Firma de archivo vs Firma de virus

1

He pensado en crear antivirus simple. He leído un artículo y me dijeron que hay dos formas de detección.

La búsqueda de firmas en el diccionario de virus es el único método. Así que he elegido este método para la implementación simple.

A partir de esto, he entendido que tenemos que buscar la firma del virus con el archivo.

¿Cuál es la diferencia entre la firma del archivo y la del virus?

Si he guardado un archivo de virus donde la firma del virus se almacenará en el archivo.

¿Cómo hacer coincidir el patrón de firma del virus con la firma del archivo?

Si hay algún código de ejemplo para explicar, sería mejor para mi entender.

Algunos enlaces de firmas de virus. ¿Cómo escribir código para esta firma? enlace

enlace

enlace

    
pregunta Jeeva Jsb 16.03.2017 - 12:39
fuente

1 respuesta

2

No hay tal cosa como una firma de virus almacenada en el archivo. Crear la firma de un virus es un proceso que utiliza varias propiedades del archivo malicioso para obtener el valor de la firma. En el caso más sencillo, esto podría ser un hash como MD5 del archivo. Pero también se pueden tener firmas más inteligentes que, por ejemplo, omitir partes del archivo que son irrelevantes para la funcionalidad del virus o incluir información estructurada del encabezado de PE o similar en la firma. La forma en que se computa la firma de un archivo de virus depende de la inteligencia del motor de AV y generalmente es información confidencial.

En cuanto a la firma del archivo: hay varias formas de firmas de archivos, pero en el contexto de AV es probable que esté calculando la firma de un archivo desconocido de la misma manera que la firma de un archivo malicioso y luego verifique si la firma del archivo coincide con cualquiera de las firmas conocidas para archivos maliciosos. Si este es el caso, el archivo desconocido es probablemente también malicioso. Pero la seguridad de esta información depende de cómo se calculó la firma.

    
respondido por el Steffen Ullrich 16.03.2017 - 13:12
fuente

Lea otras preguntas en las etiquetas