Beteende mot heuristisk antivirus

Medan datorer kan verka lysande, är de i grunden ointelligenta maskiner som förlitar sig på instruktioner som människor skapar för att få dem att fungera. Virus är program som får datorer att utföra instruktioner som kan skada dem och dina data. Programvaruutvecklare skapar beteendemässiga och heuristiska antivirusprogram som använder olika metoder för att upptäcka och eliminera virus och andra former av skadlig kod som kan infektera din dator.

Virusdatabaser och kodsignaturer

Windows Defender, en säkerhetsapp som medföljer Windows, identifierar ett misstänkt program genom att kontrollera programmet mot en databas som Microsoft underhåller. Säkerhetsprogram som är beroende av databaser för skadlig information kontrollerar dem ofta eftersom människor skapar nya virus kontinuerligt. Många antivirusprogram identifierar hot genom att undersöka deras "signaturer". En signatur liknar ett fingeravtryck: den representerar en specifik uppsättning av filens egenskaper som hjälper andra att identifiera filen.

Behavioral Detection

Ett antivirusprogram för beteendedetektering fungerar som en polis som letar efter udda beteenden hos en misstänkt. Om du installerar en antivirusapp som använder beteendedetektering, tittar den på ditt operativsystem och letar efter misstänkta händelser. Till exempel, om antivirusprogrammet bevittnar ett försök att ändra eller modifiera en fil eller kommunicera via Internet kan det vidta åtgärder och varna dig för hotet. Det kan också blockera hotet beroende på hur du justerar säkerhetsinställningarna.

Heuristisk detektion

Antivirusappar som använder heuristik liknar signaturbaserade detekteringsprogram. De försöker identifiera skadlig kod genom att undersöka koden i ett virusprogram och analysera programmets struktur. En heuristisk antivirusapp som använder den här detekteringsmetoden kan köra en process som simulerar att köra den kod som den granskar. När det gör det försöker antivirusappen att identifiera ytterligare kodlogik som kan hjälpa den att avgöra om det misstänkta viruset verkligen är ett hot.

Kodmönsterändringar

Eftersom antivirusprogram som använder beteendedetektering letar efter misstänkt beteende i ett potentiellt virus kan de identifiera hot som vissa heuristiska antivirusprogram kan missa. Antag till exempel att en heuristisk databas innehåller ett kodmönster som består av A-B-B-A. Om skaparna av ett virus modifierar sin kod så att mönstret ändras till A-A-B-B, kanske en heuristisk antivirusapp inte upptäcker den modifierade versionen.

Överväganden

Ett falskt positivt inträffar när ett antivirusprogram informerar dig om att ett program är farligt även om det inte är det. Detektering av skadlig programvara med hjälp av heuristiska metoder ökar ofta antalet incidenter av falska positiva effekter. Det kan också ta mer tid för heuristiska antivirusprogram att skanna filer än det som gör program som använder beteendedetektering. Många moderna antivirusprogram använder både heuristik och beteendemetoder för att skydda datorer från skadlig kod.