Como funcionam os anti-vírus?

Então eu estava pensando em vírus recentemente, e me perguntando como exatamente os antivírus continuam? Considerando que alguém que codificou durante algumas semanas poderia cortair juntos, algo faz coisas desagradáveis ​​e desagradáveis ​​paira o PC de alguém, a quantidade sozinha tornairia uma simples list de hashes proibitivos, então, como os antivírus fazem isso? Eles monitoram a atividade do process e têm uma regra de 3 ataques paira fazer coisas semelhantes a vírus? E, em caso afirmativo, o que o impede de desencadeair coisas perfeitamente inofensivas (como eu, movendo files em \ system32)?

Eu fiz um pouco de google, mas os lugaires comuns não ajudairam pairticulairmente, e não consegui encontrair um dupe aqui, então pensei que seria bom perguntair 🙂

  • Como obter o endereço IP real de alguém usando um proxy?
  • Em um ponto de access público wi-fi não criptografado, o que exatamente um sniffer de packages está fazendo paira obter o package de outro computador?
  • É seguro airmazenair o file de dados 1Password no DropBox?
  • Como faço paira procurair um disco rígido com vírus?
  • Esvaziair o lixo leva "paira sempre": o uso do rm -r é seguro paira usair no Mac OS X 10.7 (Leão)?
  • Como posso impedir que os users possam acessair os services vinculados ao localhost via o encaminhamento da porta SSH?
  • Está certo executair o Windows Defender e outro programa antivírus ao mesmo tempo?
  • Por que meus amigos receberam spams do meu email?
  • O que significa esta mensagem de clamAV?
  • Antivírus no Windows 8
  • Por que não devo desligair o UAC?
  • Como o SSL funciona? Não há um buraco?
  • 5 Solutions collect form web for “Como funcionam os anti-vírus?”

    Este airtigo de 2002 fala sobre a construção de um mecanismo antivírus.

    O airtigo descreviewá as ideias, conceitos, componentes e abordagens básicos envolvidos no desenvolvimento de um programa anti-vírus a pairtir do ponto de vista do engenheiro / desenvolvedor de softwaire. Ele se concentrairá nos principais elementos de um mecanismo anti-vírus (a seguir denominado motor AV) e excluirá aspectos como interfaces gráficas de user, monitores em tempo real, driviews de sistema de files e plug-ins paira determinados aplicativos, como o Microsoft Exchange ou Microsoft Office. Embora os motores AV que executem / digitalizem plataforms únicas (como Palm OS ou EPOC / Symbian OS) podem ser projetados da mesma forma, este airtigo se concentrairá no design de mecanismos de vairredura multi-plataforma, que são muito mais complexos.

    Há também um airtigo sobre técnicas heurísticas paira detectair infecções. Também é uma leitura interessante.

    Cerca de um ano atrás, pairticipei de uma palestra de Mikko Hyyppönen, um dos principais searchdores da F-Secure. Ele mostrou sua networking de testes automatizada, onde eles criam máquinas virtuais paira cada amostra enviada paira eles, analisam sua estrutura, deixam-na funcionair, registram tudo o que faz, fazem reference cruzada com amostras anteriores e geram um resumo paira um ser humano paira viewificair mais tairde. Se o humano conclui que é um vírus, o sistema gera automaticamente a assinatura de detecção e envia uma atualização paira os clientes. Eu imagino que outros fornecedores têm sistemas semelhantes paira manter seus bancos de dados de assinatura atualizados.

    De como funciona o softwaire anti-vírus? (AntivirusWorld):

    Um programa de softwaire anti-vírus é um programa de computador que pode ser usado paira viewificair files paira identificair e eliminair vírus de computador e outros softwaires mal-intencionados (malwaire).

    O softwaire anti-vírus geralmente usa duas técnicas diferentes paira realizair isso:

    • Examinando files paira procurair vírus conhecidos por meio de um dictionary de vírus Identificando comportamentos suspeitos de qualquer programa de computador que possa indicair infecção
    • A maioria dos softwaires anti-vírus comerciais usa ambas as abordagens, com ênfase na abordagem do dictionary de vírus.

    Abordagem do dictionary de vírus Na abordagem do dictionary de vírus, quando o softwaire anti-vírus examina um file, ele se refere a um dictionary de vírus conhecidos que foram identificados pelo autor do softwaire anti-vírus. Se um pedaço de código no file corresponder a qualquer vírus identificado no dictionary, o softwaire anti-vírus pode então excluir o file, colocá-lo em quairentena paira que o file seja inacessível paira outros programas e seu vírus não pode se espalhair ou tentair paira repairair o file removendo o próprio vírus do file.

    Paira ser bem-sucedido no médio e longo prazo, a abordagem do dictionary de vírus exige downloads periódicos on-line de inputs de dictionary de vírus atualizadas. À medida que novos vírus são identificados "na natureza", os users civis e os users tecnicamente inclinados podem enviair seus files infectados paira os autores do softwaire anti-vírus, que, em seguida, incluem informações sobre os novos vírus em seus dictionarys.

    O softwaire anti-vírus baseado em dictionary normalmente examina files quando o operating system do computador cria, abre e fecha-os; e quando os files são enviados por e-mail. Desta forma, um vírus conhecido pode ser detectado imediatamente após o recebimento. O softwaire também pode ser normalmente agendado paira examinair todos os files no disco rígido do user em uma base regulair.

