olyat nem találtam még.Mondjuk egy Symanteces fószer írt valami általános összefoglalót azt be tudom tenni .Tessék :

Hogyan működik egy vírusirtó?

A számítógépnek ő az őrangyala: vigyáz az egészségére, megvédelmezi a vírusoktól, és helyrehozza a fertőzés által keletkezett károkat. Manapság már nem lehetünk meg nélküle. Valójában hogyan is észleli és tünteti el a vírusokat? Miért van szükség a frissítésére? Az összes sérült fájlt helyre tudja-e állítani? A következőkben megnézzük közelebbről ezt a kritikus eszközt.

Néhány védelmi eszköz
Egy vírusirtó program – mind eseti, mind diszkrét felhasználás esetén – többféle módszer alkalmazásával véd minket. Az egyik legismertebb eljárás a számítógép teljes átvizsgálása. Akár a felhasználó kezdeményezésére, akár egy rendszeres eljárás szerint végrehajtva, az átvizsgálás lehetővé teszi a fájlok egyenként történő elemzését, és annak ellenőrzését, hogy tartalmaznak-e vírust. Jóval hatékonyabb abban az esetben, amikor fertőzésre gyanakszunk. Kiválasztható, hogy a fájlok összessége vagy csak egy része kerüljön elemzésre, illetve hogy kizárólag azokkal a fájlokkal foglalkozzon, melyek egy hajlékony lemezen vannak.
Az átvizsgálás során a vírusirtó vírusok nyomait keresi az aláírás-adatbázisa segítségével. Hasonlóan a többi futtatható programhoz, a vírusok is kódokból épülnek fel. Minden esetben, amikor egy vírust felfedeznek, a vírusirtók készítői feljegyzik az „aláírásnak” nevezett kódjukat, s a szoftver-adatbázisukban egyesítik őket. Az aláírás karakterek olyan sorozatából áll, mely a felhasználó számára értelmezhetetlen, csak a számítógép képes az olvasásukra.

Példa: X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Ha ezeket a sorokat bemásoljuk egy szövegfájlba, s .com kiterjesztéssel futtatható állományként elmentjük, akkor a vírusirtó vírusként fogja észlelni, mivel a kódja benne van az adatbázisában.

Valós idejű figyelés
Az átvizsgálás lehetővé teszi, hogy egy adott pillanatban rendelkezzünk a rendszerünk állapotleírásával. A valós ideju és állandó védelem biztosításának érdekében a vírusvédelem egy másik eljárást is igénybe vesz: a háttérfigyelést. A „figyelésként” is ismert vírusvédelmi jellemző – anélkül, hogy tudnánk róla – állandóan aktív. Figyeli a számítógép bejövő és kiáramló fájljait, elemez minden lemezen tárolt, letöltött vagy e-mailben elküldött új dokumentumot. Ezzel az állandó figyeléssel a vírusirtó minden gyanús fájlt sakkban tud tartani. Az átvizsgáláshoz hasonlóan, a figyelés is használja az aláírás-adatbázist. A vírusirtó nem lesz képes észlelni a legújabb fenyegetéseket, ha nincs frissítve. Számos felhasználó azonban nem tudja a frissítést végrehajtani, vagy nem hajtja végre olyan gyakran, ahogyan kellene. Egy elkésett frissítés végzetesnek is bizonyulhat: egy héten belül három darab 3-as és 4-es szintu vírus bukkant fel augusztus végén. Itt van még egy ok az aggodalomra: a polimorf vírusok gyors megjelenése, melyek aláírásai minden fertőzés során módosulnak. Az aláírások alapján az ilyen vírusokat nagyon nehéz észlelni.
Ezen problémák megoldására a gyártók kifejlesztettek egy úgynevezett heurisztikus kutatási rendszert. Ez a rendszer függetleníti magát az aláírásoktól, s a vírusok észleléséhez a mesterséges intelligencia eszközeit alkalmazza. Felismeri azokat a mintákat, melyek egy egészséges alkalmazásnál nem tunnek helyénvalónak.

Példa: amikor egy programot elindítunk, akkor az először a parancssorban lévő opciókat kezdi keresni. A vírusok azonban másként viselkednek: a szaporodás céljából futtatható állományokat keresnek, megpróbálnak közvetlenül a lemezre írni, megpróbálják megfejteni az eredetileg titkosított kódjukat (polimorf vírusok esetén) és így tovább. Ha a vírusirtó olyan alkalmazást észlel, mely a szokásostól több eltérő jelenséget is tartalmaz (olyat például, mely merevlemez formázási kódot tartalmaz), akkor vírusriasztást fog leadni. Egy vírusirtó így blokkolhatja az ismeretlen, illetve az aláírás adatbázisban még nem szereplő vírusokat. A téves riasztás (például, a vírusirtó egy formázó eszközt tévesen vírusnak ítél) kockázata, mely ezen módszer sajátossága, minimalizálva van az olyan eszközökkel való egyideju együttmuködésnek köszönhetően, mint például az integritásvezérlő. Ez az eszköz rendszeresen ellenőrzi a szoftverek bizonyos állandó adatait (olyanokat, mint a méret, létrehozás dátuma, stb.). Ezen adatok módosulása egy vírus jelenlétét támasztja alá.

Gyors javítás
Amint a vírusirtó egy fertőzo vírust észlel, akkor először a szaporodás megakadályozása végett elszigeteli azt. Azután a vírus kódjának törlésével, és a fájl sérült részeinek helyreállításával megpróbálja a vírust eltávolítani. Ez az eljárás akkor lehetséges, ha a vírus úgy terjed, hogy a kódját hozzáfuzi az alkalmazás kódjához. Némely vírus azonban a fájlok egészét fertőzi meg, így ezeket már nem lehet helyreállítani. A vírusirtó elszigeteli ezeket a fájlokat, s javaslatot tesz, hogy a felhasználó törölje le azokat.

Burçin Gerçek.
Symantec

plusz itt találtam még valami infó szerűséget