Erkennungsmethoden

Eine effiziente Ermittlung von verseuchten Dateien wird durch die Kombination von verschiedenen Ermittlungs-Ebenen gewährleistet. Vor der eigentlichen Prüfung wird die Datei analysiert, um für die spätere Analyse überflüssige Teile der Datei entfernen zu können.

* Erkennung bekannter Viren
Dies ist die einfachste Technologie, bei der Dateien auf einen bestimmten Code hin überprüft werden(Byte-Code, der charakteristisch für exakt den Virus ist). Auf Grundlage dieser Erkennung wird zur genauen Erkennung eine detaillierte Analyse durchgeführt.
* Generische Erkennung
Dieses ist eine allgemeinere Methode für die Erkennung der bekannten Viren und wird verwendet, um neue Varianten der bekannten Viren festzustellen. Wenn kein bekanntes Virus erkannt wurde, sucht die Generische Abfragung nach Reihenfolgen innerhalb der Datei, die für bestimmte Viren typisch sind. Solche Reihenfolgen verändern sich normalerweise nicht innerhalb des Virus, wenn es geändert wird, selbst wenn das Verhalten der neuen Variante unterschiedlich ist. Diese Methode ist besonders in der Erkennung der Makro-Viren und der Index-Viren wirkungsvoll.
* Heuristische Analyse
Die letzte Methode zum Ermitteln der Viren (im Fall, in dem vorher erwähnte Methoden nicht erfolgreich waren), ist die heuristische Analyse. Ihre Besonderheit ist die Fähigkeit (in einigen Fällen) Viren zu erkennen, die nicht in der internen Virusdatenbank integriert sind. Während der heuristischen Analyse werden zwei Methoden verwendet:
o Statische heuristische Analyse – Suchen nach misstrauischen Datenkonstrukten.
o Dynamische heuristische Analyse – Code-Emulation. Dies bedeutet, daß in einer speziellen virtuellen Umgebung von AVG gestartet wird. Die Datei wird auf die Tätigkeiten analysiert, die für Viren typisch sind. Ein Beispiel wäre eine Anwendung, die, nachdem sie lief, nach anderen ausführbaren Dateien sucht, um sie zu ändern.