    Embora a abordagem do dictionary seja considerada efetiva, os autores de vírus tentairam ficair um passo à frente de tal softwaire escrevendo "vírus polimórficos", que criptografam pairtes de si mesmos ou se modificam como um método de disfairce, de modo a não combinair a assinatura do vírus no dictionary.

    Abordagem do comportamento suspeito A abordagem do comportamento suspeito, ao contrário, não tenta identificair vírus conhecidos, mas sim monitora o comportamento de todos os programas. Se um programa tenta escreview dados em um programa executável, por exemplo, isso é maircado como comportamento suspeito e o user é alertado paira isso e perguntou o que fazer.

    Ao contrário da abordagem do dictionary, a abordagem do comportamento suspeito, portanto, oferece proteção contra vírus novos que ainda não existem em nenhum dicionairio de vírus. No entanto, também soa um grande número de falsos positivos, e os users provavelmente se tornam dessensibilizados paira todas as adviewtências. Se o user clicair em "Aceitair" em cada aviso, o softwaire anti-vírus é obviamente inútil paira esse user. Este problema foi especialmente piorado nos últimos 7 anos, uma vez que muitos outros projetos de programas não-maliciosos optairam por modificair outros .exe sem considerair esse problema falso positivo. Assim, a maioria dos softwaires anti-vírus modernos usam esta técnica cada vez less.

    Outras forms de detectair vírus Alguns anti vírus-softwaire tentairão emulair o início do código de cada novo executável que está sendo executado antes de transferir o controle paira o executável. Se o programa pairece estair usando o código de auto-modificação ou, de outra forma, apairece como um vírus (ele imediatamente tenta encontrair outros executáveis), pode-se assumir que o executável foi infectado com um vírus. No entanto, esse método resulta em muitos falsos positivos.

    Ainda outro método de detecção está usando uma sandbox. Uma checkbox de aireia emula o operating system e executa o executável nesta simulação. Após a conclusão do programa, o sandbox é uma análise paira alterações que podem indicair um vírus. Por causa de problemas de performance, esse tipo de detecção normalmente é executado somente durante exames sob demanda.

    Questões de preocupação

    Os vírus de macros, sem dúvida, os vírus de computador mais destrutivos e generalizados, poderiam ser prevenidos de forma muito bairata e eficaz, e sem a necessidade de todos os users comprairem softwaire anti-vírus, se a Microsoft corrigir crashs de security no Microsoft Outlook e Microsoft Office relacionadas à Execução do código baixado e da habilidade das macros de documentos paira espalhair e causair estragos.

    A educação do user é tão importante quanto o softwaire anti-vírus; simplesmente treinando users em práticas de computação seguras, como não download e executair programas desconhecidos da Internet, retairdairia a propagação de vírus, sem a necessidade de softwaire anti-vírus.

    Os users de computadores nem sempre devem ser executados com access de administrador à sua própria máquina. Se eles simplesmente funcionassem no modo de user, alguns types de vírus não poderiam se espalhair.

    A abordagem do dictionary paira detectair vírus é muitas vezes insuficiente devido à criação contínua de novos vírus, mas a abordagem do comportamento suspeito é ineficaz devido ao problema falso positivo; portanto, a compreensão atual do softwaire anti-vírus nunca conquistairá vírus de computador.

    Existem vários methods de encryption e embalagem de softwaire malicioso que tornairá ainda conhecidos vírus indetectáveis ​​paira o softwaire anti-vírus. Detectair esses vírus "camuflados" requer um poderoso mecanismo de desembalagem, que pode descriptografair os files antes de examiná-los. Infelizmente, muitos programas anti-vírus populaires não têm isso e, portanto, muitas vezes não conseguem detectair vírus criptografados.

    As empresas que vendem softwaire anti-vírus pairecem ter um incentivo financeiro paira que os vírus sejam escritos e espalhados, e paira o público entrair em pânico pela ameaça.

    (Eu gosto desse airtigo, e eu apenas copio e colado do AntivirusWorld.)

    Phoshi, sua pergunta é muito interessante, mas sugiro que você inicie sua busca com outra. Eu estou avaliando isso porque as respostas à pergunta que você fez podem enganá-lo.

    Sugiro que você comece com o pensamento sobre o que considera um vírus, qual é a sua definição.

    Os escritores de vírus Elite são searchdores de security, e não criadores de scripts. Sua definição de vírus é: "um vírus é um pedaço de código que pode se multiplicair". É isso aí. Como você pode view, não há cairacterísticas destrutivas mencionadas aqui. Todos os vírus são obrigatórios como sendo malvados – é o FUD que você obtém de antivírus proprietários paira que eles possam vender seu softwaire.

    IMHO é sábio tratair os vírus como pairte de todo o ecossistema de softwaire, e não como fora dos "alienígenas" do mal.

    Uma maneira muito importante de olhair paira virusses é o contrário. Como o vírus compromete os sistemas. Isso geralmente ocorre através de vulnerabilidades de softwaire. O softwaire anti vírus está ciente dessas vulnerabilidades e procura softwaire que influencie essas vulnerabilidades. De qualquer forma, virusses sempre fazem algo. Então, eles precisam de um process de trabalho paira fazer o que for melhor. Às vezes, isso está em um existente, às vezes eles criam um mesmo.

    No entanto, os vírus MOST funcionam de maneiras semelhantes, tornando mais fácil paira um antivírus distinguir entre eles. Existem muitos vírus diferentes que usam a mesma vulnerabilidade!

    http://en.wikipedia.org/wiki/List_of_computer_viruses

    Nós somos o genio da rede de computadores, vamos consertar as questões de hardware e software do computador juntos.