אנטי-וירוס התנהגותי לעומת היוריסטי

מחשבים אמנם נראים מבריקים, אך בבסיסם הם מכונות לא אינטליגנטיות הנשענות על הוראות שבני אדם יוצרים בכדי לגרום להם לעבוד. נגיפים הם תוכנות שגורמות למחשבים לבצע הוראות העלולות לפגוע בהם ובנתונים שלך. מפתחי תוכנה יוצרים יישומי אנטי-וירוס התנהגותיים והיסטוריים המשתמשים בשיטות שונות כדי לאתר ולמנוע וירוסים וצורות אחרות של תוכנות זדוניות העלולות להדביק את המחשב שלך.

מאגרי וירוסים וחתימות קוד

Windows Defender, אפליקציית אבטחה שמגיעה עם Windows, מזהה תוכנית חשודה על ידי בדיקת התוכנית מול בסיס נתונים שמיקרוסופט מתחזקת. תוכניות אבטחה המסתמכות על מסדי נתונים למידע על תוכנות זדוניות בודקות אותן לעיתים קרובות מכיוון שאנשים יוצרים וירוסים חדשים ברציפות. תוכניות אנטי-וירוס רבות מזהות איומים על ידי בחינת "חתימותיהם". חתימה דומה לטביעת אצבע: היא מייצגת קבוצה ספציפית של מאפייני הקובץ שעוזרים לאחרים לזהות את הקובץ.

איתור התנהגותי

תוכנית אנטי-וירוס לגילוי התנהגות פועלת כמו שוטר המחפש התנהגות מוזרה אצל חשוד. אם אתה מתקין אפליקציית אנטי-וירוס המשתמשת בזיהוי התנהגות, היא צופה במערכת ההפעלה שלך ומחפשת אירועים חשודים. לדוגמה, אם תוכנית האנטי-וירוס עדה לניסיון לשנות או לשנות קובץ או לתקשר דרך האינטרנט, היא עשויה לנקוט בפעולה ולהזהיר אותך מפני האיום. זה עלול גם לחסום את האיום בהתאם לאופן שבו תתאימו את הגדרות האבטחה שלו.

זיהוי היוריסטי

אפליקציות אנטי-וירוס המשתמשות ביוריסטיקה דומות לתוכניות איתור מבוססות חתימות. הם מבקשים לזהות תוכנות זדוניות על ידי בחינת הקוד בתוכנית וירוסים וניתוח מבנה התוכנית. אפליקציית אנטי-וירוס היוריסטית בשיטת זיהוי זו עשויה להריץ תהליך המדמה את הפעלת הקוד שהוא בודק. כאשר היא עושה זאת, אפליקציית האנטי-וירוס מבקשת לזהות היגיון קוד נוסף שעשוי לעזור לה לקבוע אם הנגיף החשוד באמת מהווה איום.

שינויים בתבנית קוד

מכיוון שתוכניות אנטי-וירוס המשתמשות בזיהוי התנהגות מחפשות התנהגות חשודה בווירוס פוטנציאלי, הן יכולות לזהות איומים שחלק מתוכניות האנטי-וירוס ההיסטוריות עלולות להחמיץ. נניח, למשל, שמאגר מידע היוריסטי מכיל תבנית קוד המורכבת מ- A-B-B-A. אם יוצרי וירוס משנים את הקוד שלהם כך שהתבנית תשתנה ל- A-A-B-B, ייתכן שאפליקציית אנטי-וירוס היוריסטית לא תזהה את אותה גרסה שונה.

שיקולים

חיובי כוזב מתרחש כאשר תוכנית אנטי-וירוס מודיעה לך שתוכנית מסוכנת למרות שהיא לא. זיהוי תוכנות זדוניות בשיטות היוריסטיות מגדיל לעיתים קרובות את מספר המקרים של תוצאות חיוביות שגויות. זה יכול גם לקחת זמן רב יותר עבור תוכניות אנטי-וירוס היוריסטיות לסרוק קבצים מאשר לתוכניות המשתמשות בזיהוי התנהגות. תוכנות אנטי-וירוס מודרניות רבות משתמשות הן ביוריסטיקה והן בשיטות התנהגותיות כדי להגן על מחשבים מפני תוכנות זדוניות.