۹۸۸، رشد شرکت‌های آنتی‌ویروس ادامه یافت. در آلمان، Tjark Auerbach Avira (H+BEDV در آن زمان) را تأسیس کرد و اولین نسخه AntiVir (که در آن زمان "Luke Filewalker" نام داشت) را منتشر کرد. در بلغارستان، Vesselin Bontchev اولین برنامه آنتی‌ویروس رایگان خود را منتشر کرد (بعداً به FRISK Software پیوست). همچنین Frans Veldman اولین نسخه از ThunderByte Antivirus را که به TBAV نیز معروف است منتشر کرد (او در سال ۱۹۹۸ شرکت خود را به Norman Safeground فروخت). در چکسلواکی، پاول بائودیچ و ادوارد کوسرا آواست را شروع کردند! (در آن زمان نرم‌افزار ALWIL) و اولین نسخه avast خود را منتشر کردند! آنتی‌ویروس در ژوئن ۱۹۸۸، در کره جنوبی، Ahn Cheol-Soo اولین نرم‌افزار آنتی‌ویروس خود را با نام V1 منتشر کرد (او AhnLab را بعداً در ۱۹۹۵ تأسیس کرد). سرانجام، در پاییز ۱۹۸۸، در بریتانیا، آلن سلیمان S&S International را تأسیس کرد و جعبه ابزار ضد ویروس دکتر سلیمان خود را ایجاد کرد (اگرچه او آن را در سال ۱۹۹۱ به صورت تجاری راه اندازی کرد-در سال ۱۹۹۸ شرکت سلیمان توسط مک آفی خریداری شد). در نوامبر ۱۹۸۸، پروفسوری در دانشگاه پانامریکا در مکزیکو سیتی به نام Alejandro E. Carriles اولین نرم‌افزار ضد ویروس را در مکزیک تحت نام "Byte Matabichos" (Byte Bugkiller) برای کمک به حل آلودگی ویروس شایع در بین دانش آموزان محفوظ داشت.

همچنین در سال ۱۹۸۸، یک لیست پستی به نام VIRUS-L در شبکه BITNET/EARN شروع شد که در آن ویروس‌های جدید و امکانات تشخیص و حذف ویروس‌ها مورد بحث قرار گرفت. برخی از اعضای این فهرست پستی عبارت بودند از: آلن سلیمان، یوجین کسپرسکی (آزمایشگاه کسپرسکی)، فریریک اسکالاسون (نرم‌افزار FRISK)، جان مک آفی (مک آفی)، لوئیس کرونز (پاندا سکیوریتی)، میکو هیپنن (F-Secure)، پتر سور، Tjark اوئرباخ (آویرا) و وسلین بونچف (نرم‌افزار FRISK).

در سال ۱۹۸۹، در ایسلند، Friðrik Skúlason اولین نسخه از F-PROT Anti-Virus را ایجاد کرد (او FRISK Software را فقط در ۱۹۹۳ تأسیس کرد). در همین حال، در ایالات متحده، سیمانتک (توسط گری هندریکس در ۱۹۸۲ تأسیس شد) اولین آنتی‌ویروس Symantec خود را برای مکینتاش (SAM) راه اندازی کرد. SAM 2.0، که در مارس ۱۹۹۰ منتشر شد، از فناوری استفاده می‌کرد که به کاربران اجازه می‌داد به راحتی SAM را برای رهگیری و حذف ویروس‌های جدید، از جمله بسیاری از آنها که در زمان انتشار برنامه وجود نداشت، به روز کنند.

در پایان دهه ۱۹۸۰، در بریتانیا، جان هروسکا و پیتر لامر شرکت امنیتی Sophos را تأسیس کردند و اولین محصولات ضد ویروس و رمزگذاری خود را تولید کردند. در همان دوره، در مجارستان، VirusBuster نیز تأسیس شد (که اخیراً توسط Sophos ادغام شده‌است).

دوره ۱۹۹۰–۲۰۰۰ (ظهور صنعت آنتی‌ویروس)

در سال ۱۹۹۰، در اسپانیا، میکل اوریزارارارنا Panda Security (آن زمان نرم‌افزار پاندا) را تأسیس کرد. در مجارستان، محقق امنیتی پتر سزار نسخه اول آنتی‌ویروس پاستور را منتشر کرد. در ایتالیا، Gianfranco Tonello نسخه اول آنتی‌ویروس VirIT eXplorer را ایجاد کرد، سپس یک سال بعد TG Soft را تأسیس کرد.

در سال ۱۹۹۰، سازمان تحقیقات آنتی‌ویروس رایانه ای (CARO) تأسیس شد. در سال ۱۹۹۱، CARO «طرح نامگذاری ویروس» را منتشر کرد، که در ابتدا توسط Friðrik Skúlason و Vesselin Bontchev نوشته شده‌است. اگرچه این طرح نامگذاری اکنون منسوخ شده‌است، اما این تنها استاندارد موجود است که اغلب شرکت‌های امنیتی رایانه و محققان تاکنون سعی در اتخاذ آن داشته‌اند. اعضای CARO شامل: آلن سلیمان، کاستین رایو، دیمیتری گریازنوف، یوجین کسپرسکی، فریریک اسکلاسون، ایگور موتویک، میکوکو هیپپنن، مورتون شناگر، نیک فیتز جرالد، پیجت پترسون، پیتر فرری، ریگارد زویننبرگ و وسلیننتونت

در سال ۱۹۹۱، در ایالات متحده، Symantec نسخه اول Norton AntiVirus را منتشر کرد. در همان سال، در جمهوری چک، جان گریتباخ و تامو هوفر AVG Technologies را تأسیس کردند (در آن زمان Grisoft)، اگرچه آنها اولین نسخه از گارد ضد ویروس خود (AVG) را فقط در سال ۱۹۹۲ منتشر کردند. از طرف دیگر، در فنلاند، F-Secure (در سال ۱۹۸۸ توسط پتری آلاس و ریستو سییلاسما - با نام Data Fellows تأسیس شد) اولین نسخه از آنتی‌ویروس خود را منتشر کرد. F-Secure ادعا می‌کند که اولین آنتی‌ویروس است که حضور در شبکه جهانی وب را تأسیس می‌کند.

