บางคนเข้าใจว่าซอฟต์แวร์ป้องกันไวรัสนั้น มักประกอบด้วยเทคโนโลยีสแกนซิกเนเจอร์บางประเภท และผู้คนจำนวนมากยังเชื่อว่านี่เป็นสิ่งที่เทคโนโลยีป้องกันไวรัสจะหยุดทำงาน โปรแกรมป้องกันไวรัสที่ทันสมัย มักจะมีฟังก์ชั่นเพิ่มเติมนอกเหนือจากการสแกนซิกเนเจอร์อย่างง่าย แม้ว่าคุณจะทำการแยกชุดซอฟต์แวร์รักษาความปลอดภัยที่มีเทคโนโลยี ที่ไม่ใช่สแกนเนอร์แยกต่างหาก เช่น ไฟร์วอลล์ หรือการสนับสนุนปัญญาประดิษฐ์ เช่นที่ซอฟต์แวร์ Bitdefender Antivirus ทำอยู่
1. การตรวจจับจากคุณลักษณะ (Specific Scanning)
การตรวจจับโดยคุณลักษณะเฉพาะนั้น เป็นสิ่งที่ผู้คนจำนวนมากคิดถึง เมื่อพวกเขาคิดว่าสแกนเนอร์น้น คือการป้องกันไวรัส ค้นหามัลแวร์ที่รู้จัก โดยชุดคุณลักษณะเฉพาะ มัลแวร์แต่ละตัวใช้รหัสของตัวเองเพื่อทำสิ่งที่มีวัตถุประสงค์ต่างกัน ในการตรวจจับมัลแวร์โดยเฉพาะ สแกนเนอร์จะมองหาซิกเนเจอร์นั้นในที่ที่ค่อนข้างเหมาะสม เทคนิคนี้สามารถทำได้อย่างรวดเร็วเพราะมันสามารถทำการยกเว้นไฟล์ที่สะอาดได้อย่างรวดเร็ว หากนักวิจัยได้ทำสิ่งที่ถูกต้อง แต่ก็ค่อนข้างง่ายที่จะหลบเลี่ยงการตรวจจับประเภทนี้ โดยการเปลี่ยนรหัส ย้ายไปอยู่ที่อื่น เข้ารหัส หรือซ่อนรหัสด้วยวิธีอื่น ๆ จากนั้นภัยคุกคามจะไม่ถูกตรวจพบอีกต่อไป
ในขณะที่มัลแวร์เริ่มมีความชำนาญ และแพร่หลายมากขึ้น นักวิจัยจะต้องมีความคิดที่สร้างสรรค์มากขึ้น ในการระบุไฟล์ที่ไม่ดีที่รู้จักกันอย่างรวดเร็ว เพื่อมิให้มัลแวร์ถูกครอบคลุมด้วยตัวอย่างจำนวนมากมายที่มีมาถึงทุกวัน ดังนั้นขั้นตอนต่อไปคือการจัดกลุ่มตัวอย่างตามสิ่งที่เรียกว่า “ครอบครัว” ซึ่งหมายความว่าพวกเขาเกี่ยวข้องกับรหัสฐานทั่วไปนั่นเอง
2. การสแกนแบบทั่วไป (Generic Scanning)
การตรวจจับทั่วไปนั้น จะทำการค้นหามัลแวร์ที่เป็นสายพันธุ์ของตระกูลที่รู้จัก ซึ่งมักจะถูกสร้างขึ้นโดยกลุ่มโปรแกรมเมอร์ทั่วไป ภายในการตรวจจับทั่วไป มักจะมีฟังก์ชั่นทั่วไป และซิกเนเจอร์ร่วมกันเป็นครั้งคราว และการตรวจจับนั้นหมายถึงการจับตัวอย่างมัลแวร์ที่รู้จักทั้งสองตัวอย่าง
ตั้งแต่มัลแวร์เป็นเรื่องเกี่ยวกับเงินวันนี้ วิธีที่ดีที่สุดสำหรับผู้เขียนมัลแวร์ เพื่อให้ได้ผลที่ใหญ่ที่สุดสำหรับสิ่งที่น่าหลงใหล ก็คือการนำรหัสฐานมาใช้ซ้ำ พวกเขาอาจเพิ่มหรือเปลี่ยนฟังก์ชั่นย่อย หรือพวกเขาอาจทำการย้ายสิ่งต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับที่เฉพาะเจาะจง มีมัลแวร์ทั่วไปจำนวนมากที่แตกต่างกันจำนวนมาก ที่มีซอฟต์แวร์โอเพนซอร์ซ หรือชุดสร้างมัลแวร์ให้ใช้งานได้ฟรีและรวดเร็ว
