Čeprav se računalniki morda zdijo briljantni, so v bistvu neinteligentni stroji, ki se zanašajo na navodila, ki jih ljudje ustvarijo za njihovo delo. Virusi so programi, zaradi katerih računalniki izvajajo navodila, ki lahko škodijo njim in vašim podatkom. Razvijalci programske opreme ustvarjajo vedenjske in hevristične protivirusne programe, ki uporabljajo različne metode za odkrivanje in odpravljanje virusov in drugih oblik zlonamerne programske opreme, ki lahko okužijo vaš računalnik.
Baze virusov in podpisi kod
Windows Defender, varnostna aplikacija, ki jo dobite z operacijskim sistemom Windows, prepozna sumljiv program tako, da ga preveri glede na bazo podatkov, ki jo vzdržuje Microsoft. Varnostni programi, ki se zanašajo na podatkovne baze za informacije o zlonamerni programski opremi, jih pogosto preverjajo, ker ljudje neprestano ustvarjajo nove viruse. Številni protivirusni programi prepoznajo grožnje s preučevanjem njihovih "podpisov". Podpis je podoben prstnemu odtisu: predstavlja določen nabor značilnosti datoteke, ki drugim pomagajo identificirati datoteko.
Vedenjsko odkrivanje
Protivirusni program za odkrivanje vedenja deluje kot policist, ki išče osumljenca čudno vedenje. Če namestite protivirusno aplikacijo, ki uporablja zaznavanje vedenja, ta opazuje vaš operacijski sistem in išče sumljive dogodke. Če je na primer protivirusni program poskušal spremeniti ali spremeniti datoteko ali komunicirati prek spleta, lahko ukrepa in vas opozori na grožnjo. Prav tako lahko blokira grožnjo, odvisno od tega, kako prilagodite njene varnostne nastavitve.
Hevristično odkrivanje
Protivirusne aplikacije, ki uporabljajo hevristiko, so podobne programom za odkrivanje na podlagi podpisov. Zlonamerno programsko opremo skušajo prepoznati s preučevanjem kode v virusnem programu in analizo strukture programa. Hevristična protivirusna aplikacija s to metodo zaznavanja lahko zažene postopek, ki simulira dejansko izvajanje kode, ki jo preiskuje. Ko to stori, skuša protivirusna aplikacija prepoznati dodatno logiko kode, ki bi ji lahko pomagala ugotoviti, ali domnevni virus resnično ogroža.
Spremembe vzorca kode
Ker protivirusni programi, ki uporabljajo zaznavanje vedenja, iščejo sumljivo vedenje v potencialnem virusu, lahko prepoznajo grožnje, ki jih nekateri hevristični protivirusni programi lahko zamudijo. Predpostavimo na primer, da hevristična baza podatkov vsebuje kodni vzorec, ki je sestavljen iz A-B-B-A. Če ustvarjalci virusa spremenijo svojo kodo tako, da se vzorec spremeni v A-A-B-B, hevristična protivirusna aplikacija morda ne bo zaznala te spremenjene različice.
Premisleki
Lažno pozitivno pride, ko vas protivirusni program obvesti, da je program nevaren, čeprav ni. Zaznavanje zlonamerne programske opreme z uporabo hevrističnih metod pogosto poveča število primerov lažno pozitivnih rezultatov. Tudi hevristični protivirusni programi lahko trajajo več časa za skeniranje datotek kot programi, ki uporabljajo zaznavanje vedenja. Številni sodobni protivirusni programi uporabljajo hevristiko in vedenjske metode za zaščito računalnikov pred zlonamerno programsko opremo.