|
|
Postoji više načina za otkrivanje virusa. Ovdje navodimo neke od najčešćih:
Otkrivanje virusa pomoću popisa virusa
U ovakvom pristupu otkrivanja virusa kada antivirusni softver pregledava datoteku koristi se popisom poznatih virusa koje je identificirao autor antivirusnog softvera. Ako dio koda u datoteci odgovara bilo kojem identificiranom virusu s popisa, tada antivirusni softver briše datoteku ili ju stavlja u karantenu kako bi bila nedostupna ostalim programima pa se virus ne može širiti. Antivirusni softver ju također može i pokušati popraviti odstranjujući sam virus iz datoteke.
Kako bi pristup uklanjanja virusa uz pomoć popisa bio dugoročno uspješan, popis virusa se mora redovito obnavljati putem downloada. Kako se "u divljini stalno pojavljuju novi virusi, društveno savjesni i tehnički potkovani korisnici mogu slati svoje inficirane datoteke autorima antivirusnog softvera koji tada uključuju informacije o novim virusima u njihove popise.
Antivirusni softver koji se temelji na popisu virusa pregledava datoteke kada računalni operativni sustav stvara, otvara, zatvara ili šalje datoteke putem e-maila. Na taj način poznati virus može biti detektiran odmah po prispjeću. Ovaj se softver može podesiti i za redovito skeniranje korisnikovog tvrdog diska.
Iako se ova metoda smatra učinkovitom, autori virusa su pokušali ići korak naprijed pišući polimorfne viruse koji enkriptiraju svoje dijelove ili koriste nekakvu modifikaciju kao metodu prikrivanja kako ne bi odgovarali vlastitom potpisu na popisu virusa.
Pristup na temelju sumnjivog ponašanja
Pristup na temelju sumnjivog ponašanja ne pokušava otkriti poznate viruse nego promatra ponašanje svih programa. Ako neki program pokuša zapisati podatke u npr. izvršni program to se označava kao sumnjivo ponašanje te se obavještava korisnik i pita ga se za rješenje.
Za razliku od pristupa koji se temelji na popisu virusa, pristup na temelju sumnjivog ponašanja nudi zaštitu od najnovijih virusa koji se još ne nalaze na popisima virusa. Međutim, taj pristup ima puno lažnih dojava pa korisnici s vremenom postaju manje oprezni. Ako korisnik klikne "Accept" na svako takvo upozorenje, tada je očito antivirusni softver u potpunosti beskoristan. Taj se problem naročito pogoršao u posljednjih 7 godina jer mnogi nemaliciozni programi modificiraju ostale .exe datoteke bez obzira na problem lažnih dojava. Zbog toga većina modernog antivirusnog softvera sve manje koristi ovu tehniku.
Ostali načini otkrivanja virusa
Neki od antivirusnih softvera pokušavaju imitirati početak koda svake nove izvršne datoteke koja se izvršava prije nego što dobije prave ovlasti za to. Ako se ustanovi da program koristi samomodificirajući kod ili se na bilo koji način ponaša kao virus (pokušava naći druge izvršne datoteke), pretpostavlja se da je izvršna datoteka zaražena virusom. Međutim, ova metoda rezultira i mnogim lažnim dojavama.
Još jedna metoda za detektiranje virusa naziva se sandbox (posuda s pijeskom, sito). Sandbox oponaša operativni sustav i pokreće izvršne datoteke u toj simulaciji. Nakon što se programi izvrše, sandbox se pregledava u potrazi za promjenama koje upućuju na viruse. Ovakav tip otkrivanja virusa se često, zbog pitanja performansi, provodi tijekom skeniranja na zahtijev.