ดังนั้นจึงเหมาะสมสำหรับโปรแกรมป้องกันป้องกันไวรัส เพื่อค้นหาคุณสมบัติทั่วไปของตระกูลมัลแวร์ที่เป็นที่นิยม หรือรู้จักพฤติกรรมที่เป็นอันตราย หากพวกเขาต้องการมีความหวังในการล้างไวรัสคอมพิวเตอร์ การตรวจจับทั่วไปเหล่านี้ มีความกว้างหรือค่อนข้างเฉพาะเจาะจง ตัวอย่างเช่น สามารถสแกนหารหัสช่องโหว่ที่รู้จัก ซึ่งสามารถเพิ่มไปยังมัลแวร์ที่รู้จัก หรือการสร้างใหม่หรืออาจมองหาผู้แบ่งใช้งานเฉพาะที่มัลแวร์ตระกูลเดียวกันใช้
3. Heuristic Scanning (การวิเคราะห์พฤติกรรมการแก้ปัญหาพฤติกรรมในสภาพแวดล้อมเสมือนจริง)
การวิเคราะห์แบบฮิวริสติก จะตรวจสอบพฤติกรรมของระบบ หรือซอฟต์แวร์ เพื่อตรวจจับภัยคุกคามใหม่ที่ไม่สามารถพบโดยโซลูชันที่ใช้ซิกเนเจอร์ ในขั้นต้นจะสร้างพื้นฐานของกิจกรรมปกติ สำหรับระบบ หรือซอฟต์แวร์ และจากนั้นเมื่อสิ่งที่แตกต่างเกิดขึ้น มันจะแสดงขึ้นอย่างโดดเด่นจำทำให้เห็นเป็นความผิดปกติ
การวิเคราะห์แบบฮิวริสติก เป็นหนึ่งในเทคนิคการตรวจจับมัลแวร์เพียงตัวเดียว ที่สามารถตรวจจับมัลแวร์แบบ polymorphic ยิ่งไปกว่านั้นยังช่วยให้นักพัฒนาสามารถเปลี่ยนแปลงกฎได้อย่างต่อเนื่อง ตามภัยคุกคามรูปแบบใหม่ และไม่ให้รายละเอียดเกี่ยวกับวิธีการตั้งค่าสถานะภัยคุกคามต่อผู้พัฒนามัลแวร์ แต่เมื่อรหัสมีความซับซ้อนเพียงพอ การวิเคราะห์แบบฮิวริสติกจะไม่สามารถตรวจพบได้
4. การทำกระบะทราย (Sandboxing)
การทำกระบะทรายหรือแซนด์บ็อกซ์ จะตรวจจับมัลแวร์โดยทดสอบโค้ดที่อาจเป็นอันตราย ในสภาพแวดล้อมเสมือนจริง สิ่งนี้ช่วยให้นักวิจัยสามารถสังเกตพฤติกรรมที่แท้จริงของรหัส ในสภาพแวดล้อมที่ปลอดภัย ซึ่งไม่สามารถแพร่กระจายหรือทำอันตรายใด ๆ ต่อระบบและเครือข่ายที่ทำงานอยู่
แซนด์บ็อกซิ่ง เป็นเทคนิคการตรวจจับมัลแวร์ที่มีประโยชน์ เนื่องจากสามารถระบุได้อย่างละเอียด ถึงวิธีการทำงานของไฟล์ในสภาพแวดล้อมต่าง ๆ นอกจากนี้ยังสามารถให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรม ทำให้นักวิเคราะห์สามารถทราบได้ว่าเจตนาของภัยคุกคามนั้นเป็นอย่างไร
