¿Información sobre los aspectos específicos de cómo funcionan los antivirus de comportamiento?

3

Estoy buscando software de seguridad y parece que Next Big Thing es un antivirus de comportamiento. Me gustaría intentar posiblemente hacer mi propio AV de comportamiento de próxima generación para obtener un mejor entendimiento de su funcionamiento interno y así poder ver lo cerca que puedo llegar a los productos establecidos en términos de falso negativo. y tasas de falsos positivos. Si bien entiendo que es probable que nunca logre los resultados que los grandes jugadores pueden lograr debido a la falta de acceso al tipo de datos, la fuerza laboral y la experiencia que tienen, me gustaría al menos ver qué tan cerca puedo estar.

Entiendo la esencia de cómo funciona el AV (el AV supervisa la API del sistema operativo e instala un controlador de filtro para monitorear los cambios en el sistema de archivos), pero me interesa saber qué tipo de cosas buscan exactamente estos antivirus. . Hay algunas cosas que vienen a la mente: inyección de procesos, conexiones a servidores con mala reputación o inexistentes, configuración del software para que se ejecute al inicio, software que interactúa con un montón de archivos en el directorio C: / System, etc. - pero me gustaría ver si alguien tiene alguna otra idea sobre lo que debería intentar buscar.

Hasta ahora, he encontrado esto:

enlace

Pero solo se ve en unas pocas acciones. ¿Alguien tiene alguna información sobre qué más debo incluir en mi AV de kludgy, no tan empresarial?

    
pregunta CrystalShared 29.08.2018 - 21:19
fuente

1 respuesta

1

Le sugeriré que busque en enlace , es una implementación de código abierto, para que pueda ver y ver cómo funciona un AV en general. Por supuesto, los AV comerciales te dirán qué tan buenos son, pero básicamente todos los AV encontraron un enfoque similar, reglas, intercepción de syscall, comportamiento de archivos abiertos, etc.

    
respondido por el camp0 29.08.2018 - 21:31
fuente

Lea otras preguntas en las etiquetas