Hoewel computers misschien briljant lijken, zijn het in wezen onintelligente machines die vertrouwen op instructies die mensen creëren om ze te laten werken. Virussen zijn programma's die ervoor zorgen dat computers instructies uitvoeren die hen en uw gegevens kunnen schaden. Softwareontwikkelaars maken gedrags- en heuristische antivirusprogramma's die verschillende methoden gebruiken om virussen en andere vormen van malware die uw computer kunnen infecteren, te detecteren en te elimineren.
Virusdatabases en codehandtekeningen
Windows Defender, een beveiligingsapp die bij Windows wordt geleverd, identificeert een verdacht programma door het programma te vergelijken met een database die Microsoft bijhoudt. Beveiligingsprogramma's die afhankelijk zijn van databases voor malware-informatie, controleren deze regelmatig omdat mensen voortdurend nieuwe virussen maken. Veel antivirusprogramma's identificeren bedreigingen door hun "handtekeningen" te onderzoeken. Een handtekening is vergelijkbaar met een vingerafdruk: het vertegenwoordigt een specifieke reeks kenmerken van een bestand die anderen helpen het bestand te identificeren.
Gedragsdetectie
Een antivirusprogramma voor gedragsdetectie werkt als een politieagent die op zoek is naar vreemd gedrag bij een verdachte. Als u een antivirus-app installeert die gedragsdetectie gebruikt, houdt deze uw besturingssysteem in de gaten en zoekt naar verdachte gebeurtenissen. Als het antivirusprogramma bijvoorbeeld getuige is van een poging om een bestand te wijzigen of aan te passen of via het web te communiceren, kan het actie ondernemen en u waarschuwen voor de dreiging. Het kan ook de dreiging blokkeren, afhankelijk van hoe u de beveiligingsinstellingen aanpast.
Heuristische detectie
Antivirus-apps die heuristiek gebruiken, zijn vergelijkbaar met op handtekeningen gebaseerde detectieprogramma's. Ze proberen malware te identificeren door de code in een virusprogramma te onderzoeken en de structuur van het programma te analyseren. Een heuristische antivirus-app die deze detectiemethode gebruikt, kan een proces uitvoeren dat simuleert dat de code die het onderzoekt daadwerkelijk wordt uitgevoerd. Wanneer het dat doet, probeert de antivirus-app aanvullende codelogica te identificeren die kan helpen bepalen of het vermoedelijke virus echt een bedreiging is.
Wijzigingen in codepatroon
Omdat antivirusprogramma's die gedragsdetectie gebruiken, zoeken naar verdacht gedrag in een potentieel virus, kunnen ze bedreigingen identificeren die sommige heuristische antivirusprogramma's mogelijk over het hoofd zien. Stel bijvoorbeeld dat een heuristische database een codepatroon bevat dat bestaat uit A-B-B-A. Als de makers van een virus hun code wijzigen zodat het patroon verandert in A-A-B-B, kan een heuristische antivirus-app die gewijzigde versie mogelijk niet detecteren.
Overwegingen
Een false positive treedt op wanneer een antivirusprogramma u informeert dat een programma gevaarlijk is, ook al is dit niet het geval. Malwaredetectie met behulp van heuristische methoden verhoogt vaak het aantal incidenten met valse positieven. Het kan ook meer tijd kosten voor heuristische antivirusprogramma's om bestanden te scannen dan programma's die gedragsdetectie gebruiken. Veel moderne antivirusprogramma's gebruiken zowel heuristieken als gedragsmethoden om computers te beschermen tegen malware.