در سال ۱۹۹۱، مؤسسه اروپایی تحقیقات آنتی‌ویروس رایانه ای (EICAR) برای تحقیقات بیشتر در مورد آنتی‌ویروس و بهبود پیشرفت نرم‌افزار آنتی‌ویروس تأسیس شد.

در سال ۱۹۹۲، در روسیه، ایگور دانیلوف اولین نسخه SpiderWeb را منتشر کرد که بعداً به دکتر وب تبدیل شد.

در سال ۱۹۹۴، AV-TEST گزارش داد که ۲۸۶۱۳ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

با گذشت زمان شرکت‌های دیگری تأسیس شدند. در سال ۱۹۹۶، در رومانی، Bitdefender تأسیس شد و اولین نسخه آنتی‌ویروس eXpert (AVX) را منتشر کرد. در سال ۱۹۹۷، در روسیه، یوجین کسپرسکی و ناتالیا کسپرسکی شرکت امنیتی Kaspersky Lab را تأسیس کردند.

در سال ۱۹۹۶، اولین ویروس لینوکس "در وحشی" نیز وجود داشت که با نام "Staog" شناخته می‌شد.

در سال ۱۹۹۹، AV-TEST گزارش داد که ۹۸۴۲۸ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

دوره ۲۰۰۰–۲۰۰۵

در سال ۲۰۰۰، Rainer Link و Howard Fuhs اولین موتور آنتی‌ویروس منبع باز را بنام OpenAntivirus Project راه اندازی کردند.

در سال ۲۰۰۱، Tomasz Kojm اولین نسخه ClamAV را منتشر کرد، اولین موتور آنتی‌ویروس منبع باز است که به بازار عرضه می‌شود. در سال ۲۰۰۷، ClamAV توسط Sourcefire خریداری شد که به نوبه خود در سال ۲۰۱۳ توسط سیسکو سیستم خریداری شد.

در سال ۲۰۰۲، در انگلستان، Morten Lund و Theis Søndergaard با تأسیس شرکت ضد ویروس BullGuard تأسیس کردند.

در سال ۲۰۰۵، AV-TEST گزارش داد که ۳۳۳٬۴۲۵ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

دوره ۲۰۰۵–۲۰۱۴

در سال ۲۰۰۷، AV-TEST تعداد ۵٬۴۹۰٬۹۶۰ نمونه بدافزار جدید (بر اساس MD5) را فقط برای آن سال گزارش داد. در سال ۲۰۱۲ و ۲۰۱۳ ، آنتی‌ویروس‌ها گزارش کردند که نمونه بدافزارهای جدید بین ۳۰۰۰۰۰ تا بیش از ۵۰۰۰۰۰ در روز است.

با گذشت سالها، لازم است نرم‌افزار آنتی‌ویروس از چندین استراتژی مختلف (مانند ایمیل خاص و حفاظت از شبکه یا ماژول‌های سطح پایین) و الگوریتم‌های تشخیص استفاده و همچنین بررسی انواع فایلی بجای فقط اجرایی به دلایل مختلف استفاده کند.

• ماکروهای قدرتمند مورد استفاده در برنامه‌های پردازشگر کلمه، مانند مایکروسافت ورد، خطری را ایجاد می‌کردند. نویسندگان ویروس می‌توانند از ماکروها برای نوشتن ویروس‌های موجود در اسناد استفاده کنند. این بدان معنی است که کامپیوترها می‌توانند با باز کردن اسناد با ماکروهای پنهان مخفی، در معرض خطر عفونت قرار بگیرند.
• امکان جاسازی اشیاء اجرایی در فرمت‌های پرونده غیر عملی در غیر این صورت می‌تواند باعث باز شدن این پرونده‌ها شود.
• برنامه‌های ایمیل بعدی، به ویژه Outlook Express و Outlook مایکروسافت، در برابر ویروس‌های جاسازی شده در بدن ایمیل آسیب‌پذیر بودند. با باز کردن یا پیش نمایش پیام، می‌توانید یک کامپیوتر کاربر آلوده شود.

در سال ۲۰۰۵، F-Secure اولین شرکت امنیتی بود که یک فناوری Anti-Rootkit ایجاد کرد، به نام بلک لایت.

از آنجا که بیشتر کاربران معمولاً به‌طور مداوم به اینترنت متصل هستند، جان اوبرهید برای اولین بار یک طرح ضد ویروس مبتنی بر ابر را در سال ۲۰۰۸ پیشنهاد داد.

در فوریه سال ۲۰۰۸ آزمایشگاه‌های مک آفی اولین عملکرد ضد ویروس مبتنی بر ابر را در صنعت تحت نام Artemis به VirusScan اضافه کردند. این آزمایش توسط AV-Comparatives در فوریه ۲۰۰۸ مورد آزمایش قرار گرفت و به‌طور رسمی در اوت ۲۰۰۸ در McAfee VirusScan رونمایی شد.

Cloud AV مشکلاتی را برای آزمایش مقایسه ای نرم‌افزارهای امنیتی ایجاد کرد - بخشی از تعاریف AV از کنترل تسترها (روی سرورهای شرکت AV که به‌طور مداوم به روز می‌شوند) نتیجه ای غیرقابل تکرار می‌داد. در نتیجه، سازمان معیارهای تست ضد بدافزار (AMTSO) شروع به کار بر روی روش آزمایش محصولات ابری کرد که در ۷ مه ۲۰۰۹ پذیرفته شد.

