Bihevioralni i heuristički antivirus

Iako se računala mogu činiti briljantnima, u svojoj su osnovi oni neinteligentni strojevi koji se oslanjaju na upute koje ljudi stvaraju kako bi ih natjerali da rade. Virusi su programi zbog kojih računala izvršavaju upute koje mogu naštetiti njima i vašim podacima. Programeri softvera stvaraju bihevioralne i heurističke antivirusne programe koji koriste različite metode za otkrivanje i uklanjanje virusa i drugih oblika zlonamjernog softvera koji mogu zaraziti vaše računalo.

Virusne baze podataka i potpisi koda

Windows Defender, sigurnosna aplikacija koja dolazi sa sustavom Windows, identificira sumnjiv program provjerom programa prema bazi podataka koju Microsoft održava. Sigurnosni programi koji se oslanjaju na baze podataka za informacije o zlonamjernom softveru često ih provjeravaju jer ljudi kontinuirano stvaraju nove viruse. Mnogi antivirusni programi prepoznaju prijetnje ispitivanjem njihovih "potpisa". Potpis je sličan otisku prsta: predstavlja određeni skup karakteristika datoteke koji pomažu drugima da je identificiraju.

Otkrivanje ponašanja

Protuvirusni program za otkrivanje ponašanja djeluje poput policajca koji traži neobično ponašanje osumnjičenog. Ako instalirate antivirusnu aplikaciju koja koristi otkrivanje ponašanja, ona promatra vaš operativni sustav tražeći sumnjive događaje. Na primjer, ako antivirusni program svjedoči pokušaju promjene ili modificiranja datoteke ili komunikacije putem weba, može poduzeti mjere i upozoriti vas na prijetnju. Također može blokirati prijetnju, ovisno o tome kako prilagodite sigurnosne postavke.

Heuristička detekcija

Protuvirusne aplikacije koje koriste heuristiku slične su programima za otkrivanje na temelju potpisa. Oni nastoje identificirati zlonamjerni softver ispitivanjem koda u virusnom programu i analizom strukture programa. Heuristička antivirusna aplikacija koja koristi ovu metodu otkrivanja može pokrenuti postupak koji simulira stvarno pokretanje koda koji ispituje. Kada to učini, antivirusna aplikacija pokušava identificirati dodatnu logiku koda koja bi joj mogla pomoći utvrditi je li sumnja na virus stvarno prijetnja.

Promjene uzorka koda

Budući da antivirusni programi koji koriste otkrivanje ponašanja traže sumnjivo ponašanje u potencijalnom virusu, mogu prepoznati prijetnje koje bi neki heuristički antivirusni programi mogli propustiti. Pretpostavimo, na primjer, da heuristička baza podataka sadrži obrazac koda koji se sastoji od A-B-B-A. Ako tvorci virusa izmijene svoj kôd tako da se obrazac promijeni u A-A-B-B, heuristička antivirusna aplikacija možda neće otkriti tu izmijenjenu verziju.

Razmatranja

Lažno pozitivno događa se kada vas antivirusni program obavijesti da je program opasan iako nije. Otkrivanje zlonamjernog softvera heurističkim metodama često povećava broj slučajeva lažno pozitivnih rezultata. Heurističkim antivirusnim programima također može trebati više vremena za skeniranje datoteka nego programima koji koriste otkrivanje ponašanja. Mnogi moderni antivirusni programi koriste i heuristiku i metode ponašanja kako bi zaštitili računala od zlonamjernog softvera.