Analiza behawioralna

Technika ta ma na celu ustalenie, czy dana aplikacja jest szkodliwa czy nie, na podstawie jej zachowania. Je艣li aplikacja wykonuje operacj臋, kt贸ra nie mie艣ci si臋 w zakresie czynno艣ci "akceptowalnych", operacja ta jest ograniczana. Na przyk艂ad pr贸ba zapisywania do pewnych cz臋艣ci rejestru systemowego lub predefiniowanych folder贸w mo偶e zosta膰 zdefiniowana jako zagro偶enie. Czynno艣膰 taka b臋dzie zablokowana lub u偶ytkownik zostanie powiadomiony o pr贸bie jej wykonania. To do艣膰 proste podej艣cie mo偶na dalej "rozbudowa膰". Mo偶na na przyk艂ad ograniczy膰 dost臋p jednej aplikacji (przyk艂adowo zezwalaj膮c przegl膮darce internetowej na dost臋p tylko do odczytu do ograniczonych element贸w rejestru systemowego), udzielaj膮c jednocze艣nie nieograniczonego dost臋pu do innych program贸w, kt贸re nie wykorzystuj膮 Internetu.

Alternatywn膮 metod膮 behawioraln膮 jest "zawini臋cie" pobranej aplikacji i ograniczenie jej dzia艂ania w lokalnym systemie. Aplikacja dzia艂a w tzw. chronionej "piaskownicy" (ang. sandbox) nazywanej czasem tak偶e "placem zabaw" lub "bezpiecznym buforem", kt贸ra ogranicza jej dzia艂anie zgodnie z predefiniowan膮 polityk膮. Operacje programu por贸wnywane s膮 z zestawem regu艂. W zale偶no艣ci od polityki, czynno艣ci wykonywane przez program mog膮 zosta膰 uznane za naruszenie polityki. W takim przypadku niepo偶膮dana operacja zostanie zablokowana.