در سال ۲۰۱۱، AVG سرویس ابری مشابه را با نام Protective Cloud Technology معرفی کرد.

۲۰۱۴ - در حال حاضر (ظهور نسل بعدی)

پس از انتشار گزارش APT 1 از Mandiant در سال ۲۰۱۳، این صنعت شاهد تغییر رویکردهای کمتر امضایی برای مسئله ای است که قادر به شناسایی و کاهش حملات صفر روز است. رویکردهای بی شماری برای پرداختن به این اشکال جدید تهدیدات از جمله تشخیص رفتاری، هوش مصنوعی، یادگیری ماشین و منفجر شدن پرونده مبتنی بر ابر ظاهر شده‌است. به گفته گارتنر، پیش‌بینی می‌شود ظهور ورودی‌های جدید، از جمله Carbon Black , Cylance و Crowdstrike، شرکت کنندگان EPP را به مرحله جدیدی از نوآوری و کسب مجبور کند. یک روش از Bromium شامل میکرو مجازی سازی برای محافظت از رومیزی در برابر اجرای کد مخرب است که توسط کاربر نهایی آغاز می‌شود. رویکرد دیگر SentinelOne و Carbon Black بر ایجاد تشخیص رفتاری با ایجاد زمینه ای کامل در هر مسیر اجرای فرایند در زمان واقعی متمرکز است، در حالی که سیلانوس از مدل هوش مصنوعی مبتنی بر یادگیری ماشین استفاده می‌کند. به‌طور فزاینده، این رویکردهای کمتر امضا توسط رسانه‌ها و بنگاه‌های تحلیلی به عنوان آنتی‌ویروس «نسل بعدی» تعریف شده‌اند و شاهد تصویب سریع بازار به عنوان فن آوری‌های معتبر جایگزینی ضد ویروس توسط شرکت‌هایی مانند Coalfire و DirectDefense هستند. در پاسخ، فروشندگان آنتی‌ویروس‌های سنتی مانند Trend Micro , Symantec و Sophos با درج پیشنهادهای «نسل بعدی» در پرتفوی خود پاسخ داده‌اند زیرا شرکت‌های تحلیلگر مانند فارستر و گارتنر آنتی‌ویروس‌های سنتی مبتنی بر امضاها را «ناکارآمد» و «منسوخ» خوانده‌اند.

یکی از معدود نتایج نظری جامد در بررسی ویروس‌های رایانه ای، نشان دادن فردریک کوئن در ۱۹۸۷ است که هیچ الگوریتمی وجود ندارد که بتواند کاملاً ویروسهای احتمالی را تشخیص دهد. با این وجود، با استفاده از لایه‌های مختلف دفاعی، می‌توان میزان تشخیص خوبی حاصل کرد.

چندین روش وجود دارد که موتور آنتی‌ویروس می‌تواند برای شناسایی بدافزارها از آنها استفاده کند:

• تشخیص ماسهبازی: یک روش خاص برای شناسایی رفتار مبتنی بر رفتار است که به جای تشخیص اثر انگشت رفتاری در زمان اجرا، برنامه‌ها را در یک محیط مجازی اجرا می‌کند و آنچه را که برنامه انجام می‌دهد را ثبت می‌کند. بسته به اقدامات وارد شده، موتور آنتی‌ویروس می‌تواند تعیین کند که آیا این برنامه مخرب است یا خیر. اگر اینطور نباشد، این برنامه در محیط واقعی اجرا می‌شود. اگرچه این تکنیک با توجه به سنگینی و کندی آن بسیار مؤثر است، اما بندرت در راه حل‌های ضد ویروس کاربر نهایی استفاده می‌شود.
• تکنیک‌های داده کاوی: یکی از جدیدترین رویکردهای مورد استفاده در تشخیص بدافزارها. داده‌های داده کاوی و الگوریتم‌های یادگیری ماشینی برای تلاش برای طبقه‌بندی رفتار یک پرونده (به عنوان مخرب یا خوش‌خیم) با توجه به یک سری ویژگی‌های فایل، که از خود پرونده استخراج می‌شوند، استفاده می‌شود.

تشخیص مبتنی بر امضا

نرم‌افزار آنتی‌ویروس سنتی برای شناسایی بدافزار به شدت به امضاها متکی است.

به‌طور اساسی، هنگامی که یک بدافزار به دست یک شرکت آنتی‌ویروس می‌رسد، توسط محققان بدافزار یا سیستم‌های آنالیز پویا آنالیز می‌شود. سپس، پس از مشخص شدن بدافزار، امضای مناسب فایل استخراج شده و به پایگاه داده امضاهای نرم‌افزار آنتی‌ویروس اضافه می‌شود.

اگرچه رویکرد مبتنی بر امضا می‌تواند حاوی شیوع بدافزارها باشد، اما نویسندگان بدافزار سعی کرده‌اند با نوشتن "oligomorphic" , "polymorphic" و اخیراً ویروسهای "دگردیسی"، که بخشی از خود را رمزگذاری می‌کنند، قدم جلوتر از چنین نرم‌افزاری بمانند. خود را به عنوان روشی برای مبدل اصلاح کنید تا امضای ویروس در فرهنگ لغت مطابقت نداشته باشد.

اکتشافی

بسیاری از ویروس‌ها به عنوان یک عفونت واحد شروع می‌شوند و از طریق جهش یا اصلاح توسط مهاجمان دیگر، می‌توانند به ده‌ها سویه کمی متفاوت، به نام انواع مختلف تبدیل شوند. تشخیص عمومی به تشخیص و رفع تهدیدات متعدد با استفاده از یک تعریف ویروس واحد اشاره دارد.

