el famoso antivirus no puede detectar software malintencionado simple (problemas de detección) [cerrado]

Navega tus respuestas
-1

Soy un estudiante de maestría y estoy trabajando en un mini-proyecto sobre reconocimiento de virus y cómo deshacerme del virus.

Tuve que infectar mi máquina virtual y luego limpiar el virus o el troyano de varias maneras.

Mi pregunta es sobre los siguientes casos:

  1. un defensor de Windows no detectó un archivo pdf que fue infectado con un virus simple, y estoy bastante seguro de que la definición de la base de datos estaba actualizada.
  2. Kaspersky no pudo reconocer "Trojan Simulator", pero los bytes de malware lo pudieron detectar y eliminar.

la pregunta es: ¿por qué estos antivirus conocidos no pudieron detectar un software malintencionado tan rudimentario?

Sus respuestas más tempranas son más que bienvenidas.

gracias de antemano.

    
pregunta Kayvan 25.06.2017 - 12:16
fuente

2 respuestas

2

El antivirus tradicional solo identifica los virus que coinciden con un archivo de firma, por lo que cualquier modificación u ofuscación del código significará que no se reconocerá. Este es exactamente el comportamiento esperado.

Algunos antivirus profundizarán e intentarán eliminar la ofuscación.

Los últimos analizan el comportamiento del código, no solo intentan hacer coincidir las firmas.

Pero en general, si un AV en particular tiene una firma que coincide con el archivo infectado, lo identificará, de lo contrario, probablemente no lo haga. Y todos los proveedores actualizan sus archivos en función de lo que ven.

    
respondido por el Rory Alsop 25.06.2017 - 16:46
fuente
2

¿Cómo funciona el antivirus?

La mayoría de los antivirus Las soluciones comienzan comparando código potencialmente peligroso con un conjunto de patrones y las reglas que conforman las definiciones de antivirus, que coinciden con el código malicioso conocido. Las definiciones de antivirus se actualizan periódicamente a medida que se crea nuevo malware. identificado por cada proveedor. Este tipo de identificación se llama análisis estático . Además del análisis estático contra un conjunto de firmas, más avanzado Las soluciones antivirus también prueban la actividad maliciosa, llamada análisis dinámico .

SOURCE

El análisis estático se realiza en un entorno que no es de tiempo de ejecución. Normalmente, una herramienta de análisis estático inspeccionará el código del programa en busca de todos los posibles comportamientos en tiempo de ejecución y buscará fallas de codificación, puertas traseras y código potencialmente malicioso.

Análisis dinámico adopta el enfoque opuesto y se ejecuta mientras un programa está en funcionamiento. Una prueba dinámica supervisará la memoria del sistema, el comportamiento funcional, el tiempo de respuesta y el rendimiento general del sistema.

Esto fue solo una breve descripción de cómo componen sus definiciones. Cada vez que reciben una nueva muestra, la analizan y actualizan sus definiciones. Entonces, la rapidez con la que los proveedores actualizan las definiciones puede diferir y si un malware en particular se vuelve popular de repente, descubrirá que el máximo antivirus lo detectará. Así que todo depende del vendedor y su consistencia.
Así que no hay ningún dicho que diga qué antivrus hace mejor su trabajo. También puede cargar sus archivos en NoDistribute y ver cuántos AV pudieron detectarlos.

    
respondido por el neferpitou 25.06.2017 - 16:59
fuente

Lea otras preguntas en las etiquetas

SSH claves públicas de autenticación pre-distribuidas ¿Se recomienda Opera VPN (sitios que bloquean nodos de salida de Tor)?