Как работает поведенческий анализ в современных антивирусах?

Поведенческий анализ в современных антивирусах работает следующим образом: компоненты поведенческого контроля осуществляют мониторинг действий всех приложений в системе и блокируют действия, которые угрожают безопасности системы и её пользователям. www.comss.ru

Поведенческий анализ содержит базу данных наборов правил, которые определяют, какие действия должны быть разрешены или заблокированы для каждой программы. www.comss.ru Система защиты выполняет контроль и прекращает работу программ, которые могут выполнить потенциально опасное действие. www.comss.ru

Антивирус создаёт «песочницу» (sandbox) — изолированную среду, где запускает подозрительную программу. dzen.ru Он наблюдает за действиями программы, например: dzen.ru

• попытки модифицировать системные файлы; dzen.ru
• запуск сетевых соединений без разрешения; dzen.ru
• изменение других программ или внедрение в процессы. dzen.ru

Если определённое правило для действия программы в базе данных существует, оно используется для того чтобы либо разрешить, либо заблокировать действие. www.comss.ru Если какое-либо действие решено заблокировать, исполнение программного потока модифицируется таким образом, чтобы действие не выполнялось, и все параметры приложения меняются для того чтобы гарантировать безопасность. www.comss.ru Если действие программы разрешено набором правил, его выполнение происходит без изменений со стороны защиты. www.comss.ru

Иногда определённого правила для действия программы в базе данных не существует. www.comss.ru В таких случаях, в зависимости от настроек компонентов поведенческого контроля, пользователю либо предлагается принять решение, либо действие исполняется или блокируется в автоматическом режиме на основании информации эвристического анализа. www.comss.ru