به عنوان مثال، تروجان Vundo بسته به طبقه‌بندی فروشنده آنتی‌ویروس، دارای چندین عضو خانواده است. Symantec اعضای خانواده Vundo را به دو دسته مجزا، Trojan.Vundo و Trojan.Vundo.B طبقه‌بندی می‌کند.

در حالی که ممکن است شناسایی یک ویروس خاص سودمند باشد، اما می‌توان خانواده ویروس را از طریق امضای عمومی یا از طریق یک مسابقه غیرمستقیم به یک امضای موجود سریعتر تشخیص داد. محققان ویروس مناطق مشترکی را پیدا می‌کنند که همه ویروس‌های یک خانواده به‌طور منحصر به فرد در آن سهیم هستند و بنابراین می‌توانند یک امضای عمومی مشترک ایجاد کنند. این امضاها غالباً حاوی کد غیرهمگرا هستند و از شخصیت‌های کارت ویزیت که در آن اختلافات وجود دارد استفاده می‌کنند. این کارتهای وحشی به اسکنر این امکان را می‌دهد تا ویروس‌ها را حتی اگر با کد اضافی و بی‌معنی خالی باشد شناسایی کند. گفته می‌شود تشخیصی که از این روش استفاده می‌کند «کشف اکتشافی» است.

تشخیص روت کیت (Rootkit)

نرم‌افزار ضد ویروس می‌تواند برای اسکن کردن rootkits اقدام کند. rootkit نوعی نرم‌افزار مخرب است که برای بدست آوردن کنترل سطح اداری بر روی یک سیستم رایانه ای بدون اینکه شناسایی شود، طراحی شده‌است. Rootkits می‌تواند نحوه عملکرد سیستم عامل را تغییر دهد و در برخی موارد می‌تواند با برنامه ضد ویروس دستکاری کرده و آن را ناکارآمد کند. حذف Rootkits نیز دشوار است، در بعضی موارد نیاز به نصب مجدد کامل سیستم عامل است.

محافظت از زمان واقعی

محافظت در زمان واقعی، اسکن از دسترسی، محافظ پس زمینه، سپر ساکن، محافظت از خودکار و سایر مترادف‌ها به حفاظت خودکار ارائه شده توسط اکثر آنتی‌ویروس‌ها، ضد جاسوس افزارها و سایر برنامه‌های ضد بدافزار اشاره دارد. این سیستم سیستم‌های رایانه ای را برای فعالیت‌های مشکوک مانند ویروس‌های رایانه ای، نرم‌افزارهای جاسوسی، نرم‌افزارهای تبلیغاتی مزاحم و سایر اشیاء مخرب در «زمان واقعی» نظارت می‌کند، به عبارت دیگر در حالی که داده‌های موجود در حافظه فعال رایانه: هنگام وارد کردن CD، باز کردن ایمیل یا مرور وب یا هنگامی که یک پرونده در رایانه باز یا اجرا شده‌است.

هزینه‌های تجدید غیرمنتظره

برخی از موافقت نامه‌های مجوز کاربر نهایی نرم‌افزار ضد ویروس شامل بندهایی هستند که اشتراک به‌طور خودکار تمدید می‌شود و کارت اعتباری خریدار به صورت خودکار در زمان تمدید بدون تأیید صریح صورتحساب می‌شود. به عنوان مثال، مک آفی از کاربران می‌خواهد حداقل ۶۰ روز قبل از انقضاء اشتراک فعلی، اشتراک خود را لغو کنند در حالی که BitDefender 30 روز قبل از تمدید، اعلان‌هایی را برای لغو اشتراک در این زمینه ارسال می‌کند. Norton AntiVirus همچنین اشتراک‌ها را بصورت پیش فرض به‌طور خودکار تجدید می‌کند.

برنامه‌های امنیتی سرکش

برخی از برنامه‌های آنتی‌ویروس آشکار در واقع تروجان به عنوان یک نرم‌افزار مجاز، مانند WinFixer , MS Antivirus و Mac Defender در معرض خطر قرار دارند.

مشکلات ناشی از مثبت کاذب

«نادرست مثبت» یا «هشدار کاذب» وقتی است که نرم‌افزار آنتی‌ویروس یک پرونده غیر مخرب را به عنوان بدافزار شناسایی می‌کند. وقتی این اتفاق بیفتد، می‌تواند مشکلات جدی ایجاد کند. به عنوان مثال، اگر یک برنامه آنتی‌ویروس پیکربندی شده‌است که بلافاصله پرونده‌های آلوده را حذف یا قرنطینه کند، همان‌طور که در برنامه‌های آنتی‌ویروس مایکروسافت ویندوز معمول است، یک مثبت کاذب در یک فایل ضروری می‌تواند سیستم عامل ویندوز یا برخی برنامه‌ها را غیرقابل استفاده کند. بازیابی چنین آسیب‌هایی در زیرساخت‌های نرم‌افزاری بحرانی، هزینه‌های پشتیبانی فنی را متحمل می‌شود و شرکت‌ها می‌توانند مجبور به بستن شوند در حالی که اقدامات درمانی انجام شده‌است.

