Détection heuristique
La forme de détection la plus courante est une détection heuristique qui utilise un algorithme pour comparer la signature de virus connus à une menace potentielle. La détection heuristique peut détecter les virus qui n'ont pas encore été découverts. Il peut également détecter des virus connus modifiés ou déguisés, puis relâchés dans la nature.
L'analyse heuristique est la méthode la plus connue pour détecter les nouveaux virus, mais elle peut également générer des correspondances faussement positives, ce qui signifie qu'un analyseur antivirus peut signaler qu'un fichier est infecté et n'est pas infecté.
Détection par dictionnaire ou par virus
Chaque analyseur antivirus a un fichier de définition de virus, une base de données ou un dictionnaire contenant des milliers de signatures de virus connues. Ces signatures permettent à un programme antivirus d'identifier les virus passés analysés par des professionnels de la sécurité. Aujourd'hui, il existe plus de 100 000 signatures de virus différentes pouvant être utilisées à des fins de comparaison.
La détection par signature est un excellent moyen de prévenir les virus connus passés et constitue la meilleure méthode de détection sans créer de fausse alerte. Cependant, la détection basée sur les signatures ne peut pas détecter les nouveaux virus tant que le fichier de définition n'est pas mis à jour avec les nouvelles informations virales.
Détection comportementale
Si un virus a dépassé les détections ci-dessus, l'antivirus analyse le comportement des programmes en cours d'exécution sur l'ordinateur. Si un programme commence à exécuter des actions étranges, l'antivirus peut déclencher un avertissement. Certaines des actions étranges, ou comportements, que les antivirus surveillent sont énumérés ci-dessous.
- Modification des paramètres d'autres programmes
- Modification ou suppression de dizaines de fichiers
- Surveillance des frappes
- Connexion à distance à des ordinateurs
La détection comportementale est une méthode utile pour rechercher des virus ou d’autres logiciels malveillants qui tentent de voler ou de consigner des informations. Cependant, de nombreux programmes doivent aujourd'hui signaler à un serveur en ligne ou enregistrer des frappes au clavier pour empêcher toute fraude en ligne, ce qui entraîne parfois ce type de détection pour générer de fausses alertes.
Détection bac à sable
Si un programme est suspect, certains programmes antivirus peuvent également utiliser la détection en sandbox, ce qui crée un environnement émulé pour que le programme s'exécute et analyse son comportement. Si, lorsqu'il est exécuté dans l'environnement émulé, le programme semble avoir un comportement destructeur ou anormal, l'antivirus alerte l'utilisateur avant de l'exécuter sur l'ordinateur.
Détection antivirus dans le cloud
La détection antivirus dans le nuage utilise un client de l'ordinateur qui collecte des informations, qui sont ensuite téléchargées vers un serveur du nuage et traitées par ce dernier. En exécutant toutes les détections sur le serveur, votre ordinateur n’est pas soumis à un traitement supplémentaire. L'antivirus dans le cloud nécessite une connexion Internet.
Analyse complète du système
Enfin, une analyse complète du système ou une analyse de fichier individuel est une action manuelle qu'un utilisateur peut effectuer pour analyser tous les fichiers de son ordinateur. Pour exécuter ce type d'analyse, vous devez ouvrir le programme antivirus et sélectionner l'option permettant d'effectuer une analyse complète du système ou de cliquer avec le bouton droit de la souris sur le fichier que vous souhaitez analyser, puis de choisir l'option d'analyse du fichier.
Une analyse complète ne devrait pas être nécessaire si un programme antivirus était exécuté sur votre ordinateur et surveillait les modifications. Toutefois, si votre ordinateur est suspect ou si un nouvel analyseur antivirus a été installé, il n’est pas mauvais d’exécuter une analyse complète. N'oubliez pas que, comme presque tous les fichiers sont examinés au cours d'une analyse complète du système, leur exécution peut durer entre 20 minutes et plusieurs heures.