Метод обнаружения подозрительного поведения
Метод обнаружения подозрительного поведения программы не пытается обозначить известные вирусы, а производит мониторинг поведения всех программ компьютера. Например, если какая-то программа пытается написать данные уже выполняемой программы, антивирус дает сигнал о подозрительном поведении, предупреждает пользователя и делает запрос на дальнейшие действия.
Тем самым метод обнаружения подозрительного поведения, в отличие от метода поиска по словарю, обеспечивает защиту от новейших вирусов, которых еще нет в словарных списках. Однако, данный метод также приводит к появлению множества «ложных» предупреждений, в результате чего пользователь вскоре теряет необходимую восприимчивость ко всем предупреждениям. Если же пользователь на каждый запрос кликает «разрешить», то в сущности работа антивирусной программы не приносит ни какой пользы. С 1997 года наблюдается ухудшение проблемы, так как все больше разработок безвредных программ модифицировали другие exe-файлы, не обращая должного внимания на появляющиеся ложные предупреждения. В связи с чем, в новейших антивирусных программах данный метод применяется все реже. Если вы решите скачать антивирус для андроид, то такого метода не будет вовсе.
Другие методы
Некоторые антивирусные программы используют другие виды эвристического анализа. Например, благодаря такому анализу, можно смоделировать начало кода каждой новой выполняемой программы, которая запрашивается системой до передачи управления данной программе.
Еще один идентифицируемый метод задействует песочницу. Песочница моделирует схему оперативной системы и запускает программы по данной модели. После того, как программа заканчивает работу, антивирус проверяет песочницу на наличие каких-либо изменений, которые с большой вероятностью означают заражение вирусом. Ввиду особенных параметров работы, на практике, данный метод используется во время сканирования по запросу. Такой метод может не справиться с поставленной задачей, так как вирусы могут оказаться недетерминированными. В результате, во время запуска смоделированной программы, они могут совершать различные действия или напротив бездействовать. Так что за одну попытку не удастся найти вирусы и проверка сайта на мошенничество не будет полностью осуществлена.
Некоторые программы поиска вирусов могут также предупредить пользователя о вероятности нахождения вируса в файле, происходящего от типа файла.