نمونه‌هایی از موارد مثبت مثبت:

• مه ۲۰۰۷: امضای ویروس معیوب صادر شده توسط Symantec به اشتباه اشتباه پرونده‌های سیستم عامل اصلی را حذف کرد، و هزاران رایانه شخصی را قادر به راه اندازی نکرد.
• مه ۲۰۰۷: پرونده اجرایی مورد نیاز Pegasus Mail در ویندوز توسط نورتون آنتی‌ویروس به عنوان یک تروجان به اشتباه تشخیص داده شد و به‌طور خودکار حذف شد، و مانع از اجرای Pegasus Mail شد. Norton AntiVirus سه نسخه منتشر شده از Pegasus Mail را بدرستی شناسایی کرده بود و پرونده نصب Pegasus Mail را در صورت وقوع حذف می‌کند. در پاسخ به این ایمیل Pegasus اظهار داشت:

بر این اساس که Norton / Symantec این کار را برای هر یک از سه نسخه آخر Pegasus Mail انجام داده‌است، ما فقط می‌توانیم این محصول را به عنوان استفاده بیش از حد بی عیب و نقص محکوم کنیم و با قوی‌ترین توصیه توصیه می‌کنیم که کاربران ما استفاده از آن را به نفع جایگزین متوقف کنند. بسته‌های ضد ویروس با حشره کمتری

• آوریل ۲۰۱۰: McAfee VirusScan svchost.exe، یک باینری معمولی ویندوز، را به عنوان ویروس روی دستگاه‌های دارای Windows XP با Service Pack 3 شناسایی کرد و باعث یک حلقه راه اندازی مجدد و از دست رفتن دسترسی به شبکه شد.
  آنتی‌ویروس مک آفی
• دسامبر ۲۰۱۰: به روزرسانی معیوب در مجموعه ضد ویروس AVG، نسخه‌های ۶۴ بیتی ویندوز ۷ را خراب کرد و به دلیل داشتن یک حلقه بوت بی پایان ایجاد شده، قادر به بوت شدن نیست.
• اکتبر 2011: Microsoft Security Essentials (MSE) مرورگر وب Google Chrome را رقیب اینترنت اکسپلورر خود مایکروسافت کرد. MSE از Chrome به عنوان یک تروجان بانکی Zbot پرچم گذاری کرد.
• سپتامبر ۲۰۱۲: مجموعه ضد ویروس Sophos سازوکارهای مختلف بروزرسانی، از جمله نوع خود، را به عنوان بدافزار شناسایی کرد. اگر پیکربندی شده بود که به‌طور خودکار پرونده‌های شناسایی شده را حذف کندlll, Sophos Antivirus می‌تواند خود را قادر به به روزرسانی نکند، برای رفع مشکل نیاز به مداخله دستی دارد.
• سپتامبر ۲۰۱۷: آنتی‌ویروس Google Play Protect شناسایی برنامه Moto G4 Bluetooth Motorola به عنوان بدافزار را آغاز کرد و باعث می‌شود عملکرد بلوتوث غیرفعال شود.

مسائل مربوط به سیستم و قابلیت همکاری

اجرای (محافظت در زمان واقعی) چندین برنامه آنتی‌ویروس به‌طور همزمان می‌تواند عملکرد را کاهش داده و درگیری ایجاد کند. با این حال، با استفاده از یک مفهوم به نام multiscanning، چندین شرکت (از جمله نرم‌افزار G Data و Microsoft) برنامه‌هایی ایجاد کرده‌اند که می‌توانند همزمان چندین موتور را اجرا کنند.

بعضی اوقات لازم است هنگام نصب به روزرسانی‌های اصلی مانند Windows Service Pack یا به روزرسانی درایورهای کارت گرافیک، محافظت از ویروس را به‌طور موقت غیرفعال کنید. محافظت از آنتی‌ویروس فعال ممکن است تا حدی یا کاملاً مانع از نصب یک بروزرسانی بزرگ شود. نرم‌افزار ضد ویروس می‌تواند هنگام نصب یک سیستم عامل ارتقاء سیستم عامل، به عنوان مثال مشکلاتی ایجاد کند. هنگام به روزرسانی به نسخه جدید Windows «در محل» - با پاک کردن نسخه قبلی ویندوز. مایکروسافت توصیه می‌کند تا نرم‌افزار ضد ویروس غیرفعال شود تا از درگیری با روند نصب به روزرسانی جلوگیری کند. نرم‌افزار ضد ویروس فعال همچنین می‌تواند در فرایند بروزرسانی سیستم عامل اختلال ایجاد کند.

عملکرد چند برنامه رایانه ای را می‌توان با نرم‌افزار فعال ضد ویروس مختل کرد. به عنوان مثال، TrueCrypt، یک برنامه رمزگذاری دیسک، در صفحه عیب‌یابی خود اعلام می‌کند که برنامه‌های ضد ویروس می‌توانند با TrueCrypt در تضاد بوده و باعث نقص آن شوند یا بسیار کند عمل کنند. نرم‌افزار ضد ویروس می‌تواند عملکرد و پایداری بازی‌های در حال اجرا در سکوی Steam را مختل کند.

مشکلات پشتیبانی همچنین در مورد قابلیت همکاری برنامه آنتی‌ویروس با راه حل‌های رایج مانند دسترسی از راه دور SSL VPN و محصولات کنترل دسترسی به شبکه وجود دارد. این راه حل‌های فناوری اغلب دارای برنامه‌های ارزیابی سیاست هستند که به نصب و راه اندازی آنتی‌ویروس به روز نیاز دارند. اگر برنامه آنتی‌ویروس با ارزیابی خط مشی شناخته نشود، چه بخاطر اینکه برنامه آنتی‌ویروس به روز شده باشد یا بخاطر اینکه جزئی از کتابخانه ارزیابی خط مشی نیست، کاربر قادر به اتصال نخواهد بود.

