Ebben a fejezetben a hagyományos értelemben vett víruskeresőket szeretném összehasonlítani. Ezalatt azt értem, hogy a víruskeresőt kézzel kell futtatni, és az a megadott könyvtárakban végignézi a fájlokat, hogy talál-e bennük vírusokat. Nem akarom megint a Microsoftot hibáztatni, de a fertőzések megakadályozását leginkább az operációs rendszernek kéne végeznie.
Azért is a fájlokban (szektorokban) vírust kereső funkciót tartom a legfontosabbnak, mert lehetőség szerint a vírus elindulásának meg sem szabad történnie. Az integritásellenőrzők és vírusaktivitás-figyelők a védekezésnek a második vonalát képezik. Az első a bejövő hajlékonylemezek ellenőrzése.
A víruskeresőkkel szemben többféle elvárásunk lehet. A gyakorlatban nyilván fontos a sebesség, és a felhasználóbarát felület. Ha szigorúan a tudást nézzük, akkor elsősorban a felismert vírusok számára lehetünk kíváncsak.
Sajnos víruskeresőt elemezni nem könnyű feladat. A felismert vírusok száma semmit nem mond a termék használhatóságáról, főleg, ha ezeket az adatokat a gyártó adja meg. Könnyen lehet készíteni olyan víruskeresőt, amely sokezer szekvenciát keres, de mondjuk a polimorf vírusok felismerését kispórolták belőle. Az a víruskereső sem ér semmit, amely ugyan kiadásakor minden létező vírust ismer, de csak félévente jelenik meg belőle új verzió. Fél év alatt ugyanis egy vírus megszülethet, elterjedhet, és akár ki is halhat, bár ez utóbbi a gyakorlatban nem túl gyakori.
A felismerés megbízhatósága is nagyon fontos. Leginkább a polimorf vírusokkal kapcsolatban fordul elő, hogy egy adott víruskereső adott példányokat megtalál belőlük, adott példányokat nem. Alan Solomon írja le érdekesen[19], hogy mi ennek a veszélye: Ha a vírusirtó mondjuk a fertőzött fájlok 1%-át nem találja meg, akkor azok újra elterjesztik a vírust. A felhasználó ismét vírust írt, de most már az eredeti 1% mellett az új fertőzések 1%-a is felderítetlen marad. Ez így megy tovább, mígnem az összes fertőzött fájl abba az 1%-os kategóriába nem esik, amit a víruskereső nem tud kimutatni. Így a víruskereső nem jelez vírust, holott a winchester tele van vele.
A polimorf vírusok keresésével gyakran együtt jár a hamis pozitívok jelentése, azaz amikor ártatlan állományokban véli megtalálni a víruskereső a vírust. Néhány terméknél ez olyan gyakran előfordul, hogy a használati értéke ezáltal jelentősen csökken.
Talán a memóriában polimorf vírusokat már meg sem kellene említeni. A legtöbb víruskereső hagyományos szekvenciakeresést használ a memóriában, mellyel ezeket nem lehet megtalálni. A megoldás vagy egy szuper általános algoritmus, vagy vírusspecifikus kód. A vírusspecifikus kód további programsorokat és további hibalehetőségeket jelent. Ráadásul ezek a sorok csak bizonyos vírusok esetén futnak le, tehát nagy az esély, hogy a hibák észrevétlenek maradnak. Nem tudom, hogy kedvenc víruskeresőm, az F-PROT melyik megoldást választotta (gyanítom, hogy egyiket sem), de a korábban említett Pieck.4444 vírust nem találja meg a memóriában, és mivel az egy lopakodó vírus, ez egyben azt is jelenti, hogy a víruskereső a fájlokat is tisztának látja.
Az előző bekezdés tanulsága: ha igazán meg akarjuk tudni, hogy van-e ismert vírus a gépünkön, akkor azt vírusmentes rendszerlemezről indított vírusmentes víruskeresővel kell ellenőrizni, mert a memóriában megbúvó vírus meghamisíthatja az eredményeket. (Felmerül a kérdés, hogy hogyan tudjuk eldönteni egy rendszerlemezről, hogy vírusos-e. Ha nincs biztosan vírusmentes környezetünk, akkor sehogy.) Ugyanezen okoknál fogva, soha ne keressünk vírust Windows alatt! A kényelemnek az az ára, hogy a felismerés biztonsága sokat romlik.