Firmas para un antivirus

Navega tus respuestas
1

Cuando el software antivirus compara una firma MD5 para malware, ¿ejecuta el malware en mi computadora para generar la firma adecuada para comparar?

[PREGUNTA ORIGINAL] MD5 se ha utilizado para detectar malware durante mucho tiempo. Sé que ahora está bastante desactualizado debido a varias técnicas avanzadas como el polimorfismo, el cambio de bits, etc.,

¿Pero cuando uno usa MD5, ejecutará el malware para generar valor hash? Me parece que está ejecutando la aplicación al generar el valor hash?

Recientemente, encontré que "encontrar una cadena específica" es el reemplazo para MD5, pero con el conocimiento en programación, ¿cómo obtener los strigs en un ejecutable o algo así? ¿El antivirus tiene su propio descompilador o algo así?

Soy muy consciente de las tecnologías heurísticas y de sandbox ...

NOTA: Este foro contiene cientos de preguntas como esta (por ejemplo, Cómo escribir firmas AV) pero no encuentro respuesta para esto ...

    
pregunta VISWESWARAN NAGASIVAM 21.02.2016 - 19:09
fuente

3 respuestas

2

No. A menos que haya una vulnerabilidad en el lector de flujo de archivos (poco probable), nunca ejecutará el malware para validar el hash. Simplemente está leyendo el contenido del archivo ejecutable para verificar si el hash MD5 coincide o no.

La lectura es no lo mismo que la ejecución, y tampoco lo es la escritura.

Tenga en cuenta que es bastante posible falsificar el valor de hash MD5 debido a colisiones. Esto tampoco ayuda a un atacante que agrega / renombra métodos en el código fuente de un programa de virus, y que luego compila el ejecutable, produciendo un resultado de hash completamente diferente.

    
respondido por el Mark Buffalo 21.02.2016 - 19:24
fuente
2

No, los sistemas antivirus basados en firmas no necesitan ejecutar el malware para generar una firma específica. Leen el contenido del archivo, sin ejecutarlo.

Sin embargo, los sistemas antivirus basados en el comportamiento pueden ejecutar malware utilizando un sandbox, monitoreando el comportamiento de la aplicación y usándolo para determinar si una aplicación es segura de ejecutar normalmente.

    
respondido por el Matthew 21.02.2016 - 19:26
fuente
0

La firma MD5 de un malware que su antivirus lo recibe al actualizar es un hash y cuando tiene un nuevo archivo (Datos en imagen) en su computadora, similar a la imagen de abajo:

su antivirus hash nuevo archivo (Datos) (como la suma de comprobación del archivo descargado) y compara el resultado con todo el hash guardado que su antivirus recibió al actualizar, y este trabajo no necesita ejecutar el archivo (imagine la suma de comprobación del archivo descargado)

NOTA: su antivirus recibe el hash de todos los nuevos malware detectados en forma que están firmando con su compañía de antivirus y con una función de hash resistente a la colisión, cada archivo tiene un hash único, por lo que este hash puede ser similar a una firma.

    
respondido por el 0skar 22.02.2016 - 00:18
fuente

Lea otras preguntas en las etiquetas

Ingeniería inversa - Contramedidas [cerrado] ¿Cómo funcionan las OTP de hardware, desde la perspectiva de un desarrollador?