اثربخشی

مطالعات انجام شده در دسامبر ۲۰۰۷ نشان داد که کارایی نرم‌افزار آنتی‌ویروس در سال گذشته کاهش یافته‌است، به ویژه در مقابل حملات ناشناخته یا صفر روز. مجله رایانه متوجه نشده‌است که میزان ردیابی این تهدیدات از ۴۰–۵۰٪ در سال ۲۰۰۶ به ۲۰ تا ۳۰٪ در سال ۲۰۰۷ کاهش یافته‌است. در آن زمان، تنها استثنا آنتی‌ویروس NOD32 بود، که میزان تشخیص آن ۶۸٪ بود. . براساس وب سایت ردیاب ZeuS، میانگین میزان ردیابی برای انواع مختلف تروجان مشهور ZeuS به میزان ۴۰ درصد است.

مشکل با تغییر هدف نویسندگان ویروس بزرگتر می‌شود. چند سال پیش واضح بود که عفونت ویروس وجود دارد. در آن زمان، ویروس‌ها توسط آماتورها نوشته شده و رفتارهای مخرب یا پاپ آپ‌ها را به نمایش می‌گذاشتند. ویروس‌های مدرن اغلب توسط متخصصان نوشته می‌شوند، که توسط سازمان‌های جنایی تأمین می‌شوند.

در سال ۲۰۰۸، اوا چن، مدیرعامل Trend Micro اظهار داشت که صنعت ضد ویروس بیش از حد کاربرد محصولات خود را افزایش داده و سالهاست که مشتریان را گمراه کرده‌است.

آزمایش مستقل در تمام اسکنرهای اصلی ویروس به‌طور مداوم نشان می‌دهد که هیچ‌یک تشخیص ۱۰۰٪ ویروس را ارائه نمی‌دهند. بهترین آنهایی که تشخیص ۹۹٫۹٪ در موقعیت‌های شبیه‌سازی شده در دنیای واقعی داشتند، در حالی که کمترین آن ۹۱٫۱٪ را در تست‌های انجام شده در اوت ۲۰۱۳ انجام داده‌است. بسیاری از اسکنرهای ویروس نتایج مثبت کاذب و همچنین شناسایی پرونده‌های خوش‌خیم را به عنوان بدافزار ارائه می‌دهند.

اگرچه این روشها ممکن است متفاوت باشند، برخی از آژانس‌های تست کیفیت قابل توجه مستقل شامل AV-Comparatives، آزمایشگاه‌های ICSA، آزمایشگاه‌های ساحل غربی، بولتن ویروس، AV-TEST و سایر اعضای سازمان استاندارد تست‌های ضد بدافزار هستند.

ویروس‌های جدید

برنامه‌های ضد ویروس همیشه در برابر ویروس‌های جدید مؤثر نیستند، حتی آنهایی که از روش‌های غیر امضایی استفاده می‌کنند که باید ویروس‌های جدید را تشخیص دهند. دلیل این امر این است که طراحان ویروس ویروس‌های جدید خود را بر روی برنامه‌های اصلی ضد ویروس آزمایش می‌کنند تا مطمئن شوند که قبل از رها شدن آنها به سمت وحشی شناسایی نشده‌اند.

برخی از ویروس‌های جدید، به ویژه باج افزار، از کد چندشکلی استفاده می‌کنند تا از شناسایی اسکنرهای ویروس جلوگیری کنند. جروم سگورا، یک تحلیلگر امنیتی با ParetoLogic، توضیح داد:

این چیزی است که آنها زمان زیادی را از دست می‌دهند، زیرا این نوع [ویروس ransomware] از سایت‌هایی تهیه می‌شود که از پلی مورفیسم استفاده می‌کنند، به این معنی که آنها اساساً پرونده ای را که برای شما ارسال می‌کنند تصادفی می‌کنند و به راحتی توسط آنتی‌ویروس‌های معروف شناخته می‌شوند. من دیده‌ام که مردم دست اول آلوده می‌شوند، همه پاپ آپ می‌کنند و هنوز نرم‌افزار آنتی‌ویروس در حال اجرا هستند و چیزی را کشف نمی‌کنند. در واقع خلاص شدن از این نیز می‌تواند بسیار سخت باشد و هرگز مطمئن نیستید که واقعاً از بین رفته‌است. وقتی چیزی شبیه به آن را می‌بینیم، معمولاً توصیه می‌کنیم سیستم عامل را مجدداً نصب کنید یا از پشتیبان‌گیری مجدداً نصب کنید.

اثبات ویروس مفهومی از واحد پردازش گرافیک (GPU) برای جلوگیری از شناسایی نرم‌افزارهای ضد ویروس استفاده کرده‌است. موفقیت احتمالی این امر شامل دور زدن CPU به منظور آن است که محققان امنیتی بتوانند عملکرد داخلی چنین بدافزارها را تجزیه و تحلیل کنند.

روتکیت

تشخیص ریشه‌ها یک چالش مهم برای برنامه‌های ضد ویروس است. Rootkits دسترسی کامل به رایانه دارند و برای کاربران نامرئی هستند و از لیست فرآیندهای در حال اجرا در مدیر وظیفه مخفی هستند. Rootkits می‌تواند عملکرد داخلی سیستم عامل را تغییر داده و برنامه‌های آنتی‌ویروس را دستکاری کند.

پرونده‌های آسیب دیده

اگر یک فایل به ویروس رایانه ای آلوده شده باشد، نرم‌افزار ضد ویروس سعی خواهد کرد تا هنگام ضد عفونی کردن، ویروس کد را از پرونده خارج کند، اما همیشه نمی‌تواند پرونده را به وضعیت آسیب دیده خود برگرداند. در چنین شرایطی، پرونده‌های آسیب دیده فقط می‌توانند از پشتیبان‌گیری‌های موجود یا کپی‌های سایه بازیابی شوند (این مورد در مورد باج افزار نیز صادق است)؛ نرم‌افزار نصب شده آسیب دیده نیاز به نصب مجدد دارد (با این وجود، به پرونده فایل سیستم مراجعه کنید).

