Sebbene i computer possano sembrare brillanti, in fondo sono macchine poco intelligenti che si basano su istruzioni create dagli umani per farli funzionare. I virus sono programmi che fanno eseguire ai computer istruzioni che possono danneggiare loro e i tuoi dati. Gli sviluppatori di software creano applicazioni antivirus comportamentali ed euristiche che utilizzano metodi diversi per rilevare ed eliminare virus e altre forme di malware che potrebbero infettare il computer.
Database dei virus e firme del codice
Windows Defender, un'app di sicurezza fornita con Windows, identifica un programma sospetto confrontandolo con un database gestito da Microsoft. I programmi di sicurezza che si basano su database per le informazioni sui malware li controllano frequentemente perché le persone creano continuamente nuovi virus. Molti programmi antivirus identificano le minacce esaminando le loro "firme". Una firma è simile a un'impronta digitale: rappresenta un insieme specifico di caratteristiche di un file che aiutano gli altri a identificare il file.
Rilevamento comportamentale
Un programma antivirus di rilevamento comportamentale funziona come un agente di polizia alla ricerca di comportamenti strani in un sospetto. Se installi un'app antivirus che utilizza il rilevamento del comportamento, controlla il tuo sistema operativo alla ricerca di eventi sospetti. Ad esempio, se il programma antivirus rileva un tentativo di cambiare o modificare un file o comunicare tramite il Web, potrebbe agire e avvisarti della minaccia. Può anche bloccare la minaccia a seconda di come si regolano le sue impostazioni di sicurezza.
Rilevamento euristico
Le app antivirus che utilizzano l'euristica sono simili ai programmi di rilevamento basati su firme. Cercano di identificare il malware esaminando il codice in un programma antivirus e analizzando la struttura del programma. Un'app antivirus euristica che utilizza questo metodo di rilevamento potrebbe eseguire un processo che simula effettivamente l'esecuzione del codice che sta esaminando. Quando lo fa, l'app antivirus cerca di identificare la logica del codice aggiuntiva che può aiutarla a determinare se il virus sospetto è davvero una minaccia.
Modifiche al modello di codice
Poiché i programmi antivirus che utilizzano il rilevamento del comportamento cercano comportamenti sospetti in un potenziale virus, possono identificare le minacce che alcuni programmi antivirus euristici potrebbero non rilevare. Si supponga, ad esempio, che un database euristico contenga un modello di codice costituito da A-B-B-A. Se i creatori di un virus modificano il loro codice in modo che il pattern cambi in A-A-B-B, un'app antivirus euristica potrebbe non rilevare quella versione modificata.
Considerazioni
Un falso positivo si verifica quando un programma antivirus ti informa che un programma è pericoloso anche se non lo è. Il rilevamento di malware mediante metodi euristici spesso aumenta il numero di incidenti di falsi positivi. Inoltre, la scansione dei file può richiedere più tempo ai programmi antivirus euristici rispetto ai programmi che utilizzano il rilevamento del comportamento. Molti programmi antivirus moderni utilizzano metodi euristici e comportamentali per proteggere i computer dai malware.
