Между вынесением вердикта о вредоносности, выпуском сигнатуры, ее добавлением в базы, последующим тестированием, размещением на сервере обновлений, и, наконец, загрузкой на ПК пользователя - в среднем проходит несколько часов, в течении которых системы пользователей могут быть заражены.Я этого не понимаю. Если сигнатуры нет, то вирлаб либо ещё не изучал файл, либо не определился пока. Подозревать его просто "патамушта" и за ради этого городить рядом ещё одну технологию распознавания угроз "по фотографии"?
Эти технологии как раз и предназначены для того, чтобы свести этот промежуток к нескольким секундам/минутам. В общих чертах цепочка следующая:
1). Вынесение вердикта о вредоносности
2). Через несколько секунд/минут хеш новой вредоносной программы вносится в базу данных на сервере АВ компании.
3). Если пользователь сталкивается с этой вредоносной программой до того, как на его ПК будет загружено обновление, то произойдет -
а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.
4). Пользователь оказался защищенным в период времени между вынесением вердикта о вредоносности и загрузкой обновлений, содержащих соответствующую сигнатуру, на его ПК.
Это лишь самый простой случай применения этих технологий.