Контроль активности приложений в современных антивирусных системах работает на основе поведенческого анализа. 3

Антивирус содержит базу данных наборов правил, которые определяют, какие действия должны быть разрешены или заблокированы для каждой программы. 3 Система защиты контролирует работу программ и прекращает их, если они могут выполнить потенциально опасное действие. 3

Процесс происходит так: если для действия программы есть правило в базе данных, оно используется, чтобы разрешить или заблокировать действие. 3 Если действие решено заблокировать, исполнение программного потока модифицируется, чтобы оно не выполнялось, и все параметры приложения меняются для гарантии безопасности. 3 Если действие программы разрешено набором правил, оно выполняется без изменений со стороны защиты. 3

Иногда для действия программы нет определённого правила в базе данных. 3 В таких случаях, в зависимости от настроек компонентов поведенческого контроля, пользователю либо предлагается принять решение, либо действие исполняется или блокируется в автоматическом режиме на основании информации эвристического анализа. 3

Некоторые антивирусы позволяют установить степень защиты для поведенческого контроля. 3 Эта настройка определяет, какие действия приложений считаются потенциально опасными. 3 На низших уровнях защиты приложениям позволяется свободно выполнять практически все возможные действия, за исключением самых опасных. 3 На высших уровнях защита более жёсткая, программы находятся под тщательным наблюдением. 3

Также в антивирусных системах есть встроенная песочница — изолированная среда, в которой выполняется загрузка ненадёжной или подозрительной программы. 2 Доступ к реальной инфраструктуре в таком решении сильно ограничен. 2