Virus deteksjonsteknikker kan klassifiseres som følger:
Signatur-basert gjenkjenning
bruker viktige aspekter ved en kontrollert fil for å lage en statisk fingeravtrykk av kjent malware. Signaturen kan representere en serie byte i filen. Det kan også være en kryptografisk hash av filen eller dens seksjoner. Denne metoden for å oppdage ondsinnet programvare har vært en viktig del av antivirus-verktøy siden starten; det er fortsatt en del av mange verktøy til dags dato, selv om dens betydning er avtagende. En viktig begrensning av signaturbasert deteksjon er at, av seg selv, er denne metoden klarer å ondsinnet flagg filer som signaturer ennå ikke er utviklet. Med dette i bakhodet, moderne angripere ofte muterer sine kreasjoner å beholde ondsinnet funksjonalitet ved å endre filens signatur .
Heuristics-basert gjenkjenning
tar sikte på generelt å oppdage nye malware ved statisk undersøke filer for mistenkelige egenskaper uten en eksakt signatur kamp. For eksempel kan et antivirusverktøyet ser for tilstedeværelsen av sjeldne instrukser eller junk koden i undersøkes filen. Verktøyet kan også emulere kjøre filen for å se hva det ville gjøre hvis henrettet, forsøker å gjøre dette uten merkbart sakker systemet. En enkelt mistenkelig attributt er kanskje ikke nok til å flagge filen som ondsinnet. Men kanskje flere slike karakteristikker stige den forventede risikoterskel, ledende verktøy for å klassifisere filen som malware. Den største ulempen av heuristikk er det kan utilsiktet flagge lovlige filer som ondsinnet.
Behavioral deteksjon
observerer hvordan programmet utfører, snarere enn bare å emulere sin utførelse. Denne tilnærmingen forsøker å identifisere malware ved å se etter mistenkelig atferd, for eksempel utpakking av malcode, endre hosts-filen eller observerer tastetrykk. Legge merke til slike handlinger gjør en antivirus verktøy for å påvise tilstedeværelse av tidligere usett malware på den beskyttede system. Som med heuristikk, kan hver av disse handlingene i seg selv ikke være tilstrekkelig til å klassifisere program som malware. Men sett under ett, kan de være en indikasjon på et ondsinnet program. Bruken av atferdsteknikker bringer antivirus-verktøy nærmere kategorien vert Intrusion Prevention Systems (HIPS), som tradisjonelt har eksistert som en egen produktkategori.
Cloud-basert gjenkjenning
identifiserer malware ved å samle inn data fra beskyttede datamaskiner mens analysere den på leverandørens infrastruktur, i stedet for å utføre analysen lokalt. Dette gjøres vanligvis ved å fange de relevante opplysninger om filen og sammenheng med sin kjøring på endepunktet, og gi dem til skyen motor for behandling. Den lokale antivirusmiddel bare trenger å utføre minimal prosessering. Videre kan leverandørens sky motor utlede mønstre knyttet til malware egenskaper og atferd ved å korrelere data fra flere systemer. I motsetning til andre antivirus komponenter basis beslutninger for det meste på lokalt observert attributter og atferd. En sky-baserte motoren gjør at enkelte brukere av antivirusverktøyet til å dra nytte av erfaringene fra andre medlemmer av samfunnet.
Selv om tilnærminger ovenfor er oppført under enkelte overskrifter, skillene mellom ulike teknikker er ofte uskarpt. For eksempel begrepene " heuristikk-baserte " og " atferds deteksjon " brukes ofte om hverandre. I tillegg er disse metodene - samt deteksjon signatur - har en tendens til å spille en aktiv rolle når verktøyet omfatter skybaserte evner. For å holde tritt med den skjerpede flyt av malware prøver, antivirusleverandører har å innlemme flere lag i sine verktøy; stole på en enkelt tilnærming er ikke lenger et levedyktig alternativ
Mer fra Lenny Zeltser på antimalware
Video:. Custom kontekstspesifikke signaturer for hendelsesrespons I denne videoen, lære mer om hvordan å skape sammenheng -spesifikke antimalware signaturer innenfor en virksomhet kan bidra til å inneholde og utrydde malware utbrudd
Antimalware produkt suiter:. Forstå mulighetene og begrensningene i denne Information Security magasinet funksjonen, lære hvorfor de muligheter og begrensninger av komponenter som danner et foretak antimalware suite er avgjørende for å velge riktig produkt for din organisasjon, og å utlede verdi fra det.