He estado leyendo sobre SpyProxy . ¿Puede alguien explicarme esta frase que encontré en el artículo? Aquí está: Supervisamos el sistema operativo invitado y el navegador a través de los "activadores" instalados para buscar violaciones de la zona de pruebas .
Estoy buscando entender cuál es la naturaleza de los activadores que pueden instalar en la Máquina Virtual? Aprecio cualquier ayuda / indicación.
Supongo que entiendes lo que está pasando aquí: cuando intentas visitar una página web, tu navegador está configurado para usar este AV como un "proxy". En lugar de que TRULY sea el proxy de la conexión, el AV descarga las páginas web (probablemente sin proxy) y las abre en una máquina virtual. Entonces (probablemente) verifica los cambios en el sistema de archivos que podrían interpretarse como sospechosos. Por ejemplo, se detectarán las modificaciones a system32 o Program Files (x86) (suponiendo que está en Windows) y la página web se bloquearía. Suponiendo que no se encuentren cambios sospechosos, (lo más probable es que tanto en la memoria virtual como en el sistema de archivos) el programa cumpla con su función percibida como un proxy y le "envíe" la página web. La ventaja de esto es principalmente que los virus no descubiertos anteriormente todavía están bloqueados, pero las desventajas incluyen un bajo rendimiento. Además, un atacante determinado no tendría demasiados problemas para sortear este sistema (dependiendo de lo rigurosos que sean sus algoritmos para verificar la máquina virtual).
EDITAR: Para ser un poco más claro, si bien hay algunos activadores instalados en el sistema operativo invitado, la mayoría de ellos probablemente estén instalados como parte del programa y están completamente separados del sistema operativo.