Antivírus comportamental vs. heurístico

Embora os computadores possam parecer brilhantes, em sua essência, eles são máquinas pouco inteligentes que dependem de instruções que os humanos criam para fazê-los funcionar. Os vírus são programas que fazem com que os computadores executem instruções que podem danificá-los e aos seus dados. Os desenvolvedores de software criam aplicativos antivírus comportamentais e heurísticos que usam métodos diferentes para detectar e eliminar vírus e outras formas de malware que podem infectar seu computador.

Bancos de dados de vírus e assinaturas de código

O Windows Defender, um aplicativo de segurança que vem com o Windows, identifica um programa suspeito verificando o programa em um banco de dados mantido pela Microsoft. Os programas de segurança que dependem de bancos de dados para obter informações sobre malware verificam-nos frequentemente porque as pessoas criam novos vírus continuamente. Muitos programas antivírus identificam ameaças examinando suas "assinaturas". Uma assinatura é semelhante a uma impressão digital: ela representa um conjunto específico de características de um arquivo que ajudam outras pessoas a identificar o arquivo.

Detecção Comportamental

Um programa antivírus de detecção comportamental funciona como um policial procurando um comportamento estranho em um suspeito. Se você instalar um aplicativo antivírus que usa detecção de comportamento, ele vigia seu sistema operacional, procurando por eventos suspeitos. Por exemplo, se o programa antivírus testemunhar uma tentativa de alterar ou modificar um arquivo ou se comunicar pela Web, ele pode agir e avisá-lo sobre a ameaça. Ele também pode bloquear a ameaça, dependendo de como você ajusta suas configurações de segurança.

Detecção Heurística

Os aplicativos antivírus que usam heurística são semelhantes aos programas de detecção baseados em assinatura. Eles procuram identificar malware examinando o código em um programa de vírus e analisando a estrutura do programa. Um aplicativo antivírus heurístico que usa este método de detecção pode executar um processo que simula a execução real do código que está examinando. Ao fazer isso, o aplicativo antivírus busca identificar lógica de código adicional que pode ajudá-lo a determinar se o vírus suspeito é realmente uma ameaça.

Mudanças no padrão de código

Como os programas antivírus que usam detecção de comportamento procuram comportamento suspeito em um vírus potencial, eles podem identificar ameaças que alguns programas antivírus heurísticos podem ignorar. Suponha, por exemplo, que um banco de dados heurístico contém um padrão de código que consiste em A-B-B-A. Se os criadores de um vírus modificarem seu código para que o padrão mude para A-A-B-B, um aplicativo antivírus heurístico pode não detectar essa versão modificada.

Considerações

Um falso positivo ocorre quando um programa antivírus informa que um programa é perigoso, embora não seja. A detecção de malware usando métodos heurísticos geralmente aumenta o número de incidentes de falsos positivos. Também pode levar mais tempo para que os programas antivírus heurísticos verifiquem os arquivos do que os programas que usam a detecção de comportamento. Muitos programas antivírus modernos usam métodos heurísticos e comportamentais para proteger os computadores contra malware.