Как работает технология проактивной защиты в современных антивирусах?

Технология проактивной защиты в современных антивирусах работает следующим образом: антивирусная программа анализирует код проверяемого объекта и/или поведение запущенного приложения, а потом на основе заложенных в ней правил принимает решение о том, является ли данное программное обеспечение вредоносным. www.interface.ru

Некоторые технологии проактивной защиты:

• Эвристический анализ. ru.wikipedia.org www.interface.ru Позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность. ru.wikipedia.org
• Эмуляция кода. ru.wikipedia.org Технология позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. ru.wikipedia.org При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором. ru.wikipedia.org
• Анализ поведения. ru.wikipedia.org ru.ruwiki.ru Технология основывается на перехвате всех важных системных функций или установке мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. ru.wikipedia.org Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. ru.wikipedia.org
• Sandboxing (песочница) — ограничение привилегий выполнения. ru.wikipedia.org ru.ruwiki.ru Технология работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. ru.wikipedia.org Ограничение активности достигается за счёт выполнения неизвестных приложений в ограниченной среде — песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. ru.wikipedia.org
• Виртуализация рабочего окружения. ru.wikipedia.org ru.ruwiki.ru Технология работает с помощью системного драйвера, который перехватывает все запросы на запись на жёсткий диск и вместо выполнения записи на реальный жёсткий диск выполняет запись в специальную дисковую область — буфер. ru.wikipedia.org Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживёт не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера. ru.wikipedia.org

Как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, всё более и более изощрённых вредоносных программ. ru.wikipedia.org