عفونت‌های سیستم عامل

هر سیستم عامل قابل نوشتن در رایانه می‌تواند توسط کد مخرب آلوده شود. این یک نگرانی عمده است، زیرا یک بایوس آلوده آلوده می‌تواند برای اطمینان از حذف کامل کد مخرب، نیاز به تراشه واقعی BIOS داشته باشد. نرم‌افزار ضد ویروس در محافظت از سیستم عامل و BIOS مادربرد از عفونت مؤثر نیست. در سال ۲۰۱۴، محققان امنیتی دریافتند که دستگاه‌های USB حاوی سیستم عامل قابل ویرایش هستند که می‌توانند با کد مخرب (با نام "BadUSB") اصلاح شوند، که هیچ ضد ویروسی قادر به شناسایی یا جلوگیری از آن نیست. کد مخرب می‌تواند بر روی کامپیوتر غیرقابل اجرا باشد و حتی می‌تواند سیستم عامل را قبل از بوت شدن آلوده کند.

نرم‌افزار آنتی‌ویروس دارای اشکالاتی است که در مرحله اول می‌تواند عملکرد کامپیوتر را تحت تأثیر قرار دهد.

علاوه بر این، کاربران بی تجربه می‌توانند در هنگام استفاده از رایانه، احساس غلط امنیتی را از بین ببرند و رایانه‌های آنها را غیرقابل نفوذ بدانند، و ممکن است در درک پیام‌ها و تصمیماتی که نرم‌افزار آنتی‌ویروس برای آنها ارائه می‌دهد، دچار مشکل شوند. یک تصمیم نادرست ممکن است منجر به نقض امنیت شود. اگر نرم‌افزار آنتی‌ویروس از روش تشخیص اکتشاف پذیر استفاده می‌کند، باید مرتباً تنظیم شود تا نرم‌افزارهای بی‌ضرر را به عنوان مخرب (نادرست مثبت) به حداقل رساند.

خود نرم‌افزار آنتی‌ویروس معمولاً در سطح قابل اعتماد هسته سیستم عامل اجرا می‌شود تا به آن اجازه دسترسی به کلیه پروسه‌ها و پرونده‌های مخرب بالقوه را بدهد و یک مسیر حمله بالقوه ایجاد کند. آژانس امنیت ملی ایالات متحده (NSA) و ستاد ارتباطات دولت انگلیس (GCHQ) به ترتیب، از نرم‌افزار ضد ویروس برای جاسوسی از کاربران سوء استفاده کرده‌اند. نرم‌افزار ضد ویروس دارای دسترسی بسیار ممتاز و قابل اعتماد به سیستم عامل زیرین است و همین امر باعث می‌شود تا برای حملات از راه دور به یک هدف بسیار جذاب تر تبدیل شود. علاوه بر این، نرم‌افزار ضد ویروس «سالها پشت برنامه‌های طرفدار سرویس گیرنده آگاهانه از قبیل مرورگرها یا خواننده اسناد است. این بدان معنی است که Acrobat Reader , Microsoft Word یا Google Chrome برای بهره‌برداری از ۹۰ درصد از محصولات ضد ویروس موجود در آنجا سخت‌تر هستند»، به گفته Joxean Koret، یک محقق با Coseinc، مشاور امنیت امنیت اطلاعات مستقر در سنگاپور.

در اوایل سال ۱۴۰۱، شرکت امنیت سایبری سنتینل‌وان گزارشی را منتشر کرد که در بخشی از آن به سوءاستفاده گروهی از مهاجمان از برخی برندهای ضدویروس اشاره شده است. بر اساس گزارش مذکور، مهاجمان با اکسپلویت آسیب‌پذیری DLL Hijacking از دسترسی بالای محصولات امنیتی بر روی دستگاه قربانی جهت فراخوانی ابزارهای مخرب PlugX و Shadowpad در حافظه و در ادامه اجرای آنها بهره‌جویی می‌کنند. در عین حال، امنیت سایبری سنتینل‌وان خاطر نشان کرده اشکالی که مهاجمان را قادر به انجام این اقدام کرده بیشتر از آن که متوجه شرکت‌های سازنده این محصولات باشد از نبود سازوکار حفاظتی کافی در سیستم عامل ویندوز در برابر حملات DLL Search Order Hijacking ناشی می‌شود.

نرم‌افزار آنتی‌ویروس که روی رایانه‌های شخصی اجرا می‌شود، رایج‌ترین روشی است که از محافظت در برابر بدافزارها محافظت می‌کند، اما این تنها راه حل نیست. راه حل‌های دیگر همچنین می‌تواند توسط کاربران به کار رود، از جمله مدیریت یکپارچه تهدید (UTM)، سخت‌افزار و فایروال‌های شبکه ، آنتی‌ویروس مبتنی بر ابر و اسکنر آنلاین.

فایروال سخت‌افزار و شبکه

فایروال‌های شبکه از دسترسی برنامه‌ها و فرآیندهای ناشناخته به سیستم جلوگیری می‌کنند. با این حال، آنها سیستم‌های ضد ویروس نیستند و هیچ تلاشی برای شناسایی یا حذف هر چیزی نمی‌کنند. آنها ممکن است در مقابل آلودگی از خارج از رایانه یا شبکه محافظت شده محافظت کنند، و فعالیتهای نرم‌افزاری مخرب موجود را با مسدود کردن درخواستهای ورودی یا خروجی در پورت‌های TCP / IP خاص محدود کنند. یک فایروال برای مقابله با تهدیدهای گسترده‌تر سیستم که از اتصالات شبکه به سیستم وارد می‌شوند طراحی شده‌است و جایگزینی برای سیستم حفاظت از ویروس نیست.

