Cuando se utiliza un disco de recuperación, como el CD de inicio AVG, para detectar virus, malware, etc. ¿Cuáles son las limitaciones?

3

Lo que me gusta del concepto de CD con capacidad de arranque es si se puede conectar a Internet y obtener actualizaciones. Sin embargo, no tengo claro qué tan efectivos son para encontrar cosas que son heurísticas. ¿Cómo funcionan las exploraciones heurísticas incluso si un ejecutable no se está ejecutando?

    
pregunta beauk 18.11.2011 - 16:39
fuente

2 respuestas

1

Ejecutar desde un CD de arranque no hace que el antivirus sea mejor para detectar virus, simplemente evita que dicho virus haga que el antivirus no vea nada en absoluto. El antivirus en un CD de arranque es el mismo que el antivirus en la máquina en vivo; el CD de arranque lo hace más seguro para el propio antivirus.

La detección heurística es completamente ortogonal. Un antivirus funciona clásicamente encontrando fragmentos de código de virus conocido en archivos ejecutables (las "firmas"). Algunos virus van un paso más allá en el juego de ocultar y buscar que juegan con el software antivirus, y alteran su propio código de varias maneras con un poco de aleatoriedad. Los proveedores de software antivirus reaccionan creando un meta-código que trata de identificar fragmentos de código que, si bien no son bit a bit idénticos a las firmas de virus conocidas, podría ser algún tipo de código de virus modificado automáticamente, porque en este lugar en este archivo Parece definitivamente sospechoso. "Detección heurística" es a menudo un nombre de marketing para "un disparo en la oscuridad".

    
respondido por el Tom Leek 18.11.2011 - 19:05
fuente
4

La diferencia principal que un disco de arranque le brinda es la capacidad de escanear las aplicaciones a través de un sistema de "buen conocido", en lugar de un sistema de archivos potencialmente rootkit, que puede ocultar cualquier / todos los malware de un escáner.

El problema básico es que si el malware ha comprometido su sistema, podría configurarse para devolver cualquier cosa que el autor desee cuando se ejecute un análisis de un archivo, para que parezca que el sistema está limpio.

Al arrancar desde un CD u otro material de solo lectura, siempre que tenga un disco de arranque limpio, no podrá verse afectado por el malware y debe dar los resultados correctos. El supuesto aquí es que tienes una descarga limpia.

Aparte de eso, el uso es el mismo que el de una versión que se ejecuta en el sistema operativo normal: busca patrones conocidos o código que cumple con ciertos indicadores sospechosos.

    
respondido por el Rory Alsop 18.11.2011 - 16:52
fuente

Lea otras preguntas en las etiquetas