防病毒程序是Windows计算机上必不可少的功能强大的软件。如果您想知道防病毒程序如何检测病毒，它们在您的计算机上做什么，以及您是否需要自己执行常规系统扫描，请继续阅读。

防病毒程序是多层安全策略的重要组成部分-即使您是智能计算机用户，浏览器、插件和Windows操作系统本身不断出现的漏洞也使防病毒保护变得重要。

访问时扫描

防病毒软件在计算机的后台运行，检查您打开的每个文件。这通常称为访问扫描、后台扫描、驻留扫描、实时保护等，具体取决于您的防病毒程序。

当您双击EXE文件时，该程序似乎会立即启动-但事实并非如此。您的防病毒软件首先会检查该程序，并将其与已知病毒、蠕虫和其他类型的恶意软件进行比较。您的防病毒软件还会执行“启发式”检查，即检查程序中可能指示新的未知病毒的不良行为类型。

防病毒程序还扫描可能包含病毒的其他类型的文件。例如，.zip存档文件可能包含压缩病毒，或者Word文档可能包含恶意宏。文件在使用时都会被扫描-例如，如果您下载了一个EXE文件，甚至在您打开它之前，它就会被立即扫描。

在不进行访问扫描的情况下使用杀毒软件是可能的，但这通常不是一个好主意--利用程序中的安全漏洞的病毒不会被扫描程序捕获。病毒感染了你的系统之后，就很难清除了。(也很难确定恶意软件是否已完全删除。)

全系统扫描

由于访问扫描，通常不需要运行全系统扫描。如果您将病毒下载到您的计算机上，您的防病毒程序将立即注意到-您不必首先手动启动扫描。

但是，全系统扫描对于某些事情可能很有用。当您刚刚安装了防病毒程序时，全面系统扫描会很有帮助-它可以确保您的计算机上没有潜伏的病毒。大多数防病毒程序设置计划的全系统扫描，通常是每周一次。这可确保使用最新的病毒定义文件扫描系统中的休眠病毒。

这些全磁盘扫描在修复计算机时也会很有帮助。如果要修复已感染病毒的计算机，将其硬盘插入另一台计算机并执行全系统病毒扫描(如果不是完全重新安装Windows)是很有用的。然而，当防病毒程序已经在保护您时，您通常不必自己运行全系统扫描-它总是在后台扫描，并进行自己的、定期的全系统扫描。

病毒定义

您的防病毒软件依赖于病毒定义来检测恶意软件。这就是为什么它会自动下载新的、更新的定义文件-每天一次，甚至更频繁。定义文件包含在野外遇到的病毒和其他恶意软件的签名。当防病毒程序扫描文件并注意到该文件与已知的恶意软件匹配时，防病毒程序会停止该文件的运行，将其置于“隔离”状态。根据防病毒程序的设置，如果您确信该文件为假阳性，防病毒程序可能会自动删除该文件，或者您也可以允许该文件运行。

反病毒公司必须不断更新最新的恶意软件，发布定义更新，以确保恶意软件被他们的程序捕获。反病毒实验室使用各种工具来分解病毒，在沙盒中运行它们，并及时发布更新，确保用户免受新恶意软件的攻击。

启发式

反病毒程序也使用启发式方法。启发式允许反病毒程序识别新的或修改过的恶意软件类型，即使没有病毒定义文件也是如此。例如，如果防病毒程序注意到系统上运行的程序试图打开系统上的每个EXE文件，并通过将原始程序的副本写入其中来感染该文件，则防病毒程序可以将该程序检测为一种新的未知类型的病毒。

没有一个杀毒软件是完美的。试探法不能太咄咄逼人，否则他们会把合法软件标记为病毒。

假阳性

由于存在大量的软件，防病毒程序可能偶尔会说某个文件是病毒，而它实际上是一个完全安全的文件。这被称为“假阳性”。有时，防病毒公司甚至会犯一些错误，例如将Windows系统文件、流行的第三方程序或他们自己的防病毒程序文件识别为病毒。这些误报可能会损害用户的系统--这样的错误通常会出现在新闻中，比如微软安全基本版(Microsoft Security Essentials)将谷歌Chrome识别为病毒，AVG损坏了64位版本的Windows 7，或者Sophos将自己识别为恶意软件。

启发式方法还会增加误报率。反病毒程序可能会注意到某个程序的行为类似于恶意程序，并将其识别为病毒。

尽管如此，假阳性在正常使用中还是相当少见的。如果您的防病毒软件说某个文件是恶意的，您通常应该相信它。如果你不确定某个文件是否真的是病毒，你可以试着把它上传到VirusTotal(现在归谷歌所有)。VirusTotal使用各种不同的防病毒产品扫描文件，并告诉您每个产品的说明。

检测率

不同的防病毒程序具有不同的检测率，病毒定义和启发式方法都涉及到这一点。一些防病毒公司可能拥有比竞争对手更有效的启发式方法，并发布更多病毒定义，从而导致更高的检测率。

一些组织定期对防病毒程序进行相互比较测试，比较它们在实际使用中的检测率。反病毒比较公司定期发布比较当前防病毒检测率状况的研究报告。检测率往往会随着时间的推移而波动-没有哪一种最好的产品会一直名列前茅。如果你真的想看看一个杀毒程序到底有多有效，哪些是最好的，那么检测率研究是值得一看的。

测试防病毒程序

如果您想测试防病毒程序是否工作正常，可以使用EICAR测试文件。EICAR文件是测试防病毒程序的标准方式-它实际上并不危险，但防病毒程序的行为就好像它很危险，将其标识为病毒。这允许您在不使用活动病毒的情况下测试防病毒程序响应。

防病毒程序是复杂的软件，可以就此主题撰写厚厚的书籍-但希望本文能让您快速了解基础知识。