آنتی‌ویروس ابر

آنتی‌ویروس Cloud یک فناوری است که از نرم‌افزار عامل سبک‌وزن بر روی رایانه محافظت شده استفاده می‌کند، در حالی که اکثر تجزیه و تحلیل داده‌ها را به زیرساخت ارائه دهنده بارگذاری می‌کند.

یک روش برای اجرای آنتی‌ویروس ابری شامل اسکن پرونده‌های مشکوک با استفاده از چندین موتور آنتی‌ویروس است. این روش با اجرای اولیه مفهوم آنتی‌ویروس ابری به نام CloudAV پیشنهاد شده‌است. CloudAV برای ارسال برنامه‌ها یا اسناد به ابر شبکه طراحی شده‌است که در آن از چندین آنتی‌ویروس و برنامه‌های تشخیص رفتاری به‌طور همزمان به منظور بهبود نرخ تشخیص استفاده می‌شود. اسکن موازی پرونده‌ها با استفاده از اسکنرهای آنتی‌ویروس بالقوه ناسازگار با تخم ریزی یک ماشین مجازی در هر موتور شناسایی و در نتیجه رفع هرگونه مشکل احتمالی حاصل می‌شود. CloudAV همچنین می‌تواند «شناسایی گذشته نگر» را انجام دهد، به موجب آن موتور تشخیص ابر هنگام شناسایی یک تهدید جدید، کلیه پرونده‌های موجود در تاریخ دسترسی به پرونده خود را نجات می‌دهد، بنابراین سرعت جدید شناسایی تهدید را بهبود می‌بخشد. سرانجام، CloudAV راه حلی برای اسکن ویروس‌های مؤثر در دستگاه‌هایی است که فاقد قدرت محاسباتی برای انجام خود اسکن‌ها هستند.

برخی از نمونه محصولات ضد ویروس ابر عبارتند از: Panda Cloud Antivirus , Crowdstrike , Cb Defense و Immunet. گروه Comodo همچنین ضد ویروس مبتنی بر ابر تولید کرده‌است.

اسکن آنلاین

برخی از فروشندگان آنتی‌ویروس وب سایتهایی را با قابلیت اسکن آنلاین رایگان از کل رایانه، فقط مناطق بحرانی، دیسک‌های محلی، پوشه‌ها یا پرونده‌ها حفظ می‌کنند. اسکن آنلاین دوره ای ایده خوبی برای کسانی است که برنامه‌های آنتی‌ویروس را در رایانه‌های خود اجرا می‌کنند زیرا این برنامه‌ها برای گرفتن تهدیدات بسیار کند هستند. یکی از اولین کارهایی که نرم‌افزارهای مخرب در هنگام حمله انجام می‌دهند غیرفعال کردن هرگونه نرم‌افزار ضد ویروس موجود است و گاهی اوقات تنها راه اطلاع از حمله، روی آوردن به یک منبع آنلاین است که بر روی کامپیوتر آلوده نصب نشده‌است.

ابزارهای تخصصی

ابزارهای حذف ویروس برای کمک به از بین بردن عفونت‌های سرسختانه یا انواع خاصی از عفونت در دسترس هستند. به عنوان مثال می‌توان به Avast Free Anti-Malware، ابزار حذف نرم‌افزارهای مخرب رایگان AVG و ابزار حذف Avira AntiVir اشاره کرد. همچنین شایان ذکر است که گاهی اوقات نرم‌افزار آنتی‌ویروس می‌تواند نتیجه مثبت کاذب ایجاد کند و نشان دهنده عفونت در جایی که وجود ندارد.

دیسک نجات قابل بوت شدن، مانند CD یا دستگاه ذخیره‌سازی USB، می‌تواند برای اجرای نرم‌افزار آنتی‌ویروس در خارج از سیستم عامل نصب شده، به منظور از بین بردن عفونت‌ها در حالی که خفته هستند، استفاده شود. یک دیسک ضد ویروس قابل بوت می‌تواند زمانی مفید باشد که به عنوان مثال، سیستم عامل نصب شده دیگر قابل راه اندازی نباشد یا دارای بدافزار باشد که در برابر تمام تلاش برای حذف توسط نرم‌افزار آنتی‌ویروس نصب شده مقاومت می‌کند. نمونه‌هایی از برخی از این دیسک‌های قابل بوت شامل CD Bitdefender Rescue , Kaspersky Rescue Disk 2018 و Windows Defender Offline (از زمان بروزرسانی سالگرد در ویندوز ۱۰). بسیاری از نرم‌افزارهای Rescue CD را می‌توان روی دستگاه ذخیره USB نیز نصب کرد، که در رایانه‌های جدید قابل بوت شدن است.

براساس بررسی FBI، مشاغل بزرگ سالانه ۱۲ میلیون دلار از دست می‌دهند که با حوادث ویروس مقابله می‌کنند. در یک نظرسنجی توسط Symantec در سال ۲۰۰۹ مشخص شد که یک سوم از مشاغل متوسط و کوچک در آن زمان از ضد ویروس استفاده نمی‌کنند، در حالی که بیش از ۸۰٪ از کاربران خانگی نوعی آنتی‌ویروس نصب کرده‌اند. طبق یک نظرسنجی جامعه شناختی که توسط نرم‌افزار G Data در سال ۲۰۱۰ انجام شده‌است، ۴۹٪ از خانم‌ها به هیچ وجه از برنامه آنتی‌ویروس استفاده نمی‌کردند.

• فهرست نرم‌افزارهای ضدویروس
• رده:نرم‌افزارهای ضد ویروس
• مقایسه نرم‌افزارهای ضدبدافزار
• بدافزار
• دیوار آتش
• ئی‌آی‌سی‌ای‌آر
• امنیت اینترنت
• بدافزار لینوکس
• جعبه شنی (امنیت رایانه)
• قرنطینه (رایانه)