Behaviorální vs. heuristický antivirus

I když se počítače mohou zdát brilantní, ve svém jádru jsou to neinteligentní stroje, které se spoléhají na pokyny, které lidé vytvářejí, aby fungovaly. Viry jsou programy, které způsobují, že počítače provádějí pokyny, které mohou ublížit jim a vašim datům. Vývojáři softwaru vytvářejí behaviorální a heuristické antivirové aplikace, které používají různé metody k detekci a eliminaci virů a jiných forem malwaru, které mohou infikovat váš počítač.

Virové databáze a podpisy kódu

Windows Defender, bezpečnostní aplikace, která se dodává se systémem Windows, identifikuje podezřelý program kontrolou programu proti databázi, kterou Microsoft udržuje. Bezpečnostní programy, které spoléhají na informace o malwaru v databázích, je často kontrolují, protože lidé neustále vytvářejí nové viry. Mnoho antivirových programů identifikuje hrozby zkoumáním jejich „podpisů“. Podpis je podobný otisku prstu: představuje konkrétní sadu charakteristik souboru, která pomáhá ostatním soubor identifikovat.

Detekce chování

Antivirový program pro detekci chování funguje jako policista, který hledá podivné chování u podezřelého. Pokud nainstalujete antivirovou aplikaci, která používá detekci chování, sleduje váš operační systém a hledá podezřelé události. Pokud je například antivirový program svědkem pokusu změnit nebo upravit soubor nebo komunikovat přes web, může přijmout opatření a upozornit vás na hrozbu. Může také blokovat hrozbu v závislosti na tom, jak upravíte nastavení zabezpečení.

Heuristická detekce

Antivirové aplikace, které používají heuristiku, jsou podobné detekčním programům založeným na podpisu. Snaží se identifikovat malware zkoumáním kódu ve virovém programu a analýzou struktury programu. Heuristická antivirová aplikace používající tuto metodu detekce může spustit proces, který simuluje skutečné spuštění kódu, který zkoumá. Když to udělá, antivirová aplikace se snaží identifikovat další logiku kódu, která by jí mohla pomoci určit, zda je podezřelý virus skutečně hrozbou.

Změny kódu

Protože antivirové programy, které používají detekci chování, hledají podezřelé chování v potenciálním viru, mohou identifikovat hrozby, které mohou některým heuristickým antivirovým programům chybět. Předpokládejme například, že heuristická databáze obsahuje vzor kódu, který se skládá z A-B-B-A. Pokud tvůrci viru upraví svůj kód tak, aby se vzor změnil na A-A-B-B, heuristická antivirová aplikace nemusí tuto upravenou verzi detekovat.

Úvahy

Falešně pozitivní nález nastane, když vás antivirový program informuje, že program je nebezpečný, i když není. Detekce malwaru pomocí heuristických metod často zvyšuje počet případů falešných poplachů. Heuristickým antivirovým programům může také trvat déle, než prohledají soubory, než tomu může být u programů, které používají detekci chování. Mnoho moderních antivirových programů používá k ochraně počítačů před malwarem heuristiku a metody chování.