Технология проактивной защиты в современных антивирусах работает следующим образом: антивирусная программа анализирует код проверяемого объекта и/или поведение запущенного приложения, а потом на основе заложенных в ней правил принимает решение о том, является ли данное программное обеспечение вредоносным. 5

Некоторые технологии проактивной защиты:

• Эвристический анализ. 15 Позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность. 1
• Эмуляция кода. 1 Технология позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. 1 При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором. 1
• Анализ поведения. 12 Технология основывается на перехвате всех важных системных функций или установке мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. 1 Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. 1
• Sandboxing (песочница) — ограничение привилегий выполнения. 12 Технология работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. 1 Ограничение активности достигается за счёт выполнения неизвестных приложений в ограниченной среде — песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. 1
• Виртуализация рабочего окружения. 12 Технология работает с помощью системного драйвера, который перехватывает все запросы на запись на жёсткий диск и вместо выполнения записи на реальный жёсткий диск выполняет запись в специальную дисковую область — буфер. 1 Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживёт не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера. 1

Как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, всё более и более изощрённых вредоносных программ. 1