No entiendo muy bien la diferencia entre los antivirus basados en firmas y en los comportamientos. Por favor aclarar la distinción entre los dos.
El AV basado en firmas compara hashes (firmas) de archivos en un sistema con una lista de archivos maliciosos conocidos. También mira dentro de los archivos para encontrar firmas de código malicioso.
Los AV basados en el comportamiento observan los procesos en busca de signos reveladores de malware, que se compara con una lista de comportamientos maliciosos conocidos.
La razón por la que muchos productos AV se agregan a la detección basada en el comportamiento es porque muchos creadores de malware han comenzado a usar segmentos de código polimórficos o cifrados, por lo que es muy difícil crear una firma. Una forma más fácil de detectarlos es observar un patrón particular de comportamiento para identificar el malware.
La detección de virus basada en firmas solo tiene éxito con los virus antiguos porque no existen en diferentes variantes, ya que Ocurre hoy en día. La firma puede ser hashes MD5 / SHA1 por ejemplo. Consulte esta publicación para obtener más información: ¿Qué hacen los patrones? ¿Un antivirus basado en firmas para? . Mientras que la detección basada en el comportamiento (también llamada detección heuristic based ) se basa en el contexto completo de cada proceso. ruta de ejecución en tiempo real.
Bueno, déjame intentar explicártelo lo mejor posible. Estos análisis basados en "firmas" y en "comportamientos" tienden a ofrecerse como funciones antivirus. Los virus tienen firmas como tú. Algunos tienden a tener firmas estáticas, mientras que otros tienden a tener firmas polimórficas. Imagina que puedes cambiar tu firma e intentar salirte con la tuya (de tu banco o de cualquiera de esas instituciones).
En firmas estáticas, el antivirus tiene una base de datos predefinida de firmas conocidas y, por lo tanto, al escanear, crea la firma adecuada para cada archivo (utilizando MD5 u otros hashes) y los compara con la lista predefinida. Si coinciden, el archivo se trata como una 'amenaza'. Esta base de datos antivirus se actualiza al hacer clic en el botón de actualización en su interfaz AV, que le proporciona una lista de firmas conocidas y la agrega a la base de datos existente, lo que lo protege contra las amenazas más recientes.
Los piratas informáticos se han vuelto más inteligentes e intentan evadir las técnicas de detección de firmas estáticas codificando el virus de tal manera que pueda cambiar su firma. Los expertos en protección contra amenazas comienzan a utilizar técnicas "heurísticas" para identificar virus. Por ejemplo Imagina que eres un ladrón y planeas irrumpir en una casa. Intenta obtener la mayor cantidad de información posible sobre la casa y sus residentes mediante el uso de la vigilancia. Luego vas a una tienda de armas para recoger un arma que se puede usar 'por si acaso'. Llegas a la tienda y allí está la policía con esposas. El antivirus basado en el 'comportamiento' funciona de la misma manera. Intenta identificar el 'comportamiento' de un archivo. P.ej. un archivo mp3 que intenta modificar un archivo del sistema o algo así que es inaceptable en circunstancias normales. Por lo tanto, esto se trata como 'comportamiento peligroso' y, por lo tanto, el antivirus lo clasifica en la categoría 'amenaza'.
@schroeder: Trate a la policía como el antivirus y al ladrón como el virus. El ladrón está planeando atacar una casa. Imagínese si la policía estuviera vigilando a todos y cada uno de los ciudadanos y marque a este "potencial ladrón" en un escenario de "posible amenaza", ya que muestra señales de que "puede realizar un robo". Él toma una vuelta alrededor de la misma casa todas las noches a las 9:00 y luego llama al mismo número con algunas ideas. Lo dije de esa manera. El antivirus rastrea el 'comportamiento' que el archivo está exhibiendo. Demasiada memoria RAM, conexiones frecuentes a direcciones IP aleatorias, acceso no autorizado para modificar un archivo, etc.
Lea otras preguntas en las etiquetas antivirus