Estoy buscando software de seguridad y parece que Next Big Thing es un antivirus de comportamiento. Me gustaría intentar posiblemente hacer mi propio AV de comportamiento de próxima generación para obtener un mejor entendimiento de su funcionamiento interno y así poder ver lo cerca que puedo llegar a los productos establecidos en términos de falso negativo. y tasas de falsos positivos. Si bien entiendo que es probable que nunca logre los resultados que los grandes jugadores pueden lograr debido a la falta de acceso al tipo de datos, la fuerza laboral y la experiencia que tienen, me gustaría al menos ver qué tan cerca puedo estar.
Entiendo la esencia de cómo funciona el AV (el AV supervisa la API del sistema operativo e instala un controlador de filtro para monitorear los cambios en el sistema de archivos), pero me interesa saber qué tipo de cosas buscan exactamente estos antivirus. . Hay algunas cosas que vienen a la mente: inyección de procesos, conexiones a servidores con mala reputación o inexistentes, configuración del software para que se ejecute al inicio, software que interactúa con un montón de archivos en el directorio C: / System, etc. - pero me gustaría ver si alguien tiene alguna otra idea sobre lo que debería intentar buscar.
Hasta ahora, he encontrado esto:
Pero solo se ve en unas pocas acciones. ¿Alguien tiene alguna información sobre qué más debo incluir en mi AV de kludgy, no tan empresarial?