Pendeteksian dengan menggunakan basis data virus signature (virus signature database):
Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan
oleh antivirus tradisional, yang mencari tanda-tanda dari keberadaan
dari virus dengan menggunakan sebagian kecil dari kode virus yang telah
dianalisis oleh vendor antivirus, dan telah dikatalogisasi sesuai dengan
jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya. Cara
ini terbilang cepat dan dapat diandalkan untuk mendeteksi virus-virus
yang telah dianalisis oleh vendor antivirus, tapi tidak dapat mendeteksi
virus yang baru hingga basis data virus signature yang baru
diinstalasikan ke dalam sistem. Basis data virus signature ini dapat
diperoleh dari vendor antivirus dan umumnya dapat diperoleh secara
gratis melalui download atau melalui berlangganan (subscription), dan/atau
Pendeteksian dengan melihat cara bagaimana virus bekerja: Cara kerja
antivirus seperti ini merupakan pendekatan yang baru yang dipinjam dari
teknologi yang diterapkan dalam Intrusion Detection System (IDS). Cara ini sering disebut juga sebagai Behavior-blocking detection.
Cara ini menggunakan policy (kebijakan) yang harus diterapkan untuk
mendeteksi keberadaan sebuah virus. Jika ada kelakuan perangkat lunak
yang "tidak wajar" menurut policy yang diterapkan, seperti halnya
perangkat lunak yang mencoba untuk mengakses address book untuk
mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di
dalam address book tersebut (cara ini sering digunakan oleh virus untuk
menularkan virus melalui e-mail), maka antivirus akan menghentikan
proses yang dilakukan oleh perangkat lunak tersebut. Antivirus juga
dapat mengisolasi kode-kode yang dicurigai sebagai virus hingga
administrator menentukan apa yang akan dilakukan selanjutnya. Keuntungan
dari cara ini adalah antivirus dapat mendeteksi adanya virus-virus baru
yang belum dikenali oleh basis data virus signature.
Kekurangannya, jelas karena antivirus memantau cara kerja perangkat
lunak secara keseluruhan (bukan memantau berkas), maka seringnya
antivirus membuat alarm palsu atau "False Alarm" (jika
konfigurasi antivirus terlalu "keras"), atau bahkan mengizinkan virus
untuk berkembangbiak di dalam sistem (jika konfigurasi antivirus terlalu
"lunak"), terjadi false positive. Beberapa produsen menyebut teknik ini sebagai heuristic scanning.
Teknologi Heuristic Scanning ini telah berkembang begitu jauh hingga
sekarang. Beberapa antivirus mengecek sebuah file dengan definisi biasa.
Jika lolos dari deteksi biasa, maka file tersebut dijalankan di sebuah
lingkungan virtual. Semua perubahan yang dilakukan file bersifat seperti
virus, maka pengguna akan diperingatkan.
Tidak ada komentar:
Posting Komentar