อย่างไรก็ตามวิธีแซนด์บ็อกซ์ มีข้อบกพร่องที่สำคัญบางอย่าง ปรากฎว่าภัยคุกคามสมัยใหม่สร้างมัลแวร์ที่ “รู้เท่าทัน” ที่รู้ว่าเมื่อใดที่มันถูกเรียกใช้ในแซนด์บ็อกซ์ ดังนั้นจึงทำหน้าที่แตกต่างไปจากสภาพแวดล้อมจริง เพื่อหลีกเลี่ยงการถูกตั้งค่าสถานะ นอกจากนี้ตัวแปรมัลแวร์บางตัวนั้น ยังสร้างขึ้นเพื่อใช้ประโยชน์จากจุดบอดในแซนด์บ็อกซ์ สร้างความท้าทายด้านประสิทธิภาพด้วยเช่นกัน เนื่องจากใช้เวลานาน ไม่สามารถทำแซนด์บ็อกซ์ทุกไฟล์ได้
5. การใช้ AI (Artificial intelligence) / Machine-Learning-การวิเคราะห์เชิงสถิต
เทคนิคการตรวจจับการวิเคราะห์แบบสแตติก ที่ยึดตาม Machine Learning ได้ฝึกสอนให้คอมพิวเตอร์ให้รู้จักและแยกแยะระหว่างไฟล์ที่เป็นอันตราย และไม่เป็นอันตราย โดยชุดคำสั่งจะสอนเครื่องจักรว่าอะไรดี และอะไรไม่ดี ดังนั้นในที่สุดเครื่องก็สามารถทำการเรียงไฟล์เองได้ เทคนิคเหล่านี้มีพฤติกรรมที่แตกต่างกัน (พฤติกรรมของไฟล์นานแค่ไหนที่ไฟล์เปิดอยู่ปริมาณการใช้งานพฤติกรรมในชีวิตประจำวัน ฯลฯ ) และคำนวณให้เป็นข้อสรุปเกี่ยวกับลักษณะของไฟล์
แม้ว่านี่จะเป็นขั้นตอนที่แข็งแกร่ง ในการเปลี่ยนเส้นทางที่ถูกต้อง แต่การเรียนรู้โดยเครื่อง ไม่ใช่วิธีที่สมบูรณ์แบบ สำหรับการตรวจจับและกำจัดมัลแวร์ ในความเป็นจริงเทคนิคการเรียนรู้ของเครื่อง สามารถใช้ใน “การโจมตีจากคู่ต่อสู้” ซึ่งผู้โจมตีฝึกอบรม ระบบการเรียนรู้ของเครื่อง เพื่อแยกแยะตัวอย่างมัลแวร์ว่าไม่เป็นอันตราย
6. การตรวจจับปลายทางและการตอบสนอง (Endpoint Detection and Response, EDR)
Endpoint Detection and Response (EDR) ตรวจสอบและบันทึกข้อมูล และเหตุการณ์จากบันทึก และแพ็คเก็ตปลายทาง ข้อมูลที่รวบรวม จะถูกวิเคราะห์เพื่อดูว่าเกิดอะไรขึ้น หลังการติดมัลแวร์ เพื่อค้นหา IOCs ต่อแคมเปญมัลแวร์ที่รู้จัก และเพื่อช่วยให้องค์กรระบุและตอบสนองต่อการโจมตี
7. ทำแอปพลิเคชันไวท์ลิสต์ (Application Whitelisting)
ขณะที่ซิกเนเจอร์ได้ถูกพิจารณาว่า เป็นการขึ้นบัญชีดำอีกวิธีหนึ่ง ในการปิดกั้นมัลแวร์นั้น เป็นการยกเว้น รายการที่อนุญาตจะตรวจสอบ และควบคุมทุกแง่มุมของกระบวนการที่ได้รับอนุญาต ให้ทำและปิดกั้นแอปพลิเคชันไม่ให้ทำทุกอย่าง ยกเว้นสิ่งที่พวกเขาควรทำ สิ่งนี้มีประโยชน์สำหรับการบล็อกการคุกคามเช่น zero-days แต่น่าผิดหวังมากสำหรับผู้ใช้งานอุปกรณ์ปลายทาง ที่ต้องการเรียกใช้แอปพลิเคชันที่ปลอดภัย และถูกกฎหมาย แต่ไม่สามารถทำได้ นี่คือเหตุผลที่ควรใช้แอปพลิเคชันที่อนุญาตพิเศษในสภาพแวดล้อมที่มีความเสี่ยงสูง ให้ทำการดาวน์โหลดโปรแกรมสแกนไวรัส