Když počítačový virus napadne počítač, musí provést změny v souborech v počítači, v kritických oblastech, jako je například registr, nebo v částech paměti, aby se počítač rozšířil nebo poškodil. Antivirový program chrání počítač sledováním všech změn souborů a paměti pro specifické vzorce aktivity virů. Když jsou tyto známé nebo podezřelé vzory detekovány, antivirus upozorní uživatele na akci dříve, než budou provedeny. Níže je uveden seznam různých forem detekce virů, které může antivirový program použít k ochraně počítače.

Detekce založená na heuristice

Nejběžnější formou detekce je heuristická detekce, která používá algoritmus pro porovnání podpisu známých virů s potenciální hrozbou. Detekce založená na heuristice může detekovat viry, které dosud nebyly objeveny. Může také detekovat známé viry, které byly modifikovány nebo zamaskovány, a znovu uvolněny do volné přírody.

Skenování založené na heuristice je nejznámější metodou detekce nových virů, ale může také generovat falešně pozitivní shody, což znamená, že antivirový skener může nahlásit soubor jako infikovaný, který není infikován.

Detekce signatur nebo virových slovníků

Každý antivirový skener má soubor s definicí viru, databázi nebo slovník, který obsahuje tisíce známých podpisů virů. Tyto podpisy umožňují antivirovému programu identifikovat viry v minulosti, které byly analyzovány bezpečnostními profesionály. Dnes existuje více než 100 000 různých známých virových podpisů, které lze použít pro srovnání.

Detekce založená na podpisu je vynikajícím způsobem, jak předcházet známým virům v minulosti a je nejlepší metodou detekce bez vytvoření falešného varování. Detekce založená na podpisu však nemůže detekovat nové viry, dokud není definiční soubor aktualizován o nové informace o viru.

Detekce založená na chování

Pokud virus překonal výše uvedené detekce, antivirový program analyzuje chování programů spuštěných v počítači. Pokud program začne provádět zvláštní akce, může antivirový program spustit varování. Některé z podivných akcí nebo chování antivirových hodinek jsou uvedeny níže.

• Změna nastavení jiných programů
• Úprava nebo odstranění desítek souborů
• Sledování stisknutí kláves
• Vzdálené připojení k počítačům

Detekce založená na chování je užitečná metoda hledání virů nebo jiných škodlivých kódů, které se pokoušejí krást nebo zaznamenávat informace. Mnohé programy však dnes musí podat zprávy online serveru nebo stisku kláves, aby zabránily online podvádění, což někdy způsobuje, že tento typ detekce vytváří falešná varování.

Detekce karantény

Pokud je program podezřelý, některé antivirové programy mohou také použít detekci karantény, která vytvoří emulované prostředí pro spuštění programu a analýzu jeho chování. Pokud je program spuštěn v emulovaném prostředí, zdá se, že program provádí destruktivní nebo abnormální chování, antivirový program upozorní uživatele před jeho spuštěním v počítači.

Detekce antivirového cloudu

Detekce antivirového cloudu používá klienta v počítači, který shromažďuje informace, které jsou pak nahrány a zpracovány serverem v cloudu. Spuštěním veškeré detekce na serveru je počítač ušetřen dalšího zpracování. Cloud antivirus vyžaduje připojení k Internetu.

Úplná kontrola systému

Konečně, úplná kontrola systému nebo kontrola jednotlivých souborů je ruční akce, kterou může uživatel provést ke skenování všech souborů v počítači. Chcete-li spustit tento typ kontroly, je třeba otevřít antivirový program a vybrat možnost úplného prověřování systému nebo klepnout pravým tlačítkem myši na soubor, který chcete skenovat, a vybrat možnost skenování souboru.

Úplný sken by neměl být nutný, pokud na vašem počítači běží antivirový program a monitoruje změny. Pokud však váš počítač působí podezřele nebo byl nainstalován nový antivirový skener, není špatný nápad spustit úplnou kontrolu. Mějte na paměti, že vzhledem k tomu, že téměř všechny soubory jsou prohlédnuty v průběhu úplného skenování systému, mohou tyto kontroly trvat až 20 minut až několik hodin.