Макар компютрите да изглеждат блестящи, в основата си те са неинтелигентни машини, които разчитат на инструкции, които хората създават, за да ги накарат да работят. Вирусите са програми, които карат компютрите да изпълняват инструкции, които могат да навредят на тях и на вашите данни. Разработчиците на софтуер създават поведенчески и евристични антивирусни приложения, които използват различни методи за откриване и елиминиране на вируси и други форми на зловреден софтуер, които могат да заразят компютъра ви.
Бази данни за вируси и подписи на кодове
Windows Defender, приложение за защита, което се доставя с Windows, идентифицира подозрителна програма, като проверява програмата спрямо база данни, която поддържа Microsoft. Програмите за сигурност, които разчитат на бази данни за информация за злонамерен софтуер, ги проверяват често, защото хората непрекъснато създават нови вируси. Много антивирусни програми идентифицират заплахите, като изследват техните „подписи“. Подписът е подобен на пръстов отпечатък: той представлява специфичен набор от характеристики на файла, които помагат на другите да идентифицират файла.
Поведенческо откриване
Антивирусната програма за откриване на поведение работи като полицай, който търси странно поведение на заподозрян. Ако инсталирате антивирусно приложение, което използва откриване на поведение, то наблюдава вашата операционна система, търсейки подозрителни събития. Например, ако антивирусната програма е свидетел на опит за промяна или модификация на файл или комуникация през мрежата, тя може да предприеме действия и да ви предупреди за заплахата. Той може също да блокира заплахата в зависимост от това как коригирате настройките й за сигурност.
Евристично откриване
Антивирусните приложения, които използват евристика, са подобни на базираните на подпис програми за откриване. Те се стремят да идентифицират зловреден софтуер, като изследват кода във вирусна програма и анализират структурата на програмата. Евристично антивирусно приложение, използващо този метод за откриване, може да стартира процес, който симулира действително стартиране на кода, който изследва. Когато го направи, антивирусното приложение се стреми да идентифицира допълнителна кодова логика, която може да му помогне да определи дали предполагаемият вирус наистина е заплаха.
Промени в модела на кода
Тъй като антивирусните програми, които използват откриване на поведение, търсят подозрително поведение в потенциален вирус, те могат да идентифицират заплахи, които някои евристични антивирусни програми могат да пропуснат. Да приемем например, че евристичната база данни съдържа кодов модел, който се състои от A-B-B-A. Ако създателите на вируса модифицират своя код, така че моделът да се промени на A-A-B-B, евристично антивирусно приложение може да не открие тази модифицирана версия.
Съображения
Фалшиво положително възниква, когато антивирусна програма ви информира, че дадена програма е опасна, въпреки че не е. Откриването на злонамерен софтуер с помощта на евристични методи често увеличава броя на инцидентите с фалшиви положителни резултати. Също така може да отнеме повече време на евристичните антивирусни програми да сканират файлове, отколкото на програми, които използват откриване на поведение. Много съвременни антивирусни програми използват както евристика, така и поведенчески методи за защита на компютрите от злонамерен софтуер.