Метод знаходження підозрілої поведінки програм

Антивіруси, що використовують метод виявлення підозрілої поведінки програм не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку всіх програм. Якщо програма намагається записати якісь дані у виконуваний файл (exe-файл), програма-антивірус може помітити цей файл, попередити користувача і запитати що слід сделать. В даний час, подібні превентивні методи виявлення шкідливого коду, в тому чи іншому вигляді, широко застосовуються як модуль антивірусної програми, а не окремого продукта. Другіе назви: Проактивний захист, Поведінковий блокіратор, Host Intrusion Prevention System (HIPS). На відміну від методу пошуку відповідності визначенню вірусу в антивірусних базах, метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Проте слід враховувати, що програми або модулі, побудовані на цьому методі, видають також велику кількість попереджень (у деяких режимах роботи), що робить користувача мало сприйнятливим до всіх попереджень. Останнім часом ця проблема ще більш погіршала, оскільки почало з’являтися все більше не шкідливих програм, що модифікують інші exe-файли, незважаючи на існуючу проблему помилкових попереджень. Незважаючи на наявність великої кількості застережливих діалогів, в сучасному антивірусному програмному забезпеченні цей метод використовується все більше і більше. Так, у 2006 році вийшло кілька продуктів, вперше реалізували цей метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Багато програм класу файрволл здавна мали в своєму складі модуль знаходження підозрілої поведінки програм.