Você sabia
que a várias maneiras de um antivírus saber se aquele arquivo é uma ameaça?
Nesse artigo veremos as várias maneiras que um antivírus usa para detectar. Já
aproveitando a deixa, nós explicaremos quais módulos de detecção estarão
incluso no novo antivírus do Av-Security.
Bem essa é primeira
matéria de uma série que explicará como os antivírus funcionam, vejam então
agora os métodos de detecção usados pelos antivírus:
Modos de detecção
Detecção por CheckSumming
Detecção por CheckSumming
Se você esta familiarizado com a estrutura PE,
sabe que todo programa tem um checksum, e caso você modifique 1 byte dele, ele
vai ficar com um checksum diferente, a detecção por checksumming, basicamente
tem um banco de dados com o checksum de inúmeros arquivos, o programa deve
checar se o checksum do arquivo suspeito tem o mesmo que o do arquivo
limpo...Caso seja diferente, o arquivo foi modificado, e assim o programa
reconhecerá o vírus.
Contra: O antivírus não vai poder reconhecer o vírus se
o arquivo já estiver contaminado.
Detecção por comportamento anormal
Este tipo, o programa já deve ter um banco de dados mais sofisticado, porque?Ele deve saber, por exemplo, como o vírus X infecta os outros arquivos, e deve checar todos as atividades da maquina em busca desta ação.
Detecção por comportamento anormal
Este tipo, o programa já deve ter um banco de dados mais sofisticado, porque?Ele deve saber, por exemplo, como o vírus X infecta os outros arquivos, e deve checar todos as atividades da maquina em busca desta ação.
Contra: Caso o vírus seja bem feito, ele nem sempre vai ter atividades suspeitas, ele sempre vai tentar se "disfarçar"
Detecção por Emulação
Neste caso o programa suspeito de estar infectado é emulado(debugged) pelo antivírus(quarentena) que estudará os seus comportamentos em um sistema seguro(SandBox) e checará se algum de suas atividades de compara com a de algum vírus.
Contra:Este é um processo lento e perigoso pois se o programador de projetou o SandBox não tiver sido tão bom, o vírus pode se espalhar
Detecção por Dinamisto em RunTime
Este modo é como se fosse o level 2 do Checksumming, este pega o checksum de cada bloco das seções do executável e guarda, quando o programa estiver com algum bloco novo ou com checksums diferentes, ele é acusado de vírus.
Contra: Requer um hardware muito bom...
Detecção por Assinatura
Este modo é o geralmente usado nos antivírus de hoje em dia, e se baseia simplesmente em: Todo vírus tem sua assinatura, ou eu deveria dizer, sua "marca registrada", o objetivo desta detecção é checar se essa marca registrada se encontra no arquivo suspeito, e se encontrar, reconheça o vírus...
Contra: Este não reconhece novos vírus, apenas os que já estão na database.
João Marcos,
Redação
AV-Security
0 Comentarios
