Encontré esta pregunta que explica un poco en detalle cómo funcionan exactamente los softwares antivirus. Pero acabo de hacer que un cliente me preguntara esto, y realmente no podía darle una respuesta buena, simple y fácil de entender. Lo mejor que se me ocurrió fue que cada virus tiene una "huella digital" específica y el software escanea en áreas infectadas conocidas.
¿Cómo explico esto de una manera simple y fácil de entender?
anti-virus
James Mertz
fuente
fuente
Respuestas:
Mecanismo de detección, o cómo en un nivel más profundo?
Cuando la gente me dice acerca de cómo llegó el malware a su máquina, y por qué no siempre es posible eliminarlo una vez que está en el sistema, y casi todo lo que tiene que ver con el malware, siempre respondo con una combinación / similar a esta metáfora:
(Y cuando lo escriba, debo sonar un poco como un idiota, ¡pero espero que les guste!)
Imagine que su casa es la computadora, un programa antivirus es varios mecanismos de seguridad diferentes.
Descarga / Creación de nuevo archivo:
Imagine un portero en la puerta de su casa: cualquiera que ingrese a la casa (los archivos que ingresan a su máquina) lo atraviesan y verifica que estén limpios *. Si encuentra algo malo, generalmente te da la opción de qué hacer.
Escáner activo
Imagine un equipo de seguridad interno observando a todos (procesos activos) en su casa, cualquier objeto (archivo) que toquen se examina para asegurarse de que estén limpios *
Escaneo pasivo / manual
Cuando no hay nada más que hacer, o usted elige, puede hacer que el equipo de seguridad verifique cada objeto en la casa, solo para asegurarse de que estén limpios contra las últimas amenazas.
Rootkits / una vez infectado
Si bien la seguridad de su hogar siempre hará lo mejor, nada es 100% efectivo. Una vez que alguien está en la casa, si no fueron detenidos, pueden hacer lo que quieran. Si bien es posible limpiar después de ellos, y en la mayoría de los casos, deshacer todo el daño ... podrían haber dejado atrás su propio equipo de seguridad que interfiere con el suyo.
`* Como dijo Randolph en su respuesta, típicamente es una mezcla de huella digital y heurística )
Parece que no puedo encontrarlo, pero Microsoft solía tener un documento API sobre la creación de software AV, solo puedo encontrar un enlace a la guía API de MS Office / IE . Supongo que debido a los falsos kits AV / Root, han eliminado esta información.
(Además, Symantec tiene un artículo interesante para leer más)
Editar: acabo de encontrar una pregunta de desbordamiento de pila interesante ... ¿Cómo se engancha un antivirus de Windows en el proceso de acceso a archivos?
fuente
Operan en varios niveles, que incluyen:
La definición de huella digital, como usted indicó, que verifica la actividad o las firmas de archivos que coinciden con una base de datos
Comportamiento sospechoso, por ejemplo, el sector de arranque se modifica por algo que no se reconoce o la memoria se sobrescribe por un proceso que no debería tener acceso
Detección de rootkits, que requiere que el AV se ejecute casi como un virus en sí mismo (* esta es la razón por la cual a AVG no le gusta ComboFix, por ejemplo, hace cosas que no se pueden distinguir del comportamiento del virus), ya que tiene que esconderse del rootkit.
Ciertamente, esta no es una lista completa, y agradezco las ediciones de la respuesta.
fuente
Varias veces he estado en condiciones de decirles a las personas que necesitan software AV mientras rechazan las críticas voluntarias "expertas" de que el software AV es "inútil" porque los virus nuevos sin huellas no se detendrían y, como dice Wil, pueden dejar cosas atrás eso hace imposible la verdadera limpieza.
Creo que es importante que los usuarios no expertos entiendan esos dos últimos puntos, pero no piensen que el software AV no vale nada. También necesitan entender un tercer punto, que se requiere un plan de copia de seguridad cuidadoso con miras a "Nuke it from orbit, es la única forma de estar seguro" de limpieza donde se limpia el sistema y el sistema operativo se reinstala a partir de copias de seguridad buenas conocidas.
fuente
Su sistema operativo es un edificio y el virus es un ladrón.
Windows es un edificio de oficinas
Si bien a todos se les permite entrar y salir, tienen que pasar por la seguridad donde se revisan sus maletas y caminan a través de una radiografía. Esto sería el equivalente de un escáner activo . Todo está revisado, por lo que hay una pequeña posibilidad de que algo salga por la puerta principal.
En toda la instalación hay cámaras y guardias de seguridad que los monitorean para detectar actividades sospechosas. Esta es la exploración pasiva . Los guardias de seguridad son bastante buenos para identificar comportamientos traviesos comunes porque pasan todo el día todos los días observando a la gente.
La patada es que, si haces el baile funky de pollo a través del escáner de rayos X, no tendrás preguntas.
Una infección es así. El ladrón baila el pollo funky pasando al guardia en el frente. Una vez que están dentro y toman lo que quieren, solo necesitan encontrar (o crear) una puerta trasera para salir con los productos.
