Windows - Funzionamento della scansione euristica

Salve a tutti, non so se è questa la sezione giusta, ma la domanda è questa: come funziona precisamente la scansione euristica? qualcuno conosce un algoritmo di esempio utilizzato da qualche antivirus?

la scansione euristica si basa su degli schemi di codice che compiono azioni malevole. è una tecnica che hanno iniziato ad adottare gli antivirus quando la potenza dei pc è diventata sufficiente per questo genere di computazione.
in sostanza cerchi, tramite l'analisi statica dell'eseguibile, di ricostruire il suo comportamento a runtime e quindi di detectare i virus (o programmi "pericolosi", o ancora meglio "programmi che compiono azioni potenzialmente pericolose) senza averli necessariamente nel file di definizioni.

inutile dire che questa tecnica espone a molti falsi positivi, soprattutto quando si ha a che fare con programmi non proprio "legali"