Lai arī datori var šķist izcili, tomēr pamatā tie ir neinteliģenti aparāti, kas paļaujas uz instrukcijām, kuras cilvēki izveido, lai tie darbotos. Vīrusi ir programmas, kas liek datoriem izpildīt instrukcijas, kas var kaitēt tiem un jūsu datiem. Programmatūras izstrādātāji izveido uzvedības un heiristiskas pretvīrusu lietojumprogrammas, kas izmanto dažādas metodes vīrusu un cita veida ļaunprātīgas programmatūras noteikšanai un novēršanai, kas var inficēt jūsu datoru.
Vīrusu datu bāzes un kodu paraksti
Windows Defender - drošības lietotne, kas nāk ar Windows, identificē aizdomīgu programmu, pārbaudot programmu, salīdzinot ar Microsoft uzturēto datu bāzi. Drošības programmas, kuru pamatā ir datu bāzes, lai iegūtu informāciju par ļaunprātīgu programmatūru, tās bieži pārbauda, jo cilvēki nepārtraukti rada jaunus vīrusus. Daudzas pretvīrusu programmas identificē draudus, pārbaudot to "parakstus". Paraksts ir līdzīgs pirksta nospiedumam: tas attēlo noteiktu faila īpašību kopumu, kas palīdz citiem identificēt failu.
Uzvedības noteikšana
Uzvedības noteikšanas antivīrusu programma darbojas tāpat kā policists, kurš aizdomās turētajam meklē savādu uzvedību. Ja instalējat pretvīrusu lietotni, kas izmanto uzvedības noteikšanu, tā vēro jūsu operētājsistēmu, meklējot aizdomīgus notikumus. Piemēram, ja antivīrusu programma ir mēģinājums mainīt vai pārveidot failu vai sazināties tīmeklī, tā var rīkoties un brīdināt jūs par draudiem. Tas var arī bloķēt draudus atkarībā no tā, kā pielāgojat tā drošības iestatījumus.
Heiristiskā noteikšana
Antivīrusu lietotnes, kas izmanto heiristiku, ir līdzīgas parakstu noteikšanas programmām. Viņi mēģina identificēt ļaunprātīgu programmatūru, pārbaudot vīrusu programmas kodu un analizējot programmas struktūru. Heiristiskā antivīrusu lietotne, izmantojot šo noteikšanas metodi, var palaist procesu, kas simulē tā pārbaudāmā koda faktisko palaišanu. To darot, antivīrusu lietotne mēģina noteikt papildu koda loģiku, kas var palīdzēt tai noteikt, vai aizdomas par vīrusu patiešām ir drauds.
Kodu modeļa izmaiņas
Tā kā pretvīrusu programmas, kas izmanto uzvedības noteikšanu, meklē aizdomīgu rīcību potenciālā vīrusā, tās var identificēt draudus, kurus dažas heiristiskas antivīrusu programmas var palaist garām. Pieņemsim, piemēram, ka heiristiskā datu bāze satur koda modeli, kas sastāv no A-B-B-A. Ja vīrusa radītāji modificē savu kodu tā, lai modelis mainītos uz A-A-B-B, heiristiska antivīrusu lietotne, iespējams, neatpazīs šo modificēto versiju.
Apsvērumi
Viltus pozitīvs gadījums rodas, ja antivīrusu programma informē, ka programma ir bīstama, kaut arī tā nav. Ļaunprātīgas programmatūras noteikšana, izmantojot heiristiskas metodes, bieži palielina viltus pozitīvu gadījumu skaitu. Var paiet arī vairāk laika, lai heiristiskās antivīrusu programmas skenētu failus, nekā programmām, kas izmanto uzvedības noteikšanu. Daudzas mūsdienu antivīrusu programmas izmanto gan heiristiku, gan uzvedības metodes, lai pasargātu datorus no ļaunprātīgas programmatūras.