Проте, евристичний аналіз не дає повної гарантії виявлення будь-яких нових вірусів.

Крім того, евристичний аналізатор може прийняти «необразливу» програму за шкідливу. Це відбувається в тих випадках, коли програма виконує які-небудь дії, характерні для вірусів або шкідливих програм іншого типу.

Евристичний аналіз віднімає чимало процесорного часу. Тому, налаштовуючи антивірусну програму, користувач може відключити евристичний аналізатор.

З огляду на те, що без евристичного аналізатора антивірусна програма не зможе виявити поліморфні віруси й ті що шифруються, а також нові віруси, таке відключення приведе до зниження надійності антивірусного захисту.

Сучасні антивірусні програми, що працюють у режимі монітора, здатні сканувати файли, до яких виконує запити ОС і програми, що запускаються користувачем. Таким чином, скануються всі файли, до яких відбувається запит.

2.1.3 Виявлення змін

Інший метод виявлення вірусів і шкідливих програм різного типу заснований на виявленні змін, що викликали вірусами й шкідливі програмами у файлах.

Програми, чия робота заснована на виявленні змін, називаються ревізорами диска.

Ревізори диска періодично сканують уміст дисків комп'ютера, записуючи у свою базу даних контрольні суми файлів і критично важливих внутрішніх ділянок файлових систем. При скануванні нові значення контрольних сум звіряються зі старими значеннями.

Якщо при порівнянні виявляються зміни, ревізор диска відображає на екрані попереджуюче повідомлення.

Ревізори диска дозволяють виявляти нові віруси, після того як вони почали діяти.

За допомогою ревізора диска можна виявити будь-які зміни, зроблені у файлах комп'ютерними вірусами й іншими шкідливими програмами, а також користувачами.

Цей факт дозволяє використати ревізори диска не тільки для захисту від шкідливих програм, але й для контролю цілісності важливих файлів і документів.

Помітимо, що ревізори диска неефективні для виявлення макрокомандних вірусів у файлах офісних документів, створюваних такими програмами, як Microsoft Word, Microsoft Excel та ін.

Це пов'язане з тим, що файли офісних документів постійно редагуються, внаслідок чого вони піддані дуже частим змінам.

Ревізори диска можуть взаємодіяти з антивірусними програмами, що виконують сканування й евристичний аналіз.

Таке зв'язування може прискорити антивірусну перевірку файлів, якщо ревізор диска буде координувати свої дії з антивірусною програмою. При цьому ревізор знаходить файли, що змінилися, а програма-антивірус виконує їхнє сканування й аналіз.

Прискорення відбувається за рахунок того, що перевірці піддаються не всі, а тільки файли, що змінилися.

2.1.4 Аналіз мережного трафіку

Сьогодні найбільшу погрозу являють собою віруси й інші шкідливі програми, що поширюються по каналах електронної пошти. Це пов'язане з популярністю електронної пошти, яка використовується практично в усіх сферах діяльності людини.

Найбільш ефективною методикою виявлення й нейтралізації шкідливих програм, що поширюються по каналах електронної пошти, є аналіз трафіку електронної пошти безпосередньо на поштовому сервері.

При цьому антивірусні програми перевіряють дані, що проходять через поштовий сервер, і видаляють із них шкідливі об'єкти ще до того, як вони потраплять на комп'ютер користувача.

Антивіруси, що працюють на поштовому сервері, сканую трафік електронної пошти, крім поширення шкідливих програм разом з поштовими повідомленнями.

Для передачі повідомлень електронної пошти використаються протоколи SMTP, POP3 і IMAP. Спеціалізовані антивіруси, що працюють на поштових серверах, здатні аналізувати потоки даних, передані з використанням цих протоколів, запобігаючи поширенню шкідливих програмних об'єктів через електронну пошту.

Сканування трафіку електронної пошти можна виконувати й на комп'ютері користувача, блокуючи проникнення шкідливих програмних об'єктів у бази даних поштових програм.

Метод сканування мережевого трафіку може ефективно застосовуватися не тільки для блокування проходження шкідливих програмних об'єктів, але й для виявлення спроб одержання несанкціонованого доступу до вузла мережі.

При цьому сканер, аналізуючи мережевий трафік, намагається виявити дії, характерних для атак на систему розмежування доступом, а також атак на інші критичні системи вузла мережі.

2.1.5 Аналіз баз даних поштових програм

Звичайні антивірусні програми, призначені для сканування файлів, виявляються малоефективними для виявлення поштових вірусів.

Це пов'язане з тим, що повідомлення електронної пошти зберігаються не у вигляді окремих файлів, а усередині бази даних повідомлень поштової програми. Тому антивірусна програма, не розрахована на сканування вмісту таких баз даних, не зможе виявити шкідливі програмні об'єкти усередині повідомлень електронної пошти.

І хоча можна створити таку антивірусну програму, що буде здатна сканувати вміст баз даних найбільш популярних поштових програм, це не вирішить всіх проблем.

Бази даних повідомлень різних поштових клієнтів мають різний формат, тому важко (якщо взагалі можливо) створити антивірус, «розуміючий» структуру баз даних будь-якої поштової програми. До того ж, у будь-який момент може з'явитися новий поштовий клієнт, що застосовує новий формат бази даних повідомлень.

Таким чином, більше кращим способом боротьби з поштовими вірусами є сканування мережевого трафіку на поштовому сервері або на комп'ютері користувача.

2.1.6 Виявлення вірусів у системі автоматизації документообігу

Системи автоматизації документообігу, такі як Microsoft Exchange і Lotus Notes, зберігають документи й повідомлення в базах даних власного формату. Крім цього, у таких системах є можливість програмування з використанням макрокоманд.

Шкідливий програмний код може інфікувати повідомлення, що зберігаються в базах даних систем автоматизації документообігу, у тому числі з використанням внутрішньої мови макрокоманд цих систем.

Звичайні антивірусні програми, розраховані на перевірку файлів, не можуть бути використані для захисту систем автоматизації документообігу, тому що вони не в змозі перевіряти вміст баз даних таких систем.

Однак у цей час багато антивірусних компаній випустили спеціальні версії антивірусних програм, здатні перевіряти бази даних систем документообігу Microsoft Exchange і Lotus Notes. Без їхнього застосування захист сервера системи автоматизації документообігу не можна вважати повним.

Крім Microsoft Exchange і Lotus Notes існує чимало менш відомих інформаційних систем, що зберігають документи в базах даних. Ці системи можуть створюватися для використання тільки