Si los ladrones no son sofisticados, los escáneres pasivos darán una alarma y enviarán seguridad tras ellos, pero si has visto Oceans Eleven últimamente, sabrás a qué me refiero cuando digo: "no todos los ladrones no son sofisticados". Esencialmente, una vez que un chico malo entra, si es bueno sabrá cómo evadir y subvertir el sistema de vigilancia para que ni siquiera sepas que está allí. Entonces es un juego gratuito con tus datos.
Peor aún, son influyentes. Hacen amigos dentro de su sistema (infectan otras aplicaciones), por lo que, incluso si tiene éxito en darles el arranque, pueden llamar a un amigo para que les permita volver. Los escáneres pasivos no solo vigilan a los malos, sino que Observen el comportamiento de todos, pero no son perfectos.
Un troyano es como un ladrón escondido escondido en una de las salidas de emergencia, si escucha un golpe secreto de uno de sus amigos afuera, abre la puerta desde adentro. Realmente no quieres uno de estos en tu edificio porque son extremadamente talentosos.
Una Mac es un edificio de oficinas pero con un sistema de tarjeta de acceso
Una vez que ingresa al edificio, debe registrarse con el guardia para obtener su pase. Pero, una vez que estás dentro, tienes libertad para moverte por las áreas donde tienes permiso para recorrer. Si necesita obtener acceso al inventario de la empresa, debe iniciar sesión nuevamente para continuar con un pase de nivel superior. Cada vez que abandona un nivel de seguridad, pierde su pase, por lo que debe firmar cada vez que necesita volver a ingresar.
La vulnerabilidad aquí es, asegúrese de saber que se supone que la persona a la que está dando acceso debe estar permitida.
Linux es como una base militar
Tienes que pasar la seguridad para entrar en la puerta, pero también necesitas rango / título para obtener acceso a partes de la base. Por ejemplo, no puedes entrar al campo de aviación si no eres un piloto (y no eres un oficial superior), no puedes entrar al submarino si no eres un sub-chico.
Piense en la cuenta raíz como el general. No necesita permiso para ir a ningún lado porque es el oficial más superior en la base. Por lo tanto, no debes dejar que tu general vaya dejando que cualquiera entre a la base (porque será obedecido sin ninguna duda).
El truco con Linux es, no te hagas el General. Conviértete en un suboficial que obedientemente hace su trabajo. Luego, cuando ese suboficial descubra que necesita algunos recursos adicionales para hacer su trabajo, actualícelo temporalmente (el comando para privilegios elevados en linux es sudo, que le otorga acceso temporal a la raíz) a General para que las cosas se muevan y tiemblen.
En realidad, Linux y Unix usan el mismo modelo de seguridad para los privilegios. Las Mac simplemente no compartimentan el sistema como lo hace Linux para hacerlo más fácil de usar.
El principal problema con todos estos sistemas es que, una vez que los ladrones encuentran una manera de entrar, pueden crear una puerta trasera para volver más tarde sin tener que pasar por seguridad.
El único sistema de seguridad realmente seguro sería tener un sistema más sofisticado. Por ejemplo, retroceda en el tiempo hasta el comienzo del día al final de cada día. Esto es equivalente a la virtualización de sandbox . Cada vez que carga el sistema operativo, carga una copia nueva y sin adulterar. No existirán puertas traseras porque el sistema operativo se restablecerá al estado en el que estaba antes de que los ladrones entraran. Existen limitaciones para este método, pero son demasiado detalladas / complejas para cubrirlas aquí.
El truco que la mayoría de las personas (algunas convenientemente) pasan por alto es. Una vez que dejas entrar a alguien en el edificio y le das privilegios de acceso, pueden dejar entrar a otros. Por lo tanto, no dejes que el chico que usa la camisa a rayas blancas y negras (y, en algunos casos, la niña con el libro de mecánica cuántica) entre La puerta de entrada en primer lugar. Con la excepción del baile funky de pollo, no pueden entrar a menos que usted lo permita.
El problema con los escáneres de virus es que la gente confía demasiado en ellos. Tenga en cuenta que ni sus escáneres activos o pasivos saben sobre el truco de pollo funky. Acabas de dejar entrar libremente a un chico malo en tu sistema. Si tienes suerte, hará algo que llame la atención del escáner pasivo. Si no eres afortunado, él se moverá de sombra en sombra dentro de tu sistema causando estragos y ni siquiera sabrás que él está allí.
Las vulnerabilidades de software de 0 días (defectos de software conocidos que exponen un agujero de seguridad que aún no se han parcheado) son equivalentes al baile de pollo funky. Microsoft tampoco es el único culpable de esto; He visto un truco de Adobe Flash que atraviesa y destruye mi sistema sin posibilidad de reparación en <15 segundos.
Windows / Linux tienden a no tener el problema funky chicken porque llevas tus privilegios de acceso (tarjeta de acceso, rango) a todas partes del sistema.
Un rootkit es como tener a uno de estos tipos secuestrando a su oficial de seguridad ejecutivo, encerrarlo en el armario y hacerse pasar por él. Con el rango de jefe de seguridad, tiene el poder de contratar / despedir a cualquiera y cambiar la política a su antojo. Si llegan a él, estás realmente jodido porque puede despedir a todo el personal de seguridad o implementar políticas que obliguen al personal de seguridad a mirar a sus pies y sentarse en sus manos ante la amenaza de ser despedido. Es decir. que realmente no quiere este tipo se vea comprometida.
Espero que eso ayude.
fuente