Ada beberapa teknik yang digunakan antivirus untuk mendeteksi malware. Beberapa teknik deteksi malware yang umum digunakan antivirus adalah sebagai berikut :

1. Scanning

Bila ada sebuah file yang dicurigai sebagai virus, maka file ini terlebih dulu dianalisa oleh seorang analis malware. Malware ini dipelajari perilaku dan karakteristiknya,  kemudian dibuat sebuah signature.  Proses scanning merupakan sebuah proses mencari apakah pada sebuah file terdapat signature malware. Bila terdapat signature malware pada file tersebut berarti file telah terinfeksi malware, bila tidak maka file tersebut bersih. Ada banyak algoritma yang digunakan untuk melakukan scanning. Diantaranya ada algoritma Aho-Corasick, algoritma Veldmann dan wu-Manber. Algoritma-algoritma diatas berkembang didasarkan pada teori pattern matching dan finite automata.

2. Static Heuristic

Bila teknik scanning digunakan untuk melakukan deteksi terhadap malware yang sudah dikenali karakteristiknya, maka teknik Heuristic umumnya digunakan untuk malware yang belum dikenali karakteristiknya. Teknik ini tidak melakukan pencarian signature malware, tapi akan berusaha membuat signature baru. Jadi teknik ini berusaha menduplikasi cara seorang analis malware dalam mengenali malware dari source codenya. Umumnya teknik ini akan mencari pada source code apakah terdapat aktifitas atau fungsi yang mencurigakan. Contohnya adalah adanya fungsi untuk menggandakan dirinya (replikasi), atau fungsi untuk mengelabui antivirus (obfuscation) dll. Teknik ini umumnya memiliki tingkat akurasi yang rendah dan banyak menghasilkan false positive (alarm palsu). Biasanya teknik ini akan mempunyai list banyak kriteria karakteristik malware yang diberi bobot nilai tertentu, kemudian bila kriteria tersebut ditemukan maka nanti nilai tersebut akan dijumlahkan. Bila hasil perhitungan tadi mencapai batas nilai tertentu maka antivirus akan memberikan alarm adanya dugaan malware. Teknik ini banyak menggunakan teori dari sistem pakar, neural network dan data mining.

3.  Integrity check

Malware yang menginfeksi sebuah file, umumnya akan melakukan modifikasi pada file. Sehingga bila terjadi perubahan pada sebuah file tanpa ada authorisasi yang jelas, maka aktifitas ini dicurigai sebagai adanya malware. Teknik ini umumnya menggunakan checksum, jadi antivirus akan melakukan checksum terhadap file, kemudian checksum ini akan di input ke dalam database.  Bila antivirus melakukan scanning maka checksum terbaru akan dibandingkan dengan checksum yang ada di database. Bila terjadi perubahan maka antivirus akan memberikan alarm. Teknik ini memiliki kelemahan yaitu memberikan hasil akurasi yang kurang baik.

Ketiga teknik diatas termasuk teknik deteksi malware yang menggunakan metoda deteksi static, artinya pada proses deteksi, code malware tidak dijalankan. Selain itu ada juga metoda deteksi analsis behavioral. Tentang metoda ini akan saya ceritakan pada tulisan berikutnya. Semoga bermanfaat!