Ci sono molti tipi diversi di software antivirus, tuttavia, ci sono alcuni temi molto comuni:
- Metodo antivirus blacklisting
- Metodo antivirus whitelisting
- Analisi euristica
Blacklisting dice "Ciò che è male là fuori... blocchiamo quello". Questo metodo è un'efficace soluzione di reazione. Tuttavia, ci richiede di avere già informazioni su una minaccia e quindi non è un buon metodo di prevenzione per una minaccia nuova di zecca. Senza avere l'effettivo pezzo di malware, non possiamo avere una firma per esso e quindi non abbiamo nulla da mettere nella nostra lista nera.
Whitelisting dice "Tutto è male fino a prova contraria" e blocca tutto per default. La whitelisting risolve il problema della blacklist di perdere il malware nuovo di zecca poiché TUTTI i nuovi file saranno bloccati di default, non è possibile eseguire nuovo malware con una soluzione di whitelisting, a condizione che sia implementata correttamente. L'aspetto negativo di un approccio di whitelist è che qualsiasi non-malware sarà bloccato fino a quando non sarà esaminato e dimostrato che è sicuro. La whitelisting va bene per ambienti con politiche estremamente rigide, solo una manciata di software utilizzati, ecc... Non va bene per i sistemi che hanno un alto numero di nuovi file che vengono scaricati ed eseguiti ogni giorno, perché finirà per bloccarne molti e rallentare la produttività.
L'analisi euristica è quella in cui un'azienda antivirus studia il malware utilizzando metodi di ricerca tradizionali e di apprendimento automatico e cerca di rispondere alla domanda: "Dato n numero di file malware, quale comune denominatore maligno possiamo trovare qui?" Per esempio, forse il 90% del malware utilizza una particolare libreria o funzione software. I metodi di rilevamento euristici cercano un comportamento maligno comune e bloccano i file in base a un meccanismo di punteggio di quanto male sembra essere il comportamento del file. Lo svantaggio dell'euristica è che non sono perfetti e possono falsamente segnalare i file buoni così come mancare quelli cattivi. L'analisi euristica è probabilmente la metodologia più supportata dalla ricerca in questo momento a causa degli algoritmi di apprendimento automatico utilizzati.
Come potete vedere, questi metodi hanno ciascuno i loro punti di forza e di debolezza e sta a voi decidere da soli di quale tipo di protezione avete bisogno per i vostri sistemi. Inoltre, la maggior parte delle soluzioni antivirus moderne include tutte e tre queste tecniche in qualche modo.