Как правильно анализировать файл на наличие вируса, трояна? И не ошибиться.

Я узнал, что делает программа . Создает, изменяет такие то файлы, устанавливает соединения, внедряется в процесс и т. д. Легитимные программы (невредоносные) тоже всё это делают.

По какому то набору действий можно определить, что это троян - получает низкоуровневый доступ к клавиатуре, открывает порт, прописывается в автозапуск и т. д. ?

Например - программа пытается прочитать файлы (персональные данные) и установить исходящее соединине. Это поведение характерно для шпиона, но может использоваться и легитимной программой .

Или программа запускает/устанавливает драйвер. Может это руткит хочет спрятаться в системе, а может это и невредоносная программа.

Есть ли четкое определение что такое вредоносная программа (это определённый набор действий/операций - создать файл, записать в файл и т. д. ? ) . У каждой антивирусной лаборатории своя Классификация детектируемых объектов (номенклатура) .