54 push esp 5D pop ebp
3.5 phát hiện dựa trên hành vi.
Phát hiện dựa trên bộ hành vi cơ bản là một kiểu của kỹ thuật phân tích động. Trong một kỹ thuật phân tích động mã độc bị nghi ngờ cần được thực thi động trong môi trường sand-box. Trong quá trình phát hiện dựa trên hành vi cơ bản, mã độc được thực thi và bộ hành vi của mã độc thì được phân tích trong khi chạy. Một khi bộ hành vi của virus xem như là “bad”, nó được cắm cờ như virus và hành động chính xác thì được giữ lại. Phát hiện dựa trên hành vi cơ bản yêu cầu những mẫu của những hành vi xấu hay độc hại. Hành vi của của mã độc đem lại những dấu hiệu của chính nó. Như vậy kỹ thuật phát hiện dựa trên những hành vi cơ bản là một tập của những dấu hiệu phát hiện cơ bản được lấy ra mà ở đó chứa những dấu hiệu về chức năng của mã độc. Khi mọi mã độc hiện tại sử dụng kỹ thuật code che dấu, nó đặc biệt không có khả năng để phân tích tĩnh chức năng của chương trình.
Phát hiện dựa trên những hành vi cơ bản có thể nhận được tối thiểu sai dương( dương tức là phát hiện có mã độc). Phương pháp này thì tin cậy hơn so với phương pháp đánh giá. Virus có thể được chỉnh lỗi trong thời gian chạy. Kỹ thuật phát hiện này yêu cầu những mẫu của những hành vi “bad”mà có thể tự động được tạo hoặc cập nhật. Nó yêu cầu một môi trường động mà mô tả hệ điều hành và còn không làm tổn
hại tới hệ thống. Máy ảo có thể được dùng để kiểm tra hành vi của mã độc trong khi nó thực thi.