мар
23
б) Метод обнаружение нестандартного поведения приложений
Антивирусы, которые обладают возможностью использовать метод обнаружения нестандартного поведения приложений, не предпринимают попытки идентифицировать ранее известные вирусы, но они отслеживают действия всех приложений. Если какое-либо приложение пытается внести изменения в .exe файл, то антивирусная программа может выделить этот файл и выдать оповещение пользователю о возможной угрозе. В современное время подобные методы поиска вредоносного кода в различном виде, применяются в виде отдельного модуля антивирусного приложения, а не как самостоятельный продукт. Модуль может называться: поведенческий блокиратор, проактивная защита и тд. Метод обнаружения нестандартного поведения приложений отличается от метода поиска совпадений определения вируса в специальных базах тем, что первый метод является более эффективным, ведь он предоставляет защиту от вредоносных программ, которые еще не присутствуют в базах антивирусов. Но следует знать, что модули и программы, которые построены на основании данного метода, отличаются тем, что выдают множество оповещений, а значит, пользователь будет менее серьезно относиться к предупреждениям. Ситуация ухудшается еще и тем что в последнее время появляются не вредоносные приложения, которые модифицируют файлы .exe, невзирая на проблему ошибочных оповещений. Предупреждающие диалоги в современных антивирусах используются все чаще и чаще. Например, в 2006 году состоялась презентация сразу нескольких продуктов, которые использовали данный метод. Приложения, относящиеся к классу фаерволов, издавна обладают модулем, который позволяет обнаруживать нестандартное поведение программ.
в) Эмуляция как метод обнаружений вирусов
