Антивирус может начать свою работу при совершении нескольких событий: запуск системы, попытка доступа к системным файлам и других. Для отслеживания таких событий используются две группы методов:
- Методы отслеживания поведения программ при их выполнении. Когда программа собирается выполнить подозрительное действие, антивирус замечает это и выдает пользователю предупреждение - разрешить или нет.
- Методы регламентации работы с файлами. В данном случае речь идет уже непосредственно о критически важных файлах для системы или тех файлах. Когда антивирус замечает запрос на доступ к таким файлам, он может предупредить об этом пользователя или отправить программу в "карантин".
Если же требуется сканирование, то оно происходит по двум сценариям:
- Методом сканирования сигнатур. Антивирус ищет уникальную последовательность байтов характерную для вирусов на основе своей базы данных.
- Методом сканирования команд. Антивирус ищет в файле подозрительные команды.
#полезно
