Я узнал, что делает программа. Например, создает, читает такие-то файлы, вносит такие то изменения в реестре, устанавливает такие-то соединения. Как вынести правильный вердикт ? Статут "вредоносное ПО" можно вынести, если программа совершила определенную последовательность действий ? Сколько таких последовательностей может быть?

Есть ли литература на русском языке на эту тему (если произведены такие-то действия - значит такой-то вердикт выносить) ? Вот я знаю, что сделала программа - дальше что делать ? Можно обнаружить некоторые винлоки таким образом, куда винлок прописался. А как быть с другими троянами ?