Евристичне виявлення
Найбільш поширеною формою виявлення є евристичне виявлення, яке використовує алгоритм для порівняння підпису відомих вірусів з потенційною загрозою. Евристичне виявлення може виявити ще не виявлені віруси. Він також може виявити відомі віруси, які були модифіковані або замасковані, і знову звільнені в дику природу.
Евристичне сканування є найбільш відомим методом для виявлення нових вірусів, але також може генерувати помилкові збіги, що означає, що антивірусний сканер може повідомити, що файл інфікований, що не заражено.
Виявлення підпису або словника вірусів
Кожен антивірусний сканер має файл визначення вірусів, базу даних або словник, що містить тисячі відомих підписів вірусів. Ці підписи дозволяють антивірусній програмі ідентифікувати попередні віруси, які були проаналізовані фахівцями з безпеки. Сьогодні для порівняння можна використати понад 100 000 різних відомих вірусних сигнатур.
Виявлення на основі підпису є відмінним способом запобігання відомих вірусів і є найкращим методом виявлення без створення помилкового попередження. Проте виявлення на основі підписів не може виявити нові віруси, поки файл визначення не буде оновлений новими вірусними даними.
Виявлення на основі поведінки
Якщо вірус пройшов вищезазначені виявлення, антивірус аналізує поведінку програм, запущених на комп'ютері. Якщо програма починає виконувати дивні дії, антивірус може викликати попередження. Деякі з дивних дій або поведінки антивірусних годин наведено нижче.
- Зміна налаштувань інших програм
- Зміна або видалення десятків файлів
- Моніторинг натискань клавіш
- Дистанційне підключення до комп'ютерів
Виявлення на основі поведінки є корисним методом пошуку вірусів або інших шкідливих програм, які намагаються викрасти або зареєструвати інформацію. Проте сьогодні багато програм потрібно повідомити в онлайн-сервер або натиснути клавіші журналу, щоб запобігти онлайн-обманюванню, іноді викликаючи цей тип виявлення для створення помилкових попереджень.
Виявлення пісочниці
Якщо програма є підозрілою, деякі антивірусні програми також можуть використовувати виявлення пісочниці, що створює середовище для емуляції програми для виконання та аналізу її поведінки. Якщо при виконанні в середовищі емуляції програма виявляє деструктивну або ненормальну поведінку, антивірус попереджає користувача перед його запуском на комп'ютері.
Виявлення антивірусів у хмарі
Виявлення хмарного антивірусу використовує клієнт на комп'ютері, який збирає інформацію, яка потім завантажується на сервер і обробляється в хмарі. Запускаючи всі виявлення на сервері, ваш комп'ютер позбавляється додаткової обробки. Хмарні антивіруси вимагають підключення до Інтернету.
Повна перевірка системи
Нарешті, повне сканування системи або сканування окремих файлів - це ручна дія, яку користувач може виконати для сканування всіх файлів на своєму комп'ютері. Щоб запустити цей тип сканування, необхідно відкрити антивірусну програму і вибрати опцію для повної перевірки системи або клацнути правою кнопкою миші файл, який потрібно сканувати, і вибрати опцію сканування файлу.
Повне сканування не повинно бути необхідним, якщо на вашому комп'ютері запущено антивірусну програму та відстежено зміни. Однак, якщо ваш комп'ютер працює підозріло або встановлено новий антивірусний сканер, не дуже погано запускати повне сканування. Майте на увазі, що після перегляду майже всіх файлів під час повної перевірки системи ці сканування можуть тривати від 20 хвилин до декількох годин.