¿Por qué los Antivirus no comprueban los módulos de la biblioteca del exe para detectar el enganche?

Esto es para evitar lo que se llama un false positivo , es decir, cuando el usuario recibe una alerta sobre un peligro mientras que en realidad no había ningún peligro en absoluto.

¿Recuerda esta época rica cuando, mientras navegaba por Internet, se enfrentaba a una docena de veces al día con un arco de alerta que decía algo como " ¡Alerta! La página web que está viendo contiene algunos elementos seguros y ¡Algunos elementos no asegurados! ¿Está seguro de que desea continuar? ". El resultado de esto fue que las personas fueron capacitadas para ignorar el mensaje de alerta de su navegador y hacer clic ciegamente en el botón Aceptar, que era totalmente contraproducente desde el punto de vista de la seguridad.

Ahora esto es lo mismo con su llamada a API SetWindowsHookEx . Un antivirus no tiene forma de determinar la intención de un software, solo puede confiar en un subconjunto de hechos. Entonces, tal vez el uso de esta llamada a la API ingrese como parte de una heurística que tenga en cuenta varios otros parámetros que ayudan al antivirus a determinar cuándo un software tiene un comportamiento sospechoso, pero la presencia exclusiva de esta llamada a la API no es suficiente, ya que también es utilizado por muchas aplicaciones autorizadas (lo mismo si escribe un archivo Batch simple eliminando todos sus documentos: su antivirus no evitará que lo ejecute).

Estas son las razones por las que, si bien los antivirus ofrecen un buen nivel de protección contra programas maliciosos conocidos, nunca pueden ser una protección a prueba de balas y la primera y mejor línea de defensa sigue siendo el usuario que debe ser el adecuado. educado para reconocer y abstenerse de abrir archivos sospechosos.