Heuristisk-baseret påvisning
Den mest almindelige form for detektion er en heuristisk-baseret detektion, der bruger en algoritme til at sammenligne signaturen af kendte virus mod en potentiel trussel. Heuristisk-baseret detektion kan registrere virus, der endnu ikke er opdaget. Det kan også opdage kendte vira, der er blevet modificeret eller forklædt, og frigivet til naturen igen.
Heuristisk-baseret scanning er den mest kendte metode til at registrere nye vira, men kan også generere falske positive kampe, hvilket betyder, at en antivirusscanner kan rapportere en fil som smittet, der ikke er inficeret.
Signaturbaseret eller virus ordbog afsløring
Hver antivirus scanner har en virusdefinitionsfil, database eller ordbog, der indeholder tusindvis af kendte virus signaturer. Disse underskrifter gør det muligt for et antivirusprogram at identificere tidligere virus, der er blevet analyseret af sikkerhedsfolk. I dag er der godt over 100.000 forskellige kendte virus signaturer, som kan bruges til sammenligning.
Signaturbaseret detektering er en glimrende måde at forhindre tidligere kendte virus og er den bedste metode til påvisning uden at skabe en falsk advarsel. Signaturbaseret detektering kan dog ikke registrere nye vira, indtil definitionfilen er opdateret med nye virusoplysninger.
Adfærdsbaseret afsløring
Hvis en virus har gjort det forbi ovenstående detekteringer, analyserer antivirusprogrammet opførelsen af programmer, der kører på computeren. Hvis et program begynder at udføre underlige handlinger, kan antivirusprogrammet udløse en advarsel. Nogle af de mærkelige handlinger eller adfærd, antivirusklikerne til, er angivet nedenfor.
- Ændring af indstillinger af andre programmer
- Ændring eller sletning snesevis af filer
- Overvågning af tastetryk
- Fjernforbindelse til computere
Adfærdsbaseret afsløring er en nyttig metode til at finde virus eller anden malware, der forsøger at stjæle eller logge oplysninger. Men mange programmer skal i dag rapportere til en online server eller log tastetryk for at forhindre online snyding, nogle gange forårsager denne type detektion at skabe falske advarsler.
Sandkasse detektion
Hvis et program er mistænkt, kan nogle antivirusprogrammer også bruge sandsynlighedsdetektering, hvilket skaber et emuleret miljø for at programmet kan køre og analysere dets adfærd. Hvis programmet ser ud til at udføre ødelæggende eller unormal adfærd, når den udføres i det omgivede miljø, advarsler brugeren, før den kører den på computeren.
Cloud antivirus detektion
Cloud-antivirus-detektion bruger en klient på computeren, der indsamler oplysninger, som derefter uploades til og behandles af en server i skyen. Ved at køre all detektion på serveren spares din computer yderligere behandling. Cloud antivirus kræver en internetforbindelse.
Komplet system scanning
Endelig er en fuld systemscanning eller individuel filscanning en manuel handling, som en bruger kan tage for at scanne alle filer på deres computer. For at køre denne type scan skal du åbne antivirusprogrammet og vælge indstillingen for at udføre en fuld systemscanning eller højreklikke på en fil, du vil scanne, og vælg muligheden for at scanne filen.
En fuld scanning skal ikke være nødvendig, hvis et antivirusprogram har kørt på din computer og overvåger ændringer. Men hvis din computer virker mistænkelig eller en ny antivirusscanner er installeret, er det ikke en dårlig idé at køre en fuld scanning. Husk at da næsten alle filer ses under en fuld system scan, at disse scanninger kan tage overalt mellem 20 minutter og flere timer for at fuldføre.