Bei einer Systemprüfung markiert eine Endpoint-Sicherheitslösung jede Datei: als unbedenklich, schädlich oder verdächtig. Weist eine Datei eine Reihe bedenklicher Merkmale oder Verhaltensmuster auf, wird sie als verdächtig markiert.
Verdächtiges Verhalten bedeutet, dass Dateien bei der Ausführung auf einem Computer fragwürdige Dinge tun, wie zum Beispiel eine Kopie von sich selbst in einem Systemordner ablegen.
Laufzeitschutz hilft beim Schutz vor verdächtigen Dateien: Das Verhalten aller auf dem Computer ausgeführten Programme wird analysiert und es werden alle Aktivitäten blockiert, die eventuell schädlich sein könnten. (siehe Buffer-/ Pufferüberlauf)
Quelle: Sophos