Как работает технология эвристического сканирования в антивирусах?

Эвристическое сканирование (эвристический анализ) в антивирусах направлено на обнаружение вредоносных программ, которые не зафиксированы в вирусных базах данных. ru.ruwiki.ru ru.wikipedia.org

Один из методов работы технологии (статический эвристический анализ): www.kaspersky.ru

1. Антивирусная программа декомпилирует подозрительную программу и проверяет её исходный код. www.kaspersky.ru en.wikipedia.org
2. Этот код сравнивается с уже известными вирусами, которые находятся в эвристической базе данных. www.kaspersky.ru
3. Если определённый процент исходного кода совпадает с кодом из базы данных, программа помечается как возможная угроза. www.kaspersky.ru

Другой метод (динамическая эвристика): www.kaspersky.ru

1. Подозрительная программа или фрагмент кода изолируется внутри специализированной виртуальной машины («песочницы»). www.kaspersky.ru
2. Антивирусная программа тестирует код и моделирует, что произойдёт, если разрешить запуск подозрительного файла. www.kaspersky.ru
3. Программа проверяет каждую команду при её активации и ищет любые подозрительные действия, такие как саморепликация, перезапись файлов и другие действия, характерные для вирусов. www.kaspersky.ru

Поскольку эвристический анализ базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя. ru.ruwiki.ru