Monitorovací programy obecně hlídají změny v nastavení systému a chrání systém
před replikací viru (i před provedením oněch nežádoucích akcí trojských koní), a
to na základě neustále kontroly a posléze aktivního zastavení takové ilegální
akce.
Monitorovací programy jsou tedy aktivními nástroji pro detekci virů na
základě změn v chování systému, a to v reálném čase. Tyto programy zabraňují
nelegálním akcím a signalizují, kdykoliv se cokoliv v systému pokouší o nějakou
podezřelou akci, která má charakteristiky chování viru, popř. jinak škodlivého,
ilegálního chování, např. pokus o zápis do chráněných souborů, změna tabulky
vektorů přerušení… Protože však virus není ničím jiným než sekvencí příkazů, je
zde značná pravděpodobnost, že i legitimní programy mohou provádět stejné akce,
a povedou tedy ve svém důsledku k signalizaci stejně jako virus (např.
sebemodifikující programy). Při tvorbě takového systému se začíná s modelem
"ilegálního" chování, pak se staví moduly, které zachycují a zastavují pokus o
provedení takových akcí. Tyto moduly pak pracují jako součást operačního
systému.
Monitorovací program předpokládá, že viry provádějí akce, které jsou
svou povahou podezřelé, a proto mohou být detekovány. To však nemusí být vždy
platné tvrzení. Nové viry mohou využívat nové metody, které moho být mimo
působnost naprogramovaných modulů. Takový virus pak nebude monitorovacím
programem detekován.
Techniky, které se využívají u monitorovacích prostředků
pro detekci chování podobného chování viru, rovněž nejsou neselhávající. Osobní
počítače mají většinou slabinu v nedostatečné ochraně paměti, takže virový
program může obvykle obejít většinu pokusů operačního systému o kontrolu. Navíc
jako součást operačního systému jsou monitorovací programy rovněž napadnutelné.
Existují totiž viry, které obejdou nebo zcela vypnou celý monitorovací systém,
např. virus Tremor a tunelující viry.
Na rozdíl od skenerů není tak snadné
používat monitorovací programy. Dost totiž záleží na jejich nastavení. Obecně
řečeno, je-li nastavení příliš jemné, bude program neustále hlásit poplach (a
uživatele zákonitě otráví a sníží jeho důvěru v software). Je-li naopak
nastavení příliš hrubé, program nebude detekovat téměř nic (tedy ani některé
viry).
V případě, že monitorovací program ohlásí pokus o nějakou z jeho
pohledu podezřelou akci, je na uživateli, aby byl schopen posoudit, zda se jedná
o falešný poplach (zda daný program provádí legitimní činnost), nebo o pokus
viru. Tím je kladen na uživatele značný nárok. Také instalace (a již zmíněné
nastavení) monitorovacího programu není snadné.
Na druhé straně jsou tu však
i výhody monitorovacích programů:
Tyto programy mohou být při optimálním nastavení velmi citlivými detekčními
prostředky a mohou zachytit i některé dosud neznámé viry.
Monitorovací software nemusí být tak často obnovován. Není závislý na konkretních virech, a proto v podstatě nevyžaduje obnovu, pokud nedojde ke vzniku nějaké nové virové techniky.
Balíky monitorovacích programů jsou často integrovány s operačním systémem tak, aby bylo dosaženo dodatečné bezpečnosti. Z toho samozřejmě vyplývá jisté zatížení při spuštění každého programu. Toto zatížení je však minimální. Přesto, jak už bylo uvedeno, je zde i možnost, že virus dokáže celý takový balík monitorovacích programů prostě obejít a tím vyřadit z činnosti.