gli antivirus utilizzano due metodi per identificare un file pericoloso, il riconoscimento di un footprint (metodo certo) e il metodo euristico (metodo probabilistico).
con il metodo del footprint confrontano uno spezzone di file con il database dei virus conosciuti, se trovano una corrispondenza la segnalano. questo sistema è pressochè certo al 100%, ma come per le impronte digitali, richiede che sia presente un campione in archvio per il confronto, quindi il virus dev'essere gia catalogato.
con il metodo euristico invece vengono analizzati dei comportamenti o delle caratteristiche esterne e se si trovano rassomiglianze con virus conosciuti viene segnalato il problema. se da un lato la cosa permette di difendersi da virus non ancora catalogati, d'altro canto può generare spesso dei falsi positivi.
un buon antivirus dovrebbe segnalare chiaramente che tipo di rilevazione è in corso.
i sistemi di pubblicità online, per il loro stesso funzionamento devono spostare dati e informazioni da un dominio ad un altro e questo trasferimento è spesso scambiato per un attacco xss (cross site scripting).
è l'antivirus che dovrebbe specificare chiaramente se si tratta di una rilevazione certa o solo probabile.
--