La detección basada en emulación es una técnica utilizada en el software antivirus para detectar malware aún desconocido (la llamada vulnerabilidad de día cero )
En general, la esencia del método es ejecutar una aplicación potencialmente peligrosa en un entorno emulado. Durante la emulación, el programa antivirus supervisa todas las acciones del software investigado, lo que permite, en función de los algoritmos internos de los programas antivirus , evaluar el grado de peligrosidad del software investigado.
Hay dos tipos principales de emulación comunes en la industria del software antivirus hoy en día :
En algunos casos, la emulación puede resistir eficazmente tecnologías como el polimorfismo de malware , que se logra evaluando las acciones realizadas, pero no el código del programa. Actualmente, existe una gran cantidad de servicios pagos y gratuitos para analizar software desconocido. Estos servicios usan métodos de emulación para registrar eventos que ocurren en el sistema de prueba.
La desventaja indudable de la emulación es el alto consumo de recursos del sistema, lo que afecta negativamente el rendimiento de la computadora. Por lo tanto, hoy en día, la emulación no es la tecnología principal del software antivirus , notablemente inferior a los métodos modernos de protección antivirus proactiva (por ejemplo, HIPS ).